您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
勒索軟件最大的敵人是自己
勒索軟件組織最大的敵人是誰?虎視眈眈的執(zhí)法機構還是憤然反擊的企業(yè)安全團隊?答案可能出乎你的想象,如今勒索軟件組織最懼怕的是同行/同事內卷或反水。
在最近的一系列勒索軟件調查中,由于同事的“舉報”,一些臭名昭著的勒索軟件組織成員的敏感信息被大量泄露。這給勒索軟件組織提出了一個重大難題:如果連同事都不能信任,你還能信任誰?
以2019年勒索軟件組織REvil為例。當時,REvil已經入侵了德克薩斯州的數(shù)百家牙科診所和十幾個地方政府。負責調查該事件的網(wǎng)絡安全公司McAfee(現(xiàn)在的Trellix)的安全研究人員收到一封來自REvil內部人士的匿名舉報電子郵件,舉報者顯然對REvil的管理層相當不滿。
Trellix威脅情報負責人兼首席工程師John Fokker上個月在一篇博文中透露,REvil勒索軟件組織的內部人士透露了有關該組織的策略、程序和運營的信息。Trellix隨后與執(zhí)法部門分享了這些數(shù)據(jù),這讓執(zhí)法部門“欣喜若狂”,因為這些信息有助于他們對REvil的調查。美國和歐洲警方隨即對與REvil相關的黑客展開突襲、指控,并沒收加密貨幣。
據(jù)Trellix透露,告密者最初要求獲得經濟獎勵,但Trellix不會向網(wǎng)絡犯罪分子支付信息費用。但美國政府去年提供了高達1000萬美元的信息費用,懸賞能夠幫助逮捕REvil領導人的信息。
事實證明網(wǎng)絡犯罪分子并無操守可言,如果能夠獲得利益,他們完全不介意出賣同行或者同事。REvil的“內鬼”事件在勒索軟件行當絕不鮮見。
去年,Conti勒索軟件組織的一個心懷不滿的加盟機構(曾入侵愛爾蘭的醫(yī)療系統(tǒng))泄露了一份Conti分發(fā)給加盟機構的內部培訓手冊。
在Conti表態(tài)支持俄羅斯在烏克蘭的“特別軍事行動”之后,一個匿名的推特賬戶泄露了該組織內部的大量內部聊天記錄,讓安全研究人員和執(zhí)法機構首次窺見該組織的內部運作機制。
● 據(jù)CNN報道,泄密黑客是一名烏克蘭研究人員,長期以來一直擁有Conti系統(tǒng)的訪問權限。
● 大約在同一時間,另一個Twitter帳戶泄露了Trickbot組織的內部消息,該組織與Conti有關聯(lián)。據(jù)《華爾街日報》報道,該泄密事件背后的研究人員也自稱是烏克蘭人。
類似的,勒索軟件組織Lockbit和Babuk也曾被“自己人”泄露內部工具。
專家指出,勒索軟件組織的信息泄漏有多種原因。Recorded Future高級安全架構師Allan Liska指出,一些大型勒索軟件組織很快賺了很多錢,但并沒有善待他們的加盟機構或承包商。此外,一些勒索軟件組織還就地緣政治事件發(fā)表了“站隊”聲明,面臨來自美國和其他執(zhí)法機構的壓力。
Liska指出,勒索軟件組織的管理者大多是二三十歲的年輕人,缺乏管理經驗,不知道如何管理一個大型組織。
Emsisoft威脅分析師Brett Callow則認為,勒索軟件組織自身很容易受到滲透?!叭绻麍?zhí)法部門沒有滲透到一些團體,我會感到驚訝,”他說:“如果網(wǎng)絡安全研究人員沒有這樣做,我同樣會感到驚訝?!?/span>
勒索軟件組織的犯罪分子往往缺乏必要的安全意識,經常無意間泄露敏感信息。例如今年,委內瑞拉心臟病專家Moises Luis Zagala Gonzalez涉嫌開發(fā)散布勒索軟件工具被捕,檢察官發(fā)現(xiàn)他作案時使用的電子郵件帳戶和支付服務居然與他的真實信息相關。
Liska說,一些勒索軟件組織往往自視過高,甚至不屑采取預防措施來隱匿行蹤和身份。
在另一個案例中,研究人員發(fā)現(xiàn)一名伊朗勒索軟件黑客在勒索信中署上了真名。
參考鏈接:
https://www.washingtonpost.com/politics/2022/10/12/ransomware-hackers-have-new-worst-enemy-themselves/
來源:GoUpSec