研究表明，勒索軟件團(tuán)伙正在采用企業(yè)的所有核心要素進(jìn)行攻擊，其中包括員工角色、營(yíng)銷(xiāo)計(jì)劃、合作伙伴生態(tài)系統(tǒng)，甚至風(fēng)險(xiǎn)資本投資。

日益頻繁的勒索軟件攻擊引起了人們的關(guān)注，導(dǎo)致一些頂級(jí)網(wǎng)絡(luò)論壇在今年早些時(shí)候禁止在其平臺(tái)上討論勒索軟件活動(dòng)和進(jìn)行交易。雖然有些人希望這能夠?qū)账鬈浖M織的能力產(chǎn)生重大影響，但這些禁令只會(huì)將他們的非法活動(dòng)轉(zhuǎn)向地下，使研究機(jī)構(gòu)和安全人員更難對(duì)其進(jìn)行監(jiān)控。

如果說(shuō)有什么區(qū)別的話(huà)，在這些論壇發(fā)布禁令之后的幾個(gè)月里，勒索軟件攻擊比以往任何時(shí)候都更加有力和大膽。事實(shí)上，勒索軟件是網(wǎng)絡(luò)犯罪經(jīng)濟(jì)的生命線(xiàn)，需要采取更加嚴(yán)厲的措施來(lái)應(yīng)對(duì)。協(xié)調(diào)勒索軟件攻擊的團(tuán)體如今高度專(zhuān)業(yè)化，在很多方面都類(lèi)似于現(xiàn)代公司結(jié)構(gòu)，其中包括開(kāi)發(fā)團(tuán)隊(duì)、銷(xiāo)售部門(mén)、公關(guān)部門(mén)、外部承包商和服務(wù)提供商，他們都從勒索軟件攻擊的非法收益中分一杯羹。他們甚至在與受害者的交流中使用商業(yè)術(shù)語(yǔ)，將受害者稱(chēng)之為購(gòu)買(mǎi)數(shù)據(jù)解密服務(wù)的客戶(hù)。

Akamai公司安全研究員Steve Ragan說(shuō)，“網(wǎng)絡(luò)犯罪分子的世界與我們的商業(yè)世界類(lèi)似，只是更黑暗和扭曲?！?br/>

依賴(lài)?yán)账鬈浖牡叵陆?jīng)濟(jì)

通過(guò)查看勒索軟件運(yùn)營(yíng)所涉及的內(nèi)容以及團(tuán)體的組織方式，很容易看出勒索軟件是網(wǎng)絡(luò)犯罪經(jīng)濟(jì)的中心。勒索軟件組織通常雇用以下人員：

  . 編寫(xiě)文件加密程序人員(開(kāi)發(fā)團(tuán)隊(duì))
  . 建立和維護(hù)支付和泄密站點(diǎn)以及溝通渠道的人員(IT基礎(chǔ)設(shè)施團(tuán)隊(duì))
  . 在論壇上宣傳勒索軟件服務(wù)的人員(銷(xiāo)售團(tuán)隊(duì))
  . 與媒體記者溝通、在Twitter上發(fā)布消息，并在他們的博客上發(fā)布公告的人員(公關(guān)和社交媒體團(tuán)隊(duì))
  . 協(xié)商支付贖金的人員(客戶(hù)支持團(tuán)隊(duì))
  . 在受害者的網(wǎng)絡(luò)上執(zhí)行人工操作黑客攻擊和橫向移動(dòng)，以部署勒索軟件程序以獲得部分利潤(rùn)的人員(附屬公司或滲透測(cè)試人員的外部承包商)

