2024上半年暗网报告

目录TABLE OF CONTENT 01序言03 02总体数据概览04 勒索软件数据数据泄露数据黑客攻击数据040608 03典型事件11 国内事件国外事件1114 04半年特点总结19 01POINT 序言 为全面了解暗网威胁态势，确保客户数据和网络的安全，天际友盟将基于自有暗网监测平台持续发布暗网半年报告。该平台的监控范围广泛，覆盖了勒索软件数据泄露站点、暗网交易市场、黑客论坛、海外Telegram 交易频道等多个渠道。 通过持续的监测工作，天际友盟将跟踪、整理和分析与勒索软件攻击、敏感数据泄露、黑客攻击相关的数据信息。这将有助于我们加强对暗网威胁的防范，并制定相应的对策措施。鉴于暗网威胁的复杂性和严峻性，未来天际友盟将持续提升监测能力和分析技术，并加强与各方合作，共同构建一个更加安全可靠的网络环境，以更好地应对暗网威胁。 02POINT 总体数据概览 2.1 勒索软件数据 从图 1 可以看出，LockBit 依然以 607 名受害者数量远超其它勒索组织，而其它排名有了明显的变动，2024 年 2 月份才出现的勒索组织 Ransomhub 异军突起，排名跃至第二位，成为目前最为热门的勒索团伙之一。Play 和 8Base 勒索软件较 2023 年下半年均有所上升，而 Hunters 和 Qilin 组织则首次挤进前十。 2.1.2 Top10 勒索国家 根据图 2 可以看出，2024 年上半年，美国成为了遭受勒索软件攻击最为严重的国家，以其惊人的数字遥遥领先。而其他受影响较大的国家包括加拿大、德国、英国、澳大利亚、印度、荷兰、格鲁吉亚、意大利和法国等。这些国家在网络安全领域面临着巨大的威胁和挑战，令人担忧。 根据图 3 的数据显示，2024 上半年，勒索软件攻击广泛分布于多个行业，主要集中在制造、软件信息技术和医疗领域，中小型企业受到的影响显著。同时，教育、军工、金融、建筑、政府、零售和能源等领域也受到较大波及。 图 4 显示，勒索软件团伙在赎金价格的设定上存在较大差异。这种差异主要是因为他们所攻击的目标企业收入水平各不相同。因此，勒索软件团伙会针对每个受害公司的具体情况，设置个性化的赎金价格。根据数据统计，最常见的赎金价格最低为 10 万美元，而最高则可高达 650 万美元。这一数字差异显示了勒索软件团伙在赎金策略上的巧妙和灵活性。 2.2 数据泄露数据 图 5 数据显示，美国、印度、中国以及俄罗斯等大国是 2024 年上半年数据泄露问题最为严重的国家。 不仅如此，巴西、加拿大、澳大利亚、英国和法国等地也是数据泄露高发区。这些数据揭示了全球范围内数据泄露问题的严峻形势。大国之间的数据泄露风险引起了广泛关注，因为这些国家拥有庞大的互联网用户群体和复杂的网络基础设施。而其他国家的数据泄露情况，则反映了数据泄露问题的全球化趋势。 图 6 数据显示，2024 年上半年，租赁与商务服务、通信及软件信息技术服务以及金融这三个行业所面临的数据泄露风险最为突出。此外，文体娱乐、教育与科研、医疗、制造业、政府、交通运输以及批发零售等行业也在不同程度上存在数据泄露问题。这一数据展示，在信息时代，数据安全已成为各行各业共同面临的重要课题。 根据图 7 的数据可以看出，售卖数据的犯罪分子通常以非常低廉的价格进行交易，最低可以仅为 2 美元，最高也不超过 400 美元。这一数字范围的窄幅差异表明了被售卖的数据多为二次贩卖的低价值数据。这种现象侧面反映了数据市场中低价值数据的普遍存在。低价值数据的特点可能是因为它们已经在黑市上被多次交 易，或者它们的信息已过时或不再具有实用性。然而，不要低估了这些低价值数据所带来的潜在风险。即使数据的价值相对较低，但在犯罪分子手中，仍可能被滥用和利用，给个人和企业带来巨大的损失和风险。 2.3 黑客攻击数据 图 8 数据显示，RipperSec 在 2024 年上半年成为了最为活跃的黑客组织，其攻击频率高于其他黑客组织，展现了其在黑客领域的卓越实力。