得益于蓬勃发展的网络犯罪即服务生态系统,勒索软件业务持续增长。其中一些服务主要基于犯罪分子利用组织尚未修补的已知漏洞,或强制访问远程桌面协议(RDP)连接,然后将此访问权出售给他人。改进补丁管理和RDP安全实践是针对这种情况的有效防御措施。但是,除非采取强有力的措施,否则其他勒索软件助推器可能会继续蓬勃发展。扰乱勒索软件运营商招募专家和销售服务的网络犯罪论坛通常需要执法干预。以下是9种勒索软件“助推器”以及您可以采取的应对措施:1.新论坛助长勒索软件有时,网络犯罪社区似乎遵循“自我监管”原则——至少在理论上是这样。例如,在DarkSide攻击美国ColonialPipeline和Conti攻击IrishHealth的政治后果之后,一些最大的俄语网络犯罪论坛(包括XSS和Exploit)在5月正式禁止了任何与勒索软件相关的内容服务。沟通。然而,一些安全专家表示,只要广告没有特别提到加密锁定恶意软件,许多论坛总是可以“钻孔”以寻找变通办法,例如“渗透测试人员”和“访问代理”帖子。虽然一些较大的论坛已经禁止讨论勒索软件,但一些较小的参与者似乎对它们持开放态度,并且还会出现一些新的论坛。据以色列威胁情报公司Kela称,7月12日,Babuk勒索软件运营商的数据泄露网站(6月从Babuk更名为Payload.bin)再次变成了一个名为RAMP的网络犯罪论坛。Kela的威胁情报分析师VictoriaKivilevich在一份新的研究报告中表示。根据官方介绍,RAMP代表“赎金匿名市场(RansomAnonMarkPlace)”,但实际上它也是对已经倒闭的“俄罗斯匿名市场”(RAMP,2017年关闭)的致敬。新论坛表示,它旨在支持勒索软件即服务(RaaS)操作,这是当今涉及勒索软件的主要商业模式。在RaaS模型中,运营商或管理员负责开发加密锁定恶意软件,分支机构通过门户获取该恶意软件,用于感染受害者,并从支付的每一笔赎金中分一杯羹。Kela说,最初名为“TetyaSluha”(现名为“Orange”)的新管理员宣布,它现在是一个保护勒索软件分支机构免受不道德的RaaS程序攻击的地方。管理员声称,在其他论坛禁止勒索软件通信后,他想创建一个新社区,并指出该论坛已经有专门针对初始访问代理、勒索软件供应商和附属程序的部分。Kela补充说,RAMP在7月底因垃圾邮件攻击而下线,但网站上的消息称它将在8月13日恢复。当它再次启动并运行时,无疑将继续成为威胁的目标希望窃听讨论的情报公司,以及可能寻求识别地下网络犯罪分子成员并试图逮捕他们的执法机构。2.勒索软件团伙有其他通信策略/渠道据安全公司趋势科技网络犯罪研究主管BobMcArdle称,较大的勒索软件运营团伙可能还建立了广泛的连接列表和完善的关系拓扑,因此他们对勒索软件的影响很大论坛。少依赖。同样,威胁情报公司Flashpoint表示,勒索软件操作历来都是通过多种渠道招募的。一些团体,例如BlackShadow,主要依赖Telegram帐户;它说,其他人,如LockBit2.0,在他们的论坛上进行勒索软件即服务招募。与此同时,据该安全公司称,AvosLocker勒索软件运营商最近使用一项服务通过Jabber和Telegraph分发垃圾邮件来宣传他们的勒索软件合作伙伴计划。3.专家提供按需服务安全专家表示,勒索软件运营商不只是想招募新的分支机构。一些规模更大、更复杂的行动——例如REvil、DarkSide和Ryuk——也招募了不同的专家来提高攻击的成功率并帮助勒索企业蓬勃发展。根据勒索软件事件响应公司Coveware的说法,对于一个完整的勒索软件攻击活动,可能涉及十几个独特的参与者,每个参与者都有不同的专业知识,并为攻击的不同阶段做出贡献。当勒索软件团体专注于特定的入侵方法时,他们很可能会寻找上游专家,这些专家将网络访问权出售给符合RaaS团体特征的潜在受害者。这些上游专家不止一次出售这种访问权,因此能够通过获得优于竞争对手的竞争优势来影响网络。然而,并非所有专家都参与直接危害组织。有些只是提供辅助服务,例如与受害者谈判。其他人也可以对受害者施加其他类型的压力,例如,通过分发似乎不需要顶级技术技能的拒绝服务攻击。威胁情报公司英特尔471表示,它已经追踪到一名网络犯罪分子,该犯罪分子于1月份首次出现在一个著名的网络犯罪论坛上,该论坛在ColonialPipeline攻击被关闭后变得臭名昭著。黑暗面行动的伙伴。据罪犯称,他主要负责对DarkSide受害者发起DDoS攻击。在任何给定时间,都有10到20个目标受到DDoS攻击,攻击持续1到21天,受害者每次付款可赚取500到7,000美元。4.初始访问代理为您铺平道路在被勒索软件攻击者利用的各种专家中,有一个角色被称为“初始访问代理”,它描述了一个黑客获得对组织网络的访问权,然后将该访问权出售给一种特殊的存在方式其他人。对于使用勒索软件的攻击者来说,购买访问权限意味着他们可以花更多时间感染受害者,而不必先闯入他们的系统。此类经纪人的服务似乎正在激增。查看今年前三个月最受欢迎的10个俄语和英语犯罪论坛,安全公司PositiveTechnologies统计了近600次访问报价,而上一季度仅为255次。