全方位解析俄语系勒索软件的生态系统

勒索软件的发家史

毫无疑问，近两年，以敲诈勒索为目的的文件加密恶意软件逐渐成为恶意软件中的主力军，勒索软件是当今网络攻击中一种最主要的攻击工具，对政府组织，公司乃至个人用户造成了极大的危害。

在刚刚过去的2016年，勒索敲诈类型的恶意攻击越来越频繁和复杂，因为勒索软件已经让攻击者获得了大量的收益。位于英国的技术服务集团与2017年2月11号发布了一张信息图，洞察了勒索软件的肆虐情况。根据数据显示，2016年勒索类型的攻击增长了3.5倍，在2015年12月至2016年4月勒索软件的数量增加了6倍。

在分析2016年的攻击统计数据时，卡巴斯基实验室的安全专家们发现到今年年底，普通的个人用户每隔10秒就就会被勒索软件攻击一次，而每隔40秒世界上就会有一个与勒索软件有关的组织出现。

根据卡巴斯基的研究，2017年，勒索软件的复杂性和多样性会出现新的增长，比如用脚本语言编写专门针对财务软件的勒索软件，不仅针对性高，而且利用勒索软件即服务要花费更少的时间、技能或资源，而这是通过一个不断增长和日益高效的地下生态系统来实现的。

那么，勒索软件自2000年就存在了，是什么原因让它现在和其他类型的恶意软件有如此的不同，变得如此猖獗呢？经过卡巴斯基实验室的安全专家们分析主要有三个原因：

1.在地下市场上购买勒索软件构建或构建器很容易
2.很容易购买勒索软件的分销服务
3.像Crypto家族这样的勒索软件，已经发展成为了一个企业，有一套非常清晰的盈利模式。

换句话说，勒索软件的产业链已经发展成为了一个完整的从用户到开发的生态系统。在过去几年中，卡巴斯基实验室一直在监测这个生态系统的发展，并对其生态系统进行了全面的解析：

一、勒索软件已经成为了一门真正的生意

根据卡巴斯基实验室的研究，大多数勒索软件在受害者与其攻击者之间发展出了一种相互信任的关系，即其攻击者一旦收到付款，就会返回用户文件。 在履行承诺方面，网络犯罪分子表现出了令人惊讶的专业精神。

在2016年，全球五分之一的企业安全事件是由于遭受勒索软件攻击发生。报告显示，42%的中小型企业在过去12个月内遭到勒索软件的袭击；32%的人会支付赎金。

二、新勒索软件的增加

在2016年，包括Cerber、Locky和Cryptxx在内的勒索软件总共有过141287次新的变异。在2016年初，Cerber和Locky通过垃圾邮件附件和exploit工具包进行广泛传播，随后到2016年中， Cryptxxx又出现，这三个勒索软件家族通过不断地变异，企图勒索更多的赎金。

截止到2016年10月，卡巴斯基实验室总共监测到的10个顶级勒索软件家族，列表如下，

三、勒索软件大多原产俄罗斯

根据卡巴斯基的研究，这些勒索软件中的大部分都是来在于俄罗斯，在过去12个月中发现的60多个勒索软件家族中有47个与俄罗斯黑客组织或个人有联系。这个结论是基于卡巴斯基的专家们对黑客地下论坛、黑客的指挥和控制基础设施以及其他在网上找到的线索的综合分析。为什么这么多勒索软件家族有俄罗斯血统呢？究其原因可能有两方面：

首先，因为在俄罗斯及其邻国有很多受过良好计算机教育的专业人士和熟练的代码工作者。

另一个可能的原因是，当涉及勒索软件的整体规划时，俄罗斯的网络犯罪者有最丰富的开发，销售和攻击的经验。

参与勒索软件产业链的三种类型

目前，犯罪分子可以以以下三种不同的方式进入到俄罗斯勒索产业的非法业务中，

第一种类型：销售新开发的勒索软件

第一种类型的业务参与需要参与者有比较突出的代码编写技能，包括对密码学的深入了解。卡巴斯基的研究人员观察到在第一种类型中，参与者更像是个交易者，他们通常不参与实际攻击，只卖代码。

