黑客组织是由大量技术熟练但道德缺失的专业人员组成的去中心化组织,他们利用计算机系统或网络中的安全漏洞,实施DDoS攻击、安装恶意软件或窃取敏感数据。黑客组织的攻击目标包括了政府机构、企业组织、金融机构和关键基础设施单位等,虽然他们实施这些攻击的原因很多,但通常可以归结为非法牟利、从事间谍活动以及国家间的对抗等。
黑客组织会给企业的数字化发展带来多种威胁和挑战,只有充分了解他们的背景、动机、策略,企业才有机会更好地保护自己。日前,安全网站makeuseof.com收集整理了目前最活跃、最危险的10大黑客组织,通过研究这些组织的特性,企业可以学习如何更好地识别、预防和抵御他们,并为可能发生的攻击做好准备。
01Lazarus Group
Lazarus Group又名HIDDEN COBRA、Zinc、APT-C-26、Guardians of Peace等称号,被行业普遍认为是来自东亚地区某国的一个活跃APT组织。虽然Lazarus Group的攻击战术和攻击目标不断变化,但该组织的身份至今依然是个谜,目前并不能确认Lazarus Group到底是一个由政府资助的黑客组织还是一个全球性的雇佣性黑客团伙。
自2009年起,大量的网络攻击事件被认为是由该组织发起并实施,特别在2017年后,Lazarus Group加大了攻击行动力度,组织了多起影响重大的攻击事件,例如对波兰和墨西哥等国的大型银行机构开展攻击、释放WannaCry病毒以及针对美国政府外包服务商的网络钓鱼行动等。2023年1月,该黑客组织盗走了价值惊人的1亿美元Harmony加密货币,使其再度成为网络安全界关注的焦点。
Lazarus攻击目的主要以窃取资金为主,针对银行、比特币交易所等金融机构及个人实施定向攻击,堪称全球金融机构的最大威胁。其次,Lazarus还针对航空航天、工程、技术、政府、媒体等机构及企业进行渗透,达到窃取重要资料及破坏勒索的目的。
02BlackBasta
BlackBasta 勒索软件组织在2022年初引起全球网络安全界的关注,这个勒索软件即服务(RaaS)犯罪组织在短短几个月内攻陷了一系列企业组织并使其成为受害者。据安全外媒报道称,瑞士科技巨头ABB受到了该组织的攻击导致大量敏感数据泄露,最终不得不支付了天价赎金。而BlackBasta组织的最大特点就是通过精心策划发起精准勒索攻击。
目前,BlackBasta不遗余力地将美国、加拿大、英国、澳大利亚、新西兰和日本等国的企业组织作为攻击目标。行业普遍认为该组织和已解散的俄罗斯Conti勒索组织有高度相关性,因为他们在恶意软件开发、勒索谈判流程和付款方法上存在非常多的相似之处。
03LockBit
LockBit勒索软件于2019年首次浮出水面,由于其不断采用新的策略、技术和支付方式,经不断发展和演变,现已成为勒索软件领域作案最为频繁的威胁团伙之一,也被研究人员列为当前“最危险的恶意软件威胁之一”。LockBit勒索软件与其他勒索软件的关键区别在于,在勒索策略上已经开始资本化发展,成为一款勒索软件即服务(RaaS)产品。同时,该团伙还一直将工业基础设施作为重点关注的攻击目标。研究人员还发现,LockBit团伙在2022年11月开始攻击macOS用户,且能在受害者的macOS环境中造成与Windows 环境中同样严重的破坏。
04Lapsus$
Lapsus$是一个可怕的黑客组织,其在2021年12月,对巴西国家卫生部进行了非法的勒索软件攻击,导致数百万人的新冠疫苗接种数据被泄露。此后,这个组织就盯上了全球各地的知名科技公司。2022年3月,Lapsus $ 组织在不到二十天的时间内“疯狂作案”,英伟达、三星、育碧、微软等科技巨头都成为其勒索攻击的受害者。此外,他们还对网络游戏公司发起了广泛的黑客攻击。
不过,该组织成员的身份依然成谜:报道称一名英国少年可能是幕后黑手,另有报道则认为该组织和巴西有密切关联。虽然伦敦警方逮捕了七名与Lapsus$组织有关的犯罪人员,但该组织仍在继续运作,企业组织应该对其进行高度戒备。
