监控说明:以下数据由零零信安0.zone安全开源情报系统提供,该系统监控范围包括约10万个明网、深网、暗网、匿名社交社群威胁源。在进行抽样事件分析时,涉及到我国的数据不会选取任何政府、安全与公共事务的事件进行分析。如遇到影响较大的伪造事件,会进行分析和辟谣。
1.数据泄露市场
2024年7月共监控到全球DWM(Dark Web Market)情报:
● 深网和暗网有效情报49,832份;
● 泄露数据的高价值买卖情报3,730份。
1.1. 国家分类
其中美国是数据泄露第一大国,共泄露数据777份,其他数据泄露较多的国家还包括:印度、中国、俄罗斯、印尼、法国、巴西、英国等。详情如下图所示:
在“其他”数据中包含其他国家以及无法准确进行国家分类的数据泄露事件,例如二要素数据(账号:密码/邮箱:密码)、LOG记录等。
1.2. 行业分类
7月份行业属性数据占泄露数据总量约82%左右,泄露的行业数据主要包括信息和互联网行业、金融行业、党政军与社会、文体娱乐业、批发零售业等。28%左右的泄露数据无明显行业属性,包括邮箱密码二要素数据、无明显泄露源 公民个人信息数据、批量的企业工商数据等。详情如下图所示:
1.3.泄露数量
7月份泄露的数据中包数份十几亿邮箱密码二要素数据泄露,因此除上述数据外,全球整体数据泄露量达到数百亿行以上。排除该类数据泄露,具有明确泄露源的非二要素新数据泄露量约在数十亿行以上。
2.事件抽样分析
2.1.印度国防部员工数据泄露
发布时间:2024.7.25
泄露数量:1,800,000
售卖/发布人:IMPORTANT_LEAK
事件描述:2024.7.25某暗网数据交易平台有人宣称正在售卖一份印度国防部员工数据。该名卖家称在2024年7月11日攻击了www.mod.gov.in得到了国防部员工的数据。数据字段:姓名、电话号码、人员代码、密码等。卖家称此份数据共有1,800,000条,并上传了部分样例,此份数据的售价为3,000美元。
2.2.北约TIDE(信息决策与执行优势智库)数据泄露
发布时间:2024.7.7
泄露数量:
售卖/发布人:natohub
事件描述:2024.7.7某暗网数据交易平台有人宣称正在售卖一份北约TIDE(信息决策与执行优势智库)数据。该名黑客称数据共有643个csv文件,总大小为271MB,数据包含:用户数据、用户组、物理/虚拟服务器、事件等。
2.3.美国陆军、海军、空军、海岸警卫队数据泄露
发布时间:2024.7.19
泄露数量:25,152
售卖/发布人:natohub
事件描述:2024.7.19某暗网数据交易平台有人宣称正在售卖一份美国陆军、海军、空军、海岸警卫队军人个人信息数据。其中空军9450条,海军8681条,陆军5571条,海岸警卫队1450条。涉及到的数据字段有:ID、姓名、职务、电子邮件、电话、单位。
2.4.委瑞内拉军队数据泄露
发布时间:2024.7.31
泄露数量:1,000,000
售卖/发布人:Valerie
事件描述:2024.7.31某暗网数据交易平台有人宣称正在售卖一份委瑞内拉军队数据。该名黑客称“尽管马杜罗曾承诺举行自由公正的选举,但这一进程因涉嫌谋杀而受到损害——反对派人士被捕,他们的主要领导人被禁止参选。委内瑞拉军队网站(ejercito.mil.ve)遭到入侵,这是独裁政权和自称2024年委内瑞拉大选“获胜者”尼古拉斯·马杜罗的报复。这是一种反对自由和民主的行为;因此,我们与人民站在一起。”该黑客称此份数据共有100多万条在内的委瑞内拉军方和政府雇员的个人信息数据,包括:全名、电子邮件、地址、凭据、密码等。
2.5.巴西国有核能公司数据泄露
发布时间:2024.7.18
泄露数量:
售卖/发布人:ZeroSevenGroup
事件描述:2024.7.18某暗网数据交易平台有人宣称正在售卖一份巴西国有核能公司Nuclebrás Equipamentos Pesados S.A(NUCLEP)数据。NUCLEP是一家巴西国有核公司,专门从事核工程和核、国防、石油和天然气工业的重型设备。该黑客称获取到了超250GB的数据,其中包括国防制造业、核制造和采矿、军用核潜艇、方案Autocad(3D、dwg等)、铀矿开采视频和图片、石油和天然气、员工详细信息(电子邮件、密码、姓名等)等,此份数据的价格未知。
