勒索攻擊已成為全球企業(yè)和組織面臨的嚴(yán)重威脅之一。不少企業(yè)因?yàn)槔账鬈浖舾冻隽藨K重的代價(jià)，不僅要支付贖金，還嚴(yán)重影響了企業(yè)業(yè)務(wù)和品牌價(jià)值。為了應(yīng)對(duì)日益嚴(yán)峻的勒索攻擊形勢(shì)，遏制勒索攻擊蔓延，美國(guó)一方面不斷打擊勒索軟件組織，另一方面加緊制裁加密貨幣交易所。2021年10月13日，美國(guó)邀請(qǐng)30多個(gè)國(guó)家舉行了線上反勒索聯(lián)盟會(huì)議，會(huì)后即向REvil勒索軟件開(kāi)火。路透社10月21日?qǐng)?bào)道稱，在美國(guó)聯(lián)邦調(diào)查局、美國(guó)特勤局、美國(guó)網(wǎng)絡(luò)司令部，以及其他國(guó)家相關(guān)組織的聯(lián)合打擊下，惡名遠(yuǎn)揚(yáng)的勒索軟件組織REvil已經(jīng)下線。這些行動(dòng)激怒了其他勒索組織，另一著名勒索組織Groove發(fā)文呼吁共同聯(lián)合起來(lái)對(duì)抗美國(guó)，加大對(duì)美國(guó)公共設(shè)施的攻擊力度。

　　REvil被美國(guó)政府打垮

　　REvil是當(dāng)前知名度最高的網(wǎng)絡(luò)勒索組織之一，今年7月，其利用IT服務(wù)軟件供應(yīng)商Kaseya的漏洞向托管服務(wù)商實(shí)施大范圍供應(yīng)鏈攻擊，導(dǎo)致購(gòu)買IT托管服務(wù)的數(shù)千家美國(guó)企業(yè)的百萬(wàn)臺(tái)生產(chǎn)設(shè)備被加密。

　　勒索事件發(fā)生后，REvil開(kāi)出7000萬(wàn)美元的天價(jià)贖金，雖然不久后將贖金下調(diào)至5000萬(wàn)美元，但該攻擊仍被認(rèn)為是迄今為止最大規(guī)模的網(wǎng)絡(luò)勒索事件，REvil名噪一時(shí)。據(jù)美國(guó)安全部門人士透露，REvil在其勒索組織威脅性名單上位居首位。

　　高調(diào)的行事風(fēng)格也使得REvil成為重點(diǎn)打擊對(duì)象，不久后美國(guó)就對(duì)其展開(kāi)反制措施。今年7月13日，REvil的支付渠道和數(shù)據(jù)泄露站點(diǎn)首次失效，但兩個(gè)月后該網(wǎng)址又重新恢復(fù)訪問(wèn)，新的REvil勒索軟件也再次出現(xiàn)在人們的視野中。

　　10月13日，面對(duì)日益猖獗的網(wǎng)絡(luò)勒索，美、法、德等30余個(gè)國(guó)家代表承諾將開(kāi)展聯(lián)合行動(dòng)打擊軟件勒索行為，而本次REvil在死灰復(fù)燃兩個(gè)月后再度被封，也被認(rèn)為是打擊行動(dòng)取得初步成效。此前，美國(guó)政府高層人士曾表示，勒索軟件對(duì)關(guān)鍵基礎(chǔ)設(shè)施的攻擊應(yīng)被視為與恐怖主義同等的國(guó)家安全問(wèn)題。

　　有意思的是，“提前備份”一直被認(rèn)為是免受勒索軟件攻擊的最佳方式，因?yàn)槭芎φ呷绻梢詮膫浞葜谢謴?fù)系統(tǒng)，就不必向勒索組織付費(fèi)來(lái)獲取解密密鑰。勒索軟件攻擊者也清楚備份的重要性，所以通常通過(guò)破壞受害者的備份，讓受害者無(wú)計(jì)可施乖乖交錢。而這一次，美國(guó)政府和合作伙伴以其人之道還治其人之身，破壞了REvil的備份，讓REvil這個(gè)偷襲者感受到了老巢被端的滋味。

　　美國(guó)此番拿下REvil勒索軟件組織，頗有些殺雞儆猴的意味。受此消息影響，其他勒索軟件組織人人自危。僅10月22日，各勒索軟件組織就轉(zhuǎn)移了大約107個(gè)比特幣。之所以確定是勒索軟件組織所為，是因?yàn)榇舜伪忍貛呸D(zhuǎn)移是分割成小份進(jìn)行的，而執(zhí)法機(jī)構(gòu)通常的做法是直接將比特幣轉(zhuǎn)移，一般不會(huì)進(jìn)行分割。據(jù)區(qū)塊鏈公司Elliptic披露，曾策劃攻擊美國(guó)最大油氣管道運(yùn)營(yíng)商克洛尼爾公司而造成東海岸各州供油網(wǎng)絡(luò)被迫關(guān)閉的勒索集團(tuán)Darkside，已通過(guò)小額轉(zhuǎn)換的方式轉(zhuǎn)移了其持有的700萬(wàn)美元比特幣。

