勒索

尽管瑞士纳沙泰尔国务委员会曾向议会保证，解释说它在电脑安全方面取得了进展，但这个事件却是一记耳光：勒索软件组织LockBit针对瑞士纳沙泰尔州两家医疗机构进行了网络攻击，并提出勒索赎金，否则在暗网公布其窃取的数据。 在暗网泄露医疗数据 在发出最后通牒后，周二，勒索软件组织LockBit在纳沙泰尔州采取了行动：在暗网上泄露了数千名纳沙泰尔患者的数据。然而，他们在周三被撤回。 黑客曾威胁这些公司，如果不支付赎金，将在3月29日星期二公布被黑客拖取的数据。根据Le Temps的说法，黑客兑现了他们的威胁，43,651份医疗文件最终进入了暗网（互联网的一个隐藏部分），包含地址、电话号码或职业。 泄露的文件中有医疗档案，有关于患者的病症或医疗检查的各种数据，在那里可以找到病历和治疗方法，例如：某位患者是艾滋病毒阳性，另一位患者正在服药，第三位患者患有抑郁症。其中一些档案可以追溯到1998年。 下午删除数据 然而，周三下午，这些数据在暗网上已经无法访问，它们在发布后不久被删除。有如下可能性：黑客攻击的受害者最终决定付款，或者黑客意识到文件的价值并决定尝试提高勒索赎金。网络安全专家也提出了暗网技术问题的假设。 在黑客的暗网页面上，更新了一个倒计时，即星期四下午1:30左右会有新动作，应是LockBit组织设置了新的24小时最后通牒。 警方调查 纳沙泰尔警方已经对这起案件开展了调查。“调查正在进行中，警方不希望提供有关这两家医疗机构的更多信息。”警方发言人Georges-André Lozouet周三告诉Keystone-ATS，证实了Le Temps的信息，这两个受害医疗机构的办公室位于纳沙泰尔山区。 一场“灾难” 纳沙泰尔医学会（SNM）主席多米尼克-邦兹利（Dominique Bünzli）在12时30分表示，发生的事情是“一场灾难”。他还没有详细信息，但他说，如果确实确认这些数据已被盗，他们将必须以完全透明的方式通知他们的患者。 本月早些时候，在同事告知他医学会是网络攻击的受害者后，SNM主席发出了一封警告信，呼吁成员立即采取行动。 网络安全加固 Dominique Bünzli解释说，目前正在开展工作，以加强医疗实践中的信息技术安全。瑞士医学协会（FMH）也发布了几项针对网络安全加固做法的建议。

2月初，针对瑞士国际空港服务有限公司（Swissport）的黑客攻击成为全球头条新闻。由于某些系统暂时无法使用，空中交通出现延误。 Swissport是全球最大的航空公司和机场服务提供商，总部位于苏黎世州的Opfikon。Swissport发言人Stefan Hartung上周四称：“初步分析表明，没有敏感数据泄露的可能性极高。”但这应该是一个错误。 攻击的背后是勒索软件团伙BlackCat，在现场也被称为ALPHVM。自周二以来，勒索黑客一直在他们的暗网网站上出售他们所有窃取的数据。根据他们自己的说法，1.6TB的内部数据落入了他们的手中。 作为数据泄露的证据并强调他们的威胁，他们公布了一小部分数据：包括不同国籍的护照副本、申请文件和机密审计报告的摘录。例如，在一个表格中，可以看到姓名、国籍、宗教、电话号码和工作面试时的评估。这些数据究竟是来自Swissport（这似乎很有可能），还是来自其他黑客，目前还不能确定。 黑客们威胁说，他们将很快公布更多的样本数据，以便对被黑公司施加进一步压力。该公司最新声明写道： “对于Swissport，我们系统的数据安全性具有最高优先级。Swissport已对影响我们多个系统的网络攻击做出响应。作为我们分析的一部分，我们发现未经授权的人将据称从Swissport窃取的数据放到网上。我们认真对待这些说法，并正在分析已发布的数据，作为我们对该事件正在进行的调查的一部分。 