平行世界的镜像:勒索软件如何运行地下经济?
2021-09-22
来源:嘶吼专业版
为了更大限度地牟利,勒索软件团伙不仅沿袭了传统犯罪集团的一些特征,甚至还开始采用合法企业的所有核心要素,包括明确的员工角色、营销计划、合作伙伴生态系统,甚至风险资本投资等等。
最近几个月,勒索软件已经成为政治上的“烫手山芋”。拜登政府要求俄罗斯政府严厉打击从俄罗斯境内袭击美国目标的犯罪分子,并威胁称,如果俄罗斯当局不尽快采取行动,将直接瓦解他们。
作为回应,一些顶级网络犯罪论坛——包括俄语Exploit和XSS论坛——已在今年早些时候宣布禁止在其平台上讨论勒索软件和进行交易。虽然有些人希望此举能够重创勒索软件团伙,但不幸的现实是,这种禁令只会将他们的活动变得更为隐秘,使安全研究人员和执法机构更难以对其进行追踪和监控。
如果需要证据的话,在论坛禁令后的几个月里,勒索软件攻击比以往任何时候都更加有力和大胆。事实上,勒索软件是网络犯罪经济的生命线,其协调攻击的团体高度专业化,在很多方面都与现代企业结构类似,包括开发团队、销售和公关部门、外部承包商以及服务提供商,他们都可以从非法收益中分一杯羹。他们甚至在与受害者的交流中使用商业术语,将他们称为购买“数据解密服务”的客户。
安全研究人员Steve Ragan表示,勒索软件团伙如同生活在一个平行世界中,那里的一切犹如我们现实世界的倒像,那里有我们熟知的商业世界,只是要更加黑暗和扭曲。
依赖勒索软件的地下经济
通过查看勒索软件操作所涉及的内容以及团体的组织方式,很容易可以看出勒索软件是网络犯罪经济的核心。勒索软件团伙雇佣的人员包括:
编写文件加密程序的(开发团队);
建立及维护支付和泄漏站点,以及沟通渠道的(IT 基础设施团队);
在论坛上宣传勒索软件服务的(销售团队);
与记者沟通并在Twitter及他们的博客上发布消息和公告的(公关和社交媒体团队);
协商支付赎金的(客户支持团队);
在受害者的网络上执行手动黑客攻击和横向移动,部署勒索软件程序以获取部分利润的(称为“附属机构”或渗透测试人员的外部承包商);
“附属机构”(affiliates)通常从其他网络犯罪分子那里——他们已经使用木马程序、僵尸网络或窃取的凭据破坏了系统——购买网络访问权限。这些第三方被称为“网络访问代理”。附属机构还可能购买包含被盗帐户信息或有助于目标侦察的内部信息的数据转储。除此之外,垃圾邮件服务和防弹托管也经常被勒索软件团伙使用。
换句话说,网络犯罪生态系统中的很多方面都通过勒索软件直接或间接牟利。因此,这些团体变得更加专业,并与拥有投资者、经理、产品营销、客户支持、工作机会、合作伙伴关系等的公司类似也就不足为奇了。这是经过多年不断发展完善逐渐形成的趋势。
安全公Intel 471的CISO Brandon Hoffman表示,地下网络犯罪本质上已经成为一种经济,在那里,服务提供商、产品开发者、金融家、基础设施提供商一应俱全。它是和现实世界一样的经济体,只是在那里供应和销售的东西截然不同而已。不过,就像在我们的自由市场经济中一样,由于你拥有所有这些不同类型的服务提供商和产品提供商,因此他们很自然地开始走到一起并共同建立业务以提供一揽子服务和商品。所以,勒索软件团伙的运作模式发展至今实在不足为奇。
事实上,多年前,我们就已经发现犯罪分子和我们其他人一样拥有软件开发生命周期。他们有市场营销、公关、中层管理人员;有负责低级犯罪并向高级犯罪分子报告的人。这些都不是什么新鲜事,只是如今,越来越多的人开始听闻并关注这种趋势。
勒索软件团伙适应市场压力
多年来,勒索软件攻击迫使许多医院、学校、公共服务机构、地方和州政府机构甚至警察部门瘫痪,但今年5月初针对美国最大成品油管道系统Colonial Pipeline的攻击事件算是一个里程碑。
此次攻击事件归因于一个名为“DarkSide”的俄罗斯勒索软件组织,攻击迫使Colonial Pipeline公司57年以来首次关闭其整个汽油管道系统,以防止勒索软件传播到关键控制系统,此举直接导致美国东海岸的燃料短缺。
该事件在媒体舆论中不断发酵,因为它突出了勒索软件对关键基础设施构成的威胁,甚至引发了关于此类攻击是否应归类为恐怖主义形式的辩论。
就连DarkSide运营商也意识到事态的严重性,并宣布对其附属公司——实际进行黑客攻击和部署勒索软件的第三方承包商——引入“审核”,以避免类似事件再次发生。但无奈,此事热度已经发酵,对该组织也产生了重要影响。
攻击发生几天后,最大的俄语网络犯罪论坛之一XSS的管理员宣布禁止平台上所有与勒索软件相关的活动。而包括REvil在内的其他知名勒索软件团伙也立即为其附属公司宣布了类似的缓和政策,禁止其攻击医疗保健、教育和政府机构,以试图控制公关热度。这还远远不够,另外两个大型网络犯罪论坛Exploit和Raid紧随其后,禁止了所有勒索软件相关活动。
事后,DarkSide宣布将关闭其业务,因为它也无法访问其博客、支付服务器、比特币钱包和其他公共基础设施,并声称其托管服务提供商仅在“执法机构的要求下”做出回应。一个月后,联邦调查局宣布它设法收回了Colonial Pipeline被迫支付的440万美元加密货币。
在最流行的网络犯罪论坛上禁止勒索软件活动是一项重大进展,因为多年来,这些论坛一直是勒索软件组织招募附属机构的主要场所。这些论坛为网络犯罪分子之间的公共和私人交流提供了一种简单的方式,甚至为互不了解的双方交易提供资金托管服务。
不过,在某种程度上,这项禁令也影响了网络安全公司通过监控这些论坛,收集有关威胁行为者和新威胁的情报。虽然大多数网络犯罪研究人员都知道论坛禁令不会从整体上阻止勒索软件的运行,但有些人确实想知道他们的下一步行动是什么。他们会迁移到不太受欢迎的论坛吗?他们会建立自己的网站用于广告和与附属机构沟通吗?他们会转向Jabber或Telegram这样的实时聊天程序吗?
