试图潜伏全球顶级勒索团队揭秘调查细节

文章来源： 红数位

在一次秘密调查中，一名CyberNews研究人员欺骗了国际顶级勒索软件运营商，揭露了他们的勒索支出结构，兑现计划和目标收购策略。

以下全文：

从几年前的相对罕见威胁到如今成为网络犯罪分子的最大赚钱者之一，勒索软件的迅猛发展为各种规模的企业带来了焦虑的阴影。 

随着勒索软件即服务的引入，采取行动的准入门槛进一步降低了。事实上，勒索软件组织正试图通过在黑客论坛上招募新成员来解决他们的“劳动力短缺”，而在黑客论坛上，老兵和新兴网络犯罪分子都经常光顾。但是，网络犯罪分子并不是唯一的犯罪分子。 

安全研究人员（包括CyberNews在内的我们）还定期访问黑客论坛以获取威胁情报。正如我们在这次调查中发现的那样，此类访问可能对所有参与人员造成意想不到的后果。

早在2020年6月，我们在一个受欢迎的黑客论坛上收集情报时，偶然发现了一个看似由勒索软件组织发布的特殊招聘广告。为了从勒索软件运营商的角度收集有价值的见解，我们决定冒充俄罗斯网络犯罪分子，并回答了有问题的广告。 令我们惊讶的是，我们被邀请到一个私人qTox聊天室进行“工作面试”，该人声称与一个臭名昭著的勒索软件有关。在那儿，我们遇到了威胁参与者，据称这些威胁参与者负责运行勒索软件联盟运营超过10年。

接下来是我们如何回答伙伴关系问题的故事，以及我们在采访REvil和Ragnar Locker勒索软件组织的一个附属组织时发现的故事。 

关于这次调查

为了进行调查，我们的一名安全研究人员在一个受欢迎的黑客论坛上以一个经验丰富的网络犯罪分子的身份回答了勒索软件的附属广告。通过与潜在的犯罪伙伴进行交谈，研究人员试图了解威胁行为者使用的结构和技术，以及他们过去和将来的目标。

勒索软件卡特尔在犯罪中寻找合作伙伴

2020年6月，一个名为“未知”的用户在一个受欢迎的俄罗斯黑客论坛上提交了一篇颇为奇特的帖子，希望人们加入他们的“会员计划”。在犯罪软件即服务的世界中，“从属”是指使用另一威胁行为者提供的恶意工具对所选个人或组织实施网络攻击的一种手段，以牟取暴利。

使得该特定帖子在您典型的犯罪软件即服务广告中脱颖而出的原因是，它似乎来自世界上最臭名昭著的勒索软件组织之一REvil（也称为Sodinokibi）。REvil臭名昭著，因为它是第一个使用所谓的“双重勒索”策略的勒索软件即服务组织，借此该组织（或其“关联公司”之一）进行攻击并将公司锁定在自己的文件之外，然后通过威胁将被盗数据出售或拍卖给其他网络罪犯，从而给所有者带来了额外的动机来支付赎金。

苹果发布会前遭勒索1亿美元，产品蓝图或被盗，就是此团队所为。

有趣的是，这是在2020年6月的某个时候-这个故事发生的时间-REvil在开始拍卖从一家加拿大农业生产公司偷来的，拒绝支付赎金的数据时，首次使用了双重勒索手段。

交易条款

发帖背后的潜在大人物并不是唯一引起我们兴趣的东西。约定的条款似乎也很诱人。根据广告，联盟会员如果被接受，将获得成功支付的赎金的70％至80％，而REvil自己将保留其余20％至30％的赎金。

显然，这个报价很好，看上去甚至太好了以至于无法实现。那么，潜在的犯罪合作伙伴如何确定广告是由REvil组织的实际代表发布的，而不是由骗子，安全研究人员或秘密刑警组织发布的？好吧，那就砸钱说事，似乎该帖子的作者说得很6：

为了证明职位发布是合法的，招聘人员公开将价值100万美元的比特币存入了他们的论坛钱包。 

在大量存入之前，过账引起了我们的好奇心。现在，它引起了我们的注意。 

-你是黑帮吗？-不，我们是RU人

令人惊讶的是，拥有正确的技能和经验只是申请过程的一部分。招聘人员坚持认为，潜在的合作伙伴还必须是说俄语的人。

为了清除冒名顶替者，勒索软件帮派将通过询问候选人有关俄罗斯琐事的知识，从而确定候选人的身份，包括俄罗斯和乌克兰的历史以及“无法用谷歌搜索”的民间/街头知识。自然，我们接受了挑战。

那么，我们能否成功地扮演一个经验丰富的俄罗斯威胁演员？我们能否接受一群网络犯罪分子的面试？我们可以从该勒索软件联盟运营中学到什么？

不用说，我们等不及要找出答案。 

进入

注意：与勒索软件操作员的原始通信是用俄语进行的，因此，本文已将其翻译成英文。

决定回答广告后，我们冒充有兴趣与勒索软件运营商合作。我们在qTox上向他们发送了联系人，qTox是一种聊天应用程序，由于它在Tor上使用对等聊天协议而受到黑客欢迎，并等待着他们的到来。

