地下網絡犯罪團伙眾生相

如今，包括勒索軟件團伙在內的網絡犯罪分子儼然成為有組織的非法企業。勒索軟件團伙、敲詐組織和DDoS攻擊者一再得逞，屢屢闖入知名組織實施攻擊活動絕非偶然，其背后是有組織的體系，不同層面的網絡犯罪分子齊心協力以達成最終目的，進而人人可以分贓。以下是網絡犯罪分子扮演的幾個關鍵角色。

初始訪問代理（Initial Access Broker，簡稱“IAB”）

IAB是指將企業網絡訪問權出售給潛在買家的一類網絡犯罪分子，他們通過數據泄露市場、論壇或隱蔽的消息應用程序頻道和聊天組來兜售。然而IAB不一定執行后續的破壞性活動，比如數據泄露、加密和刪除。通常，買方決定如何濫用訪問權：選擇竊取商業機密、部署勒索軟件，或是安裝間諜軟件、泄露數據。

云端無密碼身份驗證技術提供商Cloud RADIUS的高級軟件工程師Ben Richardson表示，過去IAB主要將公司訪問權兜售給企圖破壞公司數據、從受攻擊公司竊取知識產權或財務數據的犯罪分子。由于當時攻擊數量少，市場對IAB的需求不高。如今，商業競爭對手常雇用IAB從事間諜和盜竊活動。

勒索軟件時代的到來使得市場對IAB的需求急劇增加。勒索軟件團伙通過雇用IAB來攻擊目標公司并開拓新業務。

X即服務（X as a service）

目前在安全界，“X即服務”常常指勒索軟件即服務（RaaS）或惡意軟件即服務（MaaS），它們代表一種較新的商業模式。RaaS酷似軟件即服務（SaaS）模式，這種方式是向企圖實施攻擊的“加盟機構”（affiliate）有償提供勒索軟件工具、網絡釣魚工具包和IT基礎設施。

過去，實施全面的攻擊活動要求網絡犯罪分子技能嫻熟，但X即服務模式已放低了這種門檻。更多的網絡犯罪分子進入X即服務領域，這個領域包括初始訪問代理、勒索軟件即服務和惡意軟件即服務等。網絡犯罪分子現在只需精通某個領域，就可充分利用所有其他團伙的服務。

勒索軟件加盟機構

勒索軟件加盟機構好比是被勒索軟件團伙雇用的多用途“承包商”，執行各種攻擊活動：向IAB購買網絡初始訪問權、僅僅購置可能有助于偵察的失竊登錄信息和數據內容以及執行攻擊等。

攻擊和勒索得逞后，勒索軟件加盟機構從受害者支付給上級勒索軟件團伙的贖金中抽取傭金。為了加快攻擊速度，加盟機構可能租用RaaS平臺，用“租賃的勒索軟件”加密文件，并使用所有現有工具、服務和漏洞利用代碼。

勒索軟件加盟機構只需掏一小筆費用，就能享用原本需要自行開發和管理的產品和服務。此外，加盟機構可以付費找到IAB和已受攻擊的組織，這大大降低了實施攻擊的準入門檻。加盟機構現在可以專注于對組織實施敲詐勒索的實際運作。

惡意軟件和漏洞利用代碼的開發者

這類網絡犯罪分子針對零日漏洞或已知漏洞開發漏洞利用代碼，而不僅限于概念驗證（PoC）演示。這些犯罪分子還可能開發可以鉆多個漏洞空子的惡意軟件。許多勒索軟件攻擊也可能始于攻擊者部署代碼，進而攻擊流行的訪問設備、應用程序、VPN和嵌入在應用程序深處的單個軟件組件，比如Log4j。

在早期，惡意軟件和漏洞利用代碼開發者可能是“腳本小子”或老練的黑客，不過隨著網絡犯罪分子之間不斷加強合作，復雜的惡意軟件開發大多在開發團隊內部進行，軟件開發生命周期和說明文檔一應俱全，與正規軟件公司毫無二致。

另外，加密貨幣的廣泛采用為一小批漏洞利用代碼開發者提供了平臺。如果開發者精通加密，對區塊鏈協議又有深入了解，就可以在這些加密平臺打上補丁之前利用它們存在的零日漏洞和未修補漏洞，以實施攻擊活動。

高級持續性威脅團伙

高級持續性威脅（Advanced Persistent Threat，簡稱“APT”）團伙過去描述為國家威脅分子或國家撐腰的網絡犯罪集團，它們有特定的目標，在較長時間內從事破壞或政治間諜活動。現在，APT團伙采用的策略也被非加盟機構的網絡犯罪分子采用。

APT團伙通常使用具有廣泛監視和隱匿功能的量身設計的惡意軟件。歷史上最臭名昭著的APT攻擊之一是Stuxnet事件，Stuxnet利用Windows當時的多個零日漏洞來感染計算機、四處傳播，并對核電廠的離心機造成實際損壞。據傳這種極其復雜的計算機蠕蟲由美國和以色列情報機構合作開發。

然而，APT團伙絕不僅限于單單利用物理設備，大多數APT活動采用魚叉式網絡釣魚攻擊來滲入網絡、悄然傳播有效載荷、泄露數據、植入持久性后門以及秘密監視受害者。

令人不安的趨勢是，APT團伙已轉而破壞上游軟件和源代碼，SolarWinds供應鏈攻擊就是一個典例，通過第三方供應商，進一步攻擊更上游的目標，然后用自己的有效載荷破壞合法軟件。這是一種影響大、頻次低的事件，組織需根據風險狀況和容忍度，以不同的方式加以防范。

數據代理或信息代理

“數據代理”或“信息代理”這兩個術語既指一類合法的服務提供商，又指非法的網絡犯罪分子。合法的信息代理和數據聚合服務可能從法庭記錄、土地登記、財產銷售記錄、社交媒體檔案、電話簿、企業注冊登記和婚姻記錄等公共信息源獲取數據，以收集人員和企業情報。這些信息可以拿來與營銷人員、研究人員和公司企業有償共享。惡意數據代理從事非法勾當，比如在暗網和數據泄露市場兜售竊取的材料和機密數據。

近年來，RaaS模式的迅猛增長推動了IAB職業化。這類RaaS產品由成熟的APT團伙開發，比如Wizard Spider（RYUK RaaS）、Gold Southfield（REvil RaaS）和FIN7（DarkSide RaaS）。作為該產品的一部分，這類APT/RaaS團伙為其客戶提供支持、門戶網站訪問以及每月訂閱服務，經常與客戶搞加盟關系。

在這類加盟協議中，RaaS團伙將在任何加盟機構從勒索目標所得的利潤中抽取分成。除了拿敏感數據勒索受害者外，許多犯罪團伙還獲取了受害者的員工/客戶信息。這些被泄露的敏感信息數據可能包括社會保險號碼（SSN）、信用卡信息、購買歷史記錄和帳戶登錄信息，并與其他產品捆綁兜售。這就是所謂的數據代理。