可以說,初始訪問現(xiàn)在是門大生意。Blackmatter和Lockbit等勒索軟件組織可能會(huì)通過購(gòu)買訪問權(quán)限(包括工作憑證或公司系統(tǒng)漏洞信息)來(lái)減少網(wǎng)絡(luò)攻擊中涉及的一些“跑腿”工作。
與實(shí)施成功的勒索攻擊活動(dòng)可能會(huì)獲取的數(shù)百萬(wàn)美元贖金相比,這點(diǎn)費(fèi)用就顯得微不足道了。而且,通過直接購(gòu)買訪問權(quán)限,網(wǎng)絡(luò)犯罪分子能夠騰出更多的時(shí)間攻擊更多目標(biāo)。
據(jù)悉,KELA此次的調(diào)查是基于2021年7月其在暗網(wǎng)論壇中的觀察結(jié)果得出的,結(jié)果表明威脅行為者正在針對(duì)大型美國(guó)企業(yè),但也考慮了加拿大、澳大利亞和亞洲的目標(biāo)。
俄羅斯的目標(biāo)通常會(huì)立即被拒絕,而其他目標(biāo)則被認(rèn)為是“不需要的”——包括那些位于發(fā)展中國(guó)家的目標(biāo)——可能是考慮到現(xiàn)實(shí)的經(jīng)濟(jì)實(shí)力等因素。
然而,無(wú)論在哪個(gè)國(guó)家,大約一半的勒索軟件運(yùn)營(yíng)商都會(huì)拒絕侵入醫(yī)療保健和教育部門組織的請(qǐng)求。在某些情況下,政府實(shí)體和非盈利組織也會(huì)被排除在外。
談到攻擊者首選的訪問方式,遠(yuǎn)程桌面協(xié)議(RDP)以及基于虛擬專用網(wǎng)絡(luò)(VPN)的訪問仍然最受歡迎。具體來(lái)說,可以訪問由Citrix、Palo Alto Networks、VMWare、Cisco和Fortinet等公司開發(fā)的產(chǎn)品。
至于權(quán)限級(jí)別,一些攻擊者表示他們更喜歡域管理員權(quán)限,盡管它似乎并不重要。
KELA還發(fā)現(xiàn)了針對(duì)電子商務(wù)面板、不安全數(shù)據(jù)庫(kù)和Microsoft Exchange服務(wù)器的產(chǎn)品——盡管這些服務(wù)可能對(duì)試圖植入間諜軟件和加密貨幣礦工的數(shù)據(jù)竊取者和犯罪分子更具吸引力。
研究人員指出,所有這些類型的訪問無(wú)疑都是危險(xiǎn)的,它們可以使威脅行為者執(zhí)行各種惡意操作。
研究還指出,大約40%的列表是由勒索軟件即服務(wù)(RaaS)領(lǐng)域的玩家創(chuàng)建的;勒索軟件運(yùn)營(yíng)商愿意為有價(jià)值的初始訪問服務(wù)平均支付高達(dá) 100000 美元的費(fèi)用。
在過去的一項(xiàng)研究中,KELA還觀察到勒索軟件領(lǐng)域的另一個(gè)值得注意的趨勢(shì):對(duì)談判人員的需求不斷增加。RaaS運(yùn)營(yíng)商正試圖在受害者聯(lián)系勒索軟件運(yùn)營(yíng)商協(xié)商付款時(shí)更好地利用攻擊階段獲利,但由于語(yǔ)言障礙可能導(dǎo)致溝通不暢,勒索軟件組織正試圖將專業(yè)的英語(yǔ)談判人員納入團(tuán)隊(duì),以實(shí)現(xiàn)勒索的最大效益。
Intel 471 還發(fā)現(xiàn)參與商業(yè)電子郵件入侵(BEC)詐騙的網(wǎng)絡(luò)犯罪分子正試圖招募以英語(yǔ)為母語(yǔ)的人。由于網(wǎng)絡(luò)釣魚電子郵件的危險(xiǎn)信號(hào)包括語(yǔ)法和拼寫錯(cuò)誤,詐騙者正試圖通過招募精通英語(yǔ)的人撰寫令人信服的副本,以避免在第一環(huán)節(jié)中被發(fā)現(xiàn)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)