近日,一个由警察机构组成的国际联盟重新恢复了对今年早些时候查获的臭名昭著的LockBit勒索软件团伙的暗网泄密网站的访问,并透露了有关该团伙的新消息。
周日,曾经被FBI控制的LockBit官方暗网网站重新出现在暗网上,并发布了新的帖子,表明当局计划在未来24小时内发布有关黑客的新信息。
这些帖子的标题包括“谁是LockBitSupp?”“我们学到了什么”、“更多LB黑客被曝光”以及“我们一直在做什么?”
本站(anwangxia.com)之前报道,今年2月,由英国国家犯罪局(NCA)、美国联邦调查局以及德国、芬兰、法国、日本等国警方组成的执法联盟宣布,他们已渗透到LockBit的暗网官方网站。该执法联盟占领了该暗网网站,并用自己的新闻稿和其他信息替换了该网站上的信息,这显然是在嘲弄和警告黑客,当局已经盯上了他们。
2月份的行动还包括在乌克兰和波兰逮捕两名被指控为LockBit成员的人;关闭了欧洲、英国和美国的34台服务器;并没收了黑客的200多个加密货币钱包。
FBI发言人萨曼莎·谢罗(Samantha Shero)表示,该局不予置评。NCA同样没有回应置评请求。
Official announcement in 24hrs #Cronos
Watch this space pic.twitter.com/ttKd58QVFL
— National Crime Agency (NCA) (@NCA_UK) May 6, 2024 LockBit首次出现于2019年,此后成为世界上最多产的勒索软件团伙之一,已净赚数百万美元的赎金。事实证明,该勒索软件团伙具有很强的韧性与生命力。即使在二月份被取缔后,该团伙又重新创建了一个新的暗网泄密网站,该网站已积极更新新的所谓受害者。
目前被查封暗网网站上的所有新帖子(除一篇外)都有倒计时,结束时间为美国东部时间5月7日星期二上午9点,这表明执法部门将在那时宣布针对LockBit的新行动。另一篇没有倒计时的帖子称该网站将在四天后关闭。
自从当局于2月份宣布针对LockBit实施所谓的“克罗诺斯行动”以来,该勒索软件团伙的领导者LockBitSupp在接受采访时声称,执法部门夸大了其对犯罪团伙的访问权限以及取缔该犯罪团伙的影响。
周日,专注于网络安全威胁情报的组织vx-underground在X上写道,他们已经与LockBit的管理人员进行了交谈,后者告诉他们警方在撒谎。
Today we spoke with Lockbit ransomware group administrative staff regarding the return of the old domain and new messages from FBI, NCA UK, and EURPOL.
Lockbit ransomware group states law enforcement is lying. Lockbit also said and quote: "I don't understand why they're…
根据美国司法部的消息,一名乌克兰公民今天被判处13年零7个月监禁,并被责令支付超过1600万美元的赔偿金,原因是“他参与了2500多次勒索软件攻击,且要求支付超过7亿美元的赎金”。
美国司法部长梅里克·B·加兰(Merrick B. Garland)说:“正如本次判决所表明的那样,司法部正在与我们的国际合作伙伴合作,并利用我们掌握的所有工具来识别网络犯罪分子,扣押他们的非法利润,并追究他们的刑事犯罪责任。”
“被告通过部署REvil勒索软件变种,向全球各地的美国受害者索要了数亿美元,”司法部副部长丽莎·莫纳科 (Lisa Monaco) 表示, “但这起案件表明,美国司法部的影响力也是全球性的——通过与我们的国际合作伙伴合作,我们正在将那些以美国受害者为目标的人绳之以法,我们正在破坏更广泛的网络犯罪生态系统。”
联邦调查局局长克里斯托弗·雷 (Christopher Wray) 表示:“今天,联邦调查局与我们全球合作伙伴的密切合作,再次确保了一个自以为我们无法触及的网络犯罪分子面对他的行为所带来的后果。” “我们将继续不懈地追捕像 Vasinksyi 这样的网络犯罪分子,无论他们藏身何处,同时我们会破坏他们的犯罪计划,没收他们的资金和基础设施,并在法律的最大范围内打击他们的帮凶和犯罪同伙。”
