企业正在经历数字化转型，犯罪也是如此。

如今，地下网络犯罪经济正在经历工业化浪潮，前所未有地蓬勃发展。

网络犯罪已经成为一个巨大的“产业“，随着公司和消费者在数字世界投入数万亿美元，全球的犯罪分子都在积极进军网络。

世界经济论坛2020全球风险报告：全球风险关系图（紫色为技术风险）

世界经济论坛（WEF）的《2020年全球风险报告》指出，网络犯罪将是未来十年（至2030年）全球商业中第二大最受关注的风险。它也是最有可能发生的第七大，第八大风险，网络安全的赌注从未如此高。企业的收入，利润和品牌声誉都已“在线“；关键任务基础架构正面临威胁；各国之间正在相互进行网络战和网络间谍活动。

放眼世界：沃尔玛拥有美国最大的公司收益，去年创造了惊人的5,140亿美元收入。但是，网络犯罪的收入是其12倍。两者都出售各种各样的产品和服务。实际上，就收益而言，网络犯罪甚至使特斯拉，Facebook，微软，苹果，亚马逊和沃尔玛蒙羞。全球网络犯罪的合并年总收入“仅”为1.28万亿美元。

网络犯罪市场已经细分出多个种类，因为不法分子会聚集在秘密的，专有的讨论区中，以避免躲避司法审查，他们开发的网络犯罪服务组合包括分布式拒绝服务（DDoS）攻击、意软件、网络钓鱼活动，特洛伊木马和大量被盗数据集的所有内容，所有愿意为此付费的人都可以使用。

网络犯罪正在经历一次全球范围的工业化“革命”，网络犯罪组织们开始提供“正规”公司所做的一切：产品开发，技术支持，分销，质量保证甚至客户服务。网络犯罪分子抢劫然后出售新技术或秘密战略计划，这将使他们的买家在竞争者中占优势。黑客窃取军事机密，可再生能源创新知识产权等高价值信息。

网络犯罪的协作化和团队化

2020网络犯罪组织关系图来源：Crowdstrike

网络犯罪比诸如抢劫银行等传统犯罪的风险更低。实际上，根据世界经济论坛的数据，在美国，逮捕网络犯罪分子并将其递解法庭的可能性低至0.05％。

拥有一支稳定团队且“业务“广泛的网络犯罪分子的收入比传统犯罪分子高大约10％至15％。但是，不同的黑客的收入存在巨大的差异。这取决于工作内容，承担的风险以及为该组织工作的人数。最高收入者每年可赚取超过200万美元。

有人认为，一般的黑客是藏在黑暗地下室里的身着连帽衫的古怪少年。但事实上如今的网络犯罪分子更像“公司人“：从招聘员工到任命高管，一些团体甚至拥有公开身份，以确保黑客团体保持其公关形象和”品牌声誉“，这在暗网上非常重要。

英国国家网络安全中心（NCSC）强调指出，有组织的网络犯罪分子通过分工合作来实现平稳运营。有“团队负责人”负责协调工作，并负责保持法律上领先一步。他们拥有大数据专家来处理被盗数据，开发者负责编写和更改恶意代码，以及“入侵专家”负责感染并渗透目标公司。此外，“呼叫中心专员”冒充技术支持人员打电话给受害者，在受害者的计算机上安装恶意软件，此外还有“财务专家”帮助洗钱。

敏捷化程度高于网络安全公司

敏捷开发和DevOps兴起于互联网行业，但是恶意软件开发团队似乎比网络安全公司更加敏捷，这进一步拉大了网络攻防之间的实力差距。以老牌木马病毒Emotet为例，其开发团队的“敏捷性”极高，产品迭代和“创新”频繁，至今仍然是地下黑产的重要“投放渠道”。

实际上，第一个真正实现敏捷并且让网络安全界感到难堪的病毒是勒索软件Gandcrab。

作为2018年最耀眼的勒索软件，Gandcrab名声大噪不仅因为它是首个索要DASH（达世币）的勒索软件，也不是因为感染用户数量或者短短两个月斩获60万美金的惊人敛财速度，而是因为Gandcrab是首个让包括Fortinet、卡巴斯基、赛门铁克等各大网络安全公司和欧洲刑警组织感到害怕甚至绝望的勒索软件，因为Gandcrab的开发者和运营者，在产品运营推广和产品迭代开发两个方面，都让上述组织疲于奔命，难望项背。

