Volgens cybercriminelen is dit het perfecte slachtoffer van ransomware

Onderzoekers hebben onderzocht hoe het perfecte slachtoffer eruitziet voor de hedendaagse ransomware-groepen.

Op maandag publiceerde KELA een rapport over lijsten gemaakt door ransomware-operators in de ondergrond, inclusief toegangsverzoeken – de manier om een ​​eerste voet aan de grond te krijgen in een doelsysteem – waaruit blijkt dat velen een manier willen kopen om Amerikaanse bedrijven te kopen met een minimale omzet van meer dan $ 100 miljoen.

Eerste toegang is nu big business. Ransomware-groepen zoals Blackmatter en Lockbit kunnen een deel van het werk bij een cyberaanval wegnemen door toegang te kopen, inclusief werkreferenties of kennis van een kwetsbaarheid in een bedrijfssysteem.

Als je bedenkt dat een succesvolle ransomware-campagne kan leiden tot betalingen ter waarde van miljoenen dollars, worden deze kosten onbelangrijk – en kunnen cybercriminelen tijd vrijmaken om meer doelen aan te vallen.

De bevindingen van het cyberbeveiligingsbedrijf, gebaseerd op observaties in darkwebforums in juli 2021, suggereren dat bedreigingsactoren grote Amerikaanse bedrijven zoeken, maar ook Canadese, Australische en Europese doelwitten worden overwogen.

Russische doelen worden meestal onmiddellijk afgewezen en andere worden als “ongewenst” beschouwd – inclusief die in ontwikkelingslanden – waarschijnlijk omdat de potentiële uitbetalingen laag zijn.

Ongeveer de helft van de ransomware-exploitanten zal echter aanbiedingen voor toegang tot organisaties in de zorg- en onderwijssector afwijzen, ongeacht het land. In sommige gevallen zijn ook overheidsinstanties en non-profitorganisaties van tafel.

Daarnaast zijn er voorkeursmethoden voor toegang. Remote Desktop Protocol (RDP), Virtual Private Network (VPN)-gebaseerde toegang blijken populair. Met name toegang tot producten die zijn ontwikkeld door bedrijven als Citrix, Palo Alto Networks, VMWare, Cisco en Fortinet.

“Wat het niveau van privileges betreft, gaven sommige aanvallers aan dat ze de voorkeur geven aan domeinbeheerdersrechten, hoewel dit niet kritiek lijkt te zijn”, stelt het rapport.

KELA

KELA vond ook aanbiedingen voor e-commercepanels, onbeveiligde databases en Microsoft Exchange-servers, hoewel deze aantrekkelijker kunnen zijn voor datastelers en criminelen die spyware en cryptocurrency-mijnwerkers proberen te implanteren.

“Al deze soorten toegang zijn ongetwijfeld gevaarlijk en kunnen bedreigingsactoren in staat stellen verschillende kwaadaardige acties uit te voeren, maar ze bieden zelden toegang tot een bedrijfsnetwerk”, merkten de onderzoekers op.

Ongeveer 40% van de vermeldingen is gemaakt door spelers in de Ransomware-as-a-Service (RaaS)-ruimte.

screenshot-2021-09-06-at-10-06-20.png

KELA

Ransomware-operators zijn bereid om gemiddeld tot $ 100.000 te betalen voor waardevolle initiële toegangsdiensten.

In een eerdere studie zag KELA een andere opvallende trend in de ransomware-ruimte: de toenemende vraag naar onderhandelaars. RaaS-operators proberen meer geld te verdienen met het stadium van een aanval wanneer een slachtoffer contact opneemt met ransomware-operators om over een betaling te onderhandelen, maar omdat taalbarrières miscommunicatie kunnen veroorzaken, proberen ransomware-groepen nieuwe teamleden te beveiligen die in staat zijn om conversatie Engels te beheren.

Intel 471 heeft ook ontdekt dat cybercriminelen die betrokken zijn bij Business Email Compromise (BEC)-zwendel proberen moedertaalsprekers van het Engels te werven. Omdat rode vlaggen voor phishing-e-mails slechte grammatica- en spelfouten bevatten, proberen oplichters te voorkomen dat ze bij de eerste hindernis worden ontdekt door Engelssprekenden te betalen om overtuigende teksten te schrijven.

Vorige en gerelateerde dekking


Heb je een tip? Veilig contact opnemen via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0


Posted By : keluaran sidney hari ini