一个勒索软件团伙盯上了著名的爱德华七世国王医院(King Edward VII’s Hospital),并威胁称,除非支付价值 30 万英镑的比特币(10 BTC)赎金,否则将公开王室成员的私人健康数据。
该团伙以有毒的热带蜈蚣命名为“Rhysida”,声称获得了敏感信息的宝库,包括“X光片、顾问的信件、登记表、手写的临床记录和病理表格”。
黑客已经在其暗网泄密网站上发布了一份声明,称“时间只有 7 天,请抓住机会竞拍独家、独特、令人印象深刻的数据。打开钱包,准备购买独家数据。我们只卖一手,不转售,您将是唯一的拥有者!”
声明表示:
为您提供独一无二的文件!
来自皇室的数据!
大量病人和员工资料。
一次性出售!
爱德华七世国王医院是一家独立的慈善医院,拥有值得骄傲的皇家赞助历史,位于伦敦哈雷街医疗区内。
跟声明一起展示的还有许多疑似内部文件的截图,拼在一起,但是比较模糊。目前该文件销售的时间仅剩一天左右。
一个多世纪以来,英国王室一直使用爱德华七世国王医院的服务。
已故的伊丽莎白女王和她的丈夫菲利普亲王在女王 2021 年去世前曾长期在该医院接受治疗,他们都是曾在那里寻求治疗的著名王室成员之一。
夏天,约克公爵夫人莎拉接受了手术,并在医院住了好几天。
2012年,威尔士王妃凯特在第一次怀孕期间因严重孕吐也在该医院接受治疗。
当时,一名澳大利亚 DJ 致电医院,获取并广播了当时剑桥公爵夫人的健康详细信息。
医院被迫就侵犯隐私行为做出道歉。
现在,随着最新的网络威胁的出现,王室在保护其私人医疗信息方面面临着另一个挑战。
这次网络攻击促使英国情报机构立即采取行动,英国政府通讯总部(GCHQ)和警方对该黑客组织展开调查。
英国国家网络安全中心(NCSC)的发言人表示:“我们正在与爱德华七世国王医院合作以了解影响。”
然而,现阶段,如果数据确实被盗,当局能采取的措施也只有一定程度。
前军事情报上校菲利普·英格拉姆(Philip Ingram)指出,被盗信息可能被复制并出售给其他网络犯罪团伙,从而加剧国家安全风险。
“困难在于攻击已经发生,许多知名客户将自行采取风险缓解措施。从某种程度上来说,损害已经造成。”英格拉姆说。
该医院上个月证实了这起网络攻击,表示已立即采取措施减轻该事件的影响,并已启动内部调查。
虽然医院没有确认攻击幕后黑手的身份,但表示只有不到 1% 的患者受到影响。
它表示,受影响的个人已被告知数据滥用的潜在风险。
该医院首席执行官贾斯汀·维尔 (Justin Vale) 向受影响的患者保证,将立即采取措施遏制这一事件,全面调查显示,包括一些个人健康信息在内的少量数据被复制。
该医院表示:“虽然这主要是良性的医院系统数据,但也拷贝了少量的患者信息。”
这一事件加剧了人们对国家重要资产安全的担忧。国家安全委员会最近就国家和与国家结盟的团体对这些资产构成的持续威胁发出了警告。
勒索软件攻击,包括最近Rhysida针对大英图书馆的勒索软件攻击,都被强调为一个突出的威胁。
英国国家图书馆、世界上最大的图书馆之一大英图书馆已确认遭受勒索软件攻击,导致内部数据被盗。
10月下旬,大英图书馆首次披露,它正在经历一场不明的网络安全事件,导致其位于伦敦和约克郡的网站出现“重大技术故障”,导致其网站、电话线以及访客Wi-Fi和电子支付等现场服务瘫痪。
两周过去了,大英图书馆的故障仍在持续。然而,该图书馆现已确认,此次中断是“由一个以此类犯罪活动著称的组织”发起的勒索软件攻击造成的。大英图书馆表示,一些内部数据已在网上泄露,“似乎来自我们的内部人力资源档案”。
这一确认是在大英图书馆被列入Rhysida 勒索软件团伙的暗网泄露网站数小时后得到的。暗网上显示的这份清单声称对此次网络攻击负责,并威胁要公布从大英图书馆窃取的数据,除非支付赎金。该团伙索要价值超过74万美元的比特币。
