2024上半年暗网报告
AI智能总结
暗网报告2024年上半年/天际友盟 1 2024-11 双子座实验室 暗网报告2024年上半年/REPORT 2 目录 TABLEOFCONTENT 01序言03 02总体数据概览04 勒索软件数据04 数据泄露数据06 黑客攻击数据08 03典型事件11 国内事件11 国外事件14 04半年特点总结19 0P1OINT 序言 为全面了解暗网威胁态势,确保客户数据和网络的安全,天际友盟将基于自有暗网监测平台持续发布暗网半年报告。该平台的监控范围广泛,覆盖了勒索软件数据泄露站点、暗网交易市场、黑客论坛、海外Telegram交易频道等多个渠道。 通过持续的监测工作,天际友盟将跟踪、整理和分析与勒索软件攻击、敏感数据泄露、黑客攻击相关的数据信息。这将有助于我们加强对暗网威胁的防范,并制定相应的对策措施。鉴于暗网威胁的复杂性和严峻性,未来天际友盟将持续提升监测能力和分析技术,并加强与各方合作,共同构建一个更加安全可靠的网络环境,以更好地应对暗网威胁。 0P2OINT 总体数据概览 2.1勒索软件数据 607 193164 127124115114114 105 96 2.1.1Top10勒索组织 700 600 500 400 300 200 100 Lockbit RansomHub Play 8Base BlackBasta Hunters Cacuts Akira BianLian Qilin 0 图1Top10勒索组织 从图1可以看出,LockBit依然以607名受害者数量远超其它勒索组织,而其它排名有了明显的变动,2024年2月份才出现的勒索组织Ransomhub异军突起,排名跃至第二位,成为目前最为热门的勒索团伙之一。Play和8Base勒索软件较2023年下半年均有所上升,而Hunters和Qilin组织则首次挤进前十。 2.1.2Top10勒索国家 618 104 47 25 22 2120 20 19 18 18 美国加拿大德国英国澳大利亚印度法国荷兰格鲁吉亚意大利法国 700 600 500 400 300 200 100 0 图2Top10勒索国家 根据图2可以看出,2024年上半年,美国成为了遭受勒索软件攻击最为严重的国家,以其惊人的数字遥遥领先。而其他受影响较大的国家包括加拿大、德国、英国、澳大利亚、印度、荷兰、格鲁吉亚、意大利和法国等。这些国家在网络安全领域面临着巨大的威胁和挑战,令人担忧。 2.1.3Top10勒索行业 制造业软件和信息技术医疗教育金融 军工建筑零售 图3Top10勒索行业 政府能源 根据图3的数据显示,2024上半年,勒索软件攻击广泛分布于多个行业,主要集中在制造、软件信息技术和医疗领域,中小型企业受到的影响显著。同时,教育、军工、金融、建筑、政府、零售和能源等领域也受到较大波及。 2.1.4Top10勒索金额 10w$ 30w$ 20w$ 15w$ 100w$ 赎金价格 12w$ 50w$ 200w$ 90w$ 80w$ 70w$ 40w$ 250w$ 650w$ 图4Top10勒索金额 图4显示,勒索软件团伙在赎金价格的设定上存在较大差异。这种差异主要是因为他们所攻击的目标企业收入水平各不相同。因此,勒索软件团伙会针对每个受害公司的具体情况,设置个性化的赎金价格。根据数据统计,最常见的赎金价格最低为10万美元,而最高则可高达650万美元。这一数字差异显示了勒索软件团伙在赎金策略上的巧妙和灵活性。 2.2数据泄露数据 2.2.1Top10涉及国家 法国英国 澳大利亚以色列 加拿大巴西俄罗斯中国印度美国 020040060080010001200 图5Top10涉及国家 泄漏次数 图5数据显示,美国、印度、中国以及俄罗斯等大国是2024年上半年数据泄露问题最为严重的国家。 不仅如此,巴西、加拿大、澳大利亚、英国和法国等地也是数据泄露高发区。