自2019年11月以来,Maze勒索软件背后的组织一直在通过面向公众的网站公开受害者的数据,但最新信息表明各种勒索软件团伙现在正在合作共享资源并勒索受害者。
6月5日,一家国际建筑公司的信息和文件被发布到Maze的数据泄漏网站;但是,这些数据并非在Maze勒索软件攻击中被盗,而是来自另一个名为LockBit的勒索软件攻击。
Bleeping Computer最先报道了这个事情,后来这一消息得到Maze组织的确认,他们正在与LockBit合作,并允许该组织在Maze的“新闻网站”上共享受害者数据。Maze组织还表示,未来几天,该新闻网站还将发布另一种勒索软件获取的数据。
三天后,Maze添加了另一个竞争的勒索软件组织Ragnar Locker的受害者的数据。Maze网站上的帖子引用的是“Maze联盟—由Ragnar提供”。
Maze组织是最早采用窃取数据并将传统勒索与勒索软件相结合策略的犯罪组织。他们不仅泄露受害者的数据,而且还创建了面向公众的网站,以迫使受害者支付赎金。
Trustwave公司网络威胁检测与响应副总裁Brian Hussey表示,数据泄露以及羞辱受害者是日益增长的趋势。他说,攻击者在加密所有公司数据前会先窃取这些数据,然后将这些数据缓慢发布给公众。
Hussey称:“毫无疑问,我们看到的威胁有所增加,对威胁的实际执行并不像我所看到的那样多。但是很多时候,这确实迫使受害者支付更多的费用。”
在Maze网站上,数十个受害者的名字被列出来,但在该组织的勒索软件受害者中,只有10个客户信息被“完整曝光”。这意味着大多数被Maze勒索的组织已经支付赎金,以防止其机密数据的发布。
Rapid7首席安全研究员Wade Woolwine也观察到了这种羞辱策略的增加。Woolwine和Hussey都认为,勒索软件团伙策略的转变是因为企业开始投入更多时间和精力进行备份。
Woolwine在给SearchSecurity的电子邮件中说:“我曾经认为,很少会有受害者支付赎金,因为企业已经提高其能力,他们可快速恢复受感染的资产并从备份中快速恢复数据。”
Hussey说,作为托管安全服务提供商,Trustwave建议的主要内容之一就是要部署智能的精心设计的备份过程。
Hussey称:“勒索软件团伙的这些新手段是对企业备份做法的响应,企业正通过正确部署备份来减轻勒索软件风险。这些手段是有效的。很多公司投资于备份解决方案并设计备份解决方案,以防止受到这种持续的勒索软件的威胁。然而,现在即使企业有备份数据也无济于事,因为攻击者先窃取数据,然后再威胁发布私有信息,这是这新的威胁形式。”
Woolwine说,当攻击者成功入侵到达端点并可以访问数据时,他们会考虑有必要窃取数据,因为这可进一步诱使企业付费以解密数据。并且,攻击者特别关注企业网络中最敏感的数据类型。
Woolwine说:“最初,我们看到攻击者使用像Cobalt Strike这样的攻击工具包来手动查找其感兴趣的特定文件。我说的是‘查找’,Windows搜索功能(尤其是在端点连接到企业文件服务器的情况下)足以识别诸如‘NDA’、‘合同’和‘机密’之类的文件。最近,我们已经看到了这些搜索脚本,因此它们可以更快地执行。”
据Woolwine称,对于大多数勒索软件攻击而言,网络钓鱼和路过式攻击仍然是首选的传播媒介,但这些技术也在发生变化。
Woolwine说:“我们还看到,攻击者开始瞄准未及时修复漏洞的特定面向互联网的系统,并以暴力破解身份验证方式瞄准RDPserver。无论哪种情况,一旦漏洞被利用或凭证被猜测到,攻击者将在断开连接之前安装勒索软件。这种手段的增加很可能是由于从赎金到数据泄露的转变。攻击者关注的不再是可以感染多少台计算机,而是感染可访问最多数据的计算机。”
Hussey说,这些新手段很令人诧异,但它们是勒索软件发展过程中的下一个合乎逻辑的步骤,他预计将来有更多攻击者采用这种做法。