以合适的价格,威胁参与者几乎可以获得任何他们想要发起勒索软件攻击的东西——即使没有技术技能或任何以前的经验。地下经济正在蓬勃发展——这是由不断发展的勒索软件行业推动的。暗网现在拥有数百个蓬勃发展的市场,可以在其中以各种价位获得各种专业的勒索软件产品和服务。
Venafi和Forensic Pathways的研究人员在2021年11月至2022年3月期间分析了大约 3500万个暗网URL(包括论坛和市场),发现了475个网页,其中包含勒索软件毒株、勒索软件源代码、构建和定制开发服务以及完整的列表。成熟的勒索软件即服务 (RaaS) 产品。
大量勒索软件工具
研究人员确定了页面上列出的30个不同的勒索软件系列,并发现了以前与攻击知名目标相关的知名变种的广告,例如DarkSide/BlackCat、Babuk、Egregor和 GoldenEye。这些经过验证的攻击工具的价格往往明显高于鲜为人知的变体。
例如,DarkSide的定制版本——Colonial Pipeline攻击中使用的勒索软件——定价为1,262美元,而一些变体的价格低至0.99美元。与此同时,Babuk勒索软件的源代码标价为950美元,而Paradise变种的源代码售价为593美元。
“其他黑客很可能会购买勒索软件源代码来修改它并创建自己的变体,就像开发人员使用开源解决方案并修改它以满足他们公司的需求一样,”Venafi 的安全策略和威胁情报副总裁Kevin Bocek表示。
Bocek说,威胁行为者使用Babuk等变体取得了成功,该变体去年曾用于对华盛顿特区警察局的攻击,这使得源代码更具吸引力。“因此,您可以了解为什么威胁行为者希望使用该菌株作为开发自己的勒索软件变体的基础。”
无需经验即可上手
Venafi研究人员发现,在许多情况下,通过这些市场提供的工具和服务(包括分步教程)旨在允许具有最少技术技能和经验的攻击者对他们选择的受害者发起勒索软件攻击。
“研究发现,勒索软件菌株可以在暗网上直接购买,而且一些‘供应商’提供额外服务,如技术支持和付费附加服务,例如勒索软件攻击的无法杀死的进程,以及教程,”Bocek说。
其他供应商报告称,勒索软件参与者越来越多地使用初始访问服务,以在目标网络上站稳脚跟。初始访问代理 (IAB) 是威胁行为者,它们向其他威胁行为者出售对先前被破坏的网络的访问权限。
IAB经纪蓬勃发展
今年早些时候Intel471的一项研究发现,勒索软件攻击者和IAB之间的联系越来越紧密。在这个领域最活跃的参与者是Jupiter,它是一个威胁参与者,在今年第一季度可以访问多达1,195个受感染的网络;另外一个Neptune,在同一时间范围内列出了1,300 多个待售访问凭证。
Intel471发现使用这些服务的勒索软件运营商包括Avaddon、Pysa/Mespinoza和 BlackCat。
通常,访问是通过受损的Citrix、Microsoft远程桌面和Pulse Secure VPN凭据提供的。Trustwave的SpiderLabs密切关注暗网上各种产品和服务的价格,并将VPN凭证描述为地下论坛中最昂贵的商品。根据供应商的说法,VPN访问的价格可能高达5,000 美元 ,甚至更高,具体取决于组织的类型和它提供的访问权限。
“我预计勒索软件会像过去几年那样肆虐,”Bocek说,“机器身份的滥用也将导致勒索软件从感染单个系统转移到接管整个服务,例如云服务或物联网设备网络。”
勒索运营者层次不齐
与此同时,本周发布的另一项研究——Check Point的年中威胁报告——显示,勒索软件领域的玩家数量远远多于人们普遍认为的。Check Point研究人员分析了该公司事件响应活动的数据,发现虽然一些勒索软件变体(例如 Conti、Hive和Phobos)比其他变体更常见,但它们并未占攻击的大部分。事实上,Check Point工程师响应的勒索软件事件中有72%涉及他们之前只遇到过一次的变体。
报告称:“这表明,与某些假设相反,勒索软件领域并非仅由少数几个大团体主导,而是实际上是一个分散的生态系统,其中有多个较小的参与者,这些参与者不像较大的团体那样广为人知。”
Check Point与Venafi 一样,将勒索软件描述为继续对企业数据安全构成最大风险,就像过去几年一样。这家安全供应商的报告强调了今年早些时候Conti集团对哥斯达黎加(以及随后对秘鲁)的勒索软件攻击等活动,作为威胁行为者为了追求经济利益而扩大其目标范围的例子。
勒索软件大鱼
一些较大的勒索软件集团已经发展到雇佣数百名黑客、收入数亿美元的地步,并且能够投资于研发团队、质量保证计划和专家谈判代表等方面。Check Point警告说,越来越多的大型勒索软件组织已经开始获得民族国家行为者的能力。
Check Point表示,与此同时,此类团体已开始受到政府和执法部门的广泛关注,可能会鼓励他们保持法律形象。例如,美国政府悬赏1000万美元奖励导致识别和/或逮捕Conti成员的信息,并悬赏500万美元奖励抓获Conti的团体。这被认为促成了今年早些时候Conti集团决定停止运营。
“将从Conti勒索软件组织中吸取教训,”Check Point在其报告中说。“它的规模和力量获得了太多的关注,促成为了它的解散或改换门庭。展望未来,我们相信会有更多的中小型勒索团伙,而不是少数大型集团,这样他们就可以更容易地被忽视。”
参考来源
https://www.darkreading.com/risk/ransomware-explosion-thriving-dark-web-ecosystem
声明:本文来自网空闲话,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。