今天，美國安全公司 Carbon Black 發(fā)布了最新的勒索軟件調(diào)查報告，和去年相比，暗網(wǎng)經(jīng)濟中勒索軟件的市場規(guī)模猛增了2502%。

技術(shù)門檻減低，Ransomware-as-a-Service（RaaS）的興起，高回報，低風(fēng)險（Tor ，虛擬貨幣可以很好的隱藏自己的身份），缺乏對受害者的基礎(chǔ)安全保護，無一不促進了勒索軟件市場的“興旺繁榮”。

去年，大多數(shù)安全專家都預(yù)測勒索軟件將會在網(wǎng)絡(luò)犯罪中起到越來越重要的作用，而這份報告正好驗證了這一點。

暗網(wǎng)市場中，研究人員發(fā)現(xiàn)了 45000 個勒索軟件

為了收集報告中用到的相關(guān)數(shù)據(jù)，Car Black 的研究人員調(diào)查了暗網(wǎng)中售賣的勒索軟件和相關(guān)服務(wù)。

今年 7 月到 9 月，研究人員調(diào)查了 21個大型的暗網(wǎng)交易市場，得出了驚人的結(jié)論，有近 6300個網(wǎng)站都在打廣告售賣勒索軟件和相關(guān)服務(wù)，廣告總數(shù)超過了 45000個。而且價格跨度也非常大，從 1 美元到 3000 美元都有，但這是由于惡意軟件作者使用不同的收費模式造成的，有些按單個軟件定價，有些按月訂購或按年訂購。

比較 2016 年和 2017 年至今，暗網(wǎng)中的勒索軟件市場規(guī)模已經(jīng)從 249287.05 美元漲到了 6237248.90 美元，增長率高達 2502% 。FBI 提供的數(shù)據(jù)也表示，2016 年的勒索贖金總額約為 1 億美元，高于 2015 年的 2400 萬美元。

RaaS 為勒索市場的主要推力

根據(jù) Carbon Black 的報告可以看出，暗網(wǎng)經(jīng)濟其實十分復(fù)雜。舉個例子，有人提供 RaaS（Ransomware-as-a-Service），它可以提供一體化的全套服務(wù)，而有的人會提供一些限制性的服務(wù)，還有人僅僅只是提供勒索軟件。

一體化的 RaaS 本身就是一條完善的勒索鏈，其中集成了分發(fā)通道（攻擊套件，spam 僵尸網(wǎng)絡(luò)等）；可以對比特幣勒索進行管理的支付模式；對文件的加密與解鎖，還有對用戶的技術(shù)支持，所有的這些都集成在一個簡單的 web 后臺面板中。

限制性服務(wù)對比一體化 RaaS 而言，就少了很多功能，通常定價也并不是很高。

總的來說，對于賣家來說做的事情還是很少的——惡意軟件的開發(fā)者僅僅只是售賣整個勒索軟件鏈，剩下怎么發(fā)揮，就交給買家了。

地下產(chǎn)業(yè)愈加成熟

地下的勒索軟件經(jīng)濟已趨于成熟，和現(xiàn)有的軟件商業(yè)模式類似，包括開發(fā)，售后，分發(fā)，經(jīng)銷，質(zhì)保等各個環(huán)節(jié)。整個勒索軟件行業(yè)越來越像一個合法的行業(yè)。

擺在眼前的現(xiàn)實是，由于存在高利潤，勒索軟件行業(yè)正在快速增長。如何削弱其盈利能力就顯得尤為重要。Carbon Black 將整個行業(yè)分為5大點：開發(fā)，分發(fā)，加密，支付，指揮和控制。安全從業(yè)者如果可以打掉整個環(huán)節(jié)或者其中一個點，整條攻擊鏈就會分崩離析。

著眼于軟件開發(fā)環(huán)節(jié)是不可能的，當(dāng)年輕的開發(fā)人員在合法工作上獲得的收益不高時，他們就會通過開發(fā)勒索軟件牟利；分發(fā)環(huán)節(jié)同樣難以打破，因為整個市場都是隱藏在暗網(wǎng)之下的；加密同樣不可控制，在公開領(lǐng)域可以很輕松的獲得加密系統(tǒng)；而付款就是最弱的環(huán)節(jié)了，整個供應(yīng)鏈的目的就是為了收取贖金——但是如果贖金的支付變得不方便了，整個行業(yè)就會崩塌。

報道中表示，我們需要停止支付贖金，只有受害者選擇支付贖金，整個行業(yè)才可以正常運轉(zhuǎn)。人們?nèi)绻恢边x擇支付贖金的話，這樣的問題還會越來越嚴重。不過，如果某個國家或目標(biāo)行業(yè)有足夠的人都拒絕支付贖金的話，犯罪分子很可能會換個地方繼續(xù)作惡。拒絕支付贖金并不能根本解決問題，它只是將問題轉(zhuǎn)移到別的地方。

在此背景下，勒索軟件行業(yè)還將繼續(xù)發(fā)展。到目前為止，勒索軟件行業(yè)已經(jīng)很大程度上掌握在那些技術(shù)并不是很高明的人手中，軟件復(fù)雜性再也不是成功的必要條件。報告中也談到了這種變化，WannaCry 和 NotPetya 就是很明顯的例子，前者并不復(fù)雜，而后者也并不是專門為了加密文件而產(chǎn)生的。無論怎樣，利用 NSA 泄露的工具逐漸變成一個新的趨勢。

加密可能只是為了更好的隱蔽自己

然而 Carbon Black 在隨后的報告中也指出，這種勒索手段或許只是一種煙霧彈，使用已經(jīng)存在的技術(shù)刪除計算機備份（文件備份，Windows 事件記錄）攻擊者可以讓防衛(wèi)者更專注與事件響應(yīng)，想方設(shè)法去解密上鎖的文件而不是去調(diào)查攻擊者的相關(guān)數(shù)據(jù)和憑證。這些勒索軟件越將注意力放在加密文件上，就越可以幫助攻擊者隱藏自己的行蹤。

這些就是報告中提到的整個勒索軟件發(fā)展的現(xiàn)狀：一方面勒索軟件可能會集中在真正有技術(shù)的開發(fā)者手中，另一方面是在識別哪些受害者會支付贖金這件事上下功夫，這兩方面的結(jié)合就是人和產(chǎn)品的結(jié)合。

并且這些惡意軟件開發(fā)者會使用更先進更持久的的技術(shù)，在對受害者進行解密后仍存留在受害者的網(wǎng)路上，從而以后找機會進行二次敲詐。

勒索軟件開發(fā)者年收入高達 10 萬美元

如此龐大的市場對于每個人都是開放的，Carbon Black 的報告中顯示，勒索軟件開發(fā)者的年收入高達 10 萬美元，這已經(jīng)超過了正常的軟件開發(fā)人員的收入（69000 美元）。

這種差距在東歐國家更加明顯，這里被稱作惡意軟件的發(fā)源地，暗網(wǎng)中對勒索軟件銷售額從 2016 的 40 萬美元飆升到 625 萬美元。

當(dāng)然，報告中并沒有包含深網(wǎng)和 XMPP spam中的售賣數(shù)據(jù)。

關(guān)于更多勒索軟件市場調(diào)查的詳細信息，請點擊這里下載。