近段時(shí)間，頭部勒索軟件的日子越來(lái)越不好過(guò)了，有業(yè)界人士甚至認(rèn)為，高調(diào)的頭部勒索軟件組織正在進(jìn)入“至暗時(shí)刻”。

[[433413]]

據(jù)security affairs消息，在臭名昭著的REvil勒索軟件下線兩個(gè)星期，勒索組織Groove發(fā)文加大對(duì)美國(guó)的打擊力度后，另一個(gè)業(yè)內(nèi)著名的勒索軟件BlackMatter也因?yàn)閳?zhí)法部門的打壓而被迫關(guān)門歇業(yè)。

BlackMatter勒索團(tuán)伙在其運(yùn)營(yíng)的勒索軟件即服務(wù)門戶網(wǎng)站上公布了這一消息，惡意軟件樣本網(wǎng)站vx-underground發(fā)布了該消息的截圖和英文文字版。

“迫于某些來(lái)自地方執(zhí)法機(jī)關(guān)的無(wú)法解決的壓力(在消息發(fā)布后，部分團(tuán)隊(duì)人員將被解散)，該項(xiàng)目現(xiàn)已下線。48個(gè)小時(shí)之后，整個(gè)基礎(chǔ)設(shè)施將全部關(guān)閉。

最后還可以做的是：

• 和本公司進(jìn)一步溝通可發(fā)送郵件;
• 如果需要獲取解密器，可在公司內(nèi)部聊天中留言‘求一個(gè)解密器’。
• 最后祝各位一切順利，很高興和大家一起共事。”

出道即巔峰的BlackMatter

2021年7月下旬，BlackMatter勒索軟件高調(diào)出道，隨即成為行業(yè)的焦點(diǎn)。這個(gè)自稱是 Darkside和 REvil的繼任者，整合了DarkSide、REvil、LockBit等老牌勒索軟件的最佳功能，一度還被業(yè)界稱為“下一代毒王”，可謂“出道即巔峰”。

Recorded Future公司的安全研究人員首先發(fā)現(xiàn)了BlackMatter勒索軟件。

那時(shí)他們正在暗網(wǎng)中發(fā)布招募信息，開(kāi)出豐厚的條件招攬成員，建立了勒索軟件即服務(wù) (RaaS) 的網(wǎng)站，并大言不慚將勒索標(biāo)的定為“年收入超1億美元”的公司。

2021年8月，BlackMatter勒索策劃、實(shí)施了針對(duì) VMware ESXi 虛擬機(jī)平臺(tái)的勒索事件。此后，BlackMatter勒索團(tuán)伙陸陸續(xù)續(xù)襲擊了許多美國(guó)、法國(guó)、意大利等國(guó)家的企業(yè)和組織，每次勒索贖金在80,000 至 15,000,000 美元不等。

[[433414]]

但是在2021年10月，網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA)、聯(lián)邦調(diào)查局 (FBI) 和國(guó)家安全局 (NSA) 聯(lián)合發(fā)布的報(bào)告中，詳細(xì)敘述了該勒索軟件團(tuán)伙相關(guān)的攻擊策略、技術(shù)和程序 (TTP)，并提供了詳細(xì)的操作和防御建議。

這份聯(lián)合報(bào)告中的數(shù)據(jù)全部來(lái)自第三方公司，信息可信度非常高。這意味著，在那個(gè)時(shí)候BlackMatter勒索軟件就已經(jīng)被美國(guó)政府給盯上了，并且已經(jīng)掌握了足夠多的信息。

回顧BlackMatter勒索軟件從出道到謝幕，不過(guò)才短短三個(gè)月不到的時(shí)間。雖然曾經(jīng)一度站在巔峰，但如今已解散團(tuán)隊(duì)，停止運(yùn)營(yíng)并關(guān)閉了所有的基礎(chǔ)設(shè)施。

打擊力度越來(lái)越大，勒索軟件“凜冬將至”

REvil、BlackMatter等頭部勒索軟件接連被拿下，也讓業(yè)界嗅到了一絲不同尋常的意味。面對(duì)多個(gè)國(guó)家執(zhí)法機(jī)關(guān)的高壓打擊，頭部勒索軟件已經(jīng)感受到了凜冬的嚴(yán)寒。

近年來(lái)，勒索攻擊發(fā)展極為迅速，并已經(jīng)成為全球企業(yè)和組織面臨的重要威脅之一，不少大型國(guó)際集團(tuán)因此而付出了慘痛的代價(jià)。正因?yàn)槿绱?，越?lái)越多的國(guó)家選擇聯(lián)合在一起，共同抵御勒索軟件攻擊。

2021年10月，美國(guó)就邀請(qǐng)了30多個(gè)國(guó)家召開(kāi)了反勒索聯(lián)盟會(huì)議，反勒索聯(lián)盟組織正式確定，隨即最出名的REvil勒索軟件就被拿下祭旗，成為了用來(lái)震懾的那只猴子。消息一出，業(yè)界震動(dòng)，勒索軟件組織連夜轉(zhuǎn)移了價(jià)值700萬(wàn)美元的比特幣。

