日益頻繁的勒索軟件攻擊引起了人們的關(guān)注,導(dǎo)致一些頂級(jí)網(wǎng)絡(luò)論壇在今年早些時(shí)候禁止在其平臺(tái)上討論勒索軟件活動(dòng)和進(jìn)行交易。雖然有些人希望這能夠?qū)账鬈浖M織的能力產(chǎn)生重大影響,但這些禁令只會(huì)將他們的非法活動(dòng)轉(zhuǎn)向地下,使研究機(jī)構(gòu)和安全人員更難對(duì)其進(jìn)行監(jiān)控。
如果說有什么區(qū)別的話,在這些論壇發(fā)布禁令之后的幾個(gè)月里,勒索軟件攻擊比以往任何時(shí)候都更加有力和大膽。事實(shí)上,勒索軟件是網(wǎng)絡(luò)犯罪經(jīng)濟(jì)的生命線,需要采取更加嚴(yán)厲的措施來應(yīng)對(duì)。協(xié)調(diào)勒索軟件攻擊的團(tuán)體如今高度專業(yè)化,在很多方面都類似于現(xiàn)代公司結(jié)構(gòu),其中包括開發(fā)團(tuán)隊(duì)、銷售部門、公關(guān)部門、外部承包商和服務(wù)提供商,他們都從勒索軟件攻擊的非法收益中分一杯羹。他們甚至在與受害者的交流中使用商業(yè)術(shù)語,將受害者稱之為購(gòu)買數(shù)據(jù)解密服務(wù)的客戶。
Akamai公司安全研究員Steve Ragan說,“網(wǎng)絡(luò)犯罪分子的世界與我們的商業(yè)世界類似,只是更黑暗和扭曲。”
依賴?yán)账鬈浖牡叵陆?jīng)濟(jì)
通過查看勒索軟件運(yùn)營(yíng)所涉及的內(nèi)容以及團(tuán)體的組織方式,很容易看出勒索軟件是網(wǎng)絡(luò)犯罪經(jīng)濟(jì)的中心。勒索軟件組織通常雇用以下人員:
•編寫文件加密程序人員(開發(fā)團(tuán)隊(duì))
•建立和維護(hù)支付和泄密站點(diǎn)以及溝通渠道的人員(IT基礎(chǔ)設(shè)施團(tuán)隊(duì))
•在論壇上宣傳勒索軟件服務(wù)的人員(銷售團(tuán)隊(duì))
•與媒體記者溝通、在Twitter上發(fā)布消息,并在他們的博客上發(fā)布公告的人員(公關(guān)和社交媒體團(tuán)隊(duì))
•協(xié)商支付贖金的人員(客戶支持團(tuán)隊(duì))
•在受害者的網(wǎng)絡(luò)上執(zhí)行人工操作黑客攻擊和橫向移動(dòng),以部署勒索軟件程序以獲得部分利潤(rùn)的人員(附屬公司或滲透測(cè)試人員的外部承包商)
這些團(tuán)體和人員通常從其他網(wǎng)絡(luò)犯罪分子那里購(gòu)買進(jìn)入受害者網(wǎng)絡(luò)的權(quán)限,這些網(wǎng)絡(luò)犯罪分子已經(jīng)用木馬程序或僵尸網(wǎng)絡(luò)或通過竊取的憑據(jù)破壞了安全系統(tǒng)。這些第三方組織稱為網(wǎng)絡(luò)訪問代理。勒索軟件團(tuán)體還可能購(gòu)買包含被盜賬戶信息或內(nèi)部轉(zhuǎn)儲(chǔ)的數(shù)據(jù)和信息,這些信息可能有助于目標(biāo)偵察。垃圾郵件服務(wù)也經(jīng)常被勒索軟件團(tuán)體使用。
換句話說,網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)中的很多方面都通過勒索軟件直接或間接獲利。因此,這些團(tuán)體變得更加專業(yè),并與擁有投資者、產(chǎn)品營(yíng)銷、客戶支持、工作機(jī)會(huì)、合作伙伴關(guān)系等合法企業(yè)類似,這種情況并不罕見。這是一種多年來逐漸形成的趨勢(shì)。
安全公司Intel 471公司的首席信息安全官Brandon Hoffman說:“地下網(wǎng)絡(luò)犯罪本質(zhì)上已經(jīng)成為一個(gè)經(jīng)濟(jì)體,在那里有服務(wù)提供商、產(chǎn)品創(chuàng)造者、金融家、基礎(chǔ)設(shè)施提供商。在這個(gè)經(jīng)濟(jì)體中,擁有所有這些不同種類的供應(yīng)商和買家。就像在我們的自由市場(chǎng)經(jīng)濟(jì)中一樣,因?yàn)閾碛羞@些不同類型的服務(wù)提供商和產(chǎn)品提供商很自然地開始走到一起,成立團(tuán)體以提供一攬子服務(wù)和商品,就像我們?cè)诮?jīng)濟(jì)運(yùn)營(yíng)中所做的那樣。所以,我認(rèn)為他們正在快速發(fā)展。”
