欢迎进入UG环球官网(环球UG)!

9 种勒索软件"助推器" 以及匹敌它们的战略

admin1个月前51

Allbet Gmaing开户

欢迎进入Allbet Gmaing开户(www.aLLbetgame.us),欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。

,

得益于“网络犯罪即服务”(cybercrime-as-a-service)生态系统的蓬勃生长,勒索软件营业仍在愈演愈烈。

其中一些服务主要基于犯罪分子行使组织尚未修补的已知破绽,或强制接见远程桌面协议(RDP)毗邻,然后将此接见权限出售给其他人。针对这种情形,改善补丁治理和RDP平安实践是行之有用的防御措施。

然而,除非接纳强有力的措施,否则其他勒索软件的“助推器”可能会继续蓬勃生长。损坏勒索软件运营商招募专家和出售服务的网络犯罪论坛,通常需要执法干预。

接下来为人人先容9种勒索软件“助推器”,以及可以接纳的应对措施:

1. 新论坛助长勒索软件

有时,网络犯罪社区似乎是遵照“自我羁系”原则——至少在理论上是这样。例如,今年5月份,在DarkSide针对美国的Colonial Pipeline以及Conti针对爱尔兰卫生服务机构的攻击造成政治影响之后,一些最大的俄语网络犯罪论坛——包罗XSS和Exploit——已经正式阻止任何涉及勒索软件的通讯。

然而,一些平安专家示意,许多论坛总是能“钻破绽”找到变通方式,例如“渗透测试者”和“接见署理”的广告贴,条件是这些广告没有稀奇提及加密锁定恶意软件的字眼。

只管一些较大的论坛已经阻止讨论勒索软件,但一些较小的介入者似乎并不排挤它们,其中还不乏一些新涌现的论坛。

据以色列威胁情报公司Kela称,7月12 日,Babuk勒索软件运营商的数据泄露站点(6月份已从Babuk更名为Payload.bin)再次酿成一个名为RAMP的网络犯罪论坛。Kela公司威胁情报剖析师Victoria Kivilevich在一份新的研究讲述中示意。

据官方先容,RAMP代表“Ransom Anon Mark Place(勒索软件匿名市场)”,但事实上它也是在致敬已遣散的“俄罗斯匿名市场”(Russian Anonymous Marketplace,简称RAMP,于2017年关闭)。

该新论坛称其旨在支持勒索软件即服务(RaaS)操作,这是当今涉及勒索软件的主要商业模式。在RaaS模式下,运营商或治理员认真开发加密锁定恶意软件,隶属机构(affiliate)通过门户获取该恶意软件,用于熏染受害者,并从支付的每笔赎金中抽取一部门佣金。

Kela公司先容称,一个最初名为“TetyaSluha”——现在是“Orange”的新治理员宣布它现在是一个可以珍爱勒索软件隶属公司免受不道德RaaS程序损害的地方。该治理员声称,在其他论坛阻止勒索软件通讯之后,他想确立一个新社区,并指出该论坛现在已经有专门先容初始接见经纪人、勒索软件供应商和隶属程序的部门。

Kela弥补道,在遭受垃圾邮件攻击后,RAMP于7月尾下线,但网站上的一条新闻称它将于 8月13日恢复。当再次恢复运行时,它无疑将继续成为想要窃听讨论的威胁情报公司的目的,也可能成为追求识别地下网络犯罪成员并试图逮捕他们的执法机构的目的。

2. 勒索软件整体有其他相同战略/渠道

平安公司Trend Micro的网络犯罪研究主管Bob McArdle示意,更大的勒索软件操作整体可能还构建了普遍的毗邻列表和完善的关系拓扑,因此它们对论坛的依赖水平较低。

同样地,威胁情报公司Flashpoint也示意,勒索软件运营向来都是通过多个渠道举行招募。它说,有些整体,例如Black Shadow,主要依赖Telegram帐户;其他人,例如LockBit 2.0,则会在他们的论坛上举行勒索软件即服务招聘。

与此同时,据平安公司称,克日,AvosLocker勒索软件运营商使用了一项通过Jabber和Telegraph分发垃圾邮件的服务,来宣传其勒索软件互助同伴设计。

3. 专家提供按需服务

平安专家示意,勒索软件运营商不只是追求招募新的隶属机构。一些规模更大、更庞大的行动——例如REvil、DarkSide 和 Ryuk——还会通过招募差其余专家来增添攻击乐成率并助力勒索营业蓬勃生长。

勒索软件事宜响应公司Coveware示意,对于一次完整的勒索软件攻击流动,可能涉及十多个怪异的介入者,每个介入者都有差其余专业手艺,对攻击的差异阶段做出孝顺。当勒索软件组织专注于特定的入侵方式时,他们很可能会去寻找正在向相符RaaS组特征的未来受害者出售网络接见权限的上游专家,这些上游专家已经不止一次地出售这种接见权限,因此能够在竞争对手之前获取竞争优势来影响网络。

不外,并非所有专家都市介入直接入侵组织的流动。有些只是提供辅助服务,例如与受害者谈判。其他人还可以给受害者带来其他类型的支付压力,例如,通太过发似乎不需要顶级手艺手艺的拒绝服务攻击。

威胁情报公司英特尔471示意,它曾经跟踪过一名网络犯罪分子,该人于1月首次泛起在一个著名的网络犯罪论坛上,该论坛在Colonial Pipeline攻击事宜被关闭后,他又成为了污名昭著的DarkSide行动的同伙。据该名犯罪分子交接,他主要认真对DarkSide的受害者提议DDoS攻击。在任何给准时间,都市有10到20个目的受到DDoS攻击,攻击会连续1到21天不等,受害者每次支付赎金,他们就能赚取500到7,000美元。

4. 初始接见经纪人为您铺平蹊径

在勒索软件攻击者行使的种种专家中,有一个角色叫做“初始接见经纪人”,这是形貌黑客获得组织网络接见权,然后将该接见权出售给其他人的一种奇异方式。对于使用勒索软件的攻击者来说,购置接见权限意味着他们可以花更多时间来熏染受害者,而不必先侵入他们的系统。

此类经纪人的服务似乎正在激增。回首今年前三个月最受迎接的10个俄语和英语犯罪论坛,平安公司Positive Technologies统计了近600个接见报价,而上一季度这一数字仅为255个。

新二皇冠最新手机登录

www.9cx.net)实时更新发布最新最快最有效的新二皇冠最新手机登录网址,包括新2手机网址,新2备用网址,皇冠最新网址,新2足球网址,新2网址大全。


该数字还并不包罗所有此类出售的接见权限,由于一些勒索软件操作与初始接见经纪人确立了互助同伴关系,或者向他们提供“回扣”以获得优先购置权。其他经纪人会列出他们提供出售的一些“接见权限”,但会告诉潜在买家直接与他们联系以获取有关其他目的的信息。

然而,公然可用报价的增添解释,更多的组织有可能成为犯罪分子的受害者,这些犯罪分子获得了对其网络的远程接见权限,并将这种接见权限出售给出价最高的人。

5. 网络钓鱼和远程桌面协议(RDP)提供接见权限

Coveware忠告称,对于使用勒索软件的攻击者来说,网络钓鱼和暴力破解RDP接见凭证仍然是获得系统初始接见权限最常用的两种战略。


因此,拥有壮大的网络钓鱼解决方案并锁定RDP仍然是增强防御能力的明智之举。

6. 未修补的破绽同样提供接见权限

在使用勒索软件的攻击者获取接见权限的列表中,排名第三的是行使平安破绽。Coveware示意,从4月到6月,它发现攻击者稀奇喜欢行使两个破绽作为切入点,以获取对组织网络的远程接见权限。这些破绽划分为影响SSL VPN装备的Fortinet FortiOS路径遍历破绽(CVE-2018-13379),以及SonicWall SRA 4600装备中的破绽(CVE-2019-7481)。

FireEye的Mandiant事宜响应小组在一份讲述中示意,在供应商宣布补丁之前,它考察到一群使用FiveHands勒索软件的组织于2月最先针对SonicWall SMA 100系列VPN装备中的破绽。

