三大勒索组织覆灭启示：资源投入是企业对抗勒索的唯一可能

两年前，笔者曾盘点过当时最为活跃的三大勒索团伙近况，并从安全厂商处总结了系统化的应对建议，三大勒索团伙分别为LockBit、Conti、Lapsus$。众所周知，最近一段时间的爆炸性新闻之一就是LockBit已被联合执法，本篇也将从勒索组织的陆续覆灭，并结合网安产业观察及应对角度进行相关总结。

Conti是2019年至2022年最为活跃的RaaS勒索软件即服务团伙，该组织一度是当时名气最大和攻击力最强的勒索组织，其特点是不仅攻击商业组织，其还对各国政府机构开展无差别攻击。比如该团伙就曾策划了针对哥斯达黎加政府的勒索攻击，一度让哥政府宣布进入国家紧急状态。

Conti勒索团伙为强化勒索手段，其后续逐渐使用双重勒索手段，即通过建立Tor匿名化数据泄露平台，以不支付赎金就泄露被盗数据为威胁，进一步胁迫受害者妥协从而支付赎金。据调查数据表明，Conti自Tor平台建立以来，累计公布了600多名受害者，保守赎金收入高达1.8亿美元。

Conti最终被解散是多方面原因，一方面要考虑到国际执法对该勒索组织的持续调查，另外一个重要的原因是自俄乌冲突以来，Conti高调声明了自身的亲俄立场，此举引发了一名乌克兰安全研究人员的不满，随后该名研究人员入侵了Conti的内部服务器，并分批次的泄露了该团伙的内部数据。

泄露的数据暴露了Conti的关键信息，包括恶意软件源代码，数万条成员之间的聊天记录，通过这些内容可以让外界进一步捕捉到其细说的攻击手段，以及内部的运作方式。

随后，美国政府为Conti团伙开出千万美元高额悬赏，以获取有关Conti勒索软件团伙的进一步信息。几乎与此同时，Conti逐渐关闭了自身的基础设施，并确信其并未重新命名，而是团伙的核心成员解散加入到了较小的勒索软件团伙当中。

Lapsus$一直都不是那个最多产的勒索团伙，但其每一起勒索攻击都能登上新闻头条，一系列科技巨头，包括微软、三星、英伟达都曾是其猎杀对象，其它企业方面还包括LG、育碧、R星、T-Mobile等等，甚至安全厂商Okta、Cloudflare也未能幸免。

行业安全专家在谈及该勒索团伙时有种“既有能力而又无能”的困惑感，一方面该团伙攻击的都是一些巨头型厂商，但他们的行事风格与其它勒索团伙完全不对。比如通常不会执行本地加密，更喜欢盗取数据，另外他们的行为更像是孩子一样，在炫耀之余似乎并不专业。

由于Lapsus$首次行动是针对巴西卫生部的攻击，因此被定性为南美勒索组织，巴西警方也曾在执法行动中逮捕了一名Lapsus$嫌疑人。但后续的一系列执法行动表明，该团伙由一名英国16岁少年所领导。2022年三月份，伦敦警方共逮捕了7名嫌疑人，他们年龄从16至21岁不等，由于年龄原因相关细节向外透露有限。后续报道显示，其中一名嫌疑人被判处18个月的社区服刑，另外一名嫌疑人因患有自闭症被判处“医院终身监禁”。

在Lapsus$的高光时期，美国国土安全部（DHS）牵头之下与40余个组织和个人对该勒索团伙进行了调查，调查显示Lapsus$主要使用简单的技术，例如窃取手机号码和网络钓鱼员工，或者是收购或收买合法凭据，从而访问组织专有数据，该调查与微软遭Lapsus$攻击时披露的攻击细节相一致。

随着Lapsus$核心成员的被捕，该团伙逐渐远离了大众视野，但给到我们的警示是，越是防御严密的组织，越是容易忽视一些不被关注到的薄弱环节。

LockBit勒索团伙是近年来最为“成功”的黑客组织，安全机构的调查报告显示，过去的两年时间，LockBit参与了全球1/4以上的勒索软件攻击。从2019年至今，至少有2000家企业或政府组织成为该勒索团伙的受害者，其全球勒索收入超过1.2亿美元。

LockBit从1.0到2.0，再到3.0，该勒索软件的攻击技术一直在升级。披露显示，LockBit的勒索加密速度惊人，其在4分钟内就可加密完成10万个Windows文件，这也意味着一旦病毒程序被执行，其终端很难被有效抢救。LockBit 3.0发布之余甚至开出首个勒索软件漏洞赏金计划，嘲讽意味十足。

LockBit对外宣称是非政治性组织，只对钱感兴趣，也因此世界主要经济体均是其攻击对象，典型的案例有埃森哲、波音、台积电、富士康攻击事件等，另外去年年底我国工商银行美国全资子公司也曾受到该勒索组织攻击。

