近年来，勒索软件已经成为肆虐全球的网络犯罪“流行病”，勒索软件团伙通过加密锁死数据或者以泄漏数据相要挟，从各地政府、医院、学校和企业勒索巨额赎金，而执法部门对此基本束手无策。

美联社近日撰文指出，根据安全研究人员、美国执法部门以及现今的拜登政府的说法，勒索软件能够在全球肆无忌惮、横行无阻的一个重要原因是：勒索软件网络犯罪团伙受到俄罗斯情报机构的保护，有时甚至被俄罗斯情报机构雇用。

上周，美国对俄罗斯包括国家黑客在内的恶意活动实施制裁，被美国财政部列入制裁名单的企业包括：

• ERA Technopolis。由俄罗斯国防部资助和运营的研究中心和技术园区。ERA Technopolis设有支持俄罗斯主要情报局(GRU)的部门，负责进攻性网络和信息作战，并利用俄罗斯技术部门的人员和专业知识来开发军事和两用技术。
• Pasit。一家总部位于俄罗斯的信息技术(IT)公司，从事研究和开发工作以支持俄罗斯对外情报服务(SVR)的恶意网络操作。
• SVA。俄罗斯国有研究机构，专门研究先进信息安全系统。SVA为SVR的恶意网络操作提供研发服务。
• Neobit。一家位于俄罗斯圣彼得堡的IT安全公司，其客户包括俄罗斯国防部、SVR和俄罗斯联邦安全局(FSB)。Neobit从事研究和开发，以支持由FSB、GRU和SVR实施的网络行动。
• AST。一家俄罗斯IT安全公司，其客户包括俄罗斯国防部、SVR和FSB。AST为FSB、GRU和SVR进行的网络行动提供技术支持。AST还根据EO13694、EO13382和CAATSA被指定为FSB提供支持。
• Positive Technologie。一家俄罗斯IT安全公司，为包括FSB在内的俄罗斯政府客户提供支持。

美国财政部表示，俄罗斯情报部门还通过培养和选拔犯罪黑客并为他们提供安全庇护，从而使勒索软件攻击得以实现。现在，勒索软件造成损失已高达数百亿美元。

前英国情报网络负责人马库斯·威利特(Marcus Willett)最近认为，勒索软件这一祸害“在战略上比国家网络间谍更具破坏性”。

今年早些时候，一个俄语暗网论坛上出现了对勒索软件供应商的批评，该勒索软件供应商代号“Bugatti”，其团伙被美国——欧洲刑警组织诱捕。论坛中的大量帖子指责Bugatti技术上的草率导致“送人头”，而且还招募了可能是告密者或秘密警察的非俄罗斯会员。

论坛中一位长期活跃的资深论坛成员的发言泄漏了勒索软件团伙们对俄罗斯的依赖。该成员指出，Bugatti不应该把服务器放在俄罗斯之外，导致被西方执法部门缴获。这位成员写道：“俄罗斯母亲才能提供帮助。爱你的国家，你什么都不会发生。”该对话被安全公司Advanced Intelligence截获，并提供给了美联社。

“就像俄罗斯的几乎所有主要行业一样，网络犯罪分子在安全服务部门的默许下，有时甚至是在明确同意下工作。”前中央情报局分析师迈克尔·范·兰丁汉(Michael van Landingham)说道。

莫斯科互联网研究院首席执行官卡伦·卡扎良(Karen Kazaryan)说，俄罗斯当局有一个简单的规则：“(勒索软件团伙们)永远不要与你所在的国家(俄罗斯)和这个国家的企业作对。如果你从美国人那里偷了东西，干得漂亮。”

与朝鲜不同，没有迹象表明俄罗斯政府会直接从勒索软件犯罪中受益，尽管普京可能会认为由此造成的破坏具有战略意义。

根据网络安全公司Emsisoft的调查，仅在美国，去年勒索软件就袭击了一百多个联邦、州和市政机构，超过500家医院和其他医疗中心，约1,680所学校和数百家企业。

对公共部门造成的损失和影响包括：被迫绕路的救护车、推迟的癌症治疗、中断的市政账单采集、学校停课和增加的保险费用等等，而所有这些破坏都是在一个多世纪以来最严重的公共卫生危机(新冠病毒大流行)期间进行的。

