根据Secureworks的一项新研究,数据盗取日志市场正迅速发展,信息盗取恶意软件成为网络犯罪分子渗透企业的“自然选择”。这种恶意软件能够从受感染的电脑和网络中窃取登录凭证、财务细节和个人信息,而Secureworks的Counter Threat Unit公布的报告称,这些工具变得愈发复杂且难以检测,给企业网络的防御者带来了日益严峻的挑战。
威胁团伙将被窃取的数据打包出售为日志,这些日志可以通过远程访问服务如虚拟私人网络VPN和Microsoft Office Web AccessOWA用于突破企业网络。Secureworks的研究发现,自2021年6月以来,俄罗斯市场该市场是出售信息盗取日志的最大暗网市场出售的日志数量上涨了670。从2022年6月的200万条日志到2023年2月底的500万条日志,增长幅度达150。
“执法部门的全球协调行动虽然产生了一些影响,但网络犯罪分子能够迅速调整其市场路径,”Secureworks的威胁研究副总裁唐史密斯Don Smith表示。
尽管上个月成功逮捕了多名嫌疑人,且与Genesis Market相关的11个域名被关闭,但该Tor网站依然在运营中,日志仍可出售。然而,活动有所放缓,地下论坛中的犯罪分子也开始讨论对市场使用的担忧。
白鲸加速器安装包Secureworks发现,Telegram在这一背景下受益匪浅,许多RedLine、Anubis、SpiderMan和Oski Stealer等热门信息盗取工具的买卖转移到了专用的Telegram频道。
这种恶意软件的使用成本越来越低,使用门槛也逐渐降低,令相对没经验的网络犯罪分子也能轻松上手。此外,由于远程办公和个人设备自带BYOD政策的普及,企业资产被个人设备感染的机会大幅增加。许多地下论坛将这款工具作为每月订阅套餐的一部分进行销售,价格在每月50至1000美元之间不等。
史密斯指出,“信息盗取恶意软件为了快速获得企业访问权限并实现变现,成为网络犯罪分子的自然选择。它们随时可供购买,并且在短短60秒内便可生成窃取的凭证和其他敏感信息。”
他表示,犯罪分子创造性地通过假冒的消息应用和克隆网站等方式诱使用户安装恶意软件,“这确实改变了游戏规则”。
Secureworks指出,恶意软件即服务的日益流行刺激了开发者不断创新以改进自己的产品,并吸引更广泛的客户群。例如,俄罗斯市场开始向用户提供预购特定组织、企业或应用的被盗凭证的选项。虽然不能保证预购会得到满足,但那些在网站的托管系统中存入1000美元的买家可以根据指定的域名申请凭证。
Secureworks的报告称,信息盗取恶意软件的使用已然如此普遍,以至于为能够将原始日志数据解析为通用或可用格式的人群创造了一个新兴的二级市场,收费服务层出不穷。
史密斯表示:“我们看到的是围绕信息盗取恶意软件建立起的整个地下经济和支持基础设施,这使得相对低技能的威胁参与者能够轻松介入并且有利可图。”
这些工具因其能够高效、隐秘地从目标系统中提取敏感数据,受到国家资助的威胁团体的青睐,这些团体专注于网络间谍活动。在乌克兰战争期间,俄罗斯威胁行为者已使用[Graphiron](https//wwwscworld
