2019年,以Maze为代表的勒索软件组织掀起了“数据加密+数据泄漏”的双重勒索潮流,彻底改变了勒索软件的运营方式。如今,随着数据泄漏勒索的赎金超过数据加密,越来越多的勒索软件开始通过数据泄漏站点要挟受害者,如果受害者不支付赎金,他们将公开泄漏被盗数据。
一个标志性的事件是,近来风头正劲的勒索软件组织Babuk发布声明,宣布将不再加密设备和数据,全面转向数据泄漏勒索。
此外,各国政府对数据泄漏的高额罚款也是数据泄漏勒索屡屡得手的重要因素,而提供泄漏数据交易服务的暗网数据市场也如雨后春笋,应运而生。暗网数据市场的生命周期并不长久,目前活跃的最“古老”的Dark Leak Market,2019年才开始活跃。2021年,有三个新兴暗网数据市场值得关注,分别是Marketo、File Leaks和Lorenz。
Marketo
上个月刚刚上线的新暗网数据市场,其所有者向新闻工作者和安全研究人员广泛接触以推广该网站,号称将打造一个“快速查找、买卖任何公司信息的最佳场所”。
Marketo的运营者宣称自己不参与任何黑客攻击,且拒绝勒索软件组织(泄漏数据)。但是据BleepingComputer报道,有汽车行业网络安全人士发现诱人在Marketo上出售一家刚刚遭受勒索软件攻击的汽车经销商的数据。
Lorenz
Lorenz也是上个月刚启动的暗网数据市场,目前“上架”了11位受害组织的数据。目前尚未有信息表明这些受害组织任何与勒索软件攻击或最近的黑客攻击有关。
据KELA分析,Lorenz的脱颖而出,不仅因为出售被盗数据,而且似乎还出售受害组织的内部网络访问权限。这些出售的网络访问权限可能来自Lorenz运营者自己的黑客操作。
File Leaks
File Leaks也是2021年4月刚刚启动,一次性销售受害组织所有被盗的数据,同时会告诉受害者与他们联系以支付删除费用。File Leaks目前规模较小,“上架”的两名受害组织分别来自意大利和印度。
支付赎金于事无补
随着数据泄露的收益增加,通过支付赎金避免数据泄漏的成功率不断下降。根据Sophos最新发布的2021勒索软件报告,只有8%的组织在支付赎金后成功拿回所有数据。
而根据勒索软件谈判公司Coveware的分析,网络犯罪分子在受害者支付赎金后越来越无法兑现其诺言。
在某些情况下,付款的受害者被犯罪分子用相同的数据再次勒索,或者,数据最终还是发生了泄漏。
此外,正如以上新兴“暗网泄漏数据市场”所示,一旦数据发生泄漏,就无法遏制,因为这些数据会在犯罪分子经常光顾的不同黑客论坛和站点之间传播。
考虑到这一点,Coveware告诫受害者,如果他们决定付款给勒索软件团伙以防泄露数据,需要对以下情况做好以下心理准备:
- 数据不会被可靠地删除。受害者应假定它将被交易给其他犯罪分子,被出售或被扣押以进行第二次/未来的敲诈勒索;
- 被窃取的数据由多方保管,且不安全。即使威胁行为者在付款后删除了大量数据,其他有权访问该数据的参与者也可能已经制作了副本,以便将来可以勒索受害者;
- 在受害者对勒索做出回应之前,数据可能已经被无心或故意发布。
总之,企业应当将遭受攻击视同为数据泄露,并以适当的方式及时向所有客户、员工和业务合作伙伴披露该泄露事件,以防止失窃数据伤害到第三方。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】