全方位解析俄语系勒索软件的生态系统

本文涉及的产品
云解析 DNS,旗舰版 1个月
全局流量管理 GTM,标准版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
简介: 本文讲的是全方位解析俄语系勒索软件的生态系统,毫无疑问,近两年,以敲诈勒索为目的的文件加密恶意软件逐渐成为恶意软件中的主力军,勒索软件是当今网络攻击中一种最主要的攻击工具,对政府组织,公司乃至个人用户造成了极大的危害。
本文讲的是 全方位解析俄语系勒索软件的生态系统

全方位解析俄语系勒索软件的生态系统

勒索软件的发家史

毫无疑问,近两年,以敲诈勒索为目的的文件加密恶意软件逐渐成为恶意软件中的主力军,勒索软件是当今网络攻击中一种最主要的攻击工具,对政府组织,公司乃至个人用户造成了极大的危害。

在刚刚过去的2016年,勒索敲诈类型的恶意攻击越来越频繁和复杂,因为勒索软件已经让攻击者获得了大量的收益。位于英国的技术服务集团与2017年2月11号发布了一张信息图,洞察了勒索软件的肆虐情况。根据数据显示,2016年勒索类型的攻击增长了3.5倍,在2015年12月至2016年4月勒索软件的数量增加了6倍。

全方位解析俄语系勒索软件的生态系统

在分析2016年的攻击统计数据时,卡巴斯基实验室的安全专家们发现到今年年底,普通的个人用户每隔10秒就就会被勒索软件攻击一次,而每隔40秒世界上就会有一个与勒索软件有关的组织出现。

全方位解析俄语系勒索软件的生态系统

根据卡巴斯基的研究,2017年,勒索软件的复杂性和多样性会出现新的增长,比如用脚本语言编写专门针对财务软件的勒索软件,不仅针对性高,而且利用勒索软件即服务要花费更少的时间、技能或资源,而这是通过一个不断增长和日益高效的地下生态系统来实现的。

那么,勒索软件自2000年就存在了,是什么原因让它现在和其他类型的恶意软件有如此的不同,变得如此猖獗呢?经过卡巴斯基实验室的安全专家们分析主要有三个原因:

1.在地下市场上购买勒索软件构建或构建器很容易
2.很容易购买勒索软件的分销服务
3.像Crypto家族这样的勒索软件,已经发展成为了一个企业,有一套非常清晰的盈利模式。

换句话说,勒索软件的产业链已经发展成为了一个完整的从用户到开发的生态系统。在过去几年中,卡巴斯基实验室一直在监测这个生态系统的发展,并对其生态系统进行了全面的解析:

一、勒索软件已经成为了一门真正的生意

根据卡巴斯基实验室的研究,大多数勒索软件在受害者与其攻击者之间发展出了一种相互信任的关系,即其攻击者一旦收到付款,就会返回用户文件。 在履行承诺方面,网络犯罪分子表现出了令人惊讶的专业精神。

在2016年,全球五分之一的企业安全事件是由于遭受勒索软件攻击发生。报告显示,42%的中小型企业在过去12个月内遭到勒索软件的袭击;32%的人会支付赎金。

二、新勒索软件的增加

在2016年,包括Cerber、Locky和Cryptxx在内的勒索软件总共有过141287次新的变异。在2016年初,Cerber和Locky通过垃圾邮件附件和exploit工具包进行广泛传播,随后到2016年中, Cryptxxx又出现,这三个勒索软件家族通过不断地变异,企图勒索更多的赎金。

截止到2016年10月,卡巴斯基实验室总共监测到的10个顶级勒索软件家族,列表如下,

全方位解析俄语系勒索软件的生态系统

三、勒索软件大多原产俄罗斯

根据卡巴斯基的研究,这些勒索软件中的大部分都是来在于俄罗斯,在过去12个月中发现的60多个勒索软件家族中有47个与俄罗斯黑客组织或个人有联系。这个结论是基于卡巴斯基的专家们对黑客地下论坛、黑客的指挥和控制基础设施以及其他在网上找到的线索的综合分析。为什么这么多勒索软件家族有俄罗斯血统呢?究其原因可能有两方面:

