FSB在REvil落网行动中查获赃款

笔者按：REvil这一臭名昭著的勒索组织，曾多次被以美国为首的多国政府的联合围剿、关停基础设施，又反复死灰复燃。去年11月初，腾讯安全云鼎实验室曾就该组织一疑似成员浮出水面的系列事件，进行汇总报道。近日俄罗斯政府联邦安全局（FSB）宣布，应美国当局的要求，在一场集中搜查行动中，FSB已经逮捕了REvil组织的14名主要成员。这给我们前序的报道和预想书写了尾声，似乎终于到了为REvil举办葬礼的时候。

年关难过：一场旧历新年的抓捕

1月14日，是俄罗斯民间广泛庆祝的“旧历新年”，13日即类似我国的除夕，正是人们庆祝一年的收获，犒赏自己辛劳的日子。但有一些人，虽说刚过去的一年挣得盆满钵满，却注定无缘平安。

就在14日，俄罗斯联邦安全局官网公告称，在联邦安全局与俄罗斯内务部联合对跨越莫斯科、圣彼得堡、列宁格勒和利佩茨克地区等城市的25个地点进行突击搜捕的行动中，先后抓获了REvil勒索组织的14名成员并予以逮捕。

此次突袭执法行动，当局扣押了数量可观的赃款赃物，包括超过4.26亿卢布（包含加密货币，约合3550万元***）、60万美元和50万欧元现金，20辆豪华汽车，并查封了作案所使用的电脑设备以及加密货币电子钱包。

当然这些可能还只是赃款的冰山一角——毕竟2021是REvil相当高产的一年，仅在其一个成员以Darkside组织身份，对美国克洛尼尔管道运输公司成功实施的勒索中，就收取了价值440万美元的加密货币（后续报道称，美国执法当局追查并扣押了赎金比特币的85%）。而在对软件开发商Kaseya的勒索中，不考虑勒索对其下游的影响，REvil索要的赎金更是高达7000万美元价值的比特币。虽前者最终支付的金额并未披露，但该组织捞金能力可见一斑。

直到2021年11月，笔者前序文章发布约一周后，欧洲刑警组织逮捕了7名REvil的成员。此外，根据多国信息，在2021年2月以来，在韩国、波兰、罗马尼亚、科威特和白俄罗斯，都有REvil以及其前身GandCrab成员被捕。俄罗斯当局声明称，对该组织的成员均已控制或监控。

本次逮捕，俄罗斯当局的批捕理由是“非法支付手段的货币流通”（洗钱）以及其它有记录的违法行为。根据俄罗斯通讯社的报导以及一些流出的视频记录，该组织至少8名成员受到俄罗斯法庭庭审，获刑2个月。但所有嫌疑人没有被公布身份信息，后续是否还会有公开的判决信息，也有待关注。

事实或细节：有限信息中的蛛丝马迹

对于勒索组织，除了各国政府力量的追查之外，也有一些民间情报分析人员保持跟踪，虽然可能仅是细枝末节，但聊可作为官方有限信息披露的一点有趣注脚。

俄罗斯政府对外公布视频截图

• CTTblk根据一名被逮捕嫌犯手臂上的纹身，识别出“Karelia2020”和“Mihel2021”的字样。这两个名称在搜索媒体上存在有游戏、社交、音乐等网站的疑似关联账号，但网友倾向于这是两个新生**的名字。

• 在一个抓捕现场，桌面抽屉放置现金旁边有一张价值800卢布的优惠券，指向俄罗斯国内一家美妆香水商城Rive Gauche。同时有一张形似发货清单带有疑似电话号码，但无法确认是否足以定位到具体街道建筑。

• 根据视频中抓捕嫌犯走到楼外可见的车牌号，判断位置在圣彼得堡。

• 视频中可见的抓获现场均为普通民居，并未见到有任意两个嫌犯在同一地点被抓获。考虑到公开信息称当局突袭25个地点已抓获到14名嫌疑人，猜测前期的侦查有线上线下两个维度的信息来源。

朋友或敌人：窥见勒索组织间的渗透和竞争

虽然REvil可谓过去一段时间最活跃嚣张的勒索组织，但勒索犯罪已经形成了复杂的商业模式。

此刻REvil一个枭雄的暴毙，是否与其它窥伺这头把交椅的组织或恩怨有关，又可能在整个勒索软件服务商（RaaS）的江湖里，翻起什么风浪呢？

在本次抓捕行动之前，一个来自推特用户Azim Khodjibaev的有意思的观察显示：在黑客聚集的XSS俄语论坛上，十一月曾出现一段据称是REvil组织成员0neday和另一个头部勒索组织LockBit的成员代表LockBitSupp的聊天记录。

