LockBit勒索软件团伙是全球最猖獗的勒索软件团伙之一,它使超过2000个企业成为受害者,累计赎金超过1.2亿美元,并提出了总额达数亿美元的勒索要求。
早在今年年初,“暗网下/AWX”报道了LockBit勒索软件团伙的暗网泄密网站被国际执法机构成功取缔后又重新归来的消息。当时,有分析表示,LockBit勒索软件的开发人员正在秘密构建新版本的文件加密恶意软件,称为LockBit-NG-Dev,可能成为LockBit 4.0。就在今天,LockBit勒索软件团伙在其暗网泄密网站发布公告,正式宣布了LockBit 4.0版本的暗网网站。
LockBit勒索软件团伙的公告称,如果“想要一辆兰博基尼、一辆法拉利和许多大奶妹子吗?”,可以“注册(其提供的新的网站)并与我们一起在5分钟内开始您的‘网络渗透’亿万富翁之旅。”公告里还提供了一个访问密钥(ADTISZRLVUMXDJ34RCBZFNO6BNKLEYKYS5FZPNNXK4S2RSHOENUA),据说这是为了保护该团伙的暗网网站免受遭受DDoS攻击。公告中附了5个洋葱域名:
http://lockbitapyx2kr5b7ma7qn6ziwqgbrij2czhcbojuxmgnwpkgv2yx2yd.onion
http://lockbitapyum2wks2lbcnrovcgxj7ne3ua7hhcmshh3s3ajtpookohqd.onion
http://lockbitapp24bvbi43n3qmtfcasf2veaeagjxatgbwtxnsh5w32mljad.onion
http://lockbitapo3wkqddx2ka7t45hejurybzzjpos4cpeliudgv35kkizrid.onion
http://lockbitapiahy43zttdhslabjvx4q6k24xx7r33qtcvwqehmnnqxy3yd.onion
“暗网下/AWX”随机测试访问了以上暗网网站,发现确实需要使用其提供的密钥才能正常访问。但是与LockBit 3.0的网站不同的是,进入新的暗网网站后需要用户名密码才能登录,同时提供了两个注册按钮,一个是使用BTC(比特币)注册,另一个是使用XMR(门罗币)注册。在网站最下方,显示称该团伙从2019年9月3日开始运作(We’ve been working since September 3, 2019),并显示了具体的计时。
本站(anwangxia.com)试图注册一个账号,但注册页面要求转账指定数额(价值777美元)的BTC或者XMR地址打款才能完成注册,因此尚未进一步测试。新暗网网站的注册页面写道,请在完成注册前保存付款链接,只有通过该链接,才能在不小心关闭浏览器时继续进行注册。用户可以支付多于指定金额(777美元)的款项,但不得少于指定金额。如果金额少于指定金额,注册将被取消。
对于使用BTC注册的用户,网页要求请发送0.007786 BTC至指定地址,并要求使用加密货币混合器支付注册费或发送脏比特币;使用XMR注册的用户,网页称只需发送3.765265 XMR至指定地址。注册页面表示,只要确认已经付款,注册者将立即获得LockBit勒索软件控制面板的访问权限,用户可以在此创建基于Windows、ESXi、Linux的加密程序(勒索软件),并与遭受攻击的受害者进行交流。
看起来,LockBit 4.0似乎将勒索软件即服务(RASS)的流程通过暗网网站后台集成化了,但同时也提升了成为其附属机构的门槛,即需要支付777美元的注册费用才能加入该团伙,然后才能使用该团伙最新版本的勒索软件。
FBI等国际执法机构针对LockBit的打击一直在持续进行,但LockBit背后的管理团队都位于俄罗斯等独联体国家,这让国际执法机构也无能为力。国际执法机构何时能摧毁LockBit新的基础设施,“暗网下/AWX”将拭目以待。
马萨诸塞州医疗机构安娜·雅克(Anna Jaques)医院最近证实,其在去年圣诞节遭受了勒索软件攻击。
根据12月5日的一份声明,超过30万名患者的数据被黑客窃取,并在暗网上出售。泄露的敏感信息包括健康保险信息、社会安全号码、姓名、地址、驾驶执照号码、财务数据以及医院电子健康记录中包含的医疗信息。
重要医疗保健提供商遭勒索软件攻击 这次残酷的网络攻击导致超过31万名患者的敏感健康数据被泄露。这家非营利组织为梅里马克山谷、北岸和新罕布什尔州南部的当地社区提供医疗保健服务。
