曝光勒索软件的黑暗产业
发布时间:2022-07-26 16:16:50 所属栏目:安全 来源:互联网
导读:研究表明,勒索软件团伙正在采用企业的所有核心要素进行攻击,其中包括员工角色、营销计划、合作伙伴生态系统,甚至风险资本投资。 日益频繁的勒索软件攻击引起了人们的关注,导致一些顶级网络论坛在今年早些时候禁止在其平台上讨论勒索软件活动和进行交易。
|
研究表明,勒索软件团伙正在采用企业的所有核心要素进行攻击,其中包括员工角色、营销计划、合作伙伴生态系统,甚至风险资本投资。 日益频繁的勒索软件攻击引起了人们的关注,导致一些顶级网络论坛在今年早些时候禁止在其平台上讨论勒索软件活动和进行交易。虽然有些人希望这能够对勒索软件组织的能力产生重大影响,但这些禁令只会将他们的非法活动转向地下,使研究机构和安全人员更难对其进行监控。 依赖勒索软件的地下经济 通过查看勒索软件运营所涉及的内容以及团体的组织方式,很容易看出勒索软件是网络犯罪经济的中心。勒索软件组织通常雇用以下人员: •编写文件加密程序人员(开发团队) •建立和维护支付和泄密站点以及沟通渠道的人员(IT基础设施团队) •在论坛上宣传勒索软件服务的人员(销售团队) •与媒体记者沟通、在Twitter上发布消息,并在他们的博客上发布公告的人员(公关和社交媒体团队) •协商支付赎金的人员(客户支持团队) •在受害者的网络上执行人工操作黑客攻击和横向移动,以部署勒索软件程序以获得部分利润的人员(附属公司或渗透测试人员的外部承包商) 这些团体和人员通常从其他网络犯罪分子那里购买进入受害者网络的权限,这些网络犯罪分子已经用木马程序或僵尸网络或通过窃取的凭据破坏了安全系统。这些第三方组织称为网络访问代理。勒索软件团体还可能购买包含被盗账户信息或内部转储的数据和信息,这些信息可能有助于目标侦察。垃圾邮件服务也经常被勒索软件团体使用。 换句话说,网络犯罪生态系统中的很多方面都通过勒索软件直接或间接获利。因此,这些团体变得更加专业,并与拥有投资者、产品营销、客户支持、工作机会、合作伙伴关系等合法企业类似,这种情况并不罕见。这是一种多年来逐渐形成的趋势。 安全公司Intel 471公司的首席信息安全官Brandon Hoffman说:“地下网络犯罪本质上已经成为一个经济体,在那里有服务提供商、产品创造者、金融家、基础设施提供商。在这个经济体中,拥有所有这些不同种类的供应商和买家。就像在我们的自由市场经济中一样,因为拥有这些不同类型的服务提供商和产品提供商很自然地开始走到一起,成立团体以提供一揽子服务和商品,就像我们在经济运营中所做的那样。所以,我认为他们正在快速发展。” Ragan说,“多年来,我们知道网络犯罪团体和合法的企业一样拥有软件开发生命周期,他们有市场营销、公关、中层管理人员,也有帮助高级犯罪分子决策的人员,这并不新鲜。只是越来越多的人开始关注其中的相似之处。” 勒索软件集团灵活多变,破坏力越来越大 多年来,勒索软件攻击使许多医院、学校、公共服务机构、地方和州政府机构甚至警察部门瘫痪,今年5月初对美国最大的成品油管道系统Colonial管道的网络攻击成为一个里程碑式事件。 此次泄露事件是一家名为DarkSide的勒索软件组织造成的,迫使Colonial公司在其57年的经营历史中首次关闭其输油管道系统,以防止勒索软件攻击其关键控制系统。此次攻击导致美国东海岸的燃料短缺。该事件引起行业人士和媒体的广泛关注,因为它突出了勒索软件对关键基础设施构成的威胁,引发了关于此类攻击是否应归类为恐怖主义活动的争论。 