全方位解析俄語系勒索軟體的生態系統

勒索軟體的發家史

毫無疑問，近兩年，以敲詐勒索為目的的檔案加密惡意軟體逐漸成為惡意軟體中的主力軍，勒索軟體是當今網路攻擊中一種最主要的攻擊工具，對政府組織，公司乃至個人使用者造成了極大的危害。

在剛剛過去的2016年，勒索敲詐型別的惡意攻擊越來越頻繁和複雜，因為勒索軟體已經讓攻擊者獲得了大量的收益。位於英國的技術服務集團與2017年2月11號釋出了一張資訊圖，洞察了勒索軟體的肆虐情況。根據資料顯示，2016年勒索型別的攻擊增長了3.5倍，在2015年12月至2016年4月勒索軟體的數量增加了6倍。

在分析2016年的攻擊統計資料時，卡巴斯基實驗室的安全專家們發現到今年年底，普通的個人使用者每隔10秒就就會被勒索軟體攻擊一次，而每隔40秒世界上就會有一個與勒索軟體有關的組織出現。

根據卡巴斯基的研究，2017年，勒索軟體的複雜性和多樣性會出現新的增長，比如用指令碼語言編寫專門針對財務軟體的勒索軟體，不僅針對性高，而且利用勒索軟體即服務要花費更少的時間、技能或資源，而這是通過一個不斷增長和日益高效的地下生態系統來實現的。

那麼，勒索軟體自2000年就存在了，是什麼原因讓它現在和其他型別的惡意軟體有如此的不同，變得如此猖獗呢？經過卡巴斯基實驗室的安全專家們分析主要有三個原因：

1.在地下市場上購買勒索軟體構建或構建器很容易
2.很容易購買勒索軟體的分銷服務
3.像Crypto家族這樣的勒索軟體，已經發展成為了一個企業，有一套非常清晰的盈利模式。

換句話說，勒索軟體的產業鏈已經發展成為了一個完整的從使用者到開發的生態系統。在過去幾年中，卡巴斯基實驗室一直在監測這個生態系統的發展，並對其生態系統進行了全面的解析：

一、勒索軟體已經成為了一門真正的生意

根據卡巴斯基實驗室的研究，大多數勒索軟體在受害者與其攻擊者之間發展出了一種相互信任的關係，即其攻擊者一旦收到付款，就會返回使用者檔案。 在履行承諾方面，網路犯罪分子表現出了令人驚訝的專業精神。

在2016年，全球五分之一的企業安全事件是由於遭受勒索軟體攻擊發生。報告顯示，42%的中小型企業在過去12個月內遭到勒索軟體的襲擊；32%的人會支付贖金。

二、新勒索軟體的增加

在2016年，包括Cerber、Locky和Cryptxx在內的勒索軟體總共有過141287次新的變異。在2016年初，Cerber和Locky通過垃圾郵件附件和exploit工具包進行廣泛傳播，隨後到2016年中， Cryptxxx又出現，這三個勒索軟體家族通過不斷地變異，企圖勒索更多的贖金。

截止到2016年10月，卡巴斯基實驗室總共監測到的10個頂級勒索軟體家族，列表如下，

三、勒索軟體大多原產俄羅斯

根據卡巴斯基的研究，這些勒索軟體中的大部分都是來在於俄羅斯，在過去12個月中發現的60多個勒索軟體家族中有47個與俄羅斯黑客組織或個人有聯絡。這個結論是基於卡巴斯基的專家們對黑客地下論壇、黑客的指揮和控制基礎設施以及其他在網上找到的線索的綜合分析。為什麼這麼多勒索軟體家族有俄羅斯血統呢？究其原因可能有兩方面：

首先，因為在俄羅斯及其鄰國有很多受過良好計算機教育的專業人士和熟練的程式碼工作者。

另一個可能的原因是，當涉及勒索軟體的整體規劃時，俄羅斯的網路犯罪者有最豐富的開發，銷售和攻擊的經驗。

參與勒索軟體產業鏈的三種型別

目前，犯罪分子可以以以下三種不同的方式進入到俄羅斯勒索產業的非法業務中，

第一種型別：銷售新開發的勒索軟體

第一種型別的業務參與需要參與者有比較突出的程式碼編寫技能，包括對密碼學的深入瞭解。卡巴斯基的研究人員觀察到在第一種型別中，參與者更像是個交易者，他們通常不參與實際攻擊，只賣程式碼。

