数据勒索软件组织最大的敌人是谁?虎视眈眈的执法机构还是愤然反击的企业安全团队?答案可能出乎你的想象,如今勒索软件组织最惧怕的是同行 / 同事内卷或反水。
在最近的一系列勒索软件调查中,由于同事的 “举报”,一些臭名昭著的勒索软件组织成员的敏感信息被大量泄露。这给勒索软件组织提出了一个重大难题:如果连同事都不能信任,你还能信任谁?
以 2019 年勒索软件组织 REvil 为例。当时,REvil 已经入侵了德克萨斯州的数百家牙科诊所和十几个地方政府。负责调查该事件的网络安全公司 McAfee(现在的 Trellix)的安全研究人员收到一封来自 REvil 内部人士的匿名举报电子邮件,举报者显然对 REvil 的管理层相当不满。
Trellix 威胁情报负责人兼首席工程师 John Fokker 上个月在一篇博文中透露,REvil 勒索软件组织的内部人士透露了有关该组织的策略、程序和运营的信息。Trellix 随后与执法部门分享了这些数据,这让执法部门 “欣喜若狂”,因为这些信息有助于他们对 REvil 的调查。美国和欧洲警方随即对与 REvil 相关的黑客展开突袭、指控,并没收加密货币。
据 Trellix 透露,告密者最初要求获得经济奖励,但 Trellix 不会向网络犯罪分子支付信息费用。但美国政府去年提供了高达 1000 万美元的信息费用,悬赏能够帮助逮捕 REvil 领导人的信息。
事实证明网络犯罪分子并无操守可言,如果能够获得利益,他们完全不介意出卖同行或者同事。REvil 的 “内鬼” 事件在勒索软件行当绝不鲜见。
去年,Conti 勒索软件组织的一个心怀不满的加盟机构(曾入侵爱尔兰的医疗系统)泄露了一份 Conti 分发给加盟机构的内部培训手册。
在 Conti 表态支持俄罗斯在乌克兰的 “特别军事行动” 之后,一个匿名的推特账户泄露了该组织内部的大量内部聊天记录,让安全研究人员和执法机构首次窥见该组织的内部运作机制。
据 CNN 报道,泄密黑客是一名乌克兰研究人员,长期以来一直拥有 Conti 系统的访问权限。
大约在同一时间,另一个 Twitter 帐户泄露了 Trickbot 组织的内部消息,该组织与 Conti 有关联。据《华尔街日报》报道,该泄密事件背后的研究人员也自称是乌克兰人。
类似的,勒索软件组织 Lockbit 和 Babuk 也曾被 “自己人” 泄露内部工具。
专家指出,勒索软件组织的信息泄漏有多种原因。Recorded Future 高级安全架构师 Allan Liska 指出,一些大型勒索软件组织很快赚了很多钱,但并没有善待他们的加盟机构或承包商。此外,一些勒索软件组织还就地缘政治事件发表了 “站队” 声明,面临来自美国和其他执法机构的压力。
Liska 指出,勒索软件组织的管理者大多是二三十岁的年轻人,缺乏管理经验,不知道如何管理一个大型组织。
Emsisoft 威胁分析师 Brett Callow 则认为,勒索软件组织自身很容易受到渗透。“如果执法部门没有渗透到一些团体,我会感到惊讶,” 他说:“如果网络安全研究人员没有这样做,我同样会感到惊讶。”
勒索软件组织的犯罪分子往往缺乏必要的安全意识,经常无意间泄露敏感信息。例如今年,委内瑞拉心脏病专家 Moises Luis Zagala Gonzalez 涉嫌开发散布勒索软件工具被捕,检察官发现他作案时使用的电子邮件帐户和支付服务居然与他的真实信息相关。
Liska 说,一些勒索软件组织往往自视过高,甚至不屑采取预防措施来隐匿行踪和身份。
在另一个案例中,研究人员发现一名伊朗勒索软件黑客在勒索信中署上了真名。
Comentários