得知事件后，我们立即关闭了受影响的系统，展开了调查，通知了执法当局，并请来了领先的网络安全专家来评估攻击的程度。目前，我们无法提供进一步的细节。 我们正在与客户、合作伙伴和员工进行对话。Swissport对这一事件给我们的客户、合作伙伴和员工造成的情况感到遗憾。” Swissport 上周，Swissport表示：“尚未通知FDPIC（编者注：联邦数据保护和信息专员），因为IT安全事件没有导致数据外流，从而产生相应的告知义务。” 对行李处理商IT基础设施的勒索软件攻击始于两周前的星期四早上，据有关公司称，立即被发现。“我们的IT安全系统很早就发现了这一事件，因此我们能够立即采取有效且成功的防御措施。”一位媒体发言人说。 用于规划人员、飞机和货运的IT系统受到影响。Swissport能够相对较快地（部分）恢复系统，但与最初的假设相反，数据泄漏显然无法防止或无法完全防止。 2021年，Swissport负责约9700万乘客的地勤服务，并提供登机、货运服务和飞机加油等服务。 这个网络犯罪团伙是黑客的幕后黑手 Swissport正在与一个极其危险的勒索软件团伙打交道。BlackCat目前针对来自美国、乌克兰和瑞士等国的公司，并正在攻击广泛使用的Windows和Linux系统的公司。 例如，在德国，勒索软件组织在年初引起了轰动，当时黑客瘫痪了全国的Oiltank-ing油库，该油库为大型公司壳牌等公司供货。 BlackCat只活跃了很短的时间，并以一种显然非常复杂和先进的加密软件引起了轰动。BlackCat会加密和窃取数据，以便在受害者可以从备份中恢复数据时获得额外的优势。 BlackCat，以前也称为BlackMatter或DarkSide，很可能是以前与特别活跃的勒索软件组织REvil合作的同一批犯罪分子。2021年，REvil参与了迄今为止最大的勒索黑客攻击之一，渗透了全球800至1500家公司并窃取了宝贵的数据。2021年6月上旬，REvil用勒索软件攻击了全球最大的肉类公司JBS，使北美和澳大利亚的大部分生产瘫痪。 简而言之：Swissport黑客很可能是勒索工作中经验丰富的专业攻击者。 为什么受害者不应支付赎金？ 国家网络安全中心NCSC建议不要支付赎金，并警告说：“无法保证犯罪分子在支付赎金后不会公布数据或从中获取其他利益。此外，每一次成功的勒索都会激励攻击者继续下去，为攻击的进一步发展提供资金，并促进其蔓延。” 如果受害者仍在考虑支付赎金，NCSC强烈建议与各州警方讨论这些步骤。 该网站https://www.nomoreransom.org/，提供了识别恶意软件的提示和下载已经知道的密钥的选项。Nomoreransom.org是荷兰警方和欧洲刑警组织的一个联合项目，瑞士联邦也参与其中。

在汽车经销商埃米尔·弗雷（Emil Frey）遭受网络攻击后，黑客组织在暗网的一个泄密页面上宣布了数据发布。该组织的消息称，将很快公布近该集团的机密数据。据在线媒体Watson.ch报道，犯罪分子采取双重勒索手段，提供赎金后不仅可以解密被盗数据，还可以不被在暗网上公布被盗文件。据信，犯罪分子总共拿走了大约300GB的数据。 Emil Frey没有理睬赎金要求后，网络犯罪分子在一个著名的文件共享网站上公布了部分数据。在一个专门介绍被盗数据的网站上，他们发布了一个下载ZIP格式压缩文件的链接，该文件大小为225MB。该文件包含来自瑞士和德国的Emil Frey集团客户的个人数据等。目前该文件已经无法访问。 Emil Frey发言人Peter Hug告诉Watson.ch：“在Emil Frey集团于2022年1月11日发生网络攻击之后，我们IT系统的快速恢复工作已经基本完成，我们的业务已经重新开始运营，所有客户都可以得到全面服务。