勒索软件中间商:在受害者与勒索者之间赚差价

  • 时间:
  • 浏览:0

声明:本文来自于微信公众号安全牛(ID:aqniu-wx),授权站长之家转载发布。

一家苏格兰管理服务提供商正在运行一项有关勒索软件解密的副业,该行业的利润可谓十分富有,或者,安全公司对其进行的一项突击调查似乎表明,所谓 “解密” 或者该公司与恶意软件背后的开发者达成协议,支付其酬金以获取解密密钥,或者以另外的价格为勒索软件受害者提供 “解密” 服务。

该服务提供商 Red Mosquito 将自身标榜为 “您的专属IT部门”,并宣称我每各自 会 “通过正确地利用所有技术性手段,让您更专注于我每各自 的业务。”

然而,信息安全公司 Emsisoft 的研究人员对其进行的一项研究,却为亲戚亲戚我们我们我们揭开了 Red Mosquito 不为人知的另一面。通过设置十个 多 电子邮件账户并使用它们分别伪装成勒索软件开发者和勒索软件受害者,Emsisoft 研究人员发现 Red Mosquito 的 RM 数据恢复 (RMDR) 公司似乎正通过与勒索软件开发者达成折扣协议的土办法来获取解锁乱码文件的密钥,或者再宣称我每各自 肯能掌握解密技术,向受害者收取数千美元的解密费。

对于你这名 行为,大律师 Tim Forte 认为,与勒索软件开发者签订支付协议可被视为 “能助 勒索犯罪”,肯能它不仅仅是勒索软件作者与 RMDR 之间的协议,亲戚亲戚我们我们我们可不后能 进一步向受害者索要赎金,并威胁其肯能不付款,被锁数据将无法恢复或解密。

通过亲戚亲戚我们我们我们与勒索软件开发者之间缔交的明显协议,离米 可不都要说,RMDR 就该勒索软件犯罪团伙的刑事行为土办法达成了一致意见,以期可不都要获取一部分非法利润。除了勒索行为外,勒索软件开发者还违反了英国 1990 年的《计算机滥用法案》,属于实施了刑事犯罪。

Emsisoft 公司首席技术官 Fabian Wosar 表示,勒索软件事件响应公司可不都要提供非常有价值的服务,并帮助受害企业减少停机时间及由其造成的运营成本损失,但勒索软件受害者应该谨慎选折 此类公司,确保该公司在恢复文件方面做到全版透明,并提供所涉及成本的全版明细。

截至目前,Red Mosquito 公司尚未对此事做出任何回复。一位该公司的接线员表示,肯能高级管理层这麼提前大选 该现象,肯能是亲戚亲戚我们我们我们对此并不感兴趣。

设置诱捕陷阱

为了调查该公司,Emsisoft 设置了十个 多 一次性的电子邮件账户。十个 多 账户所有者伪装成勒索软件开发者,亲戚亲戚我们我们我们创建了你这名 垃圾文件,哪几种垃圾文件很容易就糊弄过了 Red Mosquito 的工作人员,并将其视为加密数据,即便哪几种文件并这麼加密,且只含高你这名 随机字节,这麼任何有价值的内容。

Emsisoft 公司首席技术官 Wosar 表示,可不都要 3000% 明确的你这名 是,根本不肯能解密我提供给数据恢复公司的文件,肯能它们不含高任何可不都要解密的内容。造成你这名 具体情况的是因为是,亲戚亲戚我们我们我们压根从一现在开使就这麼你可不后能 通过寻找可利用的漏洞,或是可不后能 了亲戚亲戚我们我们我们我每各自 可不都要使用的神奇解密工具来补救该现象。

或者,Emsisoft 又利用或者电子邮件账户伪装成受害者,并声称十个 多 叫做 “Team Gotcha!”(虚构名称)的团队正在利用该勒索软件加密其数据,并通过你这名 伪造的勒索截图信息营造被勒索的假象,为了让哪几种勒索软件看起来更为逼真,Emsisoft 还在赎金通知中提供了亲戚亲戚我们我们我们的假勒索软件开发者角色的联系土办法。刚刚,Emsisoft 就冒认受害者将哪几种文件和赎金通知通过电子邮件发送给 RMDR 寻求帮助,接下来亲戚亲戚我们我们我们要做的或者等待 RMDR 方的回复。

成功上钩

青春恋爱物语,亲戚亲戚我们我们我们在假受害者电子邮件收件箱中成功受到了 RMDR 承诺给予帮助的答复。不久前一天,又有使用 Protonmail 帐户——tony7877@protonmail.com 的人联系了假勒索软件开发者。

第一封电子邮件问道:勒索软件解密都要多少钱?

