ALPHV

美国国务院由外交安全局管理的正义奖赏计划（Rewards for Justice）周三宣布悬赏1000万美元，寻求更多有关黑猫（ALPHV/BlackCat）勒索软件组织的更多信息。 Help Us Trap This Cat ALPHV/BlackCat-linked actors have targeted more than 400 victims worldwide. If you have info on this ransomware-as-a-service group, or associated individuals or entities, contact us. You could be eligible for a reward or relocation. pic.twitter.com/GzvjzFEFux — Rewards for Justice (@RFJ_USA) March 27, 2024 黑猫勒索组织的勒索软件也称为ALPHV/BlackCat，于2021年11月首次部署。 ALPHV/BlackCat以勒索软件即服务商业模式运营，该组织的成员开发并维护勒索软件变体，然后招募附属机构来部署勒索软件。ALPHV/BlackCat及其附属机构随后分享了所有支付的赎金。 美国国务院表示，它设立了一条暗网举报热线，以保护潜在消息来源的安全。 为什么它很重要 公告称，根据《计算机欺诈和滥用法》（Computer Fraud and Abuse Act），美国国务院试图起诉“在外国政府控制下针对美国关键基础设施从事某些恶意网络活动”的网络行为者。 RJF表示，ALPHV/BlackCat采用“勒索软件即服务”（ransomware-as-a-service）的商业模式运营，该组织的成员开发和维护勒索软件变体，然后招募附属机构来部署勒索软件。 除了基于Tor的暗网举报方式外，RFJ还指出，“符合条件的消息来源可能会获得通过加密货币支付的消息费和奖励。” 更大的趋势 当Change Healthcare遭受网络攻击时，勒索软件最终引发了连锁反应，在整个医疗保健生态系统（从患者和医疗服务提供者到药房和付款人）中产生了深远的影响，而且这种连锁反应仍在持续。 联邦机构证实，自美国司法部去年12月宣布扣押ALPHV团伙的基础设施以来，医疗保健机构已成为攻击目标。 美国国家网络安全联盟（National Cybersecurity Alliance）信息安全和参与总监Cliff Steinhauer表示，Blackcat对联合健康集团（UnitedHealth Group）旗下每年处理150亿笔医疗交易的Change网络的攻击凸显了网络事件报告透明度的必要性，并强调了医疗机构应急计划的紧迫性。

益生菌公司养乐多的澳大利亚分公司遭受了一次重大网络攻击，该公司的记录和护照等敏感员工文件被发布在暗网上，此次攻击是勒索软件攻击，黑客试图从公司勒索金钱。The North Face母公司近期也遭受勒索攻击，黑客在暗网泄密网站发布内容并羞辱其高管。 勒索软件团伙DragonForce攻击养乐多，并在暗网公布95GB数据样本 益生菌公司养乐多（Yakult） 确认其澳大利亚和新西兰 IT 系统受到“网络事件”的影响。该公司在其网站上的一份声明中表示，正在“与网络事件专家合作调查事件的严重程度”。声明中写道：“我们在澳大利亚和新西兰的所有办事处均保持开放并继续运营。” 该公司总部位于墨尔本丹德农，拒绝进一步置评，但 ABC 调查了解到，该公司是勒索软件攻击的受害者。勒索软件攻击是一种网络犯罪，黑客试图向公司勒索金钱，如果被勒索公司未支付赎金，黑客就会在暗网发布被盗文件。 声称对此次泄露事件负责的组织是 DragonForce，这是一个勒索软件团伙，自 12 月初以来已列出了近 20 个“拒绝合作”的目标，其目标范围从德克萨斯州的一家家庭慈善机构到新加坡的可口可乐和南澳大利亚的一家浴室制造商等商业实体。 