我們正處在這樣一個時刻：包括勒索軟件團(tuán)伙在內(nèi)的網(wǎng)絡(luò)犯罪分子，已經(jīng)建立起組織化的機(jī)構(gòu)，進(jìn)行非法的業(yè)務(wù)活動，而不是一個人單打獨斗。

勒索軟件團(tuán)伙、敲詐勒索組織和DDoS攻擊者的日益成功絕非偶然。在一個個奇幻的名字背后，是組織化的機(jī)構(gòu)，由不同層次的參與者組成，他們同步工作，瓜分利益，以實現(xiàn)最終目標(biāo)。

以下是幾種典型的網(wǎng)絡(luò)犯罪角色：

1. 入口訪問經(jīng)紀(jì)人(IAB)

IAB(Initial access brokers)是指將企業(yè)的網(wǎng)絡(luò)訪問權(quán)限出售給買家的人，主要通過地下數(shù)據(jù)交易市場、論壇或是即時通信工具、聊天組來完成交易。然后購買訪問權(quán)限的人，得以進(jìn)入受害者的網(wǎng)絡(luò)，再安裝間諜軟件、竊取商業(yè)秘密，或者安裝勒索軟件、拖走數(shù)據(jù)等。IAB本身一般不會去做這些事情。

在以往，網(wǎng)絡(luò)犯罪對IAB的需求并不很高，大部分是商業(yè)競爭對手雇傭從事間諜活動和盜竊的需求。但勒索軟件時代導(dǎo)致了對IAB的需求“指數(shù)級增長”，成為網(wǎng)絡(luò)犯罪產(chǎn)業(yè)鏈的“入口”角色。

2. 一切即服務(wù)(XaaS)

在網(wǎng)絡(luò)犯罪的語境下，一切即服務(wù)(XaaS)通常是指勒索軟件即服務(wù)(RaaS)或惡意軟件即服務(wù)(MaaS)，甚至是犯罪即服務(wù)(CaaS)，這些平臺構(gòu)成了網(wǎng)絡(luò)犯罪的新商業(yè)模式。與軟件即服務(wù)(SaaS)的提供模式非常類似，這些aaS是一種專門為具體實施攻擊的網(wǎng)絡(luò)犯罪分子，提供勒索軟件工具、網(wǎng)絡(luò)釣魚工具的平臺，使用這些工具即可實施網(wǎng)絡(luò)犯罪，而不用掌握高深的技術(shù)。當(dāng)然，這是收費(fèi)的。

作為這種服務(wù)提供商，無論他的客戶攻擊是否成功，都會獲得一定的收益。不僅如此，在這種XaaS的模式下，意味著可能在法律上還是安全的。他們只負(fù)責(zé)提供工具，拿工具干什么用是客戶的事情。

在勒索軟件時代之前，網(wǎng)絡(luò)罪犯一般都會是技術(shù)熟練的黑客，獨自進(jìn)行尋找目標(biāo)、入侵網(wǎng)絡(luò)、竊取數(shù)據(jù)、自行交易。但XaaS模式則降低了黑客攻擊并獲益的技術(shù)門檻，包括IAB、RaaS、MaaS等服務(wù)，網(wǎng)絡(luò)罪犯只需精通一個領(lǐng)域，甚至無需精通任何領(lǐng)域，就能夠?qū)嵤┚W(wǎng)絡(luò)攻擊。因此，勒索軟件事件才得以愈演愈烈。

3. 勒索軟件附屬

勒索軟件附屬可以被視為勒索軟件組織雇來執(zhí)行操作任務(wù)的綜合“承包商”，從IAB購買網(wǎng)絡(luò)的初始訪問權(quán)，到獲取可能有助于攻擊的憑證、數(shù)據(jù)等，再到發(fā)起攻擊。

在執(zhí)行成功的攻擊和勒索后，勒索軟件附屬從受害者支付的勒索金額中提取傭金。為了加快攻擊速度，勒索軟件附屬可能會租用RaaS平臺，用“租用的勒索軟件”加密文件，或是使用任何現(xiàn)有的工具、服務(wù)和漏洞，以實現(xiàn)攻擊并獲利的目的。正是因為這些XaaS的出現(xiàn)，降低了攻擊的技術(shù)門檻，無需自行開發(fā)工具，只需專注于攻擊活動的組織運(yùn)營。

4. 惡意軟件開發(fā)者

惡意軟件最為核心的組成是針對零日漏洞或已知漏洞的EXP(漏洞利用)，可攻擊存在相應(yīng)漏洞的各種網(wǎng)絡(luò)設(shè)備、應(yīng)用程序，甚至是嵌入應(yīng)用程序中的某個組件，如Log4j。

在早期，惡意軟件和漏洞利用的開發(fā)者各種各樣，從最普通的“腳本小子”到黑客高手，但隨著黑色產(chǎn)業(yè)的形成，網(wǎng)絡(luò)犯罪分子的分工合作，許多復(fù)雜的惡意軟件開發(fā)團(tuán)隊已經(jīng)成為“正規(guī)部隊”，甚至有著軟件開發(fā)生命周期和編程文檔，與合法的軟件開發(fā)流程一樣。

