近日,趋势科技在最新发布的一份研究报告中指出,通过对勒索攻击背后错综复杂的网络犯罪供应链深入分析发现,勒索软件攻击正在表现出更强的上下游协作的产业化趋势,随着需求的急速增长,许多网络犯罪市场甚至都已经有了自己的“访问服务”(Access-as-a-Service,AaaS)交易专区。
针对多个英语与俄语为主的网络犯罪论坛,趋势科技分析了自2021年1月至8月间900多笔上架的访问中介服务。数据显示,从行业的维度看,教育行业的访问权限是交易次数最多的主流市场,占所有“访问服务”广告的36%,制造业与专业服务以11%并居第二。
报告指出,售卖访问服务的中介主要有三种类型,其一是随机型卖家,这类卖家只想快速获利,不会花太多时间取得高级访问权限。第二是专业访问中介,通常是经验丰富、技术娴熟的黑客,能提供各种公司的访问权,受到小型勒索病毒集团和组织青睐。
第三则是线上商店,提供RDP与VPN凭证。这类专营商店只提供单一设备访问,非涵盖整个网络或组织,但他们会提供简便、自动化的交易模式,让技术能力有限的网络犯罪者也能购买访问权,甚至能以位置、互联网服务供应商(ISP)、操作系统、通信端口号、管理员权限或公司名称搜索。
趋势科技指出,多数访问中介的商品仅为一组登录凭证,来源可能包含外泄的密码或密码散列的破解;遭入侵的僵尸计算机;遭恶意利用的VPN网关、网站服务器等安全漏洞;一次性随机攻击等。
同时,这类服务定价会根据访问类型(单一设备或整体网络/企业)、公司目标年度营收、买家额外需执行的工作等进行差异定价。虽然取得RDP访问的价格最低仅10美元,但单一企业管理凭证平均价格为8,500美元,有时甚至高达10万美元。
趋势科技资深威胁研究员David Sancho表示,媒体与企业安全部门通常只关注勒索病毒和恶意程序,但事实上,真正该优先处理的,是设法减缓初始访问中介(initial access broker)的攻击活动。安全应急响应团队通常必须调查两起以上范围重叠的攻击链,才能找出勒索病毒攻击的源头,事件应变流程更冗长复杂。
通过监测访问中介活动,团队能防患未然,避免企业网络访问权限遭偷窃、变卖,从源头阻断勒索病毒攻击者的供应来源。
京公网安备 11010802033237号
