2021年01月10日

在线博彩公司正受到中国政府支持的黑客的勒索软件攻击，这要么是优先考虑的重大转变，要么只是贪婪的技术人员想要填补他们微薄的薪水。

以色列网络安全公司Profero和Security Joes发布的一份报告详细描述了今年早些时候五个身份不明的在线博彩公司受到的一系列勒索软件攻击，攻击者是一个名为Advanced Persistent Threat 27 (APT27)或Emissary Panda的组织。

该报告基于趋势科技今年2月发布的另一份报告，该报告确定了一个由中国领导的黑客组织Winnti（又名APT41），该组织在此之前一直关注在线游戏（而非赌博）公司。 APT27攻击使用类似的DRBControl恶意软件来获取访问目标服务器，但APT27传统上专注于企业间谍活动而不是经济利益。

APT27攻击的不同之处在于，一旦黑客获得了访问特定服务器的权限，他们就会利用Windows内置的BitLocker加密工具来拒绝合法所有者对服务器的访问，而不是使用定制的勒索软件。

Profero / Security Joes的代表说，黑客要求目标赌博运营商总共提供1亿美元的比特币来解锁服务器。 但是，由于安全团队能够最大程度地减少威胁，并且公司可以使用备份文件还原其数据，因此无需支付任何赎金。

2019年，美国网络安全集团FireEye声称，TrendMicro报告中引用的Winnti组织，早在2014年就率先将政治和商业活动结合起来。FireEye无法确定这个组织是否“享受保护措施，使其能够针对以下行为进行自己的行动： 营利活动，还是当局愿意忽略它们。”

中国的邻国朝鲜从事这些类型的盈利性cyber-shenanigans臭名昭著,不仅建立了自己的在线赌博网站网络，而且还试图从韩国的加密货币交易所窃取比特币，并被广泛认为是 企图从孟加拉国政府窃取10亿美元（他们仅以“约” 8,100万美元逃脱）。

不过，除了疫情之外，中国的经济形势远没有朝鲜和网络安全研究员赛珀(Amit Serper)对《国土报》(Haaretz)说的那么糟糕。赛珀说，中国政府支持的黑客往往在一系列攻击中使用相同的策略和工具，这使得他们的数字足迹相对容易被追踪。这就有可能是另一个坏人试图通过模仿中国的策略来伪装自己的真实身份。那么朝鲜会不会在这里做假动作?

还有一种可能性是，勒索软件仅仅是为了转移注意力，黑客的主要目的是扰乱接受中国内地赌客下注的运营商。中国去年大幅加大了打击“跨境”赌博的力度，并可能一直在寻找识别和惩罚内地赌客的新方法，以警示他人。

6666