尽管与国家攻击者在地缘政治上有一些重叠，但大多数网络攻击仍然来自简单的——或者可能是老练的——犯罪分子，他们的动机更多是金钱而非政治。

到 2022 年底，SecurityWeek 与来自 100 多个不同组织的 300 多名网络安全专家进行了联络，以深入了解当今的安全问题——以及这些问题在 2023 年及以后可能会如何演变。其结果是关于从人工智能、量子加密和攻击面管理到风险投资、法规和犯罪团伙等主题的十多个特征。

我们在这里的目的是谈论网络犯罪和网络犯罪分子。尽管与国家攻击者在地缘政治上有一些重叠，但大多数网络攻击仍然来自简单的——或者可能是老练的——犯罪分子，他们的动机更多是金钱而非政治。

“随着俄乌战争的爆发，许多演员出现了两极分化，包括孔蒂、杀戮网络和匿名者。然而，生态系统要大得多，即使在加密货币经纪方面遭遇挫折，这提高了网络犯罪分子的流动性和经济性，但随着我们进入 2023 年，犯罪组织仍在蓬勃发展、多样化，并变得势不可挡，”Cybereason 的 CSO Sam Curry 评论道。

“没有迹象表明这种情况会有所缓和，所有迹象都表明，犯罪组织的真正增长是电子犯罪的发展。”

了解你的敌人

多年来，越来越明显的是，精英犯罪分子越来越老练，他们赖以运作的基础设施组织也越来越精简。这个过程将持续并将持续到 2023 年。从这些团伙的运作方式和他们使用的工具中可以看出这一点。

“恶意软件将在 2023 年继续发展，因为攻击者会找到新的方法来隐藏它以保持持久性并获得他们想要的东西，”Vulcan Cyber 的高级技术工程师 Mike Parkin 说，并补充说，“他们用来获得立足点的攻击媒介也会进化，利用新的漏洞，并利用旧漏洞的变体。”

但可能构成最大威胁的是犯罪活动的日益成熟。“网络犯罪集团使用的工具已经显着成熟，”Coalfire 副总裁安德鲁巴拉特解释道。“它们正在成为其他犯罪集团的平台（作为一种服务），而这些犯罪集团的技术专长要少得多。”

勒索软件即服务和信息窃取者即服务已经有几年了，但将这一过程描述为完整的“犯罪即服务”正变得越来越准确。“虽然我们已经看到犯罪即服务基础设施变得非常普遍，但我们很可能会在未来一年看到这些攻击的数量和/或定价上升，”Barratt 补充道。

犯罪即服务

Christopher 解释说：“我们查看了许多在线论坛，发现许多类型的犯罪‘即服务’产品正在兴起和多样化，人们真的可以在几乎没有或根本没有技术知识或技能的情况下建立自己的网络犯罪业务。” Budd，Sophos 威胁研究高级经理。 

“现在你可以找到一个供应商或供应商来满足你对受害者的定位和初始妥协、规避和操作安全以及恶意软件交付等方面的需求。” 这些产品通常带有良好的营销和客户服务以及支持，可以满足甚至超过您购买正版软件时获得的服务。

ThreatConnect 产品执行副总裁 Andrew Pendergast 将其称为恶意软件即服务 (MaaS) 而不是犯罪即服务，他补充说，“MaaS 运营商的行为就像一家企业，因为他们是一家企业——只是非法的一。他们的目标是通过销售他们的产品和服务赚取尽可能多的钱。这需要使其尽可能易于访问、可信、可靠且易于使用，以满足他们的‘市场’。”

他预计 CaaS 提供商将继续改进他们的支持和服务，以适应更广泛的客户和附属机构，并补充说：“最终结果将是扩大各种 MaaS 产品的用户群，这在 2023 年可能意味着更多的勒索软件攻击。”

事实上，该服务现在已经非常完善，以至于 DataDome 的首席执行官本杰明·法布尔 (Benjamin Fabre) 指出，新的网络犯罪分子不再需要技术技能来自行开发和执行网络攻击。“网络犯罪需要的头脑与将棒球棒对准店主橱窗一样多，”他评论道。

Tanium 技术客户管理副总裁 Chris Vaughan 同意这一评估。“越来越多的人可以在线购买恶意网络工具，这导致更多的攻击也更难预测。这包括漏洞和漏洞利用以及可供雇佣的黑客，大大降低了任何有兴趣发动网络攻击的人的进入门槛。”

