勒索

加拿大哈利法克斯公共图书馆的一些数据已经进入了一个暗网市场。 Homewood Health 公司超过180GB的文件被张贴在暗网市场的Marketo上进行销售。在这些文件中，有哈利法克斯公共图书馆的数据。由于隐私原因，一些信息已被模糊或屏蔽掉。 该贴子包括在Marketo上的Homewood Health泄露数据清单中，截至周四上午，该清单已收到近300份竞标。 Homewood Health是一家在加拿大各地设有办事处的心理健康和成瘾问题服务提供商，其发言人证实了这一数据泄露事件，其中包括其客户的信息，如哈利法克斯公共图书馆。 网上发布的可下载的证据包作为出售的样本包括总共50份文件和PDF文件，从工人赔偿清单到合同修正案，来自纽芬兰省的一家会计公司和不列颠哥伦比亚省住房公司等多个组织。 虽然哈利法克斯公共图书馆被公布出售的数据的具体情况仍不得而知，但Homewood Health的发言人说，它可能包含 “部分（他们的）员工的个人信息”。 “我们有一个专门的内部和外部团队，但这一过程将需要一些时间。”该发言人在一份电子邮件回复中说，并补充说该公司正在调查哪些信息已被泄露以及这些信息是如何获得的。 “我们将尽快依法通知所有受影响的个人。” 哈利法克斯公共图书馆的发言人拒绝对这一事件发表评论，因为该事件正在调查中，并将所有关于此事的查询将转交给Homewood Health，但他补充说，该漏洞泄露数据不包括客户数据。 到目前为止，Homewood Health还无法追踪泄漏的源头。 该公司发言人表示：“迄今为止，Homewood Health及其第三方网络安全专家都未能找到任何未经授权访问任何 Homewood Health客户应用系统的证据。” 但截至周四下午，暗网市场上的列表已不再可用。 一位自称Mannus Gott的Marketo发言人最近告诉CTV B.C.，部分数据将在周四被出售，其余的将被公布。 Emsisoft公司的威胁分析员Brett Callow说，应该担心那些信息可能包含在180GB 待售文件中的人。 Callow说：“对于这种敏感信息，无论是在暗网还是明网上，人们都在竞标，这可能会造成相当大的破坏。”他补充说， “ 这些信息可能被用于勒索或身份盗用等原因。 “ “像这样的情况是最糟糕的。如果您的财务信息泄露，您至少可以最终修复您的信用。当这样的信息泄露时，你无能为力，”他说。 “一旦它在那里，它就在那里了。” 虽然你无法看到Homewood Health的数据是否被出售，但Callow说，一个被删除的列表往往意味着它已经被购买。 “在某些情况下，购买数据的人可能是买回数据的公司，或者在其他情况下，可能是第三方，”他说。“没有办法知道。” 数据泄漏事件仍在调查中。

继华盛顿特区地铁警察局最近遭受勒索软件攻击之后，又发生了两起类似的事件，其中一起已被受害警察局正式承认。两起事件中，与警方调查人员、嫌疑人、线人、定罪证据、特工身份等有关的高度敏感的数据和文件遭遇灾难性泄漏。 首先是加利福尼亚州的 Azusa 警察局，这是一支负责覆盖 50,000 人口的部队。在最近的新闻稿中，该部门承认遭受了勒索软件攻击，导致敏感数据泄露。暴露的数据类型包括社会安全号码、驾照号码、加州身份证号码、护照号码、军人身份证号码、财务账户信息、医疗信息、健康保险信息以及通过使用自动车牌识别系统收集的信息或数据。 敦促 Azusa 的公民对传入的通信保持警惕，定期获取信用报告的副本，并立即向警方报告任何可疑情况。这起攻击实际上发生在 2021 年 3 月，但勒索组织在一个月后才决定将此事公之于众，他们公开了警方记录、调查细节和巡逻人员报告。 第二起案件涉及宾夕法尼亚州的 Clearfield Borough 警察局，“Marketo leaked data marketplace”勒索门户网站上公开称该警察局247GB的数据被窃取。勒索组织在提供了28.6MB数据的证据的同时，在暗网网站上发布了一条嘲讽信息： 他们在这里，正义和秩序的捍卫者，典型的美国警察，带着甜甜圈和咖啡，在他们的车外发呆。或者他们不是吗？现在，任何人都可以对克利菲尔德区警察局的这项工作和整个工作进行评判。这么多迷人的材料–罪犯照片、报告、财务报告、事件数据、事故和尸体的照片、案件和采访的音频和视频文件。正义的捍卫者们，你们能保护所有机密信息不被窥视吗？还是你们愿意做 “现场 “工作，每天把文件放在博客上？这似乎没有什么区别，反正你的数据是在公共领域。请所有相关人员愉快地观看吧。 Clearfield警方尚未确认任何针对他们的攻击，但骗子分享的28.6MB数据包似乎包含详细的细节。这是为什么极其敏感数据的实体应该始终以加密形式存储的一个例子。这样，即使不知道何时发生了黑客入侵，泄露的数据也将毫无用处，并且可以减轻泄露造成的损害。 “Marketo leaked data marketplace”的暗网地址：http://marketojbwagqnwx.onion

