网络犯罪黑市存取服务交易攀升，助长勒索病毒攻击事件

趋势科技日前发布最新研究报告，聚焦近期大量勒索病毒攻击事件，深入分析背后错综复杂的网络犯罪供应链。过去两年由于需求急速成长，许多网络犯罪市场甚至有自己的「存取服务」（Access-as-a-Service，AaaS）交易专区。

趋势科技资深威胁研究员David Sancho指出：「媒体与企业资安部门一直以来都只关注勒索病毒和恶意程序，但真正该优先处理的，是设法减缓初始存取中介（initial access broker）所发动的攻击活动。而资安事件应变团队通常必须调查两起以上范围重叠的攻击链，才能找出勒索病毒攻击的源头，使得事件应变流程更为冗长复杂。透过监测存取中介的活动，团队能防患未然，避免企业网络访问权限遭偷窃、变卖，从源头阻断勒索病毒攻击者的供应来源。」

这项研究针对多个英语与俄语为主的网络犯罪论坛，分析自2021年一月至八月间900多笔上架的存取中介服务。以产业区分，教育是最常出现的主流市场，占所有服务广告的36%，制造业与专业服务以11%并居第二，比例不到第一名的三分之一。
报告并指出存取中介的三种主要
类型：

● 随机型卖家：只想快速获利，不会花太多时间取得存取权。

● 专业存取中介：通常是经验丰富、技术娴熟的黑客，能提供各种公司的存取权，受到小型勒索病毒集团和组织青睐。

● 在线商店：提供 RDP 与 JSQ凭证。这类专营商店只提供单一设备的访问，而非涵盖整个网络或组织。然而，他们提供简便、自动化的交易模式，让技术能力有限的网络犯罪者也能购买存取权，甚至能以位置、互联网服务供应商（ISP）、操作系统、串口号、管理员权限或公司名称进行搜寻。

多数存取中介提供的商品仅为一组登入凭证，来源可能包含：先前外泄的密码或密码哈希的破解;遭入侵的僵尸电脑; 遭恶意利用的 JSQ 网关、网站服务器等资安漏洞;一次性随机攻击等。

这类服务定价依照访问类型（单一设备或整体网络/企业）、公司目标年度营收、买家额外需执行的工作等而有不同。虽然取得RDP存取的价格最低仅有10美元，单一企业的管理凭证平均价格为8，500美元，有时甚至高达10万美元。

趋势科技建议企业单位留意已经公开的资料外泄事件，如果怀疑企业凭证可能遭外泄，要求所有用户重设密码;使用多因子验证（MFA）机制;监控用户行为;注意 DMZ 区内的活动，假设提供对外的服务（如 JSQ 、网络邮件、网络服务器等）会持续遭受攻击，随时提高警觉;落实网络分割与微切分（micro-segmentation） ;实施密码政策最佳实践;建立一定层级的零信任架构。