信息化觀察網(wǎng)

為了更大限度地牟利，勒索軟件團(tuán)伙不僅沿襲了傳統(tǒng)犯罪集團(tuán)的一些特征，甚至還開始采用合法企業(yè)的所有核心要素，包括明確的員工角色、營銷計(jì)劃、合作伙伴生態(tài)系統(tǒng)，甚至風(fēng)險(xiǎn)資本投資等等。

最近幾個(gè)月，勒索軟件已經(jīng)成為政治上的“燙手山芋”。拜登政府要求俄羅斯政府嚴(yán)厲打擊從俄羅斯境內(nèi)襲擊美國目標(biāo)的犯罪分子，并威脅稱，如果俄羅斯當(dāng)局不盡快采取行動(dòng)，將直接瓦解他們。

作為回應(yīng)，一些頂級網(wǎng)絡(luò)犯罪論壇——包括俄語Exploit和XSS論壇——已在今年早些時(shí)候宣布禁止在其平臺上討論勒索軟件和進(jìn)行交易。雖然有些人希望此舉能夠重創(chuàng)勒索軟件團(tuán)伙，但不幸的現(xiàn)實(shí)是，這種禁令只會將他們的活動(dòng)變得更為隱秘，使安全研究人員和執(zhí)法機(jī)構(gòu)更難以對其進(jìn)行追蹤和監(jiān)控。

如果需要證據(jù)的話，在論壇禁令后的幾個(gè)月里，勒索軟件攻擊比以往任何時(shí)候都更加有力和大膽。事實(shí)上，勒索軟件是網(wǎng)絡(luò)犯罪經(jīng)濟(jì)的生命線，其協(xié)調(diào)攻擊的團(tuán)體高度專業(yè)化，在很多方面都與現(xiàn)代企業(yè)結(jié)構(gòu)類似，包括開發(fā)團(tuán)隊(duì)、銷售和公關(guān)部門、外部承包商以及服務(wù)提供商，他們都可以從非法收益中分一杯羹。他們甚至在與受害者的交流中使用商業(yè)術(shù)語，將他們稱為購買“數(shù)據(jù)解密服務(wù)”的客戶。

安全研究人員Steve Ragan表示，勒索軟件團(tuán)伙如同生活在一個(gè)平行世界中，那里的一切猶如我們現(xiàn)實(shí)世界的倒像，那里有我們熟知的商業(yè)世界，只是要更加黑暗和扭曲。

依賴?yán)账鬈浖牡叵陆?jīng)濟(jì)

通過查看勒索軟件操作所涉及的內(nèi)容以及團(tuán)體的組織方式，很容易可以看出勒索軟件是網(wǎng)絡(luò)犯罪經(jīng)濟(jì)的核心。勒索軟件團(tuán)伙雇傭的人員包括：

編寫文件加密程序的（開發(fā)團(tuán)隊(duì)）；

建立及維護(hù)支付和泄漏站點(diǎn)，以及溝通渠道的（IT基礎(chǔ)設(shè)施團(tuán)隊(duì)）；

在論壇上宣傳勒索軟件服務(wù)的（銷售團(tuán)隊(duì)）；

與記者溝通并在Twitter及他們的博客上發(fā)布消息和公告的（公關(guān)和社交媒體團(tuán)隊(duì)）；

協(xié)商支付贖金的（客戶支持團(tuán)隊(duì)）；

在受害者的網(wǎng)絡(luò)上執(zhí)行手動(dòng)黑客攻擊和橫向移動(dòng)，部署勒索軟件程序以獲取部分利潤的（稱為“附屬機(jī)構(gòu)”或滲透測試人員的外部承包商）；

“附屬機(jī)構(gòu)”（affiliates）通常從其他網(wǎng)絡(luò)犯罪分子那里——他們已經(jīng)使用木馬程序、僵尸網(wǎng)絡(luò)或竊取的憑據(jù)破壞了系統(tǒng)——購買網(wǎng)絡(luò)訪問權(quán)限。這些第三方被稱為“網(wǎng)絡(luò)訪問代理”。附屬機(jī)構(gòu)還可能購買包含被盜帳戶信息或有助于目標(biāo)偵察的內(nèi)部信息的數(shù)據(jù)轉(zhuǎn)儲。除此之外，垃圾郵件服務(wù)和防彈托管也經(jīng)常被勒索軟件團(tuán)伙使用。

