监控说明:以下数据由零零信安0.zone安全开源情报系统提供,该系统监控范围包括约10万个明网、深网、暗网、匿名社交社群威胁源。在进行抽样事件分析时,涉及到我国的数据不会选取任何政府、安全与公共事务的事件进行分析。如遇到影响较大的伪造事件,会进行分析和辟谣。
1.数据泄露市场
2024年5月共监控到全球DWM(Dark Web Market)情报:
深网和暗网有效情报1,149,360份;
泄露数据的高价值买卖情报2,301份。
1.1.国家分类
其中美国是数据泄露第一大国,共泄露数据704份,其他数据泄露较多的国家还包括:中国、印度、英国、德国、法国、加拿大、俄罗斯、巴西等。详情如下图所示:
在“其他”数据中包含其他国家以及无法准确进行国家分类的数据泄露事件,例如二要素数据(账号:密码/邮箱:密码)、LOG记录等。
1.2.行业分类
5月份行业属性数据占泄露数据总量约79%左右,泄露的行业数据主要包括金融行业、信息和互联网行业、批发零售业、党政军与社会、文体娱乐业等。21%左右的泄露数据无明显行业属性,包括邮箱密码二要素数据、无明显泄露源 公民个人信息数据、批量的企业工商数据等。详情如下图所示:
1.3.泄露数量
5月份泄露的数据中包含数份数亿的公民个人信息数据泄露,因此除上述数据外,全球整体数据泄露量达到数十亿行以上。排除该类数据泄露,具有明确泄露源的非二要素新数据泄露量约在数十亿行以上。.
2.事件抽样分析
2.1.秘鲁军方文档数据泄露
发布时间:2024.5.29
泄露数量:12,970
售卖/发布人:Lucifer
事件描述:2024.5.29某暗网数据交易平台有人宣称正在售卖一份秘鲁军方文档数据。作者称此份数据中包含机密数据和非机密数据,总数量为12,970分pdf文件。
2.2.泰国DOI秘密文件数据泄露
发布时间:2024.5.25
泄露数量:2,931
售卖/发布人:R1g
事件描述:2024.5.25某暗网数据交易平台有人宣称正在售卖一份泰国DOI秘密文件数据。卖家称此份数据共包含2,931份文件,售价为3,000美元。
2.3.欧洲刑警组织数据泄露
发布时间:2024.5.10
泄露数量:
售卖/发布人:IntelBroker
事件描述:2024.5.10某暗网数据交易平台有人宣称正在售卖一份欧洲刑警组织数据。卖家称此次泄露的数据中包含:联盟员工、FOUO源代码、PDF文件、侦察文件和指导方针。此份数据的价格未知且卖家只支持门罗币交易。
2.4.美国陆军航空和导弹司令部数据泄露
发布时间:2024.5.15
泄露数量:
售卖/发布人:IntelBroker
事件描述:2024.5.15某暗网数据交易平台有人宣称正在售卖一份美国陆军航空和导弹司令部数据。卖家称此份数据是2023年8月通过攻击美国国防部得来的,损坏的数据包括:维护任务,以及一些pdf、png、txt文件。此份数据卖家并未提及价格,在该论坛关闭后通过联系卖家得知此份数据的价格为2,500美元。
2.5.美国犯罪数据库泄露
发布时间:2024.5.24
泄露数量:70,000,000
售卖/发布人:USDoD
事件描述:2024.5.24某暗网数据交易平台有人宣称正在售卖一份美国犯罪数据库。卖家称此份数据的来源是Nationalpublicdata.com,National Public Data是一家公共记录数据提供商,专门从事背景调查和欺诈预防。此份数据包含的字段有:姓名、地址、SSN社会安全号码、年龄、身高体重、犯罪日期等超50个字段,数据数量为7000万条。
3.勒索软件和黑客组织
3.1.活跃商业黑客组织综述
2024年5月全球活跃的商业黑客组织(有勒索发布行为)共36个,公开的勒索事件共494件,TOP 10的黑客组织如下所示:
TOP 10的商业黑客组织公开发布的勒索事件占全部事件的73%,如下所示:
3.2.黑客组织活度趋势
下图为近一年来黑客组织活跃度趋势图,从下图可看出,虽然每个月全球商业黑客组织的活动波动性较强(本月与上月相比有所增加),整体活跃度趋势正在逐步趋于稳定,统计末端(2024年5月)达到一年前统计前端(2023年6月)的141.5%:
随着TI+AI(开源情报+人工智能自动化)的攻击方式逐步成熟,尤其是2023年以来,WormGPT和FraudGPT的发布和发展,黑客组织正在向精英化、小型化、自动化演进,这也促使更多的黑客组织逐渐分裂、诞生和成长,本月活跃的黑客组织的数量如下图所示:
3.3.本月典型事件说明
由于每月黑客组织行动数量庞大,无法在报告中枚举全部事件,分析员随机抽取展示10个典型样例事件,并对其中部分代表性事件进行细节说明:
1.美国密苏里州县
商业黑客组织Black suit在2024.5.11公布了美国密苏里州县被勒索的信息。黑客组织Black suit正在与该部门进行谈判,截止本篇报告发出之时,Black suit已经释放了约八分之一的该部门数据。
2.巴西政府
商业黑客组织Arcus Media在2024.5.24公布了巴西政府被勒索的信息。该部门未按照勒索组织的要求在规定期限内支付赎金,Arcus Media随后公布了窃取到的所有数据。
3.舒特金属公司
商业黑客组织Cactus在2024.5.20公布了舒特金属公司被勒索的信息。该部门未按照勒索组织的要求在规定期限内支付赎金,Cactus随后公布了窃取到的所有数据。
3.4.典型黑客组织简介(Cactus)
由于国内安全行业尚处于从以合规为目标向实战化攻防的转型初期,我们计划在每期报告中对一个典型的商业黑客组织进行科普性介绍,以普遍增加从业人员对勒索软件和黑客组织的认知度。
已经介绍过的黑客组织有:Lockbit3,Royal,Play,Rhysida,Alphv,8base,Hunters International、Play、Akira如需了解请翻阅往期报告。
Cactus于2023年3月开始首次行动,截止2024年5月底共发动了186次勒索行动,平均每个月就有超10名受害者。在一项关于勒索软件增长的研究中,SANS 研究所将Cactus追踪为当年增长最快的威胁行为者之一。这项研究还发现,2023年所有勒索软件攻击中有17%是由2022年不存在的新团体进行的。Cactus 是这群新威胁行为者中排名前五的威胁之一。该组织的名称来自勒索信的文件名“cAcTuS.readme.txt”。加密文件将重命名为扩展名 .CTS x,其中x是一个数字,在每次攻击中都会有所不同。Cactus是典型的双重勒索、勒索软件即服务 (RaaS)操作。运营商已证明能够快速发起新攻击,尤其是在响应新的CVE 时。该组织对网络安全团队构成了不断演变且具有挑战性的威胁。Cactus因2024年1月成功攻击施耐德电气而成为头条新闻。施耐德电气是一家法国跨国公司,在全球拥有数百个办事处,其中包括美国的几个办事处。该公司拥有数千家企业客户,能源和电力市场份额为 35.7%。只有可持续发展业务部门在此次事件中受到影响,但该部门的客户包括 Clorox、DHL、杜邦、希尔顿、百事可乐和沃尔玛。Cactus声称在启动勒索软件之前已经提取了施耐德 1.5TB 的数据。以下是Cactus的官网界面:
下面是他们的规则介绍:
在其官网上留有第三方通讯联系方式: