網(wǎng)絡(luò)犯罪將成為第三大“經(jīng)濟(jì)”?
企業(yè)正在經(jīng)歷數(shù)字化轉(zhuǎn)型,犯罪也是如此。
如今,地下網(wǎng)絡(luò)犯罪經(jīng)濟(jì)正在經(jīng)歷工業(yè)化浪潮,前所未有地蓬勃發(fā)展。
網(wǎng)絡(luò)犯罪已經(jīng)成為一個巨大的“產(chǎn)業(yè)”,隨著公司和消費(fèi)者在數(shù)字世界投入數(shù)萬億美元,全球的犯罪分子都在積極進(jìn)軍網(wǎng)絡(luò)。
世界經(jīng)濟(jì)論壇2020全球風(fēng)險報告:全球風(fēng)險關(guān)系圖(紫色為技術(shù)風(fēng)險)
世界經(jīng)濟(jì)論壇(WEF)的《2020年全球風(fēng)險報告》指出,網(wǎng)絡(luò)犯罪將是未來十年(至2030年)全球商業(yè)中第二大最受關(guān)注的風(fēng)險。它也是最有可能發(fā)生的第七大、第八大風(fēng)險,網(wǎng)絡(luò)安全的賭注從未如此高。企業(yè)的收入、利潤和品牌聲譽(yù)都已“在線”;關(guān)鍵任務(wù)基礎(chǔ)架構(gòu)正面臨威脅;各國之間正在相互進(jìn)行網(wǎng)絡(luò)戰(zhàn)和網(wǎng)絡(luò)間諜活動。
放眼世界:沃爾瑪擁有美國最大的公司收益,去年創(chuàng)造了驚人的5,140億美元收入。但是,網(wǎng)絡(luò)犯罪的收入是其12倍。兩者都出售各種各樣的產(chǎn)品和服務(wù)。實(shí)際上,就收益而言,網(wǎng)絡(luò)犯罪甚至使特斯拉、Facebook、微軟、蘋果、亞馬遜和沃爾瑪蒙羞。全球網(wǎng)絡(luò)犯罪的合并年總收入“僅”為1.28萬億美元。
網(wǎng)絡(luò)犯罪市場已經(jīng)細(xì)分出多個種類,不法分子會聚集在秘密專有的討論區(qū)中,以躲避司法審查,他們開發(fā)的網(wǎng)絡(luò)犯罪服務(wù)組合包括分布式拒絕服務(wù)(DDoS)攻擊、惡意軟件、網(wǎng)絡(luò)釣魚活動、特洛伊木馬和大量被盜數(shù)據(jù)集的所有內(nèi)容,只要愿意為此付費(fèi)的人都可以使用。
網(wǎng)絡(luò)犯罪正在經(jīng)歷一次全球范圍的工業(yè)化“革命”,網(wǎng)絡(luò)犯罪組織們開始提供“正規(guī)”公司所做的一切:產(chǎn)品開發(fā)、技術(shù)支持、分銷、質(zhì)量保證甚至客戶服務(wù)。網(wǎng)絡(luò)犯罪分子搶劫然后出售新技術(shù)或秘密戰(zhàn)略計劃,這將使他們的買家在競爭者中占優(yōu)勢。黑客竊取軍事機(jī)密、可再生能源創(chuàng)新知識產(chǎn)權(quán)等高價值信息。
網(wǎng)絡(luò)犯罪的協(xié)作化和團(tuán)隊(duì)化
2020網(wǎng)絡(luò)犯罪組織關(guān)系圖 來源:Crowdstrike
網(wǎng)絡(luò)犯罪比諸如搶劫銀行等傳統(tǒng)犯罪的風(fēng)險更低。實(shí)際上,根據(jù)世界經(jīng)濟(jì)論壇的數(shù)據(jù),在美國,逮捕網(wǎng)絡(luò)犯罪分子并將其遞交法庭的可能性低至0.05%。
擁有一支穩(wěn)定團(tuán)隊(duì)且“業(yè)務(wù)”廣泛的網(wǎng)絡(luò)犯罪分子的收入比傳統(tǒng)犯罪分子高大約10%至15%。但是,不同的黑客的收入存在巨大的差異。這取決于工作內(nèi)容、承擔(dān)的風(fēng)險以及為該組織工作的人數(shù)。最高收入者每年可賺取超過200萬美元。
