勒索軟體集團不斷演變,採用新的聯盟模式來引誘網路犯罪分子
勒索軟體情況持續快速發展,Secureworks 最近的研究表明,威脅行為者正在採取更像企業的方式進行網路犯罪。兩個勒索軟體組織 DragonForce 和 Anubis 目前正在提供擴展的聯盟計劃,模仿合法的商業結構——包括服務產品、品牌靈活性和支援系統。
這些發展標誌著勒索軟體即服務 (RaaS) 領域的一個令人不安的趨勢,這種模式已經讓技術水平較低的攻擊者能夠非常輕鬆地發起毀滅性的勒索軟體活動。
Table of Contents
DragonForce 轉型為網路犯罪集團
DragonForce 是一家 RaaS 組織,於 2023 年 8 月首次亮相,最近將自己重新命名為“卡特爾”,此舉凸顯了其向更加去中心化的結構轉變。據 Secureworks 反威脅部門 (CTU) 稱,該組織目前正在提供一種獨特的聯盟模式,讓網路犯罪分子可以創建自己的勒索軟體品牌。
DragonForce 並未要求附屬機構使用其勒索軟體,而是提供對其基礎設施的存取權限 - 包括管理員和用戶端面板、加密工具、贖金談判系統、資料儲存解決方案、基於 Tor 的洩漏站點和客戶支援。這種靈活性對於擁有自己的惡意軟體但需要後勤、基礎設施或受害者互動方面幫助的攻擊者很有吸引力。
雖然這種模式可能會吸引更廣泛的網路犯罪分子,但它也帶來了風險。如果一個分支機構受到威脅,連接到共享基礎設施的其他分支機構也可能受到威脅,從而可能破壞整個協同攻擊網路。
Anubis 提供三種勒索軟體合作模式
另一家 RaaS 營運商 Anubis 也打破常規,引入了三種不同的聯盟模式。每種攻擊方式都為犯罪者提供了不同的途徑來牟利:
- 典型的 RaaS 設置,附屬機構保留 80% 的贖金。
- 一種「資料贖金」模式,將詳細的受害者分析發佈在受密碼保護的網站上,以迫使受害者付款。
- 一種「存取貨幣化」模式,幫助關聯企業勒索先前受到攻擊的受害者,並提供 50% 的贖金收益。
數據勒索方法因其與一種犯罪內容行銷形式的相似性而引人注目。 Anubis 運營商發布有關受害者被盜數據的“調查文章”,然後私下與受害者分享,並警告如果不付款將導致資訊公開。他們甚至利用社群媒體施加壓力,並威脅向客戶和監管機構披露資訊。
勒索軟體業者現在像企業一樣經營
這些附屬模型表明,現代勒索軟體團體越來越像合法公司一樣運作。從提供技術支援到允許品牌定制,這些策略旨在吸引更廣泛的潛在攻擊者。事實上,DragonForce 提供的服務與託管服務提供者非常相似,只是缺乏合法性。
Secureworks 威脅情報總監 Rafe Pilling 表示,防禦者應該開始將勒索軟體集團視為商業實體。這些威脅行為者適應迅速,追逐收入並對網路犯罪生態系統的變化做出反應,包括執法打擊和減少贖金支付。
組織如何保持受保護
隨著勒索軟體攻擊的門檻進一步降低,組織必須採取主動措施加強防禦。 Secureworks 的 CTU 建議採取以下安全措施:
- 定期修補面向互聯網的系統
- 實施防網釣多因素身份驗證
- 維護關鍵資料的安全離線備份
- 監控端點和網路的異常行為
- 制定並測試詳細的事件回應計劃
勒索軟體團夥及其附屬模式的日益複雜化對全球網路安全構成了越來越大的威脅。了解這些操作如何運作,並像應對精明的企業競爭對手一樣做好準備,可能是保持領先的關鍵。
