網路安全2018:病毒也玩“中國合夥人”
2018年10月,一條招聘合夥人的廣告在暗網中出現,震驚了整個中國安全行業。這條廣告開門見山,“勒索病毒合作計劃,免費加入、分成高”,在下面的詳細說明中,作者寫到“我想與您進行一個高收益合作”。
釋出這條廣告的作者,編寫了勒索病毒FilesLocker。
這是第一次有人在暗網中公開發布類似的招聘廣告,招募勒索軟體在中國的合作者。這篇廣告的釋出者看上去是個中國人,從編寫技巧來看,似乎是個新手。
勒索軟體的RaaS,加速市場擴張
類似模式在國外暗網中已經屢見不鮮:大多數病毒作者只編寫病毒,傳播、運營都交給商業夥伴去完成,自己抽取其中20%到30%的利潤,其餘利潤分給代理商。
病毒作者會提供一個簡單的病毒生成工具,利用這個工具,即使毫無程式設計經驗的人(病毒合夥人、代理商),也可以製作自己的病毒。
(GandCrab病毒生成器)
“代理商”只需要製作出自己的病毒,並傳播出去;病毒作者還會給代理商一個解密工具(不給金鑰),當受害者中毒後聯絡代理商時,他就可以用這個工具給受害者解密,並收取高額費用。
這就是勒索病毒行業的RaaS模式,Ransomware as a Service,勒索軟體即服務。這種專業化分工、傳播靠代理的模式執行起來十分有效,程式設計者負責技術、不懂技術的傳播者也可以獲得暴利。
兩者取長補短,大大增加了勒索病毒在“黑色市場”中的佔有率。
根據瑞星釋出的《2018年中國網路安全報告》,在過去的一年中,其捕獲的勒索病毒樣本按家族分析,GandCrab 家族佔比 36%,位列第一,緊隨其後的WannaCrypt 佔比 31%,第三名Lyposit 佔比 17%。
黑奇士發現,這三個勒索病毒都採用了上文所說的“代理模式”,從而佔據了大量的市場份額。三個病毒家族相加的病毒數量佔據所有勒索病毒數量的84%,看起來觸目驚心。
FilesLocker的中國合夥人
正是看到RaaS模式的有效,FilesLocker的作者才決定“學習國外的先進運營模式”,狠賺一筆。
根據作者在暗網中釋出的招聘廣告,他給代理商留出了60%的利潤,前提是每天必須感染10臺以上的電腦;如果“業績好”,利潤分成可以提高到75%
(電影中國合夥人劇照)
如果被FilesLocker病毒感染,需要支付0.18個比特幣,才能讓代理商幫助解密。沒錯,雖然大家都是被這個病毒感染,但可能是不同的代理商,A代理的解密工具不能解密B代理感染的使用者。
(病毒發作彈出的提示)
在病毒爆發的時候,0.18個比特幣大約價值700美元,約合4750元人民幣。也就是說,每一個受害使用者支付贖金,代理商可以拿到2850元。
從FilesLocker病毒的發展來看,“中國合夥人”的戰績顯赫:到2018年的12月,這個病毒已有中、英、俄語版本,感染了全球幾十個國家的使用者,發展相當順利。
在當年的聖誕節,作者似乎“良心發現”,放出了病毒的解密金鑰。但他同時也在金鑰的宣告中表示,“這是結束,也是開始”,似乎要開始一個新的病毒計劃。
普通網民的2018:病毒產業化來勢洶洶
在過去的2018年,勒索病毒僅是整個黑色產業的一個縮影,病毒產業化、產業分工合作,大幅提高了整個產業的進入門檻,和執行效率。
這對普通網民來說是個巨大的壞訊息。
以電信詐騙產業為例,在某些電信詐騙高發的的地區,他們已經形成了很成熟的“產業鏈條”:有人出售身份證,有人出售銀行卡(銀行卡還能細分,等級高的銀行卡價格高,以後有機會詳細講),有人專門製作詐騙釣魚網站,有人買賣電話詐騙需要的變聲器,有人專門撰寫電信詐騙的劇本……