安娜·雅克医院是一家非营利性社区医院,该医院拥有83张床位、200名医生和1200名工作人员,以其高质量的护理而闻名,每年进行超过4700次手术。
“暗网下/AWX”进一步查询得知,安娜·雅克医院是贝斯以色列莱希医疗网络的一部分,该医疗网络由100家医疗诊所和14家医院组成。该医疗网络共拥有4700多名医生和39000名员工。
去年12月25日,安娜·雅克医院工作人员发现该医院疑似遭受网络攻击,多个系统受到破坏。当医院注意到黑客在“2023年12月25日左右”访问其网络时,医院表示“立即展开彻底调查,隔离了受影响的系统,并向执法部门报警”。
Money Message勒索软件团伙的勒索手段 不幸的是,损失已经造成了:一个月后,这家医院发现自己成为了臭名昭著的勒索软件团伙Money Message的攻击目标。
2024年1月19日,Money Message勒索软件团伙开始公开勒索安娜·雅克医院,并在其暗网泄密网站上发布被盗数据的样本。这个臭名昭著的勒索软件团伙要求以不公布完整数据集为条件支付赎金。
在安娜·雅克医院管理员拒绝与犯罪者谈判后,该勒索软件团伙将全部被盗数据缓存都放到了他们的勒索软件平台上。
彻底调查确认数据泄露 今年11月5日完成的全面取证调查显示,这些泄露的数据包括:
人口统计详情 医疗和健康保险信息 财务信息 社会安全号码(SSN) 驾驶执照号码 其他个人或健康相关数据 调查全面对受影响文件进行了细致的人工审查。但不幸的是,这种彻底的检查方法导致延迟确认了数据泄露的全部影响。
安娜·雅克医院称未发现任何欺诈企图的证据 当安娜·雅克医院于2024年12月5日通知缅因州总检察长办公室和受影响个人时,已经清楚有316,342名患者的数据已被泄露。但该医院没有透露是否支付了赎金。
尽管发生了泄密事件且被盗数据具有个人隐私性质,但该医院表示,没有证据表明威胁者利用泄露的数据进行欺诈活动。不过,医院采取了积极主动的方式支持受影响的个人,为他们提供24个月的免费身份保护和信用监控服务。
安娜·雅克医院表示,“没有证据表明您的任何信息因此次事件而被滥用于身份盗窃或金融欺诈。”该医院还表示,已与第三方网络安全公司合作开展调查。
“暗网下/AWX”发现,一个新的暗网勒索软件团伙Chort在近几个月浮出水面。该勒索软件团伙与其他勒索软件组织类似,也实施双重勒索,先从受害者那里窃取敏感数据,然后加密文件和目录。它要求受害者支付赎金才能解密并安全归还被盗数据。该勒索软件团伙也被称为“Chort RS Group”、“Chort Ransomware”和“Chort Locker”,Chort在俄语中是“魔鬼”的意思,代表着这个勒索软件团伙的邪恶。
据本站(anwangxia.com)分析研究估算,Chort勒索软件团伙可能从2024年9月开始运作,因为一些受害者在当月宣布了遭遇的网络攻击事件。2024年10月21日,网络上出现了与Chort勒索软件相关的样本。Chort团伙在暗网泄密网站上发布的最早的受害者(Texans Can Academies,texanscan.org)帖子日期为10月29日,也就意味着该暗网网站的创建时间早于10月29日。
与其他勒索软件团伙一样,Chort勒索软件团伙应该也是出于经济目的发动的勒索攻击,其暗网网站没有发布任何政治言论或社会宣言,只是在首页中写着“List of Companies wouldn’t want to be safe”(不想安全的公司名单)。
Chort勒索软件团伙攻击的7名受害者分析 截至目前,Chort勒索软件团伙已在其暗网泄密网站上列出了7个受害者,最新受害者的发布日期为11月22日。经初步判断,Chort团伙主要针对的都是美国目标:
总部位于美国的教育机构Texas Can Academies(exanscan.org) 美国教育机构爱德华斯堡学校基金会(edwardsburgschoolsfoundation.org) 美国制造商Tri-Tech Electronics(Tri-TechElectronics.com) 位于美国的巴托县学校系统(bartow.k12.ga.us) 位于科威特的农业事务和鱼类资源公共管理局(PAAF,paaf.gov.kw) 位于美国的哈特威克学院(hartwick.edu) 位于美国的希博伊根市政府(sheboyganwi.gov) 其中,Chort团队已将City Of Sheboygan(sheboyganwi.gov)、Hartwick College(hartwick.edu)、PAAF(paaf.gov.kw)、Bartow County School System(bartow.k12.ga.us)、和Tri-Tech Electronics(Tri-TechElectronics.com)等5个受害者的数据免费提供给其暗网泄密网站的访问者下载。