数周以来,外界一直猜测,美国的俄亥俄州哥伦布市遭受了网络攻击(自7月18日起,哥伦布市网站的各个平台一直瘫痪,一些政府电子邮件地址也无法使用),最终,哥伦布市和市长Ginther正式确认,又国外网络威胁行为者试图破坏整个城市的IT基础设施,以部署勒索软件,然后进一步向该市索要赎金。
勒索软件团伙对哥伦布实施了网络攻击 就在几天前,市长Ginther曾表示,该市挫败了勒索软件的加密企图,但数据可能已被盗。
该市的新闻稿称,技术部门已经能够识别这一威胁,并“采取行动,大幅限制了潜在的风险”。
然而,6.5TB的数据库、内部登录信息、员工密码、城市视频摄像头访问权限,甚至紧急服务记录数据现在都被发布在暗网上出售。
曾袭击英国、美国和智利目标的国际勒索软件团伙Rhysida周三在其暗网上列出了被盗的哥伦布市政府数据,并出售。该团伙已宣布对哥伦布市的攻击负责,他们要求以30比特币或190万美元的起拍价出售所有这些数据的访问权限。
勒索软件监控组织Ransom Look获得了Rhysida拍卖哥伦布市数据列表的截图,该截图显示,Rhysida窃取了超过6.5TB的数据库、员工的内部登录名和密码,以及“包含该市紧急服务应用程序的服务器的全部数据”和“来自城市摄像机的访问数据”。
“哥伦布市是一个成熟、老练的海外威胁行为团伙所犯罪行的受害者。我非常感谢我们的技术部、联邦调查局和国土安全部为保护我们的IT系统、居民和员工而采取的迅速而大胆的行动。”市长Andrew J. Ginther在新闻稿中表示。“我们将继续致力于恢复城市服务。我们感谢居民对我们的恩惠,感谢我们的员工为维持城市运转而做出的奉献。我们将支持彻底调查,并帮助教育其他城市如何避免成为类似袭击的受害者。”
Rhysida勒索软件团伙 Rhysida是一个臭名昭著的国际勒索软件团伙,曾对全球12起政府网络攻击负责。根据美国联邦网络安全和基础设施安全局(CISA)的说法,Rhysida勒索软件团伙于2023年5月左右开始活跃。他们是2023年11月对英国大英图书馆的攻击、2023年12月对英国爱德华七世国王医院的攻击、2023年5月对智利军队的入侵以及对视频游戏开发商Insomniac Games发动网络攻击的幕后黑手,该攻击导致该公司的机密数据在网上泄露。
据CISA称,该团伙采用勒索软件组织常用的“双重勒索”手段,要求支付赎金才能解密数据,并威胁如果不支付赎金就公布被盗数据。
CISA称,该团伙可能由另一个勒索软件组织Vice Society的同一批人员管理,后者主要针对教育机构。
该团伙的成员很可能是居住在俄罗斯的俄语使用者,俄罗斯除了极少数的囚犯交换外,不会将罪犯引渡到美国。俄罗斯的网络罪犯一般在俄罗斯政府的“默许”下开展活动。因此即使执法部门成功识别了勒索软件组织的成员,他们可能也无法将其逮捕。
近日,一个自称为”Vanir Group“的新勒索软件团伙最近首次出现在公众视线。该团伙在短时间内攻击了三名受害者,并通过一个暗网数据泄漏网站公开了他们的行动。本站(anwangxia.com)尝试访问了该暗网勒索团伙的暗网网站。
在他们的暗网网站上,”Vanir Group“给他们勒索的目标留下了一条恐吓信息,收信人是受影响公司的首席执行官或域名管理员。以下是部分内容:
您好,您一定是域名管理员或首席执行官,换句话说,您是我们最新的受害者。
您阅读这条信息意味着贵公司的内部基础设施已被入侵,您的所有备份都已删除或加密。
我们还窃取了贵公司持有的大部分重要数据。
今后,与我们合作将符合贵公司的利益,以避免进一步蒙羞。
我们知道一切。我们仔细研究了贵公司的所有财务状况,我们知道贵公司需要支付的合理价格。
我们会公平地对待你们。
如果您选择无视我们的善意,向执法部门或数据恢复专家报告,让他们帮您想办法恢复丢失的数据,您只会损失的是时间和金钱,而我们在这个过程中失去的是耐心。
失去耐心将导致您的敏感信息泄露给您的竞争对手和其他网络犯罪分子,他们肯定会从中获利。避免这种情况对您最有利。
我们始终愿意进行谈判,因为我们认为对话应该是第一选择,而激烈的行动应该留到最后。
如果我们无法达成协议,我们将出售或赠送我们从您那里窃取的所有信息。
”Vanir Group“声称对受影响公司的财务状况了如指掌,这表明赎金价格是经过精心计算的。他们威胁说,如果不满足他们的要求,就会出售或分发被盗数据,这也是勒索软件集团的一贯套路,那就是双重威胁,既加密数据,又威胁泄露数据。
