研究人員聲稱已經(jīng)發(fā)現(xiàn)了目前最大的勒索軟件即服務(wù)（RaaS）利潤環(huán)。臭名昭著的Cerber勒索軟件通過RAAS模式攻擊目標(biāo)計算機(jī)用戶，每年可獲利約250萬美元。

勒索軟件發(fā)展現(xiàn)狀分析

自2005年以來，勒索軟件已經(jīng)成為最普遍的網(wǎng)絡(luò)威脅。根據(jù)資料顯示，在過去11年間，勒索軟件感染已經(jīng)涉及超過7694到6013起數(shù)據(jù)泄露事故。

多年來，主要有兩種勒索軟件：基于加密和基于locker的勒索軟件。加密勒索軟件通常會加密文件和文件夾、硬盤驅(qū)動器等。而Locker勒索軟件則會鎖定用戶設(shè)備，通常是基于Android的勒索軟件。

新時代勒索軟件結(jié)合了高級分發(fā)技術(shù)(例如預(yù)先建立基礎(chǔ)設(shè)施用于快速廣泛地分發(fā)勒索軟件)以及高級開發(fā)技術(shù)(例如使用crypter以確保逆向工程極其困難)。此外，離線加密方法正越來越流行，其中勒索軟件利用合法系統(tǒng)功能(例如微軟的CryptoAPI)以消除命令控制通信的需要。

勒索軟件即服務(wù)（RaaS）利潤環(huán)

關(guān)于RaaS

勒索軟件即服務(wù)模式是指，勒索軟件編寫者開發(fā)出惡意代碼，并提供給其他犯罪分子(有時通過購買)，讓他們可以通過網(wǎng)絡(luò)釣魚或其他攻擊發(fā)送給目標(biāo)用戶。

近日，根據(jù)Check Point公司和IntSights的研究報告顯示：Cerber勒索軟件選擇了RAAS模式，即勒索到解鎖服務(wù)，同時出租勒索軟件套件給其他騙子作為其下線，感染Cerber之后的電腦需要支付1比特幣(大約是580美元)進(jìn)行解鎖。據(jù)估，僅7月份犯罪分子就已經(jīng)獲取了大約20萬美元的收益。

Check Point威脅情報部門經(jīng)理Maya Horowitz表示：

“這些組織已經(jīng)發(fā)展的日益強(qiáng)大，組織有序，精于擴(kuò)大感染率，發(fā)展自身組織規(guī)模以及逃避檢測。”

破解RaaS 產(chǎn)業(yè)鏈已經(jīng)不是什么新鮮事了。今年6月，網(wǎng)絡(luò)安全情報公司Flashpoint的安全研究人員就發(fā)現(xiàn)了一個代銷商組織網(wǎng)絡(luò)（affiliate network），其中包含主銷勒索軟件制定者以及簡單的勒索軟件感染專家（主要負(fù)責(zé)尋找新的受害者）。但是，Horowitz表示：這一最新發(fā)現(xiàn)說明RaaS已經(jīng)發(fā)展到了一個新的水平，它可以利用先進(jìn)的加密貨幣洗錢技術(shù)——“比特幣混合（Bitcoin mixing）”加之運轉(zhuǎn)良好的分銷網(wǎng)絡(luò)系統(tǒng)實現(xiàn)運作。

Horowitz介紹稱：比特幣混合（Bitcoinmixing），是RaaS網(wǎng)絡(luò)犯罪使用的一種確保勒索收益逃避追蹤的技術(shù)。她表示：“比特幣混合服務(wù)通過將比特幣發(fā)送地址和接收地址的關(guān)系打斷，達(dá)到無法追蹤的目的。此外，用戶可以在混合過程的最后環(huán)節(jié)將錢劃分到多個比特幣錢包中。”

Horowitz解釋道：

“雖然攻擊者獲得了所有的勒索收益，但是他們并不希望將所有收益放在一個比特幣錢包中，因此他們采取了混幣服務(wù)，混幣服務(wù)將錢分散在成百上千的比特幣錢包中，與其他人的錢混合在一起。隨后，攻擊者可以借助比特幣錢包將利潤分配到下線。通過這種形式，任何監(jiān)視區(qū)塊鏈活動的人都無法追蹤到這些錢的來源渠道。”

研究人員表示，勒索軟件的開發(fā)者會留下40%的利潤，其余60%的利潤分發(fā)給為他們尋找新目標(biāo)的眾多下線。

研究人員稱，攻擊者正在使用一種CERBER新變種——7月29日發(fā)布的“CERBER 2”。Check Point表示，雖然已經(jīng)進(jìn)行了更新升級，但仍有針對舊版CERBER勒索軟件和CERBER 2版本的解密工具存在。

自2016年2月首次亮相后，CERBER已經(jīng)與Magnitude, RIG 以及 Nuclear Pack漏洞利用工具包一起，通過垃圾郵件實現(xiàn)大范圍的傳播。CERBER勒索軟件以其利用計算機(jī)揚聲器向受害者傳遞語音信息。Cerber勒索軟件會生成一套VBScript，標(biāo)題為“# DECRYPT MY FILES #.vbs”，其允許計算機(jī)向受害者播放隨機(jī)信息。其目前只能朗讀英文，但其使用的解密網(wǎng)站則提供12種語言版本。其播放內(nèi)容包括“注意！注意！注意！”以及“你的文件、圖片、數(shù)據(jù)庫以及其它重要文件已經(jīng)被加密！”

Check Point 和 IntSights公司表示，他們能夠通過監(jiān)控受感染的端點和被犯罪分子操縱服務(wù)器之間的實際C2通信獲得深層智能（deep intelligence）放入CERBER RaaS服務(wù)中。

Horowitz稱：

“過去，這種類型的協(xié)同攻擊屬于國家性質(zhì)的攻擊。攻擊者一般是知識豐富且技術(shù)熟練的專業(yè)人員。現(xiàn)在，自動攻擊工具和RaaS網(wǎng)絡(luò)已經(jīng)將網(wǎng)絡(luò)攻擊的覆蓋面不斷擴(kuò)展。分銷組織可以購買攻擊工具包和租用勒索軟件，不再需要任何技術(shù)知識或工具。他們只需要訪問暗網(wǎng)并雇人完成相關(guān)服務(wù)即可。”

根據(jù)Check Point統(tǒng)計，單單在上個月，Cerber勒索軟件在全球超過201個國家感染了超過15萬臺電腦。其中感染人數(shù)最多的國家是韓國，美國在目標(biāo)國家行列中排名第四。

目前，勒索軟件仍然是一個以社會工程學(xué)技術(shù)和網(wǎng)絡(luò)釣魚相結(jié)合的普遍性威脅，大家簡單的了解這些現(xiàn)狀后，將有助于企業(yè)和個人用戶加強(qiáng)自身數(shù)據(jù)的安全性。至少，我們必須要做到的是定期備份重要文件。同樣需要強(qiáng)調(diào)的是，請大家一定要堅持住，千萬不要直接支付贖金。因為這些黑客很可能會盯上有較強(qiáng)支付能力的同一用戶。最后，請您持續(xù)更新系統(tǒng)中的軟件，以避免受到勒索軟件的侵害。