信息化觀察網(wǎng)

企業(yè)正在經(jīng)歷數(shù)字化轉(zhuǎn)型，犯罪也是如此。

如今，地下網(wǎng)絡(luò)犯罪經(jīng)濟(jì)正在經(jīng)歷工業(yè)化浪潮，前所未有地蓬勃發(fā)展。

網(wǎng)絡(luò)犯罪已經(jīng)成為一個(gè)巨大的“產(chǎn)業(yè)“，隨著公司和消費(fèi)者在數(shù)字世界投入數(shù)萬(wàn)億美元，全球的犯罪分子都在積極進(jìn)軍網(wǎng)絡(luò)。

世界經(jīng)濟(jì)論壇2020全球風(fēng)險(xiǎn)報(bào)告：全球風(fēng)險(xiǎn)關(guān)系圖（紫色為技術(shù)風(fēng)險(xiǎn)）

世界經(jīng)濟(jì)論壇（WEF）的《2020年全球風(fēng)險(xiǎn)報(bào)告》指出，網(wǎng)絡(luò)犯罪將是未來(lái)十年（至2030年）全球商業(yè)中第二大最受關(guān)注的風(fēng)險(xiǎn)。它也是最有可能發(fā)生的第七大，第八大風(fēng)險(xiǎn)，網(wǎng)絡(luò)安全的賭注從未如此高。企業(yè)的收入，利潤(rùn)和品牌聲譽(yù)都已“在線“；關(guān)鍵任務(wù)基礎(chǔ)架構(gòu)正面臨威脅；各國(guó)之間正在相互進(jìn)行網(wǎng)絡(luò)戰(zhàn)和網(wǎng)絡(luò)間諜活動(dòng)。

放眼世界：沃爾瑪擁有美國(guó)最大的公司收益，去年創(chuàng)造了驚人的5,140億美元收入。但是，網(wǎng)絡(luò)犯罪的收入是其12倍。兩者都出售各種各樣的產(chǎn)品和服務(wù)。實(shí)際上，就收益而言，網(wǎng)絡(luò)犯罪甚至使特斯拉，F(xiàn)acebook，微軟，蘋(píng)果，亞馬遜和沃爾瑪蒙羞。全球網(wǎng)絡(luò)犯罪的合并年總收入“僅”為1.28萬(wàn)億美元。

網(wǎng)絡(luò)犯罪市場(chǎng)已經(jīng)細(xì)分出多個(gè)種類(lèi)，因?yàn)椴环ǚ肿訒?huì)聚集在秘密的，專(zhuān)有的討論區(qū)中，以避免躲避司法審查，他們開(kāi)發(fā)的網(wǎng)絡(luò)犯罪服務(wù)組合包括分布式拒絕服務(wù)（DDoS）攻擊、意軟件、網(wǎng)絡(luò)釣魚(yú)活動(dòng)，特洛伊木馬和大量被盜數(shù)據(jù)集的所有內(nèi)容，所有愿意為此付費(fèi)的人都可以使用。

網(wǎng)絡(luò)犯罪正在經(jīng)歷一次全球范圍的工業(yè)化“革命”，網(wǎng)絡(luò)犯罪組織們開(kāi)始提供“正規(guī)”公司所做的一切：產(chǎn)品開(kāi)發(fā)，技術(shù)支持，分銷(xiāo)，質(zhì)量保證甚至客戶(hù)服務(wù)。網(wǎng)絡(luò)犯罪分子搶劫然后出售新技術(shù)或秘密戰(zhàn)略計(jì)劃，這將使他們的買(mǎi)家在競(jìng)爭(zhēng)者中占優(yōu)勢(shì)。黑客竊取軍事機(jī)密，可再生能源創(chuàng)新知識(shí)產(chǎn)權(quán)等高價(jià)值信息。

網(wǎng)絡(luò)犯罪的協(xié)作化和團(tuán)隊(duì)化

2020網(wǎng)絡(luò)犯罪組織關(guān)系圖 來(lái)源：Crowdstrike

網(wǎng)絡(luò)犯罪比諸如搶劫銀行等傳統(tǒng)犯罪的風(fēng)險(xiǎn)更低。實(shí)際上，根據(jù)世界經(jīng)濟(jì)論壇的數(shù)據(jù)，在美國(guó)，逮捕網(wǎng)絡(luò)犯罪分子并將其遞解法庭的可能性低至0.05％。

擁有一支穩(wěn)定團(tuán)隊(duì)且“業(yè)務(wù)“廣泛的網(wǎng)絡(luò)犯罪分子的收入比傳統(tǒng)犯罪分子高大約10％至15％。但是，不同的黑客的收入存在巨大的差異。這取決于工作內(nèi)容，承擔(dān)的風(fēng)險(xiǎn)以及為該組織工作的人數(shù)。最高收入者每年可賺取超過(guò)200萬(wàn)美元。