有時，惡意軟體的開發者會以固定價格（通常幾千美元）來銷售他們的產品，而有時開發者只賣軟體的構建器，這種工具允許沒有程式設計背景的罪犯使用特定的函式列表。

而售賣構建器通常要比一套勒索軟體的完整原始碼要便宜得多，數百美元就能搞定。然而，如果客戶想要利用構建器來開發新的惡意軟體，還需要尋求構建開發者的幫助，這時構建器的開發者又需要收取一定的費用。

這種利用構建每次進行收費也是原始勒索軟體開發者使用的另一種型別的獲利方式，不過在這種情況下，價格就非常低了，通常只有幾十美元，客戶就能收到惡意軟體和一個固定的功能列表。

如上圖就是為勒索軟體進行多次構建進行付費的廣告

構建通常不僅包括惡意軟體程式碼本身，而且還包括用於統計和與受感染PC互動的工具,

如上圖所示，就是一個勒索軟體家族的建立的一個命令和控制皮膚的例子。

第二種型別：成為勒索軟體業務的合作伙伴

第二種型別就是成為勒索軟體業務的合作伙伴，說白了就是成為勒索軟體的代理人，是一種相當標準的網路犯罪形式，這種勒索方式就是典型的勒索軟體即服務(RAAS)，特點是以上下線的方式存在，也就是說“老闆”僱傭人員來執行勒索活動，從勒索代理的角度來看，這種活動的准入門檻要遠低於第一種，這一種的合作方式門檻就很低了，這些代理人負責傳播勒索程式碼。傳播方式主要是購買被感染計算機的訪問許可權、傳送垃圾郵件、查詢不安全的伺服器或是通過社交網站直接引誘受害者。

一旦程式碼得以安裝並執行,大老闆就會和受害者進行溝通，然後在獲得贖金以後，把其中的一部分分給代理者，當然,收入的多少還要取決於勒索活動的成功率。

與一般的上下線模式不同，特定的合作伙伴必須要經過其中的一個代理合作夥伴的個人推薦，除此之外，候選人還必須要能證明他們具有某些惡意軟體分發的能力。比如，專家們就在2016年發現了這麼一個案例，候選人必須證明他已完成讓受害者在其PC上至少成功下載4000次惡意軟體並將其安裝了的能力，作為回報，這些合作伙伴會獲得了一些免費的工具，用於模糊勒索軟體構建（為了使它們對安全解決方案的可見性降低）和良好的轉換率（高達3％），這是一個非常好的回報率。

總結來就是，靈活的銷售方案是當前惡意勒索軟體生態系統興起的關鍵因素。它為那些有犯罪傾向的人提供了很多施展犯罪的機會，而且還無需他們擁有專業的IT技能。

第三種型別：成為索軟體背後的大老闆

第三種型別就是成為索軟體業務的實際所有者即背後的大老闆，要想成為在這個生態系統中真正的大玩家，你就必須能控制整個生態系。

如果你認為成為一個合作伙伴就是勒索軟體產業裡的最高產業模式了，那你就大錯特錯了，事實上，勒索軟體的建立者通常才是整個索軟體業務背後的大老闆。

專業勒索軟體組織的結構通常包含惡意軟體編寫者（也稱為組織的建立者），合作伙伴，以及和這個產品有關的所有人連線到一起，形成一種企業的上下級管理模式。

索軟體真像你想象中的那麼掙錢嗎？

勒索軟體市場的利潤很高，但成本也非常大，研究者估計，如上所述的集團的贖金收入中可能每天多達幾千美元。當然，就像任何型別的商業活動一樣，勒索軟體從研發到銷售也是要花費大量的資源的。

大型勒索軟體組的運營成本的結構大致如下：

1.惡意軟體的模組更新，包括：
2.分發（垃圾郵件/ exploit工具包）
3.反病毒的檢查服務
4.黑客伺服器的登入憑證
5.僱傭專業人員的薪水（通常是維護伺服器基礎設施的IT管理員）
6.分發的成本（整個組織的核心除了原始軟體的開發之外，就是勒索軟體代的分銷）

目前這些勒索軟體主要以四種方式分發勒索軟體：

1.漏洞攻擊包，
2.垃圾郵件活動，
3.社交網路，
4.被黑客攻擊的專用伺服器和有針對性的攻擊。

其中開發工具包是最昂貴的分發工具之一，每週可能花費數千美元，但另一方面，這種型別的分發的成功率最高。

垃圾郵件是第二個最流行的分發形式。犯罪分子傳送的釣魚郵件通常偽裝成來自政府組織或大型銀行的重要資訊，並帶有惡意附件。根據安全專家們在過去一年裡觀察到的，垃圾郵件的分發成功率非常高，因為在2016年，光卡巴斯基的反病毒軟體就阻止了數量是巨大的與勒索軟體相關的惡意垃圾郵件。

