2019年,以Maze為代表的勒索軟件組織掀起了“數(shù)據(jù)加密+數(shù)據(jù)泄漏”的雙重勒索潮流,徹底改變了勒索軟件的運(yùn)營(yíng)方式。如今,隨著數(shù)據(jù)泄漏勒索的贖金超過(guò)數(shù)據(jù)加密,越來(lái)越多的勒索軟件開始通過(guò)數(shù)據(jù)泄漏站點(diǎn)要挾受害者,如果受害者不支付贖金,他們將公開泄漏被盜數(shù)據(jù)。
一個(gè)標(biāo)志性的事件是,近來(lái)風(fēng)頭正勁的勒索軟件組織Babuk發(fā)布聲明,宣布將不再加密設(shè)備和數(shù)據(jù),全面轉(zhuǎn)向數(shù)據(jù)泄漏勒索。
此外,各國(guó)政府對(duì)數(shù)據(jù)泄漏的高額罰款也是數(shù)據(jù)泄漏勒索屢屢得手的重要因素,而提供泄漏數(shù)據(jù)交易服務(wù)的暗網(wǎng)數(shù)據(jù)市場(chǎng)也如雨后春筍,應(yīng)運(yùn)而生。暗網(wǎng)數(shù)據(jù)市場(chǎng)的生命周期并不長(zhǎng)久,目前活躍的最“古老”的Dark Leak Market,2019年才開始活躍。2021年,有三個(gè)新興暗網(wǎng)數(shù)據(jù)市場(chǎng)值得關(guān)注,分別是Marketo、File Leaks和Lorenz。
Marketo
上個(gè)月剛剛上線的新暗網(wǎng)數(shù)據(jù)市場(chǎng),其所有者向新聞工作者和安全研究人員廣泛接觸以推廣該網(wǎng)站,號(hào)稱將打造一個(gè)“快速查找、買賣任何公司信息的最佳場(chǎng)所”。
Marketo的運(yùn)營(yíng)者宣稱自己不參與任何黑客攻擊,且拒絕勒索軟件組織(泄漏數(shù)據(jù))。但是據(jù)BleepingComputer報(bào)道,有汽車行業(yè)網(wǎng)絡(luò)安全人士發(fā)現(xiàn)誘人在Marketo上出售一家剛剛遭受勒索軟件攻擊的汽車經(jīng)銷商的數(shù)據(jù)。
Lorenz
Lorenz也是上個(gè)月剛啟動(dòng)的暗網(wǎng)數(shù)據(jù)市場(chǎng),目前“上架”了11位受害組織的數(shù)據(jù)。目前尚未有信息表明這些受害組織任何與勒索軟件攻擊或最近的黑客攻擊有關(guān)。
據(jù)KELA分析,Lorenz的脫穎而出,不僅因?yàn)槌鍪郾槐I數(shù)據(jù),而且似乎還出售受害組織的內(nèi)部網(wǎng)絡(luò)訪問(wèn)權(quán)限。這些出售的網(wǎng)絡(luò)訪問(wèn)權(quán)限可能來(lái)自Lorenz運(yùn)營(yíng)者自己的黑客操作。
File Leaks
File Leaks也是2021年4月剛剛啟動(dòng),一次性銷售受害組織所有被盜的數(shù)據(jù),同時(shí)會(huì)告訴受害者與他們聯(lián)系以支付刪除費(fèi)用。File Leaks目前規(guī)模較小,“上架”的兩名受害組織分別來(lái)自意大利和印度。
支付贖金于事無(wú)補(bǔ)
隨著數(shù)據(jù)泄露的收益增加,通過(guò)支付贖金避免數(shù)據(jù)泄漏的成功率不斷下降。根據(jù)Sophos最新發(fā)布的2021勒索軟件報(bào)告,只有8%的組織在支付贖金后成功拿回所有數(shù)據(jù)。
而根據(jù)勒索軟件談判公司Coveware的分析,網(wǎng)絡(luò)犯罪分子在受害者支付贖金后越來(lái)越無(wú)法兌現(xiàn)其諾言。
在某些情況下,付款的受害者被犯罪分子用相同的數(shù)據(jù)再次勒索,或者,數(shù)據(jù)最終還是發(fā)生了泄漏。
此外,正如以上新興“暗網(wǎng)泄漏數(shù)據(jù)市場(chǎng)”所示,一旦數(shù)據(jù)發(fā)生泄漏,就無(wú)法遏制,因?yàn)檫@些數(shù)據(jù)會(huì)在犯罪分子經(jīng)常光顧的不同黑客論壇和站點(diǎn)之間傳播。
考慮到這一點(diǎn),Coveware告誡受害者,如果他們決定付款給勒索軟件團(tuán)伙以防泄露數(shù)據(jù),需要對(duì)以下情況做好以下心理準(zhǔn)備:
數(shù)據(jù)不會(huì)被可靠地刪除。受害者應(yīng)假定它將被交易給其他犯罪分子,被出售或被扣押以進(jìn)行第二次/未來(lái)的敲詐勒索;
被竊取的數(shù)據(jù)由多方保管,且不安全。即使威脅行為者在付款后刪除了大量數(shù)據(jù),其他有權(quán)訪問(wèn)該數(shù)據(jù)的參與者也可能已經(jīng)制作了副本,以便將來(lái)可以勒索受害者;
在受害者對(duì)勒索做出回應(yīng)之前,數(shù)據(jù)可能已經(jīng)被無(wú)心或故意發(fā)布。
總之,企業(yè)應(yīng)當(dāng)將遭受攻擊視同為數(shù)據(jù)泄露,并以適當(dāng)?shù)姆绞郊皶r(shí)向所有客戶、員工和業(yè)務(wù)合作伙伴披露該泄露事件,以防止失竊數(shù)據(jù)傷害到第三方。