监控说明:以下数据由零零信安0.zone安全开源情报系统提供,该系统监控范围包括约10万个明网、深网、暗网、匿名社交社群威胁源。在进行抽样事件分析时,涉及到我国的数据不会选取任何政府、安全与公共事务的事件进行分析。如遇到影响较大的伪造事件,会进行分析和辟谣。
1.数据泄露市场
2024年8月共监控到全球DWM(Dark Web Market)情报:
深网和暗网有效情报2,365,643份;
泄露数据的高价值买卖情报4,302份。
1.1.国家分类
其中美国是数据泄露第一大国,共泄露数据1133份,其他数据泄露较多的国家还包括:中国、印度、印尼、英国、俄罗斯、法国、巴西、德国等。详情如下图所示:
在“其他”数据中包含其他国家以及无法准确进行国家分类的数据泄露事件,例如二要素数据(账号:密码/邮箱:密码)、LOG记录等。
1.2.行业分类
8月份行业属性数据占泄露数据总量约90%左右,泄露的行业数据主要包括信息和互联网行业、金融行业、党政军与社会、批发零售业、教育行业等。10%左右的泄露数据无明显行业属性,包括邮箱密码二要素数据、无明显泄露源 公民个人信息数据、批量的企业工商数据等。详情如下图所示:
1.3.泄露数量
8月份泄露的数据中包数份十数亿三要素数据泄露,因此除上述数据外,全球整体数据泄露量达到数十亿行以上。排除该类数据泄露,具有明确泄露源的非二要素新数据泄露量约在数十亿行以上。
2.事件抽样分析
2.1.peopledatalab数据泄露12亿条
发布时间:2024.8.18
泄露数量:1,213,654,945
售卖/发布人:AhmerAI
事件描述:2024.8.18某暗网数据交易平台有人宣称正在售卖一份peopledatalab数据。卖家称此份数据与此前peopledatalab泄露过的4亿条数据不是同一份,称此份数据有效姓名字段超12亿条;有效邮箱字段超4亿条;有效电话字段超1800万条;有效领英链接超12亿条;有效国家字段超11亿条,此份数据的价格为15,000美元。
2.2.俄罗斯机密军事文件数据泄露
发布时间:2024.8.30
泄露数量:
售卖/发布人:nexwl
事件描述:2024.8.30某暗网数据交易平台有人宣称正在售卖一份俄罗斯机密军事文件。卖家称此份数据包含了:有关开发解决方案以保护无人机操作和管理中使用的无线信号的先进技术细节。他们讨论了精确控制无人机的重要性,强调了对无线电频率进行最佳管理的必要性,以避免任何可能影响这些飞机效率的干扰或干扰。内容概述了选择合适频率、设计天线和使用各种技术来确保信号安全的建议。此外,这些文件还包括与俄罗斯军方有关的高度敏感信息,特别是军方在战争中使用的秘密频率。此份数据的价格为10,000美元。
2.3.俄罗斯核文件数据泄露
发布时间:2024.8.30
泄露数量:
售卖/发布人:everlivingfire22
事件描述:2024.8.30某暗网数据交易平台有人宣称正在售卖一份俄罗斯核文件数据。卖家称此份数据包含:核武器的详细技术规格,包括设计、当量能力、运载机制和操作程序,还包括战略防御计划、部署战略和核武库的位置。此外,这些文件可能会严重损害俄罗斯的国家安全。此份数据的价格未知。
2.4.美国机密军事计划黑矛计划数据泄露
发布时间:2024.8.24
泄露数量:
售卖/发布人:nexwl
事件描述:2024.8.24某暗网数据交易平台有人宣称正在售卖一份美国机密军事计划黑矛计划。黑矛计划:美国加强国防的秘密倡议美国正在不断发展其防御战略,以保持对新兴全球威胁的优势。最近一项名为“黑矛计划”的机密倡议是朝着这个方向迈出的重要一步。该项目的主要目的是抵消敌对国家在导弹技术和网络能力方面的快速发展。黑矛项目是在国防情报局(DIA)、国家侦察局(NRO)和国家安全局(NSA)的联合指导下开发的一个高度机密的项目。它侧重于加强美国在多个领域的战略防御能力:太空、网络和导弹防御。该倡议不仅寻求防御潜在威胁,还寻求在技术上实现跨越式发展,以保持决定性优势。卖家称拥有这个绝密项目的完整档案,包括运营细节、技术进步和战略计划。附加机密文件:一系列文件,揭示了美国国防战略、秘密资助机制和机构间行动的隐藏方面。
