暗网，作为互联网的一部分，充满了神秘而又复杂的活动。更重要的是，其背后的主要参与者——商业黑客和各种有组织的犯罪集团，揭示了这是一个怎样的世界。本报告将试图带您了解这些原住民的身份、行为方式、商业逻辑、受害者以及他们构建的独特生态。

在一些APT XX黑客组织的分析报告中，我们已经了解到部分以政治背景为主的黑客组织，而活跃在暗网中的商业黑客组织，则更加自由和庞大，他们与政治黑客有着截然不同的行为逻辑，由于其庞大的基数、频繁的活跃度、逐利的商业行为，对政府、社会和企业造成的直接危害也更加严重。

商业黑客组织广泛地在暗网中活动，他们通常是技术娴熟的个体和团体，具备高超的计算机技能和网络渗透能力。他们的目标通常是获取利益，通过非法手段获取并利用有价值的信息，如个人身份信息、财务数据、商业机密等。商业黑客组织在暗网中可以找到其他同行，并通过网络论坛、市场、私人拍卖行等进行交流和交易。

他们的商业逻辑其实与正规商业在某种程度上有着相似性。他们需要找到买家，需要营销他们的商品或服务，需要处理交易，并在竞争激烈的环境中生存下来。与此同时，这些活动通常在加密的、隐藏的网络环境中进行，避免被法律追究。

关于他们的行为方式，商业黑客组织采取了许多手段来实现他们的目标。这些手段包括网络攻击、恶意软件分发、钓鱼攻击等。与政治背景的黑客组织的不同点在于，他们普遍不常使用代价高昂的通用型0day，而以相对低廉的开源情报、勒索软件、事件型0day、1day exp、钓鱼、社工、影子资产、配置缺陷和配置文件泄露等组合手段作为主要攻击方式。

商业黑客组织的商业逻辑建立在利益最大化的基础上。他们通过黑客攻击获取有价值的数据，然后以各种方式变现。这可能包括出售数据给其他犯罪分子、勒索受害者、进行网络钓鱼活动、进行非法交易或以其他方式获得经济利益。

在谈到受害者时，商业黑客组织的行为影响范围广泛。他们可能以某个群体为目标，盗取其身份信息或财务数据。也可能瞄准某些组织，窃取商业机密、客户数据或进行勒索活动。受害者的范围涵盖了个人、企业、政府机构等各个层面。

这样的分析可以帮助我们更好地理解暗网中的数据泄露问题，并为未来采取措施提供有价值的参考。

根据零零信安0.zone开源情报平台基于十余万情报源采集到的数据分析可知，目前全球活跃在暗网中的商业黑客组织约在数百个左右，黑客（无法确认是个人还是组织形式）约在数十万量级。

当前监测结果，仍处于活跃状态（至2023年Q2持续活动），且“发布”（勒索）总数量大于100件的商业黑客组织有14个（活跃的商业黑客组织总数量约100个左右）。值得特别说明的是，“发布”出来的，是勒索失败的“项目”（下文将特别说明和分析勒索成败的话题），以下为TOP组织的列表：

 

以上TOP级商业黑客组织活跃度和活跃期如下图所示（由于本报告写于2023年7月中旬，本月统计数据会比实际数据偏小）：

 

商业黑客组织的生命期和活跃期参差不齐，依据分析结果，普遍活跃期在1-3年，之后会进入蛰伏期或解散。本期分析的商业黑客组织，在2021年下半年和2022年下半年有两次启动/复活爆发期。

由于Lockbit3活跃度远高于其他组织，如将其隐藏并集中分析爆发期内（从2021年下半年至今）的组织，即可得到如下图示：

 

以上统计中，由于只统计了总量大于100“发布”的组织，所以并未包含最近3个月内新崛起和活跃的商业黑客组织，例如：akira、medusa、rhysida、snatch、qilin等数十个组织。