”Vanir Group“的暗网网站 ”Vanir Group“的暗网网站设计的非常有创意,酷似一个Linux系统的终端,且操作也如一个真的互动终端。在这个终端里可以输入四个命令:输入”help“等命令,查看可用命令列表;输入”news“命令,查看有关该勒索集团及其受害者的信息;输入”victims“命令,可以查看所有受害者的名单;输入”clear“命令,可以清除当前屏幕显示。
在页面中,”Vanir Group“还邀请潜在的附属组织与他们联系,暗示他们正在寻找合作者来扩大他们的行动:
“要加入我们,请在Tox上给BlackEyedBastard发消息,以便对你进行审查”。
”Vanir Group“是”暗网下“观察到的网络勒索犯罪世界中一个新的危险威胁。他们的行动精确而残忍,已经袭击了三家公司,给潜在受害者和执法部门都敲响了警钟。企业必须加强网络安全防御,采取预防措施,避免成为该勒索软件集团的下一个受害者。
三位受害者中包含中国的企业 通过”Vanir Group“的暗网泄密网站,”暗网下/AWX“输入了”news“与”victims“命令,获取了三位受害者信息,具体如下:
Beowulfchain.com,美国公司,Beowulfchain是一个去中心化的通信和数据网络,使企业能够无障碍地提供通信。于2024年7月7日被”Vanir Group“攻击并锁定,被窃取17GB内部数据。
Qniao.cn,中国公司,千鸟互联是中国第一家中国印包产业链数字化交易服务商。”Vanir Group“未公开攻击时间,但透露该企业被窃取80GB内部数据。
Athlon.com,荷兰公司,Athlon是运营车辆租赁和移动解决方案的国际供应商。于2024年6月3日被”Vanir Group“攻击并锁定,被窃取20GB内部数据。
对于”千鸟互联“(Qniao.cn),”暗网下/AWX“查看了其官方网站,这是一家互联网辐射的印刷包装产业链交易服务平台。根据其网站介绍,”千鸟互联是中国第一家中国印包产业链数字化交易服务商。先进的“智能云工厂+闭环供应链”模式,通过自主研发的IOT+MES系统创造性地把数万家印刷包装厂的数十万台生产设备连接起来,有效整合闲置产能,可视化管控生产流程,形成更加智慧、高效的智能云工厂;并且通过自建“前置工厂+智慧物流体系”,重新构建印刷包装产业更加高效、便捷的供应链体系,最终以更低的价格、更高效的管控为烟酒、珠宝、家具、灯饰、玩具、食品、化妆品、电子产品、物流快递等数十个需要纸包装的行业提供订单生产的完美交付。 千鸟互联用互联网手段赋能传统产业,自2017年成立以来,迅速打造了以“千鸟云印、千鸟原纸、千鸟回收、千鸟金融”为核心的产品矩阵。截止目前,千鸟业务范围辐射广西、安徽、浙江、福建等超过十个城市,单月营收已近2亿元。预计2021年营收将突破15亿,纳税额超过2亿。 业务的飞速发展,让千鸟很快得到国内众多顶级投资机构的亲睐,先后获得了广东省宣传部旗下广东文投创工场、中国前三名天使投资机构梅花创投、腾讯史上第一个投资人刘晓松主导的青松基金、深圳广电集团旗下的前海天和文化基金等顶级投资人共五轮过亿风险投资。“这么大的企业居然被勒索,因此,网络安全还是需要重点投入。
暗网勒索软件团伙LockBit声称从美国联邦储备局窃取了一个庞大的数据库,其中包含美国公民的敏感银行信息,但这一说法遭到了普遍怀疑。
昨天,这家臭名昭著的勒索软件运营商在其暗网数据泄露网站上添加了美联储,称其已获得一份包含“33TB的重要信息,其中包含美国人的银行机密”的档案。
此外,他们还说:“你最好在48小时内再雇另一名谈判代表,然后解雇这个把美国人的银行保密权看得价值只值5万美元的白痴”,这表明谈判已经在进行中,并且美方以5万美元的价格试图获得这些数据。
LockBit是在虚张声势吗? 目前尚不清楚LockBit要求多少钱来交换这些“有价值的银行信息”,但众所周知,LockBit对这些档案的索要价格高达七位数。
达成协议的最后期限是UTC时间6月25日晚上8:27(美国东部时间下午2:27),到目前为止,美联储仍然保持沉默,但其他分析师却不那么沉默。事实上,许多人认为,克罗诺斯行动(Cronos)后的LockBit已经面目全非,而美联储的“失窃”只不过是试图提高其在黑客界地位的诡计。
克罗诺斯行动(Cronos)是一次重大的国际警察联合执法行动,导致LockBit的基础设施被查封,数千份文件和解密密钥被公开,LockBit背后的运营商和一些附属机构被人肉曝光。由于没有逮捕任何人,LockBit在大约一周内恢复了运营。
Lockbit以其咄咄逼人的谈判策略和针对知名机构而臭名昭著。该勒索软件团伙最近的受害者还包括加拿大连锁药店London Drugs、威奇托市和戛纳西蒙娜医院(Hôpital de Cannes – Simone Veil)。
