俗话说“法网千疮百孔,万事不漏”,但法网似乎与今天的在线犯罪网络。勒索病毒作为密码学技术的无心之果,近年来席卷互联网,让从网民到各国政府的每一个人都心惊肉跳。勒索病毒侵入受害者的系统和主机后,扫描并加密特定类型的文件,勒索受害者的筹码也从“解密”这些文件演变为“泄密”而不付钱。昨天万圣节的捣蛋主题。只能通过编写破坏性病毒来“一展身手”的黑客们,在这波浪潮下找到了变现的途径。一个必要的机会是加密货币的流通。以比特币为代表的加密货币本质上是匿名的。通俗地说,即使交易链接和历史完全公开,交易信息中的钱包地址和背后的真实世界的人(在网络空间,“人”基本等同于IP地址),也没有任何关联和关联可追溯性。由于难以定位和检查,敲诈勒索犯罪的始作俑者高枕无忧。德国时间28日,德国周报在线(ZEITONLINE)网络版刊登编辑凯·比尔曼:《Coremember of ransomware gang identified》的文章,整理巴伐利亚广播电台相关报道,公开定位追踪一名重要成员臭名昭著的REvil勒索组织和确认过程。在此,我们特意根据公开信息进行梳理和解读,为读者呈现一个有些巧合却又不可避免的故事:一个技术上完全匿名、无法追踪的罪犯,如何通过“炫富”被揭穿。背景:REvil和“??现代”勒索软件当我们将勒索软件攻击背后的隐形人统称为“敲诈勒索组织”时,我们高估了故事中主角的能力,同时也低估了勒索犯罪黑产业的成熟度。以文件加密为核心的勒索行为本质上只是在完成了复杂的漏洞分析、爆炸渗透、横向移动和攻击持久化的完整入侵环节后,进行的简单的后入侵行为。一个犯罪组织独立完成一系列完整的操作,这对技术综合性要求很高,包括目标选择、广泛传播的技术、历史和最新漏洞,甚至0day漏洞的整合利用和迭代系统工程,但一定程度上在其他换句话说,它也是一种传统的、模板化的体力劳动。在高额利润的驱动下,勒索软件进入了产业分工合作,形成了所谓的“勒索软件即服务”(RaaS)形态。传统上专门从事入侵的组织是勒索软件直接攻击的主体,而勒索软件则由专门的组织提供武器和弹药;因此,勒索软件开发者专注于改变技术和代码的组合,以确保弹药的持续有效性,甚至不被宿主的最后一道防线如杀毒所察觉;作为不直接发起攻击的后台,他们完全隐藏在浓雾之后,坐拥买家成功勒索的赎金份额。在某些情况下,情况甚至更加复杂:勒索软件开发者与攻击黑产品之间存在所谓的“代理人”,在黑市充当中间人,隐藏交易双方,同时加强传播供求关系。在RaaS模型中,勒索活动和组织不能简单地根据使用的勒索软件进行分类,因为可能有多个组织购买相关软件,同一个供应商和攻击者可能换用完全不同的弹药。后端看不到的勒索软件供应商定位取证也成为一项重要但几乎不可能完成的任务。REvil就是这样一种勒索软件产品。不同时期发现这个家族的反病毒机构对它有不同的称呼。其他名称包括Sodinokibi和其他名称。同时,不排除与其他一些科如Gandcrab同源的可能。据信,与单个狭义病毒家族样本相关的勒索软件攻击在全球范围内赚取了超过数十亿。攻击目标没有明确类型,包括政府机构、非营利组织甚至医疗机构。亮线:若隐若现的嫌疑人ZeitOnline的提要中,作者迫不及待地呈现出对目标嫌疑人的种种疑惑,给人一种“还有谁”的感觉,但我们不妨从积极的一面。什么样的证据链和嫌疑网。首先,虽然每一笔比特币交易的信息都是公开的,但并不是所有的勒索攻击受害者,即使是支付了赎金的人,都会选择上报自己的受害者信息,因此无法清楚地描述受害者和攻击载荷文件。勒索组织与比特币钱包地址的对应关系。2019年,德国斯图加特一家剧院遭到Gandcrab勒索软件攻击,据信支付了价值15000欧元的赎金,并且有证据证明Gandcrab勒索软件就是REvil的前身。根据这笔比特币交易,疑似敲诈勒索组织比特币钱包地址的第一条微弱证据。根据钱包地址,调查人员找到了一个发布该地址的Telegram即时通讯应用程序帐户,该帐户与一个位于俄罗斯的手机号码相关联,该号码是与某些特定网站关联的大量手机号码之一,也是他们或多个网站的注册信息给出了一个电子邮件地址。证据链反复推演到这一步,每个环节都形成了由多个不可靠分支组成的迷雾;在最后一步,已经收集了大量可能派生出的可疑邮箱,这个邮箱地址值得注意——它被一位俄罗斯用户在社交媒体上链接起来,这导致了报告中的主角:NikolayK.(化名)。但是,仅凭目标国籍和相关信息的匹配,疑点重重,显然无法得出令人信服的结论;在每一起网络犯罪案件中都可能构建这样一个证据网络,并且必须将其存档和密封。暗线:“这里有三百两银子。”在锁定包括NikolayK.在内的嫌疑人后,调查人员可以收集足够的证据以合理的成本进行确认或伪造。