近2-3年以来，商业黑客组织的趋势：

1. 单一组织的“发布”数量呈减少趋势
2. 整体向多元化、多组织发展
3. 黑客行为和“发布”总数量在稳步增长
4. 黑客行为整体目前尚未发现周期变化规律

以下为3份典型的攻击留痕（已将原文翻译为中文）：

~~~ LockBit 3.0 是世界上最快、最稳定的勒索软件~~~ >>>>>您的数据被盗并被加密。 如果您不支付赎金，数据将发布在我们的 TOR 暗网网站上。请记住，一旦您的数据出现在我们的泄漏网站上，您的竞争对手随时都可能购买它，所以不要犹豫很长时间。您越早支付赎金，您的公司就越早安全。 >>>>> 有什么保证我们不会欺骗你？ 我们是地球上最古老的勒索软件联盟计划，没有什么比我们的声誉更重要。我们不是一个有政治动机的团体，我们只想要钱。如果您付款，我们将为您提供解密软件并销毁被盗数据。支付赎金后，您将很快赚更多的钱。将这种情况简单地视为对系统管理员的付费培训，因为这是由于您的公司网络配置不正确，我们才能攻击您。我们的渗透测试服务应该像您支付系统管理员的工资一样支付。克服它并为此付出代价。如果我们在您付款后不给您解密器或删除您的数据，将来没有人会向我们付款。

• 依据LockBit的说辞，这次“培训费”高达1000万美元，这正是本次“项目”中向受害者勒索的金额。

如果您正在阅读本文，则意味着您的系统受到皇家勒索软件的攻击。 让我们解释一下这个案例。这可能看起来很复杂，但事实并非如此！ 最有可能发生的事情是您决定在安全基础架构上节省一些钱。 唉，因此您的关键数据不仅被加密，而且在我们的安全服务器的系统有备份。 从那里可以在线发布。然后，互联网上的任何人，包括暗网罪犯、记者、政府， 甚至您的员工都将能够看到您的内部文档：个人数据、人力资源审查、内部诉讼和投诉、财务报告、会计、知识产权等等！ 幸运的是，我们为您提供了保障！ 皇家勒索软件为您提供独特的交易。对于我们的渗透测试服务，我们不仅会为您提供惊人的风险缓解服务，涵盖您的声誉、法律、财务、监管和保险风险， 而且还会为您的系统提供安全审查。 简而言之，您的文件将被解密，您的数据将被恢复并保持机密，并且您的系统将保持安全。 我们希望尽快收到您的来信，进入数据安全的新时代！

• 依据Royal的说辞，这次“安全服务费”高达3000万美元，这正是本次“项目”中向受害者勒索的金额。

好的，您正在阅读本文 - 所以这意味着我们引起了您的注意。 交易是这样的： 1.我们破坏了您的内部网络并控制了您的所有系统。 2.我们分析并定位了每条或多或少重要的文件，同时在里面花了数周时间。 3.我们获取了想要的任何东西，您可以在附件中找到已获取文件的完整列表。 常见问题： Q：你到底是谁？A：卡拉库特团队，相当熟练的黑客。 Q：你为什么要这么做？A：我们的动机纯粹是经济上的。 Q：我们将向执法部门报告此事。A：你当然可以，但要准备好他们将没收你的大部分 IT 基础设施，即使你后来改变主意并决定付款，他们也不会放过你。 Q：还有谁知道这次事件？A：我，你，没有其他人。目前。 Q：如果我告诉你我不在乎，我会忽略这件事怎么办？A：这是一个非常糟糕的选择。如果您不及时与我们联系，我们将开始通知您的员工、客户、合作伙伴、分包商和任何其他应该知道您如何处理自己和他们的公司机密的人。 Q：如果我即使在之后仍然不联系你怎么办？A：然后，我们将继续推进，开始联系您的业务竞争对手和我们内部交易者名单，以了解他们是否会为您的数据向我们付款。当对此类数据感兴趣的人员名单形成时，进行封闭式在线拍卖。 Q：没有人会买你拿走的东西！我不相信你！A：如果拍卖失败，我们将在网上泄露所有内容，确保这种泄漏直接传给媒体。我们将确保您的企业付出代价。 Q：如果我付款会怎样？A：不会发生任何坏事，我们将删除我们从您的网络中获取的所有内容，我们将帮助您关闭您拥有的技术漏洞，并提供一些有关如何避免此类事件的见解。我们永远不会告诉任何人。

