勒索软件为何总能复活？

众所周知，臭名昭著的勒索软件LockBit最近栽了个跟头，被一起11国参与的联合执法行动查封了基础设施，勒索服务被迫下线。

英国国家犯罪局（NCA）局长格雷姆·比加尔（Graeme Biggar）表示，执法行动不仅摧毁了 LockBit 的攻击基础设施，还获取了 LockBit 的所有源代码。官方用“捣毁”一词，力图凸显这次行动的所取得的胜利。美国司法部长梅里克·加兰（Merrick B. Garland）也对外宣称，执法行动已经剥夺了LockBit实施犯罪的机会。

美国司法部长梅里克·加兰（Merrick B. Garland）

但好景不长，仅仅过了不到一周时间，LockBit便从这一重创中光速复活，不仅重新上线勒索网站，并挂出5名受害者，还扬言要对政府部门打击报复。可见，这起执法行动虽然猛戳了一下LockBit的痛处，但从其自身角度出发，似乎只不过是吃一堑长一智的“成长经历”。

这也再一次印证了想要彻底铲除勒索软件，其难度之大，让世界都为之头痛。

光速复活的LockBit到底何德何能

LockBit勒索软件组织最初于2019年左右出现，自成立以来经历了两次重大迭代，不断改进其勒索软件功能和攻击手段，从最初的1.0版本演化为目前的3.0版本。SecureWorks 反威胁部门副总裁唐·史密斯（Don Smith）称LockBit已占据勒索软件市场四分之一的份额，而最主要的竞争对手BlackCat占有率仅为8.5%。美国国土安全部曾发布报告称，在2020年1月至2023年5月期间，黑客使用LockBit软件一共在美国作案1700余起，从中敲诈得手9100万美元。

而在今年2月，由英国国家犯罪局（NCA）牵头、代号为“克罗诺斯”的这起11国联合执法行动无疑是LockBit自诞生以来遭遇的一次重大打击。虽然目前看来，这场行动大概是以“失败”收场，但通过一些行动细节，仍能旁敲侧击地看出LockBit的厉害之处。

“克罗诺斯”行动细节

2024年2月20日， NCA在一份声明中宣布，通过渗透LockBit的网络，克罗诺斯行动成功控制了LockBit的服务，进而捣毁了整个犯罪团伙。NCA指出，执法机构已接管该组织用于构建和实施攻击的主要管理环境，以及该组织在暗网发布勒索信息和公开受害者文件的网站，该网站将成为执法机构发布LockBit调查信息的平台。

执法机构还对外释放了 LockBit 后端管理面板截图、与受害者谈判的截图，试图证明执法行动对 LockBit 的打击全面且深入。

LockBit勒索软件构建工具

执法人员同时还获得了大量与该组织相关的情报，包括与其合作过的组织，以及利用LockBit服务危害全球网络安全的信息。他们还在服务器中发现一些已支付赎金的受害者数据，可见尽管该组织声称删除数据后收取赎金，但显然该组织在背地里还留了一手。

此外，两名LockBit的参与者在波兰和乌克兰被捕，同时超过两百个与该组织有关的加密货币账户被冻结。执法机构还总共获取了超过1000条解密密钥。

作为该行动的主要参与者，美国司法部长梅里克·加兰发表视频称，在本次执法行动中，美国司法部以涉及使用勒索软件发动攻击等行为，对多名犯罪嫌疑人提出了指控。

无论是从技术还是人员，这项执法行动都堪称对LockBit实施了全方位的打击，但就是在这样的力度之下，LockBit仍能快速打赢复活赛，其“城府”之深可见一斑。

LockBit的复活赛

就在官方宣布“克罗诺斯”行动取得重大成果后不到一周的时间，LockBit就高调宣布回归，其管理员LockbitSupp “谦虚”地反思了自身为何会被攻击，将原因归结于“偷懒“没有及时修复系统中存在的漏洞，让执法人员钻了空子，并“感谢”这次执法行动让他幡然醒悟。

根据LockbitSupp透露的消息，执法人员利用了组织内的受害者管理和聊天面板服务器以及博客服务器所运行的PHP 8.1.2版本漏洞，该漏洞被追溯为CVE-2023-3824。LockBit表示已经更新了PHP服务器，并宣布将奖励在新版本中找到漏洞的人。

