行業新聞與博客

數據泄露在雙重勒索網絡攻擊中至關重要，這已成為勒索軟件攻擊的新黃金標準。

ReliaQuest 在一份新報告中發現，Rclone、WinSCP 和客户端 URL (cURL) 是 2023 年 9 月至 2024 年 7 月期間威脅行為者使用的三大數據泄露工具。

數據泄露，即未經授權從企業或個人設備傳輸或檢索數據，可能包括威脅行為者擁有的基礎設施或第三方雲服務。

為此，威脅行為者通常使用合法或自定義工具來收集和提取大量數據，然後威脅受害者如果拒絕支付贖金就會泄露數據。

據 ReliaQuest 稱，大多數備受矚目的勒索軟件組織，例如 LockBit、Black Basta 和 BlackSuit，都傾向於使用上述三種工具。

其他公司，例如 Inc Ransom，則更喜歡使用非典型工具，例如合法文件管理工具和遠程監控和管理 (RMM) 軟件。

頂級數據泄露工具

克隆

Rclone 是一個合法的開源命令行實用程序，允許用户與各種雲存儲提供商和已建立的基礎設施（例如文件傳輸協議 (FTP) 服務器）同步文件。

它也是威脅行為者使用的最受歡迎的泄露工具，報告期內 57% 的勒索軟件事件涉及該工具。

Rclone 的吸引力來自於其快速的數據傳輸能力和多功能性。

例如，Rclone 可以與眾多雲服務集成，包括 Google Drive、Amazon S3 和 Mega，以及 FTP 等協議，從而使防禦者的緩解策略變得複雜。

Rclone 還可在 Windows、Linux 和 macOS 上運行，並且可以輕鬆實現自動化操作，從而非常高效地進行大數據傳輸。

ReliaQuest 在報告中補充道：“它作為 IT 專業人員使用的備份工具的合法性有助於威脅行為者避免被發現或發出警報。”

温 SCP

WinSCP 是適用於 Windows 的開源文件傳輸實用程序，它提供與 Rclone 類似的功能，但以其用户友好的界面而著稱。

WinSCP 專注於從本地到遠程位置的傳輸，而 Rclone 是一個用於管理跨各種雲存儲服務的文件的命令行工具。

WinSCP 在組織內被廣泛使用，是一種值得信賴的合法工具，當在終端上發現時，它可以減少懷疑。它的可移植性和腳本功能有助於實現高效的數據傳輸，無論是自動還是手動。此外，WinSCP 有效的錯誤處理和日誌記錄功能可確保成功泄露指定數據。

捲曲

客户端 URL（cURL）是一個命令行工具，用於通過 URL 指定目的地來傳輸數據。

它支持 HTTPS、FTP 和 SFTP 等協議，常用於下載或上傳數據以及與 Web 服務交互等任務。它是跨平台的，可在 Windows、macOS 和 Linux 上使用。

ReliaQuest 補充道：“cURL 也是 Windows 10 版本 1803 及更高版本的原生代碼，這意味着威脅行為者不需要將 cURL 引入目標環境，從而允許他們‘靠土地生活’”。

與 Rclone 和 WinSCP 相比，cURL 對於大規模數據泄露操作來説並不那麼可靠。但是，它可以作為泄露目標組織關鍵信息的有效工具。

2024 年 5 月，ReliaQuest 觀察到 Black Basta 勒索軟件組織利用 cURL 結合雲存儲域 temp [.] sh 成功從組織中竊取敏感數據。

其他數據泄露工具

除了這三種工具之外，威脅行為者還使用一系列不同的工具來竊取數據。

這些包括文件存儲和文件傳輸工具（MEGA Cloud Storage、FileZilla）、備份程序（Restic）和遠程監控和管理（RMM）軟件。

ReliaQuest 的研究人員總結道：“還需要考慮能夠泄露少量數據的工具以及定製泄露工具的持續威脅。”