平行世界的鏡像：勒索軟件如何運行地下經濟？

為了更大限度地牟利，勒索軟件團伙不僅沿襲了傳統犯罪集團的一些特征，甚至還開始采用合法企業的所有核心要素，包括明確的員工角色、營銷計劃、合作伙伴生態系統，甚至風險資本投資等等。

最近幾個月，勒索軟件已經成為政治上的“燙手山芋”。拜登政府要求俄羅斯政府嚴厲打擊從俄羅斯境內襲擊美國目標的犯罪分子，并威脅稱，如果俄羅斯當局不盡快采取行動，將直接瓦解他們。

作為回應，一些頂級網絡犯罪論壇——包括俄語Exploit和XSS論壇——已在今年早些時候宣布禁止在其平臺上討論勒索軟件和進行交易。雖然有些人希望此舉能夠重創勒索軟件團伙，但不幸的現實是，這種禁令只會將他們的活動變得更為隱秘，使安全研究人員和執法機構更難以對其進行追蹤和監控。

如果需要證據的話，在論壇禁令后的幾個月里，勒索軟件攻擊比以往任何時候都更加有力和大膽。事實上，勒索軟件是網絡犯罪經濟的生命線，其協調攻擊的團體高度專業化，在很多方面都與現代企業結構類似，包括開發團隊、銷售和公關部門、外部承包商以及服務提供商，他們都可以從非法收益中分一杯羹。他們甚至在與受害者的交流中使用商業術語，將他們稱為購買“數據解密服務”的客戶。

安全研究人員Steve Ragan表示，勒索軟件團伙如同生活在一個平行世界中，那里的一切猶如我們現實世界的倒像，那里有我們熟知的商業世界，只是要更加黑暗和扭曲。

依賴勒索軟件的地下經濟

通過查看勒索軟件操作所涉及的內容以及團體的組織方式，很容易可以看出勒索軟件是網絡犯罪經濟的核心。勒索軟件團伙雇傭的人員包括：

編寫文件加密程序的（開發團隊）；

建立及維護支付和泄漏站點，以及溝通渠道的（IT 基礎設施團隊）；

在論壇上宣傳勒索軟件服務的（銷售團隊）；

與記者溝通并在Twitter及他們的博客上發布消息和公告的（公關和社交媒體團隊）；

協商支付贖金的（客戶支持團隊）；

在受害者的網絡上執行手動黑客攻擊和橫向移動，部署勒索軟件程序以獲取部分利潤的（稱為“附屬機構”或滲透測試人員的外部承包商）；

“附屬機構”（affiliates）通常從其他網絡犯罪分子那里——他們已經使用木馬程序、僵尸網絡或竊取的憑據破壞了系統——購買網絡訪問權限。這些第三方被稱為“網絡訪問代理”。附屬機構還可能購買包含被盜帳戶信息或有助于目標偵察的內部信息的數據轉儲。除此之外，垃圾郵件服務和防彈托管也經常被勒索軟件團伙使用。

換句話說，網絡犯罪生態系統中的很多方面都通過勒索軟件直接或間接牟利。因此，這些團體變得更加專業，并與擁有投資者、經理、產品營銷、客戶支持、工作機會、合作伙伴關系等的公司類似也就不足為奇了。這是經過多年不斷發展完善逐漸形成的趨勢。

安全公Intel 471的CISO Brandon Hoffman表示，地下網絡犯罪本質上已經成為一種經濟，在那里，服務提供商、產品開發者、金融家、基礎設施提供商一應俱全。它是和現實世界一樣的經濟體，只是在那里供應和銷售的東西截然不同而已。不過，就像在我們的自由市場經濟中一樣，由于你擁有所有這些不同類型的服務提供商和產品提供商，因此他們很自然地開始走到一起并共同建立業務以提供一攬子服務和商品。所以，勒索軟件團伙的運作模式發展至今實在不足為奇。

事實上，多年前，我們就已經發現犯罪分子和我們其他人一樣擁有軟件開發生命周期。他們有市場營銷、公關、中層管理人員；有負責低級犯罪并向高級犯罪分子報告的人。這些都不是什么新鮮事，只是如今，越來越多的人開始聽聞并關注這種趨勢。

