安全博主Brian Kreb對Conti勒索軟件泄露數(shù)據(jù)的詳細分析，為我們揭開了成功網(wǎng)絡(luò)犯罪團隊的內(nèi)幕；

　　這個近百人的Conti核心團伙，在采購業(yè)內(nèi)優(yōu)秀產(chǎn)品服務(wù)上可謂重金投入。每月花費數(shù)千美元采購安全軟件，長期采購開源情報服務(wù)和攻擊工具，每月花費數(shù)千美元訂購求職網(wǎng)站服務(wù)，撥款專項資金用于0day漏洞挖掘等。

　　前情回顧

　　俄烏沖突引發(fā)網(wǎng)絡(luò)武器庫泄露：Conti泄露數(shù)據(jù)全面分析

　　在隱秘的網(wǎng)絡(luò)世界里，Conti號稱迄今為止“最成功的勒索軟件攻擊團伙”，經(jīng)常能斬獲數(shù)百萬美元的贖金。據(jù)稱，只有那些年收入超1億美元的大型公司才有資格成為它的攻擊目標(biāo)。

　　與此同時，虛擬貨幣流向追蹤公司Chainalysi在最近發(fā)布的《加密貨幣犯罪報告》中透露，Conti去年的收入至少為1.8億美元。

　　做好內(nèi)部安全防護：

　　成功犯罪團伙的“第一步”

　　動輒百萬級的贖金收入讓這個擁有65至100名“員工”的團伙變得異常謹(jǐn)慎。其管理層非常清醒地認(rèn)識到，手下“員工”從受害者處竊取來的數(shù)據(jù)超級敏感、價值連城，所以做好本身的安全防護是重中之重。

　　美國安全博主Brian Kreb通過分析Conti勒索軟件泄露數(shù)據(jù)發(fā)現(xiàn)，Conti團伙每個月都會撥出數(shù)千美元的?？?，用于對各類安全軟件和殺毒軟件的“掃蕩”。摸清這些軟件的路數(shù)，一來可以幫助團伙更好地對目標(biāo)實施入侵，二來可以保證本集團的網(wǎng)絡(luò)安全。

　　2021年8月8日的團伙內(nèi)部聊天記錄顯示，一個名叫“Reshaev”的團伙經(jīng)理命令名叫“Pin”的下屬暗中檢查團伙網(wǎng)絡(luò)管理人員的網(wǎng)上活動，每周一次，并在每個管理員的計算機上都安裝“終端檢測與響應(yīng)”（EDR）工具，以確保對方不會做危害團伙行動安全的事情。

　　“除了每周的例行秘密檢查以及安裝EDR工具，我們還采取了其他網(wǎng)絡(luò)安全措施，” “Reshaev”說?！氨热缭O(shè)置更復(fù)雜的存儲系統(tǒng)、保護所有計算機上的LSAS堆棧、保證安全軟件隨時更新到最新版本以及給所有網(wǎng)絡(luò)系統(tǒng)安裝防火墻，等等?！?/p>

　　首先做好團伙內(nèi)部的安全防護工作顯然暗合兵法所云之“先為不可勝”之理，但桀驁不馴的“員工”們顯然對此很不滿意，認(rèn)為自己沒有受到應(yīng)有的信任。但一群集合起來的騙子面對大筆金錢就像貓兒看著魚，又有什么信任可言呢？Conti團伙的一名中層管理者很不屑手下的情緒：

　　“那么一大筆錢放在一群沒見過什么錢的人面前，讓我怎么能完全信任他們呢？我干這行15年了，見錢眼開的事兒經(jīng)歷過很多了?！?/p>

　　開源情報是重要斂財工具

　　別看Conti是個網(wǎng)絡(luò)大盜團伙，但在版權(quán)方面還是很講究的。他們使用的斂財工具，幾乎全都是重金訂購的正版軟件或其提供的服務(wù)。其中最常用的，是OSINT，即“開源情報工具”。

　　“Conti勒索軟件攻擊團伙日記”聲稱，Conti團伙為了能夠確定某個特定IP地址使用者的身份，或厘清某個IP地址是否與已知虛擬專用網(wǎng)絡(luò)（VPN）有關(guān)聯(lián)，不惜重金購買OSINT服務(wù)。比如2021年10月Conti團伙內(nèi)有人提出緊急申請，要求訂購Crunchbase Pro和Zoominfo的服務(wù)，理由是這兩項服務(wù)可提供數(shù)百萬家公司的詳細信息，包括但不限于維持公司安全運營的保險金數(shù)額、最高營收預(yù)估、管理人員和董事會成員聯(lián)系方法，等等。

　　該團伙每天要進進出出成千上萬臺電腦，OSINT服務(wù)可以幫助他們“去蕪存菁”，集中精力盯住大型公司網(wǎng)絡(luò)中受感染的系統(tǒng)。另外，OSINT服務(wù)提供的商業(yè)數(shù)據(jù)還可以幫助Conti團伙在與勒索對象的談判中占據(jù)上風(fēng)。他們通常會根據(jù)這些數(shù)據(jù)很有針對性地按對方收入的百分比確定勒索金額。如有不從或拒絕進行談判者，Conti會根據(jù)OSINT提供的聯(lián)系方式，對其董事會成員或投資者進行無休止的騷擾。

