勒索软件团伙

RagnarLocker勒索软件团伙的暗网网站被警方查获

其他国家动态, 暗网动态
国际执法机构联手打击了臭名昭著的RagnarLocker勒索软件组织,作为国际执法行动的一部分,Ragnar Locker勒索软件团伙的Tor门户网站和暗网数据泄露网站于周四上午被查获。 目前访问RagnarLocker勒索软件团伙开设在暗网上的任一网站,都会显示一条扣押消息,指出来自美国、欧洲、德国、法国、意大利、日本、西班牙、荷兰、捷克共和国和拉脱维亚的大量国际执法机构参与了此次行动。 RagnarLocker暗网网站上的页面现在显示:“这项服务已因国际协调的执法行动的一部分而扣押,该执法行动针对的是RagnarLocker组织。” 目前尚不清楚此次行动的完整规模,也不清楚该勒索软件团伙的基础设施是否也被扣押,以及是否有人被逮捕,或者是否追回了被盗的资金。 欧洲刑警组织(Europol)发言人克莱尔·乔治斯(Claire Georges)确认,该机构参与了“针对这个勒索软件组织的持续行动”。 该发言人表示,欧洲刑警组织计划在周五“所有行动完成后”宣布此次打击行动。 意大利国家警察局的一名不愿透露姓名的发言人也表示,该行动的详细信息将于周五发布。 RagnarLocker(又名Ragnar Locker和Ragnar_Locker)是目前运行时间最长的勒索软件团伙之一,RagnarLocker既是一款勒索软件的名称,也是开发和运营该软件的犯罪团伙的名称。一些安全专家认为该勒索软件团伙与俄罗斯有联系,自2020年以来,已被观察到一直在开展网络攻击,并主要针对关键基础设施领域的组织。 大多数现代运营的勒索软件团伙积极招募外部附属机构来破坏网络并部署勒索软件,从而在此过程中按照比例赚取分成,然而,与这些勒索软件团伙不同,RagnarLocker并不被视为勒索软件即服务,它是半私人的,这意味着该团伙没有积极推广来招募附属机构,而是与外部渗透测试人员合作破坏目标的网络。 与其他勒索软件操作一样,RagnarLocker会破坏公司网络,在收集数据的同时横向传播到其他设备,然后对网络上的计算机进行加密。加密的文件和被盗的数据被用作双重勒索计划的筹码,迫使受害者支付巨额赎金。 去年发布的一份警报中,美国联邦调查局(FBI)警告称,他们已经确认了制造业、能源和政府等10个关键基础设施部门的至少有52家美国实体受到了RagnarLocker勒索软件的影响。与此同时,FBI公布了与RagnarLocker相关的联系资料,包括用于收取赎金要求的比特币地址以及该组织运营者使用的电子邮件地址。 该勒索软件操作多年来造成了多起备受瞩目的攻击,包括葡萄牙能源公司 (EDP)、Capcom、Campari、Dassault Falcon Jet、ADATA和比利时安特卫普市。 尽管该组织长期以来一直受到执法机关的关注,但根据勒索软件追踪网站Ransomwatch的数据,RagnarLocker直到本月仍在攻击受害者。去年9月,该组织声称对以色列的Mayanei Hayeshua医院发动了一次网络攻击,并威胁要泄露据称在事件中被盗的超过1TB数据。

暗网勒索软件团伙Ransomed称正在与Breachforums合作,但Breachforums管理员Baphomet否认该说法

独家报道
近日,暗网里的口水战比较多,”暗网下/AWX“注意到最近比较活跃的新勒索软件团伙Ransomed.VC宣称与专注于共享数据的网站Breachforums达成合作协议,但BreachForums的负责人断然否认了与 Ransomed.VC合作的情况。 10月7日,暗网勒索软件团伙Ransomed.VC在其暗网网站发布一篇公告形式的博客文章”与Breachforums合作“,该文章公布了Breachforums的暗网与明网网址,并写道,其组织决定与一个他们最初并不相信的论坛(Breachforums)合作,他们曾以为这个项目已经死了,但结果它居然并没有死。 Partnership With Breachforums Our group has decided to partner with a forum we did not really believe into first. We had thoughts the project is dead, but wait, It ISNT. Our team has seen breachforums is keeping their operation way more serious than ever, this means our team will and would use their forum to share. We had a lot of issues finding a forum that wont ban us because the attention it can bring to us.