有人認(rèn)為,一般的黑客是藏在黑暗地下室里的身著連帽衫的古怪少年。但事實(shí)上,如今的網(wǎng)絡(luò)犯罪分子更像“公司人”:從招聘員工到任命高管,一些團(tuán)體甚至擁有公開身份,以確保黑客團(tuán)體保持其公關(guān)形象和“品牌聲譽(yù)”,這在暗網(wǎng)上非常重要。
英國國家網(wǎng)絡(luò)安全中心(NCSC)強(qiáng)調(diào)指出,有組織的網(wǎng)絡(luò)犯罪分子通過分工合作來實(shí)現(xiàn)平穩(wěn)運(yùn)營。有“團(tuán)隊(duì)負(fù)責(zé)人”負(fù)責(zé)協(xié)調(diào)工作,并負(fù)責(zé)保持法律上領(lǐng)先一步。他們擁有大數(shù)據(jù)專家來處理被盜數(shù)據(jù),開發(fā)者負(fù)責(zé)編寫和更改惡意代碼,以及“入侵專家”負(fù)責(zé)感染并滲透目標(biāo)公司。此外,“呼叫中心專員”冒充技術(shù)支持人員打電話給受害者,在受害者的計算機(jī)上安裝惡意軟件,此外還有“財務(wù)專家”幫助洗錢。
敏捷化程度高于網(wǎng)絡(luò)安全公司
敏捷開發(fā)和DevOps興起于互聯(lián)網(wǎng)行業(yè),但是惡意軟件開發(fā)團(tuán)隊(duì)似乎比網(wǎng)絡(luò)安全公司更加敏捷,這進(jìn)一步拉大了網(wǎng)絡(luò)攻防之間的實(shí)力差距。以老牌木馬病毒Emotet為例,其開發(fā)團(tuán)隊(duì)的“敏捷性”極高,產(chǎn)品迭代和“創(chuàng)新”頻繁,至今仍然是地下黑產(chǎn)的重要“投放渠道”。
實(shí)際上,第一個真正實(shí)現(xiàn)敏捷并且讓網(wǎng)絡(luò)安全界感到難堪的病毒是勒索軟件Gandcrab。
作為2018年最耀眼的勒索軟件,Gandcrab名聲大噪不僅因?yàn)樗鞘讉€索要DASH(達(dá)世幣)的勒索軟件,也不是因?yàn)楦腥居脩魯?shù)量或者短短兩個月斬獲60萬美金的驚人斂財速度,而是因?yàn)镚andcrab是首個讓包括Fortinet、卡巴斯基、賽門鐵克等各大網(wǎng)絡(luò)安全公司和歐洲刑警組織感到害怕甚至絕望的勒索軟件,因?yàn)镚andcrab的開發(fā)者和運(yùn)營者,在產(chǎn)品運(yùn)營推廣和產(chǎn)品迭代開發(fā)兩個方面,都讓上述組織疲于奔命,難望項(xiàng)背。
Gandcrab的擴(kuò)散方式屬于典型的growth hacking技術(shù)營銷+聯(lián)盟營銷,主要通過分發(fā)Rig和Grandsoft漏洞利用工具、垃圾電子郵件以及傭金聯(lián)盟三種方式。Gandcrab為實(shí)施勒索活動的加盟者斬獲的贖金(價值400美元的達(dá)世幣)提供高達(dá)30-40%的傭金分成比例。
例如,當(dāng)Gandcrab第一個版本被Bitdefender Labs等安全公司破解并放出解鎖工具后,Gandcrab一周內(nèi)很快發(fā)布了第二個版本。安全公司Checkpoint在詳細(xì)比較兩個版本的Gandcrab之后,發(fā)出一聲哀嘆:“連勒索軟件都敏捷了,日子沒法過了。”
是的,Gandcrab是首個采用敏捷方法快速迭代的勒索軟件,其更新和成長速度遠(yuǎn)遠(yuǎn)超過白帽子和安全公司的應(yīng)變速度。
Checkpoint在研究報告中指出:顯然Gandcrab的團(tuán)隊(duì)采用了敏捷方法,早期的版本充斥著bug和錯誤,但是Gandcrab的團(tuán)隊(duì)顯然有著自己的代碼審核流程,而且總能在bug發(fā)現(xiàn)后的第一時間快速修復(fù)。而且,與Cerber類似,Gandcrab是一個以開發(fā)為中心的網(wǎng)絡(luò)犯罪產(chǎn)品,Gandcrab的開發(fā)者的主要精力都放在產(chǎn)品的迭代完善上,向加盟者提供技術(shù)軍火,但并不直接參與勒索軟件的傳播和收款。
