레코디드 퓨처는 2021년 1월부터 12월까지 레코디드 퓨처 플랫폼(® ), 다크웹 및 특수 액세스 소스, 오픈소스 인텔리전스(OSINT)의 최신 데이터를 분석하여 유출된 PII 및 PHI의 판매와 이 데이터가 범죄 활동을 촉진하는 데 어떻게 사용되는지 관찰했습니다. 이 보고서는 인사이트 그룹 사기 시리즈 첫 번째 보고서인 '사기의 비즈니스'에서 다루었던 내용을 확장한 것입니다:사이버 범죄가 수익을 창출하는 방식에 대한 개요".

편집자 주: 이 조사는 2021년 1월부터 12월까지 진행되었습니다. 그 이후로 다음 다크웹 소스는 더 이상 운영되지 않습니다: 유니크 샵(2022년 1월), 토르레즈 마켓(2022년 1월), 아미고스 마켓(2022년 1월).

Executive Summary

개인 식별 정보(PII)와 환자 건강 정보(PHI)는 클리어넷과 다크웹 모두에서 범죄자들이 가장 많이 찾는 데이터입니다. 저희의 연구에 따르면 위협 행위자는 소셜 엔지니어링 및 인포스틸러 멀웨어 변종을 포함한 다양한 공격 벡터를 사용하여 피해자의 PII 또는 PHI를 획득하는 것으로 나타났습니다. 이러한 데이터가 수집되면 위협 공격자들은 포럼, 마켓플레이스, 상점 등의 다크웹과 메시징 플랫폼을 통해 전통적인 사이버 범죄 소스를 통해 수익을 창출합니다. 민감한 사용자 데이터가 있는 계정에 대한 액세스, 보안 조치를 무력화하는 방법, 위조 문서를 포함한 맞춤형 서비스 및 방법을 판매하는 공급업체를 통해 PII 및 PHI 데이터를 사고파는 데 관심이 있는 위협 행위자들은 전술, 기술 및 절차(TTP)를 지속적으로 개선하고 있습니다.

주요 판단

• 위협 행위자는 피해자 네트워크에 쉽게 액세스하여 PII 및 PHI 데이터를 수집하고 도용할 수 있는 다양한 도구와 기능을 마음대로 사용할 수 있습니다.
• 금전적 동기를 가진 위협 행위자들은 계속해서 사이버 범죄 생태계의 모든 측면(포럼, 마켓플레이스, 상점, 메시징 플랫폼)을 사용하여 유출된 PII 및 PHI를 광고, 토론, 판매 및 구매할 것입니다. 앞서 언급한 4가지 소스 유형은 각각 독립적이지만 모두 사이버 범죄를 가능하게 하는 공통점을 가지고 있습니다.
• 다크 웹 및 PII가 포함된 유출된 사용자 계정을 전문적으로 나열하는 특수 액세스 소스 외에도 다크 웹 마켓플레이스와 같이 진입 장벽이 낮은 소스는 위협 행위자가 PII가 포함된 스캔 및 위조 문서를 사고 파는 매력적인 대상입니다.
• 랜섬웨어 갈취 웹사이트는 피해자가 몸값을 지불하지 않을 경우 무료로 다운로드할 수 있는 독점 데이터를 포함하고 있어 위협 행위자가 PII 및 PHI를 확보할 수 있는 또 다른 매력적인 소스입니다. 이러한 몸값 갈취 웹사이트는 몸값을 갈취하는 방법이 효과적인 것으로 입증되었기 때문에 당분간 계속될 가능성이 높습니다.

편집자 주: 이 글은 전체 보고서에서 발췌한 내용입니다. 전체 분석을 읽으려면, Click Here 를 클릭하여 보고서를 PDF로 다운로드하세요.