暗网，作为互联网的一部分，充满了神秘而又复杂的活动。更重要的是，其背后的主要参与者——商业黑客和各种有组织的犯罪集团，揭示了这是一个怎样的世界。本报告将试图带您了解这些原住民的身份、行为方式、商业逻辑、受害者以及他们构建的独特生态。

在一些APT XX黑客组织的分析报告中，我们已经了解到部分以政治背景为主的黑客组织，而活跃在暗网中的商业黑客组织，则更加自由和庞大，他们与政治黑客有着截然不同的行为逻辑，由于其庞大的基数、频繁的活跃度、逐利的商业行为，对政府、社会和企业造成的直接危害也更加严重。

商业黑客组织广泛地在暗网中活动，他们通常是技术娴熟的个体和团体，具备高超的计算机技能和网络渗透能力。他们的目标通常是获取利益，通过非法手段获取并利用有价值的信息，如个人身份信息、财务数据、商业机密等。商业黑客组织在暗网中可以找到其他同行，并通过网络论坛、市场、私人拍卖行等进行交流和交易。

他们的商业逻辑其实与正规商业在某种程度上有着相似性。他们需要找到买家，需要营销他们的商品或服务，需要处理交易，并在竞争激烈的环境中生存下来。与此同时，这些活动通常在加密的、隐藏的网络环境中进行，避免被法律追究。

关于他们的行为方式，商业黑客组织采取了许多手段来实现他们的目标。这些手段包括网络攻击、恶意软件分发、钓鱼攻击等。与政治背景的黑客组织的不同点在于，他们普遍不常使用代价高昂的通用型0day，而以相对低廉的开源情报、勒索软件、事件型0day、1day exp、钓鱼、社工、影子资产、配置缺陷和配置文件泄露等组合手段作为主要攻击方式。

商业黑客组织的商业逻辑建立在利益最大化的基础上。他们通过黑客攻击获取有价值的数据，然后以各种方式变现。这可能包括出售数据给其他犯罪分子、勒索受害者、进行网络钓鱼活动、进行非法交易或以其他方式获得经济利益。

在谈到受害者时，商业黑客组织的行为影响范围广泛。他们可能以某个群体为目标，盗取其身份信息或财务数据。也可能瞄准某些组织，窃取商业机密、客户数据或进行勒索活动。受害者的范围涵盖了个人、企业、政府机构等各个层面。

这样的分析可以帮助我们更好地理解暗网中的数据泄露问题，并为未来采取措施提供有价值的参考。

根据零零信安0.zone开源情报平台基于十余万情报源采集到的数据分析可知，目前全球活跃在暗网中的商业黑客组织约在数百个左右，黑客（无法确认是个人还是组织形式）约在数十万量级。

当前监测结果，仍处于活跃状态（至2023年Q2持续活动），且“发布”（勒索）总数量大于100件的商业黑客组织有14个（活跃的商业黑客组织总数量约100个左右）。值得特别说明的是，“发布”出来的，是勒索失败的“项目”（下文将特别说明和分析勒索成败的话题），以下为TOP组织的列表：

以上TOP级商业黑客组织活跃度和活跃期如下图所示（由于本报告写于2023年7月中旬，本月统计数据会比实际数据偏小）：

商业黑客组织的生命期和活跃期参差不齐，依据分析结果，普遍活跃期在1-3年，之后会进入蛰伏期或解散。本期分析的商业黑客组织，在2021年下半年和2022年下半年有两次启动/复活爆发期。

由于Lockbit3活跃度远高于其他组织，如将其隐藏并集中分析爆发期内（从2021年下半年至今）的组织，即可得到如下图示：

以上统计中，由于只统计了总量大于100“发布”的组织，所以并未包含最近3个月内新崛起和活跃的商业黑客组织，例如：akira、medusa、rhysida、snatch、qilin等数十个组织。