（图片来源：Getty Images/iStockphoto） 爱尔兰卫生服务执行局HSE警告各地的人们要保持警惕，因为担心来自 HSE 的敏感信息已在暗网上发布。 有证据表明，被称为Wizard Spider cartel的犯罪分子已经将病人的机密信息卖给了其他犯罪分子，他们现在将利用这些信息向爱尔兰公众勒索现金。 前卫生部长西蒙·哈里斯（Simon Harris）表示，周一将发布的更多患者数据可能是“真正的风险”。 他告诉RTE的政治周刊，数据转储已经开始。该部长说：“有证据表明，在某些情况下，这种情况可能已经发生，并且已经得到警察的证实。 “有一条非常重要的信息，真的很重要，如果有人联系您询问银行详细信息，请回绝。州政府绝不会通过电话或电子邮件与您联系，询问您的银行详细信息。 “根据我的经验，国家永远不会与你联系，提出向你还钱”。政府在一份声明中警告公众，如果有人与他们联系，声称拥有他们的数据，请联系警察。 声明中写道：“医疗数据的盗窃和披露将是一种特别卑鄙的犯罪，因为它涉及敏感信息。任何公开发布这些数据都是非法的。“ “政府敦促任何有理由怀疑自己是这一网络攻击的受害者的人，向他们当地的警察署或通过警察署保密热线进行报告。该热线每周7X24小时开放，电话是1800 666 111。” 黑客有什么数据？ 据了解，任何曾经使用过HSE服务的人都有潜在的风险，人们担心一些病人，包括那些接受性传播疾病治疗的人，可能成为勒索的受害者。周日发布的一份政府声明称，黑客可以接触到 “敏感的个人信息”。 昨晚有人担心，黑客已经开始通过暗网将这些信息倾销到网上。顶级医生公共机构《爱尔兰医学时报》昨天收到了几份来自公众的报告，他们被一个自称来自医院的人叫到了看起来像都柏林的地方。打电话的人知道个人的出生日期、PPS号码和他们在医院的住院日期。

谁是暗网上的勒索软件团伙之王？（来源：DarkTracer） 自 2019 年以来，勒索软件团伙已经从暗网泄露了 2103 家公司的被盗数据。现代化勒索软件行动始于 2013 年，攻击者的方式主要是对企业数据进行加密，然后要求支付赎金来获得解密。不过自 2020 年年初以来，勒索软件行动开始进行一种新的战术，称为双重勒索（double-extortion）。 双重勒索是指勒索软件在加密网络值钱窃取未加密的文件。然后攻击者会威胁说，如果企业不支付赎金，那么就会在暗网上公开被盗的文件。由于无法恢复加密文件以及数据可能被泄露、政府罚款和诉讼的额外担忧，威胁者寄希望于这将迫使受害者更容易地支付赎金。 一位被称为 DarkTracer 的暗网安全研究组织一直在追踪 34 个勒索软件团伙的数据泄露网站，并告诉 BleepingComputer，他们现在已经泄露了 2103 个公司的被盗数据。 DarkTracer 跟踪的 34 个勒索软件团伙是 Team Snatch、MAZE、Conti、NetWalker、DoppelPaymer、NEMTY、Nefilim、Sekhmet、Pysa、AKO、Sodinokibi（REvil）、Ragnar_Locker、Suncrypt、DarkSide。CL0P, Avaddon, LockBit, Mount Locker, Egregor, Ranzy Locker, Pay2Key, Cuba, RansomEXX, Everest, Ragnarok, BABUK LOCKER, Astro Team, LV, File Leaks, Marketo, N3tw0rm, Lorenz, Noname 和 XING LOCKER。 在这 34 个团伙中，最活跃的前 5 名团伙是Conti（338次泄密）、Sodinokibi/REvil（222次泄密）、DoppelPaymer（200次泄密）、Avaddon（123次泄密）和Pysa（103次泄密）。 3 个不再活跃的团体，比前五名中的一些团体有更多的泄漏，它们是 Maze（266次泄漏）和 Egregor（206次泄漏）。 所列的一些勒索软件团伙已不再运作，如NetWalker、Sekhmet、Egregor、Maze、Team Snatch，或改名为新名称，如NEMTY和AKO。数据勒索行业已经成为勒索软件团伙的一个重要盈利点，他们告诉BleepingComputer，受害者更担心他们的数据被泄露，而不是加密文件的丢失。 其他威胁者也看到了这一趋势，并在过去几个月里开始推出新的数据泄露市场，专门用于出售被盗数据。虽然支付赎金以防止数据泄漏似乎更好，但不能保证数据不会被释放或出售给其他威胁者。因此，如果你的数据被盗，你最好把它当作数据泄露来处理，并对受影响的人保持透明。

