臭名昭著的暗网勒索软件团伙Cl0p发布了一份因Cleo的托管文件传输(MFT)软件漏洞而受到攻击的公司名单。
Cl0p团伙在其暗网泄密网站上发布公告,重点指出了对严重漏洞CVE-2024-50623的利用。该漏洞允许未经身份验证的远程代码执行,并被Cl0p团伙积极用于渗透全球企业的网络。
该漏洞影响Cleo Harmony、VLTrader和LexiCom产品。尽管2024年10月发布了补丁,但网络安全研究人员发现该补丁不够完善,系统容易受到攻击。
该漏洞使攻击者能够上传恶意文件,这些文件会被软件自动执行,从而允许他们未经授权访问敏感数据。此后已发布了较新的补丁(版本5.8.0.24),但由于更新延迟或缓解措施不足,许多团伙仍然容易受到攻击。
Cl0p勒索软件团伙已宣布通过这一漏洞对全球许多目标发起攻击,目前至少有66家企业遭到攻击,受害者涉及物流、消费品和食品供应链等行业。
虽然仅披露了部分受影响企业的名称,但该团伙威胁说,如果赎金要求在1月21日之前得不到满足,他们将公布全部详细信息。
Cl0p勒索软件团伙的勒索策略 Cl0p以其复杂的勒索手段而闻名,它使用多层次的压力来强迫受害者支付赎金。在本案中,该团伙提供了安全的谈判沟通渠道,并警告称不遵守规定将导致被盗数据被公开。这种方法与Cl0p以前的活动如出一辙,例如2023年的MOVEit漏洞,当时数百家公司面临类似的威胁。
该团伙的暗网帖子还宣布计划分阶段发布更多受害者名单。第一批数据预计将于1月18日发布,随后将陆续发布后续数据。
Cleo已意识到问题的严重性,并发布了最新公告,敦促客户立即应用最新补丁。该公司还延长了24/7支持服务,以帮助受影响的客户保护其系统。
然而,网络安全专家警告说,使用Cleo产品的企业必须保持警惕,因为攻击者可能会继续瞄准未修补的系统。
此次事件凸显了勒索软件团伙利用广泛使用的文件传输平台漏洞的广泛趋势。Cl0p的历史包括对Accellion、GoAnywhere MFT和MOVEit软件的类似攻击,展示了利用零日漏洞进行大规模数据泄露的模式。
此次最新攻击凸显了及时补丁管理和强大的网络安全措施的重要性。依赖第三方软件的企业必须主动监控漏洞并及时实施缓解措施以减少风险。
随着Cl0p继续针对Cleo用户发起攻击,受影响的公司面临着越来越大的压力,需要迅速做出反应,否则将面临严重的声誉和财务损失。网络安全社区敦促所有企业优先更新系统并与执法机构合作,以减轻此类攻击的影响。
不断发展的形势清楚地提醒我们,像Cl0p这样的勒索软件团伙所构成的威胁以及他们利用关键基础设施漏洞的不断演变的策略。
Cl0p勒索软件团伙的暗网V3域名以及发布的公告 http://santat7kpllt6iyvqbr7q4amdv6dzrh6paatvyrzl7ry3zm72zigf4ad.onion/
Dear companies
A new part of the companies list will be partially opened and presented on 21.01. Hurry up to contact us so that your name is not on this list!!!
Cl0p announcement.
We have data of many companies who use cleo. Our teams are reaching and calling your company and provide your special secret chat.
为法国军方和情报部门提供通信安全保障的法国科技公司Atos上周五表示,暗网勒索软件团伙声称该公司内部数据库遭到入侵,但该说法“毫无根据”。
此次勒索攻击事件发生之际,拥有约9万名员工的Atos公司正与法国政府就收购 BDS 100% 高级计算业务进行独家谈判。Atos公司收到法国政府的非约束性要约,以5亿欧元的企业价值和最高6.25亿欧元(包括盈利能力)收购其高级计算业务。
一个自称“Space Bears”的暗网勒索软件团伙自去年以来一直在运作,该团伙于12月28日在其暗网上公布了Atos的名字,并承诺将会在1月8日公布从该公司窃取的数据。目前,“Space Bears”的暗网泄密网站上发布的勒索攻击受害者已超过30家,第一位受害者出现在9个月前。
在巴黎泛欧证券交易所上市的Atos公司最初对犯罪分子的指控作出回应:
Space Bears 勒索软件团伙声称已经入侵了 Atos 数据库。目前,初步分析显示,没有任何证据表明任何国家/地区的 Atos/Eviden 系统受到入侵或勒索软件影响,并且迄今为止尚未收到任何赎金要求。
尽管如此,Atos 仍然非常重视此类指控。其网络安全团队正在积极调查此事,如果上述信息有任何变化,我们将及时更新。
经过此次调查后,Atos公司于周五宣布:
Atos 集团今天宣布,勒索软件团伙Space Bears 对 Atos 公司的网络攻击指控毫无根据。
Atos 管理的基础设施没有被破坏、源代码没有被访问、也没有 Atos IP 或 Atos 专有数据被泄露。
2024 年 12 月 28 日,勒索软件团伙声称已经入侵了 Atos 数据库。Atos 了解到,与 Atos 无关的外部第三方基础设施已被 Space Bears 勒索软件团伙入侵。该基础设施包含提及 Atos 公司名称的数据,但不受 Atos 管理或保护。
Atos 在全球拥有超过 6,500 名专业专家和 17 个新一代安全运营中心 (SOC),全天候运营,确保集团及其客户的安全。
