勒索软件没有你想象中的那么挣钱

近日Flashpoint对当前的恶意勒索活动作出了一份报告,并在报告中对恶意勒索活动作出了独到的见解。

恶意勒索真的那么赚钱?

前一段时间有报道称, 恶意勒索软件Nuclear
EK的作者每月收入高达10万美元,对此可以看出恶意软件勒索已经演变成一种生意行为了。从报告中的得到的信息,甚至还可以分析到,一个年轻人可以独自操作去骗钱。Flashpoint对去年12月份俄罗斯网络黑帮的斗争进行了分析,对招募新成员、付款流程、恶意软件分发给其成员都作出了说明。

2012年是该种勒索软件活动的一个高峰时段,勒索软件雇主在招聘人员时会做出一个承诺——可以获取金钱。一个勒索软件雇主通常有10-15个下线,当有人受到恶意勒索软件影响时,下线可要求雇主支付300美元的佣金。勒索软件感染用户的途径主要有:僵尸网络、电子邮件、社交网络、文件共享网站等,而支付方式也还是比特币。另外根据分析可以得知恶意勒索软件首要目标选择的是医疗行业,当然也不仅仅限于这一个行业。

这种勒索方式就是典型的勒索软件即服务(RAAS),特点是以上下线的方式存在,也就是说“老板”雇佣人员来执行勒索活动。比如之前的一个经典案例,攻击者释放勒索软件,加密Mac OS用户的文件,然后留下支付赎金的支付方式和联系方式。

这次主要是针对俄罗斯目前状况进行的研究,主要分析对象是违法活动的社区平台还有恶意勒索软件样本(2015年-目前),对于下线主要以招募的形式为主,内容如下

“祝你今天过的顺利,这个建议主要是针对想要赚钱的人,无抵押无押金,这不是通常的那种赚钱方式,如果你有想法可以利用业余时间赚钱,当然可以利用我的软件达到双赢的局面,有工作经验最好,没有也没关系,如果你想要加入就可以收到一个文件,这里面包括详细的指南,哪怕是在校生也可以做到,而你仅仅需要的是时间和想法,操作简单收益丰厚,无风险,在工作中可以积累经验,如果你成功完成工作量就可以获得现金奖励,而在这个时间不需要你去制作软件,也不需要处理其它细节。”

加密是重点

OK,下面就说一下认定受害者之后怎样下手。这里可以利用僵尸网络来完成,前期可以先去某些论坛购买恶意软件,然后利用僵尸网络散发出去。电子邮件以及社交平台可以通过发送邮件的方式来攻击受害者,对于文件共享网站可以利用有吸引力的一些方式来诱导受害者,其实方法也不仅仅限于此,可能随着时间的推进,有可能出现更高明的方式,当然在这些方法里面都会以复杂的算法来加密受害者的文件,然后勒索受害者,最后只有获得适合自己的密匙才能解密。


报告中有几处值得注意的地方

1.从当前角度来看,这种勒索活动已经开始降低门槛了。

2.勒索活动并不想象是那么赚钱的,在分析中可知其核心人物一年的收入在9万美元

3.这个是一种典型的勒索软件即服务(RAAS)

那么上下线是如何交流的呢?一旦下线人员完成任务就可以通过邮件来联系“老板”,然后老板会验证真实性,最后发放奖金(比特币)。老板在收到受害者的赎金之后,也会向其同伙发送60%的奖金,而在受害者完全解密之前有可能收到加钱的要求。老板一旦获得了属于自己的那份之后,会立刻将钱转到比特币钱包中。下面这张图就是从2012年开始统计的。


像这种犯罪团伙一般年收入在9万美元左右,有些犯罪组织在收到赎金之后并不会给受害者或者受害企业提供解密密钥,这就很尴尬了。

作者:饭团君

来源:51CTO

时间: 2024-09-20 15:30:32

勒索软件没有你想象中的那么挣钱的相关文章

Hadoop集群遭遇勒索软件攻击 据称中国有8300多个Hadoop集群暴露在互联网上

继上周绿盟科技发布 ElasticSearch专项报告 以来,又监测到勒索软件正在攻击Hadoop集群,这再次表明黑客正在尝试从"大数据"中获利,绿盟科技给出的建议是关闭端口.启用安全认证机制.使用WVSS Web应用漏洞扫描等方式进行安全扫描.绿盟科技发布的专项报告全文如下: 勒索软件攻击Hadoop事件综述 最近,部分黑客组织针对几款特定产品展开了勒索攻击.截止到上周,已有至少34000多台MongoDB数据库被黑客组织入侵,数据库中的数据被黑客擦除并索要赎金.随后,在2017年1

为什么开源软件并非想象中的那样安全?

