勒索軟件聯(lián)盟的運作模式遭曝光

作為當前最活躍的勒索軟件組織之一，LockBit上周遭遇數(shù)據(jù)泄露事件，其內(nèi)部運作細節(jié)被公之于眾。通過Tor網(wǎng)絡(luò)上的洋蔥站點短暫泄露的文件，為研究人員和安全專家提供了難得的機會，得以窺見LockBit如何運作其勒索軟件即服務(wù)(RaaS)業(yè)務(wù)。

（圖示：被入侵的LockBit勒索軟件暗網(wǎng)泄露站點，截圖來源：Hackread.com）

此次泄露事件據(jù)信源自能夠訪問LockBit基礎(chǔ)設(shè)施的內(nèi)部人員，曝光的資料包括聊天記錄、勒索軟件構(gòu)建記錄、配置文件、比特幣錢包地址以及聯(lián)盟成員標識符。Ontinue公司安全運營中心分析師Rhys Downing主導了對泄露數(shù)據(jù)的深度分析，詳細揭示了LockBit聯(lián)盟計劃的運作方式，包括攻擊者如何構(gòu)建有效載荷、估算贖金要求以及進行談判。

目標選擇與定價策略

泄露數(shù)據(jù)中最關(guān)鍵的部分是一份內(nèi)部稱為"builds"的表格，記錄了LockBit聯(lián)盟成員創(chuàng)建的所有勒索軟件有效載荷。每條記錄包含聯(lián)盟成員ID、公私加密密鑰、目標公司信息以及聲明的贖金金額等詳細信息。攻擊者在部署有效載荷前會手動輸入這些估算數(shù)據(jù)，暴露出他們的定價策略和目標選擇標準。部分贖金要求明顯夸大（如"303kkk"即3.03億美元疑似測試數(shù)據(jù)），但也有更精確的計算案例——某聯(lián)盟成員記錄的四次構(gòu)建合計申報價值超過6800萬。

極低的支付兌現(xiàn)率

盡管存在數(shù)百個勒索軟件構(gòu)建記錄和激進的贖金要求，246名受害者中僅有7人被記錄為已付款。值得注意的是，沒有任何記錄顯示受害者確實收到了解密工具。這與近期PowerSchool數(shù)據(jù)泄露事件的情況相符——這家教育科技公司支付了未公開數(shù)額的贖金以避免事態(tài)惡化，結(jié)果攻擊者卻變本加厲地針對教師和學生提出更多要求。

LockBit泄露數(shù)據(jù)庫顯示，僅有2.8%的案例中向聯(lián)盟成員支付傭金的字段大于零，但這仍不能作為贖金支付的確定證據(jù)。

聊天記錄暴露人性陰暗面

Ontinue威脅報告顯示，超過4000份LockBit聯(lián)盟成員與受害者之間的聊天記錄同時被泄露。這些信息混雜著精心計算的施壓、情感操縱和赤裸裸的威脅。多個案例中，聯(lián)盟成員對求饒置若罔聞，甚至毫無預警地加倍贖金。

有聯(lián)盟成員對自稱小公司的受害者回應(yīng)："公司規(guī)模無關(guān)緊要，你們的數(shù)據(jù)很有價值"。另一次對話中甚至出現(xiàn)詭異的招募宣傳："想要蘭博基尼、法拉利和成群美女？立即注冊，五分鐘開啟你的滲透測試億萬富翁之旅。"

這些對話表明，LockBit聯(lián)盟成員的行事作風更像強硬的銷售代表而非傳統(tǒng)黑客。他們的策略從心理施壓到警告受害者不要聯(lián)系執(zhí)法部門或保險公司，手段多變。

高度專業(yè)化的犯罪企業(yè)

泄露數(shù)據(jù)最引人注目的是其組織化程度。LockBit采用模塊化有效載荷構(gòu)建器、聯(lián)盟成員儀表盤和強大的后端基礎(chǔ)設(shè)施。聯(lián)盟成員可以調(diào)整構(gòu)建配置，控制從加密文件選擇到解密器使用后是否自刪除等所有細節(jié)。他們甚至在自己的洋蔥站點上運行漏洞賞金計劃，為發(fā)現(xiàn)基礎(chǔ)設(shè)施漏洞提供獎勵。

與執(zhí)法行動的關(guān)聯(lián)

此次泄露還與英國國家犯罪局主導的"Cronos行動"產(chǎn)生關(guān)聯(lián)。該行動此前曝光的LockBit操作相關(guān)用戶名，在此次泄露的payload數(shù)據(jù)中得到了印證。高產(chǎn)出用戶包括生成最多有效載荷的Ashlin，以及Rich、Melville和Merrick等其他高頻操作者——這表明該團伙核心團隊和高級聯(lián)盟成員即便在遭遇打擊后仍保持穩(wěn)定。

Qualys漏洞研究經(jīng)理Saeed Abbasi指出，此次泄露對防御者而言是寶貴的情報來源："通過了解LockBit的攻擊目標和聯(lián)盟成員定制payload的方式，安全團隊可以更好地確定補丁優(yōu)先級，強化被忽視的系統(tǒng)并改進基礎(chǔ)訪問控制。"

雖然LockBit對Tor網(wǎng)絡(luò)的使用仍是其關(guān)鍵防御手段，但此次泄露證明即便網(wǎng)絡(luò)犯罪集團運營的系統(tǒng)也并非絕對安全。這次事件揭開了影響全球企業(yè)的勒索軟件運作內(nèi)幕，證實了安全專家多年來的猜測——勒索軟件組織如同正規(guī)企業(yè)般運作，具備聯(lián)盟成員入職、基礎(chǔ)設(shè)施管理和財務(wù)規(guī)劃等完整體系。