勒索软件如何运行地下经济

勒索软件攻击最近引起了不必要的关注，导致一些顶级网络犯罪论坛在今年早些时候禁止在其平台上讨论勒索软件和进行交易。虽然有些人希望这可能会对勒索软件组织的组织能力产生重大影响，但禁令只会将他们的活动推向更地下，使安全研究人员和公司更难对其进行监控。

如果有的话，在论坛禁令之后的几个月里，攻击比以往任何时候都更加有力和大胆。事实是，勒索软件是网络犯罪经济的生命线，它将采取非常措施来结束它。协调攻击的团体高度专业化，在很多方面都类似于现代公司结构，包括开发团队、销售和公关部门、外部承包商和服务提供商，他们都从非法收益中分一杯羹。他们甚至在与受害者的交流中使用商业术语，将他们称为购买数据解密服务的客户。

“我描述它的方式是：你有我们都知道的商业世界。犯罪分子有一个平行的世界，就像陌生人事物的颠倒一样。这是完全相同的世界，只是更黑暗和扭曲，”安全研究员史蒂夫拉根在 Akamai，告诉 CSO。

依赖勒索软件的地下经济

通过查看勒索软件操作所涉及的内容以及团体的组织方式，很容易看出勒索软件是网络犯罪经济的中心。勒索软件组织雇用的人员：

• 编写文件加密程序（开发团队）
• 建立和维护支付和泄漏站点，以及沟通渠道（IT 基础设施团队）
• 在论坛上宣传勒索软件服务（销售团队）
• 与记者沟通并在 Twitter 上发布消息并在他们的博客上发布公告（公关和社交媒体团队）
• 协商支付赎金（客户支持团队）
• 在受害者的网络上执行手动黑客攻击和横向移动，以部署勒索软件程序以获取部分利润（称为附属公司或渗透测试人员的外部承包商）

附属机构经常从其他网络犯罪分子那里购买网络访问权限，这些犯罪分子已经使用特洛伊木马程序或僵尸网络或通过窃取的凭据破坏了系统。这些第三方被称为网络访问代理。附属公司还可能购买包含被盗帐户信息或有助于目标侦察的内部信息的数据转储。垃圾邮件服务和防弹托管也经常被勒索软件团伙使用。

换句话说，网络犯罪生态系统中的很多方面都通过勒索软件直接或间接赚钱。因此，这些团体变得更加专业并与拥有投资者、经理、产品营销、客户支持、工作机会、合作伙伴关系等的公司类似，这并不罕见。这是多年来逐渐形成的趋势。

安全公司 Intel 471 的 CISO Brandon Hoffman 告诉 CSO：“地下网络犯罪本质上已经成为一个经济体，在那里你有服务提供商、产品创造者、金融家、基础设施提供商。” “这是一个和我们一样的经济体，在那里你拥有所有这些不同事物的供应商和买家。就像在我们的自由市场经济中一样，因为你拥有所有这些不同类型的服务提供商和产品提供商，他们开始走到一起是很自然的并共同建立企业以提供一揽子服务和商品，就像我们在标准经济中所做的那样。所以，我 100% 同意它正在发展。我们真的很难证明这一点。”

“多年来，我们都知道犯罪分子和我们其他人一样拥有软件开发生命周期，”Ragan 说。“他们有市场营销、公关、中层管理人员。他们有负责低级犯罪的人向高级犯罪分子报告。这并不新鲜。只是越来越多的人开始听到并关注相似之处。”

勒索软件集团适应市场压力

多年来，勒索软件攻击使许多医院、学校、公共服务机构、地方和州政府机构甚至警察部门瘫痪，但5 月初对美国最大的成品油管道系统Colonial Pipeline的攻击是一个里程碑.

此次泄露归因于一家名为DarkSide的俄罗斯勒索软件组织，迫使该公司在其 57 年的历史中首次关闭其整个汽油管道系统，以防止勒索软件传播到关键控制系统。这导致美国东海岸的燃料短缺。该事件在媒体和华盛顿引起了广泛关注，因为它突出了勒索软件对关键基础设施构成的威胁，引发了关于此类攻击是否应归类为恐怖主义形式的辩论。 

就连 DarkSide 的运营商也明白事态的严重性，并宣布对其附属公司——实际进行黑客攻击和部署勒索软件的第三方承包商——引入“节制”，声称他们希望“避免未来的社会后果.” 但对于该集团的服务提供商来说，热度已经太大了。

