勒索软件如何运行地下经济

Simon2021-08-31 18:22:05

勒索软件攻击最近引起了不必要的关注,导致一些顶级网络犯罪论坛在今年早些时候禁止在其平台上讨论勒索软件和进行交易。虽然有些人希望这可能会对勒索软件组织的组织能力产生重大影响,但禁令只会将他们的活动推向更地下,使安全研究人员和公司更难对其进行监控。

如果有的话,在论坛禁令之后的几个月里,攻击比以往任何时候都更加有力和大胆。事实是,勒索软件是网络犯罪经济的生命线,它将采取非常措施来结束它。协调攻击的团体高度专业化,在很多方面都类似于现代公司结构,包括开发团队、销售和公关部门、外部承包商和服务提供商,他们都从非法收益中分一杯羹。他们甚至在与受害者的交流中使用商业术语,将他们称为购买数据解密服务的客户。

“我描述它的方式是:你有我们都知道的商业世界。犯罪分子有一个平行的世界,就像陌生人事物的颠倒一样。这是完全相同的世界,只是更黑暗和扭曲,”安全研究员史蒂夫拉根在 Akamai,告诉 CSO。

依赖勒索软件的地下经济

通过查看勒索软件操作所涉及的内容以及团体的组织方式,很容易看出勒索软件是网络犯罪经济的中心。勒索软件组织雇用的人员:

  • 编写文件加密程序(开发团队)
  • 建立和维护支付和泄漏站点,以及沟通渠道(IT 基础设施团队)
  • 在论坛上宣传勒索软件服务(销售团队)
  • 与记者沟通并在 Twitter 上发布消息并在他们的博客上发布公告(公关和社交媒体团队)
  • 协商支付赎金(客户支持团队)
  • 在受害者的网络上执行手动黑客攻击和横向移动,以部署勒索软件程序以获取部分利润(称为附属公司或渗透测试人员的外部承包商)

附属机构经常从其他网络犯罪分子那里购买网络访问权限,这些犯罪分子已经使用特洛伊木马程序或僵尸网络或通过窃取的凭据破坏了系统。这些第三方被称为网络访问代理。附属公司还可能购买包含被盗帐户信息或有助于目标侦察的内部信息的数据转储。垃圾邮件服务和防弹托管也经常被勒索软件团伙使用。

换句话说,网络犯罪生态系统中的很多方面都通过勒索软件直接或间接赚钱。因此,这些团体变得更加专业并与拥有投资者、经理、产品营销、客户支持、工作机会、合作伙伴关系等的公司类似,这并不罕见。这是多年来逐渐形成的趋势。

安全公司 Intel 471 的 CISO Brandon Hoffman 告诉 CSO:“地下网络犯罪本质上已经成为一个经济体,在那里你有服务提供商、产品创造者、金融家、基础设施提供商。” “这是一个和我们一样的经济体,在那里你拥有所有这些不同事物的供应商和买家。就像在我们的自由市场经济中一样,因为你拥有所有这些不同类型的服务提供商和产品提供商,他们开始走到一起是很自然的并共同建立企业以提供一揽子服务和商品,就像我们在标准经济中所做的那样。所以,我 100% 同意它正在发展。我们真的很难证明这一点。”

“多年来,我们都知道犯罪分子和我们其他人一样拥有软件开发生命周期,”Ragan 说。“他们有市场营销、公关、中层管理人员。他们有负责低级犯罪的人向高级犯罪分子报告。这并不新鲜。只是越来越多的人开始听到并关注相似之处。”

勒索软件集团适应市场压力

多年来,勒索软件攻击使许多医院、学校、公共服务机构、地方和州政府机构甚至警察部门瘫痪,但5 月初对美国最大的成品油管道系统Colonial Pipeline的攻击是一个里程碑.

此次泄露归因于一家名为DarkSide的俄罗斯勒索软件组织,迫使该公司在其 57 年的历史中首次关闭其整个汽油管道系统,以防止勒索软件传播到关键控制系统。这导致美国东海岸的燃料短缺。该事件在媒体和华盛顿引起了广泛关注,因为它突出了勒索软件对关键基础设施构成的威胁,引发了关于此类攻击是否应归类为恐怖主义形式的辩论。 

就连 DarkSide 的运营商也明白事态的严重性,并宣布对其附属公司——实际进行黑客攻击和部署勒索软件的第三方承包商——引入“节制”,声称他们希望“避免未来的社会后果.” 但对于该集团的服务提供商来说,热度已经太大了。

