一位匿名网络犯罪调查者、神秘的泄密者GangExposed近日在Telegram及X(原Twitter)上曝光了Conti和Trickbot暗网勒索软件团队背后的关键人物,公布了大量内部文件及团伙成员照片姓名,揭露了该勒索软件团伙主要人物的真实身份、行动策略和全球攻击行动。
泄露的文件包括Conti网络勒索团伙相关的数千份聊天记录、个人视频和赎金谈判记录,“暗网下/AWX”多次报道,Conti网络勒索团伙从全球的公司、医院和个人那里骗取了数十亿美元。
通过对泄露的通信、旅行记录、财务数据和公共记录进行细致分析,GangExposed揭露了核心领导人,包括Vladimir Viktorovich Kvitko(“Professor”)、难以捉摸的策划者“Target”、谈判代表Arkady Valentinovich Bondarenko和系统管理员Andrey Yuryevich Zhuykov(“Defender”)。
GangExposed泄露的资料深入探讨了该犯罪集团在迪拜的运营情况、其在新冠疫情期间对医院的攻击以及维持其全球网络犯罪帝国的关键基础设施,为执法部门提供了一个难得的机会来摧毁世界上最危险的勒索软件网络之一。
A short announcement. pic.twitter.com/fHD3MJ7KwF
— GangExposed (@GangExposed) May 29, 2025 美国国务院正义奖励(RFJ)项目曾针对Conti勒索软件团伙宣布,将悬赏高达1000万美元,奖励那些能够识别或定位参与针对美国关键基础设施的恶意网络活动、违反《计算机欺诈和滥用法案》(CFAA)的个人的信息。
本站(anwangxia.com)看到,美国国务院的这个计划专门针对Conti勒索软件团伙的成员,该勒索软件团伙是一个与俄罗斯政府有关联的勒索软件即服务(RaaS)组织,以攻击美国和西方的重要基础设施而闻名。
🎁CONTI LEAK: Video they tried to bury!
6+ Conti members on a private jet. TARGET’s birthday — $10M bounty on his head.
Filmed by TARGET himself. Original erased — we kept a copy.
🎥Watch and help identify him!@LawrenceAbrams @pancak3lullz @c3rb3ru5d3d53c#CyberCrime #Leak… pic.twitter.com/8eLZaFlW5F
— GangExposed (@GangExposed) May 6, 2025 GangExposed自称,这是他“对抗一个举世闻名的有组织犯罪团伙”的一部分。他声称,他对联邦调查局为获取有关Conti一名关键头目(他已经点名)以及另一名即将在Telegram上公布的头目信息而提供的1000万美元赏金不感兴趣。
臭名昭著的LockBit勒索软件团伙的暗网网站遭遇严重入侵。5月7日,攻击者破坏了其暗网基础设施,并泄露了包含敏感操作细节的综合数据库,曝光了其勒索细节的聊天记录。
此次黑客攻击对全球最猖獗的勒索软件团伙之一造成了重大打击。
首先发布该事件的是“Rey”:
https://twitter.com/ReyXBF/status/1920220381681418713 现在,访问LockBit暗网网站(http://lockbitapyx2kr5b7ma7qn6ziwqgbrij2czhcbojuxmgnwpkgv2yx2yd[.]onion)的访客会收到一条挑衅性的信息:“不要犯罪,犯罪是坏事,来自布拉格的xoxo”,同时还附上了一个下载链接,用于下载名为“paneldb_dump.zip”的文件,其中包含MySQL数据库存储文件。
Lockbit的暗网网站确系被黑客入侵 在与该事件发现者Rey的Tox对话中,被称为“LockBitSupp”的LockBit运营者证实了此次泄密事件,并表示没有私钥泄露或数据丢失。
安全研究人员已经确认泄露数据的真实性,其中包含有关勒索软件团伙操作的宝贵信息。其中“paneldb_dump.zip”压缩文档包含了从LockBit暗网网站管理后台的MySQL数据库转储的SQL文件。
该数据库包括59975个用于支付赎金的唯一比特币钱包地址、从去年12月到今年4月下旬LockBit勒索软件团伙背后的运营者与其受害者之间的4442条赎金谈判信息,以及为特定攻击创建的自定义勒索软件版本的详细信息。
分析该数据库,其中包含20个数据表,包括:
‘btc_addresses’表包含59,975个唯一的比特币地址。 “builds”表包含关联方为攻击创建的各个构建。表中的行包含公钥,但遗憾的是没有私钥。部分构建中还列出了目标公司的名称。 “builds_configurations”表包含每个构建使用的不同配置,例如要跳过哪些ESXi服务器或要加密的文件。 “chats”表非常有趣,因为它包含从12月19日到4月29日勒索软件操作与受害者之间的4442条谈判消息。 “users”表列出了75位有权访问联盟后台管理面板的管理员和联盟会员,Michael Gillespie发现这些密码以明文形式存储。一些明文密码的示例包括“Weekendlover69”、“MovingBricks69420”和“Lockbitproud231”。 后续泄露者又曝光了12张截图,其中包括LockBit的暗网服务器里多个shadow文件、PHP代码的截图以及其暗网网站后台管理的界面截图。通过以下截图可以管中窥豹,一览勒索软件内部的秘密:
比特币地址库与用户表都是执法部门的金矿 HudsonRock联合创始人兼首席技术官Alon Gal称此次泄密事件是“执法部门的金矿”,可以极大地帮助追踪加密货币支付并将攻击归咎于特定的威胁行为者。
也许最令人尴尬的是,此次泄密暴露了一个包含75名管理员和联盟附属人员的纯文本密码的用户表,这可能被执法部门用以识别发动勒索攻击的黑客。
泄露的SQL数据库显示LockBit的暗网服务器正在运行PHP 8.1.2,该版本存在严重的远程代码执行漏洞,编号是CVE-2024-4577,可用于在远程服务器上实现远程代码执行。网络安全研究人员推测,这次攻击可能与PHP 8.1.2存在的这个高危漏洞(CVE-2024-4577)有关。