首先,因为在俄罗斯及其邻国有很多受过良好计算机教育的专业人士和熟练的代码工作者。

另一个可能的原因是,当涉及勒索软件的整体规划时,俄罗斯的网络犯罪者有最丰富的开发,销售和攻击的经验。

参与勒索软件产业链的三种类型

目前,犯罪分子可以以以下三种不同的方式进入到俄罗斯勒索产业的非法业务中,

第一种类型:销售新开发的勒索软件

第一种类型的业务参与需要参与者有比较突出的代码编写技能,包括对密码学的深入了解。卡巴斯基的研究人员观察到在第一种类型中,参与者更像是个交易者,他们通常不参与实际攻击,只卖代码。

全方位解析俄语系勒索软件的生态系统

有时,恶意软件的开发者会以固定价格(通常几千美元)来销售他们的产品,而有时开发者只卖软件的构建器,这种工具允许没有编程背景的罪犯使用特定的函数列表。

全方位解析俄语系勒索软件的生态系统

而售卖构建器通常要比一套勒索软件的完整源代码要便宜得多,数百美元就能搞定。然而,如果客户想要利用构建器来开发新的恶意软件,还需要寻求构建开发者的帮助,这时构建器的开发者又需要收取一定的费用。

这种利用构建每次进行收费也是原始勒索软件开发者使用的另一种类型的获利方式,不过在这种情况下,价格就非常低了,通常只有几十美元,客户就能收到恶意软件和一个固定的功能列表。

全方位解析俄语系勒索软件的生态系统

如上图就是为勒索软件进行多次构建进行付费的广告

构建通常不仅包括恶意软件代码本身,而且还包括用于统计和与受感染PC交互的工具,

全方位解析俄语系勒索软件的生态系统

如上图所示,就是一个勒索软件家族的建立的一个命令和控制面板的例子。

第二种类型:成为勒索软件业务的合作伙伴

第二种类型就是成为勒索软件业务的合作伙伴,说白了就是成为勒索软件的代理人,是一种相当标准的网络犯罪形式,这种勒索方式就是典型的勒索软件即服务(RAAS),特点是以上下线的方式存在,也就是说“老板”雇佣人员来执行勒索活动,从勒索代理的角度来看,这种活动的准入门槛要远低于第一种,这一种的合作方式门槛就很低了,这些代理人负责传播勒索代码。传播方式主要是购买被感染计算机的访问权限、发送垃圾邮件、查找不安全的服务器或是通过社交网站直接引诱受害者。

一旦代码得以安装并运行,大老板就会和受害者进行沟通,然后在获得赎金以后,把其中的一部分分给代理者,当然,收入的多少还要取决于勒索活动的成功率。

全方位解析俄语系勒索软件的生态系统

与一般的上下线模式不同,特定的合作伙伴必须要经过其中的一个代理合作伙伴的个人推荐,除此之外,候选人还必须要能证明他们具有某些恶意软件分发的能力。比如,专家们就在2016年发现了这么一个案例,候选人必须证明他已完成让受害者在其PC上至少成功下载4000次恶意软件并将其安装了的能力,作为回报,这些合作伙伴会获得了一些免费的工具,用于模糊勒索软件构建(为了使它们对安全解决方案的可见性降低)和良好的转换率(高达3%),这是一个非常好的回报率。

总结来就是,灵活的销售方案是当前恶意勒索软件生态系统兴起的关键因素。它为那些有犯罪倾向的人提供了很多施展犯罪的机会,而且还无需他们拥有专业的IT技能。

第三种类型:成为索软件背后的大老板

全方位解析俄语系勒索软件的生态系统

第三种类型就是成为索软件业务的实际所有者即背后的大老板,要想成为在这个生态系统中真正的大玩家,你就必须能控制整个生态系。

如果你认为成为一个合作伙伴就是勒索软件产业里的最高产业模式了,那你就大错特错了,事实上,勒索软件的创建者通常才是整个索软件业务背后的大老板。

专业勒索软件组织的结构通常包含恶意软件编写者(也称为组织的创建者),合作伙伴,以及和这个产品有关的所有人连接到一起,形成一种企业的上下级管理模式。

索软件真像你想象中的那么挣钱吗?

