据悉,威胁参与者推出了一个名为Industrial Spy的新市场,出售或向其成员免费提供来自被盗公司的数据。
虽然被盗数据市场并不是新出现的,但Industrial Spy并没有以敲诈公司和GDPR罚款来吓唬受害者,而是将自己宣传为一个市场,公司可以在其中购买竞争对手的数据来获取商业机密、制造图、会计报告和客户数据库。然而,该市场也有可能被用于勒索,使受害者为了防止数据被卖给其他威胁参与者而进行购买。
Industrial Spy市场提供不同级别的数据产品,其中“高级”被盗数据包价值数百万美元,而较低级别的数据可以作为单个文件以低至2美元的价格出售。例如,Industrial Spy目前正在以140万美元的价格出售一家印度公司的高级别数据,以比特币支付。
高级别被盗数据
但是,该市场上大部分数据都作为单独的文件出售,威胁参与者可以以每个2美元的价格购买他们想要的特定文件。市场还提供免费的被盗数据包,这可能会诱使其他威胁参与者使用其网站。
购买单个文件
Industrial Spy市场“常规”数据类别中的一些公司过去曾遭受过勒索软件攻击,很有可能是威胁参与者从勒索软件团伙的泄密站点下载了这些数据,然后转售给Industrial Spy。
通过破解软件和广告软件进行分发
安全研究团队MalwareHunterTeam发现恶意软件可执行文件[1,2],创建README.txt文件来推广该网站。当程序执行时,这些恶意软件文件将在设备上的每个文件夹中创建文本文件,其中包含服务描述和Tor网站链接。
README.txt文本文件中写道:“在那里,你可以购买或下载竞争对手的数据。我们利用IT基础设施中的漏洞,从全球最大的公司和活动中收集数据,并公开了相关的计划、图纸、技术、政治和军事机密、会计报告和客户数据库。”
为推广市场而创建的README.txt文件
这些可执行文件是通过伪装成破解软件和广告软件的恶意软件下载程序进行分发的。例如,STOP勒索软件和密码窃取木马通常通过破解软件分发,和Industrial Spy可执行文件一起安装。
此外,在线查杀平台VirusTotal显示,README.txt文件是在大量的窃取密码木马日志中找到的,这表明这两个程序运行在同一设备上,Industrial Spy网站的运营商可能与广告软件合作,并打击分销商,以进行推广。
虽然目前Industrial Spy还没有被广泛使用,但各公司和安全研究人员需要密切关注该网站和该网站要出售的数据。