事件概述

根據(jù)國(guó)外媒體的最新報(bào)道，美國(guó)司法部在昨天宣布，執(zhí)法人員將出手干涉Netwalker勒索軟件的活動(dòng)，并讓Netwalker勒索軟件強(qiáng)制下線。除此之外，美國(guó)執(zhí)法部門還將起訴一名加拿大公民，因?yàn)樗嫦訁⑴c了Netwalker勒索軟件攻擊活動(dòng)中的文件加密勒索攻擊。

與此同時(shí)，歐洲刑警組織也采取了行動(dòng)。據(jù)了解，歐洲執(zhí)法部門（歐洲刑警組織）已經(jīng)開始向感染了Emotet勒索軟件的設(shè)備分發(fā)一款Emotet模塊，并且計(jì)劃在2021年3月25日幫助所有受感染的設(shè)備徹底移除Emotet惡意軟件。

美國(guó)執(zhí)法部門將動(dòng)手取締Netwalker勒索軟件

就在昨天，美國(guó)執(zhí)法部門正式宣布將取締Netwalker勒索軟件活動(dòng)，并計(jì)劃將該勒索軟件活動(dòng)強(qiáng)制中斷。與此同時(shí)，美國(guó)執(zhí)法部門還會(huì)起訴一名涉嫌參與了Netwalker勒索軟件文件加密勒索攻擊活動(dòng)的加拿大公民。

就在2021年1月27日，BleepingComputer報(bào)道稱，美國(guó)和保加利亞的執(zhí)法部門“查封”了暗網(wǎng)中的Netwalker網(wǎng)站。據(jù)了解，這個(gè)網(wǎng)站專門用于泄露未支付勒索軟件贖金的目標(biāo)用戶數(shù)據(jù)，而且網(wǎng)絡(luò)犯罪分子還會(huì)利用該網(wǎng)站來(lái)與受感染的用戶協(xié)商數(shù)據(jù)解密所需的贖金費(fèi)用。

在一份剛剛發(fā)布的新聞稿中，美國(guó)司法部門證實(shí)了此次與保加利亞國(guó)家調(diào)查局和打擊有組織犯罪總局的合作，并且在此次網(wǎng)絡(luò)犯罪打擊活動(dòng)中獲得了非常大的成功。

NetWalker勒索軟件于2019年出現(xiàn)，和其他熱門勒索軟件類似，該軟件的運(yùn)營(yíng)向也將目標(biāo)瞄準(zhǔn)了全球。正如我們?cè)贛aze，Ragnar，REvil其他公司身上看到的那樣，運(yùn)營(yíng)商通過(guò)數(shù)據(jù)威脅作為杠桿，迫使目標(biāo)達(dá)到要求。截止目前，十二個(gè)不同 NetWalker受害者被盜數(shù)據(jù)已經(jīng)被公開發(fā)布。Netwalker 活動(dòng)背后的攻擊者使用常見的實(shí)用程序、開發(fā)后工具包和living-off-The-land，LOTL策略來(lái)探索一個(gè)受到破壞的環(huán)境，并盡可能多地吸取數(shù)據(jù)。這些工具可以包括mimikatz（及其變體）、各種 PSTools、AnyDesk、TeamViewer、NLBrute等。

Netwalker背后的網(wǎng)絡(luò)犯罪分子已被起訴

Netwalker勒索軟件活動(dòng)是在2019年底開始進(jìn)行的，雖然時(shí)間并不算很長(zhǎng)，但Netwalker已經(jīng)給各大組織、機(jī)構(gòu)和公司造成了數(shù)千萬(wàn)美元的經(jīng)濟(jì)損失。在2020年8月發(fā)布的一份報(bào)告指出，Netwalker背后的網(wǎng)絡(luò)犯罪分子僅在短短的五個(gè)月時(shí)間里就利用勒索軟件攻擊活動(dòng)賺取了2500萬(wàn)美元的非法收益。

美國(guó)司法部門表示，除了查封這些暗網(wǎng)中的網(wǎng)站之外，他們還將起訴一名來(lái)自加拿大加蒂諾市的加拿大公民，這個(gè)人名叫塞巴斯蒂安·瓦肖恩·德斯賈爾丁斯（Sebastien Vachon Desjardins），美國(guó)司法部門將指控他涉嫌參與了跟Netwalker勒索軟件活動(dòng)相關(guān)的網(wǎng)絡(luò)黑客勒索軟件攻擊。

