Flashpoint：窃取凭证以绕过安全防护成为犯罪组织开展攻击的主要方式

据Flashpoint近期发布的一份报告显示，2022年该平台共报告了4，518起数据泄露事件，总计导致226.2 亿条凭证及个人记录被泄露或或窃取，其中包括账户、财务信息、电子邮件地址、电话号码等。超过60%的被盗数据源于企业信息部门，这些部门多负责客户托管数据或是企业内部敏感数据的管理等。报告还称，越来越多的网络攻击者通过非法获取凭证的方式规避企业的安全监测措施。 例如，LockBit勒索软件组织就是通过这种方式持续窃取敏感数据以勒索企业或在非法市场出售。



勒索软件即服务模型

报告显示，目前大多数勒索软件组织都采取勒索软件即服务(RaaS)的商业模型，向恶意行为者提供工具，在赚取一定分成的同时也通过部署勒索软件程序窃取管理访问权限。也有部分网络犯罪组织通过被盗凭据来获得访问权限，尤其是VPN、远程桌面协议 （RDP） 等远程访问服务凭据。2022年，Flashpoint共统计了3，164名遭到此类攻击的受害者，比上一年同期增加了7%，该公司预计未来这个数字将持续升高。

报告还称，随着暗网市场的逐渐扩大，威胁行为者开始相互学习并汇集攻击战术、工具、程序等资源，甚至是共享代码。就像勒索软件团伙无法被清除一样，暗网市场也在不断转移、分裂、重组。虽然目前，SSNDOB, Raid Forums、 Hydra等长期运行的大型网络犯罪市场已被关闭，但很快，网络犯罪分子又建立了一个新市场。仅去年一年，Flashpoint就发现了190个新暗网市场。其中，一个被称为Raid Forums 替代品的论坛，在短短的8个月里，就从1，500 名用户增加到了190，000 多名。

暗网市场的扩大直接促成了数据泄露和网络攻击事件的激增，随着初始访问代理、勒索软件组织和高级持续威胁 （APT） 组织等进入市场贩卖凭证、个人信息等，企业的网络安全态势将面临巨大威胁。

攻击者窃取凭证的方法

1、数据泄露是导致凭证被盗的主要因素之一。

报告显示，超过71%的凭证从5%的数据泄露事件中被窃取。因此，对于企业来讲，制定积极的供应商风险管理计划、确保其数字供应链实施有效的安全控制至关重要。

2、网络钓鱼

随着网络钓鱼即服务模型的流行，极大程度地降低了攻击门槛，让攻击者不必具备构建或接管基础设施以托管网络钓鱼工具包（模拟各种登录页面）的技术知识就可以开展网络攻击。攻击者可以通过网络钓鱼即服务平台拦截登录凭据或多因素身份验证令牌，达到窃取目的。

3、恶意软件程序

提取保存在浏览器和其他应用程序中登录凭据的信息窃取程序是目前网络犯罪分子最常使用的工具之一，最早出现在2022年，例如AcridRain 、 TyphonStealer等。

4、已知漏洞

犯罪分子通过对已知漏洞的利用也可以达到数据窃取的目的。Flashpoint通过分析766个实例发现，漏洞的价格一般在2，000美元到4，000美元之间，破坏性更大的漏洞价格高达10，000美元。在暗网中出现次数最多的漏洞包括CVE-2021-35587、CVE-2021-39144、CVE-2022-21497、CVE-2022-22960、CVE-2022-24112等。