鑽石舞台

前情回顧

俄烏衝突引發網絡武器庫泄露：Conti泄露數據全面分析

在隱秘的網絡世界裡，Conti號稱迄今為止「最成功的勒索軟件攻擊團伙」，經常能斬獲數百萬美元的贖金。據稱，只有那些年收入超1億美元的大型公司才有資格成為它的攻擊目標。

與此同時，虛擬貨幣流向追蹤公司Chainalysi在最近發布的《加密貨幣犯罪報告》中透露，Conti去年的收入至少為1.8億美元。

動輒百萬級的贖金收入讓這個擁有65至100名「員工」的團伙變得異常謹慎。其管理層非常清醒地認識到，手下「員工」從受害者處竊取來的數據超級敏感、價值連城，所以做好本身的安全防護是重中之重。

美國安全博主Brian Kreb通過分析Conti勒索軟件泄露數據發現，Conti團伙每個月都會撥出數千美元的專款，用於對各類安全軟件和殺毒軟件的「掃蕩」。摸清這些軟件的路數，一來可以幫助團伙更好地對目標實施入侵，二來可以保證本集團的網絡安全。

2021年8月8日的團伙內部聊天記錄顯示，一個名叫「Reshaev」的團伙經理命令名叫「Pin」的下屬暗中檢查團伙網絡管理人員的網上活動，每周一次，並在每個管理員的計算機上都安裝「終端檢測與響應」（EDR）工具，以確保對方不會做危害團伙行動安全的事情。

「除了每周的例行秘密檢查以及安裝EDR工具，我們還採取了其他網絡安全措施，」 「Reshaev」說。「比如設置更複雜的存儲系統、保護所有計算機上的LSAS堆棧、保證安全軟件隨時更新到最新版本以及給所有網絡系統安裝防火牆，等等。」

首先做好團伙內部的安全防護工作顯然暗合兵法所云之「先為不可勝」之理，但桀驁不馴的「員工」們顯然對此很不滿意，認為自己沒有受到應有的信任。但一群集合起來的騙子面對大筆金錢就像貓兒看着魚，又有什麼信任可言呢？Conti團伙的一名中層管理者很不屑手下的情緒：

「那麼一大筆錢放在一群沒見過什麼錢的人面前，讓我怎麼能完全信任他們呢？我幹這行15年了，見錢眼開的事兒經歷過很多了。」

別看Conti是個網絡大盜團伙，但在版權方面還是很講究的。他們使用的斂財工具，幾乎全都是重金訂購的正版軟件或其提供的服務。其中最常用的，是OSINT，即「開源情報工具」。

「Conti勒索軟件攻擊團伙日記」聲稱，Conti團伙為了能夠確定某個特定IP地址使用者的身份，或釐清某個IP地址是否與已知虛擬專用網絡（VPN）有關聯，不惜重金購買OSINT服務。比如2021年10月Conti團伙內有人提出緊急申請，要求訂購Crunchbase Pro和Zoominfo的服務，理由是這兩項服務可提供數百萬家公司的詳細信息，包括但不限於維持公司安全運營的保險金數額、最高營收預估、管理人員和董事會成員聯繫方法，等等。

該團伙每天要進進出出成千上萬台電腦，OSINT服務可以幫助他們「去蕪存菁」，集中精力盯住大型公司網絡中受感染的系統。另外，OSINT服務提供的商業數據還可以幫助Conti團伙在與勒索對象的談判中占據上風。他們通常會根據這些數據很有針對性地按對方收入的百分比確定勒索金額。如有不從或拒絕進行談判者，Conti會根據OSINT提供的聯繫方式，對其董事會成員或投資者進行無休止的騷擾。

不過也有軟件或服務是正規渠道買不到的。比如Cobalt Strike的使用許可證。Cobalt Strike是一款商用網絡入侵測試與偵察工具，只面向經過審查的合作夥伴出售。網絡犯罪團伙為了能夠順利把勒索軟件安裝在目標系統內，大多通過偷竊或其他非法手段獲得其使用權。據悉，Conti團伙在偷竊無門的情況下，不得不捏着鼻子以6萬美元的大價錢向「代理人」購買Cobalt Strike的使用許可。其中3萬美元是Cobalt Strike使用許可證的實際費用，另外3萬美元則是秘密支付給某個Cobalt Strike合法用戶的「代理費」。