　　Groove呼吁“團(tuán)結(jié)起來(lái)，共同對(duì)抗美國(guó)”

　　以攻擊美國(guó)醫(yī)院打響知名度的Conti勒索組織稱：“美國(guó)針對(duì)REvil服務(wù)器的攻擊行為提醒了我們一件顯而易見(jiàn)的事：美國(guó)在世界事務(wù)中不斷展開(kāi)單邊、域外和強(qiáng)盜行為。美國(guó)的50個(gè)州有任何一條法律可以認(rèn)定這次對(duì)REvil服務(wù)器的攻擊是合法的嗎？勒索軟件才是真正的受害者！猜猜有史以來(lái)最大的勒索軟件組織是誰(shuí)？就是你們美國(guó)的聯(lián)邦政府！”

　　Groove勒索組織則發(fā)文呼吁，勒索軟件之間應(yīng)停止競(jìng)爭(zhēng)，共同聯(lián)合起來(lái)對(duì)抗美國(guó)，加大對(duì)美國(guó)公共設(shè)施的攻擊力度。該勒索軟件組織在其用于泄密的網(wǎng)站上用俄語(yǔ)發(fā)布了一條這樣的消息：“在美國(guó)政府聯(lián)合其他國(guó)家對(duì)我們進(jìn)行打擊的困難時(shí)期，我呼吁所有的合作伙伴停止競(jìng)爭(zhēng)，團(tuán)結(jié)起來(lái)共同攻擊美國(guó)公共部門，以此報(bào)復(fù)美國(guó)對(duì)勒索軟件組織的制裁?！痹撓⑦€稱，勒索軟件組織應(yīng)停止對(duì)俄羅斯等國(guó)家的攻擊，避免被全球所有的國(guó)家共同打擊，為勒索軟件組織保留一些安全的場(chǎng)所。

　　Groove組織發(fā)布消息呼吁報(bào)復(fù)美國(guó)

　　威懾攻擊者，遏制勒索軟件傳播

　　關(guān)閉僵尸網(wǎng)絡(luò)、追回勒索贖金、逮捕涉案黑客，美國(guó)采取多種方式追殺勒索軟件。

　　微軟關(guān)閉Trickbot僵尸網(wǎng)絡(luò)

　　Trickbot僵尸網(wǎng)絡(luò)提供惡意軟件即服務(wù)功能，成為部署各種勒索軟件，鎖定公司網(wǎng)絡(luò)上受感染系統(tǒng)的可靠工具。

　　去年10月，微軟公司接管Trickbot僵尸網(wǎng)絡(luò)后端的方式也頗為神奇，據(jù)美國(guó)媒體報(bào)道，微軟直接拿起了法律武器，指控Trickbot僵尸網(wǎng)絡(luò)濫用微軟商標(biāo)，觸犯了商標(biāo)法。

　　弗吉尼亞州的法院接受了該起訴，并授權(quán)微軟接管Trickbot僵尸網(wǎng)絡(luò)的網(wǎng)絡(luò)服務(wù)器控制權(quán)。然后微軟與安全網(wǎng)絡(luò)組織合作，破壞了Trickbot的后端基礎(chǔ)架構(gòu)，Trickbot僵尸網(wǎng)絡(luò)的運(yùn)營(yíng)者將無(wú)法再發(fā)起新的網(wǎng)絡(luò)攻擊或者激活那些已經(jīng)入侵了企業(yè)網(wǎng)絡(luò)里的勒索軟件。這些安全組織包括著名的全球金融服務(wù)信息共享分析中心FS-ISAC、全球性的計(jì)算機(jī)安全軟件提供商ESET、網(wǎng)絡(luò)威脅研究實(shí)驗(yàn)室Lumen's Black Lotus Labs、日本電報(bào)電話公司NTT、博通公司的網(wǎng)絡(luò)安全部門Symantec等。

　　在微軟的“商標(biāo)行動(dòng)”之前數(shù)日，美軍網(wǎng)絡(luò)司令部也針對(duì)Trickbot發(fā)起了一波攻擊，向所有受感染的Trickbot系統(tǒng)發(fā)送了一條指令，讓這些設(shè)備與Trickbot主控服務(wù)器斷開(kāi)連接。美軍網(wǎng)絡(luò)司令部對(duì)Trickbot的攻擊持續(xù)了大約十天，期間還將數(shù)百萬(wàn)條虛假的新受害者記錄填充到Trickbot數(shù)據(jù)庫(kù)中，以迷惑僵尸網(wǎng)絡(luò)的運(yùn)營(yíng)者。

　　微軟安全團(tuán)隊(duì)關(guān)閉了全球128臺(tái)TrickBot基礎(chǔ)設(shè)施的服務(wù)器中的120臺(tái)。另外，在目前已經(jīng)確定的69臺(tái)主要 Trickbot服務(wù)器中，有62臺(tái)已經(jīng)被關(guān)閉。未能關(guān)閉的7臺(tái)服務(wù)器被描述為物聯(lián)網(wǎng)設(shè)備。這些系統(tǒng)無(wú)法立即關(guān)閉的原因是它們不在網(wǎng)絡(luò)托管公司和數(shù)據(jù)中心內(nèi)，而且無(wú)法聯(lián)系到設(shè)備所有者。

