勒索軟件如何運行地下經濟
勒索軟件攻擊最近引起了不必要的關注,導致一些頂級網絡犯罪論壇在今年早些時候禁止在其平臺上討論勒索軟件和進行交易。雖然有些人希望這可能會對勒索軟件組織的組織能力產生重大影響,但禁令只會將他們的活動推向更地下,使安全研究人員和公司更難對其進行監控。
如果有的話,在論壇禁令之后的幾個月里,攻擊比以往任何時候都更加有力和大膽。事實是,勒索軟件是網絡犯罪經濟的生命線,它將采取非常措施來結束它。協調攻擊的團體高度專業化,在很多方面都類似于現代公司結構,包括開發團隊、銷售和公關部門、外部承包商和服務提供商,他們都從非法收益中分一杯羹。他們甚至在與受害者的交流中使用商業術語,將他們稱為購買數據解密服務的客戶。
“我描述它的方式是:你有我們都知道的商業世界。犯罪分子有一個平行的世界,就像陌生人事物的顛倒一樣。這是完全相同的世界,只是更黑暗和扭曲,”安全研究員史蒂夫拉根在 Akamai,告訴 CSO。
依賴勒索軟件的地下經濟
通過查看勒索軟件操作所涉及的內容以及團體的組織方式,很容易看出勒索軟件是網絡犯罪經濟的中心。勒索軟件組織雇用的人員:
- 編寫文件加密程序(開發團隊)
- 建立和維護支付和泄漏站點,以及溝通渠道(IT 基礎設施團隊)
- 在論壇上宣傳勒索軟件服務(銷售團隊)
- 與記者溝通并在 Twitter 上發布消息并在他們的博客上發布公告(公關和社交媒體團隊)
- 協商支付贖金(客戶支持團隊)
- 在受害者的網絡上執行手動黑客攻擊和橫向移動,以部署勒索軟件程序以獲取部分利潤(稱為附屬公司或滲透測試人員的外部承包商)
附屬機構經常從其他網絡犯罪分子那里購買網絡訪問權限,這些犯罪分子已經使用特洛伊木馬程序或僵尸網絡或通過竊取的憑據破壞了系統。這些第三方被稱為網絡訪問代理。附屬公司還可能購買包含被盜帳戶信息或有助于目標偵察的內部信息的數據轉儲。垃圾郵件服務和防彈托管也經常被勒索軟件團伙使用。
換句話說,網絡犯罪生態系統中的很多方面都通過勒索軟件直接或間接賺錢。因此,這些團體變得更加專業并與擁有投資者、經理、產品營銷、客戶支持、工作機會、合作伙伴關系等的公司類似,這并不罕見。這是多年來逐漸形成的趨勢。
安全公司 Intel 471 的 CISO Brandon Hoffman 告訴 CSO:“地下網絡犯罪本質上已經成為一個經濟體,在那里你有服務提供商、產品創造者、金融家、基礎設施提供商。” “這是一個和我們一樣的經濟體,在那里你擁有所有這些不同事物的供應商和買家。就像在我們的自由市場經濟中一樣,因為你擁有所有這些不同類型的服務提供商和產品提供商,他們開始走到一起是很自然的并共同建立企業以提供一攬子服務和商品,就像我們在標準經濟中所做的那樣。所以,我 100% 同意它正在發展。我們真的很難證明這一點。”
“多年來,我們都知道犯罪分子和我們其他人一樣擁有軟件開發生命周期,”Ragan 說。“他們有市場營銷、公關、中層管理人員。他們有負責低級犯罪的人向高級犯罪分子報告。這并不新鮮。只是越來越多的人開始聽到并關注相似之處。”
勒索軟件集團適應市場壓力
多年來,勒索軟件攻擊使許多醫院、學校、公共服務機構、地方和州政府機構甚至警察部門癱瘓,但5 月初對美國最大的成品油管道系統Colonial Pipeline的攻擊是一個里程碑.
