From the shadows: The pursuit of ransomware attackers

• 勒索软件攻击者通过加密层、VPN 和 Tor 网络隐藏身份，使识别工作变得更加复杂。
• 各国法律框架、外交协议和引渡程序的不同阻碍了执法机构之间的无缝协作。
• 勒索软件攻击者采用复杂手段，包括零日漏洞和多态恶意软件，以逃避检测。

在当今数字化环境中，勒索软件攻击已成为普遍威胁，针对个人、企业和政府实体，造成严重后果。尽管执法机构和网络安全专家努力打击这些网络犯罪，但抓捕勒索软件攻击者仍是一项艰巨挑战。 另见: Ziggo集团任命领导人，备战2027年阿姆斯特丹上市.

什么是勒索软件？

勒索软件是一种恶意软件，旨在窃取并加密文件、敏感数据或个人身份信息（PII），使其对受害者不可访问，除非支付赎金。勒索软件攻击者利用勒索手段，通常针对安全措施松懈或存在未修补漏洞的个人或组织，将恶意软件注入其计算机或移动设备，以执行勒索软件负载。

在没有解密密钥的情况下恢复加密文件极其困难，这对依赖加密数据进行日常运营的企业造成严重后果。未在规定时间内满足赎金要求可能导致文件永久丢失或公开泄露。 另见: Alejandro Estua.

目前，许多网络犯罪分子要求以比特币等加密货币支付赎金，利用其去中心化特性隐藏金融交易。尽管在加密货币区块链上追踪赎金支付存在挑战，但仍可行。 另见: 亚历杭德罗·曼佐.

另请阅读：5 种主要的勒索软件攻击类型

抓捕勒索软件攻击者为何如此困难？

勒索软件攻击者通常匿名操作，通过加密层和匿名化技术（如虚拟专用网络（VPN）和 Tor 网络）隐藏身份。使用加密货币支付赎金又增加了一层匿名性，使得追踪金融交易和识别犯罪者变得困难。 另见: 亚历杭德罗·埃尔南德斯.

勒索软件攻击经常源自外国司法管辖区，由于国际管辖权挑战，调查过程变得复杂。法律障碍、外交协议以及各国法律框架的差异阻碍了引渡嫌疑人和执法机构之间的协调。 另见: 亚历杭德罗·加尔萨.

勒索软件攻击者采用复杂手段逃避检测，包括零日漏洞、多态恶意软件和社会工程学技术。先进的加密方法使网络安全专家难以解密文件或识别恶意软件代码中的漏洞，从而延长了调查过程。 另见: Alejandro Guerrero.

另请阅读：必须了解的勒索软件攻击后果

勒索软件攻击者会被抓住吗？

欧洲刑警组织与国际执法机构合作，打击了一个自 2019 年以来在 71 个国家针对 1800 多名受害者发动多次勒索软件攻击的网络犯罪网络。经过两年的调查，于 2021 年，在乌克兰和瑞士进行了突袭，针对与该攻击相关的 12 名个人。这些犯罪分子以针对大型企业而闻名，使用了 LockerGoga、MegaCortex 和 Dharma 等勒索软件变种，以及 TrickBot 等恶意软件和后渗透工具来逃避检测并利用 IT 网络漏洞。欧洲刑警组织从该组织中扣押了 52,000 美元现金和五辆豪华汽车。

2021 年末，美国司法部对两名参与部署 Sodinokibi/REvil 勒索软件的外国公民采取了行动，指控他们对企业和政府实体发动攻击。22 岁的乌克兰公民 Yaroslav Vasinskyi 被起诉发动勒索软件攻击，包括 2021 年 7 月的 Kaseya 攻击。

此外，还扣押了与 28 岁俄罗斯公民 Yevgeniy Polyanin 收到的赎金支付相关的 610 万美元资金。两名被告均面临共谋欺诈、破坏受保护计算机和洗钱的指控。Vasinskyi 在波兰被捕，等待引渡到美国，而 Polyanin 仍在国外。 另见: Alec Gramont.

2024 年 5 月，Vasinskyi 在德克萨斯州被判处 13 年以上监禁。

另请阅读：史上 5 大勒索软件攻击

2024 年 2 月，执法机构开展全球协调行动，捣毁了臭名昭著的勒索软件组织 LockBit，逮捕了两名个人，并查封了 200 个加密货币账户。该行动由英国国家犯罪局（NCA）牵头，针对 LockBit，该组织以为感染受害者网络的附属机构提供勒索软件服务而闻名。

作为行动的一部分，波兰和乌克兰警方进行了更多逮捕。此次行动代号“克罗诺斯行动”，由 10 个国家联盟参与，导致控制了 Lockbit 的基础设施并发布了关于该组织本身的内部数据。公开的起诉书指控 Artur Sungatov 和 Ivan Kondratyev 使用 Lockbit 勒索软件针对多个国家的各个行业受害者。 另见: AI芯片通胀：设备制造商受挤压，影响超越数据中心.