Zephyrnet-logo

Generatieve data-intelligentie

Cyber ​​Security

Een reis naar de donkere locatie - Leklocaties geanalyseerd

Heruitgegeven door Plato
Heruitgegeven door Plato

Datum:

Aantal keer bekeken: 160
Sites met gegevenslekken

Voorbij zijn de dagen dat ransomware-operators blij waren met het ter plaatse versleutelen van bestanden en min of meer discreet geld in rekening brachten bij hun slachtoffers voor een decoderingssleutel. Wat we nu vaak vinden, is codering met de extra dreiging van het lekken van gestolen gegevens, in het algemeen Double-Extortion genoemd (of, zoals we het graag noemen: Cyber ​​Extortion of Cy-X). Dit is een unieke vorm van cybercriminaliteit omdat we een deel van de criminele acties kunnen observeren en analyseren via 'victim shaming'-leksites.

Sinds januari 2020 hebben we ons toegelegd op het identificeren van zoveel mogelijk van deze sites om de slachtoffers die erop voorkomen vast te leggen en te documenteren. Door onze eigen onderzoeks-, analyse- en verrijkingsgegevens van de verschillende Cy-X-operators en marktsites toe te voegen, kunnen we vanuit dit specifieke perspectief directe inzichten in de victimologie bieden.

We moeten duidelijk zijn dat wat we analyseren een beperkt perspectief op de misdaad is. Desalniettemin blijken de gegevens uit een analyse van de lekbedreigingen uiterst leerzaam.

We zullen naar de vermelding van een gecompromitteerde organisatie op een Cy-X-leksite verwijzen als een 'lekbedreiging'. De cijfers die u in de meeste van de onderstaande grafieken ziet, verwijzen naar tellingen van dergelijke individuele bedreigingen op de uiensites van de Cy-X-groepen die we de afgelopen twee jaar hebben kunnen identificeren en volgen.

Een hausse in lekbedreigingen

Ondanks de grillen van de omgeving die we waarnemen, dient het aantal unieke lekken als betrouwbare indicatie voor de omvang van deze misdaad en de algemene trends in de tijd. Van het eerste kwartaal van 2020 tot het derde kwartaal van 2021 zagen we een bijna zesvoudige toename van lekbedreigingen.

Sites met gegevenslekken
Bron: Orange Cyberdefense Security Navigator 2022

Opvallend waar het geld is: lekbedreigingen per land

Laten we eens kijken naar de landen waarin de slachtoffers opereren.

Sites met gegevenslekken
Bron: Orange Cyberdefense Security Navigator 2022

In de bovenstaande grafiek tonen we de aantallen lekbedreigingen voor 2020 en 2021 per land, voor de top 10 van landen in onze dataset. We tonen ook het geschatte bruto binnenlands product (bbp) voor de 12 rijkste landen[1].

De landen met de meeste slachtoffers zijn relatief constant gebleven in onze dataset. Als algemene vuistregel volgt de rangschikking van een land in onze dataset het relatieve BBP van dat land. Hoe groter de economie van een land, hoe meer slachtoffers het waarschijnlijk zal hebben. Acht van de top tien Cy-X-slachtofferlanden behoren inderdaad tot de top 10 van economieën ter wereld.

De conclusie die we hieruit trekken, is dat het relatieve aantal slachtoffers in een land simpelweg een functie is van het aantal online bedrijven in dat land. Dit bewijst niet definitief dat Cy-X-actoren niet van tijd tot tijd doelbewust doelen in specifieke landen of regio's aanvallen. Het wil ook niet zeggen dat een bedrijf in een land met een hoog bbp eerder wordt aangevallen dan een slachtoffer in een land met een laag bbp (aangezien, met meer bedrijven in dat land, de kansen gelijk zijn).

Naar onze mening is het voordeel van deze gegevens eenvoudig dat bedrijven in bijna elk land worden gecompromitteerd en afgeperst. Logischerwijs geldt dat hoe meer bedrijven een land heeft, hoe meer slachtoffers we zullen zien.

Uitzonderingen op de regel

Dat gezegd hebbende, zijn we zo vrij geweest om India, Japan, China en Rusland op te nemen in de bovenstaande grafiek, als tegenvoorbeelden van landen met een groot BBP die laag op onze Cy-X-lijst met slachtoffers staan.