这让我们想到了 2023 年的另一个相关问题：潜力。经济衰退推动的网络犯罪零工经济的扩张。惠普公司高级恶意软件分析师亚历克斯霍兰德警告说：“人们可能会转向网络犯罪零工经济中的'网络骗局'，以便在经济低迷时期快速赚钱。”

他担心网络骗子的数量可能会增加，这些骗子试图通过欺骗消费者来赚取额外的收入，或者实际上是任何收入，而这些消费者本身也会寻找机会筹集一些额外的现金。“网络犯罪工具和指导服务很容易以低成本获得，诱使网络骗子——技术水平相对较低的机会主义者——获取他们获利所需的东西。”

网络犯罪零工经济的相互关联性意味着威胁行为者可以轻松地将攻击货币化。“如果他们挖到了金子并破坏了公司设备，他们还可以将访问权卖给更大的参与者，例如勒索软件团伙。这一切都进入了网络犯罪引擎，让有组织的团体获得更大的影响力。”

犯罪团伙的职业角色流线型 CaaS 出现的基础是帮派内部职业专业化的演变。“在许多方面，网络犯罪生态系统开发了专门的‘职业领域’，其方式与网络安全开发专业化的方式类似，”Netenrich 首席威胁猎手 John Bambenek 评论道。 

这意味着有更多的合作伙伴和精品演员帮助各种团体。“获得初始访问权限是一项专门技能，就像洗钱（加密货币）和勒索软件开发一样，”他补充说。“这种专业化使整个生态系统更具弹性，也更难被绳之以法。”

这一业务改进过程将持续到 2023 年。“犯罪组织的范围和能力将继续扩大，并更加关注功能领域，”Deepwatch 安全战略副总裁格雷表示。“专业化将使这些组织能够保持在能够绕过高级目标的安全程序组件和/或针对更易受攻击的目标进行大规模操作的水平上运行所需的剃须刀利润率。”

2023 年值得关注的三类 CaaS

三类犯罪即服务可能在 2023 年盛行：勒索软件即服务 (RaaS)、窃取者即服务 (SaaS) 和受害者即服务 (VaaS) ).

RaaS

X-Phy 首席执行官兼创始人 Camellia Chan 表示，交付勒索软件的“按使用付费”版本是“一种复杂但更易于访问的勒索软件形式，恶意行为者不再需要高级技术技能进行攻击。” 对于不会编码的想成为罪犯的人来说，这是一场胜利。 

但对于试图避开执法部门的更多精英编码犯罪分子来说，这也是一场胜利。“涉及的不同实体的数量增加了另一层复杂性，”Chan 解释说。“在 RaaS 运营商开发基础设施的同时，访问代理专注于身份状态和外部访问门户。最后，购买 RaaS 的附属公司处理数据泄露以勒索赎金，然后部署实际的勒索软件有效负载。”

Secureworks 的情报总监 Mike McLellan 继续说道：“新的 RaaS 计划将继续出现，但这一领域将由少数网络犯罪集团主导，这些组织运行着少数非常活跃的计划。”

他预计占主导地位的计划将提高其支持更多附属机构的能力。“受到美国当局制裁的经验丰富的网络犯罪分子将利用现有的 RaaS 计划作为使攻击归因复杂化的一种方式。另一方面，不太成熟的分支机构将针对少量主机进行简单的勒索软件部署，而不是全面的企业级加密事件。”

软件即服务

Group-IB 于 2022 年 11 月 23 日发布的一项研究报告称，34 个俄语团体正在分发信息窃取程序，作为窃取者即服务行动的一部分。平均而言，这些团体中的每一个都有大约 200 名活跃成员。 

其中 23个小组分发了Redline信息窃取程序，而八个小组则集中在Raccoon上。“信息窃取程序，”Group-IB 解释说，“是一种恶意软件，它收集存储在浏览器（包括游戏帐户、电子邮件服务和社交媒体）中的凭据、银行卡详细信息和来自受感染计算机的加密钱包信息，然后发送所有这些数据都交给了恶意软件运营商。”

鉴于凭据仍然是大多数网络攻击的起点，因此需求现在并将保持很高。Group-IB 建议“窃取者是来年最值得关注的威胁之一。” 该公司指出，“在 2022 年前七个月，这些团伙共感染了超过 890,000 台用户设备并窃取了超过 5000 万个密码。”