勒索软件市场的利润很高,但成本也非常大,研究者估计,如上所述的集团的赎金收入中可能每天多达几千美元。当然,就像任何类型的商业活动一样,勒索软件从研发到销售也是要花费大量的资源的。

大型勒索软件组的运营成本的结构大致如下:

1.恶意软件的模块更新,包括:
2.分发(垃圾邮件/ exploit工具包)
3.反病毒的检查服务
4.黑客服务器的登录凭证
5.雇佣专业人员的薪水(通常是维护服务器基础设施的IT管理员)
6.分发的成本(整个组织的核心除了原始软件的开发之外,就是勒索软件代的分销)

目前这些勒索软件主要以四种方式分发勒索软件:

1.漏洞攻击包,
2.垃圾邮件活动,
3.社交网络,
4.被黑客攻击的专用服务器和有针对性的攻击。

其中开发工具包是最昂贵的分发工具之一,每周可能花费数千美元,但另一方面,这种类型的分发的成功率最高。

垃圾邮件是第二个最流行的分发形式。犯罪分子发送的钓鱼邮件通常伪装成来自政府组织或大型银行的重要信息,并带有恶意附件。根据安全专家们在过去一年里观察到的,垃圾邮件的分发成功率非常高,因为在2016年,光卡巴斯基的反病毒软件就阻止了数量是巨大的与勒索软件相关的恶意垃圾邮件。

不过根据观察,有时候,那些带有勒索软件的邮件确实是是由正规的组织发出的,但为什么接收对象收到时却会有恶意软件的提示呢?通过实地考察,安全专家们发现,通常是那些正规的组织已经被黑客所攻击,但他们并不知情,黑客就是利用这一点让他们的攻击目标具有隐藏性。

全方位解析俄语系勒索软件的生态系统

根据追踪分析,勒索软件的犯罪分子在支持他们的运营活动时所面临的运营成本在某些情况下可能达到数万美元,但即便成本如此之高,还是非常有利可图的。根据安全专家们在黑客论坛上发现的对话可知,这些犯罪分子的利润率大概是60%,好的情况下一天赚几万美元不在话下。 

全方位解析俄语系勒索软件的生态系统

如上图所示,勒索软件业务的利润(绿色)与经营成本(红色)的典型分布

这当然是累积净收入的估计,其中包括用于支付给整个计划所有参与者的总金额,包括普通成员,各种高级合作伙伴,经理和软件开发者。根据安全专家们的观察,高级合作伙伴通常每月可赚取40-50比特币(以今天为例,1比特币等于6720元人民币),在一个案例中,安全专家们看到一个合作伙伴在一个月内赚了大约85个比特币,大概571200元人民币。

未来勒索软件的发展趋势和应对措施

专业勒索软件组织正在转向有针对性的攻击,安全专家们目前发现了一个非常令人担忧的趋势,就是具有大量资金储备的勒索软件组织正在从攻击常规用户和中小公司逐渐转向对大型组织进行有针对性的攻击。在卡巴斯基所发现的一个案例中,安全专家们发现有一个拥有200多个服务器的公司的已经被进行过有针对性的攻击了,而在另一个案例中,则是一个拥有1000多个服务器的公司被攻击过。

而这些具有针对性的新型攻击还与我们过去看到的攻击方式有所不同,具有以下特点:

1.对于初始感染,他们没有使用exploit包或spear phishing spam。相反,如果他们能够找到属于目标公司的服务器,就试图进行攻击,
2.为了进入目标组织的网络,黑客会使用开源漏洞利用和工具,
3.如果大型组织有一个具有RDP访问的不受保护的服务器,那黑客就会其使用暴力攻击,
4.为了获得在网络中使用psexec安装勒索软件所需的访问权限,黑客会使用Mimikatz工具。
5.黑客可以使用称为PUPY的开源RAT工具建立持久的攻击性,
6.一旦黑客在受攻击的网络中站稳了脚跟,他们就会对大型组织进行深入分析,然后挑选最重要的文件,并用一个定制的的勒索软件进行专门加密。

