一、主要发现

  •  2021年7月,KELA发现了48个活跃黑客论坛帖子,威胁行为者表示他们正在寻找购买不同类型的访问权限,其中46%是在当月创建的,说明了对访问列表的需求。
  • 40%希望购买访问权限的威胁行为者被确定是勒索软件即服务(RaaS)供应链的积极参与者,即运营商、附属公司或中间商。
  •  勒索软件攻击者似乎形成了“行业标准”,根据收入水平和地理位置定义了理想受害者,并将某些部门和国家排除在目标列表之外。平均而言,2021年7月活跃的参与者旨在购买收入超过1亿美元的美国公司的访问权限,几乎一半的攻击者拒绝购买医疗保健和教育行业的公司。
  • 勒索软件攻击者已准备好购买各种网络访问权限,其中RDP和VPN是最基本的要求。最常见的网络访问产品是Citrix、Palo Alto Networks、VMware、Fortinet和Cisco。
  •  勒索软件攻击者准备支付高达十万美元的访问费用,大多数攻击者将边界设定为该价格的一半,即56,250美元。
  • 与勒索软件相关的威胁行为者对受害者的要求与IAB的访问列表和条件之间的相似之处表明,RaaS运营就像企业一样。

图1 理想的勒索软件受害者

二、威胁行为者需要何种访问权限

KELA总共发现了48个专门用于购买访问权限的黑客论坛帖子,这些帖子在2021年7月创建或处于活跃状态。其中近一半是在7月创建的,显示出令人印象深刻的速度和对访问列表的需求,活跃意味着威胁行为者在帖子中有来自其创建者的一个或多个更新。这就引出了一个问题,威胁行为者在寻找什么样的访问权限?以及他们的最终目标是什么?

图2 2021年7月初始访问买家的活跃帖子

首先最重要的是,要理解威胁行为者所说的“访问”并不一定意味着网络访问。这是一个以非常随意的术语,用于描述多个不同向量和入口点,从SQL注入和Webshell到基于RDP和VPN的访问。通过分析专门用于购买访问权限的活跃论坛帖子,KELA发现,除了初始访问代理(Initial Access Brokers,IAB)出售的初始网络访问之外,还包括对在线商店面板、未受保护的数据库、Microsoft Exchange服务器等的访问。所有这些类型的访问无疑都是危险的,可以使威胁行为者执行各种恶意操作,但它们很少提供对公司网络的访问。

图3 专门用于访问XSS和利用网络犯罪论坛的部分 

因此,通过研究参与者的需求及其暗网活动,KELA确定,帖子背后的参与者通常打算利用访问权限进行各种恶意活动,包括信息窃取(从部署信息窃取恶意软件到向网站注入恶意脚本)、加密货币挖掘、垃圾邮件和网络钓鱼活动。

图4 如何通过shell进行恶意访问

图5 威胁行为者正在寻找访问权限,以滥用这些权限来部署嗅探器或发送垃圾邮件

然而,有一个威胁显而易见。近40%的帖子是由与RaaS供应链相关的参与者创建的,即运营商、附属公司或中间商。随着勒索软件活动的不断发展和成熟,KELA观察到,多个勒索软件团伙使用IAB的服务。购买访问权限的公告有助于他们找到彼此并进一步合作。一些团伙,例如BlackMatter和Avos,甚至向所有通过XSS/Exploit Jabber服务注册的用户发送了关于他们购买Jabber访问权限的广告。其他组织,如Crylock勒索软件代表,特别提出他们正在固定卖家。

图6 BlackMatter勒索软件团伙正在论坛和Jabber上寻找初始访问代理

图7 Crylock勒索软件团伙正在寻找稳定的访问供应商

这些帖子并不新鲜,但随着勒索软件即服务(RaaS)生态系统的增长和多样化,它们变得更加标准化。与简单的“我会购买访问权限”不同,威胁行为者现在会仔细列出潜在受害者的特征和访问权限类型,确切地知道他们想要什么,即缓解攻击并最终收到赎金。KELA研究了这些指标,以找出勒索软件攻击者的目标列表中有哪些公司。

三、勒索软件攻击者对初始访问代理的要求

在描述初始访问代理(IAB)形成的定价模型时,KELA表示,这主要取决于受影响公司的收入和规模,尽管地理位置有时会起到一定的作用。受感染网络中的权限级别也会影响价格,例如域管理员账户的成本至少是访问具有用户权限的机器的10倍。从逻辑上讲,相同的指标对勒索软件参与者很重要,因为IAB始终遵循其客户的需求。

典型的勒索软件攻击受害者的包括以下特征:

