引子

中国有句古话叫“天下熙熙，皆为利来；天下攘攘，皆为利往”。

模式

近年来，传统的TOR（暗网）技术伴随着Blockchain（数字加密货币）技术的兴起，自然发展诞生了一种匿名的信用交易商业模式，即建立一个匿名的佣金、赎金、赏金交易服务平台，发展一种无差别无门槛的“网络雇佣兵”犯罪业务。这个网络犯罪商业模式分为三类角色：

• 创始者 - 真正具备高端技术的一批人，利用TOR、Blockchain技术开发了可供分发核心网络犯罪工具和服务的平台

• 运营者 - 网络犯罪服务平台的管理运营人员，分发网络犯罪工具，管理运营佣金、赎金、赏金和信用交易服务等整个平台生态

• 雇佣兵 - 没有任何差别和门槛，凭个人技术实力进行网络犯罪以赚取佣金的黑客
  

创始者

创始者是一群具备高超开发能力的顶级犯罪分子，其拥有勒索软件、TOR（暗网）、Blockchain（数字加密货币）和传统Web服务的高超开发构建技术能力，以勒索软件服务（Ransomware As A Service）为例。

第一，开发核心的勒索软件需要很多技术方案。

现在勒索软件比的是技术加密方案，如何用合适的加密算法，如何用合适的文件加密方法，如何在最短的时间内读写加密完磁盘文件，如何与安全软件对抗，这些功能实现都是需要高超技术能力的。

上图摘自:360的2021年勒索病毒流行态势报告(https://cert.360.cn/report/detail?id=788ed79f1b00a98109948f39c9bebc23）

第二，需要构建勒索软件服务平台。以DarkSide的后台为例，可以看到这个后台有完整的用户信用交易管理体系，这个后台里的每个“雇佣兵”有自己的专属账号，每个账号对应着分发安装的勒索软件，勒索赎金以分成方式打到账号所属的比特币和门罗币钱包地址，同时平台还有社区、客服等传统网站功能。

上图摘自:https://www.nytimes.com/2021/05/29/world/europe/ransomware-russia-darkside.html

运营者

“创始者”也可以是“运营者”，运营者需要招揽“雇佣兵”，通过平台分发网络犯罪工具，最重要的是要负责运营管理整个犯罪服务平台的商业生态。以往的模式是雇佣兵攻陷受害者后安装勒索软件，运营者在平台坐收受害者的赎金即可。但现在勒索组织更多针对的目标是商业组织机构，完全是不同的模式。以CONTI组织为例，网站平台在不停的发布已攻陷公司的勒索公告，这个公告是发给受害者公司和公司相关客户看的，告诉所有人这个公司已经被CONTI组织攻陷，这个公司的核心数据已经被加密和盗取，并且给出了数据的赎回期限。

笔者摘取了CONTI组织刚发布的一条勒索公告，这个公告针对的是PLACON公司，涉及该公司13.85G的核心数据，平台提供了一个数据存储服务，在线存储了这些受害组织机构已经被勒索加密的数据，如果PLACON公司不交勒索赎金，这些数据将会被销毁、出售或公开。

雇佣兵

“雇佣兵”是没有任何限制的黑客角色，这个角色只是众多网络犯罪服务的使用者，雇佣兵是整个服务平台的贡献用户。雇佣兵要做的只是在网络犯罪服务平台上拥有一个账号，可以在服务平台上获取分发的与账号对应的恶意荷载（PATYLOAD），在平台确认交付的攻击任务，赎金到达任务后，平台往账号对应数字加密货币钱包地址分钱而已。

雇佣兵的攻击过程和传统黑客做的没有任何差别，可以看到下图的技战术过程，这些不过是针对一个组织机构网络无差别的攻击技战术，唯一不同的只是黑客在组织机构的核心资产上植入的恶意荷载会是某个平台的勒索软件。

上图摘自：https://blogs.microsoft.com/on-the-issues/2021/07/20/the-growing-threat-of-ransomware/

小结

对于这种网络犯罪活动的未来趋势，还是参考引子，笔者认为只要有利可图，这种新兴的网络犯罪活动就不会消失。

对于商业组织机构，笔者认为以前可能因为商誉问题，商业组织机构对于网络安全相关的问题遮遮掩掩，而现在网络犯罪分子已经有一整套可以公示勒索的标准犯罪流程，现在商业组织机构面对已经不是商誉问题，而是安全命脉被犯罪组织控制勒索，如果这些被勒索的核心数据导致业务中断或者泄漏用户隐私，商业组织机构该如何取其利弊？

对于执法机构，笔者认为时代的技术发展必然会诞生这种现代网络犯罪模式。目前由于TOR和Blockchain技术的匿名特性，这类网络犯罪的逮捕和起诉也会很困难，但也不是完全没有可能，比如漂亮国频频端掉暗网网站，FBI接管DarkSide的比特币钱包等，背后都需要安全人员的大力支持，这里就留待笔者以后再来一次解读分析了。