每当企业在讨论2021年他们最可能面临的网络威胁时，勒索软件都是绕不开的。攻击者已经建立了自己的品牌，并以前所未有的方式在大胆前进，关于企业被勒索软件攻击的新闻不断登上媒体头条。但是，通过将自己置于聚光灯下，这类组织掩盖了勒索软件生态系统的实际复杂性。为了帮助组织和企业了解勒索软件生态系统是如何运转的以及如何与之对抗，卡巴斯基研究人员发布的最新报告挖掘了暗网论坛，深入研究了REvil和Babuk威胁组织和其他组织，揭穿一些关于勒索软件的神话。当你深入挖掘这个地下世界时，不可避免地会遇到很多面。

同任何其他行业一样，勒索软件生态系统有很多担当不同角色的参与者组成。人们通常认为勒索软件团伙实际上是帮派——是关系紧密的、一起经历过事件的、教父式的犯罪组织，但事实上却相反，现实情况更类似于盖·里奇的电影《绅士》中世界一样，勒索软件生态系统里有大量不同的参与者——开发者、僵尸网络管理者、访问权限销售者以及勒索软件运营者等——他们参与了大多数攻击，并且通过暗网上的黑市互相提供服务。

这些威胁行为者经常在专门的暗网论坛上碰面，在这些论坛上，你可以发现定期更新的提供服务和合作伙伴关系的广告。独立运营的知名大玩家并不经常光顾此类网站，但是，像REvil这样的知名威胁组织在过去几个季度里越来越多地以组织和企业为攻击目标，并利用联盟计划定期宣传他们的报价和新闻。这种类型的攻击活动假定了勒索软件运营者和联盟之间的合作关系，其中，勒索软件运营者获得20-40%的利润份额，而剩余的60-80%则由其联盟合作伙伴分享。

REvil announces a new capability to organize calls to the media and target’s partners to assert additional pressure on paying the ransom

REvil宣布了一项新功能，即组织给媒体和受攻击目标的合作伙伴去电，对受害者施加额外的压力以支付赎金

在合作伙伴计划中列出支付条件的报价示例

这些合作伙伴的选择是一个精细的过程，从一开始就要遵循勒索软件运营者制定的基本规则——包括地理限制，甚至政治观点限制。与此同时，勒索软件的受害者也是随机选择的。

由于感染企业或组织的人与实际运营勒索软件的人是不同的群体，他们之间的合作关系是为了获利而结成的，受感染的组织大多数是软柿子——基本上是攻击者能够容易访问到的组织。它既可以是在联盟计划内工作的行为者，也可能是销售访问权限的独立的勒索软件运营者——以拍卖的形式或特定价格的方式进行销售，起价低至50美元。这些攻击者通常是僵尸网络所有者，他们从事大规模且范围广泛的攻击活动，并批量出售对受害机器的访问权限，访问权限销售者则会寻找公开披露的面向互联网的软件（如VPN设备或电子邮件网关）的漏洞，并利用这些漏洞入侵组织和企业。

销售对某个组织的RDP访问权限的报价示例

勒索软件论坛上还有其他类型的各种报价。有些勒索软件运营者会销售恶意软件样本和勒索软件构建器，价格从300美元至4,000美元不等。另一些人则提供勒索软件服务——即出售勒索软件并由其开发者提供持续支持，这些服务包括从每月120美元到每年1,900美元的套餐不等。

“过去两年，我们看到网络罪犯在使用勒索软件方面变得越来越大胆。遭受此类攻击的组织并不限于大型企业和政府组织——勒索软件运营者会攻击任何企业，无论其规模如何。很明显，勒索软件行业本身是一个复杂的行业，涉及许多担当不同角色的行为者。为了打击他们，我们需要进行自我教育，了解他们是如何运作的，并且联合起来打击他们。反勒索软件日是一个很好的机会，可以强调这一需求，并提醒公众采用有效的安全措施非常重要。国际刑警组织的全球反网络犯罪计划与我们的合作伙伴一起，决心减少勒索软件对全球的影响，保护我们的社区免受这一日益增长的威胁所造成的危害，”国际刑警组织反网络犯罪负责人Craig Jones评论说。

“勒索软件生态系统是一个复杂的系统，涉及许多利益。这是一个瞬息万变的市场，有许多参与者，有些是机会主义的，有些是非常专业和先进的。他们不会挑选特定的攻击目标，而是去攻击任何企业或组织——无论是大型企业还是小型企业，只要他们能够获得对其的访问权。此外，他们的业务正在蒸蒸日上，所以这种威胁不会很快消失，”卡巴斯基全球研究和分析团队安全研究员Dmitry Galov评论说：“好消息是，即使是相当简单的安全措施也可以使攻击者远离组织，所以标准的安全措施如定期进行软件更新和隔离备份确实有所帮助，而且组织可以采取更多措施来保护自己的安全。”

“只有真正了解了勒索软件生态系统的基础后，才能决定采取有效的行动。我们希望通过这份报告，揭示勒索软件攻击的真正组织方式，以便社区可以制定适当的对策，卡巴斯基全球研究和分析团队高级安全研究员Ivan Kwiatkowski补充说。

要通过报告全文了解更多有关勒索软件生态系统详情，请访问Securelist.

在5月12日的反勒索软件日，卡巴斯基鼓励企业遵循以下这些最佳实践，帮助保护您的企业免受勒索软件的侵害：

确保您使用的所有设备上的软件保持更新，避免攻击者通过利用漏洞入侵您的网络。

将您的防御策略集中在检测横向移动和数据如何被泄露到互联网上。要特别注意出站流量以检测网络罪犯的连接。建立入侵者无法篡改的离线备份。确保在需要时，您能在紧急情况下快速访问它们。

确保为所有端点都进行反勒索软件保护。免费的卡巴斯基反勒索软件工具企业版能够保护计算机和服务器免受勒索软件和其他类型的恶意软件的侵害，阻止漏洞，并且与已经安装的安全解决方案兼容。

安装反APT和EDR解决方案，启用高级威胁发现和检测功能，进行及时的事件调查和修复。为您的SOC团队提供最新的威胁情报，并定期对他们进行专业培训，提高他们的技能。以上所有服务都可以通过卡巴斯基专家安全框架获取。

关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务，为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合，包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务，全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己，我们还帮助全球240,000家企业客户保护最重要的东西。要了解更多详情，请访问www.kaspersky.com.