勒索軟件聯(lián)盟的運(yùn)作模式遭曝光

作為當(dāng)前最活躍的勒索軟件組織之一，LockBit上周遭遇數(shù)據(jù)泄露事件，其內(nèi)部運(yùn)作細(xì)節(jié)被公之于眾。通過(guò)Tor網(wǎng)絡(luò)上的洋蔥站點(diǎn)短暫泄露的文件，為研究人員和安全專家提供了難得的機(jī)會(huì)，得以窺見(jiàn)LockBit如何運(yùn)作其勒索軟件即服務(wù)(RaaS)業(yè)務(wù)。

（圖示：被入侵的LockBit勒索軟件暗網(wǎng)泄露站點(diǎn)，截圖來(lái)源：Hackread.com）

此次泄露事件據(jù)信源自能夠訪問(wèn)LockBit基礎(chǔ)設(shè)施的內(nèi)部人員，曝光的資料包括聊天記錄、勒索軟件構(gòu)建記錄、配置文件、比特幣錢包地址以及聯(lián)盟成員標(biāo)識(shí)符。Ontinue公司安全運(yùn)營(yíng)中心分析師Rhys Downing主導(dǎo)了對(duì)泄露數(shù)據(jù)的深度分析，詳細(xì)揭示了LockBit聯(lián)盟計(jì)劃的運(yùn)作方式，包括攻擊者如何構(gòu)建有效載荷、估算贖金要求以及進(jìn)行談判。

目標(biāo)選擇與定價(jià)策略

泄露數(shù)據(jù)中最關(guān)鍵的部分是一份內(nèi)部稱為"builds"的表格，記錄了LockBit聯(lián)盟成員創(chuàng)建的所有勒索軟件有效載荷。每條記錄包含聯(lián)盟成員ID、公私加密密鑰、目標(biāo)公司信息以及聲明的贖金金額等詳細(xì)信息。攻擊者在部署有效載荷前會(huì)手動(dòng)輸入這些估算數(shù)據(jù)，暴露出他們的定價(jià)策略和目標(biāo)選擇標(biāo)準(zhǔn)。部分贖金要求明顯夸大（如"303kkk"即3.03億美元疑似測(cè)試數(shù)據(jù)），但也有更精確的計(jì)算案例——某聯(lián)盟成員記錄的四次構(gòu)建合計(jì)申報(bào)價(jià)值超過(guò)6800萬(wàn)。

極低的支付兌現(xiàn)率

盡管存在數(shù)百個(gè)勒索軟件構(gòu)建記錄和激進(jìn)的贖金要求，246名受害者中僅有7人被記錄為已付款。值得注意的是，沒(méi)有任何記錄顯示受害者確實(shí)收到了解密工具。這與近期PowerSchool數(shù)據(jù)泄露事件的情況相符——這家教育科技公司支付了未公開數(shù)額的贖金以避免事態(tài)惡化，結(jié)果攻擊者卻變本加厲地針對(duì)教師和學(xué)生提出更多要求。

LockBit泄露數(shù)據(jù)庫(kù)顯示，僅有2.8%的案例中向聯(lián)盟成員支付傭金的字段大于零，但這仍不能作為贖金支付的確定證據(jù)。

聊天記錄暴露人性陰暗面

Ontinue威脅報(bào)告顯示，超過(guò)4000份LockBit聯(lián)盟成員與受害者之間的聊天記錄同時(shí)被泄露。這些信息混雜著精心計(jì)算的施壓、情感操縱和赤裸裸的威脅。多個(gè)案例中，聯(lián)盟成員對(duì)求饒置若罔聞，甚至毫無(wú)預(yù)警地加倍贖金。

有聯(lián)盟成員對(duì)自稱小公司的受害者回應(yīng)："公司規(guī)模無(wú)關(guān)緊要，你們的數(shù)據(jù)很有價(jià)值"。另一次對(duì)話中甚至出現(xiàn)詭異的招募宣傳："想要蘭博基尼、法拉利和成群美女？立即注冊(cè)，五分鐘開啟你的滲透測(cè)試億萬(wàn)富翁之旅。"

這些對(duì)話表明，LockBit聯(lián)盟成員的行事作風(fēng)更像強(qiáng)硬的銷售代表而非傳統(tǒng)黑客。他們的策略從心理施壓到警告受害者不要聯(lián)系執(zhí)法部門或保險(xiǎn)公司，手段多變。

高度專業(yè)化的犯罪企業(yè)

泄露數(shù)據(jù)最引人注目的是其組織化程度。LockBit采用模塊化有效載荷構(gòu)建器、聯(lián)盟成員儀表盤和強(qiáng)大的后端基礎(chǔ)設(shè)施。聯(lián)盟成員可以調(diào)整構(gòu)建配置，控制從加密文件選擇到解密器使用后是否自刪除等所有細(xì)節(jié)。他們甚至在自己的洋蔥站點(diǎn)上運(yùn)行漏洞賞金計(jì)劃，為發(fā)現(xiàn)基礎(chǔ)設(shè)施漏洞提供獎(jiǎng)勵(lì)。

與執(zhí)法行動(dòng)的關(guān)聯(lián)

此次泄露還與英國(guó)國(guó)家犯罪局主導(dǎo)的"Cronos行動(dòng)"產(chǎn)生關(guān)聯(lián)。該行動(dòng)此前曝光的LockBit操作相關(guān)用戶名，在此次泄露的payload數(shù)據(jù)中得到了印證。高產(chǎn)出用戶包括生成最多有效載荷的Ashlin，以及Rich、Melville和Merrick等其他高頻操作者——這表明該團(tuán)伙核心團(tuán)隊(duì)和高級(jí)聯(lián)盟成員即便在遭遇打擊后仍保持穩(wěn)定。

Qualys漏洞研究經(jīng)理Saeed Abbasi指出，此次泄露對(duì)防御者而言是寶貴的情報(bào)來(lái)源："通過(guò)了解LockBit的攻擊目標(biāo)和聯(lián)盟成員定制payload的方式，安全團(tuán)隊(duì)可以更好地確定補(bǔ)丁優(yōu)先級(jí)，強(qiáng)化被忽視的系統(tǒng)并改進(jìn)基礎(chǔ)訪問(wèn)控制。"

雖然LockBit對(duì)Tor網(wǎng)絡(luò)的使用仍是其關(guān)鍵防御手段，但此次泄露證明即便網(wǎng)絡(luò)犯罪集團(tuán)運(yùn)營(yíng)的系統(tǒng)也并非絕對(duì)安全。這次事件揭開了影響全球企業(yè)的勒索軟件運(yùn)作內(nèi)幕，證實(shí)了安全專家多年來(lái)的猜測(cè)——勒索軟件組織如同正規(guī)企業(yè)般運(yùn)作，具備聯(lián)盟成員入職、基礎(chǔ)設(shè)施管理和財(cái)務(wù)規(guī)劃等完整體系。