卡巴斯基

根据卡巴斯基针对亚太地区的数字足迹情报（DFI）报告，该地区的数据库泄露占广告总数的95%。如果以GDP（国内生产总值）加权的订单数量来看，新加坡和澳大利亚的数据泄露市场是迄今为止最大的。 该报告的结果可帮助企业和国家监控外部威胁并及时了解潜在的网络犯罪活动，包括暗网上讨论的主题。 对卡巴斯基数字足迹情报（Kaspersky Digital Footprint Intelligence）服务中的外部数据源（包括暗网资源）进行监控，可以通过攻击生命周期的不同阶段深入了解网络犯罪活动。在报告的第二部分中，该公司介绍了暗网分析的结果。 在分析组织的数字足迹时，发现了两种主要类型的数据：欺诈活动和网络攻击痕迹。虽然卡巴斯基发现了许多欺诈迹象，但报告中的重点仍然是攻击检测。 与攻击影响相关的暗网活动（关于出售数据泄露和受损数据的广告）在统计数据中占主导地位，因为它随着时间的推移而蔓延，网络犯罪分子开始出售、转售和重新包装过去的许多泄露数据。 第一阶段：创建购买访问权限的需求 提供访问邀请的网络犯罪分子发现，这种促销内容的市场空间巨大。来自澳大利亚、印度、中国和巴基斯坦的企业是发起攻击的主要目标。这些国家在攻击准备类别的广告中占84%。 巴基斯坦和澳大利亚吸引了大量的兴趣，从按其国内生产总值加权（GDP）的订单数量可以看出。 在基础设施、商业和工业化程度方面，中国受到的关注较少。这可能是由于该国家/地区分层网络访问的语言障碍和复杂性。 购买访问权限的订单是指购买特定地区的一个或列表中的特定企业或行业的访问权。 然而，购买内部权限订单是要求购买可能导致证书或数据泄漏的企业内部权限的服务，信息收集服务的来源（例如，根据要求销毁PII数据）。 最有希望的发现是在攻击的执行阶段：人工分析指出，对手有能力或已经进入组织的网络或服务，但还没有对业务产生影响。在暗网的广告方面，显示正在进行的攻击，澳大利亚、印度、中国大陆和菲律宾占卡巴斯基检测到的广告的75%。 第二阶段：访问的命令，准备执行 发现的证据表明，攻击者有能力或有权访问组织的系统或服务，但没有企业受到影响。至于暗网上的广告，这意味着攻击已经完成，澳大利亚、印度、中国和菲律宾占卡巴斯基检测到的广告的75%。 这类广告分为三种权限类型： 初始访问经纪人——提供特定企业的权限订单，或向按行业和/或地区分组的企业批量权限的订单。 内鬼销售订单——内鬼出售可能导致凭证泄漏、信息收集服务来源或数据泄漏的内幕服务。消息来源通常是企业内部的工作人员。 分发恶意软件——窃取凭据的恶意软件会收集凭据，将其转化为可以转售或通过帐户用户名和密码访问的数据。 按国内生产总值加权计算，菲律宾、巴基斯坦、新加坡、澳大利亚和泰国的企业受到的攻击最多。 菲律宾、印度和中国大陆以82%的订单营业额在暗网服务市场中占主导地位。 第三阶段：数据泄露和数据出售 一旦发生数据泄漏，销售和免费获取被盗信息的情况都会随之而来。泄露的指标可以是数据泄露以及内部活动指令——销售或免费访问内部数据，包括但不限于数据库、机密文件、PII、信用卡、VIP信息、财务数据等等。 来自澳大利亚、中国大陆、印度和新加坡的黑客组织占据了暗网上所有数据泄露销售额的84%。 从按GDP加权的订单数量来看，新加坡和澳大利亚是暗网上出售泄露数据的两个最大市场。 应该指出的是，菲律宾、巴基斯坦和泰国的组织是发起攻击或似乎受到威胁的攻击者之一，但数据泄露的数量与中间组的其他国家相当。 卡巴斯基亚太区董事总经理Chris Connell表示：“网络表面下的暗网网络犯罪活动显然非常繁忙。从攻击准备和执行，到数据泄露的影响，再到出售和转售被盗信息，这些功能性的恶意活动对亚太地区的企业和组织构成了严重威胁。” “出售数据和进入公司网络内部往往是齐头并进的。这意味着对您的企业的成功攻击可能是双重的。您的机密信息可能会被窃取和出售，网络犯罪分子可以解锁并将你受感染的系统提供给更多的恶意黑客组织。面对多重攻击需要主动防御，包括通过实时、深入的威胁情报报告提供强大的事件响应和暗网监控功能。” 暗网上的网络犯罪分子通常通过 RDP 提供远程访问。为了保护您公司的基础设施免受远程访问和控制服务的攻击，请确保通过此协议的连接是安全的： 仅授予通过 VPN 访问服务（例如 RDP）的权限 使用强密码和网络级身份验证 对所有服务使用双重身份验证 监控数据访问泄漏，Kaspersky Threat Intelligence提供暗网监控服务。 卡巴斯基主要发现 Kaspersky Digital Footprint Intelligence发现了103,058个未打补丁的暴露网络服务。政府机构的网络资源受已知漏洞影响最大。 在组织的外部边界中遇到的十分之一以上的漏洞是ProxyLogon。在日本，43%的未打补丁的服务中都发现了这个漏洞。 16,003个远程访问和管理服务可供攻击者使用。政府机构是受影响最大的机构。 在暗网上，黑客更喜欢购买和出售来自澳大利亚、中国大陆、印度和日本的企业的访问权限。 澳大利亚、中国大陆、印度和新加坡占暗网论坛上所有数据泄露销售订单的84%。

