企業正在經歷數字化轉型,犯罪也是如此。
如今,地下網絡犯罪經濟正在經歷工業化浪潮,前所未有地蓬勃發展。
網絡犯罪已經成為一個巨大的“產業”,隨著公司和消費者在數字世界投入數萬億美元,全球的犯罪分子都在積極進軍網絡。
世界經濟論壇2020全球風險報告:全球風險關係圖(紫色為技術風險)
世界經濟論壇(WEF)的《2020年全球風險報告》指出,網絡犯罪將是未來十年(至2030年)全球商業中第二大最受關注的風險。它也是最有可能發生的第七大、第八大風險,網絡安全的賭注從未如此高。企業的收入、利潤和品牌聲譽都已“在線”;關鍵任務基礎架構正面臨威脅;各國之間正在相互進行網絡戰和網絡間諜活動。
放眼世界:沃爾瑪擁有美國最大的公司收益,去年創造了驚人的5,140億美元收入。但是,網絡犯罪的收入是其12倍。兩者都出售各種各樣的產品和服務。實際上,就收益而言,網絡犯罪甚至使特斯拉、Facebook、微軟、蘋果、亞馬遜和沃爾瑪蒙羞。全球網絡犯罪的合併年總收入“僅”為1.28萬億美元。
網絡犯罪市場已經細分出多個種類,不法分子會聚集在秘密專有的討論區中,以躲避司法審查,他們開發的網絡犯罪服務組合包括分佈式拒絕服務(DDoS)攻擊、惡意軟件、網絡釣魚活動、特洛伊木馬和大量被盜數據集的所有內容,只要願意為此付費的人都可以使用。
網絡犯罪正在經歷一次全球範圍的工業化“革命”,網絡犯罪組織們開始提供“正規”公司所做的一切:產品開發、技術支持、分銷、質量保證甚至客戶服務。網絡犯罪分子搶劫然後出售新技術或秘密戰略計劃,這將使他們的買家在競爭者中佔優勢。黑客竊取軍事機密、可再生能源創新知識產權等高價值信息。
網絡犯罪的協作化和團隊化
網絡犯罪比諸如搶劫銀行等傳統犯罪的風險更低。實際上,根據世界經濟論壇的數據,在美國,逮捕網絡犯罪分子並將其遞交法庭的可能性低至0.05%。
擁有一支穩定團隊且“業務”廣泛的網絡犯罪分子的收入比傳統犯罪分子高大約10%至15%。但是,不同的黑客的收入存在巨大的差異。這取決於工作內容、承擔的風險以及為該組織工作的人數。最高收入者每年可賺取超過200萬美元。
有人認為,一般的黑客是藏在黑暗地下室裡的身著連帽衫的古怪少年。但事實上,如今的網絡犯罪分子更像“公司人”:從招聘員工到任命高管,一些團體甚至擁有公開身份,以確保黑客團體保持其公關形象和“品牌聲譽”,這在暗網上非常重要。
英國國家網絡安全中心(NCSC)強調指出,有組織的網絡犯罪分子通過分工合作來實現平穩運營。有“團隊負責人”負責協調工作,並負責保持法律上領先一步。他們擁有大數據專家來處理被盜數據,開發者負責編寫和更改惡意代碼,以及“入侵專家”負責感染並滲透目標公司。此外,“呼叫中心專員”冒充技術支持人員打電話給受害者,在受害者的計算機上安裝惡意軟件,此外還有“財務專家”幫助洗錢。
敏捷化程度高於網絡安全公司
敏捷開發和DevOps興起於互聯網行業,但是惡意軟件開發團隊似乎比網絡安全公司更加敏捷,這進一步拉大了網絡攻防之間的實力差距。以老牌木馬病毒Emotet為例,其開發團隊的“敏捷性”極高,產品迭代和“創新”頻繁,至今仍然是地下黑產的重要“投放渠道”。
實際上,第一個真正實現敏捷並且讓網絡安全界感到難堪的病毒是勒索軟件Gandcrab。
作為2018年最耀眼的勒索軟件,Gandcrab名聲大噪不僅因為它是首個索要DASH(達世幣)的勒索軟件,也不是因為感染用戶數量或者短短兩個月斬獲60萬美金的驚人斂財速度,而是因為Gandcrab是首個讓包括Fortinet、卡巴斯基、賽門鐵克等各大網絡安全公司和歐洲刑警組織感到害怕甚至絕望的勒索軟件,因為Gandcrab的開發者和運營者,在產品運營推廣和產品迭代開發兩個方面,都讓上述組織疲於奔命,難望項背。
