网络犯罪论坛为网络犯罪者提供了一个协调、交换信息和进行非法交易的渠道。这些论坛通常托管在暗网上,但部分论坛也可以通过明网访问,是恶意活动的中心。网络犯罪论坛的典型结构包括一个专门的交易市场部分,为出售被盗证书、勒索软件即服务和恶意软件提供便利,而一个单独的部分则保留用于一般的网络犯罪讨论。
众所周知,俄罗斯是名副其实的网络犯罪活动之都。最近的分析表明,74%的勒索软件收入流向了与俄罗斯有联系的威胁行为者。除了以营利为目的的网络犯罪之外,俄罗斯在开展国家支持的网络战方面也有着有据可查的历史。
从威胁情报的角度来看,监控暗网中的网络犯罪论坛有助于监测企业即将发生的攻击的迹象,或者揭露出售的用户凭据,然后可以被渗透之前预先重置他们的帐户。本文“暗网下/AWX”介绍了2023年值得关注的暗网中的俄罗斯三大顶级网络犯罪论坛,企业需要重点对这些暗网论坛进行监控。
Exploit.in Exploit.in是运行时间最长的暗网黑客论坛之一,早在2005年就已启动。顾名思义,该站点的最初目的是为恶意行为者提供一个讨论各种漏洞的有效利用Exp的地方。Exploit.in自然地演变为包含关于其他类型的网络犯罪活动的讨论的论坛,从社会工程技术到破解密码算法的教程。
该论坛是一个以俄语为主的论坛,有一个市场板块,网络犯罪分子在这里交易被盗的信用卡信息、恶意软件,甚至是零日漏洞。Exploit.in还作为一个网络犯罪新闻网站。有趣的是,这个论坛既可以通过表网上的标准互联网浏览器访问,也可以使用Tor浏览器通过暗网访问。
但是,要访问论坛和参与讨论,威胁行为者要么支付100美元的自动访问费用,要么他们可以尝试获得免费访问权限,条件是他们已经在其他“友好”论坛上建立了声誉。虽然这些条件在技术上使Exploit.in成为一个封闭的论坛,但100美元的费用不太可能阻止公司注册虚假账户以监控威胁情报。
Exploit.in的明网地址:
https://exploit.in/
Exploit.in的暗网地址:
https://exploitivzcm5dawzhe6c32bbylyggbjvh5dyvsvb5lkuz5ptmunkmqd.onion
XSS.is XSS.is是另一个封闭的俄语论坛,可以在明网和暗网上访问。管理员承诺使用各种安全和匿名功能来保护注册用户,包括禁用所有用户登录和用户操作的IP地址日志,以及实施加密的私人消息。在XSS.is上注册没有太多障碍——新用户只需输入有效的电子邮件、回答基本的网络安全问题,然后等待网站管理员的批准。
XSS.is上的内容涉及凭证访问、漏洞利用和有价值的零日漏洞的讨论和交易,这些漏洞不存在安全补丁。XSS.is上的其他独家私人部分需要付费才能访问。此前,XSS.is被广泛用于为勒索软件即服务团伙招募成员,但论坛管理员在2021年禁止了勒索软件话题。
这个俄罗斯网络犯罪论坛的名称源于一种称为跨站点脚本的Web应用程序漏洞。该网站从2013年开始被称为DaMaGeLaB,直到2018年一名管理员被捕,之后它被重新命名为XSS。
XSS.is的明网地址:
https://xss.is/
XSS.is的暗网地址:
https://xssforumv3isucukbxhdhwz67hoa5e2voakcfkuieq4ch257vsburuid.onion
RAMP 2.0 2021年RAMP 2.0(俄罗斯匿名市场)论坛的成立有一个有趣的背景故事,它是在臭名昭著的勒索软件团伙Babuk之前使用的域上启动的。
Babuk勒索软件行动对华盛顿特区大都会警察局和休斯顿火箭队的篮球队进行了勒索软件攻击。Babuk的威胁者以前曾使用这个暗网洋葱域名,在受害者拒绝屈服于他们的勒索要求时发布被盗数据。
从2012年到2018年,RAMP的前一个版本存在于一个不同的域名上,但它更多地是围绕着购买和销售非法产品。俄罗斯执法部门关闭了RAMP的第一个版本,但出现了一个新版本,重点是网络犯罪。受欢迎的论坛板块包括赎金软件集团的合作伙伴计划,恶意软件板块,以及另一个专门出售企业账户访问权的板块。
注册RAMP 2.0需要成为Exploit和XSS的活跃会员至少两个月。要进入RAMP 2.0,在这两个论坛的良好声誉也是必不可少的。论坛的语言选择已经从单纯的俄语发展到现在包括普通话和英语。
RAMP 2.0的明网地址:
https://ramp4u.io/
RAMP 2.0的暗网地址:
http://rampjcdlqvgkoz5oywutpo6ggl7g6tvddysustfl6qzhr5osr24xxqqd.onion
有一天,我接到一家大型金融机构的内部法律顾问莎拉*的电话。她告诉我:“我们的[信息安全]团队在做例行搜索时发现了一份在暗网上出售的员工密码的列表。业务人员想把它买回来。我们应该做什么?我们应该自己买吗?有什么坏处吗?”