目前集团的中央IT部门及其技术合作伙伴目前正在根据适用的数据保护法，调查是否存在与网络攻击有关的个人数据保护违规行为。根据这些调查的结果，我们将采取必要的措施。” 据Watson.ch称，这次袭击的肇事者是2021年6月出现的Hive勒索软件团伙。 2022年1月13日消息： 网络犯罪分子将目标瞄准了埃米尔·弗雷（Emil Frey）集团，该集团于周二晚间（1月11日）宣布“在其运营活动的某些领域”遭到网络攻击。Emil Frey集团说，该集团已通知主管当局，并正在与内部和外部专家合作，以确定损坏程度并找到解决方案。此外，该集团网站主页上还印有一条大横幅，告知服务中断。 Emil Frey 集团似乎受到了勒索软件的攻击。在这样的攻击中，犯罪分子会加密和窃取数据，然后释放数据以获取赎金。如果黑客还威胁要公布数据，这就是所谓的“双重勒索”。 Emil Frey集团是欧洲最大的汽车进口商，其2020财年的营业额为130亿欧元，而该年瑞士集团售出了555,000辆新车。该进口商的网站展示了包括阿尔法罗密欧、宝马、菲亚特、福特、吉普、马自达、梅赛德斯奔驰、欧宝、标致、丰田和沃尔沃在内的大约三十个品牌。 网络攻击在瑞士呈上升趋势。根据CheckPoint最近的一项研究，2021年的增幅高于全球平均水平。

据英国《每日邮报》报道，英国一些警察部队持有的机密信息在一次令人尴尬的安全攻击中被俄罗斯黑客窃取。 网络犯罪团伙Clop已经在所谓的暗网上公布了它从一家处理全国警察电脑（PNC）访问的IT公司Dacoll公司掠夺的一些资料——并威胁说接下来会有更多。 据称，Clop在10月份发起了一次“网络钓鱼”攻击，使其获得了包括PNC在内的资料，其中有1300万人的个人信息和记录，并向该公司Dacoll索取了赎金。Dacoll公司拒绝透露所要求的赎金金额。 目前尚不清楚Clop可能会在暗网上发布哪些额外的——可能是更敏感的——信息，可能会被欺诈者窃取（使用文件照片） 当Dacoll拒绝付款时，黑客将数百个文件上传到了暗网，这是一个只能通过专门的网络浏览器访问的隐蔽的互联网区域。 这些文件包括驾驶者的图像视频，Clop似乎是从国家自动车牌识别（ANPR）系统中获取的。视频包括被拍到超速行驶的司机面部特写图像。 目前尚不清楚Clop可能会在暗网上发布哪些额外的——可能是更敏感的——信息，这些信息可能会被欺诈者窃取。 像许多勒索软件组织一样，Clop向员工发送“网络钓鱼”电子邮件（如文件照片所示），这些电子邮件看似真实，但实际上包含复杂的病毒。 国家安全专家、英国军事情报部门前上校菲利普英格拉姆说：“这是对一家为英国各地警察部队提供服务的公司的极其严重的违规行为。“ “这种数据泄露造成的损失是深不可测的，因为它使多个公共和私人组织之间存在管理敏感的执法数据的网络安全安排受到质疑。” Dacoll总部位于West Lothian，由电气工程师Brian Colling于1969年创立，他在为英国皇家空军服役之前曾修理过家用电器。 这位88岁的老人已将公司发展成为英国范围内的IT解决方案提供商，拥有160名员工。 Dacoll的子公司之一NDI Technologies为英国90%的警察部队提供“关键”服务，让警察可以远程访问PNC。 另一家Dacoll子公司，NDI Recognition Systems，为警方、英格兰公路局和DVLA使用的ANPR系统提供IT支持。 国家网络安全中心的一位发言人说：“我们知道这起事件，并与执法伙伴合作，以充分了解和减轻任何潜在影响。” 在过去两年中，Clop通过勒索软件黑客攻击赚取了数百万英镑。受害者包括石油巨头壳牌公司、美国银行Flagstar和加利福尼亚大学。 