勒索组织

暗网勒索团伙LockBit最近几个月遇到了严重问题，其基础设施可能遭到黑客攻击。这是西方著名信息安全记者约翰·迪马吉奥（Jon DiMaggio）报道的，他发布了他的勒索软件日记项目的第三部分。 LockBit采用了勒索软件即服务（RaaS）的形式。有意使用此服务的各方支付押金以使用自定义的租赁攻击，并通过一种会员框架获利。赎金由LockBit开发人员团队和发起攻击的会员（附属合作伙伴）分配，后者最多可获得75%的赎金。 “我从第三方收到的信息表明他们可以侵入该组织的基础设施。当时，尚不完全清楚LockBit背后的人是否已经陷入了混乱，或者只是暂时休息一下。但他们的活动肯定被打断了。我相信这样做是为了消除对其基础设施的入侵的影响。”DiMaggio写道。 他补充说，LockBit在发布受害者数据时面临一些问题。他认为，该组织的成员试图利用两大暗网论坛（Exploit 和 XSS——俄罗斯网络犯罪分子经常使用的两个论坛）上的说服性宣传，来掩盖LockBit经常无法及时、一致地发布被盗数据的事实。相反，该社区据称依靠空洞的威胁及其声誉来说服受害者付款。 DiMaggio表示，这是由于该集团内部基础设施和低带宽的限制。 DiMaggio表示，LockBit最近升级了其基础设施以解决这些缺点。然而，这实际上是一种策略，旨在给人留下受害者数据发布中的错误已被纠正的印象。合作伙伴将LockBit计划留给竞争对手。他们知道，尽管有最新声明，LockBit无法发布有关受害者的大量数据。 DiMaggio发布了他的主要发现： 一、LockBit目前可能已经被入侵 暗网勒索团伙LockBit利用Tox进行通信和实现勒索操作，但是在DiMaggio与LockBit团伙分享他这份报告中的发现后，LockBit团伙就从Tox上消失了。与此同时，DiMaggio收到了来自LockBit附属合作伙伴的消息，他们认为是DiMaggio入侵了该团伙。然后，DiMaggio收到了来自第三方的另一条消息，表明他们可能已经入侵了该团伙的基础设施。当时，尚不清楚LockBit团伙背后的人是否已经躲藏起来，或者只是在休息，但他们没有活动的情况非常明显，DiMaggio相信该团伙是为了清理对其基础设施的入侵而销声匿迹的。 二、Lockbit无法持续发布和泄露受害者数据 LockBit团伙在其暗网泄密网站上进行宣传，并在犯罪论坛上进行大肆宣扬，以掩盖其经常无法持续发布被盗数据的事实。相反，它依靠空洞的威胁和自豪的公众声誉来说服受害者付款。不知何故，除了附属合作伙伴之外，没有人注意到这一点。此问题是由于其后端基础设施和可用带宽的限制造成的。 三、LockBit最近更新了其基础设施来解决这些问题 然而，这只是一个噱头，让人看起来以为它修复了前面提到的无法持续发布受害者数据的问题。它声称受害者的“文件已发布”。通常，这是一个谎言和策略，目的是掩盖“LockBit无法像向其附属合作伙伴承诺的那样，通过其管理面板持续托管和发布大量受害者数据”的事实。此外，在过去的六个月里，LockBit提出了空洞的威胁，但在许多受害者拒绝付款后却没有采取任何行动。 四、附属合作伙伴正在离开LockBit，转而投奔其竞争对手 他们知道，尽管LockBit声称无法发布大量受害者数据。此外，他们需要几天到几周的时间来审查信件并回复其附属合作伙伴。有些请求根本没有被LockBit团伙解决。 LockBit团伙错过了最新的发布日期，无法生成更新的勒索软件变体来支持其附属合作伙伴。 五、LockBit依赖于使用竞争对手泄露的过时的、公开的勒索软件 LockBit希望从其竞争对手的勒索软件团伙窃取勒索软件，用于自己的运营，并通过其管理面板提供。它希望提供点菜式的勒索软件产品，并成为黑客附属机构的一站式商店。

