勒索软件团伙

由澳大利亚和日本等10个国家的执法机构组成的国际执法工作组宣布成功摧毁了LockBit勒索软件团伙。 由英国和美国当局领导的“克罗诺斯行动”（Operation Cronos）查获了由LockBit勒索软件团伙运营的暗网网站。LockBit是一个臭名昭著且猖獗多产的勒索软件组织，在全球范围内攻击了2000多名受害者，并勒索了超过1.2亿美元的赎金。 过去四年来，LockBit团伙在全球企业和政府中散布了恐惧，并在勒索软件攻击中占了很大份额。Akamai 2023年的一份研究报告强调，LockBit影响了勒索软件领域，占勒索软件受害者总数的39%（1091名受害者），是排名第二的勒索软件团伙数量的三倍多。 自2020年1月以来，LockBit在亚太地区发起了数百起攻击，目标涉及金融服务、关键基础设施、农业、教育和政府等部门。它关闭了日本最大的名古屋港口两天，该港口是日本最大的汽车制造商使用的港口。以类似的方式，LockBit对澳大利亚最大港口的IT系统进行了加密，扰乱了其运营。由于影响如此严重，LockBit为这次攻击道歉并提供了解密密钥以恢复服务。该团伙还利用勒索软件即服务工具招募招募技术含量低的黑客，扩大了LockBit签名勒索软件攻击的规模、影响范围和造成的损害。 LockBit因将敏感数据泄露给所有人来羞辱那些拒绝支付赎金的人而感到自豪。 LockBit关联人员在乌克兰和波兰被捕 作为国际取缔行动的一部分，臭名昭著的LockBit勒索软件团伙的至少三名成员在波兰和乌克兰被捕。 逮捕消息是在LockBit的暗网网站关闭后发布的，该组织利用该网站威胁受害者，除非支付勒索费用，否则就会公布他们被黑客入侵的数据。 乌克兰网络警察周三表示，他们逮捕了“一对父子”，他们的行为据称代表LockBit，“影响了法国的人民、企业、国家机构和医疗机构”。 在搜查嫌疑人位于乌克兰西部城市捷尔诺波尔的公寓时，警方没收了他们的手机和电脑设备，怀疑这些设备被用来进行网络攻击。 在波兰，警方在华沙逮捕了一名38岁男子。涉嫌与LockBit关联的人被带至检察官办公室，并被指控犯有刑事罪。波兰当局在YouTube上发布了逮捕视频。 在乌克兰和波兰的案件中，尚不清楚罪犯如果被判有罪将受到何种惩罚。 警方关闭了LockBit的多个关联账户 摧毁LockBit勒索软件服务的执法行动已宣布关闭相关犯罪分子使用的第三方服务的14000多个关联账户。 根据查获的LockBit的暗网域名上的一篇帖子，文件托管服务Mega以及加密电子邮件提供商Tutanota和Protonmail上的帐户被用于“渗透或基础设施”。 欧洲刑警组织欧洲网络犯罪中心对这些账户的分析表明，其中一些账户还被用于使用其他勒索软件变体的攻击，这表明它们是由附属机构（使用LockBit平台的黑客）操作的。 目前由英国官员控制的LockBit的暗网.onion网站表示：“每个账户都代表着获取不义之财的渠道，这种协调一致的行动打击了网络犯罪活动的核心，严重阻碍了他们从邪恶活动中获利的能力。” 但LockBit将会卷土重来 这次执法行动并非没有戏剧性。LockBit声名狼藉的领导者lockBitSupp曾对“克罗诺斯行动“（Operation Cronos）进行恶搞，并抱怨没有悬赏追捕他的人头，他甚至悬赏1000万美元以揭露他的身份。LockbitSupp的真实身份目前仍然是个谜。 执法当局还借鉴了LockBit团伙在媒体上传播他们的攻击和羞辱受害者的手段。他们将他们的行动命名为“克罗诺斯”（Cronos），并分享了一个每小时一次的倒计时，以宣布LockBit被取缔的消息。曾经泄露客户数据的暗网网站现在正在为那些反对勒索并拒绝支付赎金的人共享解密密钥。日本警方在欧洲刑警组织的支持下开发了一种解密工具，旨在恢复由LockBit 3.0黑色勒索软件加密的文件。 当局打算向所有勒索软件团伙发出明确的信息，他们不能再躲在Tor后面逃避暗网的监视，并且他们将对自己的行为负责。 预防胜于恢复 这是一次大胆的联合取缔行动，标志着许多国家当局的通力合作。然而，依靠多国特遣部队来摧毁勒索软件团伙并恢复解密密钥并不是一种有效的安全策略。预防胜于恢复。 勒索软件团伙非常灵活，LockBit团伙的一个变种可能会很快填补这一空白，并很快用更具破坏性的工具取而代之。让我们记住另一个对多产勒索软件团伙Blackcat/APHV的摧毁尝试，该组织在FBI查获其暗网网站数小时后“解封”了其暗网网站。在与当局的来回交涉中，该团伙发布了一张黑猫的图片和一条横幅，上面写着“该网站已被解封”。该团伙仍然逍遥法外，美国国务院悬赏高达1000万美元，以征集该团伙头目的信息。勒索软件团伙正在学习并将适应当局使用的工具和技术。 最有效的安全策略是防止攻击者访问关键服务器上的数据并对其进行加密，并在他们能够入侵环境前进行备份。现在是企业重新评估其安全状况的时候了。全面了解攻击面，同时制定强大的流程和操作手册来预防勒索软件攻击并从中恢复，是至关重要的。 从软件定义的微分段开始实施零信任架构，以防止被入侵后的横向移动至关重要。通过全面的网络可视性来识别入侵指标（IoCs），可以对勒索软件攻击采取更具攻击性的态势，并遵守当地的网络安全法规。 现在是通过在勒索软件杀伤链的每个环节实施安全解决方案来对付勒索软件的时候了。

