网络犯罪分子正变得更具战略性和专业性 勒索。 他们越来越多地模仿合法企业的运作方式,包括利用不断增长的网络犯罪即服务供应链。
本文介绍了四种主要的勒索软件趋势,并提供了有关如何避免成为这些新攻击受害者的建议。
1. IAB 的崛起
网络犯罪变得越来越有利可图,专门从事破坏公司、窃取凭证并将访问权限出售给其他攻击者的初始访问经纪人 (IAB) 的增长就证明了这一点。 IAB 是网络犯罪即服务杀伤链中的第一个环节,这是一种现成服务的影子经济,任何潜在的犯罪分子都可以购买这些服务来构建复杂的工具链,以执行几乎任何可以想象到的数字犯罪。
IAB 的主要客户是勒索软件运营商,他们愿意为接触现成的受害者付费,同时专注于勒索和改进恶意软件。
2021 年,有超过 1,300 个 IAB 列表 KELA 网络情报中心监控的主要网络犯罪论坛上,近一半来自 10 个 IAB。 在大多数情况下,访问价格在 1,000 美元到 10,000 美元之间,平均售价为 4,600 美元。 在所有可用的产品中,VPN 凭据和域管理员访问权限属于其中之一 最有价值.
2.无文件攻击在雷达之下
网络犯罪分子从高级持续威胁 (APT) 和民族国家攻击者那里获得线索,采用离地 (LotL) 和无文件技术来提高逃避检测以成功部署勒索软件的机会。
这些攻击利用目标环境中常见的合法、公开可用的软件工具。 例如,91% DarkSide勒索软件 据统计,攻击涉及合法工具,其中只有 9% 使用恶意软件 报告 由 Picus 安全公司提供。 已发现的其他攻击是 100% 无文件的。
这样,威胁行为者就可以通过避免“已知的不良”指标(例如进程名称或文件哈希)来逃避检测。 应用程序允许列表允许使用受信任的应用程序,但也无法限制恶意用户,特别是对于无处不在的应用程序。
3. 针对低调目标的勒索软件组织
备受瞩目的 殖民地管道 2021 年 XNUMX 月的勒索软件攻击对关键基础设施造成了严重影响,引发了国际社会的广泛关注。 政府最高回应.
这种引人注目的攻击促使执法和国防机构进行审查并共同努力,对勒索软件运营商采取行动,从而导致犯罪活动的中断以及逮捕和起诉。 大多数犯罪分子宁愿将他们的活动隐藏起来。 考虑到潜在目标的数量,运营商可以在最大限度地降低自身运营风险的同时投机取巧。 借助 IAB 提供的详细、精细的固件统计信息,勒索软件攻击者在瞄准受害者时变得更加有选择性。
4. 业内人士对分一杯羹很感兴趣
勒索软件运营商还发现,他们可以招募流氓员工来帮助他们获得访问权限。 转化率可能较低,但回报是值得的。
A Hitachi ID 的调查 调查于 7 年 2021 月 4 日至 2022 年 65 月 XNUMX 日期间进行,发现 XNUMX% 的受访者表示,威胁行为者曾与他们的员工接触过,以帮助提供初步访问权限。 上钩的内部人士有不同的理由愿意背叛公司,尽管对雇主的不满是最常见的动机。
无论出于何种原因,勒索软件组织提供的报价都可能很诱人。 在 Hitachi ID 的调查中,57% 的员工所获得的薪酬低于 500,000 万美元,28% 的员工薪酬在 500,000 万至 1 万美元之间,11% 的员工薪酬超过 1 万美元。
改善保护的实际步骤
这里讨论的不断发展的策略增加了勒索软件运营商的威胁,但组织可以采取一些步骤来保护自己:
- 遵循零信任最佳实践, 例如多重身份验证 (MFA) 和最低权限访问,以限制凭据泄露的影响并增加检测异常活动的机会。
- 专注于减轻内部威胁, 这种做法不仅可以帮助限制员工的恶意行为,还可以限制外部参与者的恶意行为(毕竟,一旦获得访问权限,外部参与者就显得是内部人员)。
- 定期进行威胁搜寻, 这可以帮助检测无文件攻击和早期逃避防御的威胁行为者。
攻击者总是在寻找新的方法来渗透组织的系统,而我们所看到的新策略无疑增加了网络犯罪分子相对于没有做好攻击准备的组织的优势。 然而,组织并非无助。 通过采取本文中概述的实用且经过验证的步骤,组织可以让 IAB 和勒索软件组织的日子变得非常艰难,尽管他们采取了一系列新的策略。
