根据欧洲国际刑警的欧洲网络犯罪中心(EC3)发布的《2016互联网有组织的犯罪威胁评估》报告预警，2016年的网络犯罪在体量和范围上不断上升。实际上，网络犯罪活动的发生率在一些欧洲国家已经超过了传统犯罪。EC3认为，网络犯罪之所以不断呈上长趋势，一个关键原因在于数字空间中的地下组织由成熟的“犯罪即服务”(CaaS)模式支撑，CaaS可源源不断的为下到普通的网络犯罪分子，上到网络犯罪集团，提供各种各样的工具和服务。

从近期网络犯罪的发展趋势来看，它们不但在技术上越来越高超，而且在发展模式上也越来越极具创意和多样性，截至目前，总共有三种类型的网络犯罪模式：

一、平台模式

目前新兴的像Adwind “恶意软件即服务（Malware-as-a-Service，MaaS）”的模式可以帮助缺乏技术经验的个人在其平台上购买或租赁 Angler、Neutrino、RIG 等流行的漏洞利用工具包，这种商业模型的发展毫无疑问将极大降低了网络犯罪的技术门槛，开启了网络犯罪的服务新模式。MaaS商业模型兴起的原因主要有一下四个方面：

1. 易用

漏洞利用工具包的主要卖点之一是易用性。所有内容都经过预编码，客户可以将内嵌的控制台和对用户友好的 Web 界面结合使用，策划自己所需要的网络攻击。

有时候，如果用户真的遇到了麻烦，他们还可以选择与技术支持联系，获取漏洞包配置方面的协助，或者启用更加高级的功能。

2. 性价比

大多数漏洞工具包都有买断和出租两种销售模式，这样可以最大化满足不同消费能力的网络罪犯。此外，它们还能够向被感染网站稳定地传输网络流量。

这保证了消费者可以用低投入换取优秀的投资回报，如果他们使用 Angler 、Neutrino 等最为著名的漏洞工具包，报酬将更为可观。此外，很多漏洞包都带有安装即收费功能，消费者可以只为成功的感染买单，进一步降低攻击成本。

3. 灵活

大多数漏洞工具包都带有多种配置模式及插件，攻击者甚至可以选择自制恶意软件作为主要的攻击载荷，可定制性非常高。

因此选择就很多了。攻击者可以使用勒索软件锁定受害者在使用的设备、用银行木马窃取个人信息、让受感染设备加入僵尸网络，或者发动针对性攻击。

每种漏洞利用包都内置了关于 Adobe Flash、Web 浏览器等应用的漏洞，这让它们完全有能力做到这些。

4. 隐匿

如果将漏洞利用工具打包，意味着暴露面就越少。因此，大多数漏洞包都附带了多种逃避传统反病毒软件检测的方法。比如使用多态滴入、每天更改目标设备上的恶意代码、使用比特币作为支付手段等。

所以易用、性价比、灵活和隐匿四个特点决定了MaaS模式在未来将继续吸引更多的网络犯罪者。

二、开源模式

像Mirai、Zeus 等恶意代码开源模式，开启了“潘多拉之盒”，造成了这些恶意代码家族的变种泛滥、影响巨大（对运营商、对金融系统，效果已经显而易见），这种“开源”模式极大的增加了恶意代码的威胁能力和预防难度。

三、勒索软件即服务（RaaS）

许多人把2016年称为勒索软件年，今年勒索软件和银行木马保持了最流行的恶意软件地位，而且在可见的将来这个趋势不大可能改变。

Check Point近日发布了十大计算机恶意软件排行榜，我们可以看出不但Locky勒索软件首次进入前三，成为目前最危险的恶意软件之一，而且勒索软件和银行木马总共占了4席（分别是Locky、Zeus、Tinba、 Cryptowall）

1.Conficker

Conficker是一种针对微软的Windows操作系统的计算机蠕虫病毒，Conficker病毒最早的版本出现在2008年秋季。 Conficker作为一种“感染”工具，传播主要通过运行Windows系统的服务的缓冲区漏洞。不过当Conficker蠕虫病毒接收来自C＆C服务器的指令时，它们还可以下载其他恶意软件、窃取凭证或禁用安全软件 。

2.Sality

Sality病毒出现于2003年，它能够通过不同的方法感染计算机，这一病毒被认为源于俄罗斯。Sality是一种多形态的恶意软件，它不断发展变化并难以被检测到，而且通过感染可执行文件并下载更加复杂的恶意软件实施攻击。它就像Conficker一样，通过一个巨大的僵尸网络受控。

3. Locky（勒索软件）

Locky是勒索软件家族新成员，出现于2016年年初，通过RSA-2048和AES-128算法对100多种文件类型进行加密。Locky通过漏洞工具包或包含JS、WSF、 HTA或LNK文件的电子邮件传播。

4. Cutwail

Cutwail是一款僵尸网络，用于DDoS攻击并发送垃圾邮件。Cutwail使用了简单的星形结构，命令和控制服务器位于中间。

5. Zeus（银行木马）

Zeus是几年前出现的一款银行木马，其源码在几年前就被泄露。Zeus是当前许多针对桌面用户的银行木马的基础。Zeus利用浏览器中间人键盘日志和形式抓取方式窃取客户数据。

6. Chanitor

Chanitor又被称为Hancitor 或H1N1,使用垃圾邮件来传播木马。

7. Tinba（银行木马）

Tinba也被称为Tiny Banker或Zusy，是世界上最小的银行木马之一，过去它的感染目标一直都是亚洲国家。Tinba使用网络感染来攻陷浏览器并在真实的银行门户网站上显示虚假的网页。

8. Cryptowall（勒索软件）

Cryptowall是CryptoLocker勒索软件的变种。骗子通过恶意广告和钓鱼来传播Cryptowall勒索软件。

9.Blackhole

Blackhole是一种恶意程序工具包，作者是现年29岁的俄罗斯人Dmitry Fedotov。Blackhole被无数犯罪集团利用，目前Fedotov已被警方逮捕。

10. Nivdort

Nivdort又称Bayrob，是在2007年出现的模块化木马。骗子通过垃圾邮件传播Nivdort并用它来收集密码、修改系统设置或下载其他恶意软件。

勒索软件即服务（RaaS）模式是指，勒索软件编写者开发出恶意代码，并提供给其他犯罪分子(有时通过购买)，让他们可以通过网络钓鱼或其他攻击发送给目标用户。

Check Point威胁情报部门经理Maya Horowitz表示：

这些组织已经发展的日益强大，组织有序，精于扩大感染率，发展自身组织规模以及逃避检测。

破解RaaS产业链已经不是什么新鲜事了。今年6月，网络安全情报公司Flashpoint的安全研究人员就发现了一个代销商组织网络（affiliate network）。

随着MalwareHunterTeam新发现了一个名为“Popcorn Time”的勒索软件，RaaS的模式又多了一种方法就是发展下线的“传销”模式，像“Popcorn Time”这类型的恶意软件，将来可能只会越来越多，就是只要你认为朋友能够伤害，那你完全可以向其他人发送恶意链接，发展“下线”，通过感染新受害者，并让他们支付赎金，来获得一个免费的解密密钥。