換句話說，網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)中的很多方面都通過勒索軟件直接或間接牟利。因此，這些團(tuán)體變得更加專業(yè)，并與擁有投資者、經(jīng)理、產(chǎn)品營銷、客戶支持、工作機(jī)會、合作伙伴關(guān)系等的公司類似也就不足為奇了。這是經(jīng)過多年不斷發(fā)展完善逐漸形成的趨勢。

安全公I(xiàn)ntel 471的CISO Brandon Hoffman表示，地下網(wǎng)絡(luò)犯罪本質(zhì)上已經(jīng)成為一種經(jīng)濟(jì)，在那里，服務(wù)提供商、產(chǎn)品開發(fā)者、金融家、基礎(chǔ)設(shè)施提供商一應(yīng)俱全。它是和現(xiàn)實(shí)世界一樣的經(jīng)濟(jì)體，只是在那里供應(yīng)和銷售的東西截然不同而已。不過，就像在我們的自由市場經(jīng)濟(jì)中一樣，由于你擁有所有這些不同類型的服務(wù)提供商和產(chǎn)品提供商，因此他們很自然地開始走到一起并共同建立業(yè)務(wù)以提供一攬子服務(wù)和商品。所以，勒索軟件團(tuán)伙的運(yùn)作模式發(fā)展至今實(shí)在不足為奇。

事實(shí)上，多年前，我們就已經(jīng)發(fā)現(xiàn)犯罪分子和我們其他人一樣擁有軟件開發(fā)生命周期。他們有市場營銷、公關(guān)、中層管理人員；有負(fù)責(zé)低級犯罪并向高級犯罪分子報(bào)告的人。這些都不是什么新鮮事，只是如今，越來越多的人開始聽聞并關(guān)注這種趨勢。

勒索軟件團(tuán)伙適應(yīng)市場壓力

多年來，勒索軟件攻擊迫使許多醫(yī)院、學(xué)校、公共服務(wù)機(jī)構(gòu)、地方和州政府機(jī)構(gòu)甚至警察部門癱瘓，但今年5月初針對美國最大成品油管道系統(tǒng)Colonial Pipeline的攻擊事件算是一個(gè)里程碑。

此次攻擊事件歸因于一個(gè)名為“DarkSide”的俄羅斯勒索軟件組織，攻擊迫使Colonial Pipeline公司57年以來首次關(guān)閉其整個(gè)汽油管道系統(tǒng)，以防止勒索軟件傳播到關(guān)鍵控制系統(tǒng)，此舉直接導(dǎo)致美國東海岸的燃料短缺。

該事件在媒體輿論中不斷發(fā)酵，因?yàn)樗怀隽死账鬈浖﹃P(guān)鍵基礎(chǔ)設(shè)施構(gòu)成的威脅，甚至引發(fā)了關(guān)于此類攻擊是否應(yīng)歸類為恐怖主義形式的辯論。

就連DarkSide運(yùn)營商也意識到事態(tài)的嚴(yán)重性，并宣布對其附屬公司——實(shí)際進(jìn)行黑客攻擊和部署勒索軟件的第三方承包商——引入“審核”，以避免類似事件再次發(fā)生。但無奈，此事熱度已經(jīng)發(fā)酵，對該組織也產(chǎn)生了重要影響。

攻擊發(fā)生幾天后，最大的俄語網(wǎng)絡(luò)犯罪論壇之一XSS的管理員宣布禁止平臺上所有與勒索軟件相關(guān)的活動(dòng)。而包括REvil在內(nèi)的其他知名勒索軟件團(tuán)伙也立即為其附屬公司宣布了類似的緩和政策，禁止其攻擊醫(yī)療保健、教育和政府機(jī)構(gòu)，以試圖控制公關(guān)熱度。這還遠(yuǎn)遠(yuǎn)不夠，另外兩個(gè)大型網(wǎng)絡(luò)犯罪論壇Exploit和Raid緊隨其后，禁止了所有勒索軟件相關(guān)活動(dòng)。

事后，DarkSide宣布將關(guān)閉其業(yè)務(wù)，因?yàn)樗矡o法訪問其博客、支付服務(wù)器、比特幣錢包和其他公共基礎(chǔ)設(shè)施，并聲稱其托管服務(wù)提供商僅在“執(zhí)法機(jī)構(gòu)的要求下”做出回應(yīng)。一個(gè)月后，聯(lián)邦調(diào)查局宣布它設(shè)法收回了Colonial Pipeline被迫支付的440萬美元加密貨幣。