Ragan說,“多年來,我們知道網(wǎng)絡(luò)犯罪團(tuán)體和合法的企業(yè)一樣擁有軟件開發(fā)生命周期,他們有市場(chǎng)營(yíng)銷、公關(guān)、中層管理人員,也有幫助高級(jí)犯罪分子決策的人員,這并不新鮮。只是越來越多的人開始關(guān)注其中的相似之處。”
勒索軟件集團(tuán)靈活多變,破壞力越來越大
多年來,勒索軟件攻擊使許多醫(yī)院、學(xué)校、公共服務(wù)機(jī)構(gòu)、地方和州政府機(jī)構(gòu)甚至警察部門癱瘓,今年5月初對(duì)美國(guó)最大的成品油管道系統(tǒng)Colonial管道的網(wǎng)絡(luò)攻擊成為一個(gè)里程碑式事件。
此次泄露事件是一家名為DarkSide的勒索軟件組織造成的,迫使Colonial公司在其57年的經(jīng)營(yíng)歷史中首次關(guān)閉其輸油管道系統(tǒng),以防止勒索軟件攻擊其關(guān)鍵控制系統(tǒng)。此次攻擊導(dǎo)致美國(guó)東海岸的燃料短缺。該事件引起行業(yè)人士和媒體的廣泛關(guān)注,因?yàn)樗怀隽死账鬈浖?duì)關(guān)鍵基礎(chǔ)設(shè)施構(gòu)成的威脅,引發(fā)了關(guān)于此類攻擊是否應(yīng)歸類為恐怖主義活動(dòng)的爭(zhēng)論。
就連DarkSide的運(yùn)營(yíng)商也意識(shí)了事態(tài)的嚴(yán)重性,并宣布對(duì)其附屬公司(實(shí)際進(jìn)行黑客攻擊和部署勒索軟件的第三方承包商)進(jìn)行節(jié)制,聲稱希望在未來避免產(chǎn)生這樣的社會(huì)后果,但對(duì)于DarkSide的服務(wù)提供商來說,帶來的影響太大了。
在此次網(wǎng)絡(luò)攻擊發(fā)生幾天后,網(wǎng)絡(luò)犯罪論壇XSS的管理員宣布禁止平臺(tái)上所有與勒索軟件相關(guān)的活動(dòng),理由是公關(guān)事件過多,并將執(zhí)法風(fēng)險(xiǎn)提高到“危險(xiǎn)級(jí)別” 。
包括REvil公司在內(nèi)的其他知名勒索軟件集團(tuán)也立即宣布了類似的政策,并明令禁止攻擊醫(yī)療、教育和政府機(jī)構(gòu),以控制公關(guān)影響。另外兩個(gè)大型網(wǎng)絡(luò)犯罪論壇也很快就禁止了勒索活動(dòng)。
隨后,DarkSide公司宣布關(guān)閉,因?yàn)樵摴緹o法訪問其博客、支付服務(wù)器、比特幣錢包和其他公共基礎(chǔ)設(shè)施,聲稱其托管服務(wù)提供商僅在執(zhí)法機(jī)構(gòu)的要求下做出回應(yīng)。在一個(gè)月后,美國(guó)聯(lián)邦調(diào)查局宣布設(shè)法追回了440萬美元的加密貨幣,而這是Colonial管道公司被迫支付給黑客以解密其系統(tǒng)并恢復(fù)正常運(yùn)營(yíng)的贖金。
在最主要的網(wǎng)絡(luò)犯罪論壇上禁止勒索軟件活動(dòng)是一項(xiàng)重大進(jìn)展,因?yàn)槎嗄陙恚@些論壇一直是勒索軟件組織招募附屬機(jī)構(gòu)的主要場(chǎng)所。這些論壇為網(wǎng)絡(luò)犯罪分子之間的公共和私人交流提供了一種簡(jiǎn)單的溝通方式,甚至為雙方互不了解和信任的交易提供資金托管服務(wù)。
在某種程度上,這些禁令還影響了監(jiān)控這些論壇以收集有關(guān)威脅行為者和新威脅的情報(bào)的網(wǎng)絡(luò)安全公司。雖然大多數(shù)網(wǎng)絡(luò)犯罪研究人員都知道論壇禁令并不會(huì)從整體上阻止勒索軟件的攻擊,但有些人確實(shí)想知道他們的下一步行動(dòng)。例如,他們會(huì)遷移到其他論壇嗎?他們會(huì)建立自己的網(wǎng)站用于廣告和與附屬公司的溝通嗎?他們會(huì)轉(zhuǎn)向像Jabber或Telegram這樣的實(shí)時(shí)聊天程序嗎?