这些案例都标明了,勒索软件的攻击手法已经出现了新的变化,安全专家们100%确定这些攻击背后的团队肯定是以前从事那些传统的勒索软件开发的人,因为这些有针对的目标攻击的特点只是夹杂在传统的攻击中的,不过过不了多长时间,有针对的目标攻击就能完全摆脱以前的特点。

根据卡巴斯基实验室的研究,涉及重大数据丢失的五分之一案件都是由于员工的粗心或缺乏意识。虽然一些行业可能受到比其他行业更大的打击,但是研究发现,所有的行业都存在很大的风险。

全方位解析俄语系勒索软件的生态系统

据以上图表显示,教育和IT行业成为攻击发生的“重灾区”,但是零售、健康医疗和交通运输等行业也存在很大的攻击风险。

全方位解析俄语系勒索软件的生态系统

所以对抗勒索软件的方法其实并不复杂:

首先,进行网络分区,
其次,进行定期备份,
还有就是对员工的安全培训,系统和软硬件的及时更新,防患于未然,不过安装一套好的安全防护软件也是最常用的方法(不过要进行及时的升级),这些安全解决方案都可以识别并阻止最新版本的勒索软件。
最后的建议是,如果你的数据被加密了,请不要支付赎金,

在2016年,全球五分之一的企业安全事件是由于遭受勒索软件攻击发生。报告显示,42%的中小型企业在过去12个月内遭到勒索软件的袭击;32%的人会支付赎金;即使在支付赎金后,仍然有五分之一的人找不回文件;受勒索软件影响的人中有67%丢失了部分或全部公司数据,而四分之一的人花了几个星期试图恢复访问。

