关键词
数据泄露
一名化名为GHOSTR、ALTDOS、DESORDEN、0mid16B等多重身份的黑客,近日因窃取并出售超13TB敏感数据而在泰国被逮捕。这名黑客不仅活跃于臭名昭著的网络犯罪和数据泄露平台Breach Forums,还通过暗网市场向全球买家兜售政府机构记录、企业数据库等高价值信息,其犯罪足迹遍布亚太、欧洲、北美及中东地区。
从威胁勒索到暗网交易:黑客的“商业模式”演变
该黑客自2020年起开始活跃,初期主要通过威胁泄露数据向企业施压,要求支付赎金。若企业无视其警告,黑客便会将数据泄露给媒体或监管机构以制造舆论压力。随着时间推移,其“商业模式”逐渐转向暗网交易,通过Breach Forums等平台出售窃取的数据库。因其提供的泄露数据质量较高,黑客在暗网上声名鹊起,甚至能直接通过电子邮件与买家接洽,强迫企业就范。
技术手段:从SQL注入到CobaltStrike
据网络安全公司Group-IB周四发布的公告,该黑客利用常见漏洞渗透系统。其常用工具包括用于执行SQL注入攻击的sqlmap,以及针对安全性较弱的远程桌面协议(RDP)服务器的入侵手段。一旦成功入侵,黑客便会部署一款经过修改的渗透测试工具CobaltStrike,以维持对被攻击网络的控制,并将窃取的数据复制至云服务器用于勒索或出售。
多重身份与追踪难题
由于该黑客频繁更换化名和策略,调查人员一度面临巨大挑战。Group-IB通过分析暗网论坛上的写作风格、发帖格式以及目标偏好,成功将多个化名背后的活动关联至同一人。例如,ALTDOS这一身份在2020年主要针对泰国受害者,而DESORDEN则后来将目标扩展至零售、金融、物流、保险、医疗、酒店、招聘、科技、电子商务及房地产投资等多个行业。
尽管因欺诈行为和假账户被多个论坛封禁,该黑客仍能通过新化名继续活动,直到其在线活动的蛛丝马迹最终被警方追踪至真实身份。
落网与查获
在逮捕行动中,泰国当局缴获了多台笔记本电脑、电子设备以及用数据销售所得购买的大量奢侈品。Group-IB在将黑客的多个化名活动轨迹整合方面发挥了关键作用,证明了即使是最难缠的网络犯罪分子,也能通过行为模式和技术线索被追踪。这一案例不禁让人联想到巴西黑客USDoD,后者因CrowdStrike曝光其真实身份而被捕。
启示与反思
该案例不仅揭露了网络犯罪活动的复杂性与跨国性,也凸显了网络安全公司在打击犯罪中的重要角色。从最初的勒索威胁到后来的暗网交易,黑客的“商业模式”演变反映出数据安全面临的严峻挑战。与此同时,执法机构与网络安全公司的合作,以及通过行为分析和技术线索追踪犯罪分子的能力,为打击网络犯罪提供了新的思路和方法。
未来,随着网络犯罪手段的不断升级,全球范围内的合作与技术投入将成为维护网络安全的关键。
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
