如果你把Gandcrab勒索软件、万门教育、拼多多等在黑暗血腥、外挂四伏的互联网中野蛮生长的产品放在一起仔细对比,你就会发现这些黑白两道貌似毫不相干的产品代码和商业模式中存在一段共性基因:敏捷。
Gandcrab无疑是2018年最耀眼的的勒索软件,不仅因为它是首个索要DASH(达世币)的勒索软件,也不是因为感染用户数量或者短短两个月斩获60万美金的惊人敛财速度,而是因为Gandcrab是首个让包括Fortinet、卡巴斯基、赛门铁克等各大网络安全公司和欧洲刑警组织感到害怕甚至绝望的勒索软件,因为Gandcrab的开发者和运营者,在产品运营推广和产品迭代开发两个方面,都让上述组织疲于奔命,难望项背。
Gandcrab的扩散方式属于典型的growth hacking技术营销+联盟营销,主要通过分发Rig和Grandsoft漏洞利用工具、垃圾电子邮件以及佣金联盟三种方式。Gandcrab为实施勒索活动的加盟者斩获的赎金(价值400美元的达世币)提供高达30-40%的佣金分成比例。
营销和支付方式上的创新只是Gandcrab“可持续成功”的的“五五开”。Gandcrab能够在各大网络安全公司和欧洲刑警组织的线上线下围剿中变化自如,处处快人一步,成了“打不死的小强”,才是Gandcrab让网络安全界寝食难安的真正原因。
例如,当Gandcrab第一个版本被Bitdefender Labs等安全公司破解并放出解锁工具后,Gandcrab一周内很快发布了第二个版本。安全公司Checkpoint在详细比较两个版本的Gandcrab之后,发出一声哀叹:连勒索软件都敏捷了,日子没法过了。”
是的,Gandcrab是首个采用敏捷方法快速迭代的勒索软件,其更新和成长速度远远超过白帽子和安全公司的应变速度。
Checkpoint在研究报告中指出:显然Gandcrab的团队采用了敏捷方法,早期的版本充斥着bug和错误,但是Gandcrab的团队显然有着自己的代码审核流程,而且总能在bug发现后的第一时间快速修复。而且,与Cerber类似,Gandcrab是一个以开发为中心的网络犯罪产品,Gandcrab的开发者的主要精力都放在产品的迭代完善上,向加盟者提供技术军火,但并不直接参与勒索软件的传播和收款。
敏捷开发方式也让Gandcrab攻击工具很难被传统的基于数字签名的杀毒软件引擎侦测到,Gandcrab正在变得越来越“完美”和无懈可击——CheckPoint恶意软件研究负责人Michael Kajiloti指出。
很多人认为2018年挖矿病毒抢了勒索病毒的风头,但是Gandcrab表现出的生命力和盈利能力告诉我们,勒索软件依然是一门非常有利可图的“黑生意”,如果你足够敏捷。