美国国务院由外交安全局管理的正义奖赏计划(Rewards for Justice)周三宣布悬赏1000万美元,寻求更多有关黑猫(ALPHV/BlackCat)勒索软件组织的更多信息。
Help Us Trap This Cat
ALPHV/BlackCat-linked actors have targeted more than 400 victims worldwide.
If you have info on this ransomware-as-a-service group, or associated individuals or entities, contact us. You could be eligible for a reward or relocation. pic.twitter.com/GzvjzFEFux
— Rewards for Justice (@RFJ_USA) March 27, 2024 黑猫勒索组织的勒索软件也称为ALPHV/BlackCat,于2021年11月首次部署。
ALPHV/BlackCat以勒索软件即服务商业模式运营,该组织的成员开发并维护勒索软件变体,然后招募附属机构来部署勒索软件。ALPHV/BlackCat及其附属机构随后分享了所有支付的赎金。
美国国务院表示,它设立了一条暗网举报热线,以保护潜在消息来源的安全。
为什么它很重要 公告称,根据《计算机欺诈和滥用法》(Computer Fraud and Abuse Act),美国国务院试图起诉“在外国政府控制下针对美国关键基础设施从事某些恶意网络活动”的网络行为者。
RJF表示,ALPHV/BlackCat采用“勒索软件即服务”(ransomware-as-a-service)的商业模式运营,该组织的成员开发和维护勒索软件变体,然后招募附属机构来部署勒索软件。
除了基于Tor的暗网举报方式外,RFJ还指出,“符合条件的消息来源可能会获得通过加密货币支付的消息费和奖励。”
更大的趋势 当Change Healthcare遭受网络攻击时,勒索软件最终引发了连锁反应,在整个医疗保健生态系统(从患者和医疗服务提供者到药房和付款人)中产生了深远的影响,而且这种连锁反应仍在持续。
联邦机构证实,自美国司法部去年12月宣布扣押ALPHV团伙的基础设施以来,医疗保健机构已成为攻击目标。
美国国家网络安全联盟(National Cybersecurity Alliance)信息安全和参与总监Cliff Steinhauer表示,Blackcat对联合健康集团(UnitedHealth Group)旗下每年处理150亿笔医疗交易的Change网络的攻击凸显了网络事件报告透明度的必要性,并强调了医疗机构应急计划的紧迫性。
美国国务院现已提供高达1000万美元的正义悬赏,以帮助将Hive勒索软件组织(或其他威胁行为者)与外国政府联系起来。
FBI disrupts the Dark Web site of the Hive ransomware group.
If you have information that links Hive or any other malicious cyber actors targeting U.S. critical infrastructure to a foreign government, send us your tip via our Tor tip line. You could be eligible for a reward. https://t.co/7Bqz0DUSCf pic.twitter.com/n8U3TNC7lh
— Rewards for Justice (@RFJ_USA) January 26, 2023 11月,联邦调查局透露,自2021年6月以来,该勒索软件行动已从1500多家公司勒索了约1亿美元。
“如果你有信息将Hive或任何其他针对美国关键基础设施的恶意网络行为者与外国政府联系起来,请通过我们的Tor举报网站向我们发送你的举报。你可能有资格获得奖励,”美国国务院的“正义的奖赏”Twitter帐户说。
“有关任何在外国政府的指示下,违反《计算机欺诈和滥用法》参与针对美国关键基础设施的恶意网络活动的人的身份或位置的信息。”
“通过Signal、Telegram、WhatsApp或通过我们基于Tor的举报网站向我们发送您的信息。”
正义奖赏计划 正义奖赏(RFJ)是美国国务院首要的国家安全奖励计划。它是根据1984年打击国际恐怖主义法案、公法 98-533(编纂于 22 USC § 2708)建立的,由外交安全局管理。RFJ的使命是为保护美国人生命和促进美国国家安全目标的信息提供奖励。潜在的举报者可以在RFJ官方网站上了解有关该计划以及如何提交举报的更多信息:www.
