如今，包括勒索軟件團(tuán)伙在內(nèi)的網(wǎng)絡(luò)犯罪分子儼然成為有組織的非法企業(yè)。勒索軟件團(tuán)伙、敲詐組織和DDoS攻擊者一再得逞，屢屢闖入知名組織實(shí)施攻擊活動(dòng)絕非偶然，其背后是有組織的體系，不同層面的網(wǎng)絡(luò)犯罪分子齊心協(xié)力以達(dá)成最終目的，進(jìn)而人人可以分贓。以下是網(wǎng)絡(luò)犯罪分子扮演的幾個(gè)關(guān)鍵角色。

初始訪問(wèn)代理(Initial Access Broker，簡(jiǎn)稱“IAB”)

IAB是指將企業(yè)網(wǎng)絡(luò)訪問(wèn)權(quán)出售給潛在買家的一類網(wǎng)絡(luò)犯罪分子，他們通過(guò)數(shù)據(jù)泄露市場(chǎng)、論壇或隱蔽的消息應(yīng)用程序頻道和聊天組來(lái)兜售。然而IAB不一定執(zhí)行后續(xù)的破壞性活動(dòng)，比如數(shù)據(jù)泄露、加密和刪除。通常，買方?jīng)Q定如何濫用訪問(wèn)權(quán)：選擇竊取商業(yè)機(jī)密、部署勒索軟件，或是安裝間諜軟件、泄露數(shù)據(jù)。

云端無(wú)密碼身份驗(yàn)證技術(shù)提供商Cloud RADIUS的高級(jí)軟件工程師Ben Richardson表示，過(guò)去IAB主要將公司訪問(wèn)權(quán)兜售給企圖破壞公司數(shù)據(jù)、從受攻擊公司竊取知識(shí)產(chǎn)權(quán)或財(cái)務(wù)數(shù)據(jù)的犯罪分子。由于當(dāng)時(shí)攻擊數(shù)量少，市場(chǎng)對(duì)IAB的需求不高。如今，商業(yè)競(jìng)爭(zhēng)對(duì)手常雇用IAB從事間諜和盜竊活動(dòng)。

勒索軟件時(shí)代的到來(lái)使得市場(chǎng)對(duì)IAB的需求急劇增加。勒索軟件團(tuán)伙通過(guò)雇用IAB來(lái)攻擊目標(biāo)公司并開拓新業(yè)務(wù)。

X即服務(wù)(X as a service)

目前在安全界，“X即服務(wù)”常常指勒索軟件即服務(wù)(RaaS)或惡意軟件即服務(wù)(MaaS)，它們代表一種較新的商業(yè)模式。RaaS酷似軟件即服務(wù)(SaaS)模式，這種方式是向企圖實(shí)施攻擊的“加盟機(jī)構(gòu)”(affiliate)有償提供勒索軟件工具、網(wǎng)絡(luò)釣魚工具包和IT基礎(chǔ)設(shè)施。

過(guò)去，實(shí)施全面的攻擊活動(dòng)要求網(wǎng)絡(luò)犯罪分子技能嫻熟，但X即服務(wù)模式已放低了這種門檻。更多的網(wǎng)絡(luò)犯罪分子進(jìn)入X即服務(wù)領(lǐng)域，這個(gè)領(lǐng)域包括初始訪問(wèn)代理、勒索軟件即服務(wù)和惡意軟件即服務(wù)等。網(wǎng)絡(luò)犯罪分子現(xiàn)在只需精通某個(gè)領(lǐng)域，就可充分利用所有其他團(tuán)伙的服務(wù)。

勒索軟件加盟機(jī)構(gòu)

勒索軟件加盟機(jī)構(gòu)好比是被勒索軟件團(tuán)伙雇用的多用途“承包商”，執(zhí)行各種攻擊活動(dòng)：向IAB購(gòu)買網(wǎng)絡(luò)初始訪問(wèn)權(quán)、僅僅購(gòu)置可能有助于偵察的失竊登錄信息和數(shù)據(jù)內(nèi)容以及執(zhí)行攻擊等。

攻擊和勒索得逞后，勒索軟件加盟機(jī)構(gòu)從受害者支付給上級(jí)勒索軟件團(tuán)伙的贖金中抽取傭金。為了加快攻擊速度，加盟機(jī)構(gòu)可能租用RaaS平臺(tái)，用“租賃的勒索軟件”加密文件，并使用所有現(xiàn)有工具、服務(wù)和漏洞利用代碼。

勒索軟件加盟機(jī)構(gòu)只需掏一小筆費(fèi)用，就能享用原本需要自行開發(fā)和管理的產(chǎn)品和服務(wù)。此外，加盟機(jī)構(gòu)可以付費(fèi)找到IAB和已受攻擊的組織，這大大降低了實(shí)施攻擊的準(zhǔn)入門檻。加盟機(jī)構(gòu)現(xiàn)在可以專注于對(duì)組織實(shí)施敲詐勒索的實(shí)際運(yùn)作。

惡意軟件和漏洞利用代碼的開發(fā)者

這類網(wǎng)絡(luò)犯罪分子針對(duì)零日漏洞或已知漏洞開發(fā)漏洞利用代碼，而不僅限于概念驗(yàn)證(PoC)演示。這些犯罪分子還可能開發(fā)可以鉆多個(gè)漏洞空子的惡意軟件。許多勒索軟件攻擊也可能始于攻擊者部署代碼，進(jìn)而攻擊流行的訪問(wèn)設(shè)備、應(yīng)用程序、VPN和嵌入在應(yīng)用程序深處的單個(gè)軟件組件，比如Log4j。

在早期，惡意軟件和漏洞利用代碼開發(fā)者可能是“腳本小子”或老練的黑客，不過(guò)隨著網(wǎng)絡(luò)犯罪分子之間不斷加強(qiáng)合作，復(fù)雜的惡意軟件開發(fā)大多在開發(fā)團(tuán)隊(duì)內(nèi)部進(jìn)行，軟件開發(fā)生命周期和說(shuō)明文檔一應(yīng)俱全，與正規(guī)軟件公司毫無(wú)二致。

另外，加密貨幣的廣泛采用為一小批漏洞利用代碼開發(fā)者提供了平臺(tái)。如果開發(fā)者精通加密，對(duì)區(qū)塊鏈協(xié)議又有深入了解，就可以在這些加密平臺(tái)打上補(bǔ)丁之前利用它們存在的零日漏洞和未修補(bǔ)漏洞，以實(shí)施攻擊活動(dòng)。

高級(jí)持續(xù)性威脅團(tuán)伙

高級(jí)持續(xù)性威脅(Advanced Persistent Threat，簡(jiǎn)稱“APT”)團(tuán)伙過(guò)去描述為國(guó)家威脅分子或國(guó)家撐腰的網(wǎng)絡(luò)犯罪集團(tuán)，它們有特定的目標(biāo)，在較長(zhǎng)時(shí)間內(nèi)從事破壞或政治間諜活動(dòng)。現(xiàn)在，APT團(tuán)伙采用的策略也被非加盟機(jī)構(gòu)的網(wǎng)絡(luò)犯罪分子采用。

APT團(tuán)伙通常使用具有廣泛監(jiān)視和隱匿功能的量身設(shè)計(jì)的惡意軟件。歷史上最臭名昭著的APT攻擊之一是Stuxnet事件，Stuxnet利用Windows當(dāng)時(shí)的多個(gè)零日漏洞來(lái)感染計(jì)算機(jī)、四處傳播，并對(duì)核電廠的離心機(jī)造成實(shí)際損壞。據(jù)傳這種極其復(fù)雜的計(jì)算機(jī)蠕蟲由美國(guó)和以色列情報(bào)機(jī)構(gòu)合作開發(fā)。

然而，APT團(tuán)伙絕不僅限于單單利用物理設(shè)備，大多數(shù)APT活動(dòng)采用魚叉式網(wǎng)絡(luò)釣魚攻擊來(lái)滲入網(wǎng)絡(luò)、悄然傳播有效載荷、泄露數(shù)據(jù)、植入持久性后門以及秘密監(jiān)視受害者。

令人不安的趨勢(shì)是，APT團(tuán)伙已轉(zhuǎn)而破壞上游軟件和源代碼，SolarWinds供應(yīng)鏈攻擊就是一個(gè)典例，通過(guò)第三方供應(yīng)商，進(jìn)一步攻擊更上游的目標(biāo)，然后用自己的有效載荷破壞合法軟件。這是一種影響大、頻次低的事件，組織需根據(jù)風(fēng)險(xiǎn)狀況和容忍度，以不同的方式加以防范。

數(shù)據(jù)代理或信息代理

“數(shù)據(jù)代理”或“信息代理”這兩個(gè)術(shù)語(yǔ)既指一類合法的服務(wù)提供商，又指非法的網(wǎng)絡(luò)犯罪分子。合法的信息代理和數(shù)據(jù)聚合服務(wù)可能從法庭記錄、土地登記、財(cái)產(chǎn)銷售記錄、社交媒體檔案、電話簿、企業(yè)注冊(cè)登記和婚姻記錄等公共信息源獲取數(shù)據(jù)，以收集人員和企業(yè)情報(bào)。這些信息可以拿來(lái)與營(yíng)銷人員、研究人員和公司企業(yè)有償共享。惡意數(shù)據(jù)代理從事非法勾當(dāng)，比如在暗網(wǎng)和數(shù)據(jù)泄露市場(chǎng)兜售竊取的材料和機(jī)密數(shù)據(jù)。

近年來(lái)，RaaS模式的迅猛增長(zhǎng)推動(dòng)了IAB職業(yè)化。這類RaaS產(chǎn)品由成熟的APT團(tuán)伙開發(fā)，比如Wizard Spider(RYUK RaaS)、Gold Southfield(REvil RaaS)和FIN7(DarkSide RaaS)。作為該產(chǎn)品的一部分，這類APT/RaaS團(tuán)伙為其客戶提供支持、門戶網(wǎng)站訪問(wèn)以及每月訂閱服務(wù)，經(jīng)常與客戶搞加盟關(guān)系。

在這類加盟協(xié)議中，RaaS團(tuán)伙將在任何加盟機(jī)構(gòu)從勒索目標(biāo)所得的利潤(rùn)中抽取分成。除了拿敏感數(shù)據(jù)勒索受害者外，許多犯罪團(tuán)伙還獲取了受害者的員工/客戶信息。這些被泄露的敏感信息數(shù)據(jù)可能包括社會(huì)保險(xiǎn)號(hào)碼(SSN)、信用卡信息、購(gòu)買歷史記錄和帳戶登錄信息，并與其他產(chǎn)品捆綁兜售。這就是所謂的數(shù)據(jù)代理。

參考鏈接：https://www.csoonline.com/article/3653353/whos-who-in-the-cybercriminal-underground.html