正文

1130-警方摧毁了攻击 71 个国家的勒索软件组织

admin
admin V管理员 /0 评论 /138 阅读
1130
此篇文章发布距今已超过345天,您需要注意文章的内容或图片是否可用!



点击上方蓝色文字关注我们


今日全球网安资讯摘要

别关注

警方摧毁了攻击 71 个国家的勒索软件组织

美国大型医院集团遭勒索攻击,多州急诊室紧急转移救护车

麒麟勒索病毒声称攻击了汽车巨头延锋

BlackCat 声称攻击了台湾中国石化

特别关注


警方摧毁了攻击 71 个国家的勒索软件组织

标签:勒索组织

Bleeping Computer 网站消息,七个国家的执法机构与欧洲刑警组织和欧洲司法组织共同发起了一次联合执法行动,成功在乌克兰境内逮捕了某勒索软件组织的核心成员。
据悉,这些网络犯罪分子使用 LockerGoga、MegaCortex、HIVE 和 Dharma 等勒索软件发动网络攻击活动,导致大量企业运营瘫痪。欧洲司法组织称,在入侵受害目标系统后,该组织会偷偷潜伏起来(潜伏时间有时长达数月)部署不同类型的勒索软件,如 LockerGoga、MegaCortex、HIVE 或 Dharma,此后会向受害者“发送”一则赎金通知,要求受害者支付比特币,以换取解密密钥。
从分析结果发现,威胁攻击者通过在暴力攻击和 SQL 注入攻击中窃取受害目标的用户凭证,以及使用带有恶意附件的网络钓鱼电子邮件访问目标网络,一旦成功进入,就会立刻使用 TrickBot 恶意软件、Cobalt Strike 和 PowerShell Empire 等工具横向移动并入侵到其他系统,然后再触发先前部署的勒索软件有效载荷。
截至案发前,该勒索软件团伙已经加密了大型企业的 250 多台服务器,造成的损失超过数亿欧元。值得一提的是,犯罪网络组织内分工十分明确,一些成员主要担任破坏受害目标 IT 网络的“重任”,一些成员主要“帮助”受害者支付加密货币,以解密被加密的文件。
乌克兰勒索软件团伙被捕
鉴于该团伙带来的破坏力,来自挪威、法国、德国和美国的 20 多名调查人员协助乌克兰国家警察在基辅开展调查。11 月 21 日,通过对基辅、切尔卡瑟、罗夫诺和文尼察 30 个地点的协同突袭,逮捕了该团伙 32 岁的主谋,并抓获了四名同伙。
欧洲刑警组织还在荷兰设立了一个虚拟指挥中心,以处理在入室搜查中缴获的数据。最终,乌克兰国家警察局网络警察表示,在 TOR 特别小组的支持下,执法人员在基辅地区以及切尔卡瑟、罗夫诺和文尼察地区对嫌疑人的住宅和汽车进行了 30 多次授权搜查,没收了大量的计算机设备、汽车、银行卡和 SIM 卡、’草稿’、数十种电子媒体和其他非法活动证据和加密货币资产。
值得注意的是,此次抓捕行动“继承了” 2021 年的某执法行动,当时警方拘留了12名嫌疑人,这些人大都来自同一勒索软件团伙的成员,该团伙与针对 71 个国家 1800 名受害者的攻击有关。正如两年前调查显示的结果一样,威胁攻击者部署了 LockerGoga、MegaCortex 和 Dharma 勒索软件,还在攻击中使用了Trickbot 等恶意软件和 Cobalt Strike 等工具。
欧洲刑警组织和挪威相关机构接下来的工作重点是是分析 2021 年在乌克兰查获的设备数据,以期帮助确定近期在基辅逮捕的其他嫌疑人的身份。

LockerGoga 和 MegaCortex 勒索软件免费解密程序

据悉,联合执法行动由法国当局于 2019 年 9 月发起,重点是在挪威、法国、英国和乌克兰组成的联合调查小组(JIT)的帮助下,在欧洲司法组织的财政支持下,与荷兰、德国、瑞士和美国当局合作,找到乌克兰境内的威胁攻击者并将其绳之以法。参与的执法机构名单如下:
  • 挪威:国家刑事调查局(Kripos)
  • 法国:巴黎检察官办公室、国家警察局(Police Nationale – OCLCTIC)
  • 荷兰:国家警察局(Politie)、国家检察院(Landelijk Parket, Openbaar Ministerie)
  • 乌克兰:总检察长办公室 (Офіс Генерального прокурора), 乌克兰国家警察局 (Національна поліція України)
  • 德国:斯图加特检察官办公室、罗伊特林根警察总部(Polizeipräsidium Reutlingen)CID Esslingen
  • 瑞士:瑞士联邦警察局(fedpol)、巴塞尔-兰茨查特警察局(Polizei Basel-Landschaft)、苏黎世州检察官办公室、苏黎世州警察局
  • 美国:美国:美国特勤局 (USSS)、联邦调查局 (FBI)
  • 欧洲刑警组织:欧洲网络犯罪中心 (EC3)
  • 欧洲司法组织。
欧洲刑警组织指出,来自七个国家的执法和司法机构与欧洲刑警组织和欧洲司法组织联手,在乌克兰摧毁并逮捕了勒索软件攻击幕后的“元凶”。此外,通过法证分析,瑞士当局还与 No More Ransom 合作伙伴和 Bitdefender 合作开发了 LockerGoga 和 MegaCortex 勒索软件变种的解密工具。