而其余2个受害者:Edwardsburg Public Schools Foundation(edwardsburgschoolsfoundation.org)和Texans Can Academies(texanscan.org)的状态是“Not Available”,无法判断这两个目标是否已经支付了赎金,还是正在谈判中。
其中2名受害者公开宣布他们遭受了网络事件。2024年9月30日,爱德华兹堡学校基金会表示,它遭遇了“网络中断”,导致课程被取消。10月18日,巴托县学校系统宣布,在“未经授权的外部来源”试图访问其部分“信息系统”后,它遭遇了长达一周的服务中断。但是2份声明都没有列出被指控攻击者的身份。因此,“暗网下/AWX”目前无法确认这些事件是否与Chort团伙的攻击有关。
Chort勒索软件团伙的暗网泄密网站 Chort维护着一个英语版本的暗网泄密网站:
http://hgxyonufefcglpekxma55fttev3lcfucrf7jvep2c3j6447cjroadead.onion
“暗网下/AWX”尝试访问了该站点,该暗网网站访问速度很快,首次进入时,页面上设置有数字验证码的认证,似乎为了防止DDoS攻击。
该暗网网站主页上列出了Chort团伙声称已经成功入侵的7名受害者名单。点击特定受害者的logo会重定向到该受害者的特定页面,其中详细介绍了该目标的行业部门、涉嫌被盗数据量以及公布的时间。对于其中两名标记为“Published”(已公布)的受害者,Chort还嵌入了个人身份信息(PII)、发票和其他财务文件的图像,作为被盗数据的证据。
此外,主页的右上角有个“联系我们”的按钮,点击进去后的页面显示着“如需购买资料,请通过以下地址联系我们”(For purchase data please contact us from below addresses),并列出了Chort勒索软件团伙在Tox(EA8712D4F50F37D1AD722D4E29026A61946D3F90CAC4E0AD45204547F5A538524F847DE387B1)、Jabber([email protected])和Telegram(@ChortGroup)的联系信息。经访问得知,该团伙于北京时间11月16日创建了Telegram频道,截至目前,该频道大约有62名订阅者。
Chort勒索软件团伙能存在多久,FBI何时能够摧毁它。“暗网下/AWX”将持续关注。
“暗网下/AWX”在今年7月份曾介绍了勒索软件团伙“Vanir Group”,”Vanir Group“是网络勒索犯罪世界中一个新的危险威胁。他们的行动精确而残忍,已经袭击了三家公司。7月份该团伙发布了这三名受害者的信息,其中包括一家中国公司和一加位于德国的公司。
🚨 New #ransomware group: Vanir Group 🚨
Currently, the criminal group's list includes 3 victims:
Beowulfchain[.]com: "Beowulfchain is a decentralized communication and data network that enables businesses to provide communication without barriers. We have accessed and… pic.twitter.com/iecQgyK7Q7
— HackManac (@H4ckManac) July 10, 2024 德国执法部门在几次突袭中成功摧毁了“Vanir Group”勒索软件团伙使用的部分网络基础设施,该勒索软件团伙部署了新型恶意软件。
巴登-符腾堡州刑事警察局于今年9月17日宣布了这一消息,并在一份声明中表示,该局已与卡尔斯鲁厄检察院网络犯罪中心合作开展此次行动。
卡尔斯鲁厄市和巴登-符腾堡州的官员表示,他们已经接管了黑客部署Vanir Locker勒索软件所使用的暗网泄密网站。