Gandcrab的擴散方式屬於典型的growth hacking技術營銷+聯盟營銷,主要通過分發Rig和Grandsoft漏洞利用工具、垃圾電子郵件以及佣金聯盟三種方式。Gandcrab為實施勒索活動的加盟者斬獲的贖金(價值400美元的達世幣)提供高達30-40%的佣金分成比例。
例如,當Gandcrab第一個版本被Bitdefender Labs等安全公司破解並放出解鎖工具後,Gandcrab一週內很快發佈了第二個版本。安全公司Checkpoint在詳細比較兩個版本的Gandcrab之後,發出一聲哀嘆:“連勒索軟件都敏捷了,日子沒法過了。”
是的,Gandcrab是首個採用敏捷方法快速迭代的勒索軟件,其更新和成長速度遠遠超過白帽子和安全公司的應變速度。
Checkpoint在研究報告中指出:顯然Gandcrab的團隊採用了敏捷方法,早期的版本充斥著bug和錯誤,但是Gandcrab的團隊顯然有著自己的代碼審核流程,而且總能在bug發現後的第一時間快速修復。而且,與Cerber類似,Gandcrab是一個以開發為中心的網絡犯罪產品,Gandcrab的開發者的主要精力都放在產品的迭代完善上,向加盟者提供技術軍火,但並不直接參與勒索軟件的傳播和收款。
敏捷開發方式也讓Gandcrab攻擊工具很難被傳統的基於數字簽名的殺毒軟件引擎偵測到,Gandcrab正在變得越來越“完美”和無懈可擊——CheckPoint惡意軟件研究負責人Michael Kajiloti指出。
最受歡迎業務:勒索軟件和DDoS勒索
據歐洲刑警組織的報告,漏洞利用工具包不再是最熱門的網絡犯罪工具,但有趣的是,新的熱門工具技術含量/門檻卻在下降,通過惡意軟件盜竊數據的威脅呈下降趨勢,取而代之的是“吸金能力”更強的勒索軟件和DDoS勒索。
根據亞信安全《2019威脅態勢分析》報告,到2021年,全球因為勒索攻擊造成的損失將達到200億美元,是2015年3.25億美元的61倍之多,2019年中國的勒索病毒感染量已經躍居全球榜首,佔總數的20%。此外,勒索病毒的發展將呈現多平臺感染、產業化、針對性、創新性等特徵,勒索軟件即服務(Ransomware as a Service)正在成為黑產的重要模式之一。
除了今年“重整旗鼓”的勒索軟件,DDoS攻擊的熱度也在持續上升,尤其是以XaaS模式提供勒索軟件和DDoS服務。網絡犯罪團伙使用大型殭屍網絡或可操縱的雲賬戶來產生惡意數據,攻擊特定目標。此類攻擊可能持續數天,但總的趨勢是小型化和高頻化。一次小型DDoS攻擊的成本在10美元到數千美元之間(視攻擊複雜性和強度而不同),此類攻擊的動機多樣,可以是勒索攻擊,破壞性攻擊,也可能只是偽裝多向量攻擊而又佔用了受害者IT資源的一種方式。劍橋大學發現,此類DDoS攻擊非常普遍,以至於購買者甚至包括學齡兒童。
歐洲刑警組織的《2019年互聯網有組織犯罪威脅評估》報告描述了DDoS攻擊如何成為全球企業面臨的最嚴重威脅之一。去年,犯罪分子首選的DDoS目標是銀行和其他金融機構、警察機關等公共組織和地方政府。旅行社、互聯網基礎設施和在線遊戲也是最青睞的攻擊目標。根據歐洲刑警組織的報告,雖然越來越多的不良行為者被繩之以法,但這未能遏制DDoS攻擊和Dark Web基礎設施的“野蠻生長”。
最後,世界經濟論壇指出,面對網絡犯罪經濟的“蓬勃發展”,組織的網絡安全支出大大落後於網絡威脅的增長速度。
