近日,持续威胁暴露管理公司Searchlight Cyber发布了其关于暗网勒索软件趋势的年度报告《同样的游戏,新的玩家:2025年的勒索软件》。Searchlight Cyber是暗网情报行业的知名企业,其研究具有很强的指导意义,该年度报告追踪了勒索软件领域“主要参与者”遭受的重大破坏、暗网上新勒索软件团体的增加以及列出的勒索软件受害者的增加。
Searchlight Cyber的研究报告对2024年勒索软件的发展进行了总结,主要发现包括:
2024年共有94个勒索软件团伙列出受害者(比2023年增加38%),其中观察到49个新团伙,这反映出勒索软件形势进一步复杂化。 2024年勒索软件团伙的暗网泄密网站上发布的受害者总数(5728)与2023年(5081)相比增加了11%。 去年,欧盟和英国等国家地区执法部门领导的“克罗诺斯行动”(“暗网下/AWX“曾报道,国际联合执法严重打击了LockBit勒索软件团伙),导致LockBit的受害者产量减半,LockBit的受害者数量在2024年下降到494个,不到2023年的一半。此后RansomHub已取代LockBit成为头号勒索软件团伙,其在2024年发布了611名受害者。
报告显示,2024年最活跃的五个勒索软件团伙分别是RansomHub、LockBit、Play、Akira和Hunters International,这代表了勒索软件格局的重大变化。在这五个团伙中,只有LockBit活跃了三年以上,而今年最活跃的团伙RansomHub于2024年2月才出现。与此同时,BlackCat和Cl0p等主要团伙(2023年分别排名第二和第三)跌出了排名。
该报告包含五大勒索软件团伙的概况,以及对过去12个月勒索软件等级变化的分析。例如,RansomHub可能是一个新的勒索软件“品牌”,但实际上它与Knight、BlackCat和LockBit等其他勒索软件团伙有联系。这种勒索血统,加上其“联盟友好型”勒索软件即服务(RaaS)模式,或许可以解释它为何如此迅速地崛起。
过去一年中观察到的另一个显著变化是出现了具有政治动机的团伙,这些黑客组织除了采用网络钓鱼、篡改和部署恶意软件等常用方法外,还将勒索软件作为一种新战术。
报告称,这一新趋势模糊了网络犯罪和网络战争之间的界限,要求企业在威胁评估中考虑另一个维度。现在,除了监控出于经济动机的行为者之外,安全团队可能还需要扩大他们的对手名单,将那些可能出于意识形态原因而针对他们的行为者也纳入其中。
Searchlight Cyber威胁情报主管Luke Donovan表示:
这份报告的主要结论是,我们将在2025年迎来一个更加繁忙和复杂的勒索软件生态系统。虽然我们观察到一些最大的勒索软件团体受到干扰,但一些较小的参与者也纷纷涌入,这给不断尝试评估和准备应对新兴威胁的安全团队带来了挑战。
在这个日益繁忙的环境中,企业积极应用威胁情报来指导防御变得更加重要。首先,找出这些团伙运作方式的共同点,并为最常见的攻击技术做好准备。其次,根据他们的活动和受害者情况,帮助他们将对手缩小到他们最有可能面对的四五个团伙。
介绍 暗网情报市场已成为全球网络安全领域的重要组成部分。2023年,暗网情报市场规模达到5.203亿美元,预计到2032年将大幅增长至29.218亿美元,预测期内复合年增长率预计为21.8%。这种强劲增长是由多种因素推动的,包括在线欺诈活动数量的增加以及大型企业和IT和电信等行业(代表着最大市场份额)越来越多地采用暗网情报解决方案。网络犯罪分子的手段日益复杂,并且由于大型企业拥有广泛的资产和品牌声誉他们有针对性地攻击这些企业,这突显了对先进暗网情报解决方案的迫切需求。
基于云的部署模式具有可扩展性、灵活性和成本效益,允许在全球范围内远程访问和协作情报数据,因此市场对这种模式的需求也在激增。北美洲在市场中占据主导地位,这是因为北美洲高度依赖物联网(IoT)设备,网络犯罪率不断上升,各行各业广泛采用暗网情报解决方案来保护数据和知识产权。