暗网线人可以通过加密货币或其他方式赚取高达1000万美元的收入,只要他们提供的信息可用于识别或定位以关键基础设施为目标的国家支持的黑客。 当黑客和网络安全专家上周来到拉斯维加斯参加著名的网络安全会议Black Hat时,他们可能已经注意到一个名为“#Rewardsnotransoms”的开放式Wi-Fi网络。这不是那种网络通常不受保护的地方,但在这种情况下,这就是重点。登录或扫描也在会议楼层分发的T恤和传单上的二维码,与会者将进入国务院新计划的页面,该计划向暗网线人提供高达1000万美元的有政府支持背景的黑客信息。
拉斯维加斯之所以向这样一个目标明确的网络受众推送信息,是因为在“正义奖赏”计划近四十年来,线人第一次可以选择以加密货币接收付款,并通过暗网里的安全门户网站将敏感信息发送至美国政府处。在拜登政府为加强该国的网络安全而采取的一系列其他行动之际,国务院上个月悄悄宣布了这一消息。
一位国务院官员在一份接受采访中说:“在我们的项目中,人们充满了极大的热情,因为我们真的在竭尽全力尝试接触受众、消息来源以及可能拥有有助于改善我们国家安全的信息的人。“这也是有史以来的第一次,对于一些政府机构来说,这可能是前卫的,但我们将继续以许多不同的方式向前推进。”
在过去的几个月里,拜登政府指责俄罗斯雇佣的黑客入侵了美国多个政府机构和部门。RFJ新奖励的目标是从可能认识参与此类操作的人员的黑客类型中获取有用的信息。国家支持的攻击者以受保护的计算机为目标,例如美国政府、金融服务和各种基础设施部门使用的计算机,这是RFJ的目标。
国务院的另一位官员表示:“在暗网上,允许完全匿名和初始安全级别的东西可能更适合这些人。国务院拒绝将官员的评论记录在案,因此,我认为,只要找到他们所在的地方,用他们最舒服的技术与他们取得联系,就是正义奖赏游戏的名称。”
新的加密货币奖励优惠来自一个通常与奖励恐怖分子相关的计划,该计划表示,最高可支付1000万美元用于识别或定位攻击美国政府系统和水、电或交通等关键基础设施的国家支持黑客。(RFJ曾经提供的最高奖励是2500万美元,奖励可能已经死亡的基地组织头目Ayman al-Zawahiri。)
美国国务院表示,最近发生的大量网络攻击和拜登政府对它们的口头回应并不是推动新的加密货币奖励的原因。相反,政府对国家网络安全的日益关注对RFJ来说是一个偶然的推出时机。“我们已经为此工作了很长时间,恰逢我们设法将其推出的一个非常好的时机,因为关键基础设施和勒索软件处于攻击事件新闻的顶部,可以说,这是美国政府的一个主要关注点。”第一位来自负责监督 RFJ 的外交安全局的官员说。
暗网小贴士 可以使用Tor访问RFJ的暗网网站,Tor是暗网最常用的浏览器,暗网是互联网的隐藏部分,常规搜索引擎看不到。使用 Tor访问暗网允许用户匿名。官员们说,自该网站开通以来的几周内,有关恶意网络行为者的提示已经出现。由于信息和来源的敏感性,他们拒绝透露有多少或描述它们,并补充说现在说它们是否会导致任何事情还为时过早。“这不是一个快速的过程。我们正在接收提示。我们正在评估提示。我们将与机构间合作伙伴分享这些提示。然后他们必须使用这些信息并伸出援手并开始调查。”一位官员说。“这是一个长期的过程。”
美国政府已经成功地利用它在暗网上收到了需要的信息。2019 年,中央情报局推出了自己的洋葱网站——Tor网络上的网站众所周知——用于招募和接收举报,认识到它需要出现在人们觉得更安全的区域。
一位美国官员告诉美国有线电视新闻网,自该网站启动两年以来,中央情报局收到了各种各样的提示,包括恐怖主义阴谋。
这位官员说:“中央情报局已收到有关恐怖分子网络和袭击计划、情报问题、网络和技术问题以及犯罪等领域的经过验证的信息。”收到的信息然后可以与现有的情报数据进行确认,或者可以用于进一步验证已经获得的情报。
现在,国务院正在努力成为人们试图到达美国政府的信息的集中交换所。国务院官员表示,RFJ在世界各地和实地的全球知名度,以数十种不同的语言,有助于巩固其地位,作为“向我们的国家安全伙伴获取信息的对话者”。
“我想在未来几个月和几年里,我们将发展出这样一个高效和成功的过程,我们在国家安全委员会的合作伙伴将把我们视为获得他们试图挫败的国家安全威胁信息的最有效和最可靠的途径之一。”另一位官员说。
国会授权RFJ在2017年就网络攻击问题发放奖励,此后他们发布了两项与朝鲜网络犯罪和外国网络选举干预有关的具体奖励。新的奖励仅适用于国家支持的行为者,因此不适用于最近因重大袭击导致天然气管道和食品加工厂关闭的犯罪黑客。加密货币支付反映了不断变化的时代,并加入了可以进行的不同类型支付的列表。
装满现金的手提箱 “我们提供电汇,我们实际上仍然可以交付——而且确实交付——装满现金的手提箱,我们可以提供实物奖励,”外交安全官员说。现在,收件人将能够选择他们喜欢的任何加密货币。通常情况下,第二位官员说,这甚至不是钱的问题。这位官员说:“我们不成比例的消息来源甚至可能不是RFJ支付的人,但仍可能为我们的合作伙伴带来积极的国家安全成果。”
