今天，美國(guó)安全公司 Carbon Black 發(fā)布了最新的勒索軟件調(diào)查報(bào)告，和去年相比，暗網(wǎng)經(jīng)濟(jì)中勒索軟件的市場(chǎng)規(guī)模猛增了2502%。

技術(shù)門(mén)檻減低，Ransomware-as-a-Service（RaaS）的興起，高回報(bào)，低風(fēng)險(xiǎn)（Tor ，虛擬貨幣可以很好的隱藏自己的身份），缺乏對(duì)受害者的基礎(chǔ)安全保護(hù)，無(wú)一不促進(jìn)了勒索軟件市場(chǎng)的“興旺繁榮”。

去年，大多數(shù)安全專(zhuān)家都預(yù)測(cè)勒索軟件將會(huì)在網(wǎng)絡(luò)犯罪中起到越來(lái)越重要的作用，而這份報(bào)告正好驗(yàn)證了這一點(diǎn)。

暗網(wǎng)市場(chǎng)中，研究人員發(fā)現(xiàn)了 45000 個(gè)勒索軟件

為了收集報(bào)告中用到的相關(guān)數(shù)據(jù)，Car Black 的研究人員調(diào)查了暗網(wǎng)中售賣(mài)的勒索軟件和相關(guān)服務(wù)。

今年 7 月到 9 月，研究人員調(diào)查了 21個(gè)大型的暗網(wǎng)交易市場(chǎng)，得出了驚人的結(jié)論，有近 6300個(gè)網(wǎng)站都在打廣告售賣(mài)勒索軟件和相關(guān)服務(wù)，廣告總數(shù)超過(guò)了 45000個(gè)。而且價(jià)格跨度也非常大，從 1 美元到 3000 美元都有，但這是由于惡意軟件作者使用不同的收費(fèi)模式造成的，有些按單個(gè)軟件定價(jià)，有些按月訂購(gòu)或按年訂購(gòu)。

比較 2016 年和 2017 年至今，暗網(wǎng)中的勒索軟件市場(chǎng)規(guī)模已經(jīng)從 249287.05 美元漲到了 6237248.90 美元，增長(zhǎng)率高達(dá) 2502% 。FBI 提供的數(shù)據(jù)也表示，2016 年的勒索贖金總額約為 1 億美元，高于 2015 年的 2400 萬(wàn)美元。

RaaS 為勒索市場(chǎng)的主要推力

根據(jù) Carbon Black 的報(bào)告可以看出，暗網(wǎng)經(jīng)濟(jì)其實(shí)十分復(fù)雜。舉個(gè)例子，有人提供 RaaS（Ransomware-as-a-Service），它可以提供一體化的全套服務(wù)，而有的人會(huì)提供一些限制性的服務(wù)，還有人僅僅只是提供勒索軟件。

一體化的 RaaS 本身就是一條完善的勒索鏈，其中集成了分發(fā)通道（攻擊套件，spam 僵尸網(wǎng)絡(luò)等）；可以對(duì)比特幣勒索進(jìn)行管理的支付模式；對(duì)文件的加密與解鎖，還有對(duì)用戶(hù)的技術(shù)支持，所有的這些都集成在一個(gè)簡(jiǎn)單的 web 后臺(tái)面板中。

限制性服務(wù)對(duì)比一體化 RaaS 而言，就少了很多功能，通常定價(jià)也并不是很高。

總的來(lái)說(shuō)，對(duì)于賣(mài)家來(lái)說(shuō)做的事情還是很少的——惡意軟件的開(kāi)發(fā)者僅僅只是售賣(mài)整個(gè)勒索軟件鏈，剩下怎么發(fā)揮，就交給買(mǎi)家了。

地下產(chǎn)業(yè)愈加成熟

地下的勒索軟件經(jīng)濟(jì)已趨于成熟，和現(xiàn)有的軟件商業(yè)模式類(lèi)似，包括開(kāi)發(fā)，售后，分發(fā)，經(jīng)銷(xiāo)，質(zhì)保等各個(gè)環(huán)節(jié)。整個(gè)勒索軟件行業(yè)越來(lái)越像一個(gè)合法的行業(yè)。

擺在眼前的現(xiàn)實(shí)是，由于存在高利潤(rùn)，勒索軟件行業(yè)正在快速增長(zhǎng)。如何削弱其盈利能力就顯得尤為重要。Carbon Black 將整個(gè)行業(yè)分為5大點(diǎn)：開(kāi)發(fā)，分發(fā)，加密，支付，指揮和控制。安全從業(yè)者如果可以打掉整個(gè)環(huán)節(jié)或者其中一個(gè)點(diǎn)，整條攻擊鏈就會(huì)分崩離析。

