6月5日,一家國際建筑公司的信息和文件被發(fā)布到Maze的數(shù)據泄漏網站;但是,這些數(shù)據并非在Maze勒索軟件攻擊中被盜,而是來自另一個名為LockBit的勒索軟件攻擊。
BleepingComputer最先報道了這個事情,后來這一消息得到Maze組織的確認,他們正在與LockBit合作,并允許該組織在Maze的“新聞網站”上共享受害者數(shù)據。Maze組織還表示,未來幾天,該新聞網站還將發(fā)布另一種勒索軟件獲取的數(shù)據。
三天后,Maze添加了另一個競爭的勒索軟件組織RagnarLocker的受害者的數(shù)據。Maze網站上的帖子引用的是“Maze聯(lián)盟—由Ragnar提供”。
Maze組織是最早采用竊取數(shù)據并將傳統(tǒng)勒索與勒索軟件相結合策略的犯罪組織。他們不僅泄露受害者的數(shù)據,而且還創(chuàng)建了面向公眾的網站,以迫使受害者支付贖金。
Trustwave公司網絡威脅檢測與響應副總裁BrianHussey表示,數(shù)據泄露以及羞辱受害者是日益增長的趨勢。他說,攻擊者在加密所有公司數(shù)據前會先竊取這些數(shù)據,然后將這些數(shù)據緩慢發(fā)布給公眾。
Hussey稱:“毫無疑問,我們看到的威脅有所增加,對威脅的實際執(zhí)行并不像我所看到的那樣多。但是很多時候,這確實迫使受害者支付更多的費用。”
在Maze網站上,數(shù)十個受害者的名字被列出來,但在該組織的勒索軟件受害者中,只有10個客戶信息被“完整曝光”。這意味著大多數(shù)被Maze勒索的組織已經支付贖金,以防止其機密數(shù)據的發(fā)布。
Rapid7首席安全研究員WadeWoolwine也觀察到了這種羞辱策略的增加。Woolwine和Hussey都認為,勒索軟件團伙策略的轉變是因為企業(yè)開始投入更多時間和精力進行備份。
Woolwine在給SearchSecurity的電子郵件中說:“我曾經認為,很少會有受害者支付贖金,因為企業(yè)已經提高其能力,他們可快速恢復受感染的資產并從備份中快速恢復數(shù)據。”
Hussey說,作為托管安全服務提供商,Trustwave建議的主要內容之一就是要部署智能的精心設計的備份過程。
Hussey稱:“勒索軟件團伙的這些新手段是對企業(yè)備份做法的響應,企業(yè)正通過正確部署備份來減輕勒索軟件風險。這些手段是有效的。很多公司投資于備份解決方案并設計備份解決方案,以防止受到這種持續(xù)的勒索軟件的威脅。然而,現(xiàn)在即使企業(yè)有備份數(shù)據也無濟于事,因為攻擊者先竊取數(shù)據,然后再威脅發(fā)布私有信息,這是這新的威脅形式。”
Woolwine說,當攻擊者成功入侵到達端點并可以訪問數(shù)據時,他們會考慮有必要竊取數(shù)據,因為這可進一步誘使企業(yè)付費以解密數(shù)據。并且,攻擊者特別關注企業(yè)網絡中最敏感的數(shù)據類型。
Woolwine說:“最初,我們看到攻擊者使用像CobaltStrike這樣的攻擊工具包來手動查找其感興趣的特定文件。我說的是‘查找’,Windows搜索功能(尤其是在端點連接到企業(yè)文件服務器的情況下)足以識別諸如‘NDA’、‘合同’和‘機密’之類的文件。最近,我們已經看到了這些搜索腳本,因此它們可以更快地執(zhí)行。”
據Woolwine稱,對于大多數(shù)勒索軟件攻擊而言,網絡釣魚和路過式攻擊仍然是首選的傳播媒介,但這些技術也在發(fā)生變化。
Woolwine說:“我們還看到,攻擊者開始瞄準未及時修復漏洞的特定面向互聯(lián)網的系統(tǒng),并以暴力破解身份驗證方式瞄準RDPserver。無論哪種情況,一旦漏洞被利用或憑證被猜測到,攻擊者將在斷開連接之前安裝勒索軟件。這種手段的增加很可能是由于從贖金到數(shù)據泄露的轉變。攻擊者關注的不再是可以感染多少臺計算機,而是感染可訪問最多數(shù)據的計算機。”
Hussey說,這些新手段很令人詫異,但它們是勒索軟件發(fā)展過程中的下一個合乎邏輯的步驟,他預計將來有更多攻擊者采用這種做法。