包括美国联邦调查局（FBI）和英国国家犯罪侦查局（NCA）在内的国际执法机构联盟已经扰乱了多产的LockBit勒索软件团伙的运作。 LockBit团伙的暗网泄露网站——该团伙在此公开列出了受害者名单，并威胁称，除非支付赎金，否则将泄露其被盗的数据——周一已被执法通知所取代。 英国国家犯罪侦查局发言人海蒂·哈芬里希特 （Hattie Hafenrichter）表示，“由于国际执法行动，LockBit的勒索服务已中断。” 被关闭的泄密网站上的一条消息证实，该网站“目前由英国国家犯罪侦查局控制，并与联邦调查局和国际执法工作组‘克罗诺斯行动’（Operation Cronos）密切合作。” 目前，该暗网网站现在拥有一系列暴露 LockBit 能力和操作的信息，包括后端泄露以及有关 LockBit 所谓头目（称为 LockBitSupp）的详细信息。 ”克罗诺斯行动“（Operation Cronos）是一个由NCA领导的特别工作组，并由欧洲刑警组织（Europol）和欧洲司法组织（Eurojust）在欧洲协调。它还涉及来自美国、法国、日本、瑞士、加拿大、澳大利亚、瑞典、荷兰、芬兰和德国的其他国际警察组织。 欧洲刑警组织在周二的一份声明中证实，长达数月的行动“已经导致LockBit的主要平台和其他关键基础设施遭到破坏，从而使他们的犯罪活动难以开展”。其中包括关闭荷兰、德国、芬兰、法国、瑞士、澳大利亚、美国和英国的34台服务器，并扣押200多个加密货币钱包。目前尚不清楚这些钱包中存储了多少加密货币。 另外，美国司法部对两名俄罗斯公民 Artur Sungatov 和 Ivan Gennadievich Kondratiev 提起了起诉，指控他们参与了LockBit攻击。在法国司法当局的要求下，波兰和乌克兰也逮捕了两名被指控的LockBit参与者。 在周一被取缔之前，LockBit在其暗网泄密网站上声称，它“位于荷兰，完全不关心政治，只对金钱感兴趣”。 作为“克罗诺斯行动”的一部分，执法机构表示，他们已从被扣押的LockBit基础设施中获取了解密密钥，以帮助勒索软件团伙的受害者重新获得数据访问权限。 自2019年底首次以勒索软件即服务 (RaaS) 形式出现以来，LockBit已成为世界上最猖獗的网络犯罪团伙之一。据美国司法部（DOJ）称，LockBit已被用于针对美国和全球受害者系统的约2000起勒索软件攻击，该团伙已收到超过1.2亿美元的赎金。 总部位于英国的网络安全公司NCC Group威胁情报主管马特·赫尔（Matt Hull）告诉 TechCrunch，该公司仅在2023年就记录了1039名LockBit受害者，“占我们全年发现的所有勒索软件受害者的22%”。 LockBit及其附属机构声称对黑客攻击世界上一些最大的组织负责。该团伙去年声称对航空航天巨头波音公司、芯片制造商台积电、英国核潜艇基地数据和英国邮政巨头皇家邮政的网络攻击负责。近几个月来，LockBit团伙声称对佐治亚州富尔顿县的勒索软件攻击负责，该攻击导致该县关键服务中断数周，LockBit还声称对针对印度国有航空航天研究实验室的网络攻击负责。 周一的行动是一系列针对勒索软件团伙的执法行动中的最新行动。去年12月，一组国际执法机构宣布他们查获了臭名昭著的勒索软件团伙 ALPHV（即 BlackCat）的暗网泄露网站，该团伙造成了许多知名受害者，其中包括新闻分享网站Reddit、医疗保健公司诺顿和英国巴茨健康NHS信托基金会（Barts Health NHS Trust）。

