企業(yè)正在經(jīng)歷數(shù)字化轉(zhuǎn)型，犯罪也是如此。

[[323201]]

如今，地下網(wǎng)絡(luò)犯罪經(jīng)濟正在經(jīng)歷工業(yè)化浪潮，前所未有地蓬勃發(fā)展。

網(wǎng)絡(luò)犯罪已經(jīng)成為一個巨大的“產(chǎn)業(yè)”，隨著公司和消費者在數(shù)字世界投入數(shù)萬億美元，全球的犯罪分子都在積極進軍網(wǎng)絡(luò)。

世界經(jīng)濟論壇2020全球風(fēng)險報告：全球風(fēng)險關(guān)系圖(紫色為技術(shù)風(fēng)險)

世界經(jīng)濟論壇(WEF)的《2020年全球風(fēng)險報告》指出，網(wǎng)絡(luò)犯罪將是未來十年(至2030年)全球商業(yè)中第二大最受關(guān)注的風(fēng)險。它也是最有可能發(fā)生的第七大、第八大風(fēng)險，網(wǎng)絡(luò)安全的賭注從未如此高。企業(yè)的收入、利潤和品牌聲譽都已“在線”;關(guān)鍵任務(wù)基礎(chǔ)架構(gòu)正面臨威脅;各國之間正在相互進行網(wǎng)絡(luò)戰(zhàn)和網(wǎng)絡(luò)間諜活動。

放眼世界：沃爾瑪擁有美國最大的公司收益，去年創(chuàng)造了驚人的5,140億美元收入。但是，網(wǎng)絡(luò)犯罪的收入是其12倍。兩者都出售各種各樣的產(chǎn)品和服務(wù)。實際上，就收益而言，網(wǎng)絡(luò)犯罪甚至使特斯拉、Facebook、微軟、蘋果、亞馬遜和沃爾瑪蒙羞。全球網(wǎng)絡(luò)犯罪的合并年總收入“僅”為1.28萬億美元。

網(wǎng)絡(luò)犯罪市場已經(jīng)細分出多個種類，不法分子會聚集在秘密專有的討論區(qū)中，以躲避司法審查，他們開發(fā)的網(wǎng)絡(luò)犯罪服務(wù)組合包括分布式拒絕服務(wù)(DDoS)攻擊、惡意軟件、網(wǎng)絡(luò)釣魚活動、特洛伊木馬和大量被盜數(shù)據(jù)集的所有內(nèi)容，只要愿意為此付費的人都可以使用。

網(wǎng)絡(luò)犯罪正在經(jīng)歷一次全球范圍的工業(yè)化“革命”，網(wǎng)絡(luò)犯罪組織們開始提供“正規(guī)”公司所做的一切：產(chǎn)品開發(fā)、技術(shù)支持、分銷、質(zhì)量保證甚至客戶服務(wù)。網(wǎng)絡(luò)犯罪分子搶劫然后出售新技術(shù)或秘密戰(zhàn)略計劃，這將使他們的買家在競爭者中占優(yōu)勢。黑客竊取軍事機密、可再生能源創(chuàng)新知識產(chǎn)權(quán)等高價值信息。

網(wǎng)絡(luò)犯罪的協(xié)作化和團隊化

2020網(wǎng)絡(luò)犯罪組織關(guān)系圖 來源：Crowdstrike

網(wǎng)絡(luò)犯罪比諸如搶劫銀行等傳統(tǒng)犯罪的風(fēng)險更低。實際上，根據(jù)世界經(jīng)濟論壇的數(shù)據(jù)，在美國，逮捕網(wǎng)絡(luò)犯罪分子并將其遞交法庭的可能性低至0.05%。

擁有一支穩(wěn)定團隊且“業(yè)務(wù)”廣泛的網(wǎng)絡(luò)犯罪分子的收入比傳統(tǒng)犯罪分子高大約10%至15%。但是，不同的黑客的收入存在巨大的差異。這取決于工作內(nèi)容、承擔的風(fēng)險以及為該組織工作的人數(shù)。最高收入者每年可賺取超過200萬美元。