最近,网络安全领域发生了一些引人注目的并购事件,目的是提高能力和扩大市场占有率。例如,Delinea收购了Authomize,以增加身份威胁检测和响应技术。同样,惠普企业(Hewlett Packard Enterprise)以140亿美元收购瞻博网络(Juniper Networks),标志着网络设备领域的重大扩张。其他重大交易包括HID收购ZeroSSL,增强了网站通信安全;SentinelOne收购PingSafe,引入了云原生应用保护平台功能。这些举措凸显了巩固专业技术和拓宽网络安全解决方案的趋势。
要点 2023年,暗网情报市场规模飙升至5.203亿美元,预计到2032年将飙升至29.218亿美元,2023年至2032年间的复合年增长率(CAGR)将高达21.8%。 根据4iQ的数据,2022年暗网上被盗的账户凭据比前一年激增82%,达到惊人的150亿个。 根据Sixgill的报告,身份盗窃占暗网上受监控活动的65%以上,信用卡欺诈紧随其后,占15%。 根据Sixgill的报告,包含信用卡信息的卡转储的可用性比2021年增加了6%,在2022年超过1.92亿张,平均信用额度为8700美元。 根据Chainalysis的数据,暗网上的加密货币交易量比2020年的水平几乎翻了一番,在2022年价值达到近250亿美元。 2022年,针对完全修补的iPhone 13的漏洞在暗网论坛上以250万美元的惊人价格售出。 根据DarknetStats的数据,2022年暗网上的药品销售额猛增约15%,交易额估计达17亿美元。 据网络安全公司Digital Shadows报告,2022年在明网、深网和暗网上发现了15000多起数据泄露事件,暴露了近3PB的数据。 北美地区引领全球暗网情报市场,占据36.7%的主要收入份额,2023年需求价值达1567亿美元。 暗网情报统计 2022年,约52%的美国企业制定了暗网威胁情报政策,这表明他们对网络安全风险有了深刻的认识。 外包给专注于暗网的专业服务提供商是监控暗网威胁的主要方法,这表明网络安全措施对外部专业知识的依赖。 16.8%的受访者可以通过TOR直接访问暗网,这突显了有可能接触隐藏在线活动的个人比例相当高。 卡巴斯基数字足迹情报专家观察到,在2022年1月至2023年11月期间,平均每月有1731条暗网信息涉及企业内部数据库和文件的销售、购买和分发,在此期间,总计有近40000条信息。 从2022年1月到2023年11月,有超过6000条暗网信息发布了访问企业基础设施的广告,月均信息数量从2022年的246条增加到2023年的286条,增幅达16%。这表明,向企业提供预先存在的访问权的广告呈上升趋势。 2022年,在随机抽取的700家公司中,有233家公司在与数据泄露或账户受损有关的暗网帖子中被提及,这表明约有三分之一的公司面临着来自暗网的网络威胁。 NICE Actimize使用暗网智能提供有关受损客户帐户的真实、可操作的数据,帮助主动防御欺诈和金融犯罪。 身份欺诈和账户接管数据源包括姓名、电子邮件地址、电话号码、IP地址或SSN等详细信息,以便在账户被接管发生之前识别高风险客户。 受损支付卡数据源包含被网络犯罪分子获取或在暗网上交易的高欺诈风险借记卡、预付卡、信用卡和礼品卡。 用例 暗网情报在网络安全方面发挥着至关重要的作用,它能让企业深入了解潜伏在互联网隐蔽角落的威胁。利用这些情报可以通过各种用例大大增强组织的安全态势。以下是一些关键应用,并得到行业研究结果和专家见解的支持:
在使用前检测并减少暴露的凭据: 暗网智能的主要用途之一是识别暴露的凭证。由于暗网中流通着数十亿份凭证,企业可以通过监控这些凭证的存在,主动发现并减少潜在的漏洞。这不仅有助于防止凭证填充攻击,还有助于防止未经授权的访问。
监控内部威胁: 内部威胁,无论是恶意的还是意外的,都可能导致重大的数据泄露。通过监控暗网论坛和市场,企业可以发现是否有内部人员试图出售访问权限或敏感信息。这种早期检测可以让企业迅速采取行动,从而有可能在数据泄露发生之前阻止其发生。
