最近浮出水面的 Dispossessor 勒索軟件，其與臭名昭著的 LockBit 勒索軟件團伙存在許多相似之處。在全球執(zhí)法機構(gòu)聯(lián)合打擊了 LockBit 的攻擊基礎(chǔ)設(shè)施后，Dispossessor 帶著與 LockBit 高度相似的結(jié)構(gòu)與內(nèi)容出現(xiàn)在眾人眼前。

Dispossessor 符號標記

Dispossessor

Dispossessor 名稱可能是來源于 Ursula K. Le Guin 的小說《The Dispossessed》，該小說探討了無政府主義、資源稀缺和社會動蕩的特殊時期，呈現(xiàn)了沒有個人財產(chǎn)的社會和資源豐富但充滿了不平等的社會。這種說辭在勒索軟件團伙中很常見，這些犯罪分子勒索和盜竊了數(shù)百萬美元，但仍然認為自己處于道德制高點。

2024 年 2 月，Dispossessor 正式浮出水面，大膽地宣布可以公開下載此前已泄露的數(shù)據(jù)并進行潛在的出售。公告出現(xiàn)在多個地下論壇和地下市場上，包括 BreachForums 與 XSS。

地下論壇公告

這一時間點讓人不由得懷疑，在多國聯(lián)合執(zhí)法的 Cronos 行動后，LockBit 的運營和信譽受到重創(chuàng)。LockBit 在執(zhí)法行動中損失了多個域名，控制面板和多個關(guān)鍵攻擊基礎(chǔ)設(shè)施都無法訪問。Dispossessor 的網(wǎng)站與原來 LockBit 的網(wǎng)站極其類似，配色方案、頁面布局和字體都幾乎相同。這表明，要么是相同的運營團隊改頭換面切換了品牌，要么是模仿 LockBit 攻擊基礎(chǔ)設(shè)施的新勒索軟件團伙。從內(nèi)容上來看，LockBit 的很多受害者在第一天就被鏡像到了 Dispossessor 的網(wǎng)站上，還保留了原來的發(fā)布日期和詳細信息。

數(shù)據(jù)披露網(wǎng)站

地下論壇的用戶還提到了名為 Dispossessor 的新網(wǎng)站，也指出其與原始 LockBit 網(wǎng)站極其相似。

運營策略

與 LockBit 類似，Dispossessor 也采用勒索軟件即服務(wù)（RaaS）模式。這種模式使勒索軟件團伙通過附屬機構(gòu)分發(fā)勒索軟件，去中心化使得執(zhí)法部門很難能夠徹底瓦解其業(yè)務(wù)。

但目前 Dispossessor 似乎并不具備勒索軟件功能，更像是一個數(shù)據(jù)泄露代理。目前在野尚未觀察到勒索軟件樣本，仍然主要發(fā)布其他勒索軟件團伙的數(shù)據(jù)泄露，甚至包括已經(jīng)不復(fù)存在或者已經(jīng)被執(zhí)法取締的團伙。

如 @ransomfeednews 所指出的，研究人員普遍認為 Dispossessor 并不是新出現(xiàn)的勒索軟件團伙，而是一群犯罪分子試圖利用其他團伙的攻擊行動來不勞而獲進行獲利。Dispossessor 主要依賴其他勒索軟件團伙的附屬機構(gòu)，這些附屬機構(gòu)已經(jīng)竊取了數(shù)據(jù)，但最新的受害者可能從 LockBit 或者其他勒索軟件團伙中分離出來。攻擊者也在地下論壇上積極尋找“攻擊者”進行合作，分析人員認為情況可能會發(fā)生多樣的變化。

尋找合伙人

目前已經(jīng)有 17 個頁面和大約三百余個公司成為了受害者，但大多數(shù)都是 LockBit、Cl0p 與 Snatch 已經(jīng)披露的受害者。攻擊者在數(shù)據(jù)泄露網(wǎng)站宣布，Dispossessor 的合作計劃非常包容，無論身處何方、所說何種語言、多大年齡以及宗教信仰如何。合作計劃優(yōu)先考慮具備攻擊能力的、有凝聚力且經(jīng)驗豐富的團隊，也提供了透明的方式使附屬機構(gòu)可以與受害者進行溝通。

Dispossessor 聲稱合作方可以使用一套工具包，能夠最大限度地發(fā)揮攻擊的影響，工具包內(nèi)包括 Tor 網(wǎng)絡(luò)中的管理面板、安全信道、自動解密工具和 StealBit 竊密工具。攻擊者聲稱支持各種操作系統(tǒng)和架構(gòu)，如 Windows、ESXi 與多個 Linux 發(fā)行版。

合作計劃

Dispossessor 在數(shù)據(jù)泄露網(wǎng)站上介紹了其合作計劃，附屬機構(gòu)使用 Dispossessor 提供的工具包并嚴格遵守合作準則。主要的規(guī)則包括：

• 附屬機構(gòu)不得與他人共享控制面板的訪問權(quán)限
• 勒索贖金的溝通中達成的協(xié)議必須要履行
• 必須從受害者處下載有價值的信息
• 禁止攻擊某些關(guān)鍵基礎(chǔ)設(shè)施，如核電站與醫(yī)療機構(gòu)，避免因攻擊導(dǎo)致死亡

Dispossessor 對運營安全極度重視，甚至要求合作方必須存入一比特幣作為贖金分成的預(yù)付款。分析人員推測，這一要求旨在淘汰掉缺乏安全感的新手、執(zhí)法人員和競爭對手。

結(jié)論

緊隨執(zhí)法機構(gòu)對 LockBit 的打擊行動，Dispossessor 又成為了勒索軟件領(lǐng)域的重要參與者，凸顯了網(wǎng)絡(luò)犯罪活動的動態(tài)性和適應(yīng)性。攻擊者的運營策略模仿勒索軟件即服務(wù)（RaaS）模式，同時主要充當泄露數(shù)據(jù)經(jīng)紀人，這為網(wǎng)絡(luò)安全專家和執(zhí)法機構(gòu)帶來了全新的挑戰(zhàn)。典型的緩解措施如下所示：

• 定期數(shù)據(jù)備份：如期執(zhí)行備份策略，定期備份關(guān)鍵數(shù)據(jù)，確保發(fā)生勒索軟件攻擊時可恢復(fù)數(shù)據(jù)
• 安全意識培訓(xùn)：對員工進行有關(guān)勒索軟件威脅和網(wǎng)絡(luò)安全最佳實踐的教育，以降低成為受害者的風險
• 完善補丁管理：讓系統(tǒng)保持最新的安全補丁，以防御勒索軟件經(jīng)常利用的漏洞
• 網(wǎng)絡(luò)區(qū)域劃分：對網(wǎng)絡(luò)進行分片劃分，將關(guān)鍵系統(tǒng)和數(shù)據(jù)與不安全區(qū)域分隔開，限制勒索軟件感染的影響
• 良好訪問控制：限制用戶權(quán)限以最大限度減少攻擊面
• 電子郵件安全：部署安全解決方案檢測與阻止惡意軟件和網(wǎng)絡(luò)釣魚
• 端點安全防護：使用安全軟件檢測和緩解端點上的勒索軟件威脅
• 事件響應(yīng)計劃：指定針對勒索軟件攻擊的響應(yīng)計劃，包括事前識別、事中遏制與事后恢復(fù)
• 定期安全審計：進行審計和漏洞評估，發(fā)現(xiàn)并修復(fù)攻擊者可能利用的安全漏洞
• 進行備份測試：定期測試備份數(shù)據(jù)完整性，防止未授權(quán)訪問