一份新报告揭示了互联网勒索软件生态系统的复杂性,得出的结论是,与勒索软件团体合作的行为者需要比目前更多的关注。
该报告详细介绍了威胁行为者如何部署多种勒索技术(通常是同时使用),以迫使公司进行谈判并最终支付费用来保护和/或检索其数据。
通过了解勒索软件组织最常使用的攻击媒介,企业可以采取行动保护自己。密码管理器例如,可以确保您的企业员工不会通过薄弱的账户凭证轻易进入。
勒索软件即服务正在蓬勃发展
站得住脚的报告 解释说,最近勒索软件热潮背后的一个关键原因是“勒索软件即服务 (RaaS) 的出现”。
本质上,RaaS 是一种服务模型,就像软件即服务一样。 勒索软件组织制作了该软件,但其他参与者最终闯入系统并部署该软件。
在此之前,勒索软件组织本身会执行该过程中的每项操作,但现在,系统变得更加复杂,并且存在多个阶段,较小的参与者可以在其中赚钱。
勒索软件生态系统解释
Tenable 解释说,重要的是,勒索软件生态系统不仅仅由勒索软件团体组成。 勒索软件团体是“产品”的创建者和所有者,因此受到了很多关注,但总而言之,该公司确定了在大多数勒索软件攻击中发挥作用的三个主要“角色”:IAB、附属机构和勒索软件团体。
初始访问代理 (IAB) 是一个“专门的网络犯罪分子群体,负责通过各种手段获取对组织的访问权限”。
报告解释说,IAB 并没有利用未经授权的访问权限来策划自己的勒索软件攻击,而是“在受害者组织的网络中保持持久性,并将其出售给网络犯罪生态系统中的其他个人或团体。”
2019 年 IAB 市场价值 160 万美元,但到 2021 年将增长至 710 万美元(IB组)。 这个数字比勒索软件链中其他地方赚到的钱要小得多,因为风险要小得多。
2019 年初始访问经纪人 (IAB) 市场价值 160 万美元,但到 2021 年将增长至 710 万美元 – Group-IB
IAB 闯入后,被称为附属机构的参与者将以几百到几千美元的价格购买他们开采的访问权限。 或者,他们将使用暴力破解远程桌面协议系统、网络钓鱼、系统漏洞或被盗凭据等攻击媒介来闯入公司服务器。
报告称,这些行为者的工作方式与联盟营销人员非常相似,他们在正常、合法的商业行为中寻找线索——他们感染系统,让勒索软件组织“完成交易”并启动谈判过程。
附属机构通常接受勒索软件团体本身的指导,帮助测试和利用他们的作品。
“双倍”、“三倍”和“四倍”勒索如何让公司付出代价
传统上,勒索软件组织会对公司的文件进行加密,并让他们付费解密。 但如今,大多数公司都有安全的文件备份,因此这种方法变得越来越无效。
然而,过去几年,“双重勒索”已成为许多勒索软件团伙的标配。 这包括在暗网论坛和泄密网站上“从受害者组织中窃取数据并发布预告片”。 公司担心私人和机密信息会在网上泄露,随后就会付出代价。
2021 年,REvil 获得了1100万美元付款 尽管该公司的系统在付款时“完全运行”,但 JBS 仍拒绝支付该费用。
然而,这种策略现在已经有几年的历史了,Tenable 表示,其他技术正在协同使用,进行“三重”甚至“四重”勒索企图。
方法包括联系被盗数据所涉及的客户、威胁将被盗数据出售给最高出价者,以及警告受害者不要联系执法机构。
关注勒索软件团体之外的问题
该报告建议,IAB 及其附属机构在勒索软件生态系统中发挥的关键作用应得到更多关注。
勒索软件团体本质上是无常的。 他们取得的成功越多,就越多的附属机构希望转向他们并使用他们的软件,但反过来,也有越多的执法机构试图追踪他们。
许多“臭名昭著”的勒索软件团体如今成为头条新闻,例如康蒂 组是其他勒索软件组的后继者。 如果你开始对一个团体进行调查,一年后它甚至可能不存在。 然而,IAB 及其附属机构将会这样做。
企业可以采取哪些措施来保护自己?
Tenable 提供了企业可以采取的多种不同的缓解措施,以确保他们不会成为勒索软件攻击的下一个受害者。 其中包括使用多重身份验证、持续审核帐户的用户权限、修补网络中的易受攻击的资产、强化远程桌面协议以及使用适当的方法防毒软件。
该列表还包括加强员工的密码,并建议“密码要求包括冗长和非字典单词”。 确保密码足够长而无需记住密码的一种方法是使用密码管理器,这还允许您的员工为他们拥有的所有帐户创建唯一的密码,而不是重复使用它们。
随着 RaaS 市场以及参与其中的恶意团体没有出现放缓的迹象,对您的数据采取最严格的预防措施变得前所未有的重要。