暗网观察

如果有人怀疑加密货币犯罪呈上升趋势，不妨看看暗网：根据网络安全公司 Sophos 的一份报告，欺诈者现在正在暗网出售“杀猪工具包”。

“杀猪盘”诈骗是指一种网络爱情骗局，利用加密货币交易在不知情的情况下骗取受害者的积蓄。

Inca Digital 估计，来自杀猪盘诈骗的 320 亿美元收益已通过 Tether 公司发行的稳定币泰达币（USDT）进行洗钱。

当局称，这种骗局主要由亚洲犯罪团伙控制，他们在缅甸、柬埔寨和其他地方设立了据点，胁迫大批男女在网上蛊惑受害者。

而且，他们还在不断蔓延： 1 月 21 日，澳大利亚联邦警察发出警告，在情人节来临之际，谨防杀猪骗局。联邦调查局在圣诞节期间也发出了类似的警告。

Sophos在最近的报告中表示：“与中国有组织犯罪集团无关的新杀猪盘团伙正在泰国、西非甚至美国等地区出现。 ”

暗网出售非法工具包

长期以来，网络犯罪分子一直在暗网上打包和兜售黑客和其他非法工具。“杀猪盘”工具包的出现表明，这种特定形式的加密诈骗正在产业化。

随着比特币在过去 12 个月内上涨 84%，加密货币市场势必会吸引更多的犯罪分子。

“骗子在牛市环境下表现最好，”Chainalysis 网络犯罪研究主管 Eric Jardine 表示。

根据本月早些时候发布的 Chainalysis 报告，2023 年链上测算的诈骗收入比上一年下降了 29% 以上。

TRM实验室政策和政府事务全球主管 Ari Redbord 表示，收入减少可能是由于执法行动和更好的合规控制，而不是加密货币市场的低迷。

在过去的几年里，“杀猪盘”诈骗已成为一个特别相关的问题。犯罪者逐渐与受害者建立信任，然后引导他们投资第三方加密网站并从他们身上榨取尽可能多的钱。

Jardine说：“我们可能会看到采用这种方法的诈骗者激增，因为它很有效。”

受害者担心影响名声，选择不报案

Jardine说，许多人仍然没有报告自己是杀猪盘的受害者，因为他们担心影响名声，或者报案并没什么作用。

TRM实验室去年的一份报告估计，只有 15% 的受害者报告了他们的损失，许多人发现执法资源不足以追查他们的案件。

“我个人的看法是，主要是因为采用了骗子的语言，而不是使用我们自己的语言。因此该诈骗模式被称为‘杀猪’，它暗示受害者是本案中的猪。”他说。

IT 巨头诺顿周二宣布在印度推出暗网监控功能，该功能现已作为 Norton 360 Premium、Norton 360 Deluxe 和 Norton 360 for Gamers 计划的一部分提供。

通过暗网监控，诺顿可以监控并通知人们是否在暗网上发现了他们的个人信息，从而允许个人采取联系金融机构或更改密码等行动来帮助防止欺诈。

暗网是互联网网络隐藏着的一小部分，匿名性受到重视，邪恶活动相当猖獗，包括非法商品和信息的交换。

当印度居民的的家庭地址、Aadhaar 号码、EPF 信息、信用卡数据和其他个人身份信息最终出现在暗网上时，犯罪分子就可以利用它进行从财务到身份盗窃等欺诈活动。

不幸的是，这些信息落入坏人之手的情况并不少见——2023 年，有消息称在暗网上发现了 8.15 亿印度人的 Aadhaar 号码、护照信息以及姓名、电话号码。

在宣布这一消息之际，Gen 印度总监 Ritesh Chopra 表示：“我们很高兴在印度推出诺顿的暗网监控功能。我们的安全包中的这一创新功能使客户能够在网络危险始终存在的情况下主动保护其数字身份。我们通过不断搜索互联网的阴暗角落来密切关注任何黑客行为、凭证泄露和非法活动。这样，我们就可以确保您的敏感信息免受黑客的窥探。”