LockBit试图淡化此事件 LockBit试图淡化此事,该团伙在其暗网泄密网站上用西里尔文发布的一条消息中声称:“5月7日,他们入侵了带有自动注册功能的精简版管理面板,窃取了数据库,没有一个解密器受到影响,也没有任何被盗的公司数据受到影响。”该团伙愿意支付报酬,以获取有关此次入侵事件的布拉格黑客“xoxo”相关的信息。
此次黑客攻击发生在名为“克洛诺斯“(Operation Cronos)的执法行动一年之后,克罗诺斯行动是一场国际联合执法行动。当时“暗网下/AWX”做了详细报道,执法机构于2024年2月暂时破坏了LockBit的基础设施,包括托管数据的暗网泄密网站及其34台镜像服务器、从受害者那里窃取的数据、加密货币地址、1000个解密密钥以及管理面板。
虽然该团伙在此次攻击后成功重建并恢复运营,但其声誉已遭受重创,随着这次最新的入侵事件的发生,这对LockBit本已受损的声誉又造成了进一步的打击。研究人员指出,该团伙近期的许多受害者索赔请求都来自之前的攻击或其他勒索软件团伙的索赔。
对于LockBit而言,此次泄密事件可能带来毁灭性的打击,可能会破坏其附属联盟的信任并进一步阻碍其运营。LockBit勒索软件团伙2023年初在全球造成了约44%的勒索软件事件。
自2024年初出现以来,暗网勒索软件团伙RansomHub已成功攻击了多个行业的200多名受害者,包括基础设施、信息技术、政府服务、医疗保健、农业、金融服务、制造业、运输和通信等。去年8月,RansomHub曾在暗网上发布超过4TB澳大利亚公司数据。
这个相对较新的网络犯罪集团同样以勒索软件即服务(RaaS)代理的身份运作,并在勒索组织犯罪集团中占据突出地位。在暗网勒索软件团伙LockBit和ALPHV/BlackCat相继被FBI摧毁(尽管后来又陆续恢复了)后,RansomHub成为2024年最活跃的勒索软件组织。
该团伙的暗网数据泄露网站自3月31日起一直处于非活动状态,这一事实支持了RansomHub因内部冲突而面临挫折的理论。RansomHub的暗网数据泄露网站(DLS)突然下线,引发了人们对其可能被收购的猜测。
本月初,RansomHub勒索软件团伙的勒索软件即服务行动的一些附属机构失去了对该勒索团伙聊天门户的访问权限,外界猜测该团伙似乎面临内部冲突,媒体报道称该勒索团伙显然面临“一系列内部分歧和不团结”,“未知数量的附属机构”被切断了RansomHub与受害者的沟通渠道,导致网络犯罪分子将谈判转移到其他渠道,包括其他RaaS团伙的平台。
与此同时,一些成员在暗网网络犯罪论坛RAMP上表达了他们的困惑,一个名为DragonForce的竞争勒索软件组织声称RansomHub已经与他们合作并迁移了他们的基础设施。
由于暗网相关的托管不稳定,数据泄露网站出现短时间停机的情况并不罕见,但这次停机加上据称RansomHub的内部冲突可能进一步表明该团伙的内部管理正在恶化。
暗网勒索软件团伙RansomHub的近期活动 RansomHub 的活动自 2024 年首次被发现以来就愈演愈烈 ,在目标选择方面迅速成为“大型猎物猎人”的代名词。他们主要针对大型组织,这些组织更有 可能支付赎金 以尽快恢复业务连续性, 而不是应对长时间的停机。
受害者的广泛性表明这些攻击是机会性攻击,而非针对特定行业或领域。他们对初始访问操作的了解进一步证实了这一点,这些操作通常包括利用受害者托管的面向公众的应用程序或服务,例如Citrix ADC、FortiOS、Apache ActiveMQ、Confluence Data Center、BIG-IP等。
现有情报显示,该团伙织禁止其分支机构攻击位于中国、古巴、朝鲜、罗马尼亚以及包括俄罗斯在内的独立国家联合体成员国的组织。此类标准行动程序对于位于俄罗斯的威胁行为者来说很常见,旨在降低误伤的可能性,表明该团伙与国家存在一定程度的关联,或希望降低受到当地政府实体干预的风险。
该组织的目标涵盖了广泛的垂直行业,其中最突出的目标包括Frontier Communications等电信公司以及Change Healthcare和Rite Aid等医疗机构。仅在2025年3月,该团伙就在其暗网泄密网站(ransomxifxwc5eteopdobynonjctkxxvap77yqifu2emfbecgbqdw6qd.onion)上发布了超过60个新受害者的信息。
讽刺的是,RansomHub的成功和恶名,很大程度上源于其从其他勒索软件团伙(例如ALPHV/BlackCat)招募不满的附属机构。据报道,ALPHV/BlackCat去年解散时,曾对其附属机构实施了退出骗局。最值得注意的是,在ALPHV/BlackCat涉嫌以2200万美元赎金逃跑后,RansomHub招募了名为“notchy”的威胁行为者,以获取Change Healthcare数据。
RansomHub通过提供优惠的收入分成并允许赎金直接支付给关联公司来营销其关联计划,将自己定位为一个更值得信赖且对关联公司友好的RaaS集团。
尽管信息不断涌现,但我们不得不注意到其中的讽刺之处:一个通过承诺为其附属机构提供稳定和安全而声名鹊起的组织,似乎在一年之内就辜负了这些附属机构,或者背叛了它们。”
DragonForce和RansomHub:新的合作关系尚不明确 一个新的暗网勒索软件团伙DragonForce突然宣布接管RansomHub的基础设施,目前尚不知道这两个团伙之间是何关系。
DragonForce运营者背后的绰号在暗网RAMP论坛上宣布了一个新的“项目”,随后又在其暗网数据泄露网站(DLS)上发布了相同的信息。DragonForce表示,该团团和正在推出新的基础设施——两个新的暗网网站由验证码保护,类似于DragonForce团伙自己的原生Tor网站的做法——但会显示RansomHub勒索软件组织的标志。
DragonForce在RAMP论坛上的帖子如下:
嗨!别担心,RansomHub很快就会上线,他们只是决定迁移到我们的基础架构!我们是值得信赖的合作伙伴。
这是‘项目’运作方式的一个很好的例子,是DragonForce勒索软件集团的新选择!