该公司的声明称,“与 Atos 无关的外部第三方基础设施已被 Space Bears 团伙入侵。该基础设施包含提及 Atos 公司名称的数据,但并非由 Atos 管理或保护。”
该公司强调,其拥有“由 6500 多名专业专家组成的全球网络”,并运营“17 个新一代安全运营中心 (SOC),全天候运营,以确保集团及其客户的安全”。
11月,一个名为HELLCAT的勒索软件团伙声称已经入侵施耐德电气(Schneider Electric)的基础设施。当时该团伙表示,他们获得了该公司Atlassian Jira环境的访问权限,从而窃取了数据。该公司确认其开发者平台遭到入侵,其响应团队正在调查此事件。
然而,12月29日,网络犯罪分子在其数据泄露网站上公布了施耐德电气的被盗数据,声称该公司拒绝支付赎金。暗网上的帖子只包含一个巨大的(40GB)文件,据称其中包含有关项目、问题、插件的公司数据以及超过400,000行用户数据。
HELLCAT勒索软件团伙此前曾泄露据称属于约旦教育部、坦桑尼亚商学院的数据以及Pinger应用程序的私人通信。
HELLCAT勒索软件团伙的奇怪要求 关于这个自称HELLCAT的新勒索软件团伙,人们知之甚少,只知道它有一位名叫Grep的发言人。这位发言人首先声称法国跨国公司施耐德电气遭到该勒索团伙的攻击,并要求支付荒谬的赎金。此次入侵似乎是针对施耐德电气的一台开发服务器,攻击者窃取了多达40GB的存档数据。
11月7日,网络犯罪分子首次在HELLCAT的暗网泄密网站上的一篇帖子发布了勒索要求,几乎所有勒索软件团伙都使用这种模式来威胁受害者,并要求受害者在所盗数据被出售或发布的规定日期之前付款。
”我们成功攻破了施耐德电气的基础设施,访问了他们的 Atlassian Jira 系统。此次入侵事件已泄露关键数据,包括项目、问题和插件,以及超过 400,000 行用户数据,总计超过 40GB 压缩数据。施耐德电气是能源管理和自动化领域的领导者,年收入超过400亿美元,现在面临着泄露敏感客户和运营信息的风险。为了确保删除这些数据并防止其公开发布,我们需要您以 Baguettes 支付 125,000 美元。“
这项赎金要求很奇怪,居然要求以“法式长棍面包”(Baguettes)形式支付125000美元。威胁者表示,如果公司首席执行官公开承认数据泄露行为,赎金要求将减少50%。不过实际上,有关“法式长棍面包”的玩笑声明只是个玩笑,勒索软件团伙正在寻求以一种注重隐私的加密货币——门罗币(Monero)进行支付。
施耐德电气就勒索软件事件发表声明 施耐德电气发言人发表了以下声明:“施耐德电气正在调查一起网络安全事件,该事件涉及未经授权访问我们位于隔离环境中的内部项目执行跟踪平台之一。我们的全球事件响应团队已立即动员起来应对该事件。施耐德电气的产品和服务未受影响。”
Picus Security的安全研究员Hüseyin Can Yuceel表示:“勒索软件是一种商业模式,我们可以将这种奇怪的法式长棍面包需求视为一种营销噱头”,并补充说该勒索软件团伙要求支付门罗币加密货币赎金。
Hüseyin Can Yuceel继续表示,HELLCAT很可能是勒索软件犯罪领域的新玩家,他们“试图引起注意,并为未来的受害者和同伙建立信任,以便开展可能的勒索软件即服务行动。” Can Yuceel说,泄露被盗数据证明了他们的能力,如果Schneider支付赎金,“这将向其他人证明他们的能力和可信度。”
施耐德电气曾多次遭受勒索软件攻击 此次事件是施耐德电气在过去18个月内遭受的第三次重大网络攻击。2024年2月,Cactus勒索软件团伙声称对从该公司窃取1.5TB敏感数据负责。
去年,施耐德电气承认在MOVEit零日攻击活动期间,其成为Cl0p勒索软件团伙的攻击目标。
勒索软件攻击日益猖獗,给公司和组织带来巨大困扰。据报道,平均赎金要求已攀升至130万美元,某些变种甚至要求高达430万美元的解密密钥。
尽管强烈建议不要支付勒索软件要求以避免助长犯罪经济,但谈判后的平均经济损失仍然高达353,000美元。
HELLCAT勒索软件团伙的暗网泄密网站 HELLCAT勒索软件团伙的泄密网站的暗网V3域名是:
http://hellcakbszllztlyqbjzwcbdhfrodx55wq77kmftp4bhnhsnn5r3odad.onion
该团伙在暗网留下了联系方式(TOX:898923FE0699CFE1EFD17773425DECB080840877C29F883D389D6880B2B961737FACE98E82E4,Telegram: @HCSupp,XMPP: [email protected]),同时附上了每月更新的PGP签名的文件:
—–BEGIN PGP SIGNED MESSAGE—–Hash: SHA512hellcakbszllztlyqbjzwcbdhfrodx55wq77kmftp4bhnhsnn5r3odad.onionThis is the signed address as of [27/12/2024]. This will be updated on [27/1/2025].—–BEGIN PGP SIGNATURE—–iHUEARYKAB0WIQQe7cVuFaMn5DMf9+EYB+TyQVtJqQUCZ24jKAAKCRAYB+TyQVtJqXzRAP9cXHXPOO++RgYC7cGyQIfkFW9SGg7lbOS5srA5GIjV3wEAqLuQxS6VTgIQG7uPCcQDDSzWrHqSN5GSf12n4g9TvAM==HKlM—–END PGP SIGNATURE—–
尽管LockBit勒索软件团伙正在宣布其LockBit 4.0版本,但是国际执法机构的打击仍未停歇。根据美国司法部的新闻稿,新泽西州地区法院公布了一份追加刑事诉讼,指控一名拥有俄罗斯和以色列双重国籍的人是LockBit勒索软件团伙的开发者。
美国新泽西州检察官周五公开宣布对51岁的俄罗斯和以色列双重国籍的罗斯季斯拉夫·帕涅夫(Rostislav Panev)提出指控,他被指控为LockBit勒索软件团伙的主要开发者。今年8月份,根据美国的临时逮捕请求,帕涅夫被以色列拘留,目前仍被关押在以色列,等待根据指控进行引渡至美国。
LockBit勒索软件团伙是最大的勒索软件团伙之一,被指控对包括美国在内的全球数千家公司发动了严重的数据窃取网络攻击,据称仅其勒索的赎金就高达5亿美元。美国领导下的国际联合执法机构在2024年2月份的一次打击行动中确定并查封了LockBit的基础设施,但很快LockBit就卷土重来,因为其领导者(被英国和美国当局称为Dmitry Khoroshev)身处俄罗斯,仍然逍遥法外。
美国司法部长梅里克·B·加兰(Merrick B. Garland)表示:“司法部打击世界上最危险的勒索软件计划的工作不仅包括摧毁网络,还包括找到建立和运营这些网络的个人并将其绳之以法。”“我们指控对LockBit针对数千名受害者的网络攻击负责的三名个人现已被拘留,我们将继续与我们的合作伙伴共同努力,一起追究所有领导和促成勒索软件攻击的人的责任。”
“逮捕帕涅夫先生反映了司法部使用一切手段打击勒索软件威胁的决心,”司法部副部长丽莎·莫纳科(Lisa Monaco)表示,“今年年初,我们协调国际力量打击了全球最具破坏性的勒索软件团伙LockBit。时至今日,得益于我们调查人员的辛勤工作以及我们在世界各地的强大合作伙伴关系,三名LockBit参与者已被拘留。此案是未来几年勒索软件调查的典范。”
联邦调查局局长克里斯托弗·雷(Christopher Wray)表示:“逮捕涉嫌开发者罗斯季斯拉夫·帕涅夫(Rostislav Panev)是FBI持续努力打击和摧毁LockBit勒索软件团伙的一部分,该团伙是全球最猖獗的勒索软件变种之一。”“LockBit团伙针对全球公共和私营部门受害者,包括学校、医院和关键基础设施,以及小型企业和跨国公司。无论威胁有多隐蔽或多么先进,联邦调查局都将一如既往地致力于与我们的机构间合作伙伴合作,保护网络生态系统,并追究那些对这些犯罪活动负责的人的责任。”
司法部刑事部门负责人、首席副助理总检察长妮可·M·阿尔金特里(Nicole M. Argentieri)表示:“刑事起诉书指控罗斯季斯拉夫·帕涅夫(Rostislav Panev)开发了恶意软件并维护了LockBit的基础设施,LockBit曾是世界上最具破坏性的勒索软件团伙,攻击了成千上万的受害者,造成了数十亿美元的损失。” “除了我们的国内和国际执法合作伙伴采取行动摧毁LockBit的基础设施外,刑事部门还通过指控其七名主要成员(包括关联公司、开发人员和管理员)并逮捕了包括帕涅夫在内的三名被告,破坏了LockBit的运营。我们特别感谢与欧洲刑警组织、英国、法国和以色列当局的合作,这表明,当志同道合的国家共同努力携手合作时,网络犯罪分子将更难逃脱法律的制裁。”
新泽西州联邦检察官菲利普·R·塞林格(Philip R. Sellinger)表示:“正如起诉书所指控的那样,罗斯季斯拉夫·帕涅夫多年来制造并维护了数字武器,使他的LockBit同谋在世界各地肆虐并造成数十亿美元的损失。” “但是,就像之前被本办公室和联邦调查局(FBI)及刑事部门的合作伙伴查明并指控的其他六名LockBit成员一样,帕涅夫不可能一直匿名,也不可能无限期地逃避法律制裁。他现在必须为自己的罪行负责。今天的声明是美国和我们的国际合作伙伴对LockBit团伙的又一次打击,我们将继续不懈努力,直到该团伙被彻底摧毁,其成员被绳之以法。
根据追加起诉书、本案件和相关案件中提交的文件以及在法庭上的陈述,帕涅夫从2019年左右LockBit勒索软件团伙成立到至少2024年2月期间,一直担任LockBit勒索软件团伙的开发者。在此期间,帕涅夫和他的LockBit同谋者将LockBit发展成为有时是世界上最活跃、最具破坏性的勒索软件组织。LockBit团伙袭击了全球至少120个国家的2500多名受害者,其中包括美国的1800名受害者。他们的受害者从个人、小型企业到跨国公司,包括医院、学校、非营利组织、关键基础设施以及政府和执法机构。LockBit的成员从受害者那里勒索了至少5亿美元的赎金,并造成了数十亿美元的其他损失,包括收入损失和事件响应和恢复成本。
LockBit的成员包括像帕涅夫这样的“开发人员”,他们设计了LockBit恶意软件代码并维护了LockBit运行所需的基础设施。LockBit的其他成员被称为“附属机构成员”,他们负责实施网络攻击,并向LockBit受害者勒索赎金。然后,LockBit的开发人员和附属机构会将瓜分从受害者处勒索的赎金。
根据追加起诉书的指控,今年8月份在以色列逮捕帕涅夫时,执法部门在帕涅夫的电脑上发现了一个在线存储库的管理员凭证,该存储库托管在暗网上,存储了LockBit生成器的多个版本的源代码,这使得LockBit的附属机构可以为特定受害者生成LockBit勒索软件恶意软件的定制版本。在该存储库中,执法部门还发现了LockBit的StealBit工具的源代码,该工具可帮助LockBit关联公司将通过LockBit攻击窃取的数据外流出去。执法部门还发现了LockBit控制面板的访问凭证,这是一个在线仪表板,由LockBit开发人员为LockBit的关联公司维护,并由这些开发人员托管在暗网上。
