行業新聞與部落格

威脅行為者青睞 Rclone、WinSCP 和 cURL 作為資料洩露工具

資料洩露在雙重勒索網路攻擊中至關重要,這已成為勒索軟體攻擊的新黃金標準。

ReliaQuest 在一份新報告中發現,Rclone、WinSCP 和客戶端 URL (cURL) 是 2023 年 9 月至 2024 年 7 月期間威脅行為者使用的三大資料洩露工具。

資料洩露,即未經授權從企業或個人裝置傳輸或檢索資料,可能包括威脅行為者擁有的基礎設施或第三方雲服務。

為此,威脅行為者通常使用合法或自定義工具來收集和提取大量資料,然後威脅受害者如果拒絕支付贖金就會洩露資料。

據 ReliaQuest 稱,大多數備受矚目的勒索軟體組織,例如 LockBit、Black Basta 和 BlackSuit,都傾向於使用上述三種工具。

其他公司,例如 Inc Ransom,則更喜歡使用非典型工具,例如合法檔案管理工具和遠端監控和管理 (RMM) 軟體。

頂級資料洩露工具

克隆

Rclone 是一個合法的開源命令列實用程式,允許使用者與各種雲端儲存提供商和已建立的基礎設施(例如檔案傳輸協議 (FTP) 伺服器)同步檔案。

它也是威脅行為者使用的最受歡迎的洩露工具,報告期內 57% 的勒索軟體事件涉及該工具。

Rclone 的吸引力來自於其快速的資料傳輸能力和多功能性。

例如,Rclone 可以與眾多雲服務整合,包括 Google Drive、Amazon S3 和 Mega,以及 FTP 等協議,從而使防禦者的緩解策略變得複雜。

Rclone 還可在 Windows、Linux 和 macOS 上執行,並且可以輕鬆實現自動化操作,從而非常高效地進行大資料傳輸。

ReliaQuest 在報告中補充道:“它作為 IT 專業人員使用的備份工具的合法性有助於威脅行為者避免被發現或發出警報。”

溫 SCP

WinSCP 是適用於 Windows 的開原始檔傳輸實用程式,它提供與 Rclone 類似的功能,但以其使用者友好的介面而著稱。

WinSCP 專注於從本地到遠端位置的傳輸,而 Rclone 是一個用於管理跨各種雲端儲存服務的檔案的命令列工具。

WinSCP 在組織內被廣泛使用,是一種值得信賴的合法工具,當在終端上發現時,它可以減少懷疑。它的可移植性和指令碼功能有助於實現高效的資料傳輸,無論是自動還是手動。此外,WinSCP 有效的錯誤處理和日誌記錄功能可確保成功洩露指定資料。

捲曲

客戶端 URL(cURL)是一個命令列工具,用於透過 URL 指定目的地來傳輸資料。

它支援 HTTPS、FTP 和 SFTP 等協議,常用於下載或上傳資料以及與 Web 服務互動等任務。它是跨平臺的,可在 Windows、macOS 和 Linux 上使用。

ReliaQuest 補充道:“cURL 也是 Windows 10 版本 1803 及更高版本的原生程式碼,這意味著威脅行為者不需要將 cURL 引入目標環境,從而允許他們‘靠土地生活’”。

與 Rclone 和 WinSCP 相比,cURL 對於大規模資料洩露操作來說並不那麼可靠。但是,它可以作為洩露目標組織關鍵資訊的有效工具。

2024 年 5 月,ReliaQuest 觀察到 Black Basta 勒索軟體組織利用 cURL 結合雲端儲存域 temp [.] sh 成功從組織中竊取敏感資料。

其他資料洩露工具

除了這三種工具之外,威脅行為者還使用一系列不同的工具來竊取資料。

這些包括檔案儲存和檔案傳輸工具(MEGA Cloud Storage、FileZilla)、備份程式(Restic)和遠端監控和管理(RMM)軟體。

ReliaQuest 的研究人員總結道:“還需要考慮能夠洩露少量資料的工具以及定製洩露工具的持續威脅。”

需要幫助嗎?聯絡我們的支援團隊 線上客服