安全博主Brian Kreb對(duì)Conti勒索軟件泄露數(shù)據(jù)的詳細(xì)分析，為我們揭開了成功網(wǎng)絡(luò)犯罪團(tuán)隊(duì)的內(nèi)幕；

　　這個(gè)近百人的Conti核心團(tuán)伙，在采購(gòu)業(yè)內(nèi)優(yōu)秀產(chǎn)品服務(wù)上可謂重金投入。每月花費(fèi)數(shù)千美元采購(gòu)安全軟件，長(zhǎng)期采購(gòu)開源情報(bào)服務(wù)和攻擊工具，每月花費(fèi)數(shù)千美元訂購(gòu)求職網(wǎng)站服務(wù)，撥款專項(xiàng)資金用于0day漏洞挖掘等。

　　前情回顧

　　俄烏沖突引發(fā)網(wǎng)絡(luò)武器庫(kù)泄露：Conti泄露數(shù)據(jù)全面分析

　　在隱秘的網(wǎng)絡(luò)世界里，Conti號(hào)稱迄今為止“最成功的勒索軟件攻擊團(tuán)伙”，經(jīng)常能斬獲數(shù)百萬(wàn)美元的贖金。據(jù)稱，只有那些年收入超1億美元的大型公司才有資格成為它的攻擊目標(biāo)。

　　與此同時(shí)，虛擬貨幣流向追蹤公司Chainalysi在最近發(fā)布的《加密貨幣犯罪報(bào)告》中透露，Conti去年的收入至少為1.8億美元。

　　做好內(nèi)部安全防護(hù)：

　　成功犯罪團(tuán)伙的“第一步”

　　動(dòng)輒百萬(wàn)級(jí)的贖金收入讓這個(gè)擁有65至100名“員工”的團(tuán)伙變得異常謹(jǐn)慎。其管理層非常清醒地認(rèn)識(shí)到，手下“員工”從受害者處竊取來的數(shù)據(jù)超級(jí)敏感、價(jià)值連城，所以做好本身的安全防護(hù)是重中之重。

　　美國(guó)安全博主Brian Kreb通過分析Conti勒索軟件泄露數(shù)據(jù)發(fā)現(xiàn)，Conti團(tuán)伙每個(gè)月都會(huì)撥出數(shù)千美元的?？?，用于對(duì)各類安全軟件和殺毒軟件的“掃蕩”。摸清這些軟件的路數(shù)，一來可以幫助團(tuán)伙更好地對(duì)目標(biāo)實(shí)施入侵，二來可以保證本集團(tuán)的網(wǎng)絡(luò)安全。

　　2021年8月8日的團(tuán)伙內(nèi)部聊天記錄顯示，一個(gè)名叫“Reshaev”的團(tuán)伙經(jīng)理命令名叫“Pin”的下屬暗中檢查團(tuán)伙網(wǎng)絡(luò)管理人員的網(wǎng)上活動(dòng)，每周一次，并在每個(gè)管理員的計(jì)算機(jī)上都安裝“終端檢測(cè)與響應(yīng)”（EDR）工具，以確保對(duì)方不會(huì)做危害團(tuán)伙行動(dòng)安全的事情。

　　“除了每周的例行秘密檢查以及安裝EDR工具，我們還采取了其他網(wǎng)絡(luò)安全措施，” “Reshaev”說?！氨热缭O(shè)置更復(fù)雜的存儲(chǔ)系統(tǒng)、保護(hù)所有計(jì)算機(jī)上的LSAS堆棧、保證安全軟件隨時(shí)更新到最新版本以及給所有網(wǎng)絡(luò)系統(tǒng)安裝防火墻，等等?！?/p>

　　首先做好團(tuán)伙內(nèi)部的安全防護(hù)工作顯然暗合兵法所云之“先為不可勝”之理，但桀驁不馴的“員工”們顯然對(duì)此很不滿意，認(rèn)為自己沒有受到應(yīng)有的信任。但一群集合起來的騙子面對(duì)大筆金錢就像貓兒看著魚，又有什么信任可言呢？Conti團(tuán)伙的一名中層管理者很不屑手下的情緒：