在今年5月份新泽西州地区公布的起诉书中,美国指控迪米特里·尤里耶维奇·霍罗舍夫(Dimitry Yuryevich Khoroshev)(Дмитрий Юрьевич Хорошев)通过网络犯罪论坛与LockBit的主要管理员交换了直接消息,该管理员也被称为LockBitSupp、LockBit和 putinkrab。在这些消息中,帕涅夫和LockBit主要管理员讨论了需要在 LockBit 生成器和控制面板上完成的工作。
法庭文件进一步表明,在2022年6月至2024年2月期间,LockBit的主要管理员通过一个或多个非法加密货币混合服务,每月向帕涅夫拥有的加密货币钱包转移约10000美元。在此期间,这些转账总额超过23万美元。
今年8月份被捕后,在接受以色列当局的询问时,帕涅夫承认曾为LockBit团伙进行了编码、开发和咨询工作,并定期以加密货币形式获得报酬,这与美国当局查明的转账情况一致。帕涅夫承认为LockBit团伙完成的工作包括:开发禁用杀毒软件的代码;将恶意软件部署到连接到受害者网络的多台计算机上;以及将LockBit的勒索信打印到连接到受害者网络的所有打印机上。帕涅夫还承认曾编写和维护LockBit恶意软件代码,并为LockBit团伙提供技术指导。
对LockBit勒索软件团伙的调查 今年2月,英国国家打击犯罪局(NCA)网络部门与美国司法部、联邦调查局和其他国际执法伙伴合作,对LockBit勒索软件进行了破坏,随后对帕涅夫提起了新的指控并逮捕了他。 正如司法部之前宣布的那样,当局通过查封LockBit用于连接该团伙基础设施的众多面向公众的暗网网站以及查封LockBit管理员使用的服务器的控制权,从而破坏了LockBit攻击者攻击和加密网络以及通过威胁发布被盗数据来勒索受害者的能力。正如本案中提交的文件所称,这次破坏成功大大削弱了LockBit的声誉及其攻击更多受害者的能力。
在对帕涅夫提起的追加指控之前,新泽西州地区还对其他LockBit成员提出了指控,包括其所谓的主要创建者、开发者和管理者Dmitry Yuryevich Khoroshev。5月份公布的对Khoroshev的起诉书称,Khoroshev早在2019年9月就开始开发LockBit,并一直担任该团伙的管理员直到2024年,在此期间,Khoroshev招募新的附属成员,以“LockBitSupp”的别名公开代表该团伙发言,并开发和维护了附属机构用于部署LockBit攻击的基础设施。Khoroshev目前是美国国务院跨国有组织犯罪(TOC)奖励计划最高1000万美元奖励的悬赏对象,FBI举报网站 www.tips.fbi.gov/可以接受举报。
目前共有七名LockBit成员在新泽西州地区受到指控。除了帕涅夫(Panev)和霍罗舍夫(Khoroshev)之外,此前被指控的其他LockBit被告还包括:
今年7月,两名LockBit附属成员Mikhail Vasiliev(又名Ghostrider、Free、Digitalocean90、Digitalocean99、Digitalwaters99和Newwave110)和 Ruslan Astamirov(又名BETTERPAY、offtitan和Eastfarmer) 在新泽西州地区法院认罪,承认他们参与了LockBit勒索软件团伙,并承认对美国和外国受害者发动了多次LockBit攻击。Vasiliev和Astamirov目前被拘留在押,等待宣判。 今年2月,在开展上述破坏行动的同时,新泽西州地区公布了一份起诉书,指控俄罗斯国民Artur Sungatov和Ivan Kondratyev(又名 Bassterlord)在美国各地对众多受害者部署 LockBit,受害者包括全国制造业和其他行业的企业,以及全球半导体和其他行业的受害者。Sungatov和Kondratyev仍然在逃。 2023年5月,华盛顿特区和新泽西州公布了两份起诉书,指控米哈伊尔·马特维耶夫(Mikhail Matveev,又名Wazawaka、m1x、Boriselcin和Uhodiransomwar)使用包括LockBit在内的不同勒索软件变体攻击美国各地的众多受害者,包括华盛顿特区大都会警察局。马特维耶夫仍然逍遥法外,目前通过美国国务院的TOC奖励计划可获得最高1000万美元的悬赏,FBI举报网站 www.tips.fbi.gov/可以接受举报。 美国国务院的TOC奖励计划提供以下奖励:
提供导致在任何国家逮捕和/或定罪霍罗舍夫的信息可获得高达1000万美元的报酬 ; 提供导致逮捕和/或定罪Matveev的信息可获得高达1000万美元的奖励 ; 对于提供可识别和定位任何在LockBit中担任关键领导职务的个人的信息,最高可获得1000万美元的奖励 ; 对于提供信息导致在任何国家逮捕和/或定罪任何参与或试图参与LockBit的个人,可获得最高500万美元的奖励。 联邦调查局举报网站tips.fbi.gov接受举报。
霍罗舍夫(Khoroshev)、马特维耶夫(Matveev)、桑加托夫(Sungatov)和康德拉季耶夫(Kondratyev)还因参与发动网络攻击而被美国财政部外国资产控制办公室列入制裁名单。
针对LockBit勒索攻击受害者的援助 美国当局鼓励LockBit受害者与联邦调查局联系,并通过www.ic3.gov/提交信息。正如司法部今年2月份宣布的那样,执法部门通过其破坏行动开发了解密功能,这可能使全球数百名受害者能够恢复被LockBit勒索软件变种加密的系统。在IC3网站上提交信息将使执法部门能够确定受影响的系统是否可以成功解密。
LockBit勒索软件团伙是全球最猖獗的勒索软件团伙之一,它使超过2000个企业成为受害者,累计赎金超过1.2亿美元,并提出了总额达数亿美元的勒索要求。
