近日,超过15个活跃的知名暗网勒索软件团伙集体宣布“退休”,他们在暗网网络犯罪论坛BreachForums上发帖表示,将停止运营,终止攻击行动,并利用手中的赎金“享受生活”。与此同时,该声明还提到了已被拘留的成员,他们向自2024年4月以来被各国执法部门逮捕的8名成员表示“悼念与歉意”,誓言将对当局进行报复,并努力争取释放他们。
这些勒索软件团伙通过暗网发布声明称,其“行动目的”已达成——即“揭露全球不安全的数字基础设施与系统”,而非单纯勒索。部分团伙甚至试图将自身行为描述为“促进信息安全研究”,虽然此类说法在业界引发广泛质疑。
据悉,包括Lapsus$、Scattered Spider、IntelBroker、ShinyHunters、TOXIQUEROOT等在内的15个以上的暗网勒索软件团伙确认参与此次“退出”,其中不乏曾攻击谷歌、美国航空、英国航空、开云集团、捷豹路虎、米高梅度假村和玛莎百货等知名企业的团伙。
“金色降落伞”和悄无声息的退出
这些勒索软件团伙坚称,担心他们消失是多余的,并表示:“如果你们担心我们,别担心……我们会用我们积累的数百万美元享受我们的‘金色降落伞’。其他人会继续研究和改进你们日常生活中使用的系统。我们会保持沉默。”
他们将退出描述为“享受金色降落伞”的机会,他们称现在将转为“沉默”,并表示“沉默现在将成为我们的力量”,一些成员计划靠积累的钱退休,而其他一些成员据称计划专注于安全研究,而不是攻击。
该声明语气强硬,指出仍被拘留的成员不会被遗忘,特别是对2024年4月被法国当局逮捕的4人表示慰问,称其为“牺牲者”。这些团伙誓言将努力争取释放这些成员,并暗示将对执法部门进行报复。
尽管“宣布退休”看似高调退出,但“暗网下/AWX”认为,这更像是一场策略性公关秀。Black Duck高级员工顾问Nivedita Murthy表示:“各组织应该对这些声明持保留态度。其中一些团体可能决定退出并享受他们的收益,但这并不能阻止模仿团体崛起并取代他们。”
一位匿名安全专家指出:“FBI并不会因为一句‘退休’声明就放弃全球追捕,后续逮捕行动仍将持续。”
此外,“暗网下/AWX”综合多个信源分析,此举可能是团伙内部重组、洗白或更换身份的前兆,未来不排除继续以相同名称或全新品牌继续开展攻击。“退休”声明长期以来一直是行动重置的幌子。黑客通过放弃旧名,躲避起诉,并以新面目重新出现。The Register和其他观察人士警告称,数十亿美元的损失使得黑客不太可能轻易消失。最好的情况是,这项声明标志着黑客行动的暂停。最坏的情况是,它掩盖了黑客为更复杂的攻击活动所做的准备。
无法判断如此多的勒索软件团伙突然“退出”的原因
虽然勒索软件团伙假装退休并在其他地方重组并不罕见,但如此多的团伙选择在同一时间和地点宣布告别,却颇为奇怪。这些公告至少看起来是真实的,因为它们是由这些团伙运营的官方Breachforums账户发布的,然后再转发到他们控制的Telegram账户上。
宣布退出的小型勒索软件团伙包括Trihash、Yurosh、yaxsh、WyTroZz、N3z0x、Nitroz、TOXIQUEROOT、Prosox、Pertinax、Kurosh、Yukari和Clown。IntelBroker是名单上较知名的勒索软件团伙之一,据信该团伙除了自行发起网络攻击外,还运营着BreachForums。目前尚不清楚此次所谓的退出是否会对BreachForums的未来发展产生影响。这些看似奇怪的小型勒索软件团伙可能与Scattered Spider有关,据报道,Scattered Spider的团伙结构更加灵活,允许其他团伙的黑客随时发动特定攻击。安全研究人员还指出,大多数这些勒索软件团伙都是在 8 月份才开始相互联系并与 Scattered Spider 互动,而这距他们宣布退出仅过去了几周。
进一步佐证“假退休”理论的是,警方对“ShinyHunters”和“Scattered Spider”成员的八次突袭和逮捕,只抓获了低级到中级的参与者,例如SIM卡交换计划中的“钱骡”和“走狗”。据信,这两个团伙的高层领导目前都尚未被抓获。
然而,“暗网下/AWX”认为,勒索软件团伙之所以采取这一伎俩,大概是出于对执法部门关注的恐惧和恐慌。Scattered Spider凭借其于5月份发起的社会工程攻击活动,成为今年最臭名昭著的黑客组织。该组织首先针对英国的大型零售商,随后蔓延至财富500强保险公司和澳大利亚航空公司Qantas等目标。据信 ShinyHunters也在开展针对本地SalesForce安装的平行攻击活动,但最近几周越来越多的证据表明,这两个团伙已经合作了一段时间。据报道,Scattered Spider刚刚有另外两名成员被逮捕,他们都是英国青少年,涉嫌参与2024年对伦敦交通局 (TfL) 的黑客攻击。
但无论目前的恐慌程度如何,黑客几乎肯定会组建或加入新的勒索软件团伙,卷土重来;至少历史经验表明会如此。所谓的“金色降落伞”和数百万美元的回报很可能只是个幌子,让人们误以为他们的退出是合法的,其意图只是在几周或几个月后以全新的品牌卷土重来。
对未来的担忧:警惕“退而不休”陷阱
勒索软件仍是全球网络安全的主要威胁。虽然此次“集体告别”令人瞩目,但安全专家提醒各大机构不要放松警惕。“退出”声明可能为障眼法,掩盖新一轮更隐蔽的行动。
专家预计,未来勒索攻击可能会以不同的名义进行,尤其是考虑到这些组织承认获取的巨额利润。预谋网络攻击的可能性仍然存在,这又增加了一层不确定性。
Bugcrowd创始人凯西·埃利斯(Casey Ellis)表示:“最好将此声明视为公关噱头,而不是真正的告别。”从历史上看,网络犯罪分子很少会像传统意义上那样退休。相反,他们会重塑形象、重组组织,或转向新的策略和行动,否则就会被抓获。
iCOUNTER情报行动合伙人戴夫·泰森(Dave Tyson)赞同埃利斯的观点,他说:“这绝不是退休,这只是犯罪正常生命周期的一部分。群体为了特定的目的聚集在一起,组成单位来执行他们的计划,并退出可定义的身份,以降低对集体或单位的关注。”
因此,这15个勒索软件团伙的沉默应该被理解为一种伪装。一些成员无疑会转向邻近领域,例如漏洞利用开发或灰色市场“安全研究”。其他成员则会加入新的行动,带着多年攻击中积累的经验、策略和资金。网络犯罪行业不会消失;它会变异,而且每次变异往往比上一次更具韧性。
目前,各国执法部门尚未对这波声明做出公开回应。网络安全机构建议企业继续强化基础设施防护,提升应急响应能力,以应对未来可能出现的新变种或模仿攻击。