暗網(wǎng)分析報(bào)告：商業(yè)黑客 ”流星街“的原住民們

2023-08-16 05:58:02 來(lái)源：互聯(lián)網(wǎng)

暗網(wǎng)，作為互聯(lián)網(wǎng)的一部分，充滿了神秘而又復(fù)雜的活動(dòng)。更重要的是，其背后的主要參與者——商業(yè)黑客和各種有組織的犯罪集團(tuán)，揭示了這是一個(gè)怎樣的世界。本報(bào)告將試圖帶您了解這些原住民的身份、行為方式、商業(yè)邏輯、受害者以及他們構(gòu)建的獨(dú)特生態(tài)。

在一些APT XX黑客組織的分析報(bào)告中，我們已經(jīng)了解到部分以政治背景為主的黑客組織，而活躍在暗網(wǎng)中的商業(yè)黑客組織，則更加自由和龐大，他們與政治黑客有著截然不同的行為邏輯，由于其龐大的基數(shù)、頻繁的活躍度、逐利的商業(yè)行為，對(duì)政府、社會(huì)和企業(yè)造成的直接危害也更加嚴(yán)重。

商業(yè)黑客組織廣泛地在暗網(wǎng)中活動(dòng)，他們通常是技術(shù)嫻熟的個(gè)體和團(tuán)體，具備高超的計(jì)算機(jī)技能和網(wǎng)絡(luò)滲透能力。他們的目標(biāo)通常是獲取利益，通過(guò)非法手段獲取并利用有價(jià)值的信息，如個(gè)人身份信息、財(cái)務(wù)數(shù)據(jù)、商業(yè)機(jī)密等。商業(yè)黑客組織在暗網(wǎng)中可以找到其他同行，并通過(guò)網(wǎng)絡(luò)論壇、市場(chǎng)、私人拍賣行等進(jìn)行交流和交易。

(資料圖)

他們的商業(yè)邏輯其實(shí)與正規(guī)商業(yè)在某種程度上有著相似性。他們需要找到買家，需要營(yíng)銷他們的商品或服務(wù)，需要處理交易，并在競(jìng)爭(zhēng)激烈的環(huán)境中生存下來(lái)。與此同時(shí)，這些活動(dòng)通常在加密的、隱藏的網(wǎng)絡(luò)環(huán)境中進(jìn)行，避免被法律追究。

關(guān)于他們的行為方式，商業(yè)黑客組織采取了許多手段來(lái)實(shí)現(xiàn)他們的目標(biāo)。這些手段包括網(wǎng)絡(luò)攻擊、惡意軟件分發(fā)、釣魚攻擊等。與政治背景的黑客組織的不同點(diǎn)在于，他們普遍不常使用代價(jià)高昂的通用型0day，而以相對(duì)低廉的開(kāi)源情報(bào)、勒索軟件、事件型0day、1day exp、釣魚、社工、影子資產(chǎn)、配置缺陷和配置文件泄露等組合手段作為主要攻擊方式。

商業(yè)黑客組織的商業(yè)邏輯建立在利益最大化的基礎(chǔ)上。他們通過(guò)黑客攻擊獲取有價(jià)值的數(shù)據(jù)，然后以各種方式變現(xiàn)。這可能包括出售數(shù)據(jù)給其他犯罪分子、勒索受害者、進(jìn)行網(wǎng)絡(luò)釣魚活動(dòng)、進(jìn)行非法交易或以其他方式獲得經(jīng)濟(jì)利益。

在談到受害者時(shí)，商業(yè)黑客組織的行為影響范圍廣泛。他們可能以某個(gè)群體為目標(biāo)，盜取其身份信息或財(cái)務(wù)數(shù)據(jù)。也可能瞄準(zhǔn)某些組織，竊取商業(yè)機(jī)密、客戶數(shù)據(jù)或進(jìn)行勒索活動(dòng)。受害者的范圍涵蓋了個(gè)人、企業(yè)、政府機(jī)構(gòu)等各個(gè)層面。

這樣的分析可以幫助我們更好地理解暗網(wǎng)中的數(shù)據(jù)泄露問(wèn)題，并為未來(lái)采取措施提供有價(jià)值的參考。

根據(jù)零零信安0.zone開(kāi)源情報(bào)平臺(tái)基于十余萬(wàn)情報(bào)源采集到的數(shù)據(jù)分析可知，目前全球活躍在暗網(wǎng)中的商業(yè)黑客組織約在數(shù)百個(gè)左右，黑客（無(wú)法確認(rèn)是個(gè)人還是組織形式）約在數(shù)十萬(wàn)量級(jí)。

