假冒黑客应聘勒索团伙,竟发现其洗钱通道

假冒黑客应聘勒索团伙,竟发现其洗钱通道

勒索软件在短短几年迅猛成为网络违法中最挣钱的生意,勒索软件即服务(RaaS)的扩展使得勒索软件运营商也缺人手,勒索软件的运营商也会在黑客论坛上招兵买马。

在勒索团伙吸纳黑客的同时,CyberNews的研究人员趁此机会披上恶意黑客的“马甲”,打入敌方内部,与勒索软件运营商斗智斗勇,一来一往之间获取大量内部情报。

注:以下信息披露于CyberNews

在2020年6月时,咱们发现一个勒索软件运营商在黑客论坛上发布了招聘广告,咱们决定冒充俄罗斯网络违法分子参加招聘

咱们被邀请到私密qTox谈天室进行面试,进犯者宣称自己运营勒索软件现已超过10年了。

Cartel 在寻找合作伙伴

2020年6月,名为“Unknown”的用户在一个受欢迎的俄罗斯黑客论坛上发布了会员招聘方案。而在广告中,进犯者宣称它是REvil(也被称为Sodinokibi)的运营方,而REvil是世界上最臭名远扬的勒索软件安排。

REvil是第一个运用“两层勒索”的进犯安排,该安排将数据加密后还会将窃取的数据出售或拍卖给其他网络违法团伙。

风趣的是,2020年6月,REvil首次采用“两层勒索”,它开端拍卖从一家加拿大农业公司窃取而来的数据,而该公司回绝付出赎金。

买卖

依据广告,假如参加会员方案,将会获得赎金的70%到80%,而REvil自己保留剩下的20%到30%赎金。

image.png-20.4kB

这个价钱太诱人了,谁能知道这不是个骗子呢?或者是法律安排在垂钓法律呢?

进犯者表明,为了证明是真心要招聘合作伙伴,现已将100万美元的比特币存入了论坛钱包中作为证明。

伪造身份

由于进犯者坚持要求,潜在的合作伙伴有必要是说俄语的。为了分辨出滥竽充数的人,进犯者会问询有关俄罗斯的细微小事来确认提名人的身份,例如俄罗斯和乌克兰的前史,还有那些不能用谷歌查找得到的民间/街头常识。

与进犯者的沟通也全部由俄语完成,运用qTox谈天软件经过Tor进行谈天

image.png-10.8kB

加上了好友后,被拉入了一个多人谈天室。一共有两个进犯者在场,进犯者运用的都是含糊不清、无法辨认的昵称,乃至是表情符号。这是为了尽少地泄漏背面的人的信息,网络违法分子也要保全自己。

随后的沟通中,可见进犯者隶属于REvil和Ragnar Locker进犯安排。

image.png-37kB

进犯者表明,他们正在运用Ragnar Locker(流行的勒索软件工具包,针对Windows设备进行进犯)。该团队现已有四个活泼成员,参加后便是第五个成员

image.png-62.8kB

进犯者揄扬他们收到最大的一笔赎金是1800万美元,Ragnar Locker留下30%的赎金后,剩下七成的赎金每个成员可分到250万美元。

另一位进犯者表明,该安排现已在11年中积累了完美的名誉。

image.png-33.6kB

赎金

与进犯者就如何获得赎金进行了沟通。很显然,这些违法分子与加密钱银买卖所的内部人士有很深的联系,会协助这些违法分子将钱银匿名化并安全地实现,也便是协助违法分子洗钱

image.png-24.5kB

在加密钱银买卖所开设一个账户,赎金会打在该账户中,随后化整为零分批实现。这样防止引起怀疑,也防止引起加密钱银的价格波动,大手笔兜售可能会导致商场恐慌。

赎金转换为现金后就可以匿名交付到自行挑选的地点,需要收取4%的费用

image.png-22.4kB

进犯者主张每次提现不要超过100万美元,他们以为假如更多就会超过10kg,不仅难以运送也并不安全。

image.png-19.7kB

进犯者对进犯方针守口如瓶,不愿泄漏分毫。

image.png-19.1kB

归纳各种情况,进犯者应该说的是真话,便是经过加密钱银买卖所进行洗钱的。

image.png-45.7kB

后续

进犯者表明现在有几个进犯的方针,可以立刻就干一票(当然咱们是不可能这么干的)。在结束沟通后,咱们还梳理了该团伙的几个进犯习惯:

一般来说,他们会花很长时刻挑选方针,优先考虑那些对日常事务影响最大的公司。进犯前做好充足的预备,研究受害者的经济状况,以衡量赎金的多少。进犯者通常在周五下班后开端进犯,持续一整个周末,由于缺乏相关人员,被检测的可能性大大降低

发布时间:2021-07-03 10:21:17

修改时间:2021-07-03 10:21:17

查看次数:65

评论次数:0