近日Flashpoint对当前的恶意勒索活动作出了一份报告,并在报告中对恶意勒索活动作出了独到的见解。
恶意勒索真的那么赚钱?
前一段时间有报道称, 恶意勒索软件Nuclear EK的作者每月收入高达10万美元,对此可以看出恶意软件勒索已经演变成一种生意行为了。从报告中的得到的信息,甚至还可以分析到,一个年轻人可以独自操作去骗钱。Flashpoint对去年12月份俄罗斯网络黑帮的斗争进行了分析,对招募新成员、付款流程、恶意软件分发给其成员都作出了说明。
2012年是该种勒索软件活动的一个高峰时段,勒索软件雇主在招聘人员时会做出一个承诺——可以获取金钱。一个勒索软件雇主通常有10-15个下线,当有人受到恶意勒索软件影响时,下线可要求雇主支付300美元的佣金。勒索软件感染用户的途径主要有:僵尸网络、电子邮件、社交网络、文件共享网站等,而支付方式也还是比特币。另外根据分析可以得知恶意勒索软件首要目标选择的是医疗行业,当然也不仅仅限于这一个行业。
这种勒索方式就是典型的勒索软件即服务(RAAS),特点是以上下线的方式存在,也就是说“老板”雇佣人员来执行勒索活动。比如之前的一个经典案例,攻击者释放勒索软件,加密Mac OS用户的文件,然后留下支付赎金的支付方式和联系方式。
这次主要是针对俄罗斯目前状况进行的研究,主要分析对象是违法活动的社区平台还有恶意勒索软件样本(2015年-目前),对于下线主要以招募的形式为主,内容如下
“祝你今天过的顺利,这个建议主要是针对想要赚钱的人,无抵押无押金,这不是通常的那种赚钱方式,如果你有想法可以利用业余时间赚钱,当然可以利用我的软件达到双赢的局面,有工作经验最好,没有也没关系,如果你想要加入就可以收到一个文件,这里面包括详细的指南,哪怕是在校生也可以做到,而你仅仅需要的是时间和想法,操作简单收益丰厚,无风险,在工作中可以积累经验,如果你成功完成工作量就可以获得现金奖励,而在这个时间不需要你去制作软件,也不需要处理其它细节。”
加密是重点
OK,下面就说一下认定受害者之后怎样下手。这里可以利用僵尸网络来完成,前期可以先去某些论坛购买恶意软件,然后利用僵尸网络散发出去。电子邮件以及社交平台可以通过发送邮件的方式来攻击受害者,对于文件共享网站可以利用有吸引力的一些方式来诱导受害者,其实方法也不仅仅限于此,可能随着时间的推进,有可能出现更高明的方式,当然在这些方法里面都会以复杂的算法来加密受害者的文件,然后勒索受害者,最后只有获得适合自己的密匙才能解密。
报告中有几处值得注意的地方
1.从当前角度来看,这种勒索活动已经开始降低门槛了。
2.勒索活动并不想象是那么赚钱的,在分析中可知其核心人物一年的收入在9万美元
3.这个是一种典型的勒索软件即服务(RAAS)
那么上下线是如何交流的呢?一旦下线人员完成任务就可以通过邮件来联系“老板”,然后老板会验证真实性,最后发放奖金(比特币)。老板在收到受害者的赎金之后,也会向其同伙发送60%的奖金,而在受害者完全解密之前有可能收到加钱的要求。老板一旦获得了属于自己的那份之后,会立刻将钱转到比特币钱包中。下面这张图就是从2012年开始统计的。
像这种犯罪团伙一般年收入在9万美元左右,有些犯罪组织在收到赎金之后并不会给受害者或者受害企业提供解密密钥,这就很尴尬了。