据报道,威胁行为者已经推出了一个名为IndustrialSpy的新市场,以向其成员出售或免费提供被盗公司的数据。虽然被盗数据市场并不新鲜,但IndustrialSpy并没有用勒索公司和GDPR罚款来吓唬受害者,而是将自己呈现为一个市场,公司可以在这个市场上购买竞争对手的数据,以获取商业机密、制造图纸、会计报告和客户数据库。然而,市场也有可能被用于敲诈勒索,让受害者进行购买以防止数据被出售给其他威胁行为者。IndustrialSpy市场提供不同级别的数据产品,包括价值数百万美元的“高级”被盗数据包,以及可以作为单个文件以低至2美元的价格出售的较低级别的数据。例如,IndustrialSpy目前正在以140万美元的价格出售一家印度公司的高级数据,并以比特币支付。高级被盗数据然而,这个市场上的大部分数据都是作为单独的文件出售的,威胁行为者可以每个2美元的价格购买他们想要的特定文件。该市场还提供免费的被盗数据包,这可能会引诱其他威胁行为者使用他们的网站。购买个人文件IndustrialSpy市场“常规”数据类别中的一些公司在过去经历过勒索软件攻击,威胁行为者很可能从勒索软件团伙的泄漏站点下载数据并将其转售给IndustrialSpy。通过Crackware和Adware安全研究团队MalwareHunterTeam发现恶意软件可执行文件[1,2],创建README.txt文件来推广该网站。当程序执行时,这些恶意软件文件会在设备上的每个文件夹中创建包含服务描述和Tor网站链接的文本文件。README.txt文本文件内容如下:“在那里,你可以购买或下载你竞争对手的数据。我们利用IT基础设施中的漏洞从世界上最大的公司和事件中收集数据,并披露相关的计划、图纸、技术、政治和军事秘密、会计报告和客户数据库。”为营销推广而创建的README.txt文件这些可执行文件通过伪装成破解软件和广告软件的恶意软件下载器分发。例如,STOP勒索软件和窃取密码的特洛伊木马通常作为破解软件分发,与IndustrialSpy可执行文件一起安装。此外,在线查杀平台VirusTotal显示,在大量窃取密码的木马日志中发现README.txt文件,说明这两个程序运行在同一台设备上,工业间谍网站的运营商可能会与广告软件和Hit经销商合作进行推广。虽然IndustrialSpy目前并未得到广泛使用,但公司和安全研究人员需要密切关注该网站及其出售的数据。
