网络罪犯,包括勒索软件团伙,如今已成为有组织的非法企业。勒索软件团伙、勒索团伙和DDoS攻击者屡屡得手。他们闯入知名组织进行攻击绝非偶然。它的背后是一个有组织的系统。瓜分战利品。以下是网络犯罪分子扮演的几个关键角色。InitialAccessBroker(“IAB”)IAB是指一类网络犯罪分子,他们通过数据泄露市场、论坛或隐蔽的消息传递应用程序渠道和聊天组向潜在买家出售企业网络的访问权来出售。但是,IAB不一定会执行后续的破坏性活动,例如数据泄露、加密和删除。通常,买方决定如何滥用访问权限:选择窃取商业机密、部署勒索软件或安装间谍软件并泄露数据。基于云的无密码身份验证技术提供商CloudRADIUS的高级软件工程师BenRichardson表示,过去,IAB主要将企业访问权出售给想要破坏企业数据并从中窃取知识产权或财务数据的犯罪分子。攻击的公司。由于当时的攻击次数较少,市场对IAB的需求并不高。如今,商业竞争对手经常利用IAB进行间谍活动和盗窃。勒索病毒时代的到来,导致市场对IAB的需求急剧增加。勒索软件团伙雇佣IAB来瞄准公司并开辟新业务。X即服务(Xasaservice)目前在安全领域,“X即服务”通常指的是勒索软件即服务(RaaS)或恶意软件即服务(MaaS),它们代表了一种较新的商业模式。RaaS类似于软件即服务(SaaS)模型,因为它向试图进行攻击的“附属机构”收费提供勒索软件工具、网络钓鱼工具包和IT基础设施。过去,老练的网络罪犯需要进行全面攻击,但X即服务模型降低了这一门槛。越来越多的网络犯罪分子正在进入X即服务领域,其中包括初始访问代理、勒索软件即服务和恶意软件即服务等。网络罪犯现在只需要精通一个领域就可以利用所有其他群体的服务。勒索软件附属机构勒索软件附属机构就像勒索软件团伙雇用的多用途“承包商”来执行各种攻击活动:从IAB购买网络的初始访问权限,简单地购买可能有助于侦察内容和执行攻击的被盗登录名和数据攻击等。在攻击和勒索成功后,勒索软件附属机构从受害者支付的赎金中提取佣金给更高级别的勒索软件团伙。为了加快攻击速度,关联方可能会租用RaaS平台,使用“租用勒索软件”加密文件,并使用所有现有工具、服务和漏洞利用代码。勒索软件关联方只需支付少量费用即可享受原本需要自行开发和管理的产品和服务。此外,附属机构可以付费寻找已经被入侵的IAB和组织,从而显着降低实施攻击的准入门槛。附属机构现在可以专注于勒索组织的实际运作。恶意软件和利用代码开发人员为零日漏洞或已知漏洞开发利用代码的网络罪犯超越了概念验证(PoC)演示。这些罪犯还可能开发利用多个漏洞的恶意软件。许多勒索软件攻击还可以从攻击者部署代码开始,以攻击流行的访问设备、应用程序、VPN和深入嵌入应用程序中的单个软件组件,例如Log4j。在早期,恶意软件和漏洞利用代码开发人员可能是“脚本小子”或老练的黑客,但随着网络犯罪分子之间协作的增加,复杂的恶意软件开发主要发生在开发团队内部,并且软件开发生命周期和文档都可用,与普通软件公司没有区别。此外,加密货币的广泛采用为一小群漏洞利用代码开发人员提供了一个平台。精通加密技术并深入了解区块链协议的开发人员可以利用这些加密平台在未打补丁前的零日漏洞和未打补丁的漏洞进行攻击。AdvancedPersistentThreatGroupsAdvancedPersistentThreat(APT)团体在过去被描述为民族国家威胁行为者或国家支持的网络犯罪团体,其特定目标是在较长时间内进行破坏或政治间谍活动。现在,APT团体采用的策略也被非附属机构的网络犯罪分子采用。APT组织通常使用具有广泛监视和隐身功能的定制恶意软件。历史上最臭名昭著的APT攻击之一是Stuxnet事件,该事件利用当时Windows的多个零日漏洞感染计算机,四处传播,并对核电站的离心机造成实际损坏。据传,这种极其复杂的计算机蠕虫是由美国和以色列情报机构合作开发的。但是,APT组织绝不仅限于单独利用物理设备。大多数APT活动都采用鱼叉式网络钓鱼攻击来渗透网络、悄悄传播有效负载、泄露数据、植入持久性后门并秘密监视受害者。一个令人不安的趋势是,APT团体已经开始破坏上游软件和源代码,正如SolarWinds供应链攻击中所见,该攻击使用第三方供应商攻击更上游的目标,然后利用他们自己的有效载荷破坏合法软件。这是一个影响大、频率低的事件,组织需要根据其风险状况和承受能力以不同的方式加以防范。数据经纪人或信息经纪人术语“数据经纪人”或“信息经纪人”指的是一类合法服务提供商和非法网络犯罪分子。合法的信息中介和数据聚合服务可以从法庭记录、土地登记、房产销售记录、社交媒体资料、电话簿、商业登记和婚姻记录等公共来源获取数据,以收集人员和商业情报。这些信息可以与营销人员、研究人员和公司共享,但需要付费。恶意数据经纪人从事非法活动,例如在暗网和数据泄露市场上兜售被盗材料和机密数据。近年来,RaaS模式的快速成长推动了IAB的专业化。此类RaaS产品由成熟的APT组织开发,如WizardSpider(RYUKRaaS)、GoldSouthfield(REvilRaaS)、FIN7(DarkSideRaaS)等。作为此产品的一部分,此类APT/RaaS团体为其客户提供支持、门户访问和月度订阅,通常会建立附属关系。在这种类型的特许经营协议中,RaaS团伙将从勒索目标中抽取任何附属公司的利润。除了勒索受害人索取敏感数据外,许多犯罪团伙还获取受害人的员工/客户信息。泄露的敏感信息数据可能包括社会安全号码(SSN)、信用卡信息、购买历史和账户登录信息,并与其他产品捆绑销售。这称为数据代理。参考链接:https://www.csoonline.com/article/3653353/whos-who-in-the-cybercriminal-underground.html
