![](https://pic.imgdb.cn/item/659f4905871b83018aae0674.webp) 索软件受害者已经因潜在的业务中断和解决问题的成本而陷入困境,现在正遭受犯罪分子伪装成有用的安全研究人员的后续勒索企图。 Arctic Wolf Labs 的研究人员公布了两起案件,其中 Royal 和 Akira 勒索软件团伙的犯罪分子成为第三方的目标,据信在这两种情况下都是同一个人或团体,并被假的网络撒玛利亚人勒索。 一名“安全研究人员”与受害者接触,他提供剥削后服务。在一个案例中,该商标被告知勒索软件团伙的服务器可能会被黑客入侵,他们被盗的数据可能会被删除。 另一名受害者被告知,“研究人员”在每次尝试中使用不同的绰号,可以访问用于存储受害者被盗数据的服务器,从而有机会删除它或授予受害者自己访问服务器的权限。 作为回报,被黑客入侵的客户被要求支付大约 5 比特币(按今天的汇率计算为 225,823 美元)的费用。 “据 Arctic Wolf Labs 所知,这是威胁行为者冒充合法安全研究人员提供从单独的勒索软件组织中删除被黑客攻击的数据的第一个公开实例,”Arctic Wolf 的高级威胁情报研究员 Stefan Hostetler 和 Steven Campbell 在博客中写道。 “虽然参与这些二次勒索企图的人物被描述为独立的实体,但我们以中等的信心评估勒索企图可能是由同一威胁行为者实施的。” 尽管在每次勒索尝试中使用了不同的别名,但在与受害者的通信之间发现了许多相似之处,表明两者的幕后黑手都是同一个人: 自称是安全研究员 声称可以通过勒索软件团伙的服务器访问被盗数据 通过匿名信使 Tox 进行交流 提供对泄露数据的访问证明 使用 file.io 提供访问受害者数据的证据 暗示如果受害者的服务不被接受,他们将面临未来攻击的风险 以前泄露的指定数据量 类似的付款需求 开场电子邮件中使用了多达十个重叠的短语 重新勒索尝试对行业来说并不新鲜:它们一直由相同的勒索软件组织使用他们自己以前使用的后门而不是第三方进行。例如,孔蒂和卡拉库特都被认为进行了此类袭击。 勒索软件受害者已经因潜在的业务中断和解决问题的成本而陷入困境,现在正遭受犯罪分子伪装成有用的安全研究人员的后续勒索企图。 Arctic Wolf Labs 的研究人员公布了两起案件,其中 Royal 和 Akira 勒索软件团伙的犯罪分子成为第三方的目标,据信在这两种情况下都是同一个人或团体,并被假的网络撒玛利亚人勒索。 一名“安全研究人员”与受害者接触,他提供剥削后服务。在一个案例中,该商标被告知勒索软件团伙的服务器可能会被黑客入侵,他们被盗的数据可能会被删除。 另一名受害者被告知,“研究人员”在每次尝试中使用不同的绰号,可以访问用于存储受害者被盗数据的服务器,从而有机会删除它或授予受害者自己访问服务器的权限。 作为回报,被黑客入侵的客户被要求支付大约 5 比特币(按今天的汇率计算为 225,823 美元)的费用。 “据 Arctic Wolf Labs 所知,这是威胁行为者冒充合法安全研究人员提供从单独的勒索软件组织中删除被黑客攻击的数据的第一个公开实例,”Arctic Wolf 的高级威胁情报研究员 Stefan Hostetler 和 Steven Campbell 在博客中写道。 “虽然参与这些二次勒索企图的人物被描述为独立的实体,但我们以中等的信心评估勒索企图可能是由同一威胁行为者实施的。” 尽管在每次勒索尝试中使用了不同的别名,但在与受害者的通信之间发现了许多相似之处,表明两者的幕后黑手都是同一个人: 自称是安全研究员 声称可以通过勒索软件团伙的服务器访问被盗数据 通过匿名信使 Tox 进行交流 提供对泄露数据的访问证明 使用 file.io 提供访问受害者数据的证据 暗示如果受害者的服务不被接受,他们将面临未来攻击的风险 以前泄露的指定数据量 类似的付款需求 开场电子邮件中使用了多达十个重叠的短语 重新勒索尝试对行业来说并不新鲜:它们一直由相同的勒索软件组织使用他们自己以前使用的后门而不是第三方进行。例如,孔蒂和卡拉库特都被认为进行了此类袭击。 山姆大叔想明确表示,美国的选举非常非常安全 这就是 Babuk Tortilla 勒索软件作为免费解密器发布的包装 勒索软件支付禁令:在错误的时间出现错误的想法 在向癌症医院注射勒索软件后,深红色威胁要殴打患者 Conti 还参与了多起涉及勒索软件受害者同时成为多个团伙目标的案件。2022 年,一家加拿大医疗保健组织在利用 ProxyShell 后同时遭到 Conti 和 Karma 的攻击。 同年,孔蒂再次被发现与竞争对手Hive集团合作,将哥斯达黎加政府与竞争对手Hive联手。 LockBit、Hive 和 AlphV 还在 2022 年 5 月袭击了一家未具名的汽车供应商。英国安全商店 Sophos 被要求清理混乱,却发现这三家公司都通过共享的 RDP 会话使用了相同的入口点(管理服务器)。 Arctic Wolf Labs威胁情报研究高级经理Adrian Korn在接受The Register采访时表示,研究人员看到的两起案件似乎是目前唯一尝试的案件,并且都没有导致向背后的网络犯罪分子付款。 Korn没有明确指出受害者的身份,但他透露,他们都是金融和建筑行业的美国中小企业。 “目前尚不清楚为什么这些受害者成为目标,但赎金要求足够低,表明威胁行为者可能是个人行动,而不是作为团体的一部分。 同样不清楚的是,为什么 Royal 和 Akira 勒索软件的受害者成为目标。由于确诊病例数量很少,研究人员无法最终确定深入的方法。 然而,Korn 确实暗示怀疑勒索企图背后的一个或多个个人可能已经访问了两个勒索软件团伙使用的资源。 对勒索者和猎物之间对话的分析表明,犯罪分子准确了解从他们那里泄露的数据量、文件列表,以及在一个案例中支付的赎金金额。 “有时,威胁行为者会脱离更大的团体并独立行动,不顾一切地想赚快钱,”科恩说。“虽然我们仍在拼凑这里发生的事情,但鉴于赎金要求低,这些后续的勒索企图似乎符合这种说法。” 如果同一名罪犯是两次后续勒索企图的幕后黑手,他们在每起案件中都使用了不同的绰号。在其中一种情况下,他们称自己为道德侧组(ESG),而在另一种情况下,他们称自己为xanonymoux。 这两个别名都没有在网络犯罪现场建立存在,也没有为先前事件的威胁情报专家所知——这些身份只是被认为是一次性的。 研究人员仍在努力了解这两起事件的许多部分,包括勒索软件团伙是否批准了后续的勒索企图,或者它是否是一个单独的个人或团体单独行动。®
评论 (0)