您所在的位置: 首頁 >
新聞資訊 >
威脅情報 >
勒索攻擊全球肆虐促進了暗網(wǎng)生態(tài)系統(tǒng)的蓬勃發(fā)展
以合適的價格,威脅參與者幾乎可以獲得任何他們想要發(fā)起勒索軟件攻擊的東西——即使沒有技術(shù)技能或任何以前的經(jīng)驗。地下經(jīng)濟正在蓬勃發(fā)展——這是由不斷發(fā)展的勒索軟件行業(yè)推動的。暗網(wǎng)現(xiàn)在擁有數(shù)百個蓬勃發(fā)展的市場,可以在其中以各種價位獲得各種專業(yè)的勒索軟件產(chǎn)品和服務(wù)。
Venafi和Forensic Pathways的研究人員在2021年11月至2022年3月期間分析了大約 3500萬個暗網(wǎng)URL(包括論壇和市場),發(fā)現(xiàn)了475個網(wǎng)頁,其中包含勒索軟件毒株、勒索軟件源代碼、構(gòu)建和定制開發(fā)服務(wù)以及完整的列表。成熟的勒索軟件即服務(wù) (RaaS) 產(chǎn)品。
大量勒索軟件工具
研究人員確定了頁面上列出的30個不同的勒索軟件系列,并發(fā)現(xiàn)了以前與攻擊知名目標相關(guān)的知名變種的廣告,例如DarkSide/BlackCat、Babuk、Egregor和 GoldenEye。這些經(jīng)過驗證的攻擊工具的價格往往明顯高于鮮為人知的變體。
例如,DarkSide的定制版本——Colonial Pipeline攻擊中使用的勒索軟件——定價為1,262美元,而一些變體的價格低至0.99美元。與此同時,Babuk勒索軟件的源代碼標價為950美元,而Paradise變種的源代碼售價為593美元。
“其他黑客很可能會購買勒索軟件源代碼來修改它并創(chuàng)建自己的變體,就像開發(fā)人員使用開源解決方案并修改它以滿足他們公司的需求一樣,”Venafi 的安全策略和威脅情報副總裁Kevin Bocek表示。
Bocek說,威脅行為者使用Babuk等變體取得了成功,該變體去年曾用于對華盛頓特區(qū)警察局的攻擊,這使得源代碼更具吸引力?!耙虼耍梢粤私鉃槭裁赐{行為者希望使用該菌株作為開發(fā)自己的勒索軟件變體的基礎(chǔ)?!?/span>
無需經(jīng)驗即可上手
Venafi研究人員發(fā)現(xiàn),在許多情況下,通過這些市場提供的工具和服務(wù)(包括分步教程)旨在允許具有最少技術(shù)技能和經(jīng)驗的攻擊者對他們選擇的受害者發(fā)起勒索軟件攻擊。
“研究發(fā)現(xiàn),勒索軟件菌株可以在暗網(wǎng)上直接購買,而且一些‘供應(yīng)商’提供額外服務(wù),如技術(shù)支持和付費附加服務(wù),例如勒索軟件攻擊的無法殺死的進程,以及教程,”Bocek說。
其他供應(yīng)商報告稱,勒索軟件參與者越來越多地使用初始訪問服務(wù),以在目標網(wǎng)絡(luò)上站穩(wěn)腳跟。初始訪問代理 (IAB) 是威脅行為者,它們向其他威脅行為者出售對先前被破壞的網(wǎng)絡(luò)的訪問權(quán)限。
IAB經(jīng)紀蓬勃發(fā)展
今年早些時候Intel471的一項研究發(fā)現(xiàn),勒索軟件攻擊者和IAB之間的聯(lián)系越來越緊密。在這個領(lǐng)域最活躍的參與者是Jupiter,它是一個威脅參與者,在今年第一季度可以訪問多達1,195個受感染的網(wǎng)絡(luò);另外一個Neptune,在同一時間范圍內(nèi)列出了1,300 多個待售訪問憑證。
Intel471發(fā)現(xiàn)使用這些服務(wù)的勒索軟件運營商包括Avaddon、Pysa/Mespinoza和 BlackCat。
通常,訪問是通過受損的Citrix、Microsoft遠程桌面和Pulse Secure VPN憑據(jù)提供的。Trustwave的SpiderLabs密切關(guān)注暗網(wǎng)上各種產(chǎn)品和服務(wù)的價格,并將VPN憑證描述為地下論壇中最昂貴的商品。根據(jù)供應(yīng)商的說法,VPN訪問的價格可能高達5,000 美元 ,甚至更高,具體取決于組織的類型和它提供的訪問權(quán)限。
“我預(yù)計勒索軟件會像過去幾年那樣肆虐,”Bocek說,“機器身份的濫用也將導(dǎo)致勒索軟件從感染單個系統(tǒng)轉(zhuǎn)移到接管整個服務(wù),例如云服務(wù)或物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)?!?/span>
勒索運營者層次不齊
與此同時,本周發(fā)布的另一項研究——Check Point的年中威脅報告——顯示,勒索軟件領(lǐng)域的玩家數(shù)量遠遠多于人們普遍認為的。Check Point研究人員分析了該公司事件響應(yīng)活動的數(shù)據(jù),發(fā)現(xiàn)雖然一些勒索軟件變體(例如 Conti、Hive和Phobos)比其他變體更常見,但它們并未占攻擊的大部分。事實上,Check Point工程師響應(yīng)的勒索軟件事件中有72%涉及他們之前只遇到過一次的變體。
報告稱:“這表明,與某些假設(shè)相反,勒索軟件領(lǐng)域并非僅由少數(shù)幾個大團體主導(dǎo),而是實際上是一個分散的生態(tài)系統(tǒng),其中有多個較小的參與者,這些參與者不像較大的團體那樣廣為人知?!?/span>
Check Point與Venafi 一樣,將勒索軟件描述為繼續(xù)對企業(yè)數(shù)據(jù)安全構(gòu)成最大風(fēng)險,就像過去幾年一樣。這家安全供應(yīng)商的報告強調(diào)了今年早些時候Conti集團對哥斯達黎加(以及隨后對秘魯)的勒索軟件攻擊等活動,作為威脅行為者為了追求經(jīng)濟利益而擴大其目標范圍的例子。
勒索軟件大魚
一些較大的勒索軟件集團已經(jīng)發(fā)展到雇傭數(shù)百名黑客、收入數(shù)億美元的地步,并且能夠投資于研發(fā)團隊、質(zhì)量保證計劃和專家談判代表等方面。Check Point警告說,越來越多的大型勒索軟件組織已經(jīng)開始獲得民族國家行為者的能力。
Check Point表示,與此同時,此類團體已開始受到政府和執(zhí)法部門的廣泛關(guān)注,可能會鼓勵他們保持法律形象。例如,美國政府懸賞1000萬美元獎勵導(dǎo)致識別和/或逮捕Conti成員的信息,并懸賞500萬美元獎勵抓獲Conti的團體。這被認為促成了今年早些時候Conti集團決定停止運營。
“將從Conti勒索軟件組織中吸取教訓(xùn),”Check Point在其報告中說。“它的規(guī)模和力量獲得了太多的關(guān)注,促成為了它的解散或改換門庭。展望未來,我們相信會有更多的中小型勒索團伙,而不是少數(shù)大型集團,這樣他們就可以更容易地被忽視?!?/span>
參考來源
https://www.darkreading.com/risk/ransomware-explosion-thriving-dark-web-ecosystem
來源:網(wǎng)空閑話