与许多勒索软件组织一样，它会向员工发送“网络钓鱼”电子邮件，这些电子邮件看似真实，但实际上包含一种复杂的病毒，可在打开时收集数据。 面对敏感材料泄露的恐惧，一些公司支付了赎金，其中包括美国保险巨头CNA Financial，据报道，该公司今年早些时候支付了4000万美元（3000万英镑）。 MoS上个月透露了Clop如何针对Stor-A-File，这是一家英国数据存储公司，其客户包括GP practices、NHS医院信托、地方议会、律师事务所和会计师。 国家犯罪署发言人昨晚表示：“该机构知道一起影响Dacoll的事件，我们正在支持调查。” Dacoll的一位发言人说：“我们可以确认我们是10月5日网络事件的受害者。我们能够迅速恢复到正常的运营水平。该事件仅限于内部网络，与我们任何客户的网络或服务没有联系。“

根据近期发布的一项研究，暗网的犯罪分子创建了地下法院系统，用于解决涉及付款失败、产品问题和服务虚假陈述的纠纷。 威胁情报公司Analyst1的研究人员最近分析了暗网中几个主要网络犯罪论坛的运作情况，发现其中至少有两个论坛拥有非正式的法院系统，犯罪分子可以在那里提出申诉并解决与同行的争端。Analyst1的研究表明，每天都有数十起来自暗网的案件发布到这些法院，等待论坛管理人员解决纠纷。 网络安全公司Analyst1的首席安全策略师、该研究报告的作者Jon DiMaggio表示，这个非官方的司法系统旨在为那些认为自己被骗的犯罪分子讨要说法。 法院主要在暗网的俄语在线论坛上开庭，暗网是谷歌等传统搜索引擎无法访问的加密网络。在类似于在线留言论坛Reddit的网站上，只有受信任的人员可以看到案件，一般会持续一个星期。 一个典型的案件涉及一个勒索软件集团，该集团被指控通过不支付服务费或通过出售对目标公司在线基础设施的访问权来欺骗黑客，而该基础设施并不像声称的那样脆弱。一个匿名的论坛版主充当法官，听取投诉，要求提供聊天记录和付款信息等证据，然后作出裁决。在某些情况下，他们可能会涉及裁决赔偿金，这些赔偿金一般通过论坛的支付系统转移。 DiMaggio说，这些案件进展很快——开放和关闭，经常在一周之内，你通常会看到整个过程完成。有时会要求巨额赔偿，最高可达100万美元，但很少全额赔偿。赔偿金平均低于2万美元。在一个特定的论坛上，他注意到每月有三到六个与勒索软件有关的案件。 DiMaggio指出，勒索软件和其他黑客组织资助在线司法论坛，使其犯罪伙伴看起来更值得信赖。如果黑客看到某个勒索软件集团通过法院系统支付赔偿金，他们也可能相信该集团更值得信赖。当他们想要雇用黑客时，他们希望最好的黑客为他们工作，而在勒索软件中存在着大量的竞争。 最近几个月，随着执法部门越来越多地宣传勒索软件攻击，大多数网络犯罪论坛已经禁止了所有与勒索软件有关的话题、交易和仲裁。在线司法论坛告诉当事人在提起和讨论他们的案件时不要使用“勒索软件”一词​​。执法部门在网上查找这些案件变得更加困难。 虽然勒索软件法庭相对较新，但他们中的大多数人都在已经存在多年的俄罗斯黑客论坛上开会。其他国家的暗网世界里似乎不存在类似的法庭，这些国家的勒索软件社区要小得多。 虽然公司在阻止勒索软件法庭方面无能为力，但企业应该知道它们的存在。就像在真实的法律案件中一样，在黑暗法庭的“发现”过程中，有关公司的泄露信息可能会出现在网上。 Analyst1统计了600多个与提交到这些法庭的案件有关的主题。这些案件的争议金额通常从几百美元到几千美元不等，但也有少数案件的争议金额要高得多。例如，2021年4月，一家隶属于Conti勒索软件集团的运营商和渗透测试机构被起诉，要求赔偿200万美元，因为他们没有履行涉及黑客攻击和加密美国学校系统数据的协议。