一項新的研究顯示，5 月份針對全球組織的勒索軟件攻擊數(shù)量激增近25%，是今年迄今為止記錄的最高數(shù)量，而這一增長的部分原因是出現(xiàn)了一個名為 8BASE 的新團伙。

全球最大的網(wǎng)絡(luò)安全咨詢公司之一 NCC 集團發(fā)布的新網(wǎng)絡(luò)威脅情報研究報告證明，2023年5月是勒索軟件攻擊的典型月份。

與上個月的勒索軟件統(tǒng)計數(shù)據(jù)相比，5 月份的激增表明報告的攻擊數(shù)量增加了56%。

激增的部分原因可歸因于該地區(qū)的一個新勒索軟件：一個自稱為 8BASE 的組織。該團伙上個月公布的受害者數(shù)據(jù)，占 5 月份所有受害者的 15% 以上。

8BASE泄漏現(xiàn)場

該報告發(fā)現(xiàn)，第二個勒索軟件組織 Akira 也于今年 5 月在黑客領(lǐng)域掀起了軒然大波，但其在線影響力似乎比其他組織更為有限。

研究發(fā)現(xiàn)，該團伙在 5 月份實施了 28 起襲擊，創(chuàng)歷史新高，與 4 月份僅有 6 起受害者相比增加了 250%。Akira在三月份才首次被發(fā)現(xiàn)。

Hull 表示，“8BASE 和 Akira 等新勒索軟件組織的出現(xiàn)引起了同樣的擔(dān)憂并值得關(guān)注”。盡管臭名昭著的 Lockbit 團伙仍被認為是目前最活躍的威脅行為者。

報告稱，Lockbit 3.0 取代了 8BASE，占 5 月份攻擊的 18%(78 名受害者)，盡管攻擊數(shù)量較 4 月份(107 名受害者)下降了 27%，但到 2023 年，Lockbit 3.0 仍然是最活躍的威脅發(fā)起者。

研究團隊還注意到 5 月份活躍的其他幾個新勒索軟件組織;BlackSuit、MalasLocker 和 RAGroup。

高調(diào)目標成為常態(tài)

除了這項研究之外，赫爾還表示，今年針對知名組織的攻擊數(shù)量也呈趨勢。

他表示，這些攻擊“主要由俄語威脅參與者 Cl0p 領(lǐng)導(dǎo)”，指的是本月Cl0p對 Moveit 文件傳輸系統(tǒng)的利用以及 3 月份對 Fortra Go Anywhere 文件管理系統(tǒng)的零日攻擊。

Go Anywhere 攻擊已造成約 130 名受害者，而 MOVEIt 第三方軟件目前已被全球數(shù)千個國家使用。

安全內(nèi)部人士估計，MOVEit 漏洞的受害者人數(shù)(包括殼牌、英國航空公司、安永、NortonLife Lock 和Telos等大公司)將輕松超過 200 人，因為該團伙每天都會公布更多受害者姓名。

GoAnywhere 的受害者包括日立、寶潔 (P&G)、Rubrik、殼牌和維珍。

赫爾說：“MOVEit 漏洞引起了公眾對不斷變化的威脅形勢的更多關(guān)注，這有助于人們?nèi)找媪私饫账鬈浖录赡茉斐傻膰乐匦院陀绊?，以及為什么組織必須積極主動地進行網(wǎng)絡(luò)防御?！?/span>

我們對 8BASE 的了解

根據(jù)這份情報報告，8BASE 遭受大量攻擊的原因之一是該組織上個月發(fā)布的大部分數(shù)據(jù)都包含可追溯至 2022 年 4 月的攻擊。

作為典型的黑暗泄密網(wǎng)站，該組織有一個專門針對受害者及其下載的頁面，一套談判規(guī)則，并且只接受比特幣贖金。

與大多數(shù)其他團伙一樣，8BASE 也聲稱他們是“誠實而簡單的滲透測試者”，希望為了更大的利益而賺錢。

該組織在“About us”寫到，“我們是誠實而簡單的滲透測試人員，為公司提供最忠誠的數(shù)據(jù)返還條件?！?/span>

與此同時，8BASE 的 Telegram 頻道講述了一個完全不同的故事。

該團伙于 5 月 15 日才創(chuàng)建了該帳戶，顯示了數(shù)十個帖子，其中充滿了可下載的文件，其中包含大量可識別的公司記錄、員工 ID、駕照和護照，這些文件來自南美洲、巴拿馬、澳大利亞和美國的公司。

除了至少六家律師事務(wù)所和法律實體外，所謂的 8BASE 受害者還包括來自技術(shù)、農(nóng)業(yè)、運輸和金融領(lǐng)域的人士。

8BASE、電報

6月19日，8BASE 泄密網(wǎng)站上發(fā)布的最新受害者是 Port Blue Hotel Group，這是一家位于西班牙海岸的高級連鎖酒店。

8BASE 聲稱：“超過 300 行護照和其他個人數(shù)據(jù)被下載?！辈⑾蚓频昙瘓F提出了 6 月 26 日的最后期限，要求其支付未公開的贖金，否則其數(shù)據(jù)將被公布。

根據(jù) NCC 情報報告，8BASE 通常對受害者使用“雙重勒索”。在雙重勒索攻擊中，黑客將突破他們的目標并竊取他們可以訪問的敏感信息，所有這些都是在加密公司的數(shù)據(jù)文件或網(wǎng)絡(luò)服務(wù)器之前進行的。

然后，黑客要求賠償，不僅要向受害者移交解密密鑰，還要刪除在違規(guī)行為中被盜的數(shù)據(jù)。

這種方法很可能是隨著組織開始主動創(chuàng)建和存儲其網(wǎng)絡(luò)系統(tǒng)的備份而演變的，這使得大多數(shù)公司無需解密密鑰即可恢復(fù)其數(shù)據(jù)。即使公司要求并協(xié)商解密密鑰，一旦恢復(fù)，它也可能會發(fā)現(xiàn)數(shù)據(jù)受到不可挽回的損壞。

此外，黑客可以輕松復(fù)制被盜數(shù)據(jù)以供將來使用，盡管支付了贖金，但黑客仍可能決定發(fā)布或出售這些數(shù)據(jù)。

地點符合行業(yè)領(lǐng)域

研究中突出的其他趨勢包括團體如何根據(jù)地理位置、行業(yè)部門和數(shù)據(jù)類型來定位受害者。

毫不奇怪，北美成為五月份全球最受攻擊的地區(qū)，占所有受害者的一半以上。

大約 24% 的攻擊發(fā)生在歐洲，其次是 8% 發(fā)生在南美洲，而南部大陸的攻擊數(shù)量仍然增加了 89% ，這也是8BASE 在該地區(qū)的 15 名受害者造成的。

工業(yè)部門是首要目標，占比30%。其次是技術(shù)部門，占比15%，比上個月增長了三倍。其余受影響的行業(yè)為房地產(chǎn)、娛樂和零售等消費周期性行業(yè)。

網(wǎng)絡(luò)犯罪分子最常追蹤的數(shù)據(jù)類型是個人身份信息和知識產(chǎn)權(quán)。

來源：E安全