发生了什么
一个此前以不同名称示人的勒索软件集团,以令人担忧的行动敏捷性,启动了其品牌重塑计划,并立即产生了影响。在其以新身份公开运营的头七天内,该集团建立了一个专门的暗网泄露网站。该平台迅速展示了三家不同的财富500强组织,并展示了外泄数据作为入侵证据。
最初的数据倾倒,特别是针对一家主要快餐连锁店、一家领先的汽车供应商和一家全球物流公司,主要包括敏感合同文件。这包括供应商协议、包含相关条款的客户列表以及内部财务预测。迅速的公开曝光凸显了该集团在渗透和数据外泄方面的信心和能力。
这种由重塑品牌实体执行的快速连续的高调泄露事件,标志着战略转变。它表明了蓄意摆脱历史包袱、可能规避执法部门审查,并在网络犯罪生态系统中重建市场存在的尝试。立即针对多个大型企业表明存在预先访问或高效的初始访问代理(IAB)网络。
为什么这种模式屡次重演
此类勒索软件操作的持续成功源于多种因素,主要是持续利用常见的安全弱点和威胁行为者的适应性。组织通常在全面的资产可见性、补丁管理纪律以及强大的身份和访问控制方面面临困难。这些基本差距为初始入侵提供了肥沃的土壤。
威胁行为者,包括那些重塑品牌的团伙,擅长利用已知漏洞和错误配置。他们不断完善其TTPs(策略、技术和程序),超越简单的加密,采用双重勒索,这大大增加了受害者的压力。巨大的经济利益持续推动着对新工具和攻击方法。的投资。
品牌重塑现象本身就是一种战术操作。它允许团伙摆脱先前的制裁、公开归属或受损的基础设施。一个全新的身份为犯罪地下世界的招募、谈判和公共关系提供了新的开始,通常伴随着更新的恶意软件变种或增强的操作安全实践。
攻击者的逐步攻击手册
初始访问
该团伙可能通过多种方法获得初始访问权限。网络钓鱼活动,通常是高度针对性的鱼叉式网络钓鱼,仍然是主要途径,用于传播恶意软件或凭证收集链接。利用未打补丁的面向公众的应用程序,特别是那些具有已知CVE(如流行VPN解决方案或Web服务器,例如Fortinet、Apache Struts)的应用程序,是另一个常见的入口点。使用从IAB购买的受损RDP凭证,也促进了快速进入。
立足点和发现
一旦进入,攻击者会通过计划任务、修改的启动项或TeamViewer或AnyDesk等合法远程访问工具建立持久性。然后,他们进行广泛的内部侦察,绘制网络拓扑图,识别关键资产,并定位敏感数据存储。BloodHound或AdFind等工具经常用于Active Directory枚举。
横向移动和权限提升
利用发现的凭证、错误配置或未打补丁的系统,攻击者在网络中横向移动。技术包括Pass-the-Hash、Pass-the-Ticket以及利用Windows服务。权限提升是关键一步,通常通过Kerberoasting或利用Windows操作系统组件中的漏洞来针对域管理员账户。
数据窃取
在部署勒索软件之前,该团伙专注于数据窃取。他们识别高价值知识产权、财务记录、人力资源数据和客户信息。数据通常在内部服务器上进行暂存、压缩,然后通过加密通道外泄到云存储或攻击者控制的基础设施,通常通过常用端口或合法网络服务绕过传统的出口过滤。
加密和勒索
最后,勒索软件有效载荷部署到关键系统,加密文件并使其无法访问。同时,泄露网站会更新外泄证据和公开的泄露声明。双重勒索机制——威胁公布数据和加密——最大限度地迫使受害者支付赎金。
防御者错过了什么
在这些具体事件中,一些常见的防御缺陷显得尤为明显。快速的初始入侵表明基本安全卫生方面的失败,例如及时修补面向互联网的系统或对复杂网络钓鱼攻击的强大保护。即使有现代EDR解决方案,缺乏主动的威胁搜寻或错误配置的检测规则也可能让攻击者长时间 undetected 操作。
“品牌重塑只是表面文章。核心漏洞依然存在,而我们的对手是利用人类和技术盲点的行家。”
能够窃取大量合同数据意味着缺乏有效的数据丢失防护(DLP)控制,或者未能充分监控异常的出站网络流量。此外,泄露网站在组织不知情的情况下上线,这表明外部威胁情报监控方面存在差距,特别是在暗网活动和泄露网站跟踪方面。
许多组织在遗留系统或复杂网络段方面仍然秉持“没坏就别修”的心态。这会造成盲点和未受管理的攻击面,威胁行为者会巧妙地识别和利用这些盲点和攻击面,通常绕过为更现代基础设施设计的防御措施。大量数据的窃取表明可能存在长时间的驻留时间,暗示在侦察和横向移动阶段检测失败。
实用的防御清单
- 优先进行补丁管理: 为所有面向互联网的应用程序、操作系统和网络设备实施积极的补丁计划。立即关注关键和高严重性CVE。
- 增强身份和访问管理: 对所有远程访问、管理账户和关键业务应用程序强制执行多因素身份验证(MFA)。严格实施最小权限原则。
- 强化端点检测和响应(EDR): 确保EDR解决方案全面部署、配置以实现最大可见性,并积极监控。将EDR警报与中央SIEM集成,以进行关联和快速响应。
- 网络分段并实施零信任: 通过微隔离隔离关键资产和敏感数据存储。采用零信任架构,在授予访问权限之前验证每个用户和设备,无论其位置如何。
- 实施强大的数据丢失防护(DLP): 部署DLP解决方案以监控和防止敏感数据的未经授权外泄。配置警报以检测异常数据传输到外部目的地。
- 定期进行渗透测试和红队演练: 聘请第三方进行高级持续威胁的真实模拟。侧重于识别通往关键数据的可利用路径,而不仅仅是表面漏洞。
- 投资外部威胁情报: 持续监控暗网论坛、泄露网站和勒索软件团伙活动,以查找提及您组织、其子公司或关键人员的信息。这种主动情报可以提供即将发生的攻击或数据外泄的早期预警。
现代攻击性测试如何能发现这一点
现代攻击性安全测试,特别是持续的紫队演练和高级红队参与,提供了关键优势。这些方法不再仅仅依赖于周期性漏洞扫描,而是模拟整个杀伤链中的真实攻击者TTPs。这包括尝试通过复杂的网络钓鱼进行初始访问、利用零日或N日漏洞、使用被盗凭证进行横向移动以及尝试数据外泄。
此类测试将系统地识别导致初始入侵的具体向量和错误配置,检测横向移动路径,并确认数据外泄通道。一个强大的计划还将包括持续监控外部攻击面、暗网中提及关键组织资产的讨论以及已知威胁团伙不断演变的TTPs。这提供了情报,使防御者能够主动加强其对最相关和当前威胁的态势。
接下来要关注什么
勒索软件团伙更名并立即恢复激进行动的趋势可能会继续下去。首席信息安全官应预期更多地关注供应链攻击,利用受信任的供应商关系来获取对更大目标的初始访问权限。我们还将看到数据外泄技术的进一步改进,可能会利用更具规避性的通道和合法的云服务来绕过传统防御措施。
预计会出现更复杂的社会工程活动,针对高度特权个人,利用AI生成的内容增强真实感。此外,勒索软件与其他网络犯罪活动(如加密劫持或国家资助的间谍活动)的融合可能会混淆归属并使事件响应复杂化。主动的、情报驱动的防御,侧重于弹性和快速恢复,对于减轻这些不断演变的威胁至关重要。