这两天，国内一些企业、机构网管开始慌了，数千台系统被勒索软件加密，利用了某个知名财务ERP系统的高危漏洞（类似的OA系统漏洞较多）做为攻击入口。

中国安全圈常用一句话来描述勒索软件行业：“这是完美的网络犯罪”——极高收益（一次得手赚上百万、千万甚至上亿美元），极低风险（比特币的匿名属性，混币器等专业洗钱工具，追踪溯源成本很高，导致极少有勒索软件从业者被抓获）。

TheRecord发了对一位勒索软件参与者的采访，透露了很多勒索软件从业人员的秘密。有几句话很经典，比如标题说的，“任何地方都没有像勒索软件那样的钱”。

因比特币爆跌，黑产手里的钱一下变少了，贬值带崩了挖矿行业（我最近正准备捡便宜显卡使）。可以预见，勒索黑产也会下更多功夫搞钱，针对国内目标的勒索攻击可能越来越常见。

以下是TheRecord刊发的文章（部分有删节，原文比较长）

去年4月，一个勒索软件组织威胁美国警方说，如果华盛顿特区大都会警察局不支付赎金，就公开警方线人和其他敏感信息。

此次肆无忌惮的攻击是一个名为Babuk的团伙所为，该团伙在年初因在其网站上发布来自拒绝支付赎金的受害者数据库而闻名。就在敲诈大都会警察局几天后，Babuk宣布将关闭其他业务，专注于数据盗窃和勒索敲诈。

网络安全记者布赖恩·克雷布斯(BrianKrebs)采访了一位名叫米哈伊尔·马特维耶夫(MikhailMatveev)的勒索软件参与者，他拥有其他多个身份，包括“Wazawaka”这个ID。

Matveev与RecordedFuture分析师兼产品经理DmitrySmilyanets讨论了他与其他黑客的互动、他参与的勒索软件攻击的详细信息，以及他如何确定Babuk这个名字。对话是用俄语进行的，并在RecordedFuture的Insikt小组的语言学家的帮助下翻译成英语。

TheRecord无法独立核实Matveev的所有说法——他提到的受害者组织要么拒绝对采访发表评论，要么没有回应请求。

DmitrySmilyanets：在过去的一年里，研究人员给你起了不同的名字：Babuk、BorisElcin、Wazawaka、unc、Orange，甚至KAJIT。这些真的都是你的名字吗？还是犯了错误？

MikhailMatveev：是的，所有这些昵称，除了一个，都是我的。我从来都不是KAJIT。我厌倦了在论坛上到处证明这一点，甚至向所谓的研究人员和记者证明这一点。

DS：在去年4月华盛顿特区大都会警察局遭到勒索软件攻击后，你被“发现”了。您使用从警方服务器窃取的数据进行勒索，包括线人数据库。但随后博客消失了，Babuk分崩离析，源代码被泄露。发生了什么？

MM：在警察局相关事件发生前不久，有一个家伙在论坛上给我写信。我不会说他的昵称，但每个人都非常清楚我们在说谁。他告诉我，“鲍里斯，我有一个超级酷的产品。”他给我发了一些我测试过的版本——一切都很好，一切都适合我，这个人似乎足够了。我们开始开发这个机会，一家公司被这个产品锁定了。

我们称之为Babuk勒索软件，一切都很顺利，他们支付了赎金，我们解密了一切。在此之后，我们想创建一个联盟计划，我为[勒索软件联盟管理]面板找到了一名程序员。然后一位同行来找我们，他实际上说他可以进入警察局。我没有进行这次攻击，但他完成了整个攻击，他们加密了警察局并下载了所有内容。

谈判完全没有结果，那个人想要赎金。最后，正如我们用俄语所说的那样，在上传数据时，他们“脱裤子跑了”，他们拒绝接受10万美元赎金还价。

但我的看法是：“如果你不接受这笔钱，我会将这些数据发布在博客上。”那个人让我不要这样做。我告诉他们，被盗数据是Babuk联盟计划的财产。好吧，他们开始威胁我说他们会找到我。我刚刚屏蔽了这个会员并开始将数据上传到博客。

由Babuk勒索软件组织发起的论坛RAMP出现大量的水贴和垃圾邮件。一个不知名的人说他们有24小时时间支付5,美元，否则攻击继续。

勒索软件参与者正在勒索其他勒索软件参与者。

那个人试图建立一个新的Babuk博客，由于Tor域是我的。我没有让他们这样做，联盟计划就崩溃了。对警察部门的黑客攻击是该联盟计划崩溃的最后一根稻草，尽管有许多不同的情况导致了这一点。