OpenSSL Heartbleed 的大惨败没有任何异议的证明了人们一直怀疑的事情:仅仅因为开源代码只是用来检查用的,但并不意味着它已经完全被检查过了,而外是安全的. 这一点是至关重要的,原因在于开源软件的安全性完全依赖大量拥有专业技能的程序员检测代码,并迅速将含有Bug的代码移除或修复.这一点在Linus's Law(林纳斯定律)也提到了:"只要有足够多的眼睛,就可让所有问题浮现." 但是我们来看看使用OpenSSL之后发生了什么事.Robin Seggelemann是德国Muns

ID Ransomware帮你识别到底中了什么勒索软件

随着勒索软件越来越猖獗,中招的用户和机构也越来越多.一个全新的名为ID Ransomware的站点应运而生,他能够帮助受害者识别出所感染的勒索软件到底属于什么家族的勒索软件,可以具体到该家族的何种分支,何种衍生版本, 尽管不能帮你解锁加密文件,但通过它做到"知己知彼",才能有的放矢 网站座右铭"Knowing is half the battle" ID Ransomware站点由Michael Gillespie创建,他是技术支持和计算机帮助服务网站Bleepin

全方位解析俄语系勒索软件的生态系统

本文讲的是全方位解析俄语系勒索软件的生态系统, 勒索软件的发家史 毫无疑问,近两年,以敲诈勒索为目的的文件加密恶意软件逐渐成为恶意软件中的主力军,勒索软件是当今网络攻击中一种最主要的攻击工具,对政府组织,公司乃至个人用户造成了极大的危害. 在刚刚过去的2016年,勒索敲诈类型的恶意攻击越来越频繁和复杂,因为勒索软件已经让攻击者获得了大量的收益.位于英国的技术服务集团与2017年2月11号发布了一张信息图,洞察了勒索软件的肆虐情况.根据数据显示,2016年勒索类型的攻击增长了3.5倍,在2015年

WannaCry勒索软件席卷全球,IEEE专家怎么看?

据报道,目前已经有超过100个国家受到了病毒攻击,很难预测接下来哪些地区会受到该病毒袭击.这次病毒主要通过两种途径扩散,一是网络钓鱼,二是通过Windows系统SMB协议在局域网内文件共享的方式.后者被认为是黑客组织Shadow Brokers窃取美国国家安全局NSA的网络武器"永恒之蓝"(EternalBlue)散播的变种病毒.在众多操作系统中,Vista和Win8系统最易受本次病毒攻击. WannaCry病毒的感染和入侵非常迅速,这是黑客通过匿名网络平台Tor网络的多个.onion

勒索软件攻击的第一步就是钓鱼邮件 从概念到防御思路 这里面都有了

近期 勒索软件 及其攻击事件频繁,从中我们可看到一个规律,大多数是用钓鱼邮件的形式入侵的, 钓鱼攻击 常用的手段归纳起来主要分为两类, 第一类主要通过漏洞触发,包括目标网站服务器漏洞(如XSS.SQL注入),第三方引用内容的问题(如IFRAME挂马),网站IT支撑环境相关的DNS.HTTPS.SMTP服务缺陷(如DNS劫持),以及客户端终端环境存在的隐患,攻击者利用这些漏洞结合社会工程学对受害者进行诱骗. 第二类攻击手段则完全利用社会工程学的方式对受害者进行诱骗,如发送大量诱骗邮件.搜索引擎虚假

揭开勒索软件的真面目

一.前言 2013年9月,戴尔公司的SecureWorks威胁应对部门(CTU)发现了一种名为"CryptoLocker"的勒索软件,它以邮件附件形式分发,感染计算机并加密近百种格式文件(包括电子表格.数据库.图片等),向用户勒索300美元或300欧元.据统计,仅在最初的100天时间内,该勒索软件就感染了20万至25万个系统.[1] 2014年8月,<纽约时报>报道了这样一则消息:一种名为"ScarePackage"的勒索软件在一个月的时间内感染了约90

Petya勒索软件变种Nyetya全球爆发

本文讲的是 Petya勒索软件变种Nyetya全球爆发,自2017年5月份经历勒索软件WannaCry的大规模爆发后,思科Talos团队在6月27日发现了最新的勒索软件变种,暂命名为Nyetya.目前已经在多个国家发现了这个勒索软件的感染事件,思科Talos团队正在积极分析并不断更新最新的防护信息. 勒索软件Nyetya概述勒索软件Nyetya概述 基于新勒索软件变种的样本分析显示,勒索软件借助了之前被多次利用的永恒之蓝(EternalBlue)攻击工具和Windows系统的WMI进行传播.与之

Petya勒索软件变种Nyetya全球爆发,思科Talos率先响应

自2017年5月份经历勒索软件WannaCry的大规模爆发后,思科Talos团队在6月27日发现了最新的勒索软件变种,暂命名为Nyetya.目前已经在多个国家发现了这个勒索软件的感染事件,思科Talos团队正在积极分析并不断更新最新的防护信息. 原文链接:http://blog.talosintelligence.com/2017/06/worldwide-ransomware-variant.html 勒索软件Nyetya概述 基于新勒索软件变种的样本分析显示,勒索软件借助了之前被多次利用的永