在2020年,最受关注的网络犯罪就是勒索软件,比特币等加密货币的普及,解决勒索的金流问题,也加速勒索软件成为主要的网络犯罪手法之一。此外,勒索软件本身也有所转变,从随机、漫天撒网式的勒索,逐渐转变成锁定特定产业或目标的针对式勒索(Targeted Ransomware),在在显示,网络犯罪手法一直都在进化中。
Emotet从最早的金融木马,慢慢转型到成为全球最大垃圾邮件发送的傀儡网络,同样证明,Emotet的转型都是跟着犯罪市场和犯罪模式转变而来。
趋势科技威胁架构师Fyodor Yarochkin(费尔多)以Emotet傀儡网络为例,Emotet可以从2014年的金融木马,一路存活到现在,他说:“Emotet现在已经转型成为提供网络犯罪工具和服务的黑色产业业者。”
事实上,现在很多网络犯罪论坛,根本看不到任何与Emotet相关的广告,越是菜鸟级别的网络犯罪集团,才越需要透过网络广告去接触客户,像是Emotet这种老牌的网络犯罪集团,已经有固定的客户群,通常不需要透过网络广告去接触陌生客户。
Fyodor Yarochkin长期观察表示,该网络犯罪组织本身有严谨的保密措施,加上具有很好的团队领导能力,团队成员之间也有很高的互信程度,向心力也够强。借此也可以证明,Emotet行事作风比较保守封闭,要和Emotet真实往来,甚至要有私交才可能。他说:“这或许也是多年来,世界各国执法单位一直很难抓到真实的罪犯的关键原因之一。”而此次亲俄的乌克兰警方可以抓到两名系统管理员,对于未来进一步突破Emotet的犯罪网络的机会大增。
的确,匿名与信任之间的难题在黑产界也真实存在,Fox-IT威胁分析师吴宗育(ZY Wu)表示,如何确认生意伙伴的背景不是FBI等执法单位的卧底警察,已经是这些网络犯罪组织必须真实面对的难题。
毕竟,在2008年曾经有FBI探员卧底并抄家最大黑产论坛的殷鉴不远;甚至于,合作的伙伴被执法单位抓到后,到底会不会出卖其他人,中间也存在有很多的操作空间。
吴宗育指出,目前可以确定的事情是,Emotet并没有公开贩售傀儡网络的服务,也没有公开的消息指出,该团队在哪个地下论坛或群组贩售服务或是招兵买马。
他说:“合理猜测,他们只和信任关系强烈的对象接触生意,甚至这些黑产巨头间,可能彼此都知道对方的真实身份。”
对于外界曾经谣传,Emotet的主事者曾经改弦易辙,吴宗育坦言,外界对于Emotet是否经历易主并没有办法确定,毕竟,网络犯罪的生态很难追踪到“人”的层面,除非是执法单位。
但他说,如果以恶意程式家族转型的层面来看,其实现在依然活跃的几个金融木马网络犯罪集团,大部分都已经转型成下载器(Loader)或是RAT(Remote Access Trojan,远端存取木马程式),例如DRIDEX、GOZI等。
Emotet从金融木马到傀儡网络的转型之道
Fox-IT威胁分析师吴宗育表示,Emotet并没有公开贩售傀儡网络服务,也没有在黑产论坛出没打广告,可以推测,他们只和信得过的熟人做生意。图片来源/吴宗育 |
吴宗育进一步分析Emotet的转型之道,他指出,当年金融木马百家争鸣之际,即便成功植入金融木马,真正顺利把偷到的钱能够顺利变现的网络犯罪集团却是少数。
关键原因在于,随着当年银行规范和法规限制越来越多,加上洗钱难度也因为政策面的防护越来越严谨而随之越来越高,都使得金融木马日常维运的成本大幅增加、收益大幅减少,而想要把透过金融木马取得的资金顺利变现的难度也越高。
Emotet也同样面临到原本的产品不符市场所需,必须重新开发新产品、重新占领市场的挑战。
吴宗育表示,当年,Emotet评估,网络犯罪市场中,并没有非常自动化、先进的Spam Bot(垃圾邮件发送傀儡网络);而早些年相当活跃的、资深且大规模的Necurs傀儡网络,其开发团队其实更愿意花更多的心思在开发早期的Rootkit上。
