一种新的趋势正在勒索软件集团中出现，他们优先从高层管理人员和管理人员使用的工作站窃取数据，以获取“有趣”的信息，然后利用这些信息向公司高层施加压力，勒索他们批准巨额勒索款。

ZDNet首先了解到了这一新策略本周早些时候，在与一家公司的电话通话中，该公司向Clop勒索软件团伙支付了数百万美元的赎金。

与其他Clop受害者的类似通话和对网络安全公司的电子邮件采访后来证实，这不仅仅是一次侥幸，但是，在过去的几个月里，克洛普团伙对这项技术进行了微调。

将勒索变成个人的

这项技术是我们最近从勒索团伙那里看到的技术的演变。

过去两年，勒索软件团伙已经从以家庭消费者为目标的随机攻击演变为以非常有针对性的入侵来追捕大公司。

这些团伙破坏公司网络，窃取他们可以得到的敏感文件，加密文件，然后在垃圾电脑上留下勒索笔记。

在某些情况下，赎金通知通知公司，他们必须支付赎金要求接收解密密钥。如果数据被盗，一些赎金记录也会告诉受害者如果他们不支付赎金，被盗数据将在所谓的“泄密网站“

勒索软件集团希望，公司会不顾一切地避免在网上公布专有数据或财务数字而且更愿意支付赎金，而不是从备份中恢复。在其他情况下，一些勒索软件团伙告诉公司，发布他们的数据也将构成数据泄露，这在许多情况下还将招致当局的罚款以及名誉损失，一些公司也希望避免的事情。

然而，勒索软件团伙并不总是能够在他们进行的所有入侵中获得专有数据或敏感信息。这降低了他们的谈判能力和向受害者施压的能力。

这就是为什么在最近的入侵事件中，一个经常使用Clop勒索软件的组织专门在一家被破坏的公司内搜索其高层管理人员使用的工作站。

该组织会筛选经理的文件和电子邮件，并过滤数据他们认为这可能有助于威胁、难堪或给公司管理层施加压力，这些人很可能在几天后负责批准他们的赎金要求。

“这是勒索软件演员的新手法，但我可以说我并不感到惊讶，”Stefan Tanase，CSIS集团的一位网络情报专家在本周的一封电子邮件中告诉ZDNet，“勒索软件通常用于他们目标业务的‘皇冠珠宝’，”Tanase说当涉及到以泄露数据为目的的数据过滤时，通常是文件服务器或数据库。但是，如果这将产生最大的影响，那么对他们来说，追杀exec机器是有意义的。”

克劳普也已经使用了这种策略，但几乎没有，网络安全公司Emsisoft的威胁分析师Brett Callow告诉ZDNet，到目前为止，他们只在涉及克洛普勒索软件的事件中见过这样的手法。

“这种勒索方式可能是某个[克洛普]分支机构的作案手法，该分支机构也可能为其他[勒索软件]团体工作，“卡洛告诉我们。

Emsisoft分析师形容勒索策略的演变“一点也不奇怪”，“是一个合乎逻辑和不可避免的过程。”

“过去几年，勒索软件集团使用的策略越来越极端，他们现在使用各种可能的方法向受害者施压，“卡洛说。

”其他策略包括骚扰和给高管、客户和业务伙伴的威胁电话，Facebook广告，新闻外展，以及揭露公司“脏衣服”的威胁。

但在一次类似的采访中，英特尔公司在阿雷特IR的事件应对和网络威胁主管埃夫盖尼·埃尔乔夫（Evgueni Erchov）说，看来REvil（Sodinokibi）勒索软件即服务运营的一个分支已经从Clop团伙中采用了这种技术（或者这可能是上面提到的同一个Clop分支）。

“具体来说，威胁行为人能够找到与正在进行的诉讼有关的文件以及受害者与之相关的内部讨论，“埃尔乔夫告诉ZDNet，”然后威胁行为人利用这些信息，通过电子邮件直接联系高管，并威胁要公开发布所谓“管理层不当行为”的数据，“Recorded Future的高级安全架构师艾伦·利斯卡（Allan Liska）告诉ZDNet，他们只看到这种策略与Clop攻击相结合，但他们不排除其他勒索软件参与者也采用这种策略。

“勒索软件团伙很快就采用了新技术，尤其是那些更容易支付勒索的技术，”Liska说。

“这在勒索策略的演变过程中也很有意义，因为勒索软件团伙一直在追逐更大的目标他们不得不尝试不同的方法来强制付款Liska说：“泄露被盗数据是每个人都知道的，但是其他的策略，比如REvil威胁要把攻击的细节发邮件到证券交易所，也被尝试过。”然而，安全公司Coveware的首席执行官兼联合创始人比尔·西格尔说，在很多情况下，这些针对公司管理层的勒索计划中使用的数据并不总是真实的，也不总是符合预期的。

“他们（勒索软件集团）对自己可能拥有或不拥有的东西进行各种威胁，“西格尔对ZDNet说，”我们从未遇到过这样一个案例，即被盗数据实际上显示了公司或个人渎职的证据。Siegel说：“在很大程度上，这只是一种增加支付可能性的恐吓策略。让我们记住，这些人都是犯罪敲诈者。他们会说或声称各种各样的幻想的东西，如果它使他们赚钱。”

ZDNet还想感谢安全公司S2W实验室感谢他们对本文的帮助。

CISA:SolarWinds黑客还利用密码猜测来破坏目标

加密挖掘僵尸网络正在窃取docker和aws凭据

>同意https://redventures.com/CMG-terms-of-use.html“target=”\u blank“rel=”noopener noreferrer nof