厚颜无耻的,不成熟的和不合逻辑的:理解失误美元敲诈勒索

获得了业界的关注在2022年的第一个月,过失勒索美元集团都安静了。我们能从这群敲诈勒索的故事和战术吗?

美元失误集团于2022年初曾经在现场华丽和破坏性的攻击。偶尔会集中在与ransomware团体,过失是一群敲诈勒索。从建立区别,专业ransomware团体和什么教训可以组织学习的策略来改善他们的防御?

过失$集团做出了相当大的轰动,2022年初,但已降至涟漪中造成的更大的波浪像孔蒂更成熟的组织。过失的美元短暂担任领袖网络安全新闻周期特性和明显的错误。

来源:站得住脚的研究,2022年7月

Ransomware或者敲诈勒索?

我注意到过失是敲诈勒索,美元不是ransomware组。为这些目的,我故意特定ransomware的定义。在某些情况下勒索涉及偷窃数据,“赎金”组织,ransomware专门指事件当数据加密恶意软件(ransomware)部署和访问这些系统是救赎回目标组织。

多年来,ransomware组采用多样化的绥靖政策。学习策略和其他关键特性的ransomware生态系统,读站得住脚的的报告。勒索组织失误关注美元投机取巧数据盗窃和威胁公布偷来的数据。偶尔,这些团体也将删除原始数据。

区别了,让我们看看最近的一个著名的名字在勒索:美元的失误。

美元失误集团是谁?

虽然有其他组织执行extortion-only攻击,过失集团打破美元到现场在很大程度上在2021年底,集团成为这种类型的威胁。

过失美元的官方职业生涯始于2021年12月袭击与目标公司在南美,一直持续到1月在南美和葡萄牙,可能与一些小组成员的位置。(虽然最初违反Sitel和随后的妥协Okta发生在1月底,这不是公开两个月。)在接下来的几个月,过失美元扩大其跨国科技公司的目标。这带来了集团的注意网络安全社区。

过失$集团完全通过私人电报集团经营和管理一个黑暗的web泄漏网站不像其他团体的威胁,限制了数据进行分析。尽管如此,许多安全分析师,研究人员和记者检查信息和发展见解集团的特点和战术。

这些分析中常见的主题包括:

• 低成熟度的策略和行为
• 影响力和名声的优先事项
• 主要集中在货币政策目标

金钱和名誉的理论目标是支持的集团从目标公司在南美过渡到更大的公司领域的影响力,“大型国际科技公司”闪点研究指出。针对这些公司理论上可以获得网络罪犯更高的薪酬,而且绝对赢得了集团的恶名。

许多分析家指出,很难归结于一个单一的,整体的目标,甚至自信的折扣目标——这样的“宽松的集体美元。”失误有强烈断言,它不是出于政治动机或州赞助和其行为符合这种说法出现。

如果ransomware组像孔蒂的操作让人想起犯罪集团中描述电视节目和电影等大西洋帝国或者是教父——完整的客户服务和人力资源——过失却更像团队的美元点休息或瓶火箭。许多分析家称其行为是不成熟的和冲动,比较的典型的“少年在地下室,”脚本kiddy。

虽然很难识别个人任何网络犯罪集团的成员,研究人员和执法部门跟踪失误操作几美元青少年在巴西和英国这些标识,随后逮捕从集团和明显的沉默,似乎结合分析声明该集团是由“天才但没有经验的“演员是“鲁莽的和破坏性的。“这些特征是基于观察组的策略和行为,让我们详细了解这些。

美元失误如何操作?

失误,美元可能短暂的考虑到最新进展,仍然显示出成熟的轨迹。这没有线性轨迹,进一步支持宽松的集体性质的组织。随着时间的推移,过失美元集团使其攻击机会主义的策略和优先级的变化,从传统的客户和客户端数据盗窃窃取专有信息和源代码。

在战术方面,早期出现分布式拒绝服务攻击(DDoS)和网站破坏行为。但是,早在1月21日,过失美元集团已经从事多级破坏,最终导致了事件Okta。成熟过程中,过失美元集团采购凭证等严重依赖于可靠的战术转储,社会工程帮助台和垃圾邮件多因素身份验证(MFA)提示实现初始访问目标组织。

据报道的微软和NCC集团前从自己的违反集团,这些都是一些关键的战术、技术和程序的过失美元组:

• 首次访问通过购买或公开证书存储库,小偷和支付员工的访问密码
• 绕过MFA通过垃圾邮件提示或联系服务台
• 面向访问internet应用程序和虚拟专用网络一样,微软SharePoint,虚拟桌面等进一步收集凭证和访问敏感信息
• 提升特权利用补丁Jira, GitLab,融合和列举用户Active Directory的探险家
• 漏出的数据通过NordVPN或免费文件服务,然后删除资源
• 使用访问目标的云环境中构建攻击基础设施和删除所有其他全球管理员

正如我上面所提到的,失误美元集团不同于其他团体威胁勒索和ransomware空格键的方式:它不泄漏网站运营。集团仅仅使用电报频道宣布受害者,经常征求输入从更广泛的社区组织的数据发布。与抛光相比,ransomware集团的标准化网站(像AvosLocker LockBit 2.0,孔蒂等等),这些实践混乱和不成熟。

