自2024年初出现以来,暗网勒索软件团伙RansomHub已成功攻击了多个行业的200多名受害者,包括基础设施、信息技术、政府服务、医疗保健、农业、金融服务、制造业、运输和通信等。去年8月,RansomHub曾在暗网上发布超过4TB澳大利亚公司数据。
这个相对较新的网络犯罪集团同样以勒索软件即服务(RaaS)代理的身份运作,并在勒索组织犯罪集团中占据突出地位。在暗网勒索软件团伙LockBit和ALPHV/BlackCat相继被FBI摧毁(尽管后来又陆续恢复了)后,RansomHub成为2024年最活跃的勒索软件组织。
该团伙的暗网数据泄露网站自3月31日起一直处于非活动状态,这一事实支持了RansomHub因内部冲突而面临挫折的理论。RansomHub的暗网数据泄露网站(DLS)突然下线,引发了人们对其可能被收购的猜测。
本月初,RansomHub勒索软件团伙的勒索软件即服务行动的一些附属机构失去了对该勒索团伙聊天门户的访问权限,外界猜测该团伙似乎面临内部冲突,媒体报道称该勒索团伙显然面临“一系列内部分歧和不团结”,“未知数量的附属机构”被切断了RansomHub与受害者的沟通渠道,导致网络犯罪分子将谈判转移到其他渠道,包括其他RaaS团伙的平台。
与此同时,一些成员在暗网网络犯罪论坛RAMP上表达了他们的困惑,一个名为DragonForce的竞争勒索软件组织声称RansomHub已经与他们合作并迁移了他们的基础设施。
由于暗网相关的托管不稳定,数据泄露网站出现短时间停机的情况并不罕见,但这次停机加上据称RansomHub的内部冲突可能进一步表明该团伙的内部管理正在恶化。
暗网勒索软件团伙RansomHub的近期活动 RansomHub 的活动自 2024 年首次被发现以来就愈演愈烈 ,在目标选择方面迅速成为“大型猎物猎人”的代名词。他们主要针对大型组织,这些组织更有 可能支付赎金 以尽快恢复业务连续性, 而不是应对长时间的停机。
受害者的广泛性表明这些攻击是机会性攻击,而非针对特定行业或领域。他们对初始访问操作的了解进一步证实了这一点,这些操作通常包括利用受害者托管的面向公众的应用程序或服务,例如Citrix ADC、FortiOS、Apache ActiveMQ、Confluence Data Center、BIG-IP等。
现有情报显示,该团伙织禁止其分支机构攻击位于中国、古巴、朝鲜、罗马尼亚以及包括俄罗斯在内的独立国家联合体成员国的组织。此类标准行动程序对于位于俄罗斯的威胁行为者来说很常见,旨在降低误伤的可能性,表明该团伙与国家存在一定程度的关联,或希望降低受到当地政府实体干预的风险。
该组织的目标涵盖了广泛的垂直行业,其中最突出的目标包括Frontier Communications等电信公司以及Change Healthcare和Rite Aid等医疗机构。仅在2025年3月,该团伙就在其暗网泄密网站(ransomxifxwc5eteopdobynonjctkxxvap77yqifu2emfbecgbqdw6qd.onion)上发布了超过60个新受害者的信息。
讽刺的是,RansomHub的成功和恶名,很大程度上源于其从其他勒索软件团伙(例如ALPHV/BlackCat)招募不满的附属机构。据报道,ALPHV/BlackCat去年解散时,曾对其附属机构实施了退出骗局。最值得注意的是,在ALPHV/BlackCat涉嫌以2200万美元赎金逃跑后,RansomHub招募了名为“notchy”的威胁行为者,以获取Change Healthcare数据。
RansomHub通过提供优惠的收入分成并允许赎金直接支付给关联公司来营销其关联计划,将自己定位为一个更值得信赖且对关联公司友好的RaaS集团。
尽管信息不断涌现,但我们不得不注意到其中的讽刺之处:一个通过承诺为其附属机构提供稳定和安全而声名鹊起的组织,似乎在一年之内就辜负了这些附属机构,或者背叛了它们。”
DragonForce和RansomHub:新的合作关系尚不明确 一个新的暗网勒索软件团伙DragonForce突然宣布接管RansomHub的基础设施,目前尚不知道这两个团伙之间是何关系。
DragonForce运营者背后的绰号在暗网RAMP论坛上宣布了一个新的“项目”,随后又在其暗网数据泄露网站(DLS)上发布了相同的信息。DragonForce表示,该团团和正在推出新的基础设施——两个新的暗网网站由验证码保护,类似于DragonForce团伙自己的原生Tor网站的做法——但会显示RansomHub勒索软件组织的标志。
DragonForce在RAMP论坛上的帖子如下:
嗨!别担心,RansomHub很快就会上线,他们只是决定迁移到我们的基础架构!我们是值得信赖的合作伙伴。
这是‘项目’运作方式的一个很好的例子,是DragonForce勒索软件集团的新选择!
RansomHub祝您一切顺利,请考虑我们的报价!我们期待着所有加入我们的人。
在有关RansomHub勒索软件团伙的帖子回帖中,有人表示“dragonforce twink ransomhub, one owner”(DragonForce接管了RansomHub,一个所有者),DragonForce回复称“你不应该这么说,这是一种误解。”
暗网勒索软件团伙DragonForce发布新的暗网泄密网站 DragonForce在暗网宣布:
DragonForce勒索软件卡特尔!- 是时候改变了
今天,我想向您介绍我们的新方向,我们将按照新的原则,以新的方式开展工作。您不再需要在我们的品牌下工作,现在您可以在久经考验的合作伙伴的支持下创建自己的品牌!我们,DragonForce勒索软件卡特尔,为您提供 “项目”,现在您可以自己创建。
我们正处于全球更新模式!请耐心等待。
DragonForce在暗网泄密网站发布消息:RansomHub在DragonForce系统上运行,在此页面您可以找到来自DF团队的最新消息。新闻包含一个PGP签名,可以用联系窗口内的DF公钥验证。保存密钥,用签名按钮复制签名后的信息,并用您的PGP工具(如OpenPGP、GnuPGP、Kleopatra或任何其他工具)进行验证。DF PGP 公钥也可在其他资源或论坛上找到。