Gandcrab的扩散方式属于典型的growth hacking技术营销+联盟营销，主要通过分发Rig和Grandsoft漏洞利用工具、垃圾电子邮件以及佣金联盟三种方式。Gandcrab为实施勒索活动的加盟者斩获的赎金（价值400美元的达世币）提供高达30-40%的佣金分成比例。

例如，当Gandcrab第一个版本被Bitdefender Labs等安全公司破解并放出解锁工具后，Gandcrab一周内很快发布了第二个版本。安全公司Checkpoint在详细比较两个版本的Gandcrab之后，发出一声哀叹：连勒索软件都敏捷了，日子没法过了。”

是的，Gandcrab是首个采用敏捷方法快速迭代的勒索软件，其更新和成长速度远远超过白帽子和安全公司的应变速度。

Checkpoint在研究报告中指出：显然Gandcrab的团队采用了敏捷方法，早期的版本充斥着bug和错误，但是Gandcrab的团队显然有着自己的代码审核流程，而且总能在bug发现后的第一时间快速修复。而且，与Cerber类似，Gandcrab是一个以开发为中心的网络犯罪产品，Gandcrab的开发者的主要精力都放在产品的迭代完善上，向加盟者提供技术军火，但并不直接参与勒索软件的传播和收款。

敏捷开发方式也让Gandcrab攻击工具很难被传统的基于数字签名的杀毒软件引擎侦测到，Gandcrab正在变得越来越“完美”和无懈可击——CheckPoint恶意软件研究负责人Michael Kajiloti指出。

最受欢迎业务：勒索软件和DDoS勒索

据欧洲刑警组织的报告，漏洞利用工具包不再是最热门的网络犯罪工具，但有趣的是，新的热门工具技术含量/门槛却在下降，通过恶意软件盗窃数据的威胁呈下降趋势，取而代之的是“吸金能力“更强的勒索软件和DDoS勒索。

根据亚信安全《2019威胁态势分析》报告，到2021年，全球因为勒索攻击造成的损失将达到200亿美元，是2015年3.25亿美元的61倍之多，2019年中国的勒索病毒感染量已经跃居全球榜首，占总数的20%。此外，勒索病毒的发展将呈现多平台感染、产业化、针对性、创新性等特征，勒索软件即服务（Ransomware as a Service）正在成为黑产的重要模式之一。

除了今年“重整旗鼓“的勒索软件，DDoS攻击的热度也在持续上升，尤其是以XaaS模式提供勒索软件和DDoS服务。网络犯罪团伙使用大型僵尸网络或可操纵的云帐户来产生恶意数据，攻击特定目标。此类攻击可能持续数天，但总的趋势是小型化和高频化。一次小型DDoS攻击的成本在10美元到数千美元之间（视攻击复杂性和强度而不同），此类攻击的动机多样，可以是勒索攻击，破坏性攻击，也可能只是伪装多向量攻击而又占用了受害者IT资源的一种方式。剑桥大学发现，此类DDoS攻击非常普遍，以至于购买者甚至包括学龄儿童。

欧洲刑警组织的《 2019年互联网有组织犯罪威胁评估》报告描述了DDoS攻击如何成为全球企业面临的最严重威胁之一。去年，犯罪分子首选的DDoS目标是银行和其他金融机构，警察机关等公共组织和地方政府。旅行社、互联网基础设施和在线游戏也是最青睐的攻击目标。根据欧洲刑警组织的报告，虽然越来越多的不良行为者被绳之以法，但这未能遏制DDoS攻击和Dark Web基础设施的“野蛮生长“。

最后，世界经济论坛指出，面对网络犯罪经济的“蓬勃发展“，组织的网络安全支出大大落后于网络威胁的增长速度。

参考资料：

世界经济论坛2020全球风险报告：

https://www.weforum.org/reports/the-global-risks-report-2020

欧洲刑警组织《网络犯罪威胁评估报告2019》：

https://www.europol.europa.eu/activities-services/main-reports/internet-organised-crime-threat-assessment-iocta-2019