网络犯罪分子是下一代强盗。当黄金和装满现金的金库通过火车运输时,盗贼也随之而来。现在钱是数字的,罪犯也是数字的。过去的歹徒试图通过涌入简陋的酒馆来躲避执法者,而21世纪的暴徒则躲在暗网的掩护下。
暗网几乎无法追踪,而且隐藏在公众视野之外,是建立阴暗关系的完美场所。充足的犯罪论坛保证了他们能够稳定地接触到愿意合作的同伙、新的勒索技术和骗子。然而,他们不知道的是,这些人中有冒牌货。他们是好人,在数字世界的黑暗面收集有关暗网的情报。
他们反过来对我说,我们会找到写这篇文章的人,然后杀了他们。
这项任务既不容易,也不安全。即使是最轻微的怀疑也可能引起警报。失去对有价值论坛的访问权限只是暴露身份可能给暗网研究人员带来的问题的冰山一角。正是出于这个原因,我们同意不披露来自暗网数据提供商和情报公司DarkOwl的研究人员的个人信息,该研究人员已同意与我们交谈。
“我试图弄清楚他们在哪里活动,他们与谁有关,他们参与了哪些团体,我成了目标。他们对我说,我们会找到写这篇文章的人,并来杀了他们。”研究人员告诉CyberNews。
深入观察暗网有其好处。一旦您的公司网络访问出现在犯罪论坛上,最好迅速采取行动。一旦勒索软件集团掌握了这个漏洞,要防止漏洞发生可能就太晚了。
根据我们的对话者的说法,成为网络罪犯从未如此简单。密码专家是唯一设计勒索软件的人的时代已经一去不复返了。毫无顾忌,有犯罪心理,再加上几百块钱,是尝试在暗网开始职业生涯所需要的全部。
我们打了一个电话,讨论网络犯罪分子多年来发展的支持系统,对黑客的误解,以及我们应该如何看待这一切。
在对话之前,我们已同意不提及您的姓名或任何其他标识符。这是为什么?你的工作有哪些危险?
在我们的工作中,匿名是无价的。没有人知道谁在现实生活中是谁,每个人都被化名和代理所隐藏。我不想引起别人的注意,无论是在外面还是在现实世界。几年前,当我积极追捕在这一领域相当深入的几个犯罪威胁者和团体时,我变得更加认真了。
我一直在追捕一个特定的犯罪分子,试图弄清楚他们在哪里经营,他们与谁有关,他们隶属于什么团体。我成了目标。他们转向我说:“我们会找到写这篇文章的人,然后杀了他们,摧毁他们。”
起初,我并没有太当真,但是我的一个亲密且人脉广泛的朋友告诉我,写这封信的人是认真的,他情绪不稳定,执意要发现我的身份。我的朋友建议我改变我的实际位置并搬家。
我突然意识到这很严重,我有孩子要考虑和保护。那次经历让我非常意识到我们工作环境的严重性。我们在这里有点像在狂野的西部地区,很难区分什么是真实的,什么是虚构的。
这听起来很不祥。我的意思是,身体伤害的威胁一定非常令人痛苦。
这是精神上的消耗。虽然大多数用户可能永远不会采取行动,但暗网中也有很多心理不稳定的人。它变成了一种游戏,就像拖钓一样,一种一个人认真打算摧毁另一个人的痴迷。
让我们换个角度,看看你的事业给你带来的启示。最近,有很多人在谈论支持暗网生态系统。作为一个直接关注黑暗中心的人,你认为这个生态系统是否像它被描述的那样重要?
