研究人员分享了在暗网上发现匿名勒索软件网站的技术

Hackernews 编译，转载请注明出处：

网络安全研究人员详细介绍了勒索软件行为者为在网上掩盖其真实身份以及网络服务器基础设施的托管位置而采取的各种措施。

“大多数勒索软件运营商使用其原籍国(如瑞典、德国和新加坡)以外的托管提供商来托管他们的勒索软件运营网站，”Cisco Talos公司的研究员Paul Eubanks说。“当他们连接到勒索软件网络基础设施执行远程管理任务时，他们使用VPS跳点作为代理来隐藏自己的真实位置。”

众所周知，勒索软件集团依靠暗网来隐藏他们的非法活动，从泄露被盗数据到与受害者协商付款，Talos 透露，他们能够识别“与暗网上的黑客基础设施托管相同的公共IP地址。”

Eubanks说：“我们用来识别公共互联网 IP 的方法涉及将威胁参与者的 [自签名] TLS 证书序列号和页面元素与公共互联网上的索引进行匹配。”除了 TLS 证书匹配之外，用于发现攻击者清晰网络基础设施的第二种方法是，使用像Shodan这样的网络爬虫检查暗网网站相关的图标来对抗公共互联网。

调查结果表明，不仅互联网上的任何用户都可以访问犯罪分子的泄露站点，其他基础设施组件(包括识别服务器数据)也被暴露，从而有效地获得用于管理勒索软件服务器的登录位置。

LockBit在其改进的RaaS操作中添加了一个漏洞奖励计划

随着Black Basta勒索软件的开发，勒索软件团伙通过使用QakBot进行初始访问和横向移动，并利用PrintNightmare漏洞(CVE-2021-34527)进行特权文件操作，扩大了其攻击武库。

更重要的是，LockBit勒索软件团伙上周宣布了LockBit 3.0的发布消息“让勒索软件再次伟大！”此外，他们还推出了自己的漏洞奖励计划，为发现安全漏洞和改进软件的“绝妙想法”提供1000美元至100万美元不等的奖励。

漏洞奖励计划的一个关键重点是防御措施：防止安全研究人员和执法部门在其泄露网站或勒索软件中发现漏洞，确定包括联盟计划负责人在内的成员可能被人肉搜索的方式，以及在该组织用于内部通信的消息传递软件和Tor网络本身中发现漏洞。

被加密或识别的威胁表明，像LockBit这样的组织显然非常担心执法行动。最后，该集团计划提供Zcash为一种支付选择，这一点很重要，因为Zcash比比特币更难追踪，这让研究人员更难监视该集团的活动。

消息来源：TheHackerNews，译者：Shirley；
本文由 HackerNews.cc 翻译整理，封面来源于网络；
转载请注明“转自 HackerNews.cc ” 并附上原文