研究表明,勒索软件团伙正在利用企业的所有核心要素进行攻击,包括员工角色、营销计划、合作伙伴生态系统,甚至风险资本投资。越来越频繁的勒索软件攻击引起了人们的关注,导致一些顶级在线论坛今年早些时候禁止在其平台上讨论勒索软件活动和交易。虽然一些人希望这将对勒索软件团体的能力产生重大影响,但这些禁令只会将他们的非法活动推向地下,使研究机构和安全人员更难监控他们。如果有的话,在这些论坛禁令发布后的几个月里,勒索软件攻击比以往任何时候都更加强大和大胆。事实上,勒索病毒是网络犯罪经济的命脉,需要更加严厉的打击。协调勒索软件攻击的团队现在高度专业化,在很多方面类似于现代公司结构,包括开发团队、销售部门、公关部门、外部承包商和服务提供商,他们都从勒索软件攻击的非法收益中获益一份。他们甚至在与受害者沟通时使用商业术语,将受害者称为购买数据解密服务的客户。“网络罪犯的世界与我们的商业世界相似,只是更加黑暗和扭曲,”Akamai的安全研究员SteveRagan说。依赖勒索软件的地下经济显而易见,勒索软件是网络犯罪经济的核心。勒索软件集团通常雇用以下人员:编写文件加密程序的人员(开发团队)构建和维护支付和泄密站点以及通信渠道的人员(IT基础架构团队)在论坛(销售团队)和媒体上宣传勒索软件服务的人员记者在其博客上进行交流、发布推文和发布公告的人员(公关和社交媒体团队)协商支付赎金的人员(客户支持团队)在受害者的网络上进行人为操作的黑客攻击和横向移动,以部署勒索软件程序利润的一部分(渗透测试人员的附属机构或外部承包商)这些团体和个人通常会从其他已经使用特洛伊木马程序或僵尸网络破坏安全系统的网络犯罪分子那里购买对受害网络的访问权,或者通过窃取凭据。这些第三方机构被称为网络访问代理。勒索软件组织还可能购买包含被盗帐户信息或可能有助于目标侦察的内部转储的数据和信息。勒索软件组织也经常使用垃圾邮件服务。换句话说,网络犯罪生态系统的许多部分直接或间接地从勒索软件中获利。因此,这些团体变得更加专业,类似于具有投资者、产品营销、客户支持、工作机会、合作伙伴关系等的合法企业,这种情况并不少见。这是多年来逐渐发展的趋势。安全公司Intel471的首席信息安全官BrandonHoffman说:“地下网络犯罪基本上已经成为一种经济,其中有服务提供商、产品创造者、金融家、基础设施提供商。”,拥有所有这些不同类型的供应商和买家。就像在我们的自由市场经济中一样,由于拥有这些不同类型的服务提供商和产品提供商,很自然地开始聚集在一起并组成团体来提供一揽子服务和商品,就像我们在经济中所做的那样。所以,我认为他们正在快速行动。”Ragan说,“多年来,我们已经知道网络犯罪集团与合法企业具有相同的软件开发生命周期,他们在营销、公关、中层管理人员中加入人员并不新鲜,还有帮助高级罪犯做决定的人。只是越来越多的人开始注意到相似之处。”勒索软件组具有灵活性和破坏性。多年来,勒索软件攻击使许多医院、学校、公共服务机构、地方和州政府机构,甚至警察部门陷入瘫痪。今年5月初对美国最大的成品油管道系统ColonialPipeline的网络攻击成为标志性事件。该漏洞由一个名为DarkSide的勒索软件组织造成,迫使Colonial在其57年的运营历史中首次关闭其输油管道系统,以防止勒索软件攻击其关键控制系统。袭击导致美国东海岸燃料短缺。该事件引起了业界和媒体的广泛关注,因为它凸显了勒索软件对关键基础设施构成的威胁,引发了关于此类攻击是否应被归类为恐怖活动的争论。即使是DarkSide的运营商也意识到了事态的严重性,并宣布对其附属公司(实际进行黑客攻击和部署勒索软件的第三方承包商)进行克制,声称希望在未来避免此类社会后果,但对于DarkSide的服务供应商,影响太大了。网络攻击发生几天后,网络犯罪论坛XSS的管理员宣布禁止平台上所有与勒索软件相关的活动,理由是过度公关并将执法风险提高到“危险水平”。包括REvil在内的其他知名勒索软件组织立即宣布了类似政策,禁止攻击医疗、教育和政府机构以控制公共关系。另外两个大型网络犯罪论坛也迅速禁止敲诈勒索。DarkSide后来宣布关闭,因为它无法访问其博客、支付服务器、比特币钱包和其他公共基础设施,声称其托管服务提供商仅响应执法机构的要求。一个月后,FBI宣布成功追回ColonialPipeline被迫支付给黑客的440万美元加密货币,用于解密其系统并恢复正常运营。在最著名的网络犯罪论坛上禁止勒索软件活动是一项重大进展,因为这些论坛多年来一直是勒索软件集团招募分支机构的主要场所。这些论坛为网络罪犯提供了一种公开和私下交流的简便方式,甚至为双方不认识且互不信任的交易提供托管服务。