勒索軟件聯盟的運作模式遭曝光

作為當前最活躍的勒索軟件組織之一，LockBit上周遭遇數據泄露事件，其內部運作細節被公之于眾。通過Tor網絡上的洋蔥站點短暫泄露的文件，為研究人員和安全專家提供了難得的機會，得以窺見LockBit如何運作其勒索軟件即服務(RaaS)業務。

（圖示：被入侵的LockBit勒索軟件暗網泄露站點，截圖來源：Hackread.com）

此次泄露事件據信源自能夠訪問LockBit基礎設施的內部人員，曝光的資料包括聊天記錄、勒索軟件構建記錄、配置文件、比特幣錢包地址以及聯盟成員標識符。Ontinue公司安全運營中心分析師Rhys Downing主導了對泄露數據的深度分析，詳細揭示了LockBit聯盟計劃的運作方式，包括攻擊者如何構建有效載荷、估算贖金要求以及進行談判。

目標選擇與定價策略

泄露數據中最關鍵的部分是一份內部稱為"builds"的表格，記錄了LockBit聯盟成員創建的所有勒索軟件有效載荷。每條記錄包含聯盟成員ID、公私加密密鑰、目標公司信息以及聲明的贖金金額等詳細信息。攻擊者在部署有效載荷前會手動輸入這些估算數據，暴露出他們的定價策略和目標選擇標準。部分贖金要求明顯夸大（如"303kkk"即3.03億美元疑似測試數據），但也有更精確的計算案例——某聯盟成員記錄的四次構建合計申報價值超過6800萬。

極低的支付兌現率

盡管存在數百個勒索軟件構建記錄和激進的贖金要求，246名受害者中僅有7人被記錄為已付款。值得注意的是，沒有任何記錄顯示受害者確實收到了解密工具。這與近期PowerSchool數據泄露事件的情況相符——這家教育科技公司支付了未公開數額的贖金以避免事態惡化，結果攻擊者卻變本加厲地針對教師和學生提出更多要求。

LockBit泄露數據庫顯示，僅有2.8%的案例中向聯盟成員支付傭金的字段大于零，但這仍不能作為贖金支付的確定證據。

聊天記錄暴露人性陰暗面

Ontinue威脅報告顯示，超過4000份LockBit聯盟成員與受害者之間的聊天記錄同時被泄露。這些信息混雜著精心計算的施壓、情感操縱和赤裸裸的威脅。多個案例中，聯盟成員對求饒置若罔聞，甚至毫無預警地加倍贖金。

有聯盟成員對自稱小公司的受害者回應："公司規模無關緊要，你們的數據很有價值"。另一次對話中甚至出現詭異的招募宣傳："想要蘭博基尼、法拉利和成群美女？立即注冊，五分鐘開啟你的滲透測試億萬富翁之旅。"

這些對話表明，LockBit聯盟成員的行事作風更像強硬的銷售代表而非傳統黑客。他們的策略從心理施壓到警告受害者不要聯系執法部門或保險公司，手段多變。

高度專業化的犯罪企業

泄露數據最引人注目的是其組織化程度。LockBit采用模塊化有效載荷構建器、聯盟成員儀表盤和強大的后端基礎設施。聯盟成員可以調整構建配置，控制從加密文件選擇到解密器使用后是否自刪除等所有細節。他們甚至在自己的洋蔥站點上運行漏洞賞金計劃，為發現基礎設施漏洞提供獎勵。

與執法行動的關聯

此次泄露還與英國國家犯罪局主導的"Cronos行動"產生關聯。該行動此前曝光的LockBit操作相關用戶名，在此次泄露的payload數據中得到了印證。高產出用戶包括生成最多有效載荷的Ashlin，以及Rich、Melville和Merrick等其他高頻操作者——這表明該團伙核心團隊和高級聯盟成員即便在遭遇打擊后仍保持穩定。

Qualys漏洞研究經理Saeed Abbasi指出，此次泄露對防御者而言是寶貴的情報來源："通過了解LockBit的攻擊目標和聯盟成員定制payload的方式，安全團隊可以更好地確定補丁優先級，強化被忽視的系統并改進基礎訪問控制。"

雖然LockBit對Tor網絡的使用仍是其關鍵防御手段，但此次泄露證明即便網絡犯罪集團運營的系統也并非絕對安全。這次事件揭開了影響全球企業的勒索軟件運作內幕，證實了安全專家多年來的猜測——勒索軟件組織如同正規企業般運作，具備聯盟成員入職、基礎設施管理和財務規劃等完整體系。