　　“那么一大筆錢放在一群沒見過什么錢的人面前，讓我怎么能完全信任他們呢？我干這行15年了，見錢眼開的事兒經(jīng)歷過很多了?！?/p>

　　開源情報(bào)是重要斂財(cái)工具

　　別看Conti是個(gè)網(wǎng)絡(luò)大盜團(tuán)伙，但在版權(quán)方面還是很講究的。他們使用的斂財(cái)工具，幾乎全都是重金訂購(gòu)的正版軟件或其提供的服務(wù)。其中最常用的，是OSINT，即“開源情報(bào)工具”。

　　“Conti勒索軟件攻擊團(tuán)伙日記”聲稱，Conti團(tuán)伙為了能夠確定某個(gè)特定IP地址使用者的身份，或厘清某個(gè)IP地址是否與已知虛擬專用網(wǎng)絡(luò)（VPN）有關(guān)聯(lián)，不惜重金購(gòu)買OSINT服務(wù)。比如2021年10月Conti團(tuán)伙內(nèi)有人提出緊急申請(qǐng)，要求訂購(gòu)Crunchbase Pro和Zoominfo的服務(wù)，理由是這兩項(xiàng)服務(wù)可提供數(shù)百萬(wàn)家公司的詳細(xì)信息，包括但不限于維持公司安全運(yùn)營(yíng)的保險(xiǎn)金數(shù)額、最高營(yíng)收預(yù)估、管理人員和董事會(huì)成員聯(lián)系方法，等等。

　　該團(tuán)伙每天要進(jìn)進(jìn)出出成千上萬(wàn)臺(tái)電腦，OSINT服務(wù)可以幫助他們“去蕪存菁”，集中精力盯住大型公司網(wǎng)絡(luò)中受感染的系統(tǒng)。另外，OSINT服務(wù)提供的商業(yè)數(shù)據(jù)還可以幫助Conti團(tuán)伙在與勒索對(duì)象的談判中占據(jù)上風(fēng)。他們通常會(huì)根據(jù)這些數(shù)據(jù)很有針對(duì)性地按對(duì)方收入的百分比確定勒索金額。如有不從或拒絕進(jìn)行談判者，Conti會(huì)根據(jù)OSINT提供的聯(lián)系方式，對(duì)其董事會(huì)成員或投資者進(jìn)行無(wú)休止的騷擾。

　　不過也有軟件或服務(wù)是正規(guī)渠道買不到的。比如Cobalt Strike的使用許可證。Cobalt Strike是一款商用網(wǎng)絡(luò)入侵測(cè)試與偵察工具，只面向經(jīng)過審查的合作伙伴出售。網(wǎng)絡(luò)犯罪團(tuán)伙為了能夠順利把勒索軟件安裝在目標(biāo)系統(tǒng)內(nèi)，大多通過偷竊或其他非法手段獲得其使用權(quán)。據(jù)悉，Conti團(tuán)伙在偷竊無(wú)門的情況下，不得不捏著鼻子以6萬(wàn)美元的大價(jià)錢向“代理人”購(gòu)買Cobalt Strike的使用許可。其中3萬(wàn)美元是Cobalt Strike使用許可證的實(shí)際費(fèi)用，另外3萬(wàn)美元?jiǎng)t是秘密支付給某個(gè)Cobalt Strike合法用戶的“代理費(fèi)”。

　　為網(wǎng)絡(luò)攻擊做準(zhǔn)備“在所不惜”

　　Conti團(tuán)伙在網(wǎng)絡(luò)攻擊準(zhǔn)備方面可謂“在所不惜”。據(jù)稱，該團(tuán)伙每個(gè)月都為其人力資源部門撥付數(shù)千美元的“預(yù)算資金”，用于訂購(gòu)求職網(wǎng)站的付費(fèi)服務(wù)。在這些服務(wù)幫助下，團(tuán)伙的人力資源專員可以很輕松地在海量求職信息中篩選出潛在的雇傭人選，從而達(dá)到“人才儲(chǔ)備”的目的。

　　另外，Conti還在團(tuán)伙內(nèi)設(shè)立了一個(gè)“逆向分析”（Reversers）部門，并為其撥付專門資金，負(fù)責(zé)尋找并利用硬件、軟件以及云服務(wù)中存在的漏洞，算是勒索團(tuán)伙中為攻擊創(chuàng)造條件的“預(yù)研小組”。

　　比如2021年7月21日的團(tuán)伙內(nèi)部聊天顯示，該部門把微軟公司最新發(fā)布的Windows 11操作系統(tǒng)作為主要目標(biāo)，尋找其中存在的漏洞?！癢indows 11即將推出，試用版已經(jīng)可以下載。我們要著手對(duì)其進(jìn)行研究以便做好攻擊準(zhǔn)備，”聊天稱。

