現實版羅賓漢?史上第一「網路勒索」團隊竟拿贖金做公益:是做形象嗎...

紫色珍珠音調 2020-10-22 16:56:24 發表於 新奇 [顯示全部樓層] 回覆獎勵 閱讀模式 1 3908


近期有件事令專家們大感不解,那就是有史以來第一次有網絡勒索集團爲公益捐款。這個消息是駭客團隊Darkside在10月13日官網貼文上宣佈的,「我們決定,將把大公司們支付的部分贖金用於慈善事業。」、「無論您認爲我們的工作有多麼糟,我們都很高興自己能幫忙改變一些人的生活。今天,我們發送了第一筆捐款。」


Darkside捐款截圖連同收到的收據一併公佈,第一筆捐款是給國際兒童基金會的,駭客們捐贈了0.88個比特幣,約1萬美元(約28萬台幣)。


第2筆捐款發給水項目(Water Project),這是一個改善撒哈拉以南非洲地區水質的公益組織,款項也是1萬美元(約28萬台幣)。


專門幫公益組織做比特幣轉帳的機構,表示收到了這2筆捐款,在推特上感謝匿名捐贈者。


這件事讓網絡上的很多人感到莫名其妙,其實Darkside是今年8月宣佈成立的駭客團隊,在短短2個月時間,他們入侵了多家巨頭公司的網絡,包括外匯交易公司通濟隆(市值13億美元,約372億台幣),房地產公司布魯克菲爾德(市值56億美元,約1603億台幣),勝率極高,非常兇殘。


靠着竊取企業數據,Darkside向每家公司索要20萬(約572萬台幣)至200萬美元(約5727萬台幣)不等的贖金,不知道他們總共賺了多少,這個時候跑出來捐款,是什麼意思呢?網絡安全分析師佈雷特·卡洛(Brett Callow)在BBC的採訪說,可能是Darkside想被崇拜,當一把英雄。

「犯罪分子可能是想通過捐款,減輕內心的負罪感?或許也是爲了自我實現,他們希望是視爲羅賓漢式的角色,而不是無情的勒索者。」


但更多人表示,Darkside這麼做,可能是爲了企業形象,是的,網絡勒索團隊也需要做企業形象,根據《連線》雜誌報導,近幾年,因爲網絡勒索市場不斷擴大,駭客勒索團隊出現一股「公司化」、「正規化」的風潮,他們稱之爲,「勒索即公司」(對應「軟體即服務」這個詞)。


Darkside就是「公司化」中的佼佼者,在官網上,他們一直以「公司」自居,把自己設計出的勒索軟件稱爲「產品」,而被入侵的公司,則是「顧客」。
Darkside官網宣言

爲了讓「顧客們」體驗最良好的勒索服務,Darkside支持24小時實時聊天,以及無限時售後,也就是支付贖金後,取回數據的專業電腦指導。他們表示,商譽是公司首重的事,沒有信任,任何生意都做不大。


「我們非常重視我們的聲譽。」 Darkside官網寫道,「只要支付贖金,所有保證都會兌現。」甚至,他們還講究企業責任感,不會入侵非商業機構。

「根據我們的準則,我們承諾不會攻擊以下目標:
-醫藥機構(醫院、臨終關懷院)
-教育機構(中小學、大學)
-非盈利組織
-政府部門」

對商業公司,Darkside也是具體情況具體對待,在入侵前,駭客們會分析每一家公司的財務狀況,根據它的淨收入決定贖金大小。所以每一個勒索畫面,贖金不一樣。



贖金通知單也不一樣,其中包括被盜數據的數量、數據類型,以及被盜數據傳輸到暗網上訂網址。整場網絡攻擊都是根據被攻擊的對象「量身定製」的。

贖金通知單上的操作步驟寫得非常詳細,彷彿軟件操作指南:「我們絕對不希望扼殺您的業務,我們只要求您支付能夠承擔的贖金。」、「如果您在支付前有任何疑問,可以在實時聊天中詢問,我們的客服將爲您解答。

簡直是超貼心,都快忘了這是搞勒索呢...


這些「商業化」的表現在其他勒索團隊中也比比皆是。比如,網絡勒索團隊Ragnar Locker勒索一家旅遊公司時,承諾只要及時付款,就提供20%的折扣,在旅遊公司付完錢後,勒索團隊也一直保持聊天窗口打開,以防公司需要進行任何故障排除。在雙方順利接洽完畢後,勒索團隊還欣慰地寫道:「和專業人士打交道真是非常愉快。」

網絡風險分析師傑里米·肯內利(Jeremy Kennelly)在《連線》中說,「其實,很多早期的網絡勒索團隊就對提供良好的客戶服務和響應式溝通特別敏感,所以會設計好專用的聊天系統或電子郵件。」、「他們也會做大量的保險措施,保證受害公司在付錢後,能順利拿到工具,解碼受影響的文件和系統。」


讓公司們「量力而行」地付贖金,也是越來越普遍的操作,網絡安全公司麥迪安曾經找到著名勒索團隊Maze的駭客,發現對方在僱人全職掃描網絡,好搞清楚每家公司的財務狀況,甚至有勒索團隊專門開發了一款工具,用來快速確定公司收入、員工人數和公司地址。


雖然勒索團隊提供了很多便利服務,但這無法掩蓋勒索這一惡性事件的本質,一旦公司拒絕支付贖金,溫情脈脈的假面就會掉下來,在Darkside的官網上,駭客們說得很清楚,如果拒絕繳納贖金,公司的機密數據將被上傳到他們的網站上,公開展示6個月。



期間,Darkside還會通知媒體、競爭對手和顧客去查看,公司機密藏都藏不住,被編碼的數據和系統,也再也無法得到解碼工具,除非公司本身有備份,不然就什麼都不剩。還有更陰的招數,勒索團隊REvil在獲取Lady Gaga的2.4GB法律文件後,向她的經紀公司要求支付4200萬美元(約12億台幣)的贖金,在被拒絕後,他們把文件放到暗網上拍賣,網頁上放着一個碩大的倒計時錶,受害明星被稱爲「合作伙伴」。


佈雷特·卡洛說, 「他們不僅要公開數據,還要把數據作爲一個武器來傷人。趨勢科技的首席網絡安全官埃德布卡雷拉表示, 「勒索軟件攻擊,不光是駭客活動,也是散播恐懼的活動。

「受害公司們越相信攻擊者是專業團隊,他們就越容易相信,抵抗是無意義的,只能付錢,或者,相信我們,你能順利拿回你的數據,我們只是想賺點錢。」,冰冷可怕的威脅放在商業化的外殼下,公司們會選擇花錢消災。甚至外表上看,這像是普通的商業交易。


贖金是贓款,贓款即是不道德的,在知道捐款來自勒索團隊後,國際兒童基金會拒絕了這1萬美元(約286萬台幣)的資金,水項目還沒有表態,而幫兩個非盈利機構接受比特幣的Giving Block公司表示,如果這兩筆錢確實來自贓款,那麼他們會把錢退給合法所有者,其他慈善機構,包括救助兒童會,在BBC的採訪中說,「我們絕不會使用通過犯罪方式得到的錢。」

事實上,不管駭客們再怎麼進行商業化包裝,勒索就是勒索,它是犯法的。

來源:wechat

已有(1)人回文

切換到指定樓層
flycoca 發表於 2020-10-22 20:19
1萬美元 = 268萬台幣 果然是新聞妓者的專業 啥時比值有差這麼多了 還是我活錯了時空??
你需要登入後才可以回覆 登入 | 註冊會員

本版積分規則