ESET研究揭示：勒索软件攻击者像企业一样运作

Ransomware Attackers Operate Like Businesses, ESET Research Reveals

执行摘要

根据ESET研究人员对100多起事件的分析，勒索软件团队像有组织的企业运营一样运作，具有专门的角色、绩效指标和复杂的供应链，而不仅仅是技术攻击者。这些发现基于事件响应数据和威胁情报，揭示了勒索信背后的组织复杂性往往比恶意软件本身给防御者带来更大的挑战。这种类似商业的方法使威胁行为者能够扩大运营规模，管理风险，并持续向受害者施压以获取付款。

技术分析

ESET在WeLiveSecurity上发表的研究，并没有专注于特定的恶意软件变种或技术漏洞。相反，它解构了支持勒索软件攻击的运营框架。分析确定，这些犯罪企业被组织成不同的、专门的团队。这些包括出售网络立足点的初始访问经纪人，执行内部侦察和横向移动的渗透测试人员，以及专门的数据泄露和加密团队。这种劳动分工反映了合法的企业IT和安全部门，为攻击者创造了效率和运营安全。

入侵指标

在源材料中未识别出任何入侵指标。

战术、技术与程序

研究概述了这些以业务为导向的团队采用的标准TTP生命周期。过程始于建立立足点，通常是通过购买访问权限或网络钓鱼。在最初的妥协之后，攻击者进行广泛的内部侦察，以绘制网络图，识别关键资产，并定位备份系统。然后在部署勒索软件之前系统地执行数据泄露。一个关键的TTP是职责分离；泄露数据的个人通常与部署锁定器的个人不同，两者都与与受害者沟通的谈判者分开。这种分隔阻碍了归属，并增加了对抗执法中断的弹性。

威胁行为者背景

分析表明，勒索软件生态系统已经成熟为基于服务的经济体，拥有自己的供应链。初始访问通常是从第三方经纪人那里获得的，而不是核心勒索软件团队。其他专业服务包括防弹托管、加密货币洗钱和谈判支持。这种模式降低了新勒索软件变种的进入门槛，并允许已建立的团队特许经营他们的恶意软件，如LockBit和BlackCat所见。主要动机仍然是财务，运营调整以最大化利润，同时管理基础设施被拆除和执法行动的风险。

缓解措施与建议

ESET的建议侧重于对抗商业模式，而不仅仅是技术攻击。建议组织实施强大的离线、不可变的备份，并定期测试恢复程序，以破坏基于核心加密的勒索。为了打击数据泄露勒索，数据丢失预防（DLP）控制和严格的访问管理至关重要，以限制可以泄露的内容。增强整个攻击生命周期的检测——特别是对于横向移动和大量数据传输——可以破坏攻击者的操作时间线。最后，拥有预先审查的事件响应计划和保留权可以减少昂贵的延误，并在发生攻击时改善谈判姿态。