巴登-符腾堡州当局自6月24日起就一直在调查Vanir Group勒索软件团伙,并于8月发现了该团伙泄密网站的托管服务器,并于9月17日对其进行了查封。
“2024年8月,调查人员成功识别出所谓Tor网络中某个网站的服务器。该团伙宣布将在此网站上发布从受影响公司获得的数据,”他们说。 德国当局表示:“今天,犯罪者的Tor页面已被国家刑事警察局代表网络犯罪中心接管,并重定向到一个被屏蔽的页面。”
官员们没有回应记者的置评请求,即是否有人被捕,或者泄密网站上列出的这家德国公司是否受到勒索软件攻击的影响。他们在声明中表示,“通过封锁该页面,肇事者窃取的数据将无法再在其Tor页面上发布。对勒索软件团伙成员身份的调查仍在进行中。”
目前访问“Vanir Group”的暗网泄密网站现在显示一个警方的扣押页面:“这个暗网网站已经被巴登-符腾堡州国家调查局查封,这是针对Vanir勒索软件团伙采取的执法行动的一部分。”
“Vanir Group”勒索软件团伙本身并不是一个特别活跃的勒索软件团伙,正如本站(anwangxia.com)之前报道:今年6月和7月“Vanir Group”仅攻击了三名受害者——分散式通信公司Beowulfchain、纸张制造商Qinao和汽车租赁公司Athlon。
从此以后,该勒索软件团伙就没再活跃过。
“Vanir Group”勒索软件团伙的背景 “Vanir Group”团伙此前曾在其暗网泄密网站上表示,这是一个勒索软件即服务团伙,正在积极寻找附属机构。它显然是由一个名叫BlackEyedBastard的人经营的。
网络安全社区新闻网站Red Hot Cyber声称在7月采访了BlackEyedBastard,其中“Vanir Group”领导人阐述了该团伙的行动。
“暗网下/AWX”在今年7月份曾介绍了勒索软件团伙“Vanir Group”,”Vanir Group“是网络勒索犯罪世界中一个新的危险威胁。他们的行动精确而残忍,已经袭击了三家公司。7月份该团伙发布了这三名受害者的信息,其中包括一家中国公司和一加位于德国的公司。
🚨 New #ransomware group: Vanir Group 🚨
Currently, the criminal group's list includes 3 victims:
Beowulfchain[.]com: "Beowulfchain is a decentralized communication and data network that enables businesses to provide communication without barriers. We have accessed and… pic.twitter.com/iecQgyK7Q7
— HackManac (@H4ckManac) July 10, 2024 德国执法部门在几次突袭中成功摧毁了“Vanir Group”勒索软件团伙使用的部分网络基础设施,该勒索软件团伙部署了新型恶意软件。
巴登-符腾堡州刑事警察局于今年9月17日宣布了这一消息,并在一份声明中表示,该局已与卡尔斯鲁厄检察院网络犯罪中心合作开展此次行动。
卡尔斯鲁厄市和巴登-符腾堡州的官员表示,他们已经接管了黑客部署Vanir Locker勒索软件所使用的暗网泄密网站。
巴登-符腾堡州当局自6月24日起就一直在调查Vanir Group勒索软件团伙,并于8月发现了该团伙泄密网站的托管服务器,并于9月17日对其进行了查封。
“2024年8月,调查人员成功识别出所谓Tor网络中某个网站的服务器。该团伙宣布将在此网站上发布从受影响公司获得的数据,”他们说。 德国当局表示:“今天,犯罪者的Tor页面已被国家刑事警察局代表网络犯罪中心接管,并重定向到一个被屏蔽的页面。”
官员们没有回应记者的置评请求,即是否有人被捕,或者泄密网站上列出的这家德国公司是否受到勒索软件攻击的影响。他们在声明中表示,“通过封锁该页面,肇事者窃取的数据将无法再在其Tor页面上发布。对勒索软件团伙成员身份的调查仍在进行中。”
目前访问“Vanir Group”的暗网泄密网站现在显示一个警方的扣押页面:“这个暗网网站已经被巴登-符腾堡州国家调查局查封,这是针对Vanir勒索软件团伙采取的执法行动的一部分。”
“Vanir Group”勒索软件团伙本身并不是一个特别活跃的勒索软件团伙,正如本站(anwangxia.com)之前报道:今年6月和7月“Vanir Group”仅攻击了三名受害者——分散式通信公司Beowulfchain、纸张制造商Qinao和汽车租赁公司Athlon。