对于阴暗的从业者来说,这样的证据几乎肯定不会留下任何痕迹;这就是本案的戏剧性所在。根据目标人的画像,NikolayK.和他的妻子住在俄罗斯南部的一个小镇上,他们唯一的合法收入来源是城里一栋相对较新的建筑里的小酒吧,装修简单,主要是服务体育博彩。与如此简单甚至佛系的生活方式形成鲜明对比的是,NikolayK.的住所拥有游泳池,还配备了一辆宝马超级跑车——而这只是现实中的冰山一角。在社交媒体上,NikolayK.和他的妻子炫耀着他们超奢侈的生活方式。他的个人账户并未公开,只是表达了他对数字加密货币近乎宗教的信仰。但他的妻子叶卡捷琳娜K.似乎并不满足于高消费的肉欲:她社交媒体上的花花世界从迪拜的五星级酒店,到黑海的克里米亚半岛,再到马尔代夫;最新一段视频显示了两人在土耳其南部沿海城市安塔利亚举办的豪华游艇派对。仅游艇一天的租金就高达1300欧元。虽然NikolayK.本人在网络世界中可能有意识地低调,但在他妻子广泛的个人资料中,他穿着GucciT恤和太阳镜,并且痴迷于BMW跑车。尤其值得注意的是,从几个月前开始,他就一直佩戴着价值至少7万欧元的奢华手工VanguardEncrypto腕表。支撑着这极其奢侈又无迹可寻的巨额财富,让他备受怀疑。而这块价值7万欧元的手表成为调查人员最终确定NikolayK.为关键嫌疑人的证据。因为VanguardEncrypto定制的第一个噱头就是在表盘上激光蚀刻拥有者比特币钱包地址的二维码。如此极客土豪,赤裸裸地发誓说,NikolayK.以从加密货币中攫取财富为荣。至于涉及加密货币的黑产交易中匿名带来的线上线下连接难问题,似乎很容易解决:一旦身陷其中,只需要转动他的手腕,一切都是谎言雾就会消失。将不再有效。毕竟,到最后,嫌疑人内敛却依旧泛滥的炫富欲,变成了一声“给三百两银子”的喊叫声。追问:那有什么办法呢?在上述证据链形成后,调查人员和涉案调查记者通过社交网络联系到了性格古怪的尼古拉·K.,以求证实他们的怀疑。具体的暂定消息我们不得而知,但后者很快在社交媒体上撤回了个人信息:这将目光牢牢锁定在他的头上,但同时也难免惊蛇。报道称,此次调查持续了相当长的时间。据信,尼古拉·K.曾在2020年前往土耳其一次,至少是在澄清了对目标的怀疑之后。然而,不知何故,德国警方并没有从土耳其引渡和逮捕他。NikolayK.仍然逍遥法外,虽然记者显然仍在等待他下一次前往与德国有引渡条约的国家的旅行,但这种情况再也没有发生过-特别是在REvil的基础设施遭到破坏之后,这本可以让双方和这次让警方都兴奋不已的旅行可能再也不会发生了。上图是NikolayK.在社交媒体上发布的照片??。德国警方在土耳其安塔利亚找到了他的下落。虽然德国和土耳其之间有引渡条约,但遗憾的是他最终并没有被成功逮捕。这张照片也是NikolayK.社交软件的头像。当他嗅到被调查的风险时,他删除了所有照片。尽管在这起案件中,侦查人员几乎中了彩票,将无法定位的嫌疑人联系起来,但他的持续逍遥法外仍然火热地提醒着这个跨国网络的极端复杂性。逮捕太空犯罪嫌疑人是一项多么艰巨的挑战。铲除敲诈勒索团伙人员,铲除祸害的预期效果并没有出现,但我们还是看到了国际社会的一些合作和进步。据路透社10月21日报道《EXCLUSIVEGovernments turn tables on ransomware gang REvil by pushing it offline》,在多方行动中,REvil组织的服务器基础设施被“反制”入侵控制,勒索网站、支付渠道和服务被迫下线。官员和安全专家称这是一次“重大而毁灭性的行动”。然而,类似的反制措施在7月13日成功实施,该组织的网站和支付渠道被迫下线;不久之后,REvil就能够恢复和更新迭代。对于这些以隐藏自我、不断更新生活为核心能力的犯罪对象来说,似乎在其人员未被逮捕或赚大钱洗白之前,反制和打击就变成了“杀不死他,这只会让他变得更强大。”可以说,各国政府、安全行业和勒索组织之间的攻守,已经进入了无法快速解决的拉锯战局面,打击趋同问题需要持久的投入.在决定性的方法和情况出现之前,我们仍然需要向所有依赖在线基础设施和资产的个人和企业用户明确:永远相信没有不能被打破的系统,你的系统不可能是最强的他们只有采取任何可信的保护系统和机制,并实时关注您的安全建设和最新的安全状况,才能降低您成为下一个勒索软件受害者的“几率”。参考索引文章引用ZEITONLINE媒体原文报告,见:《Core member of ransomware gang identified》来源:https://www.zeit.de/digital/internet/2021-10/ransomware-group-revil-member-hacker-russia-investigation
