随着网络犯罪团伙越来越多地在非法网络犯罪市场上购买他们的恶意软件、网络钓鱼和勒索软件工具,暗网变得越来越黑暗。
2022 年 4 月,美国财政部制裁了总部位于俄罗斯的 Hydra Market。Hydra 是 世界上最大的暗网市场,为全球威胁行为者提供恶意网络犯罪和加密货币兑换服务。美国和德国几乎同时关闭了 Hydra。
在暗网上运作的勒索软件组织雇佣了数百名黑客,赚取了 数亿 美元的收入。此外,随着时间的推移,它们可能会产生数十亿美元的非法资金。
2022 年,研究人员在暗网上发现 了 475 页勒索软件代码 供出售。这些产品中提供了 30 种勒索软件,包括 DarkSide 和 GoldenEye 勒索软件即服务 (RaaS)。
威胁行为者,包括脚本小子和没有黑客经验的人,越来越多地加入勒索软件即服务 (RaaS) 操作,以轻松开始勒索受害者。
到 2022 年, 威胁行为者更愿意 加入 RaaS 进行勒索软件攻击,因为他们往往拥有更多的自由并且可以比私人勒索软件更快地部署。
RaaS 的买卖如何运作
考虑到恶意软件造成的损害以及它从受害者那里获得的大笔款项,加入 RaaS 的成本很低。
例如,Venafi 报告称,DarkSide 的定制版本在暗网上以 1,262 美元的价格售出,该勒索软件与犯罪黑客用来关闭 Colonial Pipeline 的勒索软件相同。
RaaS 解决方案、相关源代码和定制的 RaaS 服务直接在暗网上销售,使用比特币等加密货币进行销售交易。对于这样一个利基企业,这些 RaaS 产品正变得越来越合法——有些包括订阅包、用户说明和技术支持。
参与此类操作的威胁参与者通常 从初始访问代理 (IAB)购买网络访问权限。初始访问包括用于打开访问工具(例如 Citrix、 Microsoft RDP和 Pulse Secure VPN)的被盗凭据。
与通过网络钓鱼或暴力攻击自行收集密码相比,犯罪分子购买受损凭据更容易。
RaaS 的兴起对 2023 年的网络犯罪意味着什么
预测显示,勒索软件即服务的运营将 在 2023 年加强, 因为它们调整运营以更有效地泄露数据,并帮助附属组织羞辱那些不通过在泄漏站点上发布数据而支付费用的组织。
今年,72% 的勒索软件事件使用了网络安全工程师以前只见过一次的变体。
独特和新颖的勒索软件攻击趋势将在 2023 年继续——IAB、RaaS 组织和附属机构将增加初始访问的交易,包括用于解锁各种访问工具的受损用户凭证。
防御不断上升的 RaaS 攻击
勒索软件的解决方案是使用多层网络安全防御。针对勒索软件攻击的纵深防御包括数据安全、端点安全和基于网关的安全解决方案。
数据安全
数据安全为外部分段网络和设备提供备份,因此加密生产数据的勒索软件无法获取备份。
端点安全
端点安全强化了用户设备。NIST等组织 为计算机和智能手机提供安全配置。端点安全解决方案将基于行为的反恶意软件和反网络钓鱼与勒索软件保护相结合,以防止恶意用户进行未经授权的更改。
网关安全
网关安全保护用户和网络免受勒索软件的侵害。安全网关检查勒索软件攻击使用的加密数据。安全网关可以检测并阻止勒索软件进入和离开网络。
锁定最终用户凭据入口点
大多数网络攻击使用最终用户凭据作为网络入口点。勒索软件团伙从 IAB 购买被破坏的凭据,以在勒索软件攻击中获得对网络的初始访问权限。
通过部署安全密码策略,组织可以帮助用户通过选择和使用安全密码来履行其在勒索软件统治中的角色。
Specops 密码策略 使用泄露密码保护,阻止了超过 30 亿个已知的泄露密码,包括 IAB 出售给勒索软件集团和附属机构用于初始访问的密码。
Specops Password Policy 使用开源以及来自 RDP 蜜罐的实时攻击数据不断更新其违规列表。
