勒索软件新动向：外包网络访问 exploit，加速攻击

本周一，埃森哲 (Accenture) 公司的网络威胁情报 (CTI) 团队发布关于网络安全新趋势的研究报告，其中包含针对勒索软件操纵人员和 exploit销售人员之间关系的调查。

埃森哲高级安全分析师 Thomas Willkan 和 Paul Mansfield 表示，购买网络访问点和已受陷方法来渗透目标系统的人员正在增多，其中包括购买被盗凭证和漏洞。

在攻击过程中，勒索软件操纵人员首先必须找到一个网络入口点。受陷员工账户、公开系统配置不当以及易受攻击的端点皆可被用于部署这个特别的恶意代码家族，从而导致文件和磁盘遭加密以及支付赎金获取解密密钥。

目前难以估算今年发生了多少起成功的勒索攻击。欧洲刑警组织认为这些具体的攻击通常并未得到报道，只有重大事件如最近因勒索软件而丧生的病患事件才会为大众所知。

近期勒索组织要求缴纳的赎金可高达六位数或者更多，具体根据目标及其预估价值确定。当前，勒索软件组织的目的是切断攻击的初始访问阶段，加速攻击并增加非法收入。

网络访问权限卖家一般会开发出一个初始漏洞，之后在地下论坛以300到10000美元的价格出售。地下论坛提供的大多数网络访问权限将包括按行业划分及访问权限类型的目标，如 Citrix、RDP 等，而且还可能记录网络上所检测到的机器数量。

研究人员表示，“从2020年开始，自如今流行起来的”含数据盗取和敲诈的勒索软件“技术的出现，勒索软件犯罪团伙已成功利用暗网平台外包网络攻陷过程中的复杂之处。成功的勒索软件攻击有赖于稳定的网络访问权限的开发和维护，而开发和维护可能会面临更高的检测风险并要求投入时间和精力。访问权限卖家正好是勒索软件犯罪团伙的细分市场。”

截止到今年9月份，埃森哲已经追踪了25个持久的网络访问权限卖家以及偶然的一次性入局者，而且“每周”都有更多的人进入市场。

很多卖家都活跃在相同的地下论坛中，这些论坛被勒索软件组织如 Maze、NetWalker、Sodinokibi、Lockbit 和 Avaddon所霸占。

目前，卖家开始在单独的论坛频道而不是单独的帖子中提供服务，而 RDP 仍然是网络访问权限的一个流行选择。有意思的是，某些交易者已经不再向单一卖家出售一个 0day，而是使用这些 0day exploit多个企业网络并在各个绑定中向威胁行动者出售访问权限，获得更多的收入。

出现在这些地下论坛广告中的还包括 Citrix 和 Pulse Secure VPN 客户端。

埃森哲在报告中指出，“网络访问权限卖家正在利用疫情期间出现的多款远程工作工具。卖家和网络攻击者之间的这种共生关系便于对政府部门和企业实体持续进行攻击并梳理网络攻陷流程，导致网络犯罪人员的行动更为迅速也更有效。”

https://www.zdnet.com/article/ransomware-operators-buy-network-access-from-the-underground-to-speed-up-infection/

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

    觉得不错，就点个 “在看” 吧~