就连DarkSide的运营商也意识了事态的严重性,并宣布对其附属公司(实际进行黑客攻击和部署勒索软件的第三方承包商)进行节制,声称希望在未来避免产生这样的社会后果,但对于DarkSide的服务提供商来说,带来的影响太大了。 在最主要的网络犯罪论坛上禁止勒索软件活动是一项重大进展,因为多年来,这些论坛一直是勒索软件组织招募附属机构的主要场所。这些论坛为网络犯罪分子之间的公共和私人交流提供了一种简单的沟通方式,甚至为双方互不了解和信任的交易提供资金托管服务。 在某种程度上,这些禁令还影响了监控这些论坛以收集有关威胁行为者和新威胁的情报的网络安全公司。虽然大多数网络犯罪研究人员都知道论坛禁令并不会从整体上阻止勒索软件的攻击,但有些人确实想知道他们的下一步行动。例如,他们会迁移到其他论坛吗?他们会建立自己的网站用于广告和与附属公司的沟通吗?他们会转向像Jabber或Telegram这样的实时聊天程序吗? Ragan说:“这样做的目的是将这些讨论转移到其他私人团体。他们并不会消失,他们所做的就是远离公众视线。在以往很长的一段时间里,人们在论坛上可以看到他们的人员招聘、业务发展、讨论主题,以及他们正在开发什么样的功能。而现在这一切都过去了,人们无法预测未来的变化。不幸的是,这意味着人们不会知道新的勒索软件变种或增加的新功能,直到出现新的受害者。” 事件响应和数字取证服务商LIFARS公司创始人兼首席执行官Ondrej Krehel表示,勒索软件活动并未受到论坛禁令的影响,因为参与此类活动的大多数参与者已经通过Telegram和Threema上的私人团体进行沟通和交流,这已经有两三年的时间。 作为营销工作的一部分,这些论坛上仍然有一些吸引力,但如果有人真的想得到更具体的东西,则必须已经成为这些团体的一部分,有些人需要支付与已知网络犯罪活动有关的比特币进行证明自己的身份。Krehel说,“勒索软件攻击事件将会继续增长。” 网络犯罪分子退出只是转变成不同的角色 如今,每隔几个月就有一家知名勒索软件集团宣布将中止业务运营。上个月是Avaddon公司,DarkSide在此之前宣布解散。而当他们决定解散或中止业务运营时,通常会释放他们的主密钥,这可能为一些尚未支付赎金或从备份中恢复其文件的受害者提供帮助,但这些团队背后的网络罪犯并不会真正从其生态系统中消失或者被捕入狱。他们只是转移到其他团体或改变角色,例如成为勒索软件运营经理或投资者。 Ragan将其与使用空壳公司筹集资金的传统犯罪分子进行比较,这样的公司的犯罪行为在引起人们的关注时则迅速解散。他说,“几乎每次都是这样,他们习惯于成立空壳公司,并致力将其用于邪恶手段。” Ragan说,“这些团体已经转移业务并与勒索软件团体合并或结成联盟。从字面上看,这类似于现实世界的合并和收购。他们可能从其他团体那里获得了人才,现在他们正在开发自己的勒索软件,或者他们获得了附属程序并将其合并。” Hoffman说,“很明显,这些新团体的一些成员很可能来自旧群体,例如Maze、Egregor、REvil都进行了拆分,并创建了新的团体,例如Astra Locker和LV等。虽然它们并不都是相关的,但新群体和旧群体之间有很多联系。” 一些新的团队也可能招募新的业务人员,并为他们提供一个获得更多勒索软件使用经验的平台。 Krehel说,“现在还存在一个可供雇用网络犯罪分子的生态系统,这些人没有相关的犯罪记录,他们在实施了成功的攻击之后而没有被捕。这些人将他们的专业知识添加到他们的犯罪履历中,并且受到犯罪团伙的信任。这些成员也经常更换团体。这就像谷歌和Facebook等大公司一样,其员工也在不断地更换工作。” (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330468号