勒索攻击频传,趋势科技今日发布最新研究报告,深入分析背后错综复杂的网络犯罪供应链,并提出过去两年需求急速增长,许多网络犯罪市场甚至有自己的“访问服务”(Access-as-a-Service,AaaS)交易专区。
这项研究针对多个英语与俄语为主的网络犯罪论坛,分析自2021年1月至8月间900多笔上架的访问中介服务。若以产业区分,教育是最常出现的主流市场,占所有服务广告的36%,制造业与专业服务以11%并居第二,比例不到第一名的三分之一。
而报告并指出访问中介的三种主要类型。第一是随机型卖家,只想快速获利,不会花太多时间取得访问权。第二是专业访问中介,通常是经验丰富、技术娴熟的黑客,能提供各种公司的访问权,受到小型勒索病毒集团和组织青睐。
第三则是线上商店,提供RDP与VPN凭证。这类专营商店只提供单一设备访问,非涵盖整个网络或组织,然而提供简便、自动化的交易模式,让技术能力有限的网络犯罪者也能购买访问权,甚至能以位置、互联网服务供应商(ISP)、操作系统、通信端口号、管理员权限或公司名称搜索。
趋势科技指出,多数访问中介的商品仅为一组登录凭证,来源可能包含外泄的密码或密码散列的破解;遭入侵的僵尸计算机;遭恶意利用的VPN网关、网站服务器等安全漏洞;一次性随机攻击等。
同时,这类服务定价照访问类型(单一设备或整体网络/企业)、公司目标年度营收、买家额外需执行的工作等而不同。虽然取得RDP访问的价格最低仅10美元,但单一企业管理凭证平均价格为8,500美元,有时甚至高达10万美元。
趋势科技资深威胁研究员David Sancho表示,媒体与企业安全部门一直都只关注勒索病毒和恶意程序,但真正该优先处理的,是设法减缓初始访问中介(initial access broker)的攻击活动。安全事件应变团队通常必须调查两起以上范围重叠的攻击链,才能找出勒索病毒攻击的源头,事件应变流程更冗长复杂。通过监测访问中介活动,团队能防患未然,避免企业网络访问权限遭偷窃、变卖,从源头阻断勒索病毒攻击者的供应来源。
(首图来源:趋势科技)