德国公布GandCrab和REvil勒索软件组织头目身份

德国联邦刑事局（BKA）和联邦信息安全局（BSI）近日联合发布了一份重量级公告，首次正式公布了两大知名勒索软件组织——GandCrab 和 REvil——主要头目的真实身份。这份公告标志着国际执法部门在打击勒索软件犯罪方面取得了重大突破，也为受害者的跨国司法追诉铺平了道路。

GandCrab 和 REvil 是过去五年间最活跃的两大勒索软件组织，其攻击足迹遍布全球，受害企业数以万计，勒索金额累计超过数十亿美元。此次德国执法部门的行动，源于对多起针对德国企业攻击事件的深入调查。

GandCrab 核心成员身份

根据 BKA 公布的调查结果显示，GandCrab 勒索软件背后的核心运营团队主要分布在以下国家：

GandCrab 于 2018 年初首次出现，以”勒索软件即服务”（RaaS）模式运营。该组织开发了高度定制化的勒索软件，向下游”分支机构”提供工具包，并从每次成功勒索中抽取分成。鼎盛时期，GandCrab 占据了勒索软件市场超过 40% 的份额。

GandCrab 的已知攻击记录：

REvil（也称 Sodinokibi）被认为是 GandCrab 的”精神继承者”，其成员构成与 GandCrab 有相当程度的重叠：

REvil 最为人熟知的攻击事件包括：

德国调查人员能够最终确认这些核心成员身份，得益于以下技术手段：

区块链追踪。 调查人员对勒索软件组织使用的加密货币钱包进行了长期监控，通过链上数据分析追踪资金流向，最终定位到部分嫌疑人的加密货币交易所账户。

恶意软件逆向分析。 安全公司 Bitdefender 发布的免费 GandCrab 解密工具中包含了追踪代码，帮助执法部门识别了攻击者的基础设施。

国际执法合作。 德国 BKA 与美国 FBI、欧洲刑警组织（Europol）及多个国家建立了联合调查机制，实现了情报共享和协调行动。

内部线人。 有报道称，调查取得了来自勒索软件组织内部人员的配合，提供了关键情报。

此次公告对勒索软件地下生态产生了深远影响：

心理震慑。 核心成员身份的公开，对仍在活动的勒索软件组织形成了心理压力。这些组织此前被认为具有相当程度的”匿名性保护”，现在意识到执法部门的能力可能被低估。

运营中断。 部分与 GandCrab 和 REvil 有关联的地下服务（如赎金谈判平台、洗钱渠道）已经关闭或转移，以避免被牵连。

模式转变。 勒索软件组织开始向更分散、更隐蔽的运营模式转型，减少对中心化基础设施的依赖。

尽管取得了身份确认的突破，但将这些嫌疑人绳之以法仍面临诸多挑战：

德国 BKA 表示，公布身份信息的目的是利用公开机制对这些嫌疑人施压，同时为受害者的民事诉讼提供支持。执法部门将继续与国际伙伴合作，探索多样化的司法追诉途径。

企业防范勒索软件的基本措施：

德国此次公布勒索软件组织头目身份，是网络安全执法史上的重要里程碑。随着国际合作机制的不断完善，勒索软件犯罪的成本正在逐步上升。

来源：综合自 The Hacker News、BleepingComputer、德国 BKA 官方公告 · 作者：点小安 · 首发于 www.dripsafe.cn