2.5.中情局关于俄罗斯逃避制裁策略的报告数据泄露
发布时间:2024.8.28
泄露数量:
售卖/发布人:nexwl
事件描述:2024.8.28某暗网数据交易平台有人宣称正在售卖一份中情局关于俄罗斯逃避制裁策略的报告数据。卖家称此份数据“这是一份直接来自中央情报局的绝密文件,概述了俄罗斯绕过国际制裁的秘密战略。在最高分类级别下,这份报告不是普通的文件;它很敏感,高度受限,不适合外国人看。其中的细节具有爆炸性,可能会改变任何有兴趣理解或对抗俄罗斯全球演习的各方的游戏规则。”
此份数据的价格为2,000美元。
3.勒索软件和黑客组织
3.1.活跃商业黑客组织综述
2024年8月全球活跃的商业黑客组织(有勒索发布行为)共34个,公开的勒索事件共386件,TOP 10的黑客组织如下所示:
TOP 10的商业黑客组织公开发布的勒索事件占全部事件的69%,如下所示:
3.2.黑客组织活度趋势
下图为近一年来黑客组织活跃度趋势图,从下图可看出,虽然每个月全球商业黑客组织的活动波动性较强(本月与上月相比有所增加),整体活跃度趋势正在逐步趋于稳定,统计末端(2024年8月)达到一年前统计前端(2023年9月)的73.24%:
随着TI+AI(开源情报+人工智能自动化)的攻击方式逐步成熟,尤其是2023年以来,WormGPT和FraudGPT的发布和发展,黑客组织正在向精英化、小型化、自动化演进,这也促使更多的黑客组织逐渐分裂、诞生和成长,本月活跃的黑客组织的数量如下图所示:
3.3.本月典型事件说明
由于每月黑客组织行动数量庞大,无法在报告中枚举全部事件,分析员随机抽取展示10个典型样例事件,并对其中部分代表性事件进行细节说明:
1.美国法警局
商业黑客组织hunter在2024.8.17公布了美国法警局被勒索的信息。该组织未按照规定时间内支付赎金,hunter于2024.8.29释放了获取到的所有该组织的数据。
2.美国艾肯房屋委员会
商业黑客组织Black Suit在2024.8.6公布了美国艾肯房屋委员会被勒索的信息。该组织未按照规定时间内支付赎金,Black Suit于2024.8.23释放了获取到的所有该组织的数据。
3.美国住房和城市发展部
商业黑客组织Meow在2024.8.7公布了美国住房和城市发展部被勒索的信息。该组织未按照规定时间内支付赎金,Meow随后将这些数据以1000-3000美元的价格进行出售。
3.4.典型黑客组织简介(Arcus Media)
由于国内安全行业尚处于从以合规为目标向实战化攻防的转型初期,我们计划在每期报告中对一个典型的商业黑客组织进行科普性介绍,以普遍增加从业人员对勒索软件和黑客组织的认知度。
已经介绍过的黑客组织有:Lockbit3,Royal,Play,Rhysida,Alphv,8base,Hunters International、BianLian、Akira、Cactus、Abyss-Data、Black Suit如需了解请翻阅往期报告。
本期介绍的是Arcus Media黑客组织。Arcus Media于2024年5月中旬开始首次行动,截止2024年7月底共发动了28次勒索行动。其中Arcus Media 5 月份成功发动的勒索软件攻击次数在勒索软件组织中排名第10,共有11次攻击成功。Arcus Media 使用带有恶意附件的钓鱼电子邮件获取初始访问权限。他们部署自定义勒索软件二进制文件和混淆脚本来执行有效负载,创建计划任务以保持持久性,并使用 Mimikatz等工具进行权限提升。他们的方法包括常规勒索和双重勒索。Arcus Media 以 勒索软件即服务 (RaaS)的形式运营,允许其他威胁行为者使用他们的恶意软件。研究人员指出,他们有一个独特的联盟计划,要求新联盟必须由现有联盟推荐。该组织针对多个行业,包括政府、金融、医疗保健和教育,其中最著名的攻击是美国电信和伦敦医院。 以下为Arcus Media的官网界面:
在其官网规则中介绍到“如果受害者不支付赎金或没人购买则他们会泄露数据出来供他人下载”。
在联系方式上有TOX和XMPP两种联系方式,同时在其网页底部有泄露(leaked)、售卖(sell)和勒索新闻(new)三种分类: