每三家公司中就有一家的名称在暗网上被提及,要么数据被泄露,要么权限被控制

据卡巴斯基实验室称,几乎每三家公司中就有一家的数据记录或登录信息可以在暗网上找到。泄露数据的数量正在不断增加。

每三家公司中就有一家的名称在暗网上被提及,要么数据被泄露,要么权限被控制

全球每年都会发生大量重大数据泄露、新的最大的数据泄露和黑客事件,引起媒体的广泛关注(例如Medibank、Optus、Twitter 的数据泄露以及2022 年的 Uber 和 Rockstar 的数据泄露以及 2023 年的T-Mobile、MailChimp和 OpenAI) 。

卡巴斯基在 2022 年创建了一份包含全球 700 家公司的名单,这些公司来自不同行业:工业、电信、金融、零售等。然后卡巴斯基在暗网中进行搜索,试图回答“这些公司遭受破坏的可能性有多大?”的问题。

卡巴斯基实验室的随机抽样显示,全球大约每三家公司中就有一家的被盗数据在暗网上出售。在近两年的时间里,他们发现了近 40000 条提供购买、出售或交换被泄露公司数据的信息。

在暗网上出售公司基础设施访问权对公司的威胁越来越大。与前一年相比增加了 16%。

40000 条数据泄露信息

2022 年 1 月至 2023 年 11 月期间,卡巴斯基数字足迹情报中心在论坛、博客和 Telegram 聊天工具的频道中发现了总计约 40000 条围绕公司内部数据库和文件交易的信息。然而,Telegram 通常被认为是聊天工具,不属于暗网的一部分。

大小公司都面临危险

有些邮件甚至提供了对公司基础设施的访问权限。卡巴斯基专家在近 24 个月的时间里发现了 6000 多条此类邮件。而且这一趋势仍在上升。从去年到2023年,每月此类信息的平均数量增加了16%,从246条增加到286条。 关于2024年的供应链攻击威胁预测,小公司的数据泄露也可能对全球大量个人和公司造成重大影响。

卡巴斯基专家还分析了这些访问权限被卖给了哪些公司。为此,他们随机选择了与2022年公司数据泄露有关的700家公司。这些公司出现在暗网上的 233 个帖子中。这些帖子明确提到了数据泄露、基础设施访问权限被盗或账户被黑。

并非暗网上的每条泄密信息都很重要

卡巴斯基数字足迹智能公司的专家 Anna Pavlovskaya 解释说:“并非暗网上的每条信息都包含新的或独特的信息。”有些提议是可以重复的。例如,如果网络犯罪分子想特别快速地出售数据,他们就会在各种地下论坛上发布广告,以便接触到更多的潜在买家。此外,某些数据库可以合并后再次出售。例如,这种合并报价汇总了以前泄露的各种数据库中的信息,如电子邮件地址的密码。

另一方面,价值较低的数据则会被泄露出去,以便在论坛中获得大家的认可。比如,在明网与暗网均有镜像的英文论坛Breachforums,有许多公开下载的数据。

数据泄露

数据泄露会暴露机密、敏感信息,并可能导致重大问题。最常见的例子是数据库和内部文档,因为每个规模的公司都使用有价格的机密数据。泄密可能会影响公司本身、员工和客户。

根据卡巴斯基 DFI 门户网站的数据,暗网上每月会出现约 1700 个与销售、分发或购买数据泄露相关的独特帖子。

应该注意的是,并非每条消息都代表唯一的最新泄漏。其中一些是针对同一泄露内容的重复广告,有些数据库可以按国家/地区合并或划分。

其他流行的循环泄漏类型是从流行的社交网络中删除公共数据的数据库,例如姓名、个人资料 ID 和电子邮件。它们在网络犯罪社会中仍然有效,作为攻击发展的宝贵来源。2021 年,超过 7 亿 LinkedIn 用户和5.33 亿 Facebook 用户的个人信息 被抓取并发布在暗网上。

基础设施接入

暗网上出售的另一种流行数据类型是基础设施访问。基础设施访问流行的原因很简单:复杂的攻击几乎总是包括几个阶段,例如侦察、对基础设施的初始访问、获取对目标系统和/或权限的访问以及实际的恶意行为(数据盗窃、破坏或加密) , ETC。)。不同的阶段需要不同的专业知识,因此网络犯罪分子通常具有专业知识,能够轻松获得访问权限的人可能会在攻击的发展过程中遇到困难。在这种情况下,购买初始访问权限可以简化攻击,并且对于经验丰富的网络犯罪分子来说具有成本效益。

对于想要降低与基础设施接入销售相关的风险的企业来说,第一个挑战是了解销售情况。与其他类型相比,这种数据类型的巨大区别在于,网络犯罪分子宁愿不在消息中提及公司名称,以免失去访问权限。

网络犯罪分子通常会在消息中添加一些属性,例如地理位置、行业、公司规模和年收入。

2022 年,卡巴斯基发现了大约 3000 个独特的基础设施产品。截至 2023 年 11 月,卡巴斯基已找到超过 3100 个报价。通常,对企业基础设施的黑客访问包括企业 VPN 服务的帐户以及内部网络中的某些服务器或主机(通常,访问是通过 RDP 或 Webshell 执行的)。

被入侵的账户

还有另一类数据是获得初始访问权限的真正发现——被入侵的帐户。根据来源,我们将所有被盗账户分为三类:

  • 在网络犯罪社会中自由传播的公开泄密内容。
  • 在黑客论坛和私人聊天中出售的访问权限有限的泄密内容。有时,这些只是包含未经验证的信息的小型数据库,甚至可以生成这些信息。
  • 暗网论坛上发布的恶意软件日志中的用户帐户受到威胁。由于 REDLINE 和 VIDAR 等信息窃取者的存在,此类凭据变得可用,现在网络犯罪社区可以通过恶意软件即服务轻松访问这些凭据。

乍一看,网络犯罪分子免费共享凭据是没有意义的。但是,如果他们不再需要这些数据并希望提高其在特定暗网论坛上的网络犯罪社区中的比率,他们仍然可以这样做。此外,他们还可以发布一些包含受感染帐户的恶意软件日志文件,以推广下一次销售。

所有三种类型的泄露凭证都会对公司构成威胁,因为尽管有禁令,员工仍使用公司电子邮件地址在第三方网站上注册。在没有安全意识的情况下,公司员工对外部服务和公司资源使用相同的密码,这可以帮助网络犯罪分子未经授权访问公司基础设施。

Anwangxia.com原创文章,作者:anwangxia,如若转载,请注明出处:https://www.anwangxia.com/2979.html

Leave a Reply

Your email address will not be published. Required fields are marked *