有时，恶意软件的开发者会以固定价格（通常几千美元）来销售他们的产品，而有时开发者只卖软件的构建器，这种工具允许没有编程背景的罪犯使用特定的函数列表。

而售卖构建器通常要比一套勒索软件的完整源代码要便宜得多，数百美元就能搞定。然而，如果客户想要利用构建器来开发新的恶意软件，还需要寻求构建开发者的帮助，这时构建器的开发者又需要收取一定的费用。

这种利用构建每次进行收费也是原始勒索软件开发者使用的另一种类型的获利方式，不过在这种情况下，价格就非常低了，通常只有几十美元，客户就能收到恶意软件和一个固定的功能列表。

如上图就是为勒索软件进行多次构建进行付费的广告

构建通常不仅包括恶意软件代码本身，而且还包括用于统计和与受感染PC交互的工具,

如上图所示，就是一个勒索软件家族的建立的一个命令和控制面板的例子。

第二种类型：成为勒索软件业务的合作伙伴

第二种类型就是成为勒索软件业务的合作伙伴，说白了就是成为勒索软件的代理人，是一种相当标准的网络犯罪形式，这种勒索方式就是典型的勒索软件即服务(RAAS)，特点是以上下线的方式存在，也就是说“老板”雇佣人员来执行勒索活动，从勒索代理的角度来看，这种活动的准入门槛要远低于第一种，这一种的合作方式门槛就很低了，这些代理人负责传播勒索代码。传播方式主要是购买被感染计算机的访问权限、发送垃圾邮件、查找不安全的服务器或是通过社交网站直接引诱受害者。

一旦代码得以安装并运行,大老板就会和受害者进行沟通，然后在获得赎金以后，把其中的一部分分给代理者，当然,收入的多少还要取决于勒索活动的成功率。

与一般的上下线模式不同，特定的合作伙伴必须要经过其中的一个代理合作伙伴的个人推荐，除此之外，候选人还必须要能证明他们具有某些恶意软件分发的能力。比如，专家们就在2016年发现了这么一个案例，候选人必须证明他已完成让受害者在其PC上至少成功下载4000次恶意软件并将其安装了的能力，作为回报，这些合作伙伴会获得了一些免费的工具，用于模糊勒索软件构建（为了使它们对安全解决方案的可见性降低）和良好的转换率（高达3％），这是一个非常好的回报率。

总结来就是，灵活的销售方案是当前恶意勒索软件生态系统兴起的关键因素。它为那些有犯罪倾向的人提供了很多施展犯罪的机会，而且还无需他们拥有专业的IT技能。

第三种类型：成为索软件背后的大老板

第三种类型就是成为索软件业务的实际所有者即背后的大老板，要想成为在这个生态系统中真正的大玩家，你就必须能控制整个生态系。

如果你认为成为一个合作伙伴就是勒索软件产业里的最高产业模式了，那你就大错特错了，事实上，勒索软件的创建者通常才是整个索软件业务背后的大老板。

专业勒索软件组织的结构通常包含恶意软件编写者（也称为组织的创建者），合作伙伴，以及和这个产品有关的所有人连接到一起，形成一种企业的上下级管理模式。

索软件真像你想象中的那么挣钱吗？

勒索软件市场的利润很高，但成本也非常大，研究者估计，如上所述的集团的赎金收入中可能每天多达几千美元。当然，就像任何类型的商业活动一样，勒索软件从研发到销售也是要花费大量的资源的。

大型勒索软件组的运营成本的结构大致如下：

1.恶意软件的模块更新，包括：
2.分发（垃圾邮件/ exploit工具包）
3.反病毒的检查服务
4.黑客服务器的登录凭证
5.雇佣专业人员的薪水（通常是维护服务器基础设施的IT管理员）
6.分发的成本（整个组织的核心除了原始软件的开发之外，就是勒索软件代的分销）

目前这些勒索软件主要以四种方式分发勒索软件：

1.漏洞攻击包，
2.垃圾邮件活动，
3.社交网络，
4.被黑客攻击的专用服务器和有针对性的攻击。

其中开发工具包是最昂贵的分发工具之一，每周可能花费数千美元，但另一方面，这种类型的分发的成功率最高。

垃圾邮件是第二个最流行的分发形式。犯罪分子发送的钓鱼邮件通常伪装成来自政府组织或大型银行的重要信息，并带有恶意附件。根据安全专家们在过去一年里观察到的，垃圾邮件的分发成功率非常高，因为在2016年，光卡巴斯基的反病毒软件就阻止了数量是巨大的与勒索软件相关的恶意垃圾邮件。

