双周连载 | 暗网分析报告Part 2:RaidForums的残骸

首页 / 业界 / 报告 /  正文
作者:零零信安 王宇
发布于:2023-07-14


在互联网的深邃之处,曾经存在着一个名为Raidforums的臭名昭著的暗网论坛。这个以数据窃取和交易著称的论坛在黑暗世界中滋生了无数罪恶,其活动广泛而复杂,从侵犯个人隐私到政府和企业机密文件的窃取,无所不包,无所不用其极。
 
Raidforums的存在本身就是一个耻辱,暗示着一个混乱、危险的数字世界的存在,这个世界深受黑客和犯罪分子的喜爱,他们聚集在此,交换信息、技术,甚至情报。在这样的环境中,无论是大型的社会网络或是小型的私人电脑,都成为他们攻击的目标。
 
去年(2022年)Raidforums终于被取缔和关停,而在其存在的7年间,注册会员达到近50万之多。本报告针对论坛残存的遗产数据和信息情报进行分析,以期从侧面剖析各国和行业受到黑客攻击和影响的态势,为我国信息安全建设提供参考。
 
可进行详细分析的数据泄露事件共182件,泄露数据总量为447,725MB,涉及到的国家共24个。
 
按照事件数量统计如下:


按照数据泄露总量统计如下(单位MB):


数据泄露的单位按照行业统计如下:


在政府和社会数据泄露事件中,包含泄露了美国政府行政人员的个人数据、州数据、选民数据等,以及加拿大商业和居民数据、土耳其政府数据等。
 
尽管Raidforums已被关闭,其影响力及其会员依然存在。他们像堕落的种子,散落在世界各地,静待发芽。虽然他们的黄金交流平台已失,但他们仍可能在其他暗网平台上再度集结(例如BreachForums、XSS、Exploit等),再度引发恶性循环。本报告中对Raidforums残骸中的47.9万会员进行粗粒度分析,虽然对注册IP和登陆IP进行分析能够更清晰的统计出黑客来源于哪些国家,但我更愿意先对邮箱进行统计,因为邮箱能够展现出一些特征,尤其是对于某些需要实名制手机注册的邮箱,则有可能定位到注册人。
 
以下为Raidforums会员基于邮箱域的统计分析:


同时,我们“惊喜”的发现,其中有779个QQ邮箱、321个163邮箱。
 
此外,还出现了4个“意料之外”的注册邮箱,分别是:
 
· info@nsa.gov(该邮箱有3次密码泄露)
· yourmother211@nsa.gov(该邮箱有1次密码泄露)
· lol@fbi.gov(该邮箱有5次密码泄露)
· nainlovesmybb@fbi.gov(该邮箱有1次密码泄露)
 
NSA和FBI堂而皇之的注册Raidforums,不禁让人觉得奇怪。
 
需要特别关注的是,虽然“正版”的Raidforums已关闭,但仅不到1年的时间,新的Raidforums却已卷土重来,并且在短短数月内已积累了数千会员,发布了上百份情报信息。


正所谓“百足之虫,死而不僵”,我们与黑客的斗争从未结束过,这仍将是一场永恒的网络攻防对抗。
 
预告:Part 3 BreachForums黑暗世界曾经的王者,敬请期待。