Forskare har undersökt hur det perfekta offret ser ut för dagens ransomware -grupper.
På måndagen publicerade KELA en rapport om listor som gjorts av ransomware -operatörer i underjorden, inklusive åtkomstbegäranden – sättet att få en första fotfäste i ett målsystem – som avslöjar att många vill köpa en väg till amerikanska företag med en minsta intäkt över 100 miljoner dollar.
Initial access är nu ett stort företag. Ransomware -grupper som Blackmatter och Lockbit kan skära bort en del av det arbete som ingår i en cyberattack genom att köpa åtkomst, inklusive arbetsuppgifter eller kunskapen om en sårbarhet i ett företags system.
När du överväger att en framgångsrik ransomware -kampanj kan resultera i betalningar för miljontals dollar blir denna kostnad obetydlig – och kan innebära att cyberkriminella kan frigöra tid för att nå fler mål.
Cybersäkerhetsföretagets resultat, baserat på observationer i mörka webbforum under juli 2021, tyder på att hotaktörer söker stora amerikanska företag, men kanadensiska, australiensiska och europeiska mål övervägs också.
Ryska mål avvisas vanligtvis omedelbart, och andra anses vara “oönskade” – inklusive de som ligger i utvecklingsländer – troligtvis eftersom potentiella utbetalningar är låga.
Ungefär hälften av ransomware -operatörerna kommer dock att avvisa erbjudanden om tillgång till organisationer inom vård- och utbildningssektorn, oavsett land. I vissa fall är statliga enheter och ideella organisationer också utanför bordet.
Dessutom finns det föredragna metoder för åtkomst. Remote Desktop Protocol (RDP), Virtual Private Network (VPN) -baserad åtkomst visar sig vara populär. Specifikt tillgång till produkter som utvecklats av företag inklusive Citrix, Palo Alto Networks, VMWare, Cisco och Fortinet.
“När det gäller behörighetsnivån uppgav vissa angripare att de föredrar domänadministratörsrättigheter, även om det inte verkar vara kritiskt”, står det i rapporten.
KELA
KELA hittade också erbjudanden för e-handelspaneler, osäkra databaser och Microsoft Exchange-servrar-även om dessa kan vara mer tilltalande för datastjälare och kriminella som försöker implantera spionprogram och kryptovaluta-gruvarbetare.
“Alla dessa typer av åtkomst är utan tvekan farliga och kan göra det möjligt för hotaktörer att utföra olika skadliga åtgärder, men de ger sällan tillgång till ett företagsnätverk”, konstaterade forskarna.
Ungefär 40% av listorna skapades av spelare i Ransomware-as-a-Service (RaaS) -utrymmet.
KELA
Ransomware -operatörer är villiga att i genomsnitt betala upp till $ 100 000 för värdefulla tjänster för första åtkomst.
I en tidigare studie observerade KELA en annan trend i ransomware -området: ökad efterfrågan på förhandlare. RaaS -operatörer försöker bättre tjäna pengar på attackens skede när ett offer kommer att kontakta ransomware -operatörer för att förhandla om en betalning, men eftersom språkbarriärer kan orsaka felkommunikation försöker ransomware -grupper att säkra nya teammedlemmar som kan hantera konversationsengelska.
Intel 471 har också funnit att cyberbrottslingar som är inblandade i bedrägerier för e -postkompromiss (BEC) försöker rekrytera modersmål engelska. Eftersom phishing -e -poströda flaggor innehåller dålig grammatik och stavfel försöker bluffartister undvika att upptäckas vid det första hindret genom att betala engelsktalande för att skriva övertygande kopia.
Tidigare och relaterad täckning
Black Hat: Företagsspelare står inför “en-två-slag” utpressning i ransomware-attacker-Vad är ransomware? Allt du behöver veta om en av de största hoten på webben
Ransomware som en tjänst: Förhandlare är nu mycket efterfrågade
Har du ett tips? Kontakta oss säkert via WhatsApp | Signal på +447713 025 499 eller senare på Keybase: charlie0
Relaterade ämnen:
Security TV Data Management CXO Data Centers 