RansomHub祝您一切顺利,请考虑我们的报价!我们期待着所有加入我们的人。
在有关RansomHub勒索软件团伙的帖子回帖中,有人表示“dragonforce twink ransomhub, one owner”(DragonForce接管了RansomHub,一个所有者),DragonForce回复称“你不应该这么说,这是一种误解。”
暗网勒索软件团伙DragonForce发布新的暗网泄密网站 DragonForce在暗网宣布:
DragonForce勒索软件卡特尔!- 是时候改变了
今天,我想向您介绍我们的新方向,我们将按照新的原则,以新的方式开展工作。您不再需要在我们的品牌下工作,现在您可以在久经考验的合作伙伴的支持下创建自己的品牌!我们,DragonForce勒索软件卡特尔,为您提供 “项目”,现在您可以自己创建。
我们正处于全球更新模式!请耐心等待。
DragonForce在暗网泄密网站发布消息:RansomHub在DragonForce系统上运行,在此页面您可以找到来自DF团队的最新消息。新闻包含一个PGP签名,可以用联系窗口内的DF公钥验证。保存密钥,用签名按钮复制签名后的信息,并用您的PGP工具(如OpenPGP、GnuPGP、Kleopatra或任何其他工具)进行验证。DF PGP 公钥也可在其他资源或论坛上找到。
DragonForce称“嗨,别担心,RansomHub很快就会上线,他们只是决定迁移到我们的基础设施!我们是可靠的合作伙伴。”同时,DragonForce发布了新的RansomHub泄密网站:
RansomHub / Blog: http://ijbw7iiyodqzpg6ooewbgn6mv2pinoer3k5pzdecoejsw5nyoe73zvad.onion/blog RansomHub / Client: http://rnc6scfbqslz5aqxfg5hrjel5qomxsclltc6jvhahi6qwt7op5qc7iad.onion 在该暗网网站页面,DragonForce正在招募附属机构,其表示:
DragonForce Ransomware
卡特尔邀请合作伙伴!最好的工具,最好的条件,最重要的是
所有合作伙伴的可靠性。在我们这里,您将获得稳定的报酬,工作起来也不会心存疑虑。
并号称提供:
所有工作流程完全自动化。 一套完整的业务管理系统。 针对每项任务的作战软件!ESXi、NAS、BSD、Win。 博客、FS(文件服务器)、管理面板、客户端面板。 无间断工作的 DragonForce Anti-DDoS 反病毒软件! 可靠的基础设施! 一个团队管理无限数量的品牌! DragonForce勒索软件卡特尔,全天候监控服务器。 PETABYTE,无限存储。 免费呼叫服务、NTLM、Kerb 解密。 80% 归您所有(我们只收取 20%)。
塔塔汽车旗下的子公司塔塔科技在今年早些时候遭遇了一次重大网络攻击,影响了该公司的网络并迫使其暂停部分服务,并导致1.4 TB的敏感数据在暗网上曝光。
随后,一个名为Hunters International的新勒索软件团伙公布了据称从这家总部位于浦那的公司窃取的数据,泄露了大量机密信息,包括员工记录、公司文件和客户合同。这一事件凸显了针对跨国公司的复杂网络犯罪组织所构成的威胁日益升级。
一名声称看到该团伙暗网泄密网站上发布的数据的人士称,这些数据包括现任和前任员工的个人信息以及一些机密信息,如采购订单和与印度和美国客户签订的一些合同。
泄露的数据总计约1.4TB,包括超过730,000 个文档,如 Excel电子表格、PDF文件和PowerPoint演示文稿。泄露的信息包括现任和前任员工的复杂详细信息、采购订单以及与印度和美国客户签订的协议。泄露数据的数量之巨和敏感性引起了人们对该公司及其利益相关者可能产生的影响的警惕。然而,目前尚不清楚Hunters International团伙共享的数据是否与最近的勒索软件攻击有关。
塔塔科技最初承认在2025年1月发生了一起影响某些IT资产的勒索软件事件。当时,该公司保证客户服务仍能全面运行且不受影响。然而,Hunters International最近的数据泄露事件使人们对此次泄露的严重程度以及最初遏制措施的有效性产生了怀疑。尽管多次要求发表评论,但塔塔科技对最新进展保持沉默,留下了许多未解答的问题。
塔塔科技公司在向印度证券交易所提交的文件中表示,正在进行调查,“并咨询专家以评估根本原因并在必要时采取补救措施”。
Hunters International是一个相对较新的勒索软件即服务团伙,于2023年底出现,采用勒索软件即服务模式,将其基础设施出租给关联黑客,以换取部分赎金。安全研究人员将该团伙与臭名昭著的Hive勒索软件团伙联系起来,后者于2023年被执法机构基本瓦解。值得注意的是,Hive此前曾在2022年针对塔塔集团的另一家子公司塔塔电力发起攻击,在赎金谈判失败后泄露了被盗数据。攻击模式的相似性表明,Hunters International可能正在利用Hive网络和资源的残余权限。
Hunters International团伙所采用的策略反映了勒索软件团体实施双重勒索计划的日益增长的趋势。在这种情况下,攻击者不仅加密受害者的数据,还威胁要公开发布敏感信息,除非他们的要求得到满足。这种策略给企业带来了额外的压力,因为数据泄露可能造成严重的声誉损害和法律后果。
塔塔科技成立于1989年,是塔塔汽车公司的汽车部门,专注于汽车设计、航空工程和研发,年收入达6亿美元,业务遍及印度、亚太地区、欧洲和北美的18个地区。