勒索软件团伙Ransomed.vc声称索尼的所有数据都将在暗网上出售

其他国家动态, 暗网动态
索尼可能再次成为数据泄露的受害者。一个名为Ransomed.vc的勒索软件团伙声称窃取了“所有索尼系统”的数据,并威胁要在暗网上出售所有数据。 尽管Ransomed.vc与以前的论坛和群组有一些链接,但它从9月份才开始运作。不过,在这段时间里,该组织已经积累了大量受害者,索尼就是其中之一。 Ransomed.vc在网上宣布:“我们已经成功入侵[原文如此]所有索尼系统。我们不会勒索他们的!我们将出售数据。因为索尼不想付钱。数据可供出售”。 最先报道涉嫌数据泄露事件的媒体Cyber​​ Security Connect称该勒索软件团伙是“相对勒索软件的新人” ,该媒体今天首先报道了这一消息,并表示他们拥有“不到 6000 个文件”,Cyber​​ Security Connect 指出,对于该团伙声称窃取的文件来说,这个数字只是一个很小的数字。 “索尼集团公司,前身为东京电信工程公司和索尼公司,是一家日本跨国集团公司,总部位于日本东京港区。”Ransomed.vc在其泄密网站(包括明网和暗网)上说,其描述直接来自维基百科。 暗网的泄密页面确实包含了一些黑客入侵的证据数据,但从表面上看,这些信息并不特别引人注目——其中似乎有一个内部登录页面的截图、一个概述测试细节的内部PowerPoint演示文稿和一些Java文件。 Ransomed.vc还发布了整个泄密事件的文件树,其中似乎只有不到6000个文件–对于“索尼所有系统”来说似乎很小。其中包括“构建日志文件”、大量Java资源和HTML文件。 Ransomed.vc没有公开出售索尼数据的价格,并表示如果在9月28日(周四)之前没有人购买这些数据,他们很可能会开始公布他们窃取到的信息。Ransomed.vc在网站上留下了Tox消息服务的详细联系方式,以及Telegram和电子邮件的详细资料。 Ransomed.vc似乎既是一个勒索软件运营商,也是一个勒索软件即服务组织——而且它目前正在招募”联盟成员“。 它对勒索软件的处理方式也很独特,不仅声称自己是”解决公司内部数据安全漏洞的安全解决方案“,还”严格遵守GDPR和数据隐私法“。 Ransomed.vc在其泄密网站上称:”如果没有收到付款,我们有义务向GDPR机构报告违反《数据隐私法》的行为!“。 游戏公司数据被盗的问题并不新鲜,今年早些时候,Riot Games经历了一次“社会工程攻击”,影响了其即将发布的游戏。Riot证实攻击者的目标是《英雄联盟》和《云顶之弈》(Teamfight Tactics)等游戏并成功获得了源代码,但他们明确表示不会支付黑客索要的赎金。 索尼尚未对所谓的数据黑客攻击和Ransomed.vc的明显要求发表评论,也不知道到底采取了什么以及索尼将采取什么行动来保护消费者。 索尼公司以前曾是黑客攻击的目标,2011 年 4 月 20 日,在一次“外部入侵”导致数百万账户的个人信息泄露后,索尼不得不关闭PlayStation Network的服务器,这在当时是影响很大的。 索尼当时因“严重违反”《数据保护法》而被英国监管机构处以250000英镑(396,100 美元)的罚款,监管机构称这种情况“本来是可以避免的”。

