最后更新于2024年9月7日(星期六)01:19:16 GMT

出售和购买未经授权访问受感染企业网络的权限已成为网络犯罪活动的关键, 特别是在促进 ransomware攻击. 地下论坛正在分享破解网络的指导方针,并出售他们获得的访问权限, 将利用留给其他恶意行为者.

在地下犯罪论坛上, 这些事务允许具有互补技能的参与者进行协作, 放大的影响和范围 网络攻击. 这种准入市场已经显著增长, 尤其是随着勒索软件运营商越来越多地采用双重勒索策略. 在受害者网络中的立足点, 有可以秘密行动的凭据, 从来没有比这更赚钱、更受欢迎的商业模式了吗.

所有部门和地区的组织都容易受到攻击,成为攻击目标. 在2019冠状病毒病大流行期间,集体转向远程工作扩大了 攻击表面,因为更多的远程访问工具至今仍在使用. 在我们的 2024年攻击情报报告, 我们注意到,Rapid7在2023年跟踪的所有广泛威胁事件中,有36%涉及利用网络边缘设备漏洞. 这一趋势一直持续到2024年.

在这个博客中, 我们深入研究了勒索软件参与者和附属机构经常光顾的一个主要论坛, 叫坡道. 作为我们研究的一部分 Rapid7勒索软件雷达报告, 我们分析了从1月1日开始提供企业访问的RAMP帖子, 2024年至6月30日, 2024, 揭示地下市场的4个主要趋势.

论坛:RAMP

2021年7月重新推出/品牌, RAMP(勒索软件和高级恶意软件保护)论坛是一个地下网络犯罪中心,最初被称为有效载荷.它的历史可以追溯到2012年,当时它首次在Tor网络上运行. 主要针对的是勒索软件, RAMP是一个迎合俄语的多语言平台, 中国人, 会说英语,拥有14个以上的学生,000名注册会员. Access to RAMP is highly restricted; potential users must have been active members on the XSS 和 Exploit forums for at least two months, 至少发过十次, 并保持良好的声誉, 或者, 支付500美元的匿名登记费.

RAMP既是一个论坛也是一个市场, 提供勒索软件工具包, 恶意软件, 以及被盗数据, 同时也为网络攻击提供全面的指南和教程. 它促进了勒索软件即服务(RaaS)的操作, 允许附属公司部署勒索软件以获得利润分成. 尽管它的注册费很高, 这与高级XSS用户每年120美元的费用形成鲜明对比, RAMP的封闭社区是许多威胁行为者的关键资源. 论坛的设计模仿了丝绸之路式的暗网市场, 包括托管功能, 为了避免执法部门的发现,它主要是秘密运作的. 它的管理者声称年收入约为250美元,000, 得益于其主要的俄罗斯用户群和严格的禁止销售某些非法商品和服务的政策.

销售访问

调查销售公司网络访问权的趋势和背景, 我们分析了从2024年1月到6月RAMP论坛上的所有帖子. 其中一些帖子也是在其他地下论坛上交叉发布的. 在大多数情况下,都提到了最初的访问和/或询问的价格. 如果这些数据是不可用的,我们将其分类为“未知”在我们的数据集中进行分析.

我们发现了哪些趋势呢?

趋势1:国家分布

美国的条目数量最多,这些条目引用了攻击者拥有证书或访问权限的公司所在国家, 其次是法国和巴西. 总部设在西方国家的公司要求更高的价格,因为它们被认为富有,而且更容易获得支付资源, 因此,到目前为止,我们在2024年所看到的(根据下面的图表)是预期的. 唯一的例外是巴西, 可能是由于其巴西子公司的目标是大型巴西企业.

趋势2:收益分配

决定网络接入要价的变量之一是目标的收入. 经常, 像ZoomInfo这样的网站被用来查询年收入, 然后在帖子中提到了什么, 如下面的例子所示.

如下图所示, 我们在RAMP数据集中观察到广泛的收入值, 其中一些条目指定了确切的金额,而其他条目使用了范围. 相当多的条目包括数百万美元的收入, 特别是在500万美元左右.

事实上, 收入在500万美元范围内的公司出现的频率是收入在3000万至5000万美元范围内的公司的两倍,是收入在1亿美元范围内的公司的5倍. 这可能表明,这些公司足够大,可以保存有价值的数据,但可能不像大公司那样受到很好的保护. 不管, 这一发现表明,收入在500万美元以上的公司是很有吸引力的目标,这代表了一个有趣的转变,即访问代理不再只针对“大鱼”.”

趋势3:访问类型分布

是如何 威胁的演员 进入? 我们的分析表明,远程桌面协议(RDP)是最常见的访问类型, 其次是VPN. VPN提供了更大的不被发现的可能性. 这与访问级别(用户或特权用户)相结合,需要更高的价格.

RDP通常用于远程工作和系统管理, 如果保护不当,它可能是一个重大漏洞. RDP的流行强调了确保远程接入点安全的重要性.

正如我们的2024年攻击情报报告所述, Rapid7 耐多药在2023年观察到的事件中,41%是由于缺少或未强制执行的多因素身份验证(MFA)造成的. 公司应该确保强大的安全措施,如MFA和适当的网络分段,以保护RDP端点. 此外,如果我们考虑到VPN和这些技术的综合价值,那么目标的趋势 网络边缘设备 肯定会继续.

趋势4:价格分配

许多RAMP条目列出了未知的价格. 在已知的价格中,像500美元、800美元和1000美元这样的金额很常见. 公司收入, 总部的位置, 访问的类型是威胁行为者制定要价的基础, 根据目标网络的感知价值,哪个范围可以很大. 通常情况下,价格会因为目标的特定属性而飙升.g.、收入、安全状况、可访问数据类型).

结论

我们的分析强调了希望保护自己免受访问代理侵害的公司关注的关键领域. 美国的商业, 法国, 和巴西, 以及那些收入在500万美元左右的公司, 应该特别警惕. 保护远程接入点, 投资于健壮的解决方案, 了解网络接入黑市的定价动态可以帮助公司加强对这种普遍威胁的防御.

By 随时了解这些和其他勒索软件的趋势, 企业可以更好地了解风险,并采取有效措施保护其网络免受未经授权的访问.

如果您的组织需要协助应对勒索软件事件, 快速事件响应 可以帮助.