早在今年年初,“暗网下/AWX”报道了LockBit勒索软件团伙的暗网泄密网站被国际执法机构成功取缔后又重新归来的消息。当时,有分析表示,LockBit勒索软件的开发人员正在秘密构建新版本的文件加密恶意软件,称为LockBit-NG-Dev,可能成为LockBit 4.0。就在今天,LockBit勒索软件团伙在其暗网泄密网站发布公告,正式宣布了LockBit 4.0版本的暗网网站。
LockBit勒索软件团伙的公告称,如果“想要一辆兰博基尼、一辆法拉利和许多大奶妹子吗?”,可以“注册(其提供的新的网站)并与我们一起在5分钟内开始您的‘网络渗透’亿万富翁之旅。”公告里还提供了一个访问密钥(ADTISZRLVUMXDJ34RCBZFNO6BNKLEYKYS5FZPNNXK4S2RSHOENUA),据说这是为了保护该团伙的暗网网站免受遭受DDoS攻击。公告中附了5个洋葱域名:
http://lockbitapyx2kr5b7ma7qn6ziwqgbrij2czhcbojuxmgnwpkgv2yx2yd.onion
http://lockbitapyum2wks2lbcnrovcgxj7ne3ua7hhcmshh3s3ajtpookohqd.onion
http://lockbitapp24bvbi43n3qmtfcasf2veaeagjxatgbwtxnsh5w32mljad.onion
http://lockbitapo3wkqddx2ka7t45hejurybzzjpos4cpeliudgv35kkizrid.onion
http://lockbitapiahy43zttdhslabjvx4q6k24xx7r33qtcvwqehmnnqxy3yd.onion
“暗网下/AWX”随机测试访问了以上暗网网站,发现确实需要使用其提供的密钥才能正常访问。但是与LockBit 3.0的网站不同的是,进入新的暗网网站后需要用户名密码才能登录,同时提供了两个注册按钮,一个是使用BTC(比特币)注册,另一个是使用XMR(门罗币)注册。在网站最下方,显示称该团伙从2019年9月3日开始运作(We’ve been working since September 3, 2019),并显示了具体的计时。
本站(anwangxia.com)试图注册一个账号,但注册页面要求转账指定数额(价值777美元)的BTC或者XMR地址打款才能完成注册,因此尚未进一步测试。新暗网网站的注册页面写道,请在完成注册前保存付款链接,只有通过该链接,才能在不小心关闭浏览器时继续进行注册。用户可以支付多于指定金额(777美元)的款项,但不得少于指定金额。如果金额少于指定金额,注册将被取消。
对于使用BTC注册的用户,网页要求请发送0.007786 BTC至指定地址,并要求使用加密货币混合器支付注册费或发送脏比特币;使用XMR注册的用户,网页称只需发送3.765265 XMR至指定地址。注册页面表示,只要确认已经付款,注册者将立即获得LockBit勒索软件控制面板的访问权限,用户可以在此创建基于Windows、ESXi、Linux的加密程序(勒索软件),并与遭受攻击的受害者进行交流。
看起来,LockBit 4.0似乎将勒索软件即服务(RASS)的流程通过暗网网站后台集成化了,但同时也提升了成为其附属机构的门槛,即需要支付777美元的注册费用才能加入该团伙,然后才能使用该团伙最新版本的勒索软件。
FBI等国际执法机构针对LockBit的打击一直在持续进行,但LockBit背后的管理团队都位于俄罗斯等独联体国家,这让国际执法机构也无能为力。国际执法机构何时能摧毁LockBit新的基础设施,“暗网下/AWX”将拭目以待。
马萨诸塞州医疗机构安娜·雅克(Anna Jaques)医院最近证实,其在去年圣诞节遭受了勒索软件攻击。
根据12月5日的一份声明,超过30万名患者的数据被黑客窃取,并在暗网上出售。泄露的敏感信息包括健康保险信息、社会安全号码、姓名、地址、驾驶执照号码、财务数据以及医院电子健康记录中包含的医疗信息。
重要医疗保健提供商遭勒索软件攻击 这次残酷的网络攻击导致超过31万名患者的敏感健康数据被泄露。这家非营利组织为梅里马克山谷、北岸和新罕布什尔州南部的当地社区提供医疗保健服务。
安娜·雅克医院是一家非营利性社区医院,该医院拥有83张床位、200名医生和1200名工作人员,以其高质量的护理而闻名,每年进行超过4700次手术。
“暗网下/AWX”进一步查询得知,安娜·雅克医院是贝斯以色列莱希医疗网络的一部分,该医疗网络由100家医疗诊所和14家医院组成。该医疗网络共拥有4700多名医生和39000名员工。
去年12月25日,安娜·雅克医院工作人员发现该医院疑似遭受网络攻击,多个系统受到破坏。当医院注意到黑客在“2023年12月25日左右”访问其网络时,医院表示“立即展开彻底调查,隔离了受影响的系统,并向执法部门报警”。
Money Message勒索软件团伙的勒索手段 不幸的是,损失已经造成了:一个月后,这家医院发现自己成为了臭名昭著的勒索软件团伙Money Message的攻击目标。
2024年1月19日,Money Message勒索软件团伙开始公开勒索安娜·雅克医院,并在其暗网泄密网站上发布被盗数据的样本。这个臭名昭著的勒索软件团伙要求以不公布完整数据集为条件支付赎金。
在安娜·雅克医院管理员拒绝与犯罪者谈判后,该勒索软件团伙将全部被盗数据缓存都放到了他们的勒索软件平台上。
彻底调查确认数据泄露 今年11月5日完成的全面取证调查显示,这些泄露的数据包括:
人口统计详情 医疗和健康保险信息 财务信息 社会安全号码(SSN) 驾驶执照号码 其他个人或健康相关数据 调查全面对受影响文件进行了细致的人工审查。但不幸的是,这种彻底的检查方法导致延迟确认了数据泄露的全部影响。