根据法庭文件,24岁的雅罗斯拉夫·瓦辛斯基(Yaroslav Vasinskyi,又名Rabotnik)使用名为Sodinokibi/REvil的勒索软件变种进行了数千次勒索软件攻击。 勒索软件是一种恶意软件,旨在加密受害者计算机上的数据,使恶意行为者能够要求受害者支付赎金以换取解密密钥。 同谋者要求以加密货币支付赎金,并使用加密货币兑换商和混合服务来隐藏他们的不义之财。 为了提高赎金要求,Sodinokibi/REvil 的同谋还会在受害者不支付赎金要求时公开暴露受害者的数据。
“雅罗斯拉夫·瓦辛斯基(Yaroslav Vasinskyi)和他的同谋侵入了世界各地数千台计算机,并用勒索软件对它们进行了加密,”司法部刑事司司长、总检察长首席副助理妮可·M·阿根蒂耶里(Nicole M. Argentieri)说, “然后他们要求支付超过7亿美元的赎金,并威胁如果受害者拒绝支付,将公开披露受害者的数据。 尽管共谋者试图通过洗钱来掩盖自己的踪迹,但Vasinskyi无法逃避执法部门。 今天对Vasinskyi的判决应该提醒世界各地的勒索软件参与者:我们将追踪你并将你绳之以法。”
德克萨斯州北区联邦检察官莱格哈·西蒙顿(Leigha Simonton)表示:“使用勒索软件,来自世界各地的恶意行为者可以在几分钟内使美国公司陷入瘫痪。” “但是,当网络犯罪分子联手部署这些攻击时,美国各地的执法部门随时准备摧毁他们的犯罪团伙。来自得克萨斯州北区的尽职尽责的检察官和联邦调查局达拉斯分局技术娴熟的特工今天再次向世界各地的勒索软件行为者证明了这一点: 当你攻击美国境内的目标时,司法部及其合作伙伴将对你穷追不舍。”
Vasinskyi此前在德克萨斯州北区法院承认了一项11项罪名的起诉,指控他共谋实施欺诈和与计算机有关的相关活动、破坏受保护的计算机以及共谋实施洗钱。他此前被从波兰引渡到美国。
与此相关的是,2023年,美国司法部最终没收了通过两起相关民事没收案件获得的价值数百万美元的赎金,其中包括39.89138522比特币和610万美元的美元资金,可追溯到据称该阴谋的其他成员收到的赎金。
联邦调查局对此案进行了调查。
刑事部计算机犯罪和知识产权科高级顾问 Frank Lin 和德克萨斯州北区联邦助理检察官 Tiffany H. Eggers 起诉了此案。德克萨斯州北区联邦助理检察官迪米特里-罗查 (Dimitri N. Rocha) 协助处理了相关的民事没收案件。
去年,司法部国际事务办公室与波兰当局合作,确保了Vasinskyi的引渡。
美国国务院由外交安全局管理的正义奖赏计划(Rewards for Justice)周三宣布悬赏1000万美元,寻求更多有关黑猫(ALPHV/BlackCat)勒索软件组织的更多信息。
Help Us Trap This Cat
ALPHV/BlackCat-linked actors have targeted more than 400 victims worldwide.
If you have info on this ransomware-as-a-service group, or associated individuals or entities, contact us. You could be eligible for a reward or relocation. pic.twitter.com/GzvjzFEFux
— Rewards for Justice (@RFJ_USA) March 27, 2024 黑猫勒索组织的勒索软件也称为ALPHV/BlackCat,于2021年11月首次部署。
ALPHV/BlackCat以勒索软件即服务商业模式运营,该组织的成员开发并维护勒索软件变体,然后招募附属机构来部署勒索软件。ALPHV/BlackCat及其附属机构随后分享了所有支付的赎金。
美国国务院表示,它设立了一条暗网举报热线,以保护潜在消息来源的安全。
为什么它很重要 公告称,根据《计算机欺诈和滥用法》(Computer Fraud and Abuse Act),美国国务院试图起诉“在外国政府控制下针对美国关键基础设施从事某些恶意网络活动”的网络行为者。
RJF表示,ALPHV/BlackCat采用“勒索软件即服务”(ransomware-as-a-service)的商业模式运营,该组织的成员开发和维护勒索软件变体,然后招募附属机构来部署勒索软件。
