勒索软件之所以持续猖獗,主要有三个原因:勒索软件即服务(RaaS)、加密货币和安全港。
-
RaaS平台使有意从事网络犯罪的人能够加入团伙,并在一个帮助从受害者那里获取赎金的支持系统的帮助下开始发起攻击。 -
加密货币使网络犯罪分子能够从世界各地的受害者那里接收资金,由于虚拟资金的不可变性,这些资金无法被冻结或退还。 -
安全港是指允许网络犯罪分子在不用担心立即被逮捕的情况下发起攻击的国家,使他们能够通过勒索软件活动赚取巨额财富。
考虑到这三个挑战,执法部门和政府在打击勒索软件方面面临着艰巨的任务,但他们必须要进行这场斗争。在这篇文章中,我们将回顾2024年开展的反勒索软件行动,分析其有效性,并评估由此带来的形势变化。
勒索软件运营者的逮捕和制裁
2024年期间,执法部门和金融机构对勒索软件活动背后的个人发起了重大打击行动(见下表)。2024年西方执法部门的主要目标是迄今为止规模最大、获利最多的LockBit RaaS及其附属机构。
勒索软件生态系统中的几个关键人物被捕,其中包括LockBit勒索软件的主要开发者。有趣的是,俄罗斯执法部门也决定逮捕位于莫斯科和加里宁格勒的勒索软件威胁行为者。
执法行动
| 月份 | 组织 | 执法行动 |
|---|---|---|
| 2024年2月 | SugarLocker, REvil | 俄罗斯当局在莫斯科确认并逮捕了三名涉嫌参与名为SugarLocker的勒索软件团伙的成员。 |
| 2024年2月 | LockBit | LockBit的泄露网站被查封。两名LockBit附属成员在波兰和乌克兰被捕。多达28台属于LockBit的服务器被关闭。 |
| 2024年2月 | LockBit | 两名俄罗斯公民Ivan Kondratiev和Artur Sungatov因为是LockBit等RaaS的附属成员而被美国财政部制裁。 |
| 2024年5月 | LockBit | LockBit的管理员和开发者Dmitry Khoroshev被美国财政部制裁。 |
| 2024年5月 | IcedID、SystemBC、Pikabot、Smokeloader、Bumblebee、TrickBot | 欧洲警方打击了支持勒索软件活动的恶意垃圾邮件僵尸网络。这导致4人被捕(1人在亚美尼亚,3人在乌克兰),超过100台服务器和2,000个域名被查封。其中一名主要嫌疑人通过出租部署勒索软件的基础设施网站赚取了6900万欧元。 |
| 2024年6月 | Conti、LockBit | 一名乌克兰公民因为作为加密器开发者支持Conti和LockBit勒索软件攻击而被捕。 |
| 2024年8月 | Reveton、RansomCartel | 白俄罗斯公民Maksim Silnikau因运营Reveton和RansomCartel在西班牙被捕。 |
| 2024年8月 | Karakurt、Conti | 拉脱维亚公民Deniss Zolotarjovs因运营与Conti有关的Karakurt数据勒索团伙在格鲁吉亚被捕并被引渡至美国。 |
| 2024年10月 | Evil Corp、LockBit | 英国与美国和澳大利亚一起制裁了Evil Corp的16名成员,包括Aleksandr Ryzhenkov、Viktor Yakubets和Eduard Benderskiy。 |
| 2024年11月 | Phobos | 俄罗斯公民Evgenii Ptitsyn因运营Phobos勒索软件团伙在韩国被捕并被引渡至美国。 |
| 2024年12月 | LockBit | 拥有俄罗斯和以色列双重国籍的Rostislav Panev因开发LockBit勒索软件在以色列被捕。 |
| 2024年12月 | LockBit、Babuk、Hive | Mikhail "Wazawaka" Matveev因违反国内有关恶意软件创建和使用的法律在俄罗斯被捕。他被罚款并被没收加密货币,目前正在等待审判。 |
由于执法部门对ALPHV/BlackCat和LockBit等最大玩家的打击,勒索软件生态系统已经出现分化。就ALPHV/BlackCat而言,在2024年3月袭击UnitedHealth后,运营者伪造了执法部门的查封行动,在退出诈骗的同时发布了虚假的查封通知。
在这些打击行动之后,一些附属成员转向了效果较差的变种或推出了自己的变种。名单前列的包括Akira和RansomHub,以及Hunters International和PLAY。
加密货币交易所遭受打击
2024年期间,执法部门查封了多家加密货币交易所的资金,并对使用加密货币的支付处理商及其运营者实施了制裁(见下表)。
今年最有趣的披露之一来自英国国家犯罪调查局(NCA)的"摧毁行动"(Operation Destablise)。NCA将支付给勒索软件团伙的款项与俄罗斯寡头用来秘密购买房产的洗钱网络联系起来,同时还发现俄罗斯国家媒体俄罗斯今日电视台利用这些网络秘密资助亲俄外国实体。
2024年另一个值得注意的调查是,美国财政部制裁了更多俄罗斯加密货币交易所,如PM2BTC和Cryptex,这导致为赎金支付提供洗钱服务的洗钱者被俄罗斯执法部门逮捕。
执法行动
| 月份 | 交易所 | 执法行动 |
|---|---|---|
| 2024年8月 | Cryptonator | 美国司法部起诉俄罗斯公民Roman Pikulev和Cryptonator,该交易所共处理了14亿美元的交易,其中800万美元是赎金支付。Cryptonator还与其他被制裁实体有关联,包括Blender、Hydra Market、Bitzlato和Garantex等。 |
