勒索软件的“鼻祖”诞生于年,当时不法分子使用软盘和光盘(CD)传播木马程序,然后通过社会工程技术向用户勒索钱财。但是,木马程序无法加密数据,在那个互联网的蛮荒时代,攻击者还没有找到敲诈之外的其他货币化方法。
牛刀小试
但是直到年,第一个真正意义上的,能够加密受害者数据的勒索软件PGPcoder才出现,PGPcoder更接近我们今天所熟知的勒索软件的概念。PGPcoder运营团伙主要针对个人用户,向受害者索要约13美元的赎金——与今天的勒索软件赎金标准相比,这是微不足道的数字,当今的赎金动辄数千万美元。然而,PGPcoder并没有掀起大的风浪,因为它只针对个人,而且由于对当时性能低下的个人电脑的性能产生较大影响,使其很容易被检测到。
年代后期出现了一个新趋势:攻击者开始通过锁定某些操作系统功能来索要赎金。这标志着WinLock时代的到来,同时也缔造了今天称为勒索软件即服务(RaaS)的模式。操作系统锁定程序的受欢迎程度持续增长,并在年达到顶峰,之后开始下降。它们被臭名昭著的Cryptolocker勒索软件所取代,导致地下论坛中销售勒索软件和RaaS广告的数量激增。当时,勒索软件运营商的主要攻击目标是个人。
值得插播的是,勒索也是过去二十年中DDoS攻击者从受害者身上赚钱的常用方法,当时由于缺乏内容交付网络(CDN),网络服务极易受到DDoS攻击。
巨人杀手
勒索软件历史的重要转折点发生在年,当时攻击者的目标从个人转移到了企业,因为他们意识到从商业角度来看,商业组织,尤其是大型企业,是更有价值的猎物。年诞生了最臭名昭著的勒索软件联盟计划之一——GandCrab,根据一些消息来源,该恶意软件的源代码构成了REvil木马的基础。
GandGrab成为勒索软件“大型狩猎”活动(BigGameHunting)的先驱:它为不同的攻击活动创建了专门的团队,其中之一是专门攻击大型企业。勒索软件行业的另一个结构性转变是由勒索软件帮派Snatch和Maze率先推动的“双重勒索模式”——除了加密公司的数据外,还从受害者的网络下载数据并在自己的数据泄漏站点上发布。这些网站专门发布有关拒绝以所谓的双重勒索技术支付数据的受感染组织的数据,被称为数据泄漏站点(DLS)。数据泄漏站点被广泛采用,因为这种技术显着提高了转换率,即选择支付赎金的公司的份额。
基于数据泄漏站点的双重勒索技术的使用,变现容易的勒索软件在网络犯罪分子中日益流行,都大大推动了RaaS市场的发展,网络犯罪正在进入勒索软件帝国时代。
战国时代
勒索软件正在进入强者愈强的战国时代,根据GroupBI的《-高科技犯罪趋势报告》,过去三年业界观测到至少51个RaaS勒索软件联盟计划。其中一些像LockBit、Hive、SunCrypt或Avaddon发展迅猛,而另一些,例如realOnlineLocker、KeystoreLocker和JingoLocker则每况愈下。
从年下半年到年上半年,地下论坛上至少出现了21个新的RaaS联盟计划,与去年同期相比增长了19%。从年上半年到年下半年,由俄语管理员管理的至少15个暗网论坛上出现了宣传这些程序的广告。Darknetforumexploit[.]in是其中最受欢迎的,RAMP和xss.is也进入了前三名。
值得注意的是,在审查期间,在各团体尤其是REvil的大规模攻击浪潮之后,论坛主禁止在地下论坛上投放广告联盟计划。他们解释说,传播勒索软件引起了对其他黑客活动的过多