勒索軟件聯盟 RAlord 旗下的聯盟計劃 Nova,6 月初向總部設於烏茲別克的油田服務商 Eriell Group 公開道歉,原因是旗下一名成員誤將惡意程式植入這家企業, Eriell 在莫斯科設有公司辦事處,屬於獨立國家聯合體( CIS )範圍內的目標。
Nova 除了剔除犯事成員,亦承諾免費協助對方復原系統,聲稱沒有加密任何檔案,並答應不會外洩盜取得來的資料。這宗事件揭示一條沿用多年的地下行規,俄語系勒索集團絕不攻擊俄羅斯及鄰近陣營的機構,踩過界的代價可以相當沉重。威脅情報研究員 Dominic Alvieri 在社交平台上把這宗烏龍直接形容為當日最愚蠢的勒索行為。
事件經過:一封來自受害者的投訴信
Eriell 主動聯絡 Nova ,向勒索軟件操作者通報旗下成員製造的麻煩, Nova 收到投訴後迅速切割,把這名聯盟成員逐出犯罪組織,並發出正式道歉。研究人員 Allan Liska 表示,勒索俱樂部的第一條規矩到 2026 年依然牢不可破,就是不能向 CIS 國家的機構下手。
這條規矩背後是一套政治經濟現實, 網絡犯罪在俄羅斯及其他 CIS 國家技術上屬於違法行為,但當地政府往往為勒索者及其他以斂財為目的的罪犯提供庇護,尤其當這些人同時兼任國家級黑客的時候。只要犯罪集團不感染境內機構,本地警方通常選擇視而不見。換言之這條鐵律與其說是江湖道義,不如說是換取安全港的入場費。
Eriell 的身份本身存在灰色地帶, 多份威脅情報報告把 Eriell 描述為俄羅斯油氣工程企業,但其總部實際設於烏茲別克,並在莫斯科設辦事處。 Nova 自 5 月下旬起進入活躍期,短短數日內在 4 大洲列出 5 個受害目標,包括西班牙的 University of Valencia 、 巴西的 SECONT 機構以及土耳其的 Adensa Teknoloji ,而 Eriell 正是這波攻勢之一。研究機構推測,犯事成員可能身處俄羅斯境外,又或者把 Eriell 視為一家國際企業而非受保護的本地目標,結果誤踩紅線。
這條行規如何運作
獨立國家聯合體由俄羅斯連同多個前蘇聯加盟共和國組成, 成員包括亞美尼亞、阿塞拜疆、白俄羅斯、哈薩克、吉爾吉斯、摩爾多瓦、塔吉克及烏茲別克,多年來大量惡意程式在程式碼層面寫死了一份「不安裝清單」,程式啟動前會檢查系統語言、時區及國家編碼,一旦偵測到 CIS 地區的特徵便自動退出,不執行加密。
資料分析公司 Chainalysis 早前計算, 自 2020 年起超過 9 成可歸因於主要勒索軟件的贖金,來自那些刻意設定為不襲擊 CIS 成員的程式,多個著名集團同樣把這條規矩寫進聯盟守則, DragonForce 集團、 VanHelsing 勒索軟件即服務組織以及惡名昭著的 LockBit ,都明文禁止成員與聯盟夥伴攻擊俄羅斯及其他 CIS 目標。 RansomHub 更把禁區擴展到古巴、北韓及中國。業界分析普遍認為,各大集團短期內會將這名 Nova 成員列入拒絕招攬的黑名單。
不過這套庇護機制並非密不透風, 罪犯一旦離開俄羅斯前往設有引渡協議的國家度假,便有機會落網。俄羅斯內政部今年較早前在 Taganrog 拘捕地下討論區 LeakBase 擁有者 Chucky ,連長年身處境內的人物都未必安全,反映規矩之外仍有變數。
對企業的啟示:別把贖金當成復原方案
對防守一方而言, 這宗烏龍帶來幾項務實的啟示,最直接的一點是地理位置會影響安全風險。一家企業若在 CIS 區域設有實體營運或使用當地語言環境,主流俄語系勒索程式理論上較難擊中對方,因為惡意程式會主動退場。企業在評估供應鏈與海外據點的網絡風險時,可以把這項因素納入考量,但絕不能視之為防護網,因為例外正不斷出現。
更重要的啟示在於贖金從來不是可靠的復原手段, 多宗事件顯示,即使付款也未必拿得回資料。 Sicarii 惡意程式的開發者犯下編碼錯誤,程式每次執行都生成全新的密鑰對,事後卻丟棄私鑰,令受害者根本無從復原。 Nitrogen 勒索軟件同樣因為編程失誤,連集團自己的解密工具都無法還原檔案,付款變成徒勞。另一邊廂,親俄羅斯黑客組織 CyberVolk 去年底推出勒索服務時把主密鑰寫死在執行檔內,反而讓受害者免費救回資料。這些案例都指向同一個結論:企業的復原能力應該建立在離線備份、經過實測的還原流程以及快速圍堵之上,而非寄望與罪犯談判。
威脅情報團隊近年亦改變應對姿態, Resecurity 在今年初設下蜜罐,誘使資料竊取組織 Scattered Lapsus$ Hunters 自投羅網,最終成功向其中一名成員發出傳票。這提醒企業,主動防禦與情報佈局可以反過來令攻擊者付出代價。
神話破滅後的攻防現實
Trellix 威脅情報策略總監 John Fokker 表示, 他厭倦了保安行業把威脅分子神化,於是與團隊推出名為 Dark Web Roast 的內容,專門揶揄這些罪犯,he 強調這些人只是普通個體,靠電腦行事,目標就是偷走你的資料賺錢,他們並不神秘,也沒有超能力。
這宗 Nova 道歉事件正好印證這個觀點, 勒索生態系統運作成熟、分工精細,背後卻是一群會犯低級錯誤、會踩中政治紅線、程式碼甚至會反噬自身的普通人。對企業領導層來說,這意味防禦策略不應建立在對手無懈可擊的假設之上,而要善用對方的失誤、僥倖心理與運作規律。展望未來, CIS 豁免機制大概仍會主導主流勒索程式的設計邏輯,但隨著 AI 生成程式碼普及、聯盟模式擴張以及成員質素參差,誤襲、漏洞與崩潰只會更頻繁地出現。企業真正能掌握的,是把資源投放在韌性建設與情報能力上,把對手的每一次失手轉化為自己的防禦優勢。
來源:The Register
