任何地方都没有像勒索软件那样的钱

这两天，国内一些企业、机构网管开始慌了，数千台系统被勒索软件加密，利用了某个知名财务ERP系统的高危漏洞（类似的OA系统漏洞较多）做为攻击入口。

中国安全圈常用一句话来描述勒索软件行业：“这是完美的网络犯罪”——极高收益（一次得手赚上百万、千万甚至上亿美元），极低风险（比特币的匿名属性，混币器等专业洗钱工具，追踪溯源成本很高，导致极少有勒索软件从业者被抓获）。

The Record发了对一位勒索软件参与者的采访，透露了很多勒索软件从业人员的秘密。有几句话很经典，比如标题说的，“任何地方都没有像勒索软件那样的钱”。

因比特币爆跌，黑产手里的钱一下变少了，贬值带崩了挖矿行业（我最近正准备捡便宜显卡使）。可以预见，勒索黑产也会下更多功夫搞钱，针对国内目标的勒索攻击可能越来越常见。

以下是The Record刊发的文章（部分有删节，原文比较长）

去年 4 月，一个勒索软件组织威胁美国警方说，如果华盛顿特区大都会警察局不支付赎金，就公开警方线人和其他敏感信息。

此次肆无忌惮的攻击是一个名为 Babuk 的团伙所为，该团伙在 2021 年初因在其网站上发布来自拒绝支付赎金的受害者数据库而闻名。就在敲诈大都会警察局几天后，Babuk 宣布将关闭其他业务，专注于数据盗窃和勒索敲诈。

网络安全记者布赖恩·克雷布斯 (Brian Krebs ) 采访了一位名叫米哈伊尔·马特维耶夫 (Mikhail Matveev) 的勒索软件参与者，他拥有其他多个身份，包括“Wazawaka”这个ID。

Matveev 与 Recorded Future 分析师兼产品经理 Dmitry Smilyanets 讨论了他与其他黑客的互动、他参与的勒索软件攻击的详细信息，以及他如何确定 Babuk 这个名字。对话是用俄语进行的，并在 Recorded Future 的 Insikt 小组的语言学家的帮助下翻译成英语。

The Record 无法独立核实 Matveev 的所有说法——他提到的受害者组织要么拒绝对采访发表评论，要么没有回应请求。

Dmitry Smilyanets：在过去的一年里，研究人员给你起了不同的名字：Babuk、BorisElcin、Wazawaka、unc1756、Orange，甚至 KAJIT。这些真的都是你的名字吗？还是犯了错误？

Mikhail Matveev：是的，所有这些昵称，除了一个，都是我的。我从来都不是KAJIT。我厌倦了在论坛上到处证明这一点，甚至向所谓的研究人员和记者证明这一点。

DS：在去年 4 月华盛顿特区大都会警察局遭到勒索软件攻击后，你被“发现”了。您使用从警方服务器窃取的数据进行勒索，包括线人数据库。但随后博客消失了，Babuk 分崩离析，源代码被泄露。发生了什么？

MM：在警察局相关事件发生前不久，有一个家伙在论坛上给我写信。我不会说他的昵称，但每个人都非常清楚我们在说谁。他告诉我，“鲍里斯，我有一个超级酷的产品。” 他给我发了一些我测试过的版本——一切都很好，一切都适合我，这个人似乎足够了。我们开始开发这个机会，一家公司被这个产品锁定了。

我们称之为Babuk勒索软件，一切都很顺利，他们支付了赎金，我们解密了一切。在此之后，我们想创建一个联盟计划，我为 [勒索软件联盟管理] 面板找到了一名程序员。然后一位同行来找我们，他实际上说他可以进入警察局。我没有进行这次攻击，但他完成了整个攻击，他们加密了警察局并下载了所有内容。