DragonForce称“嗨,别担心,RansomHub很快就会上线,他们只是决定迁移到我们的基础设施!我们是可靠的合作伙伴。”同时,DragonForce发布了新的RansomHub泄密网站:
RansomHub / Blog: http://ijbw7iiyodqzpg6ooewbgn6mv2pinoer3k5pzdecoejsw5nyoe73zvad.onion/blog RansomHub / Client: http://rnc6scfbqslz5aqxfg5hrjel5qomxsclltc6jvhahi6qwt7op5qc7iad.onion 在该暗网网站页面,DragonForce正在招募附属机构,其表示:
DragonForce Ransomware
卡特尔邀请合作伙伴!最好的工具,最好的条件,最重要的是
所有合作伙伴的可靠性。在我们这里,您将获得稳定的报酬,工作起来也不会心存疑虑。
并号称提供:
所有工作流程完全自动化。 一套完整的业务管理系统。 针对每项任务的作战软件!ESXi、NAS、BSD、Win。 博客、FS(文件服务器)、管理面板、客户端面板。 无间断工作的 DragonForce Anti-DDoS 反病毒软件! 可靠的基础设施! 一个团队管理无限数量的品牌! DragonForce勒索软件卡特尔,全天候监控服务器。 PETABYTE,无限存储。 免费呼叫服务、NTLM、Kerb 解密。 80% 归您所有(我们只收取 20%)。
塔塔汽车旗下的子公司塔塔科技在今年早些时候遭遇了一次重大网络攻击,影响了该公司的网络并迫使其暂停部分服务,并导致1.4 TB的敏感数据在暗网上曝光。
随后,一个名为Hunters International的新勒索软件团伙公布了据称从这家总部位于浦那的公司窃取的数据,泄露了大量机密信息,包括员工记录、公司文件和客户合同。这一事件凸显了针对跨国公司的复杂网络犯罪组织所构成的威胁日益升级。
一名声称看到该团伙暗网泄密网站上发布的数据的人士称,这些数据包括现任和前任员工的个人信息以及一些机密信息,如采购订单和与印度和美国客户签订的一些合同。
泄露的数据总计约1.4TB,包括超过730,000 个文档,如 Excel电子表格、PDF文件和PowerPoint演示文稿。泄露的信息包括现任和前任员工的复杂详细信息、采购订单以及与印度和美国客户签订的协议。泄露数据的数量之巨和敏感性引起了人们对该公司及其利益相关者可能产生的影响的警惕。然而,目前尚不清楚Hunters International团伙共享的数据是否与最近的勒索软件攻击有关。
塔塔科技最初承认在2025年1月发生了一起影响某些IT资产的勒索软件事件。当时,该公司保证客户服务仍能全面运行且不受影响。然而,Hunters International最近的数据泄露事件使人们对此次泄露的严重程度以及最初遏制措施的有效性产生了怀疑。尽管多次要求发表评论,但塔塔科技对最新进展保持沉默,留下了许多未解答的问题。
塔塔科技公司在向印度证券交易所提交的文件中表示,正在进行调查,“并咨询专家以评估根本原因并在必要时采取补救措施”。
Hunters International是一个相对较新的勒索软件即服务团伙,于2023年底出现,采用勒索软件即服务模式,将其基础设施出租给关联黑客,以换取部分赎金。安全研究人员将该团伙与臭名昭著的Hive勒索软件团伙联系起来,后者于2023年被执法机构基本瓦解。值得注意的是,Hive此前曾在2022年针对塔塔集团的另一家子公司塔塔电力发起攻击,在赎金谈判失败后泄露了被盗数据。攻击模式的相似性表明,Hunters International可能正在利用Hive网络和资源的残余权限。
Hunters International团伙所采用的策略反映了勒索软件团体实施双重勒索计划的日益增长的趋势。在这种情况下,攻击者不仅加密受害者的数据,还威胁要公开发布敏感信息,除非他们的要求得到满足。这种策略给企业带来了额外的压力,因为数据泄露可能造成严重的声誉损害和法律后果。
塔塔科技成立于1989年,是塔塔汽车公司的汽车部门,专注于汽车设计、航空工程和研发,年收入达6亿美元,业务遍及印度、亚太地区、欧洲和北美的18个地区。
塔塔科技遭受的攻击凸显了全球企业面临的威胁形势日益严峻。勒索软件攻击的频率和复杂性不断上升,网络犯罪分子瞄准了汽车、航空航天和工业制造等各个行业的组织。此类攻击对财务和运营的影响可能是毁灭性的,这凸显了采取强有力的网络安全措施的迫切需要。
针对此事件,网络安全专家建议企业采取多管齐下的方法来增强防御能力。这包括定期进行漏洞评估、及时进行补丁管理以及部署高级威胁检测和响应解决方案。员工培训计划也至关重要,因为人为错误往往是网络攻击的切入点。此外,维护加密的离线备份可以在数据被勒索软件加密时促进快速恢复。
2月21日,45岁的卡什·帕特尔(Kash Patel)宣誓就任令人垂涎的局长职位,目前他是FBI约38,000名员工的负责人,其中包括10,000多名特工和遍布全球的60多个办事处和分支机构。
几天后,俄罗斯背景的暗网勒索软件团伙LockBit向新任FBI局长帕特尔留言称提供所谓的“机密信息”,并声称这些信息一旦公开,可能会“摧毁”该机构。
这个公开的博文是在2月25日通过LockBit的暗网博客(暗网泄密网站)发布的,伪装成一封贺信,然后试图让新任FBI局长帕特尔与FBI的员工对立起来。网络安全研究媒体vx-underground在X上报道了LockBit发布的博文。
Today Lockbit ransomware group issued a message to Kash Patel, the new Director of the United States Federal Bureau of Investigation. He requested Kash Patel contact him via Tox and offered him a file titled "personal_gift_for_new_director_FBI_Kash_Patel.7z".