在某种程度上,禁令还影响了监控这些论坛以收集有关威胁参与者和新威胁情报的网络安全公司。虽然大多数网络犯罪研究人员都知道论坛禁令不会全面阻止勒索软件攻击,但有些人确实想知道他们的下一步行动。例如,他们会迁移到其他论坛吗?他们会建立自己的网站用于广告和与附属公司的沟通吗?他们会转向Jabber或Telegram等实时聊天程序吗?“这样做的目的是将这些讨论转移到其他私人团体。他们不会消失,他们所做的只是远离公众视线。长期以来,人们可以在论坛上看到他们的人员配置、业务发展、讨论话题,以及他们开发了什么样的功能。而现在这一切都已成为过去,人们无法预测未来的变化。不幸的是,这意味着在新的受害者出现之前,人们不会知道新的勒索软件变种或添加的新功能。”事件响应和数字取证服务LIFARS的创始人兼首席执行官OndrejKrehel表示,勒索软件活动不受论坛禁令的影响,因为参与此类活动的大多数参与者已经通过Telegram和Threema进行了交流。已经有两三年了,一直在网上和私密的群交流交流。作为营销努力的一部分,这些论坛仍有一些吸引力,但如果有人真的想要更具体的东西,他们一定已经是这些团体的一部分,其中一些人以与已知网络犯罪活动相关的比特币支付。证明你的身份。“勒索软件攻击将继续增长,”Krehel说。网络犯罪分子退后一步,担任不同的角色如今,每隔几个月,一个备受瞩目的勒索软件组织就会宣布暂停运营。上个月是AvaddonCorporation,在此之前DarkSide宣布解散。当他们决定解散或暂停业务运营时,他们通常会释放他们的主密钥,这可能会帮助一些尚未支付赎金或从备份中恢复文件的受害者,但这些团队背后的网络犯罪分子却不会。从字面上从其生态系统中消失或被捕入狱。他们只是转移到其他组或改变角色,例如成为勒索软件运营经理或投资者。Ragan将其比作利用空壳公司筹集资金的传统犯罪分子,当他们的犯罪行为引起注意时,他们的犯罪行为会迅速瓦解。“几乎每一次,他们都有建立空壳公司并试图将它们用于邪恶目的的习惯,”他说。Krehel指出,勒索软件团体的生命周期通常约为两年,因为他们了解妥协的可能性。获得更多关注的最佳方式,尤其是如果他们可能成功的话,就是关闭并创建新的群组。他说,也许一些成员退出成为其他团体的风险投资家,但这种洗牌会造成更多混乱,并使执法部门更难追踪所有参与者。勒索软件的投资回报率如此之高,以至于越来越多的网络犯罪分子卷入其中。这就是其他形式的网络犯罪集团(例如信用卡盗窃或银行黑客攻击)开始采用勒索软件作为收入来源或与勒索软件团伙合作的原因。Ragan说,“这些团体已经转移业务并与勒索软件团体合并或结成联盟。从字面上看,这类似于现实世界的并购。他们可能从其他团体那里获得了人才,现在他们正在开发自己的勒索软件,或者他们收购了联盟计划并将它们合并。”霍夫曼说,“很明显,这些新团体中有一些可能有来自旧团体的成员,如Maze、Egregor、REvil都分裂出来并创建了新团体,如AstraLocker和LV等。虽然它们并不都是相关的,但有很多新群体与旧群体之间的联系。”一些新的组织也可能会招募新的业务人员,并为他们提供一个平台,让他们获得更多的勒索软件经验。“还有一个网络犯罪分子的生态系统,可以雇佣没有相关犯罪记录的人,他们可以在不被抓到的情况下进行成功的攻击”克雷赫尔说。有犯罪前科,并且受到犯罪团伙的信任。这些成员也经常更换团体。就像谷歌和Facebook,其员工不断更换工作。可能需要采取的行动和措施网络犯罪分子不会因为利润太高而轻易放弃勒索软件攻击,恶意软件创建者和网络犯罪分子都知道这是一条不成文的规定:不要以本地公司为目标。继7月发生另一起备受瞩目的勒索软件攻击,影响全球1000多家公司后,美国政府与俄罗斯政府举行会谈,宣布在网络攻击方面进行合作,并暗示美国已准备好对勒索软件攻击中使用的服务器进行攻击。在Kaseya公司(其软件被黑客攻击并用于传播勒索软件)收到来自未公开来源但据说是受信任的第三方密钥的主解密后,遭到报复。一些国家的执法机构将采取行动,在勒索软件团伙和网络攻击造成更大损害之前制止它们。Ragan说,“如果政府机构针对勒索软件团伙,那么这些团伙可能无能为力。这些网络犯罪分子有一种真正的恐惧,我认为这就是促成这些团队仓促解散的原因。”霍夫曼认为,政府可以为他们提供政策支持通过提供打击商业犯罪的基础设施来保护企业安全。在这种情况下,可能会减轻一些企业安全方面的压力。霍夫曼表示,网络罪犯通常不会与政府机构对峙。“因此,如果政府使用更多的力量来打击网络犯罪,这些网络犯罪论坛和运营商不想得到它,这可能会对他们产生重大影响,”他说。“
