利用暗网勒索软件，我轻松入侵了老板的电脑（上）

神译局是36氪旗下编译团队，关注科技、商业、职场、生活等领域，重点介绍国外的新技术、新观点、新风向。

编者按：在公众的想象中，黑客是恶魔般的专家。但现在一个普通人，无需精通编程，只要买下一个勒索软件，就可以利用它实施数字盗窃了。这是一篇普通人尝试数字盗窃的“黑图灵测试”，证明网络犯罪已经发展到了这样一个地步，即软件辅助的无知与真正的技能是无法区分的。本文分上、下两篇，上篇主要回顾黑客攻击发展历史，以及探讨黑客入侵前两个环节：找勒索软件准备黑客攻击以及找到攻击目标，下篇主要介绍黑客攻击的最后一环节—勒索收款。原文作者Drake Bennett，原文标题“I Used Dark Web Ransomware to Sabotage My Boss”。

相关阅读：利用暗网勒索软件，我轻松入侵了老板的电脑（下）

如你所了解的，网上有钱可赚。当然，问题是如何做到这一点。

并不是每个人都具备独一无二的技术，足以扭曲现实；也不是每个人都有斯坦福大学的人脉关系，成为独角兽企业的早期雇员；也不是每个人都对阳光漠不关心，可以成为世界级游戏“堡垒之夜”的玩家；并不是每个人都生活在软件工程报酬丰厚且机会众多的那几个地方，这样的地方还是相对较少的。

如果你愿意触犯法律，至少是美国的法律，或者选择一个你自己可能不会称之为家的国家，那么你的选择范围就会扩大。

你可以盗取信用卡号码，也可以批量购买它们。你可以劫持银行账户，给自己汇钱，也可以劫持电子邮件账户，骗过别人给你汇钱。你还可以在交友网站上欺骗孤独寂寞的人。

然而，所有这些商业冒险都需要这样或那样的资源：比如说，一种用别人的信用卡买单的销售方式，一个愿意把你的赃款变现的“帮凶”，或者有说服别人的天赋和对长期欺骗的耐心。通常还需要一些编程技巧。但如果你没有这些，总还有勒索软件的。

勒索软件攻击规模扩大，医院警局等市政机构成诱人目标

恶意软件对计算机或服务器上的数据进行加密，勒索软件允许攻击者勒索付款以换取解密密钥。在美国的过去一年里，黑客袭击巴尔的摩政府, 新奥尔良，和一大批较小的城市，摧毁了城市电子邮件服务器和数据库，警察事故报告系统，在某些情况下甚至911调度中心。由于依赖重要的、对时间敏感的数据流，医院已经被证明是特别诱人的目标。同样，专注于远程管理小型企业和城镇的IT基础设施的公司也是如此——攻击它们意味着对所有客户进行有效的黑客攻击。

随着袭击次数的增加，受害者和赎金的规模也在增加。联邦调查局网络部门的一位科长HerbStapleton说：“勒索软件最初是针对个人的。后来，它开始瞄准那些没有强大互联网安全保护的小公司，现在它们的目标已经演变成了规模更大的公司和市政机构。”在2019年，法国媒体集团M6的天气频道和航运服务公司皮特尼鲍斯公司，都被击中了。去年夏天，佛罗里达的两个小城镇花了110万美元来解锁他们的数据。据英国广播公司(BBC)报道，欧洲取证公司Eurofins Scientific也向攻击者支付了赎金，不过该公司尚未证实这一点。通联旅游有限公司(Travelex Ltd.)也不愿透露是否支付了数百万美元的赎金，不过在我写这篇文章的时候，这家全球外汇兑换商网站在遭到攻击一个月后仍处于瘫痪状态。

不用懂编程，普通人也能实现数字盗窃？

在某种程度上，勒索软件的兴起是注定的。简单，可扩张，低风险等特点，让它造成了一个特别整齐的网络犯罪。

一些最成功的勒索软件变体被认为是从前苏联国家出现的，在那里，精通科技的年轻人可以得到高质量的教育，却得不到一份与之相称的工作。这种结合催生了一个行业，无论从大的方面还是小的方面来说，他们都是科技业的亡命之徒。