Ragan說:“這樣做的目的是將這些討論轉(zhuǎn)移到其他私人團(tuán)體。他們并不會(huì)消失,他們所做的就是遠(yuǎn)離公眾視線。在以往很長(zhǎng)的一段時(shí)間里,人們?cè)谡搲峡梢钥吹剿麄兊娜藛T招聘、業(yè)務(wù)發(fā)展、討論主題,以及他們正在開發(fā)什么樣的功能。而現(xiàn)在這一切都過去了,人們無法預(yù)測(cè)未來的變化。不幸的是,這意味著人們不會(huì)知道新的勒索軟件變種或增加的新功能,直到出現(xiàn)新的受害者。”
事件響應(yīng)和數(shù)字取證服務(wù)商LIFARS公司創(chuàng)始人兼首席執(zhí)行官Ondrej Krehel表示,勒索軟件活動(dòng)并未受到論壇禁令的影響,因?yàn)閰⑴c此類活動(dòng)的大多數(shù)參與者已經(jīng)通過Telegram和Threema上的私人團(tuán)體進(jìn)行溝通和交流,這已經(jīng)有兩三年的時(shí)間。
作為營(yíng)銷工作的一部分,這些論壇上仍然有一些吸引力,但如果有人真的想得到更具體的東西,則必須已經(jīng)成為這些團(tuán)體的一部分,有些人需要支付與已知網(wǎng)絡(luò)犯罪活動(dòng)有關(guān)的比特幣進(jìn)行證明自己的身份。Krehel說,“勒索軟件攻擊事件將會(huì)繼續(xù)增長(zhǎng)。”
網(wǎng)絡(luò)犯罪分子退出只是轉(zhuǎn)變成不同的角色
如今,每隔幾個(gè)月就有一家知名勒索軟件集團(tuán)宣布將中止業(yè)務(wù)運(yùn)營(yíng)。上個(gè)月是Avaddon公司,DarkSide在此之前宣布解散。而當(dāng)他們決定解散或中止業(yè)務(wù)運(yùn)營(yíng)時(shí),通常會(huì)釋放他們的主密鑰,這可能為一些尚未支付贖金或從備份中恢復(fù)其文件的受害者提供幫助,但這些團(tuán)隊(duì)背后的網(wǎng)絡(luò)罪犯并不會(huì)真正從其生態(tài)系統(tǒng)中消失或者被捕入獄。他們只是轉(zhuǎn)移到其他團(tuán)體或改變角色,例如成為勒索軟件運(yùn)營(yíng)經(jīng)理或投資者。
Ragan將其與使用空殼公司籌集資金的傳統(tǒng)犯罪分子進(jìn)行比較,這樣的公司的犯罪行為在引起人們的關(guān)注時(shí)則迅速解散。他說,“幾乎每次都是這樣,他們習(xí)慣于成立空殼公司,并致力將其用于邪惡手段。”
Krehel指出,勒索軟件團(tuán)體的生命周期通常在兩年左右,因?yàn)樗麄兠靼卓赡軙?huì)受到更多關(guān)注,尤其是他們可能獲得成功的情況下,最好的辦法就是關(guān)閉并創(chuàng)建新團(tuán)體。他表示,也許有些成員退出之后成為其他團(tuán)體的風(fēng)險(xiǎn)投資家,但這種洗牌帶來更多混亂,使執(zhí)法部門更難查清所有參與者。
勒索軟件的投資回報(bào)率非常好,以至于越來越多的網(wǎng)絡(luò)犯罪分子參與其中。這就是與其他形式的網(wǎng)絡(luò)犯罪團(tuán)體(例如信用卡盜竊或入侵銀行)開始采用勒索軟件作為收入來源或與勒索軟件團(tuán)伙合作的原因。