信源:https://www.freebuf.com/news/385165.html

安全资讯

美国大型医院集团遭勒索攻击,多州急诊室紧急转移救护车

标签勒索攻击,CISA‍‍‍

由于遭受网络攻击,美国得克萨斯州东部地区多家医院在感恩节当天被迫转移救护车。这次网络攻击影响范围广泛,远超初期判断。医院代表表示,这次攻击还迫使新泽西州、新墨西哥州和俄克拉荷马州的医院转移救护车。
所有受影响医院都由Ardent健康服务公司全资或部分拥有。该公司总部位于田纳西州,在至少五个州拥有二十多家医院。
目前,部分医院无法接收救护车,包括新墨西哥州阿尔伯克基市中心一家拥有263张床位的医院、新泽西州蒙特克莱尔一家拥有365张床位的医院,以及得克萨斯州东部地区服务数千名患者的几家医院。
勒索软件严重扰乱医疗服务
勒索软件攻击曾在新冠疫情期间严重扰乱了医疗服务,本次网络攻击提供了新的例证。
本周一,Ardent健康服务公司发表声明,确认勒索软件攻击导致服务中断,并称其下属医院“在系统恢复在线之前,将部分急诊患者转移到其他地区医院”。医院也被迫重新安排非紧急手术日程。公司还表示,“下属医院、急诊室和诊所将继续提供安全有效的患者护理。”
一位在受影响的新泽西州医院工作的护士告诉CNN,当医院决定因黑客事件关闭网络时,工作人员赶紧“尽可能多地打印出患者信息”。因为医院不允许工作人员向记者透露情况,她选择匿名发言,“我们所有工作都在纸上进行。”
这位护士表示,由于不能使用计算机,只能依赖纸追踪患者化验等工作进度,“一切都慢了很多。我们每年都会进行几次这样的演练,但效果还是很差。”
Chiara Marababol是受黑客攻击影响的两家新泽西州医院(山腰医疗中心和帕斯卡克谷医疗中心)的发言人。她表示,这些医院会继续为患者提供急诊护理。她在一封电子邮件中告诉CNN,“但是,在我们解决系统问题期间,我们要求当地急救系统暂时将需要紧急护理的患者转移到其他地区。”
美国联邦政府曾联系并警告
知情人士告诉CNN,在感恩节前一天(11月22日),美国联邦网络安全与基础设施安全局(CISA)官员联系了Ardent健康服务公司,警告该公司计算机系统受到恶意网络活动影响
Ardent健康服务公司发言人Will Roberts确认,CISA官员曾与该公司联系,“他们提醒我们系统中存在可疑活动。”
Will Roberts告诉CNN,但是,CISA发出警告之前,Ardent健康服务公司已经在11月20日检测到计算机系统出现“异常”,“我们已经聘请了更多外部网络安全人士展开调查”。感恩节当天,公司意识到他们遭受的是勒索软件攻击。
当被问及上述沟通情况,CISA发言人建议记者直接联系Ardent健康服务公司。
CISA于今年启动一项计划,意在警告关键行业的组织,如果他们不采取防御措施,就将面临勒索软件攻击的风险。向Ardent健康服务公司发出预警正是这一计划的一部分。CISA官员声称,这项计划挫败了多次勒索软件攻击。
Ardent健康服务公司遭遇黑客攻击造成了广泛的影响。这表明如果母公司或关键服务提供商受到网络攻击,会对医院等关键基础设施运营商产生连锁影响。
主要位于东欧或俄罗斯的网络犯罪分子在整个新冠疫情期间多次扰乱美国医疗组织,锁定计算机并索要赎金。许多黑客攻击针对的都是设备不足以应对威胁的小型健康诊所。
仅在过去九个月,其他网络攻击已经迫使康涅狄格州、佛罗里达州、爱达荷州和宾夕法尼亚州的医院转移救护车。
CISA专家在2021年的一项研究中发现,勒索软件攻击可能会阻碍患者护理,并让医院面临数周甚至数月的资源紧张。

