平行世界的镜像:勒索软件如何运行地下经济?

时间:2021-09-22来源:栏目:网络营销

为了实现利润最大化,勒索软件团伙不仅继承了传统犯罪集团的一些特征,还开始采用合法企业的所有核心要素,包括明确的员工角色、营销计划、合作伙伴生态系统,甚至风险投资。最近几...

为了实现利润最大化,勒索软件团伙不仅继承了传统犯罪集团的一些特征,还开始采用合法企业的所有核心要素,包括明确的员工角色、营销计划、合作伙伴生态系统,甚至风险投资。

最近几个月,ransomware已经成为政治上的一个烫手山芋。拜登政府要求俄罗斯政府严厉打击从俄罗斯袭击美国目标的犯罪分子,并威胁称,如果俄罗斯当局不尽快采取行动,他们将被直接瓦解。

作为回应,一些顶级网络犯罪论坛,包括俄罗斯的剥削和XSS论坛,在今年早些时候宣布,他们将禁止在其平台上讨论和交易勒索软件。虽然有些人希望这能对勒索软件团伙造成沉重打击,但不幸的现实是,这一禁令只会让他们的活动更加隐秘,让安全研究人员和执法机构更难跟踪和监控他们。

如果需要证据,在论坛禁令后的几个月里,勒索软件的攻击将比以往任何时候都更加强大和大胆。事实上,ransomware是网络犯罪经济的生命线,其攻击协调组高度专业化,在很多方面都类似于现代企业结构,包括开发团队、销售和公关部门、外部承包商和服务提供商,他们都可以分一杯羹。他们甚至在与受害者的交流中使用商业术语,称受害者为购买“数据解密服务”的客户。

安全研究员史蒂夫拉冈说,勒索软件团伙生活在一个平行的世界里,那里的一切都像是我们现实世界的倒影,还有一个我们熟知的商业世界,但它需要更黑暗、更扭曲。

依靠软件的地下经济。

从软件运行所涉及的内容和群体的组织模式中不难看出,软件是网络犯罪经济的核心。被盗版团伙雇佣的人包括:

编写文件加密程序(开发团队);

建立和维护支付和泄漏站点及通信渠道(IT基础设施团队);

(销售团队)在论坛上宣传ransomware服务;

与记者沟通,在推特和他们的博客上发布新闻和公告(公关和社交媒体团队);

谈判赎金支付(客户支持团队);

在受害者网络上执行手动黑客攻击和水平移动,部署ransomware程序以获取部分利润(称为渗透测试人员的“附属机构”或外部承包商);

附属公司通常从其他网络罪犯那里购买网络访问权限,这些罪犯使用特洛伊木马、僵尸网络或窃取的凭据破坏了系统。这些第三方被称为“网络访问代理”。附属公司还可能购买包含被盗帐户信息或内部信息的数据转储,以帮助目标侦察。此外,垃圾邮件服务和防弹主机经常被勒索软件团伙使用。

换句话说,网络犯罪生态系统的许多方面通过勒索软件直接或间接获利。因此,这些群体变得更加专业,与拥有投资者、经理、产品营销、客户支持、工作机会、合作伙伴关系等的公司更加相似,也就不足为奇了。这是经过多年不断发展和完善逐渐形成的趋势。

英特尔471的CISO布兰登霍夫曼说,地下网络犯罪本质上已经成为一种经济,服务提供商、产品开发商、金融家和基础设施提供商都可以利用。它是和现实世界一样的经济,只是它在那里供应和销售的东西大不相同。然而,就像在我们的自由市场经济中,既然你有所有这些不同类型的服务提供商和产品提供商,他们自然会开始走到一起,一起建立业务,提供一揽子服务和商品。因此,盗版团伙的运作模式发展至今也就不足为奇了。

事实上,很多年前,我们发现罪犯和我们其他人有着相同的软件开发生命周期。他们有营销、公关和中层管理人员。对低级犯罪负责并向高级罪犯报告的人。这些都不是什么新鲜事,但如今,越来越多的人开始听到并关注这一趋势。

