近段時間，頭部勒索軟件的日子越來越不好過了，有業界人士甚至認為，高調的頭部勒索軟件組織正在進入“至暗時刻”。

[[433413]]

據security affairs消息，在臭名昭著的REvil勒索軟件下線兩個星期，勒索組織Groove發文加大對美國的打擊力度后，另一個業內著名的勒索軟件BlackMatter也因為執法部門的打壓而被迫關門歇業。

BlackMatter勒索團伙在其運營的勒索軟件即服務門戶網站上公布了這一消息，惡意軟件樣本網站vx-underground發布了該消息的截圖和英文文字版。

“迫于某些來自地方執法機關的無法解決的壓力(在消息發布后，部分團隊人員將被解散)，該項目現已下線。48個小時之后，整個基礎設施將全部關閉。

最后還可以做的是：

• 和本公司進一步溝通可發送郵件;
• 如果需要獲取解密器，可在公司內部聊天中留言‘求一個解密器’。
• 最后祝各位一切順利，很高興和大家一起共事。”

出道即巔峰的BlackMatter

2021年7月下旬，BlackMatter勒索軟件高調出道，隨即成為行業的焦點。這個自稱是 Darkside和 REvil的繼任者，整合了DarkSide、REvil、LockBit等老牌勒索軟件的最佳功能，一度還被業界稱為“下一代毒王”，可謂“出道即巔峰”。

Recorded Future公司的安全研究人員首先發現了BlackMatter勒索軟件。

那時他們正在暗網中發布招募信息，開出豐厚的條件招攬成員，建立了勒索軟件即服務 (RaaS) 的網站，并大言不慚將勒索標的定為“年收入超1億美元”的公司。

2021年8月，BlackMatter勒索策劃、實施了針對 VMware ESXi 虛擬機平臺的勒索事件。此后，BlackMatter勒索團伙陸陸續續襲擊了許多美國、法國、意大利等國家的企業和組織，每次勒索贖金在80,000 至 15,000,000 美元不等。

[[433414]]

但是在2021年10月，網絡安全和基礎設施安全局 (CISA)、聯邦調查局 (FBI) 和國家安全局 (NSA) 聯合發布的報告中，詳細敘述了該勒索軟件團伙相關的攻擊策略、技術和程序 (TTP)，并提供了詳細的操作和防御建議。

這份聯合報告中的數據全部來自第三方公司，信息可信度非常高。這意味著，在那個時候BlackMatter勒索軟件就已經被美國政府給盯上了，并且已經掌握了足夠多的信息。

回顧BlackMatter勒索軟件從出道到謝幕，不過才短短三個月不到的時間。雖然曾經一度站在巔峰，但如今已解散團隊，停止運營并關閉了所有的基礎設施。

打擊力度越來越大，勒索軟件“凜冬將至”

REvil、BlackMatter等頭部勒索軟件接連被拿下，也讓業界嗅到了一絲不同尋常的意味。面對多個國家執法機關的高壓打擊，頭部勒索軟件已經感受到了凜冬的嚴寒。

近年來，勒索攻擊發展極為迅速，并已經成為全球企業和組織面臨的重要威脅之一，不少大型國際集團因此而付出了慘痛的代價。正因為如此，越來越多的國家選擇聯合在一起，共同抵御勒索軟件攻擊。

2021年10月，美國就邀請了30多個國家召開了反勒索聯盟會議，反勒索聯盟組織正式確定，隨即最出名的REvil勒索軟件就被拿下祭旗，成為了用來震懾的那只猴子。消息一出，業界震動，勒索軟件組織連夜轉移了價值700萬美元的比特幣。

這僅僅是執法部門打擊勒索軟件的一個縮影。

10月26日，烏克蘭聯合瑞士共同聯合發起了一次勒索軟件執法工作，突襲了某勒索組織據點，共抓獲12人，繳獲現金52000美元，五輛豪華汽車和一些電子設備。據悉該勒索組織自2019年以來共襲擊了18000多名受害者，涉及70多個國家/地區。

曾經策劃了美國科洛尼爾油氣管道攻擊事件的DarkSide勒索軟件，也在2021年5月上旬被美國執法部門打垮了。該勒索團伙發布聲明稱，由于美國執法部門的打擊，他們已經無法通過SSH訪問其公共數據泄露網站、支付服務器和CDN服務器，以及主機界面。因此將為所有尚未付款的公司提供解密工具，并承諾在2021年5月23日之前償還所有未償債務。

有意思的，五月初他們因攻擊科洛尼爾油氣管道拿到的巨額贖金，大部分也被美國司法部門追回(總贖金約為75枚比特幣，追回63.7枚，約戰85%)。美國司法部門稱，通過追蹤比特幣的交易確認了接收贖金的地址，隨后，聯邦調查局獲取了密鑰，直接從DarkSide的賬戶里轉走了與贖金相關的63.7枚比特幣。

國際巨頭集團們也紛紛對勒索軟件發起阻擊。例如在2020年10月，微軟就關閉了Trickbot僵尸網絡。而后微軟與安全網絡組織合作，破壞了Trickbot的后端基礎架構，Trickbot僵尸網絡的運營者將無法再發起新的網絡攻擊或者激活那些已經入侵了企業網絡里的勒索軟件。

在2020年年底，微軟、McAfee、Citrix等19家安全相關安全軟、硬件企業還聯合在一起，共同組成反勒索軟件任務小組 (RTF)，希望藉由建立更完整的反勒索軟件技術標準對抗威脅。

由此可見，和勒索組織之間的對抗將會越來越激烈，而越是高調的勒索組織，越是會迎來執法部門狂風驟雨般的打壓。這種打壓并不僅僅來自于單個國家，國與國之間聯合跨區域作戰將會成為常態。

在這樣的情況下，勒索軟件將會得到有效遏制，尤其是對有影響力的頭部勒索組織而言更是如此，因為它們將會出現在聯合打擊的名單列表上，一旦被抓住了痕跡，很有可能會因此而涼涼。

隨著打擊力度不斷增加，勒索組織的運營成本和風險也曾直線上升之勢，再加上日漸嚴苛的司法處罰力度，對于勒索組織的成員來說是一種不小的威懾。

如今，頭部勒索組織雖然面臨著“凜冬將至”的趨勢，但我們必須要清醒的是，指望從此之后勒索軟件銷聲匿跡不太現實。相反，我們更應該像《權游》中的臺詞所說的一樣，“從今開始守望”。

網絡空間中的攻防對抗就如同矛和盾的關系：當矛變的更加鋒利時，盾的防御水平也會上升;反之也是如此，當盾越來越堅固時，矛也會隨之進化。

因此，對于勒索攻擊，我們需要保持常態化的防御機制，時時刻刻提高警惕，否則勒索攻擊必定會以一種意想不到的方式，給全球的企業一個大大的“驚喜”。

參考來源：

https://securityaffairs.co/wordpress/124135/cyber-crime/blackmatter-ransomware-shutting-down-operations.html