FBI取締世界第二大勒索軟體併發布解密工具，雙方正在爭奪網站控制權

2023年12月19日，美國司法部正式宣佈破壞了BlackCat勒索軟體的運作，併發布了一款解密工具，使得全球超過500名受害者能夠恢復該惡意軟體加密檔案的訪問許可權。

BlackCat（又稱ALPHV、GOLD BLAZER、Noberus），是首個在野外發現的基於Rust語言的勒索軟體變種，首次出現於2021年12月，此後迅速發展成為繼LockBit之後的全球第二大勒索軟體服務。據統計，該勒索軟體團伙已經侵入了全球1000多個受害者的網路，截至2023年9月，非法收入已達到近3億美元。

司法部新聞稿顯示，美國聯邦調查局FBI聘請了一名機密人員以合作伙伴的身份與AlphV/Blackcat組織接觸，後續取得了用於管理該組織受害者的網路皮膚的訪問許可權。該行動全程有美國、德國、丹麥、澳大利亞、英國、西班牙、瑞士和奧地利等多個執法機構的合作和協助。

FBI週二公佈的搜查令顯示，執法機構能夠識別並收集了AlphV/Blackcat使用的946對公鑰/私鑰——用於執行各種洋蔥服務，如合作伙伴皮膚、洩密網站以及受害者通訊網站。FBI表示，他們利用獲取到的解密金鑰建立了一個解密器，使得美國數十名受害者能夠免受約6800萬美元的贖金要求。

然而，事情並不到此為止。雖然週二起AlphV/Blackcat勒索軟體團伙的網站已被FBI的官方查封頁面所取代，但後續又變回了該勒索軟體團伙的頁面，該組織在新頁面上聲稱已經奪回頁面並重新將其控制。該頁面資訊中稱，由於FBI的行動，他們會取消先前為合作伙伴設定的“禁止攻擊醫院、核電站及類似機構”的規定，只要這些機構是位於獨立國家聯合體以外的地區。

之所以會發生這種情況，首先需要了解到TOR網路的運作機制。AlphV/Blackcat的運營建立在一種特殊型別的匿名網站之上（即暗網），只能透過Tor網路訪問。當使用者在Tor網路的.onion網址上建立一個隱藏服務時會生成一個由私鑰和公鑰組成的唯一金鑰對，用於訪問和控制該網址。

安全研究人員對此說明道，.onion地址的工作方式是，只要你有簽名金鑰，假如你另外註冊了一個具有該地址的新伺服器，最新的伺服器將被預設認為是真實的。在本案例中，勒索軟體團伙和FBI都掌握了控制這些服務的私鑰，他們正在進行對洋蔥網站的控制權的爭奪，網站頁面所顯示的內容取決於誰的條目被Tor網路優先處理。

以往遇到這種情況，駭客組織無一不是悄悄消失，等到淡出視野後再以另一個名字復出，敢這麼跟執法機構叫板的網路犯罪團伙並不多見。其用意也很明顯，無非是為了在一定程度上挽回局面。經此一事，其合作伙伴不可避免地會對該組織運營安全持懷疑態度。一些高階威脅研究員在暗網論壇上已經看到，LockBit等組織正打算挖走AlphV/Blackcat的合作伙伴，甚至是開發人員。

編輯：左右裡

資訊來源：美司法部

轉載請註明出處和本文連結