谈判完全没有结果，那个人想要赎金。最后，正如我们用俄语所说的那样，在上传数据时，他们“脱裤子跑了”，他们拒绝接受 10万美元赎金还价。

但我的看法是：“如果你不接受这笔钱，我会将这些数据发布在博客上。” 那个人让我不要这样做。我告诉他们，被盗数据是 Babuk 联盟计划的财产。好吧，他们开始威胁我说他们会找到我。我刚刚屏蔽了这个会员并开始将数据上传到博客。

由 Babuk 勒索软件组织发起的论坛 RAMP 出现大量的水贴和垃圾邮件。一个不知名的人说他们有 24 小时时间支付 5,000 美元，否则攻击继续。

勒索软件参与者正在勒索其他勒索软件参与者。

那个人试图建立一个新的 Babuk 博客，由于 Tor 域是我的。我没有让他们这样做，联盟计划就崩溃了。对警察部门的黑客攻击是该联盟计划崩溃的最后一根稻草，尽管有许多不同的情况导致了这一点。

例如，ESXi 虚拟机管理程序的解密器中存在一个巨大的BUG [VMware ESXi 是由 VMware 开发的用于部署和服务虚拟计算机的企业级虚拟机管理程序]。我们至少销毁了两家公司的数据，我们从他们那里拿钱买解密器，但他们无法解密他们的数据。本质上，我们欺骗了他们。

DS：然后出现了 RAMP 论坛[编者注：RAMP 是一个犯罪地下论坛，勒索软件运营商和附属公司在此宣传他们的产品]。你为什么创造它，为什么你把它转让给其他人？

MM：我创建了RAMP来使用 Babuk 洋葱域。幸运的是，Babuk的流量很大。于是就有了创建 RAMP 论坛的想法。论坛走红后，我意识到我不想参与，因为它绝对不会带来任何利润，它只产生了成本，持续不断的DDoS攻击，这一切都归结为从头开始重写引擎并在上面花费大量资金。

然后一些粗略的事情从那里开始，每个人都必须得到验证。我心想，上帝，我为什么要报名参加这个？我在论坛上遇到了 Kajit。我对 Kajit 说：“嘿，做个版主，验证每个人，然后我会向你扔一些现金。” 这就是论坛实际上落入Kajit手中的方式。之后，我的生活中发生了各种各样的问题。

我根本没有时间上论坛，所以我把论坛给了 Kajit。然后，当联盟计划开始给我写信时，发生了一系列奇怪的事件。他们说：“你到底在做什么，你这个畜生？我们面板的屏幕截图泄露了。” 我对整个情况感到尴尬。我去了论坛并代表鲍里斯向 Kajit 提出了投诉。

在那一刻，我们与 LockBit 进行了很好的沟通。他对我来说似乎是一个普通人，我在这些谈判中拉了他。Kajit 说他不会被禁止，也不会与任何人分享论坛。论坛管理员建议 Kajit 将论坛转让给其他人，据我所知，Stallman 得到了它。RAMP 论坛还存在，但我不去那里，也没有和 Stallman 有太多的接触。

勒索软件团伙之间在竞争

DS：来自不同联盟计划的人多久会在同一个网络中竞争敲诈受害者？你有过这样的情况吗？

MM：这种情况经常发生。尤其是当几个人拥有该漏洞，或者如果我们正在谈论使用窃取者提取初始访问凭据时从同一个流量市场倾倒日志。我从 GitHub 获取了一些源代码，即所谓的概念验证POC，并对其进行了修改。

如果您还记得，Fortinet VPN 有一个著名的 CVE。我们在论坛的一位程序员那里找到了它。根据 IP 地址列表，我们获得了大约 48,000 个入口点。当时我很惊讶，真的很震惊。但是我们甚至没有计算出这个列表的 3%，时间不够。

当其他人——好吧，比如说我们的竞争对手——开始使用这个漏洞时，就会出现跨网络的交叉点。我经常进入已经被某人锁定的网络并且没有触摸它们，因为第二次加密不是我的工作，但是有些人锁定了网络。他们进来看到它是加密的，他们再次加密它。