攻击发生几天后,最大的俄语网络犯罪论坛之一 XSS 的管理员宣布禁止平台上所有与勒索软件相关的活动,理由是“公关过多”并将执法风险提高到“危险级别, ”根据网络犯罪情报公司 Flashpoint的翻译。

包括REvil在内的其他备受瞩目的勒索软件组织立即为其附属公司宣布了类似的缓和政策,禁止攻击医疗保健、教育和政府机构,以试图控制公关损害。这还不够。另外两个大型网络犯罪论坛 Exploit 和 Raid 紧随其后,禁止了勒索软件活动。

事后,DarkSide 宣布将关闭其业务,因为它也无法访问其博客、支付服务器、比特币钱包和其他公共基础设施,声称其托管服务提供商仅在“执法机构的要求下”做出回应。 .” 一个月后,联邦调查局将宣布它设法收回了 440 万美元的加密货币,Colonial Pipeline 被迫支付给黑客以解密其系统并恢复正常运营的 440 万美元。

在最流行的网络犯罪论坛上禁止勒索软件活动是一项重大进展,因为多年来,这些论坛一直是勒索软件组织招募附属机构的主要场所。这些论坛为网络犯罪分子之间的公共和私人交流提供了一种简单的方式,甚至为双方互不了解和信任的交易提供资金托管服务。

在某种程度上,禁令还影响了监控这些论坛以收集有关威胁行为者和新威胁的情报的网络安全公司。虽然大多数网络犯罪研究人员都知道论坛禁令不会从整体上阻止勒索软件的运行,但有些人确实想知道他们的下一步行动是什么。他们会迁移到不太受欢迎的论坛吗?他们会建立自己的网站用于广告和与附属公司的沟通吗?他们会转向像 Jabber 或 Telegram 这样的实时聊天程序吗?

“这样做是将这些讨论转移到其他私人团体,”拉根说。“他们不会消失。他们所做的是远离公众的聚光灯。在很长一段时间里,你可以看到他们的招聘、发展、讨论,以及他们正在开发什么样的功能。现在这些都消失了...... .. 你将无法预测很多变化。不幸的是,这意味着你不会知道新的变种或添加的新功能,直到第一个受害者被击中。”

根据事件响应和数字取证公司 LIFARS 的创始人兼首席执行官 Ondrej Krehel 的说法,勒索软件的运营并未受到论坛禁令的影响,因为参与此类活动的大多数参与者已经通过 Telegram 和 Threema 上的私人团体进行了交流。两三年。

作为营销工作的一部分,论坛上仍然有一些吸引力,但如果你真的想得到更具体的东西,你必须已经成为这些团体的一部分,有些人需要用钱包支付一小部分比特币曾与已知的犯罪活动有关以证明自己,Krehel 告诉 CSO。“[勒索软件]的这种增长速度将继续下去,”他说。

网络犯罪分子退出,还是只是演变成不同的角色?

每隔几个月,一个备受瞩目的勒索软件组织就会宣布关闭其业务。上个月是阿瓦顿。在此之前,它是DarkSide。在此之前是迷宫,等等。有时,当他们决定解散时,这些团体会释放他们的主密钥,这可能会帮助一些尚未支付赎金或从备份中恢复文件的受害者,但这些团体背后的罪犯并没有真正从生态系统中消失或前往监狱。他们只是转移到其他团体或改变角色,例如从成功的勒索软件运营经理变成投资者。

拉根将此与使用空壳公司筹集资金的传统犯罪分子进行比较,然后当热度过高时,解散他们并继续前进。“几乎就是这样,”他说。“再一次,这是犯罪世界和我们在我们这边看到的小墙之间的另一个相似之处。它们都是犯罪行为,但与此同时,那些不考虑网络的组织,他们已经习惯了“空壳公司的概念以及它们如何被用于恶意手段。好吧,勒索软件和恶意软件集团使用的这些品牌 - 相同的区别。“

根据 Krehel 的说法,勒索软件团体的生命周期通常在两年左右,因为他们明白在那之后他们会受到太多关注,尤其是如果他们非常成功,最好的办法就是退休该团体并创建一个新的。他说,也许有些成员退休并成为其他团体的风险投资家,但这种团体洗牌更多的是制造混乱,使执法部门更难获得所有参与者的姓名。

勒索软件的投资回报率非常好,职业网络犯罪分子无法不参与其中。这就是为什么与其他形式的网络犯罪(例如信用卡盗窃或入侵银行)有关的团体开始采用勒索软件作为收入来源或与勒索软件团伙合作的原因。

