泰国、新加坡执法部门和网络安全公司Group-IB联合逮捕了一名使用别名GHOSTR的黑客，该黑客与90多起数据泄露事件有关。

泰国、新加坡执法部门和网络安全公司Group-IB的协同努力，逮捕了一名与全球90多起数据泄露事件有关的活跃黑客。

据报道，该黑客使用GHOSTR、ALTDOS、DESORDEN和0mid16B等多个网络身份，窃取并在暗网市场上出售了超过13TB的敏感信息，其中包括政府机构记录。这名被指控的黑客还是臭名昭著的网络犯罪和数据泄露平台Breach Forums的活跃成员。

该黑客自2020年以来一直活跃；其目标包括泰国、新加坡、马来西亚、巴基斯坦和印度等亚太国家的组织，后来扩展到欧洲、北美和中东。受害者涉及医疗保健、金融、电子商务和物流等行业。

最初，他们以泄露被盗数据为由向公司施压，除非公司付费，否则他们通常会向媒体或监管机构通报要求被忽视的情况。后来，他们开始在暗网论坛上出售数据库，以高质量的泄露和高价而闻名。在某些情况下，他们甚至直接给客户发送电子邮件，迫使公司遵守规定。

根据 Group-IB周四发布的新闻稿，黑客利用常见漏洞入侵系统。他们使用sqlmap等工具执行SQL注入，这种方法利用网站访问后端数据库并攻破安全性较差的远程桌面协议(RDP)服务器。

进入网络后，他们部署了修改版的渗透测试工具CobaltStrike，以控制受感染的网络。然后，他们把提取的数据复制到云服务器，用于勒索。

由于黑客频繁更换别名和策略，调查人员面临挑战。Group-IB的团队通过分析暗网论坛上的写作风格、帖子格式和目标偏好将这些身份联系起来。例如，ALTDOS角色在2020年专注于泰国受害者，而DESORDEN后来针对以下行业的组织：
1. 零售
2. 金融
3. 后勤
4. 保险
5. 卫生保健
6. 酒店业
7. 招聘
8. 技术
9. 电子商务
10. 房地产投资

尽管该黑客因诈骗和虚假账户而被各论坛封禁，但他仍继续以新名字进行活动，直到他们的网上活动踪迹让当局查明了他们在现实世界中的身份。

在逮捕过程中，泰国当局没收了多台笔记本电脑、电子设备以及用数据销售收益购买的大量奢侈品。

Group-IB在绘制黑客跨别名活动图方面发挥的作用表明，行为模式和技术线索可以揭露最顽固的网络罪犯。该公司的威胁情报也让人想起巴西黑客USDoD，他在CrowdStrike曝光其真实身份后被追踪并被捕。