俗話說(shuō)“法網(wǎng)恢恢疏而不漏”，但法網(wǎng)似乎與如今的線上犯罪網(wǎng)絡(luò)難以交織。作為密碼學(xué)技術(shù)無(wú)心插柳的果實(shí)，勒索軟件近年橫掃互聯(lián)網(wǎng)，使得下至小白網(wǎng)民上至各國(guó)政府無(wú)不聞風(fēng)喪膽。在對(duì)受害者系統(tǒng)和主機(jī)入侵之后，勒索軟件全盤掃描并加密特定類型的文件，對(duì)勒索受害者的籌碼，也從給這些文件“解密”，發(fā)展為不給錢就“泄密”，倒是很符合昨天萬(wàn)圣節(jié)“不給糖就搗亂”的主題。

[[433061]]

原本只能通過寫破壞性病毒“炫技”的黑客們，在這種浪潮下找到了變現(xiàn)的途徑，一個(gè)必要的契機(jī)，是加密貨幣的流通。以比特幣為代表，加密貨幣原生具備匿名性，通俗說(shuō)就是即便交易鏈路和歷史都完全公開，但交易信息中的錢包地址和背后真實(shí)世界的人(在網(wǎng)絡(luò)空間，“人”基本等同于IP地址)之間，完全沒有任何關(guān)聯(lián)和可追溯性。既然難以被定位稽查，勒索犯罪發(fā)起者自可高枕無(wú)憂。

德國(guó)時(shí)間28日，德國(guó)時(shí)代周報(bào)網(wǎng)絡(luò)版(ZEITONLINE)刊發(fā)了編輯Kai Biermann的文章：《Coremember of ransomware gang identified》，整理了巴伐利亞廣播的相關(guān)報(bào)道，公開了對(duì)臭名昭著的REvil勒索組織一關(guān)鍵成員的定位、跟蹤和確認(rèn)歷程。這里我們特意根據(jù)公開的信息進(jìn)行二次整理和解讀，為讀者呈現(xiàn)一個(gè)略顯湊巧但又必然的故事：一個(gè)技術(shù)上完全匿名無(wú)從追蹤的犯罪分子，是如何由“炫富”顯形的。

背景：REvil與“現(xiàn)代化”勒索

當(dāng)我們將勒索軟件攻擊背后那些看不見的人，籠統(tǒng)稱為“勒索組織”時(shí)，已經(jīng)高估了我們故事主人公的能力邊界，但也低估了勒索犯罪這黑色產(chǎn)業(yè)的成熟度。

以文件加密為核心的勒索行為，實(shí)質(zhì)只是完成復(fù)雜的脆弱分析、爆破滲透、橫向移動(dòng)和攻擊持久化的完整入侵鏈路都完成后，一個(gè)簡(jiǎn)單的后入侵動(dòng)作。一個(gè)犯罪組織獨(dú)立完成完整的系列行動(dòng)，對(duì)技術(shù)全面性要求很高，包括目標(biāo)選定的廣撒網(wǎng)的技術(shù)、歷史與最新漏洞甚至0day漏洞的整合利用與迭代的系統(tǒng)工程，但某種程度上講，也是傳統(tǒng)的、模板化的體力活。

在高利潤(rùn)助推下，勒索進(jìn)入產(chǎn)業(yè)分工合作化，形成所謂“勒索即服務(wù)”(Ransomware as a service，RaaS)形式。傳統(tǒng)專精于入侵的組織是直接勒索攻擊的主體，而勒索軟件由專門的組織作為武器彈藥供給;如此一來(lái)，勒索軟件開發(fā)商專注于通過技術(shù)和代碼的組合變化，保證彈藥的持續(xù)有效，不被反病毒這種主機(jī)的最后一道防線防御甚至感知;而作為不直接發(fā)起攻擊的后端，他們完全隱匿在重重迷霧后面，坐收其買家勒索成功所得贖金的分成。在某些事例中情況甚至更復(fù)雜：在勒索軟件開發(fā)者和攻擊黑產(chǎn)中間還產(chǎn)生所謂“代理商”，作為黑市的中間人，隱藏交易雙方，同時(shí)加強(qiáng)供需要求的傳遞。