紧随其后的是亲俄黑客组织 NoName057(1)，尽管与前者存在一定的差距，但也表现出了相当的活跃度。除此之外，还有 Garnesia_Team、Cyber Team Indonesia、GrxSenseiTeam、LulzSec、Dark Strom Team、Sylhet Gang-Sg、Moroccan Cyber Forces 以及 AnonymousCollective 等黑客组织也进入了活跃的 Top10 名单。这些黑客组织的活跃度展示了当前黑客行业的繁荣。 图 9 数据指出，印度和以色列是遭受黑客攻击最为频繁的目标地区。其他知名国家包括乌克兰、美国、巴基斯坦和俄罗斯等也面临着相当高频率的黑客攻击。这种现象背后的原因是黑客组织往往带有一定的政治色彩。由于当前国际政治的不稳定，地缘冲突频繁爆发，这为许多黑客组织提供了活跃的空间。这些黑客组织通常会选择立场，并以实现特定目标为动机，号召民族主义者或其它民众对关键目标国家进行高频度的报复性攻击。这些黑客攻击不仅仅是简单的数据侵入，还可能对国家安全、经济稳定以及个人隐私造成重大威胁，也可能对当地敏感的政治、军事冲突产生微妙的影响。 根据图 10 可以看出，政府、通信及软件信息技术服务、教育与科研等关键行业成为黑客攻击的主要目标。这些行业对一个国家的正常运行至关重要，因此对黑客来说，攻击这些行业能够最有效地实现其警示和破坏的目的。其中，政府部门的被攻击可能影响国家安全和政治稳定；通信及软件信息技术服务行业被攻击可能导致重要信息的泄露和网络服务的中断；教育与科研行业被攻击可能导致知识产权的盗窃和科技创新的受阻。 根据图 11 的数据显示，黑客组织几乎只使用 DDoS 攻击手段对网站发起攻击，这表明他们的主要目的是通过最容易实现的手段达到恐吓和报复的目的，即让目标网站不能正常提供服务。除了 DDoS 攻击之外，黑客组织还采用了其他手段，如篡改网页、漏洞利用、钓鱼和勒索软件等方式，这些手段旨在破坏网站的完整性、窃取用户信息、迫使受害者支付赎金等。 03POINT 典型事件 3.1 国内事件 根据表 1 可以看出，2024 年上半年，制造业作为我国经济的支柱产业，成为勒索攻击的重点目标，而Lockbit 和 Black Suit 两大勒索软件组织则扮演着重要的角色，以其高度专业化的技术手段，对该领域企业发起攻击，加密关键数据并勒索赎金。这种勒索攻击不仅导致企业生产中断和财务损失，还可能造成供应链的瘫痪和客户信任的破坏。 PS： Lockbit：该勒索团伙起源于俄罗斯，遵循 RaaS 运营模式，且后期主要采用“双重勒索”策略（文件加密 + 数据披露）来敲诈受害者。LockBit 团伙的同名恶意软件于 2019 年首次浮出水面，并于 2021 年 6月推出了 LockBit2.0，2022 年 7 月再次推出 LockBit3.0。通过不断构思新策略，已将自己打造为地下犯罪组织中最专业的犯罪团伙之一。目前，LockBit 勒索软件攻击范围遍及北美、欧洲和亚太地区，似乎并无国界之分。其中，美国、法国、英国、中国等国家为重灾区。此外，LockBit 的攻击目标并不局限于某一特定组织，其目标行业来自各行各业，且尤其青睐软件和信息技术、制造、政府、网络安全、国防等关键行业。 Black Suit：该勒索团伙于 2023 年 5 月首次出现，主要攻击医疗保健、教育、信息技术、政府、零售和制造业的实体。该团伙没有公共附属机构，但似乎与 Royal 勒索软件团伙有着密切的联系，而该团伙又是臭名昭著的 Conti 集团的继承者。据悉，其勒索软件有效负载通过网络钓鱼或第三方框架 ( 如 Empire、Metasploit、Cobalt Strike) 传播，主要针对 Linux 和 Windows 系统，采用 AES 加密算法，加密完成后会在文件末尾附加 ".blacksuit" 扩展名，并会更改桌面壁纸，最终留下一封名为“README.BlackSuit.txt”的勒索信。 