Evanina Group首席执行官比尔·埃瓦尼纳 (Bill Evanina) 表示,美国国务院对加密货币的尝试无疑是美国政府有史以来最公开的一次,但它之前也曾被使用过。他在联邦调查局和中央情报局工作了三十年,今年退休后担任国家反间谍和安全中心主任。
“我对此的了解更多是在超级机密领域。”埃文娜说,但拒绝透露更多。国家情报总监办公室、国家安全局、中央情报局和联邦调查局都拒绝评论情报界和执法部门如何使用加密货币。“政府没有使用加密货币来支付卧底线人或消息来源,这是不可想象的。”前司法部网络犯罪检察官Erez Liebermann说。
金钱仍然为王 政府公开使用加密货币进行支付的主流效应对加密货币倡导者来说是个好消息。“我们长期以来一直怀疑执法机构正在利用加密货币的特性,”华盛顿智库Coin Center的Neeraj Agrawal表示,该智囊团提倡加密货币。“很高兴看到政府认识到加密货币在促进激进主义方面可以发挥的作用。”
分析并与恶意网络行为者打交道的专家表示,数百万的潜在暴利是否会引起那些倾向于向俄罗斯等强大国家雇用的复杂黑客提供信息的人的共鸣,还有待观察。他们可能害怕他们工作的国家对他们进行打击,或者对美国政府追踪付款的能力有所顾忌。
“他们说盗贼之间没有荣誉。我认为,你仍然会得到很好的线索。”克里斯·潘特说,他是国务院第一位高级网络外交官,也是勒索软件工作组的联合主席,该工作组由公众和私营部门团体组成。“如果[线人]可以匿名做这件事,并且匿名获得报酬,即使他们是准国家资助的,他们也可能会这样做。因为金钱仍然是王道。”
尽管人们认为加密货币是安全的,但拜登政府已经明确表示,追踪它是打击勒索软件的首要任务。联邦调查局最近收回了超过200万美元的比特币,他们说这些比特币来自向DarkSide组织支付的赎金Colonial Pipeline,该组织的攻击导致5月份东海岸关键管道关闭。
更多奖励优惠即将到来 “潜在的线人会相信他们的匿名性会受到保护吗?” Emsisoft威胁分析师Brett Callow问道。“任何潜在的线人也是网络犯罪分子,只有在他们有信心可以安全的情况下才可能告密。”尽管如此,Painter和外交安全局前参谋长伯克斯(Cameron Burks)都说,正在尝试一些新的东西这一简单的事实应该得到庆祝。“
我一直觉得 RFJ 计划可以做得更多。”伯克斯说,“而这一举措,我认为,真正显示了对追捕坏人的前瞻性创新承诺,我认为,这将带来红利。我非常自豪地看到它。”“我真的很惊讶,”伯克斯补充说,“因为政府的努力,试图做一些像这样的前瞻性的事情。”
国务院官员表示,预计“很快”会提供更多关于网络安全的奖励,而且加密货币的使用也有望扩大。“这个计划正在发展。”一位官员说。“我认为这种加密货币的提议是我们未来将用于其他类型的奖励的东西。它可以鼓励其他类型的消息来源向我们提供信息,而这些消息来源以前可能不愿意来找我们。”
美国国务院周四宣布,美国政府正在提供高达1000万美元的资金,以悬赏那些能够识别或找到代表外国政府针对美国关键基础设施的恶意网络行为者的信息。
这是整个美国政府努力的一部分,试图制止最近的网络攻击,这些攻击使企业和其他关键基础设施陷入瘫痪。仅在今年,就有数百家依赖一家软件供应商的企业、东海岸的一条重要管道、一家主要肉类生产商和科德角的轮渡服务成为勒索软件攻击的受害者。
国务院的”正义奖赏“计划正在提供巨额奖励,同时警告说这种针对基础设施的网络活动违反了《计算机欺诈和滥用法案》(CFAA)。
“与我们看待这些网络威胁的严肃性相称,”国务院项目已经建立了一个暗网(基于 Tor 的)渠道,让潜在的消息来源以安全和可靠的方式报告线索。
该计划还在与机构间合作伙伴合作,以快速处理信息,可能的话,重新定位消息来源,并支付奖励,包括加密货币的奖励。
在周三晚间与记者的通话中,一位高级政府官员说,拜登政府还启动了一个特别工作组,每周跟踪政府在打击勒索软件方面的众多努力。
作为努力的一部分,司法部和国土安全部正在宣布 “stopransomware.gov“,他们认为这是一个关于勒索软件的集中资源,供各企业学习如何保护自己。
国土安全部部长亚历杭德罗·马约卡斯(Alejandro Mayorkas)周四告诉 CNN 的约翰·伯曼(John Berman),联邦政府网站是一个 “一站式 “的信息平台,指导”如何防止自己成为勒索软件的受害者,以及如果成为受害者如何与联邦政府合作解决”这些情况。
“我们在网络领域面临的最大威胁之一是勒索软件,网络犯罪分子将人们、家庭、小型企业、大中型企业作为人质,将他们的系统作为人质,直到他们支付赎金,当然我们建议他们不要支付赎金,”他补充说。
美政府提供的暗网举报V3网址是:
http://he5dybnt7sr6cm32xt77pazmtm65flqy6irivtflruqfc5ep7eiodiad.onion
跟新闻媒体的爆料平台一样,同样是使用SecureDrop搭建。
美政府提供的明网举报网址:
https://ransomware.ic3.gov/default.aspx
https://us-cert.cisa.gov/forms/report