暗網，作為互聯網的一部分，充滿了神秘而又復雜的活動。更重要的是，其背后的主要參與者——商業黑客和各種有組織的犯罪集團，揭示了這是一個怎樣的世界。本報告將試圖帶您了解這些原住民的身份、行為方式、商業邏輯、受害者以及他們構建的獨特生態。

在一些APT XX黑客組織的分析報告中，我們已經了解到部分以政治背景為主的黑客組織，而活躍在暗網中的商業黑客組織，則更加自由和龐大，他們與政治黑客有著截然不同的行為邏輯，由于其龐大的基數、頻繁的活躍度、逐利的商業行為，對政府、社會和企業造成的直接危害也更加嚴重。

商業黑客組織廣泛地在暗網中活動，他們通常是技術嫻熟的個體和團體，具備高超的計算機技能和網絡滲透能力。他們的目標通常是獲取利益，通過非法手段獲取并利用有價值的信息，如個人身份信息、財務數據、商業機密等。商業黑客組織在暗網中可以找到其他同行，并通過網絡論壇、市場、私人拍賣行等進行交流和交易。

(資料圖)

他們的商業邏輯其實與正規商業在某種程度上有著相似性。他們需要找到買家，需要營銷他們的商品或服務，需要處理交易，并在競爭激烈的環境中生存下來。與此同時，這些活動通常在加密的、隱藏的網絡環境中進行，避免被法律追究。

關于他們的行為方式，商業黑客組織采取了許多手段來實現他們的目標。這些手段包括網絡攻擊、惡意軟件分發、釣魚攻擊等。與政治背景的黑客組織的不同點在于，他們普遍不常使用代價高昂的通用型0day，而以相對低廉的開源情報、勒索軟件、事件型0day、1day exp、釣魚、社工、影子資產、配置缺陷和配置文件泄露等組合手段作為主要攻擊方式。

商業黑客組織的商業邏輯建立在利益最大化的基礎上。他們通過黑客攻擊獲取有價值的數據，然后以各種方式變現。這可能包括出售數據給其他犯罪分子、勒索受害者、進行網絡釣魚活動、進行非法交易或以其他方式獲得經濟利益。

在談到受害者時，商業黑客組織的行為影響范圍廣泛。他們可能以某個群體為目標，盜取其身份信息或財務數據。也可能瞄準某些組織，竊取商業機密、客戶數據或進行勒索活動。受害者的范圍涵蓋了個人、企業、政府機構等各個層面。

這樣的分析可以幫助我們更好地理解暗網中的數據泄露問題，并為未來采取措施提供有價值的參考。

根據零零信安0.zone開源情報平臺基于十余萬情報源采集到的數據分析可知，目前全球活躍在暗網中的商業黑客組織約在數百個左右，黑客（無法確認是個人還是組織形式）約在數十萬量級。

當前監測結果，仍處于活躍狀態（至2023年Q2持續活動），且“發布”（勒索）總數量大于100件的商業黑客組織有14個（活躍的商業黑客組織總數量約100個左右）。值得特別說明的是，“發布”出來的，是勒索失敗的“項目”（下文將特別說明和分析勒索成敗的話題），以下為TOP組織的列表：

以上TOP級商業黑客組織活躍度和活躍期如下圖所示（由于本報告寫于2023年7月中旬，本月統計數據會比實際數據偏小）：

商業黑客組織的生命期和活躍期參差不齊，依據分析結果，普遍活躍期在1-3年，之后會進入蟄伏期或解散。本期分析的商業黑客組織，在2021年下半年和2022年下半年有兩次啟動/復活爆發期。

由于Lockbit3活躍度遠高于其他組織，如將其隱藏并集中分析爆發期內（從2021年下半年至今）的組織，即可得到如下圖示：

以上統計中，由于只統計了總量大于100“發布”的組織，所以并未包含最近3個月內新崛起和活躍的商業黑客組織，例如：akira、medusa、rhysida、snatch、qilin等數十個組織。

