跨国黑客GHOSTR落网,涉90多起数据泄露案件

安全 黑客攻防
跨国黑客GHOSTR落网,涉90多起数据泄露案件,窃取13TB敏感信息,危害全球多国政府与企业,最终被多国执法部门联合逮捕。

在泰国、新加坡执法部门与网络安全公司Group-IB的协同努力下,一名与全球90多起数据泄露案件有关的黑客被逮捕。这名黑客曾以GHOSTR、ALTDOS、DESORDEN和0mid16B等多个网络身份活跃,据称其在暗网市场上窃取并出售了超过13TB的敏感信息,其中包括政府机构的记录。此外,他还是臭名昭著的网络犯罪和数据泄露平台Breach Forums的活跃成员。

GHOSTR因多重账户被Breach Forums封禁(截图来源:Hackread.com)

多国作案,行业广泛

自2020年起,这名黑客的目标主要集中在新加坡、马来西亚、巴基斯坦和印度等亚太地区国家,后来逐渐扩展到欧洲、北美和中东。受害者涉及医疗、金融、电子商务和物流等多个行业。起初,他通过威胁泄露被盗数据向公司施压,要求支付赎金,并在要求被忽视时向媒体或监管机构发出警告。后来,他转向在暗网论坛上直接出售数据库,以高质量泄露和高端定价而闻名。在某些情况下,他甚至会直接通过电子邮件与客户联系,迫使公司就范。

根据Group-IB于周四发布的新闻稿,该黑客利用常见漏洞渗透系统,使用sqlmap等工具执行SQL注入攻击,以访问后端数据库,并入侵安全防护薄弱的远程桌面协议(RDP)服务器。一旦进入系统,他便部署修改版的渗透测试工具CobaltStrike,以维持对受攻击网络的控制权,并将提取的数据复制到云端服务器用于勒索。

多重身份,追踪艰难

调查人员面临的最大挑战是该黑客频繁更换别名和策略。Group-IB通过分析暗网论坛上的写作风格、发布格式和目标偏好,将这些身份关联起来。例如,ALTDOS在2020年主要针对泰国受害者,而DESORDEN后来则瞄准了零售、金融、物流、保险、医疗、酒店、招聘、科技、电子商务和房地产投资等领域。

尽管多次因诈骗和虚假账户被论坛封禁,该黑客仍不断更换身份继续作案,直到其在线活动的踪迹被当局追查到现实中的真实身份。在逮捕行动中,泰国当局查获了多台笔记本电脑、电子设备以及用数据销售所得购买的大量奢侈品。

查获物品(来源:Group-IB)

Group-IB通过研究该黑客的行为模式和技术线索,成功将其多个身份关联起来。这一案例让人联想到巴西黑客USDoD,其真实身份在被CrowdStrike揭露后被捕,进一步证明了网络犯罪追踪的可能性。

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2012-03-07 11:00:56

2010-06-24 21:56:59

2010-03-02 09:24:52

2012-01-11 09:44:49

2021-01-14 11:24:50

黑客组织泄露数据

2023-08-04 14:20:09

2022-01-02 06:56:35

美国数据泄露网络安全

2023-04-20 18:49:01

2023-06-30 14:06:28

2015-02-11 10:00:15

2021-04-09 08:37:47

黑客数据泄露网络攻击

2024-11-12 14:42:10

2020-08-14 07:56:56

数据泄露安全技术

2011-06-21 10:01:16

2014-05-22 13:31:40

2024-11-05 17:35:21

2020-02-23 18:00:18

数据泄露漏洞黑客

2010-11-12 09:22:55

2025-01-20 15:53:09

2019-12-12 10:12:16

网络攻击数据泄露黑客
点赞
收藏

51CTO技术栈公众号