研究表明,勒索软件犯罪团伙已经选用公司的全部关键因素开展攻击,其中包括职工人物角色、营销方案、合作方生态体系,乃至风险资本项目投资。
日益经常的勒索软件攻击造成了大家的关心,造成一些顶尖网络媒体在2022年稍早禁止在其服务平台上探讨勒索软件主题活动和交易。尽管有的人期待这能对勒索软件机构的能力造成巨大危害,但这种禁令只能将它们的违法活动转为地底,使科学研究单位和安全性工作人员更难对它进行监管。
假如说有什么不同得话,在这种社区论坛公布禁令以后的好多个月里,勒索软件攻击比之前什么时候都更为充分和胆大。实际上,勒索软件是网络诈骗经济发展的核心要点,必须采用更为严苛的举措来解决。融洽勒索软件攻击的团队现如今相对高度系统化,在许多层面都类似当代企业架构,其中包括开发设计精英团队、市场销售单位、媒体公关单位、外界承包单位和服务提供商,她们都从勒索软件攻击的不法盈利中分一杯羹。她们乃至在与受害者的沟通交流中应用商业服务专业术语,将受害者称作选购数据信息破译服务项目的顾客。
Akamai公司安全性研究者Steve Ragan说,“互联网犯罪嫌疑人的全球与人们的商务全球相近,仅仅更黑喑和歪曲。”
依靠勒索软件的地下经济
根据查询勒索软件经营所涉及到的具体内容及其团队的结构方法,非常容易看得出勒索软件是网络诈骗经济发展的核心。勒索软件机构通常雇佣下列工作人员:
- 撰写文件加密程序流程工作人员(开发设计精英团队)
- 创建和维护保养付款和泄密事件网站及其沟通渠道的工作人员(IT基础设施建设精英团队)
- 在论谈上宣传策划勒索软件服务项目的工作人员(营销团队)
- 与新闻媒体新闻记者沟通交流、在Twitter上发布信息,并在许多人的博主上发布消息的工作人员(媒体公关和社交媒体精英团队)
- 商议付款巨款的工作人员(顾客支撑精英团队)
- 在受害者的互联网上实行人力实际操作网络黑客攻击和横着挪动,以布署勒索软件程序流程以得到一部分盈利的工作人员(附设企业或网站渗透测试工作人员的外界承包单位)
这种团队和工作人员通常从别的互联网犯罪嫌疑人那边选购进到受害者互联网的管理权限,这种互联网犯罪嫌疑人早已用恶意代码或僵尸网络或根据盗取的凭证毁坏了安全管理系统。这种第三方机构称之为网站访问代理商。勒索软件团队还很有可能选购包括失窃账户信息或内部结构存贮的信息和信息内容,这种信息内容很有可能有利于目标侦察。垃圾短信服务项目也时常被勒索软件团队应用。
也就是说,网络诈骗生态体系中的许多层面都根据勒索软件立即或间接性盈利。因而,这种团队越来越更为技术专业,并与有着投资人、产品营销策略、顾客适用、工作中机遇、战略伙伴关系等合理合法公司相近,这样的事情并不少见。这也是一种数年来慢慢产生的发展趋势。
安全性企业Intel 471公司的总裁网络信息安全官Brandon Hoffman说:“地底网络诈骗实质上早已变成一个经济大国,在那里有服务提供商、商品创始者、经济学家、基础设施建设服务提供商。在这个经济大国中,有着全部这种差异品种的经销商和顾客。如同在人们的随意市场经济体制中一样,由于有着这种不一样种类的服务提供商和商品服务提供商很肯定地逐渐来到一起,创立团队以给予一揽子服务项目和产品,如同我们在经济发展经营中常做的那般。因此,我觉得她们已经迅速发展趋势。”
Ragan说,“很多年来,我们知道网络诈骗团队和正规的公司一样有着开发软件生命期,她们有网络营销、媒体公关、中层管理工作人员,也是有协助高級犯罪嫌疑人管理决策的工作人员,这并不新鮮。仅仅愈来愈多的人进行关心在其中的共同之处。”
勒索软件集团公司灵便变化多端,杀伤力越来越大
