全球勒索软件团伙准备大举集结报复美国？

本期关键词：勒索软件 美国 网络攻击

勒索攻击已成为全球企业和组织面临的严重威胁之一。不少企业因为勒索软件攻击付出了惨重的代价，不仅要支付赎金，还严重影响了企业业务和品牌价值。为了应对日益严峻的勒索攻击形势，遏制勒索攻击蔓延，美国一方面不断打击勒索软件组织，另一方面加紧制裁加密货币交易所。2021年10月13日，美国邀请30多个国家举行了线上反勒索联盟会议，会后即向REvil勒索软件开火。路透社10月21日报道称，在美国联邦调查局、美国特勤局、美国网络司令部，以及其他国家相关组织的联合打击下，恶名远扬的勒索软件组织REvil已经下线。这些行动激怒了其他勒索组织，另一著名勒索组织Groove发文呼吁共同联合起来对抗美国，加大对美国公共设施的攻击力度。

图片来源于网络

REvil被美国政府打垮

REvil是当前知名度最高的网络勒索组织之一，今年7月，其利用IT服务软件供应商Kaseya的漏洞向托管服务商实施大范围供应链攻击，导致购买IT托管服务的数千家美国企业的百万台生产设备被加密。

勒索事件发生后，REvil开出7000万美元的天价赎金，虽然不久后将赎金下调至5000万美元，但该攻击仍被认为是迄今为止最大规模的网络勒索事件，REvil名噪一时。据美国安全部门人士透露，REvil在其勒索组织威胁性名单上位居首位。

高调的行事风格也使得REvil成为重点打击对象，不久后美国就对其展开反制措施。今年7月13日，REvil的支付渠道和数据泄露站点首次失效，但两个月后该网址又重新恢复访问，新的REvil勒索软件也再次出现在人们的视野中。

10月13日，面对日益猖獗的网络勒索，美、法、德等30余个国家代表承诺将开展联合行动打击软件勒索行为，而本次REvil在死灰复燃两个月后再度被封，也被认为是打击行动取得初步成效。此前，美国政府高层人士曾表示，勒索软件对关键基础设施的攻击应被视为与恐怖主义同等的国家安全问题。

有意思的是，“提前备份”一直被认为是免受勒索软件攻击的最佳方式，因为受害者如果可以从备份中恢复系统，就不必向勒索组织付费来获取解密密钥。勒索软件攻击者也清楚备份的重要性，所以通常通过破坏受害者的备份，让受害者无计可施乖乖交钱。而这一次，美国政府和合作伙伴以其人之道还治其人之身，破坏了REvil的备份，让REvil这个偷袭者感受到了老巢被端的滋味。

美国此番拿下REvil勒索软件组织，颇有些杀鸡儆猴的意味。受此消息影响，其他勒索软件组织人人自危。仅10月22日，各勒索软件组织就转移了大约107个比特币。之所以确定是勒索软件组织所为，是因为此次比特币转移是分割成小份进行的，而执法机构通常的做法是直接将比特币转移，一般不会进行分割。据区块链公司Elliptic披露，曾策划攻击美国最大油气管道运营商克洛尼尔公司而造成东海岸各州供油网络被迫关闭的勒索集团Darkside，已通过小额转换的方式转移了其持有的700万美元比特币。

图片来源于网络

Groove呼吁“团结起来，共同对抗美国”

以攻击美国医院打响知名度的Conti勒索组织称：“美国针对REvil服务器的攻击行为提醒了我们一件显而易见的事：美国在世界事务中不断展开单边、域外和强盗行为。美国的50个州有任何一条法律可以认定这次对REvil服务器的攻击是合法的吗？勒索软件才是真正的受害者！猜猜有史以来最大的勒索软件组织是谁？就是你们美国的联邦政府！”

Groove勒索组织则发文呼吁，勒索软件之间应停止竞争，共同联合起来对抗美国，加大对美国公共设施的攻击力度。该勒索软件组织在其用于泄密的网站上用俄语发布了一条这样的消息：“在美国政府联合其他国家对我们进行打击的困难时期，我呼吁所有的合作伙伴停止竞争，团结起来共同攻击美国公共部门，以此报复美国对勒索软件组织的制裁。”该消息还称，勒索软件组织应停止对俄罗斯等国家的攻击，避免被全球所有的国家共同打击，为勒索软件组织保留一些安全的场所。