有人認為，一般的黑客是藏在黑暗地下室里的身著連帽衫的古怪少年。但事實上，如今的網(wǎng)絡(luò)犯罪分子更像“公司人”：從招聘員工到任命高管，一些團體甚至擁有公開身份，以確保黑客團體保持其公關(guān)形象和“品牌聲譽”，這在暗網(wǎng)上非常重要。

英國國家網(wǎng)絡(luò)安全中心(NCSC)強調(diào)指出，有組織的網(wǎng)絡(luò)犯罪分子通過分工合作來實現(xiàn)平穩(wěn)運營。有“團隊負責(zé)人”負責(zé)協(xié)調(diào)工作，并負責(zé)保持法律上領(lǐng)先一步。他們擁有大數(shù)據(jù)專家來處理被盜數(shù)據(jù)，開發(fā)者負責(zé)編寫和更改惡意代碼，以及“入侵專家”負責(zé)感染并滲透目標公司。此外，“呼叫中心專員”冒充技術(shù)支持人員打電話給受害者，在受害者的計算機上安裝惡意軟件，此外還有“財務(wù)專家”幫助洗錢。

敏捷化程度高于網(wǎng)絡(luò)安全公司

敏捷開發(fā)和DevOps興起于互聯(lián)網(wǎng)行業(yè)，但是惡意軟件開發(fā)團隊似乎比網(wǎng)絡(luò)安全公司更加敏捷，這進一步拉大了網(wǎng)絡(luò)攻防之間的實力差距。以老牌木馬病毒Emotet為例，其開發(fā)團隊的“敏捷性”極高，產(chǎn)品迭代和“創(chuàng)新”頻繁，至今仍然是地下黑產(chǎn)的重要“投放渠道”。

實際上，第一個真正實現(xiàn)敏捷并且讓網(wǎng)絡(luò)安全界感到難堪的病毒是勒索軟件Gandcrab。

作為2018年最耀眼的勒索軟件，Gandcrab名聲大噪不僅因為它是首個索要DASH(達世幣)的勒索軟件，也不是因為感染用戶數(shù)量或者短短兩個月斬獲60萬美金的驚人斂財速度，而是因為Gandcrab是首個讓包括Fortinet、卡巴斯基、賽門鐵克等各大網(wǎng)絡(luò)安全公司和歐洲刑警組織感到害怕甚至絕望的勒索軟件，因為Gandcrab的開發(fā)者和運營者，在產(chǎn)品運營推廣和產(chǎn)品迭代開發(fā)兩個方面，都讓上述組織疲于奔命，難望項背。

Gandcrab的擴散方式屬于典型的growth hacking技術(shù)營銷+聯(lián)盟營銷，主要通過分發(fā)Rig和Grandsoft漏洞利用工具、垃圾電子郵件以及傭金聯(lián)盟三種方式。Gandcrab為實施勒索活動的加盟者斬獲的贖金(價值400美元的達世幣)提供高達30-40%的傭金分成比例。

例如，當Gandcrab第一個版本被Bitdefender Labs等安全公司破解并放出解鎖工具后，Gandcrab一周內(nèi)很快發(fā)布了第二個版本。安全公司Checkpoint在詳細比較兩個版本的Gandcrab之后，發(fā)出一聲哀嘆：“連勒索軟件都敏捷了，日子沒法過了。”

是的，Gandcrab是首個采用敏捷方法快速迭代的勒索軟件，其更新和成長速度遠遠超過白帽子和安全公司的應(yīng)變速度。

Checkpoint在研究報告中指出：顯然Gandcrab的團隊采用了敏捷方法，早期的版本充斥著bug和錯誤，但是Gandcrab的團隊顯然有著自己的代碼審核流程，而且總能在bug發(fā)現(xiàn)后的第一時間快速修復(fù)。而且，與Cerber類似，Gandcrab是一個以開發(fā)為中心的網(wǎng)絡(luò)犯罪產(chǎn)品，Gandcrab的開發(fā)者的主要精力都放在產(chǎn)品的迭代完善上，向加盟者提供技術(shù)軍火，但并不直接參與勒索軟件的傳播和收款。

