51CTO首屆中國APP創新評選大賽正在招募>>

巴西和俄羅斯的網絡犯罪地下市場是安全研究人員接觸最多的地下黑市，因為這些地下市場相對來說比較開放，而且活躍程度高，同時有大量在線論壇供網絡罪犯進行交流。歷史上，這兩個地下市場各自獨立發展，都創造出了適用于本區域情況的網絡攻擊技術（例如巴西的“Boleto”惡意軟件，或者是俄羅斯的針對手機銀行的惡意軟件）。但是，卡巴斯基實驗室研究人員經過調查發現，巴西和俄羅斯的網絡罪犯在最近幾年已經建立起一套合作系統。巴西的網絡罪犯會在俄羅斯地下論壇尋找惡意軟件樣本，購買最新的犯罪軟件和ATM/PoS惡意軟件，或者提供自己的服務。這種交易是雙向的，通過這種合作，加快了惡意軟件的演化和發展。

我們在一個俄羅斯網絡罪犯經常使用的地下論壇上發現了合作的跡象。在其中的一個帖子中，一個用戶名為Doisti74的用戶表示想要購買巴西“loads”，這是網絡罪犯之間使用的一種黑話，意識是在位于巴西的計算機用戶的系統上成功安裝惡意軟件。

卡巴斯基實驗室的研究人員注意到在巴西的網絡犯罪地下論壇中同樣有一個使用這一名稱的用戶，而且該用戶在這些論壇上相當活躍，并最終證實該用戶正在大肆傳播用戶感染巴西用戶的勒索軟件。

另外一個案例則顯示了網絡罪犯是如何共享惡意基礎設施的。在一種俄羅斯的網銀木馬家族（Crishi）開始在烏克蘭的反濫用托管服務中使用一種算法生成域名幾個月后，巴西的Boleto惡意軟件幕后網絡罪犯也開始使用這種基礎設施。如果Boleto幕后的網絡罪犯和域名生成算法幕后的網絡罪犯之間沒有合作的話，研究人員和執法機關就不可能對網絡罪犯所使用的命令和服務器進行定位，或者將非常難以查找。

網絡罪犯之間還會互相借鑒惡意技術。例如，至少在2011年之前，巴西的網絡罪犯一直在使用PAC技術。這是一種過時的技術，但是有些瀏覽器仍然支持這一技術，將受害者重定向到假冒的銀行網頁。之后過了不到半年，卡巴斯基實驗室研究人員在Capper惡意軟件檢測到同一技術。而這種Capper惡意軟件是一種網銀木馬，攻擊目標是俄羅斯的銀行，起編寫者很可能也是俄羅斯的網絡罪犯。

上述這些案例只是卡巴斯基實驗室研究人員在過去發現的巴西和俄羅斯網絡罪犯合作證據中的一小部分。

卡巴斯基實驗室安全研究院Thiago Marques說: “幾年前，巴西的網銀惡意軟件非常簡單，而且很容易檢測。但是隨著時間的推移，這些惡意軟件的編寫者采取了多樣的技術來躲避檢測，其中包括代碼混淆技術、rootkit和bootkit功能等，使得這些惡意軟件變得更為復雜，更加難以應對。這些進步都得利于俄羅斯網絡罪犯所開發的惡意技術。而且他們之間的合作是雙向的.”

“卡巴斯基實驗室在追蹤和對抗俄羅斯和拉丁美洲地下網絡犯罪組織方面的經驗是不可比擬的。我們的安全專家能夠在某種威脅趨勢廣泛傳播之前就將其檢測出來，我們目前正在利用這種能力對抗全球方位的區域威脅。我們認為，要打擊這類國際性威脅，最好的手段是對這些攻擊行為進行國際調查。正如網絡犯罪是無國家一樣，我們所進行的調查應當也不受國界的限制。”