當(dāng)前監(jiān)測(cè)結(jié)果，仍處于活躍狀態(tài)（至2023年Q2持續(xù)活動(dòng)），且“發(fā)布”（勒索）總數(shù)量大于100件的商業(yè)黑客組織有14個(gè)（活躍的商業(yè)黑客組織總數(shù)量約100個(gè)左右）。值得特別說(shuō)明的是，“發(fā)布”出來(lái)的，是勒索失敗的“項(xiàng)目”（下文將特別說(shuō)明和分析勒索成敗的話題），以下為TOP組織的列表：

以上TOP級(jí)商業(yè)黑客組織活躍度和活躍期如下圖所示（由于本報(bào)告寫于2023年7月中旬，本月統(tǒng)計(jì)數(shù)據(jù)會(huì)比實(shí)際數(shù)據(jù)偏?。?/p>

商業(yè)黑客組織的生命期和活躍期參差不齊，依據(jù)分析結(jié)果，普遍活躍期在1-3年，之后會(huì)進(jìn)入蟄伏期或解散。本期分析的商業(yè)黑客組織，在2021年下半年和2022年下半年有兩次啟動(dòng)/復(fù)活爆發(fā)期。

由于Lockbit3活躍度遠(yuǎn)高于其他組織，如將其隱藏并集中分析爆發(fā)期內(nèi)（從2021年下半年至今）的組織，即可得到如下圖示：

以上統(tǒng)計(jì)中，由于只統(tǒng)計(jì)了總量大于100“發(fā)布”的組織，所以并未包含最近3個(gè)月內(nèi)新崛起和活躍的商業(yè)黑客組織，例如：akira、medusa、rhysida、snatch、qilin等數(shù)十個(gè)組織。

近2-3年以來(lái)，商業(yè)黑客組織的趨勢(shì)：

1.單一組織的“發(fā)布”數(shù)量呈減少趨勢(shì)

2.整體向多元化、多組織發(fā)展

3.黑客行為和“發(fā)布”總數(shù)量在穩(wěn)步增長(zhǎng)

