头部勒索软件“冬天来了”？

最近，头部勒索病毒的日子越来越不好过了。甚至有业内人士认为，备受瞩目的头部勒索组织正在进入“至暗时刻”。据安全事务消息，在臭名昭著的REvil勒索软件下线两周后，勒索组织Groove发文加大对美国的攻击力度后，另一款业内知名勒索软件BlackMatter也被迫关闭由于执法机关的打压。.BlackMatter勒索团伙在其运营的勒索软件即服务门户网站上发布了这一消息，恶意软件样本网站vx-underground发布了该消息的屏幕截图和英文文本版本。“在当地执法部门的一些未解决的压力下（部分团队将在公告后解散），该项目现在下线。48小时后，整个基础设施将关闭。最后OK做什么：你可以发送电子邮件与公司进一步沟通，如需索取解密器，可在公司内聊留言“索取解密器”，最后祝大家一切顺利，合作愉快”登场即巅峰BlackMatter2021年7月下旬，BlackMatter勒索病毒高调亮相，立即成为业界关注的焦点。这个自称是Darkside和REvil的继任者，集成了DarkSide、REvil和LockBit等老式勒索软件的最佳功能。BlackMatter勒索软件最初是由RecordedFuture的安全研究人员发现的。当时，他们在暗网上发布招聘信息，开出丰厚条件招募会员，建立勒索软件即服务（RaaS）网站，并厚颜无耻地将勒索目标定为“年收入超过1亿美元。”2021年8月，BlackMatter策划并实施了一起针对VMwareESXi虚拟机平台的勒索事件。此后，BlackMatter勒索团伙先后袭击了美国、法国、意大利等国家的多家公司和组织，每次勒索赎金从8万美元到1500万美元不等。然而，在2021年10月，网络安全和基础设施安全局(CISA)、联邦调查局(FBI)和国家安全局(NSA)联合发布的一份报告详细描述了与勒索软件团伙相关的攻击策略和技术.和程序(TTP)，以及详细的操作和防御建议。这份联合报告的数据均来自第三方公司，信息可信度很高。这意味着，当时BlackMatter勒索软件已经被美国政府盯上，掌握了足够的信息。回顾BlackMatter勒索病毒从登场到谢幕，只用了不到三个月的时间。尽管曾经处于顶峰，但团队已经解散，运营已经停止，所有基础设施都已关闭。打击力度越来越大，“凛冬将至”REvil、BlackMatter等头部勒索软件相继被拿下，这也让业界闻到了一丝不寻常的味道。面对多国执法部门的高压打击，头部勒索病毒已经感受到了严冬的严寒。近年来，勒索软件攻击发展极为迅速，已成为全球企业和组织面临的重要威胁之一。许多国际大集团为此付出了惨重的代价。正因为如此，越来越多的国家选择联合起来，共同抵御勒索软件的攻击。2021年10月，美国邀请30多个国家召开反勒索联盟会议。反勒索联盟组织正式确定，随后最著名的REvil勒索软件被拿下作为祭旗，成为用来威慑的猴子。消息一出，业界震惊，勒索组织一夜之间转移了价值700万美元的比特币。这只是执法部门打击勒索软件的一个缩影。10月26日，乌克兰与瑞士联合展开勒索执法行动，突击搜查某勒索组织据点，逮捕12人，缴获现金5.2万美元、豪华轿车5辆及部分电子设备。据悉，该勒索组织自2019年以来已攻击超过18000名受害人，涉及70多个国家/地区。曾策划袭击美国Colonial油气管道的DarkSide勒索软件也在2021年5月上旬败给美国执法部门。该勒索团伙发表声明称，由于美国执法部门的严厉打击，他们已经无法通过SSH访问其公开的数据泄露网站、支付服务器、CDN服务器和主机接口。因此，所有尚未付款的公司都将获得解密工具，并承诺在2021年5月23日之前偿还所有未偿债务。有趣的是，他们在5月初因袭击Colonial油气管道而获得的巨额赎金中的大部分是也被美国司法部门追回（赎金总额约75个比特币，追回63.7个比特币，约占战斗的85%）。据美国司法部称，收到赎金的地址是通过跟踪比特币交易确认的。随后，FBI获得了密钥，直接从DarkSide的账户中转出与赎金相关的63.7比特币。国际巨头集团也对勒索病毒展开了封锁。例如，2020年10月，微软关闭了Trickbot僵尸网络。随后微软与安全网络组织合作，破坏了Trickbot的后端基础设施，Trickbot僵尸网??络的运营者将无法再发起新的网络攻击或激活已经侵入企业网络的勒索软件。2020年底，微软、迈克菲、思杰等19家与安全相关的安全软硬件公司联合成立了反勒索软件工作组（Anti-RansomwareTaskForce，简称RTF），希望通过建立更完善的反勒索软件技术标准来对抗威胁。由此可见，与敲诈勒索组织的对抗会越来越激烈，越是高调的敲诈勒索组织，越会受到执法部门的打压。这种打压不仅仅来自单一国家，国家间跨区域联合行动将成为常态。在这样的情况下，勒索病毒会得到有效的遏制，尤其是对于有影响力的顶级勒索组织，因为它们会出现在联合打击的名单上，一旦被抓到，很可能会因此而凉凉。随着打击力度的不断加大，敲诈勒索组织的运营成本和风险也直线上升。再加上越来越严厉的司法处罚，对敲诈勒索组织的成员来说是一个很大的震慑。如今，虽然顶级勒索组织面临“寒冬将至”之势，但我们必须清醒地认识到，指望勒索病毒从此消失并不现实。相反，我们应该像《权游》里的台词，“从现在开始看”。网络空间的攻防对抗就像矛与盾的关系：矛越锋利，盾牌的防御等级也越高；反之亦然，当盾牌变强时，长枪也会随之进化。因此，对于勒索病毒攻击，我们需要保持常态化的防御机制，时刻保持警惕，否则勒索病毒攻击一定会以意想不到的方式给全球企业一个大大的“惊喜”。参考来源：https://securityaffairs.co/wordpress/124135/cyber-crime/blackmatter-ransomware-shutting-down-operations.html