據(jù)了解，塞巴斯蒂安·瓦肖恩·德斯賈爾丁斯（Sebastien Vachon Desjardins）在勒索軟件攻擊活動(dòng)中總共的非法盈利大約有2760萬(wàn)美元。根據(jù)執(zhí)法人員的調(diào)查取證，他至少是在2020年4月份開始參與這項(xiàng)勒索軟件攻擊活動(dòng)的，這表明他只是Netwalker背后的網(wǎng)絡(luò)犯罪分子中的其中一員，而且應(yīng)該不屬于Netwalker勒索軟件的開發(fā)人員。

根據(jù)美國(guó)執(zhí)法部門針對(duì)他的起訴書內(nèi)容來(lái)看，塞巴斯蒂安·瓦肖恩·德斯賈爾丁斯（Sebastien Vachon Desjardins）是一名加拿大公民，來(lái)自于加拿大的加蒂諾市，目前他已在美國(guó)佛羅里達(dá)州中部地區(qū)被起訴。

大多數(shù)勒索軟件的開發(fā)人員會(huì)在勒索軟件開發(fā)完成之后，招募一些類似塞巴斯蒂安·瓦肖恩·德斯賈爾丁斯（Sebastien Vachon Desjardins）這樣的“中間商”，這些“中間商”可以幫助勒索軟件的攻擊者去找到更多更有攻擊價(jià)值的目標(biāo)用戶，從而對(duì)這些目標(biāo)用戶實(shí)施勒索軟件攻擊，并在他們的計(jì)算機(jī)系統(tǒng)上部署Netwalker勒索軟件。當(dāng)目標(biāo)用戶支付了數(shù)據(jù)贖金之后，Netwalker勒索軟件背后的攻擊者將跟“中間商”進(jìn)行利益分配，也就是分錢，而且“中間商”會(huì)拿大頭。

2021年1月10日，美國(guó)執(zhí)法部門查獲了價(jià)值約45萬(wàn)美元的加密貨幣，而這些加密貨幣來(lái)自于三名不同的Netwalker勒索軟件受害者。也就是說(shuō)，這些加密貨幣就是這三名受害者所支付的數(shù)據(jù)贖金。

Netwalker勒索軟件不僅攻擊并加密過(guò)一些著名企業(yè)、組織和機(jī)構(gòu)的計(jì)算機(jī)系統(tǒng)，比如說(shuō)Equinix、Enel集團(tuán)、阿根廷移民局、加州大學(xué)舊金山分校（UCSF）和K-Electric，而且還攻擊過(guò)市政當(dāng)局、醫(yī)院、執(zhí)法機(jī)構(gòu)、緊急服務(wù)機(jī)構(gòu)、學(xué)院和大學(xué)等等。

毫無(wú)疑問(wèn)，此次執(zhí)法部門采取的行動(dòng)并不意味著Netwalker勒索軟件將徹底消失，但這一天肯定會(huì)在不久之后便到來(lái)。不過(guò)，美國(guó)執(zhí)法部門這一次只是抓到了他們其中的一名“中間商”，而Netwalker背后的網(wǎng)絡(luò)犯罪分子肯定還招募了很多其他的“中間商”，因?yàn)檫@種非法業(yè)務(wù)確實(shí)能夠讓他們?cè)诙虝r(shí)間內(nèi)賺到大量的錢。

歐洲刑警組織不甘示弱，已開始對(duì)Emotet惡意軟件動(dòng)手！

與此同時(shí)，歐洲刑警組織也采取了行動(dòng)。據(jù)了解，歐洲執(zhí)法部門（歐洲刑警組織）已經(jīng)開始向感染了Emotet勒索軟件的設(shè)備分發(fā)一款Emotet模塊，并且計(jì)劃在2021年3月25日幫助所有受感染的設(shè)備徹底移除Emotet惡意軟件。