在這些產業鏈條的支援下,即使是連初中都沒畢業的人,都可以在設定的場景中輕鬆騙到一流大學的教授。
瑞星安全報告的資料證實了這些黑色產業的規模:
1、2018 年瑞星“雲安全”系統共攔截詐騙網站攻擊 323 萬餘次,廣東受詐騙網站攻擊 66萬次,位列第一位,其次是北京市受詐騙網站攻擊 44 萬次,第三名是上海市受詐騙網站攻擊 20 萬次。
其中廣東即是詐騙案的最大受害地區,也是詐騙團伙最猖獗的地區之一。
2、在報告期內,賭博類詐騙網站佔 46%,位列第一位,其次是情色類詐騙網站佔 37%,惡意軟體類佔 11%,分列二、三位。也就是說,詐騙網站的型別全面轉向“黃、賭、騙”,這也是網上最流行的三大類黑色產業。
報告期內,廣東、上海、江蘇等地使用者訪問的詐騙網站型別以賭博為主,北京、遼寧、浙
江等地使用者則以情色網站為主,其餘地區訪問惡意推廣詐騙網站居多。
勒索病毒 “民企兩用”
從瑞星的報告看來,除了針對普通網民的病毒和電信詐騙之外,政府機構、高階企業等也成為犯罪分子的最新目標。
與普通網民不同的是,他們面臨著更復雜的威脅,一旦受害後果也更嚴重。
就拿勒索軟體來講,普通網民的資料被鎖,最多是個人照片、文件、視訊等個人資料丟失,心理受傷更重,但不至於影響到正常生活。
而在過去的一兩年,不少政府機構、醫院、學校、大型公司也遭到勒索軟體的攻擊。
(某省兒童醫院因為勒索病毒入侵,掛號系統癱瘓,圖片來自紅網)
黑奇士(id hqssima)曾寫過一個案例:2017年12月,山西運城中級人民法院對王某殺人案進行一審判決,在本案判決書中明確提到,“殺人案當天,當地公安局110報警系統被全國比特幣勒索病毒侵入,導致110接警處警系統和錄音系統癱瘓,當天所有報警記錄沒有音訊資料。”
在公開的法院判決中,至少有六七起案例,因為勒索病毒的入侵,導致嚴重後果。
而這僅僅是普通的勒索病毒,“網民和企業都可能中招,民企兩用”,但並未特別針對機構的內部網路環境設計,如果加入類似的設計,效果會怎麼樣?
高階企業和組織機構的2018:物聯網裝置面臨大威脅
瑞星安全報告中,特別提出了物聯網裝置的安全問題,特別對企業和政府機構中的物聯網裝置,安全性較差。
2018年上半年,網路上出現一個針對路由器發動攻擊的病毒,名叫VPNFilter。這是一個模組化的病毒平臺,具有多種功能,可支援情報收集破壞性網路攻擊操作。VPNFilter病毒專門感染路由器裝置,相容性非常好,可以感染Netgear,TP-Link、華碩、華為、中興等各種品牌的路由器。
(病毒攻擊流程示意圖,來自網路)
感染路由器裝置之後,病毒會嗅探流經該路由器的流量,以此來判定路由器的重要程度。如果需要,可以根據遠端指令來讓路由器癱瘓,或者利用路由器向外發動DDos攻擊,或者竊取情報而不被人發現。
因為該病毒編寫精巧,所針對的攻擊物件處於烏克蘭境內,而且部分程式碼跟 BlackEnergy 病毒重合,而這個病毒曾經對烏克蘭發起過大規模網路攻擊。因此有國外安全機構懷疑,該病毒是由某些國家或組織支援編寫,是網路戰的一部分。
瑞星安全報告指出,隨著5G 的發展,物聯網將是未來的重點發展方向,IoT 的安全問題也逐漸凸顯,物聯網將逐漸成為犯罪分子攻擊的重點目標。物聯網裝置中毒後較難發現,漏洞難以及時修補,甚至有的裝置已經找不到生產廠商。這些感染物聯網病毒的殭屍裝置,會對全球網路安全造成很大的隱患。
更多瑞星企業安全產品方案,可以點選這裡: http:// ep.rising.com.cn/