这些数据揭示了全球范围内数据泄露问题的严峻形势。大国之间的数据泄露风险引起了广泛关注,因为这些国家拥有庞大的互联网用户群体和复杂的网络基础设施。而其他国家的数据泄露情况,则反映了数据泄露问题的全球化趋势。 2.2.2Top10影响行业 4500 4000 3500 3000 2500 2000 1500 1000 500 租赁与商务服务 通信及软件信息技术服务 教育与科研 0 泄漏次数 金融 文体娱乐 医疗 制造业 政府 交通运输 批发零售 图6Top10影响行业 图6数据显示,2024年上半年,租赁与商务服务、通信及软件信息技术服务以及金融这三个行业所面 临的数据泄露风险最为突出。此外,文体娱乐、教育与科研、医疗、制造业、政府、交通运输以及批发零售等行业也在不同程度上存在数据泄露问题。这一数据展示,在信息时代,数据安全已成为各行各业共同面临的重要课题。 2.2.3Top10售卖金额 20$ 299$ 售卖价格 99$ 88$ 399$ 199$ 2$ 100$ 10$ 50$ 图7Top10售卖金额 售卖次数 根据图7的数据可以看出,售卖数据的犯罪分子通常以非常低廉的价格进行交易,最低可以仅为2美元,最高也不超过400美元。这一数字范围的窄幅差异表明了被售卖的数据多为二次贩卖的低价值数据。这种现象侧面反映了数据市场中低价值数据的普遍存在。低价值数据的特点可能是因为它们已经在黑市上被多次交 易,或者它们的信息已过时或不再具有实用性。然而,不要低估了这些低价值数据所带来的潜在风险。即使数据的价值相对较低,但在犯罪分子手中,仍可能被滥用和利用,给个人和企业带来巨大的损失和风险。 2.3黑客攻击数据 2.3.1Top10黑客组织 700 600 500 400 300 200 100 RipperSec NoName057(16) Garnesia_Team CyberTeamIndonesia GrxSenseiTeam DarkStromTeam SylhetGang-Sg MoroccanCyberForces AnonymousCollective 0 黑客攻击事件量 Lulsec 图8Top10黑客组织 图8数据显示,RipperSec在2024年上半年成为了最为活跃的黑客组织,其攻击频率高于其他黑客组织,展现了其在黑客领域的卓越实力。紧随其后的是亲俄黑客组织NoName057(1),尽管与前者存在一定的差距,但也表现出了相当的活跃度。除此之外,还有Garnesia_Team、CyberTeamIndonesia、GrxSenseiTeam、LulzSec、DarkStromTeam、SylhetGang-Sg、MoroccanCyberForces以及AnonymousCollective等黑客组织也进入了活跃的Top10名单。这些黑客组织的活跃度展示了当前黑客行业的繁荣。 2.3.2Top10目标国家 摩尔多瓦 俄罗斯印度尼西亚巴基斯坦 意大利 美国乌克兰孟加拉国以色列印度 0 200 400600 图9Top10目标国家 800 1000 被攻击次数 图9数据指出,印度和以色列是遭受黑客攻击最为频繁的目标地区。其他知名国家包括乌克兰、美国、巴基斯坦和俄罗斯等也面临着相当高频率的黑客攻击。这种现象背后的原因是黑客组织往往带有一定的政治色彩。由于当前国际政治的不稳定,地缘冲突频繁爆发,这为许多黑客组织提供了活跃的空间。这些黑客组织通常会选择立场,并以实现特定目标为动机,号召民族主义者或其它民众对关键目标国家进行高频度的报复性攻击。这些黑客攻击不仅仅是简单的数据侵入,还可能对国家安全、经济稳定以及个人隐私造成重大威胁,也可能对当地敏感的政治、军事冲突产生微妙的影响。 2.3.3Top10目标行业 800 700 600 500 400 300 200 100 政府 教育与科研 0 被攻击次数 通信及软件信息技术服务 金融 国防军工 文体娱乐 交通运输 批发零售 医疗 能源 图10Top10目标行业 根据图10可以看出,政府、通信及软件信息技术服务、教育与科研等关键行业成为黑客攻击的主要目标。