他也指出,Emotet相较于其他傀儡网络网络犯罪集团,更是一个非常注重社交工程(Social Engineering)网络设计的组织,从偷取邮件信箱的账号、密码开始,再偷取信件并回复给另一方,同时追随各种热门时事主题等,都是他们擅长的地方。
更重要的是,上述的手法,很多部分都是自动化完成的。他说:“如果Emotet的垃圾邮件发送傀儡网络是第二名的话,就没有其他网络犯罪组织敢说他们是第一名。”
若要分析Emotet的转型,吴宗育认为,2017年应该是关键的时间点。
他以台湾2017年到2018年又开始流行夹娃娃机为例来比喻──夹娃娃机风潮再起的原因在于,有人从这个生意赚了很多钱,也吸引其他更多的竞争者投入这个行业,同样的情况也适用于网络犯罪集团。
像是知名的网络犯罪组织Evil Corp,成功利用BitPaymer赚进大把钞票后,也吸引后进者Ryuk跟进赚大钱。再之后,有越来越多的后起之秀,例如Revil、GandCrab、Egregor、Maza、DarkSide等,如雨后春笋出现在市场。
至于,其他不易赚钱的金融木马网络犯罪集团则纷纷转型,成为更容易利用傀儡网络,或是勒索软件赚大钱的网络犯罪组织,“这些网络犯罪集团纷纷在2017年前后冒出头,这也成为这些网络犯罪集团转型的关键时间。”他说。
吴宗育同意,研究网络犯罪之所以迷人的地方,其实像是在研究一个小型生态,只要哪里有生意,就会有竞争,近几年来,精英网络犯罪集团皆转型成Comparmetalized(权责分工明确),所有网络犯罪的工具和流程,都变成一种服务。
Emotet全球有160万台遭骇主机,造成损失高达25亿美元
根据美国司法部的资料显示,Emotet感染的关键系统的电脑,包括:银行、电子商务、医疗保健、学术界、-机关以及科技产业等,从受骇电脑的IP回推国家所在地时发现,美国FBI甚至要通知五十多国的相关执法部门。
这次八国联军针对Emotet的抄家行动,确定了全球遭骇的电脑主机有160万台,若是统计2020年到2021年1月17日的数据发现,就有超过4万5千台受骇电脑位于美国。
此外,根据美国网络安全与基础设施安全局(CISA)的资料也指出,每一次感染Emotet的恶意程式后,包括美国各州-或是联邦-的系统复原费用金额,都高达一百万美元之谱。
事实上,美国FBI扫荡Emotet的行动不只一次,但在2017年还是出现重大事故──美国北卡罗莱纳州某学区的学术网络感染Emotet恶意程式后,不只感染并破坏了学校以及连上学术网络相关的电脑,也造成学术网络停用二周。
若进一步计算该起Emotet造成的损失,不管是电脑解毒或者是更换电脑主机等,总体的损失至少超过140万美元。更值得注意的是,从2017年迄今,不管是北卡罗莱纳州和美国其他企业、关键机数设施的电脑主机,仍存在许多受骇者。FBI这次扫荡行动也揭开和其他各国执法单位合作的契机,也证明“Emotet已经迅速升级为全球最大的网络威胁之一。”
吴宗育也表示,Emotet的合作伙伴,包括TrickBot与Ryuk勒索软件。根据研究显示,光是赎金就已经赚了超过美金1.5亿美元;而乌克兰警方释出逮捕Emotet成员的影片中则宣称,该网络犯罪集团造成的损失高达25亿美元。
根据英国网络犯罪局的资料,Emotet为了维持相关基础设施的正常维运,在两年内,就投资至少50万美元; 若是分析Emotet加密货币交易平台的金流,该组织光是在两年内转移的金额,就高达1,050万美元。
英国网络犯罪局也指出,Emotet助长近来严重的网络攻击事件,其中有七成的恶意程式和Emotet相关,也包括Trickbot及Ryuk等,甚至于,对英国企业也带来一定程度的经济冲击。
“网络犯罪也是一门生意,”吴宗育说,如果做生意的成本变高,相对收入也必须增加,才有办法维持获利。因此,这次全球执法单位针对Emotet基础设施的扫荡行动,也对Emotet持续提供相关网络犯罪工具与服务的能力,造成大举破坏。
Emotet半年左右可东山再起
趋势科技威胁架构师Fyodor Yarochkin推测,Emotet网络工具源代码和架构都还在,只要找到信得过的系统管理员,东山再起只需要半年时间即可。图片来源/趋势科技 |
