全方位解析俄语系勒索软件的生态系统

本文涉及的产品
全局流量管理 GTM,标准版 1个月
云解析 DNS,旗舰版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
简介: 本文讲的是全方位解析俄语系勒索软件的生态系统,毫无疑问,近两年,以敲诈勒索为目的的文件加密恶意软件逐渐成为恶意软件中的主力军,勒索软件是当今网络攻击中一种最主要的攻击工具,对政府组织,公司乃至个人用户造成了极大的危害。
本文讲的是 全方位解析俄语系勒索软件的生态系统

全方位解析俄语系勒索软件的生态系统

勒索软件的发家史

毫无疑问,近两年,以敲诈勒索为目的的文件加密恶意软件逐渐成为恶意软件中的主力军,勒索软件是当今网络攻击中一种最主要的攻击工具,对政府组织,公司乃至个人用户造成了极大的危害。

在刚刚过去的2016年,勒索敲诈类型的恶意攻击越来越频繁和复杂,因为勒索软件已经让攻击者获得了大量的收益。位于英国的技术服务集团与2017年2月11号发布了一张信息图,洞察了勒索软件的肆虐情况。根据数据显示,2016年勒索类型的攻击增长了3.5倍,在2015年12月至2016年4月勒索软件的数量增加了6倍。

全方位解析俄语系勒索软件的生态系统

在分析2016年的攻击统计数据时,卡巴斯基实验室的安全专家们发现到今年年底,普通的个人用户每隔10秒就就会被勒索软件攻击一次,而每隔40秒世界上就会有一个与勒索软件有关的组织出现。

全方位解析俄语系勒索软件的生态系统

根据卡巴斯基的研究,2017年,勒索软件的复杂性和多样性会出现新的增长,比如用脚本语言编写专门针对财务软件的勒索软件,不仅针对性高,而且利用勒索软件即服务要花费更少的时间、技能或资源,而这是通过一个不断增长和日益高效的地下生态系统来实现的。

那么,勒索软件自2000年就存在了,是什么原因让它现在和其他类型的恶意软件有如此的不同,变得如此猖獗呢?经过卡巴斯基实验室的安全专家们分析主要有三个原因:

1.在地下市场上购买勒索软件构建或构建器很容易
2.很容易购买勒索软件的分销服务
3.像Crypto家族这样的勒索软件,已经发展成为了一个企业,有一套非常清晰的盈利模式。

换句话说,勒索软件的产业链已经发展成为了一个完整的从用户到开发的生态系统。在过去几年中,卡巴斯基实验室一直在监测这个生态系统的发展,并对其生态系统进行了全面的解析:

一、勒索软件已经成为了一门真正的生意

根据卡巴斯基实验室的研究,大多数勒索软件在受害者与其攻击者之间发展出了一种相互信任的关系,即其攻击者一旦收到付款,就会返回用户文件。 在履行承诺方面,网络犯罪分子表现出了令人惊讶的专业精神。

在2016年,全球五分之一的企业安全事件是由于遭受勒索软件攻击发生。报告显示,42%的中小型企业在过去12个月内遭到勒索软件的袭击;32%的人会支付赎金。

二、新勒索软件的增加

在2016年,包括Cerber、Locky和Cryptxx在内的勒索软件总共有过141287次新的变异。在2016年初,Cerber和Locky通过垃圾邮件附件和exploit工具包进行广泛传播,随后到2016年中, Cryptxxx又出现,这三个勒索软件家族通过不断地变异,企图勒索更多的赎金。

截止到2016年10月,卡巴斯基实验室总共监测到的10个顶级勒索软件家族,列表如下,

全方位解析俄语系勒索软件的生态系统

三、勒索软件大多原产俄罗斯

根据卡巴斯基的研究,这些勒索软件中的大部分都是来在于俄罗斯,在过去12个月中发现的60多个勒索软件家族中有47个与俄罗斯黑客组织或个人有联系。这个结论是基于卡巴斯基的专家们对黑客地下论坛、黑客的指挥和控制基础设施以及其他在网上找到的线索的综合分析。为什么这么多勒索软件家族有俄罗斯血统呢?究其原因可能有两方面:

