网络勒索应急与处置（1）

网络勒索这种曾经罕见的新型犯罪方式已经演变成了主流的犯罪方式，这也让全社会都为此付出了高昂的代价。

在2023年11月就发生了两起震惊世界的网络勒索事件。

一起是LockBit团伙最近宣布窃取了波音公司的数据，而波音是一家服务商用飞机和国防系统的巨头。据LockBit黑客称，在数据泄露之前，他们曾警告波音有关数据将会被公开，但波音选择忽视这个警告。作为报复，他们泄露了大约43GB的波音文件，其中包括备份系统数据，最新的备份时间是10月22日。

另一起则是11月9日工行在美全资子公司ICBCFS在声明中提到，“由于遭勒索软件攻击，导致部分系统中断。在遭遇勒索病毒攻击后，已隔离系统。”

为了让大家更好的了解勒索软件，我会用一个实例来介绍网络勒索，这里面的案例来自于我已经翻译完成（很快也会出版）的一本外国图书。

X公司是一家总部位于美国中心城市的会计事务所，业务发展的非常迅速。每天X公司的员工都要为数以百计的客户提供账目处理、财务监督、税务准备以及其它的各种财务工作。

 但是这一切的繁荣和平静都在一个周末刚刚结束的工作日被打破了。像往常的星期一一样，一个勤奋的员工早早的来到办公室。当他一只脚刚迈进门时，就被眼前的景象震惊了。所有的电脑似乎都在一起在高声呐喊：“快看看发生了什么吧！你的文件、文档、相片、数据库，所有一切重要的数据都被加密了！你别想着还能访问这些数据了，不过别担心，我还给你留了一条路！”

办公室的每一台打印机都发了疯似的，不停的把上面这段话打印到纸张上，一遍又一遍的，直到进纸仓空了为止。打印好的“勒索信”散落到办公室的每一个角落。

本来提供给员工们处理信用卡信息的终端系统，此刻也正不停的在纸带上打印着“勒索信”，打印出来的长纸带从桌子上一直垂到地上。

一封令人毛骨悚然的语音邮件也发送到了公司负责人的电子邮箱中，“你好，某某先生”，一个操着东欧口音的冰冷声音说道：“我想告诉你的是，我们刚刚从你公司的服务器上下载了500G大小的数据；如果你不打算为此付钱，试图尝试自己去恢复那些被加密的数据的话，别怪我们把这些数据放到暗网里面出售了！”

“尽快联系我们，不然的话，你公司所有的客户都会知道数据失窃这件事。我们手里现在已经掌握了这些客户的重要信息，比如社会安全账号，纳税申报表。看看你电脑桌面上多出来的那个文件，里面有我们的电子邮件地址。”

那个声音故意停顿了一下，“如果我们泄露了这些数据，那么你的公司从此就再也不可能有顾客了。我们现在正在期待着你的回复邮件。”

这封邮件在此结束了。

“对手”提出了120万美元的赎金要求，否则就要将这些数据出售。

与此同时，X公司也完全停摆了。包括客户端在内的数据库系统都被加密。共享文件夹也无法访问了，里面的客户文档、工资数据、人力资源信息，统统无法使用。所有依赖这些数据的业务都不能再进行。

幸运的是，公司的电子邮件系统采用了云技术，此时还可以使用。但是“对手”也早就考虑到了这一点，并以此来和X公司进行联系。“早上好”，“对手”在接下来的一封电子邮件中写道。“我想，你好像还没意识到自己的处境……，首先，我们会将你公司员工和客户的资料在暗网上打包出售；然后，这些受害者就会把你送上法庭。”为了加重威胁的分量，“对手”还特地将公司负责人本人的纳税申报表放进了邮件附件。

邮件接下来的内容，暗示着“对手”显然还通过入侵获取了公司的邮件账号和密码，以此来监视受害者的反应。“对了，我们看到了杀毒软件厂商给你们的解决方案”，“对手”写到，“那里面的错误太多了，简直糟糕透了！”

