勒索软件攻击者与网络犯罪组织合作，攻击知名目标

随着针对关键基础设施的勒索软件攻击激增，新的研究表明，此类破坏背后的威胁因素正日益从使用电子邮件作为入侵途径，转向从已经渗透到主要目标的网络犯罪企业购买访问权限。

Proofpoint的研究人员在与《黑客新闻》分享的一篇文章中说：“勒索软件运营商通常从渗透到主要目标的独立网络犯罪集团那里购买访问权限，然后将访问权限出售给勒索软件参与者，以获取一部分不义之财。”。

“已经在分发银行恶意软件或其他特洛伊木马的网络犯罪威胁组织也可能成为勒索软件附属网络的一部分。”

这家电子邮件和云安全公司表示，除了从非法利润中分得一杯羹外，它目前正在跟踪至少10个不同的威胁参与者，他们扮演着“初始访问促进者”的角色，为分支机构和其他网络犯罪集团提供一个部署数据盗窃和加密操作的入口。

初始访问经纪人已知通过第一阶段恶意软件有效载荷（如PIT、DeDex、QBOT、IcedID、BaZaLaDad或Buer Loader）来渗透网络，其中大多数活动在2021上半年利用银行木马作为勒索软件加载器检测。

经纪人—；通过追踪黑客论坛上广告的后门访问来识别—；包括TA800、TA577、TA569、TA551（Shathak）、TA570、TA547、TA544（竹蜘蛛）、TA571、TA574和TA575，并观察到各种威胁因素、恶意软件和勒索软件部署之间的重叠。

例如，TA577和TA551都被发现使用IcedID作为初始访问有效载荷来交付Egregor、Maze和REvil勒索软件，而TA800则使用BazaLoader在目标系统上部署Ryuk。

在一个假设的攻击链中，威胁参与者可能会发送一封带有恶意软件感染的Office文档的电子邮件，打开该文档时，会丢弃第一阶段的有效负载，以保持持久的后门访问。然后，这种访问权可以卖给第二个威胁参与者，后者利用它部署一个钴打击信标，在更广泛的网络中横向旋转，并部署勒索软件。

尽管如此，依靠电子邮件直接以恶意附件或嵌入超链接的形式分发勒索软件的攻击仍然是一种威胁，尽管数量较低。Proofpoint指出，在过去一年中，它发现了54个勒索软件活动，传播了略多于100万条信息。

研究人员总结道：“短暂的停留时间、高额的报酬以及跨网络犯罪生态系统的合作，导致了一场完美的网络犯罪风暴，世界各国政府都在认真对待这场风暴。”。“有可能随着针对威胁的新破坏性努力以及供应链网络防御投资的增加，勒索软件攻击的频率和效率将降低。”