每當企業(yè)在討論2021年他們最可能面臨的網(wǎng)絡威脅時,勒索軟件都是繞不開的。攻擊者已經(jīng)建立了自己的品牌,并以前所未有的方式在大膽前進,關于企業(yè)被勒索軟件攻擊的新聞不斷登上媒體頭條。但是,通過將自己置于聚光燈下,這類組織掩蓋了勒索軟件生態(tài)系統(tǒng)的實際復雜性。為了幫助組織和企業(yè)了解勒索軟件生態(tài)系統(tǒng)是如何運轉的以及如何與之對抗,卡巴斯基研究人員發(fā)布的最新報告挖掘了暗網(wǎng)論壇,深入研究了REvil和Babuk威脅組織和其他組織,揭穿一些關于勒索軟件的神話。當你深入挖掘這個地下世界時,不可避免地會遇到很多面。
同任何其他行業(yè)一樣,勒索軟件生態(tài)系統(tǒng)有很多擔當不同角色的參與者組成。人們通常認為勒索軟件團伙實際上是幫派——是關系緊密的、一起經(jīng)歷過事件的、教父式的犯罪組織,但事實上卻相反,現(xiàn)實情況更類似于蓋·里奇的電影《紳士》中世界一樣,勒索軟件生態(tài)系統(tǒng)里有大量不同的參與者——開發(fā)者、僵尸網(wǎng)絡管理者、訪問權限銷售者以及勒索軟件運營者等——他們參與了大多數(shù)攻擊,并且通過暗網(wǎng)上的黑市互相提供服務。
這些威脅行為者經(jīng)常在專門的暗網(wǎng)論壇上碰面,在這些論壇上,你可以發(fā)現(xiàn)定期更新的提供服務和合作伙伴關系的廣告。獨立運營的知名大玩家并不經(jīng)常光顧此類網(wǎng)站,但是,像REvil這樣的知名威脅組織在過去幾個季度里越來越多地以組織和企業(yè)為攻擊目標,并利用聯(lián)盟計劃定期宣傳他們的報價和新聞。這種類型的攻擊活動假定了勒索軟件運營者和聯(lián)盟之間的合作關系,其中,勒索軟件運營者獲得20-40%的利潤份額,而剩余的60-80%則由其聯(lián)盟合作伙伴分享。
REvil announces a new capability to organize calls to the media and target’s partners to assert additional pressure on paying the ransom
REvil宣布了一項新功能,即組織給媒體和受攻擊目標的合作伙伴去電,對受害者施加額外的壓力以支付贖金
在合作伙伴計劃中列出支付條件的報價示例
這些合作伙伴的選擇是一個精細的過程,從一開始就要遵循勒索軟件運營者制定的基本規(guī)則——包括地理限制,甚至政治觀點限制。與此同時,勒索軟件的受害者也是隨機選擇的。
由于感染企業(yè)或組織的人與實際運營勒索軟件的人是不同的群體,他們之間的合作關系是為了獲利而結成的,受感染的組織大多數(shù)是軟柿子——基本上是攻擊者能夠容易訪問到的組織。它既可以是在聯(lián)盟計劃內工作的行為者,也可能是銷售訪問權限的獨立的勒索軟件運營者——以拍賣的形式或特定價格的方式進行銷售,起價低至50美元。這些攻擊者通常是僵尸網(wǎng)絡所有者,他們從事大規(guī)模且范圍廣泛的攻擊活動,并批量出售對受害機器的訪問權限,訪問權限銷售者則會尋找公開披露的面向互聯(lián)網(wǎng)的軟件(如VPN設備或電子郵件網(wǎng)關)的漏洞,并利用這些漏洞入侵組織和企業(yè)。
銷售對某個組織的RDP訪問權限的報價示例
勒索軟件論壇上還有其他類型的各種報價。有些勒索軟件運營者會銷售惡意軟件樣本和勒索軟件構建器,價格從300美元至4,000美元不等。另一些人則提供勒索軟件服務——即出售勒索軟件并由其開發(fā)者提供持續(xù)支持,這些服務包括從每月120美元到每年1,900美元的套餐不等。