在对美联储发动攻击之前,美国司法系统揭露俄罗斯人德米特里-霍罗舍夫(Dmitry Khoroshev)是勒索软件团伙的开发者、创建者和管理者。
不过,多名安全研究人员对此次攻击的真实性表示怀疑。
例如,Black Kite公司首席研究和情报官Ferhat Dikbiyik博士将该勒索软件团伙描述为处于“绝望状态”,而Guidepoint Security公司的威胁情报顾问Jason Baker则强调LockBit没有任何证据证明其说法。
威胁情报组织@vxunderground在X上发布推文称,对于Lockbit勒索软件团伙声称入侵了美联储,一是表示怀疑,二是如果LockBit真的入侵了美联储,那么它将需处于2级防御状态,其管理员将需要担心无人机袭击。
Lockbit在Telegram发布的公告 我们从联邦储备局窃取并提取了33TB 的信息。
“我们掌握了33TB有趣的银行信息,其中包含美国银行的秘密。我们建议你在48小时内雇佣另一名谈判专家 并解雇一个以5万美元估价美国银行机密的白痴”
“我们将出售它或将其发布在我们的VIP频道上,相信我,我们说的都是真的!”。
我们也不是来自任何联邦圈子,我们有许多特工与我们合作。
如果是通过Telegram,请通过此处提供的联系方式与我们联系;如果是通过博客,请通过此处列出的QTOX博客与我们联系。
是时候在每个国家开展大规模行动了,这不正是我们的承诺吗?我们的目标是全球多个国家的政府,包括将成为受害者的银行。
FBI称已经获取了LockBit的7000个解密密钥 这一消息对那些数据被加密无法访问的人来说可能是个好消息。
美国联邦调查局(FBI)在找到数千个解密密钥后,敦促最猖獗的勒索软件团伙之一LockBit的受害者挺身而出,这些密钥可能有助于恢复数月或数年来无法访问的数据。
上周三,一名FBI高级官员披露了这一消息。三个月前,国际执法机构查封了暗网勒索软件团伙LockBit使用的服务器和其他基础设施。当局称,该团伙已从全球7000名受害者那里勒索了超过10亿美元。当局当时表示,他们控制了1000个解密密钥、4000个账户和34台服务器,并冻结了与此次行动相关的200个加密货币账户。
联邦调查局网络助理局长布莱恩·沃恩德兰(Bryan Vorndran)上周三在波士顿举行的一次网络安全会议上发表讲话时说,特工们还追回了一项对数千名LockBit受害者来说非常有意义的资产——解密密钥,这些密钥可以让他们解锁被LockBit团伙勒索的数据。
“此外,通过对LockBit的持续破坏,我们现在拥有超过7000个解密密钥,可以帮助受害者恢复他们的数据并重新上网,”沃恩德兰在指出此次扣押行动带来的其他成就后说道。“我们正在联系已知的LockBit受害者,并鼓励任何怀疑自己是受害者的人访问我们的互联网犯罪投诉中心ic3.gov。”
执法部门目前掌握的解密密钥数量大大高于当局在宣布取缔行动当天所称的1000个密钥。
这位助理局长警告说,通过从勒索软件运营商那里购买解密密钥,只能解决受害者的两个问题之一。与大多数勒索软件团伙一样,LockBit遵循双重勒索模式,不仅要求支付解密密钥的赏金,还要求承诺不向第三方出售机密数据或将其发布在互联网上。虽然归还密钥可能让受害者恢复他们的数据,但这并不能阻止LockBit出售或传播数据。
“当公司被勒索并选择付费以防止数据泄露时,你付钱是为了防止数据现在泄露,而不是将来泄露,”沃恩德兰说。“即使你从犯罪分子手中拿回了数据,你也应该假设它有一天可能会被泄露,或者有一天你可能会再次因同样的数据被勒索。”
理所当然的是,获得执法部门收回的7000个密钥之一的受害者面临着同样的威胁,即他们的数据有可能遭到泄露,除非他们付钱。
打击勒索软件的斗争同样取得了有限的胜利,遏制LockBit活动的努力也不例外。2022年,当局逮捕了一名名为米哈伊尔·瓦西里耶夫(Mikhail Vasiliev)的LockBit相关人员,并于3月判处他四年监禁。上个月,当局将LockBit的幕后黑手列为31岁的俄罗斯国民尤里耶维奇·霍罗舍夫(Yuryevich Khoroshev)。
尽管采取了这些行动,并在2月份查封了关键的LockBit基础设施,但基于LockBit的恶意软件仍在继续传播。研究人员还观察到该组织发起了新的LockBit攻击并发布了新的加密程序。自执法行动以来,LockBit同伙还发布了之前和之后从受害者那里窃取的大量数据。
美国国务院悬赏1千万美元征集能够逮捕或定罪LockBit领导人的信息,并悬赏500万美元征集该团伙的附属人员。
