鑽石舞台

我們正處在這樣一個時刻：包括勒索軟件團伙在內的網絡犯罪分子，已經建立起組織化的機構，進行非法的業務活動，而不是一個人單打獨鬥。

勒索軟件團伙、敲詐勒索組織和DDoS攻擊者的日益成功絕非偶然。在一個個奇幻的名字背後，是組織化的機構，由不同層次的參與者組成，他們同步工作，瓜分利益，以實現最終目標。

以下是幾種典型的網絡犯罪角色：

1、入口訪問經紀人(IAB)

IAB(Initial access brokers)是指將企業的網絡訪問權限出售給買家的人，主要通過地下數據交易市場、論壇或是即時通信工具、聊天組來完成交易。然後購買訪問權限的人，得以進入受害者的網絡，再安裝間諜軟件、竊取商業秘密，或者安裝勒索軟件、拖走數據等。IAB本身一般不會去做這些事情。

在以往，網絡犯罪對IAB的需求並不很高，大部分是商業競爭對手僱傭從事間諜活動和盜竊的需求。但勒索軟件時代導致了對IAB的需求「指數級增長」，成為網絡犯罪產業鏈的「入口」角色。

2、一切即服務(XaaS)

在網絡犯罪的語境下，一切即服務(XaaS)通常是指勒索軟件即服務(RaaS)或惡意軟件即服務(MaaS)，甚至是犯罪即服務(CaaS)，這些平台構成了網絡犯罪的新商業模式。與軟件即服務(SaaS)的提供模式非常類似，這些aaS是一種專門為具體實施攻擊的網絡犯罪分子，提供勒索軟件工具、網絡釣魚工具的平台，使用這些工具即可實施網絡犯罪，而不用掌握高深的技術。當然，這是收費的。

作為這種服務提供商，無論他的客戶攻擊是否成功，都會獲得一定的收益。不僅如此，在這種XaaS的模式下，意味着可能在法律上還是安全的。他們只負責提供工具，拿工具幹什麼用是客戶的事情。

在勒索軟件時代之前，網絡罪犯一般都會是技術熟練的黑客，獨自進行尋找目標、入侵網絡、竊取數據、自行交易。但XaaS模式則降低了黑客攻擊並獲益的技術門檻，包括IAB、RaaS、MaaS等服務，網絡罪犯只需精通一個領域，甚至無需精通任何領域，就能夠實施網絡攻擊。因此，勒索軟件事件才得以愈演愈烈。

3、勒索軟件附屬

勒索軟件附屬可以被視為勒索軟件組織雇來執行操作任務的綜合「承包商」，從IAB購買網絡的初始訪問權，到獲取可能有助於攻擊的憑證、數據等，再到發起攻擊。

在執行成功的攻擊和勒索後，勒索軟件附屬從受害者支付的勒索金額中提取佣金。為了加快攻擊速度，勒索軟件附屬可能會租用RaaS平台，用「租用的勒索軟件」加密文件，或是使用任何現有的工具、服務和漏洞，以實現攻擊並獲利的目的。正是因為這些XaaS的出現，降低了攻擊的技術門檻，無需自行開發工具，只需專注於攻擊活動的組織運營。

4、惡意軟件開發者

惡意軟件最為核心的組成是針對零日漏洞或已知漏洞的EXP（漏洞利用），可攻擊存在相應漏洞的各種網絡設備、應用程序，甚至是嵌入應用程序中的某個組件，如Log4j。

在早期，惡意軟件和漏洞利用的開發者各種各樣，從最普通的「腳本小子」到黑客高手，但隨着黑色產業的形成，網絡犯罪分子的分工合作，許多複雜的惡意軟件開發團隊已經成為「正規部隊」，甚至有着軟件開發生命周期和編程文檔，與合法的軟件開發流程一樣。

去年發生的一起勒索軟件團伙(Conti)的泄密事件，對其不滿的合作者（勒索軟件附屬）泄露了該團伙的數據，包括滲透測試工具、手冊、培訓材料，以及提供給該附屬的文件。另外一起類似的事件中，一名自稱Babuk勒索軟件管理員的人，則放出了該組織的Visual Studio項目文檔和源代碼。從這些文檔和代碼可以看出，Babuk的開發流程與合法軟件公司無異，遵循同樣的規範和結構。

另一方面，加密貨幣的流行，令其交易平台成為網絡攻擊的重災區。精通密碼學並對區塊鏈協議有深入了解的惡意軟件開發者，利用這些平台中的零日漏洞或未修補的漏洞，盜取巨大價值的加密貨幣。

今年2月，Wormhole價值3.26億美元的加密貨幣被盜，源於GitHub平台上公開的一個未修補漏洞。去年Poly Network遭受了「史上最大的DeFi黑客攻擊」，一名白帽黑客通過平台的漏洞轉移了價值6.11億美元的加密貨幣，但事後幾乎全部退回。

5、APT組織

APT（高級持續威脅）之前大多是指有着國家資源支持的網絡犯罪集團採取的攻擊策略，目標是進行破壞、間諜活動，或者攫取經濟利益。但現在，APT所使用的戰術也被一些非國家支持的網絡攻擊者採用。

史上最著名的APT攻擊事件是震網(Stuxnet)事件，該事件利用多個Windows零日漏洞感染計算機並進行傳播，最終對核電站的離心機造成損壞。這種「極其複雜的電腦蠕蟲」據傳是美國和以色列情報機構合作開發的。

另一起針對工業控制系統的例子是TRITON。該惡意軟件於2017年入侵了沙特的一家石化廠，並試圖引發爆炸。幸運的是，TRITON代碼中自身存在的一個漏洞觸發了關鍵系統的攔截，攻擊未能得逞。

APT最主流的手法是通過魚叉式網絡釣魚進入網絡，悄悄傳播有效負載，拖走數據，並植入持久後門，對受害者進行秘密監視。

與之前相比，現在的APT更加隱蔽、更具戰略性。如將後門植入上游軟件或源代碼，或入侵第三方供應商。SolarWinds就是一起典型的供應鏈攻擊事件。

6、數據或信息掮客

「數據經紀人」或「信息經紀人」(IB)即可以指合法的服務商也可以是非法的攻擊者。

前者從公共來源獲取數據，如法庭記錄、社交媒體檔案、聯繫方式、企業註冊記錄，並進行數據聚合。然後，這些信息可以合法地與營銷人員、研究人員和企業共享，並收取一定費用。後者則是非法的數據經濟人。例如，在暗網和數據泄露市場上出售黑客盜取的資料或機密數據。這些數據包括但不限於賬戶憑證、信用卡信息、購物歷史、企業通訊錄，以及個人信息等。

結語

從開發者到XaaS，再到IAB、IB，這些分工都是黑產鏈各個環節的貨幣化，各自出售攻擊鏈的一部分或向更廣泛的買家出售相同的惡意軟件（配置不同）來成倍地增加利潤。通過這種模式，能夠賺更多的錢，同時做更少的工作。

黑色產業鏈儼然已經是一個「自然競爭的商業環境」，形成了競爭群體和一個真正的市場。這些市場隨之帶來的，則是網絡攻擊門檻的降低，攻擊者無需精通各個方面的技術，就能夠有效開展網絡犯罪活動。

參考閱讀

勒索軟件眼中最完美的受害者

上市公司財報披露勒索軟件成本

蠢賊記錄：五起令人啼笑皆非的勒索軟件事件

價值52億美元的比特幣交易與十大勒索軟件有關