塔塔科技遭受的攻击凸显了全球企业面临的威胁形势日益严峻。勒索软件攻击的频率和复杂性不断上升,网络犯罪分子瞄准了汽车、航空航天和工业制造等各个行业的组织。此类攻击对财务和运营的影响可能是毁灭性的,这凸显了采取强有力的网络安全措施的迫切需要。
针对此事件,网络安全专家建议企业采取多管齐下的方法来增强防御能力。这包括定期进行漏洞评估、及时进行补丁管理以及部署高级威胁检测和响应解决方案。员工培训计划也至关重要,因为人为错误往往是网络攻击的切入点。此外,维护加密的离线备份可以在数据被勒索软件加密时促进快速恢复。
2月21日,45岁的卡什·帕特尔(Kash Patel)宣誓就任令人垂涎的局长职位,目前他是FBI约38,000名员工的负责人,其中包括10,000多名特工和遍布全球的60多个办事处和分支机构。
几天后,俄罗斯背景的暗网勒索软件团伙LockBit向新任FBI局长帕特尔留言称提供所谓的“机密信息”,并声称这些信息一旦公开,可能会“摧毁”该机构。
这个公开的博文是在2月25日通过LockBit的暗网博客(暗网泄密网站)发布的,伪装成一封贺信,然后试图让新任FBI局长帕特尔与FBI的员工对立起来。网络安全研究媒体vx-underground在X上报道了LockBit发布的博文。
Today Lockbit ransomware group issued a message to Kash Patel, the new Director of the United States Federal Bureau of Investigation. He requested Kash Patel contact him via Tox and offered him a file titled "personal_gift_for_new_director_FBI_Kash_Patel.7z".
The file is…
— vx-underground (@vxunderground) February 26, 2025 “亲爱的卡什·帕特尔!祝你生日快乐!我也祝贺你担任联邦调查局的第九任局长,并祝你事业成功,因为这对你来说并不容易,”博文开头写道。“你周围都是骗子、职业操纵者,尊敬的卡什·帕特尔。你手下的所谓“特工”都是狡猾的操纵者,他们操纵你的目的就是让你无所作为,但你必须有所作为,卡什·帕特尔先生。”
该博文进一步解释,虽然LockBit经常被称为“敲诈者”和“勒索者”,但自己其实是“美国祖国的杰出儿子”,并声称LockBit的勒索软件行动实际上是为了加强美国国家安全而建立的,而国际执法部门却将其描述为“世界上最具危害性的网络犯罪集团”。
”我的生意,我已经缴纳了很多税,我创建的目的只是为了让我们所有人,在我们的美利坚合众国,成为一个更安全的居住地。“
”我是一个诚实的商人,向美国财政部缴纳了那么多的税款,却从未退过税,而是让黑人帮我退税。“
在将自己描述为“诚实的商人”之后,作者继续指责联邦调查局是“真正的威胁”。
博文继续写道:“这些真正的敲诈者、骗子、勒索者、操纵者,也就是你们所熟知的下属——联邦调查局特工,他们用假货充斥着我们的国家,并宣称我是一个威胁。“
最值得注意的是,该博文最后试图引诱帕特尔直接联系LockBit,并承诺向他提供一份为他个人准备的“机密信息档案”,据称该档案将揭露联邦调查局内部的腐败行为。
“我决定给你最好的礼物——一份机密信息档案,供你个人使用,卡什·帕特尔先生,”博文写道。“一份指南、一份路线图和一些友好的建议。只有您才能访问,密码是有限的。这些信息是为了美国国家安全,为您提供如何找到真相的信息,我们的兄弟美国总统唐纳德·特朗普也想找到真相。”
作者将所谓的机密数据描述为“对抗谎言的关键,对抗虚假的良药”,然后要求帕特尔与其取得联系。
“请亲自联系我,我非常不愿意公布这些信息,因为这不仅会对FBI的声誉产生负面影响,还会破坏其结构,”作者补充道。“因为我真的希望您,尊敬的卡什·帕特尔,不仅是FBI的局长,而且也是FBI历史博物馆的馆长。让您讲述我们的故事——我们如何打败虚伪和腐败的FBI特工。”
这番言论似乎针对的是帕特尔去年的言论,当时他表示,他将“在第一天”关闭联邦调查局总部,并将其变成“深层政府博物馆”。
在博文最后,LockBit提供了联系方式——一串Tox的ID:3085B89A0C515D2FB124D645906F5D3DA5CB97CEBEA975959AE4F95302A04E1D14E41080A105,以便帕特尔与其联系。
LockBit称:“请亲自联系我,我非常不愿意发布这些信息,因为这不仅会对FBI的声誉产生负面影响,还会破坏它的结构。”
在该博文下面,LockBit勒索软件团伙已公开提供下载名为“personal_gift_for_new_director_FBI_Kash_Patel.7z”的文件,大小约2.06MB。由于该文件收到受密码保护,”暗网下/AWX“暂时看到其内容。
网络安全分析师Dominic Alvieri一直在追踪LockBit等勒索软件团伙,他表示,该团伙在美国和英国等国机构的国际联合执法行动后于2024年2月被瓦解,现在该团伙只不过是想引起关注,然后重建。
Alvieri表示:“目前LockBit提供的任何信息要么是公开数据,要么就是彻头彻尾的虚假声明。”目前还不清楚LockbBit拥有哪些机密数据,而帕特尔作为FBI局长似乎也无法访问这些数据。
LockBit长期以来一直是网络犯罪领域的主要参与者,采用勒索软件即服务 (RaaS) 模式运营,其中附属机构(通常是独立黑客)部署恶意软件以换取部分赎金。