例如，ESXi虚拟机管理程序的解密器中存在一个巨大的BUG[VMwareESXi是由VMware开发的用于部署和服务虚拟计算机的企业级虚拟机管理程序]。我们至少销毁了两家公司的数据，我们从他们那里拿钱买解密器，但他们无法解密他们的数据。本质上，我们欺骗了他们。

DS：然后出现了RAMP论坛[编者注：RAMP是一个犯罪地下论坛，勒索软件运营商和附属公司在此宣传他们的产品]。你为什么创造它，为什么你把它转让给其他人？

MM：我创建了RAMP来使用Babuk洋葱域。幸运的是，Babuk的流量很大。于是就有了创建RAMP论坛的想法。论坛走红后，我意识到我不想参与，因为它绝对不会带来任何利润，它只产生了成本，持续不断的DDoS攻击，这一切都归结为从头开始重写引擎并在上面花费大量资金。

然后一些粗略的事情从那里开始，每个人都必须得到验证。我心想，上帝，我为什么要报名参加这个？我在论坛上遇到了Kajit。我对Kajit说：“嘿，做个版主，验证每个人，然后我会向你扔一些现金。”这就是论坛实际上落入Kajit手中的方式。之后，我的生活中发生了各种各样的问题。

我根本没有时间上论坛，所以我把论坛给了Kajit。然后，当联盟计划开始给我写信时，发生了一系列奇怪的事件。他们说：“你到底在做什么，你这个畜生？我们面板的屏幕截图泄露了。”我对整个情况感到尴尬。我去了论坛并代表鲍里斯向Kajit提出了投诉。

在那一刻，我们与LockBit进行了很好的沟通。他对我来说似乎是一个普通人，我在这些谈判中拉了他。Kajit说他不会被禁止，也不会与任何人分享论坛。论坛管理员建议Kajit将论坛转让给其他人，据我所知，Stallman得到了它。RAMP论坛还存在，但我不去那里，也没有和Stallman有太多的接触。

勒索软件团伙之间存在竞争

DS：来自不同联盟计划的人多久会在同一个网络中竞争敲诈受害者？你有过这样的情况吗？

MM：这种情况经常发生。尤其是当几个人拥有该漏洞，或者如果我们正在谈论使用窃取者提取初始访问凭据时从同一个流量市场倾倒日志。我从GitHub获取了一些源代码，即所谓的概念验证POC，并对其进行了修改。

如果您还记得，FortinetVPN有一个著名的CVE。我们在论坛的一位程序员那里找到了它。根据IP地址列表，我们获得了大约48,个入口点。当时我很惊讶，真的很震惊。但是我们甚至没有计算出这个列表的3%，时间不够。

当其他人——好吧，比如说我们的竞争对手——开始使用这个漏洞时，就会出现跨网络的交叉点。我经常进入已经被某人锁定的网络并且没有触摸它们，因为第二次加密不是我的工作，但是有些人锁定了网络。他们进来看到它是加密的，他们再次加密它。

在某些情况下，我和伙计们只是在开发过程中在网络上相遇，交换了联系方式，并以某种方式讨论了下一步该做什么，我们基本上总是同意的。

甚至碰巧我们后来还共同做了一些其他的项目。在年的夏天，这种情况一直在发生，因为每个人都渴望材料。我们如何才能进入初始访问？实际上，选择并不多。存在漏洞，例如VPN设备的各种产品中的RCE（远程代码执行），所有可以访问网络的东西，或者来自窃取者的网络访问登录。

但基本上，现在每个人都被流量交易所淹没，很少有独特的流量。而那些拥有它的人，他们只是为自己或已经在某些团队中工作，因此网络上存在利益冲突是绝对正常的，现在会更多。

DS：告诉我一些对你来说很突出的攻击。哪个最快？从第一次入网到收到付款用了多长时间？

MM：德米特里，我会挑出几个这样的攻击......是的，有很多有趣的攻击。在谈论攻击之前，我想总结一下。有小型网络，有中型网络，也有非常大的网络。

我会告诉你，与收入为10亿美元组织合作比与收入为万美元的组织合作要容易得多。我会告诉你为什么。与您受限的小型网络相比，有更多的计算机更易于隐藏和导航，你必须移动得非常快。

当我开始我的职业生涯时，我从BlueKeep开始——微软远程桌面下的一个漏洞。我每天入侵五个小型网络，因为我必须立即进入并进行操作。但是，随着我的进步，我花在hack上的时间增加了。

可能每个人都听说过Cap

转载请注明:http://www.aideyishus.com/lkzp/2424.html