研究人员表示,论坛禁令不会让他们消失,只是让他们暂避锋芒。在过去,我们可以在论坛上看到他们的招聘、讨论以及正在开发的新功能。但是现在这些都消失了……我们将无法窥探和预测其变化,不知道他们是否开发了新变种或添加了新功能,直至第一个受害者被击中。
根据事件响应和数字取证公司LIFARS的创始人兼首席执行官Ondrej Krehel的说法,勒索软件的运营并未受到论坛禁令的影响,因为两三年前此类活动的大多数参与者就已经通过Telegram和Threema上的私人群组进行交流。
作为营销工作的一部分,论坛上仍然有一些吸引力,但如果你真的想得到更具体的东西,你必须要成为这些团体的一部分,而想要加入组织,你必须用与已知犯罪活动相关的钱包支付一小部分比特币来证明自己的实力。总而言之,这种勒索软件的增长速度将持续下去。
金盆洗手,还只是改头换面?
每隔几个月,一个备受瞩目的勒索软件组织就会宣布关闭其业务。上个月是Avaddon;在此之前是DarkSide;再再之前是Maze等等。有时,当他们决定解散时,这些团体会释放他们的主密钥,这可能会帮助一些尚未支付赎金或从备份中恢复文件的受害者,但这些团体背后的罪犯并没有真正从生态系统中消失或进入监狱。他们只是转移到其他团体或改变了角色,例如从成功的勒索软件运营商摇身一变成为投资者。
Ragan解释称,这种形式就如同使用空壳公司筹措资金的传统犯罪分子,一旦舆论发酵,他们就会及时止损,宣布解散,然后投入新的角色继续犯罪活动。
根据Krehel的说法,勒索软件组织的生命周期通常在两年左右,因为他们明白在那之后他们会受到太多关注,特别是如果他们已经取得成功,最好的办法就是退出该组织并创建一个新的组织。不排除有些成员会彻底退出勒索软件组织,并成为其他团伙的风险投资家,但这种重新洗牌的形式只会制造混乱,使执法部门更难获取所有参与者的信息。
勒索软件的投资回报率非常好,职业网络犯罪分子无法抵挡住诱惑。这就是为什么与其他形式的网络犯罪(例如信用卡盗窃或入侵银行)有关的团体开始采用勒索软件作为收入来源或与勒索软件团伙合作的原因。
如今,宣布解散的团伙大多已经转移阵地并与其他团伙联合并结成联盟。从字面上看,就类似于现实世界中的“合并”和“收购”。他们可能认为重组之后他们便可以利用其他团体的人才资源,加大开发勒索软件的力度。
Maze、Egregor以及REvil所有这些解散团伙可能已经创造了其他新的东西,例如AstraLocker 和LV以及所有这些即将问世的新团体。它们并不都是相关的,但新群体和旧群体之间有很多关联。一些新团伙可能也会招募“老人”,利用他们丰富的作战经验和积累的资源,将自身发展为更成熟的团体。
攻击性行动迫在眉睫
网络犯罪分子不会轻易放弃勒索软件,因为它太有利可图,而且他们中的许多人生活在俄罗斯,在那里因向西方组织勒索钱财而被捕的可能性很低。源自俄罗斯或独立国家联合体(CIS) 的恶意软件程序通常具有内置检查功能,可防止将其部署在使用俄语或来自独联体国家的其他语言的计算机上。
恶意软件创建者和网络犯罪分子都知道这是一个不成文的规则:不要针对本地公司,你会没事的!俄罗斯不引渡其公民,而且鉴于该国与西方国家目前的地缘政治状态,也不太可能在执法层面上加强网络犯罪方面的合作。
继7月份又一次备受瞩目的勒索软件攻击影响了来自世界各地的1000多家公司之后,拜登总统与俄罗斯总统普京进行了交谈,宣称自己对在网络攻击问题上的合作持乐观态度,但他也暗示美国准备进攻用于勒索软件攻击的服务器以进行报复。
如果未来外交渠道无法产生结果,而俄罗斯执法机构也不在国内采取任何行动,那么美国可能需要采取更具攻击性的方法来劝阻这些团体并在造成大量受害者之前阻止其攻击行动。
Hoffman认为美国有机会在支持企业方面更具攻击性。与其他国家类似,用于民族国家目的的国家基础设施无法用于打击商业犯罪,但面对现如今这种严峻的网络态势,我们可能必须提供它,并使其变得具有攻击性,以减轻本土企业的一些压力。
与准备不足的企业组织相比,网络犯罪分子并不想与政府机构对抗。因此,如果美国国家网络基础设施的全部力量用于对抗网络犯罪世界,这正是论坛运营商所不想看到的,它可能会产生重大影响。另一方面,这是否会导致美国和俄罗斯之间一直悬而未决的“网络战争”,然后俄罗斯的国家网络基础设施将以更明显的方式对我们产生影响呢?答案是,也许吧!