【网络犯罪也是一门讲信任的生意】Emotet只和熟识的网络犯罪组织谈合作

在2020年，最受关注的网络犯罪就是勒索软件，比特币等加密货币的普及，解决勒索的金流问题，也加速勒索软件成为主要的网络犯罪手法之一。此外，勒索软件本身也有所转变，从随机、漫天撒网式的勒索，逐渐转变成锁定特定产业或目标的针对式勒索（Targeted Ransomware），在在显示，网络犯罪手法一直都在进化中。

Emotet从最早的金融木马，慢慢转型到成为全球最大垃圾邮件发送的傀儡网络，同样证明，Emotet的转型都是跟着犯罪市场和犯罪模式转变而来。

趋势科技威胁架构师Fyodor Yarochkin（费尔多）以Emotet傀儡网络为例，Emotet可以从2014年的金融木马，一路存活到现在，他说：“Emotet现在已经转型成为提供网络犯罪工具和服务的黑色产业业者。”

事实上，现在很多网络犯罪论坛，根本看不到任何与Emotet相关的广告，越是菜鸟级别的网络犯罪集团，才越需要透过网络广告去接触客户，像是Emotet这种老牌的网络犯罪集团，已经有固定的客户群，通常不需要透过网络广告去接触陌生客户。

Fyodor Yarochkin长期观察表示，该网络犯罪组织本身有严谨的保密措施，加上具有很好的团队领导能力，团队成员之间也有很高的互信程度，向心力也够强。借此也可以证明，Emotet行事作风比较保守封闭，要和Emotet真实往来，甚至要有私交才可能。他说：“这或许也是多年来，世界各国执法单位一直很难抓到真实的罪犯的关键原因之一。”而此次亲俄的乌克兰警方可以抓到两名系统管理员，对于未来进一步突破Emotet的犯罪网络的机会大增。

的确，匿名与信任之间的难题在黑产界也真实存在，Fox-IT威胁分析师吴宗育（ZY Wu）表示，如何确认生意伙伴的背景不是FBI等执法单位的卧底警察，已经是这些网络犯罪组织必须真实面对的难题。

毕竟，在2008年曾经有FBI探员卧底并抄家最大黑产论坛的殷鉴不远；甚至于，合作的伙伴被执法单位抓到后，到底会不会出卖其他人，中间也存在有很多的操作空间。

吴宗育指出，目前可以确定的事情是，Emotet并没有公开贩售傀儡网络的服务，也没有公开的消息指出，该团队在哪个地下论坛或群组贩售服务或是招兵买马。

他说：“合理猜测，他们只和信任关系强烈的对象接触生意，甚至这些黑产巨头间，可能彼此都知道对方的真实身份。”

对于外界曾经谣传，Emotet的主事者曾经改弦易辙，吴宗育坦言，外界对于Emotet是否经历易主并没有办法确定，毕竟，网络犯罪的生态很难追踪到“人”的层面，除非是执法单位。

但他说，如果以恶意程式家族转型的层面来看，其实现在依然活跃的几个金融木马网络犯罪集团，大部分都已经转型成下载器（Loader）或是RAT（Remote Access Trojan，远端存取木马程式），例如DRIDEX、GOZI等。

Emotet从金融木马到傀儡网络的转型之道

Fox-IT威胁分析师吴宗育表示，Emotet并没有公开贩售傀儡网络服务，也没有在黑产论坛出没打广告，可以推测，他们只和信得过的熟人做生意。图片来源／吴宗育

吴宗育进一步分析Emotet的转型之道，他指出，当年金融木马百家争鸣之际，即便成功植入金融木马，真正顺利把偷到的钱能够顺利变现的网络犯罪集团却是少数。

关键原因在于，随着当年银行规范和法规限制越来越多，加上洗钱难度也因为政策面的防护越来越严谨而随之越来越高，都使得金融木马日常维运的成本大幅增加、收益大幅减少，而想要把透过金融木马取得的资金顺利变现的难度也越高。