从此以后,该勒索软件团伙就没再活跃过。
“Vanir Group”勒索软件团伙的背景 “Vanir Group”团伙此前曾在其暗网泄密网站上表示,这是一个勒索软件即服务团伙,正在积极寻找附属机构。它显然是由一个名叫BlackEyedBastard的人经营的。
网络安全社区新闻网站Red Hot Cyber声称在7月采访了BlackEyedBastard,其中“Vanir Group”领导人阐述了该团伙的行动。
Akira是一个勒索软件团伙(ransomware-as-a-service),在勒索软件圈子的知名度越来越高,其暗网泄密网站本月公布的新受害者数量创下了纪录,而且还有更多受害者在增加。为了一探究竟,“暗网下/AWX”尝试对Akira的暗网泄密网站进行了访问。
Akira的暗网泄密网站的V3地址是:
https://akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad.onion
Akira团伙的暗网网站 Akira团伙的暗网泄密网站以日本赛博朋克漫画命名,其风格类似于20世纪80年代流行的单色计算机命令行界面。在”暗网下/AWX“看来,该网站的风格与”Vanir Group“的暗网泄密网站界面很相似,设计成一个Linux系统的终端,黑底绿字,操作也与终端相仿,看起来像一个客户访问Linux终端(guest@akira:~$)。
打开Akira团伙的暗网网站,与其他勒索软件团伙的暗网泄密网站一样,映入眼帘的也是一段恐吓文字:
您在这里。这意味着你现在正遭受网络事件的困扰。将我们的行动视为对您的网络漏洞进行一次计划外的强制审计。请记住,要让这一切消失,需要付出合理的代价。
不要急于评估发生了什么–是我们害了你们。您能做的最好的事情就是按照我们的指示恢复您的日常工作,通过与我们合作,您可以将可能造成的损失降到最低。
那些选择不同道路的人将在这里受到公开羞辱。本博客的功能非常简单,只需在输入行中输入所需的命令,即可获取全球企业希望保密的最多汁信息。
请记住 没有我们的帮助,您将无法恢复。您的数据已经消失,无法追踪到最终存储地点,也无法被除我们之外的任何人删除。
与”Vanir Group“暗网网站类似,Akira网站的伪终端里可以输入5个命令:输入”help“等命令,可以查看所有命令列表;输入”leaks“命令,可以查看所有被黑的受害者信息;输入”news“命令,可以查看关于即将发布的数据的新闻;输入”contact“命令,可以给Akira团伙发送消息;输入”clear“命令,可以清除当前屏幕显示。
由此看来,Akira的暗网泄密网站主要包含3个功能:一是“新闻”功能(/n),用于勒索最近的受害者;二是“泄露”功能(/l),用于在勒索失败后公布数据;三是”联系“功能(/m),用于与勒索软件团伙进行联系。
其中联系功能,可以提交”email/icq/jabber/tox id/telegram“,意味着勒索软件团伙会使用这些联系方式进行联系。
Akira勒索软件团伙发布了大量受害者信息 本站(anwangxia.com)测试输入”news“命令,发现从2023年4月25日至2024年11月20日的大约一年半时间里,Akira勒索软件团伙共发布了319个受害者,并详细描述了泄露的是什么数据;输入”leaks“命令,经统计,公开泄露了数据的受害者共有128个。因此”暗网下/AWX“判断,除了还在勒索谈判期的,也许已经有上百个受害者支付了赎金。
美国联邦调查局称,Akira勒索软件团伙于2023年3月出现,他们为黑客提供平台,通过窃取和加密数据来勒索受害者。FBI表示,在运营的第一年,Akira通过大约250次攻击赚取了4200万美元。
该团伙在出现后不久就进行了大量的网络攻击,令专家们相信该组织是由经验丰富的勒索软件攻击者组成。去年该团伙发动了一系列攻击,包括对云托管服务提供商Tietoevry的攻击。
勒索软件团体通常会在受害者公布被盗数据前,给他们几天或几周时间支付赎金,具体时间取决于谈判结果。Akira的暗网泄密网站在8月至10月期间公布的数据比平时少,导致11月份列表数量突然激增的原因可能有多种,比如越来越多的新附属公司利用该暗网网站勒索受害者,或者是Akira管理员选择隐瞒之前的泄密事件。