安娜·雅克医院称未发现任何欺诈企图的证据 当安娜·雅克医院于2024年12月5日通知缅因州总检察长办公室和受影响个人时,已经清楚有316,342名患者的数据已被泄露。但该医院没有透露是否支付了赎金。
尽管发生了泄密事件且被盗数据具有个人隐私性质,但该医院表示,没有证据表明威胁者利用泄露的数据进行欺诈活动。不过,医院采取了积极主动的方式支持受影响的个人,为他们提供24个月的免费身份保护和信用监控服务。
安娜·雅克医院表示,“没有证据表明您的任何信息因此次事件而被滥用于身份盗窃或金融欺诈。”该医院还表示,已与第三方网络安全公司合作开展调查。
“暗网下/AWX”发现,一个新的暗网勒索软件团伙Chort在近几个月浮出水面。该勒索软件团伙与其他勒索软件组织类似,也实施双重勒索,先从受害者那里窃取敏感数据,然后加密文件和目录。它要求受害者支付赎金才能解密并安全归还被盗数据。该勒索软件团伙也被称为“Chort RS Group”、“Chort Ransomware”和“Chort Locker”,Chort在俄语中是“魔鬼”的意思,代表着这个勒索软件团伙的邪恶。
据本站(anwangxia.com)分析研究估算,Chort勒索软件团伙可能从2024年9月开始运作,因为一些受害者在当月宣布了遭遇的网络攻击事件。2024年10月21日,网络上出现了与Chort勒索软件相关的样本。Chort团伙在暗网泄密网站上发布的最早的受害者(Texans Can Academies,texanscan.org)帖子日期为10月29日,也就意味着该暗网网站的创建时间早于10月29日。
与其他勒索软件团伙一样,Chort勒索软件团伙应该也是出于经济目的发动的勒索攻击,其暗网网站没有发布任何政治言论或社会宣言,只是在首页中写着“List of Companies wouldn’t want to be safe”(不想安全的公司名单)。
Chort勒索软件团伙攻击的7名受害者分析 截至目前,Chort勒索软件团伙已在其暗网泄密网站上列出了7个受害者,最新受害者的发布日期为11月22日。经初步判断,Chort团伙主要针对的都是美国目标:
总部位于美国的教育机构Texas Can Academies(exanscan.org) 美国教育机构爱德华斯堡学校基金会(edwardsburgschoolsfoundation.org) 美国制造商Tri-Tech Electronics(Tri-TechElectronics.com) 位于美国的巴托县学校系统(bartow.k12.ga.us) 位于科威特的农业事务和鱼类资源公共管理局(PAAF,paaf.gov.kw) 位于美国的哈特威克学院(hartwick.edu) 位于美国的希博伊根市政府(sheboyganwi.gov) 其中,Chort团队已将City Of Sheboygan(sheboyganwi.gov)、Hartwick College(hartwick.edu)、PAAF(paaf.gov.kw)、Bartow County School System(bartow.k12.ga.us)、和Tri-Tech Electronics(Tri-TechElectronics.com)等5个受害者的数据免费提供给其暗网泄密网站的访问者下载。而其余2个受害者:Edwardsburg Public Schools Foundation(edwardsburgschoolsfoundation.org)和Texans Can Academies(texanscan.org)的状态是“Not Available”,无法判断这两个目标是否已经支付了赎金,还是正在谈判中。
其中2名受害者公开宣布他们遭受了网络事件。2024年9月30日,爱德华兹堡学校基金会表示,它遭遇了“网络中断”,导致课程被取消。10月18日,巴托县学校系统宣布,在“未经授权的外部来源”试图访问其部分“信息系统”后,它遭遇了长达一周的服务中断。但是2份声明都没有列出被指控攻击者的身份。因此,“暗网下/AWX”目前无法确认这些事件是否与Chort团伙的攻击有关。
Chort勒索软件团伙的暗网泄密网站 Chort维护着一个英语版本的暗网泄密网站:
http://hgxyonufefcglpekxma55fttev3lcfucrf7jvep2c3j6447cjroadead.onion
“暗网下/AWX”尝试访问了该站点,该暗网网站访问速度很快,首次进入时,页面上设置有数字验证码的认证,似乎为了防止DDoS攻击。
该暗网网站主页上列出了Chort团伙声称已经成功入侵的7名受害者名单。点击特定受害者的logo会重定向到该受害者的特定页面,其中详细介绍了该目标的行业部门、涉嫌被盗数据量以及公布的时间。对于其中两名标记为“Published”(已公布)的受害者,Chort还嵌入了个人身份信息(PII)、发票和其他财务文件的图像,作为被盗数据的证据。
此外,主页的右上角有个“联系我们”的按钮,点击进去后的页面显示着“如需购买资料,请通过以下地址联系我们”(For purchase data please contact us from below addresses),并列出了Chort勒索软件团伙在Tox(EA8712D4F50F37D1AD722D4E29026A61946D3F90CAC4E0AD45204547F5A538524F847DE387B1)、Jabber([email protected])和Telegram(@ChortGroup)的联系信息。经访问得知,该团伙于北京时间11月16日创建了Telegram频道,截至目前,该频道大约有62名订阅者。