他进一步补充说：“我们的暗网监控功能会主动在暗网上搜索您的电子邮件地址和您选择注册的其他个人数据，并在发现这些数据时发出通知。通过暗网监控，我们提供了另一种工具来帮助保护并使人们能够更安全地过上数字生活。”

当客户订阅包含暗网监控的诺顿计划时，注册到诺顿计划的电子邮件地址将在暗网上自动监控，而易于使用的仪表板允许添加个人身份信息监控。监控的信息包括：最多五个保险帐号、电子邮件地址、电话号码、最多十个信用卡号码以及玩家标签。如果在暗网上发现数据，无论是通过论坛还是网站，系统都会发出通知，允许采取直接操作，包括更改密码或联系值得信赖的服务提供商。

暗网监控现已在 Norton 360 Premium、Norton 360 Deluxe 和 Norton 360 for Gamers 中提供。

拥有有效订阅的当前客户现在可以通过自动更新免费访问暗网监控以获取剩余的订阅。

这适用于多种设备，从智能手机到平板电脑，再到 PC 或 Mac®，具体取决于客户的优先级和选择的计划。

个人数据在暗网上有被买卖的风险，这使得身份盗用成为数字时代的一个长期威胁。

Mozilla正在推出一项名为Mozilla Monitor Plus的付费订阅服务，该服务会自动删除个人数据，并扫描网站是否存在潜在的数据采集行为。Mozilla的火狐浏览器（Firefox）可提供额外的在线保护，如跟踪器和广告拦截功能，以及电子邮件屏蔽功能，以提高数据安全性。

在数字时代，身份盗用是一个长期存在的威胁，而随着互联网的发展，您的个人数据也变得越来越容易获取。例如，即使您只在几个网站上使用过您的电子邮件地址，您的信息也会面临风险。暗网--未被搜索引擎收录的互联网部分--已成为此类信息被出售和交换的区域。从家庭住址到信用卡号，所有信息都可能在暗网上流通，但有一些服务可以降低风险。Mozilla就是一个把隐私放在首位的组织，它正在推出一项新的付费服务来做到这一点。

Mozilla宣布推出一项名为Mozilla Monitor Plus的付费订阅服务，这是其现有Mozilla Monitor服务的新层级。最初的版本以前被称为Firefox Monitor，于2018年推出。它是与Have I Been Pwned合作的结果，Have I Been Pwned是一项旨在帮助您确定个人数据是否已泄露的服务。如今，Mozilla Monitor服务仍然基于Have I Been Pwned数据库，如果您的数据在暗网上被检测到，它会通知您。然而，Mozilla Monitor的高级版本更进一步，它会自动删除您的个人数据，而不是让您自行请求删除。Mozilla Monitor Plus每月还会扫描多达190个网站，这些网站可能会收集您的个人数据，此外还会持续监控互联网是否存在新的漏洞。用户只需每月支付8.99美元的包年计划（或13.99美元的包月计划），即可享受这些额外功能。

即使用户对采取额外措施防止个人数据被黑客窃取不感兴趣，Mozilla也可以通过其浏览器为用户提供更多在线保护。火狐浏览器以其跟踪器和广告拦截服务而闻名，最近还新增了电子邮件屏蔽功能。在互联网上越隐蔽，数据安全就越有保障。

在对杀害布莱恩娜·盖伊的凶手的审判中，我们听说当时15岁的斯嘉丽·詹金森（女孩X）如何沉迷于暴力，如何在暗网中搜寻血腥内容，沉浸在暴力图像中，并能够访问“红色”直播中会发生虐待行为的红房间。

在这些内容的另一边，人们经常受到有组织犯罪团伙和英国境外观众的虐待、强奸和恐怖的暴力侵害。

在接受伦敦广播公司（LBC）独家采访时，“凯特琳”（化名）透露了她小时候是如何被强奸、勒索和性剥削的。作为性剥削的一部分，她被转移到全国各地，被放在红房子前，人们付费参与虐待。

“我被迫参与其中大约有九到十年……我受到性虐待、性剥削，实际上是强迫卖淫。”

