暗网不仅仅是一个匿名的领域,它还是一个提供大量非法商品的繁华中心。威胁行为者以各种方式利用暗网,例如:
犯罪论坛和市场:这些平台促进了各种类型的非法交易。威胁广告经常被犯罪分子用来在暗网上宣传他们的非法服务,从零售套现服务到信用卡业务,再到银行内部人员协助盗窃。 安全通信渠道:威胁行为者利用暗网进行安全通信。封闭且经过精心策划的社区、加密聊天群组和私人论坛使他们能够交换信息、协调攻击并共享工具而不被发现。 僵尸网络租赁和购买:在暗网上,威胁行为者可以租赁或购买不同规模和功能的僵尸网络的访问权限,从而使他们能够实施大规模网络攻击、窃取敏感数据或不受惩罚地从事欺诈活动。 还有很多其他的。 激动人心的欧洲足球锦标赛(又名2024年欧洲杯,UEFA)吸引了德国2000多万球迷和全球的数百万球迷。然而,这种兴奋也吸引了威胁行为者的注意,他们正在利用人们对该赛事的期待与关注来实现他们的邪恶目标。
“暗网下/AWX”注意到,Cyberint的一份新报告指出,针对该体育赛事的网络威胁激增。Cyberint的暗网监测显示,威胁行为者讨论的内容涉及欧洲杯、销售账户搜索、门票优惠、免费/廉价流媒体服务以及出售被泄露的客户凭据。
在初步洞察的基础上,Cyberint对2024年欧洲杯网络安全形势的详细研究突出表明,威胁行为者可利用的机会显著增加。随着欧洲最大的足球国家齐聚一堂,庆祝体育盛典,另一方面也揭示了日益严重的威胁形势,数百万人的热情和广泛的数字足迹为网络攻击创造了完美的风暴。
据报道,威胁行为者正在使用泄露的欧洲杯官网的客户凭证进行欺诈活动,例如接管账户和购买门票。他们还可以窃取敏感的个人信息、冒充账户所有者,获得资金或支付卡的访问权限。
自2024年以来,Cyberint已检测到超过15000多个泄露的欧洲杯网站的客户凭证,并且在暗网市场上发现超过2000个欧洲杯网站客户凭证正在出售。这些凭证通常通过“凭证收集恶意软件”窃取的,该恶意软件会感染受害者的机器,并将用户输入的内容(键盘记录)发送给C&C服务背后的控制者。
由于欧洲杯已将其锦标赛的流媒体转播版权出售给媒体网络,这为网络犯罪分子提供了一个创建非法内容网站的机会,可以提供免费直播和实时比分,以吸引没有有线电视或流媒体订阅的球迷。点击这些恶意网站上的链接可能会导致数据泄露或病毒感染。这些网站可能会导致受害者的计算机和网络被控制,并要求受害者支付赎金,或者控制系统以进行欺诈或间谍活动。访问这些网站还可能发生一种恶意软件攻击——路过式下载(Drive-by download)。
冒充欧洲杯官方应用程序的假APK应用 研究人员指出,冒充欧洲杯官方应用程序的移动应用程序在第三方应用商店中随处可见,通常包含恶意代码。这些商店监管较少,允许任何人上传未经授权的应用程序而不受监管。
威胁行为者上传未经授权的应用程序,通常包含恶意代码,使用户面临恶意软件和数据泄露的风险。这些应用程序使用欧洲杯品牌的名称和徽标,以欧洲杯的球迷、客户和志愿者为目标。
此外,2024年欧洲杯的球迷还越来越依赖第三方售票网站,这也为骗子提供了可乘之机。一些卖家利用球迷的热情,兜售假票或不存在的门票,通过社交媒体联系或创建精心设计的钓鱼网站来模仿合法的门票销售商。
另一种欺诈手段是门票抽奖,为粉丝提供获得免费门票的机会。威胁者可利用提供的详细信息锁定受害者进行诈骗,或将信息出售给出价最高者。
研究人员发现,在这种情况下,欧洲杯的网站可能是薄弱环节。
“一个值得注意的方面是欧洲杯官方网站uefa.com的错误配置。此类漏洞带来了切实的风险,可能成为威胁行为者发动攻击的门户,”研究人员在报告中解释道。
Cyberint建议谨慎对待未经请求的通信,验证网站的真实性,并使用安全的付款方式。为避免门票欺诈,请仅从授权来源购买门票,使用PayPal等安全支付平台,优先使用信用卡付款,避免直接银行转账或汇款,以防止2024年欧洲杯被“机会主义威胁行为者”破坏。
超过三分之二的英国国会议员的数据已被泄露到暗网。这相当于目前在下议院任职的政客的70%左右,包括那些应该负责英国网络安全的政客。
这一令人震惊的数据来自领先的数字风险公司Constella Intelligence和端对端加密邮件服务ProtonMail背后的厂商——隐私提供商Proton的联合调查。根据他们的记录,在650名议员中,共有443名的个人信息在黑客攻击或入侵中被泄露,这些信息是从议员使用议会电子邮件地址注册的第三方服务中收集的。
事实证明,在账户安全方面,英国议员的表现也远不如欧洲和法国政客。不到一半的欧洲议会议员(44%)受到影响,据报道,只有18%的法国国民议会和参议院议员的个人信息被泄露。Proton是一家总部位于瑞士的安全软件供应商,也是市场上最好的VPN服务提供商之一,现在它呼吁下一届英国政府最终“认真对待网络安全问题”。
“在当今的数字环境中,强大的网络安全实践至关重要,尤其是对于那些身居要职的人而言。考虑到国会议员拥有的访问权限,一个泄露的密码可能会导致严重的国家安全漏洞,”Proton账户安全主管Eamonn Maguire表示。
研究人员发现,暗网中曝光了216个与被泄露的国会议员账户相关的纯文本密码,令人震惊的是,仅一名国会议员就泄露了多达10个密码。政客的议会电子邮件是涉及泄露的最大数据,在暗网上被曝光了2110次。虽然被泄露的议员信息平均被曝光4.7次,但最常被攻击的议员遭受了多达30次泄露。