LockBit勒索软件组织近期正式发布了“LockBit 3.0”，改进了勒索网站的UI设计，在暗网上推出了该组织的官方博客网站、展示入侵证据的文件网站、与受害者交流的聊天网站，并为这些网站设置了数十个官方镜像；在勒索软件组织群体中第一个引入了勒索软件漏洞赏金计划，以换取其自身的漏洞；并增强了新的勒索策略，增加了Zcash加密货币支付选项。 LockBit 3.0正式发布 LockBit勒索软件组织于2019年启动，此后已发展成为最多产的勒索软件组织，占2022年5月所有已知勒索软件攻击的40%。 该网络犯罪团伙在过去两个月进行了beta测试后，发布了一项名为LockBit 3.0的改进后的勒索软件即服务(RaaS)操作，新版本已用于攻击。 虽然尚不清楚对加密工具进行了哪些技术更改，但赎金票据不再命名为“Restore-My-Files.txt”，而是改为命名格式[id].README.txt，如下所示。 新的LockBit网站由三个网站组成 LockBit勒索软件组织在暗网上推出了三个网站，分别是该组织的官方博客网站、展示入侵证据的文件网站、与受害者交流的聊天网站，并为这些网站设置了数十个官方镜像，网站界面很豪华炫丽。 博客网站及其镜像（域名以lockbitapt打头）： http://lockbitapt2d73krlbewgv27tquljgxr33xbwwsp6rkyieto7u4ncead.onion http://lockbitapt2yfbt7lchxejug47kmqvqqxvvjpqkmevv4l3azl3gy6pyd.onion http://lockbitapt34kvrip6xojylohhxrwsvpzdffgs5z4pbbsywnzsbdguqd.onion http://lockbitapt5x4zkjbcqmz6frdhecqqgadevyiwqxukksspnlidyvd7qd.onion http://lockbitapt6vx57t3eeqjofwgcglmutr3a35nygvokja5uuccip4ykyd.onion http://lockbitapt72iw55njgnqpymggskg5yp75ry7rirtdg4m7i42artsbqd.onion http://lockbitaptawjl6udhpd323uehekiyatj6ftcxmkwe5sezs4fqgpjpid.onion http://lockbitaptbdiajqtplcrigzgdjprwugkkut63nbvy2d5r4w2agyekqd.onion http://lockbitaptc2iq4atewz2ise62q63wfktyrl4qtwuk5qax262kgtzjqd.onion 展示入侵证据的文件网站及其镜像（域名以lockbit7z打头）： http://lockbit7z2jwcskxpbokpemdxmltipntwlkmidcll2qirbu7ykg46eyd.onion http://lockbit7z2mmiz3ryxafn5kapbvbbiywsxwovasfkgf5dqqp5kxlajad.onion http://lockbit7z2og4jlsmdy7dzty3g42eu3gh2sx2b6ywtvhrjtss7li4fyd.onion http://lockbit7z355oalq4hiy5p7de64l6rsqutwlvydqje56uvevcc57r6qd.onion http://lockbit7z36ynytxwjzuoao46ck7b3753gpedary3qvuizn3iczhe4id.onion http://lockbit7z37ntefjdbjextn6tmdkry4j546ejnru5cejeguitiopvhad.onion http://lockbit7z3azdoxdpqxzliszutufbc2fldagztdu47xyucp25p4xtqad.onion http://lockbit7z3ddvg5vuez2vznt73ljqgwx5tnuqaa2ye7lns742yiv2zyd.onion http://lockbit7z3hv7ev5knxbrhsvv2mmu2rddwqizdz4vwfvxt5izrq6zqqd.onion