隨著(zhù)銷(xiāo)售量增長(cháng)率達到驚人的2502%,也使得勒索軟件的總銷(xiāo)售金額達到了620萬(wàn)美元,比上一年總銷(xiāo)售額多了25萬(wàn)美元。
雖然總銷(xiāo)售額看上去并不是太多,但是這種增長(cháng)趨勢卻令人印象深刻——研究人員支出,如果不是預料之中,這樣的增長(cháng)主要是由供需推動(dòng)的,該報告指出:“網(wǎng)絡(luò )犯罪分子越來(lái)越多地看到市場(chǎng)機遇,并且希望通過(guò)勒索軟件來(lái)快速獲利。”
勒索軟件市場(chǎng)的不斷擴大,一部分原因是由于一些工具讓匿名變得更加輕松(比如比特幣和Tor代理等),另一部分原因是因為勒索軟件不斷擴散,讓許多人都可以輕松發(fā)起非法交易,去勒索別人。該報告表示:“隨著(zhù)技術(shù)創(chuàng )新日趨成熟,很多地下勒索軟件經(jīng)濟已經(jīng)變成了一個(gè)類(lèi)似于商業(yè)軟件的行業(yè),甚至包括了開(kāi)發(fā)、技術(shù)支持、分銷(xiāo)、質(zhì)保和客服等‘一條龍’服務(wù)。”
根據CSO Online的數據顯示,去年勒索軟件支付的金額達到了10億美元,相比于去年增長(cháng)了4000%。
不僅如此,勒索軟件的開(kāi)發(fā)人員也獲得了不少收益。去年,一些勒索軟件開(kāi)發(fā)人員的收入能夠超過(guò)10萬(wàn)美元,而在合法商業(yè)軟件領(lǐng)域,程序員的中等收入大約為7萬(wàn)美元。而且,隨著(zhù)地下供應鏈的不斷成熟,勒索軟件開(kāi)發(fā)人員不需要獨立研發(fā)整套工具包:比如,一個(gè)程序員可能會(huì )專(zhuān)門(mén)從事加密技術(shù)研發(fā),去鎖定受害者的電子設備;而另一個(gè)程序員可能會(huì )專(zhuān)門(mén)負責如何收取勒索到的錢(qián)款。
有行業(yè)專(zhuān)家認為,這種專(zhuān)業(yè)化程度的不斷提升,是推動(dòng)地下勒索軟件經(jīng)濟快速增長(cháng)的關(guān)鍵因素。推出一款“賺錢(qián)”的勒索軟件早已經(jīng)不是一個(gè)人在戰斗了,過(guò)去,可能需要有一個(gè)人非常擅長(cháng)開(kāi)發(fā)和部署復雜的勒索軟件,但現在你只需要知道在哪里購買(mǎi)所有必須的組件,然后把工具包補充完整即可。
Carbon Black的報告中這樣說(shuō)道:“由于現有勒索軟件經(jīng)濟服務(wù)層級細化,這個(gè)行業(yè)本身已經(jīng)開(kāi)始變得更加強大。這些細化服務(wù)降低了行業(yè)準入障礙,想要發(fā)起勒索的攻擊者不再需要較強的專(zhuān)業(yè)技能,甚至你可能是個(gè)完全不同技術(shù)的‘小白’,只要你有比特幣,就可以對任何人發(fā)起攻擊。”
另一方面,勒索軟件的攻擊目標范圍很廣,也是沒(méi)有止境的,導致這種情況的主要原因是企業(yè)普遍缺乏基本的安全控制:企業(yè)一直忽略對關(guān)鍵數據的備份,而且也很少測試自己的軟件,看看是否過(guò)期,或是及時(shí)更新安全補丁。研究人員警告說(shuō),依靠執法部門(mén)來(lái)防范攻擊基本上是沒(méi)什么用的,所以企業(yè)主要還是需要依靠自身力量來(lái)對抗勒索軟件。
而阻止勒索軟件的關(guān)鍵,就是要說(shuō)服受害者不去支付“贖金”。根據Carbon Black分析的數據顯示,現階段,大約有59%的受訪(fǎng)對象表示自己愿意支付低于100美元的“贖金”來(lái)重新獲得自己的數據,但如果攻擊者把“贖金”上限提升到500美元以上,那么大約只有12%的受訪(fǎng)對象愿意接受。
該報告最后總結說(shuō):“整套系統只有在受害者愿意支付‘贖金’的前提下才能運轉起來(lái),所以只要有人愿意支付,這個(gè)問(wèn)題就會(huì )一直延續下去。”
