勒索病毒DIY 套件,削價競爭,只要 39 美元,終生授權!煽動犯罪新手加入黑心掏金夢

「勒索病毒服務」(Ransomware as a Service, RaaS)背後經濟學

勒索病毒 Ransomware (勒索軟體/綁架病毒) 已經成為網路犯罪集團心目中一棵巨大的搖錢樹,幾乎每個犯罪分子都想來分一杯羹。為此,一些擁有技術能力的犯罪集團便開發出一種商業模式,以服務的方式提供勒索病毒 DIY 套件來讓其他入門新手或是想要從事網路犯罪的人加入這場掏金夢,這就是所謂的「勒索病毒服務」(Ransomware as a Service,簡稱 RaaS)。

最近,RaaS 的價格又再度開始滑落,原因是,當勒索病毒的需求不斷成長之後,已有更多的病毒作者紛紛投入這塊市場,進而導致競爭激烈,價格隨之下滑。不過,Stampado 的作者看上的一點是,對從事犯罪的歹徒來說,不管是高手撰寫的精密勒索病毒,或是粗劣的仿製品,其實沒有太大差別,只要能達到效果,讓歹徒快速海撈一票,就會有人購買。

 

勒索病毒 Ransomware (勒索軟體/綁架病毒) 已經成為網路犯罪集團心目中一棵巨大的搖錢樹,幾乎每個犯罪分子都想來分一杯羹。為此,一些擁有技術能力的犯罪集團便開發出一種商業模式,以服務的方式提供勒索病毒 DIY 套件來煽動其他入門新手或是想要從事網路犯罪的人加入這場黑心掏金夢,這就是所謂的「勒索病毒服務」(Ransomware as a Service,簡稱 RaaS)。

一個名為「Stampado」(趨勢科技命名為 RANSOM_STAMPADO.A) 的新勒索病毒家族開始出現。一開始,資安研究人員甚至還無法取得該威脅的樣本,儘管新聞媒體上已經出現報導,而且聽說價格便宜 (套句作者的話還非常「容易管理」),在地下市場上只要 39 美元就能取得永久授權。

圖 1:Stampado 在深層網路上刊登的廣告,主打:只要 39 美元就能取得永久授權
圖 1:Stampado 在深層網路上刊登的廣告,主打:只要 39 美元就能取得永久授權

 

然而根據研究人員的分析發現,Stampado 似乎涉嫌抄襲當今最流行的勒索病毒之一:Jigsaw。兩者都會在一段時間之後隨機刪除檔案來逼迫受害者支付贖金。

  

圖 2 和 3:Stampado (左) 和 JIGSAW (右) 的勒索訊息對照。

Stampado 和 Jigsaw 皆使用 AES 來加密檔案,並且會鎖住使用者的電腦,不過相似之處也僅只於此。進一步的研究之後發現,Stampado 是使用 AutoIT (一種像 BASIC 的腳本語言) 來撰寫,因此很容易被破解及分析,所以應該不像 Jigsaw 那麼複雜。

另外,Jigsaw 提供了詳盡的說明,告訴使用者如何購買比特幣(Bitcoin)來支付贖金;反觀 Stampado 則只提供了一個電子郵件地址讓受害者與歹徒聯絡以救回檔案。此外,Stampado 在執行檔案加密時只會搜尋 %All Users Profile%%User Profile% 兩個資料夾中的檔案,但 Jigsaw 則會掃瞄電腦連接的所有磁碟機。不過 Jigsaw 會給受害者 24 小時的期限來支付贖金 (過了之後每天刪除一個檔案),但 Stampado 只給受害者 6 小時的時間 (過了之後每小時刪除一個檔案)。Stampado 總共給受害者 96 小時的期限,接下來所有被加密的檔案都會刪除,而 Jigsaw 的最大期限是 72 小時。

勒索病毒 DIY 套件價格一路水漲船高,因為愈來愈多人支付贖金,助長犯罪

供需法則對勒索病毒的商業模式也同樣適用。趨勢科技在長期監控各種地下市集的過程當中發現,勒索病毒的價格經常波動。2012 年,勒索病毒服務 (類似今日的 RaaS 方案) 在俄羅斯網路犯罪地下市集的價格大約只有 10 至 20 美元。此價格包含一個用來「癱瘓電腦作業系統」的 Windows 惡意程式,但不包含可讓歹徒挾持電腦資料的功能,此外,勒索病毒的需求在當時也不如今日這麼高,這也是為何當時的價格比現在便宜許多。

隨著越來越多使用者甚至企業為了挽回被挾持的檔案和資料而願意支付贖金,這類病毒的價格便一路水漲船高。例如,去年在巴西地下市場上一個跨平台的勒索病毒已經來到 3,000 美元。

圖 4:巴西地下市場上兜售勒索病毒的廣告。
圖 4:巴西地下市場上兜售勒索病毒的廣告。

 

近日RaaS 價格開始滑落,因為想分一杯羹的人愈來愈多,導致競爭激烈

最近,RaaS 的價格又再度開始滑落,原因是,當勒索病毒的需求不斷成長之後,已有更多的病毒作者紛紛投入這塊市場,進而導致競爭激烈,價格隨之下滑。不過,Stampado 的作者看上的一點是,對從事犯罪的歹徒來說,不管是高手撰寫的精密勒索病毒,或是粗劣的仿製品,其實沒有太大差別,只要能達到效果,讓歹徒快速海撈一票,就會有人購買。

對抗勒索病毒需要多層式防護

散播勒索病毒已是一門利潤豐厚的生意,這一點在短期之內不會改變。不幸的是,隨著 RaaS 的出現,就連完全沒有技術背景的犯罪者,只要拿到一些粗糙的工具,就能輕鬆踏入這行。所幸,企業和一般使用者可採用多層式的防禦來有效對抗勒索病毒。

趨勢科技可妥善保護企業的閘道、端點、網路及伺服器。大型企業可採用趨勢科技 Deep Discovery™ Email Inspector 以及 InterScan™ Web Security 在網站和電子郵件層次攔截勒索病毒。此外還有趨勢科技  Deep Discovery Inspector 可偵測惡意的網路流量、通訊以及其他試圖讓勒索病毒進入網路的惡意活動。

在端點層次,趨勢科技 Smart Protection Suite 可藉由行為監控、應用程式控管、漏洞防堵、網站信譽評等等功能來發掘並阻止可疑的行為,以及勒索病毒相關的漏洞攻擊。

中小企業則可透過趨勢科技Worry-Free Pro的雲端防護、行為監控、即時網站信譽評等,來保護裝置和電子郵件。在一般使用者方面,趨勢科技PC-cillin雲端版可提供完整的勒索病毒防護,它能攔截惡意網站、惡意電子郵件以及 Stampado 這類威脅的相關檔案。

原文出處:Economics Behind Ransomware as a Service: A Look at Stampado’s Pricing Model

作者:Homer Pacag (威脅回應工程師)

 

 

PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制,可預防檔案被勒索軟體惡意加密

Windows10Banner-540x90v5

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載



cloudsec FB banner

 

P

ZH-TW_wtp

 

本月下載禮,請即刻免費下載抽好禮
本月下載禮,請即刻免費下載抽好禮

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。