经过一个半月的“审判”程序，该案以有利于两个Conti附属公司的结果告终。但在许多其他情况下，提出争议的罪犯赢了。 Analyst1发现，威胁行为者可以出于各种原因相互提起诉讼。Analyst1举了一个例子，一个威胁行为者可能从一个访问代理处购买了一个被破坏的网络的访问权，但发现它之前已经被卖给了另一个威胁行为者。在这种情况下，威胁行为者会在一个专门的子论坛（通常名为“法庭”或“仲裁”）上提供事件的细节，从而对经纪人发起行动。 在这里，“原告”将提供索赔的详细信息，例如经纪人的昵称、他们在Jabber和Telegram等服务上的联系信息的链接，以及包括聊天记录、屏幕截图和其他涉及涉嫌违规交易在内的证据。然后为该案件指派一名仲裁员，审查细节并听取被指控的违规者的反诉。黑客法庭给予每个论坛成员参与这一过程的权利，但只有仲裁员做出最终决定。 当决定有利于原告时，“被告”有一定的时间来弥补，否则将面临被禁止在论坛上进行任何未来活动的前景。通常情况下，成熟的网络犯罪运营商会将比特币存入一个托管账户，作为他们支付服务能力的证明。当争端以对他们有利的方式解决时，威胁行为者就会从这个账户中得到报酬。 在大型地下论坛中运作的威胁参与者通常会迅速遵守地下法庭的裁决，因为他们想保护自己的声誉。 DiMaggio说,犯罪分子努力在这些论坛上建立自己的声誉，这些论坛是勒索软件附属机构招募的地方，也是恶意软件销售、漏洞和利用的地方，甚至还提供黑客服务。失去信任或被禁止进入一个论坛，会对威胁行为者在网络地下运作的能力产生巨大的负面影响。 Analyst1表示，在某些极端情况下，威胁行为者会暴露欺骗他们的网络犯罪分子的真实身份——包括实际地址、社交媒体资料和电话号码。 Huntress的高级安全研究员John Hammond说，几乎每个网络犯罪论坛或社区都有一种司法系统，或者是一个“人民法院”来处理罪犯之间的纠纷。这是一种奇怪的体育精神或行为准则，黑客、小偷和诈骗者不应该相互冲突。通常处理纠纷的仲裁者会根据原告提出的证据，以及论坛上更广泛的社区的一般意见来决定判决。如果被判有罪，被告可能会被禁止进入社区，被放在公开的耻辱墙上，并在其他地下集团中分享他们的不良声誉。

根据欧洲刑警组织官方网站消息，11月4日，罗马尼亚当局逮捕了两名涉嫌部署Sodinokibi/REvil勒索软件的网络攻击者。据称，他们对5000次感染负责，总共勒索了500万欧元的赎金。自2021年2月以来，执法当局已经逮捕了Sodinokibi/REvil的其他三个分支机构和两个与GandCrab有关的嫌疑人。这些是GoldDust行动的部分结果，该行动由17个国家、欧洲刑警组织、欧洲司法组织和国际刑警组织共同开展。所有这些逮捕行动都是在国际联合执法工作之后进行的，包括识别、窃听和扣押Sodinokibi/REvil勒索软件家族使用的一些基础设施，该家族被视为GandCrab的继承者。 欧洲成立反REvil团队 自2019年以来，多家大型国际公司面临严重的网络攻击，这些攻击部署了Sodinokibi/REvil勒索软件。法国、德国、罗马尼亚、欧洲刑警组织和欧洲司法组织于2021年5月成立了一个联合调查小组，加强了针对该勒索软件的行动。Bitdefender与执法部门合作，在No More Ransom网站上提供了一个工具，可以帮助Sodinokibi/REvil的受害者恢复他们的文件，只要是2021年7月前的攻击。10月初，在美国发出国际逮捕令后，Sodinokibi/REvil的一个分支机构在波兰边境被捕。这名乌克兰人被怀疑实施了Kaseya攻击，该攻击影响了多达1500家下游企业，Sodinokibi/REvil向其索要约7000万欧元的赎金。