在最流行的網(wǎng)絡(luò)犯罪論壇上禁止勒索軟件活動(dòng)是一項(xiàng)重大進(jìn)展，因?yàn)槎嗄陙恚@些論壇一直是勒索軟件組織招募附屬機(jī)構(gòu)的主要場所。這些論壇為網(wǎng)絡(luò)犯罪分子之間的公共和私人交流提供了一種簡單的方式，甚至為互不了解的雙方交易提供資金托管服務(wù)。

不過，在某種程度上，這項(xiàng)禁令也影響了網(wǎng)絡(luò)安全公司通過監(jiān)控這些論壇，收集有關(guān)威脅行為者和新威脅的情報(bào)。雖然大多數(shù)網(wǎng)絡(luò)犯罪研究人員都知道論壇禁令不會從整體上阻止勒索軟件的運(yùn)行，但有些人確實(shí)想知道他們的下一步行動(dòng)是什么。他們會遷移到不太受歡迎的論壇嗎？他們會建立自己的網(wǎng)站用于廣告和與附屬機(jī)構(gòu)溝通嗎？他們會轉(zhuǎn)向Jabber或Telegram這樣的實(shí)時(shí)聊天程序嗎？

研究人員表示，論壇禁令不會讓他們消失，只是讓他們暫避鋒芒。在過去，我們可以在論壇上看到他們的招聘、討論以及正在開發(fā)的新功能。但是現(xiàn)在這些都消失了……我們將無法窺探和預(yù)測其變化，不知道他們是否開發(fā)了新變種或添加了新功能，直至第一個(gè)受害者被擊中。

根據(jù)事件響應(yīng)和數(shù)字取證公司LIFARS的創(chuàng)始人兼首席執(zhí)行官Ondrej Krehel的說法，勒索軟件的運(yùn)營并未受到論壇禁令的影響，因?yàn)閮扇昵按祟惢顒?dòng)的大多數(shù)參與者就已經(jīng)通過Telegram和Threema上的私人群組進(jìn)行交流。

作為營銷工作的一部分，論壇上仍然有一些吸引力，但如果你真的想得到更具體的東西，你必須要成為這些團(tuán)體的一部分，而想要加入組織，你必須用與已知犯罪活動(dòng)相關(guān)的錢包支付一小部分比特幣來證明自己的實(shí)力?？偠灾@種勒索軟件的增長速度將持續(xù)下去。

金盆洗手，還只是改頭換面？

每隔幾個(gè)月，一個(gè)備受矚目的勒索軟件組織就會宣布關(guān)閉其業(yè)務(wù)。上個(gè)月是Avaddon；在此之前是DarkSide；再再之前是Maze等等。有時(shí)，當(dāng)他們決定解散時(shí)，這些團(tuán)體會釋放他們的主密鑰，這可能會幫助一些尚未支付贖金或從備份中恢復(fù)文件的受害者，但這些團(tuán)體背后的罪犯并沒有真正從生態(tài)系統(tǒng)中消失或進(jìn)入監(jiān)獄。他們只是轉(zhuǎn)移到其他團(tuán)體或改變了角色，例如從成功的勒索軟件運(yùn)營商搖身一變成為投資者。

Ragan解釋稱，這種形式就如同使用空殼公司籌措資金的傳統(tǒng)犯罪分子，一旦輿論發(fā)酵，他們就會及時(shí)止損，宣布解散，然后投入新的角色繼續(xù)犯罪活動(dòng)。

根據(jù)Krehel的說法，勒索軟件組織的生命周期通常在兩年左右，因?yàn)樗麄兠靼自谀侵笏麄儠艿教嚓P(guān)注，特別是如果他們已經(jīng)取得成功，最好的辦法就是退出該組織并創(chuàng)建一個(gè)新的組織。不排除有些成員會徹底退出勒索軟件組織，并成為其他團(tuán)伙的風(fēng)險(xiǎn)投資家，但這種重新洗牌的形式只會制造混亂，使執(zhí)法部門更難獲取所有參與者的信息。