很多年来,勒索软件攻击使很多医院门诊、院校、公共文化服务组织、地区和区政府组织乃至警员单位偏瘫,2022年5月初对英国最高的成品油批发管路系统软件Colonial管路的互联网攻击变成一个划时代事情。
本次泄漏事情是一家名叫DarkSide的勒索软件机构导致的,驱使Colonial企业在其57年的运营历史时间中初次关掉其输油管线系统软件,以避免勒索软件攻击其重要自动控制系统。本次攻击造成美国西海岸的然料紧缺。该事情造成领域人员和新闻媒体的普遍关心,因为它突显了勒索软件对重要基础设施建设组成的危害,引起了有关该类攻击是不是应分类为恐怖组织主题活动的争执。
就连DarkSide的营运商也观念了局势的严重后果,并宣告对其附设企业(具体开展网络黑客攻击和布署勒索软件的第三方承包单位)开展控制,宣称期待在未来防止造成那样的社会发展不良影响,但针对DarkSide的服务提供商而言,产生的危害太大。
在本次互联网攻击产生几日后,网络诈骗社区论坛XSS的管理人员公布严禁服务平台上任何与勒索软件有关的主题活动,原因是媒体公关事情太多,并将稽查风险性提升到“风险等级” 。
包含REvil企业以内的别的著名勒索软件集团公司也马上公布了相似的现行政策,并明文禁止攻击诊疗、文化教育和政府部门,以操纵媒体公关危害。此外2个大中型网络诈骗社区论坛也没多久就明令禁止了敲诈勒索主题活动。
接着,DarkSide公司公布关掉,由于该企业无法打开其blog、付款网络服务器、比特币钱包和其它公共配套设施,宣称其代管服务提供商仅在行政执法组织的需求下澄清事实。在一个月后,美国联邦调查局公布想方设法讨回了440万的数字货币,而这也是Colonial管道公司迫不得已付款给网络黑客以破译其体系并恢复过来经营的保释金。
在最首要的网络诈骗社区论坛上严禁勒索软件主题活动是一项重大突破,由于很多年来,这种社区论坛一直是勒索软件机构征募附设组织的首要场地。这种社区论坛为互联网犯罪嫌疑人中间的公共性和个人沟通交流给予了一种简易的沟通方式,乃至为彼此互相不掌握和信任感的买卖给予资金托管服务项目。
在某种意义上,这种禁令还危害了监管这种社区论坛以搜集相关危害个人行为者和新危害的讯息的互联网安全企业。尽管大部分网络诈骗科学研究工作人员都了解社区论坛禁令并不会从总体上阻拦勒索软件的攻击,但有的人的确想要知道她们的下一步行为。例如,她们会转移到其它社区论坛吗?她们会创建自身的平台用以广告宣传和与附设企业的交流吗?她们会转为像Jabber或Telegram那样的即时闲聊程序流程吗?
Ragan说:“那样做的目地是将这种探讨迁移到别的个人团队。她们并不会消退,她们所做的便是避开大众视野。在过去较长的一段时间里,大家在论谈上能够看见她们的人才招聘、市场拓展、探讨主题风格,及其她们已经开发设计怎样的作用。而如今这一切都过去,大家没法预知未来的转变。遗憾的是,这代表大家不容易了解新的勒索软件变异或提升的新作用,直到发生新的受害者。”
事情回应和数据调查取证服务提供商LIFARS企业创办人兼CEOOndrej Krehel表明,勒索软件主题活动并没有遭受社区论坛禁令的危害,由于参加该类运动的大部分参加者早已根据Telegram和Threema上的个人团队开展交流和沟通交流,这早已有两三年的時间。
做为营销推广工作的一部分,这种社区论坛上依然有一些诱惑力,但假如有些人确实想要更主要的物品,则务必早已变成这种团队的一部分,有的人必须缴纳与已经知道互联网犯罪行为相关的BTC开展证实自身的真实身份。Krehel说,“勒索软件攻击事情可能持续提高。”
互联网犯罪嫌疑人撤出仅仅转化成不一样的人物角色