05Dark Overlord
Dark Overlord(TDO)一直以知名的企业或社会组织作为勒索攻击的目标,如果得不到巨额赎金,就会公布受害组织的敏感文件。该组织最初是在2016年被业界关注,当时他们主要是针对医疗卫生机构和学校进行攻击,甚至会向受害者发出人身威胁的恐吓。这些惨无人性的攻击引起了广泛的社会性恐慌,导致美国30多所学校关闭,15000多名学生休学在家。2022年,TDO声称将披露和“9/11事件”相关的绝密文件,并以此威胁美国政府支付赎金。虽然TDO的一名主要成员已经被捕入狱,但该组织的起源和成员身份仍不得而知。
06Clop 组织
Clop组织发起的网络攻击是在 2019 年被业界发现,他们主要针对大型成熟企业,尤其是金融、医疗保健和零售领域的组织。Clop组织的攻击目标是窃取数据并索要赎金,他们善于利用网络漏洞和网络钓鱼来获取网络访问权限,然后横向移动以感染尽可能多的系统。目前,Clop组织攻击的受害者包括 Software AG、加州大学旧金山分校 (UCSF)和文件传输设备制造商Accellion等。由于Clop的攻击策略不断变化且非常复杂,因此该组织持续对世界各地的大型公司构成较严重的威胁。
07Anonymous
Anonymous是一个去中心化的国际活动家和黑客行动主义集体和运动,主要以针对政府机构、社会性团体和教会组织开展网络攻击而闻名。Anonymous起源于2003年的图像板4chan,代表许多在线和离线社区用户同时作为“无政府主义”、数字化“全球大脑”或“蜂群思维”存在的概念。匿名成员(被称为 anons)有时可以通过在图画小说和电影 V for Vendetta 中描绘的风格佩戴Guy Fawkes面具来体现他们的特点。目前,业界对该组织的行动和有效性认知存在较大分歧,一些支持者称该组织为“自由战士”,而反对者们则称他们为“网络恐怖分子”。
08Dragonfly
Dragonfly也被称为Berserk Bear、Crouching Yeti、DYMALLOY和Iron Liberty,被认为是一个得到了政府机构支持的网络间谍组织,由一批具备较高攻击技能的黑客组成。从2010年开始,Dragonfly组织就开始规范化地运营,并针对欧洲和北美的关键基础设施以及国防领域的军工系统进行了特定攻击,但目前尚没有被官方明确证实与该组织有关的网络攻击事件。该组织的主要攻击模式包括复杂的鱼叉式网络钓鱼活动和路过式妥协攻击,
09Killnet
Killnet是一个从 2022年1月开始频繁活动的年轻黑客组织,其最初只是在黑客论坛上出售 DDoS攻击“服务”。随着东欧地区冲突的爆发,该组织成为冲突期间最为活跃的黑客组织之一 。尽管Killnet组织的攻击目标主要是针对乌克兰以及支持乌克兰的国家和地区,不过安全研究人士认为,Killnet是一个由民间黑客组成的松散团体,与政府组织和军事机构并无直接关系。在2022年,Killnet 组织几乎每个月都会发动多起网络攻击,导致多国的政府服务和关键基础设施瘫痪。不过受限于 DDoS 的性质,Killnet组织的攻击活动很少对攻击目标产生严重的长期影响。
10Kimsuky
Kimsuky又名APT-C-55、Mystery Baby、Smoke Screen、Black Banshe 等,最早由卡巴斯基公司于2013年发现并命名。在此后的10年间,Kimsuky 组织一直处于活跃状态,攻击目标包括美国、日本、俄罗斯以及一些欧洲国家。数据显示,Kimsuky 组织在2022年的活跃度还在持续提升,保持了全年范围内的攻击覆盖度。Kimsuky 组织拥有功能完善的恶意代码武器库,能够持续更新攻击工具,并使用新技术增加反分析手段。同时,该组织擅长以社会热点、地缘政治事件为诱饵,通过鱼叉式网络钓鱼、社会工程学、水坑攻击等手段,向受害者投递诱饵文档、恶意软件。