Ragan說,“這些團(tuán)體已經(jīng)轉(zhuǎn)移業(yè)務(wù)并與勒索軟件團(tuán)體合并或結(jié)成聯(lián)盟。從字面上看,這類似于現(xiàn)實(shí)世界的合并和收購(gòu)。他們可能從其他團(tuán)體那里獲得了人才,現(xiàn)在他們正在開發(fā)自己的勒索軟件,或者他們獲得了附屬程序并將其合并。”
Hoffman說,“很明顯,這些新團(tuán)體的一些成員很可能來自舊群體,例如Maze、Egregor、REvil都進(jìn)行了拆分,并創(chuàng)建了新的團(tuán)體,例如Astra Locker和LV等。雖然它們并不都是相關(guān)的,但新群體和舊群體之間有很多聯(lián)系。”
一些新的團(tuán)隊(duì)也可能招募新的業(yè)務(wù)人員,并為他們提供一個(gè)獲得更多勒索軟件使用經(jīng)驗(yàn)的平臺(tái)。
Krehel說,“現(xiàn)在還存在一個(gè)可供雇用網(wǎng)絡(luò)犯罪分子的生態(tài)系統(tǒng),這些人沒有相關(guān)的犯罪記錄,他們?cè)趯?shí)施了成功的攻擊之后而沒有被捕。這些人將他們的專業(yè)知識(shí)添加到他們的犯罪履歷中,并且受到犯罪團(tuán)伙的信任。這些成員也經(jīng)常更換團(tuán)體。這就像谷歌和Facebook等大公司一樣,其員工也在不斷地更換工作。”
可能需要采取的行動(dòng)和措施
網(wǎng)絡(luò)犯罪分子不會(huì)輕易放棄勒索軟件攻擊,因?yàn)槔麧?rùn)太高,而惡意軟件創(chuàng)造者和網(wǎng)絡(luò)罪犯都知道這是一條不成文的規(guī)則:不要以本地公司為攻擊目標(biāo)。
繼在今年7月又一次備受矚目的勒索軟件攻擊影響了來自世界各地的1000多家公司之后,美國(guó)政府與俄羅斯政府進(jìn)行了會(huì)談,并宣布在網(wǎng)絡(luò)攻擊問題上開展合作,并暗示美國(guó)準(zhǔn)備對(duì)勒索軟件攻擊中使用的服務(wù)器進(jìn)行打擊報(bào)復(fù)。在此之后,Kaseya公司(其軟件遭到黑客攻擊并被用于傳播勒索軟件)從一個(gè)未披露但被稱為可信第三方的來源收到了主解密密鑰。
一些國(guó)家的執(zhí)法機(jī)構(gòu)將采取行動(dòng)阻止勒索軟件團(tuán)體的攻擊,并在他們?cè)斐筛笪:χ白柚咕W(wǎng)絡(luò)攻擊。
Ragan說,“如果政府機(jī)構(gòu)將勒索軟件團(tuán)伙作為主要打擊目標(biāo),那么這些團(tuán)伙可能無能為力。這些網(wǎng)絡(luò)犯罪分子有一種現(xiàn)實(shí)的恐懼,我認(rèn)為這就是造成這些團(tuán)隊(duì)匆忙解散的原因。”
Hoffman認(rèn)為,各國(guó)政府可以為企業(yè)的安全提供政策支持,通過提供基礎(chǔ)設(shè)施用于打擊商業(yè)犯罪,在這種情況下,可能為企業(yè)的安全減少一些壓力。
Hoffman表示,網(wǎng)絡(luò)犯罪分子通常并不會(huì)與政府機(jī)構(gòu)對(duì)抗。他說,“因此,如果政府動(dòng)用更多的力量來打擊網(wǎng)絡(luò)犯罪,這些網(wǎng)絡(luò)犯罪論壇和運(yùn)營(yíng)商并不想得到這樣的結(jié)果,這可能會(huì)對(duì)他們產(chǎn)生重大的影響。”
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)