为何勒索软件团伙比一些人想象的更加商业化和危险 媒体

芬芳的网络犯罪

关键点总结

2022年2月底，Twitter上的@ContiLeaks账户及其他网络人士开始泄露数据，包含来自Conti勒索病毒背后的黑客组织的数千条Jabber聊天信息。这些泄露的信息超过160000条，揭示了名为GOLD ULRICK也称GRIM SPIDER或UNC1878的勒索病毒团体的运作细节。这些信息包括组织结构、人员、工具以及与其他网络犯罪团伙的合作情形。泄露文档描绘出一个层级分明的组织，有清晰的管理结构和指挥链。同时，泄露内容还包括恶意软件和相关网页面板的源代码库，以及加载器和勒索病毒后端面板的数据转储。

网络安全行业对此感到震惊。然而，在更广泛的媒体中，公众关注的“勒索病毒”新闻却是另一回事，我认为这种关注存在误导：媒体焦点放在一个名为Lapsus的新团体及其成员的年龄上。我使用单引号来强调“勒索病毒”这个词，因为Lapsus的攻击案例尝试索要被盗数据而非部署勒索病毒。这个团体似乎由来自巴西、葡萄牙和英国的个体组成，成功攻击了全球多家知名企业，包括微软。让公众媒体兴奋的是，至少部分突出的Lapsus威胁参与者居然是青少年。

这种年轻化的形象强化了公众对勒索病毒参与者的印象，仍旧是一个穿着连帽衫的年轻男性，常常戴着盖伊福克斯或恐怖电影面具。这种图像及其联想可能会导致一些组织，尤其是中小型企业，低估勒索组织以及勒索攻击给他们带来的风险。对于某些组织而言，勒索软件可能成为一种生存威胁。

这种年轻的印象常常通过在地下论坛上未经过滤的观察传递出来，许多想要成为威胁参与者的个体在此争抢注意，行为举止类似青少年。即便“脚本小子”这个术语作为对网络攻击者的贬义描述也在某种程度上轻视了技术熟练攻击者所能造成的破坏。

这种流行的网络犯罪印象实际上是错误的。媒体对Lapsus团体中一些年轻参与者的关注淡化了他们有效性的报道，即使他们的操作安全性不高。

毫无疑问，有一些相对无序的网络犯罪团体，例如Babuk，但大多数有效的勒索软件团体在运作上高度复杂和专业，无论个体参与者的年龄如何。就像其他类型的有组织犯罪团体一样，他们的运作方式类似于公司，专注于优化投资回报。例如，Conti会将未支付赎金的受害者转交给名为Karakurt的关联团体进行进一步索赔。从多年来追踪勒索团体的活动来看，几乎总能看到他们专注于产品和流程的改进，以提升回报。

这些团体像商业组织一样进行运作。GOLD ULRICK招聘编码员、研究人员、逆向工程师、OSINT研究人员、管理员、项目经理和渗透测试员。它有针对团体