暗网勒索软件团伙Dunghill Leak声称对旅行预订巨头Sabre的数据泄露负责

暗网动态, 美国暗网动态
旅行预订巨头Sabre表示,在一个勒索软件团伙的暗网泄密网站上出现一批据称从该公司窃取的文件后,该公司正在对网络攻击的说法进行调查。 Sabre发言人海蒂·卡斯尔(Heidi Castle)在一封电子邮件中表示:“Sabre了解到威胁组织提出的数据泄露指控,我们目前正在调查以确定其真实性。” Dunghill Leak组织在其暗网泄密网站上的一份列表中声称对这起明显的网络攻击负责,声称该攻击窃取了约1.3TB的数据,包括机票销售和乘客流动的数据库、员工的个人数据和公司财务信息。 该组织发布了据称被窃取的部分文件,并声称完整的缓存将“很快可用”。 Sabre是一家旅行预订系统,也是航空旅客和预订数据的主要提供商,其软件和数据用于为航空公司和酒店预订入住、办理登机手续和应用程序提供支持。许多美国航空公司和连锁酒店都依赖该公司的技术。 TechCrunch看到的屏幕截图显示了几个与预订详细信息和账单相关的多个数据库名称,其中包含数千万条记录,但尚不清楚黑客本身是否有权访问这些数据库。 看到的一些屏幕截图包含与员工有关的记录,包括电子邮件地址和工作地点。一张屏幕截图包含员工姓名、国籍、护照号码和签证号码。其他几张屏幕截图显示了获得授权在美国工作的雇员的几张美国I-9表格。根据Sabre员工的LinkedIn简介,在缓存中发现的几本护照与Sabre员工一致,其中包括Sabre的一名副总裁。 目前尚不清楚所谓的数据泄露行为发生的时间,但勒索团伙发布的屏幕截图显示的数据似乎是2022年7月的最新数据。 Malwarebytes的安全研究人员表示,人们对Dunghill Leak知之甚少,只知道它是一个相对较新的勒索软件团伙和敲诈勒索组织,由Dark Angels勒索软件演变而来或重新命名,而Dark Angels勒索软件则源自Babuk勒索软件。迄今为止,Dunghill Leak声称其针对投币游戏制造商Incredible Technologies、食品巨头Sysco和汽车产品制造商Gentex进行了攻击。 勒索软件团伙完全放弃文件加密,转而专注于威胁如果不支付赎金就公开敏感数据,这种情况并不罕见。联邦调查局和国际执法部门长期以来一直鼓励勒索软件和勒索受害者不要支付赎金。 Sabre上一次报道安全事件2017年,黑客从其酒店预订系统中窃取了100万张信用卡。公司支付240万美元,以解决几个州在那次攻击事件后提出的指控。 勒索软件团伙Dunghill Leak在其暗网泄密的页面对Sabre的介绍: Sabre是北美最大的全球机票预订分销系统供应商。它的软件、数据、移动和分销解决方案被数百家航空公司和数千家酒店用于管理关键业务。 Sabre是全球旅游业领先的软件和技术公司。它与航空公司、酒店经营者、代理商和其他旅游合作伙伴合作,零售、分销和执行旅游。Sabre的技术是移动应用程序、机场值机亭、在线旅游网站、航空公司和酒店预订网络、旅行社终端以及其他众多旅游解决方案背后的智能工具。 勒索软件团伙Dunghill Leak在其暗网泄密的页面称窃取数据1300GB,包括: 不同在线聚合商的门票销售数据库 在线票务公司收入数据库 乘客营业额数据库 客户数据数据库 附件中的客户护照扫描件 员工个人信息,包含姓名、保险号码、地址、个人电子邮件、个人电话号码的文件扫描件 包含所有员工住址的表格 包含员工护照数据和工作签证数据的表格 包含所有员工全名、职务、身份、工作地点、主管、公司通信地址的表格 工资表 银行账户信息 资产负债表数据 女性现金流数据 金库数据 工资单数据 公司现金分析数据 Airflite 客户端应用程序文件、源代码、日志

