勒索软件在短短几年迅猛成为网络犯罪中最赚钱的生意,勒索软件即服务(RaaS)的扩展使得勒索软件运营商也缺人手,勒索软件的运营商也会在黑客论坛上招兵买马。
在勒索团伙吸纳黑客的同时,CyberNews的研究人员趁此机会披上恶意黑客的“马甲”,打入敌方内部,与勒索软件运营商斗智斗勇,一来一往之间获取大量内部情报。
注:以下信息披露于CyberNews
在2020年6月时,我们发现一个勒索软件运营商在黑客论坛上发布了招聘广告,我们决定冒充俄罗斯网络犯罪分子参与招聘。
我们被邀请到私密qTox聊天室进行面试,攻击者声称自己运营勒索软件已经超过10年了。
Cartel 在寻找合作伙伴
2020年6月,名为“Unknown”的用户在一个受欢迎的俄罗斯黑客论坛上发布了会员招聘计划。而在广告中,攻击者声称它是REvil(也被称为Sodinokibi)的运营方,而REvil是世界上最臭名昭著的勒索软件组织。
REvil是第一个使用“双重勒索”的攻击组织,该组织将数据加密后还会将窃取的数据出售或拍卖给其他网络犯罪团伙。
有趣的是,2020年6月,REvil首次采用“双重勒索”,它开始拍卖从一家加拿大农业公司窃取而来的数据,而该公司拒绝支付赎金。
交易
根据广告,如果加入会员计划,将会获得赎金的70%到80%,而REvil自己保留剩下的20%到30%赎金。
这个价钱太诱人了,谁能知道这不是个骗子呢?或者是执法机构在钓鱼执法呢?
攻击者表示,为了证明是真心要招聘合作伙伴,已经将100万美元的比特币存入了论坛钱包中作为证明。
伪造身份
因为攻击者坚持要求,潜在的合作伙伴必须是说俄语的。为了分辨出冒名顶替的人,攻击者会询问有关俄罗斯的细微小事来确定候选人的身份,例如俄罗斯和乌克兰的历史,还有那些不能用谷歌搜索得到的民间/街头知识。
与攻击者的交流也全部由俄语完成,利用qTox聊天软件通过Tor进行聊天。
加上了好友后,被拉入了一个多人聊天室。一共有两个攻击者在场,攻击者使用的都是含糊不清、无法辨认的昵称,甚至是表情符号。这是为了尽少地透露背后的人的信息,网络犯罪分子也要保全自己。
随后的沟通中,可见攻击者隶属于REvil和Ragnar Locker攻击组织。
攻击者表示,他们正在使用Ragnar Locker(流行的勒索软件工具包,针对Windows设备进行攻击)。该团队已经有四个活跃成员,加入后便是第五个成员。
攻击者吹嘘他们收到最大的一笔赎金是1800万美元,Ragnar Locker留下30%的赎金后,剩余七成的赎金每个成员可分到250万美元。
另一位攻击者表示,该组织已经在11年中积累了完美的声誉。
赎金
与攻击者就如何获得赎金进行了沟通。很显然,这些犯罪分子与加密货币交易所的内部人士有很深的关系,会帮助这些犯罪分子将货币匿名化并安全地兑现,也就是帮助犯罪分子洗钱。
在加密货币交易所开设一个账户,赎金会打在该账户中,随后化整为零分批兑现。这样避免引起怀疑,也避免引起加密货币的价格波动,大手笔抛售可能会导致市场恐慌。
赎金转换为现金后就可以匿名交付到自行选择的地点,需要收取4%的费用。
攻击者建议每次提现不要超过100万美元,他们认为如果更多就会超过10kg,不仅难以运输也并不安全。
攻击者对攻击目标守口如瓶,不肯透露分毫。
综合各种情况,攻击者应该说的是真话,就是通过加密货币交易所进行洗钱的。
后续
攻击者表示现在有几个攻击的目标,可以立刻就干一票(当然我们是不可能这么干的)。在结束交流后,我们还梳理了该团伙的几个攻击习惯:
一般来说,他们会花很长时间选择目标,优先考虑那些对日常业务影响最大的公司。攻击前做好充足的准备,研究受害者的经济状况,以衡量赎金的多少。攻击者通常在周五下班后开始攻击,持续一整个周末,由于缺乏相关人员,被检测的可能性大大降低。