在该勒索软件团伙的暗网泄密网站上，该组织发布了每个受害者被盗的文件存储样本。 但这些网络犯罪分子似乎与 DragonForce Malaysia 没有直接关系，DragonForce Malaysia 是一个针对以色列政府机构的黑客组织。 ABC 对泄露的 95 GB 数据样本进行了分析，发现泄露的公司的文件可以追溯到 2001 年，文件中包含敏感的员工信息，包括护照和驾驶执照的扫描件、就业前医疗评估和证书、工资和绩效评估。 ABC已确定至少一张护照扫描件属于一名仓库员工。澳大利亚广播公司还在泄露的缓存中发现了养乐多母公司所在地的日本护照。一个单独的数据库还包含近 9000 人的姓名和地址。目前尚不清楚这些是否是客户记录，但ABC已经能够验证至少部分姓名和地址的准确性。 养乐多澳大利亚公司（Yakult Australia）于 12 月 15 日获悉此次网络攻击，五天后，DragonForce 将这家益生菌公司列为受害者之一，然后在圣诞节早上公布了被盗的文件存储。 勒索软件团伙ALPHV/Blackcat攻击VF公司，并在暗网羞辱公司高管 勒索软件团伙ALPHV/Blackcat因赎金数额问题，在谈判失败后向VF公司（North Face、Vans、Timberland的母公司）的领导层施加压力。VF公司公司遭受网络攻击，导致众多业务运营中断。 “有时候你必须通过用头撞墙来学习。» 在暗网上的一篇长文中，黑客取笑了 The North Face、Vans、Timberland 和 Supreme 等主要品牌的母公司 VF Corporation。这家时尚巨头在礼品购买季节中期遭受网络攻击，扰乱了集团的商业运营。大量数据被盗，据攻击背后的黑客组织 ALPHV/Blackcat称，该公司正在尝试通过谈判将其取回。徒劳无功，因为所提供的金额不符合网络犯罪分子的期望。 “该公司提供的金额远低于要价，也远低于其保险范围。因此，她希望保持干净的资产负债表。这显示了他们的领导者的批判性思维能力。[…]由于管理技能不足以快速解决问题，我们预计损失将超过九位数。[…]领导人已明确表示，如果我们发布此消息，他们将不会继续参与，我们不在乎。你的谈判代表下次会学会不要浪费我的时间，”他们在暗网泄密网站发布文章写道。 勒索软件团伙ALPHV/Blackcat以其顽固不化而闻名，并且会毫不犹豫地透露谈判的幕后细节。 “对于 VF 公司的白痴来说，当你听谈判和事件响应‘专家’声称争取时间可以给你折扣时，就会发生这种情况（他们实际上是这么告诉他们的！！）。有时你必须通过用头撞墙来学习。由于他们的低端产品，我们的价格上涨了五百万。这篇博文是在他们重申六位数的报价不变后 24 小时发布的。”黑客补充道。 黑客甚至乐于发布人工智能生成的图像，其中显示穿着 Supreme 或 North Face 流行服装的猫（该团伙的标志）。 黑客在暗网网站上公布了少量数据，并声称如果不支付赎金，就会释放一个大型数据库。目前尚无法具体确定网络犯罪分子窃取信息的程度。

前天，“暗网下/AWX”报道了国际联合执法机构查封了臭名昭著的ALPHV勒索软件团伙的暗网泄密网站，在经历与美国当局的暗网域名争夺战后，ALPHV勒索软件团伙选择推出了新的暗网onion域名。 ALPHV勒索软件团伙又名BlackCat，最初于2020年8月以“DarkSide”名义推出 ，然后在面临因该团伙广泛宣传的对殖民管道的勒索攻击而造成的执法行动的巨大压力后于2021年5月关闭。 该勒索软件团伙后来于2021年7月31日以“BlackMatter”名称回归，但在Emsisoft利用漏洞创建解密器并查封服务器后，该勒索软件团伙于2021年11月再次关闭。 该团伙于2021年11月再次回归，这次的名称为“BlackCat/ALPHV”。从那时起，勒索软件团伙不断演变其勒索策略，并采取与英语附属机构合作的不寻常方式 。 