可以說,初始訪問現(xiàn)在是門大生意。Blackmatter和Lockbit等勒索軟件組織可能會通過購買訪問權(quán)限(包括工作憑證或公司系統(tǒng)漏洞信息)來減少網(wǎng)絡(luò)攻擊中涉及的一些“跑腿”工作。
與實施成功的勒索攻擊活動可能會獲取的數(shù)百萬美元贖金相比,這點費用就顯得微不足道了。而且,通過直接購買訪問權(quán)限,網(wǎng)絡(luò)犯罪分子能夠騰出更多的時間攻擊更多目標(biāo)。
據(jù)悉,KELA此次的調(diào)查是基于2021年7月其在暗網(wǎng)論壇中的觀察結(jié)果得出的,結(jié)果表明威脅行為者正在針對大型美國企業(yè),但也考慮了加拿大、澳大利亞和亞洲的目標(biāo)。
俄羅斯的目標(biāo)通常會立即被拒絕,而其他目標(biāo)則被認(rèn)為是“不需要的”——包括那些位于發(fā)展中國家的目標(biāo)——可能是考慮到現(xiàn)實的經(jīng)濟(jì)實力等因素。
然而,無論在哪個國家,大約一半的勒索軟件運營商都會拒絕侵入醫(yī)療保健和教育部門組織的請求。在某些情況下,政府實體和非盈利組織也會被排除在外。
談到攻擊者首選的訪問方式,遠(yuǎn)程桌面協(xié)議(RDP)以及基于虛擬專用網(wǎng)絡(luò)(VPN)的訪問仍然最受歡迎。具體來說,可以訪問由Citrix、Palo Alto Networks、VMWare、Cisco和Fortinet等公司開發(fā)的產(chǎn)品。
至于權(quán)限級別,一些攻擊者表示他們更喜歡域管理員權(quán)限,盡管它似乎并不重要。
KELA還發(fā)現(xiàn)了針對電子商務(wù)面板、不安全數(shù)據(jù)庫和Microsoft Exchange服務(wù)器的產(chǎn)品——盡管這些服務(wù)可能對試圖植入間諜軟件和加密貨幣礦工的數(shù)據(jù)竊取者和犯罪分子更具吸引力。
研究人員指出,所有這些類型的訪問無疑都是危險的,它們可以使威脅行為者執(zhí)行各種惡意操作。
研究還指出,大約40%的列表是由勒索軟件即服務(wù)(RaaS)領(lǐng)域的玩家創(chuàng)建的;勒索軟件運營商愿意為有價值的初始訪問服務(wù)平均支付高達(dá) 100000 美元的費用。
在過去的一項研究中,KELA還觀察到勒索軟件領(lǐng)域的另一個值得注意的趨勢:對談判人員的需求不斷增加。RaaS運營商正試圖在受害者聯(lián)系勒索軟件運營商協(xié)商付款時更好地利用攻擊階段獲利,但由于語言障礙可能導(dǎo)致溝通不暢,勒索軟件組織正試圖將專業(yè)的英語談判人員納入團(tuán)隊,以實現(xiàn)勒索的最大效益。
Intel 471 還發(fā)現(xiàn)參與商業(yè)電子郵件入侵(BEC)詐騙的網(wǎng)絡(luò)犯罪分子正試圖招募以英語為母語的人。由于網(wǎng)絡(luò)釣魚電子郵件的危險信號包括語法和拼寫錯誤,詐騙者正試圖通過招募精通英語的人撰寫令人信服的副本,以避免在第一環(huán)節(jié)中被發(fā)現(xiàn)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號