“这些团体已经转移并与其他团体联合并结成了联盟,”拉根说。“从字面上看,如果你将类似于现实世界的合并和收购平行起来。他们可能会认为他们从加入他们的其他团体那里获得人才,现在他们正在开发自己的勒索软件,或者他们获得了他们的附属程序并将其合并合二为一。”

“很明显,这些‘新菌株’中的一些很可能来自‘旧’群体,”霍夫曼说。“Maze、Egregor、REvil,所有这些人,他们分裂出来,他们创造了其他东西,比如 AstraLocker 和 LV 以及所有这些即将问世的新东西。它们并不都是相关的,但新团体和旧团体之间有很多联系团体。”

一些新团体也可能用于招募新人进入企业并为他们提供一个可以获得经验的平台。当该团体实现了目标并过上了自己的生活时,它的一些附属机构将转向更成熟的团体。

“有一个可供雇用的犯罪分子的生态系统,他们确实有良好的犯罪记录,执行了良好的进攻任务并且没有被捕,”克雷赫尔说。“那些人现在更贵了,他们的专业知识已经被添加到他们的犯罪履历中,并且受到犯罪团伙的信任。成员们似乎也经常更换团体。这几乎就像你看谷歌和 Facebook,或者一些人们正在更换工作的大公司。所以,有这种不断的工作转换。”

可能需要采取攻击性行动

网络犯罪分子不会轻易放弃勒索软件,因为它太有利可图,而且他们中的许多人生活在俄罗斯或前苏联国家,在那里因向西方组织勒索钱财而被捕的可能性很低。源自俄罗斯或独立国家联合体 (CIS) 的恶意软件程序通常具有内置检查功能,可防止将其部署在使用俄语或来自独联体国家的其他语言的计算机上。恶意软件创建者和网络犯罪分子都知道这是一个不成文的规则:不要针对本地公司,你会没事的。俄罗斯不引渡其公民,鉴于该国与西方目前的地缘政治气候,不太可能在执法层面加强网络犯罪方面的合作。

继 7 月份又一次备受瞩目的勒索软件攻击影响了来自世界各地的 1000 多家公司之后,拜登总统与俄罗斯总统弗拉基米尔普京进行了交谈,并宣布自己对在网络攻击问题上的合作持乐观态度,但他也暗示美国已准备好发起攻击用于报复勒索软件攻击的服务器。攻击背后的组织 REvil 在不久之后就沉默了,而 Kaseya 的软件被黑客入侵并用于传播勒索软件的公司从它没有透露的来源收到了主解密密钥,但被称为“受信任的第三者。”

如果未来外交渠道无法产生结果,而俄罗斯执法机构不在国内采取行动,则可能需要采取更具攻击性的方法来劝阻这些团体并在造成大量受害者之前阻止袭击。

“如果外国政府将你(勒索软件团伙)作为目标,那就够了。你无能为力,”拉根说。“你正在与一个拥有无限时间和资源的对手打交道。他们会抓住你。我不在乎你有多好。这些罪犯有一种现实的恐惧,我认为这就是造成匆忙的原因。但这里是问题:光是提到制裁、政策之类的东西,就让他们争先恐后,对吗?如果没有实际执行怎么办?如果这些法律和政策出来了,但他们没有牙齿怎么办?然后是犯罪分子回来,他们会变得更强大,因为现在他们知道没有牙齿,也没有执法。”

霍夫曼认为美国有机会在支持企业方面更具攻击性,并指出他并不了解政府关于攻击性策略的国内政策。“与其他国家类似,用于民族国家目的的国家基础设施无法用于打击商业犯罪,但在这种情况下,我们可能必须提供它以减少对这里企业的一些压力,使其变得具有攻击性。 ”

网络犯罪分子不想与准备不足的公司对抗政府。“因此,如果美国国家网络基础设施的全部力量来对抗网络犯罪世界,这正是论坛运营商所不想要的,它可能会产生重大影响,”霍夫曼说。“另一方面,这是否会导致美国和俄罗斯之间一直悬而未决的‘网络战争’,然后俄罗斯的国家网络基础设施将以更明显的方式对我们产生影响?也许。”

Krehel 说,如果美国政府是攻击 DarkSide 背后的人、拿走他们的比特币、破坏基础设施并破坏这些计算机的人,那么这已经相当大了。想象一下说:我们会飞过你的房子,我们会拿走你在市场上的每一个硬币,我们会拿走你的私钥,我们会摧毁你接触过的每一个服务器,然后我们'将把你放在墙上,这样如果你攻击任何其他业务,你将成为你余生的目标。

