最近浮出水面的 Dispossessor 勒索軟件，其與臭名昭著的 LockBit 勒索軟件團(tuán)伙存在許多相似之處。在全球執(zhí)法機(jī)構(gòu)聯(lián)合打擊了 LockBit 的攻擊基礎(chǔ)設(shè)施后，Dispossessor 帶著與 LockBit 高度相似的結(jié)構(gòu)與內(nèi)容出現(xiàn)在眾人眼前。

Dispossessor 符號標(biāo)記

Dispossessor

Dispossessor 名稱可能是來源于 Ursula K. Le Guin 的小說《The Dispossessed》，該小說探討了無政府主義、資源稀缺和社會動蕩的特殊時期，呈現(xiàn)了沒有個人財產(chǎn)的社會和資源豐富但充滿了不平等的社會。這種說辭在勒索軟件團(tuán)伙中很常見，這些犯罪分子勒索和盜竊了數(shù)百萬美元，但仍然認(rèn)為自己處于道德制高點。

2024 年 2 月，Dispossessor 正式浮出水面，大膽地宣布可以公開下載此前已泄露的數(shù)據(jù)并進(jìn)行潛在的出售。公告出現(xiàn)在多個地下論壇和地下市場上，包括 BreachForums 與 XSS。

地下論壇公告

這一時間點讓人不由得懷疑，在多國聯(lián)合執(zhí)法的 Cronos 行動后，LockBit 的運營和信譽受到重創(chuàng)。LockBit 在執(zhí)法行動中損失了多個域名，控制面板和多個關(guān)鍵攻擊基礎(chǔ)設(shè)施都無法訪問。Dispossessor 的網(wǎng)站與原來 LockBit 的網(wǎng)站極其類似，配色方案、頁面布局和字體都幾乎相同。這表明，要么是相同的運營團(tuán)隊改頭換面切換了品牌，要么是模仿 LockBit 攻擊基礎(chǔ)設(shè)施的新勒索軟件團(tuán)伙。從內(nèi)容上來看，LockBit 的很多受害者在第一天就被鏡像到了 Dispossessor 的網(wǎng)站上，還保留了原來的發(fā)布日期和詳細(xì)信息。

數(shù)據(jù)披露網(wǎng)站

地下論壇的用戶還提到了名為 Dispossessor 的新網(wǎng)站，也指出其與原始 LockBit 網(wǎng)站極其相似。

運營策略

與 LockBit 類似，Dispossessor 也采用勒索軟件即服務(wù)（RaaS）模式。這種模式使勒索軟件團(tuán)伙通過附屬機(jī)構(gòu)分發(fā)勒索軟件，去中心化使得執(zhí)法部門很難能夠徹底瓦解其業(yè)務(wù)。

但目前 Dispossessor 似乎并不具備勒索軟件功能，更像是一個數(shù)據(jù)泄露代理。目前在野尚未觀察到勒索軟件樣本，仍然主要發(fā)布其他勒索軟件團(tuán)伙的數(shù)據(jù)泄露，甚至包括已經(jīng)不復(fù)存在或者已經(jīng)被執(zhí)法取締的團(tuán)伙。

如 @ransomfeednews 所指出的，研究人員普遍認(rèn)為 Dispossessor 并不是新出現(xiàn)的勒索軟件團(tuán)伙，而是一群犯罪分子試圖利用其他團(tuán)伙的攻擊行動來不勞而獲進(jìn)行獲利。Dispossessor 主要依賴其他勒索軟件團(tuán)伙的附屬機(jī)構(gòu)，這些附屬機(jī)構(gòu)已經(jīng)竊取了數(shù)據(jù)，但最新的受害者可能從 LockBit 或者其他勒索軟件團(tuán)伙中分離出來。攻擊者也在地下論壇上積極尋找“攻擊者”進(jìn)行合作，分析人員認(rèn)為情況可能會發(fā)生多樣的變化。

