近段时间,头部勒索软件的日子越来越不好过了,有业界人士甚至认为,高调的头部勒索软件组织正在进入“至暗时刻”。
据security affairs消息,在臭名昭著的REvil勒索软件下线两个星期,勒索组织Groove发文加大对美国的打击力度后,另一个业内著名的勒索软件BlackMatter也因为执法部门的打压而被迫关门歇业。
BlackMatter勒索团伙在其运营的勒索软件即服务门户网站上公布了这一消息。恶意软件样本网站vx-underground发布了该消息的截图和英文文字版。
“迫于某些来自地方执法机关的无法解决的压力(在消息发布后,部门团队人员将被解散),该项目现已下线。48个小时之后,整个基础设施将全部关闭。
最后还可以做的是:
和本公司进一步沟通可发送邮件;
如果需要获取解密器,可在公司内部聊天中留言‘求一个解密器’。
最后祝各位一切顺利,很高兴和大家一起共事。”
出道即巅峰的BlackMatter
2021年7月下旬,BlackMatter勒索软件高调出道,随即成为行业的焦点。这个自称是 Darkside和 REvil的继任者,整合了DarkSide、REvil、LockBit等老牌勒索软件的最佳功能,一度还被业界成为“下一代毒王”,可谓“出道即巅峰”。
Recorded Future公司的安全研究人员首先发现了BlackMatter勒索软件。
那时他们正在暗网中发布招募信息,开出丰厚的条件招揽成员,建立了勒索软件即服务 (RaaS) 的网站,并大言不惭将勒索标的定为“公司年收入超1亿美元”。
2021年8月,BlackMatter勒索策划实施了针对 VMware ESXi 虚拟机平台的勒索事件。此后,BlackMatter勒索团伙陆陆续续袭击了许多美国、法国、意大利等国家的企业和组织,每次勒索赎金在80,000 至 15,000,000 美元不等。
但是在2021年10月,网络安全和基础设施安全局 (CISA)、联邦调查局 (FBI) 和国家安全局 (NSA) 联合发布的报告中,详细叙述了该勒索软件团伙相关的攻击策略、技术和程序 (TTP),并提供了详细的操作和防御建议。
这份联合报告中的数据全部来自第三方公司,信息可信度非常高。这意味着,在那个时候BlackMatter勒索软件就已经被美国政府给盯上了,并且已经掌握了足够多的信息。
回顾BlackMatter勒索软件从出道到谢幕,不过才短短三个月不到的时间。虽然曾经一度站在巅峰,但如今已解散团队,停止运营并关闭了所有的基础设施。
REvil、BlackMatter等头部勒索软件接连被拿下,也让业界嗅到了一丝不同寻常的意味。面对多个国家执法机关的高压打击,头部勒索软件已经感受到了凛冬的严寒。
近年来,勒索攻击发展极为迅速,并已经成为全球企业和组织面临的重要威胁之一,不少大型国际集团因此而付出了惨痛的代价。正因为如此,越来越多的国家选择联合在一起,共同抵御勒索软件攻击。
2021年10月,美国就邀请了30多个国家召开了反勒索联盟会议,反勒索联盟组织正式确定,随即最出名的REvil勒索软件就被拿下祭旗,成为了用来震慑的那只猴子。消息一出,业界震动,勒索软件组织连夜转移了价值700万美元的比特币。
这仅仅是执法部门打击勒索软件的一个缩影。
10月26日,乌克兰联合瑞士共同联合发起了一次勒索软件执法工作,突袭了某勒索组织据点,共抓获12人,缴获现金52000美元,五辆豪华汽车和一些电子设备。据悉该勒索组织自2019年以来共袭击了18000多名受害者,涉及70多个国家/地区。
曾经策划了美国科洛尼尔油气管道攻击事件的DarkSide勒索软件,也在2021年5月上旬被美国执法部门打垮了。该勒索团伙发布声明称,由于美国执法部门的打击,他们已经无法通过SSH访问其公共数据泄露网站、支付服务器和CDN服务器,以及主机界面。因此将为所有尚未付款的公司提供解密工具,并承诺在2021年5月23日之前偿还所有未偿债务。
有意思的,五月初他们因攻击科洛尼尔油气管道拿到的巨额赎金,大部分也被美国司法部门追回(总赎金约为75枚比特币,追回63.7枚,约战85%)。美国司法部门称,通过追踪比特币的交易确认了接收赎金的地址,随后,联邦调查局获取了密钥,直接从DarkSide的账户里转走了与赎金相关的63.7枚比特币。
国际巨头集团们也纷纷对勒索软件发起阻击。例如在2020年10月,微软就关闭了Trickbot僵尸网络。而后微软与安全网络组织合作,破坏了Trickbot的后端基础架构,Trickbot僵尸网络的运营者将无法再发起新的网络攻击或者激活那些已经入侵了企业网络里的勒索软件。
在2020年年底,微软、McAfee、Citrix等19家安全相关安全软、硬件企业还联合在一起,共同组成反勒索软件任务小组 (Ransomware Task Force,RTF),希望藉由建立更完整的反勒索软件技术标准对抗威胁。
由此可见,和勒索组织之间的对抗将会越来越激烈,而越是高调的勒索组织,越是会迎来执法部门狂风骤雨般的打压。这种打压并不仅仅来自于单个国家,国与国之间联合跨区域作战将会成为常态。
在这样的情况下,勒索软件将会得到有效遏制,尤其是对有影响力的头部勒索组织而言更是如此,因为它们将会出现在联合打击的名单列表上,一旦被抓住了痕迹,很有可能会因此而凉凉。
随着打击力度不断增加,勒索组织的运营成本和风险也曾直线上升之势,再加上日渐严苛的司法处罚力度,对于勒索组织的成员来说是一种不小的威慑。
如今,头部勒索组织虽然面临着“凛冬将至”的趋势,但我们必须要清醒的是,指望从此之后勒索软件销声匿迹不太现实。相反,我们更应该像《权游》中的台词所说的一样,“从今开始守望”。
网络空间中的攻防对抗就如同矛和盾的关系:当矛变的更加锋利时,盾的防御水平也会上升;反之也是如此,当盾越来越坚固时,矛也会随之进化。
因此,对于勒索攻击,我们需要保持常态化的防御机制,时时刻刻提高警惕,否则勒索攻击必定会以一种意想不到的方式,给全球的企业一个大大的“惊喜”。
参考来源:
https://securityaffairs.co/wordpress/124135/cyber-crime/blackmatter-ransomware-shutting-down-operations.html