我经常接到这样的电话,简短的回答是,在大多数情况下,法律和声誉风险远远超过购买数据的好处。网络罪犯经常使用暗网——犯罪和非法活动的中心——出售他们通过撞库攻击、网络钓鱼攻击、黑客攻击甚至公司内部人员泄露的未经授权访问的公司数据。
法律和声誉风险包括:
它推高了您公司数据的价格,并使您成为了目标。 如果您购买了您公司的数据,这不仅会使数据本身变得更加昂贵——您还可能获得愿意支付费用的公司的声誉,从而使您成为未来网络勒索和赎金攻击的更理想的目标。
即使网络犯罪分子不知道您的公司是购买者,他们仍会注意到数据正在出售。如果他们确实知道您的公司是买家,他们可能会在自己的圈子中宣传这一点,使您的公司处于进一步的声誉风险之中。
您不知道您从这些数据中得到了什么。 从暗网购买数据本质上是有风险的,因为您总是从不值得信任的人那里购买数据——威胁行为者或从黑客那里非法购买数据的人。数据中可能包含恶意代码和/或包含可能为网络犯罪分子提供未经授权访问公司系统的特洛伊木马程序。
这些数据可能包含来自其他公司的机密或内部信息。 卖家可能将您公司的数据与其他来源的数据结合起来提供,包括您的竞争对手或商业伙伴。您不会知道这一点,直到它太晚了。然后,这些数据的所有者可能会声称您的公司违反了保密协议或其他法律(盗用商业秘密或更糟的是,收到被盗财产)。
您的购买可能会触发通知义务并增加监管风险。 购买数据可以为您提供数据已被泄露的证据,这将触发向消费者和监管机构报告的要求,使您面临诉讼和执法行动的风险。在最好的情况下,您会被置于一个困难的境地,即确定是否触发了监管通知,或者冒着监管机构后来会声称它应该被通知的风险。
您的购买甚至可能违反美国的制裁。 由于很难确定卖家的身份,如果威胁行为者与受制裁国家有关联,购买数据可能会使您的公司承担违反美国财政部规定的责任。美国财政部外国资产控制办公室 (“OFAC”) 对向威胁行为者付款的企业采取执法行动,因为这些付款构成了违反美国制裁的行为。
即使您使用第三方采购商,您的公司仍然可能有风险。 然后,第三方服务将可以访问您公司的客户、供应商和员工数据,从而使这些数据面临额外的风险。而且,您可能仍要承担指导付款的责任。
您可能会被数据泄露的个人起诉。 您可能有法律义务通知个人您在暗网上发现了他们的数据。这些人可能会指责您的公司没有妥善保护他们的数据,也许会不公平地认为入侵的是公司的系统或公司的错误。这可能导致业务损失和可能的诉讼。
这些信息可能仍然存在于暗网上并被出售。 鉴于您正在与网络犯罪分子或其同伙打交道,因此无法保证购买会导致数据得到完全保护。卖方可能没有掌握或控制您被盗数据的所有副本,因此无法阻止进一步的销售或传播。或者他们自己可能继续将您的数据卖给别人。
出于上述许多相同的原因,从暗网购买与您公司业务无关的数据是不可取的。您的公司将面临接收被盗信息甚至竞争对手的商业秘密的风险,从而造成法律和声誉上的双重风险。在任何情况下,这都是不可取的。
我们认识到,在某些情况下,贵公司可能仍会考虑从暗网上购买信息。这些购买应该是非常罕见的,并且要格外小心。在这些情况下,还应进行OFAC分析,以降低您从受制裁国家或个人购买数据的风险。
如何攻击企业基础设施已成为暗网论坛上最受欢迎的话题之一,占暗网论坛技术讨论帖子的12%。这意味着网络犯罪分子渴望获得对企业基础设施的控制权。
卡巴斯基安全服务分析主管尤利娅诺维科娃(Yuliya Novikova)表示,他们的动机纯粹是利益驱动的。
