Trellix給勒索團伙開了個"嘲諷專欄"

2024年RSA大會上，一位安全公司高管對著鏡頭說了段大實話：「每個人都在美化威脅行為者，這對我們的客戶毫無幫助。」說話的是Trellix威脅情報副總裁John Fokker，他身后的展板寫著「Dark Web Roast」——一個專門嘲諷網絡犯罪分子的博客欄目。這個「 roast 」（吐槽/嘲諷）系列運行至今，已經記錄了17起黑客團伙的翻車現場，從把漏洞賣成"隔夜菜"到用假網站刷業績，堪稱網絡安全版的《糗事百科》。

「巫師蜘蛛」們該換個名字了

安全廠商給黑客團伙起名這件事，已經走火入魔很多年。Wizard Spider（巫師蜘蛛）、Velvet Tempest（天鵝絨風暴）、Lazarus Group（拉撒路集團）——這些名字聽起來像漫威反派，而不是蹲在地下室里敲鍵盤的騙子。前CISA局長Jen Easterly早就看不下去，呼吁行業改用「Scrawny Nuisance」（瘦弱討厭鬼）或「Evil Ferret」（邪惡雪貂）這類接地氣的稱呼。

Fokker的吐槽更直接：「這些人只是個體，只是用電腦，只是想偷你的數據賺錢。他們不是神話人物，沒有超能力。」

但改名只是表面功夫。Trellix團隊想的是：既然 glamorize （美化/ glamorize ）不行，那 opposite （反面）是什么？答案是—— roast （公開嘲諷）。2024年初，Dark Web Roast正式上線，定位「近乎心理戰」的情報產品。每期搭配表情包、諷刺文案，還有一段Ricky Gervais風格的免責聲明：「這些事件確實好笑，但它們代表真實的犯罪活動，造成嚴重傷害。內容僅供威脅情報和教育目的。」

用Fokker的話說：「我們要讓潛在的黑客新手看到，這條路沒那么酷，充滿了尷尬和失敗。」

內容日歷式勒索：把犯罪當成KPI考核

最新一期Roast的主角是個 unnamed ransomware gang （未具名勒索團伙），他們的操作讓研究員直呼「 numbing 」（麻木/令人麻木）。這個團伙批量起草勒索公告，像運營社交媒體賬號一樣排期發布——周一威脅醫院，周三曝光律所，周五「驚喜」制造業公司。

Trellix研究員的點評毫不留情：「考慮到他們發帖數量之龐大、之麻木，完全可以賭一把——這些『受害者』大概率是他們自己搭建的假網站，用來充數。畢竟，用 phantom compromises （虛假入侵） inflate stats （刷數據），可沒什么 legitimacy （合法性/正當性）可言。」

這種「內容農場」式犯罪暴露了一個尷尬現實：勒索軟件即服務（RaaS）生態內卷嚴重，小團伙沒實力攻擊真目標，只能靠造假維持存在感。Fokker在采訪中提到，這類「表演型犯罪」正在增加，「他們需要在暗網論壇保持活躍度，吸引附屬成員加入，哪怕沒真貨也得裝忙。」

更諷刺的是，這種造假并非無風險。2024年2月，FBI查封LockBit基礎設施時發現，該團伙頭目Dmitry Khoroshev（ aka LockBitSupp ）的「不可攻破」神話，建立在大量虛報攻擊數量的基礎上。當執法機構拿到服務器日志，真假一目了然。

7萬美元漏洞秒變"隔夜菜"：黑客經濟學的殘酷一課

Roast欄目的另一則經典，來自漏洞開發者 cortana9000 。這位開發者在某論壇發帖詢問：「這個值多少錢？」——配圖是 Cisco 遠程代碼執行漏洞 CVE-2026-20045 ，當時已被政府背景黑客 active exploitation （積極利用）。

問題出在下一句話。 cortana9000 同時在另一論壇掛出售價：70,000美元。

論壇用戶 KlopInko 的回復成為當期Roast的標題素材：「 since it's known, it's a 1day exploit 」（既然已經公開，這就是個1日漏洞）。翻譯成人話：你從開口問價的那一刻，這漏洞就開始貶值了。

Trellix研究員的注釋充滿黑色幽默：「 essentially telling cortana9000 that his $70K payday had already started depreciating the moment he opened his mouth 」—— essentially （本質上），這位老兄的7萬美元 payday （發薪日/收益）從他張嘴問價那刻就開始 depreciation （貶值）。

這暴露了地下經濟的一個基本規則：信息即權力，而信息一旦流動，權力就消散。零日漏洞（0-day）的價值建立在「獨家性」上，任何暴露行蹤的行為都會觸發價格崩塌。 cortana9000 的失誤在于混淆了「技術能力」和「商業嗅覺」——能找到高危漏洞是本事，但把 CVE 編號和 active exploitation 狀態同時公開，等于告訴全世界「快來 patch 」。