3.勒索软件和黑客组织
3.1.活跃商业黑客组织综述
2024年7月全球活跃的商业黑客组织(有勒索发布行为)共42个,公开的勒索事件共445件,TOP 10的黑客组织如下所示:
TOP 10的商业黑客组织公开发布的勒索事件占全部事件的64%,如下所示:
3.2.黑客组织活跃度趋势
下图为近一年来黑客组织活跃度趋势图,从下图可看出,虽然每个月全球商业黑客组织的活动波动性较强(本月与上月相比有所增加),整体活跃度趋势正在逐步趋于稳定,统计末端(2024年7月)达到一年前统计前端(2023年8月)的68.94%:
随着TI+AI(开源情报+人工智能自动化)的攻击方式逐步成熟,尤其是2023年以来,WormGPT和FraudGPT的发布和发展,黑客组织正在向精英化、小型化、自动化演进,这也促使更多的黑客组织逐渐分裂、诞生和成长,本月活跃的黑客组织的数量如下图所示:
3.3.本月典型事件说明
由于每月黑客组织行动数量庞大,无法在报告中枚举全部事件,分析员随机抽取展示10个典型样例事件,并对其中部分代表性事件进行细节说明:
1.美国佛罗里达州卫生部
商业黑客组织RansomHub在2024.7.2公布了美国佛罗里达州卫生部被勒索的信息。该组织未按照规定时间内支付赎金,随后RansomHub释放了获取到的所有该组织的数据。
2.美国纽卡斯尔市政府
商业黑客组织RansomHub在2024.7.13公布了美国纽卡斯尔市政府被勒索的信息。该组织未按照规定时间内支付赎金,随后RansomHub释放了获取到的所有该组织的数据。
3.美国城市圣罗莎
商业黑客组织hunter在2024.7.4公布了美国城市圣罗莎被勒索的信息。该组织未按照规定时间内支付赎金,随后hunter释放了获取到的所有该组织的数据。
3.4.典型黑客组织简介(Black Suit)
由于国内安全行业尚处于从以合规为目标向实战化攻防的转型初期,我们计划在每期报告中对一个典型的商业黑客组织进行科普性介绍,以普遍增加从业人员对勒索软件和黑客组织的认知度。
已经介绍过的黑客组织有:Lockbit3,Royal,Play,Rhysida,Alphv,8base,Hunters International、BianLian、Akira、Cactus、Abyss-Data如需了解请翻阅往期报告。
本期介绍的是Black Suit黑客组织。Black Suit于2023年5月开始首次行动,截止2024年7月底共发动了147次勒索行动。Black Suit似乎与 Royal 勒索软件团伙有着密切的联系,而该团伙本身就是臭名昭著的 Conti 集团的残余。Black Suit是一个多管齐下的黑客组织,加密和窃取受害者数据,并上传不支付赎金的受害者数据到公共数据泄露网站。该组织因对医疗保健和教育部门以及其他关键行业的实体发动重大攻击而闻名。Black Suit 是一个私人行动,没有公共附属机构。Black Suit的目标为大型企业和中小型企业 (SMB) ,但在行业或目标类型方面似乎没有任何具体的歧视。与Royal类似,CIS(独立国家联合体)中的实体似乎被排除在外。到目前为止,Black Suit 的目标对象主要是医疗保健、教育、信息技术 (IT)、政府、零售和制造业。网络钓鱼电子邮件是 Black Suit 威胁行为者最成功的初始访问媒介之一。在获得受害者网络的访问权限后,Black Suit 行为者会禁用防病毒软件并泄露大量数据,然后最终部署勒索软件并加密系统。 赎金要求通常在约 100 万美元至 1000 万美元之间,要求以比特币支付。Black Suit 参与者总共要求超过 5 亿美元赎金,最大的个人赎金要求为 6000 万美元。Black Suit 参与者表现出协商支付金额的意愿。最近,受害者收到 Black Suit 参与者关于入侵和赎金的电话或电子邮件通信的案例数量有所增加。以下为Black Suit的官网界面:
详情页面中可以看到受害者的详情以及底部的联系方式:
Black Suit的官网上可供受害者联系的界面:
如受害者拒绝支付赎金,Black Suit会把窃取到的受害者的数据放到其托管的服务器上以供他人下载:
扫一扫
887
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