属于被指控攻击Colonial Pipeline的勒索软件组织的暗网页面已经关闭。 涉嫌攻击的DarkSide组织已经告诉其他黑客，它在执法压力下关闭了。去年年底才浮出水面的Darkside是攻击Colonial Pipeline的幕后黑手，该公司被迫关闭了在美国东半部大部分地区运送汽油、柴油和航空燃料的网络，引发了美国部分地区的燃料短缺。一些证据将DarkSide的行动与俄罗斯和其他东欧国家联系起来。 美国网络安全公司“FireEye”公司旗下的“Mandiant”金融犯罪分析高级经理Kimberly Goody称，多名黑客引用了5月13日与DarkSide关联公司共享的一份公告，称该组织失去了对其博客和支付服务器的访问，并将关闭。 美国网络安全公司“Recorded Future”的威胁情报分析师Dmitry Smilyanets表示，他在勒索软件网站上发现了一条来自“Darksupp”的俄语评论。评论写道，“几个小时前，我们无法访问我们基础设施的公共部分，即博客、支付服务器以及CDN服务器”。“Darksupp”被描述为“DarkSide”的运营者。与此同时，已无法通过TOR访问暗网上的“DarkSide”网址，显示的通知称找不到。“Recorded Future”称，“DarkSide”的运营者还说其加密货币赎金已被从它的服务器中取走。 另一篇发表在网络犯罪情报公司Intel471的博文称，“DarkSide”在周四向其勒索软件业务伙伴发布的信息中称，“鉴于上述情况和来自美国的压力，成员计划被关闭。保持平安并祝你好运”。 Kimberly Goody称，目前尚未独立证实这些说法，其他一些人也有一些猜测，认为这可能是一场退出骗局。不过一些安全专家警告称，该组织可能只是试图拿钱逃跑，消失在公众视野。 目前猜测的焦点是谁关闭了“DarkSide”的服务器。一些人怀疑是美国军方的网络司令部。因为美国第780军事情报旅在“记录未来”的报告出炉后不久就在Twitter上进行了转发。此前周五的国会听证会上，在被问及是否会对“阴暗面”采取行动时，网络司令部司令保罗·中曾根表示不会讨论该部门的行动。 此外，根据数字风险保护公司“数字阴影”（Digital Shadows）的一份研究报告，在网络犯罪分子中很受欢迎的俄语论坛XSS的版主在一篇帖子中表示，他们将删除所有提到勒索软件的内容。另外两个勒索软件组织Avaddon和Sodinokibi在另一个论坛上表示，他们将限制黑客使用他们的服务可以攻击的内容。根据“数字阴影”的报告，Avaddon表示，它将不再允许针对医疗组织、公共教育或慈善机构的攻击。 DarkSide在暗网上至少有八个域名或网站。其中一个是面向公众的网站，由DarkSide及其雇佣的黑客用来羞辱那些无视或拒绝该组织赎金要求的受害者，其他七个网站被该组织用来托管他们所窃取的数据。这七个域名中有四个也被关闭了，另外三个正在加载空白的白页，其中一个只是写着：”Darkside CDN”。CDN是指内容分发网络。 暗网研究人员推测，鉴于这次攻击造成了国际社会的轰动，关闭网站可能是DarkSide为躲避执法部门而做出的努力。 暗网和网络研究公司DarkOwl的联合创始人Mark Turnage说：”DarkSide很可能会安静下来，重新塑造自己，正如我们在过去观察到的其他暗网勒索软件运营商，当他们成为执法部门的目标后都会暂时停止行动。“ “我们是非政治性的。我们不参与地缘政治”，DarkSide表示，”我们的目标是赚钱，而不是为社会制造问题。从今天起，我们引入节制，检查我们的合作伙伴，想要加密的每家公司，以避免未来的社会后果。” DarkSide的暗网网址有： http://darksidedxcftmqa.onion http://darksidfqzcuhtk2.onion