　　怎么拿到贖金？

　　“第三方”不可缺少

　　對(duì)目標(biāo)實(shí)施勒索軟件攻擊后，怎么讓對(duì)方把錢拿出來很關(guān)鍵。通常這個(gè)時(shí)候Conti團(tuán)伙不會(huì)親自出面跟受害者談判，而是通過所謂的“第三方”完成這項(xiàng)工作。

　　“第三方”可以是個(gè)人，也可以是“要賬公司”。網(wǎng)絡(luò)情報(bào)公司Hold Security曝光了一段Conti團(tuán)伙在Twitter上的內(nèi)部聊天記錄。其中一人聲稱已發(fā)展了一名記者充當(dāng)“第三方”，以撰寫文章為手段逼迫勒索目標(biāo)支付贖金。這個(gè)“第三方”顯然不是義務(wù)勞動(dòng)。“這個(gè)記者會(huì)幫我們威嚇對(duì)方，但要收取贖金總額的5%，”標(biāo)記為2021年3月30日的聊天記錄顯示。

　　還有一些地下公司以代替勒索軟件團(tuán)伙與受害目標(biāo)談判并索要贖金為主要業(yè)務(wù)。這些“要賬公司”的工作，就是“幫助”受害公司使用虛擬貨幣支付大額贖金。Conti團(tuán)伙與多個(gè)這樣的公司建立有聯(lián)系，其中一家位于加拿大的公司與他們關(guān)系不錯(cuò)。對(duì)方在Conti團(tuán)伙對(duì)LeMans Corp實(shí)施勒索軟件攻擊后充當(dāng)了“第三方”，在談判中要求對(duì)方支付100萬(wàn)美元的贖金。

　　有時(shí)候這些“第三方”還會(huì)發(fā)發(fā)善心。比如他們?cè)?021年10月7日的聊天中為受害者“叫屈”，稱“我的客戶最多只能拿出20萬(wàn)美元，你方請(qǐng)?jiān)僬遄?，否則此次交易將無(wú)法進(jìn)行” 。

　　此外，很多公司現(xiàn)在都喜歡上保險(xiǎn)。Conti團(tuán)伙和這樣的公司打交道時(shí)心情是矛盾的：一方面，保險(xiǎn)公司可能不會(huì)給這些公司支付天文數(shù)字的贖金；另一方面，背靠保險(xiǎn)公司的受害者會(huì)在談判過程中很爽快。

　　新戰(zhàn)術(shù)提高收錢的效率

　　勒索軟件攻擊初期，攻擊者的勒索方式主要是對(duì)企業(yè)的數(shù)據(jù)進(jìn)行加密，然后要求對(duì)方支付贖金換取解密密鑰。但自2020年以來，勒索軟件攻擊團(tuán)伙開始執(zhí)行一種被稱為“雙重勒索”（double extortion）的新戰(zhàn)術(shù)。

　　Conti是最早使用“雙重勒索”的網(wǎng)絡(luò)攻擊團(tuán)伙。他們會(huì)要求受害公司支付雙份費(fèi)用。一份用來贖取解開被加密系統(tǒng)的數(shù)字密鑰；另一份是所謂的“封口費(fèi)”，即保證公司被竊取的數(shù)據(jù)會(huì)被銷毀，不會(huì)被公開或出售。Conti通常會(huì)給受害者一個(gè)暗網(wǎng)鏈接，打開后可以看到一個(gè)計(jì)時(shí)器畫面，受害者如果在計(jì)時(shí)器歸零前沒能滿足贖金要求，其失竊或被加密的內(nèi)部數(shù)據(jù)就將自動(dòng)向外界發(fā)布。

　　“我們正在等待你們?cè)?月5日前支付上述金額。我們會(huì)信守承諾。不過如果到期沒能看到錢，我們將會(huì)上傳這些數(shù)據(jù)?！边@是Conti團(tuán)伙發(fā)給受害公司的典型勒索信息。

　　對(duì)Conti團(tuán)伙來說，“雙重勒索”的好處顯而易見——即使受害者對(duì)本公司解開并恢復(fù)被團(tuán)伙加密的系統(tǒng)信心十足，但也不得不考慮支付一筆“封口費(fèi)”，確保本公司數(shù)據(jù)不外泄、形象不受損。