在RaaS模式下，勒索行動(dòng)和組織無(wú)法簡(jiǎn)單根據(jù)所用勒索軟件進(jìn)行分類，因?yàn)槎鄠€(gè)組織可能采買具有相關(guān)性的軟件，同一個(gè)供給和攻擊者也可能改用完全不一樣的彈藥。而對(duì)后端不顯山不露水的勒索軟件供應(yīng)商的定位和取證，也成了一個(gè)重要但幾乎不可能的事情。

REvil即是這樣一種勒索軟件產(chǎn)物。不同時(shí)期不同發(fā)現(xiàn)該家族的反病毒機(jī)構(gòu)對(duì)其有不同的命名，其它包括Sodinokibi等名字，同時(shí)也與其它某些家族，如Gandcrab，存在不能排除的同源可能。單此一個(gè)狹義定義的病毒家族樣本相關(guān)的勒索攻擊據(jù)信已經(jīng)在世界范圍內(nèi)獲利數(shù)十億美金以上，攻擊目標(biāo)沒有明確類型，包括政府組織、非營(yíng)利組織甚至醫(yī)療機(jī)構(gòu)。

明線：若隱若現(xiàn)的嫌疑人

在Zeit Online供稿中作者迫不及待地祭出目標(biāo)嫌疑人的種種疑團(tuán)，給人以“舍他其誰(shuí)”的感覺，但是我們不妨從正向來(lái)看一下作為調(diào)查人員，面前擺的是怎樣的證據(jù)鏈和猜疑網(wǎng)。

首先，雖然每一筆比特幣交易的信息是公開的，但不是所有勒索攻擊的受害者，甚至交付了贖金的單位，會(huì)選擇上報(bào)其受害信息，因此無(wú)法根據(jù)受害者和攻擊負(fù)載文件，明確刻畫勒索組織與比特幣錢包地址的對(duì)應(yīng)關(guān)系。2019年德國(guó)斯圖加特一家劇院受到Gandcrab勒索攻擊，并據(jù)信支付了價(jià)值15,000歐元的贖金，且有一定證據(jù)證明Gandcrab勒索即是REvil的前身，根據(jù)此筆比特幣交易，此處形成了疑似勒索組織比特幣錢包地址的第一條弱證據(jù)。

順著該錢包地址，調(diào)查人員定位到發(fā)布該地址的一個(gè)Telegram即時(shí)通訊應(yīng)用賬號(hào)，該賬號(hào)關(guān)聯(lián)到一個(gè)位于俄羅斯的手機(jī)號(hào)碼，這個(gè)號(hào)碼是與一些特定網(wǎng)站關(guān)聯(lián)的大量手機(jī)號(hào)碼之一，而其中一個(gè)或多個(gè)網(wǎng)站注冊(cè)信息中給出了一個(gè)電子郵箱地址。證據(jù)鏈重重推演至這一步，在每一個(gè)環(huán)節(jié)都形成了一團(tuán)由多個(gè)不可靠分支組成的迷霧;到最后這一步，可能衍生的可疑郵箱已經(jīng)有較大集合，而這個(gè)郵箱地址值得注意的是——它在社交媒體上被一個(gè)俄羅斯用戶關(guān)聯(lián)，這就引向了報(bào)道中的主人公：Nikolay K. (化名)。

但是，僅僅根據(jù)目標(biāo)的國(guó)籍吻合，以及重重猜疑的關(guān)聯(lián)信息，顯然是無(wú)法給出任何足以置信的結(jié)論的;這樣的證據(jù)網(wǎng)絡(luò)可能在每一例網(wǎng)絡(luò)犯罪中被構(gòu)建出來(lái)，又只得存檔封存。

暗線：“此地有銀三百兩”