历经这次大规模扫荡行动后,Emotet能否东山再起?吴宗育表示,这个问题在2014年,FBI扫荡GameOver Zeus、幕后主使者遭到起诉时,曾经被讨论过。
他认为,鉴往知来,新进犯罪集团与老屁股们找到了更好的生意模式,从传统金融木马或卡片侧录的模式,转换到针对资料的勒索攻击的发展态势来看,我们可以发现,针对资料的网络攻击模式,获利比传统的攻击模式更大。
吴宗育也说,Emotet和合作伙伴(Stealer),后续配套的恶意程式,较多是采用TrickBot、Zloader和Gozi等;而这些曾经的金融木马恶意程式的特色是,喜欢在内网搜查并且横向移动,然后再给予勒索软件(Ransomware),像是TrickBot -> Ryuk的过程,Ryuk就是针对式勒索软件。
目前这个针对式勒索软件看起来并没有特别针对哪个产业或是单位,但他们会避开前苏联国家或使用俄语的电脑作业环境,或是他们认为没有利用价值,或是不有趣的环境,也会予以回避。
Fyodor Yarochkin表示,这次的扫荡行动虽然破获许多中继站(英国网络犯罪局宣称有700台中继站),也逮捕两名网络犯罪集团的系统管理员,但是Emotet的网络犯罪工具源代码和架构都还存在,即便这次的扫荡会影响Emote的运作,Fyodor Yarochkin评估,只要可以找到信得过的系统管理员,Emotet网络犯罪集团想要东山再起,大约需要半年时间即可。但他认为,这个重新东山再起的Emotet,不一定是原始的Emotet,也可能是复制或是再另外创立的Emotet。
吴宗育也以研究网络犯罪的经验为例,印证Fyodor Yarochkin这个假设的可能性很高。通常,执法单位有逮捕行动或是起诉出现时,网络犯罪集团通常会面临分裂、拆伙,甚至是内哄的情况,当然,也不乏有人赚饱之后便收山。
根据目前消息指出,Emotet背后大老板尚未落网,也就说,组建傀儡网络的程式源代码依然在犯罪组织手里。因此,以目前来看,我们固然无法确定Emotet何时重返战场,但可以确定的是,黑色产业一定会从他们的失败经验中学习,并设计出更为棘手的武器。
Emotet看起来被执法单位联手摧毁了,似乎成功打垮恶名昭彰的Emotet傀儡网络,但从这些网络犯罪集团的运作模式来看,不论是采用敏捷的软件开发方式,快速应对资安公司和执法单位找到的切入点,或是网络犯罪集团之间的互助合作和相互帮衬等,都可以证明,网络犯罪集团的“创意”,从来没有被资安公司或是执法单位的扫荡所扼杀。
吴宗育认为,对一般企业或者是民众而言,Emotet的扫荡让大家暂时松口气,但对资安从业人员而言,必须要绷紧神经、严阵以待,因为“一个时代的结束,可能是另外一个时代的开始”,虽然没有了Emotet,还有其他类似的网络犯罪集团躲在暗处,等著最有利的时刻,再狠狠大赚一笔横财。
相关文章
- YouTube更新违反规定政策,提升惩处透明度和一致性
2023-12-31 14:00:52
- 传苹果将把中国iCloud正式交给本地化经营 苹果手机icloud换区存储操作
2023-12-27 18:34:43
- 刘德华代言什么手机?刘德华成华为Mate 60 RS非凡大师华为5G新手机代言人
2023-09-26 21:55:08
- WebOS新系统:Palm Pre手机最新款高价登港
2023-06-23 15:39:14
- 帮助企业组织对抗勒索软件,资安通报机构设立防护专区,可协助事前、事中与事后因应
2023-06-22 09:36:10
- 蔚来全系产品降价3万 取消免费换电 换一次电池180元
2023-06-12 17:27:49
- 电商平台三巨头开打最大规模折扣 价格战再次打响
2023-03-05 18:58:40
- 爱立信节省成本裁员四千人 爱立信全球员工总数五分之一
2023-02-24 22:27:29
- 蜜芽关停近况,八位数重金买三字顶级新域名mia.com也关闭