敏捷開發(fā)方式也讓Gandcrab攻擊工具很難被傳統(tǒng)的基于數(shù)字簽名的殺毒軟件引擎?zhèn)蓽y到,Gandcrab正在變得越來越“完美”和無懈可擊——CheckPoint惡意軟件研究負(fù)責(zé)人Michael Kajiloti指出。
最受歡迎業(yè)務(wù):勒索軟件和DDoS勒索
據(jù)歐洲刑警組織的報告,漏洞利用工具包不再是最熱門的網(wǎng)絡(luò)犯罪工具,但有趣的是,新的熱門工具技術(shù)含量/門檻卻在下降,通過惡意軟件盜竊數(shù)據(jù)的威脅呈下降趨勢,取而代之的是“吸金能力”更強(qiáng)的勒索軟件和DDoS勒索。
根據(jù)亞信安全《2019威脅態(tài)勢分析》報告,到2021年,全球因?yàn)槔账鞴粼斐傻膿p失將達(dá)到200億美元,是2015年3.25億美元的61倍之多,2019年中國的勒索病毒感染量已經(jīng)躍居全球榜首,占總數(shù)的20%。此外,勒索病毒的發(fā)展將呈現(xiàn)多平臺感染、產(chǎn)業(yè)化、針對性、創(chuàng)新性等特征,勒索軟件即服務(wù)(Ransomware as a Service)正在成為黑產(chǎn)的重要模式之一。
除了今年“重整旗鼓”的勒索軟件,DDoS攻擊的熱度也在持續(xù)上升,尤其是以XaaS模式提供勒索軟件和DDoS服務(wù)。網(wǎng)絡(luò)犯罪團(tuán)伙使用大型僵尸網(wǎng)絡(luò)或可操縱的云賬戶來產(chǎn)生惡意數(shù)據(jù),攻擊特定目標(biāo)。此類攻擊可能持續(xù)數(shù)天,但總的趨勢是小型化和高頻化。一次小型DDoS攻擊的成本在10美元到數(shù)千美元之間(視攻擊復(fù)雜性和強(qiáng)度而不同),此類攻擊的動機(jī)多樣,可以是勒索攻擊,破壞性攻擊,也可能只是偽裝多向量攻擊而又占用了受害者IT資源的一種方式。劍橋大學(xué)發(fā)現(xiàn),此類DDoS攻擊非常普遍,以至于購買者甚至包括學(xué)齡兒童。
歐洲刑警組織的《2019年互聯(lián)網(wǎng)有組織犯罪威脅評估》報告描述了DDoS攻擊如何成為全球企業(yè)面臨的最嚴(yán)重威脅之一。去年,犯罪分子首選的DDoS目標(biāo)是銀行和其他金融機(jī)構(gòu)、警察機(jī)關(guān)等公共組織和地方政府。旅行社、互聯(lián)網(wǎng)基礎(chǔ)設(shè)施和在線游戲也是最青睞的攻擊目標(biāo)。根據(jù)歐洲刑警組織的報告,雖然越來越多的不良行為者被繩之以法,但這未能遏制DDoS攻擊和Dark Web基礎(chǔ)設(shè)施的“野蠻生長”。
最后,世界經(jīng)濟(jì)論壇指出,面對網(wǎng)絡(luò)犯罪經(jīng)濟(jì)的“蓬勃發(fā)展”,組織的網(wǎng)絡(luò)安全支出大大落后于網(wǎng)絡(luò)威脅的增長速度。
參考資料:
- 世界經(jīng)濟(jì)論壇2020全球風(fēng)險報告:https://www.weforum.org/reports/the-global-risks-report-2020
- 歐洲刑警組織《網(wǎng)絡(luò)犯罪威脅評估報告2019》:https://www.europol.europa.eu/activities-services/main-reports/internet-organised-crime-threat-assessment-iocta-2019
【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章,轉(zhuǎn)載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權(quán)】