“事情开始于我12岁左右的时候。我被强奸了，然后用一段强奸的视频来勒索我。它被拍摄、编辑并扭曲成一种可能看起来像其他东西的方式。我知道如果它发生了学校一开学，我的人生就结束了，这就是我作为一个11/12岁孩子的看法。“

“这足以让我‘参与’，但随着时间的推移，情况变得更加暴力，威胁他们会以可怕的方式杀死我和我的家人。其他参与其中的女孩，如果我做错事，她们就会伤害她们，所以你会得到这样的信息：“天哪，我要对其他人的安全负责”。如果我做错了什么，他们就会对我施水刑。水刑是一种常见的惩罚。它从我们要发送一些东西（通过视频）演变为我们要杀了你，我们要杀了你的家人，我们要轰炸你的房子，我们要杀了你所有的朋友，其他女孩…像这样的东西。”

“就他们让我做的事情而言，它从实质上付费强奸我的人安排的会议，转向更多的在线空间，变成所谓的‘红色房间’，这是一个安装了摄像头的房间。我不太确定在哪里，但人们会花钱去做更残酷的事情。勒颈、刀子、锤子，这些对身体更危险的东西。我更频繁地在全国各地流动，去一些我不应该去的地方。我不知道自己在哪里，并且正在失踪。“

互联网观察基金会（Internet Watch Foundation）团队成员丹·塞克斯顿（Dan Sexton）专门追踪在线（尤其是暗网上）儿童虐待图像并将其删除，他告诉伦敦广播公司（LBC），“红房子”“并不是我们的分析师经常遇到的情况。”

他补充道：“我们确实经常看到从实时直播中获取然后录制和分发的图像和视频，尽管我们非常清楚这是一个非常现实的问题，而且在某些国家确实是一个非常可怕的问题，滥用孩子们在直播中出现并不是我们在工作中经常遇到的情况。”

“我们谈论的是隐藏服务，所以你无法找到、无法浏览的网站，你需要知道你要去哪里，你需要确切地知道他们在哪里才能到达它们，所以你无法搜索它们。这是匿名的，这就是导致最糟糕的活动和最糟糕的行为的原因。“

“给你链接的人需要告诉你去哪里。所以这确实意味着有更多的犯罪者为了特定目的而进入暗网。”

谈到她如何逃脱虐待时，“凯特琳”告诉LBC，当局如何屡屡失败，当局将她的说法驳回为谎言，指责她是妓女，在某些情况下还参与了对她的虐待。

她说：“我最生动的记忆之一是我第一次被警察强奸。警察参与了对我的虐待，所以我不可能相信他们，也无法从他们那里获得任何帮助，即使他们很支持，他们很少这样做。他们非常不屑一顾，称我为妓女，我是一个陷入困境的青少年，选择了这种生活方式，除非我改变心态，否则什么都不会改变。他们不会承认我是受害者。而且，同样来自社会服务部门，他们说我是个骗子，试图挽回面子，以免被抓住。根本没有任何支持。我觉得他们让我呆在里面的时间比我需要的时间要长。”

“我认为父母应该知道一件大事，他们应该有第六感，就像他们应该知道出了什么问题一样。我很好地隐藏了这一点。我是一名全优学生。我看到了学校和我的教育作为我唯一的出路。我想，如果我能上大学，我就可以搬走。对我周围的每个人来说，我都还好。当我开始自残时，人们开始担心我，我尝试自杀的次数惊人，我的父母我和家人非常努力地为我提供所需的心理健康支持，但当时我没有透露发生的事情。“

“我认为每个人都知道这个想法非常重要，因为很容易发现迹象……不！你可以在外表上是一个功能齐全的人，但在内心隐藏，恐惧，害怕，只是试图度过一生。我认为这一点还没有得到真正的承认。”

“直到上大学时，一位讲师相信了我并倾听了我的意见，我才获得自由。在整个过程中，我没有被倾听，我被称为骗子，被称为妓女，并因所发生的事情而受到指责，这是我的错。直到有人承认我是受害者……那位讲师超越了我，我欠她一条命。”

