Cato Networks发布的2024年第三季度Cato CTRL SASE威胁报告揭示了网络安全的新动向。报告中,Cato Networks首席安全策略师Etay Maor指出,勒索软件团伙正在招募渗透测试人员,以测试其勒索软件在未来攻击中的适用性。在监视RAMP(俄罗斯匿名市场)上的讨论时,Cato CTRL发现威胁行为者正在寻找渗透测试人员加入包括Apos、Lynx和Rabbit Hole在内的多个勒索软件联属计划。报告还强调了影子人工智能的危险性,这指的是在组织内未经授权使用人工智能应用程序和工具的现象。Cato CTRL监控的数百个AI应用中,特别跟踪了10个AI应用,并发现了各种安全风险,其中数据隐私问题最为突出。在TLS检查方面,报告指出其重要性,并提供了具体数据:只有45%的参与组织启用了TLS检查,且仅有3%的组织检查了所有相关的TLS加密会话。这一现状为威胁行为者利用TLS流量提供了机会。报告强调,启用TLS检查的组织在2024年第三季度拦截的恶意流量比未启用的组织多出52%,在TLS流量中阻止了60%的利用CVE的尝试,包括Log4j、SolarWinds和ConnectWise等。这些数据强调了TLS检查在提高网络安全防护中的关键作用。报告中的个亮点就是其披露俄罗斯出现了多个招聘启事,详细要求具备相同的技能,最好是具有俄语论坛经验的渗透测试人员。这是俄罗斯网络犯罪集团专业化的最新例子。
![]()
威胁行为者正在积极寻找渗透测试人员加入各种勒索软件联盟计划,包括 Apos、Lynx和 Rabbit Hole。这是根据卡托网络卡托网络威胁研究实验室 (CTRL) 在其新的2024 年第三季度Cato CTRL SASE威胁报告中的调查结果得出的结论。
该公司监控俄罗斯匿名市场(RAMP)上的讨论后,发现了多个俄语招聘信息。
![]()
一个名为InvaderX的威胁行为者发帖称他正在寻找有经验的渗透测试人员加入一个勒索软件联盟计划。经进一步调查,研究人员发现这个联盟计划与Rabbit Hole勒索软件团伙有关。
![]()
俄语论坛上的“招聘广告”详细列出了对渗透测试员经验的要求。(来源:Cato Networks)“渗透测试是安全方面的一个术语,指的是我们尝试进入自己的系统,查看是否存在漏洞。现在,勒索软件团伙正在雇佣具有同样专业水平的人员——不是来保护系统,而是来攻击系统,”Cato Networks 首席安全策略师 Etay Maor 于 11 月 12 日在德国斯图加特的一次活动上对记者说。“勒索软件领域的背后,存在着一整套地下犯罪经济。”Cato Networks指出,任何优秀的开发人员都知道,软件在部署到生产环境之前需要进行测试。对于勒索软件团伙来说也是如此。他们希望确保他们的勒索软件能够成功部署到组织中。这就是为什么 Maor 的团队相信他们正在招募具有这些技能的人。“[勒索软件即服务] 不断发展。我认为他们比以前更加注重细节,特别是在一些招募方面,”他说。勒索软件即服务生死存亡
Maor和他的团队在分析暗网时还发现了一个储物柜源代码被以45,000美元的价格出售的例子。毛尔说:“对于成为罪犯的门槛来说,标准不断降低。”过去,网络犯罪分子可能需要懂得如何编程。而到了21世纪初期,你可以购买病毒,他指出。“现在你甚至不需要购买它们,因为[其他网络犯罪分子]会为你做到这一点,”Maor评论道。他补充说,人工智能在降低网络犯罪分子的进入门槛方面发挥着重要作用。通常情况下,勒索软件团伙会利用这些策略来获取经济利益。![]()
源代码在暗网上以 45,000 美元的价格出售。(来源:Cato Networks)另一个例子显示,一个名为“eloncrypto”的用户出售MAKOP勒索软件的构建器,MAKOP勒索软件是PHOBOS勒索软件变种的一个分支。![]()
影子人工智能和TLS攻击尝试
威胁报告中的其他观察结果包括来自影子人工智能的威胁增加。影子人工智能通常涉及员工或部门独立采用人工智能解决方案并绕过正式的审查流程和治理控制。在 Cato CTRL监控的数百个AI应用程序中,研究人员追踪了组织使用的10个 AI应用程序(Bodygram、Craiyon、Otter.ai、Writesonic、Poe、HIX.AI、Fireflies.ai、PeekYou、Character.AI 和 Luma AI),并观察到各种安全风险。最后,该公司指出,传输层安全性(TLS)尚未得到充分利用。![]()
TLS检查允许组织解密、检查和重新加密流量。但是,TLS检查可能会破坏应用程序并影响对某些域的访问。因此,Cato CTRL表示,许多组织选择完全放弃TLS检查或绕过大部分流量的检查。Cato CTRL发现,只有45%的参与组织启用了TLS检查。只有3%的组织检查了所有相关的TLS加密会话。这为威胁行为者利用TLS流量而不被发现打开了方便之门。组织必须检查TLS会话以保护自己。启用TLS检查后,组织将受到更好的保护。2024年第三季度,Cato CTRL发现,启用TLS检查的组织比未启用TLS检查的组织拦截的恶意流量多52%。2024年第三季度,Cato CTRL发现60%的CVE利用尝试在TLS流量中被阻止。CVE包括 Log4j、SolarWinds和ConnectWise。2024年第三季度Cato CTRL SASE威胁报告总结了Cato CTR 对2024年7月至 9月期间全球2500多个客户的1.46万亿网络流量的分析结果。1、https://www.infosecurity-magazine.com/news/ransomware-gangs-pen-testers/
2、https://www.darkreading.com/vulnerabilities-threats/russian-ransomware-gangs-hunt-pen-testers3、https://www.prnewswire.com/il/news-releases/new-threat-report-from-cato-networks-reveals-ransomware-gangs-recruiting-penetration-testers-to-improve-effectiveness-of-attacks-302309226.html4、https://go.catonetworks.com/rs/245-RJK-441/images/CATO_CTRL_Report_Q3_2024.pdf