不过根据观察，有时候，那些带有勒索软件的邮件确实是是由正规的组织发出的，但为什么接收对象收到时却会有恶意软件的提示呢？通过实地考察，安全专家们发现，通常是那些正规的组织已经被黑客所攻击，但他们并不知情，黑客就是利用这一点让他们的攻击目标具有隐藏性。

根据追踪分析，勒索软件的犯罪分子在支持他们的运营活动时所面临的运营成本在某些情况下可能达到数万美元，但即便成本如此之高，还是非常有利可图的。根据安全专家们在黑客论坛上发现的对话可知，这些犯罪分子的利润率大概是60%，好的情况下一天赚几万美元不在话下。 

如上图所示，勒索软件业务的利润（绿色）与经营成本（红色）的典型分布

这当然是累积净收入的估计，其中包括用于支付给整个计划所有参与者的总金额，包括普通成员，各种高级合作伙伴，经理和软件开发者。根据安全专家们的观察，高级合作伙伴通常每月可赚取40-50比特币（以今天为例，1比特币等于6720元人民币），在一个案例中，安全专家们看到一个合作伙伴在一个月内赚了大约85个比特币，大概571200元人民币。

未来勒索软件的发展趋势和应对措施

专业勒索软件组织正在转向有针对性的攻击，安全专家们目前发现了一个非常令人担忧的趋势，就是具有大量资金储备的勒索软件组织正在从攻击常规用户和中小公司逐渐转向对大型组织进行有针对性的攻击。在卡巴斯基所发现的一个案例中，安全专家们发现有一个拥有200多个服务器的公司的已经被进行过有针对性的攻击了，而在另一个案例中，则是一个拥有1000多个服务器的公司被攻击过。

而这些具有针对性的新型攻击还与我们过去看到的攻击方式有所不同，具有以下特点：

1.对于初始感染，他们没有使用exploit包或spear phishing spam。相反，如果他们能够找到属于目标公司的服务器，就试图进行攻击，
2.为了进入目标组织的网络，黑客会使用开源漏洞利用和工具，
3.如果大型组织有一个具有RDP访问的不受保护的服务器，那黑客就会其使用暴力攻击，
4.为了获得在网络中使用psexec安装勒索软件所需的访问权限，黑客会使用Mimikatz工具。
5.黑客可以使用称为PUPY的开源RAT工具建立持久的攻击性，
6.一旦黑客在受攻击的网络中站稳了脚跟，他们就会对大型组织进行深入分析，然后挑选最重要的文件，并用一个定制的的勒索软件进行专门加密。

这些案例都标明了，勒索软件的攻击手法已经出现了新的变化，安全专家们100％确定这些攻击背后的团队肯定是以前从事那些传统的勒索软件开发的人，因为这些有针对的目标攻击的特点只是夹杂在传统的攻击中的，不过过不了多长时间，有针对的目标攻击就能完全摆脱以前的特点。

根据卡巴斯基实验室的研究，涉及重大数据丢失的五分之一案件都是由于员工的粗心或缺乏意识。虽然一些行业可能受到比其他行业更大的打击，但是研究发现，所有的行业都存在很大的风险。

据以上图表显示，教育和IT行业成为攻击发生的“重灾区”，但是零售、健康医疗和交通运输等行业也存在很大的攻击风险。

所以对抗勒索软件的方法其实并不复杂：

首先，进行网络分区，
其次，进行定期备份，
还有就是对员工的安全培训，系统和软硬件的及时更新，防患于未然，不过安装一套好的安全防护软件也是最常用的方法（不过要进行及时的升级），这些安全解决方案都可以识别并阻止最新版本的勒索软件。
最后的建议是，如果你的数据被加密了，请不要支付赎金，

在2016年，全球五分之一的企业安全事件是由于遭受勒索软件攻击发生。报告显示，42%的中小型企业在过去12个月内遭到勒索软件的袭击；32%的人会支付赎金；即使在支付赎金后，仍然有五分之一的人找不回文件；受勒索软件影响的人中有67%丢失了部分或全部公司数据，而四分之一的人花了几个星期试图恢复访问。

就算你的数据成功找回，你支付赎金也会继续滋养这个恶意生态系统，让黑客们有更多的资金来研究更复杂的工具，从而使他们获得更有威胁的攻击机会。