首先,因为在俄罗斯及其邻国有很多受过良好计算机教育的专业人士和熟练的代码工作者。

另一个可能的原因是,当涉及勒索软件的整体规划时,俄罗斯的网络犯罪者有最丰富的开发,销售和攻击的经验。

参与勒索软件产业链的三种类型

目前,犯罪分子可以以以下三种不同的方式进入到俄罗斯勒索产业的非法业务中,

第一种类型:销售新开发的勒索软件

第一种类型的业务参与需要参与者有比较突出的代码编写技能,包括对密码学的深入了解。卡巴斯基的研究人员观察到在第一种类型中,参与者更像是个交易者,他们通常不参与实际攻击,只卖代码。

全方位解析俄语系勒索软件的生态系统

有时,恶意软件的开发者会以固定价格(通常几千美元)来销售他们的产品,而有时开发者只卖软件的构建器,这种工具允许没有编程背景的罪犯使用特定的函数列表。

全方位解析俄语系勒索软件的生态系统

而售卖构建器通常要比一套勒索软件的完整源代码要便宜得多,数百美元就能搞定。然而,如果客户想要利用构建器来开发新的恶意软件,还需要寻求构建开发者的帮助,这时构建器的开发者又需要收取一定的费用。

这种利用构建每次进行收费也是原始勒索软件开发者使用的另一种类型的获利方式,不过在这种情况下,价格就非常低了,通常只有几十美元,客户就能收到恶意软件和一个固定的功能列表。

全方位解析俄语系勒索软件的生态系统

如上图就是为勒索软件进行多次构建进行付费的广告

构建通常不仅包括恶意软件代码本身,而且还包括用于统计和与受感染PC交互的工具,

全方位解析俄语系勒索软件的生态系统

如上图所示,就是一个勒索软件家族的建立的一个命令和控制面板的例子。

第二种类型:成为勒索软件业务的合作伙伴

第二种类型就是成为勒索软件业务的合作伙伴,说白了就是成为勒索软件的代理人,是一种相当标准的网络犯罪形式,这种勒索方式就是典型的勒索软件即服务(RAAS),特点是以上下线的方式存在,也就是说“老板”雇佣人员来执行勒索活动,从勒索代理的角度来看,这种活动的准入门槛要远低于第一种,这一种的合作方式门槛就很低了,这些代理人负责传播勒索代码。传播方式主要是购买被感染计算机的访问权限、发送垃圾邮件、查找不安全的服务器或是通过社交网站直接引诱受害者。

一旦代码得以安装并运行,大老板就会和受害者进行沟通,然后在获得赎金以后,把其中的一部分分给代理者,当然,收入的多少还要取决于勒索活动的成功率。

全方位解析俄语系勒索软件的生态系统

与一般的上下线模式不同,特定的合作伙伴必须要经过其中的一个代理合作伙伴的个人推荐,除此之外,候选人还必须要能证明他们具有某些恶意软件分发的能力。比如,专家们就在2016年发现了这么一个案例,候选人必须证明他已完成让受害者在其PC上至少成功下载4000次恶意软件并将其安装了的能力,作为回报,这些合作伙伴会获得了一些免费的工具,用于模糊勒索软件构建(为了使它们对安全解决方案的可见性降低)和良好的转换率(高达3%),这是一个非常好的回报率。

总结来就是,灵活的销售方案是当前恶意勒索软件生态系统兴起的关键因素。它为那些有犯罪倾向的人提供了很多施展犯罪的机会,而且还无需他们拥有专业的IT技能。

第三种类型:成为索软件背后的大老板

全方位解析俄语系勒索软件的生态系统

第三种类型就是成为索软件业务的实际所有者即背后的大老板,要想成为在这个生态系统中真正的大玩家,你就必须能控制整个生态系。

如果你认为成为一个合作伙伴就是勒索软件产业里的最高产业模式了,那你就大错特错了,事实上,勒索软件的创建者通常才是整个索软件业务背后的大老板。

专业勒索软件组织的结构通常包含恶意软件编写者(也称为组织的创建者),合作伙伴,以及和这个产品有关的所有人连接到一起,形成一种企业的上下级管理模式。

索软件真像你想象中的那么挣钱吗?

