研究人员确定勒索软件团伙的理想企业受害者

威胁情报公司 KELA 的研究人员最近分析了地下的 48 个活跃线程(暗网) 由希望购买组织系统、资产和网络访问权限的威胁行为者创建的市场,并且发现至少 40% 的帖子是勒索软件即服务 (RaaS) 供应链的积极参与者(运营商,或附属公司,或中间人)。

勒索软件受害者

分析的线程提供了有关这些威胁行为者如何选择下一个受害者的有趣见解。

哪些勒索软件受害者是首选?

不出所料,美国、加拿大、澳大利亚和欧洲国家等发达国家的公司是首选目标,而位于(正式或非正式)国家的组织 独立国家联合体 (CIS) 成员 通常被避免——很可能是因为威胁行为者位于其中一些国家,并希望避免当地执法部门关注他们。

勒索软件受害者

凯拉 威胁情报分析师维多利亚·基维列维奇 (Victoria Kivilevich) 表示:“其他被提及为‘不受欢迎’的国家包括南美洲和第三世界国家——很可能是因为获得经济利益的机会很低。” 指出.

尽管如此,这并不意味着总部位于这些国家的富有的公司永远不会成为目标——犯罪分子只会调整他们的期望,并且(很可能)提供更少的资金来访问他们。

“勒索软件攻击者想要的平均最低收入为 1 亿美元,其中一些人表示想要的收入取决于地点。例如,其中一位参与者描述了以下公式:美国受害者的收入应超过 500 万美元,欧洲受害者的收入应超过 2000 万美元,“第三世界”国家的收入应超过 4000 万美元。”

此外,尽管针对医疗保健组织的勒索软件攻击经常成为新闻,但在近一半 (47%) 的帖子中,攻击者表示他们不想购买医疗保健行业公司的访问权限。相同百分比的访问请求指出需要避免教育目标,而政府公司和非营利组织分别在 36% 和 26% 的帖子中是不受欢迎的目标。

避开这些组织的可能原因是多种多样的:道德、预期的低回报或希望避免受到执法部门不必要的关注。

他们在寻找什么样的访问权限?

“勒索软件攻击者已准备好购买各种网络访问权限,其中 RDP 和 VPN 是最基本的要求。提到的最常见的产品(支持网络访问)是 Citrix、Palo Alto Networks、VMware、Fortinet 和 Cisco,”Kivilevich 分享道。

但并非所有访问请求都是勒索软件团伙提出的。其他网络犯罪分子——旨在通过恶意软件或注入脚本窃取信息、执行加密劫持或安装垃圾邮件和网络钓鱼活动——正在寻求进入在线商店的面板、未受保护的数据库、Microsoft Exchange 服务器等。

“与勒索软件相关的参与者对受害者的要求与 IAB(初始访问代理)的访问列表和条件之间的相似之处表明,RaaS 运营就像企业一样。他们用行业和国家的黑名单形成“行业标准”,定义“客户”的收入和地理位置,并为威胁行为者提供具有竞争力的价格,为他们提供所需的“商品”,Kivilevich 总结道,并建议公司定期执行网络安全意识和培训、漏洞监控和修补,以及对关键资产的针对性和自动化监控。

尽管有这些发现,但请记住,网络犯罪分子和勒索软件团伙也在寻找进入组织本身的方法,并且 中小型企业也是潜在目标.




分享这个