勒索团伙适应市场压力。

多年来,勒索软件攻击迫使许多医院、学校、公共服务机构、地方和州政府机构甚至警察部门瘫痪。然而,今年5月初对美国最大的石油管道系统殖民管道的袭击是一个里程碑。

这次袭击被认为是一个名为“黑暗面”的俄罗斯软件组织所为。此次袭击迫使Colonial Pipeline 57年来首次关闭了其整个汽油管道系统,以防止勒索软件扩散到关键控制系统,这直接导致了美国东海岸的燃料短缺。

这一事件在媒体上不断发酵,因为它凸显了勒索软件对关键基础设施构成的威胁,甚至引发了关于此类攻击是否应被归类为恐怖主义形式的辩论。

就连DarkSide运营商也意识到了情况的严重性,并宣布将对子公司——实际攻击黑客并部署ransomware的第三方承包商引入“审计”,以避免类似事件再次发生。然而,这件事的热度已经发酵,这也对组织产生了重要影响。

袭击发生几天后,俄罗斯最大的网络犯罪论坛之一XSS的管理员宣布,将禁止平台上所有与勒索软件相关的活动。包括REvil在内的其他知名ransomware帮派立即宣布了针对其子公司的类似缓解政策,禁止他们攻击医疗、教育和政府机构,试图控制公共关系的受欢迎程度。这远远不够。另外两个大型网络犯罪论坛Exploit和Raid紧随其后,禁止了所有与勒索软件相关的活动。

随后,DarkSide宣布将关闭其业务,因为它无法访问其博客和支付服务。

器、比特币钱包和其他公共基础设施,并声称其托管服务提供商仅在“执法机构的要求下”做出回应。一个月后,联邦调查局宣布它设法收回了Colonial Pipeline被迫支付的440万美元加密货币。

在最流行的网络犯罪论坛上禁止勒索软件活动是一项重大进展,因为多年来,这些论坛一直是勒索软件组织招募附属机构的主要场所。这些论坛为网络犯罪分子之间的公共和私人交流提供了一种简单的方式,甚至为互不了解的双方交易提供资金托管服务。

不过,在某种程度上,这项禁令也影响了网络安全公司通过监控这些论坛,收集有关威胁行为者和新威胁的情报。虽然大多数网络犯罪研究人员都知道论坛禁令不会从整体上阻止勒索软件的运行,但有些人确实想知道他们的下一步行动是什么。他们会迁移到不太受欢迎的论坛吗?他们会建立自己的网站用于广告和与附属机构沟通吗?他们会转向Jabber或Telegram这样的实时聊天程序吗?

研究人员表示,论坛禁令不会让他们消失,只是让他们暂避锋芒。在过去,我们可以在论坛上看到他们的招聘、讨论以及正在开发的新功能。但是现在这些都消失了……我们将无法窥探和预测其变化,不知道他们是否开发了新变种或添加了新功能,直至第一个受害者被击中。

根据事件响应和数字取证公司LIFARS的创始人兼首席执行官Ondrej Krehel的说法,勒索软件的运营并未受到论坛禁令的影响,因为两三年前此类活动的大多数参与者就已经通过Telegram和Threema上的私人群组进行交流。

作为营销工作的一部分,论坛上仍然有一些吸引力,但如果你真的想得到更具体的东西,你必须要成为这些团体的一部分,而想要加入组织,你必须用与已知犯罪活动相关的钱包支付一小部分比特币来证明自己的实力。总而言之,这种勒索软件的增长速度将持续下去。

金盆洗手,还只是改头换面?