勒索软件市场的利润很高,但成本也非常大,研究者估计,如上所述的集团的赎金收入中可能每天多达几千美元。当然,就像任何类型的商业活动一样,勒索软件从研发到销售也是要花费大量的资源的。

大型勒索软件组的运营成本的结构大致如下:

1.恶意软件的模块更新,包括:
2.分发(垃圾邮件/ exploit工具包)
3.反病毒的检查服务
4.黑客服务器的登录凭证
5.雇佣专业人员的薪水(通常是维护服务器基础设施的IT管理员)
6.分发的成本(整个组织的核心除了原始软件的开发之外,就是勒索软件代的分销)

目前这些勒索软件主要以四种方式分发勒索软件:

1.漏洞攻击包,
2.垃圾邮件活动,
3.社交网络,
4.被黑客攻击的专用服务器和有针对性的攻击。

其中开发工具包是最昂贵的分发工具之一,每周可能花费数千美元,但另一方面,这种类型的分发的成功率最高。

垃圾邮件是第二个最流行的分发形式。犯罪分子发送的钓鱼邮件通常伪装成来自政府组织或大型银行的重要信息,并带有恶意附件。根据安全专家们在过去一年里观察到的,垃圾邮件的分发成功率非常高,因为在2016年,光卡巴斯基的反病毒软件就阻止了数量是巨大的与勒索软件相关的恶意垃圾邮件。

不过根据观察,有时候,那些带有勒索软件的邮件确实是是由正规的组织发出的,但为什么接收对象收到时却会有恶意软件的提示呢?通过实地考察,安全专家们发现,通常是那些正规的组织已经被黑客所攻击,但他们并不知情,黑客就是利用这一点让他们的攻击目标具有隐藏性。

全方位解析俄语系勒索软件的生态系统

根据追踪分析,勒索软件的犯罪分子在支持他们的运营活动时所面临的运营成本在某些情况下可能达到数万美元,但即便成本如此之高,还是非常有利可图的。根据安全专家们在黑客论坛上发现的对话可知,这些犯罪分子的利润率大概是60%,好的情况下一天赚几万美元不在话下。 

全方位解析俄语系勒索软件的生态系统

如上图所示,勒索软件业务的利润(绿色)与经营成本(红色)的典型分布

这当然是累积净收入的估计,其中包括用于支付给整个计划所有参与者的总金额,包括普通成员,各种高级合作伙伴,经理和软件开发者。根据安全专家们的观察,高级合作伙伴通常每月可赚取40-50比特币(以今天为例,1比特币等于6720元人民币),在一个案例中,安全专家们看到一个合作伙伴在一个月内赚了大约85个比特币,大概571200元人民币。

未来勒索软件的发展趋势和应对措施

专业勒索软件组织正在转向有针对性的攻击,安全专家们目前发现了一个非常令人担忧的趋势,就是具有大量资金储备的勒索软件组织正在从攻击常规用户和中小公司逐渐转向对大型组织进行有针对性的攻击。在卡巴斯基所发现的一个案例中,安全专家们发现有一个拥有200多个服务器的公司的已经被进行过有针对性的攻击了,而在另一个案例中,则是一个拥有1000多个服务器的公司被攻击过。

而这些具有针对性的新型攻击还与我们过去看到的攻击方式有所不同,具有以下特点:

1.对于初始感染,他们没有使用exploit包或spear phishing spam。相反,如果他们能够找到属于目标公司的服务器,就试图进行攻击,
2.为了进入目标组织的网络,黑客会使用开源漏洞利用和工具,
3.如果大型组织有一个具有RDP访问的不受保护的服务器,那黑客就会其使用暴力攻击,
4.为了获得在网络中使用psexec安装勒索软件所需的访问权限,黑客会使用Mimikatz工具。
5.黑客可以使用称为PUPY的开源RAT工具建立持久的攻击性,
6.一旦黑客在受攻击的网络中站稳了脚跟,他们就会对大型组织进行深入分析,然后挑选最重要的文件,并用一个定制的的勒索软件进行专门加密。

这些案例都标明了,勒索软件的攻击手法已经出现了新的变化,安全专家们100%确定这些攻击背后的团队肯定是以前从事那些传统的勒索软件开发的人,因为这些有针对的目标攻击的特点只是夹杂在传统的攻击中的,不过过不了多长时间,有针对的目标攻击就能完全摆脱以前的特点。

根据卡巴斯基实验室的研究,涉及重大数据丢失的五分之一案件都是由于员工的粗心或缺乏意识。虽然一些行业可能受到比其他行业更大的打击,但是研究发现,所有的行业都存在很大的风险。

全方位解析俄语系勒索软件的生态系统

据以上图表显示,教育和IT行业成为攻击发生的“重灾区”,但是零售、健康医疗和交通运输等行业也存在很大的攻击风险。

全方位解析俄语系勒索软件的生态系统

所以对抗勒索软件的方法其实并不复杂:

首先,进行网络分区,
其次,进行定期备份,
还有就是对员工的安全培训,系统和软硬件的及时更新,防患于未然,不过安装一套好的安全防护软件也是最常用的方法(不过要进行及时的升级),这些安全解决方案都可以识别并阻止最新版本的勒索软件。
最后的建议是,如果你的数据被加密了,请不要支付赎金,

在2016年,全球五分之一的企业安全事件是由于遭受勒索软件攻击发生。报告显示,42%的中小型企业在过去12个月内遭到勒索软件的袭击;32%的人会支付赎金;即使在支付赎金后,仍然有五分之一的人找不回文件;受勒索软件影响的人中有67%丢失了部分或全部公司数据,而四分之一的人花了几个星期试图恢复访问。

