勒索軟件在短短幾年迅猛成為網(wǎng)絡(luò)犯罪中最賺錢的生意，勒索軟件即服務(wù)(RaaS)的擴展使得勒索軟件運營商也缺人手，勒索軟件的運營商也會在黑客論壇上招兵買馬。

在勒索團伙吸納黑客的同時，CyberNews的研究人員趁此機會披上惡意黑客的“馬甲”，打入敵方內(nèi)部，與勒索軟件運營商斗智斗勇，一來一往之間獲取大量內(nèi)部情報。

注：以下信息披露于CyberNews

[[409046]]

在2020年6月時，我們發(fā)現(xiàn)一個勒索軟件運營商在黑客論壇上發(fā)布了招聘廣告，我們決定冒充俄羅斯網(wǎng)絡(luò)犯罪分子參與招聘。

我們被邀請到私密qTox聊天室進行面試，攻擊者聲稱自己運營勒索軟件已經(jīng)超過10年了。

Cartel 在尋找合作伙伴

2020年6月，名為“Unknown”的用戶在一個受歡迎的俄羅斯黑客論壇上發(fā)布了會員招聘計劃。而在廣告中，攻擊者聲稱它是REvil(也被稱為Sodinokibi)的運營方，而REvil是世界上最臭名昭著的勒索軟件組織。

REvil是第一個使用“雙重勒索”的攻擊組織，該組織將數(shù)據(jù)加密后還會將竊取的數(shù)據(jù)出售或拍賣給其他網(wǎng)絡(luò)犯罪團伙。

有趣的是，2020年6月，REvil首次采用“雙重勒索”，它開始拍賣從一家加拿大農(nóng)業(yè)公司竊取而來的數(shù)據(jù)，而該公司拒絕支付贖金。

交易

根據(jù)廣告，如果加入會員計劃，將會獲得贖金的70%到80%，而REvil自己保留剩下的20%到30%贖金。

這個價錢太誘人了，誰能知道這不是個騙子呢?或者是執(zhí)法機構(gòu)在釣魚執(zhí)法呢?

攻擊者表示，為了證明是真心要招聘合作伙伴，已經(jīng)將100萬美元的比特幣存入了論壇錢包中作為證明。

偽造身份

因為攻擊者堅持要求，潛在的合作伙伴必須是說俄語的。為了分辨出冒名頂替的人，攻擊者會詢問有關(guān)俄羅斯的細微小事來確定候選人的身份，例如俄羅斯和烏克蘭的歷史，還有那些不能用谷歌搜索得到的民間/街頭知識。

與攻擊者的交流也全部由俄語完成，利用qTox聊天軟件通過Tor進行聊天。

加上了好友后，被拉入了一個多人聊天室。一共有兩個攻擊者在場，攻擊者使用的都是含糊不清、無法辨認的昵稱，甚至是表情符號。這是為了盡少地透露背后的人的信息，網(wǎng)絡(luò)犯罪分子也要保全自己。

隨后的溝通中，可見攻擊者隸屬于REvil和Ragnar Locker攻擊組織。

攻擊者表示，他們正在使用Ragnar Locker(流行的勒索軟件工具包，針對Windows設(shè)備進行攻擊)。該團隊已經(jīng)有四個活躍成員，加入后便是第五個成員。

攻擊者吹噓他們收到最大的一筆贖金是1800萬美元，Ragnar Locker留下30%的贖金后，剩余七成的贖金每個成員可分到250萬美元。

另一位攻擊者表示，該組織已經(jīng)在11年中積累了完美的聲譽。

贖金

與攻擊者就如何獲得贖金進行了溝通。很顯然，這些犯罪分子與加密貨幣交易所的內(nèi)部人士有很深的關(guān)系，會幫助這些犯罪分子將貨幣匿名化并安全地兌現(xiàn)，也就是幫助犯罪分子洗錢。

在加密貨幣交易所開設(shè)一個賬戶，贖金會打在該賬戶中，隨后化整為零分批兌現(xiàn)。這樣避免引起懷疑，也避免引起加密貨幣的價格波動，大手筆拋售可能會導(dǎo)致市場恐慌。

贖金轉(zhuǎn)換為現(xiàn)金后就可以匿名交付到自行選擇的地點，需要收取4%的費用。

攻擊者建議每次提現(xiàn)不要超過100萬美元，他們認為如果更多就會超過10kg，不僅難以運輸也并不安全。

攻擊者對攻擊目標(biāo)守口如瓶，不肯透露分毫。

綜合各種情況，攻擊者應(yīng)該說的是真話，就是通過加密貨幣交易所進行洗錢的。

后續(xù)

攻擊者表示現(xiàn)在有幾個攻擊的目標(biāo)，可以立刻就干一票(當(dāng)然我們是不可能這么干的)。在結(jié)束交流后，我們還梳理了該團伙的幾個攻擊習(xí)慣：

一般來說，他們會花很長時間選擇目標(biāo)，優(yōu)先考慮那些對日常業(yè)務(wù)影響最大的公司。攻擊前做好充足的準備，研究受害者的經(jīng)濟狀況，以衡量贖金的多少。攻擊者通常在周五下班后開始攻擊，持續(xù)一整個周末，由于缺乏相關(guān)人員，被檢測的可能性大大降低。