对网络犯罪从 1990 年代开始发展到今天的数十亿美元的发展进行分析有一个压倒一切的主题:网络犯罪作为一项业务的发展密切模仿合法业务的发展,并将继续发展以提高其自身的投资回报率.
在早期,黑客攻击更多的是为了个人声望和荣誉,而不是为了赚钱——但互联网让人们意识到互联网上可以赚钱。网络犯罪的第一阶段大致符合 1990 年至 2006 年的时期。
从这个简单的认识出发,HP Wolf Security对网络犯罪的演变的研究表明,一个地下业务遵循并模仿了地上业务生态系统——包括数字化转型。高级恶意软件分析师兼报告作者亚历克斯·霍兰德(Alex Holland)表示:“数字化转型加剧了攻防鸿沟的双方——例如,‘即服务’产品的日益普及表明了这一点。这已经使恶意活动民主化,以至于需要高水平知识和资源的复杂攻击——曾经是高级持续威胁 (APT) 组织的保留地——现在更容易被更广泛的威胁行为者访问。”
恶意软件已经商品化——也许是宙斯时代的典型代表。Zeus 最初的售价为 8,000 美元,但与价格较低的 SpyEye 的竞争使价格降至 500 美元左右。2011 年源代码被泄露,它实际上变成了免费的。
与此同时,犯罪团伙正在巩固并朝着“即服务”的方向发展。可以使用特定的工具包,以便没有经验的犯罪分子可以雇佣一切必要的东西来进行不同类型的攻击。这已经变得如此广泛和多样化,以至于最好将其视为正在运营恶意软件即服务生态系统的地下犯罪分子。为了解决这个问题,这些团伙自己开发了一种特定角色的模型——由不同的专家处理经营犯罪业务的不同组成部分。
这个生态系统采用了与地上相同的等级结构,只有少数顶级犯罪分子有效控制了网络犯罪集团,而不是个别独立的犯罪团伙。
高级集团
这就是当今地下犯罪的状态——一些先进的“集团”能够对主要目标进行持续的长期攻击,辅之以大量购买现成工具包或低成本漏洞的非技术“小时间”犯罪分子。
Wolf Security 发现 91% 的广告攻击成本低于 10 美元——吸引了大量非技术爱好者。相比之下,向精英出售的成本从 1,000 美元到 4,000 美元不等的定制漏洞数量要少得多。
在经济不确定和胁迫的时期,很容易理解赚几美元的吸引力。虽然访问暗网很难偶然完成,但仍然不难。Holland 举了一个来自游戏世界的例子。
“许多人通过破解电子游戏作弊行为而进入网络犯罪,在电子游戏中寻找作弊的技能非常接近逆向工程、漏洞发现和漏洞搜寻。所以,潜在的犯罪分子可能会想,‘好吧,我已经设法绕过了这个流行的电子游戏的作弊引擎;也许我可以赚更多的钱,因为事实证明,网络犯罪分子非常需要我的技能。”
这是一个非常吸引人的论点:在游戏中作弊被认为是玩游戏的合法部分。从为游戏作弊辩护到在互联网上作弊并不是什么大问题。但这仍然只是进入地下生态系统之旅的开始——你不会在游戏中作弊并突然获得漏洞利用。必须找到并加入一个论坛,但您只能访问相对无害的公共论坛。但是,在这里,可以开始建立声誉,证明价值并证明不为执法部门工作。在这里,可以希望遇到可能邀请您进入更深更暗的论坛的赞助商,这为网络犯罪金字塔的基础提供了基础。
金字塔的尖端完全不同。这包括相对少量的直接“控制”精英团伙的辛迪加领导人。有趣的是,区分网络犯罪团伙和民族国家变得越来越困难。许多(当然不是全部)主要辛迪加在地缘政治上的敌对国家中运作:俄罗斯、伊朗和朝鲜等。
国家威胁行为者
民族国家和精英犯罪分子现在使用相同的策略和程序,经常共享相似的目标,甚至共享人员。对民族国家的监视和对犯罪团伙的金融监控的旧差异已被日益增长的全球制裁所侵蚀,因此即使是民族国家的黑客也不反对为国家经济利益进行黑客攻击。
因此,很难确定犯罪分子或某些政府是地下网络犯罪的最终控制者。霍兰德建议我们需要一个新的术语来说明在直接犯罪和国家支持的攻击之间难以确定的地方:国家允许。
Wolf Security 分析网络犯罪演变的真正目的是为“水平扫描”练习设定基线:“这就是我们拥有当前网络犯罪状态的原因和原因,但基于此,我们应该期待在未来?'。该报告的研究人员有四个预测。
首先,我们可以预期破坏性数据拒绝攻击将变得更具破坏性。依赖物联网交付的时间敏感数据的行业将成为目标。报告称:“我们还看到对关键基础设施的破坏性攻击再次出现,例如 2021 年末和 2022 年的擦除器攻击,紧随 Shamoon (2012) 和 Michelangelo (1991) 的脚步,恶意软件可以擦除数据并在不要求赎金的情况下禁用系统。”
其次,将越来越多地采用民族国家 APT 技术来推动针对制造业和其他部门的更有针对性的攻击。实际上,这将巩固犯罪活动与民族国家活动之间已经模糊的界限。朝鲜的拉撒路集团就是一个很好的例子——它是犯罪集团还是民族集团?答案是“两者,毫无疑问,朝鲜为贫困国家指明了一条前进的道路,不仅可以促进经济发展,还可以绕过制裁。马已经跑了,这种情况正在发生,这在过去四年中是一个决定性的变化,”犯罪学高级讲师、该报告的作者之一迈克·麦奎尔 (Mike McGuire) 说。
人工智能
第三,将有越来越多的犯罪采用新技术。人工智能将被用于对抗防御者,而不仅仅是防御者。Deepfake BEC 操作会增加,AI 模型中毒会增加。Web3 可能会使访问用户的 PII 变得更加困难,但也可以通过在多个市场和论坛之间轻松转移声誉来为支持网络犯罪的声誉系统提供新的机会。“云裂”会增多;即使用公共云计算能力来提高暴力攻击的速度。然后是量子计算的到来,无疑将被民族国家和精英团伙利用。
第四,网络犯罪生态系统将继续提高效率,以提高自身的投资回报率。HP Wolf Security 在 2022 年初隔离的前三个漏洞利用都至少存在四年。“当利用旧漏洞的机会窗口如此之大时,”报告称,“武器化新漏洞的投资回报率很低。相反,网络犯罪分子更有可能专注于提高入侵的速度和效率。”
实际上,这些发展中的许多将结合起来确保网络犯罪的威胁将继续增长:“我们可能会看到攻击者使用人工智能和机器学习技术来实现大规模的有针对性的鱼叉式网络钓鱼攻击。攻击者可以部署攻击性工具,利用 AI 功能为组织中的关键个人定制网络钓鱼电子邮件,并在获得网络初步立足点后加快他们的利用后活动。”