如今，潜在的攻击者不必制造自己的勒索软件，他们可以买到了。如果他们真的不知道如何使用它，还可以订阅服务，获得软件客服支持，这将有助于协调他们的攻击。软件即服务(科技术语中的SaaS)是一个庞大的全球产业，涵盖了从Salesforce.com客户关系管理软件到Slack的工作场所消息平台，再到Dropbox的云存储。

在兼具论坛和集市功能的暗网聊天室中，搜索“勒索软件即服务”或“RaaS”，你可以一页又一页地点击浏览。在公众的想象中，黑客是恶魔般的专家，但其实他们不必这样，不必用勒索软件。网络安全公司Flashpoint的情报总监克里斯托弗·伊莉森(Christopher Elisan)表示：“你可能是一个普通人，只是买下了这些东西，然后你就可以利用它创办一家洗劫软件公司。”

你甚至可能是一名受过文科教育的作家，对iPhone或互联网的工作方式有一种原始的、科技土鳖式的理解，经常发现自己站在办公室的技术支持高手的手边，再次询问如何找到共享驱动器。换句话说，你也可以是我。但你真的可以吗？开始写这篇文章的时候，我并没有打算尝试一下勒索软件。然而，几周后，我突然意识到，如果像我这样的人能够成功实施一场数字盗窃，它将起到一种“黑图灵测试”(hacking Turing test)的作用，证明网络犯罪已经发展到了这样一个地步，即软件辅助的无知与真正的技能是无法区分的。作为一名记者，我花了数年的时间写一些人的故事。这些人做的事情，如果换成我去做，我是做不到的。现在这是我被扔上竞技场的机会了。

世上第一个勒索软件，艾滋病木马病毒

1989年末，世界各地的医学研究人员和计算机爱好者打开他们的邮箱——他们的实际邮箱——发现了一张5.25英寸的软盘，里面有一个互动程序，可以评估一个人感染艾滋病的风险，在当时艾滋病还是未经检查，致命的流行病。总共有2万张来自“PC Cyborg公司”的磁盘从伦敦邮寄到欧洲和非洲各地。但是这些磁盘负载着可激活病毒，这是一个额外的文件，一旦加载到工作站上，就会隐藏文件并加密它们的名字，然后用一个红色的盒子填满屏幕，要求189美元的“软件租赁”。银行汇票、出纳支票或国际汇票要邮寄到巴拿马的一个邮局信箱。

后来人们知道了这就是艾滋病木马病毒，它是世界上第一个勒索软件。

几周后，一位名叫约瑟夫·波普(JosephPopp)的美国人在从肯尼亚参加艾滋病会议返回美国的途中被拦下。波普是一位专门研究狒狒的进化生物学家，由于他的古怪行为，他在阿姆斯特丹的Schiphol机场引起了保安人员的注意。根据《克利夫兰诚实商人报》(the Cleveland Plain Dealer)后来发表的一篇报道，波普确信自己被国际刑警组织(Interpol)的特工给下了药，他在某人的行李袋上写了“波普博士被下毒了”，然后把它举在头上。当他自己的行李被搜查时，当局发现了一只PC Cyborg公司的印章。

波普被从他的家乡俄亥俄州引渡到伦敦，但最终被裁定不适合接受审判：除其他因素外，他还开始在胡须上戴卷发器以防止辐射。他回到家中，自己发表了一份宣言，敦促人们多繁衍后代，2006年他去世时他正在纽约州奥内翁塔创办一个蝴蝶保护区。

虽然波普的动机和心理健康仍然是争论的主题，但他的勒索软件的有效性却毋庸置疑。

大多数磁盘的接收者甚至没有将有害的文件加载到他们的计算机上。在那些加载了有害文件的人中，只有一小部分支付了赎金。首先，这就是一种痛苦，你需要去一趟银行和邮局。这不是必要的。一位名叫EddyWillems的比利时人，是一家跨国保险公司的计算机系统分析师。他说：“我不是一个密码学家，但我能够很容易地看清它的作用，我能在10到15分钟内把所有东西都放回去。” Willems和其他安全研究人员迅速传播免费的艾滋病木马解密程序，也用软盘。

这证明了波普的想象力(和可能的狂热)，他试图用他可以自行控制的工具完成这个计划。把被盗数据卖给出价最高者的想法并不新鲜，但正如芬兰网络安全公司F-Secure的首席研究官米科·海珀宁(Mikko Hypponen)所说，波普的创新之处在于“意识到，在许多情况下，出价最高的人是信息的原始所有者。”

