廉价的勒索软件正在暗网论坛上出售,以供人们一次性使用,使得缺乏经验的自由职业者无需与附属机构进行任何互动就能参与网络犯罪。
网络安全公司Sophos情报部门的研究人员发现,2023年6月至2024年2月期间,有19种勒索软件在四个暗网论坛上出售或宣传正在开发中。
Sophos X-Ops在暗网上发现的19个垃圾枪勒索软件变种——廉价、独立生产、构造粗糙。这些垃圾变种的开发者正试图颠覆传统的基于联盟的勒索软件即服务 ( RaaS ) 模式,该模式在勒索软件领域占据主导地位近十年。
他们将这些网络犯罪工具比作“垃圾枪支”——20世纪六七十年代充斥美国的廉价进口手枪。虽然这些武器往往不可靠,但它们具有某些优势,例如进入门槛低和可追溯性低。
这些相同的优势也适用于勒索软件入门套件市场上的潜在网络犯罪分子。研究人员观察到的廉价勒索软件品种的价格范围从20美元到0.5美元比特币不等,或在发布时约为13000美元。平均价格中位数为375美元。
这种一次性网络犯罪工具与”勒索软件即服务“模式不同,因为其中不存在希望从利润中分一杯羹的附属机构。
研究人员表示:“远离现代勒索软件复杂的基础设施,垃圾邮件勒索软件使犯罪分子能够以廉价、轻松且独立的方式参与行动。” “他们可以以小公司和个人为目标,而这些公司和个人不太可能有足够的资源来保护自己或有效应对事件,同时也不会让其他人分一杯羹。”
虽然这种自由听起来很有吸引力,但与廉价的无证手枪的情况一样,也存在风险:即工具本身要么有缺陷,要么“作为骗局的一部分存在后门”。
然而,在潜在的犯罪分子看来,“这些可能是可以接受的风险——尤其是因为使用垃圾勒索软件最终可能会为著名的勒索软件团伙带来更有利可图的利用机会,”他们写道。
这些工具在野外的功效尚不清楚。可供调查人员监控的基础设施很少,而且目标很可能是小型企业或个人,因此几乎不会引起关注。此外,攻击者也没有泄漏被盗数据的网站。
据观察,至少有一种出售的名为”EvilExtractor“的工具去年在针对美国和欧洲的攻击中被使用过,暗网论坛上还有人声称其他三种变种也被成功使用过。
Sophos X-Ops威胁研究总监Christopher Budd强调了这些垃圾工具给防御者带来的挑战。
“这些类型的勒索软件变体不会像Cl0p和Lockbit那样索要数百万美元的赎金,但它们确实可以有效地对抗中小企业,对于许多刚开始‘职业生涯’的攻击者来说,这已经足够了。虽然垃圾勒索软件的现象仍然相对较新,但我们已经看到其创建者发布的帖子,讲述了他们扩大运营规模的野心,并且我们还看到其他人发布的多篇帖子谈论创建自己的勒索软件变体。”
“由于攻击者正在针对中小型企业使用这些变体,并且赎金要求很小,因此大多数攻击可能不会被发现和报告。这给防御者留下了情报空白,网络安全界必须填补这一空白,”他说。
出售勒索软件的暗网论坛上的讨论显示了操作的业余性质。与知名度较高的暗网网站不同,这些论坛上似乎没有愚蠢的问题,“这些人渴望发展自己的能力,为自己分一杯羹。”
研究人员观察到用户请求并分享勒索操作指南的副本,其中包括著名勒索软件运营商Bassterlord编写的勒索软件手册。
一名用户在论坛上发帖称,他们正在尝试一些新的东西:“有针对性的网络钓鱼以获得立足点,然后收集尽可能多的有价值的数据并运行勒索软件。”
他们写道:“那么有没有人知道,从可能的收益、缺乏备份、立足的机会等方面来看,哪些是可能的好目标?” “此外,我们非常感谢任何有关此类行动的建议,因为这是我第一次。”
网络犯罪分子通常被视为寄生虫,以各种大小和类型的大量受害者为食。但事实证明,它们本身已成为目标,大量以底部为食的“元寄生虫”涌向暗网市场,寻找自己的目标。
这种现象有一个很好的副作用,就是向研究人员暴露了丰富的威胁情报,包括网络犯罪分子的联系和位置细节。
在2022年欧洲黑帽会议(BlackHat Europe 2022)的舞台上,Sophos高级威胁研究员Matt Wixey在题为“骗子骗骗子,黑客骗黑客”的会议中,讨论了元寄生虫生态系统。根据他与研究员安吉拉·冈恩(Angela Gunn)进行的研究,地下经济充斥着各种各样的欺诈者,他们每年成功地从网络犯罪伙伴那里榨取数百万美元。
这对搭档研究了三个暗网论坛(讲俄语的Exploit论坛和XSS论坛,以及讲英语的Breach论坛)的12个月的数据,并发现了数以千计的成功骗局。
“这是相当丰富的收获,”Wixey说。“在12个月的时间里,骗子从这些论坛的用户那里骗走了大约250万美元。每次骗局的金额低至2美元,最高可达六位数。”