几天后，我们收到了来自未知用户的消息：

他们问我们是否是我们在黑客论坛上发布了答复，并要求我们将其添加为朋友。接受他们的朋友请求后，我们被添加到一个聊天室，在聊天室中有一个其他人在场。 

两人都使用模糊，无法识别的昵称（其中一个只是表情符号），尽可能少地透露背后的人的信息：这是网络犯罪分子中根深蒂固的传统，其社区以其不信任和怀疑的文化而闻名。

从随后的对话中，我们可以发现这些人属于隶属于REvil和Ragnar Locker组的黑客组之一。

威胁参与者解释说，他们正在与Ragnar Locker（一种流行的勒索软件套件，针对运行Microsoft Windows的设备部署）一起合作，并且该团队已经有四个活跃成员。如果我们能够被接受加入，我们将成为该团队的第五名成员。

在提供了我们虚假的回答之后，Emoji试图吹嘘该组织所谓的最大的赎金支出：高达1800万美元。一旦Ragnar Locker拿了30％的赎金，该组织就将剩余的70％赎金瓜分，每个成员拿走约250万美元的$。

根据另一位威胁者的说法，该组织在漫长而传奇的11年职业生涯中得到了“完美的声誉”的评价。 

当我们讨论了各种技术和作为团队新成员将提供的技能时，对话又进行了一段时间。这些小细节必须隐去。 

简而言之，威胁行动者对我们是否会“清除coba”感兴趣，这意味着他们在入侵后的开发阶段使用了Cobalt Strike。Cobalt Strike是渗透测试人员和红色团队用来评估漏洞和测试其系统的合法威胁仿真工具包。 

另一方面，Cobalt Strike由于其灵活性和易用性，还被网络犯罪分子（包括勒索软件运营商及其附属公司）广泛使用。该工具包具有所谓的信标，可为攻击者提供许多功能，例如远程执行代码，特权升级，网络上的横向移动等。 

兑现

在涉及技术方面（短暂）之后，我们与威胁参与者的对话变成了金钱方面。就是说，我们如何从成功的勒索尝试中获得加密货币（由于难以追踪，比特币约占勒索软件支出的98％），然后如何将其转换为传统货币。

显然，网络罪犯在与一家加密货币交易所内部人士联系，专门从事货币匿名化，将帮助我们安全地兑现（甚至洗钱）我们未来的赎金支出。

有人告诉我们，如果我们想轻松地兑现我们未来的“收益”，我们将在那个加密货币交易所开设一个账户，将我们的赎金支付在那里，然后将其分多次转换为100万美元的“小额”分期付款。这样做是为了避免引起怀疑或影响加密货币市场上的比特币价格，而这可能会对突然的大量抛售产生负面反应。 

一旦将全部数百万赎金支付到加密货币交易所并以美元出售，内部联系人便可以将其转换为现金，并以匿名方式将其交付给我们选择的地点-收取4％的费用。 

有趣的是，建议的现金提取量也是每次交付100万美元，大约10公斤（约22磅）。根据威胁行为者的说法，超过10公斤的任何东西都难以亲自运输，更不用说非常不安全了。

在漫长的来回过程中，我们还尝试获取有关该组织过去的出路的一些信息。当被问及以前的目标时，表情符号昵称人员守口如瓶，不想透露任何有罪的内容。

由于未能让表情符号昵称人员揭露该集团过去的罪行，我们随后继续讨论了如何从该集团在加密货币交易所的内部联系人中兑现我们未来的“收益”的细节。

面试接近尾声时，我们决定看看我们的面试官是否不是在谈论他们的赎金兑现计划。在短暂访问威胁参与者表示的交易所之后，我们得出了一个令人震惊的结论：他们一定是在讲真话。

…结束？

在我们访问了加密货币交易所之后，威胁行动者已经开始讨论勒索软件部署的几个潜在目标，并要求我们帮助他们对他们进行攻击。不用说，我们不会那样做。

在我们停止与小组的所有通信之前，我们设法搜集了有关这些威胁行为者的一些要点： 

• 他们会在很长一段时间内仔细选择目标，优先考虑那些对日常运营影响最大的公司。

• 该组织在袭击前进行了特别彻底的准备，包括研究受害者的经济状况并估计他们支付赎金的可能性。

• 威胁行动者通常在目标公司人员离开办公室后的星期五晚上开始攻击。这些攻击在整个周末持续进行，由于本地没有网络安全人员或网络管理员，因此被检测到的可能性大大降低。

防范勒索软件攻击

根据这些发现，我们对希望避免受到勒索软件帮派攻击的企业的主要建议是，通过验证公司内部或外部的所有传入连接来采用零信任安全策略。  

另一个至关重要的最佳实践是确保定期备份公司数据，以免业务运营受到勒索软件攻击的干扰。

但是，被动对策只是解决方案的一部分。企业还需要采取积极主动的策略，其中包括：

• 阻止恶意网站并过滤允许的文件类型，以防止恶意软件被传递到公司设备

• 保持软件最新，启用2FA并使用安全的VPN 保护具有远程访问权限的设备

• 修补VPN，防火墙，防病毒软件，设备和基础架构，将过时的平台隔离开，以防止恶意软件通过公司网络传播。