The file is…
— vx-underground (@vxunderground) February 26, 2025 “亲爱的卡什·帕特尔!祝你生日快乐!我也祝贺你担任联邦调查局的第九任局长,并祝你事业成功,因为这对你来说并不容易,”博文开头写道。“你周围都是骗子、职业操纵者,尊敬的卡什·帕特尔。你手下的所谓“特工”都是狡猾的操纵者,他们操纵你的目的就是让你无所作为,但你必须有所作为,卡什·帕特尔先生。”
该博文进一步解释,虽然LockBit经常被称为“敲诈者”和“勒索者”,但自己其实是“美国祖国的杰出儿子”,并声称LockBit的勒索软件行动实际上是为了加强美国国家安全而建立的,而国际执法部门却将其描述为“世界上最具危害性的网络犯罪集团”。
”我的生意,我已经缴纳了很多税,我创建的目的只是为了让我们所有人,在我们的美利坚合众国,成为一个更安全的居住地。“
”我是一个诚实的商人,向美国财政部缴纳了那么多的税款,却从未退过税,而是让黑人帮我退税。“
在将自己描述为“诚实的商人”之后,作者继续指责联邦调查局是“真正的威胁”。
博文继续写道:“这些真正的敲诈者、骗子、勒索者、操纵者,也就是你们所熟知的下属——联邦调查局特工,他们用假货充斥着我们的国家,并宣称我是一个威胁。“
最值得注意的是,该博文最后试图引诱帕特尔直接联系LockBit,并承诺向他提供一份为他个人准备的“机密信息档案”,据称该档案将揭露联邦调查局内部的腐败行为。
“我决定给你最好的礼物——一份机密信息档案,供你个人使用,卡什·帕特尔先生,”博文写道。“一份指南、一份路线图和一些友好的建议。只有您才能访问,密码是有限的。这些信息是为了美国国家安全,为您提供如何找到真相的信息,我们的兄弟美国总统唐纳德·特朗普也想找到真相。”
作者将所谓的机密数据描述为“对抗谎言的关键,对抗虚假的良药”,然后要求帕特尔与其取得联系。
“请亲自联系我,我非常不愿意公布这些信息,因为这不仅会对FBI的声誉产生负面影响,还会破坏其结构,”作者补充道。“因为我真的希望您,尊敬的卡什·帕特尔,不仅是FBI的局长,而且也是FBI历史博物馆的馆长。让您讲述我们的故事——我们如何打败虚伪和腐败的FBI特工。”
这番言论似乎针对的是帕特尔去年的言论,当时他表示,他将“在第一天”关闭联邦调查局总部,并将其变成“深层政府博物馆”。
在博文最后,LockBit提供了联系方式——一串Tox的ID:3085B89A0C515D2FB124D645906F5D3DA5CB97CEBEA975959AE4F95302A04E1D14E41080A105,以便帕特尔与其联系。
LockBit称:“请亲自联系我,我非常不愿意发布这些信息,因为这不仅会对FBI的声誉产生负面影响,还会破坏它的结构。”
在该博文下面,LockBit勒索软件团伙已公开提供下载名为“personal_gift_for_new_director_FBI_Kash_Patel.7z”的文件,大小约2.06MB。由于该文件收到受密码保护,”暗网下/AWX“暂时看到其内容。
网络安全分析师Dominic Alvieri一直在追踪LockBit等勒索软件团伙,他表示,该团伙在美国和英国等国机构的国际联合执法行动后于2024年2月被瓦解,现在该团伙只不过是想引起关注,然后重建。
Alvieri表示:“目前LockBit提供的任何信息要么是公开数据,要么就是彻头彻尾的虚假声明。”目前还不清楚LockbBit拥有哪些机密数据,而帕特尔作为FBI局长似乎也无法访问这些数据。
LockBit长期以来一直是网络犯罪领域的主要参与者,采用勒索软件即服务 (RaaS) 模式运营,其中附属机构(通常是独立黑客)部署恶意软件以换取部分赎金。
暗网勒索软件团伙Termite公布了澳大利亚领先的IVF和生育服务提供商之一Genea的高度机密患者信息样本,此前该公司遭受网络攻击,系统被迫关闭数天。Termite于周三在暗网数据泄露网站上发布了截图。
Termite声称拥有Genea服务器的700GB数据,其中包括跨度6年的个人信息。
NSB网络主管Evan Vougdis表示,此类样本数据帖子通常是一种验证其主张的策略,并向受害者施加压力,让其遵从赎金要求。
“这是勒索软件团伙通常会看到的画面……他们只是通过展示一些样本照片来证明并验证他们关于数据泄露的说法。” 他说。
“勒索软件团体发布[公司信息]但不一定同时发布所有数据的情况并不少见。”
Genea于周三在其网站上发布了更新的声明内容,称其已获得新南威尔士州最高法院的临时禁令,以防止“威胁行为者和/或任何接收被盗数据集的第三方访问、使用、传播或发布受影响的数据”。
目前这些信息仍然存在于暗网上,Genea尚未向患者发送电子邮件告知他们个人信息已被公开发布。
沃格迪斯表示,虽然禁令可能会阻止普通澳大利亚人访问数据,但勒索软件团伙不太可能遵守新南威尔士州最高法院的命令。
Genea正在全力处置此次事件 Genea在其声明中表示:“我们正在进行的调查已确定,2月26日,从我们的系统中窃取的数据似乎已被威胁行为者对外发布。”
“我们理解这一事态发展可能会让我们的患者担忧,对此我们深表歉意。”
Genea表示,联系方式、医保卡号、病史、检测结果和药物等敏感信息可能在数据泄露中遭到泄露,该公司“正在努力了解究竟哪些数据已被泄露”。
法庭命令显示,自1月31日起,涉嫌发动攻击的黑客在被发现之前已在Genea网络中潜伏了两周多,并于2月14日从Genea的系统中提取了940.7 GB的数据。
该公司最初于2月21日星期五通知患者疑似数据泄露,但直到下周一才透露攻击的严重程度。患者并未被告知他们的哪些个人信息被窃取了(如果有的话)。
但在发给客户的电子邮件中,Genea的首席执行官Tim Yeoh透露,被访问的患者管理系统中的信息包括全名和出生日期、电子邮件、地址、电话号码、医疗保险卡号、私人健康保险详情、病史、诊断和治疗、药物和处方、测试结果、医生的证明和紧急联系人。
Yeoh表示,目前没有证据表明信用卡信息或银行账户号码等财务信息遭到泄露,但调查仍在进行中。
Genea在北领地以外的所有州和地区都设有生育诊所。它提供基因检测、卵子和精子冷冻、生育测试和包括IVF在内的治疗。
Genea在其网站上的一份声明中表示:“我们获得这项禁令是我们致力于保护患者、员工和合作伙伴信息的一部分,我们将针对这一事件采取一切合理措施,保护受影响的数据和最脆弱的人群。”
“我们正在与国家网络安全办公室、澳大利亚网络安全中心和其他政府部门会面,讨论这一事件。”
2022年(有数据可查的最新年份),澳大利亚每17个新生儿中就有1个使用了辅助生殖技术。总共进行了108,913个ART治疗周期。
Termite团伙是一个比较新的勒索软件团伙 声称对此次攻击负责的勒索软件团伙Termite相对较新,但他们却是去年多次重大供应链网络攻击的幕后黑手,当前其暗网泄密网站上共发布了16个受害者信息。
网络技术公司博通在去年11月发布的一份备忘录中称,Termite团伙针对了多个国家和行业,包括法国、加拿大、德国、阿曼和美国。这些行业包括政府机构、教育、残疾人支持服务、石油和天然气、水处理和汽车制造业。
博通表示,该勒索软件团伙的作案手法尚不清楚,但勒索软件会加密目标文件,并将受害者引导至暗网网站,商讨如何支付赎金。
目前该勒索软件团伙尚未公开发布赎金请求或威胁进一步泄露Genea数据。
多名患者对此表示担心 Genea因与受影响的患者缺乏沟通而受到批评,这些患者花了数天时间才与当地诊所取得联系以进行紧急医疗咨询。
周一,该公司致信患者警告称,他们的调查显示,个人医疗信息可能已被攻击者访问和窃取。
一位不愿透露姓名的患者称,她感到非常震惊和害怕。
“被盗的信息非常私密且敏感。我觉得我的人身安全可能受到威胁。我对Genea非常生气,” 她说。