這些團(tuán)體和人員通常從其他網(wǎng)絡(luò)犯罪分子那里購(gòu)買(mǎi)進(jìn)入受害者網(wǎng)絡(luò)的權(quán)限，這些網(wǎng)絡(luò)犯罪分子已經(jīng)用木馬程序或僵尸網(wǎng)絡(luò)或通過(guò)竊取的憑據(jù)破壞了安全系統(tǒng)。這些第三方組織稱(chēng)為網(wǎng)絡(luò)訪(fǎng)問(wèn)代理。勒索軟件團(tuán)體還可能購(gòu)買(mǎi)包含被盜賬戶(hù)信息或內(nèi)部轉(zhuǎn)儲(chǔ)的數(shù)據(jù)和信息，這些信息可能有助于目標(biāo)偵察。垃圾郵件服務(wù)也經(jīng)常被勒索軟件團(tuán)體使用。

換句話(huà)說(shuō)，網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)中的很多方面都通過(guò)勒索軟件直接或間接獲利。因此，這些團(tuán)體變得更加專(zhuān)業(yè)，并與擁有投資者、產(chǎn)品營(yíng)銷(xiāo)、客戶(hù)支持、工作機(jī)會(huì)、合作伙伴關(guān)系等合法企業(yè)類(lèi)似，這種情況并不罕見(jiàn)。這是一種多年來(lái)逐漸形成的趨勢(shì)。

安全公司Intel 471公司的首席信息安全官Brandon Hoffman說(shuō)：“地下網(wǎng)絡(luò)犯罪本質(zhì)上已經(jīng)成為一個(gè)經(jīng)濟(jì)體，在那里有服務(wù)提供商、產(chǎn)品創(chuàng)造者、金融家、基礎(chǔ)設(shè)施提供商。在這個(gè)經(jīng)濟(jì)體中，擁有所有這些不同種類(lèi)的供應(yīng)商和買(mǎi)家。就像在我們的自由市場(chǎng)經(jīng)濟(jì)中一樣，因?yàn)閾碛羞@些不同類(lèi)型的服務(wù)提供商和產(chǎn)品提供商很自然地開(kāi)始走到一起，成立團(tuán)體以提供一攬子服務(wù)和商品，就像我們?cè)诮?jīng)濟(jì)運(yùn)營(yíng)中所做的那樣。所以，我認(rèn)為他們正在快速發(fā)展?！?br/>

Ragan說(shuō)，“多年來(lái)，我們知道網(wǎng)絡(luò)犯罪團(tuán)體和合法的企業(yè)一樣擁有軟件開(kāi)發(fā)生命周期，他們有市場(chǎng)營(yíng)銷(xiāo)、公關(guān)、中層管理人員，也有幫助高級(jí)犯罪分子決策的人員，這并不新鮮。只是越來(lái)越多的人開(kāi)始關(guān)注其中的相似之處?！?/p>

勒索軟件集團(tuán)靈活多變，破壞力越來(lái)越大

多年來(lái)，勒索軟件攻擊使許多醫(yī)院、學(xué)校、公共服務(wù)機(jī)構(gòu)、地方和州政府機(jī)構(gòu)甚至警察部門(mén)癱瘓，今年5月初對(duì)美國(guó)最大的成品油管道系統(tǒng)Colonial管道的網(wǎng)絡(luò)攻擊成為一個(gè)里程碑式事件。

此次泄露事件是一家名為DarkSide的勒索軟件組織造成的，迫使Colonial公司在其57年的經(jīng)營(yíng)歷史中首次關(guān)閉其輸油管道系統(tǒng)，以防止勒索軟件攻擊其關(guān)鍵控制系統(tǒng)。此次攻擊導(dǎo)致美國(guó)東海岸的燃料短缺。該事件引起行業(yè)人士和媒體的廣泛關(guān)注，因?yàn)樗怀隽死账鬈浖?duì)關(guān)鍵基礎(chǔ)設(shè)施構(gòu)成的威脅，引發(fā)了關(guān)于此類(lèi)攻擊是否應(yīng)歸類(lèi)為恐怖主義活動(dòng)的爭(zhēng)論。