攻击发生几天后，最大的俄语网络犯罪论坛之一 XSS 的管理员宣布禁止平台上所有与勒索软件相关的活动，理由是“公关过多”并将执法风险提高到“危险级别， ”根据网络犯罪情报公司 Flashpoint的翻译。

包括REvil在内的其他备受瞩目的勒索软件组织立即为其附属公司宣布了类似的缓和政策，禁止攻击医疗保健、教育和政府机构，以试图控制公关损害。这还不够。另外两个大型网络犯罪论坛 Exploit 和 Raid 紧随其后，禁止了勒索软件活动。

事后，DarkSide 宣布将关闭其业务，因为它也无法访问其博客、支付服务器、比特币钱包和其他公共基础设施，声称其托管服务提供商仅在“执法机构的要求下”做出回应。 .” 一个月后，联邦调查局将宣布它设法收回了 440 万美元的加密货币，Colonial Pipeline 被迫支付给黑客以解密其系统并恢复正常运营的 440 万美元。

在最流行的网络犯罪论坛上禁止勒索软件活动是一项重大进展，因为多年来，这些论坛一直是勒索软件组织招募附属机构的主要场所。这些论坛为网络犯罪分子之间的公共和私人交流提供了一种简单的方式，甚至为双方互不了解和信任的交易提供资金托管服务。

在某种程度上，禁令还影响了监控这些论坛以收集有关威胁行为者和新威胁的情报的网络安全公司。虽然大多数网络犯罪研究人员都知道论坛禁令不会从整体上阻止勒索软件的运行，但有些人确实想知道他们的下一步行动是什么。他们会迁移到不太受欢迎的论坛吗？他们会建立自己的网站用于广告和与附属公司的沟通吗？他们会转向像 Jabber 或 Telegram 这样的实时聊天程序吗？

“这样做是将这些讨论转移到其他私人团体，”拉根说。“他们不会消失。他们所做的是远离公众的聚光灯。在很长一段时间里，你可以看到他们的招聘、发展、讨论，以及他们正在开发什么样的功能。现在这些都消失了...... .. 你将无法预测很多变化。不幸的是，这意味着你不会知道新的变种或添加的新功能，直到第一个受害者被击中。”

根据事件响应和数字取证公司 LIFARS 的创始人兼首席执行官 Ondrej Krehel 的说法，勒索软件的运营并未受到论坛禁令的影响，因为参与此类活动的大多数参与者已经通过 Telegram 和 Threema 上的私人团体进行了交流。两三年。

作为营销工作的一部分，论坛上仍然有一些吸引力，但如果你真的想得到更具体的东西，你必须已经成为这些团体的一部分，有些人需要用钱包支付一小部分比特币曾与已知的犯罪活动有关以证明自己，Krehel 告诉 CSO。“[勒索软件]的这种增长速度将继续下去，”他说。

网络犯罪分子退出，还是只是演变成不同的角色？

每隔几个月，一个备受瞩目的勒索软件组织就会宣布关闭其业务。上个月是阿瓦顿。在此之前，它是DarkSide。在此之前是迷宫，等等。有时，当他们决定解散时，这些团体会释放他们的主密钥，这可能会帮助一些尚未支付赎金或从备份中恢复文件的受害者，但这些团体背后的罪犯并没有真正从生态系统中消失或前往监狱。他们只是转移到其他团体或改变角色，例如从成功的勒索软件运营经理变成投资者。

拉根将此与使用空壳公司筹集资金的传统犯罪分子进行比较，然后当热度过高时，解散他们并继续前进。“几乎就是这样，”他说。“再一次，这是犯罪世界和我们在我们这边看到的小墙之间的另一个相似之处。它们都是犯罪行为，但与此同时，那些不考虑网络的组织，他们已经习惯了“空壳公司的概念以及它们如何被用于恶意手段。好吧，勒索软件和恶意软件集团使用的这些品牌 - 相同的区别。“

根据 Krehel 的说法，勒索软件团体的生命周期通常在两年左右，因为他们明白在那之后他们会受到太多关注，尤其是如果他们非常成功，最好的办法就是退休该团体并创建一个新的。他说，也许有些成员退休并成为其他团体的风险投资家，但这种团体洗牌更多的是制造混乱，使执法部门更难获得所有参与者的姓名。

勒索软件的投资回报率非常好，职业网络犯罪分子无法不参与其中。这就是为什么与其他形式的网络犯罪（例如信用卡盗窃或入侵银行）有关的团体开始采用勒索软件作为收入来源或与勒索软件团伙合作的原因。

