勒索软件在短短几年内迅速成为网络犯罪中最赚钱的生意。勒索软件即服务(RaaS)的扩展导致勒索软件运营商人手短缺。软件运营商也在黑客论坛上招聘。就在勒索团伙招揽黑客的同时,Cyber??News的研究人员也借此机会穿上了恶意黑客的“马甲”,深入敌方内部,与勒索软件运营商斗智斗勇,获取了他们之间的大量内部情报。注:以下信息由Cyber??News于2020年6月披露。当我们发现勒索软件运营商在黑客论坛上发布招聘广告时,我们决定冒充俄罗斯网络犯罪分子参与招聘。我们受邀在一个私人qTox聊天室进行采访,攻击者声称在该聊天室运行勒索软件已超过10年。Cartel正在寻找合作伙伴2020年6月,一位名为“未知”的用户在俄罗斯热门黑客论坛上发布了一份会员招募计划。在广告中,攻击者声称它是世界上最臭名昭著的勒索软件集团REvil(也称为Sodinokibi)的运营商。REvil是第一个使用“双重勒索”的攻击组织,它对数据进行加密,然后将窃取的数据出售或拍卖给其他网络犯罪团伙。有趣的是,2020年6月,REvil在开始拍卖从一家拒绝支付赎金的加拿大农业公司窃取的数据时,首先采用了“双重勒索”。Deal根据广告,如果你加入联盟计划,你将获得70%到80%的赎金,而REvil保留剩余的20%到30%的赎金。价格太诱人,谁知道这是不是骗子?还是执法机构在钓鱼执法?攻击者表示,为了证明自己真的要招募合作伙伴,他在钱包里向论坛存入了100万美元的比特币作为证据。假身份,因为攻击者坚持要求潜在合作伙伴说俄语。为了发现冒名顶替者,攻击者会询问有关俄罗斯的琐碎事情以确定候选人的身份,例如俄罗斯和乌克兰的历史,以及无法通过Google搜索的民间/街头知识。与攻击者的交流也全部用俄语进行,使用qTox聊天软件通过Tor聊天。添加好友后,我被拉进了一个多人聊天室。当时有两名攻击者在场,他们都使用了模棱两可、无法辨认的昵称,甚至还使用了表情符号。这是为了尽可能少地透露其幕后人员的信息,并让网络犯罪分子保护自己。在随后的通信中,可以看出攻击者属于REvil和RagnarLocker攻击组织。攻击者称他们正在使用RagnarLocker,这是一种针对Windows设备的流行勒索软件工具包。该团队已有四名活跃成员,加入了第五名。攻击者吹嘘说,他们收到的最大一笔赎金是1800万美元。在RagnarLocker留下30%的赎金后,剩下的70%的赎金每个成员可以瓜分250万美元。另一名攻击者表示,该组织在11年的时间里积累了完美的声誉。Ransom与攻击者就如何获得赎金进行了沟通。显然,这些不法分子与加密货币交易所的内部人员关系深厚,会帮助这些不法分子将货币匿名化并安全套现,即帮助不法分子洗钱。在加密货币交易所开户,赎金会在账户中支付,然后分批提现。这避免了引起怀疑并避免了加密货币的价格波动。大规模抛售可能会引起市场恐慌。赎金兑换成现金后,可以匿名交付到个人选择的地点,但需支付4%的费用。袭击者建议每次取款不要超过100万美元。他们认为再多的话,就会超过10公斤,不仅运输困难,而且不安全。攻击者对他们的目标守口如瓶,拒绝透露任何信息。综合各种情况,攻击者说的应该是事实,即通过加密货币交易所洗钱。后续攻击者说现在有几个攻击目标,可以马上投票(当然我们不可能这样做)。交流之后,我们也梳理了该团伙的几个攻击习惯:一般来说,他们会花很长时间来选择目标,优先考虑那些对日常业务影响最大的公司。攻击前做好充分准备,并研究受害者的财务状况以衡量赎金的数额。攻击者通常在周五下班后开始攻击并持续整个周末,由于缺乏相关人员,检测的可能性大大降低。
