最近浮出水面的 Dispossessor 勒索軟件，其與臭名昭著的 LockBit 勒索軟件團(tuán)伙存在許多相似之處。在全球執(zhí)法機(jī)構(gòu)聯(lián)合打擊了 LockBit 的攻擊基礎(chǔ)設(shè)施后，Dispossessor 帶著與 LockBit 高度相似的結(jié)構(gòu)與內(nèi)容出現(xiàn)在眾人眼前。

Dispossessor 符號(hào)標(biāo)記

Dispossessor

Dispossessor 名稱可能是來(lái)源于 Ursula K. Le Guin 的小說(shuō)《The Dispossessed》，該小說(shuō)探討了無(wú)政府主義、資源稀缺和社會(huì)動(dòng)蕩的特殊時(shí)期，呈現(xiàn)了沒(méi)有個(gè)人財(cái)產(chǎn)的社會(huì)和資源豐富但充滿了不平等的社會(huì)。這種說(shuō)辭在勒索軟件團(tuán)伙中很常見(jiàn)，這些犯罪分子勒索和盜竊了數(shù)百萬(wàn)美元，但仍然認(rèn)為自己處于道德制高點(diǎn)。

2024 年 2 月，Dispossessor 正式浮出水面，大膽地宣布可以公開(kāi)下載此前已泄露的數(shù)據(jù)并進(jìn)行潛在的出售。公告出現(xiàn)在多個(gè)地下論壇和地下市場(chǎng)上，包括 BreachForums 與 XSS。

地下論壇公告

這一時(shí)間點(diǎn)讓人不由得懷疑，在多國(guó)聯(lián)合執(zhí)法的 Cronos 行動(dòng)后，LockBit 的運(yùn)營(yíng)和信譽(yù)受到重創(chuàng)。LockBit 在執(zhí)法行動(dòng)中損失了多個(gè)域名，控制面板和多個(gè)關(guān)鍵攻擊基礎(chǔ)設(shè)施都無(wú)法訪問(wèn)。Dispossessor 的網(wǎng)站與原來(lái) LockBit 的網(wǎng)站極其類似，配色方案、頁(yè)面布局和字體都幾乎相同。這表明，要么是相同的運(yùn)營(yíng)團(tuán)隊(duì)改頭換面切換了品牌，要么是模仿 LockBit 攻擊基礎(chǔ)設(shè)施的新勒索軟件團(tuán)伙。從內(nèi)容上來(lái)看，LockBit 的很多受害者在第一天就被鏡像到了 Dispossessor 的網(wǎng)站上，還保留了原來(lái)的發(fā)布日期和詳細(xì)信息。

數(shù)據(jù)披露網(wǎng)站

地下論壇的用戶還提到了名為 Dispossessor 的新網(wǎng)站，也指出其與原始 LockBit 網(wǎng)站極其相似。

運(yùn)營(yíng)策略

與 LockBit 類似，Dispossessor 也采用勒索軟件即服務(wù)（RaaS）模式。這種模式使勒索軟件團(tuán)伙通過(guò)附屬機(jī)構(gòu)分發(fā)勒索軟件，去中心化使得執(zhí)法部門很難能夠徹底瓦解其業(yè)務(wù)。

但目前 Dispossessor 似乎并不具備勒索軟件功能，更像是一個(gè)數(shù)據(jù)泄露代理。目前在野尚未觀察到勒索軟件樣本，仍然主要發(fā)布其他勒索軟件團(tuán)伙的數(shù)據(jù)泄露，甚至包括已經(jīng)不復(fù)存在或者已經(jīng)被執(zhí)法取締的團(tuán)伙。

如 @ransomfeednews 所指出的，研究人員普遍認(rèn)為 Dispossessor 并不是新出現(xiàn)的勒索軟件團(tuán)伙，而是一群犯罪分子試圖利用其他團(tuán)伙的攻擊行動(dòng)來(lái)不勞而獲進(jìn)行獲利。Dispossessor 主要依賴其他勒索軟件團(tuán)伙的附屬機(jī)構(gòu)，這些附屬機(jī)構(gòu)已經(jīng)竊取了數(shù)據(jù)，但最新的受害者可能從 LockBit 或者其他勒索軟件團(tuán)伙中分離出來(lái)。攻擊者也在地下論壇上積極尋找“攻擊者”進(jìn)行合作，分析人員認(rèn)為情況可能會(huì)發(fā)生多樣的變化。

