日益頻繁的勒索軟件攻擊引起了人們的關(guān)注，導致一些頂級網(wǎng)絡(luò)論壇在今年早些時候禁止在其平臺上討論勒索軟件活動和進行交易。雖然有些人希望這能夠?qū)账鬈浖M織的能力產(chǎn)生重大影響，但這些禁令只會將他們的非法活動轉(zhuǎn)向地下，使研究機構(gòu)和安全人員更難對其進行監(jiān)控。

 

如果說有什么區(qū)別的話，在這些論壇發(fā)布禁令之后的幾個月里，勒索軟件攻擊比以往任何時候都更加有力和大膽。事實上，勒索軟件是網(wǎng)絡(luò)犯罪經(jīng)濟的生命線，需要采取更加嚴厲的措施來應(yīng)對。協(xié)調(diào)勒索軟件攻擊的團體如今高度專業(yè)化，在很多方面都類似于現(xiàn)代公司結(jié)構(gòu)，其中包括開發(fā)團隊、銷售部門、公關(guān)部門、外部承包商和服務(wù)提供商，他們都從勒索軟件攻擊的非法收益中分一杯羹。他們甚至在與受害者的交流中使用商業(yè)術(shù)語，將受害者稱之為購買數(shù)據(jù)解密服務(wù)的客戶。

 

Akamai公司安全研究員Steve Ragan說，“網(wǎng)絡(luò)犯罪分子的世界與我們的商業(yè)世界類似，只是更黑暗和扭曲。”

 

 

通過查看勒索軟件運營所涉及的內(nèi)容以及團體的組織方式，很容易看出勒索軟件是網(wǎng)絡(luò)犯罪經(jīng)濟的中心。勒索軟件組織通常雇用以下人員：

 

•編寫文件加密程序人員(開發(fā)團隊)

 

•建立和維護支付和泄密站點以及溝通渠道的人員(IT基礎(chǔ)設(shè)施團隊)

 

•在論壇上宣傳勒索軟件服務(wù)的人員(銷售團隊)

 

•與媒體記者溝通、在Twitter上發(fā)布消息，并在他們的博客上發(fā)布公告的人員(公關(guān)和社交媒體團隊)

 

•協(xié)商支付贖金的人員(客戶支持團隊)

 

•在受害者的網(wǎng)絡(luò)上執(zhí)行人工操作黑客攻擊和橫向移動，以部署勒索軟件程序以獲得部分利潤的人員(附屬公司或滲透測試人員的外部承包商)

 

這些團體和人員通常從其他網(wǎng)絡(luò)犯罪分子那里購買進入受害者網(wǎng)絡(luò)的權(quán)限，這些網(wǎng)絡(luò)犯罪分子已經(jīng)用木馬程序或僵尸網(wǎng)絡(luò)或通過竊取的憑據(jù)破壞了安全系統(tǒng)。這些第三方組織稱為網(wǎng)絡(luò)訪問代理。勒索軟件團體還可能購買包含被盜賬戶信息或內(nèi)部轉(zhuǎn)儲的數(shù)據(jù)和信息，這些信息可能有助于目標偵察。垃圾郵件服務(wù)也經(jīng)常被勒索軟件團體使用。

 

換句話說，網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)中的很多方面都通過勒索軟件直接或間接獲利。因此，這些團體變得更加專業(yè)，并與擁有投資者、產(chǎn)品營銷、客戶支持、工作機會、合作伙伴關(guān)系等合法企業(yè)類似，這種情況并不罕見。這是一種多年來逐漸形成的趨勢。

 

安全公司Intel 471公司的首席信息安全官Brandon Hoffman說：“地下網(wǎng)絡(luò)犯罪本質(zhì)上已經(jīng)成為一個經(jīng)濟體，在那里有服務(wù)提供商、產(chǎn)品創(chuàng)造者、金融家、基礎(chǔ)設(shè)施提供商。在這個經(jīng)濟體中，擁有所有這些不同種類的供應(yīng)商和買家。就像在我們的自由市場經(jīng)濟中一樣，因為擁有這些不同類型的服務(wù)提供商和產(chǎn)品提供商很自然地開始走到一起，成立團體以提供一攬子服務(wù)和商品，就像我們在經(jīng)濟運營中所做的那樣。所以，我認為他們正在快速發(fā)展。”

 

Ragan說，“多年來，我們知道網(wǎng)絡(luò)犯罪團體和合法的企業(yè)一樣擁有軟件開發(fā)生命周期，他們有市場營銷、公關(guān)、中層管理人員，也有幫助高級犯罪分子決策的人員，這并不新鮮。只是越來越多的人開始關(guān)注其中的相似之處。”

 

 

多年來，勒索軟件攻擊使許多醫(yī)院、學校、公共服務(wù)機構(gòu)、地方和州政府機構(gòu)甚至警察部門癱瘓，今年5月初對美國最大的成品油管道系統(tǒng)Colonial管道的網(wǎng)絡(luò)攻擊成為一個里程碑式事件。

