Maze勒索软件与其他威胁组织建立“垄断”关系,合作共享资源并勒索受害者。6月5日,一家国际建筑公司的信息和文件被发布到Maze的数据泄露站点;然而,数据并不是在Maze勒索软件攻击中被盗,而是来自另一个名为LockBit的勒索软件攻击。这个故事首先由BleepingComputer报道,后来由Maze证实,Maze与LockBit合作,并允许该组织在Maze的“新闻网站”上共享受害者数据。Maze组织还表示,未来几天,该新闻网站还将公布通过另一种勒索软件获得的数据。三天后,Maze添加了来自另一个竞争性勒索软件组织RagnarLocker的受害者的数据。Maze网站上的帖子引用了“TheMazeAlliance-CourtesyofRagnar”。Maze组织是最早采用窃取数据并将传统勒索与勒索软件相结合的策略的犯罪组织之一。他们不仅泄露受害者的数据,而且还创建面向公众的网站来迫使受害者支付赎金。Trustwave网络威胁检测和响应副总裁BrianHussey表示,数据泄露和羞辱受害者是一种日益增长的趋势。他说,攻击者会先窃取所有公司数据,然后再对其进行加密并慢慢向公众发布。“毫无疑问,我们看到了威胁的增加,但实际执行这些威胁的程度不如我所见。但很多时候,它确实迫使受害者支付更多费用,”Hussey说。Maze的网站上列出了数十名受害者,但该组织的勒索软件受害者中只有10名“完全暴露”。这意味着大多数被Maze勒索的组织都支付了赎金,以防止其机密数据被泄露。Rapid7首席安全研究员WadeWoolwine也观察到这种羞辱策略有所增加。Woolwine和Hussey都认为,勒索软件团伙策略的转变是由于企业开始在备份上投入更多的时间和精力。在发给SearchSecurity的电子邮件中,Woolwine说:“我过去认为很少有受害者会支付赎金,因为企业已经提高了快速恢复受感染资产和快速从备份恢复数据的能力,”作为托管安全服务提供商的Hussey说,Trustwave推荐的主要内容之一是部署智能的、精心设计的备份程序。“勒索软件团伙的这些新策略是对企业备份做法的回应,这些做法通过正确部署备份来减轻勒索软件风险,”Hussey说。“这些策略是有效的。许多公司投资备份解决方案并设计备份解决方案,以抵御勒索软件这种持续不断的威胁。但是,即使企业有备份数据,现在也无济于事,因为攻击者首先窃取了数据然后威胁要公开隐私信息。这是一种新的威胁形式。”Woolwine表示,当攻击者成功到达端点并获得数据访问权限时,他们认为有必要窃取数据,因为这可以进一步诱使企业付费解密数据。而且,攻击者特别关注公司网络上最敏感的数据类型。“最初,我们看到攻击者使用像CobaltStrike这样的攻击工具包来手动查找他们感兴趣的特定文件,”Woolwine说。“我说的是‘查找’,Windows搜索功能(尤其是当端点连接到公司文件时)服务器案例)足以识别‘保密协议’、‘合同’和‘机密’等文件。最近,我们已经看到了这些搜索脚本,因此它们可以更快地执行。”根据Woolwine的说法,对于大多数网络钓鱼和偷渡式攻击来说,它们仍然是勒索软件攻击的首选传递媒介,但这些技术也在发生变化。“我们还看到攻击者开始瞄准特定的面向互联网的系统,这些系统没有及时修补漏洞,并通过暴力认证瞄准RDP服务器,”Woolwine说。“无论哪种情况,一旦漏洞被利用或凭据被猜到,攻击者都会在断开连接之前安装勒索软件。这种增加很可能是由于从勒索到数据泄露的转变。攻击者不再关心他们可以感染多少台计算机,但使用访问数据最多的计算机这些新策略令人惊讶,但它们是勒索软件进化的下一个合乎逻辑的步骤,Hussey说,他预计未来会有更多攻击者采用它。