就連DarkSide的運(yùn)營(yíng)商也意識(shí)了事態(tài)的嚴(yán)重性，并宣布對(duì)其附屬公司(實(shí)際進(jìn)行黑客攻擊和部署勒索軟件的第三方承包商)進(jìn)行節(jié)制，聲稱(chēng)希望在未來(lái)避免產(chǎn)生這樣的社會(huì)后果，但對(duì)于DarkSide的服務(wù)提供商來(lái)說(shuō)，帶來(lái)的影響太大了。

在此次網(wǎng)絡(luò)攻擊發(fā)生幾天后，網(wǎng)絡(luò)犯罪論壇XSS的管理員宣布禁止平臺(tái)上所有與勒索軟件相關(guān)的活動(dòng)，理由是公關(guān)事件過(guò)多，并將執(zhí)法風(fēng)險(xiǎn)提高到“危險(xiǎn)級(jí)別” 。

包括REvil公司在內(nèi)的其他知名勒索軟件集團(tuán)也立即宣布了類(lèi)似的政策，并明令禁止攻擊醫(yī)療、教育和政府機(jī)構(gòu)，以控制公關(guān)影響。另外兩個(gè)大型網(wǎng)絡(luò)犯罪論壇也很快就禁止了勒索活動(dòng)。

隨后，DarkSide公司宣布關(guān)閉，因?yàn)樵摴緹o(wú)法訪(fǎng)問(wèn)其博客、支付服務(wù)器、比特幣錢(qián)包和其他公共基礎(chǔ)設(shè)施，聲稱(chēng)其托管服務(wù)提供商僅在執(zhí)法機(jī)構(gòu)的要求下做出回應(yīng)。在一個(gè)月后，美國(guó)聯(lián)邦調(diào)查局宣布設(shè)法追回了440萬(wàn)美元的加密貨幣，而這是Colonial管道公司被迫支付給黑客以解密其系統(tǒng)并恢復(fù)正常運(yùn)營(yíng)的贖金。

在最主要的網(wǎng)絡(luò)犯罪論壇上禁止勒索軟件活動(dòng)是一項(xiàng)重大進(jìn)展，因?yàn)槎嗄陙?lái)，這些論壇一直是勒索軟件組織招募附屬機(jī)構(gòu)的主要場(chǎng)所。這些論壇為網(wǎng)絡(luò)犯罪分子之間的公共和私人交流提供了一種簡(jiǎn)單的溝通方式，甚至為雙方互不了解和信任的交易提供資金托管服務(wù)。

在某種程度上，這些禁令還影響了監(jiān)控這些論壇以收集有關(guān)威脅行為者和新威脅的情報(bào)的網(wǎng)絡(luò)安全公司。雖然大多數(shù)網(wǎng)絡(luò)犯罪研究人員都知道論壇禁令并不會(huì)從整體上阻止勒索軟件的攻擊，但有些人確實(shí)想知道他們的下一步行動(dòng)。例如，他們會(huì)遷移到其他論壇嗎?他們會(huì)建立自己的網(wǎng)站用于廣告和與附屬公司的溝通嗎?他們會(huì)轉(zhuǎn)向像Jabber或Telegram這樣的實(shí)時(shí)聊天程序嗎?

Ragan說(shuō)：“這樣做的目的是將這些討論轉(zhuǎn)移到其他私人團(tuán)體。他們并不會(huì)消失，他們所做的就是遠(yuǎn)離公眾視線(xiàn)。在以往很長(zhǎng)的一段時(shí)間里，人們?cè)谡搲峡梢钥吹剿麄兊娜藛T招聘、業(yè)務(wù)發(fā)展、討論主題，以及他們正在開(kāi)發(fā)什么樣的功能。而現(xiàn)在這一切都過(guò)去了，人們無(wú)法預(yù)測(cè)未來(lái)的變化。不幸的是，這意味著人們不會(huì)知道新的勒索軟件變種或增加的新功能，直到出現(xiàn)新的受害者?！?br/>