Rhysida勒索软件团伙尚未透露从大英图书馆窃取了多少数据或哪些类型的数据,但该团伙共享的数据样本似乎包括就业文件和护照扫描件。
上周,Rhysida 成为 CISA 和 FBI 联合警告的主题,警告称该组织利用面向外部的远程服务(如 VPN)来入侵教育、IT 和政府部门的组织。该通报还警告称,5 月份首次发现的 Rhysida 与Vice Society 勒索软件团伙有相同之处,后者是一个以勒索医疗保健和教育机构的勒索软件攻击而闻名的黑客组织。
Sophos 研究人员 Colin Cowie 和 Morgan Demboski 在最近的一份关于Rhysida的分析中写道:“值得注意的是,根据勒索软件组织的数据泄露网站,Vice Society 自 2023 年 7 月以来就没有发布过受害者信息,而这正是Rhysida开始在其网站上报告受害者的时间。”
勒索软件团伙解散、重塑品牌或创建新的恶意软件变种的情况并不少见,通常是为了逃避政府制裁或避免被执法部门逮捕。
周一,大英图书馆在 X(前 Twitter)上分享的一份声明中表示,“没有证据”表明其客户的数据遭到泄露,但建议用户更改密码作为“预防措施”,特别是如果用户在多个服务中使用相同的密码。
目前尚不清楚大英图书馆是否有技术手段来确定客户数据是否被盗取。
大英图书馆尚未透露它是如何被入侵的、有多少员工数据被盗,或者是否收到了黑客的通信或赎金要求。截至本文发布时,图书馆网站仍处于离线状态。
大英图书馆在最新声明中表示,可能需要数周甚至更长时间才能从勒索软件攻击中恢复过来。声明称:“我们预计在未来几周内恢复许多服务,但一些中断可能会持续更长时间。”
“与此同时,我们采取了有针对性的保护措施,以确保我们系统的完整性,并且我们将在[国家网络安全中心]、伦敦警察局和网络安全专家的支持下继续调查此次攻击。”
We’re continuing to experience a major technology outage as a result of a cyber-attack, affecting our website, online systems and services, and some onsite services too. We anticipate restoring many services in the next few weeks, but some disruption may persist for longer.
近期,路透社、英国《金融时报》和其他媒体援引消息人士的话称,有俄罗斯背景的暗网勒索软件团伙LockBit对中国工商银行美国分行进行了勒索软件攻击。后Lockbit声明中称,中国工商银行已经支付了赎金,但目前没有得到核实确认。
在勒索软件攻击中,黑客通常锁定(加密)受害企业的系统,并索要赎金来解锁系统(解密),通常还窃取敏感数据以达到勒索的目的。
中国工商银行美国分行遭勒索攻击 上周四,中国工商银行(ICBC)美国分行遭受了勒索软件攻击,扰乱了美国国债市场的交易,这是今年黑客勒索赎金的一系列受害者中的最新一起。
当时,中国资产规模最大的商业银行的美国子公司工银金融服务公司表示,正在调查这起破坏其部分系统的网络攻击事件,并在数据恢复方面取得进展。
中国外交部上周五表示,该行正在努力将袭击发生后的风险影响和损失降到最低。外交部发言人汪文斌在例行新闻发布会上表示,工行一直密切关注此事,并尽最大努力做好应急处置和监管沟通;工商银行总行及全球其他分支机构的业务保持正常。
几位勒索软件专家和网络安全分析师表示,名为Lockbit的网络犯罪团伙是此次黑客攻击的幕后黑手,该团伙有俄罗斯背景,通常在其暗网网站上发布受害者姓名。
交易市场的参与者表示,该攻击事件的影响相对较小,但引发的担忧并不小。
