地下网络犯罪团伙众生相
如今,包括勒索软件团伙在内的网络犯罪分子俨然成为有组织的非法企业。勒索软件团伙、敲诈组织和DDoS攻击者一再得逞,屡屡闯入知名组织实施攻击活动绝非偶然,其背后是有组织的体系,不同层面的网络犯罪分子齐心协力以达成最终目的,进而人人可以分赃。以下是网络犯罪分子扮演的几个关键角色。
初始访问代理(Initial Access Broker,简称“IAB”)
IAB是指将企业网络访问权出售给潜在买家的一类网络犯罪分子,他们通过数据泄露市场、论坛或隐蔽的消息应用程序频道和聊天组来兜售。然而IAB不一定执行后续的破坏性活动,比如数据泄露、加密和删除。通常,买方决定如何滥用访问权:选择窃取商业机密、部署勒索软件,或是安装间谍软件、泄露数据。
云端无密码身份验证技术提供商Cloud RADIUS的高级软件工程师Ben Richardson表示,过去IAB主要将公司访问权兜售给企图破坏公司数据、从受攻击公司窃取知识产权或财务数据的犯罪分子。由于当时攻击数量少,市场对IAB的需求不高。如今,商业竞争对手常雇用IAB从事间谍和盗窃活动。
勒索软件时代的到来使得市场对IAB的需求急剧增加。勒索软件团伙通过雇用IAB来攻击目标公司并开拓新业务。
X即服务(X as a service)
目前在安全界,“X即服务”常常指勒索软件即服务(RaaS)或恶意软件即服务(MaaS),它们代表一种较新的商业模式。RaaS酷似软件即服务(SaaS)模式,这种方式是向企图实施攻击的“加盟机构”(affiliate)有偿提供勒索软件工具、网络钓鱼工具包和IT基础设施。
过去,实施全面的攻击活动要求网络犯罪分子技能娴熟,但X即服务模式已放低了这种门槛。更多的网络犯罪分子进入X即服务领域,这个领域包括初始访问代理、勒索软件即服务和恶意软件即服务等。网络犯罪分子现在只需精通某个领域,就可充分利用所有其他团伙的服务。
勒索软件加盟机构
勒索软件加盟机构好比是被勒索软件团伙雇用的多用途“承包商”,执行各种攻击活动:向IAB购买网络初始访问权、仅仅购置可能有助于侦察的失窃登录信息和数据内容以及执行攻击等。
攻击和勒索得逞后,勒索软件加盟机构从受害者支付给上级勒索软件团伙的赎金中抽取佣金。为了加快攻击速度,加盟机构可能租用RaaS平台,用“租赁的勒索软件”加密文件,并使用所有现有工具、服务和漏洞利用代码。
勒索软件加盟机构只需掏一小笔费用,就能享用原本需要自行开发和管理的产品和服务。此外,加盟机构可以付费找到IAB和已受攻击的组织,这大大降低了实施攻击的准入门槛。加盟机构现在可以专注于对组织实施敲诈勒索的实际运作。
恶意软件和漏洞利用代码的开发者
这类网络犯罪分子针对零日漏洞或已知漏洞开发漏洞利用代码,而不仅限于概念验证(PoC)演示。这些犯罪分子还可能开发可以钻多个漏洞空子的恶意软件。许多勒索软件攻击也可能始于攻击者部署代码,进而攻击流行的访问设备、应用程序、VPN和嵌入在应用程序深处的单个软件组件,比如Log4j。
在早期,恶意软件和漏洞利用代码开发者可能是“脚本小子”或老练的黑客,不过随着网络犯罪分子之间不断加强合作,复杂的恶意软件开发大多在开发团队内部进行,软件开发生命周期和说明文档一应俱全,与正规软件公司毫无二致。
另外,加密货币的广泛采用为一小批漏洞利用代码开发者提供了平台。如果开发者精通加密,对区块链协议又有深入了解,就可以在这些加密平台打上补丁之前利用它们存在的零日漏洞和未修补漏洞,以实施攻击活动。
高级持续性威胁团伙
高级持续性威胁(Advanced Persistent Threat,简称“APT”)团伙过去描述为国家威胁分子或国家撑腰的网络犯罪集团,它们有特定的目标,在较长时间内从事破坏或政治间谍活动。现在,APT团伙采用的策略也被非加盟机构的网络犯罪分子采用。
APT团伙通常使用具有广泛监视和隐匿功能的量身设计的恶意软件。历史上最臭名昭著的APT攻击之一是Stuxnet事件,Stuxnet利用Windows当时的多个零日漏洞来感染计算机、四处传播,并对核电厂的离心机造成实际损坏。据传这种极其复杂的计算机蠕虫由美国和以色列情报机构合作开发。
然而,APT团伙绝不仅限于单单利用物理设备,大多数APT活动采用鱼叉式网络钓鱼攻击来渗入网络、悄然传播有效载荷、泄露数据、植入持久性后门以及秘密监视受害者。
令人不安的趋势是,APT团伙已转而破坏上游软件和源代码,SolarWinds供应链攻击就是一个典例,通过第三方供应商,进一步攻击更上游的目标,然后用自己的有效载荷破坏合法软件。这是一种影响大、频次低的事件,组织需根据风险状况和容忍度,以不同的方式加以防范。
数据代理或信息代理
“数据代理”或“信息代理”这两个术语既指一类合法的服务提供商,又指非法的网络犯罪分子。合法的信息代理和数据聚合服务可能从法庭记录、土地登记、财产销售记录、社交媒体档案、电话簿、企业注册登记和婚姻记录等公共信息源获取数据,以收集人员和企业情报。这些信息可以拿来与营销人员、研究人员和公司企业有偿共享。恶意数据代理从事非法勾当,比如在暗网和数据泄露市场兜售窃取的材料和机密数据。
近年来,RaaS模式的迅猛增长推动了IAB职业化。这类RaaS产品由成熟的APT团伙开发,比如Wizard Spider(RYUK RaaS)、Gold Southfield(REvil RaaS)和FIN7(DarkSide RaaS)。作为该产品的一部分,这类APT/RaaS团伙为其客户提供支持、门户网站访问以及每月订阅服务,经常与客户搞加盟关系。
在这类加盟协议中,RaaS团伙将在任何加盟机构从勒索目标所得的利润中抽取分成。除了拿敏感数据勒索受害者外,许多犯罪团伙还获取了受害者的员工/客户信息。这些被泄露的敏感信息数据可能包括社会保险号码(SSN)、信用卡信息、购买历史记录和帐户登录信息,并与其他产品捆绑兜售。这就是所谓的数据代理。
