2024年2月,由英国国家犯罪局和美国联邦调查局领导的国际执法机构联盟克罗诺斯(Cronos)行动占领了臭名昭著的洛克比特·兰西米软件帮派的攻击基础设施,认为世界上了世界上的“ s‘ s‘ s‘最有害的网站;在Infosec社区中,一阵宽慰的叹气,许多人认为这标志着正在进行的噩梦的终结。但是,现实被证明是不同的:不到一周后,勒索软件即服务运营商带着一个新的泄漏站点回到网上,列出了五个受害者和倒数计时器,以获取被盗信息的出版物。
这种复兴不是非典型的。这些威胁小组越来越多地部署了高级攻击基础架构和全面的备份,使他们能够返回运营。我将设置三个最近的例子,这些例子证明了这些小组对执法干预的韧性。
网络情报校长,Netskope。
Lockbit的弹性
具有讽刺意味的是,为了接管Lockbit网站,执法机构利用了CVE-2023-3824,这是一种影响PHP&NDASH的漏洞;它反映了Lockbit组使用的主要攻击向量之一,特别是对漏洞的开发。根据威胁行为者的“个人过失和不负责任”。导致延迟应用补丁并使收购成为可能。然而,Lockbit的立即复出是通过备份的可用性来促进的。对于任何组织来说,都是必不可少的最佳实践。拆分后,Lockbit确认了违规行为,但也声称他们只丢失了运行PHP的服务器,而他们没有PHP的备份系统仍然完好无损。
你可能喜欢
使用多层安全赢得勒索软件的战争
为什么要支付赎金不是答案
为什么有效的网络安全是团队的努力
在短暂撤离之前,洛克比特是金融部门的主要威胁之一。毫不奇怪,即使在收购后,通过Lockbit勒索软件进行的攻击及其变体仍在整个2024年继续进行。这种持久性部分是由于威胁格局中的另一种并发症:恶意软件构建器的源代码已经被愤怒的开发商在线泄漏,这些愤怒的开发人员在网上泄漏了多种变体,这些变体继续困扰着全球范围内的业务,这在不断的脆弱性中所推动。
备份的存在表明,攻击者建立了具有应急计划的弹性基础设施,预计被接管的可能性。网络犯罪是一项企业,因此威胁行为者采取了每个企业都应遵循的最佳实践,建立强大的基础设施以确保防止停电或破坏性事件(例如执法人员撤离)。这是一个重要的警钟,提醒我们,即使执法机构拆除犯罪基础设施,该行动也可能不会永远消失。
黑猫出口
恶意基础设施的复原力的第二次演示是一个类似的事件,涉及不同的勒索软件操作。2023年12月,由美国联邦调查局(FBI)领导的执法机构 - 涉及英国,丹麦,德国,西班牙和澳大利亚的机构 - 占领了BlackCat/Alphv基础设施。但是,两个月后,勒索软件集团意外重新浮出水面,声称对金融和医疗保健部门的几次备受瞩目的攻击负责。
这次卷土重来的一个有趣的转折涉及对变更医疗保健的攻击,该攻击以受害者组织支付了2200万美元的比特币赎金。付款后两天,指控浮出水面操作使其他分支机构从赏金的一部分中欺骗了其他分支机构,在付款后四天(指控后两天),联邦调查局和其他执法机构似乎再次接管了泄漏现场。
你是专业人士吗?订阅我们的新闻通讯
注册techradar Pro新闻通讯,以获取您的业务成功所需的所有首选,意见,功能和指导!取得成功!请与我联系我们的其他未来品牌的新闻,并代表我们值得信赖的合作伙伴或Sponsorsby提交您的信息,您同意您同意的条款和隐私政策,并年龄在16岁或超过16岁之间。
然而,执法机构否认参与第二次关闭和这一方面的任何参与,再加上,第二个明显关闭后出现在泄漏站点上的页面看起来像是2023年12月收购的原始副本,这使专家们猜测,专家们推测威胁的行为者可能在销售中遇到了巨大的竞争,并在销售中销售了2200万美元,这是庞然大物的销售。勒索软件即服务源代码,价格为500万美元;骑士3.0勒索软件最近采用的一种常见做法。这些证据表明,变体的出现将远远超出原始操作的关闭之外。
这个故事似乎已经结束的方式表明,不仅有组织的犯罪行动具有韧性,而且经常能够在执法机构的撤离工作中生存下来,而且威胁行为者可能决定自愿离开现场。他们可能是因为他们认为自己实现了有利可图的目标,或者是因为他们认为市场条件不再有利。就BlackCat/Alphv而言,据信,比特币价格的波动,甚至可能将重点转移到其他目标,例如乌克兰(鉴于威胁行为者都是俄罗斯血统)可能会影响他们关闭行动的决定。
躲避执法部门
执法试图关闭后,恶意操作的复出不仅限于勒索软件操作。第三个非凡的例子是通过FBI及其合作伙伴在2023年通过鸭子狩猎行动而臭名昭著的Qakbot僵尸网络的短暂脱落。Qakbot是威胁性参与者的最灵活的武器,因为其模块化性质是最灵活的武器之一,它允许其分发多个恶意的有效负载,包括各种损失的有效负载,并造成了数百人的施加量。可以预见的是,这一明显的胜利是短暂的。执法行动仅两个月后,威胁行为者迅速改造了其恶意基础设施以分发额外的有效载荷。
发现了更多的Qakbot广告系列,其中包含具有恶意软件改进的新变体。这些活动包括在2023年10月通过恶意的PDF文件分发独眼巨组和REMCOS远程访问工具,该文件是根据伪造的IRS通讯的幌子,以及2024年1月的伪造窗口安装程序。基础设施。
保持警惕
网络犯罪现在是大型企业,攻击者拥有庞大的资源来建立越来越普遍和韧性的威胁。为了打击这些复杂的攻击,组织必须采用连续,普遍和弹性的全面安全策略。这涉及实施多层防御,持续监控,实时威胁检测和定期安全评估。
此外,遵循这些弹性威胁参与者的榜样和知识是明智的,培养了网络安全意识文化,保持最新的系统,并具有强大的事件响应和灾难恢复计划。消除所有网络安全盲点至关重要,因为即使是轻微的漏洞也会导致重大违规。组织必须准备防御所有类型的威胁和攻击群体。
我们采用最好的云防病毒软件。
本文是Techradarpro的专家见解频道的一部分,在该频道中,我们以当今技术行业的最佳和最聪明的头脑为特色。这里表达的观点是作者的观点,不一定是Techradarpro或Future Plc的观点。如果您有兴趣在此处了解更多信息:https://www.techradar.com/news/submit-your-story-story-totor-to-to-techradar-pro
