一般不能用頂級這個詞。
根據之前播報過的:
誰是全球勒索軟件之王?
當時得出結論:Conti勒索團體當之無愧奪得勒索之王。
所以我們斗膽用頂級這個詞。
臭名昭著的頂級Conti勒索團隊似乎最近已經改變了其商業(yè)計劃。
Conti惡意組織針對拒絕協(xié)商支付贖金的組織將其公開到暗網受害者羞辱博客中,從受害者那里竊取的機密文件可能會被發(fā)布或出售。但在過去48小時的某個時候,該網絡犯罪集團更新了其羞辱受害者的博客,表明它現(xiàn)在正在出售其已入侵的許多組織的訪問權限。
Conti受害者羞辱博客的截圖
“我們正在尋找一個買家來訪問該組織的網絡并從他們的網絡出售數(shù)據,”在 Conti的羞辱博客上我們看到最近的受害者列表中新增的一篇令人困惑的措辭的消息中寫道。目前尚不清楚是什么促使這些變化,或者Conti希望從此舉中獲得什么。
計算機安全公司Emsisoft首席技術官Fabian Wosar對此表示:“我想知道他們是否即將關閉他們的業(yè)務,并希望在他們這樣做之前出售數(shù)據或訪問正在進行的入侵行為。” “但這樣做有點愚蠢,因為你會提醒目標公司他們有被入侵過。”
這種無法解釋的轉變發(fā)生之際,美國和歐洲的政策制定者正在努力破壞一些頂級勒索軟件團伙。一勒索組織呼吁所有勒索組織聯(lián)合“搞砸美國”。REvil暗網受害者羞辱網站仍處于離線狀態(tài)。
作為回應,Conti團伙的一名代表于10月22日在一個俄語黑客論壇上發(fā)布了一篇長文,譴責對REvil的攻擊是“美國在世界事務中的單邊、域外和強盜搶劫行為”。“是否有一項法律,即使是美國的法律,甚至是50個州中任何一個縣的當?shù)胤桑惯@種不分青紅皂白的進攻行動合法化?” Conti團隊成員進行了謾罵。“攻擊黑客服務器在美國或任何美國司法管轄區(qū)突然合法了嗎?假設有這樣一個令人發(fā)指的法律,允許您在外國入侵服務器。從服務器受到攻擊的國家的角度來看,這有多合法?基礎設施不是在太空中飛行或漂浮在中立水域。這是某人主權的一部分。”
Conti明顯轉型的新方向也可能只不過是另一種將受害公司帶到談判桌前的策略,例如“付錢,否則有人會為你的數(shù)據或長期痛苦買單,如果你不這樣做。”或者可能只是在從俄語翻譯中丟失了一些東西(Conti的博客是用英文發(fā)表的)。但是,通過從部署勒索軟件惡意軟件轉向銷售被盜數(shù)據和網絡訪問,Conti可以將其運營與許多競爭性勒索軟件附屬程序保持一致,這些附屬程序最近專注于勒索公司以換取不發(fā)布或出售被盜數(shù)據的承諾。
然而,正如Digital Shadows在最近的勒索軟件綜述中指出的那樣,許多勒索軟件組織發(fā)現(xiàn)很難管理數(shù)據泄露站點,或在暗網上托管被盜數(shù)據以供下載。畢竟,當通過暗網下載一個受害者的數(shù)據需要數(shù)周時間,泄露敏感數(shù)據作為談判策略的威脅就失去了一些威脅,這也是一種糟糕的用戶體驗。這導致一些勒索軟件團體使用公共文件共享網站公開數(shù)據,這些網站速度更快、更可靠,但矛盾的是可以通過法律途徑迅速刪除。
數(shù)據泄露站點還可以為調查人員提供一種潛在的方式來滲透勒索軟件團伙,美國當局最近報道的對REvil團伙的入侵就證明了這一點。“2021年10月17日,REvil 勒索軟件團伙的一名代表在講俄語的犯罪論壇透露他們的數(shù)據泄露站點已被‘劫持’,”Digital Shadows的Ivan Righi寫道。“REvil 成員解釋說,一個身份不明的人使用開發(fā)人員擁有的相同密鑰訪問了 REvil 網站登錄頁面和博客的隱藏服務。用戶認為勒索軟件團伙的服務器已被入侵,負責入侵的人正在‘尋找’他。”
Mandiant最近的一份報告顯示,被認為對Conti和Ryuk勒索軟件操作負責的組織FIN12在不到3天的時間內就成功地進行了勒索軟件攻擊,而涉及數(shù)據泄露的攻擊則需要超過12天(需要拷貝大量數(shù)據)。從這些數(shù)字來看,或許Conti只是在尋求將更多的數(shù)據泄露業(yè)務外包公司(當然是收費的),以便它可以專注于部署勒索軟件這種耗時較少但同樣有利可圖的活動。
“隨著今年第四季度的臨近,有趣的是,與管理數(shù)據泄漏站點相關的問題是否會阻止新的勒索軟件組織 [不再追求] 考慮使用數(shù)據泄漏站點的方法,或者他們將創(chuàng)建一些創(chuàng)造性的解決方案來解決這些問題, ”Ivan Righi總結道。“Ryuk勒索軟件組織已經證明自己在不需要數(shù)據泄露站點的情況下仍然有效,并且是勒索軟件威脅領域的頂級黑手。反而,Ryuk因不需要數(shù)據泄漏站點和數(shù)據泄露正蓬勃發(fā)展。”
