勒索软件运营商在寻找什么?

安全资讯 小布 150浏览 0评论

分析勒索软件运营商如何选择他们的目标可以更好地了解这些威胁行为者在其名单上的公司类型。在这方面,KELA 的威胁情报分析师 Victoria Kivilevich根据网络攻击者购买访问权限的重要标准发布了一份理想的勒索软件受害者简介。

主要发现

根据 Kivilevich 的说法,2021 年 7 月发现了 48 个活跃线程,演员声称他们希望购买各种类型的访问权限。其中,46% 是当月创建的,表明对访问列表的需求。

更重要的是,40% 希望购买访问权限的参与者是勒索软件即服务 (RaaS)供应链中的运营商、附属公司或中间商。

the ldeal ransomware

the ldeal ransomware

当谈到“行业标准”时,定义勒索软件攻击者的理想受害者取决于其收入和地理位置。此外,从目标列表中排除某些部门和国家也很有用。平均而言,2021 年 7 月活跃的威胁行为者打算购买收入超过 1 亿美元的美国公司的访问权限。有趣的是,几乎一半的人拒绝购买医疗保健和教育公司的服务。

RDP 和 VPN 是购买各种网络访问的最基本要求。提到的最常见的产品是 Citrix、Palo Alto Networks、VMware、Fortinet 和 Cisco。

最后,勒索软件运营商准备支付高达 100,000 美元的访问费用,其中大多数将限制设置为该价格的一半。

与勒索软件相关的参与者对受害者的要求与 IAB 的访问列表和条件之间的相似之处表明,RaaS 运营就像公司企业一样。

来源

通过分析由与勒索软件团伙相关的威胁行为者创建的近 20 个帖子的通缉广告,研究人员能够得出结论,典型的勒索软件行为者的广告包括受害者的以下特征:

地理

这种地域集中背后的原因是攻击者选择了预计位于最大和最发达国家的最富有的公司。

the ldeal ransomware

the ldeal ransomware

大多数请求提到了受害者的理想位置,美国是最受欢迎的选择——47% 的参与者提到了它。其他排名靠前的地区包括加拿大 (37%)、澳大利亚 (37%) 和欧洲国家 (31%)。

收入

一般而言,攻击者仅陈述了最低期望收入,以试图切断不太可能支付大量赎金的受害者。

勒索软件攻击者想要的平均最低收入为 1 亿美元,其中一些人表示想要的收入取决于位置。例如,其中一位参与者描述了以下公式:美国受害者的收入应超过 500 万美元,欧洲受害者的收入应超过 2000 万美元,“第三世界”国家的收入应超过 4000 万美元。

行业黑名单

Kivilevich 发现了威胁参与者购买勒索软件攻击访问权限的广告与具有其他专业知识的网络犯罪分子之间的显着差异。几乎一半与勒索软件相关的线程都包含行业黑名单,在Colonial Pipeline、大都会警察局和JBS攻击之后,许多勒索软件团伙还没有准备好购买特定行业公司的访问权限。

the ldeal ransomware

the ldeal ransomware

47% 的勒索软件攻击者拒绝购买医疗保健和教育行业公司的访问权限。37% 的人禁止损害政府部门,而 26% 的人声称他们不会购买与非营利组织相关的访问权限。

国家黑名单

最后但并非最不重要的一点是,某些国家/地区不符合勒索软件运营商的利益。主要是独联体(独联体),根据古老的俄语黑客规则“在俄罗斯不起作用”。

在独联体活动的攻击者认为,如果他们不以这些国家为目标,地方当局就不会追捕他们。其他被提及为“不受欢迎”的国家包括南美洲和第三世界国家——很可能是因为获得经济收益的机会很低。

应该提醒的是,尽管大多数勒索软件团伙更喜欢具有这些特征的受害者,但这并不一定意味着他们不会独立破坏网络。访问不法分子之手的公司不仅可能被用于部署勒索软件和窃取数据,还可能被用于其他恶意活动。

转载请注明:布尔云安的博客 » 勒索软件运营商在寻找什么?

头像
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址