暗网勒索软件团伙Termite公布了澳大利亚领先的IVF和生育服务提供商之一Genea的高度机密患者信息样本,此前该公司遭受网络攻击,系统被迫关闭数天。Termite于周三在暗网数据泄露网站上发布了截图。
Termite声称拥有Genea服务器的700GB数据,其中包括跨度6年的个人信息。
NSB网络主管Evan Vougdis表示,此类样本数据帖子通常是一种验证其主张的策略,并向受害者施加压力,让其遵从赎金要求。
“这是勒索软件团伙通常会看到的画面……他们只是通过展示一些样本照片来证明并验证他们关于数据泄露的说法。” 他说。
“勒索软件团体发布[公司信息]但不一定同时发布所有数据的情况并不少见。”
Genea于周三在其网站上发布了更新的声明内容,称其已获得新南威尔士州最高法院的临时禁令,以防止“威胁行为者和/或任何接收被盗数据集的第三方访问、使用、传播或发布受影响的数据”。
目前这些信息仍然存在于暗网上,Genea尚未向患者发送电子邮件告知他们个人信息已被公开发布。
沃格迪斯表示,虽然禁令可能会阻止普通澳大利亚人访问数据,但勒索软件团伙不太可能遵守新南威尔士州最高法院的命令。
Genea正在全力处置此次事件 Genea在其声明中表示:“我们正在进行的调查已确定,2月26日,从我们的系统中窃取的数据似乎已被威胁行为者对外发布。”
“我们理解这一事态发展可能会让我们的患者担忧,对此我们深表歉意。”
Genea表示,联系方式、医保卡号、病史、检测结果和药物等敏感信息可能在数据泄露中遭到泄露,该公司“正在努力了解究竟哪些数据已被泄露”。
法庭命令显示,自1月31日起,涉嫌发动攻击的黑客在被发现之前已在Genea网络中潜伏了两周多,并于2月14日从Genea的系统中提取了940.7 GB的数据。
该公司最初于2月21日星期五通知患者疑似数据泄露,但直到下周一才透露攻击的严重程度。患者并未被告知他们的哪些个人信息被窃取了(如果有的话)。
但在发给客户的电子邮件中,Genea的首席执行官Tim Yeoh透露,被访问的患者管理系统中的信息包括全名和出生日期、电子邮件、地址、电话号码、医疗保险卡号、私人健康保险详情、病史、诊断和治疗、药物和处方、测试结果、医生的证明和紧急联系人。
Yeoh表示,目前没有证据表明信用卡信息或银行账户号码等财务信息遭到泄露,但调查仍在进行中。
Genea在北领地以外的所有州和地区都设有生育诊所。它提供基因检测、卵子和精子冷冻、生育测试和包括IVF在内的治疗。
Genea在其网站上的一份声明中表示:“我们获得这项禁令是我们致力于保护患者、员工和合作伙伴信息的一部分,我们将针对这一事件采取一切合理措施,保护受影响的数据和最脆弱的人群。”
“我们正在与国家网络安全办公室、澳大利亚网络安全中心和其他政府部门会面,讨论这一事件。”
2022年(有数据可查的最新年份),澳大利亚每17个新生儿中就有1个使用了辅助生殖技术。总共进行了108,913个ART治疗周期。
Termite团伙是一个比较新的勒索软件团伙 声称对此次攻击负责的勒索软件团伙Termite相对较新,但他们却是去年多次重大供应链网络攻击的幕后黑手,当前其暗网泄密网站上共发布了16个受害者信息。
网络技术公司博通在去年11月发布的一份备忘录中称,Termite团伙针对了多个国家和行业,包括法国、加拿大、德国、阿曼和美国。这些行业包括政府机构、教育、残疾人支持服务、石油和天然气、水处理和汽车制造业。
博通表示,该勒索软件团伙的作案手法尚不清楚,但勒索软件会加密目标文件,并将受害者引导至暗网网站,商讨如何支付赎金。
目前该勒索软件团伙尚未公开发布赎金请求或威胁进一步泄露Genea数据。
多名患者对此表示担心 Genea因与受影响的患者缺乏沟通而受到批评,这些患者花了数天时间才与当地诊所取得联系以进行紧急医疗咨询。
周一,该公司致信患者警告称,他们的调查显示,个人医疗信息可能已被攻击者访问和窃取。
一位不愿透露姓名的患者称,她感到非常震惊和害怕。
“被盗的信息非常私密且敏感。我觉得我的人身安全可能受到威胁。我对Genea非常生气,” 她说。
“接受生育治疗的人很容易受到伤害,尤其是受到负面心理健康影响。Genea知道这一点,但没有提供任何额外的心理健康护理或资源来帮助他们的患者度过网络攻击。这是疏忽。”
Genea的前病人丽贝卡(Rebecca)表示,她担心自己的身份被盗。
“我对此非常担心。这不是我第一次遭遇数据泄露。几年前,Optus的数据泄露事件也曾让我深受其害,”她说道。
这位来自墨尔本的41岁女子表示,她已经收到了Genea发来的两封电子邮件,但想要了解更多有关泄密程度的信息。
“你给他们提供的病史非常详尽。他们不仅会考虑你和你的伴侣,还会考虑父母和兄弟姐妹的生育能力。”
Genea敦促客户保持警惕 Genea发言人在一份声明中表示,公司正在努力准确了解已发布的数据。
“我们正在紧急调查已发布数据的性质和范围。对于这一最新进展可能引起的任何担忧,我们向患者表示歉意。”
该发言人表示,Genea已获得禁令,禁止进一步传播受影响的数据,并为受事件影响的人们提供支持。
“我们还向澳大利亚信息专员办公室通报了此事的最新进展。”
Genea 表示正在进行进一步调查。
建议Genea患者对身份盗窃或欺诈保持警惕,并对可疑的电子邮件、短信或电话,或任何可能来自他们不认识的人或组织联系您的尝试保持警惕。
Genea患者可以拨打 1800 595 160 联系 [email protected] 和政府的 IDCare 计划。
澳大利亚国家网络安全协调员米歇尔·麦吉尼斯表示,她对最新事态发展深感担忧。