近2-3年以來，商業黑客組織的趨勢：

1.單一組織的“發布”數量呈減少趨勢

2.整體向多元化、多組織發展

3.黑客行為和“發布”總數量在穩步增長

4.黑客行為整體目前尚未發現周期變化規律

以下為3份典型的攻擊留痕（已將原文翻譯為中文）：

?依據LockBit的說辭，這次“培訓費”高達1000萬美元，這正是本次“項目”中向受害者勒索的金額。

?依據Royal的說辭，這次“安全服務費”高達3000萬美元，這正是本次“項目”中向受害者勒索的金額。

?依據Karakurt的說辭，這次“咨詢費”高達1200萬美元，這正是本次“項目”中向受害者勒索的金額。

現在我們基于數百個商業黑客組織的具體行為邏輯和商業舉動進行分析，并得出如下結論：

v他們的商業模式是什么？

以敲詐勒索為主，販賣工具和定制化服務為輔。當商業黑客組織成功入侵某個企業后，通常會通過工具或人工進行內網漫游，盡可能多的獲取企業數據，包括：設計圖紙、客戶數據、財務報表、專利文件、產品資料、軟件源代碼、圖片、視頻、供應商資料、法律文件等等。有的組織會進行文件加密，有的僅竊取文件，然后進行敲詐勒索。

v如果不接受勒索會怎么樣？

對于進行加密的客戶，文件會無法解密。所有竊取的文件都會被以公開或邀請的形式進行拍賣，一般情況是在黑客組織的網站上發布拍賣列表和時間，接受預約，并在某個專屬或私人拍賣會上進行拍賣（線上）。對于拍賣失敗的數據會被免費公布下載。并將此事件推送給新聞媒體。

v他們的竊取量會有多少？都竊取什么數據？

公布出來的數據量一般大約在數百GB至數TB不等，只有在從目標企業獲取到高價值數據后他們才會“發布”，如果沒有高價值數據一般不會勒索和發布。目前尚未見到MB級和PB級數據被“發布”。

v他們勒索的價格是多少？是否接受談判？

從當前掌握的情報，單純勒索軟件的勒索價格較便宜，大約從數百美元至數千美元不等；商業黑客組織的定向勒索價格一般為數十萬至數千萬美元不等，也有基于企業收入進行勒索收費的，價格約為企業年營業額的0.01%（萬分之一）至0.05%（萬分之五）。不接受降價談判，有的組織接受分期付款。

v勒索成功率有多少？

由于勒索成功后，黑客并不會公布，且相關企業也不會公布，該數據很難統計，但基于虛擬貨幣交易所可以得到的參考情報進行分析可知成功率大約在70%-90%左右。（兩個感慨：第一，竟然有如此高比例的企業在勒索事件上認慫；第二，這個成功率比安全公司銷售的成功率高很多）

v他們真的沒有政治傾向嗎？他們的真實動機是什么？

以當前掌握的情報來看，商業黑客組織大部分沒有政治傾向，但是有少部分組織有本土意識（不攻擊屬國企業）。他們的真實動機是經濟利益，一個成熟的商業黑客組織人數約幾十至幾百人不等，一年的收入高達幾億至十幾億美元。

此外，經過調查，商業黑客組織雖然偶爾會出現在黑客論壇和暗網市場中，但是大部分情況下只會維護自己的商業圈，他們很少公開與個人黑客保持互動。他們通過勒索軟件和留言直接向受害企業進行“銷售”，其事件也更加不透明，相較于論壇與市場中幾十美元至幾萬美元的平均售價，其價格也更加昂貴。

另外，據已知情報，AI和自動化對于黑客組織的影響巨大，有一部分組織已經開始訓練自動化攻擊大模型，雖然進度未知，但如果成功必將成百倍千倍的提升其攻擊和勒索效率。也可以預見到，未來黑客組織的規模和特點趨勢將小型化、智能化、自動化。這也必然會挑戰當前我們的防御整體規劃和策略，提升我們的防御難度。

合理使用安全開源情報，提升防御者的認知勢在必行。

預告：Part 5 他們自稱無政府主義者，敬請期待。

關鍵詞：