益生菌公司养乐多的澳大利亚分公司遭受了一次重大网络攻击，该公司的记录和护照等敏感员工文件被发布在暗网上，此次攻击是勒索软件攻击，黑客试图从公司勒索金钱。The North Face母公司近期也遭受勒索攻击，黑客在暗网泄密网站发布内容并羞辱其高管。 勒索软件团伙DragonForce攻击养乐多，并在暗网公布95GB数据样本 益生菌公司养乐多（Yakult） 确认其澳大利亚和新西兰 IT 系统受到“网络事件”的影响。该公司在其网站上的一份声明中表示，正在“与网络事件专家合作调查事件的严重程度”。声明中写道：“我们在澳大利亚和新西兰的所有办事处均保持开放并继续运营。” 该公司总部位于墨尔本丹德农，拒绝进一步置评，但 ABC 调查了解到，该公司是勒索软件攻击的受害者。勒索软件攻击是一种网络犯罪，黑客试图向公司勒索金钱，如果被勒索公司未支付赎金，黑客就会在暗网发布被盗文件。 声称对此次泄露事件负责的组织是 DragonForce，这是一个勒索软件团伙，自 12 月初以来已列出了近 20 个“拒绝合作”的目标，其目标范围从德克萨斯州的一家家庭慈善机构到新加坡的可口可乐和南澳大利亚的一家浴室制造商等商业实体。 在该勒索软件团伙的暗网泄密网站上，该组织发布了每个受害者被盗的文件存储样本。 但这些网络犯罪分子似乎与 DragonForce Malaysia 没有直接关系，DragonForce Malaysia 是一个针对以色列政府机构的黑客组织。 ABC 对泄露的 95 GB 数据样本进行了分析，发现泄露的公司的文件可以追溯到 2001 年，文件中包含敏感的员工信息，包括护照和驾驶执照的扫描件、就业前医疗评估和证书、工资和绩效评估。 ABC已确定至少一张护照扫描件属于一名仓库员工。澳大利亚广播公司还在泄露的缓存中发现了养乐多母公司所在地的日本护照。一个单独的数据库还包含近 9000 人的姓名和地址。目前尚不清楚这些是否是客户记录，但ABC已经能够验证至少部分姓名和地址的准确性。 养乐多澳大利亚公司（Yakult Australia）于 12 月 15 日获悉此次网络攻击，五天后，DragonForce 将这家益生菌公司列为受害者之一，然后在圣诞节早上公布了被盗的文件存储。 勒索软件团伙ALPHV/Blackcat攻击VF公司，并在暗网羞辱公司高管 勒索软件团伙ALPHV/Blackcat因赎金数额问题，在谈判失败后向VF公司（North Face、Vans、Timberland的母公司）的领导层施加压力。VF公司公司遭受网络攻击，导致众多业务运营中断。 “有时候你必须通过用头撞墙来学习。» 在暗网上的一篇长文中，黑客取笑了 The North Face、Vans、Timberland 和 Supreme 等主要品牌的母公司 VF Corporation。这家时尚巨头在礼品购买季节中期遭受网络攻击，扰乱了集团的商业运营。大量数据被盗，据攻击背后的黑客组织 ALPHV/Blackcat称，该公司正在尝试通过谈判将其取回。徒劳无功，因为所提供的金额不符合网络犯罪分子的期望。 “该公司提供的金额远低于要价，也远低于其保险范围。因此，她希望保持干净的资产负债表。这显示了他们的领导者的批判性思维能力。[…]由于管理技能不足以快速解决问题，我们预计损失将超过九位数。[…]领导人已明确表示，如果我们发布此消息，他们将不会继续参与，我们不在乎。你的谈判代表下次会学会不要浪费我的时间，”他们在暗网泄密网站发布文章写道。 勒索软件团伙ALPHV/Blackcat以其顽固不化而闻名，并且会毫不犹豫地透露谈判的幕后细节。 “对于 VF 公司的白痴来说，当你听谈判和事件响应‘专家’声称争取时间可以给你折扣时，就会发生这种情况（他们实际上是这么告诉他们的！！）。有时你必须通过用头撞墙来学习。由于他们的低端产品，我们的价格上涨了五百万。这篇博文是在他们重申六位数的报价不变后 24 小时发布的。”黑客补充道。 黑客甚至乐于发布人工智能生成的图像，其中显示穿着 Supreme 或 North Face 流行服装的猫（该团伙的标志）。 黑客在暗网网站上公布了少量数据，并声称如果不支付赎金，就会释放一个大型数据库。目前尚无法具体确定网络犯罪分子窃取信息的程度。

前天，“暗网下/AWX”报道了国际联合执法机构查封了臭名昭著的ALPHV勒索软件团伙的暗网泄密网站，在经历与美国当局的暗网域名争夺战后，ALPHV勒索软件团伙选择推出了新的暗网onion域名。 ALPHV勒索软件团伙又名BlackCat，最初于2020年8月以“DarkSide”名义推出 ，然后在面临因该团伙广泛宣传的对殖民管道的勒索攻击而造成的执法行动的巨大压力后于2021年5月关闭。 该勒索软件团伙后来于2021年7月31日以“BlackMatter”名称回归，但在Emsisoft利用漏洞创建解密器并查封服务器后，该勒索软件团伙于2021年11月再次关闭。 该团伙于2021年11月再次回归，这次的名称为“BlackCat/ALPHV”。从那时起，勒索软件团伙不断演变其勒索策略，并采取与英语附属机构合作的不寻常方式 。 