尋找合伙人

目前已經(jīng)有 17 個頁面和大約三百余個公司成為了受害者，但大多數(shù)都是 LockBit、Cl0p 與 Snatch 已經(jīng)披露的受害者。攻擊者在數(shù)據(jù)泄露網(wǎng)站宣布，Dispossessor 的合作計劃非常包容，無論身處何方、所說何種語言、多大年齡以及宗教信仰如何。合作計劃優(yōu)先考慮具備攻擊能力的、有凝聚力且經(jīng)驗豐富的團(tuán)隊，也提供了透明的方式使附屬機(jī)構(gòu)可以與受害者進(jìn)行溝通。

Dispossessor 聲稱合作方可以使用一套工具包，能夠最大限度地發(fā)揮攻擊的影響，工具包內(nèi)包括 Tor 網(wǎng)絡(luò)中的管理面板、安全信道、自動解密工具和 StealBit 竊密工具。攻擊者聲稱支持各種操作系統(tǒng)和架構(gòu)，如 Windows、ESXi 與多個 Linux 發(fā)行版。

合作計劃

Dispossessor 在數(shù)據(jù)泄露網(wǎng)站上介紹了其合作計劃，附屬機(jī)構(gòu)使用 Dispossessor 提供的工具包并嚴(yán)格遵守合作準(zhǔn)則。主要的規(guī)則包括：

• 附屬機(jī)構(gòu)不得與他人共享控制面板的訪問權(quán)限
• 勒索贖金的溝通中達(dá)成的協(xié)議必須要履行
• 必須從受害者處下載有價值的信息
• 禁止攻擊某些關(guān)鍵基礎(chǔ)設(shè)施，如核電站與醫(yī)療機(jī)構(gòu)，避免因攻擊導(dǎo)致死亡

Dispossessor 對運營安全極度重視，甚至要求合作方必須存入一比特幣作為贖金分成的預(yù)付款。分析人員推測，這一要求旨在淘汰掉缺乏安全感的新手、執(zhí)法人員和競爭對手。

結(jié)論

緊隨執(zhí)法機(jī)構(gòu)對 LockBit 的打擊行動，Dispossessor 又成為了勒索軟件領(lǐng)域的重要參與者，凸顯了網(wǎng)絡(luò)犯罪活動的動態(tài)性和適應(yīng)性。攻擊者的運營策略模仿勒索軟件即服務(wù)（RaaS）模式，同時主要充當(dāng)泄露數(shù)據(jù)經(jīng)紀(jì)人，這為網(wǎng)絡(luò)安全專家和執(zhí)法機(jī)構(gòu)帶來了全新的挑戰(zhàn)。典型的緩解措施如下所示：

• 定期數(shù)據(jù)備份：如期執(zhí)行備份策略，定期備份關(guān)鍵數(shù)據(jù)，確保發(fā)生勒索軟件攻擊時可恢復(fù)數(shù)據(jù)
• 安全意識培訓(xùn)：對員工進(jìn)行有關(guān)勒索軟件威脅和網(wǎng)絡(luò)安全最佳實踐的教育，以降低成為受害者的風(fēng)險
• 完善補丁管理：讓系統(tǒng)保持最新的安全補丁，以防御勒索軟件經(jīng)常利用的漏洞
• 網(wǎng)絡(luò)區(qū)域劃分：對網(wǎng)絡(luò)進(jìn)行分片劃分，將關(guān)鍵系統(tǒng)和數(shù)據(jù)與不安全區(qū)域分隔開，限制勒索軟件感染的影響
• 良好訪問控制：限制用戶權(quán)限以最大限度減少攻擊面
• 電子郵件安全：部署安全解決方案檢測與阻止惡意軟件和網(wǎng)絡(luò)釣魚
• 端點安全防護(hù)：使用安全軟件檢測和緩解端點上的勒索軟件威脅
• 事件響應(yīng)計劃：指定針對勒索軟件攻擊的響應(yīng)計劃，包括事前識別、事中遏制與事后恢復(fù)
• 定期安全審計：進(jìn)行審計和漏洞評估，發(fā)現(xiàn)并修復(fù)攻擊者可能利用的安全漏洞
• 進(jìn)行備份測試：定期測試備份數(shù)據(jù)完整性，防止未授權(quán)訪問