勒索攻擊已成為全球企業和組織面臨的嚴重威脅之一。不少企業因為勒索軟件攻擊付出了慘重的代價，不僅要支付贖金，還嚴重影響了企業業務和品牌價值。為了應對日益嚴峻的勒索攻擊形勢，遏制勒索攻擊蔓延，美國一方面不斷打擊勒索軟件組織，另一方面加緊制裁加密貨幣交易所。2021年10月13日，美國邀請30多個國家舉行了線上反勒索聯盟會議，會后即向REvil勒索軟件開火。路透社10月21日報道稱，在美國聯邦調查局、美國特勤局、美國網絡司令部，以及其他國家相關組織的聯合打擊下，惡名遠揚的勒索軟件組織REvil已經下線。這些行動激怒了其他勒索組織，另一著名勒索組織Groove發文呼吁共同聯合起來對抗美國，加大對美國公共設施的攻擊力度。

　　REvil被美國政府打垮

　　REvil是當前知名度最高的網絡勒索組織之一，今年7月，其利用IT服務軟件供應商Kaseya的漏洞向托管服務商實施大范圍供應鏈攻擊，導致購買IT托管服務的數千家美國企業的百萬臺生產設備被加密。

　　勒索事件發生后，REvil開出7000萬美元的天價贖金，雖然不久后將贖金下調至5000萬美元，但該攻擊仍被認為是迄今為止最大規模的網絡勒索事件，REvil名噪一時。據美國安全部門人士透露，REvil在其勒索組織威脅性名單上位居首位。

　　高調的行事風格也使得REvil成為重點打擊對象，不久后美國就對其展開反制措施。今年7月13日，REvil的支付渠道和數據泄露站點首次失效，但兩個月后該網址又重新恢復訪問，新的REvil勒索軟件也再次出現在人們的視野中。

　　10月13日，面對日益猖獗的網絡勒索，美、法、德等30余個國家代表承諾將開展聯合行動打擊軟件勒索行為，而本次REvil在死灰復燃兩個月后再度被封，也被認為是打擊行動取得初步成效。此前，美國政府高層人士曾表示，勒索軟件對關鍵基礎設施的攻擊應被視為與恐怖主義同等的國家安全問題。

　　有意思的是，“提前備份”一直被認為是免受勒索軟件攻擊的最佳方式，因為受害者如果可以從備份中恢復系統，就不必向勒索組織付費來獲取解密密鑰。勒索軟件攻擊者也清楚備份的重要性，所以通常通過破壞受害者的備份，讓受害者無計可施乖乖交錢。而這一次，美國政府和合作伙伴以其人之道還治其人之身，破壞了REvil的備份，讓REvil這個偷襲者感受到了老巢被端的滋味。

　　美國此番拿下REvil勒索軟件組織，頗有些殺雞儆猴的意味。受此消息影響，其他勒索軟件組織人人自危。僅10月22日，各勒索軟件組織就轉移了大約107個比特幣。之所以確定是勒索軟件組織所為，是因為此次比特幣轉移是分割成小份進行的，而執法機構通常的做法是直接將比特幣轉移，一般不會進行分割。據區塊鏈公司Elliptic披露，曾策劃攻擊美國最大油氣管道運營商克洛尼爾公司而造成東海岸各州供油網絡被迫關閉的勒索集團Darkside，已通過小額轉換的方式轉移了其持有的700萬美元比特幣。

　　Groove呼吁“團結起來，共同對抗美國”

　　以攻擊美國醫院打響知名度的Conti勒索組織稱：“美國針對REvil服務器的攻擊行為提醒了我們一件顯而易見的事：美國在世界事務中不斷展開單邊、域外和強盜行為。美國的50個州有任何一條法律可以認定這次對REvil服務器的攻擊是合法的嗎？勒索軟件才是真正的受害者！猜猜有史以來最大的勒索軟件組織是誰？就是你們美國的聯邦政府！”

　　Groove勒索組織則發文呼吁，勒索軟件之間應停止競爭，共同聯合起來對抗美國，加大對美國公共設施的攻擊力度。該勒索軟件組織在其用于泄密的網站上用俄語發布了一條這樣的消息：“在美國政府聯合其他國家對我們進行打擊的困難時期，我呼吁所有的合作伙伴停止競爭，團結起來共同攻擊美國公共部門，以此報復美國對勒索軟件組織的制裁。”該消息還稱，勒索軟件組織應停止對俄羅斯等國家的攻擊，避免被全球所有的國家共同打擊，為勒索軟件組織保留一些安全的場所。

　　Groove組織發布消息呼吁報復美國

　　威懾攻擊者，遏制勒索軟件傳播

　　關閉僵尸網絡、追回勒索贖金、逮捕涉案黑客，美國采取多種方式追殺勒索軟件。

　　微軟關閉Trickbot僵尸網絡

　　Trickbot僵尸網絡提供惡意軟件即服務功能，成為部署各種勒索軟件，鎖定公司網絡上受感染系統的可靠工具。

　　去年10月，微軟公司接管Trickbot僵尸網絡后端的方式也頗為神奇，據美國媒體報道，微軟直接拿起了法律武器，指控Trickbot僵尸網絡濫用微軟商標，觸犯了商標法。