网络钓鱼网站和比特币让勒索软件获得巨大成功

15年后，科技终于赶上了波普的洞察力，以互联网的形式率先出现。

2005年，安全研究人员开始发现他们称之为Gpcode的勒索软件。（在网络安全分类法中，习惯上给同一种恶意软件及其背后的匿名团伙起同样的名字。）Gpcode将自己作为看似合法的电子邮件的附件偷偷地植入电脑，这种技术被称为“网络钓鱼”，如果它是按大规模进行的，或者是“鱼叉式网络钓鱼”：也就是针对单个目标植入的，一封定制的电子邮件。Gpcode的后续版本还使用了更强的加密来打乱文件的内容。唯一真正的弱点是支付环节：赎金通过预付的信用卡或礼品卡结算，因此是在被全球金融体系高度监管的管道流动。随着时间的推移，在执法部门的帮助和推动下，支付处理者在发现赎金支付方面，和收回至少部分款项方面做得越来越好。

从勒索者的角度来看，“赎金支付”这个问题是通过比特币解决的。到2013年，这种加密货币已经成为主流，以至于一个勒索团伙决定尝试一下，其变体后来被称为“密码锁定器”(CryptoLocker)。比特币在技术上并不是不可追踪的，特别是当人们将比特币兑换成美元、欧元或另一种法定货币时。不过，取证仍然是困难和耗时的，因为“滚筒式”和其他匿名措施使得交易通过公共区块链的路径变得复杂。而且，执法部门也没有要求关闭它的支付处理器。所有这些都使它成为勒索软件的理想选择。

唯一的问题是，大多数人仍然不熟悉购买和发送加密货币的机制--勒索软件攻击者常常会鼓励受害者在这个过程中寻求帮助，而他们也是乐于施以援手的。

Cryptolocker取得了巨大的成功。三名意大利计算机科学研究人员追踪了，共771笔与勒索软件有关的，流入比特币钱包的款项，总计1226比特币(当时为110万美元)，这可能是一个非常保守的数字。而Cryptolocker式的密码锁定配方（网络钓鱼，强加密，比特币）仍然是今天勒索软件的主要模板。但也有其他的：一些攻击是假装来自一个执法机构，因为在那里发现了非法材料，而封锁了你的机器。(一些人会通过事先下载真实的儿童色情制品来确保非法材料的存在。)一些攻击者一开始就把受害者引诱到一个的受感染的网站上，在该网站上，有一个软件“漏洞攻击工具包”可以通过他们浏览器的漏洞将恶意软件悄悄潜入受害者的机器。有些攻击最终证明根本不是勒索软件：NotPetya2017年在全球范围内造成了数十亿美元的损失，但却缺乏任何手段来逆转其加密。人们普遍怀疑，它是俄罗斯制造的一种网络武器，既不是为了窃取信息，也不是为了索取赎金，而是为了摧毁它。

美国联邦调查局(FBI)的斯特普尔顿(Stapleton)表示：“我们发现，在一些更为复杂的网络犯罪组织中，勒索软件只是他们利用网络活动牟利的另一种工具。” 帕洛阿尔托网络公司(Palo Alto Networks Inc.)副总裁瑞安奥尔森(Ryan Olson)记得，在黑客找到入侵途径后，他曾为客户监控过一台电脑。首先，他们寻找信用卡号码。然后，他们搜索密码或登录凭据，用来接管网络。“然后他们做的最后一件事，就是安装一些勒索软件，并加密所有的文件。”

四处采购勒索软件 深入暗网优劣难辨

去年10月，当我开始为我的勒索软件服务四处采购时，整个社区仍在为甘地蟹(GandCrab)悲痛欲绝。2018年初推出的“甘地蟹”并不是第一款RaaS，但它的巨大成功证明了这种模式的商业潜力。据网络安全公司BitDefender估计，“甘地蟹”曾一度占据全球勒索软件攻击事件的一半。“甘地蟹”团伙帮授权他们的软件给“分公司”，这些“分公司”是黑客同伙，他们可以入侵被盗用的计算机，或者提供一份电子邮件地址列表进行“网络钓鱼”，作为交换，他们将获得一定比例的收入。计算机安全研究员布赖恩·克雷布斯(BrianKrebs)表示，他们一直致力领先于杀毒程序员，发布了5个主要的软件更新。