就算你的数据成功找回,你支付赎金也会继续滋养这个恶意生态系统,让黑客们有更多的资金来研究更复杂的工具,从而使他们获得更有威胁的攻击机会。




原文发布时间为:2017年2月16日
本文作者:xiaohui 
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
目录
相关文章
|
25天前
|
人工智能
歌词结构的巧妙安排:写歌词的方法与技巧解析,妙笔生词AI智能写歌词软件
歌词创作是一门艺术,关键在于巧妙的结构安排。开头需迅速吸引听众,主体部分要坚实且富有逻辑,结尾则应留下深刻印象。《妙笔生词智能写歌词软件》提供多种 AI 功能,帮助创作者找到灵感,优化歌词结构,写出打动人心的作品。
|
26天前
|
人工智能
写歌词的技巧和方法全解析:开启你的音乐创作之旅,妙笔生词智能写歌词软件
怀揣音乐梦想,渴望用歌词抒发情感?掌握关键技巧,你也能踏上创作之旅。灵感来自生活点滴,主题明确,语言简洁,韵律和谐。借助“妙笔生词智能写歌词软件”,AI辅助创作,轻松写出动人歌词,实现音乐梦想。
|
7天前
|
网络协议 网络安全 网络虚拟化
本文介绍了十个重要的网络技术术语,包括IP地址、子网掩码、域名系统(DNS)、防火墙、虚拟专用网络(VPN)、路由器、交换机、超文本传输协议(HTTP)、传输控制协议/网际协议(TCP/IP)和云计算
本文介绍了十个重要的网络技术术语,包括IP地址、子网掩码、域名系统(DNS)、防火墙、虚拟专用网络(VPN)、路由器、交换机、超文本传输协议(HTTP)、传输控制协议/网际协议(TCP/IP)和云计算。通过这些术语的详细解释,帮助读者更好地理解和应用网络技术,应对数字化时代的挑战和机遇。
35 3
|
23天前
|
敏捷开发 数据管理 数据挖掘
高效项目管理必备!2024年10款优质软件全解析
在快节奏的互联网行业中,高效的项目管理工具是成功的关键。本文推荐10款优质项目管理软件,包括板栗看板、Asana、Trello、Jira、Microsoft Project等,帮助团队提升效率、优化资源、缩短项目周期。每款工具都有其独特优势,适合不同规模和需求的团队使用。
41 0
高效项目管理必备!2024年10款优质软件全解析
|
11天前
|
SQL 监控 安全
员工上网行为监控软件:SQL 在数据查询监控中的应用解析
在数字化办公环境中,员工上网行为监控软件对企业网络安全和管理至关重要。通过 SQL 查询和分析数据库中的数据,企业可以精准了解员工的上网行为,包括基础查询、复杂条件查询、数据统计与分析等,从而提高网络管理和安全防护的效率。
23 0
|
1月前
|
消息中间件 中间件 数据库
NServiceBus:打造企业级服务总线的利器——深度解析这一面向消息中间件如何革新分布式应用开发与提升系统可靠性
【10月更文挑战第9天】NServiceBus 是一个面向消息的中间件,专为构建分布式应用程序设计,特别适用于企业级服务总线(ESB)。它通过消息队列实现服务间的解耦,提高系统的可扩展性和容错性。在 .NET 生态中,NServiceBus 提供了强大的功能,支持多种传输方式如 RabbitMQ 和 Azure Service Bus。通过异步消息传递模式,各组件可以独立运作,即使某部分出现故障也不会影响整体系统。 示例代码展示了如何使用 NServiceBus 发送和接收消息,简化了系统的设计和维护。
48 3
|
2月前
|
机器学习/深度学习 存储 人工智能
让模型评估模型:构建双代理RAG评估系统的步骤解析
在当前大语言模型(LLM)应用开发中,评估模型输出的准确性成为关键问题。本文介绍了一个基于双代理的RAG(检索增强生成)评估系统,使用生成代理和反馈代理对输出进行评估。文中详细描述了系统的构建过程,并展示了基于四种提示工程技术(ReAct、思维链、自一致性和角色提示)的不同结果。实验结果显示,ReAct和思维链技术表现相似,自一致性技术则呈现相反结果,角色提示技术最为不稳定。研究强调了多角度评估的重要性,并提供了系统实现的详细代码。
60 10
让模型评估模型:构建双代理RAG评估系统的步骤解析
|
20天前
|
机器学习/深度学习 Android开发 UED
移动应用与系统:从开发到优化的全面解析
【10月更文挑战第25天】 在数字化时代,移动应用已成为我们生活的重要组成部分。本文将深入探讨移动应用的开发过程、移动操作系统的角色,以及如何对移动应用进行优化以提高用户体验和性能。我们将通过分析具体案例,揭示移动应用成功的关键因素,并提供实用的开发和优化策略。
|
1月前
|
域名解析 缓存 网络协议
【网络】DNS,域名解析系统
【网络】DNS,域名解析系统
96 1
|
2月前
|
移动开发 Android开发 数据安全/隐私保护
移动应用与系统的技术演进:从开发到操作系统的全景解析随着智能手机和平板电脑的普及,移动应用(App)已成为人们日常生活中不可或缺的一部分。无论是社交、娱乐、购物还是办公,移动应用都扮演着重要的角色。而支撑这些应用运行的,正是功能强大且复杂的移动操作系统。本文将深入探讨移动应用的开发过程及其背后的操作系统机制,揭示这一领域的技术演进。
本文旨在提供关于移动应用与系统技术的全面概述,涵盖移动应用的开发生命周期、主要移动操作系统的特点以及它们之间的竞争关系。我们将探讨如何高效地开发移动应用,并分析iOS和Android两大主流操作系统的技术优势与局限。同时,本文还将讨论跨平台解决方案的兴起及其对移动开发领域的影响。通过这篇技术性文章,读者将获得对移动应用开发及操作系统深层理解的钥匙。

推荐镜像

更多