报道称暗网勒索团伙LockBit正在经历一场严重的危机

暗网纵论
暗网勒索团伙LockBit最近几个月遇到了严重问题,其基础设施可能遭到黑客攻击。这是西方著名信息安全记者约翰·迪马吉奥(Jon DiMaggio)报道的,他发布了他的勒索软件日记项目的第三部分。 LockBit采用了勒索软件即服务(RaaS)的形式。有意使用此服务的各方支付押金以使用自定义的租赁攻击,并通过一种会员框架获利。赎金由LockBit开发人员团队和发起攻击的会员(附属合作伙伴)分配,后者最多可获得75%的赎金。 “我从第三方收到的信息表明他们可以侵入该组织的基础设施。当时,尚不完全清楚LockBit背后的人是否已经陷入了混乱,或者只是暂时休息一下。但他们的活动肯定被打断了。我相信这样做是为了消除对其基础设施的入侵的影响。”DiMaggio写道。 他补充说,LockBit在发布受害者数据时面临一些问题。他认为,该组织的成员试图利用两大暗网论坛(Exploit 和 XSS——俄罗斯网络犯罪分子经常使用的两个论坛)上的说服性宣传,来掩盖LockBit经常无法及时、一致地发布被盗数据的事实。相反,该社区据称依靠空洞的威胁及其声誉来说服受害者付款。 DiMaggio表示,这是由于该集团内部基础设施和低带宽的限制。 DiMaggio表示,LockBit最近升级了其基础设施以解决这些缺点。然而,这实际上是一种策略,旨在给人留下受害者数据发布中的错误已被纠正的印象。合作伙伴将LockBit计划留给竞争对手。他们知道,尽管有最新声明,LockBit无法发布有关受害者的大量数据。 DiMaggio发布了他的主要发现: 一、LockBit目前可能已经被入侵 暗网勒索团伙LockBit利用Tox进行通信和实现勒索操作,但是在DiMaggio与LockBit团伙分享他这份报告中的发现后,LockBit团伙就从Tox上消失了。与此同时,DiMaggio收到了来自LockBit附属合作伙伴的消息,他们认为是DiMaggio入侵了该团伙。然后,DiMaggio收到了来自第三方的另一条消息,表明他们可能已经入侵了该团伙的基础设施。当时,尚不清楚LockBit团伙背后的人是否已经躲藏起来,或者只是在休息,但他们没有活动的情况非常明显,DiMaggio相信该团伙是为了清理对其基础设施的入侵而销声匿迹的。 二、Lockbit无法持续发布和泄露受害者数据 LockBit团伙在其暗网泄密网站上进行宣传,并在犯罪论坛上进行大肆宣扬,以掩盖其经常无法持续发布被盗数据的事实。相反,它依靠空洞的威胁和自豪的公众声誉来说服受害者付款。不知何故,除了附属合作伙伴之外,没有人注意到这一点。此问题是由于其后端基础设施和可用带宽的限制造成的。 三、LockBit最近更新了其基础设施来解决这些问题 然而,这只是一个噱头,让人看起来以为它修复了前面提到的无法持续发布受害者数据的问题。它声称受害者的“文件已发布”。通常,这是一个谎言和策略,目的是掩盖“LockBit无法像向其附属合作伙伴承诺的那样,通过其管理面板持续托管和发布大量受害者数据”的事实。此外,在过去的六个月里,LockBit提出了空洞的威胁,但在许多受害者拒绝付款后却没有采取任何行动。 四、附属合作伙伴正在离开LockBit,转而投奔其竞争对手 他们知道,尽管LockBit声称无法发布大量受害者数据。此外,他们需要几天到几周的时间来审查信件并回复其附属合作伙伴。有些请求根本没有被LockBit团伙解决。 LockBit团伙错过了最新的发布日期,无法生成更新的勒索软件变体来支持其附属合作伙伴。 五、LockBit依赖于使用竞争对手泄露的过时的、公开的勒索软件 LockBit希望从其竞争对手的勒索软件团伙窃取勒索软件,用于自己的运营,并通过其管理面板提供。它希望提供点菜式的勒索软件产品,并成为黑客附属机构的一站式商店。