Chort勒索软件团伙能存在多久,FBI何时能够摧毁它。“暗网下/AWX”将持续关注。
“暗网下/AWX”在今年7月份曾介绍了勒索软件团伙“Vanir Group”,”Vanir Group“是网络勒索犯罪世界中一个新的危险威胁。他们的行动精确而残忍,已经袭击了三家公司。7月份该团伙发布了这三名受害者的信息,其中包括一家中国公司和一加位于德国的公司。
🚨 New #ransomware group: Vanir Group 🚨
Currently, the criminal group's list includes 3 victims:
Beowulfchain[.]com: "Beowulfchain is a decentralized communication and data network that enables businesses to provide communication without barriers. We have accessed and… pic.twitter.com/iecQgyK7Q7
— HackManac (@H4ckManac) July 10, 2024 德国执法部门在几次突袭中成功摧毁了“Vanir Group”勒索软件团伙使用的部分网络基础设施,该勒索软件团伙部署了新型恶意软件。
巴登-符腾堡州刑事警察局于今年9月17日宣布了这一消息,并在一份声明中表示,该局已与卡尔斯鲁厄检察院网络犯罪中心合作开展此次行动。
卡尔斯鲁厄市和巴登-符腾堡州的官员表示,他们已经接管了黑客部署Vanir Locker勒索软件所使用的暗网泄密网站。
巴登-符腾堡州当局自6月24日起就一直在调查Vanir Group勒索软件团伙,并于8月发现了该团伙泄密网站的托管服务器,并于9月17日对其进行了查封。
“2024年8月,调查人员成功识别出所谓Tor网络中某个网站的服务器。该团伙宣布将在此网站上发布从受影响公司获得的数据,”他们说。 德国当局表示:“今天,犯罪者的Tor页面已被国家刑事警察局代表网络犯罪中心接管,并重定向到一个被屏蔽的页面。”
官员们没有回应记者的置评请求,即是否有人被捕,或者泄密网站上列出的这家德国公司是否受到勒索软件攻击的影响。他们在声明中表示,“通过封锁该页面,肇事者窃取的数据将无法再在其Tor页面上发布。对勒索软件团伙成员身份的调查仍在进行中。”
目前访问“Vanir Group”的暗网泄密网站现在显示一个警方的扣押页面:“这个暗网网站已经被巴登-符腾堡州国家调查局查封,这是针对Vanir勒索软件团伙采取的执法行动的一部分。”
“Vanir Group”勒索软件团伙本身并不是一个特别活跃的勒索软件团伙,正如本站(anwangxia.com)之前报道:今年6月和7月“Vanir Group”仅攻击了三名受害者——分散式通信公司Beowulfchain、纸张制造商Qinao和汽车租赁公司Athlon。
从此以后,该勒索软件团伙就没再活跃过。
“Vanir Group”勒索软件团伙的背景 “Vanir Group”团伙此前曾在其暗网泄密网站上表示,这是一个勒索软件即服务团伙,正在积极寻找附属机构。它显然是由一个名叫BlackEyedBastard的人经营的。
网络安全社区新闻网站Red Hot Cyber声称在7月采访了BlackEyedBastard,其中“Vanir Group”领导人阐述了该团伙的行动。
“暗网下/AWX”在今年7月份曾介绍了勒索软件团伙“Vanir Group”,”Vanir Group“是网络勒索犯罪世界中一个新的危险威胁。他们的行动精确而残忍,已经袭击了三家公司。7月份该团伙发布了这三名受害者的信息,其中包括一家中国公司和一加位于德国的公司。
🚨 New #ransomware group: Vanir Group 🚨
Currently, the criminal group's list includes 3 victims:
Beowulfchain[.]com: "Beowulfchain is a decentralized communication and data network that enables businesses to provide communication without barriers. We have accessed and… pic.twitter.com/iecQgyK7Q7
— HackManac (@H4ckManac) July 10, 2024 德国执法部门在几次突袭中成功摧毁了“Vanir Group”勒索软件团伙使用的部分网络基础设施,该勒索软件团伙部署了新型恶意软件。
巴登-符腾堡州刑事警察局于今年9月17日宣布了这一消息,并在一份声明中表示,该局已与卡尔斯鲁厄检察院网络犯罪中心合作开展此次行动。
卡尔斯鲁厄市和巴登-符腾堡州的官员表示,他们已经接管了黑客部署Vanir Locker勒索软件所使用的暗网泄密网站。
巴登-符腾堡州当局自6月24日起就一直在调查Vanir Group勒索软件团伙,并于8月发现了该团伙泄密网站的托管服务器,并于9月17日对其进行了查封。
“2024年8月,调查人员成功识别出所谓Tor网络中某个网站的服务器。该团伙宣布将在此网站上发布从受影响公司获得的数据,”他们说。 德国当局表示:“今天,犯罪者的Tor页面已被国家刑事警察局代表网络犯罪中心接管,并重定向到一个被屏蔽的页面。”