除了基于Tor的暗网举报方式外,RFJ还指出,“符合条件的消息来源可能会获得通过加密货币支付的消息费和奖励。”
更大的趋势 当Change Healthcare遭受网络攻击时,勒索软件最终引发了连锁反应,在整个医疗保健生态系统(从患者和医疗服务提供者到药房和付款人)中产生了深远的影响,而且这种连锁反应仍在持续。
联邦机构证实,自美国司法部去年12月宣布扣押ALPHV团伙的基础设施以来,医疗保健机构已成为攻击目标。
美国国家网络安全联盟(National Cybersecurity Alliance)信息安全和参与总监Cliff Steinhauer表示,Blackcat对联合健康集团(UnitedHealth Group)旗下每年处理150亿笔医疗交易的Change网络的攻击凸显了网络事件报告透明度的必要性,并强调了医疗机构应急计划的紧迫性。
臭名昭著的勒索软件团伙LockBit又已经重新出现在暗网上,这表明在国际联合执法机构造成重大破坏后不到一周,该团伙已经迅速卷土重来。
该团伙声称在周末恢复了服务器,就在国际执法机构执行名为“克罗诺斯行动”的执法行动大规模取缔该团伙的基础设施几天后。
这种死灰复燃凸显了网络犯罪组织在面临法律压力和网络安全努力时的持久性和适应性。
NCA周一表示:“我们认识到LockBit可能会尝试重组和重建他们的系统。不过,我们已经收集了大量有关他们以及与他们相关的情报,我们针对和破坏他们的工作仍在继续。”
执法部门的持续战斗 此次行动的高潮是美国逮捕了两名俄罗斯公民,一对父子在乌克兰被法国警方逮捕——他们都被指控在全球范围内部署LockBit勒索软件并试图勒索受害者。
尽管最近逮捕了三名与LockBit活动有关的男子,但LockBit勒索软件团伙名为LockBitSupp的主要管理员仍然逍遥法外。
美国国务院已经悬赏了高达1500万美元,奖励那些能够识别或逮捕该团伙成员的信息,这凸显了瓦解此类网络的巨大风险。
LockBit卷土重来的标志是列出了超过24个包含受害者数据的服务器,并使用新博客与其附属机构和受害者进行交流。
Lockbit管理员发布声明称,FBI的渗透是通过PHP漏洞发生的,目前PHP版本已更新。
Lockbit勒索软件团伙已恢复其服务器(新的 Tor域名),并已经就上周的关闭向FBI发表了声明。
Season 2 of FBI vs Lockbit ransomware group is scheduled to premier in roughly 1 hour.
Lockbit has restored their servers (new Tor domains) and is planning on making a statement to the FBI regarding last weeks takedown.
Stay tuned for the next episode of Dragon Ball Z pic.twitter.com/B03w7Y43e2
— vx-underground (@vxunderground) February 24, 2024 该团伙还一直在利用影响Citrix 负载平衡和网络设备的CitrixBleed漏洞来访问网络并部署勒索软件。
由澳大利亚和日本等10个国家的执法机构组成的国际执法工作组宣布成功摧毁了LockBit勒索软件团伙。
由英国和美国当局领导的“克罗诺斯行动”(Operation Cronos)查获了由LockBit勒索软件团伙运营的暗网网站。LockBit是一个臭名昭著且猖獗多产的勒索软件组织,在全球范围内攻击了2000多名受害者,并勒索了超过1.2亿美元的赎金。
过去四年来,LockBit团伙在全球企业和政府中散布了恐惧,并在勒索软件攻击中占了很大份额。Akamai 2023年的一份研究报告强调,LockBit影响了勒索软件领域,占勒索软件受害者总数的39%(1091名受害者),是排名第二的勒索软件团伙数量的三倍多。
自2020年1月以来,LockBit在亚太地区发起了数百起攻击,目标涉及金融服务、关键基础设施、农业、教育和政府等部门。它关闭了日本最大的名古屋港口两天,该港口是日本最大的汽车制造商使用的港口。以类似的方式,LockBit对澳大利亚最大港口的IT系统进行了加密,扰乱了其运营。由于影响如此严重,LockBit为这次攻击道歉并提供了解密密钥以恢复服务。该团伙还利用勒索软件即服务工具招募招募技术含量低的黑客,扩大了LockBit签名勒索软件攻击的规模、影响范围和造成的损害。