此外，2021年2月、4月和10月，韩国当局逮捕了涉及GandCrab和Sodinokibi/REvil勒索软件家族的三名关联方，涉及超过1500多名受害者。11月4日，科威特当局逮捕了另一名GandGrab关联公司，这意味着自2021年2月以来，共有7名与这两个勒索软件家族有关的嫌疑人被捕。他们涉嫌总共攻击了约7000名受害者。 Golddust与GandCrab的联系 自2018年以来，欧洲刑警组织一直支持一项由罗马尼亚牵头的调查，该调查针对GandCrab勒索软件家族，并涉及英国和美国等多个国家的执法部门。GandCrab是全球最多产的勒索软件家族之一，全球有超过100万受害者。这些联合执法努力的结果是，通过No More Ransom项目发布了三种解密工具，迄今已挽救了49000多个系统和避免了超过6000万欧元的未付赎金。调查还着眼于GandCrab的附属机构，其中一些被认为已经转向Sodinokibi/REvil。GoldDust行动也是根据之前针对GandCrab的这一调查线索建立起来的。 无需赎金即可解密 事实证明，网络安全公司、部门的支持对于最大程度地减少勒索软件攻击造成的损害至关重要，勒索软件攻击仍然是最大的网络犯罪威胁。许多合作伙伴已经通过No More Ransom网站为多个勒索软件家族提供了解密工具。Bitdefender积极支持这项调查，在整个调查过程中提供了关键的技术见解，同时为这两个高产的勒索软件家族提供解密工具，帮助受害者恢复他们的文件。KPN和McAfee Enterprises是另外给予支持的合作伙伴，他们也通过向执法部门提供技术专业知识来支持此次调查。 目前，No More Ransom拥有GandCrab（V1、V4和V5到V5.2版本）和Sodinokibi/REvil的解密工具。Sodinokibi/REvil解密工具帮助1400多家公司解密了他们的网络，为他们节省了近4.75亿欧元的潜在损失。为这两个勒索软件家族提供的工具实现了50000多次解密，网络犯罪分子为此要求支付约5.2亿欧元的赎金。 欧洲刑警组织的支持 欧洲刑警组织促进了信息交流，支持了GoldDust行动的协调，并提供了业务作分析支持，以及加密货币、恶意软件和取证分析。在行动日期间，欧洲刑警组织向每个地点部署了专家，并启动了一个虚拟指挥所来协调地面活动。国际合作使欧洲刑警组织能够简化与其他欧盟国家的受害者缓解工作。这些活动防止私营公司成为Sodinokibi/REvil勒索软件的受害者。 欧洲刑警组织的联合网络犯罪行动特别工作组(J-CAT)支持了这次行动。这个常设小组由来自不同国家的网络联络官组成，他们在同一个办公室开展备受瞩目的网络犯罪调查。 *参与国家：澳大利亚、比利时、加拿大、法国、德国、荷兰、卢森堡、挪威、菲律宾、波兰、罗马尼亚、韩国、瑞典、瑞士、科威特、英国、美国 *参与组织：欧洲刑警组织、欧洲司法组织和国际刑警组织

REvil是臭名昭著的俄罗斯关联勒索软件团伙，据称对今年早些时候对Kaseya、Travelex和JBS的高调网络攻击负责。 在一个不知名的人劫持了他们的Tor支付门户和数据泄露博客之后，REvil勒索软件行动很可能再次关闭。 Tor站点今天早些时候下线，一名隶属于REvil行动的威胁行为者在XSS黑客论坛上发帖称，有人劫持了该团伙的域名。 该劫持首先由Recorded Future的Dmitry Smilyanets发现，并指出一个不知名的人使用与REvil的Tor站点相同的私钥劫持了Tor隐藏服务（洋葱域名），并且可能拥有这些站点的备份。 “但是自从今天莫斯科时间12点至17点10分，有人用和我们的密钥相同的密钥提出了登陆和博客的隐藏服务，我们的担心得到了证实，第三方有我们洋葱服务密钥的备份。