这次事件一开始，ALPHV勒索软件团伙对外界宣称说，由于硬件故障，他们的暗网网站离线了。这种情况过去也发生过，所以很多人相信了这个借口。ALPHV勒索软件团伙接着表示，他们已经转移了暗网泄密网站的服务器和博客。 然而，12月19日，美国政府就ALPHV勒索软件发布了一份官方声明，声称ALPHV勒索软件的基础设施已经被联邦调查局（FBI）查封，他们公布了针对 ALPHV 的解密工具，并与国际合作伙伴合作，已经为 500 多家公司解密。联邦调查局 ALPHV 的搜查令指出，一名秘密线人进入了 ALPHV 面板。然后，联邦调查局对 ALPHV 面板进行了…… “调查”，设法进入了 ALPHV 网络，获得了 946 个Tor 站点的公钥/私钥对，ALPHV勒索软件团伙使用这些站点来托管受害者通信站点、泄密站点以及上述附属面板。 至此，FBI也掌握了ALPHV勒索软件团伙的暗网网站的.onion域名（http://alphvmmm27o3abo3r2mlmjrpdmzle3rykajqc5xsj7j7ejksbpsa36ad.onion）的密钥，与ALPHV 勒索软件团伙开展了拉锯战。19日的时候，FBI将该勒索软件团伙的暗网网站的.onion域名转向扣押的页面，显示扣押图片以及以下信息： 这项行动是在欧洲刑警组织和哥廷根犯罪调查中心的大力协助下，与美国佛罗里达州南区检察官办公室和司法部计算机犯罪和知识产权科协调采取的。 如果您有关于Blackcat、其附属机构或活动的信息，您可能有资格通过美国国务院的正义奖赏计划获得奖赏。信息可通过以下基于 Tor 的举报热线提交：he5dybnt7sr6cm32xt77pazmtm65flqy6irivtflruqfc5ep7eiodiad.onion（需要 Tor 浏览器）。 有关针对美国关键基础设施的外国恶意网络活动信息奖励的更多信息，请访问 https://rfj.tips/SDT55f。 然而，20日，当人们访问ALPHV勒索软件团伙的暗网网站的.onion域名（http://alphvmmm27o3abo3r2mlmjrpdmzle3rykajqc5xsj7j7ejksbpsa36ad.onion）时，出现以下页面，ALPHV勒索软件团伙声称“夺取”了他们的数据泄露站点，重新获得了对 URL 的控制，并声称 FBI 获得了对他们用来托管服务器的数据中心的访问权限。 由于 ALPHV 运营商和 FBI 现在都控制着用于在 Tor 中的暗网泄露网站洋葱 URL 的私钥，因此他们可以来回夺取对方的 URL，这一过程一整天都在进行。 不过，作为 ALPHV 解除扣押信息的一部分，该团伙宣布为其数据泄露网站推出一个新的暗网onion域名（http://alphvuzxyxv6ylumd2ngp46xzq3pw6zflomrghvxeuks6kklberrbmyd.onion），FBI 没有该网站的私钥，因此无法扣押。 该勒索软件团伙声称，FBI 仅在过去一个半月内获得了约 400 家公司的解密密钥。然而，他们表示，另外 3000 名受害者现在将失去钥匙。 ALPHV勒索软件团伙还表示，他们正在取消对其附属机构的所有限制，使他们能够瞄准任何他们想要的组织，包括关键基础设施。附属机构仍被限制攻击独立国家联合体（独联体）国家，这些国家以前是苏联的一部分。 最后，ALPHV勒索软件团伙表示将附属公司的收入份额提高到支付赎金的 90%，这可能会说服他们转而使用竞争的勒索软件即服务。 ALPHV勒索软件团伙的声明： 大家都知道，联邦调查局拿到了我们博客的钥匙，现在我们来告诉大家是怎么回事。 首先，这一切是如何发生的，在检查了他们的文件后，我们了解到他们获得了其中一个 DC 的访问权限，因为所有其他 DC 都没有被触及，事实证明，他们以某种方式入侵了我们的一个主机，甚至可能是他本人帮助了他们。

一个国际执法机构小组查封了臭名昭著的勒索软件团伙 ALPHV（即 BlackCat）的暗网泄密网站。该勒索软件团伙暗网泄密网站上的一条消息现在写道：“联邦调查局查封了该网站，作为针对 ALPHV Blackcat 勒索软件团伙采取的协调执法行动的一部分。” 据splash报道，此次执法行动还涉及来自英国、丹麦、德国、西班牙和澳大利亚的执法机构。 在后来确认此次破坏行动的声明中，美国司法部表示，由联邦调查局（FBI）领导的国际打击行动使美国当局能够得以进入该勒索软件团伙的计算机，并查封 ALPHV 运营的“多个网站”。 FBI 还发布了一款解密工具，已经帮助了 500 多名遭受 ALPHV 勒索软件攻击的受害者恢复了系统。 (联邦调查局称，它与美国的数十名受害者合作，使他们免于支付总计约 6800 万美元的赎金要求。) 美国政府的声明中称，ALPHV 攻击并破坏了全球 1000 多名受害者的网络，赚取了数亿美元。据司法部称，该团伙的目标是美国的关键基础设施，包括政府设施、紧急服务、国防工业基地公司、关键制造业、医疗保健和公共卫生设施，以及其他公司、学校和政府实体。 根据美国政府的搜查令，联邦调查局（FBI）称，它与一个与勒索软件团伙关系密切的“秘密线人”进行了接触，该线人向探员提供了访问 ALPHV/BlackCat 用于管理该团伙受害者的附属面板的凭证。 美国国务院此前表示，将奖励那些提供“有关 Blackcat、其附属机构或活动”信息的人们。 美国副司法部长丽莎·莫纳科（Lisa Monaco）在讲话中表示：“在瓦解 BlackCat 勒索软件团伙的过程中，司法部再次对黑客进行了攻击。” “通过联邦调查局向全球数百名勒索软件受害者提供的解密工具，企业和学校能够重新开放，医疗保健和紧急服务得以恢复在线。我们将继续优先考虑处理破坏事件，并将受害者置于我们摧毁助长网络犯罪生态系统的战略的中心。” 欧洲刑警组织（Europol）发言人伊娜·米哈伊洛娃（Ina Mihaylova）证实该机构参与了此次行动，但拒绝进一步置评。 ALPHV/BlackCat 勒索软件团伙是近年来最活跃、最具破坏性的勒索软件团伙之一。ALPHV 被认为是现已解散的受制裁 REvil 黑客组织的继承者，它声称已经入侵了许多知名的受害者，包括新闻分享网站 Reddit、医疗保健公司 Norton 和英国的 Barts Health NHS Trust。 近几个月来，该勒索软件团伙的策略变得越来越激进。 11 月，ALPHV 向美国证券交易委员会 (SEC) 首次提出此类投诉，指控数字借贷服务提供商 MeridianLink 未能披露该团伙所称的“泄露客户数据和运营信息的重大违规行为”。

尽管加利福利亚州的三城医疗中心（Tri-City）在 17 天前就恢复了运营并开始运行，但针对 Oceanside 医院的勒索软件勒索活动似乎仍在继续。 本周早些时候，一位网络安全专家在 X（以前称为 Twitter）上的一条推文中指出，臭名昭著的网络勒索者组织“INC RANSOM”在暗网上宣布拥有从医疗保健提供商处窃取的记录，在暗网这个互联网上的匿名角落经常买卖此类信息。 INC Ransom has listed Tri-City Medical Center: a San Diego County-based hospital that was forced to divert ambulances after a #ransomware attack last month. 1/3 pic.twitter.com/iXK8GjfNZL — Brett Callow (@BrettCallow) December 7, 2023 该帖子包含八页印刷版的“证据”，据推测是在 11 月 9 日开始的数字攻击中从三城医院盗取的，这次攻击严重影响了该公立医院区的运营。11 月 27 日，该医院报告说，它已再次开始接受所有救护车的运送，并正在进行攻击期间推迟的选择性手术。 公布的记录包括两份事先授权表，用于要求医疗保险公司批准特定病人的特定手术，表中列出了病人的姓名、电话号码和其他身份信息。这一小批文件中还包括财务记录，但没有说明攻击者掌握了多少记录。 该公告发布在该勒索软件团伙的暗网泄密网站上，虽然”暗网下/AWX“找到并访问了该网站以验证此类记录的存在，但为了避免传播被盗信息，本文不分享具体访问地址。 勒索软件团伙发布的文件并不一定证明黑客进入了三城医疗中心的电子病历系统，因为该系统存储着病人的病程记录、检查结果和医学影像等超敏感数据。 黑客有可能在不访问医疗记录存储库的情况下获取大量个人信息。例如，斯克里普斯健康中心 (Scripps Health) 曾在 2021 年被迫通知近 15 万名患者，他们的一些私人信息在长达一个月的勒索软件攻击中遭到泄露，严重影响了其运营。斯克里普斯表示，虽然据说包括收件人、出生日期、医疗保险信息、医疗记录编号、患者账号以及治疗名称和日期在内的信息都被窃取了，但斯克里普斯医院表示医疗记录仍然是保密的。 但很明显，暗网网站上弹出的通知表明黑客仍在试图勒索该医院。 总部位于西雅图的信息安全咨询公司 Critical Insight 的网络安全顾问杰克·米尔斯坦 (Jake Milstein) 表示，此类帖子的目的是向组织施加压力，要求他们支付赎金，以避免规模更大、更具破坏性的数据转储。而且，即使企业支付了首次赎金请求，也不一定意味着不会进行第二次尝试。

