Site icon 暗网下

卡巴斯基深入研究并监控暗网市场上的网络犯罪活动

根据卡巴斯基针对亚太地区的数字足迹情报(DFI)报告,该地区的数据库泄露占广告总数的95%。如果以GDP(国内生产总值)加权的订单数量来看,新加坡和澳大利亚的数据泄露市场是迄今为止最大的。

该报告的结果可帮助企业和国家监控外部威胁并及时了解潜在的网络犯罪活动,包括暗网上讨论的主题。

对卡巴斯基数字足迹情报(Kaspersky Digital Footprint Intelligence)服务中的外部数据源(包括暗网资源)进行监控,可以通过攻击生命周期的不同阶段深入了解网络犯罪活动。在报告的第二部分中,该公司介绍了暗网分析的结果。

在分析组织的数字足迹时,发现了两种主要类型的数据:欺诈活动和网络攻击痕迹。虽然卡巴斯基发现了许多欺诈迹象,但报告中的重点仍然是攻击检测。

与攻击影响相关的暗网活动(关于出售数据泄露和受损数据的广告)在统计数据中占主导地位,因为它随着时间的推移而蔓延,网络犯罪分子开始出售、转售和重新包装过去的许多泄露数据。

第一阶段:创建购买访问权限的需求

提供访问邀请的网络犯罪分子发现,这种促销内容的市场空间巨大。来自澳大利亚、印度、中国和巴基斯坦的企业是发起攻击的主要目标。这些国家在攻击准备类别的广告中占84%。

巴基斯坦和澳大利亚吸引了大量的兴趣,从按其国内生产总值加权(GDP)的订单数量可以看出。

在基础设施、商业和工业化程度方面,中国受到的关注较少。这可能是由于该国家/地区分层网络访问的语言障碍和复杂性。

购买访问权限的订单是指购买特定地区的一个或列表中的特定企业或行业的访问权。

然而,购买内部权限订单是要求购买可能导致证书或数据泄漏的企业内部权限的服务,信息收集服务的来源(例如,根据要求销毁PII数据)。

最有希望的发现是在攻击的执行阶段:人工分析指出,对手有能力或已经进入组织的网络或服务,但还没有对业务产生影响。在暗网的广告方面,显示正在进行的攻击,澳大利亚、印度、中国大陆和菲律宾占卡巴斯基检测到的广告的75%。

第二阶段:访问的命令,准备执行

发现的证据表明,攻击者有能力或有权访问组织的系统或服务,但没有企业受到影响。至于暗网上的广告,这意味着攻击已经完成,澳大利亚、印度、中国和菲律宾占卡巴斯基检测到的广告的75%。

这类广告分为三种权限类型:
初始访问经纪人——提供特定企业的权限订单,或向按行业和/或地区分组的企业批量权限的订单。
内鬼销售订单——内鬼出售可能导致凭证泄漏、信息收集服务来源或数据泄漏的内幕服务。消息来源通常是企业内部的工作人员。
分发恶意软件——窃取凭据的恶意软件会收集凭据,将其转化为可以转售或通过帐户用户名和密码访问的数据。

按国内生产总值加权计算,菲律宾、巴基斯坦、新加坡、澳大利亚和泰国的企业受到的攻击最多。

菲律宾、印度和中国大陆以82%的订单营业额在暗网服务市场中占主导地位。

第三阶段:数据泄露和数据出售

一旦发生数据泄漏,销售和免费获取被盗信息的情况都会随之而来。泄露的指标可以是数据泄露以及内部活动指令——销售或免费访问内部数据,包括但不限于数据库、机密文件、PII、信用卡、VIP信息、财务数据等等。

来自澳大利亚、中国大陆、印度和新加坡的黑客组织占据了暗网上所有数据泄露销售额的84%。

从按GDP加权的订单数量来看,新加坡和澳大利亚是暗网上出售泄露数据的两个最大市场。

应该指出的是,菲律宾、巴基斯坦和泰国的组织是发起攻击或似乎受到威胁的攻击者之一,但数据泄露的数量与中间组的其他国家相当。

卡巴斯基亚太区董事总经理Chris Connell表示:“网络表面下的暗网网络犯罪活动显然非常繁忙。从攻击准备和执行,到数据泄露的影响,再到出售和转售被盗信息,这些功能性的恶意活动对亚太地区的企业和组织构成了严重威胁。”

“出售数据和进入公司网络内部往往是齐头并进的。这意味着对您的企业的成功攻击可能是双重的。您的机密信息可能会被窃取和出售,网络犯罪分子可以解锁并将你受感染的系统提供给更多的恶意黑客组织。面对多重攻击需要主动防御,包括通过实时、深入的威胁情报报告提供强大的事件响应和暗网监控功能。”

暗网上的网络犯罪分子通常通过 RDP 提供远程访问。为了保护您公司的基础设施免受远程访问和控制服务的攻击,请确保通过此协议的连接是安全的:

仅授予通过 VPN 访问服务(例如 RDP)的权限
使用强密码和网络级身份验证
对所有服务使用双重身份验证
监控数据访问泄漏,Kaspersky Threat Intelligence提供暗网监控服务。

卡巴斯基主要发现

Kaspersky Digital Footprint Intelligence发现了103,058个未打补丁的暴露网络服务。政府机构的网络资源受已知漏洞影响最大。

在组织的外部边界中遇到的十分之一以上的漏洞是ProxyLogon。在日本,43%的未打补丁的服务中都发现了这个漏洞。

16,003个远程访问和管理服务可供攻击者使用。政府机构是受影响最大的机构。

在暗网上,黑客更喜欢购买和出售来自澳大利亚、中国大陆、印度和日本的企业的访问权限。

澳大利亚、中国大陆、印度和新加坡占暗网论坛上所有数据泄露销售订单的84%。

Exit mobile version