Af Charlie Osborne for Zero Day | 6. september 2021 – 10:18 GMT (11:18 BST) | Emne: Sikkerhed
Forskere har undersøgt, hvordan det perfekte offer ser ud for nutidens ransomware -grupper.
Mandag offentliggjorde KELA en rapport om lister foretaget af ransomware -operatører i undergrunden, herunder adgangsanmodninger – måden at få et indledende fodfæste i et målsystem – afslørende, at mange ønsker at købe en vej ind i amerikanske virksomheder med en minimumsindtægt på over $ 100 millioner.
Indledende adgang er nu big business. Ransomware -grupper som Blackmatter og Lockbit kan afskære nogle af de ben, der er involveret i et cyberangreb ved at købe adgang, herunder arbejdsoplysninger eller viden om en sårbarhed i et virksomheds system.
Når du overvejer en vellykket ransomware -kampagne kan resultere i betalinger for millioner af dollars, bliver denne pris ubetydelig – og kan betyde, at cyberkriminelle kan frigøre tid til at ramme flere mål.
Cybersikkerhedsvirksomhedens resultater, baseret på observationer i mørke webfora i juli 2021, tyder på, at trusselsaktører søger store amerikanske virksomheder, men canadiske, australske og europæiske mål overvejes også.
Russiske mål afvises normalt med det samme, og andre betragtes som “uønskede” – herunder dem, der er placeret i udviklingslande – sandsynligvis fordi potentielle udbetalinger er lave.
Omkring halvdelen af ransomware -operatørerne vil imidlertid afvise tilbud om adgang til organisationer inden for sundheds- og uddannelsessektoren, uanset land. I nogle tilfælde er offentlige enheder og nonprofitorganisationer også uden for bordet.
Derudover er der foretrukne adgangsmetoder. Remote Desktop Protocol (RDP), Virtual Private Network (VPN) -baseret adgang viser sig at være populær. Nærmere bestemt adgang til produkter udviklet af virksomheder, herunder Citrix, Palo Alto Networks, VMWare, Cisco og Fortinet.
“Hvad angår privilegier, sagde nogle angribere, at de foretrækker domæneadministratorrettigheder, selvom det ikke ser ud til at være kritisk,” hedder det i rapporten.
KELA
KELA fandt også tilbud til e-handelspaneler, usikrede databaser og Microsoft Exchange-servere-selvom disse kan være mere tiltrækkende for datastjælere og kriminelle, der forsøger at implantere spyware- og kryptokurrencyminearbejdere.
“Alle disse former for adgang er utvivlsomt farlige og kan sætte trusselsaktører i stand til at udføre forskellige ondsindede handlinger, men de giver sjældent adgang til et virksomhedsnetværk,” bemærkede forskerne.
Cirka 40% af fortegnelserne blev oprettet af spillere i Ransomware-as-a-Service (RaaS) -rummet.
KELA
Ransomware -operatører er villige til i gennemsnit at betale op til $ 100.000 for værdifulde tjenester til første adgang.
I en tidligere undersøgelse observerede KELA en anden bemærkelsesværdig tendens i ransomware -rummet: stigende efterspørgsel efter forhandlere. RaaS -operatører forsøger bedre at tjene penge på stadiet af et angreb, når et offer vil kontakte ransomware -operatører for at forhandle om en betaling, men da sprogbarrierer kan forårsage fejlkommunikation, forsøger ransomware -grupper at sikre nye teammedlemmer, der kan styre konversationsengelsk.
Intel 471 har også fundet ud af, at cyberkriminelle, der er involveret i Business Email Compromise (BEC) -svindel, forsøger at rekruttere engelsktalende. Da phishing -e -mail -røde flag indeholder dårlig grammatik og stavefejl, prøver svindelartister at undgå at blive opdaget ved den første forhindring ved at betale engelsktalende for at skrive overbevisende kopi.
Tidligere og relateret dækning
Black Hat: Enterprise-spillere står over for 'one-two-punch' afpresning i ransomware-angreb-Hvad er ransomware? Alt hvad du har brug for at vide om en af de største trusler på nettet
Ransomware som en service: Forhandlere er nu i høj efterspørgsel
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller derover på Keybase: charlie0
Relaterede emner:
Security TV Data Management CXO Data Centers 