勒索团伙越来越多地将他们的工作外包出去

2020-10-11 21:41:53

信息安全领域有一句古老的谚语:“每一家公司都要接受渗透测试,无论他们是否付钱给别人享受乐趣。”不幸的是,许多确实雇佣了专业人员来测试其网络安全状态的组织倾向于专注于修复黑客可能用来入侵的漏洞。但从地下网络犯罪中大量招聘攻击性五元组成员的招聘广告来看,今天的攻击者在获得最初的入侵方面完全没有问题:真正的挑战似乎是雇佣足够的人来帮助每个人从已经获得的访问权限中获利。

如今,这种访问最常见的货币化方式之一是通过勒索软件,这种软件将受害者的数据和/或计算机扣为人质,除非支付敲诈勒索款项。但在大多数情况下,最初的入侵和在受害者组织内部署勒索软件之间存在着几天、几周或几个月的巨大差距。

这是因为入侵者通常需要时间和大量的努力才能从一台受感染的PC获取对受害者组织内足够的资源的控制权,在这种情况下启动勒索软件是有意义的。

这包括将单个受损的Microsoft Windows用户帐户转换为在目标网络上具有更高权限的管理员帐户;能够避开和/或禁用任何安全软件;以及获得中断或损坏受害公司可能拥有的任何数据备份系统所需的访问权限。

每天,数以百万计的含有恶意软件的电子邮件被炸出,其中包含诱杀装置的附件。如果打开附件,恶意文档就会继续悄悄地将其他恶意软件和黑客工具下载到受攻击的计算机(以下是恶意软件沙箱服务any.run中恶意Microsoft Office附件的一个视频示例)。从那里,受感染的系统将向发送该邮件的垃圾邮件发送者操作的恶意软件控制服务器报告。

在这一点上,对受害者机器的控制权可能会在专门利用这种访问的不同网络罪犯之间多次转让或出售。这些人通常是与老牌勒索软件集团合作的承包商,他们从受害者公司最终支付的任何赎金中获得一定比例的报酬。

出现了像“萨缪尔博士”这样的分包商,他是一名网络罪犯,在过去的15年里一直出现在十几个顶级的俄语网络犯罪论坛上。在最近的一系列广告中,萨缪尔博士说,他正在热切地雇佣经验丰富的人,这些人熟悉合法的戊酯分子使用的工具,一旦进入目标公司,就可以利用这些工具-特别是像严密守卫的Cobalt Strike这样的后期利用框架。

萨缪尔博士在一则这样的招聘广告中写道:“我们会定期向你提供经过审计的精选通道(100个通道中约有10到15个),值得一试。”他说:“这有助每个参与的人节省时间。我们还有绕过保护并提供流畅性能的私人软件。“

从萨缪尔在2020年8月和9月发布的其他分类广告来看,似乎很明显,萨缪尔的团队拥有某种特权,可以获得目标公司的财务数据,这让他们更好地了解受害者公司手头可能有多少现金可以支付赎金。也就是说:

“我们瞄准的公司有大量的内部信息,包括是否有磁带机和云的信息(例如,构建成经久耐用的Datto等),这对转换率的规模有很大影响。

要求:-具备使用云存储、ESXi的经验。-体验Active Directory。-对权限有限的帐户进行权限提升。

*与我们合作的公司存在严重的内幕信息。有证据表明支付了大笔款项,但仅限于经过核实的线索。*里面还有一个私人巨型,我不会在这里公开写,而且只针对有经验的线索和他们的团队。*我们不看收入/净利润/会计报告,这是我们的巨型内部,在其中我们确切知道应该自信地挤到最大总数的多少。

根据网络安全公司Intel471的说法,Samuil博士的广告并不是独一无二的,还有其他几个经验丰富的网络罪犯是流行的勒索软件即服务产品的客户,他们正在雇佣分包商将一些繁琐的工作外包出去。

英特尔471首席执行官马克·阿雷纳(Mark Arena)表示:“在网络犯罪团伙内部,进入组织的安全通道很容易被购买、出售和交易。”“一些安全专业人士此前曾试图淡化网络犯罪可能给他们的组织带来的商业影响。”

Arena继续说:“但是,由于受到攻击的接入市场迅速增长,而且这些访问可以出售给任何人,组织需要更多地关注了解、检测和快速响应网络攻击的努力。”这包括更快地修补重要的漏洞、持续检测和监视犯罪恶意软件,以及了解您在环境中看到的恶意软件、它是如何到达那里的,以及它随后丢弃了什么或可能丢弃了什么。

在为这篇报道进行研究的过程中,KrebsOnSecurity了解到,Samuil博士是Multi-VPN[.]BIZ的所有者使用的句柄,这是一项长期运行的虚拟专用网络(VPN)服务,面向网络犯罪分子,他们希望通过在全球多个服务器上跳转来匿名和加密他们的在线流量。

MultiVPN是一家名为Ruskod Networks Solutions(也称为。Ruskod[.]net),它声称总部设在伯利兹和塞舌尔的离岸公司避风港,但似乎是由一个生活在俄罗斯的人经营的。

Ruskod[.]net的域名注册记录很久以前就被WHOIS隐私服务隐藏起来了。但据DomainTools.com(该网站的广告商)称,该网站2000年代中期的WHOIS原始记录显示,该域名是由谢尔盖·拉克坦斯基(Sergey Rakityansky)注册的。

这在俄罗斯或许多周边的东欧国家并不少见。但是,MultiVPN的一名前商业伙伴告诉KrebsOnSecurity,他曾在网络犯罪地下组织中与萨缪尔发生过相当公开的争吵,他说拉基扬斯基确实是萨缪尔的真姓,他目前住在莫斯科西南约200英里(约合200公里)处的布赖恩斯克(Bryansk)。