去年發(fā)生的一起勒索軟件團(tuán)伙(Conti)的泄密事件，對其不滿的合作者(勒索軟件附屬)泄露了該團(tuán)伙的數(shù)據(jù)，包括滲透測試工具、手冊、培訓(xùn)材料，以及提供給該附屬的文件。另外一起類似的事件中，一名自稱Babuk勒索軟件管理員的人，則放出了該組織的Visual Studio項目文檔和源代碼。從這些文檔和代碼可以看出，Babuk的開發(fā)流程與合法軟件公司無異，遵循同樣的規(guī)范和結(jié)構(gòu)。

另一方面，加密貨幣的流行，令其交易平臺成為網(wǎng)絡(luò)攻擊的重災(zāi)區(qū)。精通密碼學(xué)并對區(qū)塊鏈協(xié)議有深入了解的惡意軟件開發(fā)者，利用這些平臺中的零日漏洞或未修補(bǔ)的漏洞，盜取巨大價值的加密貨幣。

今年2月，Wormhole價值3.26億美元的加密貨幣被盜，源于GitHub平臺上公開的一個未修補(bǔ)漏洞。去年P(guān)oly Network遭受了“史上最大的DeFi黑客攻擊”，一名白帽黑客通過平臺的漏洞轉(zhuǎn)移了價值6.11億美元的加密貨幣，但事后幾乎全部退回。

5. APT組織

APT(高級持續(xù)威脅)之前大多是指有著國家資源支持的網(wǎng)絡(luò)犯罪集團(tuán)采取的攻擊策略，目標(biāo)是進(jìn)行破壞、間諜活動，或者攫取經(jīng)濟(jì)利益。但現(xiàn)在，APT所使用的戰(zhàn)術(shù)也被一些非國家支持的網(wǎng)絡(luò)攻擊者采用。

史上最著名的APT攻擊事件是震網(wǎng)(Stuxnet)事件，該事件利用多個Windows零日漏洞感染計算機(jī)并進(jìn)行傳播，最終對核電站的離心機(jī)造成損壞。這種“極其復(fù)雜的電腦蠕蟲”據(jù)傳是美國和以色列情報機(jī)構(gòu)合作開發(fā)的。

另一起針對工業(yè)控制系統(tǒng)的例子是TRITON。該惡意軟件于2017年入侵了沙特的一家石化廠，并試圖引發(fā)爆炸。幸運(yùn)的是，TRITON代碼中自身存在的一個漏洞觸發(fā)了關(guān)鍵系統(tǒng)的攔截，攻擊未能得逞。

APT最主流的手法是通過魚叉式網(wǎng)絡(luò)釣魚進(jìn)入網(wǎng)絡(luò)，悄悄傳播有效負(fù)載，拖走數(shù)據(jù)，并植入持久后門，對受害者進(jìn)行秘密監(jiān)視。

與之前相比，現(xiàn)在的APT更加隱蔽、更具戰(zhàn)略性。如將后門植入上游軟件或源代碼，或入侵第三方供應(yīng)商。SolarWinds就是一起典型的供應(yīng)鏈攻擊事件。

6. 數(shù)據(jù)或信息掮客

“數(shù)據(jù)經(jīng)紀(jì)人”或“信息經(jīng)紀(jì)人”(IB)即可以指合法的服務(wù)商也可以是非法的攻擊者。

前者從公共來源獲取數(shù)據(jù)，如法庭記錄、社交媒體檔案、聯(lián)系方式、企業(yè)注冊記錄，并進(jìn)行數(shù)據(jù)聚合。然后，這些信息可以合法地與營銷人員、研究人員和企業(yè)共享，并收取一定費(fèi)用。后者則是非法的數(shù)據(jù)經(jīng)濟(jì)人。例如，在暗網(wǎng)和數(shù)據(jù)泄露市場上出售黑客盜取的資料或機(jī)密數(shù)據(jù)。這些數(shù)據(jù)包括但不限于賬戶憑證、信用卡信息、購物歷史、企業(yè)通訊錄，以及個人信息等。

結(jié)語

從開發(fā)者到XaaS，再到IAB、IB，這些分工都是黑產(chǎn)鏈各個環(huán)節(jié)的貨幣化，各自出售攻擊鏈的一部分或向更廣泛的買家出售相同的惡意軟件(配置不同)來成倍地增加利潤。通過這種模式，能夠賺更多的錢，同時做更少的工作。

黑色產(chǎn)業(yè)鏈儼然已經(jīng)是一個“自然競爭的商業(yè)環(huán)境”，形成了競爭群體和一個真正的市場。這些市場隨之帶來的，則是網(wǎng)絡(luò)攻擊門檻的降低，攻擊者無需精通各個方面的技術(shù)，就能夠有效開展網(wǎng)絡(luò)犯罪活動。