勒索軟件的投資回報(bào)率非常好，職業(yè)網(wǎng)絡(luò)犯罪分子無法抵擋住誘惑。這就是為什么與其他形式的網(wǎng)絡(luò)犯罪（例如信用卡盜竊或入侵銀行）有關(guān)的團(tuán)體開始采用勒索軟件作為收入來源或與勒索軟件團(tuán)伙合作的原因。

如今，宣布解散的團(tuán)伙大多已經(jīng)轉(zhuǎn)移陣地并與其他團(tuán)伙聯(lián)合并結(jié)成聯(lián)盟。從字面上看，就類似于現(xiàn)實(shí)世界中的“合并”和“收購”。他們可能認(rèn)為重組之后他們便可以利用其他團(tuán)體的人才資源，加大開發(fā)勒索軟件的力度。

Maze、Egregor以及REvil所有這些解散團(tuán)伙可能已經(jīng)創(chuàng)造了其他新的東西，例如AstraLocker和LV以及所有這些即將問世的新團(tuán)體。它們并不都是相關(guān)的，但新群體和舊群體之間有很多關(guān)聯(lián)。一些新團(tuán)伙可能也會招募“老人”，利用他們豐富的作戰(zhàn)經(jīng)驗(yàn)和積累的資源，將自身發(fā)展為更成熟的團(tuán)體。

攻擊性行動(dòng)迫在眉睫

網(wǎng)絡(luò)犯罪分子不會輕易放棄勒索軟件，因?yàn)樗欣蓤D，而且他們中的許多人生活在俄羅斯，在那里因向西方組織勒索錢財(cái)而被捕的可能性很低。源自俄羅斯或獨(dú)立國家聯(lián)合體（CIS）的惡意軟件程序通常具有內(nèi)置檢查功能，可防止將其部署在使用俄語或來自獨(dú)聯(lián)體國家的其他語言的計(jì)算機(jī)上。

惡意軟件創(chuàng)建者和網(wǎng)絡(luò)犯罪分子都知道這是一個(gè)不成文的規(guī)則：不要針對本地公司，你會沒事的！俄羅斯不引渡其公民，而且鑒于該國與西方國家目前的地緣政治狀態(tài)，也不太可能在執(zhí)法層面上加強(qiáng)網(wǎng)絡(luò)犯罪方面的合作。

繼7月份又一次備受矚目的勒索軟件攻擊影響了來自世界各地的1000多家公司之后，拜登總統(tǒng)與俄羅斯總統(tǒng)普京進(jìn)行了交談，宣稱自己對在網(wǎng)絡(luò)攻擊問題上的合作持樂觀態(tài)度，但他也暗示美國準(zhǔn)備進(jìn)攻用于勒索軟件攻擊的服務(wù)器以進(jìn)行報(bào)復(fù)。

如果未來外交渠道無法產(chǎn)生結(jié)果，而俄羅斯執(zhí)法機(jī)構(gòu)也不在國內(nèi)采取任何行動(dòng)，那么美國可能需要采取更具攻擊性的方法來勸阻這些團(tuán)體并在造成大量受害者之前阻止其攻擊行動(dòng)。

Hoffman認(rèn)為美國有機(jī)會在支持企業(yè)方面更具攻擊性。與其他國家類似，用于民族國家目的的國家基礎(chǔ)設(shè)施無法用于打擊商業(yè)犯罪，但面對現(xiàn)如今這種嚴(yán)峻的網(wǎng)絡(luò)態(tài)勢，我們可能必須提供它，并使其變得具有攻擊性，以減輕本土企業(yè)的一些壓力。

與準(zhǔn)備不足的企業(yè)組織相比，網(wǎng)絡(luò)犯罪分子并不想與政府機(jī)構(gòu)對抗。因此，如果美國國家網(wǎng)絡(luò)基礎(chǔ)設(shè)施的全部力量用于對抗網(wǎng)絡(luò)犯罪世界，這正是論壇運(yùn)營商所不想看到的，它可能會產(chǎn)生重大影響。另一方面，這是否會導(dǎo)致美國和俄羅斯之間一直懸而未決的“網(wǎng)絡(luò)戰(zhàn)爭”，然后俄羅斯的國家網(wǎng)絡(luò)基礎(chǔ)設(shè)施將以更明顯的方式對我們產(chǎn)生影響呢？答案是，也許吧！

本文翻譯自：https://www.csoonline.com/article/3631534/how-ransomware-runs-the-underground-economy.html?nsdr=true&page=2