监控说明:以下数据由零零信安0.zone安全开源情报系统提供,该系统监控范围包括约10万个明网、深网、暗网、匿名社交社群威胁源。在进行抽样事件分析时,涉及到我国的数据不会选取任何政府、安全与公共事务的事件进行分析。如遇到影响较大的伪造事件,会进行分析和辟谣。
1.数据泄露市场
2024年3月共监控到全球DWM(Dark Web Market)情报:
深网和暗网有效情报290,865份;
泄露数据的高价值买卖情报1,519份。
1.1.国家分类
其中美国是数据泄露第一大国,共泄露数据501份,其他数据泄露较多的国家还包括:中国、俄罗斯、印度、英国、印尼、西班牙、巴西等。详情如下图所示:
在“其他”数据中包含其他国家以及无法准确进行国家分类的数据泄露事件,例如二要素数据(账号:密码/邮箱:密码)、LOG记录等。
1.2.行业分类
3月份行业属性数据占泄露数据总量约84%左右,泄露的行业数据主要包括信息和互联网行业、党政军与社会、金融行业、批发零售业、文体娱乐业等。16%左右的泄露数据无明显行业属性,包括邮箱密码二要素数据、无明显泄露源的 公民个人信息数据、批量的企业工商数据等。详情如下图所示:
1.3.泄露数量
3月份泄露的数据中包含数份数十亿的二要素个人数据泄露,因此除上述数据外,全球整体数据泄露量达到数十亿行以上。排除该类数据泄露,具有明确泄露源的非二要素新数据泄露量约在数十亿行以上。
2.事件抽样分析
2.1.北约军事数据泄露
发布时间:2024.3.11
泄露数量:
售卖/发布人:aaron_bushnell
事件描述:2024.3.11某暗网数据交易平台有人宣称正在售卖一份北约军事数据。该卖家称他们窃取了超过5GB的数据,售价为20,000美元。卖家称此份数据包括4000个关于军事地图的敏感文档,在北约工作的雇员和军人的信息,秘密合同等。此黑客团队Aaron Bushnell的攻击对象主要是以色列和北约以及其成员国,他们声称所有售卖数据所得到的资金将会做于对巴勒斯坦人道主义的支持。
2.2.FBI数据泄露
发布时间:2024.3.5
泄露数量:
售卖/发布人:Team1956
事件描述:2024.3.5某暗网数据交易平台有人宣称正在售卖一份美国联邦调查局(FBI)数据。此份数据售价为499美元,卖家称此份数据获取日期是2024年1月,泄露的数据字段有:身份证、电子邮件、地点、全名、号码、电话、机密文件、照片和其他数据。卖家还留下了他的telegram联系方式以供买家获取此数据的细节并购买。
2.3.DOD数据泄露
发布时间:2024.3.15
泄露数量:399,373
售卖/发布人:HikkI-Chan
事件描述:2024.3.15某暗网数据交易平台有人宣称正在售卖一份美国国防部(dod)数据。卖家于3月15日前后两次上传了共计399,373条数据。其中第一份数据包含姓名,电话,城市、职位、参加过什么战争等字段,第二份数据包含姓名、电话、邮箱、地址等字段。卖家称两份数据的来源均是美国国防部官方网站https://dod.hawaii.gov/。
2.4.俄罗斯军队领导数据泄露
发布时间:2024.3.20
泄露数量:739
售卖/发布人:malloyanon
事件描述:2024.3.20某暗网数据交易平台有人宣称正在售卖一份俄罗斯军队领导数据。此份数据的涉及部门有俄罗斯空降部队、地面部队、空军、防空部队、反舰导弹旅、海军等。数据样本包含用户名称,电话号码,军衔,职位等,价格暂时未知。
2.5.泰国内部安全行动指挥部数据泄露
发布时间:2024.3.6
泄露数量:
售卖/发布人:R1g
事件描述:2024.3.6某暗网数据交易平台有人宣称正在售卖一份泰国内部安全行动指挥部(Internal Security Operations Command,简称‘ISOC’)数据。内部安全行动指挥部(ISOC)是泰国皇家武装部队的政治部门。卖家称此份数据共200GB,包含大量绝密、机密项目以及操作文件并附上了一些样例作为证明,价格卖家并未提及。