4.黑客行為整體目前尚未發(fā)現(xiàn)周期變化規(guī)律

以下為3份典型的攻擊留痕（已將原文翻譯為中文）：

~~~ LockBit 3.0 是世界上最快、最穩(wěn)定的勒索軟件~~~

>>>>>您的數(shù)據(jù)被盜并被加密。

如果您不支付贖金，數(shù)據(jù)將發(fā)布在我們的 TOR 暗網(wǎng)網(wǎng)站上。請(qǐng)記住，一旦您的數(shù)據(jù)出現(xiàn)在我們的泄漏網(wǎng)站上，您的競(jìng)爭(zhēng)對(duì)手隨時(shí)都可能購(gòu)買它，所以不要猶豫很長(zhǎng)時(shí)間。您越早支付贖金，您的公司就越早安全。

>>>>> 有什么保證我們不會(huì)欺騙你？

我們是地球上最古老的勒索軟件聯(lián)盟計(jì)劃，沒(méi)有什么比我們的聲譽(yù)更重要。我們不是一個(gè)有政治動(dòng)機(jī)的團(tuán)體，我們只想要錢。如果您付款，我們將為您提供解密軟件并銷毀被盜數(shù)據(jù)。支付贖金后，您將很快賺更多的錢。將這種情況簡(jiǎn)單地視為對(duì)系統(tǒng)管理員的付費(fèi)培訓(xùn)，因?yàn)檫@是由于您的公司網(wǎng)絡(luò)配置不正確，我們才能攻擊您。我們的滲透測(cè)試服務(wù)應(yīng)該像您支付系統(tǒng)管理員的工資一樣支付。克服它并為此付出代價(jià)。如果我們?cè)谀犊詈蟛唤o您解密器或刪除您的數(shù)據(jù)，將來(lái)沒(méi)有人會(huì)向我們付款。

?依據(jù)LockBit的說(shuō)辭，這次“培訓(xùn)費(fèi)”高達(dá)1000萬(wàn)美元，這正是本次“項(xiàng)目”中向受害者勒索的金額。

如果您正在閱讀本文，則意味著您的系統(tǒng)受到皇家勒索軟件的攻擊。

讓我們解釋一下這個(gè)案例。這可能看起來(lái)很復(fù)雜，但事實(shí)并非如此！

最有可能發(fā)生的事情是您決定在安全基礎(chǔ)架構(gòu)上節(jié)省一些錢。

唉，因此您的關(guān)鍵數(shù)據(jù)不僅被加密，而且在我們的安全服務(wù)器的系統(tǒng)有備份。

從那里可以在線發(fā)布。然后，互聯(lián)網(wǎng)上的任何人，包括暗網(wǎng)罪犯、記者、政府，

甚至您的員工都將能夠看到您的內(nèi)部文檔：個(gè)人數(shù)據(jù)、人力資源審查、內(nèi)部訴訟和投訴、財(cái)務(wù)報(bào)告、會(huì)計(jì)、知識(shí)產(chǎn)權(quán)等等！

幸運(yùn)的是，我們?yōu)槟峁┝吮Ｕ希?/p>

皇家勒索軟件為您提供獨(dú)特的交易。對(duì)于我們的滲透測(cè)試服務(wù)，我們不僅會(huì)為您提供驚人的風(fēng)險(xiǎn)緩解服務(wù)，涵蓋您的聲譽(yù)、法律、財(cái)務(wù)、監(jiān)管和保險(xiǎn)風(fēng)險(xiǎn)，

而且還會(huì)為您的系統(tǒng)提供安全審查。

簡(jiǎn)而言之，您的文件將被解密，您的數(shù)據(jù)將被恢復(fù)并保持機(jī)密，并且您的系統(tǒng)將保持安全。

我們希望盡快收到您的來(lái)信，進(jìn)入數(shù)據(jù)安全的新時(shí)代！

?依據(jù)Royal的說(shuō)辭，這次“安全服務(wù)費(fèi)”高達(dá)3000萬(wàn)美元，這正是本次“項(xiàng)目”中向受害者勒索的金額。

好的，您正在閱讀本文 - 所以這意味著我們引起了您的注意。

交易是這樣的：

1.我們破壞了您的內(nèi)部網(wǎng)絡(luò)并控制了您的所有系統(tǒng)。

2.我們分析并定位了每條或多或少重要的文件，同時(shí)在里面花了數(shù)周時(shí)間。

3.我們獲取了想要的任何東西，您可以在附件中找到已獲取文件的完整列表。

常見(jiàn)問(wèn)題：

Q：你到底是誰(shuí)？A：卡拉庫(kù)特團(tuán)隊(duì)，相當(dāng)熟練的黑客。

Q：你為什么要這么做？A：我們的動(dòng)機(jī)純粹是經(jīng)濟(jì)上的。

Q：我們將向執(zhí)法部門報(bào)告此事。A：你當(dāng)然可以，但要準(zhǔn)備好他們將沒(méi)收你的大部分 IT 基礎(chǔ)設(shè)施，即使你后來(lái)改變主意并決定付款，他們也不會(huì)放過(guò)你。

Q：還有誰(shuí)知道這次事件？A：我，你，沒(méi)有其他人。目前。

Q：如果我告訴你我不在乎，我會(huì)忽略這件事怎么辦？A：這是一個(gè)非常糟糕的選擇。如果您不及時(shí)與我們聯(lián)系，我們將開(kāi)始通知您的員工、客戶、合作伙伴、分包商和任何其他應(yīng)該知道您如何處理自己和他們的公司機(jī)密的人。

Q：如果我即使在之后仍然不聯(lián)系你怎么辦？A：然后，我們將繼續(xù)推進(jìn)，開(kāi)始聯(lián)系您的業(yè)務(wù)競(jìng)爭(zhēng)對(duì)手和我們內(nèi)部交易者名單，以了解他們是否會(huì)為您的數(shù)據(jù)向我們付款。當(dāng)對(duì)此類數(shù)據(jù)感興趣的人員名單形成時(shí)，進(jìn)行封閉式在線拍賣。

Q：沒(méi)有人會(huì)買你拿走的東西！我不相信你！A：如果拍賣失敗，我們將在網(wǎng)上泄露所有內(nèi)容，確保這種泄漏直接傳給媒體。我們將確保您的企業(yè)付出代價(jià)。

