在最近對(duì)幾個(gè)地下網(wǎng)絡(luò)犯罪論壇——特別是那些低技能威脅行為者經(jīng)常出入的論壇的調(diào)查中，Sophos X-Ops發(fā)現(xiàn)了一些有趣的東西：Junk gun勒索軟件。

研究人員發(fā)現(xiàn)了多個(gè)獨(dú)立生產(chǎn)、廉價(jià)且粗略構(gòu)建的勒索軟件案例，這些勒索軟件大多是一次性購(gòu)買(mǎi)的，而不是典型的基于附屬機(jī)構(gòu)的勒索軟件即服務(wù)（RaaS）模型。這似乎是一個(gè)相對(duì)較新的現(xiàn)象（當(dāng)然，幾十年來(lái)，威脅行為者一直在制造和銷(xiāo)售廉價(jià)、低質(zhì)量的RAT和其他惡意軟件）。

乍一看，個(gè)人制造和銷(xiāo)售Junk gun勒索軟件與人們熟知的勒索軟件組織相去甚遠(yuǎn)，似乎不會(huì)構(gòu)成重大威脅。這里沒(méi)有泄漏數(shù)據(jù)的站點(diǎn)、沒(méi)有初始訪問(wèn)代理（IAB）、沒(méi)有附屬機(jī)構(gòu)、沒(méi)有公司式的等級(jí)制度、沒(méi)有數(shù)百萬(wàn)美元的贖金要求、沒(méi)有宣傳噱頭、沒(méi)有高價(jià)值的目標(biāo)、沒(méi)有旨在破壞先進(jìn)EDR產(chǎn)品的復(fù)雜惡意軟件、不尋求頭條新聞和媒體關(guān)注，研究人員也很少對(duì)此進(jìn)行深入分析。

但隨著深入挖掘，研究人員發(fā)現(xiàn)了一些有效情報(bào)。一些人聲稱(chēng)在現(xiàn)實(shí)世界的攻擊中使用了Junk gun勒索軟件，他們?cè)跊](méi)有使用內(nèi)部攻擊庫(kù)的情況下獨(dú)立完成了整個(gè)攻擊鏈。其他人則主張用它來(lái)攻擊小企業(yè)和個(gè)人——Cl0p和ALPHV/BlackCat等組織可能認(rèn)為這些目標(biāo)不值得，但這仍然可以為個(gè)人威脅行為者帶來(lái)可觀的利潤(rùn)。還有一些用戶(hù)聲稱(chēng)更喜歡這種獨(dú)立的勒索軟件，因?yàn)樗麄儫o(wú)需像許多RaaS模式那樣分?jǐn)偫麧?rùn)，也無(wú)需依賴(lài)他人開(kāi)發(fā)和運(yùn)營(yíng)的基礎(chǔ)設(shè)施。

拋去現(xiàn)代勒索軟件的復(fù)雜基礎(chǔ)設(shè)施，Junk gun勒索軟件允許犯罪分子廉價(jià)、輕松、獨(dú)立地參與行動(dòng)，瞄準(zhǔn)那些不太可能有資源來(lái)保護(hù)自己的小公司和個(gè)人，同時(shí)還無(wú)需與其他人分享勒索收益。

當(dāng)然，Junk gun勒索軟件可能偶爾也會(huì)在威脅行為者面前“爆雷”——它可能有缺陷，觸發(fā)警報(bào)，或者作為騙局的一部分被植入后門(mén)——或者威脅行為者自己因缺乏經(jīng)驗(yàn)而導(dǎo)致行動(dòng)失敗或被發(fā)現(xiàn)。然而，在他們看來(lái)，這些風(fēng)險(xiǎn)都是可以接受的，尤其是考慮到使用Junk gun勒索軟件可能最終會(huì)為他們帶來(lái)更多與知名勒索軟件團(tuán)伙合作的就業(yè)機(jī)會(huì)。

在本文中，Sophos X-Ops研究人員將揭示其研究成果，分享其發(fā)現(xiàn)的Junk gun勒索軟件細(xì)節(jié)，并討論其對(duì)組織、更廣泛的公眾和安全社區(qū)的影響。