新受害者大多来自总部位于美国的商业服务行业公司以及两家公司总部位于加拿大的公司,其他受害者来自德国、英国和其他国家。“暗网下/AWX”将受害者的名字与网址与过去几年追踪的所有勒索软件团伙发布的受害者进行了对比分析,证实这些被攻击的对象都是首次出现的新受害者。
LockBit今年早些时候公布了类似数量的受害者信息,试图淡化其受到执法部门攻击的情况,LockBit“在其旧网站被查封后,将旧受害者信息与新受害者信息混在一起”。
据英国国家打击犯罪局称,LockBit列出的许多受害者都是被重新发布的旧攻击,而其他受害者则是虚假或被错误归因的攻击,据称影响了一家大型企业,而事实上只影响了一家非常小的子公司。
一家在科罗拉多州西部和西南部运营的医疗保健提供商”Axis Health System“提醒患者,他们的个人敏感信息可能因其安全系统遭到破坏而被发布到暗网上。
Axis Health System在周四发布的新闻稿中表示,一名“网络犯罪分子”侵入了他们的系统,其中包括患者和员工的文件。
新闻稿称:“我们知道网络犯罪分子将我们网络中的文件发布在暗网上。我们正在调查所发布信息的全部性质和范围,但看起来这些文件包括患者和员工信息。”
Axis Health System在科罗拉多州的11个城镇拥有13家医疗机构。
据跟踪黑客攻击成功案例的网络安全组织称,Axis Health System遭到暗网勒索组织Rhysida的网络攻击,Rhysida随后要求以25比特币的赎金赎回数据。按当前价格计算,这笔赎金的实际金额约为 170 万美元。
美国国土安全部下属的网络安全和基础设施安全局(CISA)表示,Rhysida勒索软件团伙通常针对教育、医疗保健、制造业、IT 和政府部门。 根据”暗网下/AWX“的报道,前不久,Rhysida对哥伦布市实施了网络攻击,窃取了超过6.5TB的数据,并要求以30比特币或190万美元的起拍价出售所有这些数据的访问权限。
据CISA称:“据报道,勒索软件团伙Rhysida进行‘双重勒索’——要求支付赎金来解密受害者数据,并威胁说如果不支付赎金,就会公布其窃取的敏感数据。”
库尔蒂斯·明德(Kurtis Minder)是一位驻扎在大章克申的网络安全专家,他经营着GroupSense公司,他透露,Rhysida进行了一些“相当复杂的网络钓鱼活动”,这使得他们能够入侵多个医疗保健系统。
明德说:“他们确实倾向于以医疗机构为目标,这太可怕了。但我已经见过很多这样的事了。事实上,不久前,我父母在伊利诺伊州使用的医疗机构就遭到了 Rhysida 的攻击。”
明德表示,人工智能的进步让黑客攻击变得更加容易。例如,人工智能可以让黑客组织编写一个与现有公司相似的网页,以诱骗用户输入安全信息。他说,针对被攻击的公司,许多最好的防御措施都是程序性的。
明德表示:“如果采取正确的预防措施,很多(黑客攻击)都是可以预防的,这些预防措施并不一定花费高昂,它们本质上更具程序性和操作性,但公司尚未完全理解这一点。他们正在努力,但还没有做到。”
明德说,科罗拉多州的相关民众应该考虑信用冻结等措施,同时使用密码管理器评估自己的网络安全状况,尽可能采用双因素身份验证,并利用身份保护服务。
这家非营利性医疗服务提供商表示,这种“不正常”活动最早是在 8 月份发现的,进一步调查显示,黑客在今年 7 月 9 日至 9 月 4 日期间获得了系统访问权限。他们表示,受影响的患者将收到邮件通知,并鼓励任何可能受到影响的人监控自己的信用报告,并考虑冻结自己的信用账户。
在对澳大利亚和新西兰地区的公司发起猛烈网络攻击之后,RansomHub勒索软件团伙又在继续造成威胁,在其暗网泄漏网站上发布了超过4TB的澳大利亚公司数据。
到目前为止,最大的数据泄露属于维多利亚州公司Kempe Engineering,该团伙声称于8月7日对该公司进行了网络攻击。RansomHub声称仅从Kempe公司就窃取了4TB的数据,目前已公布了属于该工程公司的40个独立文件夹的数据。
这些信息包括项目数据,例如一个标有“wacorp”的文件夹,其中似乎概述了该公司在西澳大利亚的运营业务和项目,而另一个文件夹包含大量发票和信用卡收据。在这些数据中,还散布着数十张护照扫描件和大量紧急联系电话列表。
Kempe公司没有对勒索软件团伙的指控发表评论,并且迄今为止一直保持沉默。