一个勒索软件团伙盯上了著名的爱德华七世国王医院（King Edward VII’s Hospital），并威胁称，除非支付价值 30 万英镑的比特币（10 BTC）赎金，否则将公开王室成员的私人健康数据。 该团伙以有毒的热带蜈蚣命名为“Rhysida”，声称获得了敏感信息的宝库，包括“X光片、顾问的信件、登记表、手写的临床记录和病理表格”。 黑客已经在其暗网泄密网站上发布了一份声明，称“时间只有 7 天，请抓住机会竞拍独家、独特、令人印象深刻的数据。打开钱包，准备购买独家数据。我们只卖一手，不转售，您将是唯一的拥有者！” 声明表示： 为您提供独一无二的文件！ 来自皇室的数据！ 大量病人和员工资料。 一次性出售! 爱德华七世国王医院是一家独立的慈善医院，拥有值得骄傲的皇家赞助历史，位于伦敦哈雷街医疗区内。 跟声明一起展示的还有许多疑似内部文件的截图，拼在一起，但是比较模糊。目前该文件销售的时间仅剩一天左右。 一个多世纪以来，英国王室一直使用爱德华七世国王医院的服务。 已故的伊丽莎白女王和她的丈夫菲利普亲王在女王 2021 年去世前曾长期在该医院接受治疗，他们都是曾在那里寻求治疗的著名王室成员之一。 夏天，约克公爵夫人莎拉接受了手术，并在医院住了好几天。 2012年，威尔士王妃凯特在第一次怀孕期间因严重孕吐也在该医院接受治疗。 当时，一名澳大利亚 DJ 致电医院，获取并广播了当时剑桥公爵夫人的健康详细信息。 医院被迫就侵犯隐私行为做出道歉。 现在，随着最新的网络威胁的出现，王室在保护其私人医疗信息方面面临着另一个挑战。 这次网络攻击促使英国情报机构立即采取行动，英国政府通讯总部（GCHQ）和警方对该黑客组织展开调查。 英国国家网络安全中心（NCSC）的发言人表示：“我们正在与爱德华七世国王医院合作以了解影响。” 然而，现阶段，如果数据确实被盗，当局能采取的措施也只有一定程度。 前军事情报上校菲利普·英格拉姆（Philip Ingram）指出，被盗信息可能被复制并出售给其他网络犯罪团伙，从而加剧国家安全风险。 “困难在于攻击已经发生，许多知名客户将自行采取风险缓解措施。从某种程度上来说，损害已经造成。”英格拉姆说。 该医院上个月证实了这起网络攻击，表示已立即采取措施减轻该事件的影响，并已启动内部调查。 虽然医院没有确认攻击幕后黑手的身份，但表示只有不到 1% 的患者受到影响。 它表示，受影响的个人已被告知数据滥用的潜在风险。 该医院首席执行官贾斯汀·维尔 (Justin Vale) 向受影响的患者保证，将立即采取措施遏制这一事件，全面调查显示，包括一些个人健康信息在内的少量数据被复制。 该医院表示：“虽然这主要是良性的医院系统数据，但也拷贝了少量的患者信息。” 这一事件加剧了人们对国家重要资产安全的担忧。国家安全委员会最近就国家和与国家结盟的团体对这些资产构成的持续威胁发出了警告。 勒索软件攻击，包括最近Rhysida针对大英图书馆的勒索软件攻击，都被强调为一个突出的威胁。

英国国家图书馆、世界上最大的图书馆之一大英图书馆已确认遭受勒索软件攻击，导致内部数据被盗。 10月下旬，大英图书馆首次披露，它正在经历一场不明的网络安全事件，导致其位于伦敦和约克郡的网站出现“重大技术故障”，导致其网站、电话线以及访客Wi-Fi和电子支付等现场服务瘫痪。 两周过去了，大英图书馆的故障仍在持续。然而，该图书馆现已确认，此次中断是“由一个以此类犯罪活动著称的组织”发起的勒索软件攻击造成的。大英图书馆表示，一些内部数据已在网上泄露，“似乎来自我们的内部人力资源档案”。 这一确认是在大英图书馆被列入Rhysida 勒索软件团伙的暗网泄露网站数小时后得到的。暗网上显示的这份清单声称对此次网络攻击负责，并威胁要公布从大英图书馆窃取的数据，除非支付赎金。该团伙索要价值超过74万美元的比特币。 Rhysida勒索软件团伙尚未透露从大英图书馆窃取了多少数据或哪些类型的数据，但该团伙共享的数据样本似乎包括就业文件和护照扫描件。 上周，Rhysida 成为 CISA 和 FBI 联合警告的主题，警告称该组织利用面向外部的远程服务（如 VPN）来入侵教育、IT 和政府部门的组织。该通报还警告称，5 月份首次发现的 Rhysida 与Vice Society 勒索软件团伙有相同之处，后者是一个以勒索医疗保健和教育机构的勒索软件攻击而闻名的黑客组织。 