暗网系列之:揭秘暗网市场中勒索经济的繁荣与发展(2017年安全报告)

暗网系列之:揭秘暗网市场中勒索经济的繁荣与发展(2017年安全报告)

执行摘要

从2017年开始至今,全球范围内陆续发生了多起影响范围广泛、受损严重的网络勒索事件,上榜的“明星”勒索软件家族包括:CryptoLocker、GoldenEye.、Locky和WannaCry,即使是对技术或网络安全不关心的普通用户,大概也听说过其中的一两个,尤其是大名鼎鼎(臭名昭著)的WannaCry,中文名称为“想哭”。截至目标,勒索软件已经在2017年的互联网历史上写下来浓厚的一笔。据不完全估计,今年全球业务因遭遇勒索攻击导致的损失预计将达到10亿美元。

在深暗网这个幽闭的网络生态链中,大量的勒索软件被创建并交易,这一新兴的地下经济发展迅猛。Carbon Black的威胁分析研究人员发现,从2016到2017这一年的时间里,暗网市场上勒索软件的销量增加了2502%。这一数字“令人惊讶”,然而背后却蕴含着一个简单的经济学原理:供求关系。对于网络犯罪分子而言,盈利是最主要的驱动因素,借由一个勒索软件可以快速的赚钱,即使这样做可能会触犯法律。此外,与其他形势的网络攻击相比,勒索软件的部署相对简单且利润相当可观,因此有越来越多的网络犯罪分子进入这个邪恶游戏。

研究发现,即使是最初级的罪犯,通过自己动手(DIY)一个能够发起勒索攻击的工具,在暗网市场中交易,就足以年收入过六位数。

关键发现

(1)目前暗网上有6300 +个平台提供勒索软件交易,多达45000种产品清单;

(2)DIY的勒索软件工具包的售价从0.50美元到3000美元不等,平均价格是10.50美元

(3)比较2016年与2017年(至今),暗网中勒索软件市场已经从249287.05美元增长到6237248.90美元,增长率达2502%。根据FBI的统计,2016年支付勒索赎金的总额约为10亿美元,这一数值在2015 年为2400万美元。

(4)仅仅作为一个勒索软件的零售商,每年的盈利就可超过100000美元(与此相比,根据PayScale.com网站公布的数据,一个合法的软件开发商的盈利为69000美元左右)。

(5)促进暗网上勒索经济成功增殖的最显著的原因是使用比特币作为勒索赎金,使用匿名的Tor网络有利于犯罪分子掩盖非法活动。通过比特币的方式洗钱,使得执法机构较难跟踪到犯罪分子的真实身份。

(6)勒索软件的卖家们越来越专注于供应链中的一个特定区域,分工不断细化进一步促进了勒索经济的繁荣与发展

分析

2017年8月和9月期间,监控了21个当下最大型的暗网市场,抓取了与勒索产品相关的信息,包括描述和售价等记录。

为了能对整个暗网上的勒索经济有一个完整的概念,从最大的这21个市场推广到一个更广泛的范围内,它们约占整个暗网上类似市场的25%的入口流量。勒索产品的比特币报价,在抓取的时候就按照当天的汇率(与美元的)进行了转换。

研究发现,勒索经济已经成为一个整套的承包系统。截至本报告撰写之时,约有 6300多个暗网平台销售勒索产品,共计45000多个产品清单。

在这些市场的勒索产品种类繁多,影响范围广泛,从售价1美元的针对Android设备的锁屏勒索工具,到售价超过1000美元的专门定制(包括源代码)的勒索工具。下面的图表反映了2017年9月份采集到的暗网中一部分勒索软件的售价。

暗网系列之:揭秘暗网市场中勒索经济的繁荣与发展(2017年安全报告)

我们采集了2017年8月和9月份的所有数据,统计结果发现一个勒索软件的平均售价是10.50美元。

暗网系列之:揭秘暗网市场中勒索经济的繁荣与发展(2017年安全报告)

暗网中一个销售勒索软件的平台(示例)

统计暗网中所发现的勒索软件的售价,概况如下图所示:

暗网系列之:揭秘暗网市场中勒索经济的繁荣与发展(2017年安全报告)

卖家会许诺售价高的勒索软件的成功率也更高。根据观察,卖家若能成功的出售这些勒索软件,会收获相当丰厚的利润,有些卖家每年仅零售勒索软件的收益就能超过100000美元。单纯的这么说读者可能感觉不到其中的利润,根据PayScale.com发布的数据,正常的合法的软件开发商的收益平均每年为69000美元,全球范围内不同地区软件开发商的收益水平不同,美国的最高,示例如下:

暗网系列之:揭秘暗网市场中勒索经济的繁荣与发展(2017年安全报告)

