文章来源：红数位

一般不能用顶级这个词。

根据之前播报过的：

谁是全球勒索软件之王？

当时得出结论：Conti勒索团体当之无愧夺得勒索之王。

所以我们斗胆用顶级这个词。

臭名昭著的顶级Conti勒索团队似乎最近已经改变了其商业计划。

Conti恶意组织针对拒绝协商支付赎金的组织将其公开到暗网受害者羞辱博客中，从受害者那里窃取的机密文件可能会被发布或出售。但在过去48小时的某个时候，该网络犯罪集团更新了其羞辱受害者的博客，表明它现在正在出售其已入侵的许多组织的访问权限。

Conti受害者羞辱博客的截图

“我们正在寻找一个买家来访问该组织的网络并从他们的网络出售数据，”在 Conti的羞辱博客上我们看到最近的受害者列表中新增的一篇令人困惑的措辞的消息中写道。目前尚不清楚是什么促使这些变化，或者Conti希望从此举中获得什么。

计算机安全公司Emsisoft首席技术官Fabian Wosar对此表示：“我想知道他们是否即将关闭他们的业务，并希望在他们这样做之前出售数据或访问正在进行的入侵行为。” “但这样做有点愚蠢，因为你会提醒目标公司他们有被入侵过。”

这种无法解释的转变发生之际，美国和欧洲的政策制定者正在努力破坏一些顶级勒索软件团伙。一勒索组织呼吁所有勒索组织联合“搞砸美国”。REvil暗网受害者羞辱网站仍处于离线状态。

作为回应，Conti团伙的一名代表于10月22日在一个俄语黑客论坛上发布了一篇长文，谴责对REvil的攻击是“美国在世界事务中的单边、域外和强盗抢劫行为”。“是否有一项法律，即使是美国的法律，甚至是50个州中任何一个县的当地法律，使这种不分青红皂白的进攻行动合法化？” Conti团队成员进行了谩骂。“攻击黑客服务器在美国或任何美国司法管辖区突然合法了吗？假设有这样一个令人发指的法律，允许您在外国入侵服务器。从服务器受到攻击的国家的角度来看，这有多合法？基础设施不是在太空中飞行或漂浮在中立水域。这是某人主权的一部分。”

Conti明显转型的新方向也可能只不过是另一种将受害公司带到谈判桌前的策略，例如“付钱，否则有人会为你的数据或长期痛苦买单，如果你不这样做。”或者可能只是在从俄语翻译中丢失了一些东西（Conti的博客是用英文发表的）。但是，通过从部署勒索软件恶意软件转向销售被盗数据和网络访问，Conti可以将其运营与许多竞争性勒索软件附属程序保持一致，这些附属程序最近专注于勒索公司以换取不发布或出售被盗数据的承诺。

然而，正如Digital Shadows在最近的勒索软件综述中指出的那样，许多勒索软件组织发现很难管理数据泄露站点，或在暗网上托管被盗数据以供下载。毕竟，当通过暗网下载一个受害者的数据需要数周时间，泄露敏感数据作为谈判策略的威胁就失去了一些威胁，这也是一种糟糕的用户体验。这导致一些勒索软件团体使用公共文件共享网站公开数据，这些网站速度更快、更可靠，但矛盾的是可以通过法律途径迅速删除。

数据泄露站点还可以为调查人员提供一种潜在的方式来渗透勒索软件团伙，美国当局最近报道的对REvil团伙的入侵就证明了这一点。“2021年10月17日，REvil 勒索软件团伙的一名代表在讲俄语的犯罪论坛透露他们的数据泄露站点已被‘劫持’，”Digital Shadows的Ivan Righi写道。“REvil 成员解释说，一个身份不明的人使用开发人员拥有的相同密钥访问了 REvil 网站登录页面和博客的隐藏服务。用户认为勒索软件团伙的服务器已被入侵，负责入侵的人正在‘寻找’他。”

Mandiant最近的一份报告显示，被认为对Conti和Ryuk勒索软件操作负责的组织FIN12在不到3天的时间内就成功地进行了勒索软件攻击，而涉及数据泄露的攻击则需要超过12天(需要拷贝大量数据)。从这些数字来看，或许Conti只是在寻求将更多的数据泄露业务外包公司(当然是收费的)，以便它可以专注于部署勒索软件这种耗时较少但同样有利可图的活动。

“随着今年第四季度的临近，有趣的是，与管理数据泄漏站点相关的问题是否会阻止新的勒索软件组织 [不再追求] 考虑使用数据泄漏站点的方法，或者他们将创建一些创造性的解决方案来解决这些问题， ”Ivan Righi总结道。“Ryuk勒索软件组织已经证明自己在不需要数据泄露站点的情况下仍然有效，并且是勒索软件威胁领域的顶级黑手。反而，Ryuk因不需要数据泄漏站点和数据泄露正蓬勃发展。”

多一个点在看

多一条小鱼