前言:
勒索软件即服务Ransomware-as-a-Service (RaaS)是当前全球勒索软件攻击势头急剧上升的背景下出现一种服务模式。同其他Saas解决方案类似,RaaS模式已经成为一种成熟软件商业模式。RaaS的出现大大降低了勒索攻击的技术门槛,勒索软件开发者可以按月或一次性收费提供给潜在用户(犯罪组织)。这些犯罪组织,只需要购买勒索软件来执行勒索攻击,获利后按比例支付赎金给勒索软件供应商。然而随着犯罪方式的演变,传统的勒索方式需要犯罪者“亲力亲为”,即勒索团伙需要自己发送钓鱼邮件或者自己寻找目标系统漏洞来植入勒索软件,这样大大消耗了时间和精力,RaaS组织需要更加直接的“大门”或者中间人去做入侵,于是 Initial Access Brokers(IAB)业务就变得活跃起来。
图1- 勒索软件即服务(RssS)产业模式图
IAB产业现状
IAB(Initial Access Brokers-初始访问代理业务)是指攻击者通过多种方式获得的受害者网络资产初始化访问权限,而后将其出售给犯罪组织实施犯罪的中间人行为,犯罪组织通常为勒索软件团伙或其附属机构。“初始访问权限”不仅泛指RDP、VPN、Webshell、SSH权限这些可以直接进入目标网络的权限,还有一些未授权访问的资产、数据库资产、系统用户的账户权限等,也包括可利用的企业系统、网络设备,如Citrix、Fortinet、ESXI 和 Pulse Secure的历史漏洞和权限。攻击者可以将这些系统的权限放到黑客论坛售卖,有时候还可以多次售卖给不同勒索软件组织,这些攻击者可以和勒索软件供应商形成供需关系,两者通过匿名的IM通信,最后通过数字货币支付达成交易。通过黑客论坛,勒索软件运营商组织可购买IAB后直接植入勒索软件达成勒索目标,可以节省勒索组织在受害者网络环境中入侵的时间和精力以及各种成本,这样勒索软件攻击者可以将所有时间和精力集中在“改善”勒索软件有效载荷和与他们的附属机构协调操作上,同时可以在暗网论坛上指定需要的权限类型与目标行业,IAB的出现为RaaS提供了极大的便利。
图2- RaidfForums上卖家出售数据库信息的帖子
图3- RaidForums上买家购买手机数据库数据的帖子
在利益的驱动下,RaaS与IAB的交易越来越密切,值得关注的是:根据Digital Shadows统计,IAB交易的热点行业权限top5 为零售行业、金融行业、科技行业与工业制造业(如医药制造),科技行业的初始访问代理权限平均价格最高为13,607 美元。
最低0.47元/天 解锁文章
2780
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
