近期，Check Point研究小组揭开Cerber勒索软件即服务隐藏在幕后的基础设施，包括其商业模式及资金流量。勒索软件目前是一个全球性的问题，据美国联邦调查局透露，2016年第一季度勒索累计收入超过209万美元。

那么我们不禁要问，这些钱哪去了？

    通常情况下，攻击只是由单一的攻击者发起，恶意软件开发者作为分销商，是活动中唯一一个获利者。然而，勒索软件即服务（RaaS）的操作模式则不同，该恶意软件开发者通过雇佣的方式，只要进行恶意软件传播就会换取报酬，这种方式可以让恶意软件传播的范围更广并获取更多的利益，更为严峻的是，这种方式不需要攻击者具备专业的技术知识，通过一组特定的指令，就可以控制（C＆C）服务器与控制面板。

    直到目前，勒索即服务依然是网络犯罪中的一块未知区域，很少有人知道这种经营模式，使得网络安全公司难以有效的跟踪它。在Check Point和IntSights的研究中，我们对最突出的勒索变体之一：Cerber有新的发现，欲了解我们的英文报告，CerberRing: 深入分析Cerber勒索即服务，在报告中，我们不仅公开其操作的技术细节，还分析了其端到端的经营运作模式。

       Cerber分布范围广泛，部分原因归功于其成功利用领先的钓鱼工具包。通过监测实际的C＆C通信，我们勾画出勒索活动的完整视图，Cerber目前运行161个有效的广告活动，平均每日推出8个新的活动，仅在过去一个月内，在全球201个国家和地区成功感染大约150,000个用户。

      Cerber勒索即服务最独特的地方是其资金流量，Cerber用比特币来逃避追踪，通过建立一个个唯一的比特币钱包来收取赎金，在支付赎金（通常是1比特币，目前市值约590美元）的同时，受害者会收到解密秘钥，资金通过一项混合服务转给恶意软件开发者，其中涉及到成千上万个比特币钱包，使得它几乎不可能被跟踪，在这个过程结束时，资金到达开发商的账户，被雇佣的人员也拿到了自己的报酬。 

   通过监控C＆C服务器提供的数据，我们能够识别实际的受害者钱包，让我们可以有效地监控这些钱包中每一个相关的支付和交易记录，同时我们的研究还使我们能够跟踪恶意软件所获得的实际收入，以及金融交易的路径。

       2016年7月，通过Cerber勒索即服务活动获得的总利润为19.5万美元，该恶意软件开发者获利7.8万美元，其余则是下线之间基于成功感染的数量和赎金金额等进行分赃，按这个比例计算，其开发者全年将获利94.6万美元– 并且这是一笔没有成本的巨额资金。

Check Point通过以下安全技术保护用户免受Cerber侵害：

•  SandBlast仿真威胁可以有效的检测并阻止已知的或未知的Cerber变体；

•  IPS和反病毒软件刀片可以阻止每一个目前已知的Cerber变体；

•  反僵尸软件刀片可以检测并阻止任何试图与Cerber C＆C服务器之间的通信。

•