我们正处在包括勒索软件团伙在内的网络犯罪分子纷纷成立有组织的机构开展非法经营活动,而不是单打独斗。勒索软件团伙、勒索团伙和DDoS攻击者的日益成功并非偶然。每一个梦幻般的名字背后都是一个有组织的组织,由不同层次的参与者组成,他们同步工作,瓜分利益,以达到最终的目标。以下是几种典型的网络犯罪角色:1.IngressAccessBrokers(IAB)IAB(Initialaccessbrokers)是指将企业的网络访问权出售给买家的人,主要通过地下数据交易市场、论坛或即时通讯工具、聊天组来完成交易。购买访问权限的人随后可以进入受害者的网络,安装间谍软件,窃取商业机密,或者安装勒索软件,拖动数据等。IAB本身一般不会做这些事情。过去,网络犯罪对IAB的需求并不高,大部分需求是被商业竞争对手雇佣用于间谍和盗窃。然而,勒索软件时代导致对IAB的需求“呈指数级增长”,成为网络犯罪产业链中的“入口”角色。2.EverythingasaService(XaaS)在网络犯罪语境中,EverythingasaService(XaaS)通常是指勒索软件即服务(RaaS)或恶意软件即服务(MaaS),甚至是犯罪即服务(CaaS),这些平台构成了网络犯罪的新商业模式。与软件即服务(SaaS)交付模型非常相似,这些aaS是提供勒索软件工具、网络钓鱼工具的平台,专门针对执行特定攻击的网络犯罪分子,并使用这些工具在不掌握先进技术的情况下实施网络犯罪。当然,这是要收费的。作为这样的服务提供者,无论他的客户攻击成功与否,他都会得到一定的好处。不仅如此,在这种XaaS模式中,意味着它可能在法律上是安全的。他们只负责提供工具,工具用来做什么是客户的事。在勒索软件时代之前,网络罪犯通常是技术娴熟的黑客,他们独自寻找目标、侵入网络、窃取数据并自行进行交易。但XaaS模式降低了黑客攻击获利的技术门槛,包括IAB、RaaS、MaaS等服务。网络犯罪分子只需要精通一个领域,甚至任何领域,就可以实施网络攻击。因此,勒索软件事件愈演愈烈。3.勒索软件附属机构勒索软件附属机构可以看作是勒索软件组织雇用的综合性“承包商”,负责执行运营任务,从IAB购买初始网络访问权限,到获取凭据、数据等以发起攻击。在执行成功的攻击和勒索后,勒索软件联盟从受害者支付的赎金中收取佣金。为了加快攻击速度,勒索软件附属公司可能会租用RaaS平台,使用“出租勒索软件”加密文件,或利用任何现有的工具、服务和漏洞进行攻击和获利。正是因为这些XaaS的出现,降低了攻击的技术门槛。无需自己开发工具,只需要专注于攻击活动的组织和运作即可。4、恶意软件开发者恶意软件的核心组成部分是针对零日漏洞或已知漏洞的EXP(exploitation),可以攻击具有相应漏洞的各种网络设备和应用程序,甚至某些嵌入式应用程序。一个组件,例如Log4j。早期,恶意软件和漏洞利用程序的开发者从最普通的“脚本小子”到黑客大师,但随着黑产业的形成和网络犯罪分子的分工,许多高精尖的恶意软件开发团队已经成为“常客”army”,甚至还有软件开发生命周期和编程文档,就像合法的软件开发过程一样。去年,在勒索软件团伙(Conti)的入侵中,心怀不满的合作者(勒索软件分支机构)泄露了该团伙的数据,包括渗透测试工具、手册、培训材料和提供给分支机构的文件。在类似的事件中,一名自称是Babuk勒索软件管理员的个人发布了该组织的VisualStudio项目文档和源代码。从这些文档和代码中可以看出,Babuk的开发过程与正规软件公司没有区别,遵循相同的规范和结构。另一方面,加密货币的流行也使其交易平台成为网络攻击的重灾区。精通密码学并对区块链协议有深入了解的恶意软件开发人员利用这些平台中的零日或未修补漏洞来窃取大量加密货币。2月,由于GitHub平台上披露了一个未修补的漏洞,价值3.26亿美元的加密货币从Wormhole被盗。去年,PolyNetwork遭遇了“史上最大规模的DeFi黑客攻击”。一名白帽黑客通过平台漏洞转移了价值6.11亿美元的加密货币,但事后几乎全部归还。5、APT组织APT(AdvancedPersistentThreat)过去指的是网络犯罪集团在国家资源支持下采取的以破坏、间谍或获取经济利益为目的的攻击策略。但现在,APT使用的策略也被一些非国家支持的网络参与者采用。历史上最著名的APT攻击当属Stuxnet事件,利用多个Windows零日漏洞感染计算机并传播,最终导致核电站离心机受损。据说这种“极其复杂的计算机蠕虫”是与美国和以色列情报机构合作开发的。工业控制系统的另一个例子是TRITON。该恶意软件于2017年入侵了沙特的一家石化厂,并试图引发爆炸。幸运的是,TRITON代码中的一个漏洞触发了关键系统的拦截,攻击失败了。APT最主流的手段是通过鱼叉式钓鱼进入网络,悄悄传播payload,拖走数据,植入持久化后门秘密监控受害者。今天的APT比以前更加隐蔽和更具战略意义。比如在上游软件或源代码中植入后门,或者侵入第三方供应商。SolarWinds是典型的供应链攻击。6.数据或信息经纪人“数据经纪人”或“信息经纪人”(IB)既可以指合法的服务提供者,也可以指非法的攻击者。前者从公共来源获取数据,例如法庭记录、社交媒体资料、联系方式、商业登记记录,并进行数据聚合。这些信息可以合法地与营销人员、研究人员和企业共享,但需要付费。后者是非法数据经济人。例如,在暗网和数据泄露市场上出售被黑或机密数据。这些数据包括但不限于帐户凭证、信用卡信息、购物历史、公司联系人和个人信息。结语从开发者到XaaS,再到IAB和IB,这些分工是黑色产业链中各个环节的变现,各自卖一部分攻击链或者卖同样的恶意软件(配置不同)到更广泛的范围买家成为双倍的利润。通过这种模式,可以少干活多挣钱。黑色产业链似乎是一个“天然竞争的商业环境”,形成了一个竞争群体,一个真实的市场。这些市场带来的是网络攻击门槛的降低。攻击者无需精通所有方面的技术即可有效地开展网络犯罪活动。
