当心勒索软件团体可以作为“合法”企业运营

勒索软件已成为 2022 年组织面临的最大网络威胁之一。勒索软件攻击的影响正在扩大，不仅影响计算系统和数据，还影响我们的物理世界。

此外，与往年相比，赎金需求呈指数级增长。近年来，我们目睹了“勒索软件即服务” （RaaS）的兴起，因为它能够使这些犯罪组织获利。

企业可以通过部署强大的身份和访问管理解决方案并在其所有帐户中启用多因素身份验证来降低 RaaS 的潜力和影响。

REvil（又名 Sodinokibi）是勒索软件即服务犯罪团伙，负责历史上一些最大的勒索软件攻击，包括 JBS 勒索软件和 Kaseya 供应链事件。

2022 年 1 月 14 日，俄罗斯宣布逮捕了 14 名 REvil 成员。此举是应美国当局的要求作出的，美国当局与欧洲刑警组织等国际合作伙伴合作打击犯罪集团的活动。

这些逮捕是继欧洲刑警组织 11 月宣布在前几个月逮捕了 7 名 REvil 附属公司之后发生的。

勒索软件团伙如何优化他们的商业模式？

RaaS 作为一种基于订阅的服务，越来越受欢迎，因为它为网络犯罪分子进入勒索软件业务并成为附属公司提供了一个低门槛。更关键的是，该模型还允许非技术分支机构成功执行勒索软件攻击。

RaaS 团体的商业模式不同于以往传统的勒索软件攻击。传统的勒索软件犯罪分子在一个有凝聚力的团队下运作，他们既构建了恶意软件又执行了攻击。

在 RaaS 模型中，至少有两方建立业务关系：开发者和附属公司。

开发者编写恶意程序，附属公司执行攻击并收取赎金。除了这些方面，安全研究人员还目睹了协助 RaaS 攻击的第三方——称为“服务提供商”。

“服务提供商”在勒索软件攻击的各个阶段帮助附属机构，从选择受害者、提供漏洞利用到谈判。

这种商业模式有助于 REvil 活动不受最近执法机构胜利的影响。安全研究人员的早期迹象表明，REvil 活动没有改变。这种持续的活动意味着以下两种情况之一：

• 逮捕只影响了犯罪团伙等级制度中的“中间人”

  
  

• REvil 的勒索软件即服务模型具有足够的弹性，可以抵御执法部门的破坏

  
  

这些发现与 FBI、CISA、NCSC、ACSC 和 NSA 发布的关于勒索软件的联合报告相符。根据报告：

• RaaS 已经变得越来越专业化，商业模式和流程现已完善。

  
  

• 商业模式使归因复杂化，因为有复杂的开发者、附属机构和自由职业者网络。

  
  

• 勒索软件团体彼此共享受害者信息，从而使对目标组织的威胁多样化。

  
  

勒索软件即服务和访问即服务之间的联系

RaaS 犯罪组织最重要的“服务提供商”之一是访问即服务，称为初始访问代理 (IAB)。 IAB 提供对勒索软件攻击第一阶段所需的网络的隐蔽访问。

由于时间对每个企业来说都是金钱，即使是犯罪企业，勒索软件即服务经济依赖 IAB 来减少扩展侦察的需要或寻找进入方法的时间。

初始访问代理以一定的价格提供访问即服务，这些犯罪分子为勒索软件攻击者提供了进入公司网络的简便方法，为实际的破坏性攻击铺平了道路。

访问即服务市场是公司最初的违规行为与数天甚至数月后的后续攻击之间脱节的根源。

IAB 从许多不同的地方采购他们销售的凭证。这些凭据可能位于公共域中、从其他攻击者处购买、从漏洞利用中发现或来自其他违规行为。

访问代理提供的主要服务之一是凭证验证。无论这些凭据的来源如何，IAB 总是尝试通过手动尝试或使用可以大规模执行此操作的专用脚本来验证它们是否有效。

根据网络安全论坛 KELA 的研究，IAB 以 4600 美元的价格出售初始访问权限，销售需要一到三天才能完成。购买访问权限后，最多需要一个月的时间才能发生勒索软件攻击。至少，五个已知的讲俄语的勒索软件运营商正在使用 IAB：LockBit、Avaddon、DarkSide、Conti 和 BlackByte。

DarkSide 因对Colonial Pipeline的攻击而臭名昭著，该攻击在美国引发了燃料恐慌性购买。就在超级碗开赛前，旧金山 49 人队成为了BlackByte 的最新受害者，后者还在泄密网站上命名了该组织。

防御 RaaS 的推荐策略是什么？

尽管具有有效备份功能、分割网络、监控恶意电子邮件和保护用户免受其影响等安全最佳实践是出色的预防措施，但企业防御策略不应仅限于这些步骤。

部署由强大的访问策略支持的有效和高效的身份和访问管理控制可以显着防止 IAB 的初始凭据泄露，从而允许随后的勒索软件攻击。

• 监控公共凭证泄露。这些违规行为应引发危险信号，以在您的网络中寻找侵权迹象。

  
  

• 如果您怀疑您的某些凭据已公开，请为所有用户触发密码重置。

  
  

• 强烈考虑为您的所有员工、合作伙伴和供应商设置多重身份验证 (MFA)。不要将 MFA 仅限于您的特权帐户，因为任何员工都是潜在目标。

  
  

  作为 Thales 的产品营销、身份和访问管理 (IAM) 总监，Danna Bethlehem 建议企业转向现代多因素身份验证方法，例如 FIDO2。她说，“FIDO2 提供了一种无密码的多因素身份验证”，具有“高度安全性，同时简化了员工的登录体验”。

  
  

• 通过寻找员工不应该做的事情来监控用户行为。

  
  

• 考虑在密码策略上使用标准最佳实践，例如 NIST 或 ENISA 开发的那些。

  
  

• 假设您的员工已经将他们的密码丢失给了犯罪分子，因此，您已经被入侵并暴露在外。然后，您将被迫在您的网络中实施一种零信任架构和安全态势。

  
  

勒索软件犯罪分子正在推进他们的商业模式，现在越来越多地基于购买目标网络的访问权限。因此，访问即服务市场的重要性和专业化程度正在上升。

如果一家公司能够保护自己免遭凭证盗窃，那么它就能更好地保护自己免受未来任何勒索软件的攻击。最好的防御策略是建立强大的身份和访问管理，并在零信任安全策略的框架内跨所有帐户启用多因素身份验证。