Emsisoft 伪装成勒索软件开发者回复道,“你或者支付价值 13000 美元的比特币,就可不都要获取解密密钥来恢复数据”。经过一番谈判,为了让自身看起来更像真正的勒索软件开发者,Emsisoft 将其勒索软件解密价格降到了 900 美元。

与此同时,RMDR 也再次联系了受害者。亲戚亲戚我们我们我们使用 Conor Lairg 你这名 名字通过电子邮件进行了回复,具体内容如下:

我很高兴地确认亲戚亲戚我们我们我们可不都要恢复您的加密文件。

亲戚亲戚我们我们我们的数据恢复服务的收费标准如下:

优先恢复服务(预计1- 3 个工作日) 393000 美元。

除此之外,Red Mosquito 方的电子邮件都要求受害者安装 Teamviewer,这是五种 IT 支持工具,允许远程用户在用户同意的具体情况下全版控制目标计算机。

在 El Reg 现在开使调查此现象时,RM 数据恢复 (RMDR) 网站在其常见现象解答页面上表示,用户可不都要 “将安全的远程会话安排到具有数据访问权限的计算机上”,以便执行解密过程。RMDR 的常见现象页面还指出:

亲戚亲戚我们我们我们不建议直接与 “黑客” 进行交易,在统统有具体情况下,支付赎金肯能是恢复数据的唯一选折 ,最好聘请有经验的顾问来协助完成你这名 过程。

同一页面上甚至还提供了十个 多 在线评论网站的链接,其中充斥着 RMDR 客户的评论,但很显然,绝大多数客户并这麼意识到 RM 数据恢复服务所收取的费用,实际上要高出敲诈者所要求的赎金数统统有。

或者,并不所有用户都对其服务深信不疑。一位化名为 Chisel 的客户表示:

我都要公平地说,离米 十个 多 小时的工作(还是远程)就开价约 300000 美元,平均每个小都要 230000 美元。其实我很感激最终我的文件恢复了,或者这麼高昂的费用还遇见我都要有种上当受骗的感觉。

油水富有的行业

Red Mosquito 的 “数据恢复” 业务看起来其实非常有利可图。根据 Companies House 提供的数据显示,在 2017 财年的账目中,RM 数据恢复有限公司在该银行的账户收益肯能超过 300 万英镑——比上一年的 3000 英镑高出了多少数量级。

相比之下,Red Mosquito 有限公司在 2017 财年的账户中也拥有相当可观的 10 万英镑。据悉,两家有限公司的规模都小到可不都要获得 “账务豁免权”,也或者说这两家公司的收入和利润的全版信息都不想报告,其实 RM 数据恢复公司报告的净资产为 28.3 万英镑,但与 MSP 业务的净资产仅为 1.5 万英镑相比仍然十分可观。

据悉,Red Mosquito 有限公司和 RM 数据恢复有限公司拥有相同的董事:Neil Rowney,Derek Smith 以及 Andrew Stark。除此之外,两家公司还在格拉斯哥的 Panorama Business Village 注册了相同的公司地址。

最后,Emsisoft 建议称,下次再选折 第三方解密服务提供商,一定要慎重再慎重。说实话,使用数据恢复服务从勒索软件中恢复特别像买车,它可不都要为你带来经验富有的人来帮助你谈判,但遇见你又希望那我每各自 可不都可是一位值得信赖的亲戚,而全版可不后能 你可不后能 从你身上榨取更大利益的人,这我每各自 与推销员无异。