这次事件一开始，ALPHV勒索软件团伙对外界宣称说，由于硬件故障，他们的暗网网站离线了。这种情况过去也发生过，所以很多人相信了这个借口。ALPHV勒索软件团伙接着表示，他们已经转移了暗网泄密网站的服务器和博客。 然而，12月19日，美国政府就ALPHV勒索软件发布了一份官方声明，声称ALPHV勒索软件的基础设施已经被联邦调查局（FBI）查封，他们公布了针对 ALPHV 的解密工具，并与国际合作伙伴合作，已经为 500 多家公司解密。联邦调查局 ALPHV 的搜查令指出，一名秘密线人进入了 ALPHV 面板。然后，联邦调查局对 ALPHV 面板进行了…… “调查”，设法进入了 ALPHV 网络，获得了 946 个Tor 站点的公钥/私钥对，ALPHV勒索软件团伙使用这些站点来托管受害者通信站点、泄密站点以及上述附属面板。 至此，FBI也掌握了ALPHV勒索软件团伙的暗网网站的.onion域名（http://alphvmmm27o3abo3r2mlmjrpdmzle3rykajqc5xsj7j7ejksbpsa36ad.onion）的密钥，与ALPHV 勒索软件团伙开展了拉锯战。19日的时候，FBI将该勒索软件团伙的暗网网站的.onion域名转向扣押的页面，显示扣押图片以及以下信息： 这项行动是在欧洲刑警组织和哥廷根犯罪调查中心的大力协助下，与美国佛罗里达州南区检察官办公室和司法部计算机犯罪和知识产权科协调采取的。 如果您有关于Blackcat、其附属机构或活动的信息，您可能有资格通过美国国务院的正义奖赏计划获得奖赏。信息可通过以下基于 Tor 的举报热线提交：he5dybnt7sr6cm32xt77pazmtm65flqy6irivtflruqfc5ep7eiodiad.onion（需要 Tor 浏览器）。 有关针对美国关键基础设施的外国恶意网络活动信息奖励的更多信息，请访问 https://rfj.tips/SDT55f。 然而，20日，当人们访问ALPHV勒索软件团伙的暗网网站的.onion域名（http://alphvmmm27o3abo3r2mlmjrpdmzle3rykajqc5xsj7j7ejksbpsa36ad.onion）时，出现以下页面，ALPHV勒索软件团伙声称“夺取”了他们的数据泄露站点，重新获得了对 URL 的控制，并声称 FBI 获得了对他们用来托管服务器的数据中心的访问权限。 由于 ALPHV 运营商和 FBI 现在都控制着用于在 Tor 中的暗网泄露网站洋葱 URL 的私钥，因此他们可以来回夺取对方的 URL，这一过程一整天都在进行。 不过，作为 ALPHV 解除扣押信息的一部分，该团伙宣布为其数据泄露网站推出一个新的暗网onion域名（http://alphvuzxyxv6ylumd2ngp46xzq3pw6zflomrghvxeuks6kklberrbmyd.onion），FBI 没有该网站的私钥，因此无法扣押。 该勒索软件团伙声称，FBI 仅在过去一个半月内获得了约 400 家公司的解密密钥。然而，他们表示，另外 3000 名受害者现在将失去钥匙。 ALPHV勒索软件团伙还表示，他们正在取消对其附属机构的所有限制，使他们能够瞄准任何他们想要的组织，包括关键基础设施。附属机构仍被限制攻击独立国家联合体（独联体）国家，这些国家以前是苏联的一部分。 最后，ALPHV勒索软件团伙表示将附属公司的收入份额提高到支付赎金的 90%，这可能会说服他们转而使用竞争的勒索软件即服务。 ALPHV勒索软件团伙的声明： 大家都知道，联邦调查局拿到了我们博客的钥匙，现在我们来告诉大家是怎么回事。 首先，这一切是如何发生的，在检查了他们的文件后，我们了解到他们获得了其中一个 DC 的访问权限，因为所有其他 DC 都没有被触及，事实证明，他们以某种方式入侵了我们的一个主机，甚至可能是他本人帮助了他们。