當(dāng)鎖定一個(gè)包括Nikolay K.在內(nèi)的嫌疑人之后，調(diào)查人員就可以在合理的成本內(nèi)，進(jìn)行足夠證實(shí)或證偽的取證。對(duì)于黑產(chǎn)從業(yè)人員，這種證據(jù)幾乎肯定是不會(huì)有任何痕跡的;這也是本例故事的戲劇性所在。

經(jīng)過目標(biāo)人員畫像，Nikolay K.與妻子住在俄羅斯一南部城鎮(zhèn)，其可查的唯一合法收入來(lái)源僅是其所在城市一較新建筑內(nèi)開辦的小型酒吧，裝潢簡(jiǎn)陋，主要服務(wù)于體育博彩。與如此簡(jiǎn)單甚至佛系的為生方式形成對(duì)比，Nikolay K.住所坐擁泳池，配備寶馬超跑——而這還只是現(xiàn)實(shí)中的冰山一角。

在社交媒體上，Nikolay K.夫婦展示了極致奢華的生活方式。其本人賬號(hào)并未公開，僅明示了他對(duì)于數(shù)字加密貨幣近乎宗教信仰一般的信念。但他的妻子Ekaterina K.似乎并不僅滿足于獲取高消費(fèi)的感官感受：她社交媒體中的花花世界從迪拜的五星級(jí)酒店，到黑海的克里米亞半島，再到馬爾代夫;最新的一段視頻展示了在土耳其南部海濱城市安塔利亞，二人組織的奢華游艇聚會(huì)，僅游艇的日租金就高達(dá)1300歐元。

雖然Nikolay K.本人可能在網(wǎng)絡(luò)世界有意識(shí)低調(diào)，但在其妻子豐富的資料中，他日常身著Gucci T恤和太陽(yáng)鏡，癡迷寶馬跑車。特別值得注意的是，從幾個(gè)月前開始，他都戴著VanguardEncrypto奢侈手工定制腕表，價(jià)值至少七萬(wàn)歐元。支撐這極致奢華又無(wú)跡可蹤的巨大財(cái)富，將他置于極大的懷疑之中。

而這塊七萬(wàn)歐的腕表也就成了調(diào)查人員最終將Nikolay K.確認(rèn)為關(guān)鍵嫌疑對(duì)象的證據(jù)。因?yàn)閂anguard Encrypto定制的首要噱頭，就是會(huì)將所有者的比特幣錢包地址二維碼激光蝕刻在表盤上。如此極客的土豪，赤裸裸地宣誓了Nikolay K.對(duì)于從加密貨幣中攫取財(cái)富的得意。而對(duì)涉及加密貨幣的黑產(chǎn)交易中由匿名性帶來(lái)的線上線下關(guān)聯(lián)難的問題，似乎也很容易不攻自破：一旦到案，只需要翻過他的手腕，一切謊言和迷霧都將不再有效。

說(shuō)到底，最終還是嫌疑人雖然克制但仍然漫溢的炫富欲望，變成了“此地有銀三百兩”的一聲吆喝啊。

后續(xù)：所以又能怎么樣呢?

在以上證據(jù)鏈形成后，調(diào)查人員和當(dāng)事調(diào)查記者為了坐實(shí)猜疑，通過社交網(wǎng)絡(luò)聯(lián)系到了這個(gè)神龍見首不見尾的Nikolay K.。具體的試探消息我們不得而知，但是后者很快在社交媒體上撤回了他個(gè)人相關(guān)的信息：這將準(zhǔn)星牢牢地套在了他的頭上，但同時(shí)也不可避免地打草驚蛇了。

根據(jù)報(bào)告所述，這場(chǎng)調(diào)查持續(xù)了相當(dāng)長(zhǎng)的時(shí)間，據(jù)信至少在已經(jīng)明確了目標(biāo)的嫌疑之后，NikolayK.還在2020年內(nèi)有過一次到土耳其的旅游，但出于未知原因，德國(guó)警方卻并沒有從土耳其將其引渡逮捕。至今Nikolay K.仍然逍遙法外，雖然記者顯然仍然等待他下一次旅行到與德國(guó)有引渡條例的國(guó)家，但這至今再也沒有發(fā)生——特別是在REvil基礎(chǔ)設(shè)施被攻破之后，這趟可以讓當(dāng)事人和警方都感到興奮的旅行，可能再不會(huì)發(fā)生了。