現(xiàn)成的Junk gun勒索軟件

2023年6月至2024年2月期間，研究人員在4個(gè)論壇上觀察到了19種Junk gun勒索軟件，這些勒索軟件要么在售，要么正在開(kāi)發(fā)中。具體研究結(jié)果總結(jié)如下：

【表1：2023年6月至2024年2月期間，在4個(gè)犯罪論壇上觀察到的現(xiàn)成Junk gun勒索軟件品種概述】

物簡(jiǎn)價(jià)廉

在分析發(fā)現(xiàn)的19個(gè)品種中，有2個(gè)是開(kāi)源的，還有2個(gè)正在積極開(kāi)發(fā)中，因此沒(méi)有標(biāo)價(jià)。其余14種的價(jià)格從20美元到0.5 BTC（約合13000美元）不等。

【圖1：Kryptina的一個(gè)廣告】

【圖2：由賣(mài)家提供的Kryptina構(gòu)建截圖】

【圖3：一個(gè)用c++編寫(xiě)的未命名Junk gun勒索軟件的廣告】

然而，0.5 BTC的價(jià)格（對(duì)于單個(gè)構(gòu)建的Ergon）似乎是一個(gè)異常值。所有品種的價(jià)格中位數(shù)為375美元，平均價(jià)格為500美元。包括Ergon在內(nèi)的平均價(jià)格為1302美元，不包括Ergon在內(nèi)的平均價(jià)格為402.15美元。整體而言，價(jià)格還是非常便宜的，因?yàn)閾?jù)報(bào)道，一些RaaS附屬機(jī)構(gòu)為獲取工具包支付了數(shù)千美元（不過(guò)請(qǐng)注意，有些工具包的成本要低得多）。

【圖4：宣傳Ergon勒索軟件的帖子，其中強(qiáng)調(diào)稱(chēng)Ergon“已被用于多次攻擊，成功率極高?！薄?/p>

【圖5：Ergon開(kāi)發(fā)者要求從攻擊中獲得10%的收益，其他Junk gun勒索軟件并無(wú)這種規(guī)定】

大多數(shù)Junk gun勒索軟件都是一次性的，只有三種采用了訂閱模式：Diablo，每月收費(fèi)50美元；Evil Extractor，根據(jù)選擇每月支付99 —199美元；Loni，每月999美元或終身授權(quán)9999美元。Kryptina和Ergon都以高于單個(gè)構(gòu)建的價(jià)格提供源代碼，其中Kryptina售價(jià)為800美元，Ergon為2.5比特幣（約合3.9萬(wàn)美元）。

【圖6：Diablo勒索軟件訂閱價(jià)格為每月50美元】

【圖7：Evil Extractor的可用“包”】

有趣的是，至少有2個(gè)Junk gun勒索軟件示例——Diablo 和Jigsaw使用的名字與歷史上的勒索軟件家族有關(guān)。Diablo是2017年Locky的變體，Jigsaw（以前的BitcoinBlackmailer）于2016年發(fā)布。這可能是一個(gè)巧合，兩個(gè)賣(mài)家都沒(méi)有表示他們的勒索軟件與這些早期的家族有關(guān)，但這并沒(méi)有阻止一些用戶(hù)懷疑兩者之間是否存在聯(lián)系。

【圖8：Jigsaw賣(mài)家/開(kāi)發(fā)者否認(rèn)與“舊Jigsaw”勒索軟件有關(guān)】

一種可能性是這些威脅行為者故意使用早期的知名勒索軟件名稱(chēng)，試圖從“品牌聲譽(yù)”中獲益，并賦予其Junk gun變體一種“合法性”，盡管它們可能是假冒的。

不過(guò)無(wú)論原因如何，至少有一些Junk gun勒索軟件開(kāi)發(fā)者確實(shí)正在從他們的產(chǎn)品中獲利。例如，Nevermore的開(kāi)發(fā)者表示，他們從勒索軟件中賺到的“比預(yù)期得還要多”。