http://lockbit7z3ujnkhxwahhjduh5me2updvzxewhhc5qvk2snxezoi5drad.onion http://lockbit7z4bsm63m3dagp5xglyacr4z4bwytkvkkwtn6enmuo5fi5iyd.onion http://lockbit7z4cgxvictidwfxpuiov4scdw34nxotmbdjyxpkvkg34mykyd.onion http://lockbit7z4k5zer5fbqi2vdq5sx2vuggatwyqvoodrkhubxftyrvncid.onion http://lockbit7z4ndl6thsct34yd47jrzdkpnfg3acfvpacuccb45pnars2ad.onion http://lockbit7z55tuwaflw2c7torcryobdvhkcgvivhflyndyvcrexafssad.onion http://lockbit7z57mkicfkuq44j6yrpu5finwvjllczkkp2uvdedsdonjztyd.onion http://lockbit7z5ehshj6gzpetw5kso3onts6ty7wrnneya5u4aj3vzkeoaqd.onion http://lockbit7z5hwf6ywfuzipoa42tjlmal3x5suuccngsamsgklww2xgyqd.onion http://lockbit7z5ltrhzv46lsg447o3cx2637dloc3qt4ugd3gr2xdkkkeayd.onion http://lockbit7z6choojah4ipvdpzzfzxxchjbecnmtn4povk6ifdvx2dpnid.onion http://lockbit7z6dqziutocr43onmvpth32njp4abfocfauk2belljjpobxyd.onion http://lockbit7z6f3gu6rjvrysn5gjbsqj3hk3bvsg64ns6pjldqr2xhvhsyd.onion http://lockbit7z6qinyhhmibvycu5kwmcvgrbpvtztkvvmdce5zwtucaeyrqd.onion http://lockbit7z6rzyojiye437jp744d4uwtff7aq7df7gh2jvwqtv525c4yd.onion 与受害者交流的聊天网站及其镜像（域名以lockbitsup打头）： http://lockbitsupa7e3b4pkn4mgkgojrl5iqgx24clbzc4xm7i6jeetsia3qd.onion http://lockbitsupdwon76nzykzblcplixwts4n4zoecugz2bxabtapqvmzqqd.onion http://lockbitsupn2h6be2cnqpvncyhj4rgmnwn44633hnzzmtxdvjoqlp7yd.onion http://lockbitsupo7vv5vcl3jxpsdviopwvasljqcstym6efhh6oze7c6xjad.onion http://lockbitsupq3g62dni2f36snrdb4n5qzqvovbtkt5xffw3draxk6gwqd.onion http://lockbitsupqfyacidr6upt6nhhyipujvaablubuevxj6xy3frthvr3yd.onion http://lockbitsupt7nr3fa6e7xyb73lk6bw6rcneqhoyblniiabj4uwvzapqd.onion http://lockbitsupuhswh4izvoucoxsbnotkmgq6durg7kficg6u33zfvq3oyd.onion http://lockbitsupxcjntihbmat4rrh7ktowips2qzywh6zer5r3xafhviyhqd.onion 第一个由网络犯罪团伙发起的漏洞赏金计划 这一次，LockBit黑客通过启动有史以来第一个由网络犯罪团伙发起的漏洞赏金计划而成为头条新闻。 