近日,网络安全公司KELA发布了一份关于地下勒索软件运营商列表的报告,其中包括访问请求,即在目标系统中获得初步立足点的方式。结果显示,单是针对美国企业的访问请求市场就高达1亿美元。
可以说,初始访问现在是门大生意。Blackmatter和Lockbit等勒索软件组织可能会通过购买访问权限(包括工作凭证或公司系统漏洞信息)来减少网络攻击中涉及的一些“跑腿”工作。
与实施成功的勒索攻击活动可能会获取的数百万美元赎金相比,这点费用就显得微不足道了。而且,通过直接购买访问权限,网络犯罪分子能够腾出更多的时间攻击更多目标。
据悉,KELA此次的调查是基于2021年7月其在暗网论坛中的观察结果得出的,结果表明威胁行为者正在针对大型美国企业,但也考虑了加拿大、澳大利亚和亚洲的目标。
俄罗斯的目标通常会立即被拒绝,而其他目标则被认为是“不需要的”——包括那些位于发展中国家的目标——可能是考虑到现实的经济实力等因素。
然而,无论在哪个国家,大约一半的勒索软件运营商都会拒绝侵入医疗保健和教育部门组织的请求。在某些情况下,政府实体和非盈利组织也会被排除在外。
谈到攻击者首选的访问方式,远程桌面协议(RDP)以及基于虚拟专用网络(虚拟网络)的访问仍然最受欢迎。具体来说,可以访问由Citrix、Palo Alto Networks、VMWare、Cisco和Fortinet等公司开发的产品。
至于权限级别,一些攻击者表示他们更喜欢域管理员权限,尽管它似乎并不重要。
KELA还发现了针对电子商务面板、不安全数据库和Microsoft Exchange服务器的产品——尽管这些服务可能对试图植入间谍软件和加密货币矿工的数据窃取者和犯罪分子更具吸引力。
研究人员指出,所有这些类型的访问无疑都是危险的,它们可以使威胁行为者执行各种恶意操作。
研究还指出,大约40%的列表是由勒索软件即服务(RaaS)领域的玩家创建的;勒索软件运营商愿意为有价值的初始访问服务平均支付高达 100000 美元的费用。
在过去的一项研究中,KELA还观察到勒索软件领域的另一个值得注意的趋势:对谈判人员的需求不断增加。RaaS运营商正试图在受害者联系勒索软件运营商协商付款时更好地利用攻击阶段获利,但由于语言障碍可能导致沟通不畅,勒索软件组织正试图将专业的英语谈判人员纳入团队,以实现勒索的最大效益。
Intel 471 还发现参与商业电子邮件入侵(BEC)诈骗的网络犯罪分子正试图招募以英语为母语的人。由于网络钓鱼电子邮件的危险信号包括语法和拼写错误,诈骗者正试图通过招募精通英语的人撰写令人信服的副本,以避免在第一环节中被发现。