每隔几个月,一个备受瞩目的勒索软件组织就会宣布关闭其业务。上个月是Avaddon;在此之前是DarkSide;再再之前是Maze等等。有时,当他们决定解散时,这些团体会释放他们的主密钥,这可能会帮助一些尚未支付赎金或从备份中恢复文件的受害者,但这些团体背后的罪犯并没有真正从生态系统中消失或进入监狱。他们只是转移到其他团体或改变了角色,例如从成功的勒索软件运营商摇身一变成为投资者。

Ragan解释称,这种形式就如同使用空壳公司筹措资金的传统犯罪分子,一旦舆论发酵,他们就会及时止损,宣布解散,然后投入新的角色继续犯罪活动。

根据Krehel的说法,勒索软件组织的生命周期通常在两年左右,因为他们明白在那之后他们会受到太多关注,特别是如果他们已经取得成功,最好的办法就是退出该组织并创建一个新的组织。不排除有些成员会彻底退出勒索软件组织,并成为其他团伙的风险投资家,但这种重新洗牌的形式只会制造混乱,使执法部门更难获取所有参与者的信息。

勒索软件的投资回报率非常好,职业网络犯罪分子无法抵挡住诱惑。这就是为什么与其他形式的网络犯罪(例如信用卡盗窃或入侵银行)有关的团体开始采用勒索软件作为收入来源或与勒索软件团伙合作的原因。

如今,宣布解散的团伙大多已经转移阵地并与其他团伙联合并结成联盟。从字面上看,就类似于现实世界中的“合并”和“收购”。他们可能认为重组之后他们便可以利用其他团体的人才资源,加大开发勒索软件的力度。

Maze、Egregor以及REvil所有这些解散团伙可能已经创造了其他新的东西,例如AstraLocker 和LV以及所有这些即将问世的新团体。它们并不都是相关的,但新群体和旧群体之间有很多关联。一些新团伙可能也会招募“老人”,利用他们丰富的作战经验和积累的资源,将自身发展为更成熟的团体。

攻击性行动迫在眉睫

网络犯罪分子不会轻易放弃勒索软件,因为它太有利可图,而且他们中的许多人生活在俄罗斯,在那里因向西方组织勒索钱财而被捕的可能性很低。源自俄罗斯或独立国家联合体(CIS) 的恶意软件程序通常具有内置检查功能,可防止将其部署在使用俄语或来自独联体国家的其他语言的计算机上。

恶意软件创建者和网络犯罪分子都知道这是一个不成文的规则:不要针对本地公司,你会没事的!俄罗斯不引渡其公民,而且鉴于该国与西方国家目前的地缘政治状态,也不太可能在执法层面上加强网络犯罪方面的合作。

继7月份又一次备受瞩目的勒索软件攻击影响了来自世界各地的1000多家公司之后,拜登总统与俄罗斯总统普京进行了交谈,宣称自己对在网络攻击问题上的合作持乐观态度,但他也暗示美国准备进攻用于勒索软件攻击的服务器以进行报复。

如果未来外交渠道无法产生结果,而俄罗斯执法机构也不在国内采取任何行动,那么美国可能需要采取更具攻击性的方法来劝阻这些团体并在造成大量受害者之前阻止其攻击行动。

Hoffman认为美国有机会在支持企业方面更具攻击性。与其他国家类似,用于民族国家目的的国家基础设施无法用于打击商业犯罪,但面对现如今这种严峻的网络态势,我们可能必须提供它,并使其变得具有攻击性,以减轻本土企业的一些压力。

与准备不足的企业组织相比,网络犯罪分子并不想与政府机构对抗。因此,如果美国国家网络基础设施的全部力量用于对抗网络犯罪世界,这正是论坛运营商所不想看到的,它可能会产生重大影响。另一方面,这是否会导致美国和俄罗斯之间一直悬而未决的“网络战争”,然后俄罗斯的国家网络基础设施将以更明显的方式对我们产生影响呢?答案是,也许吧!

参考及来源:https://www.csoonline.com/article/3631534/how-ransomware-runs-the-underground-economy.html?nsdr=true&page=2

1.本站部分来源于互联网用户自主整合上传,如有侵权,请联系我们删除;

2.文章内容并不代表本站的观点或立场,如有关于文章内容,版权或其它问题请联系删除;

3.本文地址:https://jiatu888.com/wlyx/84125.html

最新文章

网站介绍

本站部分内容收集于互联网,如有侵犯贵司(个人)版权,请联系本站删除。

Copyright@2018-2021 www.jiatu888.com 嘉图网 All Rights Reserved 粤ICP备20051635号 网站地图 tag列表

嘉图网