LockBit在Telegram建立了两个VIP频道 6月12日,LockBit在其公开频道里宣布了两个VIP频道:“数据库VIP频道”(VIP CHANNEL DATABASE)、“LOCKBIT VIP频道”(LOCKBIT VIP CHANNELS)。
其中,“数据库VIP频道”用于分享数据库,加入的价格从250美元/3个月至500美元终身不等;而“LOCKBIT VIP频道”是私人专属频道,除了分享数据库外,还更新所有黑客信息以及2024年不支付赎金的各个公司的信息,加入的价格从350美元/3个月至1000美元终身不等。
并且其称,VIP频道分享的所有的数据都是私人的,从未公开过的。
不明人员正通过Tox对LockBit发动添加好友DDoS攻击 威胁情报团队vxunderground在X上表示,Lockbit 勒索软件组织今天发布消息称,有人正在通过Tox上的好友请求进行拒绝服务攻击。
据称他们已经收到了20万次添加好友请求。
“暗网下/AWX”曾介绍,Tox是一个免费的点对点即时消息传递和视频电话网络协议,基于Tox协议的客户端软件有许多,详情请参考本站(anwangxia.com)之前的文章。去年5月份,爆出基于Tox协议的聊天软件qTox存在远程代码执行漏洞。
Qilin勒索软件团伙的暗网勒索网站已于周三瘫痪,据信该团伙是影响伦敦多家医院的攻击事件的幕后黑手。
在第三方服务提供商Synnovis遭到攻击后,伦敦最大的几家医院取消了医疗业务,并宣布发生严重的网络安全事故。知情人士透露,Qilin勒索软件团伙似乎是罪魁祸首。
目前尚不清楚Qilin勒索软件团伙的暗网网站无法访问的原因。该暗网网站在周三早些时候还可以正常访问,但在伦敦时间下午,该暗网网站开始显示0xF2错误,这种错误最常发生在暗网网站转移到新服务器的时候。
截至周三,Qilin勒索软件团伙尚未更新其暗网网站上的受害者页面,并没有添加Synnovis,Synnovis是一家为盖伊和圣托马斯国家医疗服务系统基金会信托基金(Guy’s and St Thomas’ NHS Foundation Trust)和国王学院医院国家医疗服务系统信托基金(King’s College Hospitals NHS Trust)提供病理服务的企业。贝克斯利、格林威治、刘易舍姆、布罗姆利、南华克和兰贝斯区的全科医生服务也受到了此次攻击的影响。
如果说Qilin勒索软件团伙的暗网网站是为了反制对伦敦医疗服务供应商受到网络攻击的影响而关闭的,那么这将是一个令人惊讶的快速执法反应。因为相比之下,打击LockBit勒索软件团伙的行动持续了两年。”暗网下/AWX“认为可能性极低。
然而,近几个月来,国际执法机构一直在对多个勒索软件团伙采取高节奏的破坏行动。尽管尚未得到证实,但有可能一个国际执法机构已经进入了Qilin勒索软件团伙的暗网系统,并选择在此时破坏了该团伙的基础设施。
尽管存在这种可能性,但此次中断并不一定表明执法行动,因为网络犯罪团伙使用的.onion暗网网站是出了名的不可靠。该团伙本身可能选择暂时关闭暗网网站,以避免引起对造成严重破坏的事件引起更多的额外关注。
已宣布发生严重的网络安全事件 盖伊和圣托马斯国家医疗服务系统基金会信托基金首席执行官伊恩·艾比(Ian Abby)说:”Synnovis 遭到的攻击对我们的服务造成了重大影响,输血服务尤其受到影响。“
”暗网下/AWX“看到, 伦敦最大的几家医院已宣布发生严重事件(紧急状态)。受此影响,计划中的手术被取消,病人被转到其他医疗机构,这可能会给附近的医院增加额外的压力。
在昨天的一份声明中,Synnovis首席执行官马克·多拉尔(Mark Dollar)表示,“来自Synnovis和NHS 的IT专家组成的工作组正在努力全面评估这一事件造成的影响。”
多拉尔写道:”令人遗憾的是,这对患者造成了影响,由于紧急工作被列为优先事项,一些活动已经被取消或转给了其他提供商。“我们对给患者、服务用户和其他受影响的人造成的不便和困扰深表歉意”。
根据英国信息专员办公室(ICO)收到的个人数据泄露报告,自2019年1月以来,英国卫生部门共遭遇215起勒索软件事件,此次攻击是其中最新的一起。
根据这些数据,去年英国的勒索软件攻击达到了创纪录的水平。尽管数据表明,事件数量从2022年创纪录的106起下降到2023年的32起,但英国信息专员办公室和英国国家网络安全中心都表示,他们“越来越担心”勒索软件受害者未能报告事件。
为了应对勒索软件危机,英国内政部官员原计划于6月启动一次公众咨询,提出激进措施,包括要求所有受害者在支付勒索软件款项前必须获得许可,但由于首相宣布举行紧急大选,这些计划被推迟。