官员们没有回应记者的置评请求,即是否有人被捕,或者泄密网站上列出的这家德国公司是否受到勒索软件攻击的影响。他们在声明中表示,“通过封锁该页面,肇事者窃取的数据将无法再在其Tor页面上发布。对勒索软件团伙成员身份的调查仍在进行中。”
目前访问“Vanir Group”的暗网泄密网站现在显示一个警方的扣押页面:“这个暗网网站已经被巴登-符腾堡州国家调查局查封,这是针对Vanir勒索软件团伙采取的执法行动的一部分。”
“Vanir Group”勒索软件团伙本身并不是一个特别活跃的勒索软件团伙,正如本站(anwangxia.com)之前报道:今年6月和7月“Vanir Group”仅攻击了三名受害者——分散式通信公司Beowulfchain、纸张制造商Qinao和汽车租赁公司Athlon。
从此以后,该勒索软件团伙就没再活跃过。
“Vanir Group”勒索软件团伙的背景 “Vanir Group”团伙此前曾在其暗网泄密网站上表示,这是一个勒索软件即服务团伙,正在积极寻找附属机构。它显然是由一个名叫BlackEyedBastard的人经营的。
网络安全社区新闻网站Red Hot Cyber声称在7月采访了BlackEyedBastard,其中“Vanir Group”领导人阐述了该团伙的行动。
Akira是一个勒索软件团伙(ransomware-as-a-service),在勒索软件圈子的知名度越来越高,其暗网泄密网站本月公布的新受害者数量创下了纪录,而且还有更多受害者在增加。为了一探究竟,“暗网下/AWX”尝试对Akira的暗网泄密网站进行了访问。
Akira的暗网泄密网站的V3地址是:
https://akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad.onion
Akira团伙的暗网网站 Akira团伙的暗网泄密网站以日本赛博朋克漫画命名,其风格类似于20世纪80年代流行的单色计算机命令行界面。在”暗网下/AWX“看来,该网站的风格与”Vanir Group“的暗网泄密网站界面很相似,设计成一个Linux系统的终端,黑底绿字,操作也与终端相仿,看起来像一个客户访问Linux终端(guest@akira:~$)。
打开Akira团伙的暗网网站,与其他勒索软件团伙的暗网泄密网站一样,映入眼帘的也是一段恐吓文字:
您在这里。这意味着你现在正遭受网络事件的困扰。将我们的行动视为对您的网络漏洞进行一次计划外的强制审计。请记住,要让这一切消失,需要付出合理的代价。
不要急于评估发生了什么–是我们害了你们。您能做的最好的事情就是按照我们的指示恢复您的日常工作,通过与我们合作,您可以将可能造成的损失降到最低。
那些选择不同道路的人将在这里受到公开羞辱。本博客的功能非常简单,只需在输入行中输入所需的命令,即可获取全球企业希望保密的最多汁信息。
请记住 没有我们的帮助,您将无法恢复。您的数据已经消失,无法追踪到最终存储地点,也无法被除我们之外的任何人删除。
与”Vanir Group“暗网网站类似,Akira网站的伪终端里可以输入5个命令:输入”help“等命令,可以查看所有命令列表;输入”leaks“命令,可以查看所有被黑的受害者信息;输入”news“命令,可以查看关于即将发布的数据的新闻;输入”contact“命令,可以给Akira团伙发送消息;输入”clear“命令,可以清除当前屏幕显示。
由此看来,Akira的暗网泄密网站主要包含3个功能:一是“新闻”功能(/n),用于勒索最近的受害者;二是“泄露”功能(/l),用于在勒索失败后公布数据;三是”联系“功能(/m),用于与勒索软件团伙进行联系。
其中联系功能,可以提交”email/icq/jabber/tox id/telegram“,意味着勒索软件团伙会使用这些联系方式进行联系。
Akira勒索软件团伙发布了大量受害者信息 本站(anwangxia.com)测试输入”news“命令,发现从2023年4月25日至2024年11月20日的大约一年半时间里,Akira勒索软件团伙共发布了319个受害者,并详细描述了泄露的是什么数据;输入”leaks“命令,经统计,公开泄露了数据的受害者共有128个。因此”暗网下/AWX“判断,除了还在勒索谈判期的,也许已经有上百个受害者支付了赎金。
美国联邦调查局称,Akira勒索软件团伙于2023年3月出现,他们为黑客提供平台,通过窃取和加密数据来勒索受害者。FBI表示,在运营的第一年,Akira通过大约250次攻击赚取了4200万美元。
该团伙在出现后不久就进行了大量的网络攻击,令专家们相信该组织是由经验丰富的勒索软件攻击者组成。去年该团伙发动了一系列攻击,包括对云托管服务提供商Tietoevry的攻击。
勒索软件团体通常会在受害者公布被盗数据前,给他们几天或几周时间支付赎金,具体时间取决于谈判结果。Akira的暗网泄密网站在8月至10月期间公布的数据比平时少,导致11月份列表数量突然激增的原因可能有多种,比如越来越多的新附属公司利用该暗网网站勒索受害者,或者是Akira管理员选择隐瞒之前的泄密事件。
新受害者大多来自总部位于美国的商业服务行业公司以及两家公司总部位于加拿大的公司,其他受害者来自德国、英国和其他国家。“暗网下/AWX”将受害者的名字与网址与过去几年追踪的所有勒索软件团伙发布的受害者进行了对比分析,证实这些被攻击的对象都是首次出现的新受害者。
LockBit今年早些时候公布了类似数量的受害者信息,试图淡化其受到执法部门攻击的情况,LockBit“在其旧网站被查封后,将旧受害者信息与新受害者信息混在一起”。
据英国国家打击犯罪局称,LockBit列出的许多受害者都是被重新发布的旧攻击,而其他受害者则是虚假或被错误归因的攻击,据称影响了一家大型企业,而事实上只影响了一家非常小的子公司。