“接受生育治疗的人很容易受到伤害,尤其是受到负面心理健康影响。Genea知道这一点,但没有提供任何额外的心理健康护理或资源来帮助他们的患者度过网络攻击。这是疏忽。”
Genea的前病人丽贝卡(Rebecca)表示,她担心自己的身份被盗。
“我对此非常担心。这不是我第一次遭遇数据泄露。几年前,Optus的数据泄露事件也曾让我深受其害,”她说道。
这位来自墨尔本的41岁女子表示,她已经收到了Genea发来的两封电子邮件,但想要了解更多有关泄密程度的信息。
“你给他们提供的病史非常详尽。他们不仅会考虑你和你的伴侣,还会考虑父母和兄弟姐妹的生育能力。”
Genea敦促客户保持警惕 Genea发言人在一份声明中表示,公司正在努力准确了解已发布的数据。
“我们正在紧急调查已发布数据的性质和范围。对于这一最新进展可能引起的任何担忧,我们向患者表示歉意。”
该发言人表示,Genea已获得禁令,禁止进一步传播受影响的数据,并为受事件影响的人们提供支持。
“我们还向澳大利亚信息专员办公室通报了此事的最新进展。”
Genea 表示正在进行进一步调查。
建议Genea患者对身份盗窃或欺诈保持警惕,并对可疑的电子邮件、短信或电话,或任何可能来自他们不认识的人或组织联系您的尝试保持警惕。
Genea患者可以拨打 1800 595 160 联系 [email protected] 和政府的 IDCare 计划。
澳大利亚国家网络安全协调员米歇尔·麦吉尼斯表示,她对最新事态发展深感担忧。
“我正在协调澳大利亚政府对影响Genea的网络事件的整个响应。作为这项工作的一部分,我直接与Genea会面,以帮助他们充分利用澳大利亚政府的资源来应对这一事件,”她在一份声明中说道。
“任何人都不应该从暗网获取被盗的敏感信息或个人信息——不要去寻找数据。这只会助长网络犯罪分子的商业模式。”
近日,持续威胁暴露管理公司Searchlight Cyber发布了其关于暗网勒索软件趋势的年度报告《同样的游戏,新的玩家:2025年的勒索软件》。Searchlight Cyber是暗网情报行业的知名企业,其研究具有很强的指导意义,该年度报告追踪了勒索软件领域“主要参与者”遭受的重大破坏、暗网上新勒索软件团体的增加以及列出的勒索软件受害者的增加。
Searchlight Cyber的研究报告对2024年勒索软件的发展进行了总结,主要发现包括:
2024年共有94个勒索软件团伙列出受害者(比2023年增加38%),其中观察到49个新团伙,这反映出勒索软件形势进一步复杂化。 2024年勒索软件团伙的暗网泄密网站上发布的受害者总数(5728)与2023年(5081)相比增加了11%。 去年,欧盟和英国等国家地区执法部门领导的“克罗诺斯行动”(“暗网下/AWX“曾报道,国际联合执法严重打击了LockBit勒索软件团伙),导致LockBit的受害者产量减半,LockBit的受害者数量在2024年下降到494个,不到2023年的一半。此后RansomHub已取代LockBit成为头号勒索软件团伙,其在2024年发布了611名受害者。
报告显示,2024年最活跃的五个勒索软件团伙分别是RansomHub、LockBit、Play、Akira和Hunters International,这代表了勒索软件格局的重大变化。在这五个团伙中,只有LockBit活跃了三年以上,而今年最活跃的团伙RansomHub于2024年2月才出现。与此同时,BlackCat和Cl0p等主要团伙(2023年分别排名第二和第三)跌出了排名。
该报告包含五大勒索软件团伙的概况,以及对过去12个月勒索软件等级变化的分析。例如,RansomHub可能是一个新的勒索软件“品牌”,但实际上它与Knight、BlackCat和LockBit等其他勒索软件团伙有联系。这种勒索血统,加上其“联盟友好型”勒索软件即服务(RaaS)模式,或许可以解释它为何如此迅速地崛起。
过去一年中观察到的另一个显著变化是出现了具有政治动机的团伙,这些黑客组织除了采用网络钓鱼、篡改和部署恶意软件等常用方法外,还将勒索软件作为一种新战术。
报告称,这一新趋势模糊了网络犯罪和网络战争之间的界限,要求企业在威胁评估中考虑另一个维度。现在,除了监控出于经济动机的行为者之外,安全团队可能还需要扩大他们的对手名单,将那些可能出于意识形态原因而针对他们的行为者也纳入其中。
Searchlight Cyber威胁情报主管Luke Donovan表示:
这份报告的主要结论是,我们将在2025年迎来一个更加繁忙和复杂的勒索软件生态系统。虽然我们观察到一些最大的勒索软件团体受到干扰,但一些较小的参与者也纷纷涌入,这给不断尝试评估和准备应对新兴威胁的安全团队带来了挑战。
在这个日益繁忙的环境中,企业积极应用威胁情报来指导防御变得更加重要。首先,找出这些团伙运作方式的共同点,并为最常见的攻击技术做好准备。其次,根据他们的活动和受害者情况,帮助他们将对手缩小到他们最有可能面对的四五个团伙。
根据欧洲刑警组织的公告,FBI、NCA以及欧洲刑警组织已经查封与8Base勒索软件团伙有关的暗网数据泄露和谈判网站,逮捕4名嫌疑人。
现在,访问勒索软件团伙8Base的暗网泄密网站,会看到一条扣押横幅,上面写着:“巴伐利亚州刑事警察局已受班贝格总检察长办公室委托,查封了该暗网网站及犯罪内容。”扣押横幅上还印有美国联邦调查局、英国国家犯罪局以及德国、捷克共和国和瑞士等国联邦警察机构的徽标。
通过此次行动,执法部门还向全球400多家公司发出了正在发生或即将发生的勒索软件攻击的警告。此次行动也凸显了国际执法机构坚决打击网络犯罪以及暗网犯罪的决心,两周前,臭名昭著的网络犯罪和黑客论坛Cracked与Nulled的管理员被警方逮捕,去年8月,FBI查封了勒索软件团伙Radar/Dispossessor的服务器及域名。
4名犯罪嫌疑人在泰国普吉岛被逮捕 据泰国媒体报道,此次逮捕行动在泰国普吉岛进行,目标是疑似是Phobos勒索软件团伙成员,该恶意软件家族与8Base的运营有关。
周一,四名勒索软件团伙的头目(两男两女)在四个不同地点被捕,这些头目均为俄罗斯公民,他们涉嫌部署Phobos勒索软件变种8Base,向欧洲及其他地区的受害者勒索高额款项。这是代号为“Phobos Aetor”行动的一部分。嫌疑人的姓名等身份信息目前尚未公布,但泰国网络犯罪调查局称,瑞士和美国当局已向他们发出了逮捕令。
泰国警方表示,警方在普吉岛的四个地点进行了突袭,并补充说,嫌疑人目前面临美国多项电信欺诈和共谋指控。据泰国新闻媒体报道,警方还收到了国际刑警组织的逮捕令,这四人被指控对17家瑞士公司进行了网络攻击,并使用加密货币混合服务清洗勒索来的资金。
据称,当局已缴获40多件证据,包括手机、笔记本电脑和数字钱包。与此同时,与犯罪网络相关的27台服务器被关闭。
8Base勒索软件团伙的发展历程 8Base勒索软件团伙于2022年开始活动,最初规模较小,表明其处于发展阶段。到2023年初,该团伙以目前的形式出现,并迅速发展其策略。2023年5月,8Base采用了多重勒索模式,加密数据并威胁除非支付赎金,否则泄露数据。他们还推出了暗网泄密网站,用一个基于Tor网络的受害者博客来发布被盗数据。
到2023年中期,该团伙的活动急剧增加,针对各个行业的团伙,成为主要的双重勒索行为者。据称,该团伙与2023年4月至2024年10月期间针对位于瑞士的17家公司部署Phobos勒索软件有关。此外,该团伙还被指控通过在全球造成1000多名受害者的袭击赚取了1600万美元。
分析师认为,8Base使用的是Phobos勒索软件的修改版本,该版本与多起攻击有关。此前曾被发现将Phobos勒索软件工件纳入其以经济为动机的网络攻击中,VMware的研究发现Phobos样本在加密文件上使用“.8base”文件扩展名。