　　美國(guó)司法部追回輸油管事件的勒索贖金

　　2021年5月初，黑客組織DarkSide入侵了美國(guó)科洛尼爾油氣管道運(yùn)輸公司網(wǎng)絡(luò)，并且成功索要到贖金。不過(guò)事件很快出現(xiàn)了大反轉(zhuǎn)，美國(guó)司法部6月7日發(fā)布公告稱，調(diào)查人員追回科洛尼爾公司先前向黑客支付的總價(jià)大約230萬(wàn)美元的比特幣。美國(guó)聯(lián)邦調(diào)查局獲取了解鎖一個(gè)比特幣錢包的私人密鑰。這個(gè)比特幣錢包接收了科洛尼爾公司支付的大部分贖金。根據(jù)美國(guó)司法部副部長(zhǎng)麗莎·摩納哥（Lisa Monaco）介紹，聯(lián)邦調(diào)查局追回了63.7枚比特幣（總贖金約為75枚，占比85%）。

　　最令外界關(guān)注的是聯(lián)邦調(diào)查局如何獲得有關(guān)賬戶的密鑰。根據(jù)聯(lián)邦調(diào)查局的一份書面證詞，執(zhí)法人員使用了區(qū)塊鏈賬簿的實(shí)時(shí)監(jiān)控工具，追蹤比特幣的數(shù)筆交易，首先確認(rèn)了DarkSide接收贖金的地址，隨后，聯(lián)邦調(diào)查局獲取了密鑰，直接從DarkSide的賬戶里轉(zhuǎn)走了63.7枚比特幣---有個(gè)細(xì)節(jié)是，這個(gè)賬戶里其實(shí)有69.6個(gè)比特幣，但聯(lián)邦調(diào)查局判斷與黑客贖金案相關(guān)的只有63.7個(gè)，因此只轉(zhuǎn)走了63.7個(gè)比特幣。

　　據(jù)悉，成功執(zhí)行此次追索任務(wù)的是美國(guó)司法部為打擊勒索軟件而新成立的特別隊(duì)伍---“勒索與數(shù)字敲詐工作組（RDETF）”。本次任務(wù)是這個(gè)新成立小組的首次行動(dòng)。

　　這一行動(dòng)說(shuō)明，聯(lián)邦調(diào)查局可以通過(guò)搜查美國(guó)基礎(chǔ)設(shè)施的最底層信息，以及綜合利用美國(guó)各種IT服務(wù)供應(yīng)商的共享信息，來(lái)獲取全球任何一個(gè)組織的最隱私信息。

　　兩名REvil勒索軟件運(yùn)營(yíng)者在烏克蘭被捕

　　在一次國(guó)際聯(lián)合執(zhí)法行動(dòng)之后，一個(gè)勒索軟件團(tuán)伙的兩名成員在烏克蘭被捕。逮捕行動(dòng)于2021年9月28日在烏克蘭首都基輔展開(kāi)，由烏克蘭國(guó)家警察在法國(guó)憲兵隊(duì)、美國(guó)聯(lián)邦調(diào)查局、歐洲刑警組織和國(guó)際刑警組織的協(xié)助下實(shí)施。

　　根除勒索攻擊任重道遠(yuǎn)

　　較早的主流勒索軟件是非定向傳播的，帶有數(shù)據(jù)加密和刪除功能的蠕蟲(chóng)病毒依靠網(wǎng)絡(luò)或U盤大面積感染計(jì)算機(jī)，但勒索贖金額度較低。此后勒索攻擊與高級(jí)持續(xù)性威脅攻擊相結(jié)合，演化出針對(duì)高價(jià)值目標(biāo)的定向勒索，并形成了勒索軟件即服務(wù)的作案模式：上游團(tuán)伙編寫勒索軟件并提供設(shè)施，下游團(tuán)伙則負(fù)責(zé)攻擊投放，上下游收益分成。黑客網(wǎng)絡(luò)由勒索軟件供應(yīng)商、贖金談判人員、攻擊執(zhí)行人員等組成。

　　美國(guó)聯(lián)邦調(diào)查局的官員今年7月曾表示，該機(jī)構(gòu)正在追蹤100多個(gè)活躍的勒索軟件團(tuán)伙。但因?yàn)楹诳屯鶃?lái)無(wú)影去無(wú)蹤，約有一半的案件都將無(wú)法找到確切歸屬。應(yīng)對(duì)勒索軟件威脅的關(guān)鍵是做好事前防御，政府應(yīng)引導(dǎo)關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)方進(jìn)行有效防御能力建設(shè)。在國(guó)際層面，各國(guó)應(yīng)就打擊國(guó)際化網(wǎng)絡(luò)犯罪增強(qiáng)互信，加強(qiáng)應(yīng)急響應(yīng)協(xié)作和信息共享。