【圖9：Nevermore開(kāi)發(fā)者回復(fù)論壇用戶(hù)的一些問(wèn)題，包括“從勒索軟件中賺了多少錢(qián)？”】

值得注意的是，一些Junk gun勒索軟件很可能是一個(gè)騙局。犯罪分子在市場(chǎng)上以各種方式互相欺騙和攻擊，包括“竊取和運(yùn)行”騙局、后門(mén)投毒惡意軟件，此處討論的一些變體完全有可能是這種類(lèi)型的計(jì)劃，但研究只發(fā)現(xiàn)了一項(xiàng)這種性質(zhì)的描述。

【圖10：一個(gè)未命名的Junk gun勒索軟件截圖。盡管窗口標(biāo)題是“勒索軟件即服務(wù)”，但并未看到任何跡象表明該產(chǎn)品有任何常見(jiàn)的RaaS類(lèi)型的收入模式或功能，而且它的獨(dú)立價(jià)格為200美元】

【圖11：一個(gè)用戶(hù)聲稱(chēng)該勒索軟件是一個(gè)騙局，他們被騙了149美元】

然而，即使是知名勒索軟件家族的附屬機(jī)構(gòu)在常見(jiàn)的RaaS模式下運(yùn)行，也有被RaaS運(yùn)營(yíng)商欺騙的風(fēng)險(xiǎn)。因此，一些經(jīng)驗(yàn)不足的威脅行為者使用獨(dú)立的Junk gun勒索軟件可能是“兩害相權(quán)取其輕”，因?yàn)樗梢詾樗麄兲峁└嗟莫?dú)立性和控制權(quán)。

開(kāi)發(fā)語(yǔ)言

19個(gè)廣告中有12個(gè)包含了開(kāi)發(fā)語(yǔ)言和/或框架細(xì)節(jié)。有趣的是，. net / c#是最受歡迎的（涉及5種變體），此外，c++占3種，C有2種，Python和Go各有1種。

【圖12：一個(gè)用戶(hù)為正在進(jìn)行的用Go語(yǔ)言編寫(xiě)的勒索軟件項(xiàng)目征求開(kāi)發(fā)建議】

【圖13：大多數(shù)Junk gun勒索軟件似乎都是用c# /編寫(xiě)的】

這似乎與“傳統(tǒng)”惡意軟件和勒索軟件（通常用C或c++編寫(xiě)）以及更現(xiàn)代的變種（包括BlackCat和Hive在內(nèi)的幾個(gè)勒索軟件家族轉(zhuǎn)向Rust和Go）不一致。然而，這并不完全令人驚訝，與許多編程語(yǔ)言和框架相比，c#和.net的學(xué)習(xí)曲線更短，因此可能對(duì)經(jīng)驗(yàn)不足的開(kāi)發(fā)人員更有吸引力。

與此相一致的是，分析發(fā)現(xiàn)的幾乎所有Junk gun勒索軟件（除了Evil Extractor）都缺乏與更知名的勒索軟件相關(guān)的流暢圖形和logo。在大多數(shù)情況下，它們的徽標(biāo)和界面都是粗糙且業(yè)余的（有些品種故意沒(méi)有品牌和命名，因此根本沒(méi)有徽標(biāo)）。

【圖14：Lolicrypt徽標(biāo)】

特性

研究觀察到了一系列被引用的加密方法，其中AES-256和/或RSA-2048是最受歡迎的，但也出現(xiàn)了一些相對(duì)罕見(jiàn)的算法，包括chachha20、XTEA和Salsa20。

【圖15：Loni的宣傳文案中提到了XTEA密碼的使用】

4個(gè)變種（Evil Extractor、CatLogs、Nevermore和RansomTuga）捆綁了其他功能，如信息竊取程序和/或鍵盤(pán)記錄，以及勒索軟件功能。就勒索軟件相關(guān)功能而言，只有3個(gè)變種提到了刪除影子副本（一種眾所周知的勒索軟件策略），這有點(diǎn)令人驚訝，另外有6個(gè)提到了多線程加密（另一種非常常見(jiàn)的策略，可以提高加密速度）。

【圖16：CatLogs 勒索軟件的廣告】

盡管Lolicrypt和Loni開(kāi)發(fā)者都表示已引入跨平臺(tái)功能或特定于Linux的變體，但事實(shí)證明只有Kryptina被描述為“專(zhuān)門(mén)針對(duì)Linux操作系統(tǒng)”。

