今天,美国安全公司 Carbon Black 发布了最新的勒索软件调查报告,和去年相比,暗网经济中勒索软件的市场规模猛增了2502%。
技术门槛减低,Ransomware-as-a-Service(RaaS)的兴起,高回报,低风险(Tor ,虚拟货币可以很好的隐藏自己的身份),缺乏对受害者的基础安全保护,无一不促进了勒索软件市场的“兴旺繁荣”。
去年,大多数安全专家都预测勒索软件将会在网络犯罪中起到越来越重要的作用,而这份报告正好验证了这一点。
暗网市场中,研究人员发现了 45000 个勒索软件
为了收集报告中用到的相关数据,Car Black 的研究人员调查了暗网中售卖的勒索软件和相关服务。
今年 7 月到 9 月,研究人员调查了 21个大型的暗网交易市场,得出了惊人的结论,有近 6300 个网站都在打广告售卖勒索软件和相关服务,广告总数超过了 45000 个。而且价格跨度也非常大,从 1 美元到 3000 美元都有,但这是由于恶意软件作者使用不同的收费模式造成的,有些按单个软件定价,有些按月订购或按年订购。
比较 2016 年和 2017 年至今,暗网中的勒索软件市场规模已经从 249287.05 美元涨到了 6237248.90 美元,增长率高达 2502% 。FBI 提供的数据也表示,2016 年的勒索赎金总额约为 1 亿美元,高于 2015 年的 2400 万美元。
RaaS 为勒索市场的主要推力
根据 Carbon Black 的报告可以看出,暗网经济其实十分复杂。举个例子,有人提供 RaaS(Ransomware-as-a-Service),它可以提供一体化的全套服务,而有的人会提供一些限制性的服务,还有人仅仅只是提供勒索软件。
一体化的 RaaS 本身就是一条完善的勒索链,其中集成了分发通道(攻击套件,spam 僵尸网络等);可以对比特币勒索进行管理的支付模式;对文件的加密与解锁,还有对用户的技术支持,所有的这些都集成在一个简单的 web 后台面板中。
限制性服务对比一体化 RaaS 而言,就少了很多功能,通常定价也并不是很高。
总的来说,对于卖家来说做的事情还是很少的——恶意软件的开发者仅仅只是售卖整个勒索软件链,剩下怎么发挥,就交给买家了。
地下产业愈加成熟
地下的勒索软件经济已趋于成熟,和现有的软件商业模式类似,包括开发,售后,分发,经销,质保等各个环节。整个勒索软件行业越来越像一个合法的行业。
摆在眼前的现实是,由于存在高利润,勒索软件行业正在快速增长。如何削弱其盈利能力就显得尤为重要。Carbon Black 将整个行业分为5大点:开发,分发,加密,支付,指挥和控制。安全从业者如果可以打掉整个环节或者其中一个点,整条攻击链就会分崩离析。
着眼于软件开发环节是不可能的,当年轻的开发人员在合法工作上获得的收益不高时,他们就会通过开发勒索软件牟利;分发环节同样难以打破,因为整个市场都是隐藏在暗网之下的;加密同样不可控制,在公开领域可以很轻松的获得加密系统;而付款就是最弱的环节了,整个供应链的目的就是为了收取赎金——但是如果赎金的支付变得不方便了,整个行业就会崩塌。
报道中表示,我们需要停止支付赎金,只有受害者选择支付赎金,整个行业才可以正常运转。人们如果一直选择支付赎金的话,这样的问题还会越来越严重。不过,如果某个国家或目标行业有足够的人都拒绝支付赎金的话,犯罪分子很可能会换个地方继续作恶。拒绝支付赎金并不能根本解决问题,它只是将问题转移到别的地方。
在此背景下,勒索软件行业还将继续发展。到目前为止,勒索软件行业已经很大程度上掌握在那些技术并不是很高明的人手中,软件复杂性再也不是成功的必要条件。报告中也谈到了这种变化,WannaCry 和 NotPetya 就是很明显的例子,前者并不复杂,而后者也并不是专门为了加密文件而产生的。无论怎样,利用 NSA 泄露的工具逐渐变成一个新的趋势。
加密可能只是为了更好的隐蔽自己
然而 Carbon Black 在随后的报告中也指出,这种勒索手段或许只是一种烟雾弹,使用已经存在的技术删除计算机备份(文件备份,Windows 事件记录)攻击者可以让防卫者更专注与事件响应,想方设法去解密上锁的文件而不是去调查攻击者的相关数据和凭证。这些勒索软件越将注意力放在加密文件上,就越可以帮助攻击者隐藏自己的行踪。
这些就是报告中提到的整个勒索软件发展的现状:一方面勒索软件可能会集中在真正有技术的开发者手中,另一方面是在识别哪些受害者会支付赎金这件事上下功夫,这两方面的结合就是人和产品的结合。
并且这些恶意软件开发者会使用更先进更持久的的技术,在对受害者进行解密后仍存留在受害者的网路上,从而以后找机会进行二次敲诈。
勒索软件开发者年收入高达 10 万美元
如此庞大的市场对于每个人都是开放的,Carbon Black 的报告中显示,勒索软件开发者的年收入高达 10 万美元,这已经超过了正常的软件开发人员的收入(69000 美元)。
这种差距在东欧国家更加明显,这里被称作恶意软件的发源地,暗网中对勒索软件销售额从 2016 的 40 万美元飙升到 625 万美元。
当然,报告中并没有包含深网和 XMPP spam 中的售卖数据。