LockBit因将敏感数据泄露给所有人来羞辱那些拒绝支付赎金的人而感到自豪。
LockBit关联人员在乌克兰和波兰被捕 作为国际取缔行动的一部分,臭名昭著的LockBit勒索软件团伙的至少三名成员在波兰和乌克兰被捕。
逮捕消息是在LockBit的暗网网站关闭后发布的,该组织利用该网站威胁受害者,除非支付勒索费用,否则就会公布他们被黑客入侵的数据。
乌克兰网络警察周三表示,他们逮捕了“一对父子”,他们的行为据称代表LockBit,“影响了法国的人民、企业、国家机构和医疗机构”。
在搜查嫌疑人位于乌克兰西部城市捷尔诺波尔的公寓时,警方没收了他们的手机和电脑设备,怀疑这些设备被用来进行网络攻击。
在波兰,警方在华沙逮捕了一名38岁男子。涉嫌与LockBit关联的人被带至检察官办公室,并被指控犯有刑事罪。波兰当局在YouTube上发布了逮捕视频。
在乌克兰和波兰的案件中,尚不清楚罪犯如果被判有罪将受到何种惩罚。
警方关闭了LockBit的多个关联账户 摧毁LockBit勒索软件服务的执法行动已宣布关闭相关犯罪分子使用的第三方服务的14000多个关联账户。
根据查获的LockBit的暗网域名上的一篇帖子,文件托管服务Mega以及加密电子邮件提供商Tutanota和Protonmail上的帐户被用于“渗透或基础设施”。
欧洲刑警组织欧洲网络犯罪中心对这些账户的分析表明,其中一些账户还被用于使用其他勒索软件变体的攻击,这表明它们是由附属机构(使用LockBit平台的黑客)操作的。
目前由英国官员控制的LockBit的暗网.onion网站表示:“每个账户都代表着获取不义之财的渠道,这种协调一致的行动打击了网络犯罪活动的核心,严重阻碍了他们从邪恶活动中获利的能力。”
但LockBit将会卷土重来 这次执法行动并非没有戏剧性。LockBit声名狼藉的领导者lockBitSupp曾对“克罗诺斯行动“(Operation Cronos)进行恶搞,并抱怨没有悬赏追捕他的人头,他甚至悬赏1000万美元以揭露他的身份。LockbitSupp的真实身份目前仍然是个谜。
执法当局还借鉴了LockBit团伙在媒体上传播他们的攻击和羞辱受害者的手段。他们将他们的行动命名为“克罗诺斯”(Cronos),并分享了一个每小时一次的倒计时,以宣布LockBit被取缔的消息。曾经泄露客户数据的暗网网站现在正在为那些反对勒索并拒绝支付赎金的人共享解密密钥。日本警方在欧洲刑警组织的支持下开发了一种解密工具,旨在恢复由LockBit 3.0黑色勒索软件加密的文件。
当局打算向所有勒索软件团伙发出明确的信息,他们不能再躲在Tor后面逃避暗网的监视,并且他们将对自己的行为负责。
预防胜于恢复 这是一次大胆的联合取缔行动,标志着许多国家当局的通力合作。然而,依靠多国特遣部队来摧毁勒索软件团伙并恢复解密密钥并不是一种有效的安全策略。预防胜于恢复。
勒索软件团伙非常灵活,LockBit团伙的一个变种可能会很快填补这一空白,并很快用更具破坏性的工具取而代之。让我们记住另一个对多产勒索软件团伙Blackcat/APHV的摧毁尝试,该组织在FBI查获其暗网网站数小时后“解封”了其暗网网站。在与当局的来回交涉中,该团伙发布了一张黑猫的图片和一条横幅,上面写着“该网站已被解封”。该团伙仍然逍遥法外,美国国务院悬赏高达1000万美元,以征集该团伙头目的信息。勒索软件团伙正在学习并将适应当局使用的工具和技术。
最有效的安全策略是防止攻击者访问关键服务器上的数据并对其进行加密,并在他们能够入侵环境前进行备份。现在是企业重新评估其安全状况的时候了。全面了解攻击面,同时制定强大的流程和操作手册来预防勒索软件攻击并从中恢复,是至关重要的。
从软件定义的微分段开始实施零信任架构,以防止被入侵后的横向移动至关重要。通过全面的网络可视性来识别入侵指标(IoCs),可以对勒索软件攻击采取更具攻击性的态势,并遵守当地的网络安全法规。
现在是通过在勒索软件杀伤链的每个环节实施安全解决方案来对付勒索软件的时候了。
包括美国联邦调查局(FBI)和英国国家犯罪侦查局(NCA)在内的国际执法机构联盟已经扰乱了多产的LockBit勒索软件团伙的运作。
LockBit团伙的暗网泄露网站——该团伙在此公开列出了受害者名单,并威胁称,除非支付赎金,否则将泄露其被盗的数据——周一已被执法通知所取代。
