頂級勒索組織開始轉型賣組織訪問權?
一般不能用頂級這個詞。
根據之前播報過的:
當時得出結論:Conti勒索團體當之無愧奪得勒索之王。
所以我們斗膽用頂級這個詞。
臭名昭著的頂級Conti勒索團隊似乎最近已經改變了其商業計劃。
Conti惡意組織針對拒絕協商支付贖金的組織將其公開到暗網受害者羞辱博客中,從受害者那里竊取的機密文件可能會被發布或出售。但在過去48小時的某個時候,該網絡犯罪集團更新了其羞辱受害者的博客,表明它現在正在出售其已入侵的許多組織的訪問權限。
Conti受害者羞辱博客的截圖
“我們正在尋找一個買家來訪問該組織的網絡并從他們的網絡出售數據,”在 Conti的羞辱博客上我們看到最近的受害者列表中新增的一篇令人困惑的措辭的消息中寫道。目前尚不清楚是什么促使這些變化,或者Conti希望從此舉中獲得什么。
計算機安全公司Emsisoft首席技術官Fabian Wosar對此表示:“我想知道他們是否即將關閉他們的業務,并希望在他們這樣做之前出售數據或訪問正在進行的入侵行為。” “但這樣做有點愚蠢,因為你會提醒目標公司他們有被入侵過。”
這種無法解釋的轉變發生之際,美國和歐洲的政策制定者正在努力破壞一些頂級勒索軟件團伙。一勒索組織呼吁所有勒索組織聯合“搞砸美國”。REvil暗網受害者羞辱網站仍處于離線狀態。
作為回應,Conti團伙的一名代表于10月22日在一個俄語黑客論壇上發布了一篇長文,譴責對REvil的攻擊是“美國在世界事務中的單邊、域外和強盜搶劫行為”。“是否有一項法律,即使是美國的法律,甚至是50個州中任何一個縣的當地法律,使這種不分青紅皂白的進攻行動合法化?” Conti團隊成員進行了謾罵。“攻擊黑客服務器在美國或任何美國司法管轄區突然合法了嗎?假設有這樣一個令人發指的法律,允許您在外國入侵服務器。從服務器受到攻擊的國家的角度來看,這有多合法?基礎設施不是在太空中飛行或漂浮在中立水域。這是某人主權的一部分。”
Conti明顯轉型的新方向也可能只不過是另一種將受害公司帶到談判桌前的策略,例如“付錢,否則有人會為你的數據或長期痛苦買單,如果你不這樣做。”或者可能只是在從俄語翻譯中丟失了一些東西(Conti的博客是用英文發表的)。但是,通過從部署勒索軟件惡意軟件轉向銷售被盜數據和網絡訪問,Conti可以將其運營與許多競爭性勒索軟件附屬程序保持一致,這些附屬程序最近專注于勒索公司以換取不發布或出售被盜數據的承諾。
然而,正如Digital Shadows在最近的勒索軟件綜述中指出的那樣,許多勒索軟件組織發現很難管理數據泄露站點,或在暗網上托管被盜數據以供下載。畢竟,當通過暗網下載一個受害者的數據需要數周時間,泄露敏感數據作為談判策略的威脅就失去了一些威脅,這也是一種糟糕的用戶體驗。這導致一些勒索軟件團體使用公共文件共享網站公開數據,這些網站速度更快、更可靠,但矛盾的是可以通過法律途徑迅速刪除。
數據泄露站點還可以為調查人員提供一種潛在的方式來滲透勒索軟件團伙,美國當局最近報道的對REvil團伙的入侵就證明了這一點。“2021年10月17日,REvil 勒索軟件團伙的一名代表在講俄語的犯罪論壇透露他們的數據泄露站點已被‘劫持’,”Digital Shadows的Ivan Righi寫道。“REvil 成員解釋說,一個身份不明的人使用開發人員擁有的相同密鑰訪問了 REvil 網站登錄頁面和博客的隱藏服務。用戶認為勒索軟件團伙的服務器已被入侵,負責入侵的人正在‘尋找’他。”
Mandiant最近的一份報告顯示,被認為對Conti和Ryuk勒索軟件操作負責的組織FIN12在不到3天的時間內就成功地進行了勒索軟件攻擊,而涉及數據泄露的攻擊則需要超過12天(需要拷貝大量數據)。從這些數字來看,或許Conti只是在尋求將更多的數據泄露業務外包公司(當然是收費的),以便它可以專注于部署勒索軟件這種耗時較少但同樣有利可圖的活動。
“隨著今年第四季度的臨近,有趣的是,與管理數據泄漏站點相關的問題是否會阻止新的勒索軟件組織 [不再追求] 考慮使用數據泄漏站點的方法,或者他們將創建一些創造性的解決方案來解決這些問題, ”Ivan Righi總結道。“Ryuk勒索軟件組織已經證明自己在不需要數據泄露站點的情況下仍然有效,并且是勒索軟件威脅領域的頂級黑手。反而,Ryuk因不需要數據泄漏站點和數據泄露正蓬勃發展。”
