勒索软件中间商:在受害者与勒索者之间赚差价
一家苏格兰管理服务提供商正在运行一项有关勒索软件解密的副业,该行业的利润可谓十分丰厚,但是,安全公司对其进行的一项突击调查似乎表明,所谓 “解密” 只是该公司与恶意软件背后的开发者达成协议,支付其酬金以获取解密密钥,然后以另外的价格为勒索软件受害者提供 “解密” 服务。
该服务提供商 Red Mosquito 将自身标榜为 “您的专属IT部门”,并宣称自己会 “通过正确地利用所有技术性手段,让您更专注于自己的业务。”
然而,信息安全公司 Emsisoft 的研究人员对其进行的一项研究,却为我们揭开了 Red Mosquito 不为人知的另一面。通过设置两个电子邮件账户并使用它们分别伪装成勒索软件开发者和勒索软件受害者,Emsisoft 研究人员发现 Red Mosquito 的 RM 数据恢复 (RMDR) 公司似乎正通过与勒索软件开发者达成折扣协议的方式来获取解锁乱码文件的密钥,然后再宣称自己已经掌握解密技术,向受害者收取数千美元的解密费。
对于这种行为,大律师 Tim Forte 认为,与勒索软件开发者签订支付协议可被视为 “促进勒索犯罪”,因为它不仅仅是勒索软件作者与 RMDR 之间的协议,他们还会进一步向受害者索要赎金,并威胁其如果不付款,被锁数据将无法恢复或解密。
通过他们与勒索软件开发者之间缔交的明显协议,至少可以说,RMDR 就该勒索软件犯罪团伙的刑事行为方式达成了一致意见,以期可以获取一部分非法利润。除了勒索行为外,勒索软件开发者还违反了英国 1990 年的《计算机滥用法案》,属于实施了刑事犯罪。
Emsisoft 公司首席技术官 Fabian Wosar 表示,勒索软件事件响应公司可以提供非常有价值的服务,并帮助受害企业减少停机时间及由其造成的运营成本损失,但勒索软件受害者应该谨慎选择此类公司,确保该公司在恢复文件方面做到完全透明,并提供所涉及成本的完整明细。
截至目前,Red Mosquito 公司尚未对此事做出任何回复。一位该公司的接线员表示,如果高级管理层没有回应该问题,可能是他们对此并不感兴趣。
设置诱捕陷阱
为了调查该公司,Emsisoft 设置了两个一次性的电子邮件账户。一个账户所有者伪装成勒索软件开发者,他们创建了一些垃圾文件,这些垃圾文件很容易就糊弄过了 Red Mosquito 的工作人员,并将其视为加密数据,即便这些文件并没有加密,且只包含一些随机字节,没有任何有价值的内容。
Emsisoft 公司首席技术官 Wosar 表示,可以 100% 明确的一点是,根本不可能解密我提供给数据恢复公司的文件,因为它们不包含任何可以解密的内容。造成这种情况的原因是,他们压根从一开始就没有想要通过寻找可利用的漏洞,或是只有他们自己可以使用的神奇解密工具来解决该问题。
然后,Emsisoft 又利用另一个电子邮件账户伪装成受害者,并声称一个叫做 “Team Gotcha!”(虚构名称)的团队正在利用该勒索软件加密其数据,并通过一些伪造的勒索截图信息营造被勒索的假象,为了让这些勒索软件看起来更为逼真,Emsisoft 还在赎金通知中提供了他们的假勒索软件开发者角色的联系方式。随后,Emsisoft 就冒认受害者将这些文件和赎金通知通过电子邮件发送给 RMDR 寻求帮助,接下来他们要做的就是等待 RMDR 方的回复。
成功上钩
果然,他们在假受害者电子邮件收件箱中成功受到了 RMDR 承诺给予帮助的答复。不久之后,又有使用 Protonmail 帐户——tony7877@protonmail.com 的人联系了假勒索软件开发者。
第一封电子邮件问道:勒索软件解密需要多少钱?
Emsisoft 伪装成勒索软件开发者回复道,“你只要支付价值 1200 美元的比特币,就可以获取解密密钥来恢复数据”。经过一番谈判,为了让自身看起来更像真正的勒索软件开发者,Emsisoft 将其勒索软件解密价格降到了 900 美元。
与此同时,RMDR 也再次联系了受害者。他们使用 Conor Lairg 这个名字通过电子邮件进行了回复,具体内容如下:
我很高兴地确认我们可以恢复您的加密文件。
我们的数据恢复服务的收费标准如下:
优先恢复服务(预计1-3个工作日)3950美元。
除此之外,Red Mosquito 方的电子邮件还要求受害者安装 Teamviewer,这是一种 IT 支持工具,允许远程用户在用户同意的情况下完全控制目标计算机。
在 El Reg 开始调查此问题时,RM 数据恢复 (RMDR) 网站在其常见问题解答页面上表示,用户可以 “将安全的远程会话安排到具有数据访问权限的计算机上”,以便执行解密过程。RMDR 的常见问题页面还指出:
我们不建议直接与 “黑客” 进行交易,在很多情况下,支付赎金可能是恢复数据的唯一选择,最好聘请有经验的顾问来协助完成这一过程。
同一页面上甚至还提供了一个在线评论网站的链接,其中充斥着 RMDR 客户的评论,但很显然,绝大多数客户并没有意识到 RM 数据恢复服务所收取的费用,实际上要高出敲诈者所要求的赎金数很多。
但是,并非所有用户都对其服务深信不疑。一位化名为 Chisel 的客户表示:
油水丰厚的行业
Red Mosquito 的 “数据恢复” 业务看起来确实非常有利可图。根据 Companies House 提供的数据显示,在 2017 财年的账目中,RM 数据恢复有限公司在该银行的账户收益已经超过 30 万英镑——比上一年的 300 英镑高出了几个数量级。
相比之下,Red Mosquito 有限公司在 2017 财年的账户中也拥有相当可观的 10 万英镑。据悉,两家有限公司的规模都小到可以获得 “账务豁免权”,也就是说这两家公司的收入和利润的详细信息都无需报告,虽然 RM 数据恢复公司报告的净资产为 28.3 万英镑,但与 MSP 业务的净资产仅为 1.5 万英镑相比仍然十分可观。
据悉,Red Mosquito 有限公司和 RM 数据恢复有限公司拥有相同的董事:Neil Rowney,Derek Smith 以及 Andrew Stark。除此之外,两家公司还在格拉斯哥的 Panorama Business Village 注册了相同的公司地址。
最后,Emsisoft 建议称,下次再选择第三方解密服务提供商,一定要慎重再慎重。说实话,使用数据恢复服务从勒索软件中恢复有点像买车,它可以为你带来经验丰富的人来帮助你谈判,但是你又希望那个人可以是一位值得信赖的亲戚,而不是想要从你身上榨取更大利益的人,这种人与推销员无异。