最近,网络安全公司KELA发布了一份关于地下勒索软件运营商名单的报告,包括访问请求,这是在目标系统中获得初步立足点的方式。结果显示,仅美国企业的访问请求市场就高达1亿美元。可以说,初始访问现在是一门大生意。Blackmatter和Lockbit等勒索软件组织可能会通过购买访问权限来减少网络攻击中涉及的一些“遗留问题”,包括工作凭证或有关公司系统漏洞的信息。与成功的勒索软件活动可能获得的数百万美元赎金相比,这笔费用显得微不足道。而且,通过直接购买访问权限,网络犯罪分子可以花更多时间攻击更多目标。据悉,KELA的调查基于其2021年7月在暗网论坛中的观察,该观察表明威胁行为者的目标是美国大型企业,但也考虑了加拿大、澳大利亚和亚洲的目标。俄罗斯的目标通常会被直接拒绝,而其他目标则被认为是“不受欢迎的”——包括那些位于发展中国家的目标——可能是由于现实世界的经济实力等因素。然而,无论在哪个国家/地区,大约一半的勒索软件运营商会拒绝对医疗保健和教育部门的黑客组织的请求。在某些情况下,政府实体和非营利组织也被排除在外。当谈到攻击者的首选访问方式时,远程桌面协议(RDP)和基于虚拟专用网络(虚拟网络)的访问仍然是最受欢迎的。具体来说,访问Citrix、PaloAltoNetworks、VMWare、Cisco和Fortinet等公司开发的产品。至于权限级别,一些攻击者表示他们更喜欢域管理员权限,尽管这似乎无关紧要。KELA还发现了针对电子商务面板、不安全的数据库和MicrosoftExchange服务器的产品——尽管这些服务可能对试图植入间谍软件和加密货币矿工的数据窃贼和犯罪分子更具吸引力。研究人员指出,所有这些类型的访问无疑都是危险的,它们可以使威胁行为者执行各种恶意操作。该研究还指出,大约40%的列表是由勒索软件即服务(RaaS)领域的参与者创建的;勒索软件运营商平均愿意支付高达100,000美元的费用来获得宝贵的初始服务访问权。在过去的一项研究中,KELA还观察到勒索软件领域的另一个值得注意的趋势:对谈判人员的需求不断增加。当受害者联系勒索软件运营商协商付款时,RaaS运营商正试图更好地利用攻击阶段,但由于语言障碍可能导致沟通不畅,勒索软件组织正试图在他们的团队中包括专业的英语谈判人员,以实现最大利益勒索。英特尔471还发现,参与商业电子邮件妥协(BEC)诈骗的网络罪犯正试图招募以英语为母语的人。由于网络钓鱼电子邮件的危险信号包括语法和拼写错误,诈骗者试图通过招募英语流利的人来撰写令人信服的副本,从而避免在第一个链接中被发现。
