过去两周,巴西、阿根廷、智利的Windows用户遭遇了超过1200起加密攻击。受害者收到的勒索信几乎复刻了Akira的排版、Tor网址甚至措辞——但ESET的研究人员拆包后发现,真正的加密引擎来自另一个名字:Babuk。
一场精心设计的"借壳上市"
勒索软件也有高仿货。攻击者在被锁文件的扩展名上统一标注.akira,赎金通知的界面设计让资深安全分析师第一眼都会误判。ESET Research在推特上披露:「威胁行为者使用基于Babuk的加密器,却附加.akira扩展名,并投放模仿Akira的勒索信——包括Tor网址和整体内容。」
这种"借壳"策略的收益很直接。Akira在2023年因攻击多家财富500强企业而名声大噪,其品牌本身就能制造恐慌。受害者看到熟悉的界面,更容易认定"这次遇到的是专业团队",从而加快付赎决策。攻击者零成本蹭到了头部IP的威慑力。
但模仿止于表面。ESET通过行为分析确认,文件加密的核心逻辑完全继承自Babuk——这个2021年源码泄露的勒索家族,此后被至少17个独立团伙二次开发。换句话说,这是一套开源武器库的重新组装。
源码泄露后的"零件市场"
Babuk的源代码在2021年被公开后,网络安全界曾预测将出现大量变种。现实比预期更混乱:不同水平的攻击者都能下载这套代码,根据自己的技术能力裁剪功能、更换外壳、调整加密强度。
这次"假Akira"的制作者显然属于技巧娴熟的一类。他们没有直接套用Babuk的原始界面,而是完整复刻了Akira的视觉系统,包括暗网支付入口的URL结构。ESET指出,这种级别的伪装需要深入研究Akira的历史样本,而非简单的复制粘贴。
南美成为首批目标区域也有讲究。传统上,勒索团伙更青睐北美和欧洲企业——数据资产更密集,保险覆盖更完善,赎金支付率高出40%以上。但这也意味着防御资源集中,入侵成本上升。转向南美更像是压力测试:用低风险市场验证新工具的有效性,再决定是否投入高价值战场。
地理漂移背后的成本计算
ESET的监测数据显示,这波攻击集中在制造业中小企业和本地医疗机构。受害者的IT预算普遍有限,备份策略不完善,恰好符合"快速变现"的筛选标准。攻击者似乎刻意避开了大型跨国公司的分支机构——那些节点往往与全球安全运营中心联动,响应速度更快。
这种选择性暴露了一个运营细节:该团伙仍在控制曝光节奏。真正的Akira关联组织在2023-2024年的行动中,单次索赎金额常达数百万美元,且擅长双重勒索(加密+数据泄露威胁)。而"假Akira"目前仅执行基础加密,赎金要求换算后多在1.5万至8万美元区间——更接近Babuk衍生团伙的典型打法。
安全厂商Arctic Wolf同期发布的报告也佐证了这种"分层市场"现象:2024年Q1,针对拉丁美洲的勒索事件同比增长67%,但平均赎金金额仅为北美案件的23%。攻击者正在用更廉价的工具覆盖支付能力较弱的区域,形成价格歧视。
品牌冒用会成为新常态吗
模仿知名勒索品牌并非首次。2022年曾出现伪造LockBit界面的低质量骗局,但因技术粗糙很快被识破。这次的不同在于,攻击者投入了足够的工程资源让伪装难以穿透——受害者、一线响应人员、甚至部分自动化分析工具都可能被误导。
对防御方而言,这意味着不能依赖"看界面识家族"的经验法则。ESET建议企业部署行为级检测:监控加密进程的系统调用模式,而非单纯匹配文件签名。Babuk与Akira的加密引擎在内存操作、线程调度上存在可识别的差异,这些底层指纹比外壳更难篡改。
该 campaign 的后续走向仍不明朗。ESET研究员在分析末尾留下一个观察:「目前尚未发现数据泄露组件,但Babuk的原始架构支持这一扩展。」攻击者是否会在验证成功后升级工具包,还是保持轻量级运营以规避追踪?
你的备份策略,能区分真正的Akira和它的"替身"吗?
热门跟贴