是的,这很关键。看看勒索软件即服务(RaaS)。第一代和第二代勒索软件是由非常聪明的恶意软件开发人员、密码学家和加密专家开发的。如果您想给他们贴上标签,那么设计和使用此类软件的人是一些最复杂的恶意软件开发人员或周围的“精英”黑客。
但是通过RaaS附属模式,他们让其他人有机会以每年几百美元的价格“租用”勒索软件,这取决于他们使用的压力。任何有兴趣涉足勒索软件业务的人都可以进入市场,而无需具备任何关于如何对网络进行企业级攻击的先验知识或专业知识。
一些团伙,如Lockbit2.0几乎完全自动化,他们的附属机构不需要对他们正在做的事情有丝毫的了解。您只需按一下,即插即用。识别受害者,将其放到网络上,剩下的就交给他们了。
生态系统的另一个方面是网络访问。勒索软件会锁定网络,但不给附属机构直接访问权。与RaaS一起运行的最大的生态系统被称为IAB或初始访问经纪人。这些经纪人为突破网络提供便利,要么是网络漏洞,要么是泄露的凭证,让人可以访问服务器。这可能是一个简单的开放服务器,或端口,或管理账户。
RaaS附属机构并不总是认识在他们想要入侵的公司工作的人。这就是为什么他们需要IAB。一些RaaS组织正在从他们的受害者网络中招募员工,例如内部威胁。还有一个顾问网络,为受害者谈判提供支持并协调受害者的付款。
此外,许多这些暗网犯罪分子并不是最具社会意识的人。他们不一定知道如何与世界之外的人互动。他们中有一半人的母语不是英语。他们甚至雇佣了一些客户服务代表类型的顾问,与高价值的受害者互动,让他们尽可能多地支付赎金并完成交易。
我最近进行了这项研究,显示生态系统内的一些人并不完全知道他们在帮助犯罪团伙。你对此有什么看法?你认为人们是否有可能不知道他们把自己放在什么地方?
有一小部分暗网用户是超级智能用户。这些人吃喝拉撒睡都是科技,他们热衷于构建代码和解决难题。我和他们交流过,他们的天赋超群。
他们是我所遇到过的最聪明的人之一。在这种智慧中,他们也略显天真,对他们建立的任何东西被用于犯罪的可能性视而不见。
但大多数在暗网论坛上编写恶意软件并与这些玩家互动的人并不傻。他们知道你要么是执法人员,要么是罪犯。他们敏锐地意识到,他们提供的服务或信息将被用于某些犯罪活动或打击犯罪活动。
在Colonial Pipeline和JBS黑客攻击之后,有一些遏制生态系统的尝试,一些论坛禁止讨论勒索软件。你有没有注意到这些禁令以某种方式实现了?
是的,在某种程度上。来自RaaS团伙的帖子已经消失了,这些团伙曾经宣传他们有一种新的勒索软件毒株并正在寻找合作伙伴和目标。但这并不能阻止对话的发生。你只需要知道现在的语言是什么。
我不是在谈论口语,而是代码。是的,信息在某种程度上受到审查,但这并不意味着讨论没有发生。犯罪集团也迁移到Telegram和其他交流渠道。这些对话的其他场所不一定有那么严格的审核,也不一定有那么多的执法力量。
总的来说,围绕勒索软件和网络犯罪有很多神秘主义色彩。您是否注意到一般人群对网络犯罪分子的一些误解?
最常见的误解是,在一个昏暗的房间里,满是戴着头罩的黑客,在黑屏和绿色文本的显示器前。这是不可能的。对于勒索软件,它实际上是即插即用的那种东西。他们在Windows上运行这些脚本,并使用图形用户界面。它不像“黑客帝国”那样看起来很酷。
另一方面是有些人认为攻击是随机的,纯粹是为了经济利益。我们内心产生了这种程度的恐惧,这让我们怀疑自己是否是下一个。但实际上,攻击更具针对性,尤其是像Colonial和Kaseya这样的攻击。
当然,许多附属机构只是想利用受害者,抓住机会,尽可能多地打击目标,获得尽可能多的加密货币,然后消失。但有一小部分人更值得关注。
我认为美国政府、情报界、国际执法界都在关注这里有什么更大的戏。我们所忽略的更大的故事是什么?它是间谍活动吗?它是对基础设施的控制吗?这一切的下一个方向是什么?这也是误解之一,因为人们常常认为这完全是随机的,而实际上不是这样。
这些暗网威胁者中的一些人只是为了获得权力。他们喜欢被恐惧,他们也喜欢快速赚钱。在黑暗网络中,有很多犯罪分子都有这种简单的动机。
但它还有另一个组成部分,特别是对于那些规模较大的团伙来说,其运作的复杂程度与民族国家一致。他们工作的复杂程度表明,他们所服务的主人比简单的金钱更重要。
如果你现在列出所有不同的活跃的RaaS团伙,你可以将业余者与那些有更重要的目标有关的人区分开来,如关键基础设施。这可能是间谍活动和网络恐怖主义。这是比你们这些人甚至包住脑袋的任何东西都要大的东西。