有人認(rèn)為，一般的黑客是藏在黑暗地下室里的身著連帽衫的古怪少年。但事實(shí)上如今的網(wǎng)絡(luò)犯罪分子更像“公司人“：從招聘員工到任命高管，一些團(tuán)體甚至擁有公開(kāi)身份，以確保黑客團(tuán)體保持其公關(guān)形象和”品牌聲譽(yù)“，這在暗網(wǎng)上非常重要。

英國(guó)國(guó)家網(wǎng)絡(luò)安全中心（NCSC） 強(qiáng)調(diào)指出，有組織的網(wǎng)絡(luò)犯罪分子通過(guò)分工合作來(lái)實(shí)現(xiàn)平穩(wěn)運(yùn)營(yíng)。有“團(tuán)隊(duì)負(fù)責(zé)人”負(fù)責(zé)協(xié)調(diào)工作，并負(fù)責(zé)保持法律上領(lǐng)先一步。他們擁有大數(shù)據(jù)專(zhuān)家來(lái)處理被盜數(shù)據(jù)，開(kāi)發(fā)者負(fù)責(zé)編寫(xiě)和更改惡意代碼，以及“入侵專(zhuān)家”負(fù)責(zé)感染并滲透目標(biāo)公司。此外，“呼叫中心專(zhuān)員”冒充技術(shù)支持人員打電話給受害者，在受害者的計(jì)算機(jī)上安裝惡意軟件，此外還有“財(cái)務(wù)專(zhuān)家”幫助洗錢(qián)。

敏捷化程度高于網(wǎng)絡(luò)安全公司

敏捷開(kāi)發(fā)和DevOps興起于互聯(lián)網(wǎng)行業(yè)，但是惡意軟件開(kāi)發(fā)團(tuán)隊(duì)似乎比網(wǎng)絡(luò)安全公司更加敏捷，這進(jìn)一步拉大了網(wǎng)絡(luò)攻防之間的實(shí)力差距。以老牌木馬病毒Emotet為例，其開(kāi)發(fā)團(tuán)隊(duì)的“敏捷性”極高，產(chǎn)品迭代和“創(chuàng)新”頻繁，至今仍然是地下黑產(chǎn)的重要“投放渠道”。

實(shí)際上，第一個(gè)真正實(shí)現(xiàn)敏捷并且讓網(wǎng)絡(luò)安全界感到難堪的病毒是勒索軟件Gandcrab。

作為2018年最耀眼的勒索軟件，Gandcrab名聲大噪不僅因?yàn)樗鞘讉€(gè)索要DASH（達(dá)世幣）的勒索軟件，也不是因?yàn)楦腥居脩?hù)數(shù)量或者短短兩個(gè)月斬獲60萬(wàn)美金的驚人斂財(cái)速度，而是因?yàn)镚andcrab是首個(gè)讓包括Fortinet、卡巴斯基、賽門(mén)鐵克等各大網(wǎng)絡(luò)安全公司和歐洲刑警組織感到害怕甚至絕望的勒索軟件，因?yàn)镚andcrab的開(kāi)發(fā)者和運(yùn)營(yíng)者，在產(chǎn)品運(yùn)營(yíng)推廣和產(chǎn)品迭代開(kāi)發(fā)兩個(gè)方面，都讓上述組織疲于奔命，難望項(xiàng)背。

Gandcrab的擴(kuò)散方式屬于典型的growth hacking技術(shù)營(yíng)銷(xiāo)+聯(lián)盟營(yíng)銷(xiāo)，主要通過(guò)分發(fā)Rig和Grandsoft漏洞利用工具、垃圾電子郵件以及傭金聯(lián)盟三種方式。Gandcrab為實(shí)施勒索活動(dòng)的加盟者斬獲的贖金（價(jià)值400美元的達(dá)世幣）提供高達(dá)30-40%的傭金分成比例。

例如，當(dāng)Gandcrab第一個(gè)版本被Bitdefender Labs等安全公司破解并放出解鎖工具后，Gandcrab一周內(nèi)很快發(fā)布了第二個(gè)版本。安全公司Checkpoint在詳細(xì)比較兩個(gè)版本的Gandcrab之后，發(fā)出一聲哀嘆：連勒索軟件都敏捷了，日子沒(méi)法過(guò)了。”

是的，Gandcrab是首個(gè)采用敏捷方法快速迭代的勒索軟件，其更新和成長(zhǎng)速度遠(yuǎn)遠(yuǎn)超過(guò)白帽子和安全公司的應(yīng)變速度。

