CrowdStrike发布了一张图表来说明网络犯罪团伙之间的关系和相互合作。网络安全报告倾向于将黑客团伙及其恶意软件/黑客行动描述为独立事件,但实际上,网络犯罪社区规模很小,而且比外行人意识到的更加相互关联。网络犯罪团伙拥有复杂的供应链,甚至包括真正的软件公司,他们经常与圈子中的其他人建立合作伙伴关系,以促进获得关键技术以支持他们的黑客行动,或最大化网络犯罪分子的利润。根据网络安全公司CrowdStrike的说法,这些第三方技术分为三类:服务、分发和货币化。细分到每个类别,服务技术通常包括:(1)访问代理-侵入公司网络并将公司内部网络的访问权出售给其他网络犯罪集团的黑客团体。(2)DDoS攻击工具——也称为DDoSbooter或DDoS-for-hire(网络犯罪分子向付费客户提供的按需DDoS攻击能力);支付访问权限后,任何人都可以在Web前端控制页面上对选定的目标发起DDoS攻击。(3)匿名和加密——出售私人代理和虚拟专用网络访问,其他黑客可以利用这些团体提供的服务来伪装他们的位置和攻击源。(4)网络钓鱼工具包——这些网络犯罪团伙创建并维护网络钓鱼工具包、用于自动执行网络钓鱼攻击的Web工具,以及获取网络钓鱼中捕获的凭据。(5)销售硬件-销售定制硬件的黑客团伙,如ATM抓取器、网络嗅探设备等。(6)勒索软件-也称为勒索软件即服务或RaaS,这些网络犯罪团伙出售勒索软件系列或网络访问权供其他团伙创建自己的自定义勒索软件的前端控制页面。(7)犯罪即服务——类似于RaaS,但这些网络犯罪团伙提供银行木马或其他形式的恶意软件。(8)加载程序——也称为“僵尸安装程序”,这些黑客组织用自己的恶意软件感染计算机、智能手机和服务器,提供将另一个黑客组织的恶意软件“加载/安装”到同一系统上。服务,以便其他团体可以从勒索软件、银行木马、信息窃取程序和其他恶意软件中获利。(9)杀毒软件服务/检测器——一个私有的门户网站,恶意软件开发者可以上传样本来测试现有的杀毒软件系统引擎是否可以检测和查杀,而不用担心恶意软件检测结果会被反病毒软件共享。病毒制造商。(10)恶意软件打包服务——基于网页或桌面系统工具,恶意软件开发者可以对自己的恶意软件毒株进行代码打乱,提高杀毒软件的检测难度。(11)Credit/DebitCardTestingServices-一种供黑客测试他们获得的支付卡号格式是否有效以及卡本身是否仍然有效的工具。(12)WebInjectionToolkit-一种专门的工具,通常与银行木马结合使用,供银行木马黑客团体在受害者访问电子银行(或任何其他)网站时将恶意代码注入受害者的浏览器。(13)Hosting&Infrastructure-也称为防弹托管提供商,顾名思义,这些人为网络犯罪组织提供专用网络托管基础设施。(14)CriminalRecruitment——专门招募、收买或诱骗普通公民从事网络犯罪活动的组织(如以赴美旅游为幌子收买特斯拉员工在公司内部运行恶意工具网络)。另一方面,分发服务通常包括以下类型:(1)在社交网络或通过即时通讯应用程序进行垃圾邮件分发活动的团体。(2)专门从事垃圾邮件分发的团体。(3)开发和销售漏洞利用工具包的团体。(4)此类团伙购买被黑网站流量并将其分发到托管漏洞工具包、技术支持诈骗、金融诈骗、网络钓鱼工具包等的恶意网页。至于货币化服务,CrowdStrike认为这一类别通常包括:(1)钱骡服务——这些人从被黑的ATM机上物理取款,将钱存入自己的银行账户,然后将钱转给黑客,选择洗钱,或转运诈骗即成。(2)洗钱——这些团伙通常经营空壳公司网络,通过这些网络洗钱来自被黑银行账户、ATM提现或加密货币盗窃的资金。一些洗钱服务也在暗网上作为比特币混合服务运作。(3)转运欺诈网络——使用被盗资金购买正品并运往另一个国家的集团。这些产品大部分是奢侈品,例如汽车、电子产品或珠宝。到达其他国家后,它们被转卖并换取干净的法币,然后进入委托此类服务的黑客手中。(4)转储商店-通过专门的网站和社交媒体渠道出售被黑客入侵的公司数据的戒指。(5)赎金支付和勒索——专门勒索受害者的团伙可以受其他持有被盗数据的团伙的委托。(6)支付卡信息的收集和销售——也称为卡自动售货店,这些通常是网络犯罪团伙出售被盗支付卡数据的论坛。(7)CryptocurrencyServices——另一种洗钱形式,可用于“混合”被盗资金并帮助黑客摆脱被盗资金。(8)电汇诈骗——顾名思义,专门从事BE诈骗等电汇诈骗的集团。随着当今加密通信渠道的广泛使用,几乎不可能追踪网络犯罪集团与其供应商之间的所有联系,并找出谁在与谁合作。尽管如此,在恶意软件攻击领域,通过查看恶意软件从攻击者流向受感染主机的方式,仍有一些合作迹象。虽然这些联系永远无法得到完全验证,但很明显,当Emotet恶意软件下载TrickBot恶意软件时,这两个网络犯罪团伙进行了合作,而且Emotet集团为TrickBot团伙提供了“加载器”机制。在2月22日发布的《2021年全球威胁报告》中,安全公司CrowdStrike首次总结了地下网络犯罪中各种网络犯罪团伙之间存在的一些联系。该公司对网络犯罪团伙采用了自己的命名法,因此一些网络犯罪团伙的名称可能与我们之前看到的不一样。然而,CrowdStrike还提供了一个交互式索引,允许任何人深入了解各个网络犯罪团伙并将它们与其他公司使用的名称相关联。上图显示,在网络入侵中,支持者的角色与执行入侵的团队一样重要。正如Chainalysis在上个月的另一份报告中指出的那样,执法机构只需密切关注这些共享服务提供商,就可能更成功地打击网络犯罪活动,因为密切关注这些供应商可能是一次性的多个网络犯罪团伙的活动。此外,这样做还有其他好处。例如,顶级网络犯罪集团通常拥有一流的运营安全(OpSec)并且不会披露其运营的任何细节,但执法机构可以从其获取的信息可能并不总是保护其身份的次级提供商揭开面纱打击大型团伙,省时省力,一网打尽。CrowdStrike《2021全球威胁报告》:(点击阅读原文打开)https://www.crowdstrike.com/resources/reports/global-threat-report/互动指数:云服务已成为黑客的新平台https:///adversary.crowdstrike.com/