著眼于軟件開(kāi)發(fā)環(huán)節(jié)是不可能的，當(dāng)年輕的開(kāi)發(fā)人員在合法工作上獲得的收益不高時(shí)，他們就會(huì)通過(guò)開(kāi)發(fā)勒索軟件牟利；分發(fā)環(huán)節(jié)同樣難以打破，因?yàn)檎麄€(gè)市場(chǎng)都是隱藏在暗網(wǎng)之下的；加密同樣不可控制，在公開(kāi)領(lǐng)域可以很輕松的獲得加密系統(tǒng)；而付款就是最弱的環(huán)節(jié)了，整個(gè)供應(yīng)鏈的目的就是為了收取贖金——但是如果贖金的支付變得不方便了，整個(gè)行業(yè)就會(huì)崩塌。

報(bào)道中表示，我們需要停止支付贖金，只有受害者選擇支付贖金，整個(gè)行業(yè)才可以正常運(yùn)轉(zhuǎn)。人們?nèi)绻恢边x擇支付贖金的話(huà)，這樣的問(wèn)題還會(huì)越來(lái)越嚴(yán)重。不過(guò)，如果某個(gè)國(guó)家或目標(biāo)行業(yè)有足夠的人都拒絕支付贖金的話(huà)，犯罪分子很可能會(huì)換個(gè)地方繼續(xù)作惡。拒絕支付贖金并不能根本解決問(wèn)題，它只是將問(wèn)題轉(zhuǎn)移到別的地方。

在此背景下，勒索軟件行業(yè)還將繼續(xù)發(fā)展。到目前為止，勒索軟件行業(yè)已經(jīng)很大程度上掌握在那些技術(shù)并不是很高明的人手中，軟件復(fù)雜性再也不是成功的必要條件。報(bào)告中也談到了這種變化，WannaCry 和 NotPetya 就是很明顯的例子，前者并不復(fù)雜，而后者也并不是專(zhuān)門(mén)為了加密文件而產(chǎn)生的。無(wú)論怎樣，利用 NSA 泄露的工具逐漸變成一個(gè)新的趨勢(shì)。

加密可能只是為了更好的隱蔽自己

然而 Carbon Black 在隨后的報(bào)告中也指出，這種勒索手段或許只是一種煙霧彈，使用已經(jīng)存在的技術(shù)刪除計(jì)算機(jī)備份（文件備份，Windows 事件記錄）攻擊者可以讓防衛(wèi)者更專(zhuān)注與事件響應(yīng)，想方設(shè)法去解密上鎖的文件而不是去調(diào)查攻擊者的相關(guān)數(shù)據(jù)和憑證。這些勒索軟件越將注意力放在加密文件上，就越可以幫助攻擊者隱藏自己的行蹤。

這些就是報(bào)告中提到的整個(gè)勒索軟件發(fā)展的現(xiàn)狀：一方面勒索軟件可能會(huì)集中在真正有技術(shù)的開(kāi)發(fā)者手中，另一方面是在識(shí)別哪些受害者會(huì)支付贖金這件事上下功夫，這兩方面的結(jié)合就是人和產(chǎn)品的結(jié)合。

并且這些惡意軟件開(kāi)發(fā)者會(huì)使用更先進(jìn)更持久的的技術(shù)，在對(duì)受害者進(jìn)行解密后仍存留在受害者的網(wǎng)路上，從而以后找機(jī)會(huì)進(jìn)行二次敲詐。

勒索軟件開(kāi)發(fā)者年收入高達(dá) 10 萬(wàn)美元

如此龐大的市場(chǎng)對(duì)于每個(gè)人都是開(kāi)放的，Carbon Black 的報(bào)告中顯示，勒索軟件開(kāi)發(fā)者的年收入高達(dá) 10 萬(wàn)美元，這已經(jīng)超過(guò)了正常的軟件開(kāi)發(fā)人員的收入（69000 美元）。

這種差距在東歐國(guó)家更加明顯，這里被稱(chēng)作惡意軟件的發(fā)源地，暗網(wǎng)中對(duì)勒索軟件銷(xiāo)售額從 2016 的 40 萬(wàn)美元飆升到 625 萬(wàn)美元。

當(dāng)然，報(bào)告中并沒(méi)有包含深網(wǎng)和 XMPP spam中的售賣(mài)數(shù)據(jù)。

關(guān)于更多勒索軟件市場(chǎng)調(diào)查的詳細(xì)信息，請(qǐng)點(diǎn)擊這里下載。