这些数字令人担忧,因为泄露的电子邮件和密码可以成为人们在线账户的万能钥匙。犯罪分子利用人们在不同账户中使用相同密码的习惯,采用“凭证填充”的手段,在各种不同平台上尝试输入数千个被盗密码和电子邮件地址。
社交媒体资料也受到影响。Instagram个人资料被泄露16次,LinkedIn个人资料被泄露117次,X账户被泄露21次,Facebook账户被泄露21次。这尤其危险,因为社交媒体平台包含大量个人信息。
不过,如此惊人的数字并不令人惊讶。越来越多的组织和个人成为网络攻击和数据泄露的目标。2024年1月,“所有数据泄露之母”泄露了12TB的数据,约260亿条记录。现在几乎每天都有新的数据泄露报告,最新一次涉及25000名BBC员工的个人信息。
对许多正常人来说,风险都很高,但对政治家等位高权重的人来说,风险就更高了,因为一旦泄密,就可能关系到国家安全问题,尤其是在网络战日益猖獗的今天。
关于这一点,Maguire表示:“对于任何公众人物来说,保持警惕都是必不可少的,以保护个人和国家安全,我们呼吁大选后的新政府认真对待网络安全,并呼吁所有议员采取更好的账户安全措施。”
每个人都可能成为攻击目标 这不仅仅是国会议员、记者或其他有影响力的人物所担心的问题——每个人都可能成为目标。目标可能不同,但参与黑客攻击的手段不会改变。
“许多人低估了自己的脆弱性,但现实是,每个人都是网络犯罪分子潜在的目标,”Maguire说。
这就是为什么Proton呼吁国会议员——但这可以扩展到我们所有人——采取一些措施确保在线账户尽可能安全。
作为一条经验法则,Proton建议国会议员避免使用自己的议会电子邮件地址注册第三方服务。
使用可靠的密码管理工具也很有好处,它可以帮助您找到强密码并记住它们——Proton有自己的免费Proton Pass。电子邮件别名也很方便,可以在注册时掩盖真实的电子邮件账户,注册数据警报软件可以在您的信息泄露时及时通知您。
“丝绸之路”(Silk Road)是一个地下数字黑市平台,曾因使用比特币进行洗钱活动和非法毒品交易而广受欢迎。 “丝绸之路”(Silk Road)被认为是第一个暗网市场,于2011年推出,最终于2013年被FBI关闭。它的创始人是罗斯·威廉·乌布利希 (Ross William Ulbricht),他目前因在“丝绸之路”中所扮演的角色而被判无期徒刑。
本文将探讨“丝绸之路”、它是如何运作的以及它对比特币行业的影响。
什么是“丝绸之路”? “丝绸之路”(Silk Road)是一个在暗网上运营的非法在线市场,它使用比特币(BTC)促进交易。
罗斯·乌布利希(Ross Ulbricht)于2011年创立了该平台,作为买卖毒品和假身份证等非法商品的市场。
“丝绸之路”这个名字的灵感来自于连接亚洲、欧洲和中东的贸易路线的历史。尽管“丝绸之路”在2013年被执法部门关闭,但它帮助了其他暗网市场的兴起,在暗网上创造了繁荣的非法市场经济。
“丝绸之路”是如何运作的? “丝绸之路”(Silk Road)在暗网上运行,通过Tor浏览器访问,通过IP地址隐藏和加密技术确保用户能够访问暗网上的网站,从而保证匿名性。
在其运行过程中,用户在Tor上搜索Silk Road并被引导至需要用户名和密码才能访问的注册屏幕。
登录后,供应商和客户利用“丝绸之路”使用比特币进行点对点交易。购买的物品随后被运送到其他地址,例如邮政信箱,以逃避检测。
“丝绸之路”为用户提供了非法商品和服务,包括黑客服务、违禁能量饮料、盗版软件等数字商品以及伪造许可证等伪造品。虽然该网站上也出售书籍和艺术品等合法商品,但毒品占销售额的大部分,到2013年占产品总量的70%。
与主流电子商务平台一样,“丝绸之路”用户还可以对产品和供应商进行评分和留下评论,从而在市场内建立信任和可靠性。
“丝绸之路”的兴衰 罗斯·乌布利希(Ross Ulbricht)于2011年建立了“丝绸之路”暗网市场,并采用了化名“恐惧海盗罗伯茨”(Dread Pirate Roberts)。
乌布利希对“丝绸之路”的愿景是建立一个促进匿名在线商务并在交易非法商品时保护用户身份和自由的平台。该暗网市场迅速发展,吸引了超过10万名用户。
2013年,FBI介入并关闭了”丝绸之路“的暗网网站。在美国参议员查尔斯·舒默(Charles Schumer)的领导下,美国缉毒局和司法部共同努力,对“丝绸之路”案件进行了彻底调查,并最终查清了“丝绸之路”一案,成功将其关闭。
乌布利希随后被捕,并被指控犯有洗钱、电脑黑客攻击、共谋贩运毒品以及为保护“丝绸之路”秘密而煽动谋杀等罪行。
在两年的运营期间,Silk Road累计收入约12亿美元,佣金总额达8000万美元。联邦调查局扣押了“丝绸之路”用户的加密货币钱包,缴获超过14.4万枚 BTC,当时价值2800万美元。
在宣判前,乌布利希写信给法官,表示他相信丝绸之路赋予了个人选择的自由。尽管进行了辩护,乌布利希还是被判了5项刑期,其中包括两项不得假释的终身监禁和1.83亿美元的罚款。
“丝绸之路”对比特币有何影响? 乌布利希被捕后,比特币在两小时内从140美元跌至110美元,但一小时后又恢复至130美元。
联邦调查局指出,针对乌布利希的行动并不构成比特币非法。这次逮捕表明,比特币并不是犯罪分子掩盖其交易的好方法,因为区块链记录了所有交易。因此,尽管没有银行账户,比特币地址上也没有附上姓名,但他们仍然可以被追踪。这可能有助于区分比特币和犯罪活动。