英特尔471弥补道,FiveHands的成员之后还行使了VMware Sphere Client破绽(供应商已于5月份完成修补)以及被称为“PrintNightmare”的Windows Print Spooler Service破绽(微软于7月对其举行了周全修补)。

永恒存在的“补丁或消亡”的问题意味着,一旦供应商宣布平安修复程序,攻击者就会竞相对其举行逆向工程,以找到他们可能行使的破绽,从而轻松聚焦尚未安装更新的新受害者。

英特尔471示意,网络犯罪分子和其他任何人一样关注CVE,而且他们清晰地知道组织在修复破绽方面存在拖延征象,而正是这些破绽为犯罪分子提供了执行攻击所需的接见权限。

7. 开源选项催生更多攻击

恶意软件源代码经常被泄露或在野外转储,使犯罪分子能够重用和改编它。这种例子触目皆是:例如,2011 年,污名昭著的Zeus银行木马的源代码因不明缘故原由在网上泄露,并迅速被众多造孽分子滥用。

就在2016年8月针对物联网的Mirai僵尸网络泛起几周后,其确立者在网上泄露了源代码,其最初的目的很可能是试图让观察职员偏离轨道。但糟糕的是,许多其他犯罪分子已经迅速改编并重新行使了该恶意软件。

在勒索软件方面,2015年,平安研究职员Utku Sen将EDA2和Hidden Tear构建为开源勒索软件,并将源代码宣布在GitHub上。虽然研究职员示意该代码是为教育目的而开发的,但它很快就被犯罪分子滥用,甚至衍生了具有“Pokemon Go”(一款连系了AR手艺的游戏)主题的恶意软件变体。

不外,这种事情对平安研究职员来说也具有警示意义:永远不要将看法验证(PoC)勒索软件在野宣布。

8. 泄露知足加密锁定恶意软件的需求

最近,有人泄露了一个名为“Babukbuilder”的Windows可执行文件,效果证实它是Babuk使用的要害软件。

该构建器用于天生恶意软件的唯一副本,在Babuk勒索软件模式下,用于为每个差其余受害组织天生加密锁定恶意软件息争密工具。

该可执行文件最初是由总部位于伦敦的时尚零售巨头Arcadia Group的平安运营中央认真人 Kevin Beaumont发现的,他讲述称它会天生恶意软件并影响“Windows、VMware ESXi、网络附加存储x86和ARM,以及普遍使用的VMware hyperviso和NAS装备”。

包罗Beaumont在内的平安专家已经证实了该软件的有用性。

显然,一些不太先进的犯罪分子也泄露了他们的工具。英特尔471讲述称,6月下旬,一名使用信息窃取恶意软件Vidar的运营商向机械人发出了‘下载和执行’义务,旨在安装由构建者天生的Babuk勒索软件变体。

9. 重用恶意软件缩短开发周期

很显然,一些恶意软件开发职员正在借用、共享或窃取代码。例如,英特尔471讲述称,“Conti 勒索软件和BazarLoader之间的代码存在多种相似之处”,BazarLoader是一种旨在提供对受熏染端点的远程接见的恶意软件。

此类持有勒索软件的攻击者以前曾使用此类恶意软件(包罗BazarLoader)来获得装备的初始接见权限,然后下载并运行其他工具和恶意软件,例如Ryuk和Vaet。

但英特尔471 示意,开发Conti的人似乎借用了BazarLoader的一些代码。它说,一个特其余相似之处在于代码允许Conti在一个伶仃的实例(好比沙箱或虚拟机)中逃避剖析。该函数的代码与BazarLoader使用的代码险些相同,两个函数都遵照准确的逻辑并在搜索hook时以相同的方式执行。

不幸的是,一旦此类代码被滥用,并没有什么简朴的方式可以消除它。然而,在某些情形下,平安公司可以凭证它的事情方式推断出发现它在野运行的方式,以辅助组织防御它。

本文翻译自:https://www.bankinfosecurity.com/9-ransomware-enablers-tactics-for-combating-them-a-17172
上一篇 下一篇

猜你喜欢

网友评论

随机文章
热门文章
热评文章
热门标签