如今,包括勒索軟件團伙在內(nèi)的網(wǎng)絡犯罪分子儼然成為有組織的非法企業(yè)。勒索軟件團伙,、敲詐組織和DDoS攻擊者一再得逞,,屢屢闖入知名組織實施攻擊活動絕非偶然,其背后是有組織的體系,不同層面的網(wǎng)絡犯罪分子齊心協(xié)力以達成最終目的,進而人人可以分贓。以下是網(wǎng)絡犯罪分子扮演的幾個關鍵角色,。
初始訪問代理(Initial Access Broker,簡稱“IAB”)
IAB是指將企業(yè)網(wǎng)絡訪問權出售給潛在買家的一類網(wǎng)絡犯罪分子,,他們通過數(shù)據(jù)泄露市場,、論壇或隱蔽的消息應用程序頻道和聊天組來兜售。然而IAB不一定執(zhí)行后續(xù)的破壞性活動,,比如數(shù)據(jù)泄露,、加密和刪除,。通常,買方?jīng)Q定如何濫用訪問權:選擇竊取商業(yè)機密,、部署勒索軟件,,或是安裝間諜軟件、泄露數(shù)據(jù),。
云端無密碼身份驗證技術提供商Cloud RADIUS的高級軟件工程師Ben Richardson表示,,過去IAB主要將公司訪問權兜售給企圖破壞公司數(shù)據(jù)、從受攻擊公司竊取知識產(chǎn)權或財務數(shù)據(jù)的犯罪分子,。由于當時攻擊數(shù)量少,,市場對IAB的需求不高。如今,,商業(yè)競爭對手常雇用IAB從事間諜和盜竊活動,。
勒索軟件時代的到來使得市場對IAB的需求急劇增加。勒索軟件團伙通過雇用IAB來攻擊目標公司并開拓新業(yè)務,。
X即服務(X as a service)
目前在安全界,,“X即服務”常常指勒索軟件即服務(RaaS)或惡意軟件即服務(MaaS),它們代表一種較新的商業(yè)模式,。RaaS酷似軟件即服務(SaaS)模式,,這種方式是向企圖實施攻擊的“加盟機構”(affiliate)有償提供勒索軟件工具、網(wǎng)絡釣魚工具包和IT基礎設施,。
過去,,實施全面的攻擊活動要求網(wǎng)絡犯罪分子技能嫻熟,但X即服務模式已放低了這種門檻,。更多的網(wǎng)絡犯罪分子進入X即服務領域,,這個領域包括初始訪問代理、勒索軟件即服務和惡意軟件即服務等,。網(wǎng)絡犯罪分子現(xiàn)在只需精通某個領域,就可充分利用所有其他團伙的服務,。
勒索軟件加盟機構
勒索軟件加盟機構好比是被勒索軟件團伙雇用的多用途“承包商”,,執(zhí)行各種攻擊活動:向IAB購買網(wǎng)絡初始訪問權、僅僅購置可能有助于偵察的失竊登錄信息和數(shù)據(jù)內(nèi)容以及執(zhí)行攻擊等,。
攻擊和勒索得逞后,,勒索軟件加盟機構從受害者支付給上級勒索軟件團伙的贖金中抽取傭金。為了加快攻擊速度,,加盟機構可能租用RaaS平臺,,用“租賃的勒索軟件”加密文件,并使用所有現(xiàn)有工具,、服務和漏洞利用代碼,。
勒索軟件加盟機構只需掏一小筆費用,,就能享用原本需要自行開發(fā)和管理的產(chǎn)品和服務。此外,,加盟機構可以付費找到IAB和已受攻擊的組織,,這大大降低了實施攻擊的準入門檻。加盟機構現(xiàn)在可以專注于對組織實施敲詐勒索的實際運作,。
惡意軟件和漏洞利用代碼的開發(fā)者
這類網(wǎng)絡犯罪分子針對零日漏洞或已知漏洞開發(fā)漏洞利用代碼,,而不僅限于概念驗證(PoC)演示。這些犯罪分子還可能開發(fā)可以鉆多個漏洞空子的惡意軟件,。許多勒索軟件攻擊也可能始于攻擊者部署代碼,,進而攻擊流行的訪問設備、應用程序,、VPN和嵌入在應用程序深處的單個軟件組件,,比如Log4j。