英国国家犯罪侦察局的马特·萨顿(Matt Sutton)告诉伦敦广播公司（LBC）：“无论是在其他国家流传的虐待儿童或其他成年人的视频，还是随后流传到世界各地的视频，我们都与其他国家密切合作，试图找到这些地方并加以阻止。“

“这是我们和世界各地其他执法机构一直在尝试做的第一步。我们不允许这种情况发生，所以一旦我们发现它们，我们就会采取行动把它们打下来，否则我们就关闭它们，或者派人去营救那里的人。”

“当您使用某些工具来混淆IP地址的来源时，就会遇到问题之一，然后将其解析到某个位置然后将其关闭就变得更加困难。“

“凯特琳”所经历的极端虐待并不是独一无二的，虽然她现在已经开始建立新的生活，但她告诉LBC，她热衷于确保其他人不会经历她所做的事情。

她说：“我是一名幸存者……我是一名受害者……但这些词都不适合我，因为它们都令我承载着压力。”

“人们需要讨论这个问题，需要将其作为一个问题来强调，我非常热衷于成为变革的倡导者并尽我所能帮助人们，因为必须有所付出。“

“有很多事情需要改变，当权者需要改变态度，社会工作者需要改变人们对受害者的看法，从‘问题儿童’转变为转变为他们正在经历并非他们过错的虐待。‘儿童卖淫’根本不可能……你不可能在小时候就成为妓女。”

“但是，最重要的是，国家转介机制（NRM）并不是为英国人口贩运受害者设立的。似乎没有一个程序是针对英国受害者的。被转介的英国人比以往任何时候都要多，国内人口贩运正在成为大多数，但该系统却没有为他们提供帮助。有很多警察转过身来对我说：‘我们不能转介给你，因为你不可能在这个国家被贩卖。’“

“我很生气，但令人更难过的是，有些人做了所有正确的事情，寻求帮助，但遭到社会服务和警察的推脱。他们得到NRM转介，但却要等上好几年。对我来说，如果这些程序起了作用，我可能早几年就出来了，我被贩卖的最糟糕的时候也不会发生。”

不仅仅是网民对ChatGPT和其他生成式人工智能（Generative AI）解决方案感到非常兴奋，黑客们也对最新的创新感兴趣。随着越来越多的人使用这些模型来生成信息和构建 IT 解决方案，黑客已将注意力转向了新的机会。

暗网（黑客买卖所有被盗 IT 数据和敏感个人数据的非法市场）目前充斥着 3000 个帖子，这一事实反映了生成式人工智能正受到黑客的关注。“威胁行为者正在探索各种计划，从创建聊天机器人的邪恶替代品到越狱原始聊天机器人等。卡巴斯基网络安全专家表示，被盗的 ChatGPT 账户和大量自动创建的服务也充斥着暗网渠道，又达到了 3000 个帖子。

卡巴斯基的网络安全专家说：“所有这 3000 个帖子都在讨论将 ChatGPT 用于非法目的或谈论依赖人工智能技术的工具。”卡巴斯基数字足迹情报中心（Digital Footprint Intelligence）表示：“尽管聊天在 3 月份达到了顶峰，但讨论仍在继续。”

“威胁行为者正在积极探索实施 ChatGPT 和人工智能的各种方案。经常讨论的主题包括恶意软件的开发和其他类型的非法使用语言模型，例如处理窃取的用户数据、解析受感染设备的文件等等。”它说。

共享越狱信息

卡巴斯基数字足迹分析师 Alisa Kulishenko 表示，威胁行为者倾向于通过各种暗网渠道（可以解锁附加功能的特殊提示集）分享越狱信息，并设计出利用合法工具进行恶意目的的方法。

除了聊天机器人和人工智能之外，XXXGPT、FraudGPT 等项目也受到了相当多的关注。这些语言模型作为 ChatGPT 的替代品在暗网上销售，拥有额外的功能并且没有原始限制。

