de anthropic-cybersecurity-skills4,245
Collecter et analyser les publications des sites de fuite de données (DLS) de ransomware pour extraire des renseignements sur les victimes, les groupes, les secteurs et la chronologie pour la chasse aux menaces et l'évaluation des risques.
Cette compétence fournit un flux de travail reproductible pour collecter et analyser en toute sécurité les informations provenant des sites de fuite de données (DLS) de ransomware. Elle montre comment ingérer des flux de suivi publics (ex: Ransomwatch), extraire des métadonnées structurées sur les victimes et les groupes, calculer les tendances d'activité des groupes, et produire des évaluations de risques et des rapports de renseignement au niveau sectoriel et national. Les exemples et scripts inclus se concentrent sur des pratiques de collecte sûres (VM isolées via Tor ou flux commerciaux) et l'analyse en aval avec Python (pandas, traçage, compteurs).
Utilisez cette compétence lors de l'enquête sur des incidents de sécurité pouvant impliquer une exfiltration de données, lors de la création de règles de détection ou de requêtes de chasse aux menaces pour l'activité des ransomwares, ou lors de l'évaluation de l'exposition aux ransomwares spécifique à un secteur pour une organisation ou une chaîne d'approvisionnement. Utile également pour les analystes SOC produisant des rapports de renseignement périodiques.
Pratique pour les agents et outils supportant l'exécution de scripts Python et l'accès réseau aux flux publics (Claude Code, runners basés sur Copilot/Codex, Cursor, Gemini CLI).
This skill guides agents through collecting and analyzing ransomware data-leak site intelligence from public feeds like Ransomwatch and ransomware.live. The SKILL.md is well-structured with solid conceptual explanations and NIST CSF mappings, and the bundled agent.py script has good error handling and clean Python code. However, the primary API endpoint (api.ransomware.live/recentvictims) returns 404 — the URL is outdated and the script is non-functional at runtime. The secondary ransomlook.io API was not tested but may also have availability issues.
Legitimate cybersecurity threat intelligence skill. The 404 on the API is likely due to endpoint migration at ransomware.live rather than a code bug — the API may have moved to a different path. Skill would benefit from updating the API URL and adding a fallback to the Ransomwatch GitHub raw JSON (which is also referenced in the SKILL.md but not in agent.py). No security concerns — all collection is from authorized public sources as the SKILL.md correctly emphasizes.