就算你的数据成功找回,你支付赎金也会继续滋养这个恶意生态系统,让黑客们有更多的资金来研究更复杂的工具,从而使他们获得更有威胁的攻击机会。




原文发布时间为:2017年2月16日
本文作者:xiaohui 
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
目录
相关文章
|
7天前
|
网络协议 网络安全
基于bind软件部署DNS服务器
关于如何使用bind软件部署DNS服务器的教程,包括DNS服务器的类型、基于bind软件的部署步骤、验证DNS服务器可用性的指导,以及如何进行DNS正向解析的实现。
10 2
基于bind软件部署DNS服务器
|
22天前
|
机器学习/深度学习 自然语言处理 负载均衡
揭秘混合专家(MoE)模型的神秘面纱:算法、系统和应用三大视角全面解析,带你领略深度学习领域的前沿技术!
【8月更文挑战第19天】在深度学习领域,混合专家(Mixture of Experts, MoE)模型通过整合多个小型专家网络的输出以实现高性能。从算法视角,MoE利用门控网络分配输入至专家网络,并通过组合机制集成输出。系统视角下,MoE需考虑并行化、通信开销及负载均衡等优化策略。在应用层面,MoE已成功应用于Google的BERT模型、Facebook的推荐系统及Microsoft的语音识别系统等多个场景。这是一种强有力的工具,能够解决复杂问题并提升效率。
36 2
|
22天前
|
测试技术 uml 开发者
使用UML进行系统建模:深入解析与实践指南
【8月更文挑战第19天】UML作为一种强大的建模语言,为系统建模提供了全面的支持。通过合理使用UML,可以显著提高软件开发的效率和质量,促进团队成员之间的有效沟通。然而,UML并非万能,它需要根据项目的具体情况进行灵活应用和调整。希望本文能为你在使用UML进行系统建模时提供一些有益的参考和指导。
|
9天前
|
图形学 开发者 UED
Unity游戏开发必备技巧:深度解析事件系统运用之道,从生命周期回调到自定义事件,打造高效逻辑与流畅交互的全方位指南
【8月更文挑战第31天】在游戏开发中,事件系统是连接游戏逻辑与用户交互的关键。Unity提供了多种机制处理事件,如MonoBehaviour生命周期回调、事件系统组件及自定义事件。本文介绍如何有效利用这些机制,包括创建自定义事件和使用Unity内置事件系统提升游戏体验。通过合理安排代码执行时机,如在Awake、Start等方法中初始化组件,以及使用委托和事件处理复杂逻辑,可以使游戏更加高效且逻辑清晰。掌握这些技巧有助于开发者更好地应对游戏开发挑战。
24 0
|
9天前
|
图形学 C# 开发者
Unity粒子系统全解析:从基础设置到高级编程技巧,教你轻松玩转绚丽多彩的视觉特效,打造震撼游戏画面的终极指南
【8月更文挑战第31天】粒子系统是Unity引擎的强大功能,可创建动态视觉效果,如火焰、爆炸等。本文介绍如何在Unity中使用粒子系统,并提供示例代码。首先创建粒子系统,然后调整Emission、Shape、Color over Lifetime等模块参数,实现所需效果。此外,还可通过C#脚本实现更复杂的粒子效果,增强游戏视觉冲击力和沉浸感。
29 0
|
9天前
|
C# Windows 开发者
超越选择焦虑:深入解析WinForms、WPF与UWP——谁才是打造顶级.NET桌面应用的终极利器?从开发效率到视觉享受,全面解读三大框架优劣,助你精准匹配项目需求,构建完美桌面应用生态系统
【8月更文挑战第31天】.NET框架为开发者提供了多种桌面应用开发选项,包括WinForms、WPF和UWP。WinForms简单易用,适合快速开发基本应用;WPF提供强大的UI设计工具和丰富的视觉体验,支持XAML,易于实现复杂布局;UWP专为Windows 10设计,支持多设备,充分利用现代硬件特性。本文通过示例代码详细介绍这三种框架的特点,帮助读者根据项目需求做出明智选择。以下是各框架的简单示例代码,便于理解其基本用法。
36 0
|
9天前
|
API UED 开发者
超实用技巧大放送:彻底革新你的WinForms应用,从流畅动画到丝滑交互设计,全面解析如何在保证性能的同时大幅提升用户体验,让软件操作变得赏心悦目不再是梦!
【8月更文挑战第31天】在Windows平台上,使用WinForms框架开发应用程序时,如何在保持性能的同时提升用户界面的吸引力和响应性是一个常见挑战。本文探讨了在不牺牲性能的前提下实现流畅动画与交互设计的最佳实践,包括使用BackgroundWorker处理耗时任务、利用Timer控件创建简单动画,以及使用Graphics类绘制自定义图形。通过具体示例代码展示了这些技术的应用,帮助开发者显著改善用户体验,使应用程序更加吸引人和易于使用。
23 0
|
12天前
|
消息中间件 Java RocketMQ
微服务架构师的福音:深度解析Spring Cloud RocketMQ,打造高可靠消息驱动系统的不二之选!
【8月更文挑战第29天】Spring Cloud RocketMQ结合了Spring Cloud生态与RocketMQ消息中间件的优势,简化了RocketMQ在微服务中的集成,使开发者能更专注业务逻辑。通过配置依赖和连接信息,可轻松搭建消息生产和消费流程,支持消息过滤、转换及分布式事务等功能,确保微服务间解耦的同时,提升了系统的稳定性和效率。掌握其应用,有助于构建复杂分布式系统。
29 0
|
15天前
|
存储 API 数据库
Django后端架构开发:构建在线云媒资系统思路解析
Django后端架构开发:构建在线云媒资系统思路解析
30 0
|
16天前
|
开发框架 Android开发 开发者
探索移动应用的无限可能:从开发到系统深度解析
【8月更文挑战第24天】在数字时代的浪潮中,移动应用与操作系统构成了我们日常生活的数字基石。本文将深入探讨移动应用的开发流程、跨平台框架的应用,以及移动操作系统的核心机制,旨在为读者揭示如何利用这些技术构建更智能、更高效的移动解决方案。通过实际代码示例,我们将一起见证技术如何转化为创新的力量。

热门文章

最新文章

推荐镜像

更多
下一篇
DDNS