India, met een verwacht BBP van 2021 biljoen dollar in 2.72, en China met 13.4 biljoen dollar, lijken ondervertegenwoordigd te zijn, wat verschillende redenen kan hebben. India heeft bijvoorbeeld een enorme bevolking en een navenant hoog BBP, maar het BBP per hoofd van de bevolking is lager, en de economie lijkt over het algemeen minder gemoderniseerd en digitaal, wat betekent dat er minder online bedrijven kunnen worden getarget. Het kan zijn dat criminelen betwijfelen of Indiase bedrijven hun op dollars gebaseerde losgeld zouden kunnen of willen betalen. De taal kan ook een rol spelen: bedrijven die niet in het Engels communiceren, zijn moeilijker te vinden, te begrijpen, te navigeren en mee te onderhandelen, en hun gebruikers zijn moeilijker te exploiteren met behulp van gangbare social engineering-tools.

Japan, een andere duidelijke uitzondering op onze regel, heeft een sterk gemoderniseerde economie, maar zal criminelen met dezelfde taal- en cultuurbarrières plaatsen als China en India, wat mogelijk de lage prevalentie in onze slachtoffergegevens verklaart.

De conclusie hier is dat Cy-X van Engelse naar niet-Engelse economieën beweegt, maar voorlopig langzaam. Dit is waarschijnlijk het logische gevolg van de groeiende vraag naar slachtoffers die wordt aangewakkerd door nieuwe actoren, maar het kan ook het gevolg zijn van toegenomen politieke signalen vanuit de VS, waardoor actoren voorzichtiger worden over wie zij en hun partners uitbuiten.

Ongeacht de redenen moet hier opnieuw de conclusie luiden dat in bijna elk land slachtoffers te vinden zijn, en landen die tot nu toe relatief onaangetast leken, kunnen niet hopen dat dit zo zal blijven.

One size fits all: geen bewijs van 'jacht op groot wild'

In de onderstaande grafiek tonen we het aantal slachtoffers per bedrijfsgrootte in onze dataset, toegewezen aan de top 5 van actoren. We definiëren organisatiegroottes als klein (1000 of minder medewerkers), middelgroot (1000-10,000) en groot (10,000+).

Sites met gegevenslekken
Bron: Orange Cyberdefense Security Navigator 2022

Zoals aangetoond, worden bedrijven met minder dan 1,000 werknemers het vaakst gecompromitteerd en bedreigd, waarbij bijna 75% van alle lekken van hen afkomstig zijn. We hebben dit patroon de afgelopen twee jaar consequent gezien in onze gegevens over lekbedreigingen, per branche, land en actor.

De meest voor de hand liggende verklaring voor dit patroon is opnieuw dat criminelen lukraak aanvallen, maar dat er meer kleine bedrijven in de wereld zijn. Kleine bedrijven hebben waarschijnlijk ook minder vaardigheden en technische middelen om zichzelf te verdedigen of te herstellen van aanvallen.

Dit suggereert nogmaals dat elk bedrijf een doelwit kan verwachten, en dat de belangrijkste beslissende factor om slachtoffer te worden van een lekkende site, het vermogen van het bedrijf is om aanvallen te weerstaan ​​en te herstellen van een compromis.

Het is ook vermeldenswaard dat, aangezien de misdaad die we hier onderzoeken afpersing is en geen diefstal, het de waarde van het getroffen digitale bezit voor het slachtoffer is die ons zorgen baart, niet de waarde van de gegevens voor de crimineel.

Elk bedrijf dat digitale activa van waarde heeft, kan daarom het slachtoffer worden. Noch de kleine omvang, noch de waargenomen 'irrelevantie' van gegevens zullen significante bescherming bieden of 'onder de radar vliegen'.

Dit is slechts een greep uit de analyse. Meer details, zoals de geïdentificeerde bedreigingsactoren of de industrieën waarop het meest gericht is (evenals een heleboel andere interessante onderzoeksonderwerpen) zijn te vinden in de Beveiligingsnavigator. Het is beschikbaar om te downloaden op de Orange Cyberdefense-website, dus neem een ​​kijkje. Het is het waard!

Notitie - Deze dit artikel was geschreven en bijgedragen by Carl Morris, leiden veiligheid onderzoeker, en Charl busje de Walt, hoofd of veiligheid Onderzoek, of Oranje Cyberdefensie.

Bron: https://thehackernews.com/2022/01/a-trip-to-dark-site-leak-sites-analyzed.html

spot_img

Laatste intelligentie

spot_img

Copyright @ 2024 Plato Technologies Inc.

Chat met ons

Hallo daar! Hoe kan ik u helpen?