 

此次泄露事件是一家名為DarkSide的勒索軟件組織造成的，迫使Colonial公司在其57年的經(jīng)營歷史中首次關(guān)閉其輸油管道系統(tǒng)，以防止勒索軟件攻擊其關(guān)鍵控制系統(tǒng)。此次攻擊導致美國東海岸的燃料短缺。該事件引起行業(yè)人士和媒體的廣泛關(guān)注，因為它突出了勒索軟件對關(guān)鍵基礎(chǔ)設(shè)施構(gòu)成的威脅，引發(fā)了關(guān)于此類攻擊是否應(yīng)歸類為恐怖主義活動的爭論。

 

就連DarkSide的運營商也意識了事態(tài)的嚴重性，并宣布對其附屬公司(實際進行黑客攻擊和部署勒索軟件的第三方承包商)進行節(jié)制，聲稱希望在未來避免產(chǎn)生這樣的社會后果，但對于DarkSide的服務(wù)提供商來說，帶來的影響太大了。

 

在此次網(wǎng)絡(luò)攻擊發(fā)生幾天后，網(wǎng)絡(luò)犯罪論壇XSS的管理員宣布禁止平臺上所有與勒索軟件相關(guān)的活動，理由是公關(guān)事件過多，并將執(zhí)法風險提高到“危險級別” 。

 

包括REvil公司在內(nèi)的其他知名勒索軟件集團也立即宣布了類似的政策，并明令禁止攻擊醫(yī)療、教育和政府機構(gòu)，以控制公關(guān)影響。另外兩個大型網(wǎng)絡(luò)犯罪論壇也很快就禁止了勒索活動。

 

隨后，DarkSide公司宣布關(guān)閉，因為該公司無法訪問其博客、支付服務(wù)器、比特幣錢包和其他公共基礎(chǔ)設(shè)施，聲稱其托管服務(wù)提供商僅在執(zhí)法機構(gòu)的要求下做出回應(yīng)。在一個月后，美國聯(lián)邦調(diào)查局宣布設(shè)法追回了440萬美元的加密貨幣，而這是Colonial管道公司被迫支付給黑客以解密其系統(tǒng)并恢復正常運營的贖金。

 

在最主要的網(wǎng)絡(luò)犯罪論壇上禁止勒索軟件活動是一項重大進展，因為多年來，這些論壇一直是勒索軟件組織招募附屬機構(gòu)的主要場所。這些論壇為網(wǎng)絡(luò)犯罪分子之間的公共和私人交流提供了一種簡單的溝通方式，甚至為雙方互不了解和信任的交易提供資金托管服務(wù)。

 

在某種程度上，這些禁令還影響了監(jiān)控這些論壇以收集有關(guān)威脅行為者和新威脅的情報的網(wǎng)絡(luò)安全公司。雖然大多數(shù)網(wǎng)絡(luò)犯罪研究人員都知道論壇禁令并不會從整體上阻止勒索軟件的攻擊，但有些人確實想知道他們的下一步行動。例如，他們會遷移到其他論壇嗎?他們會建立自己的網(wǎng)站用于廣告和與附屬公司的溝通嗎?他們會轉(zhuǎn)向像Jabber或Telegram這樣的實時聊天程序嗎?

 

Ragan說：“這樣做的目的是將這些討論轉(zhuǎn)移到其他私人團體。他們并不會消失，他們所做的就是遠離公眾視線。在以往很長的一段時間里，人們在論壇上可以看到他們的人員招聘、業(yè)務(wù)發(fā)展、討論主題，以及他們正在開發(fā)什么樣的功能。而現(xiàn)在這一切都過去了，人們無法預測未來的變化。不幸的是，這意味著人們不會知道新的勒索軟件變種或增加的新功能，直到出現(xiàn)新的受害者。”

 

事件響應(yīng)和數(shù)字取證服務(wù)商LIFARS公司創(chuàng)始人兼首席執(zhí)行官Ondrej Krehel表示，勒索軟件活動并未受到論壇禁令的影響，因為參與此類活動的大多數(shù)參與者已經(jīng)通過Telegram和Threema上的私人團體進行溝通和交流，這已經(jīng)有兩三年的時間。

 

作為營銷工作的一部分，這些論壇上仍然有一些吸引力，但如果有人真的想得到更具體的東西，則必須已經(jīng)成為這些團體的一部分，有些人需要支付與已知網(wǎng)絡(luò)犯罪活動有關(guān)的比特幣進行證明自己的身份。Krehel說，“勒索軟件攻擊事件將會繼續(xù)增長。”

 

 

如今，每隔幾個月就有一家知名勒索軟件集團宣布將中止業(yè)務(wù)運營。上個月是Avaddon公司，DarkSide在此之前宣布解散。而當他們決定解散或中止業(yè)務(wù)運營時，通常會釋放他們的主密鑰，這可能為一些尚未支付贖金或從備份中恢復其文件的受害者提供幫助，但這些團隊背后的網(wǎng)絡(luò)罪犯并不會真正從其生態(tài)系統(tǒng)中消失或者被捕入獄。他們只是轉(zhuǎn)移到其他團體或改變角色，例如成為勒索軟件運營經(jīng)理或投資者。