Conti團伙在網絡攻擊準備方面可謂「在所不惜」。據稱，該團伙每個月都為其人力資源部門撥付數千美元的「預算資金」，用於訂購求職網站的付費服務。在這些服務幫助下，團伙的人力資源專員可以很輕鬆地在海量求職信息中篩選出潛在的僱傭人選，從而達到「人才儲備」的目的。

另外，Conti還在團伙內設立了一個「逆向分析」（Reversers）部門，並為其撥付專門資金，負責尋找並利用硬件、軟件以及雲服務中存在的漏洞，算是勒索團伙中為攻擊創造條件的「預研小組」。

比如2021年7月21日的團伙內部聊天顯示，該部門把微軟公司最新發布的Windows 11操作系統作為主要目標，尋找其中存在的漏洞。「Windows 11即將推出，試用版已經可以下載。我們要着手對其進行研究以便做好攻擊準備，」聊天稱。

對目標實施勒索軟件攻擊後，怎麼讓對方把錢拿出來很關鍵。通常這個時候Conti團伙不會親自出面跟受害者談判，而是通過所謂的「第三方」完成這項工作。

「第三方」可以是個人，也可以是「要賬公司」。網絡情報公司Hold Security曝光了一段Conti團伙在Twitter上的內部聊天記錄。其中一人聲稱已發展了一名記者充當「第三方」，以撰寫文章為手段逼迫勒索目標支付贖金。這個「第三方」顯然不是義務勞動。「這個記者會幫我們威嚇對方，但要收取贖金總額的5%，」標記為2021年3月30日的聊天記錄顯示。

還有一些地下公司以代替勒索軟件團伙與受害目標談判並索要贖金為主要業務。這些「要賬公司」的工作，就是「幫助」受害公司使用虛擬貨幣支付大額贖金。Conti團伙與多個這樣的公司建立有聯繫，其中一家位於加拿大的公司與他們關係不錯。對方在Conti團伙對LeMans Corp實施勒索軟件攻擊後充當了「第三方」，在談判中要求對方支付100萬美元的贖金。

有時候這些「第三方」還會發發善心。比如他們在2021年10月7日的聊天中為受害者「叫屈」，稱「我的客戶最多只能拿出20萬美元，你方請再斟酌，否則此次交易將無法進行」 。

此外，很多公司現在都喜歡上保險。Conti團伙和這樣的公司打交道時心情是矛盾的：一方面，保險公司可能不會給這些公司支付天文數字的贖金；另一方面，背靠保險公司的受害者會在談判過程中很爽快。

勒索軟件攻擊初期，攻擊者的勒索方式主要是對企業的數據進行加密，然後要求對方支付贖金換取解密密鑰。但自2020年以來，勒索軟件攻擊團伙開始執行一種被稱為「雙重勒索」（double extortion）的新戰術。

Conti是最早使用「雙重勒索」的網絡攻擊團伙。他們會要求受害公司支付雙份費用。一份用來贖取解開被加密系統的數字密鑰；另一份是所謂的「封口費」，即保證公司被竊取的數據會被銷毀，不會被公開或出售。Conti通常會給受害者一個暗網鏈接，打開後可以看到一個計時器畫面，受害者如果在計時器歸零前沒能滿足贖金要求，其失竊或被加密的內部數據就將自動向外界發布。

「我們正在等待你們在2月5日前支付上述金額。我們會信守承諾。不過如果到期沒能看到錢，我們將會上傳這些數據。」這是Conti團伙發給受害公司的典型勒索信息。

對Conti團伙來說，「雙重勒索」的好處顯而易見——即使受害者對本公司解開並恢復被團伙加密的系統信心十足，但也不得不考慮支付一筆「封口費」，確保本公司數據不外泄、形象不受損。