对医疗保健部门的攻击可能会对患者造成特别大的影响。今年早些时候,网络勒索者公布了从苏格兰医疗体系下属的 NHS 邓弗里斯和加洛韦国家医疗服务系统(NHS Dumfries and Galloway)窃取的患者敏感数据,企图向当地卫生委员会索要钱财。本站(anwangxia.com)曾经报道,2021年,暗网上曾经发现了数万份苏格兰政府公共部门泄露的认证信息。
”暗网下/AWX“昨天报道了执法当局计划在未来24小时内发布有关LockBit勒索软件团伙的新信息,正如之前的预告,24小时后,美国政府周二表示,美国、英国和澳大利亚已制裁并揭露了臭名昭著的勒索软件团伙LockBit的一名俄罗斯高级头目,并发布了全球悬赏通缉令,悬赏1000万美元。
根据英国国家打击犯罪局(NCA)的消息,德米特里·霍罗舍夫(Dmitry Khoroshev)被确定为勒索软件团伙LockBit的领导者之一后,将面临资产冻结和旅行禁令。LockBit是一个臭名昭著的勒索软件团伙,已通过加密货币方式向全球受害者勒索了超过10亿美元。
“这些制裁意义重大,表明像德米特里·霍罗舍夫这样在全球造成严重破坏的网络犯罪分子没有藏身之所。他确信自己可以保持匿名,但他错了。”英国国家打击犯罪局局长格雷姆·比格(Graeme Biggar)在一份声明中表示。
LockBit在2月份首次受到NCA、美国司法部、联邦调查局和欧洲刑警组织的干扰,在一场史无前例的行动中,该团伙的暗网网站被警方扣押,并利用该网站泄露了有关该团伙及其幕后人员的内部信息。
英国制裁大臣安妮-玛丽·特雷维利安(Anne-Marie Trevelyan)在一份声明中表示:“通过制裁LockBit的一位领导者,我们正在对那些继续威胁全球安全的人采取直接行动,同时揭露来自俄罗斯的恶意网络犯罪活动。”
勒索软件是对数据进行加密的恶意软件;LockBit及其附属公司通过胁迫目标支付赎金来解密或用数字密钥解锁数据来赚钱。该团伙的数字勒索工具已被用于对付世界上一些最大的企业。
LockBit犯罪集团 LockBit招募的附属机构是志同道合的犯罪团伙,LockBit招募他们使用这些工具发动攻击。这些附属机构实施攻击,并向LockBit提供一部分赎金分成,赎金通常以加密货币的形式要求,这使得追踪变得更加困难。
今年2月,美国宣布指控两名俄罗斯公民针对世界各地的公司和团体部署LockBit勒索软件。两人还受到美国财政部的制裁。
在被执法部门查获之前,LockBit的暗网网站展示了一个不断增长的受害者企业列表,几乎每天都会更新。 在这些企业名称的旁边还有数字时钟,显示距离每个组织支付赎金的最后期限还剩多少天。
周二,国际警察机构再次利用这一平台来对付该团伙本身,揭露霍罗舍夫的真面目,并发布了一张通缉令海报,承诺向提供线索逮捕霍罗舍夫的人奖励1000万美元。
根据周二公布的包含26项罪名的美国起诉书,霍罗舍夫从LockBit的活动中接收了至少1亿美元的比特币付款。
根据欧洲刑警组织的消息,这些措施是在2024年2月由英国国家犯罪局牵头采取的第一阶段行动之后采取的,导致LockBit的主要平台和其他关键基础设施受到损害。这些制裁是欧洲刑警组织和欧洲司法组织支持的协调行动的一部分,旨在严重损害LockBit勒索软件团伙的能力和信誉。
LockBit犯罪行为的真正影响此前尚不清楚,但从其系统获得的数据显示,2022年6月至2024年2月期间,使用其服务发起了7000多次勒索攻击。受攻击最多的五个国家是美国、英国、法国、德国和中国。
欧洲刑警组织发布了约3500份受害者情报包 执法部门目前拥有超过2500个解密密钥,并正在继续联系LockBit受害者以提供支持。
欧洲刑警组织一直在利用调查和第一阶段行动期间收集的大量数据来识别这些遍布世界各地的受害者。其欧洲网络犯罪中心(EC3)已向33个国家分发了约3500个包含LockBit受害者信息的情报包。
在欧洲刑警组织的支持下,日本警方、英国国家打击犯罪局和联邦调查局集中其技术专长,开发了用于恢复被LockBit勒索软件加密的文件的解密工具。
这些解决方案已在No More Ransom门户网站上以37种语言免费提供。
由NCA控制的泄密网站 在二月份夺取控制权后,执法部门重新设计了该勒索软件组织在暗网上的泄密网站,转而发布一系列文章,揭露针对LockBit采取的不同行动。
由NCA控制的泄密网站再次被用来发布一系列揭露该犯罪集团的信息。
可通过Tor浏览器使用以下链接访问该网站:
http://lockbitapt2d73krlbewgv27tquljgxr33xbwwsp6rkyieto7u4ncead.onion
