前情提要：欧洲刑警组织（Europol）、联邦调查局 （FBI）和罗马尼亚等相关执法机构于 12 月 13 日进行了一项大规模逮捕行动，警方在罗马尼亚东部抓获五名黑客，即近年来涉嫌入侵欧洲和美国境内数万台计算机后肆意传播勒索软件 Cerber 和 CTB Locker。

勒索软件 Cerber 于 2016 年 3 月出现，它以 RaaS 模式为基础获得广泛分布：RaaS 模式允许任何可能的黑客散布恶意软件，从而获取 40％ 的赎金。与大多数勒索软件一样，CTB Locker 和 Cerber 经销商使用的是最常见的攻击载体，比如钓鱼邮件和漏洞利用工具包。

据外媒 12 月 22 日报道，五名黑客中有两人被指控利用勒索软件 Cerber 控制华盛顿 123 台（近 2/3 的）监控摄像机设备。据悉，该起事件发生于美国总统特朗普就职典礼举行前夕，因此引发了美国媒体的骚动。除了欧洲刑警组织之外，美国特勤局目前也在调查这些恶意软件。特工 James Graham 针对这两名罗马尼亚黑客 Isvanca 和 Cismaru 的网络犯罪向美国司法部提供了有关证据。

这两名嫌疑人被指 于 1 月 9 日入侵了 123  台部署在华盛顿哥伦比亚特区警视厅 ( MPDC ) 的监控系统的安全摄像头（总共 187 个），该系统用于华盛顿警方监视华盛顿市的公共空间情况。

为了具体调查攻击情况，今年 1 月 12 日华盛顿警方 IT 人员和秘密服务代理人在确认了一些摄像头处于离线状态的情况下，使用远程桌面协议( RDP )软件连接到一台控制摄像头的服务器上，随后发现该服务器设备运行着许多不常见的软件，其中就包括两个勒索软件变种 Cerber 和 Dharma ，以及文本文件 USA.txt 。据悉，该文本文件中包含 179,616 个电子邮件地址，被用于向目标用户发送垃圾邮件。警方在取证过程中发现与两名黑客有关的邮件帐户 vand.suflete@gmail.com 中带有相同的文本文件。

参与调查的分析师对该邮件账号尤其感兴趣，从其中获得了链接至 Cerber 控制面板的信息，可以断定两名黑客长期租用勒索软件 Cerber 以便感染用户勒索钱财。也正是因为这一邮箱使调查人员成功追踪到黑客 Isvanca 和 Cismaru。

另外调查人员联系了 vand.suflete[at]gmail.com 电子邮件帐户中提到的一些人员和组织，以确定他们的系统是否已经被入侵。相关人员透露，被感染设备中发现的个别目标 IP 被追溯至英国的医疗保健公司，该公司向调查人员证实，其 eXpressApp Framework ( XAF )系统的用户账户已被泄露。

(责任编辑：冬天的宇)