暗网勒索组织猖獗,LockBit发布8个新的受害者,Clop利用MOVEit窃取数百万美国人的健康数据

其他国家动态, 暗网动态, 美国暗网动态
“暗网下/AWX”监测发现,近期,据称有俄罗斯政府背景的勒索软件团伙十分高产,继上周新增15名受害者后,LockBit勒索软件团伙又在其暗网数据泄露门户中增加了8名新的受害者,而Clop勒索软件团伙则利用广泛使用的MOVEit文件传输软件中的零日漏洞袭击了科技巨头IBM运营的系统,导致数百万美国人的敏感医疗和健康信息被盗。 LockBit勒索软件狂潮中新的8名受害者 LockBit勒索软件团伙新发布的8名受害者来自世界各地,其中包括总部位于英国的Zaun(生产金属栅栏)、位于迪拜的DIFC法院(负责处理商业和一些民事纠纷)以及两家律师事务所:总部位于曼谷的Siam Premier和瑞典的Luterkort,后者自称是马尔默历史最悠久的律师事务所。 Zaun Limited(英国) Roxcel Trading(奥地利) St Mary’s School(南非) MEAF Machines(奥地利) Max Rappenglitz(德国) Siam Premier(泰国) Luterkort Advokatbyrå(瑞典) Majan(阿联酋) DIFC Courts(阿联酋) LockBit #ransomware group has added 8 victims to their #darkweb portal: – Zaun Limited🇬🇧 – Roxcel Trading 🇦🇹 – St Mary's School 🇿🇦 – MEAF Machines 🇦🇹 – Max Rappenglitz 🇩🇪 – Siam Premier 🇹🇭 – Luterkort Advokatbyrå 🇸🇪 – Majan 🇦🇪 – DIFC Courts 🇦🇪#DeepWeb #CybeRisk #CTI pic.

美国悬赏1000万美元,悬赏将Hive勒索软件团伙与外国政府联系起来的信息

暗网动态, 美国暗网动态
美国国务院现已提供高达1000万美元的正义悬赏,以帮助将Hive勒索软件组织(或其他威胁行为者)与外国政府联系起来。 FBI disrupts the Dark Web site of the Hive ransomware group. If you have information that links Hive or any other malicious cyber actors targeting U.S. critical infrastructure to a foreign government, send us your tip via our Tor tip line. You could be eligible for a reward. https://t.co/7Bqz0DUSCf pic.twitter.com/n8U3TNC7lh — Rewards for Justice (@RFJ_USA) January 26, 2023 11月,联邦调查局透露,自2021年6月以来,该勒索软件行动已从1500多家公司勒索了约1亿美元。 “如果你有信息将Hive或任何其他针对美国关键基础设施的恶意网络行为者与外国政府联系起来,请通过我们的Tor举报网站向我们发送你的举报。你可能有资格获得奖励,”美国国务院的“正义的奖赏”Twitter帐户说。 “有关任何在外国政府的指示下,违反《计算机欺诈和滥用法》参与针对美国关键基础设施的恶意网络活动的人的身份或位置的信息。” “通过Signal、Telegram、WhatsApp或通过我们基于Tor的举报网站向我们发送您的信息。” 正义奖赏计划 正义奖赏(RFJ)是美国国务院首要的国家安全奖励计划。它是根据1984年打击国际恐怖主义法案、公法 98-533(编纂于 22 USC § 2708)建立的,由外交安全局管理。RFJ的使命是为保护美国人生命和促进美国国家安全目标的信息提供奖励。潜在的举报者可以在RFJ官方网站上了解有关该计划以及如何提交举报的更多信息:www.