一个国际执法机构小组查封了臭名昭著的勒索软件团伙 ALPHV（即 BlackCat）的暗网泄密网站。该勒索软件团伙暗网泄密网站上的一条消息现在写道：“联邦调查局查封了该网站，作为针对 ALPHV Blackcat 勒索软件团伙采取的协调执法行动的一部分。” 据splash报道，此次执法行动还涉及来自英国、丹麦、德国、西班牙和澳大利亚的执法机构。 在后来确认此次破坏行动的声明中，美国司法部表示，由联邦调查局（FBI）领导的国际打击行动使美国当局能够得以进入该勒索软件团伙的计算机，并查封 ALPHV 运营的“多个网站”。 FBI 还发布了一款解密工具，已经帮助了 500 多名遭受 ALPHV 勒索软件攻击的受害者恢复了系统。 (联邦调查局称，它与美国的数十名受害者合作，使他们免于支付总计约 6800 万美元的赎金要求。) 美国政府的声明中称，ALPHV 攻击并破坏了全球 1000 多名受害者的网络，赚取了数亿美元。据司法部称，该团伙的目标是美国的关键基础设施，包括政府设施、紧急服务、国防工业基地公司、关键制造业、医疗保健和公共卫生设施，以及其他公司、学校和政府实体。 根据美国政府的搜查令，联邦调查局（FBI）称，它与一个与勒索软件团伙关系密切的“秘密线人”进行了接触，该线人向探员提供了访问 ALPHV/BlackCat 用于管理该团伙受害者的附属面板的凭证。 美国国务院此前表示，将奖励那些提供“有关 Blackcat、其附属机构或活动”信息的人们。 美国副司法部长丽莎·莫纳科（Lisa Monaco）在讲话中表示：“在瓦解 BlackCat 勒索软件团伙的过程中，司法部再次对黑客进行了攻击。” “通过联邦调查局向全球数百名勒索软件受害者提供的解密工具，企业和学校能够重新开放，医疗保健和紧急服务得以恢复在线。我们将继续优先考虑处理破坏事件，并将受害者置于我们摧毁助长网络犯罪生态系统的战略的中心。” 欧洲刑警组织（Europol）发言人伊娜·米哈伊洛娃（Ina Mihaylova）证实该机构参与了此次行动，但拒绝进一步置评。 ALPHV/BlackCat 勒索软件团伙是近年来最活跃、最具破坏性的勒索软件团伙之一。ALPHV 被认为是现已解散的受制裁 REvil 黑客组织的继承者，它声称已经入侵了许多知名的受害者，包括新闻分享网站 Reddit、医疗保健公司 Norton 和英国的 Barts Health NHS Trust。 近几个月来，该勒索软件团伙的策略变得越来越激进。 11 月，ALPHV 向美国证券交易委员会 (SEC) 首次提出此类投诉，指控数字借贷服务提供商 MeridianLink 未能披露该团伙所称的“泄露客户数据和运营信息的重大违规行为”。

新西兰《先驱报》最新的头条新闻称，新西兰一家主要初级医疗机构遭受网络攻击后，被盗的敏感病人文件和高级数据，已被一个与俄罗斯有联系的勒索软件集团发布到暗网上。 在昨晚的一份声明中，经营数十家北岛全科医生诊所的Pinnacle Midlands健康网络证实，在上周发生“网络事件”后，被盗材料已被上传至暗网网络。 虽然受影响的患者人数尚未公开，但初步报告显示，黑客可能已经获得了多达45万人的信息。 Pinnacle公司首席执行官贾斯汀·布彻（Justin Butcher）告诉《先驱报》，非法获得的信息是由“恶意行为者”上传到暗网上的。 这些信息和数据涉及到Pinnacle集团在怀卡托、湖区、塔拉纳基和泰拉维提地区过去和现在的病人和客户。它还包括塔拉纳基、罗托鲁瓦、陶波-图兰吉、泰晤士-科罗曼德和怀卡托地区的初级保健有限公司（PHCL）的做法。 漏洞中的信息包括与使用医院服务有关的高级数据，与Pinnacle提供的服务有关的索赔信息，以及围绕个别病人的免疫和筛查状态发送给诊所的信息。 Butcher证实：“在过去的24小时里，我们的安全专家通知我们，从我们的IT平台上获取的数据已被恶意行为者发布。” “我们承认，这将涉及到我们的病人和他们的家族，我们正在认真对待这个问题，我们当前的重点是支持那些可能受到影响的人，并与当局合作，以确保我们正在做我们需要做的一切。” 