最近，由11个国家的不同执法机构针对LockBit开展了名为Croños的联合执法行动，该项行动是早在2022年4月欧洲司法部门就开展了针对LockBit勒索团伙的调查工作的后续行动。

行动中两名LockBit主要成员被拘捕，LockBit的主要平台和其他关键基础设施遭到破坏，包括世界各地的34台服务器被关停，14000个负责渗透或基础设施的帐户被删除，基于从服务器中检索到的1000多个解密密钥，一款解密工具被开发用户可以免费获得。

不过就在此次执法行动取得了阶段性成功数日之后，LockBit已有卷土重来迹象，该团伙的主要领导者公开披露了其内部服务器被执法机构突破的主要原因被归咎于使用了易受攻击的PHP版本，执法人员正是利用了编号为CVE-2023-3824的PHP漏洞成功渗透并控制了LockBit家族支撑RaaS运行的服务器。如今该勒索团伙再次上线了一个新的数据泄露站点，并公布了6个数据泄露条目，同时声明将针对政府部门展开报复。

有媒体评价称，考虑到此前Hive、Conti勒索团伙被执法之后就此销声匿迹，LockBit的联合执法仍将继续，LockBit的未来还有待观察，但就目前而言，更安全的做法是假设LockBit继续构成威胁。

年初，有外媒列出了2023年十大网络安全事件，让人感叹的是其中有6起事件均由勒索软件所引起。包括英国皇家邮政因勒索软件攻击等一系列原因至损超3亿欧元、美国奥克兰市因勒索软件攻击宣布进入紧急状态、MOVEit软件漏洞背后的数千家组织遭勒索软件攻击、娱乐行业巨头米高梅及凯撒娱乐的勒索攻击事件、英国最大的私营物流公司KNP因勒索攻击事件影响后续融资从而被迫裁员、大英图书馆因勒索攻击导致在线服务中断。

这不仅能让我们具象的去思考勒索软件的代表性和破坏力，还让笔者回想起了网安厂商Fortinet在《2023年全球勒索软件报告》中发现的数据，这份报告给出的数据通过折算显示，全球每100次网络安全事件当中，就有62次与勒索软件相关。也就是说，除了那些普遍性攻击活动和高级攻击活动之外，当前勒索软件攻击几乎等同于网络攻击。

尽管针对勒索团伙的执法行动对该产业有所打击，但勒索软件活动仍然持续增长已是事实。根据网安厂商Cyberint发布的《2023 年勒索软件回顾》报告的统计数据显示，2023年共有4368家企业成为勒索软件攻击受害者，该数据相比2022年的2903家增长了55%。考虑到全球经济的不确定性问题，如果企业在网络安全方面的投入降低的话，那么勒索软件攻击预计将在2024年攀升到新的高度。

推出“威努特主机防勒索系统”以实现针对勒索软件攻击场景提供安全防护的国内工控安全厂商威努特此前在接受安全419专访时就指出，在该产品开发初期，其安全技术人员曾全面捕获了150余款活跃的勒索病毒样本，从而对应分析其不同的杀伤链以强化产品的防御能力，而当该产品进行第二个版本迭代时，其活跃的勒索病毒样本分析工作就已上升到了700余款。这也意味着勒索软件产业一直在不断壮大当中。

笔者总结安全419过去十余家国内知名网络安全厂商的定向采访来看，虽然勒索软件攻击屡上报端的主要是国外的企业，其实国内企业被勒索软件攻击绝不在少数。国内网安产业已根据自身能力，以及不同的勒索软件攻击场景推出了不同的具有针对性的勒索软件解决方案，其主要从预防（事前）、监测（事中）、处置（事后）三大维度对勒索软件进行围剿。

其中核心部分主要围绕终端安全产品进行方案搭建，且该类产品通过技术演进也正在不断添加新的安全功能，以强化威胁暴露面收敛和各种攻击、病毒的发现和响应能力，同时配以适当的安全服务和安全意识培训，从而强化勒索软件的整体防御效果。安全厂商们统一认为，勒索软件防护的主战场就是终端安全，这也解释了为什么国际上EDR、XDR等产品一直热度不减的主要原因。另外考虑网络攻击本质，如今更为安全的数据备份机制已逐渐成为终端安全产品标配。

当勒索软件无差别对全球各级组织开展攻击，成为未来长期威胁，应对该威胁也将是一场矛与盾之间的永不停歇的战争。安全产业对不断上演的勒索软件攻击事情总结认为，部署安全产品抵御黑客攻击并不能100%保证企业的网络安全，但与企业、组织必将要面对的来自于网络威胁而言，他能最大程度上的减少或延缓黑客攻击，同时相应的安全能力建设，某种程度上讲也成为事后恢复的唯一可能，否则企业只能接受黑客的漫天赎金要价，这就是安全建设的必要性。