Lockbit团伙成员称工行已经支付了赎金 Lockbit勒索软件团伙代表本周一在一份声明中表示,中国最大的银行中国工商银行在上周遭到黑客攻击后支付了赎金,不过路透无法独立核实该声明。
Lockbit团伙的代表通过在线消息应用程序Tox告诉路透社:“他们支付了赎金,交易完成。”
据路透社报道,这次黑客攻击的范围如此之大,以至于该公司的企业电子邮件都停止运行,迫使员工改用谷歌邮件。
此次勒索软件攻击发生之际,人们对26万亿美元的国债市场的弹性更加担忧,该市场对于全球金融管道至关重要,并且可能会引起监管机构的审查。
一位发言人在一份声明中表示:“我们提醒会员及时采取所有保护措施,并立即修补关键漏洞。”他补充道:“勒索软件仍然是金融部门面临的最大威胁之一。”
为什么工行要支付赎金 近几个月来,Lockbit对世界上一些最大的企业进行了黑客攻击,在受害者拒绝支付赎金的情况下窃取和泄露敏感数据。
据美国官员称,在短短三年内,它已成为全球最大的勒索软件威胁。
在美国,该勒索软件团伙的破坏性最大,影响了从金融服务、食品到学校、交通和政府部门等几乎各个领域的1700多个美国组织。
政府长期以来一直建议不要向勒索软件团伙支付费用,以打破犯罪分子的商业模式。赎金通常以加密货币的形式索要,因为加密货币难以追踪,而且接收者匿名。
一些公司已经悄悄支付了赎金,以求尽快恢复正常运营,并避免因敏感数据公开泄露而造成声誉受损。没有备份、没有解密密钥从而无法恢复系统的受害者有时别无选择,只能付费。
工行黑客事件使用了美国政府曾曝光的攻击方式 美国财政部官员说,Lockbit勒索软件团伙对中国工商银行的攻击可能源自于云计算公司思杰(Citrix)上个月在其NetScaler技术中披露的一个关键漏洞,即“CitrixBleed”漏洞。
所谓的“CitrixBleed”漏洞 ( CVE-2023-4966 ) 影响 Citrix NetScaler ADC 和 NetScaler Gateway 应用程序交付平台的多个本地版本。
该漏洞本身是一个缓冲区溢出问题,可导致敏感信息泄露。当配置为身份验证、授权和计费 (AAA) 或网关设备(例如 VPN 虚拟服务器或ICA或RDP代理)时,它会影响NetScaler的本地版本。
该漏洞的严重性评分为9.4 分(CVSS 3.1 等级最高为10分),为攻击者提供了窃取敏感信息和劫持用户会话的方法。Citrix 将该漏洞描述为可远程利用,攻击复杂性低,无需特殊权限,也无需用户交互。
与此同时,鉴于大规模利用活动的报道,美国网络安全和基础设施安全局 (CISA)也加入了要求立即修补CVE-2023-4966的行列。CISA发布了有关应对“CitrixBleed”漏洞的指南,敦促组织“将未受影响的设备更新到 Citrix 上个月发布的更新版本”。
大规模的“CitrixBleed”漏洞利用 自8月份以来,威胁行为者一直在积极利用该漏洞,这比Citrix于10月10日发布受影响软件的更新版本还要早几周。发现该漏洞并向Citrix报告的Mandiant研究人员还强烈建议企业终止每个受影响的NetScaler设备上的所有活动会话,因为即使在更新后,认证会话仍有可能继续存在。
安全研究员凯文-博蒙特(Kevin Beaumont)指出,中国工商银行11月6日未打补丁的Citrix NetScaler是LockBit黑客的一个潜在攻击媒介。
“目前仍有超过5000个企业尚未修补#CitrixBleed漏洞,”博蒙特说,“它允许完全、轻松地绕过所有形式的身份验证,并被勒索软件团体利用。它就像在企业内部访问并单击一样简单,它为攻击者在另一端提供了完全交互式的远程桌面。”
最近几周,针对未打补丁的NetScaler设备的攻击已成为大规模利用趋势,公开的漏洞技术细节至少助长了部分攻击活动。