Checkpoint在研究報(bào)告中指出：顯然Gandcrab的團(tuán)隊(duì)采用了敏捷方法，早期的版本充斥著bug和錯(cuò)誤，但是Gandcrab的團(tuán)隊(duì)顯然有著自己的代碼審核流程，而且總能在bug發(fā)現(xiàn)后的第一時(shí)間快速修復(fù)。而且，與Cerber類(lèi)似，Gandcrab是一個(gè)以開(kāi)發(fā)為中心的網(wǎng)絡(luò)犯罪產(chǎn)品，Gandcrab的開(kāi)發(fā)者的主要精力都放在產(chǎn)品的迭代完善上，向加盟者提供技術(shù)軍火，但并不直接參與勒索軟件的傳播和收款。

敏捷開(kāi)發(fā)方式也讓Gandcrab攻擊工具很難被傳統(tǒng)的基于數(shù)字簽名的殺毒軟件引擎?zhèn)蓽y(cè)到，Gandcrab正在變得越來(lái)越“完美”和無(wú)懈可擊——CheckPoint惡意軟件研究負(fù)責(zé)人Michael Kajiloti指出。

最受歡迎業(yè)務(wù)：勒索軟件和DDoS勒索

據(jù)歐洲刑警組織的報(bào)告，漏洞利用工具包不再是最熱門(mén)的網(wǎng)絡(luò)犯罪工具，但有趣的是，新的熱門(mén)工具技術(shù)含量/門(mén)檻卻在下降，通過(guò)惡意軟件盜竊數(shù)據(jù)的威脅呈下降趨勢(shì)，取而代之的是“吸金能力“更強(qiáng)的勒索軟件和DDoS勒索。

根據(jù)亞信安全《2019威脅態(tài)勢(shì)分析》報(bào)告，到2021年，全球因?yàn)槔账鞴粼斐傻膿p失將達(dá)到200億美元，是2015年3.25億美元的61倍之多，2019年中國(guó)的勒索病毒感染量已經(jīng)躍居全球榜首，占總數(shù)的20%。此外，勒索病毒的發(fā)展將呈現(xiàn)多平臺(tái)感染、產(chǎn)業(yè)化、針對(duì)性、創(chuàng)新性等特征，勒索軟件即服務(wù)（Ransomware as a Service）正在成為黑產(chǎn)的重要模式之一。

除了今年“重整旗鼓“的勒索軟件，DDoS攻擊的熱度也在持續(xù)上升，尤其是以XaaS模式提供勒索軟件和DDoS服務(wù)。網(wǎng)絡(luò)犯罪團(tuán)伙使用大型僵尸網(wǎng)絡(luò)或可操縱的云帳戶(hù)來(lái)產(chǎn)生惡意數(shù)據(jù)，攻擊特定目標(biāo)。此類(lèi)攻擊可能持續(xù)數(shù)天，但總的趨勢(shì)是小型化和高頻化。一次小型DDoS攻擊的成本在10美元到數(shù)千美元之間（視攻擊復(fù)雜性和強(qiáng)度而不同），此類(lèi)攻擊的動(dòng)機(jī)多樣，可以是勒索攻擊，破壞性攻擊，也可能只是偽裝多向量攻擊而又占用了受害者IT資源的一種方式。劍橋大學(xué)發(fā)現(xiàn)，此類(lèi)DDoS攻擊非常普遍，以至于購(gòu)買(mǎi)者甚至包括學(xué)齡兒童。

歐洲刑警組織的《 2019年互聯(lián)網(wǎng)有組織犯罪威脅評(píng)估》報(bào)告描述了DDoS攻擊如何成為全球企業(yè)面臨的最嚴(yán)重威脅之一。去年，犯罪分子首選的DDoS目標(biāo)是銀行和其他金融機(jī)構(gòu)，警察機(jī)關(guān)等公共組織和地方政府。旅行社、互聯(lián)網(wǎng)基礎(chǔ)設(shè)施和在線游戲也是最青睞的攻擊目標(biāo)。根據(jù)歐洲刑警組織的報(bào)告，雖然越來(lái)越多的不良行為者被繩之以法，但這未能遏制DDoS攻擊和Dark Web基礎(chǔ)設(shè)施的“野蠻生長(zhǎng)“。

最后，世界經(jīng)濟(jì)論壇指出，面對(duì)網(wǎng)絡(luò)犯罪經(jīng)濟(jì)的“蓬勃發(fā)展“，組織的網(wǎng)絡(luò)安全支出大大落后于網(wǎng)絡(luò)威脅的增長(zhǎng)速度。