您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
勒索軟件最大的敵人是自己
勒索軟件組織最大的敵人是誰?虎視眈眈的執(zhí)法機(jī)構(gòu)還是憤然反擊的企業(yè)安全團(tuán)隊(duì)?答案可能出乎你的想象,如今勒索軟件組織最懼怕的是同行/同事內(nèi)卷或反水。
在最近的一系列勒索軟件調(diào)查中,由于同事的“舉報(bào)”,一些臭名昭著的勒索軟件組織成員的敏感信息被大量泄露。這給勒索軟件組織提出了一個(gè)重大難題:如果連同事都不能信任,你還能信任誰?
以2019年勒索軟件組織REvil為例。當(dāng)時(shí),REvil已經(jīng)入侵了德克薩斯州的數(shù)百家牙科診所和十幾個(gè)地方政府。負(fù)責(zé)調(diào)查該事件的網(wǎng)絡(luò)安全公司McAfee(現(xiàn)在的Trellix)的安全研究人員收到一封來自REvil內(nèi)部人士的匿名舉報(bào)電子郵件,舉報(bào)者顯然對(duì)REvil的管理層相當(dāng)不滿。
Trellix威脅情報(bào)負(fù)責(zé)人兼首席工程師John Fokker上個(gè)月在一篇博文中透露,REvil勒索軟件組織的內(nèi)部人士透露了有關(guān)該組織的策略、程序和運(yùn)營(yíng)的信息。Trellix隨后與執(zhí)法部門分享了這些數(shù)據(jù),這讓執(zhí)法部門“欣喜若狂”,因?yàn)檫@些信息有助于他們對(duì)REvil的調(diào)查。美國(guó)和歐洲警方隨即對(duì)與REvil相關(guān)的黑客展開突襲、指控,并沒收加密貨幣。
據(jù)Trellix透露,告密者最初要求獲得經(jīng)濟(jì)獎(jiǎng)勵(lì),但Trellix不會(huì)向網(wǎng)絡(luò)犯罪分子支付信息費(fèi)用。但美國(guó)政府去年提供了高達(dá)1000萬美元的信息費(fèi)用,懸賞能夠幫助逮捕REvil領(lǐng)導(dǎo)人的信息。
事實(shí)證明網(wǎng)絡(luò)犯罪分子并無操守可言,如果能夠獲得利益,他們完全不介意出賣同行或者同事。REvil的“內(nèi)鬼”事件在勒索軟件行當(dāng)絕不鮮見。
去年,Conti勒索軟件組織的一個(gè)心懷不滿的加盟機(jī)構(gòu)(曾入侵愛爾蘭的醫(yī)療系統(tǒng))泄露了一份Conti分發(fā)給加盟機(jī)構(gòu)的內(nèi)部培訓(xùn)手冊(cè)。
在Conti表態(tài)支持俄羅斯在烏克蘭的“特別軍事行動(dòng)”之后,一個(gè)匿名的推特賬戶泄露了該組織內(nèi)部的大量?jī)?nèi)部聊天記錄,讓安全研究人員和執(zhí)法機(jī)構(gòu)首次窺見該組織的內(nèi)部運(yùn)作機(jī)制。
● 據(jù)CNN報(bào)道,泄密黑客是一名烏克蘭研究人員,長(zhǎng)期以來一直擁有Conti系統(tǒng)的訪問權(quán)限。
● 大約在同一時(shí)間,另一個(gè)Twitter帳戶泄露了Trickbot組織的內(nèi)部消息,該組織與Conti有關(guān)聯(lián)。據(jù)《華爾街日?qǐng)?bào)》報(bào)道,該泄密事件背后的研究人員也自稱是烏克蘭人。
類似的,勒索軟件組織Lockbit和Babuk也曾被“自己人”泄露內(nèi)部工具。
專家指出,勒索軟件組織的信息泄漏有多種原因。Recorded Future高級(jí)安全架構(gòu)師Allan Liska指出,一些大型勒索軟件組織很快賺了很多錢,但并沒有善待他們的加盟機(jī)構(gòu)或承包商。此外,一些勒索軟件組織還就地緣政治事件發(fā)表了“站隊(duì)”聲明,面臨來自美國(guó)和其他執(zhí)法機(jī)構(gòu)的壓力。
Liska指出,勒索軟件組織的管理者大多是二三十歲的年輕人,缺乏管理經(jīng)驗(yàn),不知道如何管理一個(gè)大型組織。
Emsisoft威脅分析師Brett Callow則認(rèn)為,勒索軟件組織自身很容易受到滲透?!叭绻麍?zhí)法部門沒有滲透到一些團(tuán)體,我會(huì)感到驚訝,”他說:“如果網(wǎng)絡(luò)安全研究人員沒有這樣做,我同樣會(huì)感到驚訝。”
勒索軟件組織的犯罪分子往往缺乏必要的安全意識(shí),經(jīng)常無意間泄露敏感信息。例如今年,委內(nèi)瑞拉心臟病專家Moises Luis Zagala Gonzalez涉嫌開發(fā)散布勒索軟件工具被捕,檢察官發(fā)現(xiàn)他作案時(shí)使用的電子郵件帳戶和支付服務(wù)居然與他的真實(shí)信息相關(guān)。
Liska說,一些勒索軟件組織往往自視過高,甚至不屑采取預(yù)防措施來隱匿行蹤和身份。
在另一個(gè)案例中,研究人員發(fā)現(xiàn)一名伊朗勒索軟件黑客在勒索信中署上了真名。
參考鏈接:
https://www.washingtonpost.com/politics/2022/10/12/ransomware-hackers-have-new-worst-enemy-themselves/
來源:GoUpSec