敏捷開發(fā)方式也讓Gandcrab攻擊工具很難被傳統(tǒng)的基于數(shù)字簽名的殺毒軟件引擎?zhèn)蓽y到，Gandcrab正在變得越來越“完美”和無懈可擊——CheckPoint惡意軟件研究負責(zé)人Michael Kajiloti指出。

最受歡迎業(yè)務(wù)：勒索軟件和DDoS勒索

據(jù)歐洲刑警組織的報告，漏洞利用工具包不再是最熱門的網(wǎng)絡(luò)犯罪工具，但有趣的是，新的熱門工具技術(shù)含量/門檻卻在下降，通過惡意軟件盜竊數(shù)據(jù)的威脅呈下降趨勢，取而代之的是“吸金能力”更強的勒索軟件和DDoS勒索。

根據(jù)亞信安全《2019威脅態(tài)勢分析》報告，到2021年，全球因為勒索攻擊造成的損失將達到200億美元，是2015年3.25億美元的61倍之多，2019年中國的勒索病毒感染量已經(jīng)躍居全球榜首，占總數(shù)的20%。此外，勒索病毒的發(fā)展將呈現(xiàn)多平臺感染、產(chǎn)業(yè)化、針對性、創(chuàng)新性等特征，勒索軟件即服務(wù)(Ransomware as a Service)正在成為黑產(chǎn)的重要模式之一。

除了今年“重整旗鼓”的勒索軟件，DDoS攻擊的熱度也在持續(xù)上升，尤其是以XaaS模式提供勒索軟件和DDoS服務(wù)。網(wǎng)絡(luò)犯罪團伙使用大型僵尸網(wǎng)絡(luò)或可操縱的云賬戶來產(chǎn)生惡意數(shù)據(jù)，攻擊特定目標。此類攻擊可能持續(xù)數(shù)天，但總的趨勢是小型化和高頻化。一次小型DDoS攻擊的成本在10美元到數(shù)千美元之間(視攻擊復(fù)雜性和強度而不同)，此類攻擊的動機多樣，可以是勒索攻擊，破壞性攻擊，也可能只是偽裝多向量攻擊而又占用了受害者IT資源的一種方式。劍橋大學(xué)發(fā)現(xiàn)，此類DDoS攻擊非常普遍，以至于購買者甚至包括學(xué)齡兒童。

歐洲刑警組織的《2019年互聯(lián)網(wǎng)有組織犯罪威脅評估》報告描述了DDoS攻擊如何成為全球企業(yè)面臨的最嚴重威脅之一。去年，犯罪分子首選的DDoS目標是銀行和其他金融機構(gòu)、警察機關(guān)等公共組織和地方政府。旅行社、互聯(lián)網(wǎng)基礎(chǔ)設(shè)施和在線游戲也是最青睞的攻擊目標。根據(jù)歐洲刑警組織的報告，雖然越來越多的不良行為者被繩之以法，但這未能遏制DDoS攻擊和Dark Web基礎(chǔ)設(shè)施的“野蠻生長”。

最后，世界經(jīng)濟論壇指出，面對網(wǎng)絡(luò)犯罪經(jīng)濟的“蓬勃發(fā)展”，組織的網(wǎng)絡(luò)安全支出大大落后于網(wǎng)絡(luò)威脅的增長速度。

參考資料：

• 世界經(jīng)濟論壇2020全球風(fēng)險報告：https://www.weforum.org/reports/the-global-risks-report-2020
• 歐洲刑警組織《網(wǎng)絡(luò)犯罪威脅評估報告2019》：https://www.europol.europa.eu/activities-services/main-reports/internet-organised-crime-threat-assessment-iocta-2019

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文