出售ChatGPT帐户

用户和公司面临的另一威胁是 ChatGPT 付费版本的帐户市场。

2023 年，在暗网和影子 Telegram 频道中又发现了 3000 个出售 ChatGPT 帐户的广告帖子（除了前面提到的帖子之外）。这些帖子要么散布被盗帐户，要么推广自动注册服务，根据请求大量创建帐户。值得注意的是，某些帖子在多个暗网渠道上反复发布。“Kulishenko说："虽然人工智能工具本身并不危险，但网络犯罪分子正试图想出使用语言模型的有效方法，从而助长了降低网络犯罪入门门槛的趋势，在某些情况下，还可能增加网络攻击的数量。

黑暗网络上再次出现了一个新的强大玩家——Killnet 2.0 黑客组织。这个特殊的黑客团体与最初的俄罗斯黑客组织名称相似，旨在分散黑客社区的权力，敦促超越黑客组织的传统等级制度。

Killnet 2.0 与一系列网络攻击有关，展示了他们在黑客行业的实力。该组织的活动不仅仅是臭名昭著，其重点还在于渗透系统和损害敏感信息。暗网已成为他们的游乐场，为他们的非法活动提供了完美的掩护。

Killnet 2.0：改进后的暗网威胁主体

被称为 Killnet 2.0 的俄罗斯黑客团伙采用先进技术来破坏安全协议并利用漏洞。

他们的作案手法包括对组织实施有针对性的网络攻击，旨在破坏运营并获得对机密数据的未经授权的访问。

暗网是 Killnet 黑客组织的中心，提供匿名的外衣，使当局很难追踪他们的活动。

这个网络地下世界已成为恶意行为者的滋生地，勒索软​​件攻击和数据泄露等策略在其中精心策划而不受惩罚。凭借先进的功能，网络安全社区面临着应对这一可怕威胁的艰巨任务。

Killnet 2.0 黑客组织是什么？

Killnet 2.0 是一个亲俄罗斯的黑客组织，因在 2022 年俄罗斯入侵乌克兰期间发动 DoS 和 DDoS 攻击而声名狼藉。它于 2022 年 3 月出现，针对全球政府机构，引发五眼情报联盟于 4 月发出警告。Killnet 的攻击遍及罗马尼亚、摩尔多瓦、捷克共和国、意大利、立陶宛、挪威、拉脱维亚、美国、日本、格鲁吉亚和德国。

值得注意的是，它在 2022 年欧洲电视网期间尝试进行 DDoS 攻击，并声称对洛克希德·马丁公司的网络攻击负责。Killnet 的行动及其威胁和地缘政治动机凸显了网络威胁在国际范围内带来的新挑战。

Killnet 2.0 在暗网上的崛起标志着威胁行为者计划的新篇章。俄罗斯黑客团伙的活动需要组织和网络安全专家等做出统一、主动的反应。新的 2.0 版本只会火上浇油，因为威胁行为者现在正在向目标组织和世界政府吹嘘新的功能和功能。

根据卡巴斯基数字足迹情报服务在2023年的调查结果，安全研究人员观察到，有关非法使用ChatGPT和其他大型语言模型（LLM）的暗网讨论显着激增。

已识别出近3000个暗网帖子，重点关注一系列网络威胁，从创建恶意聊天机器人版本到探索XXXGPT和FraudGPT等替代项目。

虽然讨论高峰出现在去年3月，但持续不断的讨论表明，人们对利用人工智能技术从事非法活动的兴趣一直不减。

根据卡巴斯基与Infosecurity分享的数据，网络犯罪分子正在积极探索各种实施ChatGPT和人工智能的各种方案，包括恶意软件开发和非法使用语言模型。

“威胁行为者正在积极探索实施ChatGPT和人工智能的各种方案。主题通常包括恶意软件的开发和非法使用语言模型的其他类型，例如处理被盗用户数据、解析受感染设备的文件等。”卡巴斯基数字足迹分析师Alisa Kulishenko解释道。

这位安全专家补充说，人工智能工具的盛行还导致一些网络犯罪论坛中出现了来自ChatGPT或类似工具的自动回复。

库利申科说道：“此外，威胁行为者倾向于通过各种暗网渠道分享越狱信息——可以解锁附加功能的特殊提示集——并设计出利用合法工具的方法，例如基于恶意目的模型的渗透测试工具。”

卡巴斯基揭露的另一个令人担忧的方面是被盗ChatGPT帐户的市场，暗网上还有3000个帖子在宣传出售这些账户。这个市场对用户和公司构成了巨大威胁，帖子要么散布被盗账户，要么宣传根据要求大量创建账户的自动注册服务。

针对这些发现，卡巴斯基建议实施可靠的端点安全解决方案和专用服务，以对抗引人注目的攻击并最大程度地减少潜在后果。

去年，卡巴斯基专家目睹了暗网市场上的盗窃者和勒索活动大幅增加。展望未来，该公司还预计将面临新的挑战，包括加密货币窃取服务的增加、通过搜索广告推广欺诈网站的增多以及恶意“加载程序”的增加。

在最新的卡巴斯基安全公告（KSB）中，来自全球研究与分析团队和卡巴斯基数字足迹情报的专家对过去一年进行了全面回顾，并深入分析了阴暗暗网市场（网络犯罪社区非法服务的中心枢纽）的新趋势。

2023年暗网特点：

勒索软件博客帖子激增

勒索软件行为者通常会创建暗网博客，用于勒索团伙揭露新的成功黑客攻击企业的行为，或作为发布被盗数据的地方。2022年，公共平台和暗网上每月约有386篇博客文章。2023年，平均文章数飙升至476，并在11月达到顶峰（634篇）。

个人和企业凭证面临不断升级的泄露风险

暗网市场中与窃取恶意软件相关的帖子有所增加，这些恶意软件旨在窃取登录凭证、财务详细信息和个人数据等敏感信息。网络犯罪分子将这些数据出售给其他恶意行为者，用于身份盗窃、金融欺诈或其他非法活动。

值得注意的是，提供Redline日志窃取程序（一种流行的恶意软件系列）的帖子从2022年的平均每月370个增加到2023年的1200个。总体而言，2023年在暗网上自由发布的各种恶意软件日志文件（包含被泄露的用户数据）的数量比前一年增加了近30%。

卡巴斯基展望2024年，预计有几个趋势将左右暗网市场的格局：

诈骗者将越来越多地转向搜索引擎广告来推广植入恶意软件的网站

网络犯罪分子以前依赖网络钓鱼电子邮件，现在使用Google和Bing广告来确保其嵌入恶意软件的登陆页面在搜索结果中获得最高位置。黑色流量经销商可能会升级其在地下市场的销售活动，卡巴斯基预计这些欺骗行为将持续增加。

对加密货币窃取服务的需求不断增长

加密货币窃取程序是一类恶意软件，旨在快速、自动地将资金从合法加密钱包提取到恶意行为者的钱包，在加密货币诈骗者中越来越受欢迎。卡巴斯基预测，这种窃取加密货币的恶意软件的需求将会增加，从而导致促进其开发和地下市场销售的广告越来越普遍。人们对加密货币、NFT和相关数字资产的持续兴趣预计将推动这些恶意软件的扩散。

除此之外，专家预计还会出现以下趋势：

• 为恶意软件（加密货币）提供反病毒规避的服务数量将会增加
• “Loader”（加载者）恶意软件服务将继续发展
• 比特币混合器和清洁服务将继续发展，并呈现动态的市场变化

“网络安全需要采取积极主动的立场。监控暗网市场活动和趋势类似于窥视敌人的战术，从而可以及早发现威胁，了解对手的策略，并确保您在网络防御方面领先几步。卡巴斯基全球研究与分析团队（GReAT）首席安全研究员 Sergey Lozhkin 说：”这不仅仅是保护问题，而是要掌握不断变化的威胁形势，以抵御未来的风险，确保企业安全的弹性。“

Searchlight Cyber​​已将人工智能驱动的语言翻译添加到其暗网调查和监控产品 DarkIQ 和 Cerberus 中。

这一增强功能使网络安全专业人员能够即时访问精确翻译的英文结果，使他们能够搜索、监控和理解暗网上最常用语言的威胁（占非英语内容的 94% 以上）。

涵盖的语言的完整列表包括俄语、德语、法语、西班牙语、保加利亚语、印度尼西亚语、土耳其语、意大利语、荷兰语和标准中文。

无法翻译和解释其他语言的暗网数据阻碍了执法和网络安全团队检测、理解和准确应对新兴暗网威胁的能力。过去，分析师和调查人员会将暗网上找到的内容复制并粘贴到通用翻译工具中，这可能非常耗时且容易出错。

