从网络攻击者角度来说 谁是他们理想的勒索软件受害者?
对勒索软件攻击者来说,最抢手的攻击对象是年收入至少1亿美元的大型美国企业,而不是医疗或教育行业,因为这些行业可以通过远程桌面协议或VPN证书进行远程访问。
以色列威胁情报公司Kela在一份新的报告中这样说,该报告收集了7月份网络犯罪论坛上数十个积极讨论的线程,这些线程都致力于购买网络的初始访问权限。它说,大约一半的帖子是在同一个月创建的,这表明提供这类链接的市场仍在蓬勃发展。
“他们购买VPN、RDP、Citrix访问,并拥有域管理权限。”
在网络犯罪论坛和市场上,最初的权限经纪人继续出售所谓的“权限”。对买家来说,购买访问权的好处是,它使他们不必自己攻击潜在的受害者。相反,他们可以从一系列选项中进行选择,这使得他们可以花更多的时间用勒索软件和其他恶意软件感染更多的受害者,窃取数据,或者以其他方式获利。
撰写报告威胁情报分析师Victoria Kivilevich写道,在与初始访问代理打交道时,出售的访问权限可能包括网络访问权限,但通常指的是购买可用的RDP或VPN证书的能力。根据Kela评论的论坛帖子,其他最受欢迎的方便访问的产品包括:
思科;
Citrix;
Fortinet;
Palo Alto Networks - 包括GlobalProtect VPN;
VMware,包括ESXi。
Kela 报告说,买方为访问支付的平均最低和最高价格分别为1,600美元和56,250美元,尽管在某些情况下,初始访问经纪人会接受受害者支付的任何赎金的一部分,代理的价格通常是大约10%的任何赎金。
BlackMatter勒索软件即服务公司在“利用网络犯罪”论坛上发布广告,寻求首次进入网络的中间人合作伙伴,交换条件是支付赎金或所支付赎金的一定比例。
哪些受害者的价格最高?
对于想要购买访问权限的勒索软件攻击者来说,哪些类型的受害者是热门目标,哪些不是?
从地域上看,47% 的买家表示他们想要美国受害者;37% 的人说他们想要加拿大或澳大利亚的受害者;32% 的人在寻找欧洲受害者,并且“大多数广告都包括多个国家。”
从收入的角度来看,受害者的平均期望年收入为1亿美元,尽管有时这种需求是基于位置的。“例如,其中一位威胁者表示:美国受害者的收入应超过500万美元,欧洲受害者的收入应超过2000万美元,‘第三世界’国家的收入应超过4000万美元。”
买家列出了想要的访问类型,费率与受害者的年收入挂钩
一般来说,越来越多的勒索软件针对更大的组织,以寻求更多的赎金,这就是所谓的大型狩猎。
正如LockBitSupp旗下的LockBit 2.0运营代表在最近的一次采访中所说的那样,关注美国和欧盟仅仅是因为“世界上最富有的公司数量最多集中在那里”,而且因为这些地区也有“更发达的”网络保险业务,这可以帮助他们支付更大的赎金。
常见黑名单:俄罗斯、医疗保健
或许可以预见,俄罗斯和其他独联体国家——阿塞拜疆、亚美尼亚、白俄罗斯、格鲁吉亚、哈萨克斯坦、吉尔吉斯斯坦、摩尔多瓦、俄罗斯、塔吉克斯坦、土库曼斯坦、乌兹别克斯坦、乌克兰——往往会出现在买家的黑名单上。
买家的黑名单上还包括:医疗和教育行业的机构,占所有买家的47%;37%的买家选择政府机构;Kela说,26%的买家选择了非营利性组织。报告说,逃避医疗服务似乎是由于攻击者的道德准则,而政府实体将被回避,以试图逃避不必要的警察关注,而教育和非营利组织被认为付出太少,不值得付出努力。
并非所有Access销售都是公开的
首先,并不是所有的销售渠道都能在论坛上被公开跟踪。在某些情况下,初始访问代理将与特定的勒索软件即服务操作有排他性安排,或者可能至少给予它对所有新访问的优先拒绝权。
Crylock勒索软件团伙为定期访问供应商做广告
此外,一些经纪人列出了一般的销售渠道,但只会直接向潜在客户发送消息——例如,通过Telegraph或Jabber消息工具——以分享待售商品的完整列表以及协商价格。
防守要点
网络安全维护者应该如何应对网络攻击?
显然加固网络安全防御是一个策略,但还要注意的是,软件自身的安全漏洞同样会为勒索软件攻击提供广泛的攻击面。因此可以确定,加强软件自身安全是网络安全防御手段的重要补充。随着应用软件数量的增加,安全漏洞为网络攻击者提供了“便捷通道”,所以在软件开发期间通过静态代码检测等技术查找代码缺陷及漏洞,可以有效提高软件安全性,大大降低遭到网络攻击的概率,确保企业网络安全。
参读链接:
https://www.inforisktoday.com/blogs/criminals-wish-list-whos-their-ideal-ransomware-victim-p-3110