软件网络犯罪
本作品采用《CC 协议》,转载必须注明作者和本文链接
美国司法部在1月26日宣布了针对Hive勒索软件组织的长达数月的破坏活动,该组织针对全球80多个国家的1,500多名受害者,包括医院,学校,金融公司和关键基础设施。自 2022 年 7 月渗透到 Hive 网络以来,联邦调查局已向受到攻击的 Hive 受害者提供了 300 多个解密密钥。最后,该部门今天宣布,与德国执法部门和荷兰国家高科技犯罪部门协调,它已经控制了Hive用来与其成员通信的服务器和网站,破坏了Hive攻击和勒索受害者的能力。
勒索软件已成为一种日益普遍的全球威胁,2021年上半年,在众多网络威胁中表现最为亮眼也最为疯狂。据SonicWall报告称,相比2020年上半年,2021上半年勒索软件攻击数量增长了151%。攻击规模和频率以惊人的速度增长,复杂性和创新水平不断提高,成为政府、企业、个人最为关注的安全风险之一,也是网络安全最重大威胁之一。因此,有必要从发生原因、发展特点、打击措施和防御建议等方面进行分析研究。
如果企业想要及时阻止勒索软件攻击,就需要更加紧迫地对威胁情报、补丁管理以及最重要的零信任安全进行标准化。
近年来,勒索软件已经成为肆虐全球的网络犯罪“流行病”,勒索软件团伙通过加密锁死数据或者以泄漏数据相要挟,从各地政府、医院、学校和企业勒索巨额赎金,而执法部门对此基本束手无策。
随着网络犯罪分子改变策略,利用当前事件和易受攻击的目标,通过新渠道推进其活动,某些类型的攻击已经升级。近期,微软发布了第二份年度数字防御报告,指出俄罗斯黑客在2020年7月到2021年6月间不仅攻击频率提高,成功入侵比例也从前一年的2成增加到3成,并且渗透政府组织搜集情报的行为也更加频繁,报告同时还将矛头指向朝鲜、伊朗和中国等。此外,报告还重点关注最新颖和与社区相关的威胁。
第4类事故占49%,而去年占所有事故的35%。自我报告的网络犯罪损失总计超过330亿美元。在与大流行有关的网络犯罪报告中,75%以上涉及澳大利亚人损失金钱或个人信息。报告的网络安全事件的平均严重程度和影响有所增加,近一半被归类为“重大”事件。这可能是澳大利亚第一起由网络犯罪事件直接导致的破产案件。
FBI位于佛州坦帕的办事处负责“蜂窝”案件据报道,“蜂窝”在2021年7月首次进入FBI的监视范围。出于安全考虑,该受害组织的名字至今一直未公开。由于这是“蜂窝”在美国境内发生的第一起已知攻击,根据FBI的程序规定,距离受害者最近的FBI坦帕办事处将承担未来所有相关的“蜂窝”案件。今年6月,美国司法部公布了对一名俄罗斯公民的起诉书,该人被指控作为“蜂窝”的“会员”工作。这彻底改变了“蜂窝”一案。
重要事件回顾,智览网安行业发展。近日国内外网安行业发生了哪些重要事件,呈现出了怎样的发展态势呢?杂志社联合中国网安科技情报研究团队将从行业大角度出发,带领大家回顾近日国内外行业的重要事件,探究其中的发展态势。 事件概览:
DDoS防护
2018-08-14 20:52:07
常言道“无论规模大小,任何金融机构都难逃DDoS攻击一劫”。2017年6月,黑客组织Anonymous与Armada Collective就再次露面,针对包括多家金融机构在内的全球企业实施了一系列恶意行动。这些黑客团体不仅对包括中国人民银行与香港金融管理局在内的近140家机构发起了DDoS攻击、展示了极大的危害性,还向这些受害者发送勒索信索要大额赎金,以此换取攻击停止。
网络安全威胁正变得日益复杂,组织日趋严密且资金充沛。安全运营中心是组织的眼睛和耳朵,当可疑或异常的网络安全事件发生时发出警报,其能迅速作出反应,以减少对组织的影响。NOC的主要职责是网络设备管理和性能监测。早期安全运营中心的主要职责包括处理病毒警报、检测入侵和应对意外事件。而安全运营中心在检测和预防这些威胁方面发挥了主要作用。企业在现有的SIEM技术上部署UEBA,以减少误报。
Simon
暂无描述