自2019年11月以來，Maze勒索軟件背后的組織一直在通過面向公眾的網(wǎng)站公開受害者的數(shù)據(jù)，但最新信息表明各種勒索軟件團(tuán)伙現(xiàn)在正在合作共享資源并勒索受害者。

6月5日，一家國(guó)際建筑公司的信息和文件被發(fā)布到Maze的數(shù)據(jù)泄漏網(wǎng)站;但是，這些數(shù)據(jù)并非在Maze勒索軟件攻擊中被盜，而是來自另一個(gè)名為L(zhǎng)ockBit的勒索軟件攻擊。

Bleeping Computer最先報(bào)道了這個(gè)事情，后來這一消息得到Maze組織的確認(rèn)，他們正在與LockBit合作，并允許該組織在Maze的“新聞網(wǎng)站”上共享受害者數(shù)據(jù)。Maze組織還表示，未來幾天，該新聞網(wǎng)站還將發(fā)布另一種勒索軟件獲取的數(shù)據(jù)。

三天后，Maze添加了另一個(gè)競(jìng)爭(zhēng)的勒索軟件組織Ragnar Locker的受害者的數(shù)據(jù)。Maze網(wǎng)站上的帖子引用的是“Maze聯(lián)盟—由Ragnar提供”。

Maze組織是最早采用竊取數(shù)據(jù)并將傳統(tǒng)勒索與勒索軟件相結(jié)合策略的犯罪組織。他們不僅泄露受害者的數(shù)據(jù)，而且還創(chuàng)建了面向公眾的網(wǎng)站，以迫使受害者支付贖金。

Trustwave公司網(wǎng)絡(luò)威脅檢測(cè)與響應(yīng)副總裁Brian Hussey表示，數(shù)據(jù)泄露以及羞辱受害者是日益增長(zhǎng)的趨勢(shì)。他說，攻擊者在加密所有公司數(shù)據(jù)前會(huì)先竊取這些數(shù)據(jù)，然后將這些數(shù)據(jù)緩慢發(fā)布給公眾。

Hussey稱：“毫無疑問，我們看到的威脅有所增加，對(duì)威脅的實(shí)際執(zhí)行并不像我所看到的那樣多。但是很多時(shí)候，這確實(shí)迫使受害者支付更多的費(fèi)用。”

在Maze網(wǎng)站上，數(shù)十個(gè)受害者的名字被列出來，但在該組織的勒索軟件受害者中，只有10個(gè)客戶信息被“完整曝光”。這意味著大多數(shù)被Maze勒索的組織已經(jīng)支付贖金，以防止其機(jī)密數(shù)據(jù)的發(fā)布。

Rapid7首席安全研究員Wade Woolwine也觀察到了這種羞辱策略的增加。Woolwine和Hussey都認(rèn)為，勒索軟件團(tuán)伙策略的轉(zhuǎn)變是因?yàn)槠髽I(yè)開始投入更多時(shí)間和精力進(jìn)行備份。

Woolwine在給SearchSecurity的電子郵件中說：“我曾經(jīng)認(rèn)為，很少會(huì)有受害者支付贖金，因?yàn)槠髽I(yè)已經(jīng)提高其能力，他們可快速恢復(fù)受感染的資產(chǎn)并從備份中快速恢復(fù)數(shù)據(jù)。”

Hussey說，作為托管安全服務(wù)提供商，Trustwave建議的主要內(nèi)容之一就是要部署智能的精心設(shè)計(jì)的備份過程。

Hussey稱：“勒索軟件團(tuán)伙的這些新手段是對(duì)企業(yè)備份做法的響應(yīng)，企業(yè)正通過正確部署備份來減輕勒索軟件風(fēng)險(xiǎn)。這些手段是有效的。很多公司投資于備份解決方案并設(shè)計(jì)備份解決方案，以防止受到這種持續(xù)的勒索軟件的威脅。然而，現(xiàn)在即使企業(yè)有備份數(shù)據(jù)也無濟(jì)于事，因?yàn)楣粽呦雀`取數(shù)據(jù)，然后再威脅發(fā)布私有信息，這是這新的威脅形式。”

Woolwine說，當(dāng)攻擊者成功入侵到達(dá)端點(diǎn)并可以訪問數(shù)據(jù)時(shí)，他們會(huì)考慮有必要竊取數(shù)據(jù)，因?yàn)檫@可進(jìn)一步誘使企業(yè)付費(fèi)以解密數(shù)據(jù)。并且，攻擊者特別關(guān)注企業(yè)網(wǎng)絡(luò)中最敏感的數(shù)據(jù)類型。

Woolwine說：“最初，我們看到攻擊者使用像Cobalt Strike這樣的攻擊工具包來手動(dòng)查找其感興趣的特定文件。我說的是‘查找’，Windows搜索功能(尤其是在端點(diǎn)連接到企業(yè)文件服務(wù)器的情況下)足以識(shí)別諸如‘NDA’、‘合同’和‘機(jī)密’之類的文件。最近，我們已經(jīng)看到了這些搜索腳本，因此它們可以更快地執(zhí)行。”

據(jù)Woolwine稱，對(duì)于大多數(shù)勒索軟件攻擊而言，網(wǎng)絡(luò)釣魚和路過式攻擊仍然是首選的傳播媒介，但這些技術(shù)也在發(fā)生變化。

Woolwine說：“我們還看到，攻擊者開始瞄準(zhǔn)未及時(shí)修復(fù)漏洞的特定面向互聯(lián)網(wǎng)的系統(tǒng)，并以暴力破解身份驗(yàn)證方式瞄準(zhǔn)RDPserver。無論哪種情況，一旦漏洞被利用或憑證被猜測(cè)到，攻擊者將在斷開連接之前安裝勒索軟件。這種手段的增加很可能是由于從贖金到數(shù)據(jù)泄露的轉(zhuǎn)變。攻擊者關(guān)注的不再是可以感染多少臺(tái)計(jì)算機(jī)，而是感染可訪問最多數(shù)據(jù)的計(jì)算機(jī)。”

Hussey說，這些新手段很令人詫異，但它們是勒索軟件發(fā)展過程中的下一個(gè)合乎邏輯的步驟，他預(yù)計(jì)將來有更多攻擊者采用這種做法。