AvosLocker泄漏网站,图片来源:成立,2022年5月

表面上看,偷的源代码和专有信息可以被视为一个策略来激励和引发更高的敲诈勒索,但失误美元集团也在奇怪的方式使用这些盗窃。与Nvidia数据,失误还泄露代码签名证书,允许恶意软件作者自由使用这个证书将他们的产品到目标环境与Nvidia合法签署程序。过失美元能够从Nvidia被盗有价值的信息,但没有兴趣或能够利用自己的利益。该集团似乎没有一个强烈的有价值的数据。从微软窃取的数据”不会导致的风险”和“预期三星没有任何影响其业务或客户。”

事实上,美元失误并不总是有效沟通勒索要求受害者,偶尔不同意公开如何泄漏数据,“不合理的和不合逻辑的”的要求。与Nvidia,过失要求功能变化Nvidia芯片不能合理地完成。似乎这种需求是一个长期的矿山cryptocurrency货币策略来增加能力,尽管一个考虑不周的。

有什么失误完成美元?

尽管早些时候袭击的过失美元集团没有获得关注的程度后攻击,一些人具有相当的破坏性,很快地把组织后卫的雷达屏幕上,特别是受灾最严重的地区那些早期的攻击。集团设法破坏几个电信和媒体公司在拉丁美洲和欧洲,以及巴西卫生部。

直到攻击英伟达,在2月底,美元失误真的闯进了更广泛的关注。违反,过失踏上国际舞台,开始美元短暂撕裂主要科技公司,这样做或许天赋比功能。

即使违反三星,微软和Okta没有技术影响我们都害怕从一个事件公司口径,中断还是相当大的。这一事件在特定Okta把网络安全行业扔进一个狂热而被调查和披露。这些重大事件发生的时候,该集团继续针对较小的组织在拉丁美洲和欧洲。

特点是不稳定的行为和古怪的要求无法满足,一度集团甚至指责黑客的目标——美元失误集团的任期在网络安全的前沿newscycle是混乱的。很难说多少钱美元失误集团赢得了企业,但不可否认,声名狼藉,无论是好是坏。美元三个月以来的顶峰失误袭击和逮捕,基本上仍不活跃。

组织应该如何应对

过失$集团的主要策略是关注社会工程和招聘的内部人士。在报告中对该组织的活动,NCC集团美元为失误提供了指标妥协的攻击。组织应采取以下指导抵御攻击失误和其他美元勒索组。

• 重新评估帮助台政策和社会工程意识
• 加强MFA:避免基于短信的MFA;确保使用强密码;利用无密码认证
• 使用可靠的身份验证选项为应用程序如OAuth和安全性断言标记语言
• 发现和补丁known-exploited漏洞可能允许攻击者在您的系统横向移动,提升特权和漏出敏感数据
• 支持云安全的姿势:改善风险检测,加强访问配置

在事件的分析,针对自己的系统,Okta点采用零信任作为一个关键的防御机制。所需的额外的身份验证步骤敏感的应用程序和数据的访问阻止美元失误集团实现访问可能对Okta和它的客户有灾难性的影响。

勒索过失不要美元这样的组织目标与动机一样传统ransomware团体活动目录,但仍然寻求妥协的广告目标为了旋转higher-privileged用户访问。适当的广告配置和监控他们停止敲诈勒索的关键是阻止ransomware。此外,这些勒索组织很可能目标云环境。美元失误集团已被观察到目标云基础设施,删除资源和合法用户锁定账号。

像ransomware同行一样,这些勒索团体仍然依靠遗留漏洞组织发动。在RSA会议上2022年6月,美国国家安全局网络安全主任罗布·乔伊斯说解决这些已知漏洞”需要网络安全基础”的努力。站得住脚的客户可以使用我们Ransomware生态系统扫描模板,仪表板(Tenable.io,Tenable.sc),报告评估其环境脆弱性已知ransomware团体的目标,其中许多也被勒索组。

勒索组织的未来

在勒索失误美元并不是唯一的名字。关闭后,孔蒂,一些子公司曾被观察到从事类似的攻击。美国政府机构还警告说,另一个敲诈勒索,Karakurt,仅仅从操作泄漏其他网站的数据进行数据盗窃和勒索代表自己的操作。

作为过失集团的活动减弱,美元RansomHouse集团一直在上升。像美元失误,它已经被一些分类ransomware集团,但它不加密数据在目标网络。它的许多失误的策略类似于美元集团;RansomHouse甚至广告活动失误电报美元通道。

ransomware一样,勒索攻击任何地方不会直到它们太复杂或昂贵的进行。组织应评估防御他们反对使用的策略,如何有效硬化以及他们的反应是否剧本占这些事件。虽然感觉容易淡化威胁美元像失误因为他们的厚颜无耻,纯洁的和不合逻辑的战术,他们中断的重大国际科技公司提醒我们,即使是不成熟的策略可以有严重的影响。

获得更多的信息

• 报告:一看Ransomware内部生态系统
• ContiLeaks:聊天显示30多个漏洞被孔蒂Ransomware——站得住脚的如何帮助