勒索软件全球肆虐促进了暗网生态系统的蓬勃发展

VSole2022-08-08 18:02:43

以合适的价格,威胁参与者几乎可以获得任何他们想要发起勒索软件攻击的东西——即使没有技术技能或任何以前的经验。 地下经济正在蓬勃发展——这是由不断发展的勒索软件行业推动的。

暗网现在拥有数百个蓬勃发展的市场,可以在其中以各种价位获得各种专业的勒索软件产品和服务。

Venafi和Forensic Pathways的研究人员在2021年11月至2022年3月期间分析了大约 3500万个暗网URL(包括论坛和市场),发现了475个网页,其中包含勒索软件毒株、勒索软件源代码、构建和定制开发服务以及完整的列表。成熟的勒索软件即服务 (RaaS) 产品。

大量勒索软件工具

研究人员确定了页面上列出的30个不同的勒索软件系列,并发现了以前与攻击知名目标相关的知名变种的广告,例如DarkSide/BlackCat、Babuk、Egregor和 GoldenEye。这些经过验证的攻击工具的价格往往明显高于鲜为人知的变体。

例如,DarkSide的定制版本——Colonial Pipeline攻击中使用的勒索软件——定价为1,262美元,而一些变体的价格低至0.99美元。与此同时,Babuk勒索软件的源代码标价为950美元,而Paradise变种的源代码售价为593美元。

“其他黑客很可能会购买勒索软件源代码来修改它并创建自己的变体,就像开发人员使用开源解决方案并修改它以满足他们公司的需求一样,” Venafi 的安全策略和威胁情报 副总裁Kevin Bocek表示。 

Bocek说,威胁行为者使用Babuk等变体取得了成功,该变体去年曾用于对华盛顿特区警察局的攻击,这使得源代码更具吸引力。“因此,您可以了解为什么威胁行为者希望使用该菌株作为开发自己的勒索软件变体的基础。”

无需经验即可上手

Venafi研究人员发现,在许多情况下,通过这些市场提供的工具和服务(包括分步教程)旨在允许具有最少技术技能和经验的攻击者对他们选择的受害者发起勒索软件攻击。 

“研究发现,勒索软件菌株可以在暗网上直接购买,而且一些‘供应商’提供额外服务,如技术支持和付费附加服务,例如勒索软件攻击的无法杀死的进程,以及教程,”Bocek说。

其他供应商报告称,勒索软件参与者越来越多地使用初始访问服务,以在目标网络上站稳脚跟。初始访问代理 (IAB) 是威胁行为者,它们向其他威胁行为者出售对先前被破坏的网络的访问权限。

IAB经纪蓬勃发展

今年早些时候Intel471的一项研究发现,勒索软件攻击者和IAB之间的联系越来越紧密。在这个领域最活跃的参与者是Jupiter,它是一个威胁参与者,在今年第一季度可以访问多达1,195个受感染的网络;另外一个Neptune,在同一时间范围内列出了1,300 多个待售访问凭证。 

Intel471发现使用这些服务的勒索软件运营商包括Avaddon、Pysa/Mespinoza和 BlackCat。

通常,访问是通过受损的Citrix、Microsoft远程桌面和Pulse Secure VPN凭据提供的。Trustwave的SpiderLabs密切关注暗网上各种产品和服务的价格,并将VPN凭证描述为地下论坛中最昂贵的商品。根据供应商的说法,VPN访问的价格可能高达5,000 美元 ,甚至更高,具体取决于组织的类型和它提供的访问权限。

“我预计勒索软件会像过去几年那样肆虐,”Bocek说,“机器身份的滥用也将导致勒索软件从感染单个系统转移到接管整个服务,例如云服务或物联网设备网络。” 

勒索运营者层次不齐 

与此同时,本周发布的另一项研究——Check Point的年中威胁报告——显示,勒索软件领域的玩家数量远远多于人们普遍认为的。Check Point研究人员分析了该公司事件响应活动的数据,发现虽然一些勒索软件变体(例如 Conti、Hive和Phobos)比其他变体更常见,但它们并未占攻击的大部分。事实上,Check Point工程师响应的勒索软件事件中有72%涉及他们之前只遇到过一次的变体。

报告称:“这表明,与某些假设相反,勒索软件领域并非仅由少数几个大团体主导,而是实际上是一个分散的生态系统,其中有多个较小的参与者,这些参与者不像较大的团体那样广为人知。”

Check Point与Venafi 一样,将勒索软件描述为继续对企业数据安全构成最大风险,就像过去几年一样。这家安全供应商的报告强调了今年早些时候Conti集团对哥斯达黎加(以及随后对秘鲁)的勒索软件攻击等活动,作为威胁行为者为了追求经济利益而扩大其目标范围的例子。 