策略各不相同,但最常见也是最粗暴的策略之一是被称为“拔腿就跑”的策略。这指的是两种“跑路”变体之一:买家收到货物(漏洞、敏感数据、有效凭证、信用卡号码等)但不付款;或者,卖家收到货款后却从未兑现承诺。“逃跑”部分是指骗子从市场上消失并拒绝回答任何询问,可以认为这是暗网版本的”吃霸王餐“。
还有很多骗子兜售假货——例如不存在的加密货币账户、没有构建任何恶意的宏构建器、虚假数据,或者已经公开的数据库,或者以前被泄露的数据库。
Wixey解释说,其中一些可以发挥创意。
“我们发现了一项声称能够将.EXE文件绑定到PDF的服务,这样当受害者单击PDF时,它会在后台加载,.EXE会静默运行,”他说。“诈骗者实际上只是将带有PDF图标的文件发回给他们,该文件实际上不是PDF,也不包含.EXE。他们希望买家并不知道他们要的是什么或者如何检查它。”
同样常见的骗局是,卖家提供的合法商品与宣传的质量不尽相同——例如信用卡数据声称30%有效,而实际上只有10%的卡有效。或者数据库是真实的,但被宣传为“独家”,而卖家实际上是将其转卖给多个购买者。
他补充说,在某些情况下,欺诈者会以更多的方式串联起来,进行长期诈骗。根据Wixey的说法,网站往往是排他性的,这会激发他们可以发挥作用的“一定程度的内在信任”。
“一个人会与目标建立融洽关系,并主动提出提供服务;然后他们会说,他们实际上认识可以更好地完成这项工作的其他人,他是这个问题的专家,”Wixey解释说。“他们通常会将他们指向一个由第二个人工作和运营的虚假论坛,该论坛需要某种存款或注册费。受害者支付注册费,然后两个骗子就都消失了。”
论坛如何反击 Wixey指出,这项活动对暗网论坛的使用产生了不利影响——作为“对犯罪市场的有效征税,使它对其他人来说更昂贵、更危险”。因此,具有讽刺意味的是,许多市场正在实施安全措施,以帮助遏制欺诈浪潮。
在实施保障措施时,论坛面临多项挑战:其一,无法求助于执法或监管机构;其二,这是一种半匿名的文化,因此很难追踪罪魁祸首。因此,已经实施的反欺诈控制往往侧重于跟踪活动和发出警告。
例如,一些网站提供的插件会检查URL以确保它链接到经过验证的网络犯罪论坛,而不是通过虚假“加入费”欺骗用户的虚假网站。其他人可能会运行已确认的诈骗工具和用户名的“黑名单”。大多数都有专门的仲裁程序,用户可以在其中提交欺诈报告。
Wixey说:“如果你在论坛上被另一个用户骗了,你可以去其中一个仲裁室,开始一个新的话题,并提供一些信息。”这可能包括涉嫌诈骗者的用户名和联系方式、购买证明或钱包转移详情,以及尽可能多的诈骗细节——包括屏幕截图和聊天记录。
“版主审查报告,他们要求提供更多必要的信息,然后他们将标记被指控的人,并给他们12至72小时的时间来回应,具体取决于论坛,”Wixey说。“被告可能会做出赔偿,但这种情况非常罕见。更常见的情况是,骗子会对报告提出异议,并声称这是由于对销售条款的误解造成的。”
有些人就是不回应,在这种情况下,他们要么被暂时禁止,要么被永久禁止。
论坛用户的另一个安全选项是使用担保人——一种作为托管帐户的站点验证资源。待交付的钱一直存放在那里,直到商品或服务被确认为完成为止。然而,担保人本身经常被欺诈者冒充。
威胁情报宝库 虽然这项研究提供了对暗网世界中一个有趣的分支的内部运作的看法,但Wixey还指出,特别是仲裁过程为研究人员提供了威胁情报的绝佳来源。
“当涉嫌诈骗时,论坛要求提供证据,包括屏幕截图和聊天记录之类的东西——而受害者通常很乐意提供帮助,”他解释道。“他们中的少数人会编辑或限制证据,因此只有版主才能看到,但大多数人看不到。他们会发布未经编辑的屏幕截图和聊天记录,其中通常包含加密货币地址、交易ID、电子邮件地址的宝库、IP地址、受害者姓名、源代码和其他信息。这与OpSec通常相当不错的大多数其他犯罪市场领域形成鲜明对比。”
一些诈骗报告还包括个人桌面的完整屏幕截图,包括日期、时间、天气、语言和应用程序——提供位置信息的面包屑。
换句话说,正常的预防措施已经过时了。Sophos对三个论坛上最近的250份诈骗报告进行的分析发现,其中近40%包含某种屏幕截图;只有8%的人限制访问证据或提出私下提交证据。
“一般来说,诈骗报告对于技术情报和战略情报都是有用的,”Wixey总结道。
他补充说:“这里最大的收获是,威胁行为者似乎无法免受欺骗、社会工程或欺诈的影响。”“事实上,他们似乎和其他人一样容易受到攻击。这很有趣,因为这些正是他们用来对付其他用户的技术类型。”