ReliaQuest本周的一份报告表明,目前至少有四个有组织的威胁行为团伙正在针对该漏洞。其中一个团伙自动化利用了“CitrixBleed”漏洞。ReliaQuest报告称,在11月7日至9日期间,观察到“多起以Citrix Bleed漏洞为特征的独特客户事件”。
ReliaQuest表示:“ReliaQuest已在客户环境中发现了多个威胁行为者利用 Citrix Bleed 漏洞的案例。” 该公司指出:“在获得初步访问权限后,攻击者迅速对环境进行枚举,重点是速度而不是隐蔽性。”ReliaQuest表示,在某些事件中,攻击者窃取了数据,而在其他事件中,他们似乎试图部署勒索软件。
互联网流量分析公司GreyNoise的最新数据显示,至少有51个唯一IP地址尝试利用“CitrixBleed”漏洞,这一数字较10月底的约70个有所下降。
“暗网下/AWX”获悉,新的暗网勒索软件团伙RansomedVC的所有者已将旗下所有的资源挂牌出售。RansomedVC发言人在其泄密网站上表示:“我不想继续受到联邦机构的监控,我希望将该项目出售给愿意继续该项目的人。” “我们正在出售一切。”
RansomedVC的所有者在该项目的官方Telegram频道中发布广告:
The project ransomedvc is up for sale.✅
I do not want to continue running the project due to personal reasons, none will be disclosed to journalist, dont even ask.
We are selling everything.
IN PACKAGE:
Domains(ransomed.vc, ransomed.biz f6….onion) & forum
1 Ransomware Builder = 100% FUD – Bypassing all AV’s and automatically infecting all LAN device’s inside network.. – automatically escalate privileges and planting.
Custom Builded – unique – Own custom code.
国际执法机构联手打击了臭名昭著的RagnarLocker勒索软件组织,作为国际执法行动的一部分,Ragnar Locker勒索软件团伙的Tor门户网站和暗网数据泄露网站于周四上午被查获。
目前访问RagnarLocker勒索软件团伙开设在暗网上的任一网站,都会显示一条扣押消息,指出来自美国、欧洲、德国、法国、意大利、日本、西班牙、荷兰、捷克共和国和拉脱维亚的大量国际执法机构参与了此次行动。
RagnarLocker暗网网站上的页面现在显示:“这项服务已因国际协调的执法行动的一部分而扣押,该执法行动针对的是RagnarLocker组织。”
目前尚不清楚此次行动的完整规模,也不清楚该勒索软件团伙的基础设施是否也被扣押,以及是否有人被逮捕,或者是否追回了被盗的资金。
欧洲刑警组织(Europol)发言人克莱尔·乔治斯(Claire Georges)确认,该机构参与了“针对这个勒索软件组织的持续行动”。 该发言人表示,欧洲刑警组织计划在周五“所有行动完成后”宣布此次打击行动。
意大利国家警察局的一名不愿透露姓名的发言人也表示,该行动的详细信息将于周五发布。
RagnarLocker(又名Ragnar Locker和Ragnar_Locker)是目前运行时间最长的勒索软件团伙之一,RagnarLocker既是一款勒索软件的名称,也是开发和运营该软件的犯罪团伙的名称。一些安全专家认为该勒索软件团伙与俄罗斯有联系,自2020年以来,已被观察到一直在开展网络攻击,并主要针对关键基础设施领域的组织。