“過去兩年,我們看到網(wǎng)絡罪犯在使用勒索軟件方面變得越來越大膽。遭受此類攻擊的組織并不限于大型企業(yè)和政府組織——勒索軟件運營者會攻擊任何企業(yè),無論其規(guī)模如何。很明顯,勒索軟件行業(yè)本身是一個復雜的行業(yè),涉及許多擔當不同角色的行為者。為了打擊他們,我們需要進行自我教育,了解他們是如何運作的,并且聯(lián)合起來打擊他們。反勒索軟件日是一個很好的機會,可以強調這一需求,并提醒公眾采用有效的安全措施非常重要。國際刑警組織的全球反網(wǎng)絡犯罪計劃與我們的合作伙伴一起,決心減少勒索軟件對全球的影響,保護我們的社區(qū)免受這一日益增長的威脅所造成的危害,”國際刑警組織反網(wǎng)絡犯罪負責人Craig Jones評論說。
“勒索軟件生態(tài)系統(tǒng)是一個復雜的系統(tǒng),涉及許多利益。這是一個瞬息萬變的市場,有許多參與者,有些是機會主義的,有些是非常專業(yè)和先進的。他們不會挑選特定的攻擊目標,而是去攻擊任何企業(yè)或組織——無論是大型企業(yè)還是小型企業(yè),只要他們能夠獲得對其的訪問權。此外,他們的業(yè)務正在蒸蒸日上,所以這種威脅不會很快消失,”卡巴斯基全球研究和分析團隊安全研究員Dmitry Galov評論說:“好消息是,即使是相當簡單的安全措施也可以使攻擊者遠離組織,所以標準的安全措施如定期進行軟件更新和隔離備份確實有所幫助,而且組織可以采取更多措施來保護自己的安全。”
“只有真正了解了勒索軟件生態(tài)系統(tǒng)的基礎后,才能決定采取有效的行動。我們希望通過這份報告,揭示勒索軟件攻擊的真正組織方式,以便社區(qū)可以制定適當?shù)膶Σ撸ò退够蜓芯亢头治鰣F隊高級安全研究員Ivan Kwiatkowski補充說。
要通過報告全文了解更多有關勒索軟件生態(tài)系統(tǒng)詳情,請訪問Securelist.
在5月12日的反勒索軟件日,卡巴斯基鼓勵企業(yè)遵循以下這些最佳實踐,幫助保護您的企業(yè)免受勒索軟件的侵害:
確保您使用的所有設備上的軟件保持更新,避免攻擊者通過利用漏洞入侵您的網(wǎng)絡。
將您的防御策略集中在檢測橫向移動和數(shù)據(jù)如何被泄露到互聯(lián)網(wǎng)上。要特別注意出站流量以檢測網(wǎng)絡罪犯的連接。建立入侵者無法篡改的離線備份。確保在需要時,您能在緊急情況下快速訪問它們。
確保為所有端點都進行反勒索軟件保護。免費的卡巴斯基反勒索軟件工具企業(yè)版能夠保護計算機和服務器免受勒索軟件和其他類型的惡意軟件的侵害,阻止漏洞,并且與已經(jīng)安裝的安全解決方案兼容。
安裝反APT和EDR解決方案,啟用高級威脅發(fā)現(xiàn)和檢測功能,進行及時的事件調查和修復。為您的SOC團隊提供最新的威脅情報,并定期對他們進行專業(yè)培訓,提高他們的技能。以上所有服務都可以通過卡巴斯基專家安全框架獲取。
關于卡巴斯基
卡巴斯基是一家成立于1997年的全球網(wǎng)絡安全和數(shù)字隱私公司。卡巴斯基不斷將深度威脅情報和安全技術轉化成最新的安全解決方案和服務,為全球的企業(yè)、關鍵基礎設施、政府和消費者提供安全保護。公司提供全面的安全產(chǎn)品組合,包括領先的端點保護解決方案以及多種針對性的安全解決方案和服務,全面抵御復雜的和不斷演化的數(shù)字威脅。全球有超過4億用戶使用卡巴斯基技術保護自己,我們還幫助全球240,000家企業(yè)客戶保護最重要的東西。