与之伴随的是新数据泄露网站的上线，LockBit列出了5名受害者的信息及数据泄露倒计时器，并在显著位置留了一篇给美国FBI的“小作文”，称由FBI参与的此次行动属于“狗急跳墙”，因为他们还未掌握组织核心成员的重要线索时“草草”发动了攻势，并推测这次执法行动与1月LockBit针对美国富尔顿县的攻击有关，该攻击很可能泄露了前总统唐纳德·特朗普的敏感信息，并将对即将到来的美国大选构成影响。而执法行动的目的之一就是封锁消息，阻止特朗普的文件被泄露。

LockBit写给FBI的“小作文”

LockBit还在文章中称执法行动获得的 1000 个解密密钥只是其“未受保护的解密器”库的一小部分。该类型解密器被用于低赎金攻击行动，总共约 20000 个，占整体密钥库的一半左右。换句话说，该组织觉得损失这1000个密钥无伤大雅。

为了避免被再次攻破，LockBit 计划升级其基础设施的安全性，改用手动发布解密器和试用文件解密，并在多个服务器上托管附属面板，根据信任级别为其合作伙伴提供访问权限。同时，为了出被联合执法行动针对的这口恶气，LockBit叫嚣未来攻击行动将集中针对政府网站，尤其是美国联邦调查局。

除了复活，勒索软件也能“转世“

在LockBit之前，已有其他知名勒索软件组织在遭遇执法行动打击并下线后，通过成员另起炉灶，或以研发其它变种版本的形式重新抛头露面。

在2021年10月份的多国联合执法行动中，勒索软件组织REvil的服务器被查，2022年1月，俄罗斯FSB称在美国提供的相关信息后彻底毁灭了REvil并抓捕了几名主要犯罪人员。但仅隔了不到4个月，研究人员就在野外发现了一个新的Evil勒索软件样本变种，由于在加密方式和勒索信格式上与REvil存在类似性，研究人员认为是原REvil组织内部人员借此重新开始活动。

另一大勒索软件组织Hive也存在类似情况，该组织在2023 年 1 月的一次国际执法行动中被查封。但这之后，一个名为 Hunters International 的新勒索软件组织开始浮现，并且使用了此前Hive勒索软件的代码，其重叠度达60%。但该组织声称自己与Hive并无实际关联，只是从开发者手中购买了加密源代码。

打击勒索软件就像“打地鼠”

从LockBit和以上的例子中不难看出，看似雷厉风行的执法行动很难斩断勒索软件的根，陷入一场无休止的拉锯战。除了近年来勒索软件的复杂度显著提升，勒索软件即服务（RaaS）的业务属性也决定了单一执法行动的局限性，想要打赢“地鼠”似乎困难重重。

勒索软件即服务模式

勒索软件即服务 (RaaS) 是一种网络犯罪商业模式，勒索软件组织将勒索软件代码出售给其他黑客，这些黑客再使用该代码实施自己的勒索软件攻击行为。

这种模式不仅给勒索软件组织广开财路，同时也让勒索软件四处传播和渗透。在 RaaS 模式下，实施攻击的黑客与开发人员相互独立，不同的黑客组织也可能使用相同的勒索软件。安全人员可能无法明确将攻击归因于特定群体，从而使分析和抓获RaaS运营商和附属机构变得更加困难。

换言之，如果运营商和附属机构的任何一方被抓获，RaaS自带的风险分担属性，也能让他们有时间和机会重组和重塑活动。比如2023年Hive勒索软件组织被执法行动查封后，相关附属组织就纷纷转向使用LockBit 或 BlackCa等其他勒索软件；在美国外国资产控制办公室 (OFAC) 制裁 Evil Corp 勒索软件团伙后，受害者停止支付赎金以避免受到 OFAC 的处罚。作为回应，Evil Corp 多次更改其勒索软件名称以保证付款顺利进行。

这种模式的专业化也导致了劳动分工，让勒索软件的研发人员专注软件本身，不断研发更加复杂且功能强大的版本，使之能够不断抵御执法部门的渗透，附属机构则专注于寻找更有效的攻击方法，甚至还有专门的“接入经纪人”渗透网络，并向攻击者出售接入点。

也正是由于RaaS模式越发成熟，勒索软件发动攻击的效率得到了显著提升，留给安全人员捕获其蛛丝马迹的时间窗口也越来越窄。根据 X-Force 威胁情报指数，执行勒索软件攻击的平均时间从 2019 年的 60 多天下降到 2022 年的 3.85 天，可谓实现了指数级飞跃。

