本文共 1560 字，大约阅读时间需要 5 分钟。

通过一次秘密调查，CyberNews研究人员成功揭露了国际顶级勒索软件运营商的勒索支出结构、兑现计划以及目标收购策略。本文将详细讲述这场调查的过程及其发现。

说到勒索软件，近年来它已经从一个相对罕见的网络威胁发展为网络犯罪分子中赚钱最多的工具之一。尤其是在勒索软件即服务（RaaS）模式的引入后，便宜的技术门槛让越来越多的网络犯罪分子加入了这个“大赚快钱”的行列。事实上，勒索软件组织正通过黑客论坛招募新成员来弥补自身的“劳动力短缺”。这些黑客论坛不仅吸引了传统的网络犯罪分子，也吸引了来自各个背景的人。

值得一提的是，安全研究人员（包括CyberNews在内）也经常会访问这些黑客论坛，以收集有价值的威胁情报。正是通过这样的访问，我们在2020年6月发现了一条看似来自REvil（另名Sodinokibi）但实际上脱颖而出的勒索软件招聘广告。REvil以其引入“双重勒索”策略而闻名，这种策略使其不仅能够锁定目标公司的文件，还能将被盗数据出售给其他网络犯罪分子，进一步激励被勒索的公司加速赎金支付。

REvil的这一招引人注目，是在2020年6月首次实现的。当时，一个加拿大农业生产公司蜕变为REvil的首个勒索目标。该公司拒绝支付赎金后，REvil采取了“双重勒索”。不仅在是否支付赎金上，他们还警告如果公司拒绝赎金交易数据，还会公开被盗数据。这一举动标志着REvil在勒索软件领域的创新。

在这篇调查中，我们冒充了一名经验丰富的网络犯罪分子，回应了REvil的招聘广告。通过与潜在合作伙伴的讨论，我们了解到了这支勒索软件团队的运作模式及其技术细节。此次调查引发了许多有趣的发现。

首先，这支勒索软件团队在招聘时非常严格。除了对候选人的技术能力和犯罪背景进行考察，他们还特别要求候选人熟练掌握俄语。在线测试中，潜在的合作伙伴被要求回答与俄罗斯和乌克兰历史相关的问题，以及一些无法通过谷歌搜索获取的街头知识。这样的严格筛选确保了团队成员的真实身份和专业能力。

最终，我们的假身份得到了通过，与REvil和Ragnar Locker等恶意软件组织的某些成员进行了深入的交流。这支团队自称有4名活跃成员，并在2020年深度交流中显示出一定的活跃度。他们宣称存在11年的传奇职业生涯，并以高效的运作和丰厚的利润吸引了大量合作伙伴。

在技术方面，这支勒索软件团队的技术水平相当高。他们使用了一些专业工具和软件包，如Cobalt Strike，这一事实在我们的调查中提到了尤其多次。Cobalt Strike不仅是渗透测试专家和红队人员的利器，也被恶意软件分子广泛使用。这种工具能帮助攻击者执行远程指令、实现特权访问以及进行网络上横向移动等。

谈到赎金兑现计划，这支团队似乎在某些方面走出了传统。他们建议将赎金支付到某些加密货币交易所，并以美元出售，再分多次转换和运输至安全地点。这里的交易涉及将几百万美元的赎金分批转化和跨境运输，这个过程的每一步都有着严格的规定和费用（如4%的服务费）。在后续的调查中，我们还了解到，该组织的选取目标非常谨慎，优先选择那些难以估算损失程度的公司。

在防范勒索软件攻击方面，我们总结出几个关键建议。首先，采用零信任安全策略，通过验证所有内外部传入连接减少跨网络攻击的风险。此外，定期备份数据是一个基本的防御措施，可以有效减少业务中断。为了更好地应对网络威胁，还应实施以下措施：阻止恶意网站和过滤文件类型，确保软件及时更新和启用双因素认证，使用安全的VPN保护需要远程访问的设备。

综上所述，该次调查揭示了多个值得注意的信息。首先，是勒索软件组织的结构和运作模式，其次是技术工具的应用最后是缴纳赎金兑现的复杂流程。通过深入研究这些方面，我们希望能够为企业和组织提供更全面的防范勒索软件攻击的建议。

转载地址：http://qutez.baihongyu.com/