勒索软件团体的数据泄露偏好分析

关键要点

• 不同的勒索软件团体在泄露数据时表现出明显的不同偏好。
• Conti 和 Cl0p 对财务信息和个人信息的泄露比例悬殊。
• 数据类型对公司造成不同程度的压力与影响。

根据 Rapid7 对两年间敲诈泄露网站的研究，不同的勒索软件团体展示了各自对数据泄露的明显偏好。“这似乎是非常有意图的，”Rapid7 的首席 AI研究员以及报告作者 Erick Galinkin 表示。

根据报告，在其首次数据泄露中，Conti 在 81% 的攻击中泄露了财务信息，而 Cl0p 的这个比例仅为 30%。另一方面，Cl0p 在 70%
的首次泄露中泄露了员工个人信息，而 Conti 仅为 27%。REvil 则处于两者之间，各类型信息的泄露比例大约各占一半。

团体 | 财务信息泄露比例 | 员工信息泄露比例 | 客户或患者数据泄露比例 | 市场营销数据泄露比例
—|—|—|—|—
Conti | 81% | 27% | 42% | 46%
Cl0p | 30% | 70% | 30% | 30%
REvil | 中间水平 | 中间水平 | 55% | 48%

Cl0p 的信息基于相对较少的事件，因此其数据泄露的趋势可能会有所变化——如果有几次攻击的情况不同，它可能会显示出更强的偏好。然而，要改变 Cl0p在个人身份信息和财务信息泄露中的相对位置，则需要更彻底的变化。

Galinkin 提到了一些需要注意的地方：泄露通常包含多种类型的信息，而攻击者有时受限于其可访问的数据，而非其理想策略。如果 Conti找不到财务信息，它可能不会放弃攻击。

不同类型的信息给公司带来了不同的压力。泄露的个人信息，无论是员工还是客户的信息，都可能引发繁琐的通知要求，激怒重要团体，并带来集体诉讼的风险。财务信息则可能使投资者施加压力，面临商业机密曝光的尴尬。

虽然攻击在很少情况下披露知识产权，但这可能更多与最可能被攻击的行业有关，而非攻击者的意愿。Galinkin提到，医疗诊所或学区一般不会有太多的知识产权需要保护。然而，在对制药公司的 14 次攻击中，有 6 次在首次数据泄露中披露了知识产权。

随着时间的推移，许多勒索软件攻击已经遵循了一套窄化的泄露和移动策略，合作伙伴们正在学习什么是有效的，什么是无效的。Galinkin尚不确定数据泄露策略的首选是否会在各个团体中成为标准。

“我不知道什么会导致那种情况，”他说。“因为目前很多人都在支付赎金。因此，必须有足够大量的人在首次披露后选择不支付赎金，他们才会想到‘我们需要尝试不同的方法，因为这些人成功了，而我们没有’。”