近年来，勒索软件组织加大了对受害者的威胁，以激励他们支付赎金以换取被盗和加密的数据。但是一个新的工作人员实际上是在销毁大于 2MB 的文件，因此即使支付了赎金，这些文件中的数据也会丢失。

Onyx 操作背后的组织正在用垃圾数据覆盖这些文件中的数据，而不是对其进行加密，因此无法通过解密密钥恢复数据。鉴于此，敦促 Onyx 勒索软件攻击的受害者不要支付赎金。

“有一个大问题：由于他们使用的勒索软件是垃圾软件，它正在破坏部分受害者的文件，”Malware Hunter Team 的分析师在推文中写道。“会说，没有公司应该付钱给这些白痴，因为小文件可以解密，大文件不能解密，但他们也在窃取文件。”

捷克共和国的 CERT 团队表示，Onyx 是基于 Chaos 勒索软件构建器，具有相似的特征。Qualys 的威胁猎手表示，虽然 Chaos 被称为勒索软件，但它的行为更像是擦除恶意软件，覆盖或擦除文件中的数据。

关于 Onyx，Malwarebytes Labs 的 Christopher Boyd 质疑 Onyx 团队覆盖数据是否是故意的。

Malwarebytes 的首席恶意软件情报分析师 Boyd 在博客文章中写道：“最初的怀疑是，这种对大于 200MB 的文件的覆盖是故意破坏可用的最大文件。 ” “然而，鉴于它实际上超过 2MB，这个文件覆盖更有可能是偶然的。”

尽管如此，他写道，“无论是出于蓄意的恶意，还是意外的编码失误，这都不是很好。由于文件大小要求较低，将会有更多的文件被覆盖和丢失，而且会有很多非常愤怒的人在受影响的组织。”

第三方风险管理供应商共享评估北美指导委员会主席 Nasser Fattah 表示，Onyx 操作提醒了受勒索软件侵害的企业。

“与所有勒索软件攻击一样，即使攻击者提供了‘正确’的解密密钥或防止进一步的相关问题，也无法保证受害组织能够重建其数据，”Fattah 告诉The Register。

“因此，提前采取准备措施非常重要，包括主动备份、网络卫生，以及遵循 [美国网络安全和基础设施安全局] 勒索软件指南等最佳实践。

这是勒索软件组织违反博伊德所说的与受害者建立的“信任圈”的最新举措。勒索软件是一种出于经济动机的攻击，其目标是获得资金。

而且有钱可赚：Palo Alto Networks Unit 42 威胁情报小组表示，2021 年的平均赎金需求达到 220 万美元，同比增长 144%。

如果勒索软件操作因在付款后不解密文件而享有盛誉，受害者可能不太可能支付赎金。也就是说，近年来，威胁组织已经向受害者施加了压力，威胁要再次攻击同一家公司，如果它没有第一次付款的话。

现在还存在双重和三重勒索威胁，黑客不仅会加密数据，还会窃取数据，并威胁在不支付赎金的情况下公开披露数据，并将攻击告诉受害者的客户和合作伙伴。一些团体还威胁要删除或覆盖数据，使其无法检索。Malwarebytes 的 Boyd 指出，现在 83% 的成功勒索软件攻击是双重或三重勒索操作。

在今年之前，这种信任圈就已经破裂了。两年前，Conti 和 Maze 等勒索软件组织开始发布一些数据，即使支付了赎金，Boyd 指出，到 2021 年，只有 8% 的勒索软件受害者获得了返回的数据。

他写道：“在 2022 年，任何来自勒索软件作者的期望或信任假装都已经消失在迷雾中，再也不会回来了。” “勒索软件现在太大而且太笨重，无法真正理解预期的操作。我们可以预料的是，即使在支付了赎金之后，勒索仍然会继续。”

勒索软件环境更加不可预测，勒索软件即服务使技术不高的不良行为者能够发起复杂的勒索软件攻击，而附属机构基本上自行行动，而很少考虑主要群体的意图。

博伊德写道，所有这一切都在改变企业的方程式。即使支付了赎金，网络犯罪集团也不太可能让公司独处，因为那里有如此多的数据和如此多的方式从中获利。

“它已经到了付钱都无所谓的阶段，这很自然地引出了一个问题：为什么要付钱？” 他问。“您无法围绕抛硬币计划您的数据恢复和事件谈判，但这就是我们目前所处的位置。”

博伊德写道，继续依靠勒索软件团伙来兑现他们的承诺，即即使付了钱也能完好无损地返回数据变得越来越困难，并补充说，“粉碎和抢夺策略很可能最终演变成粉碎，抢夺是可选的。”