Emotet也同样面临到原本的产品不符市场所需，必须重新开发新产品、重新占领市场的挑战。

吴宗育表示，当年，Emotet评估，网络犯罪市场中，并没有非常自动化、先进的Spam Bot（垃圾邮件发送傀儡网络）；而早些年相当活跃的、资深且大规模的Necurs傀儡网络，其开发团队其实更愿意花更多的心思在开发早期的Rootkit上。

他也指出，Emotet相较于其他傀儡网络网络犯罪集团，更是一个非常注重社交工程（Social Engineering）网络设计的组织，从偷取邮件信箱的账号、密码开始，再偷取信件并回复给另一方，同时追随各种热门时事主题等，都是他们擅长的地方。

更重要的是，上述的手法，很多部分都是自动化完成的。他说：“如果Emotet的垃圾邮件发送傀儡网络是第二名的话，就没有其他网络犯罪组织敢说他们是第一名。”

若要分析Emotet的转型，吴宗育认为，2017年应该是关键的时间点。

他以台湾2017年到2018年又开始流行夹娃娃机为例来比喻──夹娃娃机风潮再起的原因在于，有人从这个生意赚了很多钱，也吸引其他更多的竞争者投入这个行业，同样的情况也适用于网络犯罪集团。

像是知名的网络犯罪组织Evil Corp，成功利用BitPaymer赚进大把钞票后，也吸引后进者Ryuk跟进赚大钱。再之后，有越来越多的后起之秀，例如Revil、GandCrab、Egregor、Maza、DarkSide等，如雨后春笋出现在市场。

至于，其他不易赚钱的金融木马网络犯罪集团则纷纷转型，成为更容易利用傀儡网络，或是勒索软件赚大钱的网络犯罪组织，“这些网络犯罪集团纷纷在2017年前后冒出头，这也成为这些网络犯罪集团转型的关键时间。”他说。

吴宗育同意，研究网络犯罪之所以迷人的地方，其实像是在研究一个小型生态，只要哪里有生意，就会有竞争，近几年来，精英网络犯罪集团皆转型成Comparmetalized（权责分工明确），所有网络犯罪的工具和流程，都变成一种服务。

Emotet全球有160万台遭骇主机，造成损失高达25亿美元

根据美国司法部的资料显示，Emotet感染的关键系统的电脑，包括：银行、电子商务、医疗保健、学术界、-机关以及科技产业等，从受骇电脑的IP回推国家所在地时发现，美国FBI甚至要通知五十多国的相关执法部门。

这次八国联军针对Emotet的抄家行动，确定了全球遭骇的电脑主机有160万台，若是统计2020年到2021年1月17日的数据发现，就有超过4万5千台受骇电脑位于美国。

此外，根据美国网络安全与基础设施安全局（CISA）的资料也指出，每一次感染Emotet的恶意程式后，包括美国各州-或是联邦-的系统复原费用金额，都高达一百万美元之谱。

事实上，美国FBI扫荡Emotet的行动不只一次，但在2017年还是出现重大事故──美国北卡罗莱纳州某学区的学术网络感染Emotet恶意程式后，不只感染并破坏了学校以及连上学术网络相关的电脑，也造成学术网络停用二周。

若进一步计算该起Emotet造成的损失，不管是电脑解毒或者是更换电脑主机等，总体的损失至少超过140万美元。更值得注意的是，从2017年迄今，不管是北卡罗莱纳州和美国其他企业、关键机数设施的电脑主机，仍存在许多受骇者。FBI这次扫荡行动也揭开和其他各国执法单位合作的契机，也证明“Emotet已经迅速升级为全球最大的网络威胁之一。”

吴宗育也表示，Emotet的合作伙伴，包括TrickBot与Ryuk勒索软件。根据研究显示，光是赎金就已经赚了超过美金1.5亿美元；而乌克兰警方释出逮捕Emotet成员的影片中则宣称，该网络犯罪集团造成的损失高达25亿美元。