随着LockBit 3.0的发布，该行动引入了勒索软件团伙提供的第一个漏洞赏金计划，要求安全研究人员提交漏洞报告，以换取1000至100万美元的奖励。 “我们邀请地球上所有的安全研究人员、道德和不道德的黑客参与我们的漏洞赏金计划。报酬金额从1000美元到100万美元不等。”LockBit 3.0漏洞赏金页面写道。 然而，这个漏洞赏金计划与合法公司通常使用的有点不同，因为在许多国家帮助犯罪企业是非法的。 此外，LockBit不仅为自身漏洞奖励提供赏金，而且还为改进勒索软件操作和对附属项目老板进行人肉搜索的“绝妙想法”提供赏金。 以下是LockBit3.0操作提供的各种错误赏金类别： 网站漏洞：XSS漏洞、mysql注入、获取站点shell等，将根据Bug的严重程度付费，主要方向是通过网站漏洞获取解密器，以及获得与加密公司的通信历史。 加密工具的错误：加密工具在加密过程中出现的任何错误，导致文件损坏或在没有得到解密器的情况下可能解密文件。 绝妙的想法：我们为想法付费，请写信告诉我们如何改进我们的网站和我们的软件，最好的想法将得到报酬。我们的竞争对手有什么有趣的地方是我们所没有的？ 人肉搜索：我们会为联盟计划老板的人肉搜索支付100万美元，不多也不少。无论您是联邦调查局特工还是非常聪明的黑客，知道如何找到任何人，您都可以给我们写一个TOX messenger，告诉我们您发现的老板的名字，并为此获得100万美元的比特币或门罗币。

臭名昭著的勒索软件团伙REvil卷土重来的证据已经出现在暗网上，原先的REvil团伙的暗网网站已经跳转至一个新的暗网博客，并详细介绍了三个新受害者：美国斯坦福德大学（Stratford University）、另一家印度公司——标牌制造商VisotecGroup（Visotec Group www.visotec.com）和石油公司Oil India（www.oil-india.com），当然，之前的老的受害者信息在博客里依旧存在。 外界猜测源自俄罗斯的REvil勒索软体团伙，在2021年7月攻击Kaseya VSA软体用户后，因惊动白宫甚至俄国政府，选择消失以避风头并关闭了暗网站点；2021年9月，REvil用来展示入侵成果、展示盗取资料的Happy Blog网站又出现在暗网中；2021年10月，在暗网站点被劫持后，REvil选择再次关闭；2022年1月，REvil的许多团伙成员被俄罗斯联邦安全局逮捕。 那么，勒索软件团伙REvil真的又回来了吗？经过对REvil暗网网站的分析，“暗网下/AWX”认为REvil确实是已经卷土重来，而应该不是俄罗斯联邦安全局的钓鱼操作。 REvil之前的暗网网站的V3域名为： http://dnpscnbaix6nkwvystl3yxglz7nteicqrou3t75tpcc5532cztc46qyd.onion REvil新跳转的暗网网站的V3域名为： http://blogxxu75w63ujqarv476otld7cyjkq4yoswzt4ijadkjwvg3vrvd5yd.onion/Blog REvil真的回归了吗？ REvil被认为是过去一年活跃在暗网上的最具侵略性和最多产的勒索软件即服务团伙之一。这个网络犯罪团伙开发和部署了Sodinokibi恶意软件，并声称在7月对管理服务提供商Kaseya的供应链攻击中立下汗马功劳，该攻击影响了与该公司合作的多达1500家企业。据报道，该团伙还对全球肉类供应商JBS的袭击负责，并要求支付1100万美元的赎金。 俄罗斯安全机构FSB表示，它在1月份的一次打击行动中逮捕了该组织的一些关键人员，但REvil在暗网上发布受害者信息的页面现在已经重新启动。这个曾被称为“Happy Blog”的网站已经更新，链接到跳转到另一个显示该团伙许多受害者的网站“Blog”，其中至少增加了三个新的受害者。 