行业新闻与博客

威胁行为者青睐 Rclone、WinSCP 和 cURL 作为数据泄露工具

数据泄露在双重勒索网络攻击中至关重要,这已成为勒索软件攻击的新黄金标准。

ReliaQuest 在一份新报告中发现,Rclone、WinSCP 和客户端 URL (cURL) 是 2023 年 9 月至 2024 年 7 月期间威胁行为者使用的三大数据泄露工具。

数据泄露,即未经授权从企业或个人设备传输或检索数据,可能包括威胁行为者拥有的基础设施或第三方云服务。

为此,威胁行为者通常使用合法或自定义工具来收集和提取大量数据,然后威胁受害者如果拒绝支付赎金就会泄露数据。

据 ReliaQuest 称,大多数备受瞩目的勒索软件组织,例如 LockBit、Black Basta 和 BlackSuit,都倾向于使用上述三种工具。

其他公司,例如 Inc Ransom,则更喜欢使用非典型工具,例如合法文件管理工具和远程监控和管理 (RMM) 软件。

顶级数据泄露工具

克隆

Rclone 是一个合法的开源命令行实用程序,允许用户与各种云存储提供商和已建立的基础设施(例如文件传输协议 (FTP) 服务器)同步文件。

它也是威胁行为者使用的最受欢迎的泄露工具,报告期内 57% 的勒索软件事件涉及该工具。

Rclone 的吸引力来自于其快速的数据传输能力和多功能性。

例如,Rclone 可以与众多云服务集成,包括 Google Drive、Amazon S3 和 Mega,以及 FTP 等协议,从而使防御者的缓解策略变得复杂。

Rclone 还可在 Windows、Linux 和 macOS 上运行,并且可以轻松实现自动化操作,从而非常高效地进行大数据传输。

ReliaQuest 在报告中补充道:“它作为 IT 专业人员使用的备份工具的合法性有助于威胁行为者避免被发现或发出警报。”

温 SCP

WinSCP 是适用于 Windows 的开源文件传输实用程序,它提供与 Rclone 类似的功能,但以其用户友好的界面而著称。

WinSCP 专注于从本地到远程位置的传输,而 Rclone 是一个用于管理跨各种云存储服务的文件的命令行工具。

WinSCP 在组织内被广泛使用,是一种值得信赖的合法工具,当在终端上发现时,它可以减少怀疑。它的可移植性和脚本功能有助于实现高效的数据传输,无论是自动还是手动。此外,WinSCP 有效的错误处理和日志记录功能可确保成功泄露指定数据。

卷曲

客户端 URL(cURL)是一个命令行工具,用于通过 URL 指定目的地来传输数据。

它支持 HTTPS、FTP 和 SFTP 等协议,常用于下载或上传数据以及与 Web 服务交互等任务。它是跨平台的,可在 Windows、macOS 和 Linux 上使用。

ReliaQuest 补充道:“cURL 也是 Windows 10 版本 1803 及更高版本的原生代码,这意味着威胁行为者不需要将 cURL 引入目标环境,从而允许他们‘靠土地生活’”。

与 Rclone 和 WinSCP 相比,cURL 对于大规模数据泄露操作来说并不那么可靠。但是,它可以作为泄露目标组织关键信息的有效工具。

2024 年 5 月,ReliaQuest 观察到 Black Basta 勒索软件组织利用 cURL 结合云存储域 temp [.] sh 成功从组织中窃取敏感数据。

其他数据泄露工具

除了这三种工具之外,威胁行为者还使用一系列不同的工具来窃取数据。

这些包括文件存储和文件传输工具(MEGA Cloud Storage、FileZilla)、备份程序(Restic)和远程监控和管理(RMM)软件。

ReliaQuest 的研究人员总结道:“还需要考虑能够泄露少量数据的工具以及定制泄露工具的持续威胁。”

需要帮助吗?联系我们的支持团队 在线客服