然后，在2019年5月31日，在俄语论坛上的一篇文章，宣布了“甘地蟹光荣退休”。作者声称，在过去的15个月里，该公司的分公司已经赚了20亿美元，其中1.5亿美元流入了创作者手中。潜在的分公司一个接一个地问对方，“下一个甘地螃蟹”会是什么。

我不打算说出我最终在哪个论坛上找到我的Raas；我不认为这篇文章的很多读者都是有抱负的勒索软件企业家，我也不想让对此感兴趣的人更易上手。和大多数类似的网站一样，它在暗网（dark web）上，暗网是互联网上的一个区域，被设置成普通浏览器无法访问的。

论坛的标志是一个灰绿色DOS骷髅。这些帖子都是用英语写的，但很显然英语不是许多作者的第一语言，而且如果你在一个极年轻的男性环境下待过一段时间，你就会对这些习惯用语很熟悉。以“这可能是个愚蠢的问题，但是…”开始一个帖子，以“这是一个非常愚蠢的问题。” 回复帖子。然而，让我感到震惊的是，参与者愿意详细回答问题，或者在一系列犯罪恶作剧的话题上，鼓励匿名陌生人。一篇10月的帖子这样写道：“以下是一个惊人的资源列表，它可以查阅最好的书籍，提供给黑客练习攻击目标的一些网站，一个免费的虚拟网络练习列表等等”

我不是网站上唯一一个没有头绪的人。8月31日的一篇文章的标题是“想要轻松使用勒索软件”。另一条则写道：“我正在浏览资源以获取勒索软件之类的东西。我具体需要什么来学习使用这些东西?”

一些论坛成员把这些“菜鸟”和“脚本小子”视为嘲讽的对象，另一些人则视之为机会。在黑客生态系统中，脚本小子的天敌是“开膛手”（ripper），一个卖假货的人，或者只是拿走菜鸟的比特币付款然后消失的人。论坛上的许多讨论，都集中在兜售这个或那个软件或服务的人，是否值得信任。

当然，我是一个菜鸟中的菜鸟，只有一种意识保护着我，那就是我知道的太少了，而且我的野心也很小。我和我的编辑麦克斯·查菲金(Max Chafkin)制定的计划是，我要勒索一个目标：他。我作为记者，某种程度来说，他也是我的老板。

合理地说，麦克斯当然不希望自己的真实个人信息受到威胁，也不希望我们的雇主的个人信息受到威胁。我们的雇主为世界上最富有的金融机构处理敏感数据。所以我俩买了一个廉价的笔记本电脑，并小心翼翼地不让它们在任何时候连接到我们的工作互联网。麦克斯在他的笔记本上放了一大包文件:一些维基解密的文件;穆勒报告的pdf版;一些随机的猫、船和猴子的图片;以及他对我描述的“一堆罗马尼亚学术论文”。

然后，他为我的进攻做好了准备，我打算提前告诉他。虽然这个计划和实际的黑客攻击不太一样，但它是为了演示黑客如何攻击电脑的，希望我们不会被解雇。

我们也不希望被捕。有几个州明确宣布勒索软件攻击为非法，而马里兰州的立法者则在最近提出了一项法案，把仅仅是持有勒索软件就足以定为刑事罪。还有更广泛的联邦计算机欺诈法规，在2018年对两名伊朗黑客的起诉中使用了这些法规，据称这两名黑客是攻击亚特兰大、纽瓦克和几家大型医院系统的幕后黑手。勒索软件被起诉的案例仍然很少，但我与大多数攻击者不同，我实际上是在美国。

尽管如此，到目前为止，法律条文需要意图攻击一个不知情、不合谋的受害者。密歇根法律规定:“任何人不得在未经他人授权的情况下，故意持有勒索软件，并意图使用或使用该勒索软件。”我的受害者充分知情，实际上是同谋——我们只是两个自愿在互联网上冒险的成年人。(如果麦克斯想装作不一样的话，我有电子邮件在手。) 我们采访的彭博社(Bloomberg)律师基本上同意这一点。

译者：白兰芷