虽然“丝绸之路”的传奇事件玷污了比特币在媒体中的声誉,但它也给加密货币带来了巨大的曝光度。
它展示了比特币在现实世界场景中的功能,即无需传统金融机构即可在全球市场上维持和转移价值的能力。
“丝绸之路”还存在吗? 暗网上最初的“丝绸之路”暗网市场已不再运行。然而,它成为后来出现的其他暗网市场的蓝本,其中许多暗网市场仍然使用Tor进行匿名化,并使用比特币(或门罗币等隐私币)进行交易。
尽管“丝绸之路”已关闭,但其中很大一部分加密货币收益仍下落不明。2020年,从与“丝绸之路”相关的比特币地址中发现了价值约10亿美元的比特币交易。后来透露,美国政府执行这些转移是作为民事没收诉讼的一部分。据报道,相关比特币是“个人X”通过黑客攻击丝绸之路窃取的。
“丝绸之路”使用过的暗网V2域名 http://silkroad6ownowfk.onion
http://silkroad7rn2puhj.onion
总结 “丝绸之路”是暗网市场的蓝本,这些暗网市场后来居上,主导了暗网上的非法交易。犯罪分子不断调整并找到新的途径来提供他们的产品,从毒品和武器到黑客为大规模网络攻击而觊觎的用户数据。
随后出现的暗网交易平台大多被执法机构发现并关闭。然而,它们的顽强生命力表明,在这个数字时代,应对网络犯罪是一项持续的挑战。
廉价的勒索软件正在暗网论坛上出售,以供人们一次性使用,使得缺乏经验的自由职业者无需与附属机构进行任何互动就能参与网络犯罪。
网络安全公司Sophos情报部门的研究人员发现,2023年6月至2024年2月期间,有19种勒索软件在四个暗网论坛上出售或宣传正在开发中。
Sophos X-Ops在暗网上发现的19个垃圾枪勒索软件变种——廉价、独立生产、构造粗糙。这些垃圾变种的开发者正试图颠覆传统的基于联盟的勒索软件即服务 ( RaaS ) 模式,该模式在勒索软件领域占据主导地位近十年。
他们将这些网络犯罪工具比作“垃圾枪支”——20世纪六七十年代充斥美国的廉价进口手枪。虽然这些武器往往不可靠,但它们具有某些优势,例如进入门槛低和可追溯性低。
这些相同的优势也适用于勒索软件入门套件市场上的潜在网络犯罪分子。研究人员观察到的廉价勒索软件品种的价格范围从20美元到0.5美元比特币不等,或在发布时约为13000美元。平均价格中位数为375美元。
这种一次性网络犯罪工具与”勒索软件即服务“模式不同,因为其中不存在希望从利润中分一杯羹的附属机构。
研究人员表示:“远离现代勒索软件复杂的基础设施,垃圾邮件勒索软件使犯罪分子能够以廉价、轻松且独立的方式参与行动。” “他们可以以小公司和个人为目标,而这些公司和个人不太可能有足够的资源来保护自己或有效应对事件,同时也不会让其他人分一杯羹。”
虽然这种自由听起来很有吸引力,但与廉价的无证手枪的情况一样,也存在风险:即工具本身要么有缺陷,要么“作为骗局的一部分存在后门”。
然而,在潜在的犯罪分子看来,“这些可能是可以接受的风险——尤其是因为使用垃圾勒索软件最终可能会为著名的勒索软件团伙带来更有利可图的利用机会,”他们写道。
这些工具在野外的功效尚不清楚。可供调查人员监控的基础设施很少,而且目标很可能是小型企业或个人,因此几乎不会引起关注。此外,攻击者也没有泄漏被盗数据的网站。
据观察,至少有一种出售的名为”EvilExtractor“的工具去年在针对美国和欧洲的攻击中被使用过,暗网论坛上还有人声称其他三种变种也被成功使用过。
Sophos X-Ops威胁研究总监Christopher Budd强调了这些垃圾工具给防御者带来的挑战。
“这些类型的勒索软件变体不会像Cl0p和Lockbit那样索要数百万美元的赎金,但它们确实可以有效地对抗中小企业,对于许多刚开始‘职业生涯’的攻击者来说,这已经足够了。虽然垃圾勒索软件的现象仍然相对较新,但我们已经看到其创建者发布的帖子,讲述了他们扩大运营规模的野心,并且我们还看到其他人发布的多篇帖子谈论创建自己的勒索软件变体。”
“由于攻击者正在针对中小型企业使用这些变体,并且赎金要求很小,因此大多数攻击可能不会被发现和报告。这给防御者留下了情报空白,网络安全界必须填补这一空白,”他说。
出售勒索软件的暗网论坛上的讨论显示了操作的业余性质。与知名度较高的暗网网站不同,这些论坛上似乎没有愚蠢的问题,“这些人渴望发展自己的能力,为自己分一杯羹。”
研究人员观察到用户请求并分享勒索操作指南的副本,其中包括著名勒索软件运营商Bassterlord编写的勒索软件手册。
一名用户在论坛上发帖称,他们正在尝试一些新的东西:“有针对性的网络钓鱼以获得立足点,然后收集尽可能多的有价值的数据并运行勒索软件。”
他们写道:“那么有没有人知道,从可能的收益、缺乏备份、立足的机会等方面来看,哪些是可能的好目标?” “此外,我们非常感谢任何有关此类行动的建议,因为这是我第一次。”
早在2021年,暗网市场就在售卖用于人脸识别的伪造护照、身份证件,而且出现了早期的深度伪造。如今,恶意使用深度伪造技术对企业构成的威胁与日俱增。
网络安全公司卡巴斯基(Kaspersky)警告说,由于人工智能工具的广泛使用,威胁行为者在攻击中使用深度伪造(Deepfake)技术变得越来越容易安全。
卡巴斯基非洲企业客户负责人Bethwel Opil 表示:“虽然发起这些攻击所需的时间和精力往往超过了其潜在的‘回报’,但卡巴斯基警告说,非洲各地的公司和消费者仍然必须意识到,深度伪造在未来可能会成为一个更令人担忧的问题。深度伪造的恶意使用潜力是显而易见的。“
“从勒索到实施金融欺诈,再到通过社交媒体传播错误信息,潜在的连锁反应可能会很严重。网络犯罪分子始终在寻找更便宜、更快捷的方法来传播他们的活动。不过,我们预计在未来几年内,使用深度伪造的定向攻击将会增加,尤其是针对有影响力的人士和高净值个人或组织的攻击,这将证明攻击者创建深度伪造所花费的时间和精力是值得的。”
暗网上的深度伪造服务 卡巴斯基研究发现,暗网市场上存在深度伪造制作工具和服务。这些服务为各种目的提供GenAI视频创建服务,包括欺诈、勒索和窃取机密数据。据卡巴斯基专家估算,一分钟深度伪造视频的价格约为300美元。
人类的行为、数字素养的缺乏以及无法区分虚假与合法材料,都给本已困难重重的局面增添了压力。
2023年卡巴斯基的商业数字化调查收集了中东、土耳其和非洲地区2000名受访者的意见,调查结果显示,51%的员工认为他们能够区分深度伪造图像和真实图像。然而,在一项测试中,只有25%的人能够区分真实图像和人工智能生成的图像。
卡巴斯基表示,鉴于企业员工往往是网络钓鱼和其他社会工程学攻击的主要目标,这给企业带来了严重的风险。
深度伪造被恶意利用的可能性是显而易见的。
例如,网络犯罪分子可以制作首席执行官请求电汇或授权付款的虚假视频,这可用于窃取公司资金。此外,犯罪分子可以创建具有危害性的个人视频或图像,用于向他们勒索钱财或信息。
Opil补充说:“尽管创建高质量深度伪造的技术尚未广泛应用,但最有可能的用例之一是实时生成声音来模仿某人。例如,一家跨国公司的一名财务人员最近就因为在一次电话视频会议上冒充公司首席财务官的深度伪造技术而被骗向诈骗分子转账2500万美元。非洲也不能幸免于这种威胁,重要的是要记住,深度伪造不仅对企业构成威胁,而且对个人用户也构成威胁——它们传播错误信息、被用于诈骗或未经同意冒充他人,是一种日益严重的网络威胁,必须加以防范。”
卡巴斯基建议通过以下方式加强防范:员工意识教育 公司建议通过教育员工了解深度伪造、其工作原理及其带来的风险,来加强防范。这涉及持续的意识和教育,努力教导员工如何识别深度伪造。
介绍 暗网情报市场已成为全球网络安全领域的重要组成部分。2023年,暗网情报市场规模达到5.203亿美元,预计到2032年将大幅增长至29.218亿美元,预测期内复合年增长率预计为21.8%。这种强劲增长是由多种因素推动的,包括在线欺诈活动数量的增加以及大型企业和IT和电信等行业(代表着最大市场份额)越来越多地采用暗网情报解决方案。网络犯罪分子的手段日益复杂,并且由于大型企业拥有广泛的资产和品牌声誉他们有针对性地攻击这些企业,这突显了对先进暗网情报解决方案的迫切需求。
基于云的部署模式具有可扩展性、灵活性和成本效益,允许在全球范围内远程访问和协作情报数据,因此市场对这种模式的需求也在激增。北美洲在市场中占据主导地位,这是因为北美洲高度依赖物联网(IoT)设备,网络犯罪率不断上升,各行各业广泛采用暗网情报解决方案来保护数据和知识产权。
最近,网络安全领域发生了一些引人注目的并购事件,目的是提高能力和扩大市场占有率。例如,Delinea收购了Authomize,以增加身份威胁检测和响应技术。同样,惠普企业(Hewlett Packard Enterprise)以140亿美元收购瞻博网络(Juniper Networks),标志着网络设备领域的重大扩张。其他重大交易包括HID收购ZeroSSL,增强了网站通信安全;SentinelOne收购PingSafe,引入了云原生应用保护平台功能。这些举措凸显了巩固专业技术和拓宽网络安全解决方案的趋势。
要点 2023年,暗网情报市场规模飙升至5.203亿美元,预计到2032年将飙升至29.218亿美元,2023年至2032年间的复合年增长率(CAGR)将高达21.8%。 根据4iQ的数据,2022年暗网上被盗的账户凭据比前一年激增82%,达到惊人的150亿个。 根据Sixgill的报告,身份盗窃占暗网上受监控活动的65%以上,信用卡欺诈紧随其后,占15%。 根据Sixgill的报告,包含信用卡信息的卡转储的可用性比2021年增加了6%,在2022年超过1.92亿张,平均信用额度为8700美元。 根据Chainalysis的数据,暗网上的加密货币交易量比2020年的水平几乎翻了一番,在2022年价值达到近250亿美元。 2022年,针对完全修补的iPhone 13的漏洞在暗网论坛上以250万美元的惊人价格售出。 根据DarknetStats的数据,2022年暗网上的药品销售额猛增约15%,交易额估计达17亿美元。 据网络安全公司Digital Shadows报告,2022年在明网、深网和暗网上发现了15000多起数据泄露事件,暴露了近3PB的数据。 北美地区引领全球暗网情报市场,占据36.7%的主要收入份额,2023年需求价值达1567亿美元。 暗网情报统计 2022年,约52%的美国企业制定了暗网威胁情报政策,这表明他们对网络安全风险有了深刻的认识。 外包给专注于暗网的专业服务提供商是监控暗网威胁的主要方法,这表明网络安全措施对外部专业知识的依赖。 16.8%的受访者可以通过TOR直接访问暗网,这突显了有可能接触隐藏在线活动的个人比例相当高。 卡巴斯基数字足迹情报专家观察到,在2022年1月至2023年11月期间,平均每月有1731条暗网信息涉及企业内部数据库和文件的销售、购买和分发,在此期间,总计有近40000条信息。 