如何攻击企业基础设施已成为暗网论坛上最受欢迎的话题之一，占暗网论坛技术讨论帖子的12%。这意味着网络犯罪分子渴望获得对企业基础设施的控制权。 卡巴斯基安全服务分析主管尤利娅诺维科娃（Yuliya Novikova）表示，他们的动机纯粹是利益驱动的。 她说：“对于网络犯罪分子来说，最终目的是从获得的初始访问权限中获得尽可能多的利润。他们出售任何东西，从Web面板的有效凭据，用户及管理员的cookie认证信息，到远程命令执行漏洞的详细信息以及对已上传的Webshell后门的访问。” 她说，这些暗网里的恶意犯罪分子通常通过三种方式获得访问权限。 第一、利用漏洞，例如未修补的软件漏洞、错误配置的服务、0day攻击和Web应用程序中的已知漏洞。 第二，网络钓鱼，这是比较常见的，针对企业工作人员，通常是客服。 第三，通过使用数据窃取程序获取直接的访问凭证，如RDP。 诺维科娃解释说：“恶意软件感染用户设备并截取数据，这些数据被收集在日志中，，并在暗网论坛上公布，它们将被出售。恶意用户正在寻找几乎任何类型的数据来窃取。这包括支付和个人数据、域凭据、第三方服务凭据、社交网络帐户和授权令牌。” 她说，在分析了暗网上近200个提供对企业数据的初始访问权限的帖子后，卡巴斯基发现75%的帖子通过远程桌面协议（(RDP）提供初始访问权限，每个帖子都具有不同的权限，从域管理员、本地管理员和普通用户权限。 诺维科娃说：“随着远程工作现在对许多公司来说已经成为现实，公司已经引入了RDP以使同一公司网络上的计算机能够连接在一起并远程访问，这一发现是一个值得关注的问题。” 卡巴斯基的研究表明，RDP攻击日益受到关注，突出了该安全公司认为全球范围内此类攻击的高命中率。 黑市对企业数据的需求很大。卡巴斯基的研究表明，对公司数据的大量初始访问基本是通过RDP提供的，这凸显了本地企业需要获得整个暗网的可见性，以丰富其威胁情报，特别是在采用远程或混合工作模式的地区。 诺维科娃说：“而且由于RDP访问的有效凭据是最常见的暗网产品，因此企业必须开始遵循最佳网络安全实践。” 她说，这包括使用可靠的密码，使所有远程管理界面只能通过VPN访问，以及对所有管理界面使用双重身份验证。

卡巴斯基实验室的一名安全研究员称，伪造Covid-19疫苗接种证书的暗网市场正在蓬勃发展。伪造文件的平均售价为300美元，但买家的钱能换来什么却是另一回事。 卡巴斯基实验室的安全研究员德米特里·加洛夫（Dmitry Galov）观察到，在暗网上出现了虚假的Covid-19疫苗接种文件交易的新高峰。这家总部位于莫斯科的公司的关键人物说，新的高峰显然是由人们“更自由地旅行的意愿引发的，因为各国目前正在实施不同的IT服务，这些服务正在检查您是否接种了疫苗”。 暗网交易市场上充斥着大量的虚假Covid-19通行证广告，被吹捧为具有合法二维码的文件平均售价高达300美元。 加洛夫说：“我们看到，网络犯罪分子正在制作他们在暗网上投放的广告。他们在广告中称，人们可以选择什么疫苗，什么样的假疫苗接种证书。” 暗网广告说，这些证书将在一些西欧国家发行，它们号称可以在任何官方应用程序中检查这些证书，例如CovPass、CoviCheck等。 加洛夫警告说：“然而，那些承诺伪造此类文件的人很可能只是骗子，他们会给你一张假证书，但你无法通过任何检查，或者什么也得不到。” “没有办法检查这些网络犯罪分子是否只是骗子，他们试图从受害者那里拿钱而不给任何回报，或者他们实际上有某种权限或方法来发送这种证书。但这并不重要，因为这样做会使用户面临风险。”他说。 研究人员解释说，鉴于他们偏爱加密货币、安全信使，并且实际上没有留下任何可供分析的东西，追踪那些只寻求剥夺受骗者资金的纯种欺诈者是非常困难的。然而，那些可能接触到数据库和算法的人，会提供理论上可以追踪到泄漏源的证书。 研究人员认为，只要有需求，假Covid-19通行证的暗网市场就会一直存在。加洛夫认为，全世界对所有现有冠状病毒疫苗的普遍认可将有助于缓解这一问题。 这将影响暗网，因为已经接种过疫苗的人，已经[打过]他们国家的任何疫苗的人，他们不会试图购买与其他[国家]有关的证书。