【圖17：Lolicrypt開(kāi)發(fā)者稱(chēng)其勒索軟件具有跨平臺(tái)功能】

此外，只有Loni聲稱(chēng)具有遠(yuǎn)程加密功能。這從另一方面說(shuō)明了大多數(shù)Junk gun勒索軟件的質(zhì)量和粗糙程度，因?yàn)樗鼈儍H限于本地加密，而許多知名勒索軟件家族都能夠遠(yuǎn)程加密。

只有2個(gè)廣告（1個(gè)未命名的變種，和Evil Extractor）提到了任何類(lèi)型的反虛擬機(jī)或反調(diào)試器特性。

【圖18：一個(gè)未命名的Junk gun勒索軟件的功能列表包括“反虛擬機(jī)”和“反調(diào)試器”功能】

研究還發(fā)現(xiàn)，一些Junk gun勒索軟件開(kāi)發(fā)者似乎有雄心壯志將其項(xiàng)目最終發(fā)展成更復(fù)雜的產(chǎn)品。例如，Loni的開(kāi)發(fā)者認(rèn)為，他們的勒索軟件優(yōu)于RaaS方案，因?yàn)椴恍枰麧?rùn)分成、支付附屬加盟費(fèi)，也不需要承擔(dān)RaaS運(yùn)營(yíng)商干擾談判和支付的風(fēng)險(xiǎn)。

【圖19：Loni開(kāi)發(fā)者對(duì)其產(chǎn)品與RaaS方案進(jìn)行了論證】

然而，該開(kāi)發(fā)者后來(lái)又提到，當(dāng)他們籌集到足夠的資金時(shí)，他們將“擴(kuò)大基礎(chǔ)設(shè)施并啟動(dòng)一個(gè)數(shù)據(jù)泄露網(wǎng)站”，從而創(chuàng)建一種傳統(tǒng)RaaS基礎(chǔ)設(shè)施和Junk gun勒索軟件的混合體。

【圖20：Loni開(kāi)發(fā)者透露了以后要發(fā)布數(shù)據(jù)泄露站點(diǎn)的野心】

研究還發(fā)現(xiàn)一個(gè)廣告似乎模仿了一些知名勒索軟件家族所規(guī)定的“附屬規(guī)則”。在一篇帖子中，針對(duì)一款未具名的Junk gun勒索軟件，開(kāi)發(fā)者列出了“禁止攻擊的目標(biāo)”，包括醫(yī)院和政府。然而，這則廣告似乎是針對(duì)獨(dú)立的勒索軟件，所以目前還不清楚這些規(guī)則將如何執(zhí)行。

【圖21：Junk gun勒索軟件廣告規(guī)定“禁止目標(biāo)”】

在野利用情況

很難評(píng)估大多數(shù)Junk gun勒索軟件在實(shí)際攻擊中的使用程度，它的一個(gè)主要賣(mài)點(diǎn)是幾乎不需要或根本不需要支持基礎(chǔ)設(shè)施（包括泄漏站點(diǎn)），因此沒(méi)有中央信息源可供研究人員和調(diào)查人員監(jiān)控。此外，如果買(mǎi)家的目標(biāo)是小企業(yè)和個(gè)人，這類(lèi)事件不太可能像那些涉及知名組織的事件一樣被大肆宣傳。

威脅行為者也不太可能在“公共”論壇上討論攻擊，特別是如果他們直接參與了這些攻擊。如果不購(gòu)買(mǎi)勒索軟件或調(diào)查已知事件，很難獲得技術(shù)信息（例如哈希值和其他IoC），因此很難確定以前是否以不同的名稱(chēng)或身份見(jiàn)過(guò)這些變種。

然而，威脅行為者確實(shí)在現(xiàn)實(shí)世界的攻擊中使用了Evil Extractor，這是唯一一個(gè)被深入報(bào)道的例子。另外還有兩份來(lái)自賣(mài)家的聲明，一份來(lái)自買(mǎi)家的聲明，稱(chēng)有3種變體（Ergon、Loni和Lolicrypt）被在野利用，但研究人員并未獲得任何進(jìn)一步的信息。

【圖22：Lolicrypt買(mǎi)家聲稱(chēng)他們“已經(jīng)使用了一段時(shí)間，效果和廣告宣傳的一樣”】

【圖23：Loni開(kāi)發(fā)者聲稱(chēng)Loni“已經(jīng)在真實(shí)世界的攻擊中進(jìn)行了測(cè)試”】

檢測(cè)

當(dāng)威脅行為者在犯罪論壇上宣傳惡意軟件時(shí)，他們通常會(huì)以數(shù)字或截圖的形式呈現(xiàn)在線掃描儀的檢測(cè)率。雖然這些結(jié)果幾乎總是與靜態(tài)而非動(dòng)態(tài)的偵查有關(guān)，但犯罪團(tuán)體經(jīng)常將其視為一種質(zhì)量基準(zhǔn)。例如，威脅行為者可能會(huì)使用零檢測(cè)率（俗稱(chēng)“FUD”：“完全未被檢測(cè)到”或“完全無(wú)法檢測(cè)到”）作為賣(mài)點(diǎn)，即使這個(gè)數(shù)字在現(xiàn)實(shí)世界的攻擊背景下并不一定意味著什么。

分析發(fā)現(xiàn)，19個(gè)廣告中有6個(gè)提到了某種形式的檢測(cè)——3個(gè)特別提到了Windows Defender（無(wú)論是在檢測(cè)還是繞過(guò)的背景下），3個(gè)提到了在線掃描儀中多個(gè)安全產(chǎn)品的檢測(cè)。

【圖24：Yasmha開(kāi)發(fā)者回應(yīng)了有關(guān)語(yǔ)言和檢測(cè)率等細(xì)節(jié)問(wèn)題】

然而，正如之前提到的，即使是相對(duì)較高的檢測(cè)率也不一定意味著什么。小型企業(yè)和個(gè)人可能并不總是具備安全產(chǎn)品，或者可能并未正確配置它們，又或在觸發(fā)警報(bào)時(shí)可能沒(méi)有采用最佳實(shí)踐，而這些情況威脅參與者大都十分清楚。

【圖25：用戶(hù)聲稱(chēng)目標(biāo)是“5-6家完全沒(méi)有IT安全的公司”】

意圖、教程和目標(biāo)

雖然通常很難確定威脅行為者是否在野使用了Junk gun勒索軟件，但很明顯，有些人確實(shí)有這樣做的野心。例如，一個(gè)人聲稱(chēng)已經(jīng)購(gòu)買(mǎi)了Nevermore構(gòu)建器，并希望“勒索任何包含公司或個(gè)人重要文件的計(jì)算機(jī)/服務(wù)器”。該威脅行為者補(bǔ)充道，他們正在考慮搜尋Shodan來(lái)識(shí)別易受攻擊的RDP和SSH服務(wù)器，這種方法類(lèi)似于IAB可能采取的方法。

研究人員在其他地方也看到了這種對(duì)目標(biāo)選擇的興趣：一名用戶(hù)就“如何確定一個(gè)合適的目標(biāo)……我考慮過(guò)高中/大學(xué)”尋求建議，并詢(xún)問(wèn)有關(guān)“可能的目標(biāo)，可能的獲利、立足的機(jī)會(huì)”的提示。

【圖26：論壇用戶(hù)尋求傳播 Nevermore勒索軟件的方法】

【圖27：論壇用戶(hù)尋求識(shí)別目標(biāo)的提示】

另一位用戶(hù)表示，他們已經(jīng)入侵了一個(gè)網(wǎng)絡(luò)，但“以前從未部署過(guò)勒索軟件”，并向其他論壇用戶(hù)尋求建議或“教程”。

【圖28：在入侵網(wǎng)絡(luò)后，用戶(hù)承認(rèn)他們不知道如何部署勒索軟件】

另一個(gè)論壇的用戶(hù)也有類(lèi)似的問(wèn)題：

【圖29：用戶(hù)聲稱(chēng)可以訪問(wèn)一家公司，但要求協(xié)助分發(fā)勒索軟件】

在技術(shù)指導(dǎo)方面，研究觀察到多個(gè)用戶(hù)請(qǐng)求并共享所謂的“勒索軟件手冊(cè)”的副本，包括知名勒索軟件運(yùn)營(yíng)商Bassterlord和IAB編寫(xiě)的指南，以及2021年泄露的“Conti手冊(cè)”。顯然，這些用戶(hù)正在學(xué)習(xí)和模仿知名的勒索軟件參與者。

【圖30：用戶(hù)分享Bassterlord手冊(cè)】

【圖31：用戶(hù)承認(rèn)對(duì)如何配置勒索軟件感到困惑，并請(qǐng)求獲取手冊(cè)】

在其他情況下，用戶(hù)還會(huì)創(chuàng)建并分享他們自己的指南：

【圖32：一個(gè)用戶(hù)分享了自己開(kāi)發(fā)和傳播勒索軟件的指南】

一些用戶(hù)明確主張以小企業(yè)和個(gè)人為目標(biāo)，并尋求”在部署勒索軟件后如何與受害者聯(lián)系“的提示，如索要多少錢(qián)，用什么加密貨幣等等。

【圖33：一個(gè)用戶(hù)尋求關(guān)于如何瞄準(zhǔn)小型企業(yè)的建議】

另一名用戶(hù)在回應(yīng)一名聲稱(chēng)“普通電腦用戶(hù)”不會(huì)支付贖金的同行時(shí)辯稱(chēng)：“我認(rèn)為情況正好相反……大型科技公司不會(huì)支付贖金……但一些普通人會(huì)支付贖金?！?/p>

【圖34：在一個(gè)犯罪論壇上，一名用戶(hù)在激烈的辯論中表示，“大型科技公司不會(huì)付錢(qián)……但一些普通人會(huì)。”】

一名勒索軟件開(kāi)發(fā)者采取了更為激進(jìn)的方法。在他們的廣告中，他們指出“沒(méi)有解密密鑰……”。換句話說(shuō)，受害者可以支付贖金，但無(wú)法恢復(fù)他們的文件。

【圖35：一個(gè)Junk gun勒索軟件開(kāi)發(fā)者指出，他們的產(chǎn)品并無(wú)解密的可能性】

在另一篇特別有趣的文章中，Nevermore開(kāi)發(fā)者提出了一種替代傳統(tǒng)感染策略的方法：物理訪問(wèn)。他們主張把勒索軟件放在U盤(pán)上，獲得對(duì)設(shè)備的訪問(wèn)權(quán)限（可能是討厭的鄰居或你的上司），關(guān)閉任何安全產(chǎn)品，然后執(zhí)行勒索軟件。

【圖36：Nevermore開(kāi)發(fā)者建議將物理訪問(wèn)與勒索軟件結(jié)合起來(lái)以“輕松賺錢(qián)”】

一位用戶(hù)評(píng)論稱(chēng)，這種方法“只對(duì)小公司有效，在任何中型公司嘗試風(fēng)險(xiǎn)太大”，并建議將這種策略與社會(huì)工程結(jié)合起來(lái)，以進(jìn)入辦公場(chǎng)所。

這位Nevermore開(kāi)發(fā)者對(duì)此表示贊同，并補(bǔ)充稱(chēng)，“你會(huì)驚訝地發(fā)現(xiàn)有很多人未將筆記本電腦上鎖，就離開(kāi)座位去上洗手間?！?/p>

【圖37：論壇用戶(hù)討論“物理訪問(wèn)勒索軟件”的可能方法】

抱負(fù)和志向

雖然此次研究調(diào)查的論壇通常是較低級(jí)別威脅參與者的出沒(méi)地，但研究人員觀察到一個(gè)有趣的細(xì)微差別。在Junk gun勒索軟件的買(mǎi)家和賣(mài)家之下，還有一個(gè)更低的層次，這些人還沒(méi)有達(dá)到自行開(kāi)發(fā)勒索軟件的階段，但十分渴望這樣做。

研究人員注意到一些用戶(hù)在咨詢(xún)有關(guān)“使用哪種語(yǔ)言”的建議，或是已經(jīng)開(kāi)始編寫(xiě)勒索軟件項(xiàng)目的人對(duì)下一步該做什么感到困惑。

