勒索软件爆发式增长促进了蓬勃发展的暗网生态

暗网经济正在蓬勃发展——这是由不断发展的勒索软件行业推动的。暗网现在拥有数百个蓬勃发展的市场，可以在其中以各种价位获得各种专业的勒索软件产品和服务。

来自 Venafi 和 Forensic Pathways 的研究人员在 2021 年 11 月至 2022 年 3 月期间分析了大约 3500 万个暗网 URL（包括论坛和市场），发现了 475 个网页，其中包含勒索软件病毒样本、勒索软件源代码、构建和定制勒索服务以及完整的列表：成熟的勒索软件即服务 (RaaS) 产品。

大量勒索软件相关工具

研究人员确定了页面上列出的 30 个不同的勒索软件系列，并发现以前与攻击知名目标相关的知名勒索软件变种的广告，例如 DarkSide/BlackCat、Babuk、Egregor 和 GoldenEye。这些经过验证的攻击工具的价格往往明显高于鲜为人知的变体。

例如，DarkSide 的定制版本——Colonial Pipeline 攻击中使用的勒索软件——定价为 1,262 美元，而一些变体的价格低至 0.99 美元。与此同时，Babuk 勒索软件的源代码标价为 950 美元，而 Paradise 变种的源代码售价为 593 美元。

无需经验

Venafi 研究人员发现，在许多情况下，通过这些市场提供的工具和服务（包括分步教程）旨在允许具有最少技术、技能和经验的攻击者，也能获得发起勒索软件攻击的能力。

勒索软件参与者越来越多地使用初始访问服务，以在目标网络上站稳脚跟。初始访问服务是由更专业的威胁参与者向其他威胁参与者出售对已入侵网络的访问权限。

初始访问经纪人在地下经济中蓬勃发展

今年早些时候 Intel471 的一项研究发现，勒索软件攻击者和初始访问经济人之间的联系越来越紧密。其中一个最活跃的参与者是Jupiter（木星），它在今年第一季度可以访问多达 1,195 个受感染的网络；另一个自称Neptune，在同一时间范围内列出了 1,300 多个初始访问凭证。

Intel471发现使用这些服务的勒索软件运营商包括 Avaddon、Pysa/Mespinoza 和 BlackCat。

通常，访问是通过受损的 Citrix、Microsoft 远程桌面和 Pulse Secure VPN 凭据提供的。Trustwave 的 SpiderLabs 密切关注暗网上各种产品和服务的价格，并将 VPN 凭证描述为地下论坛中最昂贵的记录。根据供应商的说法，VPN 访问的价格可能高达 5,000 美元 ，甚至更高，具体取决于组织的类型和它提供的访问权限。

大部分攻击并非知名勒索软件制造

与此同时，Check Point发布的年中威胁报告显示，勒索软件领域的玩家数量远远多于人们的普遍认知。Check Point 研究人员分析了该公司对威胁事件响应处置的数据，发现虽然一些勒索软件变体（例如 Conti、Hive 和 Phobos）比其他变体更常见，但它们并未占攻击的大部分。

Check Point安全专家称，他们响应的勒索软件事件中有 72% 是只遇到过一次的勒索软件变体。

报告认为：“与某些假设相反，勒索软件领域并非仅由少数几个大集团主导，而实际上是一个分散的生态系统，其中有多个较小的参与者，不像较大的勒索软件集团那样广为人知。”

大型勒索软件团伙获利惊人

一些较大的勒索软件集团已经发展到雇佣数百名黑客、收入数亿美元的地步，并且能够投资于研发团队、质量保证计划和专家谈判代表等等方面。Check Point 警告说，越来越多的大型勒索软件组织已经开始获得国家行为者的能力。

Check Point 表示，此类大型勒索软件团伙已受到政府和执法部门的广泛关注。例如，美国政府悬赏 1000 万美元捉拿有关Conti勒索软件团伙的成员，这些风险促成今年早些时候 Conti 勒索软件团伙决定停止运营。

Check Point 在报告中说，“大型勒索软件团伙因其规模和影响力获得了太多的关注，促使它的垮台。未来会有更多的中小型集团，而不是少数大型集团，这样他们就可以更容易地被忽视，从而可以逃避执法部门调查。”

参考链接：www.darkreading.com

来源：会杀毒的单反狗