FBI秘密渗透Hive勒索软件团伙的网络,Hive暗网网站被查封

暗网动态, 暗网网站, 美国暗网动态
美国官员周四宣布,联邦调查局(FBI)查封了一个名为Hive的臭名昭著的勒索软件团伙使用的计算机基础设施,其用来发布受害者信息与入侵证据的暗网网站已经被显示为FBI的设置的gif横幅图片。 臭名昭著的Hive勒索软件团伙 自2021年6月以来,Hive勒索软件团伙已向全球各地80多个国家/地区的医院、学校、金融公司和关键基础设施等1500多名受害者勒索数亿美元。FBI将Hive列为5大勒索软件威胁之一——无论是因为它的技术复杂性,还是因为它可能对受害者造成的伤害。 Hive勒索软件攻击已经对世界各地的受害企业的日常运作造成了重大干扰,并影响了对COVID-19新冠疫情的应对。在一个案例中,一家被Hive勒索软件攻击的医院不得不采用传统的模拟方法来治疗现有患者,并且无法在攻击后立即接收新患者。 Hive勒索软件团伙使用勒索软件即服务(RaaS)模式,其中包含管理员(有时称为开发人员)和分支机构。RaaS是一种基于订阅的模式,开发人员或管理员开发勒索软件,并创建一个易于使用的界面来操作它,然后招募分支机构对受害者部署勒索软件。分支机构确定目标并部署这种现成的恶意软件来攻击受害者,然后从每次成功的赎金支付中赚取一定比例。在受害者付款后,分支机构和管理员将赎金分成进行八二分成,即分支机构可以赚取80%,而管理员可以分到20%。 Hive勒索软件团伙的分支机构采用了一种双重勒索的攻击模式。首先,他们渗透了受害者的系统,在加密受害者的系统之前,分支机构将传出或窃取敏感数据。接下来,分支机构部署恶意软件,加密受害者的系统,使其无法使用。最后,该团伙寻求受害者支付赎金,以获得解密受害者系统所需的解密密钥,并承诺不公布被盗数据。Hive勒索软件团伙经常针对受害者系统中最敏感的数据来增加支付压力,Hive通过其部署在暗网里的Hive泄密网站公布了不付款的受害者的数据。 Hive分支机构的目标是关键基础设施和美国一些最重要的行业。 在2021年8月的一个案例中,Hive分支机构在美国中西部一家医院拥有的计算机上部署了勒索软件。当COVID-19新冠疫情在世界各地的社区中激增时,Hive勒索软件攻击使这家医院无法接收任何新患者。医院还被迫依赖患者信息的纸质副本。它只有在支付赎金后才能恢复其数据。 Hive勒索软件团伙在加利福尼亚州中区的最新受害者是在去年12月30日左右被攻击的。它在佛罗里达州中区的最新受害者是在大约15天前被攻击的。在运营的第一年,Hive向受害者勒索了超过1亿美元的赎金,其中许多是医疗保健行业。 联邦调查局渗透了Hive勒索软件团伙的网络 去年夏天,来自坦帕分部的联邦调查局特工在刑事分部计算机犯罪和知识产权科以及佛罗里达州中区检察官的支持下渗透了Hive勒索软件团伙的网络,并开始破坏Hive勒索受害者的企图。 例如,FBI破坏了针对德克萨斯学区计算机系统的Hive勒索软件攻击。该局向学区提供解密密钥,使其免于支付500 万美元的赎金。 同月,FBI阻止了对路易斯安那州一家医院的Hive勒索软件攻击,使受害者免于支付300万美元的赎金。 FBI还成功阻止了对一家食品服务公司的攻击。该局向该公司提供了解密密钥,并使受害者免于支付1000万美元的赎金。 自去年7月以来,FBI向全球300多名受害者提供了援助,帮助阻止了大约1.3亿美元的赎金支付。 联邦调查局局长Christopher Wray在新闻发布会上表示,自7月以来,FBI官员对所谓的Hive勒索软件组织的计算机网络进行了反击,拥有了他们的最高的访问权限,盗取了他们的解密密钥,并将其传递给受害者,最终避免了超过1.3亿美元的赎金支付。FBI将继续使用任何可能的手段对网络犯罪进行反击。 自2022年7月潜入Hive的网络以来,联邦调查局已经向受到攻击的Hive受害者提供了300多把解密密钥。