最近,头部勒索软件的生活越来越糟。一些业内人士甚至认为,高调的头部勒索软件组织正在进入“至暗时刻”。
据security affairs臭名昭著的消息REvil勒索软件离线两周,勒索组织Groove在发布文件加大对美国的打击力度后,另一另一款著名的勒索软件BlackMatter也因执法部门的压制被迫关闭。
BlackMatter勒索团伙在其运营的勒索软件即服务门户网站上发布了这一消息,恶意软件样本网站vx-underground截图和英文文字版已经发布。
“由于一些地方执法机构无法解决的压力(消息发布后,一些团队成员将被解散),该项目已下线。48小时后,整个基础设施将全部关闭。
最后还能做的是:
- 与公司进一步沟通可发邮件;
- 如果需要获取解密器,可在公司内部聊天中留言‘求解密器’。
- 最后祝大家一切顺利,很高兴和大家一起工作。”
出道就是巅峰BlackMatter
2021年7月下旬,BlackMatter勒索软件首次亮相,立即成为行业的焦点。这个自称是 Darkside和 REvil继任者,整合DarkSide、REvil、LockBit老牌勒索软件的最佳功能曾被业界称为“下一代毒王”,可谓“出道即巅峰”。
Recorded Future公司安全研究人员首先发现了BlackMatter勒索软件。
当时,他们正在暗网中发布招聘信息,为招聘成员提供丰富的条件,并建立了勒索软件,即服务 (RaaS) 网站,并大言不惭地将勒索目标定为“年收入超过1亿美元”的公司。
2021年8月,BlackMatter为 实施勒索策划VMware ESXi 虚拟机平台勒索事件。BlackMatter勒索团伙先后袭击了美国、法国、意大利等国家的许多企业和组织,每次勒索赎金从8万到15万不等。
但在2021年10月,网络安全和基础设施安全局 (CISA)、 联邦调查局(FBI) 和国家安全局 (NSA) 联合发布的报告详细描述了与勒索软件团伙相关的攻击策略、技术和程序 (TTP),并提供详细的操作和防御建议。
联合报告中的所有数据都来自第三方公司,信息可信度很高。这意味着当时BlackMatter勒索软件已经成为美国政府的目标,并且有足够的信息。
回顾BlackMatter勒索软件从首次亮相到结束只有不到三个月的时间。虽然它曾经处于巅峰,但它已经解散了团队,停止了运营,并关闭了所有的基础设施。
打击力度越来越大,勒索软件“凛冬将至”
REvil、BlackMatter当头部勒索软件相继获胜时,这也让业界闻到了一丝不寻常的含义。面对许多国家执法机关的高压打击,头部勒索软件在冬天感到寒冷。
近年来,勒索攻击发展极为迅速,并已经成为全球企业和组织面临的重要威胁之一,不少大型国际集团因此而付出了惨痛的代价。正因为如此,越来越多的国家选择联合在一起,共同抵御勒索软件攻击。
20212000年10月,美国邀请了30多个国家召开反勒索联盟会议,反勒索联盟组织正式确定,最著名的REvil勒索软件被拿下祭旗,成为用来威慑的猴子。消息一出,行业震惊,勒索软件组织连夜转移了价值700万美元的比特币。
这只是执法部门打击勒索软件的缩影。
10月26日,乌克兰联合瑞士共同联合发起了一次勒索软件执法工作,突袭了某勒索组织据点,共抓获12人,缴获现金52000美元,五辆豪华汽车和一些电子设备。据悉该勒索组织自2019年以来共袭击了18000多名受害者,涉及70多个国家/地区。
科洛尼尔油气管道攻击事件曾在美国计划DarkSide2021年5月初,勒索软件也被美国执法部门击败。勒索团伙发表声明称,由于美国执法部门的打击,他们无法通过SSH访问其公共数据泄露网站、支付服务器和CDN服务器和主机界面。因此,所有未付公司都将提供解密工具,并承诺在2021年5月23日前偿还所有未付债务。
有趣的是,他们在5月初因攻击科洛尼尔油气管道而获得的大部分巨额赎金也被美国司法部门收回(约75枚比特币)63.7枚,约战85%)。美国司法部门称,通过追踪比特币的交易确认了接收赎金的地址,随后,联邦调查局获取了密钥,直接从DarkSide与赎金有关的账户被转移到与赎金有关的账户中63.7枚比特币。
国际巨头集团也阻止了勒索软件。比如2020年10月,微软关闭了Trickbot僵尸网络。随后,微软与安全网络组织合作,破坏了Trickbot后端基础架构,Trickbot僵尸网络的运营商将无法发起新的网络攻击或激活入侵企业网络的勒索软件。
2020年底,微软,McAfee、Citrix19家与安全相关的安全软硬件企业也联合组成了反勒索软件任务组 (RTF),希望通过建立更完整的反勒索软件技术标准来对抗威胁。
由此可见,与勒索组织的对抗将越来越激烈,勒索组织越高调,执法部门的压力就越大。这种压制不仅来自单个国家,国家之间的联合跨区域战斗也将成为常态。
在这种情况下,勒索软件将得到有效的遏制,特别是对有影响力的头部勒索组织,因为它们将出现在联合打击列表中,一旦被抓住,它很可能会很酷。
随着打击力度的增加,勒索组织的运营成本和风险也急剧上升。再加上日益严厉的司法处罚,对勒索组织成员来说是一个很大的威慑。
如今,尽管头部勒索组织正面临着“凛冬将至”但我们必须清楚的是,指望勒索软件从现在开始消失是不现实的。相反,我们应该像《权力之旅》中的台词一样,“从现在开始守望”。
网络空间中的攻防对抗就像矛与矛的关系:当矛变得更锋利时,盾的防御水平也会上升;相反,当盾变得越来越强大时,矛就会进化。
因此,对于勒索攻击,我们需要保持正常的防御机制,始终保持警惕,否则勒索攻击将以意想不到的方式给世界各地的企业一个巨大的“惊喜”。
参考来源:
https://securityaffairs.co/wordpress/124135/cyber-crime/blackmatter-ransomware-shutting-down-operations.html