近期,Check Point研究小组揭开Cerber勒索软件即服务隐藏在幕后的基础设施,包括其商业模式及资金流量。勒索软件目前是一个全球性的问题,据美国联邦调查局透露,2016年第一季度勒索累计收入超过209万美元。
那么我们不禁要问,这些钱哪去了?
通常情况下,攻击只是由单一的攻击者发起,恶意软件开发者作为分销商,是活动中唯一一个获利者。然而,勒索软件即服务(RaaS)的操作模式则不同,该恶意软件开发者通过雇佣的方式,只要进行恶意软件传播就会换取报酬,这种方式可以让恶意软件传播的范围更广并获取更多的利益,更为严峻的是,这种方式不需要攻击者具备专业的技术知识,通过一组特定的指令,就可以控制(C&C)服务器与控制面板。
直到目前,勒索即服务依然是网络犯罪中的一块未知区域,很少有人知道这种经营模式,使得网络安全公司难以有效的跟踪它。在Check Point和IntSights的研究中,我们对最突出的勒索变体之一:Cerber有新的发现,欲了解我们的英文报告,CerberRing: 深入分析Cerber勒索即服务,在报告中,我们不仅公开其操作的技术细节,还分析了其端到端的经营运作模式。
Cerber分布范围广泛,部分原因归功于其成功利用领先的钓鱼工具包。通过监测实际的C&C通信,我们勾画出勒索活动的完整视图,Cerber目前运行161个有效的广告活动,平均每日推出8个新的活动,仅在过去一个月内,在全球201个国家和地区成功感染大约150,000个用户。
Cerber勒索即服务最独特的地方是其资金流量,Cerber用比特币来逃避追踪,通过建立一个个唯一的比特币钱包来收取赎金,在支付赎金(通常是1比特币,目前市值约590美元)的同时,受害者会收到解密秘钥,资金通过一项混合服务转给恶意软件开发者,其中涉及到成千上万个比特币钱包,使得它几乎不可能被跟踪,在这个过程结束时,资金到达开发商的账户,被雇佣的人员也拿到了自己的报酬。
通过监控C&C服务器提供的数据,我们能够识别实际的受害者钱包,让我们可以有效地监控这些钱包中每一个相关的支付和交易记录,同时我们的研究还使我们能够跟踪恶意软件所获得的实际收入,以及金融交易的路径。
2016年7月,通过Cerber勒索即服务活动获得的总利润为19.5万美元,该恶意软件开发者获利7.8万美元,其余则是下线之间基于成功感染的数量和赎金金额等进行分赃,按这个比例计算,其开发者全年将获利94.6万美元– 并且这是一笔没有成本的巨额资金。
Check Point通过以下安全技术保护用户免受Cerber侵害:
- SandBlast仿真威胁可以有效的检测并阻止已知的或未知的Cerber变体;
- IPS和反病毒软件刀片可以阻止每一个目前已知的Cerber变体;
- 反僵尸软件刀片可以检测并阻止任何试图与Cerber C&C服务器之间的通信。
-