虽然目标是游戏玩家和远程工作者经常使用的个人计算机，但不应低估对企业的潜在连锁反应。Group-IB 表示：“负责最近对 Uber 的攻击的威胁行为者购买了 Raccoon 窃取者泄露的凭据。”

优步自己在一份声明中解释了这一过程：“一名优步 EXT 承包商的账户被攻击者盗用了。攻击者很可能在承包商的个人设备感染了恶意软件后，在暗网上购买了承包商的 Uber 公司密码，从而暴露了这些凭据。然后，攻击者反复尝试登录承包商的 Uber 帐户。每次，承包商都会收到双因素登录批准请求，该请求最初会阻止访问。然而，最终，承包商接受了一个，攻击者成功登录。”

这既证明了窃取者的成功，也证明了 MFA 未能提供完整的访问解决方案。Uber 实例似乎是 Tanium 的 Vaughan 所描述的 MFA 推送耗尽攻击的变体。他解释说：“这就是攻击者向用户的手机发送大量 MFA 接受提示的地方，这可能会导致他们点击接受以停止请求的弹幕。”

SaaS 交付的窃取者获取凭据和攻击者击败 MFA 的整个过程将在 2023 年持续存在并增加。

花瓶

Osirium 的产品专家 Mark Warren 认为，一种新的服务正在兴起：黑客团队提供受害者即服务。“在过去的几年里，威胁行为者一直以团队为基础，”他解释道。“在加密货币出现之前，他们是独狼——或者偶尔是一个在网上认识的松散的群体。然后他们开始团队合作，因为他们得到了报酬，这些团队变得紧密地联系在一起。明年，我们将看到更多的团队根据技能分成不同的小组。”

他使用 REvil 作为成功的 RaaS 模型的示例，为攻击者提供端到端解决方案，包括加密软件、访问工具、受害者帮助台、支付服务等等。“但是，”他说，“专注于特定攻击技能的小型团队仍然有市场。例如，他们可能会破坏防御以获取用户或管理员凭据，甚至安装恶意软件以提供后门入口以供日后使用。” 

此类服务的提供者无需承担执行攻击或处理付款的风险；他们可以通过在暗网市场上出售访问权来赚大钱。可以通过相对无风险的网络钓鱼活动获得访问权限。

该方法可以是模块化的。“公司情报可能是另一项专业服务，”他建议道。“例如，了解潜在受害者拥有的网络保险可以揭示他们将拥有的防御类型，甚至他们投保的金额，因此可以定制勒索软件需求。” 从这个意义上讲，VaaS 可以看作是对现有接入代理犯罪服务的延伸和扩展。

继续前进……

Fortinet 的 FortiGuard 实验室的网络安全研究员和从业者 Aamir Lakhani 进一步补充了即将出现的微妙之处。“展望未来，基于订阅的 CaaS 产品可能会提供额外的收入来源。此外，威胁行为者还将开始利用新兴的攻击媒介，例如 deepfakes，更广泛地提供这些视频和音频记录以及相关算法以供购买。”

准APT

犯罪团伙的持续专业化导致了 Cybersixgill 网络威胁情报副总裁 Omer Carmi 所称的准 APT 的出现。“到 2023 年，”他警告说，“由于网络武器的民主化以及现在地下网络犯罪可用的强大技术所支持的访问民主化，准 APT 的出现将会升级。” 

专业角色和 CaaS 的增长意味着只需 10 美元，威胁行为者就可以购买访问权限并在目标系统中站稳脚跟。他们可以抢占高度安全的组织的滩头阵地，而不必费心自己获得初始访问权限的复杂、冗长的过程。 

他警告说：“通过外包访问，各种复杂程度的攻击者都可以跨越几步，更接近 APT 的水平——因此诞生了准 APT。”

地下犯罪分子不断提高的复杂性和专业化程度将持续到 2023 年及以后。例如， WithSecure 的首席研究官Mikko Hypponen认为，人工智能将在 2023 年为犯罪分子增加一根新弦。

“恶意软件活动将从人类速度转变为机器速度，”他警告说。“最有能力的网络犯罪集团将能够使用简单的机器学习技术来自动化部署和运行恶意软件活动，包括对我们的防御做出自动反应。恶意软件自动化将包括重写恶意电子邮件、注册和创建恶意网站以及重写和编译恶意代码以避免被发现等技术。”

2023 年可能会出现新的犯罪团伙服务：人工智能即服务。