其中一个是美国斯坦福德大学，网站声称有大约60G的文件，包括财务报告、学生的护照和社会号码、工作人员的数据和许多其他重要信息，并在页面公布了一些内部图片；还有一个是Visotec集团，该公司没有公开披露是否受到攻击；还有一个是印度石油公司，该公司在4月10日遭受了一个不知名的团伙的勒索软件攻击，要求赔偿790万美元。 该网站指出，印度石油公司已不再就支付赎金进行谈判，该网站还收录了该公司的一些内部文件。 该网站还增加了一个俄语招聘页面，承诺愿意加入的黑客将获得80/20的赎金分成。该网站似乎还在兜售与该团伙在被FSB取缔前使用的类似赎金软件。 REvil复活的幕后黑手是谁？ Orange Cyberdefense的首席安全研究员Diana Selck-Paulsson表示，到目前为止，尚不清楚REvil明显回归的幕后黑手是谁。“今天的网络勒索组织消失并以其他形式重新出现或重新命名的情况并不少见，”她说，“有趣的是，该网站正在被重新使用，REvil的老受害者和新受害者都显示在那里。造成这种情况的一个原因可能是有人试图使用REvil的声誉或‘品牌’而不与原始组织建立联系。” 安全公司Digital Shadows的高级网络威胁情报分析师Chris Morgan表示，另一种解释可能是，FSB正在利用REvil的博客作为引诱其他网络犯罪分子的陷阱。“目前尚不清楚与REvil相关的基础设施重启是否代表真正的活动回归，”Morgan说，“有些人认为，回归可能是由俄罗斯执法部门促成的，以诱捕REvil前行动的其他成员，然而，由于新的受害者和敏感信息已经发布到该网站，这似乎不太可能。” Morgan说，无论REvil的回归是否真实，它的重新出现都不会受到更广泛的勒索软件社区的欢迎。一月份的逮捕行动意味着该组织将被怀疑。“网络犯罪社区的初步评论反映了这一点，他们表示即使返回是由REvil的原始成员协调，他们也会不信任。”他说。

网络安全公司Trustwave发现，1月14日俄罗斯联邦安全局（FSB）对REvil勒索软件团伙的打击在地下犯罪网络中引起了恐惧和焦虑。在分析了地下论坛上的暗网聊天记录后，Trustwave发现网络犯罪分子认为他们最终可能会逮捕入狱并考虑从俄罗斯搬迁至其他国家。 俄罗斯国内安全部门表示，此次行动是应美国当局的要求，以应对源自该国的勒索软件攻击。 俄罗斯联邦安全局表示，在拘留了14名REvil勒索软件团伙成员后，他们还缴获了4.26亿卢布（约合560万美元）、60万美元、50万欧元和20辆豪华汽车。 暗网聊天记录证实了对俄罗斯联邦安全局与美国潜在合作的焦虑 俄罗斯政府与美国之间的潜在合作增加了地下圈子的焦虑。Trustwave SpiderLabs援引一位地下黑客论坛成员的话说，他担心服刑。 “这是一个很大的变化，”他说，“我不想坐牢。” 据Trustwave SpiderLabs称，地下论坛的成员认为他们的国家不再是避风港，并担心被逮捕。一些人建议将他们的勒索软件业务转移到印度、中国、中东或以色列。 这些担忧证实，勒索软件团伙将俄罗斯视为其犯罪活动的庇护所。然而，离开俄罗斯只会更加增加他们被捕和被引渡到美国的机会。 另一名成员警告其他人，联邦调查局正在通过莫斯科和圣彼得堡的货币兑换商瞄准勒索软件集团，“所有在莫斯科或圣彼得堡兑换的人都会停下来，联邦调查局在莫斯科。通过货币兑换商，勤劳工作的勒索软件团伙成员会被覆盖（捕获）。” 他们担心货币兑换商与执法部门合作并在审讯期间提供信息。 暗网聊天的一名参与者提出了俄罗斯联邦安全局和联邦调查局之间为打击勒索软件进行秘密谈判的怀疑。另一个人警告说，依赖国家保护的勒索软件运营者会感到震惊。 “事实上，有一点很清楚，那些期望国家保护他们的人会大失所望。”他说。 暗网聊天记录还表明，地下黑客组织成员对论坛管理员的背叛感到忧虑。他们怀疑一位管理员与执法当局合作，并参与了逮捕行动。 他承诺分享他与一名成员的对话，这名成员“消失得无影无踪，很可能是由于一个绰号为RED \ KAJIT的人，他是ramp论坛的管理员，为执法部门工作，反对普通辛勤勒索劳动者。” 