勒索軟件全球肆虐促進了暗網生態系統的蓬勃發展

以合適的價格，威脅參與者幾乎可以獲得任何他們想要發起勒索軟件攻擊的東西——即使沒有技術技能或任何以前的經驗。 地下經濟正在蓬勃發展——這是由不斷發展的勒索軟件行業推動的。

暗網現在擁有數百個蓬勃發展的市場，可以在其中以各種價位獲得各種專業的勒索軟件產品和服務。

Venafi和Forensic Pathways的研究人員在2021年11月至2022年3月期間分析了大約 3500萬個暗網URL（包括論壇和市場），發現了475個網頁，其中包含勒索軟件毒株、勒索軟件源代碼、構建和定制開發服務以及完整的列表。成熟的勒索軟件即服務 (RaaS) 產品。

大量勒索軟件工具

研究人員確定了頁面上列出的30個不同的勒索軟件系列，并發現了以前與攻擊知名目標相關的知名變種的廣告，例如DarkSide/BlackCat、Babuk、Egregor和 GoldenEye。這些經過驗證的攻擊工具的價格往往明顯高于鮮為人知的變體。

例如，DarkSide的定制版本——Colonial Pipeline攻擊中使用的勒索軟件——定價為1,262美元，而一些變體的價格低至0.99美元。與此同時，Babuk勒索軟件的源代碼標價為950美元，而Paradise變種的源代碼售價為593美元。

“其他黑客很可能會購買勒索軟件源代碼來修改它并創建自己的變體，就像開發人員使用開源解決方案并修改它以滿足他們公司的需求一樣，” Venafi 的安全策略和威脅情報 副總裁Kevin Bocek表示。 

Bocek說，威脅行為者使用Babuk等變體取得了成功，該變體去年曾用于對華盛頓特區警察局的攻擊，這使得源代碼更具吸引力。“因此，您可以了解為什么威脅行為者希望使用該菌株作為開發自己的勒索軟件變體的基礎。”

無需經驗即可上手

Venafi研究人員發現，在許多情況下，通過這些市場提供的工具和服務（包括分步教程）旨在允許具有最少技術技能和經驗的攻擊者對他們選擇的受害者發起勒索軟件攻擊。 

“研究發現，勒索軟件菌株可以在暗網上直接購買，而且一些‘供應商’提供額外服務，如技術支持和付費附加服務，例如勒索軟件攻擊的無法殺死的進程，以及教程，”Bocek說。

其他供應商報告稱，勒索軟件參與者越來越多地使用初始訪問服務，以在目標網絡上站穩腳跟。初始訪問代理 (IAB) 是威脅行為者，它們向其他威脅行為者出售對先前被破壞的網絡的訪問權限。

IAB經紀蓬勃發展

今年早些時候Intel471的一項研究發現，勒索軟件攻擊者和IAB之間的聯系越來越緊密。在這個領域最活躍的參與者是Jupiter，它是一個威脅參與者，在今年第一季度可以訪問多達1,195個受感染的網絡；另外一個Neptune，在同一時間范圍內列出了1,300 多個待售訪問憑證。 

Intel471發現使用這些服務的勒索軟件運營商包括Avaddon、Pysa/Mespinoza和 BlackCat。

通常，訪問是通過受損的Citrix、Microsoft遠程桌面和Pulse Secure VPN憑據提供的。Trustwave的SpiderLabs密切關注暗網上各種產品和服務的價格，并將VPN憑證描述為地下論壇中最昂貴的商品。根據供應商的說法，VPN訪問的價格可能高達5,000 美元 ，甚至更高，具體取決于組織的類型和它提供的訪問權限。

“我預計勒索軟件會像過去幾年那樣肆虐，”Bocek說，“機器身份的濫用也將導致勒索軟件從感染單個系統轉移到接管整個服務，例如云服務或物聯網設備網絡。” 

勒索運營者層次不齊 

與此同時，本周發布的另一項研究——Check Point的年中威脅報告——顯示，勒索軟件領域的玩家數量遠遠多于人們普遍認為的。Check Point研究人員分析了該公司事件響應活動的數據，發現雖然一些勒索軟件變體（例如 Conti、Hive和Phobos）比其他變體更常見，但它們并未占攻擊的大部分。事實上，Check Point工程師響應的勒索軟件事件中有72%涉及他們之前只遇到過一次的變體。

報告稱：“這表明，與某些假設相反，勒索軟件領域并非僅由少數幾個大團體主導，而是實際上是一個分散的生態系統，其中有多個較小的參與者，這些參與者不像較大的團體那樣廣為人知。”

Check Point與Venafi 一樣，將勒索軟件描述為繼續對企業數據安全構成最大風險，就像過去幾年一樣。這家安全供應商的報告強調了今年早些時候Conti集團對哥斯達黎加（以及隨后對秘魯）的勒索軟件攻擊等活動，作為威脅行為者為了追求經濟利益而擴大其目標范圍的例子。 

勒索軟件大魚

一些較大的勒索軟件集團已經發展到雇傭數百名黑客、收入數億美元的地步，并且能夠投資于研發團隊、質量保證計劃和專家談判代表等方面。Check Point警告說，越來越多的大型勒索軟件組織已經開始獲得民族國家行為者的能力。

Check Point表示，與此同時，此類團體已開始受到政府和執法部門的廣泛關注，可能會鼓勵他們保持法律形象。例如，美國政府懸賞1000萬美元獎勵導致識別和/或逮捕Conti成員的信息，并懸賞500萬美元獎勵 抓獲Conti的團體。這被認為促成了今年早些時候Conti集團決定停止運營。

“將從Conti勒索軟件組織中吸取教訓，”Check Point在其報告中說。“它的規模和力量獲得了太多的關注，促成為了它的解散或改換門庭。展望未來，我們相信會有更多的中小型勒索團伙，而不是少數大型集團，這樣他們就可以更容易地被忽視。” 

參考來源

https://www.darkreading.com/risk/ransomware-explosion-thriving-dark-web-ecosystem

文章來源：網空閑話