在某些情况下，我和伙计们只是在开发过程中在网络上相遇，交换了联系方式，并以某种方式讨论了下一步该做什么，我们基本上总是同意的。

甚至碰巧我们后来还共同做了一些其他的项目。在 2022 年的夏天，这种情况一直在发生，因为每个人都渴望材料。我们如何才能进入初始访问？实际上，选择并不多。存在漏洞，例如 VPN 设备的各种产品中的 RCE（远程代码执行），所有可以访问网络的东西，或者来自窃取者的网络访问登录。

但基本上，现在每个人都被流量交易所淹没，很少有独特的流量。而那些拥有它的人，他们只是为自己或已经在某些团队中工作，因此网络上存在利益冲突是绝对正常的，现在会更多。

DS：告诉我一些对你来说很突出的攻击。哪个最快？从第一次入网到收到付款用了多长时间？

MM：德米特里，我会挑出几个这样的攻击……是的，有很多有趣的攻击。在谈论攻击之前，我想总结一下。有小型网络，有中型网络，也有非常大的网络。

我会告诉你，与收入为 10 亿美元组织合作比与收入为 900 万美元的组织合作要容易得多。我会告诉你为什么。与您受限的小型网络相比，有更多的计算机更易于隐藏和导航，你必须移动得非常快。

当我开始我的职业生涯时，我从 BlueKeep 开始——微软远程桌面下的一个漏洞。我每天入侵五个小型网络，因为我必须立即进入并进行操作。但是，随着我的进步，我花在 hack 上的时间增加了。

可能每个人都听说过 Capcom 公司，我是通过Fortinet 漏洞到达那里的。事实上，当我去那里时，我有点惊讶地发现所有东西都是日文的。

没有等级制度，没有部门划分，他们把所有东西都堆在了一起。我发现了一个死域管理员。Babuk这个名字就是这样出现的。Capcom 有一个管理员 Babak 。而当我找到这个管理员时，我意识到没有人使用他，但他是一个企业类型。

支付赎金也不一定能挽回数据，勒索者并不提供质保

我一生中最快的攻击发生在我得到ProxyLogon漏洞的时候。那时，我有一个程序员正在完成漏洞利用。其中一个有趣的网络是荷兰的一家物流公司。大型仓库，非常大的仓库。我开始游览服务器，在这里，我立即获得了域管理员令牌。

嗯，这些家伙一点都不害怕，什么都不担心。我记得我是在莫斯科时间 20:00 去那里的，在莫斯科时间凌晨 4:00 左右，它已经全部锁起来了。

在管理程序上，在工作组中的备份服务器上，所有东西的密码都是相同的。在分析网络后，我发现了一个 WIM 备份系统。

我可以从中获取所有密码，从而获得所有备份，尽管他们的备份非常糟糕。他们只是备份到 NAS [网络附加存储]。我去NAS并格式化它，去 ESXi，加密。

大约一个小时后，那个物流公司的网管写信给我们。管理员在午夜写信说：“我想解决这个问题。” 我说这个问题解决不了，因为他不是老板。早上我不得不飞到另一个城市。我记得坐在机场，公司给我写信：200万美元，我的钱包里从来没有这么多钱。

在这样的惊喜中，我上了飞机，意识到我有，该死的，一台价值 200 万美元的笔记本电脑。好吧，我给了他们解密器，当我到达时，我打开了聊天室。该死的，有什么不对劲，他们只是大喊：你破坏了 VMDK [VMDK 是一种文件格式，描述了虚拟硬盘驱动器的容器，可在 VMware Workstation 或 VirtualBox 等虚拟机中使用]。

我试图弄清楚并要求提供 VMDK 样本。而且它们大小为0KB。好吧，一切都完蛋了。怎么会这样？他说，嗯，我不知道，他说，有些东西坏了，他们要求退钱。我们为了这笔钱骗了他们，我仍然为此责备自己。这是我做过的最快、最水的攻击。

