XiaoMi-AI文件搜索系统
World File Search SystemREvil
2022 年 11 月威胁重点报告 - WithSecure
BlogXX 是一个勒索软件泄露博客,通过 REvil 的“Happy”博客重定向到 BlogXX,该博客与 REvil 勒索软件(一种曾经多产的 RaaS 服务,曾引发过多次备受瞩目的攻击)相关联。BlogXX 不太可能代表 REvil 的简单品牌重塑。攻击者声称他们使用了被盗用的凭证,并可能通过名为“Redshift”的服务(一种亚马逊数据仓库产品)进行连接。攻击者还声称访问了 Medibank 的 confluence 服务器和 Stash(一个源代码存储库)。Medibank 最初错误地表示没有访问过任何数据,这一事实很可能表明组织仍在努力实现其整个资产的全面日志消耗和事件可见性,尤其是在处理破坏性攻击和/或云/第三方基础设施时。
SW供应链安全威胁及应对措施
攻击者入侵软件开发商或供应商的系统,然后将恶意代码注入他们提供的软件中。用户认为他们正在从受信任的来源下载软件,但实际上它是受感染的软件。这使攻击者可以滥用供应商的权限来窃取客户和合作伙伴组织的数据,传播恶意软件并进行攻击,导致勒索软件感染和信息泄露。2021 年,网络犯罪组织 REvil 利用该公司远程监控和管理解决方案中使用的软件漏洞攻击了美国 IT 公司 Kaseya。然后 REvil 使用被盗凭据向数百名用户部署勒索软件
降低勒索软件风险:确定企业的最佳策略
检查汇总数据集中的 68 种勒索软件变体,值得注意的是,其中 62% 都存在 LeakBlog。这意味着,对这些攻击负责的威胁行为者也可能窃取数据,以进一步鼓励付款。49% 的勒索软件变体采用勒索软件即服务 (RaaS) 团体结构,47% 的勒索软件变体采用封闭团体结构,只有 4% 的勒索软件变体采用 Live off the Land 团体 (LOTL-Group) 结构。此外,94% 的勒索软件变体接受定价谈判。按事件频率划分,数据还显示,排名前三的勒索软件变体是 Phobos/Dharma,Sodinokibi/REvil 和 Conti 位列前三。另一项衡量标准是分析每个勒索软件变体的赎金总额,结果显示排名前三的勒索软件变体分别是:DarkSide、Conti 和 Egregor。然而,按每次事件的平均赎金支付额排序,排名再次发生变化,ALPHV(BlackCat)、ViceSociety 和 DarkSide 位列前三。
Conti 泄漏分析 - Forescout
Conti 自 2019 年以来一直活跃,目前是活动最为频繁的勒索软件团伙,尤其是在 2022 年初 REvil 成员被捕之后。Conti 是 2021 年最成功的勒索软件团伙之一,对美国和国际组织发动了 400 多次成功攻击。虽然很难确切知道他们总共收取了多少赎金,但跟踪区块链交易的单一数据源报告了超过 5000 万美元的支出。与大多数现代勒索软件团伙一样,Conti 采用了网络犯罪即服务的方法,其中攻击活动的不同步骤由不同群体的参与者(例如初始访问代理、运营商和谈判者)执行。Conti 勒索软件开发人员将他们的技术出售给关联公司,关联公司反过来攻击受害者并与 Conti 分享支付的赎金。该组织还使用除加密之外的勒索手段,例如泄露被盗数据和公开羞辱受害者。之前关于 Conti 的研究包括:
扭转局势,打击攻击者 - EuRepoC
如今,供应链比以往更长、更复杂、更全球化。随着越来越多的产品、工具和系统通过电子方式相互连接,这些通常不透明且紧密交织的供应链越来越多地受到各种网络攻击。Stuxnet 是早期渗透第三方系统(西门子 SIMATIC WinCC 和 PCS 7 控制系统)的例子,目的是物理破坏由这些系统控制的实际目标(伊朗纳坦兹核设施)。去年,针对 Kaseya 软件的以经济为目的的供应链攻击导致数千家托管服务提供商感染了 REvil 勒索软件。现有的权力结构、规范框架和信息的自由流动在危机时期面临压力,例如新冠疫情、乌克兰战争或物理封锁期间(例如苏伊士运河、上海港)。针对供应链信息基础设施的破坏性攻击不仅会对原始目标及其分支产生严重影响,还会对其他相互依存的部门产生严重影响。在本文中,我认为这种日益增长的相互依存关系并不是供应链攻击目标所特有的现象。相反,网络犯罪生态系统的日益多样化为各国和执法机构提供了多种破坏其服务的选择。