该团伙的影响是全球性的,美国和巴西也有大量受害者。8Base和RansomHouse之间也存在重叠,特别是在赎金记录和暗网基础设施方面。
此前,针对Phobos勒索软件,警方已逮捕了一系列影响深远的嫌疑人:
2024年6月,Phobos的一名俄罗斯籍管理员(Evgenii Ptitsyn)在韩国被捕,并于同年11月被引渡到美国。他目前因策划勒索软件攻击而面临起诉,这些攻击加密了关键基础设施、业务系统和个人数据以索要赎金。2024年11月,该人被引渡到美国接受与Phobos勒索软件行动相关的指控。 2023年,Phobos的一家主要分支机构根据法国的逮捕令在意大利被捕,这进一步削弱了该勒索软件背后的网络。 Phobos:一种谨慎但高效的勒索软件 Phobos勒索软件于2018年12月首次被发现,是一种长期存在的网络犯罪工具,经常用于对全球企业和组织进行大规模攻击。与针对大型企业的知名勒索软件组织不同,Phobos依赖于对中小型企业进行大规模攻击,而这些企业通常缺乏网络安全防御来保护自己。
它的勒索软件即服务(RaaS)模式让一系列犯罪分子(从个人分支机构到8Base等结构化犯罪集团)都特别容易利用它。该框架的适应性让攻击者能够以最少的技术专业知识定制他们的勒索软件活动,从而进一步助长了其广泛使用。
8Base利用Phobos的基础设施开发了自己的勒索软件变种,利用其加密和交付机制来定制攻击,以达到最大效果。该组织在双重勒索策略方面尤其激进,不仅加密受害者的数据,还威胁要公布被盗信息,除非支付赎金。
欧洲刑警组织的协调作用 由于执法工作横跨多个大洲,欧洲刑警组织在联络调查人员和协调执法行动方面发挥了核心作用。自2019年2月以来,欧洲刑警组织的欧洲网络犯罪中心(EC3)一直为调查提供支持,并:
汇集平行调查的情报,确保针对Phobos和8Base的执法机构能够汇总他们的调查结果,并有效协调逮捕行动。 组织了37场行动会议和技术冲刺,以获得关键调查线索。 提供分析、加密追踪和取证专业知识来,为案件提供支持。 促进位于其总部的联合网络犯罪行动特别工作组(J-CAT)内的情报交换。 通过欧洲刑警组织安全的SIENA网络交换了近600条业务信息,使此案成为EC3的高度优先案件之一。 欧洲司法组织组织了两次专门协调会议,协助跨境司法合作,并对所有相关当局的未决请求提供支持。
这项复杂的国际行动得到了欧洲刑警组织和欧洲司法组织的支持,涉及14个国家的执法机构。目前,已确认参与此次行动的机构包括美国国防部网络犯罪中心、联邦调查局、欧洲刑警团伙、日本国家警察厅、英国国家犯罪局(NCA)、德国巴伐利亚州刑事警察局、联邦警察局和泰国网络犯罪调查局。一些国家专注于调查Phobos,而另一些国家则针对8Base,有几个国家同时参与了这两个行动。
欧洲刑警组织在汇总这些独立调查的情报方面发挥了关键作用,使当局能够通过协调行动,击落两个勒索软件网络的关键参与者。
以下部门参与了调查:
比利时:联邦警察(Federale Politie / Police Fédérale) 捷克:捷克共和国警察(Policie České republiky) 法国:巴黎网络犯罪小组 (Brigade de lutte contre la cybercriminalité de Paris – BL2C)、巴黎法院 – 国家打击有组织犯罪司法管辖区 (Juridiction Nationale de Lutte contre la Crimeité Organisée – JUNALCO) 德国:巴伐利亚州刑事警察局 (Bayerisches Landescriminalamt – LKA Bayern)、巴伐利亚网络犯罪起诉中央办公室 (Generalstaatsanwaltschaft Bamberg – Zentralstelle Cybecrime Bayern) 日本:警察厅(警察庁) 波兰:中央网络犯罪局 (Centralne Biuro Zwalczania Cyberprzestępczości) 罗马尼亚:罗马尼亚警察 (Polişia Română) 新加坡:新加坡警察部队网络犯罪指挥部 西班牙:国民警卫队 瑞典:瑞典警察局(Polisen) 瑞士:瑞士总检察长办公室 (OAG)、联邦警察局 (fedpol) 泰国:网络犯罪调查局(CCIB) 英国:国家犯罪局(NCA) 美国:美国司法部(US DOJ)、联邦调查局(FBI – 巴尔的摩外地办事处)、美国国防部网络犯罪中心(DC3)
臭名昭著的暗网勒索软件团伙Cl0p发布了一份因Cleo的托管文件传输(MFT)软件漏洞而受到攻击的公司名单。
Cl0p团伙在其暗网泄密网站上发布公告,重点指出了对严重漏洞CVE-2024-50623的利用。该漏洞允许未经身份验证的远程代码执行,并被Cl0p团伙积极用于渗透全球企业的网络。
该漏洞影响Cleo Harmony、VLTrader和LexiCom产品。尽管2024年10月发布了补丁,但网络安全研究人员发现该补丁不够完善,系统容易受到攻击。
该漏洞使攻击者能够上传恶意文件,这些文件会被软件自动执行,从而允许他们未经授权访问敏感数据。此后已发布了较新的补丁(版本5.8.0.24),但由于更新延迟或缓解措施不足,许多团伙仍然容易受到攻击。
Cl0p勒索软件团伙已宣布通过这一漏洞对全球许多目标发起攻击,目前至少有66家企业遭到攻击,受害者涉及物流、消费品和食品供应链等行业。
虽然仅披露了部分受影响企业的名称,但该团伙威胁说,如果赎金要求在1月21日之前得不到满足,他们将公布全部详细信息。
Cl0p勒索软件团伙的勒索策略 Cl0p以其复杂的勒索手段而闻名,它使用多层次的压力来强迫受害者支付赎金。在本案中,该团伙提供了安全的谈判沟通渠道,并警告称不遵守规定将导致被盗数据被公开。这种方法与Cl0p以前的活动如出一辙,例如2023年的MOVEit漏洞,当时数百家公司面临类似的威胁。
该团伙的暗网帖子还宣布计划分阶段发布更多受害者名单。第一批数据预计将于1月18日发布,随后将陆续发布后续数据。
Cleo已意识到问题的严重性,并发布了最新公告,敦促客户立即应用最新补丁。该公司还延长了24/7支持服务,以帮助受影响的客户保护其系统。
然而,网络安全专家警告说,使用Cleo产品的企业必须保持警惕,因为攻击者可能会继续瞄准未修补的系统。
此次事件凸显了勒索软件团伙利用广泛使用的文件传输平台漏洞的广泛趋势。Cl0p的历史包括对Accellion、GoAnywhere MFT和MOVEit软件的类似攻击,展示了利用零日漏洞进行大规模数据泄露的模式。
此次最新攻击凸显了及时补丁管理和强大的网络安全措施的重要性。依赖第三方软件的企业必须主动监控漏洞并及时实施缓解措施以减少风险。
随着Cl0p继续针对Cleo用户发起攻击,受影响的公司面临着越来越大的压力,需要迅速做出反应,否则将面临严重的声誉和财务损失。网络安全社区敦促所有企业优先更新系统并与执法机构合作,以减轻此类攻击的影响。
不断发展的形势清楚地提醒我们,像Cl0p这样的勒索软件团伙所构成的威胁以及他们利用关键基础设施漏洞的不断演变的策略。
Cl0p勒索软件团伙的暗网V3域名以及发布的公告 http://santat7kpllt6iyvqbr7q4amdv6dzrh6paatvyrzl7ry3zm72zigf4ad.onion/
Dear companies
A new part of the companies list will be partially opened and presented on 21.01. Hurry up to contact us so that your name is not on this list!!!