英国国家犯罪侦查局发言人海蒂·哈芬里希特 (Hattie Hafenrichter)表示,“由于国际执法行动,LockBit的勒索服务已中断。” 被关闭的泄密网站上的一条消息证实,该网站“目前由英国国家犯罪侦查局控制,并与联邦调查局和国际执法工作组‘克罗诺斯行动’(Operation Cronos)密切合作。”
目前,该暗网网站现在拥有一系列暴露 LockBit 能力和操作的信息,包括后端泄露以及有关 LockBit 所谓头目(称为 LockBitSupp)的详细信息。
”克罗诺斯行动“(Operation Cronos)是一个由NCA领导的特别工作组,并由欧洲刑警组织(Europol)和欧洲司法组织(Eurojust)在欧洲协调。它还涉及来自美国、法国、日本、瑞士、加拿大、澳大利亚、瑞典、荷兰、芬兰和德国的其他国际警察组织。
欧洲刑警组织在周二的一份声明中证实,长达数月的行动“已经导致LockBit的主要平台和其他关键基础设施遭到破坏,从而使他们的犯罪活动难以开展”。其中包括关闭荷兰、德国、芬兰、法国、瑞士、澳大利亚、美国和英国的34台服务器,并扣押200多个加密货币钱包。目前尚不清楚这些钱包中存储了多少加密货币。
另外,美国司法部对两名俄罗斯公民 Artur Sungatov 和 Ivan Gennadievich Kondratiev 提起了起诉,指控他们参与了LockBit攻击。在法国司法当局的要求下,波兰和乌克兰也逮捕了两名被指控的LockBit参与者。
在周一被取缔之前,LockBit在其暗网泄密网站上声称,它“位于荷兰,完全不关心政治,只对金钱感兴趣”。
作为“克罗诺斯行动”的一部分,执法机构表示,他们已从被扣押的LockBit基础设施中获取了解密密钥,以帮助勒索软件团伙的受害者重新获得数据访问权限。
自2019年底首次以勒索软件即服务 (RaaS) 形式出现以来,LockBit已成为世界上最猖獗的网络犯罪团伙之一。据美国司法部(DOJ)称,LockBit已被用于针对美国和全球受害者系统的约2000起勒索软件攻击,该团伙已收到超过1.2亿美元的赎金。
总部位于英国的网络安全公司NCC Group威胁情报主管马特·赫尔(Matt Hull)告诉 TechCrunch,该公司仅在2023年就记录了1039名LockBit受害者,“占我们全年发现的所有勒索软件受害者的22%”。
LockBit及其附属机构声称对黑客攻击世界上一些最大的组织负责。该团伙去年声称对航空航天巨头波音公司、芯片制造商台积电、英国核潜艇基地数据和英国邮政巨头皇家邮政的网络攻击负责。近几个月来,LockBit团伙声称对佐治亚州富尔顿县的勒索软件攻击负责,该攻击导致该县关键服务中断数周,LockBit还声称对针对印度国有航空航天研究实验室的网络攻击负责。
周一的行动是一系列针对勒索软件团伙的执法行动中的最新行动。去年12月,一组国际执法机构宣布他们查获了臭名昭著的勒索软件团伙 ALPHV(即 BlackCat)的暗网泄露网站,该团伙造成了许多知名受害者,其中包括新闻分享网站Reddit、医疗保健公司诺顿和英国巴茨健康NHS信托基金会(Barts Health NHS Trust)。
益生菌公司养乐多的澳大利亚分公司遭受了一次重大网络攻击,该公司的记录和护照等敏感员工文件被发布在暗网上,此次攻击是勒索软件攻击,黑客试图从公司勒索金钱。The North Face母公司近期也遭受勒索攻击,黑客在暗网泄密网站发布内容并羞辱其高管。
勒索软件团伙DragonForce攻击养乐多,并在暗网公布95GB数据样本 益生菌公司养乐多(Yakult) 确认其澳大利亚和新西兰 IT 系统受到“网络事件”的影响。该公司在其网站上的一份声明中表示,正在“与网络事件专家合作调查事件的严重程度”。声明中写道:“我们在澳大利亚和新西兰的所有办事处均保持开放并继续运营。”
该公司总部位于墨尔本丹德农,拒绝进一步置评,但 ABC 调查了解到,该公司是勒索软件攻击的受害者。勒索软件攻击是一种网络犯罪,黑客试图向公司勒索金钱,如果被勒索公司未支付赎金,黑客就会在暗网发布被盗文件。
声称对此次泄露事件负责的组织是 DragonForce,这是一个勒索软件团伙,自 12 月初以来已列出了近 20 个“拒绝合作”的目标,其目标范围从德克萨斯州的一家家庭慈善机构到新加坡的可口可乐和南澳大利亚的一家浴室制造商等商业实体。