• 依据Karakurt的说辞，这次“咨询费”高达1200万美元，这正是本次“项目”中向受害者勒索的金额。

现在我们基于数百个商业黑客组织的具体行为逻辑和商业举动进行分析，并得出如下结论：

• 他们的商业模式是什么？

以敲诈勒索为主，贩卖工具和定制化服务为辅。当商业黑客组织成功入侵某个企业后，通常会通过工具或人工进行内网漫游，尽可能多的获取企业数据，包括：设计图纸、客户数据、财务报表、专利文件、产品资料、软件源代码、图片、视频、供应商资料、法律文件等等。有的组织会进行文件加密，有的仅窃取文件，然后进行敲诈勒索。

• 如果不接受勒索会怎么样？

对于进行加密的客户，文件会无法解密。所有窃取的文件都会被以公开或邀请的形式进行拍卖，一般情况是在黑客组织的网站上发布拍卖列表和时间，接受预约，并在某个专属或私人拍卖会上进行拍卖（线上）。对于拍卖失败的数据会被免费公布下载。并将此事件推送给新闻媒体。

• 他们的窃取量会有多少？都窃取什么数据？

公布出来的数据量一般大约在数百GB至数TB不等，只有在从目标企业获取到高价值数据后他们才会“发布”，如果没有高价值数据一般不会勒索和发布。目前尚未见到MB级和PB级数据被“发布”。

• 他们勒索的价格是多少？是否接受谈判？

从当前掌握的情报，单纯勒索软件的勒索价格较便宜，大约从数百美元至数千美元不等；商业黑客组织的定向勒索价格一般为数十万至数千万美元不等，也有基于企业收入进行勒索收费的，价格约为企业年营业额的0.01%（万分之一）至0.05%（万分之五）。不接受降价谈判，有的组织接受分期付款。

• 勒索成功率有多少？

由于勒索成功后，黑客并不会公布，且相关企业也不会公布，该数据很难统计，但基于虚拟货币交易所可以得到的参考情报进行分析可知成功率大约在70%-90%左右。（两个感慨：第一，竟然有如此高比例的企业在勒索事件上认怂；第二，这个成功率比安全公司销售的成功率高很多）

• 他们真的没有政治倾向吗？他们的真实动机是什么？

以当前掌握的情报来看，商业黑客组织大部分没有政治倾向，但是有少部分组织有本土意识（不攻击属国企业）。他们的真实动机是经济利益，一个成熟的商业黑客组织人数约几十至几百人不等，一年的收入高达几亿至十几亿美元。

此外，经过调查，商业黑客组织虽然偶尔会出现在黑客论坛和暗网市场中，但是大部分情况下只会维护自己的商业圈，他们很少公开与个人黑客保持互动。他们通过勒索软件和留言直接向受害企业进行“销售”，其事件也更加不透明，相较于论坛与市场中几十美元至几万美元的平均售价，其价格也更加昂贵。

另外，据已知情报，AI和自动化对于黑客组织的影响巨大，有一部分组织已经开始训练自动化攻击大模型，虽然进度未知，但如果成功必将成百倍千倍的提升其攻击和勒索效率。也可以预见到，未来黑客组织的规模和特点趋势将小型化、智能化、自动化。这也必然会挑战当前我们的防御整体规划和策略，提升我们的防御难度。

合理使用安全开源情报，提升防御者的认知势在必行。

预告：Part 5 他们自称无政府主义者，敬请期待。