如今，包括勒索軟件團(tuán)伙在內(nèi)的網(wǎng)絡(luò)犯罪分子儼然成為有組織的非法企業(yè)。勒索軟件團(tuán)伙、敲詐組織和DDoS攻擊者一再得逞，屢屢闖入知名組織實(shí)施攻擊活動絕非偶然，其背后是有組織的體系，不同層面的網(wǎng)絡(luò)犯罪分子齊心協(xié)力以達(dá)成最終目的，進(jìn)而人人可以分贓。以下是網(wǎng)絡(luò)犯罪分子扮演的幾個關(guān)鍵角色。

　　初始訪問代理（Initial Access Broker，簡稱“IAB”）

　　IAB是指將企業(yè)網(wǎng)絡(luò)訪問權(quán)出售給潛在買家的一類網(wǎng)絡(luò)犯罪分子，他們通過數(shù)據(jù)泄露市場、論壇或隱蔽的消息應(yīng)用程序頻道和聊天組來兜售。然而IAB不一定執(zhí)行后續(xù)的破壞性活動，比如數(shù)據(jù)泄露、加密和刪除。通常，買方?jīng)Q定如何濫用訪問權(quán)：選擇竊取商業(yè)機(jī)密、部署勒索軟件，或是安裝間諜軟件、泄露數(shù)據(jù)。

　　云端無密碼身份驗(yàn)證技術(shù)提供商Cloud RADIUS的高級軟件工程師Ben Richardson表示，過去IAB主要將公司訪問權(quán)兜售給企圖破壞公司數(shù)據(jù)、從受攻擊公司竊取知識產(chǎn)權(quán)或財務(wù)數(shù)據(jù)的犯罪分子。由于當(dāng)時攻擊數(shù)量少，市場對IAB的需求不高。如今，商業(yè)競爭對手常雇用IAB從事間諜和盜竊活動。

　　勒索軟件時代的到來使得市場對IAB的需求急劇增加。勒索軟件團(tuán)伙通過雇用IAB來攻擊目標(biāo)公司并開拓新業(yè)務(wù)。

　　X即服務(wù)（X as a service）

　　目前在安全界，“X即服務(wù)”常常指勒索軟件即服務(wù)（RaaS）或惡意軟件即服務(wù)（MaaS），它們代表一種較新的商業(yè)模式。RaaS酷似軟件即服務(wù)（SaaS）模式，這種方式是向企圖實(shí)施攻擊的“加盟機(jī)構(gòu)”（affiliate）有償提供勒索軟件工具、網(wǎng)絡(luò)釣魚工具包和IT基礎(chǔ)設(shè)施。

　　過去，實(shí)施全面的攻擊活動要求網(wǎng)絡(luò)犯罪分子技能嫻熟，但X即服務(wù)模式已放低了這種門檻。更多的網(wǎng)絡(luò)犯罪分子進(jìn)入X即服務(wù)領(lǐng)域，這個領(lǐng)域包括初始訪問代理、勒索軟件即服務(wù)和惡意軟件即服務(wù)等。網(wǎng)絡(luò)犯罪分子現(xiàn)在只需精通某個領(lǐng)域，就可充分利用所有其他團(tuán)伙的服務(wù)。

　　勒索軟件加盟機(jī)構(gòu)

　　勒索軟件加盟機(jī)構(gòu)好比是被勒索軟件團(tuán)伙雇用的多用途“承包商”，執(zhí)行各種攻擊活動：向IAB購買網(wǎng)絡(luò)初始訪問權(quán)、僅僅購置可能有助于偵察的失竊登錄信息和數(shù)據(jù)內(nèi)容以及執(zhí)行攻擊等。

　　攻擊和勒索得逞后，勒索軟件加盟機(jī)構(gòu)從受害者支付給上級勒索軟件團(tuán)伙的贖金中抽取傭金。為了加快攻擊速度，加盟機(jī)構(gòu)可能租用RaaS平臺，用“租賃的勒索軟件”加密文件，并使用所有現(xiàn)有工具、服務(wù)和漏洞利用代碼。

　　勒索軟件加盟機(jī)構(gòu)只需掏一小筆費(fèi)用，就能享用原本需要自行開發(fā)和管理的產(chǎn)品和服務(wù)。此外，加盟機(jī)構(gòu)可以付費(fèi)找到IAB和已受攻擊的組織，這大大降低了實(shí)施攻擊的準(zhǔn)入門檻。加盟機(jī)構(gòu)現(xiàn)在可以專注于對組織實(shí)施敲詐勒索的實(shí)際運(yùn)作。

　　惡意軟件和漏洞利用代碼的開發(fā)者

　　這類網(wǎng)絡(luò)犯罪分子針對零日漏洞或已知漏洞開發(fā)漏洞利用代碼，而不僅限于概念驗(yàn)證（PoC）演示。這些犯罪分子還可能開發(fā)可以鉆多個漏洞空子的惡意軟件。許多勒索軟件攻擊也可能始于攻擊者部署代碼，進(jìn)而攻擊流行的訪問設(shè)備、應(yīng)用程序、VPN和嵌入在應(yīng)用程序深處的單個軟件組件，比如Log4j。