近2-3年以来，商业黑客组织的趋势：

1. 单一组织的“发布”数量呈减少趋势
2. 整体向多元化、多组织发展
3. 黑客行为和“发布”总数量在稳步增长
4. 黑客行为整体目前尚未发现周期变化规律

以下为3份典型的攻击留痕（已将原文翻译为中文）：

• 依据LockBit的说辞，这次“培训费”高达1000万美元，这正是本次“项目”中向受害者勒索的金额。

• 依据Royal的说辞，这次“安全服务费”高达3000万美元，这正是本次“项目”中向受害者勒索的金额。

• 依据Karakurt的说辞，这次“咨询费”高达1200万美元，这正是本次“项目”中向受害者勒索的金额。

现在我们基于数百个商业黑客组织的具体行为逻辑和商业举动进行分析，并得出如下结论：

• 他们的商业模式是什么？

以敲诈勒索为主，贩卖工具和定制化服务为辅。当商业黑客组织成功入侵某个企业后，通常会通过工具或人工进行内网漫游，尽可能多的获取企业数据，包括：设计图纸、客户数据、财务报表、专利文件、产品资料、软件源代码、图片、视频、供应商资料、法律文件等等。有的组织会进行文件加密，有的仅窃取文件，然后进行敲诈勒索。

• 如果不接受勒索会怎么样？

对于进行加密的客户，文件会无法解密。所有窃取的文件都会被以公开或邀请的形式进行拍卖，一般情况是在黑客组织的网站上发布拍卖列表和时间，接受预约，并在某个专属或私人拍卖会上进行拍卖（线上）。对于拍卖失败的数据会被免费公布下载。并将此事件推送给新闻媒体。

• 他们的窃取量会有多少？都窃取什么数据？

公布出来的数据量一般大约在数百GB至数TB不等，只有在从目标企业获取到高价值数据后他们才会“发布”，如果没有高价值数据一般不会勒索和发布。目前尚未见到MB级和PB级数据被“发布”。

• 他们勒索的价格是多少？是否接受谈判？

从当前掌握的情报，单纯勒索软件的勒索价格较便宜，大约从数百美元至数千美元不等；商业黑客组织的定向勒索价格一般为数十万至数千万美元不等，也有基于企业收入进行勒索收费的，价格约为企业年营业额的0.01%（万分之一）至0.05%（万分之五）。不接受降价谈判，有的组织接受分期付款。

• 勒索成功率有多少？

由于勒索成功后，黑客并不会公布，且相关企业也不会公布，该数据很难统计，但基于虚拟货币交易所可以得到的参考情报进行分析可知成功率大约在70%-90%左右。（两个感慨：第一，竟然有如此高比例的企业在勒索事件上认怂；第二，这个成功率比安全公司销售的成功率高很多）

• 他们真的没有政治倾向吗？他们的真实动机是什么？

以当前掌握的情报来看，商业黑客组织大部分没有政治倾向，但是有少部分组织有本土意识（不攻击属国企业）。他们的真实动机是经济利益，一个成熟的商业黑客组织人数约几十至几百人不等，一年的收入高达几亿至十几亿美元。

此外，经过调查，商业黑客组织虽然偶尔会出现在黑客论坛和暗网市场中，但是大部分情况下只会维护自己的商业圈，他们很少公开与个人黑客保持互动。他们通过勒索软件和留言直接向受害企业进行“销售”，其事件也更加不透明，相较于论坛与市场中几十美元至几万美元的平均售价，其价格也更加昂贵。

另外，据已知情报，AI和自动化对于黑客组织的影响巨大，有一部分组织已经开始训练自动化攻击大模型，虽然进度未知，但如果成功必将成百倍千倍的提升其攻击和勒索效率。也可以预见到，未来黑客组织的规模和特点趋势将小型化、智能化、自动化。这也必然会挑战当前我们的防御整体规划和策略，提升我们的防御难度。

合理使用安全开源情报，提升防御者的认知势在必行。

预告：Part 5 他们自称无政府主义者，敬请期待。