“我正在协调澳大利亚政府对影响Genea的网络事件的整个响应。作为这项工作的一部分,我直接与Genea会面,以帮助他们充分利用澳大利亚政府的资源来应对这一事件,”她在一份声明中说道。
“任何人都不应该从暗网获取被盗的敏感信息或个人信息——不要去寻找数据。这只会助长网络犯罪分子的商业模式。”
近日,持续威胁暴露管理公司Searchlight Cyber发布了其关于暗网勒索软件趋势的年度报告《同样的游戏,新的玩家:2025年的勒索软件》。Searchlight Cyber是暗网情报行业的知名企业,其研究具有很强的指导意义,该年度报告追踪了勒索软件领域“主要参与者”遭受的重大破坏、暗网上新勒索软件团体的增加以及列出的勒索软件受害者的增加。
Searchlight Cyber的研究报告对2024年勒索软件的发展进行了总结,主要发现包括:
2024年共有94个勒索软件团伙列出受害者(比2023年增加38%),其中观察到49个新团伙,这反映出勒索软件形势进一步复杂化。 2024年勒索软件团伙的暗网泄密网站上发布的受害者总数(5728)与2023年(5081)相比增加了11%。 去年,欧盟和英国等国家地区执法部门领导的“克罗诺斯行动”(“暗网下/AWX“曾报道,国际联合执法严重打击了LockBit勒索软件团伙),导致LockBit的受害者产量减半,LockBit的受害者数量在2024年下降到494个,不到2023年的一半。此后RansomHub已取代LockBit成为头号勒索软件团伙,其在2024年发布了611名受害者。
报告显示,2024年最活跃的五个勒索软件团伙分别是RansomHub、LockBit、Play、Akira和Hunters International,这代表了勒索软件格局的重大变化。在这五个团伙中,只有LockBit活跃了三年以上,而今年最活跃的团伙RansomHub于2024年2月才出现。与此同时,BlackCat和Cl0p等主要团伙(2023年分别排名第二和第三)跌出了排名。
该报告包含五大勒索软件团伙的概况,以及对过去12个月勒索软件等级变化的分析。例如,RansomHub可能是一个新的勒索软件“品牌”,但实际上它与Knight、BlackCat和LockBit等其他勒索软件团伙有联系。这种勒索血统,加上其“联盟友好型”勒索软件即服务(RaaS)模式,或许可以解释它为何如此迅速地崛起。
过去一年中观察到的另一个显著变化是出现了具有政治动机的团伙,这些黑客组织除了采用网络钓鱼、篡改和部署恶意软件等常用方法外,还将勒索软件作为一种新战术。
报告称,这一新趋势模糊了网络犯罪和网络战争之间的界限,要求企业在威胁评估中考虑另一个维度。现在,除了监控出于经济动机的行为者之外,安全团队可能还需要扩大他们的对手名单,将那些可能出于意识形态原因而针对他们的行为者也纳入其中。
Searchlight Cyber威胁情报主管Luke Donovan表示:
这份报告的主要结论是,我们将在2025年迎来一个更加繁忙和复杂的勒索软件生态系统。虽然我们观察到一些最大的勒索软件团体受到干扰,但一些较小的参与者也纷纷涌入,这给不断尝试评估和准备应对新兴威胁的安全团队带来了挑战。
在这个日益繁忙的环境中,企业积极应用威胁情报来指导防御变得更加重要。首先,找出这些团伙运作方式的共同点,并为最常见的攻击技术做好准备。其次,根据他们的活动和受害者情况,帮助他们将对手缩小到他们最有可能面对的四五个团伙。
根据欧洲刑警组织的公告,FBI、NCA以及欧洲刑警组织已经查封与8Base勒索软件团伙有关的暗网数据泄露和谈判网站,逮捕4名嫌疑人。
现在,访问勒索软件团伙8Base的暗网泄密网站,会看到一条扣押横幅,上面写着:“巴伐利亚州刑事警察局已受班贝格总检察长办公室委托,查封了该暗网网站及犯罪内容。”扣押横幅上还印有美国联邦调查局、英国国家犯罪局以及德国、捷克共和国和瑞士等国联邦警察机构的徽标。
通过此次行动,执法部门还向全球400多家公司发出了正在发生或即将发生的勒索软件攻击的警告。此次行动也凸显了国际执法机构坚决打击网络犯罪以及暗网犯罪的决心,两周前,臭名昭著的网络犯罪和黑客论坛Cracked与Nulled的管理员被警方逮捕,去年8月,FBI查封了勒索软件团伙Radar/Dispossessor的服务器及域名。
4名犯罪嫌疑人在泰国普吉岛被逮捕 据泰国媒体报道,此次逮捕行动在泰国普吉岛进行,目标是疑似是Phobos勒索软件团伙成员,该恶意软件家族与8Base的运营有关。
周一,四名勒索软件团伙的头目(两男两女)在四个不同地点被捕,这些头目均为俄罗斯公民,他们涉嫌部署Phobos勒索软件变种8Base,向欧洲及其他地区的受害者勒索高额款项。这是代号为“Phobos Aetor”行动的一部分。嫌疑人的姓名等身份信息目前尚未公布,但泰国网络犯罪调查局称,瑞士和美国当局已向他们发出了逮捕令。
泰国警方表示,警方在普吉岛的四个地点进行了突袭,并补充说,嫌疑人目前面临美国多项电信欺诈和共谋指控。据泰国新闻媒体报道,警方还收到了国际刑警组织的逮捕令,这四人被指控对17家瑞士公司进行了网络攻击,并使用加密货币混合服务清洗勒索来的资金。
据称,当局已缴获40多件证据,包括手机、笔记本电脑和数字钱包。与此同时,与犯罪网络相关的27台服务器被关闭。
8Base勒索软件团伙的发展历程 8Base勒索软件团伙于2022年开始活动,最初规模较小,表明其处于发展阶段。到2023年初,该团伙以目前的形式出现,并迅速发展其策略。2023年5月,8Base采用了多重勒索模式,加密数据并威胁除非支付赎金,否则泄露数据。他们还推出了暗网泄密网站,用一个基于Tor网络的受害者博客来发布被盗数据。