Sophos 研究人员 Colin Cowie 和 Morgan Demboski 在最近的一份关于Rhysida的分析中写道：“值得注意的是，根据勒索软件组织的数据泄露网站，Vice Society 自 2023 年 7 月以来就没有发布过受害者信息，而这正是Rhysida开始在其网站上报告受害者的时间。” 勒索软件团伙解散、重塑品牌或创建新的恶意软件变种的情况并不少见，通常是为了逃避政府制裁或避免被执法部门逮捕。 周一，大英图书馆在 X（前 Twitter）上分享的一份声明中表示，“没有证据”表明其客户的数据遭到泄露，但建议用户更改密码作为“预防措施”，特别是如果用户在多个服务中使用相同的密码。 目前尚不清楚大英图书馆是否有技术手段来确定客户数据是否被盗取。 大英图书馆尚未透露它是如何被入侵的、有多少员工数据被盗，或者是否收到了黑客的通信或赎金要求。截至本文发布时，图书馆网站仍处于离线状态。 大英图书馆在最新声明中表示，可能需要数周甚至更长时间才能从勒索软件攻击中恢复过来。声明称：“我们预计在未来几周内恢复许多服务，但一些中断可能会持续更长时间。” “与此同时，我们采取了有针对性的保护措施，以确保我们系统的完整性，并且我们将在[国家网络安全中心]、伦敦警察局和网络安全专家的支持下继续调查此次攻击。” We’re continuing to experience a major technology outage as a result of a cyber-attack, affecting our website, online systems and services, and some onsite services too. We anticipate restoring many services in the next few weeks, but some disruption may persist for longer.

近期，路透社、英国《金融时报》和其他媒体援引消息人士的话称，有俄罗斯背景的暗网勒索软件团伙LockBit对中国工商银行美国分行进行了勒索软件攻击。后Lockbit声明中称，中国工商银行已经支付了赎金，但目前没有得到核实确认。 在勒索软件攻击中，黑客通常锁定（加密）受害企业的系统，并索要赎金来解锁系统（解密），通常还窃取敏感数据以达到勒索的目的。 中国工商银行美国分行遭勒索攻击 上周四，中国工商银行(ICBC)美国分行遭受了勒索软件攻击，扰乱了美国国债市场的交易，这是今年黑客勒索赎金的一系列受害者中的最新一起。 当时，中国资产规模最大的商业银行的美国子公司工银金融服务公司表示，正在调查这起破坏其部分系统的网络攻击事件，并在数据恢复方面取得进展。 中国外交部上周五表示，该行正在努力将袭击发生后的风险影响和损失降到最低。外交部发言人汪文斌在例行新闻发布会上表示，工行一直密切关注此事，并尽最大努力做好应急处置和监管沟通；工商银行总行及全球其他分支机构的业务保持正常。 几位勒索软件专家和网络安全分析师表示，名为Lockbit的网络犯罪团伙是此次黑客攻击的幕后黑手，该团伙有俄罗斯背景，通常在其暗网网站上发布受害者姓名。 交易市场的参与者表示，该攻击事件的影响相对较小，但引发的担忧并不小。 Lockbit团伙成员称工行已经支付了赎金 Lockbit勒索软件团伙代表本周一在一份声明中表示，中国最大的银行中国工商银行在上周遭到黑客攻击后支付了赎金，不过路透无法独立核实该声明。 Lockbit团伙的代表通过在线消息应用程序Tox告诉路透社：“他们支付了赎金，交易完成。” 据路透社报道，这次黑客攻击的范围如此之大，以至于该公司的企业电子邮件都停止运行，迫使员工改用谷歌邮件。 此次勒索软件攻击发生之际，人们对26万亿美元的国债市场的弹性更加担忧，该市场对于全球金融管道至关重要，并且可能会引起监管机构的审查。 一位发言人在一份声明中表示：“我们提醒会员及时采取所有保护措施，并立即修补关键漏洞。”他补充道：“勒索软件仍然是金融部门面临的最大威胁之一。” 为什么工行要支付赎金 近几个月来，Lockbit对世界上一些最大的企业进行了黑客攻击，在受害者拒绝支付赎金的情况下窃取和泄露敏感数据。 据美国官员称，在短短三年内，它已成为全球最大的勒索软件威胁。 在美国，该勒索软件团伙的破坏性最大，影响了从金融服务、食品到学校、交通和政府部门等几乎各个领域的1700多个美国组织。 政府长期以来一直建议不要向勒索软件团伙支付费用，以打破犯罪分子的商业模式。赎金通常以加密货币的形式索要，因为加密货币难以追踪，而且接收者匿名。 一些公司已经悄悄支付了赎金，以求尽快恢复正常运营，并避免因敏感数据公开泄露而造成声誉受损。没有备份、没有解密密钥从而无法恢复系统的受害者有时别无选择，只能付费。 