勒索軟件組織最大的敵人是誰?虎視眈眈的執(zhí)法機構還是憤然反擊的企業(yè)安全團隊?答案可能出乎你的想象，如今勒索軟件組織最懼怕的是同行/同事內卷或反水。

在最近的一系列勒索軟件調查中，由于同事的“舉報”，一些臭名昭著的勒索軟件組織成員的敏感信息被大量泄露。這給勒索軟件組織提出了一個重大難題：如果連同事都不能信任，你還能信任誰?

以2019年勒索軟件組織REvil為例。當時，REvil已經(jīng)入侵了德克薩斯州的數(shù)百家牙科診所和十幾個地方政府。負責調查該事件的網(wǎng)絡安全公司McAfee(現(xiàn)在的Trellix)的安全研究人員收到一封來自REvil內部人士的匿名舉報電子郵件，舉報者顯然對REvil的管理層相當不滿。

Trellix威脅情報負責人兼首席工程師John Fokker上個月在一篇博文中透露，REvil勒索軟件組織的內部人士透露了有關該組織的策略、程序和運營的信息。Trellix隨后與執(zhí)法部門分享了這些數(shù)據(jù)，這讓執(zhí)法部門“欣喜若狂”，因為這些信息有助于他們對REvil的調查。美國和歐洲警方隨即對與REvil相關的黑客展開突襲、指控，并沒收加密貨幣。

據(jù)Trellix透露，告密者最初要求獲得經(jīng)濟獎勵，但Trellix不會向網(wǎng)絡犯罪分子支付信息費用。但美國政府去年提供了高達1000萬美元的信息費用，懸賞能夠幫助逮捕REvil領導人的信息。

事實證明網(wǎng)絡犯罪分子并無操守可言，如果能夠獲得利益，他們完全不介意出賣同行或者同事。REvil的“內鬼”事件在勒索軟件行當絕不鮮見。

去年，Conti勒索軟件組織的一個心懷不滿的加盟機構(曾入侵愛爾蘭的醫(yī)療系統(tǒng))泄露了一份Conti分發(fā)給加盟機構的內部培訓手冊。

在Conti表態(tài)支持俄羅斯在烏克蘭的“特別軍事行動”之后，一個匿名的推特賬戶泄露了該組織內部的大量內部聊天記錄，讓安全研究人員和執(zhí)法機構首次窺見該組織的內部運作機制。

● 據(jù)CNN報道，泄密黑客是一名烏克蘭研究人員，長期以來一直擁有Conti系統(tǒng)的訪問權限。

● 大約在同一時間，另一個Twitter帳戶泄露了Trickbot組織的內部消息，該組織與Conti有關聯(lián)。據(jù)《華爾街日報》報道，該泄密事件背后的研究人員也自稱是烏克蘭人。

類似的，勒索軟件組織Lockbit和Babuk也曾被“自己人”泄露內部工具。

專家指出，勒索軟件組織的信息泄漏有多種原因。Recorded Future高級安全架構師Allan Liska指出，一些大型勒索軟件組織很快賺了很多錢，但并沒有善待他們的加盟機構或承包商。此外，一些勒索軟件組織還就地緣政治事件發(fā)表了“站隊”聲明，面臨來自美國和其他執(zhí)法機構的壓力。

Liska指出，勒索軟件組織的管理者大多是二三十歲的年輕人，缺乏管理經(jīng)驗，不知道如何管理一個大型組織。

Emsisoft威脅分析師Brett Callow則認為，勒索軟件組織自身很容易受到滲透?！叭绻麍?zhí)法部門沒有滲透到一些團體，我會感到驚訝，”他說：“如果網(wǎng)絡安全研究人員沒有這樣做，我同樣會感到驚訝?！?/span>

勒索軟件組織的犯罪分子往往缺乏必要的安全意識，經(jīng)常無意間泄露敏感信息。例如今年，委內瑞拉心臟病專家Moises Luis Zagala Gonzalez涉嫌開發(fā)散布勒索軟件工具被捕，檢察官發(fā)現(xiàn)他作案時使用的電子郵件帳戶和支付服務居然與他的真實信息相關。

Liska說，一些勒索軟件組織往往自視過高，甚至不屑采取預防措施來隱匿行蹤和身份。

在另一個案例中，研究人員發(fā)現(xiàn)一名伊朗勒索軟件黑客在勒索信中署上了真名。

參考鏈接：

https://www.washingtonpost.com/politics/2022/10/12/ransomware-hackers-have-new-worst-enemy-themselves/

來源：GoUpSec