事件響應(yīng)和數(shù)字取證服務(wù)商LIFARS公司創(chuàng)始人兼首席執(zhí)行官Ondrej Krehel表示，勒索軟件活動(dòng)并未受到論壇禁令的影響，因?yàn)閰⑴c此類(lèi)活動(dòng)的大多數(shù)參與者已經(jīng)通過(guò)Telegram和Threema上的私人團(tuán)體進(jìn)行溝通和交流，這已經(jīng)有兩三年的時(shí)間。

作為營(yíng)銷(xiāo)工作的一部分，這些論壇上仍然有一些吸引力，但如果有人真的想得到更具體的東西，則必須已經(jīng)成為這些團(tuán)體的一部分，有些人需要支付與已知網(wǎng)絡(luò)犯罪活動(dòng)有關(guān)的比特幣進(jìn)行證明自己的身份。Krehel說(shuō)，“勒索軟件攻擊事件將會(huì)繼續(xù)增長(zhǎng)?！?br/>

網(wǎng)絡(luò)犯罪分子退出只是轉(zhuǎn)變成不同的角色

如今，每隔幾個(gè)月就有一家知名勒索軟件集團(tuán)宣布將中止業(yè)務(wù)運(yùn)營(yíng)。上個(gè)月是Avaddon公司，DarkSide在此之前宣布解散。而當(dāng)他們決定解散或中止業(yè)務(wù)運(yùn)營(yíng)時(shí)，通常會(huì)釋放他們的主密鑰，這可能為一些尚未支付贖金或從備份中恢復(fù)其文件的受害者提供幫助，但這些團(tuán)隊(duì)背后的網(wǎng)絡(luò)罪犯并不會(huì)真正從其生態(tài)系統(tǒng)中消失或者被捕入獄。他們只是轉(zhuǎn)移到其他團(tuán)體或改變角色，例如成為勒索軟件運(yùn)營(yíng)經(jīng)理或投資者。

Ragan將其與使用空殼公司籌集資金的傳統(tǒng)犯罪分子進(jìn)行比較，這樣的公司的犯罪行為在引起人們的關(guān)注時(shí)則迅速解散。他說(shuō)，“幾乎每次都是這樣，他們習(xí)慣于成立空殼公司，并致力將其用于邪惡手段?！?br/>

Krehel指出，勒索軟件團(tuán)體的生命周期通常在兩年左右，因?yàn)樗麄兠靼卓赡軙?huì)受到更多關(guān)注，尤其是他們可能獲得成功的情況下，最好的辦法就是關(guān)閉并創(chuàng)建新團(tuán)體。他表示，也許有些成員退出之后成為其他團(tuán)體的風(fēng)險(xiǎn)投資家，但這種洗牌帶來(lái)更多混亂，使執(zhí)法部門(mén)更難查清所有參與者。

勒索軟件的投資回報(bào)率非常好，以至于越來(lái)越多的網(wǎng)絡(luò)犯罪分子參與其中。這就是與其他形式的網(wǎng)絡(luò)犯罪團(tuán)體(例如信用卡盜竊或入侵銀行)開(kāi)始采用勒索軟件作為收入來(lái)源或與勒索軟件團(tuán)伙合作的原因。

Ragan說(shuō)，“這些團(tuán)體已經(jīng)轉(zhuǎn)移業(yè)務(wù)并與勒索軟件團(tuán)體合并或結(jié)成聯(lián)盟。從字面上看，這類(lèi)似于現(xiàn)實(shí)世界的合并和收購(gòu)。他們可能從其他團(tuán)體那里獲得了人才，現(xiàn)在他們正在開(kāi)發(fā)自己的勒索軟件，或者他們獲得了附屬程序并將其合并。”