2023-02-23 16:18:14
- 联想CEO杨元庆:联想集团需要裁员32%削减部分业务支出
2023-02-18 12:45:25
- 蓝色光标2022营收亏损18亿 客户预算减少明显
2023-02-18 12:40:08
- 三星工厂或将80%生产转至越南 因本地劳动力成本上升
2023-02-17 23:09:16
- 香港八达通卡如何激活?没用失效过期余额怎么办
2023-02-17 18:34:51
- 中兴通讯被曝将裁员20% 称只裁国外的
2023-02-17 18:33:26
- 苹果新iPhone15Pro手机终于改用USB-C(火牛)数据线??Lightning充电接口退出
2023-02-17 16:57:22
- 突发!蓝色光标曾为中国民企500强龙头 如今业绩亏损断崖下跌
2023-02-16 14:31:19
- 三星发布自家carplay车载中控系统 Car Mode for Galaxy 可以连接carplay吗?
2023-02-14 00:53:17
- Opera浏览器宣布集成ChatGPT 一键生成网页内容摘要
2023-02-14 00:32:08
- 谷歌google计划重返进入中国市场?但结果可能令你失望
2023-02-13 16:57:15
- Zoom紧急裁员1300人 佔员工总数15%
2023-02-08 14:59:11
最新资讯
- YouTube更新违反规定政策,提升惩处透明度和一致性2023-12-31 14:00:52
- 美国法院裁定阿里须为Squishmallows玩具侵权案答辩2023-12-28 19:59:34
- 小米汽车传员工3700人 雷军称小米汽车不可能卖9万92023-12-28 19:41:57
- 吉利飙逾6% 电动车品牌极氪新车款极氪007昨上市 预售价格22.99万元2023-12-28 19:30:28
- 日本丰田汽车厂11月全球产量创新高2023-12-28 19:26:02
手机
- 中国11月手机出货量增34% 5G手机出货量2709.2万部2023-12-28 19:27:57
- 荣耀发布新一代旗舰荣耀Magic5系列,新款上市价格分期0首付3999元起2023-03-06 16:12:32
- 美国商务部指违禁,长江存储被美国拜登制裁名单面临停工裁员2023-02-17 18:41:53
- 苹果Apple iOS车载系统CarPlay支持哪些更多汽车品牌2023-02-02 17:33:27
- 香港去哪买三星手机回来吗? 买香港便宜售价手机市场地点和网站2023-02-02 11:03:11
数码
- 华为5G芯片正式亮相:预示华为将发首款5G手机2023-08-31 13:22:33
- 腾讯传计划放弃虚拟现实VR硬件计划2023-02-17 23:32:30
- 三星手机份额大跌!三星手机中国市场份额变化国内仅剩3%2023-02-01 17:06:15
- 三星手机份额大跌在中国没市场了!国内市场占有率仅剩1%国外比苹果销量高2023-02-01 16:59:53
- vivo发布2022 vivoNEX手机极简易浏览器下载:简洁流畅无广告!2022-12-02 17:29:30
科技
- 中兴受美国制裁事件 被罚了20亿美元过程事件始末 中兴被制裁后公司现状2023-11-02 22:12:46
- B站怎么炸崩了哔哩哔哩服务器今日怎么又炸挂了?技术团队公开早先原因2023-03-06 19:05:55
- 苹果iPhoneXS/XR手机电池容量续航最强?答案揭晓2023-02-19 15:09:54
- 华为荣耀两款机型起内讧:荣耀Play官方价格同价同配该如何选?2023-02-17 23:21:27
- google谷歌原生系统Pixel3 XL/4/5/6 pro手机价格:刘海屏设计顶配版曾卖6900元2023-02-17 18:58:09