现如今,每过好多个月就会有一家著名勒索软件集团公司正式宣布将中断业务流程经营。上一个月是Avaddon企业,DarkSide在这之前公布散伙。而当她们决策散伙或中断业务流程经营时,通常会放出她们的主密匙,这将会为一些并未付款保释金或从备份文件中修复其文档的受害者给予协助,但这种精英团队身后的互联网犯罪分子并不会真真正正从其生态体系中消退或是被抓坐牢。她们仅仅迁移到别的团队或更改人物角色,例如变成勒索软件运营专员或投资人。
Ragan将其与应用皮包公司筹资的传统式犯罪嫌疑人开展较为,那样的集团公司的刑事犯罪在造成我们的关心的时候快速散伙。他说道,“几乎每一次全是那样,她们习惯创立皮包公司,并致力于将其用以邪惡方式。”
Krehel强调,勒索软件团队的生命期通常在三年上下,由于她们搞清楚很有可能会遭到大量关心,尤其是她们很有可能取得成功的情形下,最好的办法便是关掉并创立新团队。他表明,或许有一些组员撤出以后变成别的团队的风险投资家,但这类大转变产生大量错乱,使执法部门更难查明全部参加者。
勒索软件的投资收益率很好,以致于很多的互联网犯罪嫌疑人参加在其中。这就是与其它方式的网络诈骗团队(例如银行信用卡偷盗或侵入金融机构)逐渐选用勒索软件做为固定收入或与勒索软件犯罪团伙协作的缘故。
Ragan说,“这种团队早已迁移业务流程并与勒索软件团队合拼或结成联盟。从字面看,这类似现实世界的合拼和回收。她们很有可能从别的团队那边取得了优秀人才,如今她们已经开发设计自身的勒索软件,或是她们取得了附设程序流程并将其合拼。”
Hoffman说,“很显著,这种新团队的一些组员很可能来源于旧人群,例如Maze、Egregor、REvil都开展了分拆,并创立了新的团队,例如Astra Locker和LV等。尽管他们并不全是有关的,但新人群和旧群体中间有很多联络。”
一些新的队伍也很有可能征募新的业务员,并为这些人带来一个得到大量勒索软件应用工作经验的服务平台。
Krehel说,“如今还出现一个可供雇佣互联网犯罪嫌疑人的生态体系,这些人沒有相应的前科,她们在执行了取得成功的攻击以后而沒有被抓。这些人将它们的专业技能加上到她们的违法犯罪简历中,而且遭受团伙犯罪的信赖。这种组员也常常拆换团队。这如同Google和Facebook等大企业一样,其职工也在不断拆换工作中。”
很有可能必须采用的活动和对策
互联网犯罪嫌疑人不容易容易舍弃勒索软件攻击,由于收益太高,而恶意程序创始者和网上犯罪分子都了解这也是一条约定俗成的标准:不必以当地企业为攻击总体目标。
继在2022年7月又一次备受关注的勒索软件攻击危害了来自于全世界的1000多个企业以后,美政府与俄罗斯政府开展了商谈,并公布在互联网攻击问题上进行协作,并暗示着英国提前准备对勒索软件攻击中采用的服务器虚拟机威胁恐吓。人物角色,Kaseya企业(其手机软件遭受网络黑客攻击并被用以散播勒索软件)从一个未公布但被称作可靠第三方的由来收到了主破译密匙。
一些国家的稽查组织将付诸行动阻拦勒索软件团队的攻击,并在她们导致较大伤害以前阻拦互联网攻击。
Ragan说,“假如政府部门将勒索软件犯罪团伙做为关键打击目标,那麼这种犯罪团伙很有可能束手无策。这种互联网犯罪嫌疑人有一种实际的害怕,我觉得这就是导致这种精英团队急匆匆散伙的缘故。”
Hoffman觉得,世界各国政府部门可以为公司的安全性给予政策支持,根据给予基础设施建设用以打压商业服务违法犯罪,在这样的情况下,很有可能为公司的安全性降低一些工作压力。
Hoffman表示,互联网犯罪嫌疑人通常并不会与政府部门抵抗。他说道,“因而,假如政府部门使用大量的能量来打压网络诈骗,这种网络诈骗社区论坛和营运商并不愿获得这种的結果,这也许会对她们造成重要的危害。”