勒索软件团伙正在采用企业的所有核心要素进行攻击,其中包括员工角色、营销计划、合作伙伴生态系统,甚至风险资本投资。
日益频繁的勒索软件攻击引起了人们的关注,导致一些顶级网络论坛在今年早些时候禁止在其平台上讨论勒索软件活动和进行交易。虽然有些人希望这能够对勒索软件组织的能力产生重大影响,但这些禁令只会将他们的非法活动转向地下,使研究机构和安全人员更难对其进行监控。
如果说有什么区别的话,在这些论坛发布禁令之后的几个月里,勒索软件攻击比以往任何时候都更加有力和大胆。事实上,勒索软件是网络犯罪经济的生命线,需要采取更加严厉的措施来应对。协调勒索软件攻击的团体如今高度专业化,在很多方面都类似于现代公司结构,其中包括开发团队、销售部门、公关部门、外部承包商和服务提供商,他们都从勒索软件攻击的非法收益中分一杯羹。他们甚至在与受害者的交流中使用商业术语,将受害者称之为购买数据解密服务的客户。
Akamai公司安全研究员Steve Ragan说,“网络犯罪分子的世界与我们的商业世界类似,只是更黑暗和扭曲。”
依赖勒索软件的地下经济
通过查看勒索软件运营所涉及的内容以及团体的组织方式,很容易看出勒索软件是网络犯罪经济的中心。勒索软件组织通常雇用以下人员:
编写文件加密程序人员(开发团队)
建立和维护支付和泄密站点以及沟通渠道的人员(IT基础设施团队)
在论坛上宣传勒索软件服务的人员(销售团队)
与媒体记者沟通、在Twitter上发布消息,并在他们的博客上发布公告的人员(公关和社交媒体团队)
协商支付赎金的人员(客户支持团队)
在受害者的网络上执行人工操作黑客攻击和横向移动,以部署勒索软件程序以获得部分利润的人员(附属公司或渗透测试人员的外部承包商)
这些团体和人员通常从其他网络犯罪分子那里购买进入受害者网络的权限,这些网络犯罪分子已经用木马程序或僵尸网络或通过窃取的凭据破坏了安全系统。这些第三方组织称为网络访问代理。勒索软件团体还可能购买包含被盗账户信息或内部转储的数据和信息,这些信息可能有助于目标侦察。垃圾邮件服务也经常被勒索软件团体使用。
换句话说,网络犯罪生态系统中的很多方面都通过勒索软件直接或间接获利。因此,这些团体变得更加专业,并与拥有投资者、产品营销、客户支持、工作机会、合作伙伴关系等合法企业类似,这种情况并不罕见。这是一种多年来逐渐形成的趋势。
安全公司Intel 471公司的首席信息安全官Brandon Hoffman说:“地下网络犯罪本质上已经成为一个经济体,在那里有服务提供商、产品创造者、金融家、基础设施提供商。在这个经济体中,拥有所有这些不同种类的供应商和买家。就像在我们的自由市场经济中一样,因为拥有这些不同类型的服务提供商和产品提供商很自然地开始走到一起,成立团体以提供一揽子服务和商品,就像我们在经济运营中所做的那样。所以,我认为他们正在快速发展。”
Ragan说,“多年来,我们知道网络犯罪团体和合法的企业一样拥有软件开发生命周期,他们有市场营销、公关、中层管理人员,也有帮助高级犯罪分子决策的人员,这并不新鲜。只是越来越多的人开始关注其中的相似之处。”
勒索软件集团灵活多变,破坏力越来越大
多年来,勒索软件攻击使许多医院、学校、公共服务机构、地方和州政府机构甚至警察部门瘫痪,今年5月初对美国最大的成品油管道系统Colonial管道的网络攻击成为一个里程碑式事件。
此次泄露事件是一家名为DarkSide的勒索软件组织造成的,迫使Colonial公司在其57年的经营历史中首次关闭其输油管道系统,以防止勒索软件攻击其关键控制系统。此次攻击导致美国东海岸的燃料短缺。该事件引起行业人士和媒体的广泛关注,因为它突出了勒索软件对关键基础设施构成的威胁,引发了关于此类攻击是否应归类为恐怖主义活动的争论。
就连DarkSide的运营商也意识了事态的严重性,并宣布对其附属公司(实际进行黑客攻击和部署勒索软件的第三方承包商)进行节制,声称希望在未来避免产生这样的社会后果,但对于DarkSide的服务提供商来说,带来的影响太大了。
在此次网络攻击发生几天后,网络犯罪论坛XSS的管理员宣布禁止平台上所有与勒索软件相关的活动,理由是公关事件过多,并将执法风险提高到“危险级别” 。
包括REvil公司在内的其他知名勒索软件集团也立即宣布了类似的政策,并明令禁止攻击医疗、教育和政府机构,以控制公关影响。另外两个大型网络犯罪论坛也很快就禁止了勒索活动。
随后,DarkSide公司宣布关闭,因为该公司无法访问其博客、支付服务器、比特币钱包和其他公共基础设施,声称其托管服务提供商仅在执法机构的要求下做出回应。在一个月后,美国联邦调查局宣布设法追回了440万美元的加密货币,而这是Colonial管道公司被迫支付给黑客以解密其系统并恢复正常运营的赎金。
在最主要的网络犯罪论坛上禁止勒索软件活动是一项重大进展,因为多年来,这些论坛一直是勒索软件组织招募附属机构的主要场所。这些论坛为网络犯罪分子之间的公共和私人交流提供了一种简单的沟通方式,甚至为双方互不了解和信任的交易提供资金托管服务。
在某种程度上,这些禁令还影响了监控这些论坛以收集有关威胁行为者和新威胁的情报的网络安全公司。虽然大多数网络犯罪研究人员都知道论坛禁令并不会从整体上阻止勒索软件的攻击,但有些人确实想知道他们的下一步行动。例如,他们会迁移到其他论坛吗?他们会建立自己的网站用于广告和与附属公司的沟通吗?他们会转向像Jabber或Telegram这样的实时聊天程序吗?
