勒索软件攻击团伙们也有“行业标准” 哪类组织是理想的攻击目标?

首页 / 业界 / 资讯 /  正文
来源:安全419编译
发布于:2021-12-27
日前,一家名为“KELA”的全球网络安全威胁情报提供商发现,全球的勒索软件攻击者正在共同创建一个“行业标准”,并使用他们来区分哪些企业和团体是更理想的攻击活动目标。
 
KELA旗下的安全研究人员表示,2021年7月,KELA在暗网市场上发现了48条关于勒索软件攻击的讨论主题帖,讨论发起人声称自己是勒索软件攻击者,希望购买进入企业网络的权限。KELA发现,在这些与勒索软件即服务(RaaS)计划有关讨论的参与者中,包括运营商、附属公司和中间商们,创造了近五分之二的线索。根据这些讨论线索,KELA梳理出了勒索软件即服务(RaaS)参与者在购买访问控制权限时更加看重的一些“标准”。
 
 
理想攻击目标和“行业默认不允许目标”
 
KELA发现,在攻击者理想的购买权限中,目标“地理位置”和“收入规模”是决定性因素。同时,勒索软件参与者也对一些“不允许的行业”和“不允许的国家/地区”保持谨慎。
 
地理位置:近一半 (47%) 的勒索软件攻击者提到美国是其最理想的攻击地点。紧随其后的是加拿大、澳大利亚和欧洲国家,分别占 37%、37%和31%。
 
收入规模:平均而言,勒索软件攻击者希望每次攻击行动能勒索到至少1亿美元,这就要求购买的访问控制目标年收入规模要足够高。但攻击者有时会为不同的地点指定不同的赎金金额,比如,针对发展中国家的勒索攻击行动,勒索金额会大幅低于美国。
 
不允许的行业:几乎一半 (47%) 的勒索软件攻击者表示,他们不愿意购买涉及医疗保健和学校教育的公司的访问权限。略少的人 (37%) 拒绝针对政府部门,此外,大约四分之一的勒索软件参与者声称他们不会购买非营利组织的访问权限。
 
不允许的国家/地区:KELA发现,有一些攻击者拒绝以俄语系国家的企业或机构做为目标。其理由是,如果他们不攻击该地区,当地执法部门就不会打扰他们。 也有一部分人拒绝南美洲以及发展中国家的目标,他们相信他们不会从攻击行动中获取到足够的钱。
 
这些“行业标准”与最近的勒索软件攻击趋势相同
 
KELA表示,上述的这些发现与最近发生的一些勒索软件攻击事件中表现出来的趋势高度一致。
 
以Colonial Pipeline 美国管道公司的攻击事件为例,根据Dun & Bradstreet的数据,Colonial Pipeline 公司总部位于德克萨斯州亚瑟港,2020 年的收入为 13.2 亿美元。此外,Colonial 是美国一家主要的关键基础设施企业,不在上述禁止的行业中。
 
在另一起Kaseya供应链攻击事件中也表现出来了几乎相同的标准,这家 IT 管理软件公司的总部位于佛罗里达州迈阿密。此外,截至2019年底,Kaseya的价值超过20亿美元。
 
KELA 建议,企业和机构应该针对勒索软件攻击的特点积极构建防御体系,首先,他们应该在企业内部普及网络安全教育,教会员工和高管们如何保护自己的账号数据,以及如何在企业系统中发现可疑的攻击活动。
 
此外,企业需要使用漏洞管理系统来监控系统中已知的安全漏洞,并提前对其加以修复,最后还要经常更新资产清单,来监控任何发生在设备和系统上的可疑行为,以避免勒索软件攻击的风险。