一份新報告揭示了網路勒索軟體生態系統的複雜性,得出的結論是,與勒索軟體團體合作的行為者需要比目前更多的關注。
該報告詳細介紹了威脅行為者如何部署多種勒索技術(通常同時使用),以迫使公司進行談判並最終支付費用來保護和/或檢索其資料。
透過了解勒索軟體組織最常使用的攻擊媒介,企業可以採取行動保護自己。密碼管理器例如,這是確保您的企業員工不會提供帳戶憑證薄弱的簡單方法的一種方法。
勒索軟體即服務正在蓬勃發展
站得住腳的報告 解釋說,最近勒索軟體熱潮背後的一個關鍵原因是「勒索軟體即服務 (RaaS) 的出現」。
本質上,RaaS 是一種服務模型,就像軟體即服務一樣。 勒索軟體組織製作了該軟體,但其他參與者最終闖入系統並部署該軟體。
在此之前,勒索軟體組織本身會執行該過程中的每項操作,但現在,系統變得更加複雜,並且存在多個階段,較小的參與者可以在其中賺錢。
勒索軟體生態系統解釋
Tenable 解釋說,重要的是,勒索軟體生態系統不僅僅由勒索軟體團體組成。 勒索軟體團體是「產品」的創建者和所有者,因此受到了很多關注,但總而言之,該公司確定了在大多數勒索軟體攻擊中發揮作用的三個主要「角色」:IAB、附屬機構和勒索軟體團體。
初始訪問代理 (IAB) 是一個「專門的網路犯罪分子群體,負責透過各種手段獲取對組織的存取權」。
報告解釋說,IAB 並沒有利用未經授權的存取權限來策劃自己的勒索軟體攻擊,而是「在受害者組織的網路中保持持久性,並將其出售給網路犯罪生態系統中的其他個人或團體。
2019 年 IAB 市場價值 160 萬美元,但到 2021 年將成長至 710 萬美元(IB組)。 這個數字比勒索軟體鏈中其他地方賺到的錢要小得多,因為風險要小得多。
2019 年初始訪問經紀人 (IAB) 市場價值 160 萬美元,但到 2021 年將增長至 710 萬美元 – Group-IB
IAB 闖入後,被稱為附屬機構的參與者將以幾百到幾千美元的價格購買他們開採的訪問權限。 或者,他們將使用暴力破解遠端桌面協定係統、網路釣魚、系統漏洞或被盜憑證等攻擊媒介來闖入公司伺服器。
報導稱,這些行為者的工作方式與聯盟行銷人員非常相似,他們在正常、合法的商業行為中尋找線索——他們感染系統,讓勒索軟體組織「完成交易」並啟動談判過程。
附屬機構通常接受勒索軟體團體本身的指導,幫助測試和利用他們的作品。
「雙倍」、「三倍」和「四倍」勒索如何讓公司付出代價
傳統上,勒索軟體組織會對公司的文件進行加密,並讓他們付費解密。 但如今,大多數公司都有安全的文件備份,因此這種方法變得越來越無效。
然而,過去幾年,「雙重勒索」已成為許多勒索軟體團伙的標配。 這包括在暗網論壇和洩密網站上「從受害者組織中竊取資料並發布預告片」。 公司擔心私人和機密資訊會在網路上洩露,隨後就會付出代價。
2021 年,REvil 獲得了1100萬美元付款 儘管該公司的系統在付款時“完全運行”,但 JBS 仍拒絕支付該費用。
然而,這種策略現在已經有幾年的歷史了,Tenable 表示,其他技術正在協同使用,進行「三重」甚至「四重」勒索企圖。
方法包括聯繫被盜資料所涉及的客戶、威脅將被盜資料出售給最高出價者,以及警告受害者不要聯繫執法機構。
關注勒索軟體團體以外的問題
該報告建議,IAB 及其附屬機構在勒索軟體生態系統中發揮的關鍵作用應受到更多關注。
勒索軟體團體本質上是無常的。 他們取得的成功越多,就越多的附屬機構希望轉向他們並使用他們的軟體,但反過來,也有越多的執法機構試圖追蹤他們。
許多「臭名昭著」的勒索軟體團體如今成為頭條新聞,例如康蒂 組是其他勒索軟體組的後繼者。 如果你開始對一個團體進行調查,一年後它甚至可能不存在。 然而,IAB 及其附屬機構將會這樣做。
企業可以採取哪些措施來保護自己?
Tenable 提供了企業可以採取的多種不同的緩解措施,以確保他們不會成為勒索軟體攻擊的下一個受害者。 其中包括使用多重身份驗證、持續審核帳戶的使用者權限、修補網路中的易受攻擊的資產、強化遠端桌面協定以及使用適當的方法防毒軟體。
該清單還包括加強員工的密碼,並建議「密碼要求包括冗長和非字典單字」。 確保密碼足夠長而無需記住密碼的一種方法是使用密碼管理器,這也允許您的員工為他們擁有的所有帳戶建立唯一的密碼,而不是重複使用它們。
隨著 RaaS 市場以及參與其中的惡意團體沒有放緩的跡象,對您的數據採取最嚴格的預防措施變得前所未有的重要。