到2023年中期,该团伙的活动急剧增加,针对各个行业的团伙,成为主要的双重勒索行为者。据称,该团伙与2023年4月至2024年10月期间针对位于瑞士的17家公司部署Phobos勒索软件有关。此外,该团伙还被指控通过在全球造成1000多名受害者的袭击赚取了1600万美元。
分析师认为,8Base使用的是Phobos勒索软件的修改版本,该版本与多起攻击有关。此前曾被发现将Phobos勒索软件工件纳入其以经济为动机的网络攻击中,VMware的研究发现Phobos样本在加密文件上使用“.8base”文件扩展名。
该团伙的影响是全球性的,美国和巴西也有大量受害者。8Base和RansomHouse之间也存在重叠,特别是在赎金记录和暗网基础设施方面。
此前,针对Phobos勒索软件,警方已逮捕了一系列影响深远的嫌疑人:
2024年6月,Phobos的一名俄罗斯籍管理员(Evgenii Ptitsyn)在韩国被捕,并于同年11月被引渡到美国。他目前因策划勒索软件攻击而面临起诉,这些攻击加密了关键基础设施、业务系统和个人数据以索要赎金。2024年11月,该人被引渡到美国接受与Phobos勒索软件行动相关的指控。 2023年,Phobos的一家主要分支机构根据法国的逮捕令在意大利被捕,这进一步削弱了该勒索软件背后的网络。 Phobos:一种谨慎但高效的勒索软件 Phobos勒索软件于2018年12月首次被发现,是一种长期存在的网络犯罪工具,经常用于对全球企业和组织进行大规模攻击。与针对大型企业的知名勒索软件组织不同,Phobos依赖于对中小型企业进行大规模攻击,而这些企业通常缺乏网络安全防御来保护自己。
它的勒索软件即服务(RaaS)模式让一系列犯罪分子(从个人分支机构到8Base等结构化犯罪集团)都特别容易利用它。该框架的适应性让攻击者能够以最少的技术专业知识定制他们的勒索软件活动,从而进一步助长了其广泛使用。
8Base利用Phobos的基础设施开发了自己的勒索软件变种,利用其加密和交付机制来定制攻击,以达到最大效果。该组织在双重勒索策略方面尤其激进,不仅加密受害者的数据,还威胁要公布被盗信息,除非支付赎金。
欧洲刑警组织的协调作用 由于执法工作横跨多个大洲,欧洲刑警组织在联络调查人员和协调执法行动方面发挥了核心作用。自2019年2月以来,欧洲刑警组织的欧洲网络犯罪中心(EC3)一直为调查提供支持,并:
汇集平行调查的情报,确保针对Phobos和8Base的执法机构能够汇总他们的调查结果,并有效协调逮捕行动。 组织了37场行动会议和技术冲刺,以获得关键调查线索。 提供分析、加密追踪和取证专业知识来,为案件提供支持。 促进位于其总部的联合网络犯罪行动特别工作组(J-CAT)内的情报交换。 通过欧洲刑警组织安全的SIENA网络交换了近600条业务信息,使此案成为EC3的高度优先案件之一。 欧洲司法组织组织了两次专门协调会议,协助跨境司法合作,并对所有相关当局的未决请求提供支持。
这项复杂的国际行动得到了欧洲刑警组织和欧洲司法组织的支持,涉及14个国家的执法机构。目前,已确认参与此次行动的机构包括美国国防部网络犯罪中心、联邦调查局、欧洲刑警团伙、日本国家警察厅、英国国家犯罪局(NCA)、德国巴伐利亚州刑事警察局、联邦警察局和泰国网络犯罪调查局。一些国家专注于调查Phobos,而另一些国家则针对8Base,有几个国家同时参与了这两个行动。
欧洲刑警组织在汇总这些独立调查的情报方面发挥了关键作用,使当局能够通过协调行动,击落两个勒索软件网络的关键参与者。
以下部门参与了调查:
比利时:联邦警察(Federale Politie / Police Fédérale) 捷克:捷克共和国警察(Policie České republiky) 法国:巴黎网络犯罪小组 (Brigade de lutte contre la cybercriminalité de Paris – BL2C)、巴黎法院 – 国家打击有组织犯罪司法管辖区 (Juridiction Nationale de Lutte contre la Crimeité Organisée – JUNALCO) 德国:巴伐利亚州刑事警察局 (Bayerisches Landescriminalamt – LKA Bayern)、巴伐利亚网络犯罪起诉中央办公室 (Generalstaatsanwaltschaft Bamberg – Zentralstelle Cybecrime Bayern) 日本:警察厅(警察庁) 波兰:中央网络犯罪局 (Centralne Biuro Zwalczania Cyberprzestępczości) 罗马尼亚:罗马尼亚警察 (Polişia Română) 新加坡:新加坡警察部队网络犯罪指挥部 西班牙:国民警卫队 瑞典:瑞典警察局(Polisen) 瑞士:瑞士总检察长办公室 (OAG)、联邦警察局 (fedpol) 泰国:网络犯罪调查局(CCIB) 英国:国家犯罪局(NCA) 美国:美国司法部(US DOJ)、联邦调查局(FBI – 巴尔的摩外地办事处)、美国国防部网络犯罪中心(DC3)
臭名昭著的暗网勒索软件团伙Cl0p发布了一份因Cleo的托管文件传输(MFT)软件漏洞而受到攻击的公司名单。
Cl0p团伙在其暗网泄密网站上发布公告,重点指出了对严重漏洞CVE-2024-50623的利用。该漏洞允许未经身份验证的远程代码执行,并被Cl0p团伙积极用于渗透全球企业的网络。