Cl0p announcement.
We have data of many companies who use cleo. Our teams are reaching and calling your company and provide your special secret chat.
为法国军方和情报部门提供通信安全保障的法国科技公司Atos上周五表示,暗网勒索软件团伙声称该公司内部数据库遭到入侵,但该说法“毫无根据”。
此次勒索攻击事件发生之际,拥有约9万名员工的Atos公司正与法国政府就收购 BDS 100% 高级计算业务进行独家谈判。Atos公司收到法国政府的非约束性要约,以5亿欧元的企业价值和最高6.25亿欧元(包括盈利能力)收购其高级计算业务。
一个自称“Space Bears”的暗网勒索软件团伙自去年以来一直在运作,该团伙于12月28日在其暗网上公布了Atos的名字,并承诺将会在1月8日公布从该公司窃取的数据。目前,“Space Bears”的暗网泄密网站上发布的勒索攻击受害者已超过30家,第一位受害者出现在9个月前。
在巴黎泛欧证券交易所上市的Atos公司最初对犯罪分子的指控作出回应:
Space Bears 勒索软件团伙声称已经入侵了 Atos 数据库。目前,初步分析显示,没有任何证据表明任何国家/地区的 Atos/Eviden 系统受到入侵或勒索软件影响,并且迄今为止尚未收到任何赎金要求。
尽管如此,Atos 仍然非常重视此类指控。其网络安全团队正在积极调查此事,如果上述信息有任何变化,我们将及时更新。
经过此次调查后,Atos公司于周五宣布:
Atos 集团今天宣布,勒索软件团伙Space Bears 对 Atos 公司的网络攻击指控毫无根据。
Atos 管理的基础设施没有被破坏、源代码没有被访问、也没有 Atos IP 或 Atos 专有数据被泄露。
2024 年 12 月 28 日,勒索软件团伙声称已经入侵了 Atos 数据库。Atos 了解到,与 Atos 无关的外部第三方基础设施已被 Space Bears 勒索软件团伙入侵。该基础设施包含提及 Atos 公司名称的数据,但不受 Atos 管理或保护。
Atos 在全球拥有超过 6,500 名专业专家和 17 个新一代安全运营中心 (SOC),全天候运营,确保集团及其客户的安全。
该公司的声明称,“与 Atos 无关的外部第三方基础设施已被 Space Bears 团伙入侵。该基础设施包含提及 Atos 公司名称的数据,但并非由 Atos 管理或保护。”
该公司强调,其拥有“由 6500 多名专业专家组成的全球网络”,并运营“17 个新一代安全运营中心 (SOC),全天候运营,以确保集团及其客户的安全”。
11月,一个名为HELLCAT的勒索软件团伙声称已经入侵施耐德电气(Schneider Electric)的基础设施。当时该团伙表示,他们获得了该公司Atlassian Jira环境的访问权限,从而窃取了数据。该公司确认其开发者平台遭到入侵,其响应团队正在调查此事件。
然而,12月29日,网络犯罪分子在其数据泄露网站上公布了施耐德电气的被盗数据,声称该公司拒绝支付赎金。暗网上的帖子只包含一个巨大的(40GB)文件,据称其中包含有关项目、问题、插件的公司数据以及超过400,000行用户数据。
HELLCAT勒索软件团伙此前曾泄露据称属于约旦教育部、坦桑尼亚商学院的数据以及Pinger应用程序的私人通信。
HELLCAT勒索软件团伙的奇怪要求 关于这个自称HELLCAT的新勒索软件团伙,人们知之甚少,只知道它有一位名叫Grep的发言人。这位发言人首先声称法国跨国公司施耐德电气遭到该勒索团伙的攻击,并要求支付荒谬的赎金。此次入侵似乎是针对施耐德电气的一台开发服务器,攻击者窃取了多达40GB的存档数据。
11月7日,网络犯罪分子首次在HELLCAT的暗网泄密网站上的一篇帖子发布了勒索要求,几乎所有勒索软件团伙都使用这种模式来威胁受害者,并要求受害者在所盗数据被出售或发布的规定日期之前付款。
”我们成功攻破了施耐德电气的基础设施,访问了他们的 Atlassian Jira 系统。此次入侵事件已泄露关键数据,包括项目、问题和插件,以及超过 400,000 行用户数据,总计超过 40GB 压缩数据。施耐德电气是能源管理和自动化领域的领导者,年收入超过400亿美元,现在面临着泄露敏感客户和运营信息的风险。为了确保删除这些数据并防止其公开发布,我们需要您以 Baguettes 支付 125,000 美元。“
这项赎金要求很奇怪,居然要求以“法式长棍面包”(Baguettes)形式支付125000美元。威胁者表示,如果公司首席执行官公开承认数据泄露行为,赎金要求将减少50%。不过实际上,有关“法式长棍面包”的玩笑声明只是个玩笑,勒索软件团伙正在寻求以一种注重隐私的加密货币——门罗币(Monero)进行支付。
施耐德电气就勒索软件事件发表声明 施耐德电气发言人发表了以下声明:“施耐德电气正在调查一起网络安全事件,该事件涉及未经授权访问我们位于隔离环境中的内部项目执行跟踪平台之一。我们的全球事件响应团队已立即动员起来应对该事件。施耐德电气的产品和服务未受影响。”
Picus Security的安全研究员Hüseyin Can Yuceel表示:“勒索软件是一种商业模式,我们可以将这种奇怪的法式长棍面包需求视为一种营销噱头”,并补充说该勒索软件团伙要求支付门罗币加密货币赎金。
Hüseyin Can Yuceel继续表示,HELLCAT很可能是勒索软件犯罪领域的新玩家,他们“试图引起注意,并为未来的受害者和同伙建立信任,以便开展可能的勒索软件即服务行动。” Can Yuceel说,泄露被盗数据证明了他们的能力,如果Schneider支付赎金,“这将向其他人证明他们的能力和可信度。”
施耐德电气曾多次遭受勒索软件攻击 此次事件是施耐德电气在过去18个月内遭受的第三次重大网络攻击。2024年2月,Cactus勒索软件团伙声称对从该公司窃取1.5TB敏感数据负责。
去年,施耐德电气承认在MOVEit零日攻击活动期间,其成为Cl0p勒索软件团伙的攻击目标。
勒索软件攻击日益猖獗,给公司和组织带来巨大困扰。据报道,平均赎金要求已攀升至130万美元,某些变种甚至要求高达430万美元的解密密钥。
尽管强烈建议不要支付勒索软件要求以避免助长犯罪经济,但谈判后的平均经济损失仍然高达353,000美元。