Ragan说:“这样做的目的是将这些讨论转移到其他私人团体。他们并不会消失,他们所做的就是远离公众视线。在以往很长的一段时间里,人们在论坛上可以看到他们的人员招聘、业务发展、讨论主题,以及他们正在开发什么样的功能。而现在这一切都过去了,人们无法预测未来的变化。不幸的是,这意味着人们不会知道新的勒索软件变种或增加的新功能,直到出现新的受害者。”
事件响应和数字取证服务商LIFARS公司创始人兼首席执行官Ondrej Krehel表示,勒索软件活动并未受到论坛禁令的影响,因为参与此类活动的大多数参与者已经通过Telegram和Threema上的私人团体进行沟通和交流,这已经有两三年的时间。
作为营销工作的一部分,这些论坛上仍然有一些吸引力,但如果有人真的想得到更具体的东西,则必须已经成为这些团体的一部分,有些人需要支付与已知网络犯罪活动有关的比特币进行证明自己的身份。Krehel说,“勒索软件攻击事件将会继续增长。”
网络犯罪分子退出只是转变成不同的角色
如今,每隔几个月就有一家知名勒索软件集团宣布将中止业务运营。上个月是Avaddon公司,DarkSide在此之前宣布解散。而当他们决定解散或中止业务运营时,通常会释放他们的主密钥,这可能为一些尚未支付赎金或从备份中恢复其文件的受害者提供帮助,但这些团队背后的网络罪犯并不会真正从其生态系统中消失或者被捕入狱。他们只是转移到其他团体或改变角色,例如成为勒索软件运营经理或投资者。
Ragan将其与使用空壳公司筹集资金的传统犯罪分子进行比较,这样的公司的犯罪行为在引起人们的关注时则迅速解散。他说,“几乎每次都是这样,他们习惯于成立空壳公司,并致力将其用于邪恶手段。”
Krehel指出,勒索软件团体的生命周期通常在两年左右,因为他们明白可能会受到更多关注,尤其是他们可能获得成功的情况下,最好的办法就是关闭并创建新团体。他表示,也许有些成员退出之后成为其他团体的风险投资家,但这种洗牌带来更多混乱,使执法部门更难查清所有参与者。
勒索软件的投资回报率非常好,以至于越来越多的网络犯罪分子参与其中。这就是与其他形式的网络犯罪团体(例如信用卡盗窃或入侵银行)开始采用勒索软件作为收入来源或与勒索软件团伙合作的原因。
Ragan说,“这些团体已经转移业务并与勒索软件团体合并或结成联盟。从字面上看,这类似于现实世界的合并和收购。他们可能从其他团体那里获得了人才,现在他们正在开发自己的勒索软件,或者他们获得了附属程序并将其合并。”
Hoffman说,“很明显,这些新团体的一些成员很可能来自旧群体,例如Maze、Egregor、REvil都进行了拆分,并创建了新的团体,例如Astra Locker和LV等。虽然它们并不都是相关的,但新群体和旧群体之间有很多联系。”
一些新的团队也可能招募新的业务人员,并为他们提供一个获得更多勒索软件使用经验的平台。
Krehel说,“现在还存在一个可供雇用网络犯罪分子的生态系统,这些人没有相关的犯罪记录,他们在实施了成功的攻击之后而没有被捕。这些人将他们的专业知识添加到他们的犯罪履历中,并且受到犯罪团伙的信任。这些成员也经常更换团体。这就像谷歌和Facebook等大公司一样,其员工也在不断地更换工作。”
可能需要采取的行动和措施
网络犯罪分子不会轻易放弃勒索软件攻击,因为利润太高,而恶意软件创造者和网络罪犯都知道这是一条不成文的规则:不要以本地公司为攻击目标。
继在今年7月又一次备受瞩目的勒索软件攻击影响了来自世界各地的1000多家公司之后,美国政府与俄罗斯政府进行了会谈,并宣布在网络攻击问题上开展合作,并暗示美国准备对勒索软件攻击中使用的服务器进行打击报复。在此之后,Kaseya公司(其软件遭到黑客攻击并被用于传播勒索软件)从一个未披露但被称为可信第三方的来源收到了主解密密钥。
一些国家的执法机构将采取行动阻止勒索软件团体的攻击,并在他们造成更大危害之前阻止网络攻击。
Ragan说,“如果政府机构将勒索软件团伙作为主要打击目标,那么这些团伙可能无能为力。这些网络犯罪分子有一种现实的恐惧,我认为这就是造成这些团队匆忙解散的原因。”
Hoffman认为,各国政府可以为企业的安全提供政策支持,通过提供基础设施用于打击商业犯罪,在这种情况下,可能为企业的安全减少一些压力。
Hoffman表示,网络犯罪分子通常并不会与政府机构对抗。他说,“因此,如果政府动用更多的力量来打击网络犯罪,这些网络犯罪论坛和运营商并不想得到这样的结果,这可能会对他们产生重大的影响。”