此外,联邦调查局还向以前的Hive受害者分发了超过1000个额外的解密密钥。最后,该部门今天宣布,在与德国执法部门(德国联邦刑事警察和Reutlingen警察总部-CID Esslingen)和荷兰国家高科技犯罪小组的协调下,它已经控制了Hive用来与其成员沟通的服务器和网站,破坏了Hive攻击和敲诈受害者的能力。 Hive勒索软件团伙的暗网网站被查封 Hive勒索软件团伙使用一个暗网网站来发布受害者信息与入侵证据,该网站的暗网域名是:http://hiveleakdbtnp76ulyhi52eag6c6tyc3xw7ez7iqy6wc34gd2nekazyd.onion。 托管Hive暗网网站、并存储其网络关键信息的两台位于洛杉矶的后端服务器已被FBI找到并没收。FBI还获得了法院的授权,可以夺取对Hive暗网站点的控制权并使其服务不可用。 目前,访问Hive的暗网网站,出现一个大的gif图片,跳动着分别用俄文和英文显示如下信息: 联邦调查局查封了这个网站,作为联邦调查局、特勤局和许多欧洲政府机构针对Hive Ransomware的协调执法行动的一部分。 美国司法部副部长Lisa O. Monaco告诉记者:“简单地说,我们使用合法手段攻击了黑客。” 美国正在加紧对勒索软件团伙的打击 周四的公告是司法部一系列打击海外勒索软件团伙的最新举措,这些团伙锁定美国公司的计算机,破坏了他们的运营,并要求数百万美元解锁系统。司法官员没收了数百万美元的勒索软件付款,并敦促公司不要向犯罪分子付款。 在2021年5月,由于疑似俄罗斯网络犯罪分子的勒索软件攻击,向东海岸输送燃料的主要管道运营商Colonial Pipeline关闭了好几天,勒索软件的流行对美国官员来说变得更加紧迫。由于人们囤积燃料,这次中断导致多个州的加油站排起了长队。 尽管勒索软件经济仍然有利可图,但有迹象表明,美国和国际执法部门的严厉打击正在削弱黑客的收入。根据加密货币跟踪公司Chainalysis的数据,2022年勒索软件收入从2021年的7.66亿美元降至约4.57亿美元。 网络安全专业人士对Hive被攻破表示欢迎,但一些人担心,另一个组织将很快填补Hive留下的空白。 谷歌旗下网络安全公司Mandiant的副总裁John Hultquist告诉CNN:“Hive服务的中断不会导致整体勒索软件活动的严重下降,但它对一个通过攻击医疗系统而危及生命的危险组织是一个打击。” Hultquist说:“不幸的是,处于勒索软件问题核心的犯罪市场确保了Hive的竞争对手将在他们不在的情况下随时提供类似的服务,但他们在允许他们的勒索软件被用于攻击医院之前可能会三思而后行。” 联邦调查局局长Christopher Wray表示,联邦调查局将继续追踪Hive勒索软件背后的人,并试图逮捕他们。目前尚不清楚这些人所在的位置。卫生与公众服务部将Hive描述为“可能说俄语”的群体。 FBI的调查以及Hive网络攻击的技术方法 2022年7月,FBI根据联邦搜查令,首先获取了Hive数据库的访问权限,能够识别所有的受害者并获取对应的解密密钥。FBI将这些解密密钥分发给了世界各地的受害者,收到这些密钥的受害者证实,他们已经感染了Hive勒索软件,并且他们能够使用这些解密密钥解锁他们的文件。 2023年1月11日,美国调查人员获得了位于加州洛杉矶的两个服务器和一个VPS的镜像。同时荷兰警方也获取了两台荷兰服务器的同步备份镜像。服务器上均有Hive的三个暗网网站的代码数据和泄漏站点数据的副本。 此外,据美国网络安全和基础设施安全局(CISA)称,Hive勒索软件团伙的分支机构通过多种方法获得了对受害者网络的初始访问权,包括:通过远程桌面协议(RDP)、虚拟专用网络(VPN)和其他远程网络连接协议的单因素登录;利用FortiToken漏洞;以及发送带有恶意附件的钓鱼邮件。

