勒索软件组织最大的敌人是谁?虎视眈眈的执法机构还是愤然反击的企业安全团队?答案可能出乎你的想象,如今勒索软件组织最惧怕的是同行/同事内卷或反水。
在最近的一系列勒索软件调查中,由于同事的“举报”,一些臭名昭著的勒索软件组织成员的敏感信息被大量泄露。这给勒索软件组织提出了一个重大难题:如果连同事都不能信任,你还能信任谁?
以2019年勒索软件组织REvil为例。当时,REvil已经入侵了德克萨斯州的数百家牙科诊所和十几个地方政府。负责调查该事件的网络安全公司McAfee(现在的Trellix)的安全研究人员收到一封来自REvil内部人士的匿名举报电子邮件,举报者显然对REvil的管理层相当不满。
Trellix威胁情报负责人兼首席工程师John Fokker上个月在一篇博文中透露,REvil勒索软件组织的内部人士透露了有关该组织的策略、程序和运营的信息。Trellix随后与执法部门分享了这些数据,这让执法部门“欣喜若狂”,因为这些信息有助于他们对REvil的调查。美国和欧洲警方随即对与REvil相关的黑客展开突袭、指控,并没收加密货币。
据Trellix透露,告密者最初要求获得经济奖励,但Trellix不会向网络犯罪分子支付信息费用。但美国政府去年提供了高达1000万美元的信息费用,悬赏能够帮助逮捕REvil领导人的信息。
事实证明网络犯罪分子并无操守可言,如果能够获得利益,他们完全不介意出卖同行或者同事。REvil的“内鬼”事件在勒索软件行当绝不鲜见。
去年,Conti勒索软件组织的一个心怀不满的加盟机构(曾入侵爱尔兰的医疗系统)泄露了一份Conti分发给加盟机构的内部培训手册。
在Conti表态支持俄罗斯在乌克兰的“特别军事行动”之后,一个匿名的推特账户泄露了该组织内部的大量内部聊天记录,让安全研究人员和执法机构首次窥见该组织的内部运作机制。
据CNN报道,泄密黑客是一名乌克兰研究人员,长期以来一直拥有Conti系统的访问权限。
大约在同一时间,另一个Twitter帐户泄露了Trickbot组织的内部消息,该组织与Conti有关联。据《华尔街日报》报道,该泄密事件背后的研究人员也自称是乌克兰人。
类似的,勒索软件组织Lockbit和Babuk也曾被“自己人”泄露内部工具。
专家指出,勒索软件组织的信息泄漏有多种原因。Recorded Future高级安全架构师Allan Liska指出,一些大型勒索软件组织很快赚了很多钱,但并没有善待他们的加盟机构或承包商。此外,一些勒索软件组织还就地缘政治事件发表了“站队”声明,面临来自美国和其他执法机构的压力。
Liska指出,勒索软件组织的管理者大多是二三十岁的年轻人,缺乏管理经验,不知道如何管理一个大型组织。
Emsisoft威胁分析师Brett Callow则认为,勒索软件组织自身很容易受到渗透。“如果执法部门没有渗透到一些团体,我会感到惊讶,”他说:“如果网络安全研究人员没有这样做,我同样会感到惊讶。”
勒索软件组织的犯罪分子往往缺乏必要的安全意识,经常无意间泄露敏感信息。例如今年,委内瑞拉心脏病专家Moises Luis Zagala Gonzalez涉嫌开发散布勒索软件工具被捕,检察官发现他作案时使用的电子邮件帐户和支付服务居然与他的真实信息相关。
Liska说,一些勒索软件组织往往自视过高,甚至不屑采取预防措施来隐匿行踪和身份。
在另一个案例中,研究人员发现一名伊朗勒索软件黑客在勒索信中署上了真名。
通讯地址:北京市海淀区海淀南路甲21号中关村知识产权大厦A座2层206、207室 邮政编码:100080
电话:010-62565314 刘莉 京ICP证16064523号-2 版权所有:北京软件和信息服务业协会
技术支持:中科服 内容支持:鑫网安