大多数现代运营的勒索软件团伙积极招募外部附属机构来破坏网络并部署勒索软件,从而在此过程中按照比例赚取分成,然而,与这些勒索软件团伙不同,RagnarLocker并不被视为勒索软件即服务,它是半私人的,这意味着该团伙没有积极推广来招募附属机构,而是与外部渗透测试人员合作破坏目标的网络。
与其他勒索软件操作一样,RagnarLocker会破坏公司网络,在收集数据的同时横向传播到其他设备,然后对网络上的计算机进行加密。加密的文件和被盗的数据被用作双重勒索计划的筹码,迫使受害者支付巨额赎金。
去年发布的一份警报中,美国联邦调查局(FBI)警告称,他们已经确认了制造业、能源和政府等10个关键基础设施部门的至少有52家美国实体受到了RagnarLocker勒索软件的影响。与此同时,FBI公布了与RagnarLocker相关的联系资料,包括用于收取赎金要求的比特币地址以及该组织运营者使用的电子邮件地址。
该勒索软件操作多年来造成了多起备受瞩目的攻击,包括葡萄牙能源公司 (EDP)、Capcom、Campari、Dassault Falcon Jet、ADATA和比利时安特卫普市。
尽管该组织长期以来一直受到执法机关的关注,但根据勒索软件追踪网站Ransomwatch的数据,RagnarLocker直到本月仍在攻击受害者。去年9月,该组织声称对以色列的Mayanei Hayeshua医院发动了一次网络攻击,并威胁要泄露据称在事件中被盗的超过1TB数据。
近日,暗网里的口水战比较多,”暗网下/AWX“注意到最近比较活跃的新勒索软件团伙Ransomed.VC宣称与专注于共享数据的网站Breachforums达成合作协议,但BreachForums的负责人断然否认了与 Ransomed.VC合作的情况。
10月7日,暗网勒索软件团伙Ransomed.VC在其暗网网站发布一篇公告形式的博客文章”与Breachforums合作“,该文章公布了Breachforums的暗网与明网网址,并写道,其组织决定与一个他们最初并不相信的论坛(Breachforums)合作,他们曾以为这个项目已经死了,但结果它居然并没有死。
Partnership With Breachforums
Our group has decided to partner with a forum we did not really believe into first. We had thoughts the project is dead, but wait, It ISNT.
Our team has seen breachforums is keeping their operation way more serious than ever, this means our team will and would use their forum to share.
We had a lot of issues finding a forum that wont ban us because the attention it can bring to us.
索尼可能再次成为数据泄露的受害者。一个名为Ransomed.vc的勒索软件团伙声称窃取了“所有索尼系统”的数据,并威胁要在暗网上出售所有数据。
尽管Ransomed.vc与以前的论坛和群组有一些链接,但它从9月份才开始运作。不过,在这段时间里,该组织已经积累了大量受害者,索尼就是其中之一。
Ransomed.vc在网上宣布:“我们已经成功入侵[原文如此]所有索尼系统。我们不会勒索他们的!我们将出售数据。因为索尼不想付钱。数据可供出售”。