她说:“对于网络犯罪分子来说,最终目的是从获得的初始访问权限中获得尽可能多的利润。他们出售任何东西,从Web面板的有效凭据,用户及管理员的cookie认证信息,到远程命令执行漏洞的详细信息以及对已上传的Webshell后门的访问。”
她说,这些暗网里的恶意犯罪分子通常通过三种方式获得访问权限。
第一、利用漏洞,例如未修补的软件漏洞、错误配置的服务、0day攻击和Web应用程序中的已知漏洞。
第二,网络钓鱼,这是比较常见的,针对企业工作人员,通常是客服。
第三,通过使用数据窃取程序获取直接的访问凭证,如RDP。
诺维科娃解释说:“恶意软件感染用户设备并截取数据,这些数据被收集在日志中,,并在暗网论坛上公布,它们将被出售。恶意用户正在寻找几乎任何类型的数据来窃取。这包括支付和个人数据、域凭据、第三方服务凭据、社交网络帐户和授权令牌。”
她说,在分析了暗网上近200个提供对企业数据的初始访问权限的帖子后,卡巴斯基发现75%的帖子通过远程桌面协议((RDP)提供初始访问权限,每个帖子都具有不同的权限,从域管理员、本地管理员和普通用户权限。
诺维科娃说:“随着远程工作现在对许多公司来说已经成为现实,公司已经引入了RDP以使同一公司网络上的计算机能够连接在一起并远程访问,这一发现是一个值得关注的问题。”
卡巴斯基的研究表明,RDP攻击日益受到关注,突出了该安全公司认为全球范围内此类攻击的高命中率。
黑市对企业数据的需求很大。卡巴斯基的研究表明,对公司数据的大量初始访问基本是通过RDP提供的,这凸显了本地企业需要获得整个暗网的可见性,以丰富其威胁情报,特别是在采用远程或混合工作模式的地区。
诺维科娃说:“而且由于RDP访问的有效凭据是最常见的暗网产品,因此企业必须开始遵循最佳网络安全实践。”
她说,这包括使用可靠的密码,使所有远程管理界面只能通过VPN访问,以及对所有管理界面使用双重身份验证。
根据俄罗斯内政部的一份声明,俄罗斯警方声称,它在暗网上发现了针对莫斯科的恐怖袭击命令的宣传。
神秘的暗网包括了许多只能通过特定软件才能授权访问的暗网网站,从而确保了用户的匿名性。
内政部说:“在监控互联网的过程中,俄罗斯内政部的员工在互联网的影子部分——暗网、Hydra网站以及社交网络和即时通讯工具中存在一些呼吁恐怖活动的宣传信息。”
内政部补充说:“根据现有信息,呼吁非法行为的公告是由位于乌克兰的呼叫中心发布的。警方表示,以前这些中心可能从事针对俄罗斯公民的电话欺诈和其他犯罪行为。”
攻击者在网上发布的材料中提出悬赏开展恐怖袭击,包括针对俄罗斯国家当局。
俄罗斯内政部已要求“公民不要对互联网上发布的挑衅性提议作出回应”。
当地警方表示,“参与恐怖活动、流氓行为等违法行为,应当承担刑事责任。”
随着虚假信息的泛滥和社交媒体对军事主张和反主张的放大,确定到底发生了什么很困难。
由于俄罗斯和乌克兰的网站成为网络攻击的受害者,而莫斯科限制访问一些外国社交媒体,两国的互联网用户都转向暗网、VPN等其他在线工具,以帮助规避这些封锁。
对加密数据和隐藏用户所在IP地址的虚拟专用网络(VPN)的需求飙升,与2月16日至23日的每日平均水平相比,周日在俄罗斯的需求达到了354%的峰值。
俄罗斯将其在乌克兰的军事行动称为“特殊行动”,于2月24日入侵其邻国,从陆地、海上和空中发起攻击。在俄罗斯国内,它正在努力控制言论,威胁要对偏离其官方报道版本的外国和当地媒体进行限制。
照片和视频在Meta公司拥有的Facebook和Twitter两个网站上的加载速度都很慢,这两者都已成为俄罗斯国家通信监管机构Roskomnadzor的目标。
