再创新高：财富50强公司支付勒索赎金7500万美元

当然，历史上也出现过高额赎金。2021年，位于美国伊利诺伊州的 CAN Financial 公司据称向勒索者支付了4000万美元以恢复其系统。2021年晚些时候，肉类制造商 JBS 承认支付1100万美元以恢复工厂运营。去年，Caesars Palace 支付了1500万美元解除勒索危机。

但这些数字与价值7500万美元的比特币相比斗相形见绌。Zscaler 公司在其发布的2024年度勒索报告中提及该赎金但未说明具体金额。换算成的美元金额和 Chainalysis 提供的相符。

Dark Angels 首次在2022年5月现身。自此，该组织一直在攻击比同行数量少但价值更高的目标。此前的受害者包括多家标普500企业，横跨多个行业如医疗、政府、金融、教育、制造、电信等。

例如，该组织曾在去年攻击巨头 Johnson Controls International (JCI)。它层攻陷该公司的 VMware ESXi 管理程序，通过 Ragnar Locker 冻结并窃取27TB数据，而勒索金为5100万美元。目前尚不清楚 Johnson Controls 公司是如何回应的，但鉴于其超过2700万的勒索清除代价，可能该公司并未屈服。2700万美元本来可能是当时历史上最高的赎金（第一是CNA 支付的赎金）。但有证据表明，这并非某些不寻常的谈判技术，Dark Angels 有理由认为它可以赢得这些赃款。

我们只有摒除对勒索软件的已有了解，才能开始理解 Dark Angels。

与常理相反，该组织并不运营勒索软件即服务业务。它也并不拥有自己的恶意软件链，它偏向于借助加密工具如 Ragnar Locker 和 Babuk。它的成功源自三个主要因素，第一个是它攻击的对象更少但回报更高，有能力更加形式谨慎。

第二是它能够提取大量敏感数据。正如 Zscaler 公司的高级威胁情报总监 Brett Stone-Gross 解释得那样，“如果你注意很多这类其它勒索团伙，它们的会员可能窃取数百G数据，有时甚至更少。它们的极限可能大概是1TB左右。而Dark Angels 窃取数十TB数据。”

不过，这样看来Dark Angels 仅在程度方面而非类型方面与其它组织不同。但实际上它最独特的地方在于它的细微之处。它的泄露网站并不花哨，也不会大肆宣扬最新受害者。除了隐秘性带来的运营安全好处外，它避免出现在镁光灯下也可使其赚取更大的投资回报。例如，Dark Angels 经常避免加密受害者数据，明确可使受害者能够继续在未被破坏的情况下运营。这种做法看似不符合常理。宕机威胁和媒体的审视难道是让受害者支付赎金的有效工具吗？

Stone-Gross 认为，“你可能会那么想，但结果却并非如此。” Dark Angels 让支付赎金的过程轻松且安静，而这对于只想要深藏数据泄露事件的公司而言无意具有吸引力。而避免业务遭破坏也是双赢的：不需要支付宕机恢复费用，企业就有更多的钱支付给 Dark Angels。

Zscaler 在报告中预测称，“其它勒索组织会注意到 Dark Angels 的成功并采用类似技巧，专注于高价值目标并提高数据盗取的重要性，将经济收益最大化。”

如预测照进现实，那么企业会面临更加高额且更具强制性的勒索。好在，Dark Angels 的方法具有一个致命的弱点。Stone-Gross 提到，“如果是1TB的数据，那么黑客很可能在几天内就完成转账。但如果数据是数G甚至是数十G数据，那么可能会需要数周的时间。”因此，如果企业能够在中途抓住 Dark Angels，那么就可及时阻止它。