从2022年1月到2023年11月,有超过6000条暗网信息发布了访问企业基础设施的广告,月均信息数量从2022年的246条增加到2023年的286条,增幅达16%。这表明,向企业提供预先存在的访问权的广告呈上升趋势。 2022年,在随机抽取的700家公司中,有233家公司在与数据泄露或账户受损有关的暗网帖子中被提及,这表明约有三分之一的公司面临着来自暗网的网络威胁。 NICE Actimize使用暗网智能提供有关受损客户帐户的真实、可操作的数据,帮助主动防御欺诈和金融犯罪。 身份欺诈和账户接管数据源包括姓名、电子邮件地址、电话号码、IP地址或SSN等详细信息,以便在账户被接管发生之前识别高风险客户。 受损支付卡数据源包含被网络犯罪分子获取或在暗网上交易的高欺诈风险借记卡、预付卡、信用卡和礼品卡。 用例 暗网情报在网络安全方面发挥着至关重要的作用,它能让企业深入了解潜伏在互联网隐蔽角落的威胁。利用这些情报可以通过各种用例大大增强组织的安全态势。以下是一些关键应用,并得到行业研究结果和专家见解的支持:
在使用前检测并减少暴露的凭据: 暗网智能的主要用途之一是识别暴露的凭证。由于暗网中流通着数十亿份凭证,企业可以通过监控这些凭证的存在,主动发现并减少潜在的漏洞。这不仅有助于防止凭证填充攻击,还有助于防止未经授权的访问。
监控内部威胁: 内部威胁,无论是恶意的还是意外的,都可能导致重大的数据泄露。通过监控暗网论坛和市场,企业可以发现是否有内部人员试图出售访问权限或敏感信息。这种早期检测可以让企业迅速采取行动,从而有可能在数据泄露发生之前阻止其发生。
检测勒索软件转储网站列表: 随着勒索软件的兴起,攻击者不仅加密数据,还威胁要在暗网上发布这些数据。通过监控这些转储网站,企业可以对涉及其数据的违规行为发出警报,从而更快地做出反应,减轻损失。
漏洞和漏洞利用聊天监控: 暗网是讨论漏洞和漏洞利用的温床。监控这些对话可以为组织提供有关新漏洞和零日威胁的信息,使其能够在攻击者利用这些弱点之前修补系统。
消除初始访问代理(IAB): IAB 通过出售被入侵系统的访问权限,为网络攻击提供便利。通过监控 IAB 的活动,企业可以发现并解决系统中存在的、可能被这些经纪人利用的漏洞。
品牌监控: 监控开放源和社交媒体渠道中对您品牌的提及,可以发现依赖社交工程而非软件漏洞的微妙威胁。这包括识别可能损害企业声誉或导致数据泄露的恶意资料或链接。
明网、深网和暗网监控: 从互联网的各个角落收集情报,包括明网、深网和暗网,对于全面的安全战略至关重要。这使企业能够随时了解在这些隐藏空间中讨论或交易的新威胁和漏洞。
主要参与厂商分析 Searchlight Cyber Searchlight Cyber是暗网情报行业的知名企业。该公司最近采取了重要措施来扩展其能力并改进其产品。其中一项措施是在其DarkIQ平台中引入了一项新功能,增加了4500亿个曝光数据点。这一改进的目的是通过提供清晰、深度和暗网数据曝光的全面视图,帮助企业更有效地识别和应对威胁。
除此之外,Searchlight Cyber还推出了暗网中心(The Dark Web Hub),这是一个为网络安全和执法专业人员提供暗网教育的在线平台。该中心提供有价值的信息,包括对暗网网站的见解,并提供播客和视频等资源,以帮助打击暗网犯罪。
ZeroFox ZeroFox公司是外部网络安全领域的领先组织,通过其先进的威胁情报和网络安全解决方案为暗网情报领域做出了重大贡献。该公司以其识别社交媒体和其他数字平台风险的能力而闻名,通过与著名的数据泄露响应服务提供商IDX合并,实现了大幅扩张。此次合并旨在通过与L&F Acquisition Corp的SPAC交易创建一个公开交易实体,从而使ZeroFox公司能够提供全面的外部威胁防护和违规响应服务。这一战略举措预计将增强ZeroFox在网络安全市场的影响力,改善其为近2000家客户提供的服务及产品,其中包括《财富》杂志前10强中的5家。
2021年,ZeroFox收购暗网威胁情报公司Vigilante。除了收购IDX、Vigilante之外,ZeroFox还通过收购LookingGlass Cyber Solutions, Inc.(外部攻击面管理和全球威胁情报领域的创新企业)进一步扩大了其网络安全产品组合。此次收购于2023年4月完成,不仅巩固了ZeroFox在外部网络安全市场的地位,还增强了其平台的先进攻击面情报能力。LookGlass与ZeroFox运营的整合旨在提供无缝的客户体验,同时为客户、员工和股东带来宝贵的利益。通过这些战略扩张,ZeroFox正在提高其平台抵御各种外部网络威胁(包括网络钓鱼、欺诈和帐户劫持)的功效,从而重申其在快速发展的网络环境中保护数字资产的承诺。
DarkOwl DarkOwl一直在积极提高其暗网情报能力,并取得了一系列重要进展,体现了其致力于提供先进网络安全解决方案的承诺。2023年5月,DarkOwl推出了一个新的威胁情报平台,旨在提供有关暗网活动和威胁的最新见解,展示了其对积极主动的网络安全措施的承诺。在此基础上,DarkOwl于2023年10月与一家领先的网络安全公司合作,提供综合暗网监控和事件响应解决方案。这一合作将加强公司对外部网络威胁的全面保护。此外,2023年12月,DarkOwl获得了1500万美元的A轮融资,这将加速其产品开发和市场拓展工作,彰显DarkOwl的创新解决方案在网络安全领域获得了越来越多的认可。