“由于当局在周末限制Facebook和Twitter,以控制其入侵乌克兰的信息流,因此俄罗斯的VPN需求激增。”
俄罗斯去年禁止了几种VPN,但未能完全阻止它们,因为批评人士称其扼杀了互联网自由。
在乌克兰,俄罗斯黑客被指责在入侵前几天发动了一连串网络攻击,导致乌克兰银行和政府网站短暂关闭。俄罗斯对此予以否认。
鉴于网络攻击,乌克兰的VPN需求也于2月15日开始显着增加,并在入侵后飙升,需求量比2月上半月的日均值高出424%。
周一,几家俄罗斯媒体的网站遭到黑客攻击,其常规网站被反战信息取代,并呼吁阻止总统弗拉基米尔·普京的入侵。
马来西亚信用报告机构CTOS和Experian发布新闻声明,宣布其数据资产是安全的,并且还将向所有马来西亚人提供一定时长(分别是一个月与三个月)的免费暗网监控。
他们的公告是在马来西亚国家银行(BNM)暂停所有信用报告机构(CRA)的中央信用参考信息系统(CCRIS)以应对潜在的网络威胁和数据泄露事件的可能性之后发布的。
虽然尚不清楚究竟是什么原因导致暂停,但CTOS写道,整个行业的举动是“进一步保护客户信息的预防措施”。他们还解释说,“网络攻击变得越来越频繁和复杂”,临时暂停适用于所有CRA。
此前BNM称:一旦信用报告机构的安全访问得到保证,访问将恢复。尽管如此,金融消费者可通过这个链接访问他们的CCRIS报告:https://eccris.bnm.gov.my
“我们想向公众保证,截至目前,没有迹象表明我们的数据资产遭到入侵……我们已经并将继续进行大量投资,以确保我们的IT和数据安全“,CTOS集团首席执行官丹尼斯·马丁(Dennis Martin)说:“我们的框架、政策、程序和系统以马来西亚国家银行的技术风险管理(RMiT)标准和ISO27001以及其他全球标准为基准。”
马丁称:“CTOS非常重视网络安全风险和数据泄露保护,我们拥有的所有数据和信息都受到世界一流的认证数据安全技术的保护。随着网络攻击变得越来越频繁和复杂,我们还加强了主动评估流程,以保护数据的完整性。”
Experian也解释说,他们已经进行了“深入的安全调查”,没有发现任何系统、服务器或设施受到入侵的证据。他们已在整个调查过程中向国行提交调查结果,并将“尽快”恢复其CCRIS服务。
“我们致力于推进数据安全标准和保障措施,以保护马来西亚消费者和企业的信息和利益。对于许多人来说,这是一个令人担忧的时期,过去几周据称有消息称个人数据在暗网上被出售。”Experian写道。
CTOS CTOS宣布,从今天起,即2021年10月4日,所有马来西亚人都可以通过CTOS SecureID免费获得一个月的暗网监控。该服务将有助于检查客户的个人信息是否有可能暴露在暗网中。
你可以在这里通过CTOS注册一个月的免费服务。根据他们的网站,通常每月费用为8.90马币,或每年86.90马币。CTOS SecureID还将为你提供信用监测和报告,以及欺诈和Takaful保险。
Experian Experian通过JagaMyID提供为期三个月的免费暗网监控。基本的JagaMyID服务通常每年要花费63马币,还包括信用报告,但没有保护计划。JagaMyID Plus账户包括保护计划,一年的费用为99令吉。
从2021年10月4日起,您可以在此处通过Experian注册为期三个月的免费服务。
共有三家由BNM授权的CRA可以进入CCRIS。除了CTOS和Experian,Credit Bureau也承认了暂停。但是,它尚未提供类似于其他CRA的免费暗网监控服务。