勒索软件即服务和加密货币的趋势需要监控

admin
admin
admin
102803
文章
87
评论
2023年7月24日13:15:46评论20 views字数 1949阅读6分29秒阅读模式

勒索软件即服务和加密货币的趋势需要监控

一月份,执法官员扰乱了 Hive 网络犯罪集团的运营,该集团通过勒索软件即服务 (RaaS) 商业模式获利。人们普遍认为 Hive 与 Conti 勒索软件组织有关联,加入了与前 Conti 运营商相关的其他组织名单,包括 Royal、Black Basta 和 Quantum。

RaaS 分支机构遍布全球,他们的受害者也是如此。这些附属机构使用多种不同的策略和技术。在本文中,我将介绍 Hive 案例告诉我们的 RaaS 趋势、它与加密货币的关系以及如何防御类似群体。

Hive 的操作方式

与其他 RaaS 提供商一样,Hive 编写了一个勒索软件加密器,创建了一个暗网域,向附属机构和论坛宣传其服务,然后允许用户购买(为其服务)许可证来配置勒索软件有效负载并接收勒索资金。

RaaS 提供商通常会从不义之财中抽取分成,通常是 75/25、80/20 或 85/15(Hive 是 80/20)。

Hive 和其他所有勒索软件组织仍然使用加密货币进行勒索软件支付,因为它是无国界且几乎即时的。没有转换或银行批准;这是一个在全球范围内转移和即时发送资金的匿名系统。加密货币还可以很容易地将从受害者那里勒索的钱分给其他用户。

无论价格高低,加密货币都是勒索软件运营商从受害者那里获取资金的最佳、最有效的途径。加密货币的价格遵循比特币(BTC)的路径。如果比特币上涨,大多数其他货币也会上涨。相反,如果它的价格下降,其他一切都会随之下降。

考虑到其价值经常波动,当攻击者破坏受害者并要求赎金时,他们只需根据所用代币的当前价格改变他们要求的加密货币数量。换句话说,运营商的赎金是基于转换价格,而不是代币价格。

例如,如果勒索软件组织想要以 50000 美元的价格赎回一家企业,他们会将其转换为当前的代币价格并索要该金额。

虽然大多数加密货币都是可追踪的,但许多勒索软件运营商的犯罪行为来自政府往往视而不见的国家,特别是如果攻击不针对他们运营所在的国家。

例如,来自东欧和俄罗斯的许多勒索软件运营商将逻辑放入其恶意软件代码中以对受害者的计算机进行地理定位。

如果恶意软件位于独立国家联合体 ( CIS ) 的国家/地区,则会终止,从而允许这些国家/地区的勒索软件运营商部署勒索软件,而不必担心被捕(Hive 就是一个例子)。

但为了保护自己不被追踪,攻击者仍然使用混合器和隐私币来掩盖他们的踪迹。

Hive 案件的独特之处在于,多个国家的联邦当局在全球范围内联合行动,共同摧毁了勒索软件组织的基础设施。这主要是因为 Hive 集团的基础设施(服务器)位于美国,至少部分位于美国。

此次行动以及最近对 REvil 和 DarkSide 等勒索软件组织的打击,更不用说使用其他勒索软件的各种附属机构,表明政府在阻止这些威胁行为者方面变得更加积极主动。

执法和网络安全机构已经意识到,纯粹的防御策略并不是解决此问题的最佳方法。

Hive 组织的附属机构攻击了全球各地的组织。美国司法部 (USDOJ) 提供的受影响国家地图显示,毫不奇怪,很少有独联体国家受到影响。相比之下,该组织在全球几乎所有其他地区都有受害者。

此外,这些攻击使用各种方法来破坏组织。这是因为即使在同一个勒索软件组织内,不同的附属机构也有不同的策略。每个 RaaS 团队都会有多种策略和技术,可以通过各种方式实施。这使得防御它们的挑战变得更加复杂。

建立纵深防御

对于安全专业人员来说,这意味着良好的防御态势应该是全面的,并包括深度防御机制。

例如,众所周知,Hive 附属公司会使用远程桌面协议 (RDP) 而不进行多重身份验证 (MFA)、凭据被盗、网络钓鱼活动和软件漏洞来破坏组织。

没有单一的解决方案可以有效解决这些问题;您需要多种解决方案协同工作来阻止攻击。

您需要实施一项策略,以确保MFA对您的网络进行任何身份验证(理想情况下是零信任网络)、多因素许可证(如果您没有的话)、电子邮件安全和网络钓鱼培训解决方案,以及背后具有全面资产管理的补丁管理系统。即解决来自一个 RaaS 组的已知技术。

我们再来看另一组,例如:Cl0p。他们以破坏软件公司,然后破坏使用其软件的其他公司而闻名,这是一种利用勒索软件和/或数据泄露的供应链攻击。

为了保护自己免受这种攻击,你的防御姿态应该是全面的,并有一系列的制衡。如果一种解决方案失败,理想情况下,您会希望另一种解决方案能够捕获遗漏或误报。当然,说的是理想的解决方案。

由于大多数公司不能只是在解决方案上投入大量资金,因此建议解决网络钓鱼和电子邮件安全(通过培训),除非您在其他地方的安全存在明显的问题。

几乎所有威胁行为者都通过网络钓鱼电子邮件和目标传播恶意软件 - 事实上,根据2023 年 Verizon 数据泄露调查报告,这是大多数泄露事件的起点。

勒索软件即服务和加密货币的趋势需要监控

2023 年数据泄露调查报告

原文始发于微信公众号(网络研究院):勒索软件即服务和加密货币的趋势需要监控

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年7月24日13:15:46
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   勒索软件即服务和加密货币的趋势需要监控http://cn-sec.com/archives/1900672.html

发表评论

匿名网友 填写信息