Groove组织发布消息呼吁报复美国

威慑攻击者，遏制勒索软件传播

关闭僵尸网络、追回勒索赎金、逮捕涉案黑客，美国采取多种方式追杀勒索软件。

微软关闭Trickbot僵尸网络。 Trickbot僵尸网络提供恶意软件即服务功能，成为部署各种勒索软件，锁定公司网络上受感染系统的可靠工具。

去年10月，微软公司接管Trickbot僵尸网络后端的方式也颇为神奇，据美国媒体报道，微软直接拿起了法律武器，指控Trickbot僵尸网络滥用微软商标，触犯了商标法。

弗吉尼亚州的法院接受了该起诉，并授权微软接管Trickbot僵尸网络的网络服务器控制权。然后微软与安全网络组织合作，破坏了Trickbot的后端基础架构，Trickbot僵尸网络的运营者将无法再发起新的网络攻击或者激活那些已经入侵了企业网络里的勒索软件。这些安全组织包括著名的全球金融服务信息共享分析中心FS-ISAC、全球性的计算机安全软件提供商ESET、网络威胁研究实验室Lumen's Black Lotus Labs、日本电报电话公司NTT、博通公司的网络安全部门Symantec等。

在微软的“商标行动”之前数日，美军网络司令部也针对Trickbot发起了一波攻击，向所有受感染的Trickbot系统发送了一条指令，让这些设备与Trickbot主控服务器断开连接。美军网络司令部对Trickbot的攻击持续了大约十天，期间还将数百万条虚假的新受害者记录填充到Trickbot数据库中，以迷惑僵尸网络的运营者。

微软安全团队关闭了全球128台TrickBot基础设施的服务器中的120台。另外，在目前已经确定的69台主要 Trickbot服务器中，有62台已经被关闭。未能关闭的7台服务器被描述为物联网设备。这些系统无法立即关闭的原因是它们不在网络托管公司和数据中心内，而且无法联系到设备所有者。

美国司法部追回输油管事件的勒索赎金。2021年5月初，黑客组织DarkSide入侵了美国科洛尼尔油气管道运输公司网络，并且成功索要到赎金。不过事件很快出现了大反转，美国司法部6月7日发布公告称，调查人员追回科洛尼尔公司先前向黑客支付的总价大约230万美元的比特币。美国联邦调查局获取了解锁一个比特币钱包的私人密钥。这个比特币钱包接收了科洛尼尔公司支付的大部分赎金。根据美国司法部副部长丽莎·摩纳哥（Lisa Monaco）介绍，联邦调查局追回了63.7枚比特币（总赎金约为75枚，占比85%）。

最令外界关注的是联邦调查局如何获得有关账户的密钥。根据联邦调查局的一份书面证词，执法人员使用了区块链账簿的实时监控工具，追踪比特币的数笔交易，首先确认了DarkSide接收赎金的地址，随后，联邦调查局获取了密钥，直接从DarkSide的账户里转走了63.7枚比特币---有个细节是，这个账户里其实有69.6个比特币，但联邦调查局判断与黑客赎金案相关的只有63.7个，因此只转走了63.7个比特币。

据悉，成功执行此次追索任务的是美国司法部为打击勒索软件而新成立的特别队伍---“勒索与数字敲诈工作组（RDETF）”。本次任务是这个新成立小组的首次行动。

这一行动说明，联邦调查局可以通过搜查美国基础设施的最底层信息，以及综合利用美国各种IT服务供应商的共享信息，来获取全球任何一个组织的最隐私信息。

图片来源于网络

两名REvil勒索软件运营者在乌克兰被捕。在一次国际联合执法行动之后，一个勒索软件团伙的两名成员在乌克兰被捕。逮捕行动于2021年9月28日在乌克兰首都基辅展开，由乌克兰国家警察在法国宪兵队、美国联邦调查局、欧洲刑警组织和国际刑警组织的协助下实施。

根除勒索攻击任重道远

较早的主流勒索软件是非定向传播的，带有数据加密和删除功能的蠕虫病毒依靠网络或U盘大面积感染计算机，但勒索赎金额度较低。此后勒索攻击与高级持续性威胁攻击相结合，演化出针对高价值目标的定向勒索，并形成了勒索软件即服务的作案模式：上游团伙编写勒索软件并提供设施，下游团伙则负责攻击投放，上下游收益分成。黑客网络由勒索软件供应商、赎金谈判人员、攻击执行人员等组成。

美国联邦调查局的官员今年7月曾表示，该机构正在追踪100多个活跃的勒索软件团伙。但因为黑客往往来无影去无踪，约有一半的案件都将无法找到确切归属。应对勒索软件威胁的关键是做好事前防御，政府应引导关键基础设施运营方进行有效防御能力建设。在国际层面，各国应就打击国际化网络犯罪增强互信，加强应急响应协作和信息共享。

（参考来源：国内外网络安全网站）