如今,包括勒索软件团伙在内的网络犯罪分子已经成为有组织的非法企业。勒索软件团伙、勒索组织和DDoS攻击者一再成功,一再闯入知名组织实施攻击活动并非偶然。它背后是一个有组织的系统。不同层次的网络犯罪分子共同努力实现最终目标,然后每个人都可以分享赃物。以下是网络犯罪分子扮演的几个关键角色。
初始访问代理(Initial Access Broker,简称“IAB”)
IAB是指通过数据泄露市场、论坛或隐藏的新闻应用频道和聊天组,将企业网络访问权出售给潜在买家的一类网络犯罪分子。IAB不一定要执行后续的破坏性活动,如数据泄露、加密和删除。通常,买方决定如何滥用访问权:选择窃取商业秘密,部署勒索软件,或安装间谍软件和泄露数据。
云无密码身份验证技术提供商Cloud RADIUS高级软件工程师Ben Richardson表示,过去IAB主要将公司访问权出售给试图破坏公司数据、从受攻击公司窃取知识产权或财务数据的犯罪分子。由于当时攻击量少,市场对IAB需求不高。如今,商业竞争对手经常被雇佣IAB从事间谍和盗窃。
勒索软件时代的到来使市场对IAB需求急剧增加。通过雇佣勒索软件团伙IAB攻击目标公司,开拓新业务。
X即服务(X as a service)
目前在安全界,X即服务常指勒索软件(RaaS)或者恶意软件就是服务(MaaS),它们代表了一种新的商业模式。RaaS酷似软件即服务(SaaS)该模式是一个特许经营机构,试图攻击(affiliate)有偿提供勒索软件工具、网络钓鱼工具包和IT基础设施。
过去,实施全面的攻击活动需要熟练的网络犯罪分子,但X也就是说,服务模式降低了这个门槛。更多的网络犯罪分子进入X即服务领域,包括初始访问代理、勒索软件、恶意软件等。现在,网络犯罪分子只需要精通某一领域,就可以充分利用其他团伙的所有服务。
勒索软件加盟机构
勒索软件加盟商就像被勒索软件团伙雇佣的多用途承包商IAB购买网络初始访问权,只购买可能有助于侦察的盗窃登录信息、数据内容和执行攻击。
勒索软件加盟商在攻击和勒索成功后,从受害者支付给上级勒索软件团伙的赎金中提取佣金。为了加快攻击速度,加盟商可以租用RaaS该平台使用租赁勒索软件加密文件,并使用所有现有工具、服务和漏洞。
勒索软件特许经营机构只需支付一小笔费用,就可以享受原本需要开发和管理的产品和服务。此外,特许经营机构可以付费找到IAB以及受到攻击的组织,这大大降低了实施攻击的准入门槛。特许经营机构现在可以专注于敲诈勒索组织的实际操作。
使用代码的恶意软件和漏洞开发者
这类网络犯罪分子利用代码为零日漏洞或已知漏洞开发漏洞,而不限于概念验证(PoC)演示。这些罪犯还可能开发恶意软件,可以利用多个漏洞。许多勒索软件攻击也可能从攻击者部署代码开始,然后攻击流行的访问设备、应用程序VPN和嵌入在应用程序深处的单个软件组件,比如Log4j。
在早期阶段,恶意软件和漏洞使用代码开发人员可能是脚本男孩或复杂的黑客,但随着网络犯罪分子之间的不断加强合作,复杂的恶意软件开发主要在开发团队,软件开发生命周期和解释文档,与普通软件公司没有什么不同。
此外,加密货币的广泛应用为代码开发人员提供了一个平台。如果开发人员精通加密,并对区块链协议有深入的了解,他们可以利用零日漏洞和未修复的漏洞来实施攻击活动,直到这些加密平台进行补丁。
高级持续威胁团伙
高级可持续性威胁(Advanced Persistent Threat,简称“APT过去,该团伙描述了一个由国家威胁分子或国家支持的网络犯罪集团,其目标是长期从事破坏或政治间谍活动。APT非加盟机构的网络犯罪分子也采用了团伙策略。
APT该团伙通常使用具有广泛监控和隐藏功能的恶意软件。历史上最臭名昭著的APT攻击之一是Stuxnet事件,Stuxnet利用Windows当时,许多零日漏洞感染了计算机,到处传播,并对核电厂的离心机造成了实际损坏。据说这种极其复杂的计算机蠕虫是由美国和以色列情报机构开发的。
然而,APT团伙不仅限于物理设备的使用,而且大多数APT活动利用鱼叉网络钓鱼攻击渗透网络,悄然传播有效载荷,泄露数据,植入持久后门,秘密监控受害者。
不安的趋势是,APT该团伙已转向破坏上游软件和源代码,SolarWinds供应链攻击就是一个例子,通过第三方供应商进一步攻击上游目标,然后用自己的有效载荷破坏合法软件。这是一个影响大、频率低的事件,组织需要根据风险状况和容忍度以不同的方式进行预防。
数据代理或信息代理
数据代理或信息代理两个术语不仅是指一种合法的服务提供商,也是指非法的网络犯罪分子。法定信息代理和数据聚合服务可以从法庭记录、土地登记、财产销售记录、社交媒体档案、电话簿、企业登记、婚姻记录等公共信息来源获取数据,以收集人员和企业信息。这些信息可以用于与市场营销人员、研究人员和公司有偿共享。恶意数据代理从事非法活动,如在黑暗网络和数据泄露市场上销售窃取的材料和秘密数据。
近年来,RaaS模式的快速增长促进了模式的快速增长IAB专业化RaaS成熟的产品APT例如,团伙开发Wizard Spider(RYUK RaaS)、Gold Southfield(REvil RaaS)和FIN7(DarkSide RaaS)。作为产品的一部分,这类产品APT/RaaS该团伙为客户提供支持、访问门户网站和每月订阅服务,并经常与客户建立特许经营关系。
在这类加盟协议中,RaaS该团伙将从任何特许经营机构的勒索目标中获得利润。除了用敏感数据勒索受害者外,许多犯罪团伙还获得受害者的员工/客户信息。这些泄露的敏感信息数据可能包括社会保险号码(SSN)、信用卡信息、购买历史记录和账户登录信息,并与其他产品捆绑销售。这就是所谓的数据代理。
参考链接:https://www.csoonline.com/article/3653353/whos-who-in-the-cybercriminal-underground.html