6月5日,一家國(guó)際建筑公司的信息和文件被發(fā)布到Maze的數(shù)據(jù)泄漏網(wǎng)站;但是,這些數(shù)據(jù)并非在Maze勒索軟件攻擊中被盜,而是來(lái)自另一個(gè)名為L(zhǎng)ockBit的勒索軟件攻擊。
BleepingComputer最先報(bào)道了這個(gè)事情,后來(lái)這一消息得到Maze組織的確認(rèn),他們正在與LockBit合作,并允許該組織在Maze的“新聞網(wǎng)站”上共享受害者數(shù)據(jù)。Maze組織還表示,未來(lái)幾天,該新聞網(wǎng)站還將發(fā)布另一種勒索軟件獲取的數(shù)據(jù)。
三天后,Maze添加了另一個(gè)競(jìng)爭(zhēng)的勒索軟件組織RagnarLocker的受害者的數(shù)據(jù)。Maze網(wǎng)站上的帖子引用的是“Maze聯(lián)盟—由Ragnar提供”。
Maze組織是最早采用竊取數(shù)據(jù)并將傳統(tǒng)勒索與勒索軟件相結(jié)合策略的犯罪組織。他們不僅泄露受害者的數(shù)據(jù),而且還創(chuàng)建了面向公眾的網(wǎng)站,以迫使受害者支付贖金。
Trustwave公司網(wǎng)絡(luò)威脅檢測(cè)與響應(yīng)副總裁BrianHussey表示,數(shù)據(jù)泄露以及羞辱受害者是日益增長(zhǎng)的趨勢(shì)。他說(shuō),攻擊者在加密所有公司數(shù)據(jù)前會(huì)先竊取這些數(shù)據(jù),然后將這些數(shù)據(jù)緩慢發(fā)布給公眾。
Hussey稱(chēng):“毫無(wú)疑問(wèn),我們看到的威脅有所增加,對(duì)威脅的實(shí)際執(zhí)行并不像我所看到的那樣多。但是很多時(shí)候,這確實(shí)迫使受害者支付更多的費(fèi)用。”
在Maze網(wǎng)站上,數(shù)十個(gè)受害者的名字被列出來(lái),但在該組織的勒索軟件受害者中,只有10個(gè)客戶(hù)信息被“完整曝光”。這意味著大多數(shù)被Maze勒索的組織已經(jīng)支付贖金,以防止其機(jī)密數(shù)據(jù)的發(fā)布。
Rapid7首席安全研究員WadeWoolwine也觀察到了這種羞辱策略的增加。Woolwine和Hussey都認(rèn)為,勒索軟件團(tuán)伙策略的轉(zhuǎn)變是因?yàn)槠髽I(yè)開(kāi)始投入更多時(shí)間和精力進(jìn)行備份。
Woolwine在給SearchSecurity的電子郵件中說(shuō):“我曾經(jīng)認(rèn)為,很少會(huì)有受害者支付贖金,因?yàn)槠髽I(yè)已經(jīng)提高其能力,他們可快速恢復(fù)受感染的資產(chǎn)并從備份中快速恢復(fù)數(shù)據(jù)。”
Hussey說(shuō),作為托管安全服務(wù)提供商,Trustwave建議的主要內(nèi)容之一就是要部署智能的精心設(shè)計(jì)的備份過(guò)程。
Hussey稱(chēng):“勒索軟件團(tuán)伙的這些新手段是對(duì)企業(yè)備份做法的響應(yīng),企業(yè)正通過(guò)正確部署備份來(lái)減輕勒索軟件風(fēng)險(xiǎn)。這些手段是有效的。很多公司投資于備份解決方案并設(shè)計(jì)備份解決方案,以防止受到這種持續(xù)的勒索軟件的威脅。然而,現(xiàn)在即使企業(yè)有備份數(shù)據(jù)也無(wú)濟(jì)于事,因?yàn)楣粽呦雀`取數(shù)據(jù),然后再威脅發(fā)布私有信息,這是這新的威脅形式。”
Woolwine說(shuō),當(dāng)攻擊者成功入侵到達(dá)端點(diǎn)并可以訪問(wèn)數(shù)據(jù)時(shí),他們會(huì)考慮有必要竊取數(shù)據(jù),因?yàn)檫@可進(jìn)一步誘使企業(yè)付費(fèi)以解密數(shù)據(jù)。并且,攻擊者特別關(guān)注企業(yè)網(wǎng)絡(luò)中最敏感的數(shù)據(jù)類(lèi)型。
Woolwine說(shuō):“最初,我們看到攻擊者使用像CobaltStrike這樣的攻擊工具包來(lái)手動(dòng)查找其感興趣的特定文件。我說(shuō)的是‘查找’,Windows搜索功能(尤其是在端點(diǎn)連接到企業(yè)文件服務(wù)器的情況下)足以識(shí)別諸如‘NDA’、‘合同’和‘機(jī)密’之類(lèi)的文件。最近,我們已經(jīng)看到了這些搜索腳本,因此它們可以更快地執(zhí)行。”
據(jù)Woolwine稱(chēng),對(duì)于大多數(shù)勒索軟件攻擊而言,網(wǎng)絡(luò)釣魚(yú)和路過(guò)式攻擊仍然是首選的傳播媒介,但這些技術(shù)也在發(fā)生變化。
Woolwine說(shuō):“我們還看到,攻擊者開(kāi)始瞄準(zhǔn)未及時(shí)修復(fù)漏洞的特定面向互聯(lián)網(wǎng)的系統(tǒng),并以暴力破解身份驗(yàn)證方式瞄準(zhǔn)RDPserver。無(wú)論哪種情況,一旦漏洞被利用或憑證被猜測(cè)到,攻擊者將在斷開(kāi)連接之前安裝勒索軟件。這種手段的增加很可能是由于從贖金到數(shù)據(jù)泄露的轉(zhuǎn)變。攻擊者關(guān)注的不再是可以感染多少臺(tái)計(jì)算機(jī),而是感染可訪問(wèn)最多數(shù)據(jù)的計(jì)算機(jī)。”
Hussey說(shuō),這些新手段很令人詫異,但它們是勒索軟件發(fā)展過(guò)程中的下一個(gè)合乎邏輯的步驟,他預(yù)計(jì)將來(lái)有更多攻擊者采用這種做法。