这些攻击背后的想法很简单：犯罪分子用恶意软件渗透到计算机网络中，“绑架”(加密)组织的数据文件，然后要求受害者支付巨额赎金(最高赎金记录已高达5000万美元)来恢复数据，或者避免数据被犯罪分子在网络上公开泄漏。

美国副检察长亚当·希基(Adam Hickey)指责说，网络犯罪团伙与政府之间的勾结在俄罗斯已经不是什么新鲜事了，他指出，网络犯罪可以为间谍活动提供良好的掩护。

Kazaryan则声称在1990年代，俄罗斯情报部门经常为此目的招募黑客。他说，现在，勒索软件犯罪分子中很多都是国家黑客。

网络安全公司Crowdstrike的前首席技术官德米特里·阿尔佩罗维奇(Dmitri Alperovitch)表示，克里姆林宫有时会通过在监狱和为国家工作之间做出选择来招安被捕的犯罪黑客。他说，有时黑客使用同一套计算机系统来进行国家黑客活动，并在“业余时间”从事以牟利为目的网络犯罪来积累个人财富，他们甚至可能将“国家任务”与个人业务混在一起。

2014年雅虎黑客攻击事件就是一个典型的例子，黑客入侵了超过5亿个雅虎用户帐户，据称其中包括俄罗斯记者以及美国和俄罗斯政府官员的账户。美国介入调查并在2017年对四名男子提起公诉，其中包括俄罗斯FSB安全部门的两名官员。其中一人Dmitry Dokuchaev在与FBI合作处理计算机犯罪的FSB办公室中工作。而另一被告亚历克西·贝兰(Alexsey Belan)则“假公济私”，在黑客攻击中为个人谋利。

据美联社报道，俄罗斯大使馆发言人拒绝回答有关俄罗斯政府涉嫌与勒索软件罪犯有染，以及政府雇员涉嫌参与网络犯罪的问题。

证明俄罗斯政府与勒索软件帮派之间的联系并不容易。犯罪分子匿名隐藏在网络中，并定期更改其恶意软件变体的名称，使西方执法机构感到困惑。

但是，根据英国国家犯罪局(National Crime Agency)的说法，至少有一个勒索软件供应商已被证实与克里姆林宫建立了联系。33岁的马克西姆·雅库贝斯(Maksim Yakubets)是一个自称为Evil Corp的网络犯罪团伙的联合负责人。此人出生在乌克兰的雅库贝斯(Yakubets)，个人生活骄奢淫逸，他驾驶着定制的兰博基尼超级跑车，带有风骚的个性化车牌。

根据美国2019年12月的起诉书，雅库贝斯于2017年开始为FSB工作，其任务是“通过网络手段获取机密文件并代表FSB实施网络行动”。同时，美国财政部对雅库贝斯(Yakubets)采取了制裁措施，并悬赏500万美元奖励提供抓捕线索的人。据说他正处于从FSB获得使用俄罗斯机密信息的许可证的过程中。

起诉书指控Evil Corp.在过去十年中开发和分发了勒索软件，用于在40多个国家和地区盗窃来至少1亿美元。

安全研究人员透露，到雅库贝斯被起诉时，Evil Corp.已经成为勒索软件的主要玩家之一。据Advanced Intelligence的报告，到2020年5月，该团伙分发了一种勒索软件变体，用于攻击八家财富500强公司，其中包括GPS设备制造商Garmin，其网络在遭受攻击后数天就处于离线状态。

雅库贝特本人仍然逍遥法外。但是，目前在法国被监禁的另一名俄罗斯人可能会提供更多有关网络犯罪分子和俄罗斯国家交易的见解。亚历山大·文尼克(Alexander Vinnick)被判通过名为BTC-e的加密货币交易所“洗白”来1.6亿美元的犯罪收益。美国在2017年的一项起诉书中指控“某些已知的最大勒索软件供应商”实际上也是通过该交易所完成的洗钱，金额高达40亿美元。

勒索软件和在线银行盗窃目前依然是个“高收益、低风险”的行当，无党派智囊团Third Way在2018年进行的一项研究发现，成功起诉针对美国目标的网络攻击者(勒索软件和在线银行盗窃罪犯造成的损失最高)的几率不超过千分之三。

许多分析师认为，上周的制裁发出了一个强烈的信息，但除非金融动荡剧烈到一定程度，否则不会阻止普京。

【本文是51CTO专栏作者“安全牛”的原创文章，转载请通过安全牛（微信公众号id:gooann-sectv）获取授权】

戳这里，看该作者更多好文