LockBit 黑客组织提供漏洞奖励和个人信息泄露奖励 媒体

LockBit 恐怖勒索病毒小组推出漏洞奖励计划

关键要点

LockBit 恐怖勒索病毒小组在其官网上宣布，该团伙将为“全球的安全研究人员、伦理和非伦理黑客参与其漏洞奖励计划”，奖励金额介于 1000 到 1000000 之间。这一奖励计划首次由 VX Underground 报道，被认为是同类计划的首创。

像许多软件企业一样，勒索病毒小组也面临被黑客攻击导致收入损失的风险，尤其是当有其他团体帮助受害者时。2021 年，BlackMatter 勒索病毒团伙及其附属团体因 Emsisoft 发现的漏洞与其他防御厂商分享，错失了数千万美元的索赔。

Emsisoft 的 Brett Callow 表示，这一漏洞奖励计划可能会影响整个行业重复往日成功的能力。“这可能会帮助他们更早地识别出漏洞，”他说。

LockBit 的漏洞奖励计划具体涵盖了以下方面： 网站、恶意软件和用于谈判的聊天程序的漏洞； 揭示该团伙在暗网服务器上真实互联网地址的漏洞； 提供“巧妙的想法”以增加利润； 公开其他勒索病毒领袖的信息doxxing，这一行为的奖励固定为 1000000，其他类别的奖励尚未公布。

这一举动延续了犯罪团伙利用企业策略提高效率的长期模式，包括复杂的供应链、行业会议、呼叫中心以及 Indeed 水平的招聘广告。

这一切并不令人感到意外；成功的勒索病毒团伙的收入往往超过大多数公司。据 Chainalysis 的估算，在 2021 年 LockBit 市场主导地位较弱时，Conti 这一当时最大团伙共计收取了近 2 亿美元的赎金。自那以来，LockBit 取代了 Chainalysis 的位置，成为新的龙头。据 Digital Shadows 报告，LockBit 及其附属团伙可能在 2022 年第一季度占据了 379 的勒索病毒事件。