Recorded Futureは、2021年1月から12月にかけて、Recorded Future® Platform、ダークウェブ、特別アクセスソース、オープンソースインテリジェンス(OSINT)からの現在のデータを分析し、侵害されたPIIとPHIの販売と、このデータが犯罪活動を促進するためにどのように使用されるかを観察しました。 このレポートは、Insikt Group Fraud Seriesの最初のレポート「The Business of Fraud: An Overview of Cybercrime Gets Monetized」で取り上げられた調査結果を発展させたものです。

編集者注:この調査は2021年1月から12月を対象としています。 その後、UNICC Shop(2022年1月)、ToRReZ Market(2022年1月)、Amigos Market(2022年1月)のダークウェブソースは運用を終了しています。

Executive Summary

個人を特定できる情報(PII)と患者の健康情報(PHI)は、クリアネットとダークウェブの両方で、犯罪者から非常に求められているデータです。 私たちの調査では、脅威アクターがソーシャルエンジニアリングやインフォスティーラーマルウェアの亜種など、さまざまな攻撃ベクトルを使用して被害者のPIIまたはPHIを取得していることが特定されました。 このデータが収集されると、脅威アクターは従来のサイバー犯罪者ソース(フォーラム、マーケットプレイス、ショップなどのダークウェブ)やメッセージングプラットフォームを通じてデータを収益化します。 PIIおよびPHIデータの売買に関心のある脅威アクターは、戦術、技術、手順(TTP)を改善し続けており、ベンダーは、機密性の高いユーザーデータを持つアカウントへのアクセス、セキュリティ対策を破る方法、偽造文書など、カスタマイズされたサービスや方法を販売しています。

主な判断

• 脅威アクターは、被害者のネットワークへのアクセスを促進してPIIおよびPHIデータを収集および盗むためのさまざまなツールと機能を自由に使用できます。
• 金銭的な動機を持つ脅威アクターは、サイバー犯罪者のエコシステムのあらゆる側面(フォーラム、マーケットプレイス、ショップ、メッセージングプラットフォーム)を引き続き使用して、侵害されたPIIとPHIを広告、議論、販売、購入します。 前述の4つのソースタイプはそれぞれ独立していますが、すべての共有が重複しているため、サイバー犯罪が可能になります。
• ダークウェブや、PIIを含む侵害されたユーザーアカウントの掲載を専門とする特別なアクセスソースに加えて、ダークウェブマーケットプレイスなど、参入障壁の低いソースは、脅威アクターがPIIを含むスキャンや偽造ドキュメントを売買するための魅力的な目的地です。
• ランサムウェア恐喝Webサイトは、被害者が身代金を支払わない場合に無料でダウンロードできる独自のデータが記録に含まれているため、脅威アクターがPIIとPHIを取得するための別の魅力的なソースです。 これらの恐喝サイトは、身代金を恐喝するこの方法が効果的であることが証明されているため、当面続く可能性があります。

編集者注: この投稿はレポート全文の抜粋です。分析全体を読むには、 ここをクリック をクリックして、レポートをPDFとしてダウンロードします。