3.勒索软件和黑客组织
3.1.活跃商业黑客组织综述
2024年3月全球活跃的商业黑客组织(有勒索发布行为)共34个,公开的勒索事件共439件,TOP 10的黑客组织如下所示:
TOP 10的商业黑客组织公开发布的勒索事件占全部事件的64%,如下所示:
3.2.黑客组织活度趋势
下图为近一年来黑客组织活跃度趋势图,从下图可看出,虽然每个月全球商业黑客组织的活动波动性较强(本月与上月相比有所增加),整体活跃度趋势正在逐步增加,统计末端(2024年3月)达到一年前统计前端(2023年4月)的126.9%:
随着TI+AI(开源情报+人工智能自动化)的攻击方式逐步成熟,尤其是2023年以来,WormGPT和FraudGPT的发布和发展,黑客组织正在向精英化、小型化、自动化演进,这也促使更多的黑客组织逐渐分裂、诞生和成长,本月活跃的黑客组织的数量如下图所示:
3.3.本月典型事件说明
由于每月黑客组织行动数量庞大,无法在报告中枚举全部事件,分析员随机抽取展示10个典型样例事件,并对其中部分代表性事件进行细节说明:
1.美国田纳西州谢尔比县下属城市Bartlett
商业黑客组织lockbit3在2024.3.2公布了美国田纳西州谢尔比县下属城市Bartlett被勒索的信息。该部门未按照勒索组织的要求在规定期限内支付赎金,随后lockbit3公布了窃取到的所有数据。
2.联合国开发计划署
商业黑客组织8base在2024.3.4公布了联合国开发计划署被勒索的信息。该部门未按照勒索组织的要求在规定期限内支付赎金,8base于3.27公布了窃取到的所有数据。
3.大陆航空航天技术
商业黑客组织play在2024.3.6公布了大陆航空航天技术被勒索的信息。该部门未按照勒索组织的要求在规定期限内支付赎金,play于3.9公布了窃取到的所有数据。
3.4.典型黑客组织简介(BianLian)
由于国内安全行业尚处于从以合规为目标向实战化攻防的转型初期,我们计划在每期报告中对一个典型的商业黑客组织进行科普性介绍,以普遍增加从业人员对勒索软件和黑客组织的认知度。
已经介绍过的黑客组织有:Lockbit3,Royal,Play,Rhysida,Alphv,8base,Hunters International如需了解请翻阅往期报告。
本期介绍BianLian黑客组织。BianLian勒索软件行动始于2021年底,攻击和技术持续发展到2024年。该黑客组织进行双重勒索行动:要求支付解密器费用以及不公开被盗数据。该黑客组织托管一个TOR的公共博客,用于发布受害者身份和被盗数据。在勒索初始阶段,BianLian并不会公开被害者的公司名称,只会写出该公司的简介。BianLian黑客组织针对多个行业,几乎没有任何歧视。攻击对象多数为制造业但也会对医疗保健、教育和政府实体实施攻击。BianLian的文件加密速度极快,全盘加密可能只需要几分钟甚至几秒。受害者在注意到发生异常情况之前就已完全加密。BianLian受害者被指示通过TOX或安全的onionmail地址与其进行接触。以下是BianLian官网页面:
BianLian黑客组织在其官方上留下了tox和邮箱联系方式以供受害者来联系他们:
BianLian黑客组织会对受害者的规模以及收入综合进行评估以此来决定勒索金额。BianLian的官网对于受害者的标签分类相较于其他黑客组织显得非常清晰,会对受害者进行国家、行业以及公司所开展业务领域进行分类。并且在勒索不成释放数据时也会按照数据的类型进行分类归纳:
扫一扫
1935
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