　　不過也有軟件或服務(wù)是正規(guī)渠道買不到的。比如Cobalt Strike的使用許可證。Cobalt Strike是一款商用網(wǎng)絡(luò)入侵測試與偵察工具，只面向經(jīng)過審查的合作伙伴出售。網(wǎng)絡(luò)犯罪團伙為了能夠順利把勒索軟件安裝在目標(biāo)系統(tǒng)內(nèi)，大多通過偷竊或其他非法手段獲得其使用權(quán)。據(jù)悉，Conti團伙在偷竊無門的情況下，不得不捏著鼻子以6萬美元的大價錢向“代理人”購買Cobalt Strike的使用許可。其中3萬美元是Cobalt Strike使用許可證的實際費用，另外3萬美元則是秘密支付給某個Cobalt Strike合法用戶的“代理費”。

　　為網(wǎng)絡(luò)攻擊做準(zhǔn)備“在所不惜”

　　Conti團伙在網(wǎng)絡(luò)攻擊準(zhǔn)備方面可謂“在所不惜”。據(jù)稱，該團伙每個月都為其人力資源部門撥付數(shù)千美元的“預(yù)算資金”，用于訂購求職網(wǎng)站的付費服務(wù)。在這些服務(wù)幫助下，團伙的人力資源專員可以很輕松地在海量求職信息中篩選出潛在的雇傭人選，從而達到“人才儲備”的目的。

　　另外，Conti還在團伙內(nèi)設(shè)立了一個“逆向分析”（Reversers）部門，并為其撥付專門資金，負責(zé)尋找并利用硬件、軟件以及云服務(wù)中存在的漏洞，算是勒索團伙中為攻擊創(chuàng)造條件的“預(yù)研小組”。

　　比如2021年7月21日的團伙內(nèi)部聊天顯示，該部門把微軟公司最新發(fā)布的Windows 11操作系統(tǒng)作為主要目標(biāo)，尋找其中存在的漏洞?！癢indows 11即將推出，試用版已經(jīng)可以下載。我們要著手對其進行研究以便做好攻擊準(zhǔn)備，”聊天稱。

　　怎么拿到贖金？

　　“第三方”不可缺少

　　對目標(biāo)實施勒索軟件攻擊后，怎么讓對方把錢拿出來很關(guān)鍵。通常這個時候Conti團伙不會親自出面跟受害者談判，而是通過所謂的“第三方”完成這項工作。

　　“第三方”可以是個人，也可以是“要賬公司”。網(wǎng)絡(luò)情報公司Hold Security曝光了一段Conti團伙在Twitter上的內(nèi)部聊天記錄。其中一人聲稱已發(fā)展了一名記者充當(dāng)“第三方”，以撰寫文章為手段逼迫勒索目標(biāo)支付贖金。這個“第三方”顯然不是義務(wù)勞動。“這個記者會幫我們威嚇對方，但要收取贖金總額的5%，”標(biāo)記為2021年3月30日的聊天記錄顯示。

　　還有一些地下公司以代替勒索軟件團伙與受害目標(biāo)談判并索要贖金為主要業(yè)務(wù)。這些“要賬公司”的工作，就是“幫助”受害公司使用虛擬貨幣支付大額贖金。Conti團伙與多個這樣的公司建立有聯(lián)系，其中一家位于加拿大的公司與他們關(guān)系不錯。對方在Conti團伙對LeMans Corp實施勒索軟件攻擊后充當(dāng)了“第三方”，在談判中要求對方支付100萬美元的贖金。

　　有時候這些“第三方”還會發(fā)發(fā)善心。比如他們在2021年10月7日的聊天中為受害者“叫屈”，稱“我的客戶最多只能拿出20萬美元，你方請再斟酌，否則此次交易將無法進行” 。

　　此外，很多公司現(xiàn)在都喜歡上保險。Conti團伙和這樣的公司打交道時心情是矛盾的：一方面，保險公司可能不會給這些公司支付天文數(shù)字的贖金；另一方面，背靠保險公司的受害者會在談判過程中很爽快。

　　新戰(zhàn)術(shù)提高收錢的效率

　　勒索軟件攻擊初期，攻擊者的勒索方式主要是對企業(yè)的數(shù)據(jù)進行加密，然后要求對方支付贖金換取解密密鑰。但自2020年以來，勒索軟件攻擊團伙開始執(zhí)行一種被稱為“雙重勒索”（double extortion）的新戰(zhàn)術(shù)。

　　Conti是最早使用“雙重勒索”的網(wǎng)絡(luò)攻擊團伙。他們會要求受害公司支付雙份費用。一份用來贖取解開被加密系統(tǒng)的數(shù)字密鑰；另一份是所謂的“封口費”，即保證公司被竊取的數(shù)據(jù)會被銷毀，不會被公開或出售。Conti通常會給受害者一個暗網(wǎng)鏈接，打開后可以看到一個計時器畫面，受害者如果在計時器歸零前沒能滿足贖金要求，其失竊或被加密的內(nèi)部數(shù)據(jù)就將自動向外界發(fā)布。

　　“我們正在等待你們在2月5日前支付上述金額。我們會信守承諾。不過如果到期沒能看到錢，我們將會上傳這些數(shù)據(jù)?！边@是Conti團伙發(fā)給受害公司的典型勒索信息。

　　對Conti團伙來說，“雙重勒索”的好處顯而易見——即使受害者對本公司解開并恢復(fù)被團伙加密的系統(tǒng)信心十足，但也不得不考慮支付一筆“封口費”，確保本公司數(shù)據(jù)不外泄、形象不受損。