這僅僅是執(zhí)法部門打擊勒索軟件的一個(gè)縮影。

10月26日，烏克蘭聯(lián)合瑞士共同聯(lián)合發(fā)起了一次勒索軟件執(zhí)法工作，突襲了某勒索組織據(jù)點(diǎn)，共抓獲12人，繳獲現(xiàn)金52000美元，五輛豪華汽車和一些電子設(shè)備。據(jù)悉該勒索組織自2019年以來(lái)共襲擊了18000多名受害者，涉及70多個(gè)國(guó)家/地區(qū)。

曾經(jīng)策劃了美國(guó)科洛尼爾油氣管道攻擊事件的DarkSide勒索軟件，也在2021年5月上旬被美國(guó)執(zhí)法部門打垮了。該勒索團(tuán)伙發(fā)布聲明稱，由于美國(guó)執(zhí)法部門的打擊，他們已經(jīng)無(wú)法通過(guò)SSH訪問(wèn)其公共數(shù)據(jù)泄露網(wǎng)站、支付服務(wù)器和CDN服務(wù)器，以及主機(jī)界面。因此將為所有尚未付款的公司提供解密工具，并承諾在2021年5月23日之前償還所有未償債務(wù)。

有意思的，五月初他們因攻擊科洛尼爾油氣管道拿到的巨額贖金，大部分也被美國(guó)司法部門追回(總贖金約為75枚比特幣，追回63.7枚，約戰(zhàn)85%)。美國(guó)司法部門稱，通過(guò)追蹤比特幣的交易確認(rèn)了接收贖金的地址，隨后，聯(lián)邦調(diào)查局獲取了密鑰，直接從DarkSide的賬戶里轉(zhuǎn)走了與贖金相關(guān)的63.7枚比特幣。

國(guó)際巨頭集團(tuán)們也紛紛對(duì)勒索軟件發(fā)起阻擊。例如在2020年10月，微軟就關(guān)閉了Trickbot僵尸網(wǎng)絡(luò)。而后微軟與安全網(wǎng)絡(luò)組織合作，破壞了Trickbot的后端基礎(chǔ)架構(gòu)，Trickbot僵尸網(wǎng)絡(luò)的運(yùn)營(yíng)者將無(wú)法再發(fā)起新的網(wǎng)絡(luò)攻擊或者激活那些已經(jīng)入侵了企業(yè)網(wǎng)絡(luò)里的勒索軟件。

在2020年年底，微軟、McAfee、Citrix等19家安全相關(guān)安全軟、硬件企業(yè)還聯(lián)合在一起，共同組成反勒索軟件任務(wù)小組 (RTF)，希望藉由建立更完整的反勒索軟件技術(shù)標(biāo)準(zhǔn)對(duì)抗威脅。

由此可見(jiàn)，和勒索組織之間的對(duì)抗將會(huì)越來(lái)越激烈，而越是高調(diào)的勒索組織，越是會(huì)迎來(lái)執(zhí)法部門狂風(fēng)驟雨般的打壓。這種打壓并不僅僅來(lái)自于單個(gè)國(guó)家，國(guó)與國(guó)之間聯(lián)合跨區(qū)域作戰(zhàn)將會(huì)成為常態(tài)。

在這樣的情況下，勒索軟件將會(huì)得到有效遏制，尤其是對(duì)有影響力的頭部勒索組織而言更是如此，因?yàn)樗鼈儗?huì)出現(xiàn)在聯(lián)合打擊的名單列表上，一旦被抓住了痕跡，很有可能會(huì)因此而涼涼。

隨著打擊力度不斷增加，勒索組織的運(yùn)營(yíng)成本和風(fēng)險(xiǎn)也曾直線上升之勢(shì)，再加上日漸嚴(yán)苛的司法處罰力度，對(duì)于勒索組織的成員來(lái)說(shuō)是一種不小的威懾。

如今，頭部勒索組織雖然面臨著“凜冬將至”的趨勢(shì)，但我們必須要清醒的是，指望從此之后勒索軟件銷聲匿跡不太現(xiàn)實(shí)。相反，我們更應(yīng)該像《權(quán)游》中的臺(tái)詞所說(shuō)的一樣，“從今開(kāi)始守望”。

網(wǎng)絡(luò)空間中的攻防對(duì)抗就如同矛和盾的關(guān)系：當(dāng)矛變的更加鋒利時(shí)，盾的防御水平也會(huì)上升;反之也是如此，當(dāng)盾越來(lái)越堅(jiān)固時(shí)，矛也會(huì)隨之進(jìn)化。

因此，對(duì)于勒索攻擊，我們需要保持常態(tài)化的防御機(jī)制，時(shí)時(shí)刻刻提高警惕，否則勒索攻擊必定會(huì)以一種意想不到的方式，給全球的企業(yè)一個(gè)大大的“驚喜”。

參考來(lái)源：

https://securityaffairs.co/wordpress/124135/cyber-crime/blackmatter-ransomware-shutting-down-operations.html