该漏洞影响Cleo Harmony、VLTrader和LexiCom产品。尽管2024年10月发布了补丁,但网络安全研究人员发现该补丁不够完善,系统容易受到攻击。
该漏洞使攻击者能够上传恶意文件,这些文件会被软件自动执行,从而允许他们未经授权访问敏感数据。此后已发布了较新的补丁(版本5.8.0.24),但由于更新延迟或缓解措施不足,许多团伙仍然容易受到攻击。
Cl0p勒索软件团伙已宣布通过这一漏洞对全球许多目标发起攻击,目前至少有66家企业遭到攻击,受害者涉及物流、消费品和食品供应链等行业。
虽然仅披露了部分受影响企业的名称,但该团伙威胁说,如果赎金要求在1月21日之前得不到满足,他们将公布全部详细信息。
Cl0p勒索软件团伙的勒索策略 Cl0p以其复杂的勒索手段而闻名,它使用多层次的压力来强迫受害者支付赎金。在本案中,该团伙提供了安全的谈判沟通渠道,并警告称不遵守规定将导致被盗数据被公开。这种方法与Cl0p以前的活动如出一辙,例如2023年的MOVEit漏洞,当时数百家公司面临类似的威胁。
该团伙的暗网帖子还宣布计划分阶段发布更多受害者名单。第一批数据预计将于1月18日发布,随后将陆续发布后续数据。
Cleo已意识到问题的严重性,并发布了最新公告,敦促客户立即应用最新补丁。该公司还延长了24/7支持服务,以帮助受影响的客户保护其系统。
然而,网络安全专家警告说,使用Cleo产品的企业必须保持警惕,因为攻击者可能会继续瞄准未修补的系统。
此次事件凸显了勒索软件团伙利用广泛使用的文件传输平台漏洞的广泛趋势。Cl0p的历史包括对Accellion、GoAnywhere MFT和MOVEit软件的类似攻击,展示了利用零日漏洞进行大规模数据泄露的模式。
此次最新攻击凸显了及时补丁管理和强大的网络安全措施的重要性。依赖第三方软件的企业必须主动监控漏洞并及时实施缓解措施以减少风险。
随着Cl0p继续针对Cleo用户发起攻击,受影响的公司面临着越来越大的压力,需要迅速做出反应,否则将面临严重的声誉和财务损失。网络安全社区敦促所有企业优先更新系统并与执法机构合作,以减轻此类攻击的影响。
不断发展的形势清楚地提醒我们,像Cl0p这样的勒索软件团伙所构成的威胁以及他们利用关键基础设施漏洞的不断演变的策略。
Cl0p勒索软件团伙的暗网V3域名以及发布的公告 http://santat7kpllt6iyvqbr7q4amdv6dzrh6paatvyrzl7ry3zm72zigf4ad.onion/
Dear companies
A new part of the companies list will be partially opened and presented on 21.01. Hurry up to contact us so that your name is not on this list!!!
Cl0p announcement.
We have data of many companies who use cleo. Our teams are reaching and calling your company and provide your special secret chat.
为法国军方和情报部门提供通信安全保障的法国科技公司Atos上周五表示,暗网勒索软件团伙声称该公司内部数据库遭到入侵,但该说法“毫无根据”。
此次勒索攻击事件发生之际,拥有约9万名员工的Atos公司正与法国政府就收购 BDS 100% 高级计算业务进行独家谈判。Atos公司收到法国政府的非约束性要约,以5亿欧元的企业价值和最高6.25亿欧元(包括盈利能力)收购其高级计算业务。
一个自称“Space Bears”的暗网勒索软件团伙自去年以来一直在运作,该团伙于12月28日在其暗网上公布了Atos的名字,并承诺将会在1月8日公布从该公司窃取的数据。目前,“Space Bears”的暗网泄密网站上发布的勒索攻击受害者已超过30家,第一位受害者出现在9个月前。
在巴黎泛欧证券交易所上市的Atos公司最初对犯罪分子的指控作出回应:
Space Bears 勒索软件团伙声称已经入侵了 Atos 数据库。目前,初步分析显示,没有任何证据表明任何国家/地区的 Atos/Eviden 系统受到入侵或勒索软件影响,并且迄今为止尚未收到任何赎金要求。
尽管如此,Atos 仍然非常重视此类指控。其网络安全团队正在积极调查此事,如果上述信息有任何变化,我们将及时更新。
经过此次调查后,Atos公司于周五宣布:
Atos 集团今天宣布,勒索软件团伙Space Bears 对 Atos 公司的网络攻击指控毫无根据。
Atos 管理的基础设施没有被破坏、源代码没有被访问、也没有 Atos IP 或 Atos 专有数据被泄露。
2024 年 12 月 28 日,勒索软件团伙声称已经入侵了 Atos 数据库。Atos 了解到,与 Atos 无关的外部第三方基础设施已被 Space Bears 勒索软件团伙入侵。该基础设施包含提及 Atos 公司名称的数据,但不受 Atos 管理或保护。
Atos 在全球拥有超过 6,500 名专业专家和 17 个新一代安全运营中心 (SOC),全天候运营,确保集团及其客户的安全。
该公司的声明称,“与 Atos 无关的外部第三方基础设施已被 Space Bears 团伙入侵。该基础设施包含提及 Atos 公司名称的数据,但并非由 Atos 管理或保护。”
该公司强调,其拥有“由 6500 多名专业专家组成的全球网络”,并运营“17 个新一代安全运营中心 (SOC),全天候运营,以确保集团及其客户的安全”。