在该勒索软件团伙的暗网泄密网站上,该组织发布了每个受害者被盗的文件存储样本。
但这些网络犯罪分子似乎与 DragonForce Malaysia 没有直接关系,DragonForce Malaysia 是一个针对以色列政府机构的黑客组织。
ABC 对泄露的 95 GB 数据样本进行了分析,发现泄露的公司的文件可以追溯到 2001 年,文件中包含敏感的员工信息,包括护照和驾驶执照的扫描件、就业前医疗评估和证书、工资和绩效评估。
ABC已确定至少一张护照扫描件属于一名仓库员工。澳大利亚广播公司还在泄露的缓存中发现了养乐多母公司所在地的日本护照。一个单独的数据库还包含近 9000 人的姓名和地址。目前尚不清楚这些是否是客户记录,但ABC已经能够验证至少部分姓名和地址的准确性。
养乐多澳大利亚公司(Yakult Australia)于 12 月 15 日获悉此次网络攻击,五天后,DragonForce 将这家益生菌公司列为受害者之一,然后在圣诞节早上公布了被盗的文件存储。
勒索软件团伙ALPHV/Blackcat攻击VF公司,并在暗网羞辱公司高管 勒索软件团伙ALPHV/Blackcat因赎金数额问题,在谈判失败后向VF公司(North Face、Vans、Timberland的母公司)的领导层施加压力。VF公司公司遭受网络攻击,导致众多业务运营中断。
“有时候你必须通过用头撞墙来学习。» 在暗网上的一篇长文中,黑客取笑了 The North Face、Vans、Timberland 和 Supreme 等主要品牌的母公司 VF Corporation。这家时尚巨头在礼品购买季节中期遭受网络攻击,扰乱了集团的商业运营。大量数据被盗,据攻击背后的黑客组织 ALPHV/Blackcat称,该公司正在尝试通过谈判将其取回。徒劳无功,因为所提供的金额不符合网络犯罪分子的期望。
“该公司提供的金额远低于要价,也远低于其保险范围。因此,她希望保持干净的资产负债表。这显示了他们的领导者的批判性思维能力。[…]由于管理技能不足以快速解决问题,我们预计损失将超过九位数。[…]领导人已明确表示,如果我们发布此消息,他们将不会继续参与,我们不在乎。你的谈判代表下次会学会不要浪费我的时间,”他们在暗网泄密网站发布文章写道。
勒索软件团伙ALPHV/Blackcat以其顽固不化而闻名,并且会毫不犹豫地透露谈判的幕后细节。
“对于 VF 公司的白痴来说,当你听谈判和事件响应‘专家’声称争取时间可以给你折扣时,就会发生这种情况(他们实际上是这么告诉他们的!!)。有时你必须通过用头撞墙来学习。由于他们的低端产品,我们的价格上涨了五百万。这篇博文是在他们重申六位数的报价不变后 24 小时发布的。”黑客补充道。
黑客甚至乐于发布人工智能生成的图像,其中显示穿着 Supreme 或 North Face 流行服装的猫(该团伙的标志)。
黑客在暗网网站上公布了少量数据,并声称如果不支付赎金,就会释放一个大型数据库。目前尚无法具体确定网络犯罪分子窃取信息的程度。
前天,“暗网下/AWX”报道了国际联合执法机构查封了臭名昭著的ALPHV勒索软件团伙的暗网泄密网站,在经历与美国当局的暗网域名争夺战后,ALPHV勒索软件团伙选择推出了新的暗网onion域名。
ALPHV勒索软件团伙又名BlackCat,最初于2020年8月以“DarkSide”名义推出 ,然后在面临因该团伙广泛宣传的对殖民管道的勒索攻击而造成的执法行动的巨大压力后于2021年5月关闭。
该勒索软件团伙后来于2021年7月31日以“BlackMatter”名称回归,但在Emsisoft利用漏洞创建解密器并查封服务器后,该勒索软件团伙于2021年11月再次关闭。
该团伙于2021年11月再次回归,这次的名称为“BlackCat/ALPHV”。从那时起,勒索软件团伙不断演变其勒索策略,并采取与英语附属机构合作的不寻常方式 。
这次事件一开始,ALPHV勒索软件团伙对外界宣称说,由于硬件故障,他们的暗网网站离线了。这种情况过去也发生过,所以很多人相信了这个借口。ALPHV勒索软件团伙接着表示,他们已经转移了暗网泄密网站的服务器和博客。