HELLCAT勒索软件团伙的暗网泄密网站 HELLCAT勒索软件团伙的泄密网站的暗网V3域名是:
http://hellcakbszllztlyqbjzwcbdhfrodx55wq77kmftp4bhnhsnn5r3odad.onion
该团伙在暗网留下了联系方式(TOX:898923FE0699CFE1EFD17773425DECB080840877C29F883D389D6880B2B961737FACE98E82E4,Telegram: @HCSupp,XMPP: [email protected]),同时附上了每月更新的PGP签名的文件:
—–BEGIN PGP SIGNED MESSAGE—–Hash: SHA512hellcakbszllztlyqbjzwcbdhfrodx55wq77kmftp4bhnhsnn5r3odad.onionThis is the signed address as of [27/12/2024]. This will be updated on [27/1/2025].—–BEGIN PGP SIGNATURE—–iHUEARYKAB0WIQQe7cVuFaMn5DMf9+EYB+TyQVtJqQUCZ24jKAAKCRAYB+TyQVtJqXzRAP9cXHXPOO++RgYC7cGyQIfkFW9SGg7lbOS5srA5GIjV3wEAqLuQxS6VTgIQG7uPCcQDDSzWrHqSN5GSf12n4g9TvAM==HKlM—–END PGP SIGNATURE—–
尽管LockBit勒索软件团伙正在宣布其LockBit 4.0版本,但是国际执法机构的打击仍未停歇。根据美国司法部的新闻稿,新泽西州地区法院公布了一份追加刑事诉讼,指控一名拥有俄罗斯和以色列双重国籍的人是LockBit勒索软件团伙的开发者。
美国新泽西州检察官周五公开宣布对51岁的俄罗斯和以色列双重国籍的罗斯季斯拉夫·帕涅夫(Rostislav Panev)提出指控,他被指控为LockBit勒索软件团伙的主要开发者。今年8月份,根据美国的临时逮捕请求,帕涅夫被以色列拘留,目前仍被关押在以色列,等待根据指控进行引渡至美国。
LockBit勒索软件团伙是最大的勒索软件团伙之一,被指控对包括美国在内的全球数千家公司发动了严重的数据窃取网络攻击,据称仅其勒索的赎金就高达5亿美元。美国领导下的国际联合执法机构在2024年2月份的一次打击行动中确定并查封了LockBit的基础设施,但很快LockBit就卷土重来,因为其领导者(被英国和美国当局称为Dmitry Khoroshev)身处俄罗斯,仍然逍遥法外。
美国司法部长梅里克·B·加兰(Merrick B. Garland)表示:“司法部打击世界上最危险的勒索软件计划的工作不仅包括摧毁网络,还包括找到建立和运营这些网络的个人并将其绳之以法。”“我们指控对LockBit针对数千名受害者的网络攻击负责的三名个人现已被拘留,我们将继续与我们的合作伙伴共同努力,一起追究所有领导和促成勒索软件攻击的人的责任。”
“逮捕帕涅夫先生反映了司法部使用一切手段打击勒索软件威胁的决心,”司法部副部长丽莎·莫纳科(Lisa Monaco)表示,“今年年初,我们协调国际力量打击了全球最具破坏性的勒索软件团伙LockBit。时至今日,得益于我们调查人员的辛勤工作以及我们在世界各地的强大合作伙伴关系,三名LockBit参与者已被拘留。此案是未来几年勒索软件调查的典范。”
联邦调查局局长克里斯托弗·雷(Christopher Wray)表示:“逮捕涉嫌开发者罗斯季斯拉夫·帕涅夫(Rostislav Panev)是FBI持续努力打击和摧毁LockBit勒索软件团伙的一部分,该团伙是全球最猖獗的勒索软件变种之一。”“LockBit团伙针对全球公共和私营部门受害者,包括学校、医院和关键基础设施,以及小型企业和跨国公司。无论威胁有多隐蔽或多么先进,联邦调查局都将一如既往地致力于与我们的机构间合作伙伴合作,保护网络生态系统,并追究那些对这些犯罪活动负责的人的责任。”
司法部刑事部门负责人、首席副助理总检察长妮可·M·阿尔金特里(Nicole M. Argentieri)表示:“刑事起诉书指控罗斯季斯拉夫·帕涅夫(Rostislav Panev)开发了恶意软件并维护了LockBit的基础设施,LockBit曾是世界上最具破坏性的勒索软件团伙,攻击了成千上万的受害者,造成了数十亿美元的损失。” “除了我们的国内和国际执法合作伙伴采取行动摧毁LockBit的基础设施外,刑事部门还通过指控其七名主要成员(包括关联公司、开发人员和管理员)并逮捕了包括帕涅夫在内的三名被告,破坏了LockBit的运营。我们特别感谢与欧洲刑警组织、英国、法国和以色列当局的合作,这表明,当志同道合的国家共同努力携手合作时,网络犯罪分子将更难逃脱法律的制裁。”
新泽西州联邦检察官菲利普·R·塞林格(Philip R. Sellinger)表示:“正如起诉书所指控的那样,罗斯季斯拉夫·帕涅夫多年来制造并维护了数字武器,使他的LockBit同谋在世界各地肆虐并造成数十亿美元的损失。” “但是,就像之前被本办公室和联邦调查局(FBI)及刑事部门的合作伙伴查明并指控的其他六名LockBit成员一样,帕涅夫不可能一直匿名,也不可能无限期地逃避法律制裁。他现在必须为自己的罪行负责。今天的声明是美国和我们的国际合作伙伴对LockBit团伙的又一次打击,我们将继续不懈努力,直到该团伙被彻底摧毁,其成员被绳之以法。
根据追加起诉书、本案件和相关案件中提交的文件以及在法庭上的陈述,帕涅夫从2019年左右LockBit勒索软件团伙成立到至少2024年2月期间,一直担任LockBit勒索软件团伙的开发者。在此期间,帕涅夫和他的LockBit同谋者将LockBit发展成为有时是世界上最活跃、最具破坏性的勒索软件组织。LockBit团伙袭击了全球至少120个国家的2500多名受害者,其中包括美国的1800名受害者。他们的受害者从个人、小型企业到跨国公司,包括医院、学校、非营利组织、关键基础设施以及政府和执法机构。LockBit的成员从受害者那里勒索了至少5亿美元的赎金,并造成了数十亿美元的其他损失,包括收入损失和事件响应和恢复成本。
LockBit的成员包括像帕涅夫这样的“开发人员”,他们设计了LockBit恶意软件代码并维护了LockBit运行所需的基础设施。LockBit的其他成员被称为“附属机构成员”,他们负责实施网络攻击,并向LockBit受害者勒索赎金。然后,LockBit的开发人员和附属机构会将瓜分从受害者处勒索的赎金。
