任何人,據稱只要 50 美元,就能取得WannaCry(想哭)勒索病毒的終生授權,而且可以無限升級。今年 5 月 14 日,我們在阿拉伯文地下網站上看到這則廣告,就在 WannaCry 勒索病毒大爆發之後的兩天。這項在全球造成慘重災情的威脅,搖身一變成了一般性商品,只要有心,任何人都能拿它來建立自己的網路犯罪事業。
WannaCry 勒索病毒在地下市場上販售
此外,WannaCry 的價格也相對低廉,這反映出中東與北非地下市場重視兄弟情誼的獨特一面。有別於俄羅斯和北美地下市場上的犯罪分子大多以賺錢為主要目的,中東與北非的地下市場是一個文化、意識形態及網路犯罪的大融合。各式各樣的惡意程式在這裡幾乎是免費贈送,例如:遠端存取木馬程式 (RAT)、鍵盤側錄程式、SQL 資料隱碼攻擊工具、垃圾郵件散發工具等等。而且,這種兄弟情誼也表現在成員之間共同策畫及執行分散式阻斷服務 (DDoS) 攻擊與網站入侵詆毀行動當中。
圖 1:WannaCry 勒索病毒在中東與北非地下市場上的廣告。
該市場當然也販售著其他勒索病毒。事實上,我們曾在土耳其地下市場上看到一個化名為「Fizik」的俄羅斯網路犯罪分子在兜售 CTB-Locker 勒索病毒 (亦稱為 Critroni 或 Curve-Tor-Bitcoin)。值得注意的是,同一廣告也曾出現在 Fizik 自 2006 年起就相當活躍的俄羅斯地下市場上。
Fizik 的跨境行為,突顯出該地區地下市場的另一項特質,那就是與俄羅斯的淵源。俄羅斯網路犯罪集團和犯罪分子有時會將自己的作品拿到中東與北非地下市場販賣。偶爾也會僱用該區的程式設計開發人員。例如,Lost Door 遠端存取木馬程式 (BKDR_LODORAT) 就是一個在突尼西亞開發的惡意程式,但最早是在 2016 年刊登在俄羅斯地下市場上。
圖 2:Fizik 在土耳其地下市場上刊登的廣告。
中東與北非地下市場還有另一項特殊之處就是個人身分識別資訊很搶手,而且交易受到當地政治緊張情勢的影響很大。例如,失竊的中東和北非身分識別資料,會被拿來偽造身分證明然後在阿拉伯文地下市場販售。歹徒可利用這些假身分證明來從事詐騙或者冒充某國人民,對現實世界造成嚴重影響,因為歹徒可以購買這些偽造證明文件來潛入其他國家。
圖 3:中東與北非地下市場上刊登的偽造護照、信用卡、金融帳單等廣告。
趨勢科技在 2016 年 7 月至 12 月做了一份研究 (當時黑暗網路市集 AlphaBay 還相當活躍),深入探討了該區地下市場上普遍瀰漫的獨特文化:犯罪工具的平均價格如何?對真實世界的衝擊如何?就整個網路犯罪情勢而言,該區未來發展的情況如何?如需有關網路犯罪地下市場的最新研究,請參閱:數位露天市集:中東與北非地下市場初探 (Digital Souks: A Glimpse into the Middle Eastern and North African Underground)。
- 原文出處:WannaCry Ransomware Sold in the Middle Eastern and North African Underground 作者:Mayra Rosario Fuentes (資深威脅研究員)
PC-cillin 2018雲端版 防範勒索 保護個資 ☑手機 ☑電腦 ☑平板,跨平台防護3到位
