今年早些时候，一家财富50强公司向其网络攻击者支付了7500万美元，大大超过了历史上任何其他确认的赎金支付。支付的受益者是一个名为 Dark Angels 的服装。Dark Angels 不仅有效——在某些方面，该团伙将我们认为我们知道的勒索软件知识在很大程度上颠覆了。

当然，过去还有其他大笔资金：据报道，2021 年，总部位于伊利诺伊州的 CNA Financial 支付了当时史无前例的 4000 万美元赎金，以便在勒索软件攻击后恢复其系统（该公司从未证实过这一数字）。同年晚些时候，肉类制造商JBS承认支付了1100万美元，以结束影响其工厂的中断。 凯撒宫去年支付了1500万美元，以消除其勒索软件破坏问题。

但与上述大型组织支付的 7500 万美元等值比特币相比，这些数字相形见绌，Zscaler 在其 2024 年年度勒索软件报告中选择匿名，该报告首次记录了付款。Chainalysis也证实了这一美元金额。

遇见黑暗天使

黑暗天使于 2022 年 5 月首次出现在野外。从那时起，它的专长就是击败比勒索软件兄弟更少但价值更高的目标。过去的受害者包括多家标准普尔500指数公司，这些公司分布在各个行业：医疗保健、政府、金融、教育、制造业、电信等。

例如，去年，它对巨石江森自控国际公司（JCI）进行了引人注目的攻击。它破坏了该公司的VMware ESXi虚拟机管理程序，用Ragnar Locker冻结了它们，并窃取了据报道价值27 TB的数据。赎金要求：5100万美元。目前尚不清楚江森自控如何回应，但考虑到其2700多万美元的清理工作，该公司很可能没有屈服。

2700 万美元将是当时有记录的历史上第二大赎金支付（仅次于报道的 CNA 付款）。但有证据表明，这不仅仅是某种古怪的谈判策略——黑暗天使有充分的理由认为它可以完成这种任务。

Dark Angels 对勒索软件的处理方式不同

忘记你所知道的关于勒索软件的一切，你就会开始理解黑暗天使。

与此相反，该组织不经营勒索软件即服务业务。它也没有自己的恶意软件——它更喜欢借用 Ragnar Locker 和 Babuk 等加密器。

相反，它的成功归结为三个主要因素。首先：通过攻击数量较少、产量更高的目标，可以采取额外的措施。

其次是它能够泄露大量敏感数据。正如 Zscaler 威胁情报高级总监 Brett Stone-Gross 所解释的那样，“如果你看看很多其他勒索软件组织，他们的附属公司可能窃取了几百 GB 的数据。有时甚至不到 100 GB 的数据。它们通常达到大约1TB左右的峰值。相比之下，黑暗天使正在窃取数十TB的数据。

在这一点上，黑暗天使的区别仅在程度上，而不是种类上。它真正与其他群体区分开来的地方在于它的微妙之处。它的泄漏点并不华而不实。它没有对其最新的受害者发表宏伟的声明。除了隐身技术在运营安全方面有明显的优势（近年来，尽管发生了重大违规行为，但它在很大程度上逃脱了媒体的审查），它对聚光灯的厌恶也有助于它获得更大的投资回报。

例如，该组织经常避免对受害者的数据进行加密，其明确目的是让他们能够继续运营而不会受到干扰。这似乎违背了普遍的智慧。当然，停机和媒体审查的威胁是让受害者付款的有效工具吗？

“你会这么想，但结果却不是这样，”斯通-格罗斯说。

Dark Angels 让支付赎金变得简单而安静——对于那些只想将违规行为抛在脑后的公司来说，这是一个有吸引力的前景。避免业务中断是互惠互利的：没有与停机相关的高昂账单，公司有更多的钱来支付黑暗天使。

黑暗天使的翅膀可以剪断吗？

Zscaler在其报告中预测，“其他勒索软件组织将注意到Dark Angels的成功，并可能采取类似的策略，专注于高价值目标，并增加数据盗窃的重要性，以最大限度地提高他们的财务收益。

如果这种情况发生，公司将面临更陡峭、更令人信服的赎金要求。幸运的是，Dark Angels 的方法有一个致命弱点。

“如果是数 TB 的数据，[黑客]可能会在几天内完成传输。但是，当你谈论的是数TB的数据时——你知道，数十TB的数据——现在你说的是数周，“Stone-Gross指出。因此，能够在行动中抓住黑暗天使的公司可能能够在为时已晚之前阻止他们。