尽管全球经济低迷,但根据Chainalysis的最新2024年加密货币犯罪报告,暗网市场在2023年出现复苏,收入超过17亿美元。
尽管面临全球经济衰退低迷,但加密货币行业在2023年见证了暗网市场活动的大幅复苏。根据Chainalysis最新的《2024年加密货币犯罪报告》(点此获取),这些暗网地下市场的收入总计超过17亿美元,标志着已经从上一年以来执法行动造成的干扰中强劲复苏。
俄语暗网市场Hydra关闭后,暗网市场的复兴 2022年,最大的暗网市场Hydra被取缔后,规模较小、专注于细分品类市场的平台出现了。这些市场迅速适应,填补了Hydra消失后留下的空白,并大幅提高了他们的收入。处于领先地位的巨型暗网市场(Mega Darknet Market)是其中的佼佼者,加密货币流入量已超过5000亿美元。尽管出现这种激增,但暗网市场的总体收入尚未达到Hydra运营期间观察到的峰值水平。Chainalysis网络犯罪研究主管Eric Jardine指出,当前的市场动态与SilkRoad和AlphaBay关闭后的市场动态相似,利基市场积极争夺主导地位。
执法力度加大,新型诈骗层出不穷 2023年,美国外国资产控制办公室(OFAC)的与加密货币相关的制裁也在不断升级,使上一年的制裁总数增加了一倍,达到18项。这些制裁针对的是参与非法活动的个人和实体,其中很大一部分交易与受制裁的地区或参与者有关。尽管做出了这些努力,Chainalysis的报告还强调了加密货币犯罪性质的转变,传统诈骗的收入显着下降,但“杀猪盘”诈骗的收入却急剧增加,这种诈骗越来越普遍,也越来越有效地利用了受害者的信任。
展望未来:挑战与机遇 研究结果凸显了加密货币领域网络犯罪不断演变的本质。虽然整体诈骗收入的下降是一个积极的信号,但暗网市场活动的增加和新诈骗类型的复杂性带来了巨大挑战。Jardine强调用户需要保持警惕,并倡导公共和私营部门实体之间采取合作方式来减轻这些风险。随着数字环境的不断发展,网络犯罪分子所采用的策略也会不断变化,因此持续的警惕和适应对于维护更安全的网络环境至关重要。
2023年暗网市场的复苏和加密货币相关犯罪的演变凸显了技术进步与犯罪创新之间复杂的相互作用。随着当局加强执法力度,社会各界对骗子所使用的伎俩有了更深刻的认识,数字前沿仍然是打击网络犯罪的一个备受争议的战场。
由澳大利亚和日本等10个国家的执法机构组成的国际执法工作组宣布成功摧毁了LockBit勒索软件团伙。
由英国和美国当局领导的“克罗诺斯行动”(Operation Cronos)查获了由LockBit勒索软件团伙运营的暗网网站。LockBit是一个臭名昭著且猖獗多产的勒索软件组织,在全球范围内攻击了2000多名受害者,并勒索了超过1.2亿美元的赎金。
过去四年来,LockBit团伙在全球企业和政府中散布了恐惧,并在勒索软件攻击中占了很大份额。Akamai 2023年的一份研究报告强调,LockBit影响了勒索软件领域,占勒索软件受害者总数的39%(1091名受害者),是排名第二的勒索软件团伙数量的三倍多。
自2020年1月以来,LockBit在亚太地区发起了数百起攻击,目标涉及金融服务、关键基础设施、农业、教育和政府等部门。它关闭了日本最大的名古屋港口两天,该港口是日本最大的汽车制造商使用的港口。以类似的方式,LockBit对澳大利亚最大港口的IT系统进行了加密,扰乱了其运营。由于影响如此严重,LockBit为这次攻击道歉并提供了解密密钥以恢复服务。该团伙还利用勒索软件即服务工具招募招募技术含量低的黑客,扩大了LockBit签名勒索软件攻击的规模、影响范围和造成的损害。
LockBit因将敏感数据泄露给所有人来羞辱那些拒绝支付赎金的人而感到自豪。
LockBit关联人员在乌克兰和波兰被捕 作为国际取缔行动的一部分,臭名昭著的LockBit勒索软件团伙的至少三名成员在波兰和乌克兰被捕。
逮捕消息是在LockBit的暗网网站关闭后发布的,该组织利用该网站威胁受害者,除非支付勒索费用,否则就会公布他们被黑客入侵的数据。
乌克兰网络警察周三表示,他们逮捕了“一对父子”,他们的行为据称代表LockBit,“影响了法国的人民、企业、国家机构和医疗机构”。
在搜查嫌疑人位于乌克兰西部城市捷尔诺波尔的公寓时,警方没收了他们的手机和电脑设备,怀疑这些设备被用来进行网络攻击。
在波兰,警方在华沙逮捕了一名38岁男子。涉嫌与LockBit关联的人被带至检察官办公室,并被指控犯有刑事罪。波兰当局在YouTube上发布了逮捕视频。
在乌克兰和波兰的案件中,尚不清楚罪犯如果被判有罪将受到何种惩罚。
警方关闭了LockBit的多个关联账户 摧毁LockBit勒索软件服务的执法行动已宣布关闭相关犯罪分子使用的第三方服务的14000多个关联账户。
根据查获的LockBit的暗网域名上的一篇帖子,文件托管服务Mega以及加密电子邮件提供商Tutanota和Protonmail上的帐户被用于“渗透或基础设施”。
欧洲刑警组织欧洲网络犯罪中心对这些账户的分析表明,其中一些账户还被用于使用其他勒索软件变体的攻击,这表明它们是由附属机构(使用LockBit平台的黑客)操作的。