“一个被称为“0_neday”的威胁行为者在黑客论坛上发帖。 该威胁行为者继续说，他们没有发现其服务器被破坏的迹象，但将关闭该行动。 然后，威胁行为者告诉附属机构通过Tox与他联系以获取解密密钥，这样附属机构就可以继续勒索受害者并在支付赎金时提供解密器。 要启动Tor隐藏服务（.onion域），您需要生成一个私钥和公钥对，用于初始化服务。 私钥必须是安全的，并且只有受信任的管理员才能访问，因为任何有权访问此密钥的人都可以用它在自己的服务器上启动相同的.onion服务。 由于第三方能够劫持这些域名，这意味着他们也可以访问隐藏服务的私钥。 今天晚上，0_neday再次在黑客论坛主题上发帖，但这次说他们的服务器被入侵了，无论是谁做的，都是针对威胁者的。 目前，尚不清楚是谁入侵了他们的服务器。 由于Bitdefender和执法部门获得了主REvil解密密钥的访问权并发布了免费的解密器，一些威胁行为者认为FBI或其他执法部门自其重新启动以来就可以访问服务器。 由于没有人知道发生了什么，也有可能是威胁行为者试图重新获得对行动的控制。 REvil可能会永久关闭 在REvil通过Kaseya MSP平台中的零日漏洞对公司进行大规模攻击后，REvil的运营突然关闭，他们面向公众的代表Unknown消失了。 在Unknown没有回来之后，REvil的其他操作者在9月利用备份再次启动了操作和网站。 从那以后，勒索软件业务一直在努力招募用户，甚至将联盟的佣金提高到90%，以吸引其他威胁者与他们合作。 由于这次最新的事故，目前论坛上的行动很可能将永远消失。 然而，对于勒索软件来说，没有什么好事会永远持续下去，他们很可能很快就会将它们重新命名为一项新业务。

大型跨国公司奥林巴斯（Olympus）9月11日在一份简短声明中表示，该公司“目前正在调查影响其欧洲、中东和非洲计算机网络的潜在网络安全事件”。 “在检测到可疑活动后，我们立即组织了一个包括取证专家在内的专业响应团队，我们目前正在以最高优先级解决这个问题。作为调查的一部分，我们已暂停受影响系统中的数据传输，并已通知相关外部合作伙伴。”声明说。 被感染计算机上留下的赎金说明声称来自BlackMatter勒索软件组织。“您的网络已加密，目前无法运行，”它写道。“如果您付费，我们将为您提供解密程序。”赎金说明还包括一个只能通过Tor浏览器访问的暗网网址，已知BlackMatter使用该网站与受害者进行通信。 Emsisoft的勒索软件专家和威胁分析师BrettCallow称，勒索信中的网站与BlackMatter组织有关。 BlackMatter是一个勒索软件团伙，它被认为是现已退役的DarkSide、LockBit 2.0和REvil勒索软件团伙的继任者。但SophosLabs的分析表明，虽然DarkMatter和DarkSide勒索软件之间存在相似之处，但代码并不相同。 自该团伙于6月出现以来，Emsisoft已记录了40多起归因于BlackMatter的勒索软件攻击，但受害者总数可能要高得多。 BlackMatter等勒索软件团伙通常会先从公司网络中窃取数据，然后再对其进行加密，然后威胁如果不支付用于解密文件的赎金，就会在线发布文件。另有一个与BlackMatter相关的暗网网站，用来宣传其受害者并兜售被盗数据，但目前该网站还没有奥林巴斯的数据条目。 奥林巴斯是一家跨国公司，在全球拥有31,600多名员工，为医疗和生命科学行业生产光学和数字复印技术。它在过去以模拟和数码相机的先驱而闻名，但在1月份出售了其陷入困境的相机部门。 奥林巴斯公司在9月14日更新声明称： 我们可以确认，2021年9月8日发生的事件是恶意软件攻击未遂，影响了我们在EMEA（欧洲、中东和非洲）的部分销售和制造网络。我们立即暂停了这些区域的数据传输，并通知了相关外部各方。我们向所有客户和合作伙伴保证，我们的日常业务运作正常，确保为患者提供不间断的服务。 我们已将事件报告给相关政府部门。我们将继续采取一切必要措施，以安全的方式为我们的客户和业务合作伙伴提供服务。 根据迄今为止的调查结果，没有发现我们的数据丢失、未经授权使用或披露的证据。也没有证据表明网络安全事件影响了EMEA地区以外的任何系统。 保护我们的客户和合作伙伴并保持他们对我们的信任是重中之重。我们非常重视数据的安全和保障，并将继续采取措施加强我们的IT安全。 对于由此事件造成的任何不便，我们深表歉意。

Ragnar Locker勒索团伙是一系列针对公司的代价高昂的勒索软件攻击背后的网络犯罪团伙，它警告受害者不要寻求执法机构的帮助。 该团伙还警告受害者，他们也不应该与那些在勒索软件攻击后专门帮助公司与网络犯罪分子谈判的公司合作，并在其暗网网站上发表声明说，它将惩罚任何违反要求的”客户”，立即公布其被盗数据。 Ragnar Locker的警告： Dear clients if you want to resolve all issues smoothly, don’t ask the Police to do this for you. We will find out and punish with all our effort.（亲爱的客户，如果你想顺利地解决所有问题，不要让警察为你做这些，否则我们会全力以赴地发现和惩处。） 这是Ragnar Locker所说的全文： In our practice we has facing with the professional negotiators much more often in last days. Unfortunately it’s not making the process easier or safer, on the contrary it’s actually makes all even worse.

黑客最初要求提供2800万美元（约20.7亿英磅）的赎金赎回被盗代码，约780GB的数据。他们通过渗入EA的内部Slack渠道窃取了这些数据。 窃取视频游戏公司Electronic Arts（EA）《FIFA 21》源代码的黑客在暗网上发布了这些代码。据报道，黑客起初试图用盗窃来勒索EA，但未能与该公司就付款问题达成协议后，就发布了数据。 黑客最初要价2800万美元（约207亿英镑），以换取被盗的源代码，大约价值780GB的数据。他们通过渗入EA的内部Slack渠道窃取了这些数据。该公司拒绝支付赎金，据说是因为被盗的数据不包含任何敏感信息。”事件发生后，我们已经进行了安全改进，预计不会对我们的游戏或业务产生影响。我们正在积极与执法官员和其他专家合作，作为这项正在进行的刑事调查的一部分，”该公司透露。 被盗数据于6月11日首次出现在暗网和地下论坛。当时，黑客们说他们还盗取了即将推出的游戏版本FIFA 2022的应用编程接口（API）密钥，他们还说他们已经获得了Xbox和PlayStation游戏机的软件开发工具包（SDK），其他高价值的EA游戏，如战地和麦登，其游戏引擎的源代码也被盗。 “专有的源代码被泄露绝对不是一个好消息，这是严重的IP（知识产权）盗窃，黑客能够收获珍贵的信息，能够看到游戏的内部运作，利用安全漏洞，甚至为恶意的目的对游戏进行逆向工程。”Check Point软件技术公司印度和Saarc地区SE负责人、客户成功主管Prakash Bell说：“除了因泄漏和知识产权损失而造成的声誉损失外，受影响的公司所做的投资和未来的收入还会因此而遭受巨大的金钱损失。”