聊天当中，0neday表示，RAMP地下论坛的新任管理员Red（又名Kajit）背叛了黑客圈子，黑掉了REvil的服务器管理员控制面板，并嚣张地向0neday进行挑衅。LockBitSupp则确认事先知道Kajit是一个告密者，认为其在为联邦安全局工作，为后者的抓捕行动提供内幕信息并搜集证据。而这个RAMP（Ransom Anon Market Place，或Russian Anonymous Maket Place）论坛，是由Babuk勒索关联人员建立的、专门用于为勒索软件商业化提供交易的平台。

虽然以上描述的真实性无法准确验证，可能也略显混乱，但确实揭示了勒索犯罪江湖的两面性：勒索组织并非各自为战，RaaS的模式要求他们协作并互通有无，同时，背叛和求生也在暗流涌动。

根据威胁情报供应商Analyst1首席安全策略师Jon DiMaggio分析，通常来讲，勒索犯罪人员很可能为不止一个勒索组织卖命。

这个说法在本次行动中得到了一定的验证：在俄罗斯宣布行动结果并知会美方之后，美国拜登政府的一名资深官员公开回应称，根据其掌握的信息，本次抓捕的14名REvil组织成员中，有一人也参与到去年针对克洛尼尔管道运输公司的勒索案件。而该起案件的直接发起方为DarkSide勒索组织，在得手后被美国政府隔空悬赏后沉寂下来，后据信以BlackMatter的名字改头换面重出江湖。

由此可见，即便是头部勒索组织的成员，也存在着明面上的“兼职”或者暗地里互相渗透的关系。而从一些流出的碎片化的RAMP等论坛的信息观察，虽然勒索组织的行动相对独立实施，但作为核心武器的勒索软件，却确实在多个组织间存在交换、流通的生产形式，用以保证武器的多样化和持续更新。

既然是江湖，也难免有门派间的争斗。

2021年11月初，美国当局曾悬赏1500万美金，换取DarkSide组织核心组织者和任意成员的内幕信息，之后又悬赏1000万美金征集REvil的信息。有情报专家认为，与其说是买情报，这种悬赏更可视作一种攻心的离间计。

从暗网中已经观察到的迹象表明，勒索组织间的不信任已经潜滋暗长。DarkSide沉寂期间，REvil成员便急于散播DarkSide已彻底关停的消息，以动摇后者的头部地位。

这个桥段，也在REvil和另一头部组织Conti之间上演——REvil与其它组织间貌似也出现越来越多的抱怨，如对互相参与的成功勒索行动后未及时分赃，这不可避免地向本就没有牢固基础的合作关系灌输了一剂**：既然这些“伙伴”存在独吞黑钱的背叛行为，那为什么不与政府牢靠地合作，赚取数额更有吸引力的赏金呢？

正义或政治：此时收网的一些耐人寻味

作为席卷全球的威胁形式，勒索已经成为引起各国关注，甚至影响大国政治的微妙筹码。从这个方面考虑，这个时间俄罗斯当局实施抓捕，多少有一些耐人寻味的意味。

这一段时间的大背景当然是俄罗斯和乌克兰边界的紧张形势。在这个剑拔*张的时刻，多方猜测俄罗斯的收网行动透露出一个外交信号：既然俄方以充分的信心和坚实的行动，完成了拜登对打击勒索组织的迫切诉求，那么理应能够换取后续任何可能发生的地区冲突后，美方对其宣称的严厉制裁甚至反制的适度放宽。

而在拜登政府官员的回应中，则在简单评论美方“很高兴看到这一初步行动”之余，特别强调要将这一事件与正在俄乌之间的事态分割看待。这种外交筹码的运用，显然应当是一种合理的考量。

突袭REvil行动传出消息初期，曾有分析人士猜测，本次逮捕行动可能未必以根除目标组织威胁为目的，也许逮捕的仅是该组织低级别的外围成员，核心开发和运营者应该会得到一定的保护。

但随着美国确认跟踪的一个DarkSide成员也在此次行动中落网，这一猜测基本可以判伪。但是稍早的另一个新闻的效应也因为本次抓捕而得到放大：乌克兰的一些政府网站遭到入侵和破坏，包括外交、国防等部门网站失陷。

虽然没有明确的溯源和证据，但舆论自然而然地猜测这是否是俄方在网络空间先采取的行动按照这个思路展开，此时对于国内一个足够引起他国不安，又被证实具备找准目标的脆弱性的洞察力的民间组织，国家应该会有什么样的姿态呢？