然而,12月19日,美国政府就ALPHV勒索软件发布了一份官方声明,声称ALPHV勒索软件的基础设施已经被联邦调查局(FBI)查封,他们公布了针对 ALPHV 的解密工具,并与国际合作伙伴合作,已经为 500 多家公司解密。联邦调查局 ALPHV 的搜查令指出,一名秘密线人进入了 ALPHV 面板。然后,联邦调查局对 ALPHV 面板进行了…… “调查”,设法进入了 ALPHV 网络,获得了 946 个Tor 站点的公钥/私钥对,ALPHV勒索软件团伙使用这些站点来托管受害者通信站点、泄密站点以及上述附属面板。
至此,FBI也掌握了ALPHV勒索软件团伙的暗网网站的.onion域名(http://alphvmmm27o3abo3r2mlmjrpdmzle3rykajqc5xsj7j7ejksbpsa36ad.onion)的密钥,与ALPHV 勒索软件团伙开展了拉锯战。19日的时候,FBI将该勒索软件团伙的暗网网站的.onion域名转向扣押的页面,显示扣押图片以及以下信息:
这项行动是在欧洲刑警组织和哥廷根犯罪调查中心的大力协助下,与美国佛罗里达州南区检察官办公室和司法部计算机犯罪和知识产权科协调采取的。
如果您有关于Blackcat、其附属机构或活动的信息,您可能有资格通过美国国务院的正义奖赏计划获得奖赏。信息可通过以下基于 Tor 的举报热线提交:he5dybnt7sr6cm32xt77pazmtm65flqy6irivtflruqfc5ep7eiodiad.onion(需要 Tor 浏览器)。
有关针对美国关键基础设施的外国恶意网络活动信息奖励的更多信息,请访问 https://rfj.tips/SDT55f。
然而,20日,当人们访问ALPHV勒索软件团伙的暗网网站的.onion域名(http://alphvmmm27o3abo3r2mlmjrpdmzle3rykajqc5xsj7j7ejksbpsa36ad.onion)时,出现以下页面,ALPHV勒索软件团伙声称“夺取”了他们的数据泄露站点,重新获得了对 URL 的控制,并声称 FBI 获得了对他们用来托管服务器的数据中心的访问权限。
由于 ALPHV 运营商和 FBI 现在都控制着用于在 Tor 中的暗网泄露网站洋葱 URL 的私钥,因此他们可以来回夺取对方的 URL,这一过程一整天都在进行。
不过,作为 ALPHV 解除扣押信息的一部分,该团伙宣布为其数据泄露网站推出一个新的暗网onion域名(http://alphvuzxyxv6ylumd2ngp46xzq3pw6zflomrghvxeuks6kklberrbmyd.onion),FBI 没有该网站的私钥,因此无法扣押。
该勒索软件团伙声称,FBI 仅在过去一个半月内获得了约 400 家公司的解密密钥。然而,他们表示,另外 3000 名受害者现在将失去钥匙。
ALPHV勒索软件团伙还表示,他们正在取消对其附属机构的所有限制,使他们能够瞄准任何他们想要的组织,包括关键基础设施。附属机构仍被限制攻击独立国家联合体(独联体)国家,这些国家以前是苏联的一部分。
最后,ALPHV勒索软件团伙表示将附属公司的收入份额提高到支付赎金的 90%,这可能会说服他们转而使用竞争的勒索软件即服务。
ALPHV勒索软件团伙的声明:
大家都知道,联邦调查局拿到了我们博客的钥匙,现在我们来告诉大家是怎么回事。
首先,这一切是如何发生的,在检查了他们的文件后,我们了解到他们获得了其中一个 DC 的访问权限,因为所有其他 DC 都没有被触及,事实证明,他们以某种方式入侵了我们的一个主机,甚至可能是他本人帮助了他们。
一个国际执法机构小组查封了臭名昭著的勒索软件团伙 ALPHV(即 BlackCat)的暗网泄密网站。该勒索软件团伙暗网泄密网站上的一条消息现在写道:“联邦调查局查封了该网站,作为针对 ALPHV Blackcat 勒索软件团伙采取的协调执法行动的一部分。”
据splash报道,此次执法行动还涉及来自英国、丹麦、德国、西班牙和澳大利亚的执法机构。
在后来确认此次破坏行动的声明中,美国司法部表示,由联邦调查局(FBI)领导的国际打击行动使美国当局能够得以进入该勒索软件团伙的计算机,并查封 ALPHV 运营的“多个网站”。
FBI 还发布了一款解密工具,已经帮助了 500 多名遭受 ALPHV 勒索软件攻击的受害者恢复了系统。 (联邦调查局称,它与美国的数十名受害者合作,使他们免于支付总计约 6800 万美元的赎金要求。)
美国政府的声明中称,ALPHV 攻击并破坏了全球 1000 多名受害者的网络,赚取了数亿美元。据司法部称,该团伙的目标是美国的关键基础设施,包括政府设施、紧急服务、国防工业基地公司、关键制造业、医疗保健和公共卫生设施,以及其他公司、学校和政府实体。