工行黑客事件使用了美国政府曾曝光的攻击方式 美国财政部官员说，Lockbit勒索软件团伙对中国工商银行的攻击可能源自于云计算公司思杰（Citrix）上个月在其NetScaler技术中披露的一个关键漏洞，即“CitrixBleed”漏洞。 所谓的“CitrixBleed”漏洞 ( CVE-2023-4966 ) 影响 Citrix NetScaler ADC 和 NetScaler Gateway 应用程序交付平台的多个本地版本。 该漏洞本身是一个缓冲区溢出问题，可导致敏感信息泄露。当配置为身份验证、授权和计费 (AAA) 或网关设备（例如 VPN 虚拟服务器或ICA或RDP代理）时，它会影响NetScaler的本地版本。 该漏洞的严重性评分为9.4 分（CVSS 3.1 等级最高为10分），为攻击者提供了窃取敏感信息和劫持用户会话的方法。Citrix 将该漏洞描述为可远程利用，攻击复杂性低，无需特殊权限，也无需用户交互。 与此同时，鉴于大规模利用活动的报道，美国网络安全和基础设施安全局 (CISA)也加入了要求立即修补CVE-2023-4966的行列。CISA发布了有关应对“CitrixBleed”漏洞的指南，敦促组织“将未受影响的设备更新到 Citrix 上个月发布的更新版本”。 大规模的“CitrixBleed”漏洞利用 自8月份以来，威胁行为者一直在积极利用该漏洞，这比Citrix于10月10日发布受影响软件的更新版本还要早几周。发现该漏洞并向Citrix报告的Mandiant研究人员还强烈建议企业终止每个受影响的NetScaler设备上的所有活动会话，因为即使在更新后，认证会话仍有可能继续存在。 安全研究员凯文-博蒙特(Kevin Beaumont)指出，中国工商银行11月6日未打补丁的Citrix NetScaler是LockBit黑客的一个潜在攻击媒介。 “目前仍有超过5000个企业尚未修补#CitrixBleed漏洞，”博蒙特说，“它允许完全、轻松地绕过所有形式的身份验证，并被勒索软件团体利用。它就像在企业内部访问并单击一样简单，它为攻击者在另一端提供了完全交互式的远程桌面。” 最近几周，针对未打补丁的NetScaler设备的攻击已成为大规模利用趋势，公开的漏洞技术细节至少助长了部分攻击活动。 ReliaQuest本周的一份报告表明，目前至少有四个有组织的威胁行为团伙正在针对该漏洞。其中一个团伙自动化利用了“CitrixBleed”漏洞。ReliaQuest报告称，在11月7日至9日期间，观察到“多起以Citrix Bleed漏洞为特征的独特客户事件”。 ReliaQuest表示：“ReliaQuest已在客户环境中发现了多个威胁行为者利用 Citrix Bleed 漏洞的案例。” 该公司指出：“在获得初步访问权限后，攻击者迅速对环境进行枚举，重点是速度而不是隐蔽性。”ReliaQuest表示，在某些事件中，攻击者窃取了数据，而在其他事件中，他们似乎试图部署勒索软件。 互联网流量分析公司GreyNoise的最新数据显示，至少有51个唯一IP地址尝试利用“CitrixBleed”漏洞，这一数字较10月底的约70个有所下降。

“暗网下/AWX”获悉，新的暗网勒索软件团伙RansomedVC的所有者已将旗下所有的资源挂牌出售。RansomedVC发言人在其泄密网站上表示：“我不想继续受到联邦机构的监控，我希望将该项目出售给愿意继续该项目的人。” “我们正在出售一切。” RansomedVC的所有者在该项目的官方Telegram频道中发布广告： The project ransomedvc is up for sale.✅ I do not want to continue running the project due to personal reasons, none will be disclosed to journalist, dont even ask. We are selling everything. IN PACKAGE: Domains(ransomed.vc, ransomed.biz f6….onion) & forum 1 Ransomware Builder = 100% FUD – Bypassing all AV’s and automatically infecting all LAN device’s inside network.. – automatically escalate privileges and planting. Custom Builded – unique – Own custom code.