这些行业对一个国家的正常运行至关重要,因此对黑客来说,攻击这些行业能够最有效地实现其警示和破坏的目的。其中,政府部门的被攻击可能影响国家安全和政治稳定;通信及软件信息技术服务行业被攻击可能导致重要信息的泄露和网络服务的中断;教育与科研行业被攻击可能导致知识产权的盗窃和科技创新的受阻。 2.3.4Top5攻击手段 DDoS攻击 图11Top5攻击手段 漏洞利用 钓鱼攻击 勒索软件 网站篡改 根据图11的数据显示,黑客组织几乎只使用DDoS攻击手段对网站发起攻击,这表明他们的主要目的是通过最容易实现的手段达到恐吓和报复的目的,即让目标网站不能正常提供服务。除了DDoS攻击之外,黑客组织还采用了其他手段,如篡改网页、漏洞利用、钓鱼和勒索软件等方式,这些手段旨在破坏网站的完整性、窃取用户信息、迫使受害者支付赎金等。 0P3OINT 典型事件 3.1国内事件 3.1.1勒索攻击类 时间2024/1/19 勒索软件Lockbit对台湾某光学机能材料制造公司发起攻击 影响行业制造业 勒索软件Lockbit 2024/3/5 LockBit组织入侵国内某通信公司 通信及软件信息技术服务 Lockbit 2024/4/15 中国某纸业公司遭Lockbit勒索团伙渗透 制造业 Lockbit 2024/4/16 台湾地区某化工公司遭BlackSuit勒索软件感染 制造业 BlackSuit 2024/5/24 国内某皮革行业公司遭到BlackSuit勒索软件攻击 制造业 BlackSuit 2024/6/10 中国台湾某光纤制造商遭到Catcus团伙勒索 制造业 Cactus 表12024年上半年国内勒索攻击典型事件 根据表1可以看出,2024年上半年,制造业作为我国经济的支柱产业,成为勒索攻击的重点目标,而Lockbit和BlackSuit两大勒索软件组织则扮演着重要的角色,以其高度专业化的技术手段,对该领域企业发起攻击,加密关键数据并勒索赎金。这种勒索攻击不仅导致企业生产中断和财务损失,还可能造成供应链的瘫痪和客户信任的破坏。 PS: 和 Lockbit:该勒索团伙起源于俄罗斯,遵循RaaS运营模式,且后期主要采用“双重勒索”策略(文件加密+数据披露)来敲诈受害者。LockBit团伙的同名恶意软件于2019年首次浮出水面,并于2021年6月推出了LockBit2.0,2022年7月再次推出LockBit3.0。通过不断构思新策略,已将自己打造为地下犯罪组织中最专业的犯罪团伙之一。目前,LockBit勒索软件攻击范围遍及北美、欧洲和亚太地区,似乎并无国界之分。其中,美国、法国、英国、中国等国家为重灾区。此外,LockBit的攻击目标并不局限于某一特定组织,其目标行业来自各行各业,且尤其青睐软件和信息技术、制造、政府、网络安全、国防等关键行业。BlackSuit:该勒索团伙于2023年5月首次出现,主要攻击医疗保健、教育、信息技术、政府、零售制造业的实体。该团伙没有公共附属机构,但似乎与Royal勒索软件团伙有着密切的联系,而该团伙又是臭名昭著的Conti集团的继承者。据悉,其勒索软件有效负载通过网络钓鱼或第三方框架(如Empire、Metasploit、CobaltStrike)传播,主要针对Linux和Windows系统,采用AES加密算法,加密完成后会在文件末尾附加".blacksuit"扩展名,并会更改桌面壁纸,最终留下一封名为“README.BlackSuit.txt”的 勒索信。 时间2024/1/2 泄露事件国内某第三方支付平台会员信息遭售卖 影响行业通信及软件和信息技术 数据量104.85W 泄露类型会员个人信息 2024/1/2 国内某行业监管机构员工信息遭公开贩卖 政府 未知 员工个人信息 2024/1/6
