[[424306]]

近日，網(wǎng)絡(luò)安全公司KELA發(fā)布了一份關(guān)于地下勒索軟件運(yùn)營(yíng)商列表的報(bào)告，其中包括訪問(wèn)請(qǐng)求，即在目標(biāo)系統(tǒng)中獲得初步立足點(diǎn)的方式。結(jié)果顯示，單是針對(duì)美國(guó)企業(yè)的訪問(wèn)請(qǐng)求市場(chǎng)就高達(dá)1億美元。

可以說(shuō)，初始訪問(wèn)現(xiàn)在是門大生意。Blackmatter和Lockbit等勒索軟件組織可能會(huì)通過(guò)購(gòu)買訪問(wèn)權(quán)限(包括工作憑證或公司系統(tǒng)漏洞信息)來(lái)減少網(wǎng)絡(luò)攻擊中涉及的一些“跑腿”工作。

與實(shí)施成功的勒索攻擊活動(dòng)可能會(huì)獲取的數(shù)百萬(wàn)美元贖金相比，這點(diǎn)費(fèi)用就顯得微不足道了。而且，通過(guò)直接購(gòu)買訪問(wèn)權(quán)限，網(wǎng)絡(luò)犯罪分子能夠騰出更多的時(shí)間攻擊更多目標(biāo)。

據(jù)悉，KELA此次的調(diào)查是基于2021年7月其在暗網(wǎng)論壇中的觀察結(jié)果得出的，結(jié)果表明威脅行為者正在針對(duì)大型美國(guó)企業(yè)，但也考慮了加拿大、澳大利亞和亞洲的目標(biāo)。

俄羅斯的目標(biāo)通常會(huì)立即被拒絕，而其他目標(biāo)則被認(rèn)為是“不需要的”——包括那些位于發(fā)展中國(guó)家的目標(biāo)——可能是考慮到現(xiàn)實(shí)的經(jīng)濟(jì)實(shí)力等因素。

然而，無(wú)論在哪個(gè)國(guó)家，大約一半的勒索軟件運(yùn)營(yíng)商都會(huì)拒絕侵入醫(yī)療保健和教育部門組織的請(qǐng)求。在某些情況下，政府實(shí)體和非盈利組織也會(huì)被排除在外。

談到攻擊者首選的訪問(wèn)方式，遠(yuǎn)程桌面協(xié)議(RDP)以及基于虛擬專用網(wǎng)絡(luò)(虛擬網(wǎng)絡(luò))的訪問(wèn)仍然最受歡迎。具體來(lái)說(shuō)，可以訪問(wèn)由Citrix、Palo Alto Networks、VMWare、Cisco和Fortinet等公司開(kāi)發(fā)的產(chǎn)品。

至于權(quán)限級(jí)別，一些攻擊者表示他們更喜歡域管理員權(quán)限，盡管它似乎并不重要。

KELA還發(fā)現(xiàn)了針對(duì)電子商務(wù)面板、不安全數(shù)據(jù)庫(kù)和Microsoft Exchange服務(wù)器的產(chǎn)品——盡管這些服務(wù)可能對(duì)試圖植入間諜軟件和加密貨幣礦工的數(shù)據(jù)竊取者和犯罪分子更具吸引力。

研究人員指出，所有這些類型的訪問(wèn)無(wú)疑都是危險(xiǎn)的，它們可以使威脅行為者執(zhí)行各種惡意操作。

研究還指出，大約40%的列表是由勒索軟件即服務(wù)(RaaS)領(lǐng)域的玩家創(chuàng)建的;勒索軟件運(yùn)營(yíng)商愿意為有價(jià)值的初始訪問(wèn)服務(wù)平均支付高達(dá) 100000 美元的費(fèi)用。

在過(guò)去的一項(xiàng)研究中，KELA還觀察到勒索軟件領(lǐng)域的另一個(gè)值得注意的趨勢(shì)：對(duì)談判人員的需求不斷增加。RaaS運(yùn)營(yíng)商正試圖在受害者聯(lián)系勒索軟件運(yùn)營(yíng)商協(xié)商付款時(shí)更好地利用攻擊階段獲利，但由于語(yǔ)言障礙可能導(dǎo)致溝通不暢，勒索軟件組織正試圖將專業(yè)的英語(yǔ)談判人員納入團(tuán)隊(duì)，以實(shí)現(xiàn)勒索的最大效益。

Intel 471 還發(fā)現(xiàn)參與商業(yè)電子郵件入侵(BEC)詐騙的網(wǎng)絡(luò)犯罪分子正試圖招募以英語(yǔ)為母語(yǔ)的人。由于網(wǎng)絡(luò)釣魚(yú)電子郵件的危險(xiǎn)信號(hào)包括語(yǔ)法和拼寫錯(cuò)誤，詐騙者正試圖通過(guò)招募精通英語(yǔ)的人撰寫令人信服的副本，以避免在第一環(huán)節(jié)中被發(fā)現(xiàn)。