LockBit勒索软件团伙在声称入侵网络安全巨头Entrust后,暗网网站被DDoS攻击击垮

独家报道
“暗网下/AWX”曾报道LockBit勒索软件组织发布“LockBit 3.0”,推出多个暗网镜像网站,引入第一个勒索软件漏洞赏金计划。近日,在LockBit勒索软件团伙声称对7月份针对网络安全巨头Entrust的网络攻击负责后,据称Entrust已经开始反击,直接D死LockBit勒索软件团伙的暗网页面。 自称是身份、支付和数据保护领域的全球领导者的Entrust在7月底表示,一个“未经授权的一方”访问了其部分网络,但拒绝描述这次攻击的性质,也没有说客户数据是否被盗。Entrust的客户包括一些美国政府机构,包括国土安全局、能源部和财政部。 周五,LockBit,一个著名的勒索软件团伙,以前曾声称对富士康和埃森哲的攻击,通过将Entrust加入其暗网泄漏网站,声称对7月份针对Entrust的网络攻击负责。该团伙本周末开始泄露该公司的内部数据,暗示Entrust可能拒绝满足该团伙的赎金要求。 但不久之后,一次明显的分布式拒绝服务(DDoS)攻击迫使LockBit的暗网泄露网站下线。 思科Talos的安全研究员Azim Shukuhi引用了一位名为“LockBitSupp”的LockBit成员的话,他声称该网站“每秒从1000多台服务器接收400个请求”。虽然DDoS攻击的肇事者仍然未知,但同一名LockBit成员告诉Bleeping Computer,攻击“在公布数据和谈判后立即开始”,并分别告诉恶意软件研究组织VX-Underground,他们认为攻击是由与Entrust有关的人发起的,因为攻击使用了“DELETE_ENTRUSTCOM_MOTHERFUCKERS”的User-Agent头信息。 Lockbit: "We're being DDoS'd because of the Entrust hack" vx-underground: "How do you know it's because of the Entrust breach?" Lockbit: pic.twitter.com/HUO2hdTbwz — vx-underground (@vxunderground) August 21, 2022 LockBit的网站周一仍然基本上无法访问,但短暂显示了一条消息,警告该团伙计划将Entrust被盗数据上传到点对点网络,使数据几乎不可能被删除。 根据美国法律,攻击性网络攻击——或“反击”网络犯罪分子,例如对不情愿的参与者发起DDoS攻击——是非法的,根据《计算机欺诈和滥用法案》可被归类为联邦刑事犯罪。多年来,作为保护美国公司免受国际威胁的一种可能替代方案,黑客回击的方案一直受到激烈争论,尽管批评人士表示,允许私营公司参与网络战可能会加剧外交紧张局势,并破坏国家关系的稳定。 或者,正如一位安全研究人员所说:“网络安全公司将围绕DDoS进行攻击的想法将建立一个危险的先例。” “暗网下/AWX”访问了LockBit勒索软件团伙的暗网域名:http://lockbitapt2d73krlbewgv27tquljgxr33xbwwsp6rkyieto7u4ncead.onion 发现,目前LockBit勒索软件团伙仍然无法抵抗他们的暗网网站所遭受的DDoS攻击,他们暂时在他们的一个Tor域名上放置了一条消息: 有没有人知道一个好的BT种子站,我可以在那里上传贪婪的entrust.com的文件?请联系Tox:3085B89A0C515D2FB124D645906F5D3DA5CB97CEBEA975959AE4F95302A04E1D709C3C4AE9B7 推特用户Azim Shukuhi(@AShukuhi)称其问LockBit周末过得怎么样以及DDOS攻击是否仍在继续,LockBit回复:“你好,正常的周末,在DDOS的帮助下精力充沛,已经安装了100500个镜像站点和现代化的保护措施。这不仅仅是生活,而是某种派对。在此之前实际上有点无聊。” I asked LB how the weekend went & if the ddos attack was still going on. reply: "hello, normal weekend, got energized w/ the ddos, putting up 100500 mirrors & modernizing protections.