黑客利用发展中国家实施勒索软件

盖蒂图片社

网络攻击者正在非洲、亚洲和南美洲的企业中试验最新的勒索软件，然后再针对拥有更复杂安全方法的富裕国家。

根据网络安全公司 Performanta 周三发布的一份报告，黑客在转向北美和欧洲等更高价值目标之前，已经采取了渗透发展中国家系统的“策略”。

该公司告诉《金融时报》专家服务银行风险与监管：“对手正在利用发展中国家作为平台，在资源更丰富的国家成为目标之前，他们可以在其中测试他们的恶意程序。”

数据显示，最近的勒索软件目标包括塞内加尔的一家银行、智利的一家金融服务公司、哥伦比亚的一家税务公司和阿根廷的一家政府经济机构，这些都是犯罪团伙在发展中国家进行演练的一部分。

国际货币基金组织本月表示，自 COVID-19 大流行之前以来，网络攻击几乎增加了一倍，而发展中国家的快速数字化、良好的互联网网络和“不充分”的保护加剧了这种情况。

国际货币基金组织表示，自 2020 年以来，据报道网络事件给全球企业造成的损失已攀升至近 280 亿美元，数十亿条记录被盗或泄露，并补充说总成本可能“大幅上升”。

网络安全集团 Armis 首席技术官纳迪尔·伊兹雷尔 (Nadir Izrael) 表示，“集结地”策略之所以奏效，是因为这些国家的企业“网络安全意识较低”。

“假设你要攻击银行，”伊斯雷尔说。 “你可以在塞内加尔或巴西这样的国家尝试新的武器化方案，那里有足够多的类似银行，或者与你想要尝试攻击的公司类似的国际分支机构。”

Performanta 报告称，Medusa 是一个网络团伙，通过窃取和加密公司数据来“将文件变成石头”，该团伙于 2023 年开始攻击南非、塞内加尔和汤加的企业。 去年，Medusa 在美国、英国、加拿大、意大利和法国造成了 99 起违规事件。

广告

网络安全公司 Darktrace 威胁研究总监哈纳-玛丽·达利 (Hanah-Marie Darley) 表示，安全团队会收到有关即将发生的攻击的警报，但普通用户只有在被锁定在计算机系统之外时才会意识到。

一个主题行为!!!READ_ME_MEDUSA!!!.txt.的文件将指示用户登录暗网并开始与该团伙的“客户服务”进行赎金谈判。 如果受害者拒绝，网络攻击者就会发布被盗的数据。

网络安全公司监视暗网中的信息，然后在发展中国家建立“蜜罐”（模仿有吸引力目标的虚假网站），以便在早期阶段捕获实验性攻击。

今年，当一群网络攻击者开始讨论一个名为 CVE-2024-29201 的新漏洞时，他们“专门针对一些 [exposed servers] Armis 的 Izrael 表示：“我们正在第三世界国家测试该漏洞的可靠性。”Armis 的分析师正在监控该团伙在暗网上的对话。

11 天后对 Armis 蜜罐的攻击证实了这一怀疑：该团伙只袭击了东南亚，然后在后期更广泛地使用了这些技术。

然而，微软威胁情报战略总监谢罗德·德格里波(Sherrod DeGrippo)表示，一些网络团伙过于“机会主义”，无法如此系统地测试新攻击。

德格里波说，相反，发展中国家的活动有所增加，因为较贫穷国家的黑客可以购买廉价的勒索软件并发动自己的小规模攻击。

Darktrace 主管达利表示，像美杜莎这样的团伙已经开始向不太熟练的黑客出售他们的发明。 她说，那些规模较小的黑客通常不知道该技术是如何工作的，并将其用于攻击更容易的目标。

她补充说，任何花时间“沙箱他们的技术”——在发展中国家相对无人看守的网络区域进行实验——的攻击者都更加复杂。

全球网络威胁情报机构 FS-ISAC 首席情报官 Teresa Walsh 表示，犯罪团伙会在当地环境中“完善”攻击方法，然后将他们的计划“出口”到可能使用相同语言的国家：例如巴西到葡萄牙。

Performanta 网络分析师 Brendan Kotze 表示，非洲数字化应用的速度“超过了强大网络安全措施的发展速度，而且人们对网络威胁的普遍认识很低”。

他补充说：“综合起来，这在网络犯罪分子利用的防御方面造成了令人担忧的、不断扩大的差距。”

Ellesheva Kissin 是《金融时报专家》旗下《银行风险与监管》的记者。

© 2024 英国金融时报有限公司。 版权所有。 不得以任何方式重新分发、复制或修改。