暗网故事,第二部分:勒索软件和分发服务的叠加造成了完美的风暴

勒索软件威胁背后的行为者,他们采用什么样的策略手段,又是如何持续寻找新的目标的,这些都是安全专业人员需要熟悉的。 Bart Lenaerts-Bergmans在CrowdStrike担任高级产品营销经理。

近几年来,勒索软件事件急剧增加。根据网络安全和基础设施保障局的数据,2021年上半年,向联邦调查局的网络犯罪投诉中心报告的勒索软件攻击事件比2020年同期增加了62%。为了遏制这种日益严重的威胁,安全专业人员需要了解勒索软件威胁背后的行为者,他们的运作方式以及他们如何不断寻找新的目标。

对REvil和Thanos等高调的勒索软件活动进行更深入的分析显示,勒索软件运营者和附属者之间的有组织的合作,利用各自的优势,帮助实施了大规模和高收益的网络犯罪。勒索软件运营者负责提供可定制、可下载和可追踪的恶意软件包,以及执行勒索的工作。勒索软件附属者负责寻找和诱骗受害者下载恶意软件包,并使用分发服务来扩大攻击范围和深度。分发服务是一些用于获取初始访问、渗透和定位受害者、并横向移动到目标资产和数据的技术。分发服务可以有多种形式,比如从访问经纪人那里购买的被盗凭证、社会工程学攻击、或者针对特定软件和系统的利用工具包。有时候,多个附属者会一起合作,造成更大的破坏,以提高勒索金额和支付概率。运营者和附属者也会分享最终的赎金,所以他们都有动力有效地完成自己的任务。这种勒索软件运营者和附属者使用分发服务的精密协作模式,构成了一场完美的风暴。

运营者和附属者的协作模式

在大规模进行勒索软件活动时,运营者和附属者(有时被称为“推动者”)分工合作,完成造成最大损害所需的工作。

运营者确保勒索软件包可以被定制、下载和追踪,当包被安装时。勒索软件运营者还承担了勒索执行者的角色,确保支付系统正常运行。CrowdStrike的研究显示,96%的支付了初始赎金的受害者还必须支付额外的勒索费用。

附属者更擅长寻找和定位受害者,并使用社会工程学技巧说服受害者下载恶意软件包。攻击的规模,以受害者的数量来衡量,通常取决于附属者的能力。

为了确保最广泛的覆盖范围,附属者使用分发服务,这是一套特定的技术,用于获取初始访问、渗透和定位受害者,并横向移动到攻击目标的关键资产和数据。分发服务可以有多种形式——从访问经纪人那里购买的被盗凭证,到社会工程学活动和针对特定软件和系统的利用工具包。

有时候,多个附属者会一起合作,造成更大的破坏,以提高勒索金额和支付概率2。运营者和附属者也会分享最终的赎金,所以他们都有动力有效地完成自己的任务。

完美风暴

勒索软件运营者和附属者使用分发服务的精密协作模式,构成了一场完美的风暴,因为它降低了两种恶意行为者进入的门槛。比如,附属者不需要懂得编写恶意程序,他们只需要专注于选择受害者并诱使他们上钩。每个威胁行为者都发挥了自己的优势,形成了一个精心编排的合作伙伴关系。

由于运营者和附属者只负责勒索软件活动的一部分,要把罪行归咎于某个特定的威胁行为者就变得更加困难。勒索软件运营者和附属者在暗网生态系统中相互保护。

这种风格的勒索软件活动也特别棘手,因为每一组行为者执行工作的复杂程度使得数据泄露很容易在数月内不被发现。例如,分发工具甚至可以具有内置的反取证能力。运营者和附属者之间的关系性质也在不断变化,使得恶意行为者更难追踪。

防御者如何避免完美风暴

安全团队要想避免勒索软件的威胁,首先需要利用威胁情报来了解暗网上的行为者和活动。追踪网络犯罪食物链的顶端,对于构建有效的防御和智能的安全策略至关重要。

当然,仅仅了解运营者和附属者的信息是不够的。你还需要了解他们使用的分发服务,以及特定的勒索软件活动是否处于休眠或活跃状态。

扫描暗网上可能出售你的数据的恶意访问经纪人,也有助于加强对抗反应。订阅那些提及你所在地区或行业的犯罪帖子的警报,这样安全团队就可以及时获取情报,并评估潜在的威胁。

最后,安全团队需要对勒索软件运营者留下的恶意文件进行事后分析。由于分发服务和运营者经常重复使用攻击工具,理解恶意软件的行为将有助于制定合适的防御措施。

安全团队需要明白的是,勒索软件活动或许会消失,但如果没有被抓住,背后的人类行为者永远不会消失。他们通常会重新改造自己,并利用复杂的运营者和工具策划新的攻击模式。

勒索软件运营者和附属者之间有利可图的合作,使得他们成为狡猾的对手,严重考验安全团队。他们使用分发服务来传播他们选择的武器,给已经危险的局面增加了另一层复杂性。安全专业人员可以依靠多种威胁情报服务,揭露复杂的暗网,识别这些运营者-附属者合作关系,并阻止恶意威胁行为者。

推荐阅读:

Cl0p网络犯罪团伙在工资数据泄露后发出最后通牒

灰色项目论坛:揭秘互联网上最暴利最隐蔽的赚钱方式

  • 点赞
  • 打赏
请选择打赏方式
  • ERC-20
  • TRC-20