http://lockbitapt34kvrip6xojylohhxrwsvpzdffgs5z4pbbsywnzsbdguqd.onion
http://lockbitaptawjl6udhpd323uehekiyatj6ftcxmkwe5sezs4fqgpjpid.onion
这项调查将继续查明附属机构——那些使用LockBit服务并进行攻击的人——并确保他们面临执法行动。
克洛诺斯行动 克罗诺斯行动(Operation Cronos)的国际工作组针对并破坏LockBit勒索软件团伙的协同行动正在进行中。以下机构是该工作组的成员:
法国:国家宪兵队(National Gendarmerie – C3N National Cyber Unit)
德国:石勒苏益格-荷尔斯泰因州刑事调查局(LKA Schleswig-Holstein)、联邦刑事警察局
荷兰:国家警察局(泽兰-西布拉班特网络犯罪小组、东布拉班特网络犯罪小组、高科技犯罪小组)、泽兰-西布拉班特检察官办公室
瑞典:瑞典警察局
澳大利亚:澳大利亚联邦警察(AFP)
加拿大:加拿大皇家骑警(RCMP)
日本:警察厅
英国:国家打击犯罪局(NCA)、西南地区有组织犯罪部门(South West ROCU)
美国:美国司法部(DOJ)、联邦调查局(FBI)纽瓦克分局
瑞士:瑞士联邦警察局(fedpol)、苏黎世州检察官办公室、苏黎世州警察局
LockBit勒索软件团伙管理员德米特里·尤里耶维奇·霍罗舍夫(Dmitry Yuryevich Khoroshev)的通缉令 姓名: Dmitry Yuryevich Khoroshev(德米特里·尤里耶维奇·霍罗舍夫)
别名: 无
出生日期:1993年4月17日
出生地:俄罗斯
国籍: 俄罗斯
国籍: 俄罗斯
近日,一个由警察机构组成的国际联盟重新恢复了对今年早些时候查获的臭名昭著的LockBit勒索软件团伙的暗网泄密网站的访问,并透露了有关该团伙的新消息。
周日,曾经被FBI控制的LockBit官方暗网网站重新出现在暗网上,并发布了新的帖子,表明当局计划在未来24小时内发布有关黑客的新信息。
这些帖子的标题包括“谁是LockBitSupp?”“我们学到了什么”、“更多LB黑客被曝光”以及“我们一直在做什么?”
本站(anwangxia.com)之前报道,今年2月,由英国国家犯罪局(NCA)、美国联邦调查局以及德国、芬兰、法国、日本等国警方组成的执法联盟宣布,他们已渗透到LockBit的暗网官方网站。该执法联盟占领了该暗网网站,并用自己的新闻稿和其他信息替换了该网站上的信息,这显然是在嘲弄和警告黑客,当局已经盯上了他们。
2月份的行动还包括在乌克兰和波兰逮捕两名被指控为LockBit成员的人;关闭了欧洲、英国和美国的34台服务器;并没收了黑客的200多个加密货币钱包。
FBI发言人萨曼莎·谢罗(Samantha Shero)表示,该局不予置评。NCA同样没有回应置评请求。
Official announcement in 24hrs #Cronos
Watch this space pic.twitter.com/ttKd58QVFL
— National Crime Agency (NCA) (@NCA_UK) May 6, 2024 LockBit首次出现于2019年,此后成为世界上最多产的勒索软件团伙之一,已净赚数百万美元的赎金。事实证明,该勒索软件团伙具有很强的韧性与生命力。即使在二月份被取缔后,该团伙又重新创建了一个新的暗网泄密网站,该网站已积极更新新的所谓受害者。
目前被查封暗网网站上的所有新帖子(除一篇外)都有倒计时,结束时间为美国东部时间5月7日星期二上午9点,这表明执法部门将在那时宣布针对LockBit的新行动。另一篇没有倒计时的帖子称该网站将在四天后关闭。
自从当局于2月份宣布针对LockBit实施所谓的“克罗诺斯行动”以来,该勒索软件团伙的领导者LockBitSupp在接受采访时声称,执法部门夸大了其对犯罪团伙的访问权限以及取缔该犯罪团伙的影响。
周日,专注于网络安全威胁情报的组织vx-underground在X上写道,他们已经与LockBit的管理人员进行了交谈,后者告诉他们警方在撒谎。
Today we spoke with Lockbit ransomware group administrative staff regarding the return of the old domain and new messages from FBI, NCA UK, and EURPOL.
