美国司法部最近公布,一名40岁的俄罗斯男子因管理TA551僵尸网络并为勒索软件攻击提供入口,被判处两年监禁,同时罚款10万美元。这名男子叫Ilya Angelov,网名“milan”和“okart”,来自俄罗斯陶里亚蒂市。
他和同伙在2017到2021年间共同掌管TA551团伙。这个团伙通过垃圾邮件夹带感染恶意软件的文件,逐步搭建起一个由被入侵电脑组成的僵尸网络。Angelov他们不直接搞勒索,而是把单个“肉鸡”的访问权卖给其他犯罪团伙,从中赚取收入。
团伙内部有明确分工。他们开发垃圾邮件分发程序,不断优化恶意软件来绕过安全防护,还负责招募成员、统筹各种行动。最核心的工具是一个后门,能让买家直接往受害者机器上传恶意软件。核心生意就是把这些访问权限转手卖掉,让下游团伙用来部署勒索软件。
2018年8月到2019年12月,TA551把僵尸网络权限提供给BitPaymer勒索软件团伙,导致72家美国企业中招,最终敲诈到超过1417万美元赎金。2019年底或2020年初,IcedID恶意软件运营商也付给Angelov团伙超过100万美元,换取访问权并分发勒索软件,具体损失目前还不清楚。FBI记录显示,这次合作一直持续到2021年8月左右。
BitPaymer被打掉后,TA551迅速转向新伙伴。2021年11月,Cybereason披露TrickBot木马运营商开始跟TA551合作分发Conti勒索软件。同月,法国CERT也指出,Emotet僵尸网络被执法行动端掉后,Lockean勒索软件团伙立刻接上TA551提供的分发服务。
Angelov的案子刚判完第二天,美国司法部又宣布另一名26岁俄罗斯人Aleksei Olegovich Volkov因充当Yanluowang勒索软件的初始访问经纪人,被判近7年监禁。他在2021年7月到2022年11月间,为针对8家美国公司的攻击提供了入口。
美国检察官Jerome F. Gorgon Jr.直言,这些外国网络罪犯瞄准的就是美国公民和企业,他们的手法越来越精,但目的从来没变,就是抢钱害人。
整个事件再次提醒,僵尸网络早已成为勒索软件生态链里的关键基础设施。上游卖访问权,中游部署攻击,下游收赎金,一条龙分工明确。TA551从2017年干到2021年,横跨好几年,服务过多支知名勒索软件团伙,却只判两年,罚款也只有10万美元,这数字在动辄千万美元的赎金面前显得有些轻。
加密市场这边,BTC现报$71,277(24h +0.56%),ETH现报$2,171(24h +0.48%),波动不算剧烈,但网络安全事件总会让企业多掏钱买防护,间接推高网络安全概念相关的链上需求。过去几年类似攻击让不少公司直接把预算转向零信任架构和端点检测,钱还是得花。
Angelov案子的判决书里提到,团伙不仅卖权限,还持续迭代工具,招人管事,运作像正规公司一样。执法部门抓一个头目,下面很快有人接盘,这条产业链的韧性远超想象。FBI和国际伙伴这几年连续端掉Emotet、TrickBot等大 botnet,可新团伙冒头的速度一点没慢下来。
美国司法部这两年加大了对初始访问经纪人和botnet运营者的打击力度,Angelov和Volkov的判决就是最新两例。罚款10万美元对一个参与敲诈超1400万美元的团伙来说,震慑效果到底有多大,业内看法不一。但至少信号很清楚:美国本土企业被打,执法部门会一路追到境外操作者头上。
现实中,企业还是得自己硬起来。邮件过滤、员工安全意识培训、多因素认证,这些基础措施缺一不可。TA551靠垃圾邮件起家,几年间服务多家勒索团伙,说明很多公司邮件安全这道防线依然薄弱。一封看似正常的附件,就能把整个网络大门打开。
案子到这里还没完。Angelov服刑两年后会怎样,TA551剩余成员会不会继续活动,这些问题都悬着。网络犯罪的全球化特点,让单一国家执法难度极大,但美国这次连续判两个俄罗斯人,至少表明他们不会轻易放手。
加密行业从业者看这类新闻,更该警醒。勒索软件团伙的钱最终可能流向混币服务或链上洗钱通道,监管部门盯得越来越紧。企业如果被TA551这类botnet盯上,支付赎金还是报案,决策窗口往往只有几小时。过去数据里,72家美国公司最终掏了1417万美元,这笔钱要是早点投到安全升级上,或许结果完全不同。
类似事件还在持续发生。执法行动和团伙迭代赛跑,谁跑得更快,决定未来几年网络威胁的强度。Angelov被判两年,罚10万美元,数字摆在这里,企业该怎么应对,心里得有数。