勒索软件联盟的运作模式遭曝光
作为当前最活跃的勒索软件组织之一,LockBit上周遭遇数据泄露事件,其内部运作细节被公之于众。通过Tor网络上的洋葱站点短暂泄露的文件,为研究人员和安全专家提供了难得的机会,得以窥见LockBit如何运作其勒索软件即服务(RaaS)业务。
(图示:被入侵的LockBit勒索软件暗网泄露站点,截图来源:Hackread.com)
此次泄露事件据信源自能够访问LockBit基础设施的内部人员,曝光的资料包括聊天记录、勒索软件构建记录、配置文件、比特币钱包地址以及联盟成员标识符。Ontinue公司安全运营中心分析师Rhys Downing主导了对泄露数据的深度分析,详细揭示了LockBit联盟计划的运作方式,包括攻击者如何构建有效载荷、估算赎金要求以及进行谈判。
目标选择与定价策略
泄露数据中最关键的部分是一份内部称为"builds"的表格,记录了LockBit联盟成员创建的所有勒索软件有效载荷。每条记录包含联盟成员ID、公私加密密钥、目标公司信息以及声明的赎金金额等详细信息。攻击者在部署有效载荷前会手动输入这些估算数据,暴露出他们的定价策略和目标选择标准。部分赎金要求明显夸大(如"303kkk"即3.03亿美元疑似测试数据),但也有更精确的计算案例——某联盟成员记录的四次构建合计申报价值超过6800万。
极低的支付兑现率
尽管存在数百个勒索软件构建记录和激进的赎金要求,246名受害者中仅有7人被记录为已付款。值得注意的是,没有任何记录显示受害者确实收到了解密工具。这与近期PowerSchool数据泄露事件的情况相符——这家教育科技公司支付了未公开数额的赎金以避免事态恶化,结果攻击者却变本加厉地针对教师和学生提出更多要求。
LockBit泄露数据库显示,仅有2.8%的案例中向联盟成员支付佣金的字段大于零,但这仍不能作为赎金支付的确定证据。
聊天记录暴露人性阴暗面
Ontinue威胁报告显示,超过4000份LockBit联盟成员与受害者之间的聊天记录同时被泄露。这些信息混杂着精心计算的施压、情感操纵和赤裸裸的威胁。多个案例中,联盟成员对求饶置若罔闻,甚至毫无预警地加倍赎金。
有联盟成员对自称小公司的受害者回应:"公司规模无关紧要,你们的数据很有价值"。另一次对话中甚至出现诡异的招募宣传:"想要兰博基尼、法拉利和成群美女?立即注册,五分钟开启你的渗透测试亿万富翁之旅。"
这些对话表明,LockBit联盟成员的行事作风更像强硬的销售代表而非传统黑客。他们的策略从心理施压到警告受害者不要联系执法部门或保险公司,手段多变。
高度专业化的犯罪企业
泄露数据最引人注目的是其组织化程度。LockBit采用模块化有效载荷构建器、联盟成员仪表盘和强大的后端基础设施。联盟成员可以调整构建配置,控制从加密文件选择到解密器使用后是否自删除等所有细节。他们甚至在自己的洋葱站点上运行漏洞赏金计划,为发现基础设施漏洞提供奖励。
与执法行动的关联
此次泄露还与英国国家犯罪局主导的"Cronos行动"产生关联。该行动此前曝光的LockBit操作相关用户名,在此次泄露的payload数据中得到了印证。高产出用户包括生成最多有效载荷的Ashlin,以及Rich、Melville和Merrick等其他高频操作者——这表明该团伙核心团队和高级联盟成员即便在遭遇打击后仍保持稳定。
Qualys漏洞研究经理Saeed Abbasi指出,此次泄露对防御者而言是宝贵的情报来源:"通过了解LockBit的攻击目标和联盟成员定制payload的方式,安全团队可以更好地确定补丁优先级,强化被忽视的系统并改进基础访问控制。"
虽然LockBit对Tor网络的使用仍是其关键防御手段,但此次泄露证明即便网络犯罪集团运营的系统也并非绝对安全。这次事件揭开了影响全球企业的勒索软件运作内幕,证实了安全专家多年来的猜测——勒索软件组织如同正规企业般运作,具备联盟成员入职、基础设施管理和财务规划等完整体系。
|
|
来源:FreeBuf
推荐阅读
1
2
原文始发于微信公众号(信息安全大事件):LockBit内部数据泄露:揭秘勒索软件联盟的运作内幕
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论