6月5日,一家國際建筑公司的信息和文件被發布到Maze的數據泄漏網站;但是,這些數據并非在Maze勒索軟件攻擊中被盜,而是來自另一個名為LockBit的勒索軟件攻擊。
BleepingComputer最先報道了這個事情,后來這一消息得到Maze組織的確認,他們正在與LockBit合作,并允許該組織在Maze的“新聞網站”上共享受害者數據。Maze組織還表示,未來幾天,該新聞網站還將發布另一種勒索軟件獲取的數據。
三天后,Maze添加了另一個競爭的勒索軟件組織RagnarLocker的受害者的數據。Maze網站上的帖子引用的是“Maze聯盟—由Ragnar提供”。
Maze組織是最早采用竊取數據并將傳統勒索與勒索軟件相結合策略的犯罪組織。他們不僅泄露受害者的數據,而且還創建了面向公眾的網站,以迫使受害者支付贖金。
Trustwave公司網絡威脅檢測與響應副總裁BrianHussey表示,數據泄露以及羞辱受害者是日益增長的趨勢。他說,攻擊者在加密所有公司數據前會先竊取這些數據,然后將這些數據緩慢發布給公眾。
Hussey稱:“毫無疑問,我們看到的威脅有所增加,對威脅的實際執行并不像我所看到的那樣多。但是很多時候,這確實迫使受害者支付更多的費用。”
在Maze網站上,數十個受害者的名字被列出來,但在該組織的勒索軟件受害者中,只有10個客戶信息被“完整曝光”。這意味著大多數被Maze勒索的組織已經支付贖金,以防止其機密數據的發布。
Rapid7首席安全研究員WadeWoolwine也觀察到了這種羞辱策略的增加。Woolwine和Hussey都認為,勒索軟件團伙策略的轉變是因為企業開始投入更多時間和精力進行備份。
Woolwine在給SearchSecurity的電子郵件中說:“我曾經認為,很少會有受害者支付贖金,因為企業已經提高其能力,他們可快速恢復受感染的資產并從備份中快速恢復數據。”
Hussey說,作為托管安全服務提供商,Trustwave建議的主要內容之一就是要部署智能的精心設計的備份過程。
Hussey稱:“勒索軟件團伙的這些新手段是對企業備份做法的響應,企業正通過正確部署備份來減輕勒索軟件風險。這些手段是有效的。很多公司投資于備份解決方案并設計備份解決方案,以防止受到這種持續的勒索軟件的威脅。然而,現在即使企業有備份數據也無濟于事,因為攻擊者先竊取數據,然后再威脅發布私有信息,這是這新的威脅形式。”
Woolwine說,當攻擊者成功入侵到達端點并可以訪問數據時,他們會考慮有必要竊取數據,因為這可進一步誘使企業付費以解密數據。并且,攻擊者特別關注企業網絡中最敏感的數據類型。
Woolwine說:“最初,我們看到攻擊者使用像CobaltStrike這樣的攻擊工具包來手動查找其感興趣的特定文件。我說的是‘查找’,Windows搜索功能(尤其是在端點連接到企業文件服務器的情況下)足以識別諸如‘NDA’、‘合同’和‘機密’之類的文件。最近,我們已經看到了這些搜索腳本,因此它們可以更快地執行。”
據Woolwine稱,對于大多數勒索軟件攻擊而言,網絡釣魚和路過式攻擊仍然是首選的傳播媒介,但這些技術也在發生變化。
Woolwine說:“我們還看到,攻擊者開始瞄準未及時修復漏洞的特定面向互聯網的系統,并以暴力破解身份驗證方式瞄準RDPserver。無論哪種情況,一旦漏洞被利用或憑證被猜測到,攻擊者將在斷開連接之前安裝勒索軟件。這種手段的增加很可能是由于從贖金到數據泄露的轉變。攻擊者關注的不再是可以感染多少臺計算機,而是感染可訪問最多數據的計算機。”
Hussey說,這些新手段很令人詫異,但它們是勒索軟件發展過程中的下一個合乎邏輯的步驟,他預計將來有更多攻擊者采用這種做法。
