Av Charlie Osborne for Zero Day | 6. september 2021 – 10:18 GMT (11:18 BST) | Tema: Sikkerhet
Forskere har undersøkt hvordan det perfekte offeret ser ut for dagens ransomware -grupper.
Mandag publiserte KELA en rapport om oppføringer gjort av ransomware -operatører i undergrunnen, inkludert tilgangsforespørsler – måten å få et første fotfeste i et målsystem – som avslører at mange ønsker å kjøpe seg inn i amerikanske selskaper med en minimumsinntekt på over 100 millioner dollar.
Første tilgang er nå big business. Ransomware -grupper som Blackmatter og Lockbit kan kutte ut noen av beinarbeidet som er involvert i en cyberangrep ved å kjøpe tilgang, inkludert legitimasjon eller kunnskap om en sårbarhet i et bedriftssystem.
Når du vurderer at en vellykket ransomware -kampanje kan resultere i betalinger for millioner av dollar, blir denne kostnaden ubetydelig – og kan bety at nettkriminelle kan frigjøre tid til å slå flere mål.
Cybersikkerhetsselskapets funn, basert på observasjoner i mørke nettfora i juli 2021, antyder at trusselaktører søker store amerikanske firmaer, men kanadiske, australske og europeiske mål blir også vurdert.
Russiske mål blir vanligvis avvist umiddelbart, og andre anses som “uønskede” – inkludert de som ligger i utviklingsland – sannsynligvis fordi potensielle utbetalinger er lave.
Omtrent halvparten av ransomware -operatørene vil imidlertid avvise tilbud om tilgang til organisasjoner i helse- og utdanningssektoren, uansett land. I noen tilfeller er også offentlige enheter og ideelle organisasjoner utenfor bordet.
I tillegg er det foretrukne tilgangsmetoder. Remote Desktop Protocol (RDP), Virtual Private Network (VPN) -basert tilgang viser seg å være populær. Nærmere bestemt tilgang til produkter utviklet av selskaper inkludert Citrix, Palo Alto Networks, VMWare, Cisco og Fortinet.
“Når det gjelder nivået på privilegier, sa noen angripere at de foretrekker domeneadministratorrettigheter, selv om det ikke ser ut til å være kritisk,” heter det i rapporten.
KELA
KELA fant også tilbud for netthandelspaneler, usikrede databaser og Microsoft Exchange-servere-selv om disse kan være mer attraktive for datastjalere og kriminelle som prøver å implantere spionprogrammer og kryptovaluta-gruvearbeidere.
“Alle disse tilgangstypene er utvilsomt farlige og kan gjøre trusselaktører i stand til å utføre forskjellige ondsinnede handlinger, men de gir sjelden tilgang til et bedriftsnettverk,” sa forskerne.
Omtrent 40% av oppføringene ble opprettet av spillere i Ransomware-as-a-Service (RaaS) -området.
KELA
Ransomware -operatører er villige til i gjennomsnitt å betale opptil $ 100 000 for verdifulle tjenester for første tilgang.
I en tidligere studie observerte KELA en annen merkelig trend i ransomware -området: økende etterspørsel etter forhandlere. RaaS -operatører prøver å tjene penger bedre på stadiet av et angrep når et offer vil kontakte ransomware -operatører for å forhandle om en betaling, men ettersom språkbarrierer kan forårsake feilkommunikasjon, prøver ransomware -grupper å sikre nye teammedlemmer som kan administrere engelsk i samtale.
Intel 471 har også funnet ut at nettkriminelle som er involvert i bedrageri via e -postkompromis (BEC) prøver å rekruttere engelsktalende som morsmål. Ettersom phishing -e -post med røde flagg inneholder dårlig grammatikk og stavefeil, prøver svindelartister å unngå å bli oppdaget ved den første hindringen ved å betale engelsktalende for å skrive overbevisende kopi.
Tidligere og beslektet dekning
Black Hat: Enterprise-spillere står overfor “en-to-slag” utpressing i ransomware-angrep
Hva er ransomware? Alt du trenger å vite om en av de største truslene på nettet
Ransomware som en tjeneste: Forhandlere er nå i høy etterspørsel
Har du et tips? Ta kontakt trygt via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterte emner:
Sikkerhet TV Datahåndtering CXO datasentre 