这也使得使用非英语术语搜索内容变得困难。此外，这些工具通常缺乏准确性，可能导致暗网数据中丢失关键信息。

Searchlight 的 AI 语言翻译工具由神经机器翻译 (NMT) 系统提供支持，该系统已接受超过 1.67 亿个 Searchlight 暗网数据点的训练，包括论坛、市场和威胁行为者帖子。NMT 的优势在于它能够理解整个句子并将其翻译成目标语言，而不是一次一个单词——这反映了专业人工翻译的方法。当捕获句子的含义时，这会提高翻译的准确性。

与传统翻译工具不同，Searchlight 的 AI 平台内翻译工具擅长准确翻译专门的暗网俚语，尤其是俄语，占暗网所有非英语内容的 66%。该解决方案通过提供无缝的英语搜索和对非英语内容的访问，增强了执法和网络安全专业人员的能力。这提供了对威胁情报的宝贵访问，同时保留了翻译上下文，彻底改变了他们浏览暗网的方式。

Searchlight Cyber​​ 首席技术官加雷斯·欧文森 (Gareth Owenson) 博士表示：“识别和响应暗网中的威胁本质上是复杂的，尤其是在处理非英语内容时。我们的平台内翻译直接解决了这个问题，为网络犯罪调查人员、威胁情报分析师和执法人员提供即时访问精确翻译的结果。我们的系统在提供上下文准确的翻译方面远远优于传统翻译工具，包括对俄语暗网俚语的全面支持。这一增强符合我们对自动化的持续承诺，也是我们管道中许多人工智能进步的一部分。”

Cerberus 和 DarkIQ 中的这一新功能将为执法和网络安全团队带来直接价值，帮助他们打击和减轻来自暗网的威胁。主要优点包括：

• 一键翻译：节省时间和精力，并且可以根据需要恢复到原始语言版本。
• 能够使用英语搜索词搜索非英语内容：大大提高在暗网市场、论坛和其他隐藏网站上查找相关情报的能力。
• 提高准确性：使他们能够更快地建立联系，收集关键情报，并最终通过可靠的信息采取更果断的行动。

信息窃取恶意软件是企业信息安全团队面临的最严重、最不被重视的风险载体之一。信息窃取程序会感染计算机，窃取浏览器中保存的所有凭证以及活动会话 cookie 和其他数据，然后将其导出到指挥与控制 (C2) 基础设施，在某些情况下还会自我终止。

本文将探讨威胁行为者如何利用凭证闯入特权 IT 基础架构，以制造数据泄露和分发勒索软件。

然而，信息窃取者并不是唯一的凭证威胁。从传统来源泄露的凭证仍然是企业面临的一个突出且巨大的风险。

毫不奇怪，大多数用户在数十个应用程序中重复使用密码，这就为威胁行为者创造了一个绝佳的机会，可以以暴力方式进入 SaaS 和内部部署应用程序。

Flare目前监控超过 4000 万条窃取者日志，这个数字每个月都在以数百万计的速度增长，并且预计到 2024 年会增长得更快。此外，Flare还监控从暗网转储中发现的超过 140 亿条泄露的凭证。

这使Flare能够以独特的视角了解威胁行为者如何获取、分发和使用泄露的凭证。

泄露凭证的类型

为了更好地了解泄露的凭证，根据泄露的方式以及它们给企业带来的风险将它们“分级”是很有帮助的。

Jason Haddix 首创了这种方法，使安全专业人员能够以简单易懂的方式向经理和企业高管清晰传达与凭证泄露相关的风险。

1 级凭证泄露

第 1 级凭据泄露是由于第三方应用程序/服务违规造成的，并且该服务的所有用户的密码均遭到泄露并分布在暗网上的数据转储中。这是大多数人在谈论“凭据泄露”时想到的。

举个例子，假设虚构的公司 Scatterholt 拥有数十万个消费者登录的用户登录。攻击者突破 Scatterholt 并访问身份和访问管理系统，然后窃取这些凭据并将其泄露到暗网上。