虽然Pinnacle没有持有全科医生的笔记和咨询记录，但Butcher说公司“现在对被盗数据的广度有了更清楚的了解”。 “这是非常不幸的，我们很伤心，因为这也影响了我们的家庭。像这样的网络事件是一个持续的威胁，虽然它们是恶意行为者的行为，但我们对可能受到影响的每个人都感到同情。” Pinnacle一直在与警方和隐私专员办公室联系。警方昨天不愿发表评论。 消息人士告诉《先驱报》，一个名为ALPHV的勒索软件团伙，也被称为黑猫，发布了Pinnacle集团旗下一家诊所的病人评估，标有“机密”字样。它还发布了关于预算目标的财务备忘录、电子表格和护照扫描件，以及其他文件，这些文件似乎取自Pinnacle的内部系统。 《先驱报》没有访问ALPHV在暗网上发布的Pinnacle文件，但网络安全行业的一位人士向其展示了屏幕截图。 总部设在新西兰的网络安全公司Emisoft的威胁分析师Brett Callow告诉《先驱报》：“与其他勒索软件操作一样，ALPHV使用发布数据的威胁作为敲诈勒索的额外手段。” “近年来，世界各地的医疗保健行业越来越成为营利性网络犯罪分子的目标。” 像ALPHV这样的组织经常在暗网上提供数据样本的“尝鲜”，要么迫使受害者支付网络赎金，要么在某些情况下征求数据的投标价格。在其他国家，曾有黑客试图勒索个别病人，以及向医疗机构勒索款项的案例。 ALPHV在8月因其对能源公司的攻击而成为头条新闻，并开创了可搜索的被盗数据在线数据库，以此作为打击受害者的一种方法。 Unit 42是纳斯达克上市的网络安全巨头Palo Alto Networks的一个部门，其董事会包括前总理约翰·基爵士，该部门已将ALPHV成员与俄罗斯联系起来，称该组织使用俄语与其成员或附属机构进行沟通，并且以运营着称在俄罗斯网络犯罪论坛上。 5月，GCSB总干事安德鲁·汉普顿（Andrew Hampton）警告说，新西兰可能成为支持普京的黑客的目标。 如果第一次泄密没有得到回应，通常会有更多敏感数据被泄露到暗网上。这些信息被提供给知情的网络犯罪分子。Pinnacle文件被发布到暗网，谷歌无法搜索，甚至无法通过普通网络浏览器访问，需要特殊的软件Tor浏览器。 该网络攻击发生在9月28日。在10月4日的新闻发布会上，Pinnacle不愿透露它是否正在与黑客进行谈判。 Butcher随后表示，他相信被盗信息可能包括商业和个人的详细信息。同一天晚些时候，他告诉RNZ的Checkpoint，被黑的系统并不包含临床记录。 ALPHV发布的患者档案被标记为“机密神经心理学报告”。它来自Pinnacle集团以外的一个供应商，并详细说明了与一个人的ACC索赔有关的评估。它是为怀卡托的一个病人准备的，是ALPHV所说的来自Pinnacle的文件集的一部分。 Aura信息安全公司的网络安全专家Alastair Millar告诉RNZ，身份被盗的可能性让受影响的人很担心，但Pinnacle对此持开放态度，并指出人们可以使用ID Care支持服务和工具来保护他们的身份。 但Millar表示，黑客可能会寻求大笔资金作为交换，或者在暗网上出售数据，就像去年对怀卡托地区卫生委员会的一次黑客攻击中所做的那样。 他说，通过人们的国家健康保险（NHI）号码和联系信息，黑客可以获得信用卡、贷款或购买礼品卡。 警方建议不要支付网络赎金。他们说，不能保证被盗数据会被销毁或归还（或冻结的系统被解锁），并且付款既资助又激励了此类犯罪。 然而，在新西兰，支付网络赎金并不违法。但政府表示，采取这样的措施会将受害者定为刑事犯罪。 Butcher说，Pinnacle还与司法部支持的ID Care合作，该机构为那些担心自己是身份盗窃受害者的人提供帮助，并可以指导人们完成冻结信用记录的过程。 ID Care已经建立了一个专门针对Pinnacle网络漏洞的页面。人们还可以拨打ID Care的个案管理中心的电话0800 121 068。