勒索软件大鱼

一些较大的勒索软件集团已经发展到雇佣数百名黑客、收入数亿美元的地步,并且能够投资于研发团队、质量保证计划和专家谈判代表等方面。Check Point警告说,越来越多的大型勒索软件组织已经开始获得民族国家行为者的能力。

Check Point表示,与此同时,此类团体已开始受到政府和执法部门的广泛关注,可能会鼓励他们保持法律形象。例如,美国政府悬赏1000万美元奖励导致识别和/或逮捕Conti成员的信息,并悬赏500万美元奖励 抓获Conti的团体。这被认为促成了今年早些时候Conti集团决定停止运营。

“将从Conti勒索软件组织中吸取教训,”Check Point在其报告中说。“它的规模和力量获得了太多的关注,促成为了它的解散或改换门庭。展望未来,我们相信会有更多的中小型勒索团伙,而不是少数大型集团,这样他们就可以更容易地被忽视。” 

参考来源

https://www.darkreading.com/risk/ransomware-explosion-thriving-dark-web-ecosystem

文章来源:网空闲话

软件暗网
本作品采用《CC 协议》,转载必须注明作者和本文链接
OMB将执行新指南并管理实施时间范围内的延期请求。该命令行工具是为渗透测试人员和其他攻击性安全专业人员创建的。TeamTNT通过恶意云镜像攻击15万个Docker容器 TeamTNT威胁组织成员明显的操作安全失误暴露了它用来利用配置不当的Docker服务器的一些策略。布宜诺斯艾利斯立法机构宣布遭勒索软件攻击 阿根廷首都的立法机关本周宣布遭到勒索软件攻击,称其内部操作
新冠疫情所致远程办公和云端迁移的大潮,为络罪犯开辟了新的途径。2021年,在远程工作状态影响下,世界各地的络攻击急剧上升,勒索软件络钓鱼、人为错误操作等导致的数据泄露不断增加,全球范围内络威胁依旧不断。特别是勒索软件的高度猖獗,在上半年的攻击次数已达到3.047亿,同比增长达151%,远超2020年全年攻击总数,对多国家、多行业、多领域造成不同程度的影响。
近日美国软件企业卡西亚公司遭勒索软件攻击,其客户企业中有800家至1500家受波及。今年以来,全球勒索软件攻击有愈演愈烈之势,给经济和社会生活造成严重损失,已成为络安全主流威胁之一。勒索软件攻击自20世纪80年代末出现,其攻击模式不断发展演化,呈现新的特点和趋势,包括更多地针对高价值目标、负面影响扩大、逐渐形成络犯罪“产业链”、越来越多地采用双重勒索策略等。
2016到2017年,勒索软件市场经历了2,502%的增长率。此数值指的是罪犯花在勒索软件上的钱,不是受害者支付的赎金。该市场的驱动因素很多,包括:勒索软件的技术简单性、勒索软件即服务(RaaS)的兴起、罪犯投资回报的保障、以Tor和加密货币潜踪匿迹的可用性,以及受害者基本安全控制的缺乏。
The Record 站披露,美国最大的产权保险公司富达国民金融(Fidelity National Financial("FNF"))子公司向所在州监管机构报告了一起数据泄露事件,并指出有 1316938 人的数据信息被入侵其母公司的威胁攻击者盗取。
预计2022年将增长36%,2023年将增长31%。Markets and Markets的另一项预测显示,全球在基于零信任的软件和服务上的支出将从2022年的274亿美元增长到2027年的607亿美元,复合年增长率为17.3%。
随着全球加密货币规模正在超高速的增长,加密货币的安全存储成为了关键的一环。去年一年,加密货币行业已逐步从2022年的丑闻、市场暴跌中复苏过来,市场热度也逐步回升。与此同时,与加密货币有关的络犯罪也再度活跃。
臭名昭著的勒索软件集团LockBit声称目前已经在站上传播了印尼伊斯兰教银行客户和雇员的1.5TB数据。
Clop勒索软件团在2021年10月对IT服务提供商Dacoll进行了一次成功的络钓鱼攻击后,获取了大量资料,包括警方国家计算机(PNC)上的数据,Dacoll负责管理这些数据。在Dacoll拒绝支付赎金后,攻击者在上上传了数百份文件。在上传的PNC文件中,有来自英国国家自动车牌识别系统(ANPR)的司机特写照片。执法机构持有的数据遭到泄露尤其令人担忧,因为这些数据高度机密,有可能扰乱刑事
VSole
网络安全专家