根据美国政府的搜查令,联邦调查局(FBI)称,它与一个与勒索软件团伙关系密切的“秘密线人”进行了接触,该线人向探员提供了访问 ALPHV/BlackCat 用于管理该团伙受害者的附属面板的凭证。
美国国务院此前表示,将奖励那些提供“有关 Blackcat、其附属机构或活动”信息的人们。
美国副司法部长丽莎·莫纳科(Lisa Monaco)在讲话中表示:“在瓦解 BlackCat 勒索软件团伙的过程中,司法部再次对黑客进行了攻击。” “通过联邦调查局向全球数百名勒索软件受害者提供的解密工具,企业和学校能够重新开放,医疗保健和紧急服务得以恢复在线。我们将继续优先考虑处理破坏事件,并将受害者置于我们摧毁助长网络犯罪生态系统的战略的中心。”
欧洲刑警组织(Europol)发言人伊娜·米哈伊洛娃(Ina Mihaylova)证实该机构参与了此次行动,但拒绝进一步置评。
ALPHV/BlackCat 勒索软件团伙是近年来最活跃、最具破坏性的勒索软件团伙之一。ALPHV 被认为是现已解散的受制裁 REvil 黑客组织的继承者,它声称已经入侵了许多知名的受害者,包括新闻分享网站 Reddit、医疗保健公司 Norton 和英国的 Barts Health NHS Trust。
近几个月来,该勒索软件团伙的策略变得越来越激进。 11 月,ALPHV 向美国证券交易委员会 (SEC) 首次提出此类投诉,指控数字借贷服务提供商 MeridianLink 未能披露该团伙所称的“泄露客户数据和运营信息的重大违规行为”。
尽管加利福利亚州的三城医疗中心(Tri-City)在 17 天前就恢复了运营并开始运行,但针对 Oceanside 医院的勒索软件勒索活动似乎仍在继续。
本周早些时候,一位网络安全专家在 X(以前称为 Twitter)上的一条推文中指出,臭名昭著的网络勒索者组织“INC RANSOM”在暗网上宣布拥有从医疗保健提供商处窃取的记录,在暗网这个互联网上的匿名角落经常买卖此类信息。
INC Ransom has listed Tri-City Medical Center: a San Diego County-based hospital that was forced to divert ambulances after a #ransomware attack last month. 1/3 pic.twitter.com/iXK8GjfNZL
— Brett Callow (@BrettCallow) December 7, 2023 该帖子包含八页印刷版的“证据”,据推测是在 11 月 9 日开始的数字攻击中从三城医院盗取的,这次攻击严重影响了该公立医院区的运营。11 月 27 日,该医院报告说,它已再次开始接受所有救护车的运送,并正在进行攻击期间推迟的选择性手术。
公布的记录包括两份事先授权表,用于要求医疗保险公司批准特定病人的特定手术,表中列出了病人的姓名、电话号码和其他身份信息。这一小批文件中还包括财务记录,但没有说明攻击者掌握了多少记录。
该公告发布在该勒索软件团伙的暗网泄密网站上,虽然”暗网下/AWX“找到并访问了该网站以验证此类记录的存在,但为了避免传播被盗信息,本文不分享具体访问地址。
勒索软件团伙发布的文件并不一定证明黑客进入了三城医疗中心的电子病历系统,因为该系统存储着病人的病程记录、检查结果和医学影像等超敏感数据。
黑客有可能在不访问医疗记录存储库的情况下获取大量个人信息。例如,斯克里普斯健康中心 (Scripps Health) 曾在 2021 年被迫通知近 15 万名患者,他们的一些私人信息在长达一个月的勒索软件攻击中遭到泄露,严重影响了其运营。斯克里普斯表示,虽然据说包括收件人、出生日期、医疗保险信息、医疗记录编号、患者账号以及治疗名称和日期在内的信息都被窃取了,但斯克里普斯医院表示医疗记录仍然是保密的。
但很明显,暗网网站上弹出的通知表明黑客仍在试图勒索该医院。
总部位于西雅图的信息安全咨询公司 Critical Insight 的网络安全顾问杰克·米尔斯坦 (Jake Milstein) 表示,此类帖子的目的是向组织施加压力,要求他们支付赎金,以避免规模更大、更具破坏性的数据转储。而且,即使企业支付了首次赎金请求,也不一定意味着不会进行第二次尝试。