检测勒索软件转储网站列表: 随着勒索软件的兴起,攻击者不仅加密数据,还威胁要在暗网上发布这些数据。通过监控这些转储网站,企业可以对涉及其数据的违规行为发出警报,从而更快地做出反应,减轻损失。
漏洞和漏洞利用聊天监控: 暗网是讨论漏洞和漏洞利用的温床。监控这些对话可以为组织提供有关新漏洞和零日威胁的信息,使其能够在攻击者利用这些弱点之前修补系统。
消除初始访问代理(IAB): IAB 通过出售被入侵系统的访问权限,为网络攻击提供便利。通过监控 IAB 的活动,企业可以发现并解决系统中存在的、可能被这些经纪人利用的漏洞。
品牌监控: 监控开放源和社交媒体渠道中对您品牌的提及,可以发现依赖社交工程而非软件漏洞的微妙威胁。这包括识别可能损害企业声誉或导致数据泄露的恶意资料或链接。
明网、深网和暗网监控: 从互联网的各个角落收集情报,包括明网、深网和暗网,对于全面的安全战略至关重要。这使企业能够随时了解在这些隐藏空间中讨论或交易的新威胁和漏洞。
主要参与厂商分析 Searchlight Cyber Searchlight Cyber是暗网情报行业的知名企业。该公司最近采取了重要措施来扩展其能力并改进其产品。其中一项措施是在其DarkIQ平台中引入了一项新功能,增加了4500亿个曝光数据点。这一改进的目的是通过提供清晰、深度和暗网数据曝光的全面视图,帮助企业更有效地识别和应对威胁。
除此之外,Searchlight Cyber还推出了暗网中心(The Dark Web Hub),这是一个为网络安全和执法专业人员提供暗网教育的在线平台。该中心提供有价值的信息,包括对暗网网站的见解,并提供播客和视频等资源,以帮助打击暗网犯罪。
ZeroFox ZeroFox公司是外部网络安全领域的领先组织,通过其先进的威胁情报和网络安全解决方案为暗网情报领域做出了重大贡献。该公司以其识别社交媒体和其他数字平台风险的能力而闻名,通过与著名的数据泄露响应服务提供商IDX合并,实现了大幅扩张。此次合并旨在通过与L&F Acquisition Corp的SPAC交易创建一个公开交易实体,从而使ZeroFox公司能够提供全面的外部威胁防护和违规响应服务。这一战略举措预计将增强ZeroFox在网络安全市场的影响力,改善其为近2000家客户提供的服务及产品,其中包括《财富》杂志前10强中的5家。
2021年,ZeroFox收购暗网威胁情报公司Vigilante。除了收购IDX、Vigilante之外,ZeroFox还通过收购LookingGlass Cyber Solutions, Inc.(外部攻击面管理和全球威胁情报领域的创新企业)进一步扩大了其网络安全产品组合。此次收购于2023年4月完成,不仅巩固了ZeroFox在外部网络安全市场的地位,还增强了其平台的先进攻击面情报能力。LookGlass与ZeroFox运营的整合旨在提供无缝的客户体验,同时为客户、员工和股东带来宝贵的利益。通过这些战略扩张,ZeroFox正在提高其平台抵御各种外部网络威胁(包括网络钓鱼、欺诈和帐户劫持)的功效,从而重申其在快速发展的网络环境中保护数字资产的承诺。
DarkOwl DarkOwl一直在积极提高其暗网情报能力,并取得了一系列重要进展,体现了其致力于提供先进网络安全解决方案的承诺。2023年5月,DarkOwl推出了一个新的威胁情报平台,旨在提供有关暗网活动和威胁的最新见解,展示了其对积极主动的网络安全措施的承诺。在此基础上,DarkOwl于2023年10月与一家领先的网络安全公司合作,提供综合暗网监控和事件响应解决方案。这一合作将加强公司对外部网络威胁的全面保护。此外,2023年12月,DarkOwl获得了1500万美元的A轮融资,这将加速其产品开发和市场拓展工作,彰显DarkOwl的创新解决方案在网络安全领域获得了越来越多的认可。