此次泄露歸因于一家名為DarkSide的俄羅斯勒索軟件組織,迫使該公司在其 57 年的歷史中首次關閉其整個汽油管道系統,以防止勒索軟件傳播到關鍵控制系統。這導致美國東海岸的燃料短缺。該事件在媒體和華盛頓引起了廣泛關注,因為它突出了勒索軟件對關鍵基礎設施構成的威脅,引發了關于此類攻擊是否應歸類為恐怖主義形式的辯論。
就連 DarkSide 的運營商也明白事態的嚴重性,并宣布對其附屬公司——實際進行黑客攻擊和部署勒索軟件的第三方承包商——引入“節制”,聲稱他們希望“避免未來的社會后果.” 但對于該集團的服務提供商來說,熱度已經太大了。
攻擊發生幾天后,最大的俄語網絡犯罪論壇之一 XSS 的管理員宣布禁止平臺上所有與勒索軟件相關的活動,理由是“公關過多”并將執法風險提高到“危險級別, ”根據網絡犯罪情報公司 Flashpoint的翻譯。
包括REvil在內的其他備受矚目的勒索軟件組織立即為其附屬公司宣布了類似的緩和政策,禁止攻擊醫療保健、教育和政府機構,以試圖控制公關損害。這還不夠。另外兩個大型網絡犯罪論壇 Exploit 和 Raid 緊隨其后,禁止了勒索軟件活動。
事后,DarkSide 宣布將關閉其業務,因為它也無法訪問其博客、支付服務器、比特幣錢包和其他公共基礎設施,聲稱其托管服務提供商僅在“執法機構的要求下”做出回應。 .” 一個月后,聯邦調查局將宣布它設法收回了 440 萬美元的加密貨幣,Colonial Pipeline 被迫支付給黑客以解密其系統并恢復正常運營的 440 萬美元。
在最流行的網絡犯罪論壇上禁止勒索軟件活動是一項重大進展,因為多年來,這些論壇一直是勒索軟件組織招募附屬機構的主要場所。這些論壇為網絡犯罪分子之間的公共和私人交流提供了一種簡單的方式,甚至為雙方互不了解和信任的交易提供資金托管服務。
在某種程度上,禁令還影響了監控這些論壇以收集有關威脅行為者和新威脅的情報的網絡安全公司。雖然大多數網絡犯罪研究人員都知道論壇禁令不會從整體上阻止勒索軟件的運行,但有些人確實想知道他們的下一步行動是什么。他們會遷移到不太受歡迎的論壇嗎?他們會建立自己的網站用于廣告和與附屬公司的溝通嗎?他們會轉向像 Jabber 或 Telegram 這樣的實時聊天程序嗎?
“這樣做是將這些討論轉移到其他私人團體,”拉根說。“他們不會消失。他們所做的是遠離公眾的聚光燈。在很長一段時間里,你可以看到他們的招聘、發展、討論,以及他們正在開發什么樣的功能。現在這些都消失了...... .. 你將無法預測很多變化。不幸的是,這意味著你不會知道新的變種或添加的新功能,直到第一個受害者被擊中。”
根據事件響應和數字取證公司 LIFARS 的創始人兼首席執行官 Ondrej Krehel 的說法,勒索軟件的運營并未受到論壇禁令的影響,因為參與此類活動的大多數參與者已經通過 Telegram 和 Threema 上的私人團體進行了交流。兩三年。
作為營銷工作的一部分,論壇上仍然有一些吸引力,但如果你真的想得到更具體的東西,你必須已經成為這些團體的一部分,有些人需要用錢包支付一小部分比特幣曾與已知的犯罪活動有關以證明自己,Krehel 告訴 CSO。“[勒索軟件]的這種增長速度將繼續下去,”他說。
網絡犯罪分子退出,還是只是演變成不同的角色?
每隔幾個月,一個備受矚目的勒索軟件組織就會宣布關閉其業務。上個月是阿瓦頓。在此之前,它是DarkSide。在此之前是迷宮,等等。有時,當他們決定解散時,這些團體會釋放他們的主密鑰,這可能會幫助一些尚未支付贖金或從備份中恢復文件的受害者,但這些團體背后的罪犯并沒有真正從生態系統中消失或前往監獄。他們只是轉移到其他團體或改變角色,例如從成功的勒索軟件運營經理變成投資者。
拉根將此與使用空殼公司籌集資金的傳統犯罪分子進行比較,然后當熱度過高時,解散他們并繼續前進。“幾乎就是這樣,”他說。“再一次,這是犯罪世界和我們在我們這邊看到的小墻之間的另一個相似之處。它們都是犯罪行為,但與此同時,那些不考慮網絡的組織,他們已經習慣了“空殼公司的概念以及它們如何被用于惡意手段。好吧,勒索軟件和惡意軟件集團使用的這些品牌 - 相同的區別。“
根據 Krehel 的說法,勒索軟件團體的生命周期通常在兩年左右,因為他們明白在那之后他們會受到太多關注,尤其是如果他們非常成功,最好的辦法就是退休該團體并創建一個新的。他說,也許有些成員退休并成為其他團體的風險投資家,但這種團體洗牌更多的是制造混亂,使執法部門更難獲得所有參與者的姓名。