最先报道涉嫌数据泄露事件的媒体Cyber Security Connect称该勒索软件团伙是“相对勒索软件的新人” ,该媒体今天首先报道了这一消息,并表示他们拥有“不到 6000 个文件”,Cyber Security Connect 指出,对于该团伙声称窃取的文件来说,这个数字只是一个很小的数字。 “索尼集团公司,前身为东京电信工程公司和索尼公司,是一家日本跨国集团公司,总部位于日本东京港区。”Ransomed.vc在其泄密网站(包括明网和暗网)上说,其描述直接来自维基百科。
暗网的泄密页面确实包含了一些黑客入侵的证据数据,但从表面上看,这些信息并不特别引人注目——其中似乎有一个内部登录页面的截图、一个概述测试细节的内部PowerPoint演示文稿和一些Java文件。
Ransomed.vc还发布了整个泄密事件的文件树,其中似乎只有不到6000个文件–对于“索尼所有系统”来说似乎很小。其中包括“构建日志文件”、大量Java资源和HTML文件。
Ransomed.vc没有公开出售索尼数据的价格,并表示如果在9月28日(周四)之前没有人购买这些数据,他们很可能会开始公布他们窃取到的信息。Ransomed.vc在网站上留下了Tox消息服务的详细联系方式,以及Telegram和电子邮件的详细资料。
Ransomed.vc似乎既是一个勒索软件运营商,也是一个勒索软件即服务组织——而且它目前正在招募”联盟成员“。
它对勒索软件的处理方式也很独特,不仅声称自己是”解决公司内部数据安全漏洞的安全解决方案“,还”严格遵守GDPR和数据隐私法“。
Ransomed.vc在其泄密网站上称:”如果没有收到付款,我们有义务向GDPR机构报告违反《数据隐私法》的行为!“。
游戏公司数据被盗的问题并不新鲜,今年早些时候,Riot Games经历了一次“社会工程攻击”,影响了其即将发布的游戏。Riot证实攻击者的目标是《英雄联盟》和《云顶之弈》(Teamfight Tactics)等游戏并成功获得了源代码,但他们明确表示不会支付黑客索要的赎金。
索尼尚未对所谓的数据黑客攻击和Ransomed.vc的明显要求发表评论,也不知道到底采取了什么以及索尼将采取什么行动来保护消费者。
索尼公司以前曾是黑客攻击的目标,2011 年 4 月 20 日,在一次“外部入侵”导致数百万账户的个人信息泄露后,索尼不得不关闭PlayStation Network的服务器,这在当时是影响很大的。
索尼当时因“严重违反”《数据保护法》而被英国监管机构处以250000英镑(396,100 美元)的罚款,监管机构称这种情况“本来是可以避免的”。
旅行预订巨头Sabre表示,在一个勒索软件团伙的暗网泄密网站上出现一批据称从该公司窃取的文件后,该公司正在对网络攻击的说法进行调查。
Sabre发言人海蒂·卡斯尔(Heidi Castle)在一封电子邮件中表示:“Sabre了解到威胁组织提出的数据泄露指控,我们目前正在调查以确定其真实性。”
Dunghill Leak组织在其暗网泄密网站上的一份列表中声称对这起明显的网络攻击负责,声称该攻击窃取了约1.3TB的数据,包括机票销售和乘客流动的数据库、员工的个人数据和公司财务信息。
该组织发布了据称被窃取的部分文件,并声称完整的缓存将“很快可用”。
Sabre是一家旅行预订系统,也是航空旅客和预订数据的主要提供商,其软件和数据用于为航空公司和酒店预订入住、办理登机手续和应用程序提供支持。许多美国航空公司和连锁酒店都依赖该公司的技术。
TechCrunch看到的屏幕截图显示了几个与预订详细信息和账单相关的多个数据库名称,其中包含数千万条记录,但尚不清楚黑客本身是否有权访问这些数据库。
看到的一些屏幕截图包含与员工有关的记录,包括电子邮件地址和工作地点。一张屏幕截图包含员工姓名、国籍、护照号码和签证号码。其他几张屏幕截图显示了获得授权在美国工作的雇员的几张美国I-9表格。根据Sabre员工的LinkedIn简介,在缓存中发现的几本护照与Sabre员工一致,其中包括Sabre的一名副总裁。
目前尚不清楚所谓的数据泄露行为发生的时间,但勒索团伙发布的屏幕截图显示的数据似乎是2022年7月的最新数据。