[[433062]]

上圖是Nikolay K.在社交媒體上發(fā)布的照片，德國(guó)警方定位到他的位置是在土耳其的安塔利亞，雖然德國(guó)和土耳其存在引渡條約，但是遺憾的是最終沒能實(shí)現(xiàn)成功抓捕。這張照片同時(shí)也是Nikolay K.社交軟件的Profile照片，當(dāng)他嗅到被調(diào)查的風(fēng)險(xiǎn)后，他將所有照片一刪而凈。

盡管在本例事件中，調(diào)查人員幾乎是像中彩票一般，關(guān)聯(lián)到了這個(gè)本不可能被定位到的嫌疑人實(shí)人，但他的持續(xù)逍遙法外，仍然火辣辣地昭示著對(duì)于這種極端復(fù)雜的跨國(guó)網(wǎng)絡(luò)空間犯罪中，對(duì)嫌疑人的逮捕是一件多么艱巨的挑戰(zhàn)。預(yù)期中通過端掉勒索集團(tuán)人員來(lái)根除禍患的結(jié)果沒能出現(xiàn)，但我們?nèi)匀豢吹絿?guó)際社會(huì)的一些合作與進(jìn)展。根據(jù)10月21日路透社報(bào)道《EXCLUSIVEGovernments turn tables on ransomware gang REvil by pushing it offline》，在多方行動(dòng)中，REvil組織的服務(wù)器基礎(chǔ)設(shè)施遭到“反制”入侵和控制，勒索網(wǎng)站、支付渠道和服務(wù)被迫下線。這被官方與安全專家稱為“標(biāo)志性、毀滅性的行動(dòng)”。但類似的反制行動(dòng)在7月13日曾經(jīng)成功實(shí)施過，當(dāng)時(shí)該組織網(wǎng)站與支付渠道曾被迫下線;之后很快REvil就得以死灰復(fù)燃且更新迭代。對(duì)于這些以隱藏自身、不斷更新為安身立命核心本領(lǐng)的犯罪對(duì)象，似乎在其人員落網(wǎng)或者賺的盆滿缽滿金盆洗手之前，反制與打擊已經(jīng)成了“殺不死他只會(huì)讓他更強(qiáng)”的東西。

可以說(shuō)，如今各國(guó)政府和安全行業(yè)與勒索組織之間的攻防，已經(jīng)進(jìn)入了無(wú)法速戰(zhàn)速?zèng)Q的拉鋸戰(zhàn)態(tài)勢(shì)，要打擊收斂這個(gè)問題需要曠日持久的投入。直到?jīng)Q勝的方法和局面出現(xiàn)之前，我們?nèi)匀恍枰偃蛩幸蕾嚲€上基礎(chǔ)設(shè)施和資產(chǎn)的個(gè)人和企業(yè)用戶進(jìn)行明確：永遠(yuǎn)相信沒有不能被攻破的系統(tǒng)，且你的系統(tǒng)不可能是其中最堅(jiān)固的城池;只有采取任何可信的防護(hù)系統(tǒng)與機(jī)制、實(shí)時(shí)關(guān)注你的安全建設(shè)和最新安全態(tài)勢(shì)，才能降低你成為下一個(gè)勒索軟件受害者的“賠率”。

參考索引

文中援引德國(guó)時(shí)代周報(bào)網(wǎng)絡(luò)版(ZEIT ONLINE)媒體原始報(bào)道，可參見：《Core member of ransomware gang identified》

來(lái)源：

https://www.zeit.de/digital/internet/2021-10/ransomware-group-revil-member-hacker-russia-investigation