加密货币成为勒索软件的保护伞

从2017年大名鼎鼎的WannaCry开始，比特币等加密货币越发成为勒索软件组织索要赎金的重要币种，尤其是比特币币值正飞速上涨的当下。这是由于加密货币具有支付转账时的全球化、去中心化和匿名性等优势，不受央行和任何金融机构的控制，可有效隐藏攻击者的身份，为勒索软件提供了低风险、易操作、便捷性强的赎金交易和变现方式。

2023年3月15日，反洗钱金融行动特别工作组（FATF）发布的《打击勒索软件犯罪资金》研究报告，指出勒索软件组织正主要通过虚拟资产及其服务提供商收取赎金和转移资金，并利用强化匿名加密货币、混币平台等途径掩饰交易。同时，各国面临勒索软件犯罪可疑交易报告数量不足、打击经验缺乏、跨境调查与资产追缴难度大等挑战。

跨国执法带来的法律困境

由于勒索软件活动大多带有跨国性质，不同的国家针对网络犯罪有不同的法律框架，在对勒索软件攻击进行法律治理时常会因为需要进一步确定管辖权、准据法、举证方式、证明标准等原因造成法律治理上的不便和迟滞，大大减缓了调查及执法速度，甚至一些国家可能有严格的数据隐私法，限制与国际当局共享关键信息。虽然近来国际一直在强调对打击勒索案软件展开合作，但显然这种合作的效率还赶不上勒索软件的攻击速率。

此外，勒索软件攻击的国际合作治理还涉及集体公开溯源的问题，即将公开溯源运用到国际治理层面。由于网络溯源本身的方式和特征，现今时代背景下大国博弈日趋激烈、网络空间地缘政治化加剧等原因，该治理方式易引发国家间冲突的升级，而相互磋商的过程也会为及时溯源带来不便。

目前，以西方为主的《区域全面经济伙伴关系协定》（RCEP）、《全面与进步跨太平洋伙伴关系协定》（CPTPP）、美英澳三方安全倡议（AUKUS）、美日印澳（QUAD）高级网络小组与美欧贸易和技术理事会（U.S./EU Trade and Technology Council）等协定或组织能够针对勒索软件采取一些针对性措施，但在覆盖面、打击成果的有效性上仍较为有限，需要不断协调和平衡。

这让我们不得不面对一个现实：勒索软件已对全球企业组织、乃至地区稳定构成了严重威胁，但从现有的趋势不难看出，勒索软件恐将长期存在并且仍存发展空间，毕竟，网络犯罪分子很少会在巨大的利益面前浅尝辄止，尤其是RaaS模式越发成熟的当下。

走可持续打击勒索软件道路

正如前文所述，打击勒索软件就像打地鼠，但如果打击的棍棒够多，就能够在足够大的可控范围内及时控制并遏止勒索软件犯罪的势头，而这依然绕不开国际间广泛的相互合作。

近年来，以欧美国家为主的多次联合执法行动由于这类行动大多仅有单一性，未有持续性，覆盖面上仅有区域性、未有全球性。在动机上，此类执法行动往往也是因为政府核心利益受损后才开始重拳出击，对政治利益的维护大于对其他广泛的实际受害者的关切。此类做法不仅对勒索软件的打击和震慑作用有限，还会进一步挑起勒索软件与政府的对立，将政府相关基础设施置于被勒索软件组织疯狂报复的枪口之下。

有专家建议，应当建立由多国参与的独立国际组织，对打击勒索软件存在的技术难点进行攻克，同时担当法律协调机构，打通各国壁垒，使各国相关数据、情报能够快速共享，提高应对勒索软件攻击的响应能力。

这就不得不再提到管辖权问题，在勒索软件攻击的国际管辖问题上，各国面临着管辖权适用冲突，并不可避免地受到国家利益及各国国际司法话语权的影响。只有各国互相尊重、平等协商，共同建立管辖权冲突的国际规则，方能切实有效地开展以解决勒索攻击问题为导向，多角度、多层次、大范围的国际合作，建立起内部规则健全、汇集技术资源的切实有效的国际治理合作机制。

打击勒索软件固然是块难啃的硬骨头，涉及技术、法律乃至国际地缘政治等诸多瓶颈，但也正是由于勒索软件危害的全球性和严重性，让各国不得不面对并合作采取措施。勒索软件的屠刀下，没有哪个国家能始终安稳地充当一名看客。

原文来自: freebuf.com