勒索軟件團伙適應市場壓力

多年來，勒索軟件攻擊迫使許多醫院、學校、公共服務機構、地方和州政府機構甚至警察部門癱瘓，但今年5月初針對美國最大成品油管道系統Colonial Pipeline的攻擊事件算是一個里程碑。

此次攻擊事件歸因于一個名為“DarkSide”的俄羅斯勒索軟件組織，攻擊迫使Colonial Pipeline公司57年以來首次關閉其整個汽油管道系統，以防止勒索軟件傳播到關鍵控制系統，此舉直接導致美國東海岸的燃料短缺。

該事件在媒體輿論中不斷發酵，因為它突出了勒索軟件對關鍵基礎設施構成的威脅，甚至引發了關于此類攻擊是否應歸類為恐怖主義形式的辯論。

就連DarkSide運營商也意識到事態的嚴重性，并宣布對其附屬公司——實際進行黑客攻擊和部署勒索軟件的第三方承包商——引入“審核”，以避免類似事件再次發生。但無奈，此事熱度已經發酵，對該組織也產生了重要影響。

攻擊發生幾天后，最大的俄語網絡犯罪論壇之一XSS的管理員宣布禁止平臺上所有與勒索軟件相關的活動。而包括REvil在內的其他知名勒索軟件團伙也立即為其附屬公司宣布了類似的緩和政策，禁止其攻擊醫療保健、教育和政府機構，以試圖控制公關熱度。這還遠遠不夠，另外兩個大型網絡犯罪論壇Exploit和Raid緊隨其后，禁止了所有勒索軟件相關活動。

事后，DarkSide宣布將關閉其業務，因為它也無法訪問其博客、支付服務器、比特幣錢包和其他公共基礎設施，并聲稱其托管服務提供商僅在“執法機構的要求下”做出回應。一個月后，聯邦調查局宣布它設法收回了Colonial Pipeline被迫支付的440萬美元加密貨幣。

在最流行的網絡犯罪論壇上禁止勒索軟件活動是一項重大進展，因為多年來，這些論壇一直是勒索軟件組織招募附屬機構的主要場所。這些論壇為網絡犯罪分子之間的公共和私人交流提供了一種簡單的方式，甚至為互不了解的雙方交易提供資金托管服務。

不過，在某種程度上，這項禁令也影響了網絡安全公司通過監控這些論壇，收集有關威脅行為者和新威脅的情報。雖然大多數網絡犯罪研究人員都知道論壇禁令不會從整體上阻止勒索軟件的運行，但有些人確實想知道他們的下一步行動是什么。他們會遷移到不太受歡迎的論壇嗎？他們會建立自己的網站用于廣告和與附屬機構溝通嗎？他們會轉向Jabber或Telegram這樣的實時聊天程序嗎？

研究人員表示，論壇禁令不會讓他們消失，只是讓他們暫避鋒芒。在過去，我們可以在論壇上看到他們的招聘、討論以及正在開發的新功能。但是現在這些都消失了……我們將無法窺探和預測其變化，不知道他們是否開發了新變種或添加了新功能，直至第一個受害者被擊中。

根據事件響應和數字取證公司LIFARS的創始人兼首席執行官Ondrej Krehel的說法，勒索軟件的運營并未受到論壇禁令的影響，因為兩三年前此類活動的大多數參與者就已經通過Telegram和Threema上的私人群組進行交流。

作為營銷工作的一部分，論壇上仍然有一些吸引力，但如果你真的想得到更具體的東西，你必須要成為這些團體的一部分，而想要加入組織，你必須用與已知犯罪活動相關的錢包支付一小部分比特幣來證明自己的實力。總而言之，這種勒索軟件的增長速度將持續下去。