Fokker在RSA現場打了個比方：「這就像偷了幅名畫，然后發 Instagram 問『這能賣多少』，還定位了自家車庫。」

俄羅斯電網訪問權限：標價低于二手車的戰略資源

DarkForums用戶 patagon 的操作，則屬于另一類「認知失調」。這位賣家試圖出售俄羅斯能源電網的 full domain admin access （完整域管理員權限），標價——低于一輛 used car （二手車）。

Trellix的點評用了個精確的技術術語：「 undervaluing their apparent find by many orders of magnitude 」——把 apparent find （表面上的發現）低估了多個數量級。換句話說，這不是砍價，是認知災難。

這種定價混亂在暗網市場并不罕見。2023年Recorded Future的研究顯示，初始訪問代理（IAB）市場的價格波動極大，同一類權限在不同賣家手中差價可達10倍。 patagon 的問題在于，要么不了解自己手中權限的真實價值，要么——更可能的——這本身就是 scam （騙局）。

「很多所謂『電網訪問權限』其實是蜜罐，或者是已經被 rotated credentials （輪換憑證）的廢棄入口，」Fokker解釋，「但Roast的重點不是打假，而是展示這種荒誕感。你想象一下：一個聲稱能癱瘓國家基礎設施的人，定價策略和賣二手沙發一樣隨意。」

從LockBit查封到「心理戰」：嘲諷作為防御策略

Fokker頻繁提及的 LockBit infrastructure seizure （LockBit基礎設施查封），是理解Roast戰略背景的鑰匙。2024年2月，英國國家犯罪局（NCA）領導的國際執法行動，奪取了LockBit的34臺服務器、200個加密貨幣錢包，以及——最關鍵的——大量內部通信記錄。

執法機構隨后做的件事極具針對性：他們用LockBit自己的 leak site （泄露網站）發布查封公告，模仿該團伙的勒索話術，甚至公布了Khoroshev的真實姓名和照片。這是官方層面的「 roast 」，效果遠超傳統新聞稿。

Trellix的Dark Web Roast可以視為這種策略的民間延伸，但目標受眾不同。執法機構的嘲諷面向公眾和潛在受害者，證明「不可攻破」的神話可破；Roast則面向更隱蔽的群體——正在觀望是否入行的技術新手，以及勒索軟件生態的底層參與者。

「 glamorize 的問題在于，它制造了錯誤的職業想象，」Fokker說，「年輕人看到『巫師蜘蛛』這種名字，看到媒體報道里的神秘黑客形象，可能覺得這是條酷路。我們要做的是解構這種 glamour （魅力/ glamour ），展示真實的地下世界：充滿騙子、內訌、低級錯誤，以及隨時可能把你送進監獄的執法行動。」

這種「祛魅」策略有數據支撐。2023年，Chainalysis追蹤的勒索軟件支付總額同比下降35%，部分歸因于受害者拒絕支付的意愿增強，以及執法打擊的威懾效應。但Fokker認為，文化層面的反擊同樣重要——「當犯罪不再酷， recruitment （招募）就會變難。」

Roast的邊界：嘲諷與情報的鋼絲

每期Roast的免責聲明不是擺設。Trellix團隊清楚，過度娛樂化可能帶來反效果：要么讓真正的受害者感到被輕視，要么無意中為犯罪分子提供 publicity （曝光度/宣傳）。

編輯準則包括：不公布可能幫助模仿者的技術細節；不嘲諷已確認造成人員傷亡的攻擊；保留對「表演型犯罪」和「真實傷害」的區分能力。Fokker強調，「 almost psyops 」（近乎心理戰）的措辭經過斟酌——「我們不是在發動戰爭，只是借用一些戰術原則。」

這種謹慎也體現在命名策略上。Roast欄目本身不會給黑客起新代號，而是沿用已有稱呼，或者直接用 forum handles （論壇用戶名）如 cortana9000 、 patagon 。Fokker解釋：「創造新名字本身就是 glamorize 的一種形式。我們盡量用他們自己選擇的身份，這些名字往往很中二，本身就帶有諷刺效果。」

一個例子是「Scrawny Nuisance」——這個Easterly提議的名字從未被正式采用，但出現在Roast的評論欄里，作為讀者互動的梗。Fokker笑稱：「我們收到了很多投稿，有人建議叫『Basement Energy』，有人說『WiFi Leeches』。這個行業壓抑太久了，需要釋放。」

這種釋放是否有實際效果？量化困難，但存在間接證據。2024年第一季度，Trellix追蹤的「新手黑客論壇」活躍度下降12%，而同期「職業犯罪論壇」的準入門檻（如押金要求、引薦人制度）顯著提高。Fokker的解讀是：底層生態在收縮，「這可能意味著潛在 recruit 在減少，也可能只是市場整合。但Roast的目標之一就是增加入行的心理成本——你得準備好被公開嘲笑。」

當RSA大會的展臺燈光熄滅，Fokker被問到Roast的下一步計劃。他說團隊正在籌備一期特別篇，主題已經確定：「那些試圖勒索安全公司，然后被我們做成案例研究的聰明人。」