另一家工程公司McDowall Affleck证实,该公司在8月2日遭受了勒索软件攻击,此前RansomHub已于前一天宣布对此次网络攻击负责。RansomHub现已分享了在此次攻击中窃取的全部470GB数据,其中包括许多工程项目的详细信息和大量人力资源信息——COVID-19疫苗接种详细信息、生日、员工审查数据以及雇佣合同和薪资详细信息。
塔斯马尼亚的Hudson Civil Engineering公司也在8月7日遭到RansomHub的网络攻击,该公司被勒索软件团伙窃取了112GB的内部数据,现在这些数据也被公布在暗网上。
该公司泄露的数据包括大量管理信息,包括紧急联系方式、雇佣合同和其他员工数据。此外,还包括地方和州政府项目的招标文件。更特别的是,泄露数据包含伯尼机场和霍巴特国际机场的招标书和项目计划。
RansomHub还公布了该勒索软件团伙声称从悉尼珠宝店Pierre Diamonds窃取的3GB数据。该团伙于8月6日声称对此次黑客攻击负责,并已公布了这些数据,其中似乎主要是网站代码,以及壁挂式咖啡机的说明书。
进行这数起针对澳大利亚的网络攻击的可能是RansomHub团伙本身或其特定的附属机构,因为该团伙将其勒索服务出租给其他黑客,使其他黑客成为了他的附属机构,并在勒索赎金后按比例分赃。
RansomHub勒索软件团伙还公布了他们声称于8月8日从新西兰设计卖场Allium Interiors窃取的32GB数据。同样,泄露的数据似乎有大量该商店的在线门户网站的源代码,但大部分数据都在一个压缩文件中。然而,目前RansomHub的暗网泄密网站似乎无法处理下载zip文件,因此很难确定被窃取材料的性质。
RansomHub勒索软件团伙于2024年2月中旬出现,并已将多个企业列为其攻击的受害者,这些攻击是通过加密数据和数据泄露进行勒索。
RansomHub勒索软件团伙的暗网泄密网站列出了多个受害者,其暗网V3网址是:http://ransomxifxwc5eteopdobynonjctkxxvap77yqifu2emfbecgbqdw6qd.onion
该团伙在暗网泄密网站自称团队成员来自不同国家,只对美元感兴趣。且他们不允许将独联体国家、古巴、朝鲜和中国列为目标,不允许再次攻击已经付款的目标公司,不允许将非营利性医院和一些非营利性组织列为攻击目标。
哥伦布市长安德鲁·金瑟(Andrew Ginther)和市检察官扎克·克莱恩(Zach Klein)讨论了勒索软件攻击,该攻击已泄露数千名哥伦布居民的私人信息。
哥伦布市市长安德鲁·金瑟(Andrew J. Ginther)证实,在一次导致该市陷入瘫痪的网络攻击后,居民和其他人的个人信息被发布在暗网上。
金瑟在关于7月18日网络攻击的新闻发布会上表示:“个人身份信息被发布到了暗网上。”
金瑟尔说:“我可以遗憾地说,我们将发现更多的个人信息将被访问或公布。”
该市之前宣布,将向所有城市居民以及勒索软件攻击后受到影响的其他人员提供信用监控服务。
Experian提供的服务包括两年的免费监控,保护的最高金额达100万美元,用于防范欺诈和身份盗窃。
他说,Experian的保护措施可能会花费该市数百万美元。
该市最初只向现任和前任员工提供这项服务。后来发现,这次攻击影响了普通居民的日常公民身份信息。
金瑟表示,市政府官员并不清楚有多少人(包括员工、退休人员、居民和其他人)受到影响。
暗网上发布的信息包括市检察官的数据库,其中包含有关被告、受害者和证人的信息。
哥伦布市检察官扎克·克莱因(Zach Klein)表示,他已经联系哥伦布法律援助协会(Legal Aid Society of Columbus),为有需要的人申请民事保护令。
金瑟表示,该市将继续恢复受到黑客攻击影响的服务。
金瑟说:“这是一个非常复杂且迅速变化的局面。”
网络犯罪集团Rhysida声称对此次攻击负责。该集团以出价近200万美元的比特币向潜在买家出售这些数据。
周二,金瑟告诉记者,该犯罪集团获取并在暗网上发布的所有个人数据均无法使用。
周六,金瑟尔表示,这是他当时掌握的最佳信息,但现在他表示,这是不准确的。
他说:“我承担全部责任。”
居住在该市的网络安全专家康纳·古德沃尔夫(Connor Goodwolf)一直在暗网上监控发布的城市数据。他周六称,他看到了可追溯到2006年的信息。
古德沃尔夫(他的名字是化名,不是他的法定姓名)表示,他听说有人担心他们的信用和银行账户评级会被重新评级。
古德沃尔夫表示,约有45%被盗城市数据可以在暗网上找到,这意味着55%的数据已被出售。
他说:“他们如何处理数据由他们自己决定。”