目前由英国官员控制的LockBit的暗网.onion网站表示:“每个账户都代表着获取不义之财的渠道,这种协调一致的行动打击了网络犯罪活动的核心,严重阻碍了他们从邪恶活动中获利的能力。”
但LockBit将会卷土重来 这次执法行动并非没有戏剧性。LockBit声名狼藉的领导者lockBitSupp曾对“克罗诺斯行动“(Operation Cronos)进行恶搞,并抱怨没有悬赏追捕他的人头,他甚至悬赏1000万美元以揭露他的身份。LockbitSupp的真实身份目前仍然是个谜。
执法当局还借鉴了LockBit团伙在媒体上传播他们的攻击和羞辱受害者的手段。他们将他们的行动命名为“克罗诺斯”(Cronos),并分享了一个每小时一次的倒计时,以宣布LockBit被取缔的消息。曾经泄露客户数据的暗网网站现在正在为那些反对勒索并拒绝支付赎金的人共享解密密钥。日本警方在欧洲刑警组织的支持下开发了一种解密工具,旨在恢复由LockBit 3.0黑色勒索软件加密的文件。
当局打算向所有勒索软件团伙发出明确的信息,他们不能再躲在Tor后面逃避暗网的监视,并且他们将对自己的行为负责。
预防胜于恢复 这是一次大胆的联合取缔行动,标志着许多国家当局的通力合作。然而,依靠多国特遣部队来摧毁勒索软件团伙并恢复解密密钥并不是一种有效的安全策略。预防胜于恢复。
勒索软件团伙非常灵活,LockBit团伙的一个变种可能会很快填补这一空白,并很快用更具破坏性的工具取而代之。让我们记住另一个对多产勒索软件团伙Blackcat/APHV的摧毁尝试,该组织在FBI查获其暗网网站数小时后“解封”了其暗网网站。在与当局的来回交涉中,该团伙发布了一张黑猫的图片和一条横幅,上面写着“该网站已被解封”。该团伙仍然逍遥法外,美国国务院悬赏高达1000万美元,以征集该团伙头目的信息。勒索软件团伙正在学习并将适应当局使用的工具和技术。
最有效的安全策略是防止攻击者访问关键服务器上的数据并对其进行加密,并在他们能够入侵环境前进行备份。现在是企业重新评估其安全状况的时候了。全面了解攻击面,同时制定强大的流程和操作手册来预防勒索软件攻击并从中恢复,是至关重要的。
从软件定义的微分段开始实施零信任架构,以防止被入侵后的横向移动至关重要。通过全面的网络可视性来识别入侵指标(IoCs),可以对勒索软件攻击采取更具攻击性的态势,并遵守当地的网络安全法规。
现在是通过在勒索软件杀伤链的每个环节实施安全解决方案来对付勒索软件的时候了。
尽管美国批准了比特币(BTC)这一旗舰加密货币的现货交易基金(ETF),但欧洲中央银行(ECB)的官员并不相信比特币(BTC)是一种有价值的金融资产。
欧洲央行是使用欧元作为其官方货币的欧盟(EU)国家的中央银行。
欧洲央行行长乌尔里希-宾德赛尔(Ulrich Bindseil)和顾问于尔根-沙夫(Jürgen Schaaf)在一篇新的文章中表示,美国证券交易委员会(SEC)1月10日为比特币现货ETF申请开绿灯的决定并不能改变加密资产不适合作为支付手段或投资的事实。
欧洲央行推文表示:比特币未能成为全球去中心化的数字货币,反而成为欺诈和操纵的受害者。
Bitcoin has failed to become a global decentralised digital currency, instead falling victim to fraud and manipulation. The recent approval of an ETF doesn’t change the fact that Bitcoin is costly, slow and inconvenient, argues #TheECBBloghttps://t.co/e9Ek01Dism pic.twitter.com/ddBFsv4g0w
— European Central Bank (@ecb) February 22, 2024 “对于追随者来说,正式批准证实了比特币投资是安全的,之前的反弹证明了不可阻挡的胜利。我们不同意这两种说法,并重申比特币的公允价值仍然为零。”
Bindseil和Schaaf表示,除了那些利用比特币进行非法交易(比如暗网里)的犯罪分子之外,比特币几乎不用于支付。
“比特币交易仍然不方便、速度缓慢且成本高昂。在暗网(用于犯罪活动的互联网的隐藏部分)之外,比特币几乎不用于支付。”
他们表示,比特币不是一项好的投资,并警告称,开采加密货币(比特币挖矿)将继续造成大规模的环境污染。
“比特币不产生任何现金流(与房地产不同)或股息(股票),不能有效地使用或者生产(商品),并且不提供社会效益(黄金珠宝)或基于杰出能力的主观升值(艺术品)。
使用工作量证明机制开挖比特币继续对环境造成与整个国家同等规模的污染,比特币价格的上涨意味着更高的能源消耗,因为矿工可以承担更高的成本。”
但是,风险投资家、Coinbase前首席技术官Balaji Srinivasan通过在社交媒体平台X(前twitter)上分享了BTC/EUR 货币对的长期图表,以此回应上述言论。
The Euro has collapsed against Bitcoin. https://t.co/5gBWrDXJNz pic.twitter.com/xC2dtA8p1h
— Balaji (@balajis) February 22, 2024 “欧元兑比特币已经崩溃。”