根据追加起诉书的指控,今年8月份在以色列逮捕帕涅夫时,执法部门在帕涅夫的电脑上发现了一个在线存储库的管理员凭证,该存储库托管在暗网上,存储了LockBit生成器的多个版本的源代码,这使得LockBit的附属机构可以为特定受害者生成LockBit勒索软件恶意软件的定制版本。在该存储库中,执法部门还发现了LockBit的StealBit工具的源代码,该工具可帮助LockBit关联公司将通过LockBit攻击窃取的数据外流出去。执法部门还发现了LockBit控制面板的访问凭证,这是一个在线仪表板,由LockBit开发人员为LockBit的关联公司维护,并由这些开发人员托管在暗网上。
在今年5月份新泽西州地区公布的起诉书中,美国指控迪米特里·尤里耶维奇·霍罗舍夫(Dimitry Yuryevich Khoroshev)(Дмитрий Юрьевич Хорошев)通过网络犯罪论坛与LockBit的主要管理员交换了直接消息,该管理员也被称为LockBitSupp、LockBit和 putinkrab。在这些消息中,帕涅夫和LockBit主要管理员讨论了需要在 LockBit 生成器和控制面板上完成的工作。
法庭文件进一步表明,在2022年6月至2024年2月期间,LockBit的主要管理员通过一个或多个非法加密货币混合服务,每月向帕涅夫拥有的加密货币钱包转移约10000美元。在此期间,这些转账总额超过23万美元。
今年8月份被捕后,在接受以色列当局的询问时,帕涅夫承认曾为LockBit团伙进行了编码、开发和咨询工作,并定期以加密货币形式获得报酬,这与美国当局查明的转账情况一致。帕涅夫承认为LockBit团伙完成的工作包括:开发禁用杀毒软件的代码;将恶意软件部署到连接到受害者网络的多台计算机上;以及将LockBit的勒索信打印到连接到受害者网络的所有打印机上。帕涅夫还承认曾编写和维护LockBit恶意软件代码,并为LockBit团伙提供技术指导。
对LockBit勒索软件团伙的调查 今年2月,英国国家打击犯罪局(NCA)网络部门与美国司法部、联邦调查局和其他国际执法伙伴合作,对LockBit勒索软件进行了破坏,随后对帕涅夫提起了新的指控并逮捕了他。 正如司法部之前宣布的那样,当局通过查封LockBit用于连接该团伙基础设施的众多面向公众的暗网网站以及查封LockBit管理员使用的服务器的控制权,从而破坏了LockBit攻击者攻击和加密网络以及通过威胁发布被盗数据来勒索受害者的能力。正如本案中提交的文件所称,这次破坏成功大大削弱了LockBit的声誉及其攻击更多受害者的能力。
在对帕涅夫提起的追加指控之前,新泽西州地区还对其他LockBit成员提出了指控,包括其所谓的主要创建者、开发者和管理者Dmitry Yuryevich Khoroshev。5月份公布的对Khoroshev的起诉书称,Khoroshev早在2019年9月就开始开发LockBit,并一直担任该团伙的管理员直到2024年,在此期间,Khoroshev招募新的附属成员,以“LockBitSupp”的别名公开代表该团伙发言,并开发和维护了附属机构用于部署LockBit攻击的基础设施。Khoroshev目前是美国国务院跨国有组织犯罪(TOC)奖励计划最高1000万美元奖励的悬赏对象,FBI举报网站 www.tips.fbi.gov/可以接受举报。
目前共有七名LockBit成员在新泽西州地区受到指控。除了帕涅夫(Panev)和霍罗舍夫(Khoroshev)之外,此前被指控的其他LockBit被告还包括:
今年7月,两名LockBit附属成员Mikhail Vasiliev(又名Ghostrider、Free、Digitalocean90、Digitalocean99、Digitalwaters99和Newwave110)和 Ruslan Astamirov(又名BETTERPAY、offtitan和Eastfarmer) 在新泽西州地区法院认罪,承认他们参与了LockBit勒索软件团伙,并承认对美国和外国受害者发动了多次LockBit攻击。Vasiliev和Astamirov目前被拘留在押,等待宣判。 今年2月,在开展上述破坏行动的同时,新泽西州地区公布了一份起诉书,指控俄罗斯国民Artur Sungatov和Ivan Kondratyev(又名 Bassterlord)在美国各地对众多受害者部署 LockBit,受害者包括全国制造业和其他行业的企业,以及全球半导体和其他行业的受害者。Sungatov和Kondratyev仍然在逃。 2023年5月,华盛顿特区和新泽西州公布了两份起诉书,指控米哈伊尔·马特维耶夫(Mikhail Matveev,又名Wazawaka、m1x、Boriselcin和Uhodiransomwar)使用包括LockBit在内的不同勒索软件变体攻击美国各地的众多受害者,包括华盛顿特区大都会警察局。马特维耶夫仍然逍遥法外,目前通过美国国务院的TOC奖励计划可获得最高1000万美元的悬赏,FBI举报网站 www.tips.fbi.gov/可以接受举报。 美国国务院的TOC奖励计划提供以下奖励:
提供导致在任何国家逮捕和/或定罪霍罗舍夫的信息可获得高达1000万美元的报酬 ; 提供导致逮捕和/或定罪Matveev的信息可获得高达1000万美元的奖励 ; 对于提供可识别和定位任何在LockBit中担任关键领导职务的个人的信息,最高可获得1000万美元的奖励 ; 对于提供信息导致在任何国家逮捕和/或定罪任何参与或试图参与LockBit的个人,可获得最高500万美元的奖励。 联邦调查局举报网站tips.fbi.gov接受举报。
霍罗舍夫(Khoroshev)、马特维耶夫(Matveev)、桑加托夫(Sungatov)和康德拉季耶夫(Kondratyev)还因参与发动网络攻击而被美国财政部外国资产控制办公室列入制裁名单。
针对LockBit勒索攻击受害者的援助 美国当局鼓励LockBit受害者与联邦调查局联系,并通过www.ic3.gov/提交信息。正如司法部今年2月份宣布的那样,执法部门通过其破坏行动开发了解密功能,这可能使全球数百名受害者能够恢复被LockBit勒索软件变种加密的系统。在IC3网站上提交信息将使执法部门能够确定受影响的系统是否可以成功解密。