另外，当前具有国际影响的勒索组织，基本分布在“俄语为母语的国家”而非仅仅俄罗斯，此前有被批捕的REvil成员即为乌克兰籍。所以在当前紧张形势一触即发的情况下，REvil这种不确定、不安定的因素，难以保证会不会成为擦*走火、导致局面不可控的一个火星，那么确保消除这个因素，也似乎是一个完全讲得通的行为了。

终结或开始：对勒索形态网络犯罪的预判

作为一代枭雄，REvil被当成出头鸟打击至今，终于迎来了自己的葬礼。虽然不排除死灰复燃的可能，但这个臭名昭著的名字，确实成为了历史。

但勒索犯罪还没走进历史，它甚至可能书写新的篇章。

一个可以想见的趋势是，未来勒索将更加隐秘，甚至不再有明确组织概念。或许此前的勒索组织成员有很多是脏了双手的黑客，追逐极致利益的同时，又摆脱不了追名逐利的心理，组织、代号和地位就是这种作秀的载体。

但随着RaaS商业模式的深度发展、趋利性的进一步极致化，勒索武器制造者和行动实施者分化，核心人员与外围成员的层层隔离，一种可能是勒索犯罪群体将逐渐去组织化，形成更讲求分工合作、以更成熟的分赃模式共同盈利的形态，这样一来，联合执法打击也就将更加难以有的放矢。

另一个预判是，勒索目标的深度广度延伸。

在过去的一年多内，我们看到有专门利用漏洞，对托管在ESXi服务器的VMware虚拟机的勒索，显示出对流行的商业IT基础设施的把握和快速跟进能力。同时勒索武器多样化发展，有AutoHotKey脚本编译的免杀病毒本体、有局域网内跨主机加密的形态，更有由Golang语言开发从而天然具有跨平台特性的勒索软件。

对Linux服务器而言，似乎此前因为相比Windows服务器更多作为应用服务器、缺少办公数据文件而并未受到勒索关注，但今后势必将成为勒索的必争之地。

而更进一步地，一个不无可能的趋势则更令人不寒而栗：随着勒索越来越像一门“生意”，那么它完全可能成为一种可被雇佣的武器，无论是企业间的竞争，还是国与国的网络空间较量。
就目前已知的信息来看，勒索组织的犯罪目标，是出于自主的选择，和对潜在获利的判断；攻击所要针对的系统、待洗劫的数据，需要一定的摸索和碰运气。但如果是两个竞争实体之间，出于利益冲突而“买凶”，与提供勒索攻击服务的组织做双盲交易，并同时提供作为竞争对手已经掌握的信息，从而引导攻击路径，那么这样带来的就不只是勒索犯罪更强的破坏性，更是对商业、政治博弈平衡性的致命性打击。

本次俄罗斯当局使出重拳，虽说各国政府也曾反复施压，却也不免突然。长期以来在舆论印象中，黑客组织以不攻击国内目标，换取俄罗斯为勒索犯罪提供庇护。当然另一种可能是，有传统网络安全强国的根基在，勒索组织也不敢造次。

但此役之后，是否意味着俄罗斯将就勒索打击开始与国际社会的全面合作，犯罪根据地又是否会出现转移？这些问题尚难回答，但始终可以相信的是，在巨大利益面前，攻防升级的天梯还将一直延伸。

参考索引

http://www.fsb.ru/fsb/press/message/single.htm%21id%3D10439388%40fsbMessage.html
https://www.zaobao.com/news/world/story20210609-1153719 https://www.cnbeta.com/articles/tech/1200611.htm https://twitter.com/i/events/1482283630097543169 https://twitter.com/AShukuhi/status/1482362598922371081?cxt=HHwWkoC-kcG7tJIpAAAA https://www.techtarget.com/searchsecurity/news/252509330/US-targets-REvil-DarkSide-ransomware-with-10M-rewards https://securityaffairs.co/wordpress/126752/cyber-crime/revil-member-behind-colonial-pipeline-attack.html https://www.goupsec.com/news/2013.html 文中援引俄罗斯当局对勒索组织REvil实施抓捕事件新闻，可参见视频链接： https://www.youtube.com/watch?v=Dqm179b5NgM

*本文所有图片均来自网络

往期内容推荐：

• 卑鄙者的墓志铭：REvil勒索软件罪魁首次被锁定

本文作者：云鼎实验室

本文为安全脉搏专栏作者发布，转载请注明：https://www.secpulse.com/archives/172889.html