Hoffman說(shuō)，“很明顯，這些新團(tuán)體的一些成員很可能來(lái)自舊群體，例如Maze、Egregor、REvil都進(jìn)行了拆分，并創(chuàng)建了新的團(tuán)體，例如Astra Locker和LV等。雖然它們并不都是相關(guān)的，但新群體和舊群體之間有很多聯(lián)系?！?br/>

一些新的團(tuán)隊(duì)也可能招募新的業(yè)務(wù)人員，并為他們提供一個(gè)獲得更多勒索軟件使用經(jīng)驗(yàn)的平臺(tái)。

Krehel說(shuō)，“現(xiàn)在還存在一個(gè)可供雇用網(wǎng)絡(luò)犯罪分子的生態(tài)系統(tǒng)，這些人沒(méi)有相關(guān)的犯罪記錄，他們?cè)趯?shí)施了成功的攻擊之后而沒(méi)有被捕。這些人將他們的專(zhuān)業(yè)知識(shí)添加到他們的犯罪履歷中，并且受到犯罪團(tuán)伙的信任。這些成員也經(jīng)常更換團(tuán)體。這就像谷歌和Facebook等大公司一樣，其員工也在不斷地更換工作。”

可能需要采取的行動(dòng)和措施

網(wǎng)絡(luò)犯罪分子不會(huì)輕易放棄勒索軟件攻擊，因?yàn)槔麧?rùn)太高，而惡意軟件創(chuàng)造者和網(wǎng)絡(luò)罪犯都知道這是一條不成文的規(guī)則：不要以本地公司為攻擊目標(biāo)。

繼在今年7月又一次備受矚目的勒索軟件攻擊影響了來(lái)自世界各地的1000多家公司之后，美國(guó)政府與俄羅斯政府進(jìn)行了會(huì)談，并宣布在網(wǎng)絡(luò)攻擊問(wèn)題上開(kāi)展合作，并暗示美國(guó)準(zhǔn)備對(duì)勒索軟件攻擊中使用的服務(wù)器進(jìn)行打擊報(bào)復(fù)。在此之后，Kaseya公司(其軟件遭到黑客攻擊并被用于傳播勒索軟件)從一個(gè)未披露但被稱(chēng)為可信第三方的來(lái)源收到了主解密密鑰。

一些國(guó)家的執(zhí)法機(jī)構(gòu)將采取行動(dòng)阻止勒索軟件團(tuán)體的攻擊，并在他們?cè)斐筛笪：χ白柚咕W(wǎng)絡(luò)攻擊。

Ragan說(shuō)，“如果政府機(jī)構(gòu)將勒索軟件團(tuán)伙作為主要打擊目標(biāo)，那么這些團(tuán)伙可能無(wú)能為力。這些網(wǎng)絡(luò)犯罪分子有一種現(xiàn)實(shí)的恐懼，我認(rèn)為這就是造成這些團(tuán)隊(duì)匆忙解散的原因?！?br/>
Hoffman認(rèn)為，各國(guó)政府可以為企業(yè)的安全提供政策支持，通過(guò)提供基礎(chǔ)設(shè)施用于打擊商業(yè)犯罪，在這種情況下，可能為企業(yè)的安全減少一些壓力。

Hoffman表示，網(wǎng)絡(luò)犯罪分子通常并不會(huì)與政府機(jī)構(gòu)對(duì)抗。他說(shuō)，“因此，如果政府動(dòng)用更多的力量來(lái)打擊網(wǎng)絡(luò)犯罪，這些網(wǎng)絡(luò)犯罪論壇和運(yùn)營(yíng)商并不想得到這樣的結(jié)果，這可能會(huì)對(duì)他們產(chǎn)生重大的影響?！?br/>

及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢(shì) 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門(mén)】免費(fèi)試用

本文來(lái)源:51cto.com

如涉及侵權(quán)，請(qǐng)及時(shí)與我們聯(lián)系，我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話(huà)：400-869-9193 負(fù)責(zé)人：張明