Malwarebytes的安全研究人员表示,人们对Dunghill Leak知之甚少,只知道它是一个相对较新的勒索软件团伙和敲诈勒索组织,由Dark Angels勒索软件演变而来或重新命名,而Dark Angels勒索软件则源自Babuk勒索软件。迄今为止,Dunghill Leak声称其针对投币游戏制造商Incredible Technologies、食品巨头Sysco和汽车产品制造商Gentex进行了攻击。
勒索软件团伙完全放弃文件加密,转而专注于威胁如果不支付赎金就公开敏感数据,这种情况并不罕见。联邦调查局和国际执法部门长期以来一直鼓励勒索软件和勒索受害者不要支付赎金。
Sabre上一次报道安全事件2017年,黑客从其酒店预订系统中窃取了100万张信用卡。公司支付240万美元,以解决几个州在那次攻击事件后提出的指控。
勒索软件团伙Dunghill Leak在其暗网泄密的页面对Sabre的介绍:
Sabre是北美最大的全球机票预订分销系统供应商。它的软件、数据、移动和分销解决方案被数百家航空公司和数千家酒店用于管理关键业务。
Sabre是全球旅游业领先的软件和技术公司。它与航空公司、酒店经营者、代理商和其他旅游合作伙伴合作,零售、分销和执行旅游。Sabre的技术是移动应用程序、机场值机亭、在线旅游网站、航空公司和酒店预订网络、旅行社终端以及其他众多旅游解决方案背后的智能工具。
勒索软件团伙Dunghill Leak在其暗网泄密的页面称窃取数据1300GB,包括:
不同在线聚合商的门票销售数据库 在线票务公司收入数据库 乘客营业额数据库 客户数据数据库 附件中的客户护照扫描件 员工个人信息,包含姓名、保险号码、地址、个人电子邮件、个人电话号码的文件扫描件 包含所有员工住址的表格 包含员工护照数据和工作签证数据的表格 包含所有员工全名、职务、身份、工作地点、主管、公司通信地址的表格 工资表 银行账户信息 资产负债表数据 女性现金流数据 金库数据 工资单数据 公司现金分析数据 Airflite 客户端应用程序文件、源代码、日志
暗网勒索团伙LockBit最近几个月遇到了严重问题,其基础设施可能遭到黑客攻击。这是西方著名信息安全记者约翰·迪马吉奥(Jon DiMaggio)报道的,他发布了他的勒索软件日记项目的第三部分。
LockBit采用了勒索软件即服务(RaaS)的形式。有意使用此服务的各方支付押金以使用自定义的租赁攻击,并通过一种会员框架获利。赎金由LockBit开发人员团队和发起攻击的会员(附属合作伙伴)分配,后者最多可获得75%的赎金。
“我从第三方收到的信息表明他们可以侵入该组织的基础设施。当时,尚不完全清楚LockBit背后的人是否已经陷入了混乱,或者只是暂时休息一下。但他们的活动肯定被打断了。我相信这样做是为了消除对其基础设施的入侵的影响。”DiMaggio写道。
他补充说,LockBit在发布受害者数据时面临一些问题。他认为,该组织的成员试图利用两大暗网论坛(Exploit 和 XSS——俄罗斯网络犯罪分子经常使用的两个论坛)上的说服性宣传,来掩盖LockBit经常无法及时、一致地发布被盗数据的事实。相反,该社区据称依靠空洞的威胁及其声誉来说服受害者付款。 DiMaggio表示,这是由于该集团内部基础设施和低带宽的限制。
DiMaggio表示,LockBit最近升级了其基础设施以解决这些缺点。然而,这实际上是一种策略,旨在给人留下受害者数据发布中的错误已被纠正的印象。合作伙伴将LockBit计划留给竞争对手。他们知道,尽管有最新声明,LockBit无法发布有关受害者的大量数据。
DiMaggio发布了他的主要发现:
一、LockBit目前可能已经被入侵 暗网勒索团伙LockBit利用Tox进行通信和实现勒索操作,但是在DiMaggio与LockBit团伙分享他这份报告中的发现后,LockBit团伙就从Tox上消失了。与此同时,DiMaggio收到了来自LockBit附属合作伙伴的消息,他们认为是DiMaggio入侵了该团伙。然后,DiMaggio收到了来自第三方的另一条消息,表明他们可能已经入侵了该团伙的基础设施。当时,尚不清楚LockBit团伙背后的人是否已经躲藏起来,或者只是在休息,但他们没有活动的情况非常明显,DiMaggio相信该团伙是为了清理对其基础设施的入侵而销声匿迹的。
二、Lockbit无法持续发布和泄露受害者数据 LockBit团伙在其暗网泄密网站上进行宣传,并在犯罪论坛上进行大肆宣扬,以掩盖其经常无法持续发布被盗数据的事实。相反,它依靠空洞的威胁和自豪的公众声誉来说服受害者付款。不知何故,除了附属合作伙伴之外,没有人注意到这一点。此问题是由于其后端基础设施和可用带宽的限制造成的。
三、LockBit最近更新了其基础设施来解决这些问题 然而,这只是一个噱头,让人看起来以为它修复了前面提到的无法持续发布受害者数据的问题。它声称受害者的“文件已发布”。通常,这是一个谎言和策略,目的是掩盖“LockBit无法像向其附属合作伙伴承诺的那样,通过其管理面板持续托管和发布大量受害者数据”的事实。此外,在过去的六个月里,LockBit提出了空洞的威胁,但在许多受害者拒绝付款后却没有采取任何行动。
四、附属合作伙伴正在离开LockBit,转而投奔其竞争对手 他们知道,尽管LockBit声称无法发布大量受害者数据。此外,他们需要几天到几周的时间来审查信件并回复其附属合作伙伴。有些请求根本没有被LockBit团伙解决。
LockBit团伙错过了最新的发布日期,无法生成更新的勒索软件变体来支持其附属合作伙伴。
五、LockBit依赖于使用竞争对手泄露的过时的、公开的勒索软件 LockBit希望从其竞争对手的勒索软件团伙窃取勒索软件,用于自己的运营,并通过其管理面板提供。它希望提供点菜式的勒索软件产品,并成为黑客附属机构的一站式商店。
“暗网下/AWX”监测发现,近期,据称有俄罗斯政府背景的勒索软件团伙十分高产,继上周新增15名受害者后,LockBit勒索软件团伙又在其暗网数据泄露门户中增加了8名新的受害者,而Clop勒索软件团伙则利用广泛使用的MOVEit文件传输软件中的零日漏洞袭击了科技巨头IBM运营的系统,导致数百万美国人的敏感医疗和健康信息被盗。
LockBit勒索软件狂潮中新的8名受害者 LockBit勒索软件团伙新发布的8名受害者来自世界各地,其中包括总部位于英国的Zaun(生产金属栅栏)、位于迪拜的DIFC法院(负责处理商业和一些民事纠纷)以及两家律师事务所:总部位于曼谷的Siam Premier和瑞典的Luterkort,后者自称是马尔默历史最悠久的律师事务所。
Zaun Limited(英国) Roxcel Trading(奥地利) St Mary’s School(南非) MEAF Machines(奥地利) Max Rappenglitz(德国) Siam Premier(泰国) Luterkort Advokatbyrå(瑞典) Majan(阿联酋) DIFC Courts(阿联酋) LockBit #ransomware group has added 8 victims to their #darkweb portal:
– Zaun Limited🇬🇧
– Roxcel Trading 🇦🇹
– St Mary's School 🇿🇦
– MEAF Machines 🇦🇹
– Max Rappenglitz 🇩🇪
– Siam Premier 🇹🇭
– Luterkort Advokatbyrå 🇸🇪
– Majan 🇦🇪
– DIFC Courts 🇦🇪#DeepWeb #CybeRisk #CTI pic.