根据表 2 和下图 12，可以发现数据泄露对国内金融、政府、通信和软件信息技术服务及租赁与商务服务行业造成了最为明显的困扰。这些行业泄露涉及的数据类型主要包括用户信息、数据库信息和公司内部文件等。其中用户信息的泄露频率最高，数据泄露量从 700 条到 8000 万不等。这说明无论数据量大小与否，都有可能成为犯罪分子的交易筹码。泄露的用户信息可能包括个人身份信息、金融账户信息以及其他敏感数据，给用户的隐私和财产安全带来了巨大威胁。数据库信息的泄露可能导致公司商业机密的泄露，造成严重的经济损失和竞争劣势。同时，公司内部文件的泄露可能暴露出组织的战略规划、商业计划以及内部运营细节，给企业带来不可挽回的损失。 3.1.3 黑客攻击类 在黑客攻击方面，中国企业被攻击的事件较少被黑客公开披露，这一现象可能是由于中国不明确站队于国际几大战场 ( 如俄乌、巴以 )，同时不参与涉及政治的组织活动。因此，黑客组织就没有理由大胆的进行报复攻击。这也说明了中国企业在黑客攻击事件中相对较少受到损害，但也不能得出中国企业没有遭受黑客攻击的结论。例如，2024 年上半年，国内某科技公司就遭到了 R00TK1T 黑客组织的攻击。据悉，该黑客组织于 2024 年 4 月 15 日下午在其 TG 频道中声称对国内某个以无人机技术而闻名的科技公司 (DJI, 大疆创新 )发起了攻击，因为该公司向乌克兰提供了无人机，用于与俄罗斯的持续冲突。不久后，R00TK1T 表示其成功攻破了受害公司的安全系统，并获取了大量的客户数据，包括订单 ID、日期和时间、客户姓名、跟踪号、价格、无人机规格、联系信息、运输详情、付款方式等敏感信息。要保护企业的网络安全，我们仍需持续加强网络防御和安全措施，以及加强国际合作，共同应对全球范围内的网络威胁。 PS： R00TK1T 黑客组织名称来自网络术语“rootkit”。rootkit 是一种恶意软件，允许黑客未经授权访问网络或系统并窃取数据。R00TK1T 黑客组织以其隐秘的行动而闻名，之前曾以教育、医疗保健、交通、电信、金融机构、政府数据库和跨国公司为目标，还声称对过去许多备受瞩目的网络攻击负责，包括法国化妆品公司欧莱雅、卡塔尔航空公司、索迪斯南非分公司、黎巴嫩社会事务部等。该组织的主要攻击手法包括利用软件漏洞、部署恶意软件和执行复杂的网络钓鱼攻击等。 3.2 国外事件 经过对表 3 的抽样数据进行深入分析，我们注意到上半年在国家和行业层面上，美国和制造业仍然是最受欢迎的攻击目标，这与第二节中关于勒索软件数据的总体统计结果相吻合。同时，Lockbit 也是最为活跃的勒索组织，其影响力不容忽视。此外，令人瞩目的是，除了知名企业施耐德电气、Nidec 马达电机制造商、啤酒公司 FIFCO USA 遭受攻击外，孟加拉国警方、美国 DC 政府、阿联酋迪拜市政府等高度权威的实体也成为了勒索软件挑战的目标。这一现象表明，大多数勒索软件并没有明显的偏好，更多地是机会主义的行为，它们选择目标是基于机遇而非特定领域。 表 4 数据显示，美国仍然是数据泄露问题最为典型的国家。上半年，不仅重要的政府机构（如 NASA、环境保护署），甚至知名的快餐品牌麦当劳公司都遭受了不同程度的机密内部数据泄露。此外，还有一系列其他引人注目的数据泄露事件，比如马来西亚核中心企业邮箱泄露事件、韩国三星 70 万投资人信息泄露事件、巴西 TIM 运营商 1562 万用户数据泄露事件、阿拉伯 Aramex 跨国物流公司数据泄露事件、BlackBerry公司 Cylance 安全部门数据泄露事件、以色列国防部网站数据库信息泄露事件、印度尼西亚国家情报局 BIN和军事战略情报局数据泄露事件等。这些事件表明，数据安全是一个全球性的挑战，不论是政府机构、知名企业还是普通用户，都需要高度重视和加强防范措施。 3.2.3 黑客攻击类