卡巴斯基

如何攻击企业基础设施已成为暗网论坛上最受欢迎的话题之一，占暗网论坛技术讨论帖子的12%。这意味着网络犯罪分子渴望获得对企业基础设施的控制权。 卡巴斯基安全服务分析主管尤利娅诺维科娃（Yuliya Novikova）表示，他们的动机纯粹是利益驱动的。 她说：“对于网络犯罪分子来说，最终目的是从获得的初始访问权限中获得尽可能多的利润。他们出售任何东西，从Web面板的有效凭据，用户及管理员的cookie认证信息，到远程命令执行漏洞的详细信息以及对已上传的Webshell后门的访问。” 她说，这些暗网里的恶意犯罪分子通常通过三种方式获得访问权限。 第一、利用漏洞，例如未修补的软件漏洞、错误配置的服务、0day攻击和Web应用程序中的已知漏洞。 第二，网络钓鱼，这是比较常见的，针对企业工作人员，通常是客服。 第三，通过使用数据窃取程序获取直接的访问凭证，如RDP。 诺维科娃解释说：“恶意软件感染用户设备并截取数据，这些数据被收集在日志中，，并在暗网论坛上公布，它们将被出售。恶意用户正在寻找几乎任何类型的数据来窃取。这包括支付和个人数据、域凭据、第三方服务凭据、社交网络帐户和授权令牌。” 她说，在分析了暗网上近200个提供对企业数据的初始访问权限的帖子后，卡巴斯基发现75%的帖子通过远程桌面协议（(RDP）提供初始访问权限，每个帖子都具有不同的权限，从域管理员、本地管理员和普通用户权限。 诺维科娃说：“随着远程工作现在对许多公司来说已经成为现实，公司已经引入了RDP以使同一公司网络上的计算机能够连接在一起并远程访问，这一发现是一个值得关注的问题。” 卡巴斯基的研究表明，RDP攻击日益受到关注，突出了该安全公司认为全球范围内此类攻击的高命中率。 黑市对企业数据的需求很大。卡巴斯基的研究表明，对公司数据的大量初始访问基本是通过RDP提供的，这凸显了本地企业需要获得整个暗网的可见性，以丰富其威胁情报，特别是在采用远程或混合工作模式的地区。 诺维科娃说：“而且由于RDP访问的有效凭据是最常见的暗网产品，因此企业必须开始遵循最佳网络安全实践。” 她说，这包括使用可靠的密码，使所有远程管理界面只能通过VPN访问，以及对所有管理界面使用双重身份验证。

卡巴斯基实验室的一名安全研究员称，伪造Covid-19疫苗接种证书的暗网市场正在蓬勃发展。伪造文件的平均售价为300美元，但买家的钱能换来什么却是另一回事。 卡巴斯基实验室的安全研究员德米特里·加洛夫（Dmitry Galov）观察到，在暗网上出现了虚假的Covid-19疫苗接种文件交易的新高峰。这家总部位于莫斯科的公司的关键人物说，新的高峰显然是由人们“更自由地旅行的意愿引发的，因为各国目前正在实施不同的IT服务，这些服务正在检查您是否接种了疫苗”。 暗网交易市场上充斥着大量的虚假Covid-19通行证广告，被吹捧为具有合法二维码的文件平均售价高达300美元。 加洛夫说：“我们看到，网络犯罪分子正在制作他们在暗网上投放的广告。他们在广告中称，人们可以选择什么疫苗，什么样的假疫苗接种证书。” 暗网广告说，这些证书将在一些西欧国家发行，它们号称可以在任何官方应用程序中检查这些证书，例如CovPass、CoviCheck等。 加洛夫警告说：“然而，那些承诺伪造此类文件的人很可能只是骗子，他们会给你一张假证书，但你无法通过任何检查，或者什么也得不到。” “没有办法检查这些网络犯罪分子是否只是骗子，他们试图从受害者那里拿钱而不给任何回报，或者他们实际上有某种权限或方法来发送这种证书。但这并不重要，因为这样做会使用户面临风险。”他说。 研究人员解释说，鉴于他们偏爱加密货币、安全信使，并且实际上没有留下任何可供分析的东西，追踪那些只寻求剥夺受骗者资金的纯种欺诈者是非常困难的。然而，那些可能接触到数据库和算法的人，会提供理论上可以追踪到泄漏源的证书。 研究人员认为，只要有需求，假Covid-19通行证的暗网市场就会一直存在。加洛夫认为，全世界对所有现有冠状病毒疫苗的普遍认可将有助于缓解这一问题。 这将影响暗网，因为已经接种过疫苗的人，已经[打过]他们国家的任何疫苗的人，他们不会试图购买与其他[国家]有关的证书。