DS：您如何访问网络？

MM：我从 GitHub 上拿了所有东西。第一个有趣的漏洞利用是 Fortinet，然后是 SharePoint 应用程序中的一个非常古老的漏洞。然后是 SonicWall。一般来说，我一直试图从 RCE [远程代码执行] 获得初始访问权限。我试过从RedLine 窃取者那里购买日志。但最好的切入点是 RCE 给出的。

图片：米哈伊尔·马特维耶夫

不幸的是，Windows 目录的排列方式使得在目录内部，网络像多米诺骨牌一样展开。我们是一个超级勒索软件集团，超级超级酷的家伙，其中有很多。不，绝对都是普通人，大多是独自工作。

DS：你如何保持领先于防守者？还是他们这么慢没关系？

MM：这里的一切都很简单。网络安全专家，他们都不是真正的目标。这就像用枪在靶场射击。你看起来是在射击并击中目标，但如果你被给予机关枪并被扔到战场上，也会有许多因素阻止你击中目标——内心的恐惧，以及其他的感觉。

这些是活生生的人。因此，由于他们从未处于战斗条件下，他们从未在战斗条件下对这些网络进行过渗透测试。这就是为什么我们领先一步。他们的想法不同，他们从理论的角度思考。就理论而言，有一些完整的团队和 APT 社区攻击一些网络。

我要说的是：如果所有勒索软件团体突然都成为网络安全专家，而那些现在是网络安全专家的人开始渗透测试网络，那么勒索软件就会结束。

勒索软件仍然是货币化的领导者

DS：您如何看待三年后的勒索软件行业？勒索软件是否会继续成为网络犯罪分子的最佳获利模式，还是会转向其他方式？

MM：这就像梳理过去很流行，里面有很多钱，但现在已经死了。勒索软件很快就会消亡——不是三年，而是更快。从字面上看，在过去的六个月里，一切都发生了变化。

自乌克兰特别行动开始以来，几乎每个人都拒绝付款，我经常遇到在聊天中给我写信的人。在过去六个月中，转化率 [或投资回报率指勒索付款的比例]明显下降。总的来说，工作变得困难。

如果它死了，它就死了，你需要想出一些新的东西。我会告诉你：勒索软件比毒瘾更糟糕，任何地方都没有像勒索软件那样的钱。我将其与 hydra [世界上最大的暗网市场，今年已关闭] 的毒贩进行了比较，他们挣的比我们少。

但目前，勒索软件仍然是货币化的领导者，互联网上没有其他方案可以带来更多的货币化。或者我还不知道他们。

DS：乌克兰战争对勒索软件和一般网络犯罪有何影响？

MM：我不会称之为乌克兰战争，我会称之为特殊军事行动。我希望你明白。它产生了巨大的影响。据我们所知，俄罗斯开始与美国就网络犯罪展开合作，然后特别行动开始了，我他妈高兴极了（因为不会再有打击勒索软件的司法合作）。我开始高兴了，你知道，不受惩罚。

DS：您是否被邀请为某些政府服务工作？如果有，有哪些？

MM：你可能想听一些秘密，但绝对没有秘密。我感到惊讶的是，在我 2011 年以来的整个职业生涯中，从来没有人来找过我。FSB [俄罗斯联邦安全局] 和 [内政部] 都不是，我只是过着平凡的生活。

我不明白当我在论坛上读到 FSB 来找某个人并强迫他们工作时。在我看来，他们都在撒谎，他们自己也去 FSB 找了一份工作——但我不知道它是如何运作的。

我对FSB（俄罗斯联邦安全局）的工作一无所知。我可能很高兴与他们相遇，但不，这不是必需的。

DS：告诉我一个秘密。在 FSB 和 FBI 之间，你最害怕谁？

MM：最让我担心的是什么？如果这两个结构开始相互合作——那么我会被搞砸的，至少被判三个无期徒刑。

参考链接：therecord.media

来源：会杀毒的单反狗