“对手”每次攻击的套路其实都差不多，他们会不断的在互联网上找到目标，然后对他们展开勒索。首先，他们要想方设法获取对受害者网络的控制权。实际上，早在5月份，“对手”已经展开了对X公司的攻击，当时一个疏忽大意的X公司员工用单位电脑打开了一封钓鱼邮件，并运行了里面的附件。结果可想而知，附件里面包含的正是一个恶意软件，通常也就是一个远程访问木马（例如RAT），“对手”可以通过它远程控制该员工的电脑。

更不幸的是，X公司所部署的杀毒软件也没有检测到这次攻击。就这样，“对手”在正式发起攻击之前，已经潜伏了整整三个月了。在此期间，他们只有偶尔才会远程登录员工的电脑，目的大概是为了检测已经建立的远程访问是否仍然奏效，但是并没有其它的任何行为。此时，这些被攻击电脑的远程访问权可能正在暗网上被兜售。这些通过攻击获取电脑远程控制权限的“对手”被称为“入口访问经纪人”（initial access brokers，简称IAB”）。接下来，他们会将这些电脑的远程访问权限售卖给其他“对手”，这样就可以将犯罪成果快速变现。而这些购买者，通常是有组织的网络犯罪集团，会进一步的对受害者网络进行探索，从中窃取有价值的数据，并以此来勒索赎金。

在8月份，一伙“对手”，后来被证实是“扭曲蜘蛛”团伙（Twisted spider），突然远程登录了X公司员工的电脑。接下来他们利用一些常见的渗透工具，从该员工的电脑上盗取了一些密码，其中就包括远程管理该公司设备的管理服务提供商（MSP）的用户名和密码。然后，凭借这些登录凭证，“对手”完全接管了X公司网络的控制权。

“扭曲蜘蛛”并没有任何多余的操作，直奔目标而去，他们从X公司的数据库中复制了所有的数据。然后快速地将勒索软件安装到了X公司的所有服务器上，包括数据库服务器、应用程序服务器、域控制器等等全部被加密，而普通的工作电脑则不在加密的行列。这一切干净利落的就像是一场特种部队执行的“斩首行动”。

显然“对手”抓住了X公司的软肋，他们清楚的知道，即使是短时间的业务中断，对X公司的影响也是非常大的。但是更具破坏性的是，当客户获知自己的数据被盗之后，会感到不安和愤怒，从而产生对公司更为深远的后果。“扭曲蜘蛛”会证明自己已经获得了X公司的各种敏感的保密数据，包括从社会安全账号、税务细节等等。同时“扭曲蜘蛛”还会威胁受害者的高管人员，如果这些数据泄露出去，他们将面临着客户和员工的起诉。“扭曲蜘蛛”明确表示将公布这些数据，并直接联系那些信息被泄露的用户，以此来摧毁X公司的声誉。业务的流失，再加上大量的诉讼，显然这些会置X公司于死地。

最终X公司支付了赎金，更准确的说，应该是网络保险公司支付了赎金（扣除了2.5万美元免赔额的部分）。本书的作者们被召集起来处理和“对手”的谈判，并成功地获得了一个很大的折扣，以略低于60万美元的价格解决了这个问题。这个价格并不出人意料，“扭曲蜘蛛”在谈判前显然做好了准备工作，他们一定在X公司的某台电脑中找到了那份限额60万美元的勒索软件保险单。

“扭曲蜘蛛”在收到了以虚拟加密货币形式支付的赎金之后，向X公司提供了解密软件，并通过聊天软件向X公司展示已经删除了窃取的数据。“扭曲蜘蛛”甚至还通过电子邮件发送了一份已删除数据的列表，这样做的目的是向受害者显示自己的诚意，同时也暗示本次事件中X公司的客户并没有任何损失，因此X公司可以无需向客户通报此次事件了。但是X公司信息安全方面的法律顾问却认为，无论是出于法律还是道德的角度，都应该将这次事件告知客户。

原文始发于微信公众号（邪灵工作室）：网络勒索应急与处置（1）