该数字不包括所有此类出售的访问权限,因为一些勒索软件操作与初始访问代理建立合作伙伴关系或向他们提供“回扣”以获得优先购买权。其他经纪人会列出一些他们提供的待售“通道”,但会告诉潜在买家直接与他们联系以获取有关其他目标的信息。然而,公开报价的增加表明,更多的组织可能成为犯罪分子的受害者,这些犯罪分子获得对其网络的远程访问权限,并将该访问权限出售给出价最高的人。5.网络钓鱼和远程桌面协议(RDP)提供访问权限Coveware警告说,对于使用勒索软件的攻击者,网络钓鱼和暴力破解RDP访问凭据仍然是获取系统初始访问权限的两种最常见策略。因此,拥有强大的网络钓鱼解决方案并锁定RDP仍然是加强防御的明智方法。6.未修补的漏洞也提供访问权限利用安全漏洞在使用勒索软件获取访问权限的攻击者名单中排名第三。从4月到6月,Coveware表示,它发现两个漏洞特别受到攻击者的青睐,将其作为获取组织网络远程访问的切入点。这些漏洞是影响SSLVPN设备的FortinetFortiOS路径遍历漏洞(CVE-2018-13379)和SonicWallSRA4600设备中的漏洞(CVE-2019-7481)。FireEye的Mandiant事件响应团队在一份报告中表示,它观察到一群使用FiveHands勒索软件的组织在供应商发布补丁之前于2月开始针对SonicWallSMA100系列VPN设备中的漏洞。Intel471补充说,FiveHands的成员已经利用了供应商在5月份修补的VMwareSphereClient漏洞,以及微软在7月份完全修补的WindowsPrintSpoolerService漏洞,称为“PrintNightmare”。).永恒的“补丁或灭亡”问题意味着,一旦供应商发布了安全修复程序,攻击者就会竞相对其进行逆向工程以找到他们可能利用的漏洞,从而轻松地突出尚未安装更新的新受害者。英特尔471表示,网络犯罪分子与其他任何人一样关注CVE,他们很清楚组织在修复漏洞方面的延迟,这些漏洞为犯罪分子提供了进行攻击所需的访问权限。7.开放源代码选项使更多攻击成为可能恶意软件源代码经常在野外泄露或倾倒,允许犯罪分子重用和改编它。这样的例子比比皆是:例如,在2011年,臭名昭著的Zeus银行木马的源代码因不明原因在网上泄露,并迅速被许多犯罪分子滥用。在以物联网为目标的Mirai僵尸网络于2016年8月出现几周后,其创建者在线泄露了源代码,最初很可能是为了让调查人员偏离正轨。不幸的是,许多其他犯罪分子已迅速改编并重新利用此恶意软件。在勒索软件方面,2015年,安全研究员UtkuSen将EDA2和HiddenTear构建为开源勒索软件,并在GitHub上发布了源代码。虽然研究人员表示该代码是为教育目的而开发的,但它很快被犯罪分子滥用,甚至产生了主题为“PokemonGo”的恶意软件变体,这是一款采用AR技术的游戏。尽管如此,这类事情对安全研究人员来说还是一个警示:永远不要在野外发布概念验证(PoC)勒索软件。8.泄露满足加密锁定恶意软件的需求最近,有人泄露了一个名为“Babukbuilder”的Windows可执行文件,结果证明它是Babuk使用的关键软件。该构建器用于生成恶意软件的唯一副本,在Babuk勒索软件模式下,该副本用于为每个不同的受害者组织生成加密锁定恶意软件和解密工具。该可执行文件首先由总部位于伦敦的时尚零售巨头ArcadiaGroup的安全运营主管凯文博蒙特发现,他报告说它会生成恶意软件并影响“Windows、VMwareESXi、网络附加存储x86和ARM,以及广泛使用的VMwarehyperviso和NAS设备”。包括Beaumont在内的安全专家已经证明了该软件的有效性。显然,一些不太高级的犯罪分子也泄露了他们的工具。英特尔471报告称,6月下旬,一名使用信息窃取恶意软件Vidar的操作员向机器人发送了“下载并执行”任务,这些机器人旨在安装由构建者生成的Babuk勒索软件的变体。9.重复使用恶意软件以缩短开发周期很明显,一些恶意软件开发人员正在借用、共享或窃取代码。例如,英特尔471报告称“Conti勒索软件和BazarLoader之间的代码存在多种相似之处”,这是一种旨在提供对受感染端点的远程访问的恶意软件。此类携带勒索软件的攻击者之前曾使用过此类恶意软件(包括BazarLoader)来获得对设备的初始访问权限,然后下载并运行其他工具和恶意软件,例如Ryuk和Vaet。但Intel471表示,开发Conti的人似乎从BazarLoader那里借用了一些代码。它说,一个特别的相似之处是允许Conti在隔离实例(例如沙箱或虚拟机)中逃避分析的代码。该函数的代码与BazarLoader使用的代码几乎相同,两个函数都遵循完全相同的逻辑,并且在搜索hook时以相同的方式执行。不幸的是,一旦此类代码被滥用,就没有简单的方法来消除它。然而,在某些情况下,根据它的工作方式,安全公司可以推断出发现它在野外运行的方法,以帮助组织抵御它。本文翻译自:https://www.bankinfosecurity.com/9-ransomware-enablers-tactics-for-combating-them-a-17172如有转载请注明出处。