他说:“我相信,这些被出售的信息正被积极利用来伤害个人。”
他说他也看到了居住在哥伦布以外的公民的个人信息。
他说,部分数据是加密的。
古德沃尔夫表示他自己可能会注册Experian信用监控。
该市已经面临警方的诉讼,警方称该市在阻止勒索软件攻击方面做得不够,在攻击发生后也没有向员工发出警报。
金瑟表示,该市五年来花费了超过1200万美元来加强网络安全系统。
该市居民可以点击此处注册Experian信用监控,或在11月29日前拨打1-833-918-5161并输入代码B129833。
美国联邦调查局周一宣布,经过国际联合执法调查,FBI已查封了名为Radar(又名Dispossessor)勒索软件团伙的服务器和网站。
此次联合行动由英国国家打击犯罪局、班贝格检察官办公室和巴伐利亚州刑事警察局(BLKA)合作开展。这对美国联邦调查局来说是一次罕见的胜利,它正在与全球执法机构一起努力遏制勒索软件日益严重的威胁。
美国联邦调查局俄亥俄州克利夫兰办事处发表声明称,执法部门查获了3台美国服务器、3台英国服务器、18台德国服务器、8个美国域名和1个德国域名,其中包括radar[.]tld、dispossessor[.]com、cybernewsint[.]com(虚假新闻网站)、cybertube[.]video(虚假视频网站)和dispossessor-cloud[.]com。目前访问这些网站,会显示一条来自执法部门的消息,内容为:“该网站已被查封。”
该勒索软件团伙的暗网泄密网站地址为:http://e27z5kd2rjsern2gpgukhcioysqlfquxgf7rxpvcwepxl4lfc736piyd.onion,经“暗网下/AWX”测试,目前也已无法访问。
自2023年8月成立以来,Radar/Dispossessor勒索软件团伙由名为“Brain”的头目领导,将目标锁定在世界各地各个行业的中小型企业,他们会利用受害公司系统的安全漏洞,窃取大量数据,并用加密技术扰乱公司数据。该团伙声称对美国、阿根廷、澳大利亚、比利时、巴西、洪都拉斯、印度、加拿大、克罗地亚、秘鲁、波兰、英国、阿拉伯联合酋长国和德国的数十家公司发动了攻击,其中FBI确定了至少43名受害者。
美国联邦调查局称,勒索软件团伙利用漏洞、弱密码以及账户缺乏多因素身份验证等手段入侵网络。在获得受害企业网络访问权限后,他们会窃取数据并部署勒索软件来加密公司的设备。
联邦调查局表示:“一旦犯罪分子获得系统访问权限,他们就会获得管理员权限并轻松访问文件。然后实际的勒索软件被用于加密。结果,这些公司无法再访问自己的数据,一旦公司受到攻击,如果他们没有联系犯罪分子,该团伙就会通过电子邮件或电话主动联系受害公司的其他人。这些电子邮件还包含之前被盗文件播放的视频平台链接。”这是敲诈勒索团伙常用的手段,被称为“双重敲诈”。
该网络犯罪团伙成立之初,以勒索软件团伙的身份进行活动,转载在LockBit勒索软件攻击期间窃取的旧数据,并声称自己是LockBit勒索软件团伙的附属机构。Radar/Dispossessor还转载了其他勒索软件行动的泄密信息,并试图在各种数据交易市场和黑客论坛(如BreachForums和XSS)上出售这些信息。
“Dispossessor最初宣布重新提供大约330名LockBit受害者的数据。据称这是以前可用的LockBit受害者的重新发布数据,现在托管在Dispossessor的网络上,因此不受LockBit可用性限制,”SentinelOne在4月份的一份报告中表示。
“Dispossessor似乎正在重新发布之前与其他勒索软件团伙相关的数据,例如Cl0p、Hunters International和8base。我们知道Dispossessor上列出的受害者至少有十几个之前也被其他团伙列出过。”
从2024年6月开始,威胁行为者开始利用泄露的LockBit 3.0加密器[VirusTotal]用于他们自己的加密攻击,大大扩大了他们的攻击范围。
“暗网下/AWX”看到,在过去的一年里,美国及其盟友的执法部门渗透、破坏和打击了ALPHV/Blackcat勒索软件团伙(一个部署LockerGoga、MegaCortex、HIVE和Dharma的勒索软件团伙)、Ragnar Locker勒索软件团伙、Hive勒索软件团伙以及LockBit勒索软件团伙,取得了多次重大胜利。然而,勒索软件攻击如同雨后春笋,在某些国家的庇护下,总是能够春风吹又生。