Q：如果我付款會(huì)怎樣？A：不會(huì)發(fā)生任何壞事，我們將刪除我們從您的網(wǎng)絡(luò)中獲取的所有內(nèi)容，我們將幫助您關(guān)閉您擁有的技術(shù)漏洞，并提供一些有關(guān)如何避免此類事件的見(jiàn)解。我們永遠(yuǎn)不會(huì)告訴任何人。

?依據(jù)Karakurt的說(shuō)辭，這次“咨詢費(fèi)”高達(dá)1200萬(wàn)美元，這正是本次“項(xiàng)目”中向受害者勒索的金額。

現(xiàn)在我們基于數(shù)百個(gè)商業(yè)黑客組織的具體行為邏輯和商業(yè)舉動(dòng)進(jìn)行分析，并得出如下結(jié)論：

v他們的商業(yè)模式是什么？

以敲詐勒索為主，販賣工具和定制化服務(wù)為輔。當(dāng)商業(yè)黑客組織成功入侵某個(gè)企業(yè)后，通常會(huì)通過(guò)工具或人工進(jìn)行內(nèi)網(wǎng)漫游，盡可能多的獲取企業(yè)數(shù)據(jù)，包括：設(shè)計(jì)圖紙、客戶數(shù)據(jù)、財(cái)務(wù)報(bào)表、專利文件、產(chǎn)品資料、軟件源代碼、圖片、視頻、供應(yīng)商資料、法律文件等等。有的組織會(huì)進(jìn)行文件加密，有的僅竊取文件，然后進(jìn)行敲詐勒索。

v如果不接受勒索會(huì)怎么樣？

對(duì)于進(jìn)行加密的客戶，文件會(huì)無(wú)法解密。所有竊取的文件都會(huì)被以公開(kāi)或邀請(qǐng)的形式進(jìn)行拍賣，一般情況是在黑客組織的網(wǎng)站上發(fā)布拍賣列表和時(shí)間，接受預(yù)約，并在某個(gè)專屬或私人拍賣會(huì)上進(jìn)行拍賣（線上）。對(duì)于拍賣失敗的數(shù)據(jù)會(huì)被免費(fèi)公布下載。并將此事件推送給新聞媒體。

v他們的竊取量會(huì)有多少？都竊取什么數(shù)據(jù)？

公布出來(lái)的數(shù)據(jù)量一般大約在數(shù)百GB至數(shù)TB不等，只有在從目標(biāo)企業(yè)獲取到高價(jià)值數(shù)據(jù)后他們才會(huì)“發(fā)布”，如果沒(méi)有高價(jià)值數(shù)據(jù)一般不會(huì)勒索和發(fā)布。目前尚未見(jiàn)到MB級(jí)和PB級(jí)數(shù)據(jù)被“發(fā)布”。

v他們勒索的價(jià)格是多少？是否接受談判？

從當(dāng)前掌握的情報(bào)，單純勒索軟件的勒索價(jià)格較便宜，大約從數(shù)百美元至數(shù)千美元不等；商業(yè)黑客組織的定向勒索價(jià)格一般為數(shù)十萬(wàn)至數(shù)千萬(wàn)美元不等，也有基于企業(yè)收入進(jìn)行勒索收費(fèi)的，價(jià)格約為企業(yè)年?duì)I業(yè)額的0.01%（萬(wàn)分之一）至0.05%（萬(wàn)分之五）。不接受降價(jià)談判，有的組織接受分期付款。

v勒索成功率有多少？

由于勒索成功后，黑客并不會(huì)公布，且相關(guān)企業(yè)也不會(huì)公布，該數(shù)據(jù)很難統(tǒng)計(jì)，但基于虛擬貨幣交易所可以得到的參考情報(bào)進(jìn)行分析可知成功率大約在70%-90%左右。（兩個(gè)感慨：第一，竟然有如此高比例的企業(yè)在勒索事件上認(rèn)慫；第二，這個(gè)成功率比安全公司銷售的成功率高很多）

v他們真的沒(méi)有政治傾向嗎？他們的真實(shí)動(dòng)機(jī)是什么？

以當(dāng)前掌握的情報(bào)來(lái)看，商業(yè)黑客組織大部分沒(méi)有政治傾向，但是有少部分組織有本土意識(shí)（不攻擊屬國(guó)企業(yè)）。他們的真實(shí)動(dòng)機(jī)是經(jīng)濟(jì)利益，一個(gè)成熟的商業(yè)黑客組織人數(shù)約幾十至幾百人不等，一年的收入高達(dá)幾億至十幾億美元。

此外，經(jīng)過(guò)調(diào)查，商業(yè)黑客組織雖然偶爾會(huì)出現(xiàn)在黑客論壇和暗網(wǎng)市場(chǎng)中，但是大部分情況下只會(huì)維護(hù)自己的商業(yè)圈，他們很少公開(kāi)與個(gè)人黑客保持互動(dòng)。他們通過(guò)勒索軟件和留言直接向受害企業(yè)進(jìn)行“銷售”，其事件也更加不透明，相較于論壇與市場(chǎng)中幾十美元至幾萬(wàn)美元的平均售價(jià)，其價(jià)格也更加昂貴。

另外，據(jù)已知情報(bào)，AI和自動(dòng)化對(duì)于黑客組織的影響巨大，有一部分組織已經(jīng)開(kāi)始訓(xùn)練自動(dòng)化攻擊大模型，雖然進(jìn)度未知，但如果成功必將成百倍千倍的提升其攻擊和勒索效率。也可以預(yù)見(jiàn)到，未來(lái)黑客組織的規(guī)模和特點(diǎn)趨勢(shì)將小型化、智能化、自動(dòng)化。這也必然會(huì)挑戰(zhàn)當(dāng)前我們的防御整體規(guī)劃和策略，提升我們的防御難度。

合理使用安全開(kāi)源情報(bào)，提升防御者的認(rèn)知?jiǎng)菰诒匦小?/p>

預(yù)告：Part 5 他們自稱無(wú)政府主義者，敬請(qǐng)期待。