尋找合伙人

目前已經(jīng)有 17 個(gè)頁(yè)面和大約三百余個(gè)公司成為了受害者，但大多數(shù)都是 LockBit、Cl0p 與 Snatch 已經(jīng)披露的受害者。攻擊者在數(shù)據(jù)泄露網(wǎng)站宣布，Dispossessor 的合作計(jì)劃非常包容，無(wú)論身處何方、所說(shuō)何種語(yǔ)言、多大年齡以及宗教信仰如何。合作計(jì)劃優(yōu)先考慮具備攻擊能力的、有凝聚力且經(jīng)驗(yàn)豐富的團(tuán)隊(duì)，也提供了透明的方式使附屬機(jī)構(gòu)可以與受害者進(jìn)行溝通。

Dispossessor 聲稱合作方可以使用一套工具包，能夠最大限度地發(fā)揮攻擊的影響，工具包內(nèi)包括 Tor 網(wǎng)絡(luò)中的管理面板、安全信道、自動(dòng)解密工具和 StealBit 竊密工具。攻擊者聲稱支持各種操作系統(tǒng)和架構(gòu)，如 Windows、ESXi 與多個(gè) Linux 發(fā)行版。

合作計(jì)劃

Dispossessor 在數(shù)據(jù)泄露網(wǎng)站上介紹了其合作計(jì)劃，附屬機(jī)構(gòu)使用 Dispossessor 提供的工具包并嚴(yán)格遵守合作準(zhǔn)則。主要的規(guī)則包括：

• 附屬機(jī)構(gòu)不得與他人共享控制面板的訪問(wèn)權(quán)限
• 勒索贖金的溝通中達(dá)成的協(xié)議必須要履行
• 必須從受害者處下載有價(jià)值的信息
• 禁止攻擊某些關(guān)鍵基礎(chǔ)設(shè)施，如核電站與醫(yī)療機(jī)構(gòu)，避免因攻擊導(dǎo)致死亡

Dispossessor 對(duì)運(yùn)營(yíng)安全極度重視，甚至要求合作方必須存入一比特幣作為贖金分成的預(yù)付款。分析人員推測(cè)，這一要求旨在淘汰掉缺乏安全感的新手、執(zhí)法人員和競(jìng)爭(zhēng)對(duì)手。

結(jié)論

緊隨執(zhí)法機(jī)構(gòu)對(duì) LockBit 的打擊行動(dòng)，Dispossessor 又成為了勒索軟件領(lǐng)域的重要參與者，凸顯了網(wǎng)絡(luò)犯罪活動(dòng)的動(dòng)態(tài)性和適應(yīng)性。攻擊者的運(yùn)營(yíng)策略模仿勒索軟件即服務(wù)（RaaS）模式，同時(shí)主要充當(dāng)泄露數(shù)據(jù)經(jīng)紀(jì)人，這為網(wǎng)絡(luò)安全專家和執(zhí)法機(jī)構(gòu)帶來(lái)了全新的挑戰(zhàn)。典型的緩解措施如下所示：

• 定期數(shù)據(jù)備份：如期執(zhí)行備份策略，定期備份關(guān)鍵數(shù)據(jù)，確保發(fā)生勒索軟件攻擊時(shí)可恢復(fù)數(shù)據(jù)
• 安全意識(shí)培訓(xùn)：對(duì)員工進(jìn)行有關(guān)勒索軟件威脅和網(wǎng)絡(luò)安全最佳實(shí)踐的教育，以降低成為受害者的風(fēng)險(xiǎn)
• 完善補(bǔ)丁管理：讓系統(tǒng)保持最新的安全補(bǔ)丁，以防御勒索軟件經(jīng)常利用的漏洞
• 網(wǎng)絡(luò)區(qū)域劃分：對(duì)網(wǎng)絡(luò)進(jìn)行分片劃分，將關(guān)鍵系統(tǒng)和數(shù)據(jù)與不安全區(qū)域分隔開(kāi)，限制勒索軟件感染的影響
• 良好訪問(wèn)控制：限制用戶權(quán)限以最大限度減少攻擊面
• 電子郵件安全：部署安全解決方案檢測(cè)與阻止惡意軟件和網(wǎng)絡(luò)釣魚(yú)
• 端點(diǎn)安全防護(hù)：使用安全軟件檢測(cè)和緩解端點(diǎn)上的勒索軟件威脅
• 事件響應(yīng)計(jì)劃：指定針對(duì)勒索軟件攻擊的響應(yīng)計(jì)劃，包括事前識(shí)別、事中遏制與事后恢復(fù)
• 定期安全審計(jì)：進(jìn)行審計(jì)和漏洞評(píng)估，發(fā)現(xiàn)并修復(fù)攻擊者可能利用的安全漏洞
• 進(jìn)行備份測(cè)試：定期測(cè)試備份數(shù)據(jù)完整性，防止未授權(quán)訪問(wèn)