在早期,,惡意軟件和漏洞利用代碼開發(fā)者可能是“腳本小子”或老練的黑客,,不過隨著網(wǎng)絡犯罪分子之間不斷加強合作,復雜的惡意軟件開發(fā)大多在開發(fā)團隊內(nèi)部進行,,軟件開發(fā)生命周期和說明文檔一應俱全,,與正規(guī)軟件公司毫無二致。
另外,,加密貨幣的廣泛采用為一小批漏洞利用代碼開發(fā)者提供了平臺,。如果開發(fā)者精通加密,對區(qū)塊鏈協(xié)議又有深入了解,,就可以在這些加密平臺打上補丁之前利用它們存在的零日漏洞和未修補漏洞,,以實施攻擊活動。
高級持續(xù)性威脅團伙
高級持續(xù)性威脅(Advanced Persistent Threat,,簡稱“APT”)團伙過去描述為國家威脅分子或國家撐腰的網(wǎng)絡犯罪集團,,它們有特定的目標,在較長時間內(nèi)從事破壞或政治間諜活動?,F(xiàn)在,,APT團伙采用的策略也被非加盟機構的網(wǎng)絡犯罪分子采用。
APT團伙通常使用具有廣泛監(jiān)視和隱匿功能的量身設計的惡意軟件,。歷史上最臭名昭著的APT攻擊之一是Stuxnet事件,,Stuxnet利用Windows當時的多個零日漏洞來感染計算機、四處傳播,,并對核電廠的離心機造成實際損壞,。據(jù)傳這種極其復雜的計算機蠕蟲由美國和以色列情報機構合作開發(fā)。
然而,APT團伙絕不僅限于單單利用物理設備,,大多數(shù)APT活動采用魚叉式網(wǎng)絡釣魚攻擊來滲入網(wǎng)絡,、悄然傳播有效載荷、泄露數(shù)據(jù),、植入持久性后門以及秘密監(jiān)視受害者,。
令人不安的趨勢是,APT團伙已轉(zhuǎn)而破壞上游軟件和源代碼,,SolarWinds供應鏈攻擊就是一個典例,,通過第三方供應商,進一步攻擊更上游的目標,,然后用自己的有效載荷破壞合法軟件,。這是一種影響大、頻次低的事件,,組織需根據(jù)風險狀況和容忍度,,以不同的方式加以防范。
數(shù)據(jù)代理或信息代理
“數(shù)據(jù)代理”或“信息代理”這兩個術語既指一類合法的服務提供商,,又指非法的網(wǎng)絡犯罪分子,。合法的信息代理和數(shù)據(jù)聚合服務可能從法庭記錄、土地登記,、財產(chǎn)銷售記錄,、社交媒體檔案、電話簿,、企業(yè)注冊登記和婚姻記錄等公共信息源獲取數(shù)據(jù),,以收集人員和企業(yè)情報。這些信息可以拿來與營銷人員,、研究人員和公司企業(yè)有償共享,。惡意數(shù)據(jù)代理從事非法勾當,比如在暗網(wǎng)和數(shù)據(jù)泄露市場兜售竊取的材料和機密數(shù)據(jù),。
近年來,,RaaS模式的迅猛增長推動了IAB職業(yè)化。這類RaaS產(chǎn)品由成熟的APT團伙開發(fā),,比如Wizard Spider(RYUK RaaS),、Gold Southfield(REvil RaaS)和FIN7(DarkSide RaaS)。作為該產(chǎn)品的一部分,,這類APT/RaaS團伙為其客戶提供支持、門戶網(wǎng)站訪問以及每月訂閱服務,,經(jīng)常與客戶搞加盟關系,。
在這類加盟協(xié)議中,RaaS團伙將在任何加盟機構從勒索目標所得的利潤中抽取分成。除了拿敏感數(shù)據(jù)勒索受害者外,,許多犯罪團伙還獲取了受害者的員工/客戶信息,。這些被泄露的敏感信息數(shù)據(jù)可能包括社會保險號碼(SSN)、信用卡信息,、購買歷史記錄和帳戶登錄信息,,并與其他產(chǎn)品捆綁兜售。這就是所謂的數(shù)據(jù)代理,。