Lockbit ransomware group states law enforcement is lying. Lockbit also said and quote: "I don't understand why they're…
根据美国司法部的消息,一名乌克兰公民今天被判处13年零7个月监禁,并被责令支付超过1600万美元的赔偿金,原因是“他参与了2500多次勒索软件攻击,且要求支付超过7亿美元的赎金”。
美国司法部长梅里克·B·加兰(Merrick B. Garland)说:“正如本次判决所表明的那样,司法部正在与我们的国际合作伙伴合作,并利用我们掌握的所有工具来识别网络犯罪分子,扣押他们的非法利润,并追究他们的刑事犯罪责任。”
“被告通过部署REvil勒索软件变种,向全球各地的美国受害者索要了数亿美元,”司法部副部长丽莎·莫纳科 (Lisa Monaco) 表示, “但这起案件表明,美国司法部的影响力也是全球性的——通过与我们的国际合作伙伴合作,我们正在将那些以美国受害者为目标的人绳之以法,我们正在破坏更广泛的网络犯罪生态系统。”
联邦调查局局长克里斯托弗·雷 (Christopher Wray) 表示:“今天,联邦调查局与我们全球合作伙伴的密切合作,再次确保了一个自以为我们无法触及的网络犯罪分子面对他的行为所带来的后果。” “我们将继续不懈地追捕像 Vasinksyi 这样的网络犯罪分子,无论他们藏身何处,同时我们会破坏他们的犯罪计划,没收他们的资金和基础设施,并在法律的最大范围内打击他们的帮凶和犯罪同伙。”
根据法庭文件,24岁的雅罗斯拉夫·瓦辛斯基(Yaroslav Vasinskyi,又名Rabotnik)使用名为Sodinokibi/REvil的勒索软件变种进行了数千次勒索软件攻击。 勒索软件是一种恶意软件,旨在加密受害者计算机上的数据,使恶意行为者能够要求受害者支付赎金以换取解密密钥。 同谋者要求以加密货币支付赎金,并使用加密货币兑换商和混合服务来隐藏他们的不义之财。 为了提高赎金要求,Sodinokibi/REvil 的同谋还会在受害者不支付赎金要求时公开暴露受害者的数据。
“雅罗斯拉夫·瓦辛斯基(Yaroslav Vasinskyi)和他的同谋侵入了世界各地数千台计算机,并用勒索软件对它们进行了加密,”司法部刑事司司长、总检察长首席副助理妮可·M·阿根蒂耶里(Nicole M. Argentieri)说, “然后他们要求支付超过7亿美元的赎金,并威胁如果受害者拒绝支付,将公开披露受害者的数据。 尽管共谋者试图通过洗钱来掩盖自己的踪迹,但Vasinskyi无法逃避执法部门。 今天对Vasinskyi的判决应该提醒世界各地的勒索软件参与者:我们将追踪你并将你绳之以法。”
德克萨斯州北区联邦检察官莱格哈·西蒙顿(Leigha Simonton)表示:“使用勒索软件,来自世界各地的恶意行为者可以在几分钟内使美国公司陷入瘫痪。” “但是,当网络犯罪分子联手部署这些攻击时,美国各地的执法部门随时准备摧毁他们的犯罪团伙。来自得克萨斯州北区的尽职尽责的检察官和联邦调查局达拉斯分局技术娴熟的特工今天再次向世界各地的勒索软件行为者证明了这一点: 当你攻击美国境内的目标时,司法部及其合作伙伴将对你穷追不舍。”
Vasinskyi此前在德克萨斯州北区法院承认了一项11项罪名的起诉,指控他共谋实施欺诈和与计算机有关的相关活动、破坏受保护的计算机以及共谋实施洗钱。他此前被从波兰引渡到美国。
与此相关的是,2023年,美国司法部最终没收了通过两起相关民事没收案件获得的价值数百万美元的赎金,其中包括39.89138522比特币和610万美元的美元资金,可追溯到据称该阴谋的其他成员收到的赎金。
联邦调查局对此案进行了调查。
刑事部计算机犯罪和知识产权科高级顾问 Frank Lin 和德克萨斯州北区联邦助理检察官 Tiffany H. Eggers 起诉了此案。德克萨斯州北区联邦助理检察官迪米特里-罗查 (Dimitri N. Rocha) 协助处理了相关的民事没收案件。
去年,司法部国际事务办公室与波兰当局合作,确保了Vasinskyi的引渡。
美国国务院由外交安全局管理的正义奖赏计划(Rewards for Justice)周三宣布悬赏1000万美元,寻求更多有关黑猫(ALPHV/BlackCat)勒索软件组织的更多信息。
Help Us Trap This Cat
ALPHV/BlackCat-linked actors have targeted more than 400 victims worldwide.