根据英国网络犯罪局的资料，Emotet为了维持相关基础设施的正常维运，在两年内，就投资至少50万美元； 若是分析Emotet加密货币交易平台的金流，该组织光是在两年内转移的金额，就高达1,050万美元。

英国网络犯罪局也指出，Emotet助长近来严重的网络攻击事件，其中有七成的恶意程式和Emotet相关，也包括Trickbot及Ryuk等，甚至于，对英国企业也带来一定程度的经济冲击。

“网络犯罪也是一门生意，”吴宗育说，如果做生意的成本变高，相对收入也必须增加，才有办法维持获利。因此，这次全球执法单位针对Emotet基础设施的扫荡行动，也对Emotet持续提供相关网络犯罪工具与服务的能力，造成大举破坏。

Emotet半年左右可东山再起

趋势科技威胁架构师Fyodor Yarochkin推测，Emotet网络工具源代码和架构都还在，只要找到信得过的系统管理员，东山再起只需要半年时间即可。图片来源／趋势科技

历经这次大规模扫荡行动后，Emotet能否东山再起？吴宗育表示，这个问题在2014年，FBI扫荡GameOver Zeus、幕后主使者遭到起诉时，曾经被讨论过。

他认为，鉴往知来，新进犯罪集团与老屁股们找到了更好的生意模式，从传统金融木马或卡片侧录的模式，转换到针对资料的勒索攻击的发展态势来看，我们可以发现，针对资料的网络攻击模式，获利比传统的攻击模式更大。

吴宗育也说，Emotet和合作伙伴（Stealer），后续配套的恶意程式，较多是采用TrickBot、Zloader和Gozi等；而这些曾经的金融木马恶意程式的特色是，喜欢在内网搜查并且横向移动，然后再给予勒索软件（Ransomware），像是TrickBot -> Ryuk的过程，Ryuk就是针对式勒索软件。

目前这个针对式勒索软件看起来并没有特别针对哪个产业或是单位，但他们会避开前苏联国家或使用俄语的电脑作业环境，或是他们认为没有利用价值，或是不有趣的环境，也会予以回避。

Fyodor Yarochkin表示，这次的扫荡行动虽然破获许多中继站（英国网络犯罪局宣称有700台中继站），也逮捕两名网络犯罪集团的系统管理员，但是Emotet的网络犯罪工具源代码和架构都还存在，即便这次的扫荡会影响Emote的运作，Fyodor Yarochkin评估，只要可以找到信得过的系统管理员，Emotet网络犯罪集团想要东山再起，大约需要半年时间即可。但他认为，这个重新东山再起的Emotet，不一定是原始的Emotet，也可能是复制或是再另外创立的Emotet。

吴宗育也以研究网络犯罪的经验为例，印证Fyodor Yarochkin这个假设的可能性很高。通常，执法单位有逮捕行动或是起诉出现时，网络犯罪集团通常会面临分裂、拆伙，甚至是内哄的情况，当然，也不乏有人赚饱之后便收山。

根据目前消息指出，Emotet背后大老板尚未落网，也就说，组建傀儡网络的程式源代码依然在犯罪组织手里。因此，以目前来看，我们固然无法确定Emotet何时重返战场，但可以确定的是，黑色产业一定会从他们的失败经验中学习，并设计出更为棘手的武器。

Emotet看起来被执法单位联手摧毁了，似乎成功打垮恶名昭彰的Emotet傀儡网络，但从这些网络犯罪集团的运作模式来看，不论是采用敏捷的软件开发方式，快速应对资安公司和执法单位找到的切入点，或是网络犯罪集团之间的互助合作和相互帮衬等，都可以证明，网络犯罪集团的“创意”，从来没有被资安公司或是执法单位的扫荡所扼杀。

吴宗育认为，对一般企业或者是民众而言，Emotet的扫荡让大家暂时松口气，但对资安从业人员而言，必须要绷紧神经、严阵以待，因为“一个时代的结束，可能是另外一个时代的开始”，虽然没有了Emotet，还有其他类似的网络犯罪集团躲在暗处，等著最有利的时刻，再狠狠大赚一笔横财。