| 2024年9月 | PM2BTC、Cryptex、UAPS | FinCEN认定PM2BTC与俄罗斯非法金融有关,是"主要洗钱关注对象"。同时被点名的还有Cryptex和与UAPS、PinPays以及Genesis Market有关的俄罗斯公民Sergey Sergeevich Ivanov。Cryptex还为超过1.15亿美元的勒索软件支付款项提供了便利。 |
| 2024年9月 | 47家交易所 | 在"最终交易行动"(Operation Final Exchange)中,德国联邦警察(BKA)关闭了47家勒索软件团伙使用的加密货币交易服务,这些服务在运营时不要求注册或身份验证。 |
| 2024年10月 | Cryptex、UAPS | 俄罗斯当局逮捕了近100名与匿名支付系统UAPS和加密货币交易所Cryptex有关的涉嫌网络犯罪分子。 |
| 2024年11月 | Smart、TGR Group | 作为"摧毁行动"的一部分,NCA发现了由两家公司Smart和TGR Group运营的俄罗斯洗钱网络,该网络涉及英国的现金到加密货币网络,为Ryuk赎金支付以及俄罗斯寡头和俄罗斯今日电视台的资金进行洗钱。 |
为勒索软件提供庇护的安全港
虽然勒索软件是一个全球性问题,但只有少数几个国家要对勒索软件生态系统的快速扩张负责。在阻止勒索软件运营者伏法方面,俄罗斯是最受诟病的国家。俄语网络犯罪论坛上有明确的规定,只要成员避免针对俄罗斯和独联体(CIS)国家,就可以自由行动。
英国、美国和澳大利亚对Evil Corp实施制裁后,俄罗斯作为勒索软件安全港的理论得到了进一步证实。被制裁的与Evil Corp有关的人员中包括Eduard Benderskiy,一名前俄罗斯联邦安全局(FSB)官员。据报道,Benderskiy是Evil Corp头目Maksim Yakubets的岳父,Evil Corp是一个有组织的网络犯罪集团,负责开发多个勒索软件变种,包括BitPaymer、WastedLocker、Hades、PhoenixLocker和MacawLocker。据英国NCA统计,Evil Corp从全球受害者那里共勒索了至少3亿美元。现在已经很清楚,Evil Corp得到了一位与俄罗斯联邦安全局关系密切的高官的保护,根据Bellingcat调查人员的调查,这位高官还曾参与多起克里姆林宫指使的海外暗杀行动。
虽然2024年有多名勒索软件运营者被捕并被引渡到美国,但专门打击网络犯罪的执法工作在2024年8月的囚犯交换中受到了关注。多个国家决定在土耳其安卡拉的一个机场与俄罗斯进行历史性的囚犯交换,释放了网络犯罪分子、间谍和一名杀手。美国通过谈判从俄罗斯释放了16人,其中包括5名德国人和7名在本国成为政治犯的俄罗斯公民。
从网络犯罪情报的角度来看,值得注意的是,从西方释放的俄罗斯公民包括臭名昭著的网络犯罪分子Roman Seleznev和Vladislav Klyushin。后者Klyushin在2023年被判处九年监禁,此前他因参与一项9300万美元的股市欺诈计划而被抓获,该计划涉及黑入美国公司以获取内幕消息。另一名网络犯罪分子Seleznev在2017年被判处27年监禁,罪名是使用销售点(POS)恶意软件从500家企业窃取和销售数百万信用卡号码,给包括美国在内的小企业和金融机构造成超过1.69亿美元的损失。
2024年,我们看到更多在其他国家居住的俄罗斯公民被当地执法部门逮捕后引渡到美国。这包括居住在韩国的Phobos运营者和居住在以色列的LockBit开发者。这延续了之前几年的趋势,如在韩国被捕的TrickBot开发者以及被引渡到美国的两名LockBit附属成员。这些参与勒索软件的俄罗斯公民未来可能被用于囚犯交换。
此外,2024年另一个奇特的趋势是,一些身在俄罗斯的俄罗斯人也被捕了,而俄罗斯一直被认为是勒索软件团伙的安全港。这包括在莫斯科被捕的SugarLocker运营者和在加里宁格勒被捕的LockBit附属成员Wazawaka。此外还有与Cryptex交易所有关的洗钱者在俄罗斯各地被捕。
在俄罗斯境内逮捕俄罗斯公民的勒索软件活动似乎更具象征意义,而不是真正的打击行动。这是因为仍有数十个说俄语的勒索软件团伙在继续运作,俄语地下世界中还存在大量其他类型的网络犯罪。
展望
2024年,执法部门采取了大量重大行动来打击勒索软件经济。针对LockBit的"克洛诺斯行动"(Operation Cronos)的主要成功之一是在勒索软件生态系统中播下了不信任和不和谐的种子。尽管LockBit的管理员试图恢复,但他们的声誉和附属成员大军已经被摧毁。
俄罗斯执法部门的许多行动可能都与俄罗斯入侵乌克兰的代价有关。俄罗斯当局没收非法加密货币交易所的资金可能是为了支付在乌克兰的战争费用,他们还可能逮捕网络犯罪分子以招募他们进行与乌克兰战争有关的攻击性网络行动。俄罗斯执法部门逮捕这些特定的勒索软件运营者但允许其他人继续运作的真正动机尚不清楚。这些网络犯罪分子可能只是没有支付保护费,或者像Evil Corp那样缺乏与联邦安全局的关系。
由于LockBit和ALPHV/BlackCat在2024年的覆灭,RansomHub和Akira等其他勒索软件团伙崛起填补了这一空白。然而,这些新兴团伙的攻击频率仍明显低于LockBit全盛时期。考虑到勒索软件攻击的总体数量下降,这应该被视为2024年执法行动的成功,这是我们都应该感到欣慰的。
原文始发于微信公众号(内存泄漏):2024年反勒索软件行动分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论