2023年,加密勒索软件的范围、攻击频率和数量均有所增加。根据Chainalysis的《2024年加密犯罪报告》,这些攻击造成了11亿美元的加密货币损失。
根据该报告,现在的制胜策略之一是“大型狩猎游戏”,网络犯罪分子的目标是在成功后收取更多款项。超过75%的加密勒索软件收入金额超过100万美元。
Chainalysis研究人员发现,2023年,勒索软件的新参与者和分支组织层出不穷。勒索软件即服务(RaaS)越来越容易获取,扩大了生态系统。外部实体可以访问恶意软件来实施攻击,以换取利润分成。
加密勒索软件攻击变得越来越容易 据Chainalysis称,所谓的初始访问代理(IAB)的激增使得不良行为者更容易发起加密勒索软件攻击。这些经纪人渗透受害者的网络,然后以极低的价格向勒索软件犯罪者出售该访问权限。与现成的RaaS相结合,现在实施加密勒索软件攻击变得更加容易,并且需要的技术技能也少得多。
监控IAB钱包可以发出早期预警信号并及时进行干预。Chainalysis进一步报告称,去年非法加密货币地址收到的资金大幅下降。这一金额降至242亿美元。不过,这些数字并不固定,因为并非所有非法地址都已被识别,而且金额可能要高得多。相比之下,Chainalysis最初估计2022年的非法交易额为206亿美元,但最终达到了396亿美元。其中很大一部分增长来自于受制裁平台托管的高度活跃地址。
这一数额不包括非加密货币原生犯罪的收入,例如传统的毒品贩运,其中加密货币用于支付非法货物。
稳定币取代比特币成为网络犯罪分子的首选 直到2021年,比特币都是非法活动中最受欢迎的加密货币,这可能是因为它的高流动性。目前,大多数非法交易都是以稳定币进行的,包括加密勒索软件交易。这一变化与稳定币在所有加密货币活动(包括合法交易)中所占份额的增长是同步的。
加密勒索软件勒索、暗网市场销售和其他形式的非法加密货币活动仍然主要发生在比特币中。与受制裁平台相关的诈骗和交易已转向稳定币。按交易量计算,这些也是与加密货币相关的犯罪的主要形式。受制裁的平台有更大的动力使用稳定币,因为他们很难通过传统渠道获得美元,而稳定币可以让他们从法定货币的稳定性中获益。这里唯一的积极方面是,稳定币发行者可以在拦截非法活动时冻结资产,就像Tether对与人口贩运和恐怖主义有关的地址所做的那样。
加密勒索软件和暗网市场是加密犯罪的两种主要形式,其收益在2023年和2024年迄今为止都会增加。这种趋势表明,加密勒索软件攻击者找到了克服网络安全改进的方法。
暗网市场收入的增长是在2022年收入下降之后出现的。根据Chainalysis的说法,暗网市场Hydra的关闭在很大程度上导致了这一收入的下降。Hydra曾一度占据了暗网市场总收入的90%以上。暗网行业正在复苏,总收入已经恢复到2021年的峰值。
其他加密勒索软件趋势 加密勒索软件的主要感染媒介涉及利用面向公众的应用程序中的弱点。过去是僵尸网络。勒索软件攻击者正在摒弃恶意软件,转而使用合法软件,无论是操作系统功能还是双重用途工具。最常用的软件是Windows操作系统组件。加密勒索软件攻击者中最流行的三种工具是PsExec、PowerShell和WMI。
攻击者通常使用Atera、AnyDesk、ConnectWise和Splashtop等远程桌面软件。
诈骗和被盗资金大幅下降 加密货币黑客和诈骗收入大幅下降,非法收入总额分别下降54%和29%。恋爱诈骗(杀猪盘)仍然很流行,诈骗者与孤独的人建立关系,骗取他们的积蓄。由于“投资机会”并未公开,因此这种骗局更难被揭发。在美国,有关加密货币投资骗局的报道越来越多,但数据显示,自2021年以来,全球范围内的诈骗收益一直在下降。这是由于熊市长期持续,快速致富的机会较少。
DeFi黑客攻击数量急剧下降 加密货币黑客攻击很难隐藏,这也是其数量大幅下降的原因。这一下降主要是由于DeFi黑客数量急剧下降所致。这可能意味着DeFi协议的安全实践正在改善。现在庆祝可能还为时过早,因为一次大规模的黑客攻击可能会再次改变趋势。
全球加密货币平台面临的制裁风险不断增加 外国资产管制处(OFAC)在英国制裁了总部位于俄罗斯的交易所 Garantex,原因是它为加密勒索软件攻击者和其他网络犯罪分子洗钱。该平台是去年与受制裁实体有关的交易量最大的驱动力之一。由于俄罗斯没有制裁 Garantex,因此它仍在继续运营。对于受英国或美国法律管辖的加密货币平台来说,接触 Garantex 会带来风险,这意味着这些平台必须格外谨慎,并对接触类似平台的情况进行筛查,以保持合规。
加密勒索软件的未来趋势 加密货币现在并将永远是勒索软件商业模式的关键组成部分。专家表示,美国证券交易委员会(SEC)对加密货币 ETF 的批准将它们重新推到了聚光灯下,攻击者比以往任何时候都更愿意发起攻击。用最简单的话说,只要有加密货币,就会有勒索软件。
另一个将持续下去的趋势是漏洞利用。越来越多的攻击者看到了利用最新修补漏洞的价值。一旦有人发布软件补丁,他们就会开始检查未打补丁的系统。
依赖数据盗窃进行勒索的趋势也将继续下去。加密数据需要付出很大的努力。许多实体已经能够进行免加密攻击。
解决方案 我们可以肯定,加密勒索软件将仍然对所有实体构成持续威胁,无论其规模如何。明智的做法是采用多种保护、检测和强化技术来应用深度防御策略。他们将最大限度地减少每个潜在攻击媒介的风险。此外,企业应努力加深对加密勒索软件攻击中常用的感染载体的了解。这些数据将有助于识别潜在的漏洞并增强防御态势。