【圖38：一個(gè)用戶(hù)尋求關(guān)于開(kāi)發(fā)勒索軟件“最合適的語(yǔ)言”的建議】

【圖39：一個(gè)用戶(hù)想知道用Java編寫(xiě)勒索軟件是否值得】

在其他情況下，正在著手編寫(xiě)勒索軟件的用戶(hù)仍然對(duì)下一階段感到困惑。這些用戶(hù)在詢(xún)問(wèn)如何許可他們的惡意軟件，以多少價(jià)格出售，甚至如何把它賣(mài)出去。

【圖40：用戶(hù)尋求幫助以理解惡意軟件許可的工作原理】

【圖41：用戶(hù)想知道如何為惡意軟件定價(jià)】

結(jié)語(yǔ)

Junk gun勒索軟件的出現(xiàn)可能預(yù)示著勒索軟件市場(chǎng)的進(jìn)一步破裂，甚至可能預(yù)示著市場(chǎng)即將飽和，也可能是勒索軟件繼續(xù)向幾個(gè)不同的層次轉(zhuǎn)移：高知名度的勒索組織以高價(jià)值的企業(yè)為目標(biāo)，而“殘羹剩羹”——小企業(yè)和個(gè)人則留給較低層次的威脅行為者。那些目前正在制作和銷(xiāo)售Junk gun勒索軟件的底層黑客，可能會(huì)隨時(shí)“晉升”，被更大、更專(zhuān)業(yè)的機(jī)構(gòu)招募為開(kāi)發(fā)者或附屬機(jī)構(gòu)。

在某種程度上，Junk gun勒索軟件也可能只是資本主義行為的一種反映。像任何其他市場(chǎng)一樣，供應(yīng)將擴(kuò)大以滿(mǎn)足需求，潛在的暴利者將涌向任何能產(chǎn)生最多利潤(rùn)的服務(wù)和產(chǎn)品，并在此過(guò)程中為自己開(kāi)辟利基市場(chǎng)。雖然這項(xiàng)研究主要專(zhuān)注于勒索軟件，但對(duì)于信息竊取程序、RAT和加密礦工來(lái)說(shuō)，情況可能也是一樣的：低質(zhì)量的產(chǎn)品和底層的參與者，希望最終能夠“晉升”到頂部。

然而需要清楚的是，Junk gun勒索軟件對(duì)小型企業(yè)、廣大公眾和安全社區(qū)構(gòu)成了獨(dú)特的挑戰(zhàn)。威脅行為者明確指出重點(diǎn)針對(duì)小型公司和個(gè)人，因?yàn)檫@些目標(biāo)通常防御不佳，信息滯后，準(zhǔn)備不足。

與此同時(shí)，Junk gun勒索軟件還給安全行業(yè)帶來(lái)了幾個(gè)問(wèn)題。例如，很難獲得Junk gun勒索軟件的樣本；很難確定其在野使用的程度并追蹤新的變種。至關(guān)重要的是，關(guān)于Junk gun勒索軟件的威脅情報(bào)也較少，因?yàn)樗鼣U(kuò)散的論壇并不總是受到研究人員的嚴(yán)密監(jiān)控，這導(dǎo)致了情報(bào)缺口。

為此，企業(yè)和安全研究人員都必須投入時(shí)間和資源來(lái)跟蹤大量的威脅，其中一些威脅的優(yōu)先級(jí)要高于其他威脅。追蹤Junk gun勒索軟件，以及那些至少目前處于勒索軟件生態(tài)系統(tǒng)邊緣的勒索軟件，可以為個(gè)人威脅和更廣泛威脅領(lǐng)域的潛在趨勢(shì)提供有價(jià)值的見(jiàn)解。監(jiān)控特定的勒索軟件變體可以幫助保護(hù)小型企業(yè)和個(gè)人，而跟蹤賣(mài)家、買(mǎi)家和功能則可以深入了解威脅的發(fā)展形勢(shì)和威脅參與者。

原文鏈接：https://news.sophos.com/en-us/2024/04/17/junk-gun-ransomware-peashooters-can-still-pack-a-punch/