 

Ragan將其與使用空殼公司籌集資金的傳統(tǒng)犯罪分子進行比較，這樣的公司的犯罪行為在引起人們的關(guān)注時則迅速解散。他說，“幾乎每次都是這樣，他們習慣于成立空殼公司，并致力將其用于邪惡手段。”

 

Krehel指出，勒索軟件團體的生命周期通常在兩年左右，因為他們明白可能會受到更多關(guān)注，尤其是他們可能獲得成功的情況下，最好的辦法就是關(guān)閉并創(chuàng)建新團體。他表示，也許有些成員退出之后成為其他團體的風險投資家，但這種洗牌帶來更多混亂，使執(zhí)法部門更難查清所有參與者。

 

勒索軟件的投資回報率非常好，以至于越來越多的網(wǎng)絡(luò)犯罪分子參與其中。這就是與其他形式的網(wǎng)絡(luò)犯罪團體(例如信用卡盜竊或入侵銀行)開始采用勒索軟件作為收入來源或與勒索軟件團伙合作的原因。

 

Ragan說，“這些團體已經(jīng)轉(zhuǎn)移業(yè)務(wù)并與勒索軟件團體合并或結(jié)成聯(lián)盟。從字面上看，這類似于現(xiàn)實世界的合并和收購。他們可能從其他團體那里獲得了人才，現(xiàn)在他們正在開發(fā)自己的勒索軟件，或者他們獲得了附屬程序并將其合并。”

 

Hoffman說，“很明顯，這些新團體的一些成員很可能來自舊群體，例如Maze、Egregor、REvil都進行了拆分，并創(chuàng)建了新的團體，例如Astra Locker和LV等。雖然它們并不都是相關(guān)的，但新群體和舊群體之間有很多聯(lián)系。”

 

一些新的團隊也可能招募新的業(yè)務(wù)人員，并為他們提供一個獲得更多勒索軟件使用經(jīng)驗的平臺。

 

Krehel說，“現(xiàn)在還存在一個可供雇用網(wǎng)絡(luò)犯罪分子的生態(tài)系統(tǒng)，這些人沒有相關(guān)的犯罪記錄，他們在實施了成功的攻擊之后而沒有被捕。這些人將他們的專業(yè)知識添加到他們的犯罪履歷中，并且受到犯罪團伙的信任。這些成員也經(jīng)常更換團體。這就像谷歌和Facebook等大公司一樣，其員工也在不斷地更換工作。”

 

 

網(wǎng)絡(luò)犯罪分子不會輕易放棄勒索軟件攻擊，因為利潤太高，而惡意軟件創(chuàng)造者和網(wǎng)絡(luò)罪犯都知道這是一條不成文的規(guī)則：不要以本地公司為攻擊目標。

 

繼在今年7月又一次備受矚目的勒索軟件攻擊影響了來自世界各地的1000多家公司之后，美國政府與俄羅斯政府進行了會談，并宣布在網(wǎng)絡(luò)攻擊問題上開展合作，并暗示美國準備對勒索軟件攻擊中使用的服務(wù)器進行打擊報復。在此之后，Kaseya公司(其軟件遭到黑客攻擊并被用于傳播勒索軟件)從一個未披露但被稱為可信第三方的來源收到了主解密密鑰。

 

一些國家的執(zhí)法機構(gòu)將采取行動阻止勒索軟件團體的攻擊，并在他們造成更大危害之前阻止網(wǎng)絡(luò)攻擊。

 

Ragan說，“如果政府機構(gòu)將勒索軟件團伙作為主要打擊目標，那么這些團伙可能無能為力。這些網(wǎng)絡(luò)犯罪分子有一種現(xiàn)實的恐懼，我認為這就是造成這些團隊匆忙解散的原因。”

 

Hoffman認為，各國政府可以為企業(yè)的安全提供政策支持，通過提供基礎(chǔ)設(shè)施用于打擊商業(yè)犯罪，在這種情況下，可能為企業(yè)的安全減少一些壓力。

 

Hoffman表示，網(wǎng)絡(luò)犯罪分子通常并不會與政府機構(gòu)對抗。他說，“因此，如果政府動用更多的力量來打擊網(wǎng)絡(luò)犯罪，這些網(wǎng)絡(luò)犯罪論壇和運營商并不想得到這樣的結(jié)果，這可能會對他們產(chǎn)生重大的影響。”

 

版權(quán)聲明：本文為企業(yè)網(wǎng)D1Net編譯，轉(zhuǎn)載需注明出處為：企業(yè)網(wǎng)D1Net，如果不注明出處，企業(yè)網(wǎng)D1Net將保留追究其法律責任的權(quán)利。