安全是有分量的

服务器防ddos_cdn加速防御_无缝切换

2022-01-14 16:50栏目:网络

服务器防ddos_cdn加速防御_无缝切换

安迪·奥尔德普华永道英国网络威胁行动网络犯罪情报负责人

5月,我们报告网络安全事件激增,防御ddos工具,对已经应对新冠疫情挑战的组织造成了重大影响。许多此类事件是勒索软件攻击的结果,其中一些还伴随着数据泄露。

从那时起,我们威胁情报小组的分析表明,勒索软件攻击的速度和频率都有所上升。在本次更新中,我们将更仔细地了解推动这些事件增长的趋势。

勒索软件参与者的数量正在增加……

今年勒索软件操作的数量急剧增加,这一趋势在2019年已经确立。这可能是勒索软件事件高调的结果,在赎金支付细节已进入公共领域的情况下,人为操作的赎金软件攻击的感知盈利能力。这正在吸引新的参与者进入市场。最近出现的勒索软件系统包括Avaddon、Darkside、Smaug和SunCrypt。

勒索软件业务的增长并不局限于新的参与者。许多老牌犯罪集团已经将勒索软件添加到他们的投资组合中。银行特洛伊木马(如Emotet、Dridex和TrickBot)现在更常用作高目标勒索软件攻击的初始传递机制。做出这一转变的最新威胁因素是QakBot,自2020年3月以来,QakBot一直用于ProLock和DoppelPaymer勒索软件的交付。

既定犯罪行为体向勒索软件的转变可能是由机会成本驱动的。成功的网上银行攻击依赖于复杂的洗钱活动,以接收被盗资金并将收益转移到刑事控制下的银行账户。提供洗钱服务的专业罪犯要求高额佣金,而赎金通常直接支付给攻击者已经控制的加密货币钱包。因此,勒索软件操作几乎肯定比网上银行攻击更有利可图。

…因为进入壁垒正在下降

勒索软件操作可分为三大类:私人计划、附属计划和建设者。

我们评估了几个最重要的勒索软件威胁,包括Ryuk/Conti和WastedLocker,都是私营企业。他们由领导层活跃了十多年的犯罪企业运营,其中包括我们目前跟踪的许多最老练、经验最丰富的犯罪行为体。

这些行为体基本上是秘密的,不参与不太成熟的行为体经常光顾的犯罪论坛或市场;相反,他们要么拥有内部所需的所有资源,阿波罗ddos防御体系,要么在确实需要引进外部专业知识的地方,他们利用私人通信渠道来实现这一点。

索迪诺基比、NetWalker和Nefilim等勒索软件运营商作为附属计划运营。威胁参与者负责恶意软件的开发和管理。他们将勒索软件的使用权提供给其负责实施攻击的附属公司。

勒索受害者的资金在勒索软件运营商及其附属公司之间按照事先约定的利润分享安排进行分配。这使具有网络入侵和利用技能的参与者能够获得他们自己无法轻松开发的勒索软件功能,从而减少进入壁垒。

2020年3月推出NetWalker附属计划

在RaaS计划中,开发者以一次性费用出售恶意软件的访问权。这些产品通常以"建设者"的名义销售,因为购买者可以通过图形用户界面(GUI)配置勒索软件,然后图形用户界面将恶意软件编译成可工作的二进制文件。除了一次性费用,一些RaaS方案提供订阅服务,当新功能可用时,为用户提供"重建"以减少防病毒检测和/或更新。

勒索软件生成器在刑事论坛上出售

勒索软件生成器在刑事论坛上出售

RaaS方案在刑事市场上出售,许多方案作为更好的方案进行销售附属节目的替代方案:在首次购买后,演员保留其攻击产生的所有收入的100%。RaaS计划几乎消除了勒索软件操作的门槛,因为获得一个有效的恶意软件包所需的全部资金是购买和进入出售它们的犯罪市场的资金。

一般来说,RaaS参与者往往以中小企业为目标,而分支机构计划和私人勒索软件操作更有可能攻击大型组织。这是因为RaaS客户通常不具备攻击和利用大型复杂网络所需的必要技能。

勒索软件操作可扩展

新勒索软件组的出现,RaaS计划的扩散以及已确立的犯罪行为体在其活动中增加了勒索手段的事实都导致了袭击的增加。但另一个关键因素是,许多勒索软件操作本身具有可扩展性。Sodinokibi和NetWalker等知名分支机构计划已积极招募新的合作伙伴。

分支机构计划的收入和他们能够承受的攻击数量取决于威胁参与者招募的分支机构的数量和有效性。这在竞争对手的分支机构之间引入了一定程度的竞争,因为它们试图吸引高质量的候选人来扩大业务。例如,控制Sodinokibi的威胁行为人预计将保留其附属公司收入的30-40%,鉴于NetWalker计划的一个卖点是成功的合作伙伴可以保留80-90%的攻击收益。

老牌玩家正在提高游戏水平