If you have info on this ransomware-as-a-service group, or associated individuals or entities, contact us. You could be eligible for a reward or relocation. pic.twitter.com/GzvjzFEFux
— Rewards for Justice (@RFJ_USA) March 27, 2024 黑猫勒索组织的勒索软件也称为ALPHV/BlackCat,于2021年11月首次部署。
ALPHV/BlackCat以勒索软件即服务商业模式运营,该组织的成员开发并维护勒索软件变体,然后招募附属机构来部署勒索软件。ALPHV/BlackCat及其附属机构随后分享了所有支付的赎金。
美国国务院表示,它设立了一条暗网举报热线,以保护潜在消息来源的安全。
为什么它很重要 公告称,根据《计算机欺诈和滥用法》(Computer Fraud and Abuse Act),美国国务院试图起诉“在外国政府控制下针对美国关键基础设施从事某些恶意网络活动”的网络行为者。
RJF表示,ALPHV/BlackCat采用“勒索软件即服务”(ransomware-as-a-service)的商业模式运营,该组织的成员开发和维护勒索软件变体,然后招募附属机构来部署勒索软件。
除了基于Tor的暗网举报方式外,RFJ还指出,“符合条件的消息来源可能会获得通过加密货币支付的消息费和奖励。”
更大的趋势 当Change Healthcare遭受网络攻击时,勒索软件最终引发了连锁反应,在整个医疗保健生态系统(从患者和医疗服务提供者到药房和付款人)中产生了深远的影响,而且这种连锁反应仍在持续。
联邦机构证实,自美国司法部去年12月宣布扣押ALPHV团伙的基础设施以来,医疗保健机构已成为攻击目标。
美国国家网络安全联盟(National Cybersecurity Alliance)信息安全和参与总监Cliff Steinhauer表示,Blackcat对联合健康集团(UnitedHealth Group)旗下每年处理150亿笔医疗交易的Change网络的攻击凸显了网络事件报告透明度的必要性,并强调了医疗机构应急计划的紧迫性。
臭名昭著的勒索软件团伙LockBit又已经重新出现在暗网上,这表明在国际联合执法机构造成重大破坏后不到一周,该团伙已经迅速卷土重来。
该团伙声称在周末恢复了服务器,就在国际执法机构执行名为“克罗诺斯行动”的执法行动大规模取缔该团伙的基础设施几天后。
这种死灰复燃凸显了网络犯罪组织在面临法律压力和网络安全努力时的持久性和适应性。
NCA周一表示:“我们认识到LockBit可能会尝试重组和重建他们的系统。不过,我们已经收集了大量有关他们以及与他们相关的情报,我们针对和破坏他们的工作仍在继续。”
执法部门的持续战斗 此次行动的高潮是美国逮捕了两名俄罗斯公民,一对父子在乌克兰被法国警方逮捕——他们都被指控在全球范围内部署LockBit勒索软件并试图勒索受害者。
尽管最近逮捕了三名与LockBit活动有关的男子,但LockBit勒索软件团伙名为LockBitSupp的主要管理员仍然逍遥法外。
美国国务院已经悬赏了高达1500万美元,奖励那些能够识别或逮捕该团伙成员的信息,这凸显了瓦解此类网络的巨大风险。
LockBit卷土重来的标志是列出了超过24个包含受害者数据的服务器,并使用新博客与其附属机构和受害者进行交流。
Lockbit管理员发布声明称,FBI的渗透是通过PHP漏洞发生的,目前PHP版本已更新。
Lockbit勒索软件团伙已恢复其服务器(新的 Tor域名),并已经就上周的关闭向FBI发表了声明。
Season 2 of FBI vs Lockbit ransomware group is scheduled to premier in roughly 1 hour.
Lockbit has restored their servers (new Tor domains) and is planning on making a statement to the FBI regarding last weeks takedown.
Stay tuned for the next episode of Dragon Ball Z pic.twitter.com/B03w7Y43e2
— vx-underground (@vxunderground) February 24, 2024 该团伙还一直在利用影响Citrix 负载平衡和网络设备的CitrixBleed漏洞来访问网络并部署勒索软件。