網路犯罪生態系統現在不僅包括 I2P 和 Tor 等私人通訊平台,而且還涵蓋透明網站和Telegram 管道。
暗網監控:需要注意什麼
監控暗網潛在風險具有實質的價值。以下是您可能遇到的一些威脅。
資訊竊取者惡意軟體
具有企業存取權限的竊取者日誌可能是當今資料外洩和勒索軟體攻擊的最重要載體之一。
RedLine、Raccoon、Vidar、Titan 和 Aurora等 Infostealer 變體會感染計算機,然後洩露包含瀏覽器中保存的所有密碼的瀏覽器指紋。然後,威脅參與者在暗網市場或Telegram 頻道上出售結果。
然後,這些日誌用於帳戶接管攻擊、竊取加密貨幣 法國電報手機號碼列表 或作為勒索軟體攻擊的初始存取權。 Flare 監控超過 2000 萬個資訊竊取者日誌,並且每月新增 100 萬個新日誌,其中許多日誌包含多個企業應用程式的憑證。我們認為,2% 到 4% 的日誌包含對企業 IT 環境的訪問,如果受到威脅,可能會帶來重大風險。
為了偵測透過暗網和 Telegram 分發竊取日誌的惡意行為者,公司可以監控包含內部公司網域存取的任何日誌,例如sso.companyname.com。
初始訪問經紀人
初始訪問代理(IAB) 活躍於暗網論壇,例如 XSS 和 Exploit.in。 IAB 建立對公司的初始訪問權限,然後在拍賣和論壇帖子中轉售,通常每個列表的價格為 10,000 至 500,000 美元,具體取決於公司和訪問級別。清單通常包含:
受損的設備和服務數量
受害企業所屬產業
公司正在使用的防毒或端點偵測與回應平台
公司收入
員工人數
公司地理位置
主機或伺服器受損
威脅行為者可以購買此存取權限並使用它來部署勒索軟體或竊取敏感資料或財務資源。
廣告
監控 IAB 論壇可以提供有關惡意行為者已損壞設備的早期預警。 IAB 永遠不會列出確切的公司名稱,但通常會提供足夠的詳細信息,以便如果您的組織是受害者,您有合理的機會可以識別它。
IAB 也故意尋找竊取者日誌以取得 IT 基礎架構的存取權限。 IAB 可以從俄羅斯市場以 10 美元的價格購買受感染的設備,使用憑證獲得存取權限、升級權限,然後在 Exploit.in 上列出該訪問權限以 20,000 美元起價出售。
勒索軟體勒索和資料外洩頁面
勒索軟體已今非昔比。勒索軟體團體正在變得分散,許多團體提供勒索軟體的源代碼,並將感染公司的工作交給附屬公司,以獲取贖金的一部分。此外,備份和復原解決方案的普遍存在導致許多組織完全放棄加密,轉而專注於涉及資料竊取和洩露、針對個人員工或針對受害者組織的第三方的資料外洩策略,
地下網路犯罪的另一個令人不安的趨勢是勒索軟體勒索和資料外洩部落格。威脅行為者利用這些部落格公開羞辱和勒索受害者,威脅如果受害者不支付贖金,就會洩露敏感資料。事實證明,這種策略非常有效,因為組織擔心資料外洩可能帶來潛在的法律和聲譽後果。
此外,有些團體也會大量發布文件,增加敏感資料發布倒數計時,針對個別員工增加壓力。
因此,許多受害者選擇支付贖金,使網路犯罪循環不斷,並刺激進一步的攻擊。
您的組織可能會知道它是否是勒索軟體的受害者;然而,許多組織由於第三方違規而遭受資料外洩。
透過主動監控勒索軟體部落格(例如 LockBit),您可以偵測來自第三方的不需要的資料外洩並快速啟動事件回應程式。
偵測暗網威脅
對於組織來說,能夠偵測明網、暗網以及非法 Telegram 管道中的威脅至關重要。尋找一種能夠輕鬆整合到您的安全計劃中並在單一平台中提供潛在高風險暴露的提前通知的解決方案。
您希望識別高風險媒介,使威脅行為者能夠存取您的環境,並對受感染的裝置、勒索軟體暴露、公共 GitHub 機密、洩漏的憑證等進行持續監控。
要了解有關使用 Flare 檢測暗網威脅的更多信息,請註冊免費試用。
關於作者:
Eric Clay 在治理風險和合規性、安全資料分析和安全研究方面擁有豐富的經驗。他目前在威脅暴露管理 SaaS 解決方案 Flare 擔任行銷副總裁。