不過根據觀察，有時候，那些帶有勒索軟體的郵件確實是是由正規的組織發出的，但為什麼接收物件收到時卻會有惡意軟體的提示呢？通過實地考察，安全專家們發現，通常是那些正規的組織已經被黑客所攻擊，但他們並不知情，黑客就是利用這一點讓他們的攻擊目標具有隱藏性。

根據追蹤分析，勒索軟體的犯罪分子在支援他們的運營活動時所面臨的運營成本在某些情況下可能達到數萬美元，但即便成本如此之高，還是非常有利可圖的。根據安全專家們在黑客論壇上發現的對話可知，這些犯罪分子的利潤率大概是60%，好的情況下一天賺幾萬美元不在話下。 

如上圖所示，勒索軟體業務的利潤（綠色）與經營成本（紅色）的典型分佈

這當然是累積淨收入的估計，其中包括用於支付給整個計劃所有參與者的總金額，包括普通成員，各種高階合作伙伴，經理和軟體開發者。根據安全專家們的觀察，高階合作伙伴通常每月可賺取40-50比特幣（以今天為例，1比特幣等於6720元人民幣），在一個案例中，安全專家們看到一個合作伙伴在一個月內賺了大約85個比特幣，大概571200元人民幣。

未來勒索軟體的發展趨勢和應對措施

專業勒索軟體組織正在轉向有針對性的攻擊，安全專家們目前發現了一個非常令人擔憂的趨勢，就是具有大量資金儲備的勒索軟體組織正在從攻擊常規使用者和中小公司逐漸轉向對大型組織進行有針對性的攻擊。在卡巴斯基所發現的一個案例中，安全專家們發現有一個擁有200多個伺服器的公司的已經被進行過有針對性的攻擊了，而在另一個案例中，則是一個擁有1000多個伺服器的公司被攻擊過。

而這些具有針對性的新型攻擊還與我們過去看到的攻擊方式有所不同，具有以下特點：

1.對於初始感染，他們沒有使用exploit包或spear phishing spam。相反，如果他們能夠找到屬於目標公司的伺服器，就試圖進行攻擊，
2.為了進入目標組織的網路，黑客會使用開源漏洞利用和工具，
3.如果大型組織有一個具有RDP訪問的不受保護的伺服器，那黑客就會其使用暴力攻擊，
4.為了獲得在網路中使用psexec安裝勒索軟體所需的訪問許可權，黑客會使用Mimikatz工具。
5.黑客可以使用稱為PUPY的開源RAT工具建立持久的攻擊性，
6.一旦黑客在受攻擊的網路中站穩了腳跟，他們就會對大型組織進行深入分析，然後挑選最重要的檔案，並用一個定製的的勒索軟體進行專門加密。

這些案例都標明瞭，勒索軟體的攻擊手法已經出現了新的變化，安全專家們100％確定這些攻擊背後的團隊肯定是以前從事那些傳統的勒索軟體開發的人，因為這些有針對的目標攻擊的特點只是夾雜在傳統的攻擊中的，不過過不了多長時間，有針對的目標攻擊就能完全擺脫以前的特點。

根據卡巴斯基實驗室的研究，涉及重大資料丟失的五分之一案件都是由於員工的粗心或缺乏意識。雖然一些行業可能受到比其他行業更大的打擊，但是研究發現，所有的行業都存在很大的風險。

據以上圖表顯示，教育和IT行業成為攻擊發生的“重災區”，但是零售、健康醫療和交通運輸等行業也存在很大的攻擊風險。

所以對抗勒索軟體的方法其實並不複雜：

首先，進行網路分割槽，
其次，進行定期備份，
還有就是對員工的安全培訓，系統和軟硬體的及時更新，防患於未然，不過安裝一套好的安全防護軟體也是最常用的方法（不過要進行及時的升級），這些安全解決方案都可以識別並阻止最新版本的勒索軟體。
最後的建議是，如果你的資料被加密了，請不要支付贖金，

在2016年，全球五分之一的企業安全事件是由於遭受勒索軟體攻擊發生。報告顯示，42%的中小型企業在過去12個月內遭到勒索軟體的襲擊；32%的人會支付贖金；即使在支付贖金後，仍然有五分之一的人找不迴檔案；受勒索軟體影響的人中有67%丟失了部分或全部公司資料，而四分之一的人花了幾個星期試圖恢復訪問。

就算你的資料成功找回，你支付贖金也會繼續滋養這個惡意生態系統，讓黑客們有更多的資金來研究更復雜的工具，從而使他們獲得更有威脅的攻擊機會。