美國安全公司Carbon Black發布了最新的勒索軟件調查報告，和去年相比，暗網經濟中勒索軟件的市場規模猛增了2502%。

　　技術門檻減低，Ransomware-as-a-Service（RaaS）的興起，高回報，低風險（Tor，虛擬貨幣可以很好的隱藏自己的身份），缺乏對受害者的基礎安全保護，無一不促進了勒索軟件市場的“興旺繁榮”。

　　去年，大多數安全專家都預測勒索軟件將會在網絡犯罪中起到越來越重要的作用，而這份報告正好驗證了這一點。

　　暗網市場中，研究人員發現了45000個勒索軟件

　　為了收集報告中用到的相關數據，Car Black的研究人員調查了暗網中售賣的勒索軟件和相關服務。

　　今年7月到9月，研究人員調查了21個大型的暗網交易市場，得出了驚人的結論，有近6300個網站都在打廣告售賣勒索軟件和相關服務，廣告總數超過了45000個。而且價格跨度也非常大，從1美元到3000美元都有，但這是由于惡意軟件作者使用不同的收費模式造成的，有些按單個軟件定價，有些按月訂購或按年訂購。

　　比較2016年和2017年至今，暗網中的勒索軟件市場規模已經從249287.05美元漲到了6237248.90美元，增長率高達2502%。FBI提供的數據也表示，2016年的勒索贖金總額約為1億美元，高于2015年的2400萬美元。

　　RaaS為勒索市場的主要推力

　　根據Carbon Black的報告可以看出，暗網經濟其實十分復雜。舉個例子，有人提供RaaS（Ransomware-as-a-Service），它可以提供一體化的全套服務，而有的人會提供一些限制性的服務，還有人僅僅只是提供勒索軟件。

　　一體化的RaaS本身就是一條完善的勒索鏈，其中集成了分發通道（攻擊套件，spam僵尸網絡等）；可以對比特幣勒索進行管理的支付模式；對文件的加密與解鎖，還有對用戶的技術支持，所有的這些都集成在一個簡單的web后臺面板中。

　　限制性服務對比一體化RaaS而言，就少了很多功能，通常定價也并不是很高。

　　總的來說，對于賣家來說做的事情還是很少的——惡意軟件的開發者僅僅只是售賣整個勒索軟件鏈，剩下怎么發揮，就交給買家了。

　　地下產業愈加成熟

　　地下的勒索軟件經濟已趨于成熟，和現有的軟件商業模式類似，包括開發，售后，分發，經銷，質保等各個環節。整個勒索軟件行業越來越像一個合法的行業。

　　擺在眼前的現實是，由于存在高利潤，勒索軟件行業正在快速增長。如何削弱其盈利能力就顯得尤為重要。Carbon Black將整個行業分為5大點：開發，分發，加密，支付，指揮和控制。安全從業者如果可以打掉整個環節或者其中一個點，整條攻擊鏈就會分崩離析。

　　著眼于軟件開發環節是不可能的，當年輕的開發人員在合法工作上獲得的收益不高時，他們就會通過開發勒索軟件牟利；分發環節同樣難以打破，因為整個市場都是隱藏在暗網之下的；加密同樣不可控制，在公開領域可以很輕松的獲得加密系統；而付款就是最弱的環節了，整個供應鏈的目的就是為了收取贖金——但是如果贖金的支付變得不方便了，整個行業就會崩塌。

　　報道中表示，我們需要停止支付贖金，只有受害者選擇支付贖金，整個行業才可以正常運轉。人們如果一直選擇支付贖金的話，這樣的問題還會越來越嚴重。不過，如果某個國家或目標行業有足夠的人都拒絕支付贖金的話，犯罪分子很可能會換個地方繼續作惡。拒絕支付贖金并不能根本解決問題，它只是將問題轉移到別的地方。

　　在此背景下，勒索軟件行業還將繼續發展。到目前為止，勒索軟件行業已經很大程度上掌握在那些技術并不是很高明的人手中，軟件復雜性再也不是成功的必要條件。報告中也談到了這種變化，WannaCry和NotPetya就是很明顯的例子，前者并不復雜，而后者也并不是專門為了加密文件而產生的。無論怎樣，利用NSA泄露的工具逐漸變成一個新的趨勢。

　　加密可能只是為了更好的隱蔽自己

　　然而Carbon Black在隨后的報告中也指出，這種勒索手段或許只是一種煙霧彈，使用已經存在的技術刪除計算機備份（文件備份，Windows事件記錄）攻擊者可以讓防衛者更專注與事件響應，想方設法去解密上鎖的文件而不是去調查攻擊者的相關數據和憑證。這些勒索軟件越將注意力放在加密文件上，就越可以幫助攻擊者隱藏自己的行蹤。

　　這些就是報告中提到的整個勒索軟件發展的現狀：一方面勒索軟件可能會集中在真正有技術的開發者手中，另一方面是在識別哪些受害者會支付贖金這件事上下功夫，這兩方面的結合就是人和產品的結合。

　　并且這些惡意軟件開發者會使用更先進更持久的的技術，在對受害者進行解密后仍存留在受害者的網路上，從而以后找機會進行二次敲詐。

　　勒索軟件開發者年收入高達10萬美元

　　如此龐大的市場對于每個人都是開放的，Carbon Black的報告中顯示，勒索軟件開發者的年收入高達10萬美元，這已經超過了正常的軟件開發人員的收入（69000美元）。

　　這種差距在東歐國家更加明顯，這里被稱作惡意軟件的發源地，暗網中對勒索軟件銷售額從2016的40萬美元飆升到625萬美元。

　　當然，報告中并沒有包含深網和XMPP spam中的售賣數據。

責任編輯：韓希宇