对于 Scatterholt 公司来说，强制所有用户重置密码很容易，但这些用户很可能在许多服务中重复使用相同的密码。

此漏洞允许威胁行为者使用暴力破解/渗透测试工具，来尝试暴力破解其他应用程序上数千名用户可能使用相同密码的凭据。

防御 1 级凭证泄露

企业可以使用许多经过充分研究的防御措施来降低风险。首先也是最重要的是：监控企业员工电子邮件的泄漏凭证数据库。仅这一点就可以产生巨大的影响，因为威胁行为者会故意寻找与公司电子邮件地址相关的密码以促进数据泄露。

其次，要求用户按时间计划例行重置密码，这样，如果特定密码被泄露，他们就已经轮换了其他企业凭证。

最后，Flare建议使用密码管理器，并制定政策，要求员工对各种应用程序的密码进行随机化处理，并将其存储在管理器中，从而降低员工仅对密码进行少量更改的风险。

组合列表的特殊情况

组合列表通常由按服务或地理位置组织的凭证对组成，然后由网络犯罪分子与暴力破解工具结合使用，试图获取对各种服务的访问权限。

这些凭据通常来自以前的已知漏洞或窃取者日志，有时甚至完全是编造的；原始来源永远不会完全清楚，但通过组合列表可以获得大量凭据，再加上用户经常重复使用密码，这些凭据仍然是一个相当大的攻击载体。

2 级凭证泄露

第 2 级凭证泄露给公司带来了特殊程度的风险。这些是通过信息窃取恶意软件直接从用户处获取的凭据，该恶意软件会窃取浏览器中保存的所有密码。

Flare认为第 2 级泄露的凭证对公司和用户来说都会显着增加风险，原因如下：

单个窃取者日志将包含用户在浏览器中保存的所有凭据。这为威胁行为者利用受害者信息对受害者、IT 服务台甚至公司进行社交工程设计创造了绝佳机会。

这些日志包含用户名、密码和主机的纯文本凭据，通常包含数百个不同的登录信息。当威胁行为者可以看到用户使用的几十种密码变化时，他们就拥有了巨大的优势。

这些日志通常包含带有秘密问题答案的表单填写数据，可以有效地用于绕过带有秘密问题的网站。

3 级凭证泄露

这一级别泄漏也来自窃取者日志，但给企业带来了极大的风险。新的窃取者日志中通常包含活动会话 cookie，攻击者可以轻松使用这些 cookie 进行会话劫持攻击，在这些攻击中，他们冒充受害者并可能绕过 2FA 和 MFA 控制。

发现带有企业凭据的新窃取日志时，应立即进行事件调查，因为密码很可能是有效的，行为者可以直接访问企业资源。

防御第 3 级凭证泄露

尽可能限制企业应用程序的 TTL，以降低会话 Cookie 因信息窃取程序感染而传播时仍然有效的风险。

多重身份验证不是灵丹妙药

如果您没有监控泄露的凭据，并且您可能对许多员工进行单因素身份验证，因为他们中的许多人都会暴露密码。

许多人的印象是，启用双因素身份验证足以防止凭据被盗，但现实是，正如Flare多次目睹的那样，威胁行为者非常清楚双因素身份验证所带来的障碍，并拥有克服这一障碍的技术和策略。

无论是通过对员工实施社会工程学，还是使用 2FA 机器人从受害者那里获取一次性代码/密码，甚至是 SIM 卡交换，绕过多因素身份验证控制的方法多得令人吃惊，而这些方法在野外也被广泛使用。

针对此类攻击的最佳防御方法是使用身份验证器应用程序，该应用程序具有临时轮换代码，而不是用户可能通过电子邮件或短信获得的一次性密码，因为这些应用程序通常更安全，并在一定程度上确保相关用户（通常）可以控制第二台设备。