　　在早期，惡意軟件和漏洞利用代碼開發(fā)者可能是“腳本小子”或老練的黑客，不過隨著網(wǎng)絡(luò)犯罪分子之間不斷加強(qiáng)合作，復(fù)雜的惡意軟件開發(fā)大多在開發(fā)團(tuán)隊(duì)內(nèi)部進(jìn)行，軟件開發(fā)生命周期和說明文檔一應(yīng)俱全，與正規(guī)軟件公司毫無二致。

　　另外，加密貨幣的廣泛采用為一小批漏洞利用代碼開發(fā)者提供了平臺。如果開發(fā)者精通加密，對區(qū)塊鏈協(xié)議又有深入了解，就可以在這些加密平臺打上補(bǔ)丁之前利用它們存在的零日漏洞和未修補(bǔ)漏洞，以實(shí)施攻擊活動。

　　高級持續(xù)性威脅團(tuán)伙

　　高級持續(xù)性威脅（Advanced Persistent Threat，簡稱“APT”）團(tuán)伙過去描述為國家威脅分子或國家撐腰的網(wǎng)絡(luò)犯罪集團(tuán)，它們有特定的目標(biāo)，在較長時間內(nèi)從事破壞或政治間諜活動?，F(xiàn)在，APT團(tuán)伙采用的策略也被非加盟機(jī)構(gòu)的網(wǎng)絡(luò)犯罪分子采用。

　　APT團(tuán)伙通常使用具有廣泛監(jiān)視和隱匿功能的量身設(shè)計(jì)的惡意軟件。歷史上最臭名昭著的APT攻擊之一是Stuxnet事件，Stuxnet利用Windows當(dāng)時的多個零日漏洞來感染計(jì)算機(jī)、四處傳播，并對核電廠的離心機(jī)造成實(shí)際損壞。據(jù)傳這種極其復(fù)雜的計(jì)算機(jī)蠕蟲由美國和以色列情報機(jī)構(gòu)合作開發(fā)。

　　然而，APT團(tuán)伙絕不僅限于單單利用物理設(shè)備，大多數(shù)APT活動采用魚叉式網(wǎng)絡(luò)釣魚攻擊來滲入網(wǎng)絡(luò)、悄然傳播有效載荷、泄露數(shù)據(jù)、植入持久性后門以及秘密監(jiān)視受害者。

　　令人不安的趨勢是，APT團(tuán)伙已轉(zhuǎn)而破壞上游軟件和源代碼，SolarWinds供應(yīng)鏈攻擊就是一個典例，通過第三方供應(yīng)商，進(jìn)一步攻擊更上游的目標(biāo)，然后用自己的有效載荷破壞合法軟件。這是一種影響大、頻次低的事件，組織需根據(jù)風(fēng)險狀況和容忍度，以不同的方式加以防范。

　　數(shù)據(jù)代理或信息代理

　　“數(shù)據(jù)代理”或“信息代理”這兩個術(shù)語既指一類合法的服務(wù)提供商，又指非法的網(wǎng)絡(luò)犯罪分子。合法的信息代理和數(shù)據(jù)聚合服務(wù)可能從法庭記錄、土地登記、財產(chǎn)銷售記錄、社交媒體檔案、電話簿、企業(yè)注冊登記和婚姻記錄等公共信息源獲取數(shù)據(jù)，以收集人員和企業(yè)情報。這些信息可以拿來與營銷人員、研究人員和公司企業(yè)有償共享。惡意數(shù)據(jù)代理從事非法勾當(dāng)，比如在暗網(wǎng)和數(shù)據(jù)泄露市場兜售竊取的材料和機(jī)密數(shù)據(jù)。

　　近年來，RaaS模式的迅猛增長推動了IAB職業(yè)化。這類RaaS產(chǎn)品由成熟的APT團(tuán)伙開發(fā)，比如Wizard Spider（RYUK RaaS）、Gold Southfield（REvil RaaS）和FIN7（DarkSide RaaS）。作為該產(chǎn)品的一部分，這類APT/RaaS團(tuán)伙為其客戶提供支持、門戶網(wǎng)站訪問以及每月訂閱服務(wù)，經(jīng)常與客戶搞加盟關(guān)系。

　　在這類加盟協(xié)議中，RaaS團(tuán)伙將在任何加盟機(jī)構(gòu)從勒索目標(biāo)所得的利潤中抽取分成。除了拿敏感數(shù)據(jù)勒索受害者外，許多犯罪團(tuán)伙還獲取了受害者的員工/客戶信息。這些被泄露的敏感信息數(shù)據(jù)可能包括社會保險號碼（SSN）、信用卡信息、購買歷史記錄和帳戶登錄信息，并與其他產(chǎn)品捆綁兜售。這就是所謂的數(shù)據(jù)代理。