论坛管理员可以访问会员信息，并可以与执法机构分享这些信息，作为认罪协议的一部分，或用于经济奖励等激励措施。 Trustware分析了一名成员的对话，该对话在2021年11月预测两个月内会有逮捕行动。 但是，有些人认为他们可以避免被捕并继续进行勒索软件活动。如果俄罗斯联邦安全局与美国当局合作，一位成员提供了几种逃避执法的解决方案。他建议使用Tor进行匿名，将被盗的数字资产存储在不同的计算机上，并使用加密技术。 此外，他建议网络犯罪分子避免不必要的暗网聊天，并补充说“现在在任何地方写任何东西都是危险的。” 他还警告说，在莫斯科和圣彼得堡，闭路电视摄像机随处可见，这对参与实际提取勒索资金的网络犯罪分子来说是一个巨大的安全风险。 其他参与暗网聊天的人指责REvil勒索软件组织通过攻击美国等强大国家的数十亿组织并吹嘘来吸引注意力。 一位成员指出，“在我们的行业中成为超级明星是一个非常糟糕的想法。” “在攻击和加密价值数十亿美元的公司、学校、州之前，有必要考虑一下，”他说，“他们敢跟谁比？” 俄罗斯联邦安全局对REvil勒索软件的行动很可能是从乌克兰转移注意力 Trustwave质疑俄罗斯FSB在打击勒索软件威胁方面的承诺。一个地下论坛的成员在暗网聊天中也表达了类似的观点，认为该行动是一场旨在供国际消费的表演。REvil勒索软件团伙被认为是网络犯罪中唾手可得的果实和跛脚鸭，因为其自愿决定缩减运营规模，并成功采取了执法行动。 逮捕REvil可能有助于俄罗斯联邦安全局转移人们对乌克兰边境正在酝酿的危机的注意力，并避免受到美国的更多制裁。因此，许多西方专家仍然怀疑逮捕最终会导致起诉或开启俄罗斯联邦安全局与国际安全部门之间合作的新篇章。

与俄罗斯有关的勒索软件团伙REvil似乎已经从暗网上消失了，它在暗网上有几个记录其活动的网页，包括一个名为”快乐博客”的网页，目前均无法访问。 REvil的暗网 (.onion) 和明网(decoder.re) 网站均处于离线状态，尽管我们无法确切了解他们的网站是如何被撤下的。他们的明网站点的域名只是停止解析IP地址，但是其专用服务器仍然在线。 目前还不知道这些网站是暂时关闭还是该组织–或执法部门–将其网站下线。 网络安全公司Recorded Future Inc.的高级威胁分析师Allan Liska在一条短信中说：”现在下结论还为时过早，但我从未见过他们所有的基础设施像这样被关闭。”我在暗网上找不到他们的任何站点，他们的勒索页面不见了，他们所有的支付门户都离线了，他们的聊天功能也是如此。” 利斯卡说，这些网站在东部时间凌晨1点左右下线。 在突然中断的几天前，美国总统拜登说，他向俄罗斯总统普京施压，要求他对被指责为最近勒索软件攻击的俄罗斯黑客采取行动。 拜登告诉记者：”我非常清楚地告诉他，美国希望当勒索软件行动来自他的国土时，即使它不是由国家赞助的，我们也希望他能采取行动。“ 联邦调查局、网络安全和基础设施安全局和白宫的代表没有立即回应评论请求。克里姆林宫发言人德米特里-佩斯科夫(Dmitry Peskov)拒绝发表评论，称他不知道网络中断的情况。 周一，佩斯科夫说，俄罗斯正在等待美国提供有关从俄罗斯境内进行的所谓网络攻击的详细信息。”他说：”你说黑客从俄罗斯境内攻击了美国境内的一些公司，但至少你需要给出一些信息，说明这些结论的依据是什么。白宫曾表示，它已经与俄罗斯政府分享了关于犯罪黑客的信息。 网络安全公司和美国政府怀疑REvil在俄罗斯境内活动，它被指控是攻击巨型肉类供应商JBS SA的幕后黑手，后者最终向该组织支付了1100万美元的赎金。 最近，该组织开始了一次大规模的勒索软件攻击，影响了全球数百家公司。黑客的目标是软件公司Kaseya Ltd.和其客户。 在勒索软件攻击急剧增加的情况下，拜登政府已将打击黑客犯罪集团作为国家安全的首要任务。被指控对Colonial Pipeline Co.进行勒索软件攻击的疑似俄罗斯组织DarkSide在事后关闭了其暗网页面。据网络安全专家称，目前还不清楚该组织是真的撤退了，还是以新的名字重新命名。