报告：勒索软件即服务是一个“自我维持的行业”

一份新的报告揭示了互联网勒索软件生态系统的复杂性，得出的结论是，与勒索软件团体合作的参与者需要比他们目前得到的更多关注。

该报告详细介绍了威胁行为者如何部署无数勒索技术——通常是同时使用——以迫使公司进行谈判并最终支付费用以保护和/或检索他们的数据。

通过了解勒索软件组最常使用的攻击媒介，企业可以采取行动保护自己。 例如，密码管理器是确保您的企业员工不会提供使用弱帐户凭据的简单方法的一种方法。

勒索软件即服务正在蓬勃发展

Tenable 的报告解释说，最近勒索软件热潮背后的一个关键原因是“勒索软件即服务 (RaaS) 的出现”。

本质上，RaaS 是一种服务模型，就像软件即服务一样。 勒索软件团体制作软件，但随后其他参与者最终闯入系统并部署它。

在此之前，是勒索软件组织自己会执行该过程中的每一个动作，但现在，系统变得无限复杂，并且有多个阶段可以让较小的参与者赚钱。

勒索软件生态系统解释

Tenable 解释说，重要的是，勒索软件生态系统不仅仅是由勒索软件组组成。 勒索软件团体是“产品”的创造者和所有者，因此受到了很多关注，但总而言之，该公司确定了在大多数勒索软件攻击中发挥作用的三个主要“角色”：IAB、附属机构和勒索软件团体。

初始访问代理 (IAB) 是“一组专门的网络犯罪分子，负责通过各种方式访问​​组织。”

报告解释说，IAB 不是利用他们无根据的访问来策划他们自己的勒索软件攻击，而是“在受害者组织的网络中保持持久性，并将其出售给网络犯罪生态系统中的其他个人或团体。”

IAB 市场在 2019 年价值 160 万美元，但到 2021 年增长到 710 万美元（Group-IB）。 这个数字比勒索软件链中其他地方赚取的钱要小得多，仅仅是因为风险要小得多。

初始访问经纪人 (IAB) 市场在 2019 年价值 160 万美元，但到 2021 年增长到 710 万美元 – Group-IB

在 IAB 闯入后，被称为 Affiliates 的演员将以几百到几千美元的价格购买他们开采的访问权限。 或者，他们将使用诸如暴力破解远程桌面协议系统、网络钓鱼、系统漏洞或被盗凭据等攻击媒介来闯入公司服务器。

报告称，这些参与者的工作方式与联盟营销人员的工作方式非常相似，他们在正常、合法的商业行为中寻找线索——他们感染系统，让勒索软件组织“完成交易”并启动谈判过程。

附属公司经常接受勒索软件组织本身的指导，帮助测试和利用他们的创作。

“双重”、“三重”和“四重”敲诈如何让公司付出代价

传统上，勒索软件组织会加密公司的文件并让他们付费解密。 但是如今，大多数公司都有安全的文件备份，因此这种方法变得越来越无效。

然而，在过去的几年里，“双重勒索”已成为许多勒索软件组织的标准。 这包括“从受害者组织窃取数据并在暗网论坛和泄密网站上发布预告片”。 公司担心私人和机密信息将在网上泄露，随后支付费用。

2021 年，REvil 从 JBS 获得了1100 万美元的付款，尽管该公司的系统在付款时“全面运行”。

然而，这种策略现在已有几年历史了，Tenable 表示，在“三重”甚至“四重”勒索尝试中，其他技术正在相互配合使用。

方法包括联系被盗数据所指的客户，威胁将被盗数据出售给出价最高的人，以及警告受害者不要联系执法机构。

超越勒索软件组

该报告建议，应更加关注 IAB 和附属机构在勒索软件生态系统中发挥的关键作用。

勒索软件组本质上是无常的。 他们取得的成功越多，越多的附属公司想要转向他们并使用他们的软件，但反过来，执法机构也越多地试图追踪他们。

今天成为头条新闻的许多“臭名昭著”的勒索软件组织，例如Conti组织，是其他勒索软件组织的继任者。 如果你开始调查一个群体，它甚至可能在一年后都不存在。 但是，IAB 和附属公司会。

企业可以做些什么来保护自己？

Tenable 提供了许多企业可以采取的不同缓解措施，以确保他们不会成为勒索软件攻击的下一个受害者。 其中包括使用多因素身份验证、持续审核帐户的用户权限、修补网络中易受攻击的资产、强化远程桌面协议以及使用适当的防病毒软件。

该列表还包括加强员工的密码，并建议“密码要求包括冗长且非字典的单词”。 确保密码足够长而不必记住密码的一种方法是使用密码管理器，它还允许您的员工为他们拥有的所有帐户创建唯一密码，而不是重复使用它们。

由于 RaaS 市场以及参与其中的恶意团体没有放缓的迹象，因此对您的数据采取最大的预防措施从未如此重要。