“这些团体已经转移并与其他团体联合并结成了联盟，”拉根说。“从字面上看，如果你将类似于现实世界的合并和收购平行起来。他们可能会认为他们从加入他们的其他团体那里获得人才，现在他们正在开发自己的勒索软件，或者他们获得了他们的附属程序并将其合并合二为一。”

“很明显，这些‘新菌株’中的一些很可能来自‘旧’群体，”霍夫曼说。“Maze、Egregor、REvil，所有这些人，他们分裂出来，他们创造了其他东西，比如 AstraLocker 和 LV 以及所有这些即将问世的新东西。它们并不都是相关的，但新团体和旧团体之间有很多联系团体。”

一些新团体也可能用于招募新人进入企业并为他们提供一个可以获得经验的平台。当该团体实现了目标并过上了自己的生活时，它的一些附属机构将转向更成熟的团体。

“有一个可供雇用的犯罪分子的生态系统，他们确实有良好的犯罪记录，执行了良好的进攻任务并且没有被捕，”克雷赫尔说。“那些人现在更贵了，他们的专业知识已经被添加到他们的犯罪履历中，并且受到犯罪团伙的信任。成员们似乎也经常更换团体。这几乎就像你看谷歌和 Facebook，或者一些人们正在更换工作的大公司。所以，有这种不断的工作转换。”

可能需要采取攻击性行动

网络犯罪分子不会轻易放弃勒索软件，因为它太有利可图，而且他们中的许多人生活在俄罗斯或前苏联国家，在那里因向西方组织勒索钱财而被捕的可能性很低。源自俄罗斯或独立国家联合体 (CIS) 的恶意软件程序通常具有内置检查功能，可防止将其部署在使用俄语或来自独联体国家的其他语言的计算机上。恶意软件创建者和网络犯罪分子都知道这是一个不成文的规则：不要针对本地公司，你会没事的。俄罗斯不引渡其公民，鉴于该国与西方目前的地缘政治气候，不太可能在执法层面加强网络犯罪方面的合作。

继 7 月份又一次备受瞩目的勒索软件攻击影响了来自世界各地的 1000 多家公司之后，拜登总统与俄罗斯总统弗拉基米尔普京进行了交谈，并宣布自己对在网络攻击问题上的合作持乐观态度，但他也暗示美国已准备好发起攻击用于报复勒索软件攻击的服务器。攻击背后的组织 REvil 在不久之后就沉默了，而 Kaseya 的软件被黑客入侵并用于传播勒索软件的公司从它没有透露的来源收到了主解密密钥，但被称为“受信任的第三者。”

如果未来外交渠道无法产生结果，而俄罗斯执法机构不在国内采取行动，则可能需要采取更具攻击性的方法来劝阻这些团体并在造成大量受害者之前阻止袭击。

“如果外国政府将你（勒索软件团伙）作为目标，那就够了。你无能为力，”拉根说。“你正在与一个拥有无限时间和资源的对手打交道。他们会抓住你。我不在乎你有多好。这些罪犯有一种现实的恐惧，我认为这就是造成匆忙的原因。但这里是问题：光是提到制裁、政策之类的东西，就让他们争先恐后，对吗？如果没有实际执行怎么办？如果这些法律和政策出来了，但他们没有牙齿怎么办？然后是犯罪分子回来，他们会变得更强大，因为现在他们知道没有牙齿，也没有执法。”

霍夫曼认为美国有机会在支持企业方面更具攻击性，并指出他并不了解政府关于攻击性策略的国内政策。“与其他国家类似，用于民族国家目的的国家基础设施无法用于打击商业犯罪，但在这种情况下，我们可能必须提供它以减少对这里企业的一些压力，使其变得具有攻击性。 ”

网络犯罪分子不想与准备不足的公司对抗政府。“因此，如果美国国家网络基础设施的全部力量来对抗网络犯罪世界，这正是论坛运营商所不想要的，它可能会产生重大影响，”霍夫曼说。“另一方面，这是否会导致美国和俄罗斯之间一直悬而未决的‘网络战争’，然后俄罗斯的国家网络基础设施将以更明显的方式对我们产生影响？也许。”

Krehel 说，如果美国政府是攻击 DarkSide 背后的人、拿走他们的比特币、破坏基础设施并破坏这些计算机的人，那么这已经相当大了。想象一下说：我们会飞过你的房子，我们会拿走你在市场上的每一个硬币，我们会拿走你的私钥，我们会摧毁你接触过的每一个服务器，然后我们'将把你放在墙上，这样如果你攻击任何其他业务，你将成为你余生的目标。