1、地理位置

大多数请求都提到了受害者的理想位置,其中美国是最受欢迎的选择,47%的参与者提到了这一点,其他排名靠前的地区包括加拿大(37%)、澳大利亚(37%)和欧洲国家(31%)。大多数广告都包括多个国家,这种地理焦点背后的原因是,参与者选择了最富有的公司,这些公司预计位于最大和最发达国家。例如,LockBit 2.0勒索软件代表在最近的采访中表示,“公司的资本规模越大越好。无论目标位于何处,我们都会攻击所有人。”

图8 勒索软件攻击者对特定国家的需求

2、收入水平

通常情况下,威胁行为者只会说明最低期望收入,以过滤掉不太可能支付大量赎金的受害者。勒索软件攻击者想要的平均最低收入为1亿美元,其中一些攻击者表示收入水平取决于地理位置。例如,其中一位威胁行为表示:美国受害者的收入应超过500万美元,欧洲受害者的收入应超过2000万美元,“第三世界”国家的收入应超过4000万美元。

图9 威胁行为者根据潜在受害者的收入设定访问权限价格

3、行业黑名单

威胁行为者购买勒索软件攻击访问权限的广告与具有其他专业知识的网络犯罪分子之间,存在着显著差异。几乎一半与勒索软件相关的帖子都包含行业黑名单,这意味着攻击者还没有准备好购买特定行业公司的访问权限。

47%的勒索软件攻击者拒绝购买医疗保健和教育行业公司的访问权限。37%的攻击者禁止攻击政府部门,而26%的攻击者声称他们不会购买与非营利组织相关的访问权限。当威胁行为者禁止医疗保健或非营利行业提供服务时,更有可能是由于行为者的道德准则。当教育部门被排除在外时,原因是相同的,或者是教育受害者根本无法支付太多费用。当威胁行为者拒绝以政府公司作为攻击目标时,这是一种预防措施,也是为了避免执法部门不必要的关注。

图10 勒索软件攻击者的行业黑名单

4、国家黑名单

最后,勒索软件攻击者对一些国家不感兴趣,毫不奇怪,这就是独联体。根据俄语黑客的古老规则“不在俄语国家工作”,独联体的威胁行为者认为,如果他们不针对这些国家,地方当局就不会追捕他们。其他被称为“不受欢迎”的国家包括南美洲和第三世界国家,很可能是因为获得经济收益的机会很低。

四、勒索软件攻击者的访问预算

对于合适的受害者,勒索软件攻击者已准备好购买各种网络访问权限,其中RDP和VPN是最基本的要求。想要的支持网络访问的产品包括Citrix、Palo Alto Networks(特别是GlobalProtect VPN)、VMware(特别是ESXi)、Fortinet和Cisco。至于权限级别,一些攻击者表示他们更喜欢域管理员权限,尽管这似乎并不重要。

图11 与Nefilim勒索软件操作相关的攻击者寻找各种类型的访问权限

勒索软件攻击者准备为访问特定公司支付多少费用?范围从100美元到10万美元不等。访问权限的平均最低价格为1600美元,最高价格为56,250美元。此外,32%的勒索软件攻击者准备支付一部分赎金,IAB可以获得大约10%的赎金。

与勒索软件相关的参与者对受害者的要求与IAB的访问列表和条件之间的相似之处表明,RaaS运营就像企业一样。他们形成了“行业标准”、列出了行业及国家黑名单、定义了“客户”的收入和地理位置,并为向其提供所需“商品”的威胁行为者提供了具有竞争力的价格。应对此类有组织的网络犯罪,需要更多的努力和对勒索软件相关行为者寻找外包服务和招募合作伙伴和员工的来源的可见性。 

五、缓解措施

网络犯罪论坛上访问列表的需求正在增长,越来越多的参与者打广告说他们准备购买网络、站点、存储等的入口点。这是网络犯罪持续服务化的又一证据,尤其是勒索软件即服务(RaaS)运营,这些运营依赖于不同的专家来执行攻击。然而重要的是,公司的访问权限可能被不法分子利用,不仅可以用于部署勒索软件和窃取数据,还可以用于其他恶意活动。

面对各种威胁,企业防御者需要投入:

1、为所有关键利益相关者和员工提供网络安全意识和培训,以确保关键个人知道如何安全地在线使用其凭据和个人信息。此网络培训应包括如何识别可疑活动,例如可能的诈骗电子邮件、或来自未经授权的个人或电子邮件地址的异常请求。

2、定期进行漏洞监控和修补,以持续保护其整个网络基础设施,并防止初始访问代理或其他网络入侵者进行任何未经授权的访问。

3、对关键资产进行有针对性的自动化监控,以立即检测网络犯罪地下生态系统中出现的威胁。对组织资产的持续自动化和可扩展监控可以显著改善维护减少的攻击面,最终帮助组织阻止可能针对其进行的网络攻击。

参考链接:

【1】https://ke-la.com/the-ideal-ransomware-victim-what-attackers-are-looking-for/

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。