Emotet僵尸網(wǎng)絡(luò)在2014年首次被發(fā)現(xiàn)，它主要使用自動(dòng)化過(guò)程，通過(guò)受感染的Word文檔電子郵件附件傳播惡意軟件。Emotet基礎(chǔ)設(shè)施實(shí)際上充當(dāng)了全球計(jì)算機(jī)網(wǎng)絡(luò)入侵的主要后門，該僵尸網(wǎng)絡(luò)依賴于世界各地的“數(shù)百”個(gè)服務(wù)器執(zhí)行不同的任務(wù)，惡意軟件本身經(jīng)常通過(guò)在每次運(yùn)行時(shí)修改代碼來(lái)躲避殺毒軟件檢測(cè)。到目前為止，Emotet對(duì)網(wǎng)絡(luò)攻擊的抵抗能力非常強(qiáng)。

就在昨天，歐洲刑警組織正式宣布將對(duì)臭名昭著的Emotet電子郵件垃圾郵件僵尸網(wǎng)絡(luò)動(dòng)手，而這個(gè)僵尸網(wǎng)絡(luò)主要功能就是分發(fā)用于安裝TrickBot和Qbot等惡意軟件的惡意垃圾郵件Word附件。

根據(jù)安全研究專家的介紹，這種類型的攻擊通常導(dǎo)致受感染公司的網(wǎng)絡(luò)系統(tǒng)遭到完全的網(wǎng)絡(luò)入侵，并使網(wǎng)絡(luò)系統(tǒng)內(nèi)的計(jì)算機(jī)設(shè)備感染Ryuk、Conti、ProLock或Egregor。而Ryuk和Conti主要通過(guò)TrickBot部署，ProLock和Egregor則通過(guò)Qbot完成部署。

Emotet將在2021年3月25日自動(dòng)被卸載

在感染了目標(biāo)用戶的計(jì)算機(jī)設(shè)備之后，Emotet會(huì)將不同的模塊分發(fā)給執(zhí)行不同惡意活動(dòng)的受感染設(shè)備。

一位名叫Milkream的安全研究員表示，有關(guān)部門已經(jīng)開始向受感染的設(shè)備推送一個(gè)新的模塊了。這個(gè)模塊將于2021年3月25日12:00從受感染的設(shè)備上卸載Emotet惡意軟件。

根據(jù)Milkream透露的信息，Emotet現(xiàn)在正在使用下列IP地址作為其命令控制服務(wù)器，而這些所有的服務(wù)器地址都位于德國(guó)境內(nèi)：

80.158.3［。］161:443

80.158.51［。］209:8080

80.158.35［。］51:80

80.158.63［。］78:443

80.158.53［。］167:80

80.158.62［。］194:443

80.158.59［。］174:8080

80.158.43［。］136:80

在與歐洲刑警組織新聞辦公室的一次電話采訪中，BleepingComputer被告知，德國(guó)聯(lián)邦警察局（BKA）將對(duì)此次針對(duì)Emotet的行動(dòng)負(fù)責(zé)。不過(guò)，歐洲刑警組織新聞辦公室并不知道執(zhí)法部門計(jì)劃卸載Emotet惡意軟件的具體日期和時(shí)間。

我們也不知道執(zhí)法部門為什么要等兩個(gè)月才去卸載這個(gè)惡意軟件，為此BleepingComputer也在與德國(guó)聯(lián)邦警察局（BKA）取得聯(lián)系，并詢問(wèn)關(guān)于此次活動(dòng)的更多信息。

隨著執(zhí)法部門接管了Emotet僵尸網(wǎng)絡(luò)的控制權(quán)，他們目前正在分發(fā)一個(gè)新的功能模塊， 并且將在今年的三月份卸載Emotet惡意軟件，這也就意味著，Emotet很可能會(huì)退出歷史舞臺(tái)。

不過(guò)在此之前，也就是去年的十月份，美國(guó)政府和微軟曾打擊過(guò)TrickBot的惡意活動(dòng)。當(dāng)然了，所有的人都希望這一次打擊活動(dòng)能夠有比較長(zhǎng)的時(shí)間影響，但好景不長(zhǎng)，TrickBot很快就恢復(fù)運(yùn)行了。

總結(jié)

不管怎么說(shuō)，這一次多國(guó)政府機(jī)構(gòu)之間的通力合作杜宇安全研究人員和安全社區(qū)來(lái)說(shuō)還是非常令人興奮的。而且這種跨國(guó)跨機(jī)構(gòu)的合作，也讓大家對(duì)網(wǎng)絡(luò)安全的未來(lái)更加抱有希望了，這毫無(wú)疑問(wèn)是一件有百利而無(wú)一害的事情。
責(zé)編AJX