　　弗吉尼亞州的法院接受了該起訴，并授權微軟接管Trickbot僵尸網絡的網絡服務器控制權。然后微軟與安全網絡組織合作，破壞了Trickbot的后端基礎架構，Trickbot僵尸網絡的運營者將無法再發起新的網絡攻擊或者激活那些已經入侵了企業網絡里的勒索軟件。這些安全組織包括著名的全球金融服務信息共享分析中心FS-ISAC、全球性的計算機安全軟件提供商ESET、網絡威脅研究實驗室Lumen's Black Lotus Labs、日本電報電話公司NTT、博通公司的網絡安全部門Symantec等。

　　在微軟的“商標行動”之前數日，美軍網絡司令部也針對Trickbot發起了一波攻擊，向所有受感染的Trickbot系統發送了一條指令，讓這些設備與Trickbot主控服務器斷開連接。美軍網絡司令部對Trickbot的攻擊持續了大約十天，期間還將數百萬條虛假的新受害者記錄填充到Trickbot數據庫中，以迷惑僵尸網絡的運營者。

　　微軟安全團隊關閉了全球128臺TrickBot基礎設施的服務器中的120臺。另外，在目前已經確定的69臺主要 Trickbot服務器中，有62臺已經被關閉。未能關閉的7臺服務器被描述為物聯網設備。這些系統無法立即關閉的原因是它們不在網絡托管公司和數據中心內，而且無法聯系到設備所有者。

　　美國司法部追回輸油管事件的勒索贖金

　　2021年5月初，黑客組織DarkSide入侵了美國科洛尼爾油氣管道運輸公司網絡，并且成功索要到贖金。不過事件很快出現了大反轉，美國司法部6月7日發布公告稱，調查人員追回科洛尼爾公司先前向黑客支付的總價大約230萬美元的比特幣。美國聯邦調查局獲取了解鎖一個比特幣錢包的私人密鑰。這個比特幣錢包接收了科洛尼爾公司支付的大部分贖金。根據美國司法部副部長麗莎·摩納哥（Lisa Monaco）介紹，聯邦調查局追回了63.7枚比特幣（總贖金約為75枚，占比85%）。

　　最令外界關注的是聯邦調查局如何獲得有關賬戶的密鑰。根據聯邦調查局的一份書面證詞，執法人員使用了區塊鏈賬簿的實時監控工具，追蹤比特幣的數筆交易，首先確認了DarkSide接收贖金的地址，隨后，聯邦調查局獲取了密鑰，直接從DarkSide的賬戶里轉走了63.7枚比特幣---有個細節是，這個賬戶里其實有69.6個比特幣，但聯邦調查局判斷與黑客贖金案相關的只有63.7個，因此只轉走了63.7個比特幣。

　　據悉，成功執行此次追索任務的是美國司法部為打擊勒索軟件而新成立的特別隊伍---“勒索與數字敲詐工作組（RDETF）”。本次任務是這個新成立小組的首次行動。

　　這一行動說明，聯邦調查局可以通過搜查美國基礎設施的最底層信息，以及綜合利用美國各種IT服務供應商的共享信息，來獲取全球任何一個組織的最隱私信息。

　　兩名REvil勒索軟件運營者在烏克蘭被捕

　　在一次國際聯合執法行動之后，一個勒索軟件團伙的兩名成員在烏克蘭被捕。逮捕行動于2021年9月28日在烏克蘭首都基輔展開，由烏克蘭國家警察在法國憲兵隊、美國聯邦調查局、歐洲刑警組織和國際刑警組織的協助下實施。

　　根除勒索攻擊任重道遠

　　較早的主流勒索軟件是非定向傳播的，帶有數據加密和刪除功能的蠕蟲病毒依靠網絡或U盤大面積感染計算機，但勒索贖金額度較低。此后勒索攻擊與高級持續性威脅攻擊相結合，演化出針對高價值目標的定向勒索，并形成了勒索軟件即服務的作案模式：上游團伙編寫勒索軟件并提供設施，下游團伙則負責攻擊投放，上下游收益分成。黑客網絡由勒索軟件供應商、贖金談判人員、攻擊執行人員等組成。

　　美國聯邦調查局的官員今年7月曾表示，該機構正在追蹤100多個活躍的勒索軟件團伙。但因為黑客往往來無影去無蹤，約有一半的案件都將無法找到確切歸屬。應對勒索軟件威脅的關鍵是做好事前防御，政府應引導關鍵基礎設施運營方進行有效防御能力建設。在國際層面，各國應就打擊國際化網絡犯罪增強互信，加強應急響應協作和信息共享。