勒索软件作者每年超过100000美元的盈利能力(这笔钱很可能还是免税的),对网络犯罪分子而言是个不小的诱惑,全球范围内大部分地区在打击网络范围方面的执法力度不足,内外因素的影响下,促使了暗网中勒索经济的繁荣与发展。

根据多年来多暗网中数据的历史记录,分析发现从2016年到2017年(至今),暗网中勒索经济的增长率达到2502%。下图显示了2016年和2017年暗网中勒索软件的销量对比。

暗网系列之:揭秘暗网市场中勒索经济的繁荣与发展(2017年安全报告)

地下勒索市场的兴起与创新

暗网中勒索经济的迅猛发展,主要受以下几个因素的影响:

(1)比特币和Tor网络:非法活动更具隐蔽性和匿名性;

(2)勒索服务提供商的数量激增:勒索市场的进入门槛很低;

(3)组织缺乏基本的安全控制措施:企业或机构缺乏备份、测试、恢复、修补、可视化的防护策略,或者所采取的预防措施已经过时了。

尽管勒索软件已经存在很长一段时间了,但比特币和Tor网络的加入,极大的降低了勒索攻击的风险和成本,犯罪分子甚至不需要知道如何保持匿名性或如何收取勒索赎金,因为有专门的供应商会提供这些服务,勒索攻击者只需要够没这些服务就可以了。与此相反,事情的发展越来越不利于执法机关,对此类非法行为的打击难度更高了。

暗网市场中的所有交易(包括勒索服务)都具有跨地域的特征,暗网为买卖双方提供了一个高风险、低信任的交易托管系统,勒索赎金以比特币的方式通过Tor网络进行支付,没有固定的中心点且匿名性更强,这就导致传统的以地缘为基础的执法方法失效了。

由于这些创新已经发展的颇为成熟了,暗网中的勒索经济现在已经发展成了一个行业,与正常的商业软件开发一样,拥有一套完整的流程,包括开发、支持、分布、质量保证、甚至咨询服务。

除此之外,还应该考虑勒索攻击受害者支付赎金的意愿。通过问卷的形式进行调研,询问参与者如果个人电脑或文件被勒索软件加密,是否愿意支付赎金,结果是:如果赎金低于100美元,52%的人员表示愿意按要求支付赎金;如果赎金在100~500美元之间,29%的人员愿意支付;如果赎金高于500美元,12%的人员愿意支付

地下勒索经济和供应链

研究表明,目前暗网勒索市场中参与者的层级划分如下图所示:

暗网系列之:揭秘暗网市场中勒索经济的繁荣与发展(2017年安全报告)

防御者的内在优势

如果防御者能够打破或打断勒索攻击杀链中的某一个环节,整个攻击就会土崩瓦解,这是防御者天生就具有的优势,也为打破勒索供应链留下来一线希望。

分销商和经营者是处于问题的下游,针对他们进行打击是舍本逐末的解决方式。为了给地下勒索经济市场制造裂痕,防御者应当想办法破坏供应链的上游,改变目前这种有利于恶意软件作者的激励机制。如果能够有效降低攻击者的投资回报率,就可以成功的减少犯罪的经济诱因。

除此之外,我们需要呼吁勒索软件的受害者停止支付赎金

勒索攻击只有在受害者选择支付时才能起作用。如果人们决定无论如何都不支付赎金,也能遏制勒索市场的发展。此外,正如前文中提到的,目前不能希求从执法层面上解决勒索问题,因此企业还应当认识到,预防勒索攻击主要还是要靠自己。

地下勒索经济的增长对于企业而言,无疑是一个不好的信号。应对网络安全问题时,人们由于不了解安全的基本原理,现实环境下制定的防御措施,大多都收效甚微。针对勒索攻击,企业应当注重采取一些基本的安全拦截和处理措施,如定时备份重要的文件和系统;完善的安全测试;及时修补漏洞;对威胁具有足够的、企业范围的可见性;减少过时的预防措施,如遗留的、停止更新的防病毒软件。

由于网络攻击的分工越来越细化,地下市场中提供各种SaaS模式的服务,勒索攻击的进入门槛更低,攻击者更容易成功以较小的投入获取较大的收益,因此勒索攻击的频率和严重程度也逐渐增加。攻击的力量不再掌握在少数专家手中,而是掌握在任何想赚钱的人手中。

攻击者的目前永远盯着有利可图的地方。目前,勒索攻击是他们眼中的“明星”选手。为了转变这种潮流,企业应认真谨慎地实施安全最佳实践,并考虑实施用户培训和教育计划,尽可能的缩小任何可能存在的空隙。不要忘了,对手更加警惕时刻寻找或等待着你犯错误。

更多资料

阅读报告原文,获知勒索软件杀链部分的详细解读。

原创文章,作者:鹰小编,如若转载,请注明出处:http://www.mottoin.com/reports/106396.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code