勒索軟件的投資回報率非常好,職業網絡犯罪分子無法不參與其中。這就是為什么與其他形式的網絡犯罪(例如信用卡盜竊或入侵銀行)有關的團體開始采用勒索軟件作為收入來源或與勒索軟件團伙合作的原因。
“這些團體已經轉移并與其他團體聯合并結成了聯盟,”拉根說。“從字面上看,如果你將類似于現實世界的合并和收購平行起來。他們可能會認為他們從加入他們的其他團體那里獲得人才,現在他們正在開發自己的勒索軟件,或者他們獲得了他們的附屬程序并將其合并合二為一。”
“很明顯,這些‘新菌株’中的一些很可能來自‘舊’群體,”霍夫曼說。“Maze、Egregor、REvil,所有這些人,他們分裂出來,他們創造了其他東西,比如 AstraLocker 和 LV 以及所有這些即將問世的新東西。它們并不都是相關的,但新團體和舊團體之間有很多聯系團體。”
一些新團體也可能用于招募新人進入企業并為他們提供一個可以獲得經驗的平臺。當該團體實現了目標并過上了自己的生活時,它的一些附屬機構將轉向更成熟的團體。
“有一個可供雇用的犯罪分子的生態系統,他們確實有良好的犯罪記錄,執行了良好的進攻任務并且沒有被捕,”克雷赫爾說。“那些人現在更貴了,他們的專業知識已經被添加到他們的犯罪履歷中,并且受到犯罪團伙的信任。成員們似乎也經常更換團體。這幾乎就像你看谷歌和 Facebook,或者一些人們正在更換工作的大公司。所以,有這種不斷的工作轉換。”
可能需要采取攻擊性行動
網絡犯罪分子不會輕易放棄勒索軟件,因為它太有利可圖,而且他們中的許多人生活在俄羅斯或前蘇聯國家,在那里因向西方組織勒索錢財而被捕的可能性很低。源自俄羅斯或獨立國家聯合體 (CIS) 的惡意軟件程序通常具有內置檢查功能,可防止將其部署在使用俄語或來自獨聯體國家的其他語言的計算機上。惡意軟件創建者和網絡犯罪分子都知道這是一個不成文的規則:不要針對本地公司,你會沒事的。俄羅斯不引渡其公民,鑒于該國與西方目前的地緣政治氣候,不太可能在執法層面加強網絡犯罪方面的合作。
繼 7 月份又一次備受矚目的勒索軟件攻擊影響了來自世界各地的 1000 多家公司之后,拜登總統與俄羅斯總統弗拉基米爾普京進行了交談,并宣布自己對在網絡攻擊問題上的合作持樂觀態度,但他也暗示美國已準備好發起攻擊用于報復勒索軟件攻擊的服務器。攻擊背后的組織 REvil 在不久之后就沉默了,而 Kaseya 的軟件被黑客入侵并用于傳播勒索軟件的公司從它沒有透露的來源收到了主解密密鑰,但被稱為“受信任的第三者。”
如果未來外交渠道無法產生結果,而俄羅斯執法機構不在國內采取行動,則可能需要采取更具攻擊性的方法來勸阻這些團體并在造成大量受害者之前阻止襲擊。
“如果外國政府將你(勒索軟件團伙)作為目標,那就夠了。你無能為力,”拉根說。“你正在與一個擁有無限時間和資源的對手打交道。他們會抓住你。我不在乎你有多好。這些罪犯有一種現實的恐懼,我認為這就是造成匆忙的原因。但這里是問題:光是提到制裁、政策之類的東西,就讓他們爭先恐后,對嗎?如果沒有實際執行怎么辦?如果這些法律和政策出來了,但他們沒有牙齒怎么辦?然后是犯罪分子回來,他們會變得更強大,因為現在他們知道沒有牙齒,也沒有執法。”
霍夫曼認為美國有機會在支持企業方面更具攻擊性,并指出他并不了解政府關于攻擊性策略的國內政策。“與其他國家類似,用于民族國家目的的國家基礎設施無法用于打擊商業犯罪,但在這種情況下,我們可能必須提供它以減少對這里企業的一些壓力,使其變得具有攻擊性。 ”
網絡犯罪分子不想與準備不足的公司對抗政府。“因此,如果美國國家網絡基礎設施的全部力量來對抗網絡犯罪世界,這正是論壇運營商所不想要的,它可能會產生重大影響,”霍夫曼說。“另一方面,這是否會導致美國和俄羅斯之間一直懸而未決的‘網絡戰爭’,然后俄羅斯的國家網絡基礎設施將以更明顯的方式對我們產生影響?也許。”
Krehel 說,如果美國政府是攻擊 DarkSide 背后的人、拿走他們的比特幣、破壞基礎設施并破壞這些計算機的人,那么這已經相當大了。想象一下說:我們會飛過你的房子,我們會拿走你在市場上的每一個硬幣,我們會拿走你的私鑰,我們會摧毀你接觸過的每一個服務器,然后我們'將把你放在墻上,這樣如果你攻擊任何其他業務,你將成為你余生的目標。
