我们正处在这样一个时刻：包括勒索软件团伙在内的网络犯罪分子，已经建立起组织化的机构，进行非法的业务活动，而不是一个人单打独斗。

　　勒索软件团伙、敲诈勒索组织和DDoS攻击者的日益成功绝非偶然。在一个个奇幻的名字背后，是组织化的机构，由不同层次的参与者组成，他们同步工作，瓜分利益，以实现最终目标。

　　以下是几种典型的网络犯罪角色：

　　1. 入口访问经纪人(IAB)

　　IAB(Initial access brokers)是指将企业的网络访问权限出售给买家的人，主要通过地下数据交易市场、论坛或是即时通信工具、聊天组来完成交易。然后购买访问权限的人，得以进入受害者的网络，再安装间谍软件、窃取商业秘密，或者安装勒索软件、拖走数据等。IAB本身一般不会去做这些事情。

　　在以往，网络犯罪对IAB的需求并不很高，大部分是商业竞争对手雇佣从事间谍活动和盗窃的需求。但勒索软件时代导致了对IAB的需求“指数级增长”，成为网络犯罪产业链的“入口”角色。

　　2. 一切即服务(XaaS)

　　在网络犯罪的语境下，一切即服务(XaaS)通常是指勒索软件即服务(RaaS)或恶意软件即服务(MaaS)，甚至是犯罪即服务(CaaS)，这些平台构成了网络犯罪的新商业模式。与软件即服务(SaaS)的提供模式非常类似，这些aaS是一种专门为具体实施攻击的网络犯罪分子，提供勒索软件工具、网络钓鱼工具的平台，使用这些工具即可实施网络犯罪，而不用掌握高深的技术。当然，这是收费的。

　　作为这种服务提供商，无论他的客户攻击是否成功，都会获得一定的收益。不仅如此，在这种XaaS的模式下，意味着可能在法律上还是安全的。他们只负责提供工具，拿工具干什么用是客户的事情。

　　在勒索软件时代之前，网络罪犯一般都会是技术熟练的黑客，独自进行寻找目标、入侵网络、窃取数据、自行交易。但XaaS模式则降低了黑客攻击并获益的技术门槛，包括IAB、RaaS、MaaS等服务，网络罪犯只需精通一个领域，甚至无需精通任何领域，就能够实施网络攻击。因此，勒索软件事件才得以愈演愈烈。

　　3. 勒索软件附属

　　勒索软件附属可以被视为勒索软件组织雇来执行操作任务的综合“承包商”，从IAB购买网络的初始访问权，到获取可能有助于攻击的凭证、数据等，再到发起攻击。

　　在执行成功的攻击和勒索后，勒索软件附属从受害者支付的勒索金额中提取佣金。为了加快攻击速度，勒索软件附属可能会租用RaaS平台，用“租用的勒索软件”加密文件，或是使用任何现有的工具、服务和漏洞，以实现攻击并获利的目的。正是因为这些XaaS的出现，降低了攻击的技术门槛，无需自行开发工具，只需专注于攻击活动的组织运营。

　　4. 恶意软件开发者

　　恶意软件最为核心的组成是针对零日漏洞或已知漏洞的EXP(漏洞利用)，可攻击存在相应漏洞的各种网络设备、应用程序，甚至是嵌入应用程序中的某个组件，如Log4j。

　　在早期，恶意软件和漏洞利用的开发者各种各样，从最普通的“脚本小子”到黑客高手，但随着黑色产业的形成，网络犯罪分子的分工合作，许多复杂的恶意软件开发团队已经成为“正规部队”，甚至有着软件开发生命周期和编程文档，与合法的软件开发流程一样。

　　去年发生的一起勒索软件团伙(Conti)的泄密事件，对其不满的合作者(勒索软件附属)泄露了该团伙的数据，包括渗透测试工具、手册、培训材料，以及提供给该附属的文件。另外一起类似的事件中，一名自称Babuk勒索软件管理员的人，则放出了该组织的Visual Studio项目文档和源代码。从这些文档和代码可以看出，Babuk的开发流程与合法软件公司无异，遵循同样的规范和结构。

　　另一方面，加密货币的流行，令其交易平台成为网络攻击的重灾区。精通密码学并对区块链协议有深入了解的恶意软件开发者，利用这些平台中的零日漏洞或未修补的漏洞，盗取巨大价值的加密货币。

　　今年2月，Wormhole价值3.26亿美元的加密货币被盗，源于GitHub平台上公开的一个未修补漏洞。去年Poly Network遭受了“史上最大的DeFi黑客攻击”，一名白帽黑客通过平台的漏洞转移了价值6.11亿美元的加密货币，但事后几乎全部退回。

　　5. APT组织

　　APT(高级持续威胁)之前大多是指有着国家资源支持的网络犯罪集团采取的攻击策略，目标是进行破坏、间谍活动，或者攫取经济利益。但现在，APT所使用的战术也被一些非国家支持的网络攻击者采用。

　　史上最著名的APT攻击事件是震网(Stuxnet)事件，该事件利用多个Windows零日漏洞感染计算机并进行传播，最终对核电站的离心机造成损坏。这种“极其复杂的电脑蠕虫”据传是美国和以色列情报机构合作开发的。

　　另一起针对工业控制系统的例子是TRITON。该恶意软件于2017年入侵了沙特的一家石化厂，并试图引发爆炸。幸运的是，TRITON代码中自身存在的一个漏洞触发了关键系统的拦截，攻击未能得逞。

　　APT最主流的手法是通过鱼叉式网络钓鱼进入网络，悄悄传播有效负载，拖走数据，并植入持久后门，对受害者进行秘密监视。

　　与之前相比，现在的APT更加隐蔽、更具战略性。如将后门植入上游软件或源代码，或入侵第三方供应商。SolarWinds就是一起典型的供应链攻击事件。

　　6. 数据或信息掮客

　　“数据经纪人”或“信息经纪人”(IB)即可以指合法的服务商也可以是非法的攻击者。

　　前者从公共来源获取数据，如法庭记录、社交媒体档案、联系方式、企业注册记录，并进行数据聚合。然后，这些信息可以合法地与营销人员、研究人员和企业共享，并收取一定费用。后者则是非法的数据经济人。例如，在暗网和数据泄露市场上出售黑客盗取的资料或机密数据。这些数据包括但不限于账户凭证、信用卡信息、购物历史、企业通讯录，以及个人信息等。

　　结语

　　从开发者到XaaS，再到IAB、IB，这些分工都是黑产链各个环节的货币化，各自出售攻击链的一部分或向更广泛的买家出售相同的恶意软件(配置不同)来成倍地增加利润。通过这种模式，能够赚更多的钱，同时做更少的工作。

　　黑色产业链俨然已经是一个“自然竞争的商业环境”，形成了竞争群体和一个真正的市场。这些市场随之带来的，则是网络攻击门槛的降低，攻击者无需精通各个方面的技术，就能够有效开展网络犯罪活动。

　　责任编辑：张华