金盆洗手，還只是改頭換面？

每隔幾個月，一個備受矚目的勒索軟件組織就會宣布關閉其業務。上個月是Avaddon；在此之前是DarkSide；再再之前是Maze等等。有時，當他們決定解散時，這些團體會釋放他們的主密鑰，這可能會幫助一些尚未支付贖金或從備份中恢復文件的受害者，但這些團體背后的罪犯并沒有真正從生態系統中消失或進入監獄。他們只是轉移到其他團體或改變了角色，例如從成功的勒索軟件運營商搖身一變成為投資者。

Ragan解釋稱，這種形式就如同使用空殼公司籌措資金的傳統犯罪分子，一旦輿論發酵，他們就會及時止損，宣布解散，然后投入新的角色繼續犯罪活動。

根據Krehel的說法，勒索軟件組織的生命周期通常在兩年左右，因為他們明白在那之后他們會受到太多關注，特別是如果他們已經取得成功，最好的辦法就是退出該組織并創建一個新的組織。不排除有些成員會徹底退出勒索軟件組織，并成為其他團伙的風險投資家，但這種重新洗牌的形式只會制造混亂，使執法部門更難獲取所有參與者的信息。

勒索軟件的投資回報率非常好，職業網絡犯罪分子無法抵擋住誘惑。這就是為什么與其他形式的網絡犯罪（例如信用卡盜竊或入侵銀行）有關的團體開始采用勒索軟件作為收入來源或與勒索軟件團伙合作的原因。

如今，宣布解散的團伙大多已經轉移陣地并與其他團伙聯合并結成聯盟。從字面上看，就類似于現實世界中的“合并”和“收購”。他們可能認為重組之后他們便可以利用其他團體的人才資源，加大開發勒索軟件的力度。

Maze、Egregor以及REvil所有這些解散團伙可能已經創造了其他新的東西，例如AstraLocker 和LV以及所有這些即將問世的新團體。它們并不都是相關的，但新群體和舊群體之間有很多關聯。一些新團伙可能也會招募“老人”，利用他們豐富的作戰經驗和積累的資源，將自身發展為更成熟的團體。

攻擊性行動迫在眉睫

網絡犯罪分子不會輕易放棄勒索軟件，因為它太有利可圖，而且他們中的許多人生活在俄羅斯，在那里因向西方組織勒索錢財而被捕的可能性很低。源自俄羅斯或獨立國家聯合體（CIS） 的惡意軟件程序通常具有內置檢查功能，可防止將其部署在使用俄語或來自獨聯體國家的其他語言的計算機上。

惡意軟件創建者和網絡犯罪分子都知道這是一個不成文的規則：不要針對本地公司，你會沒事的！俄羅斯不引渡其公民，而且鑒于該國與西方國家目前的地緣政治狀態，也不太可能在執法層面上加強網絡犯罪方面的合作。

繼7月份又一次備受矚目的勒索軟件攻擊影響了來自世界各地的1000多家公司之后，拜登總統與俄羅斯總統普京進行了交談，宣稱自己對在網絡攻擊問題上的合作持樂觀態度，但他也暗示美國準備進攻用于勒索軟件攻擊的服務器以進行報復。

如果未來外交渠道無法產生結果，而俄羅斯執法機構也不在國內采取任何行動，那么美國可能需要采取更具攻擊性的方法來勸阻這些團體并在造成大量受害者之前阻止其攻擊行動。

Hoffman認為美國有機會在支持企業方面更具攻擊性。與其他國家類似，用于民族國家目的的國家基礎設施無法用于打擊商業犯罪，但面對現如今這種嚴峻的網絡態勢，我們可能必須提供它，并使其變得具有攻擊性，以減輕本土企業的一些壓力。

與準備不足的企業組織相比，網絡犯罪分子并不想與政府機構對抗。因此，如果美國國家網絡基礎設施的全部力量用于對抗網絡犯罪世界，這正是論壇運營商所不想看到的，它可能會產生重大影響。另一方面，這是否會導致美國和俄羅斯之間一直懸而未決的“網絡戰爭”，然后俄羅斯的國家網絡基礎設施將以更明顯的方式對我們產生影響呢？答案是，也許吧！

參考及來源：https://www.csoonline.com/article/3631534/how-ransomware-runs-the-underground-economy.html?nsdr=true&page=2