信源:https://www.secrss.com/articles/61229

麒麟勒索病毒声称攻击了汽车巨头延锋

标签勒索攻击

麒麟勒索软件组织声称对全球最大的汽车零部件供应商之一延锋汽车内饰(延锋)的网络攻击负责。

延锋是一家专注于内饰零部件的中国汽车零部件开发商和制造商,在全球 240 个地点拥有超过 57,000 名员工。

该公司向通用汽车、大众集团、福特、Stellantis(菲亚特、克莱斯勒、吉普、道奇)、宝马、戴姆勒、丰田、本田、日产和上汽集团销售内饰零部件。该公司构成了这些汽车制造商供应链的重要组成部分。

本月早些时候,有 报道 称延锋汽车受到直接影响Stellantis的网络攻击,迫使该汽车公司停止其北美工厂的生产。

这家中国公司仍未回应有关此事的置评询问。然而,直到昨天它的主要网站才重新上线,但没有任何有关中断的声明。

Stellantis 告诉 BleepingComputer,由于外部供应商的“问题”,他们遭受了干扰。

麒麟声称对这次袭击负责

昨天,又名“Agenda”的 Qilin 勒索软件组织声称对 Yanfeng 进行了攻击,并将其添加到其 Tor 数据泄露勒索网站中。

威胁行为者发布了多个样本,以证明他们涉嫌访问延锋系统和文件,包括财务文件、保密协议、报价文件、技术数据表和内部报告。

延锋被列入麒麟勒索门户网站

麒麟威胁要在未来几天内公布其掌握的所有数据,但没有设定具体的截止日期。

Qilin 勒索软件团伙于 2022 年 8 月底推出了名为“Agenda”的 RaaS(勒索软件即服务)平台。

2023 年,威胁行为者将他们的勒索软件重新命名为“Qilin”,他们今天使用的名称是“Qilin”。

麒麟勒索信

威胁行为者针对所有行业的公司,许多攻击都在流程终止和文件扩展名更改中进行定制,以最大限度地提高影响。

Group-IB 成功渗透了 Qilin 的运营,并于 2023 年 5 月发布了一份报告,分享其收集的情报,包括有关该团伙招募、管理面板功能和目标排除的详细信息。

信源:https://www.anquanke.com/post/id/291533

BlackCat 声称攻击了台湾中国石化

标签勒索攻击

据知道创宇暗网雷达监测,近日勒索软件组织 BlackCat(ALPHV)将台湾中国石化(https://www.cpdc.com.tw)添加到其Tor泄露网站的受害者名单中,从公布的数据来看,本次泄露的数据大小为41.9GB,数据上传时间是2023年11月27日。

BlackCat (ALPHV)勒索网站官网

台湾中国石油化学工业开发股份有限公司(中石化、CPDC)成立于1969年。原系台湾行政院经济部所属国营事业,1991年股票于台湾证券交易所挂牌上市,1994年,正式转为民营企业,为威京集团事业体之一。

台湾中国石化开发总公司及其子公司在台湾和国际上生产和销售石化中间体及相关工程塑料、合成树脂、化学纤维和其他衍生产品。

关于BlackCat (ALPHV)组织

BlackCat 勒索组织(又名AlphaVM、AlphaV 或ALPHV)于2021 年11月中旬首次被 Malwarehuntertam 研究人员披露,是第一个基于 RUST 语言编写的专业勒索软件家族系列,并因其高度定制化和个性化的攻击而迅速赢得市场,是勒索即服务(RaaS) 的运营商之一。

根据目前的分析,BlackCat 采用勒索软件即服务 (RaaS) 商业模式,在已知的网络犯罪论坛中招揽生意,允许合作的黑客组织使用勒索软件并自留 80-90% 的赎金。BlackCat 采取了更激进的方式来对受害者进行勒索,在一个多月的时间里,在他们的泄密网站上已经有十几个受害者的信息被泄露。

迄今为止,该组织的最大受害者都是美国的组织,但 BlackCat 及其合作组织也攻击了欧洲、菲律宾和其他地方的目标。受害者包括以下行业的组织:建筑和工程、零售、运输、商业服务、保险、机械、专业服务、电信、汽车零部件和制药。

BlackCat 在数据泄露站点(暗网)上公布的台湾中国石化部分样例数据截图如下:

黑客公布的部分样例数据截图

从勒索组织发布的截图上来看,此次泄露的数据包含了其内部通讯录、银行账户、收入支出等财务状况和高管交接资料等。

 信源:黑客资讯 (hackernews.cc)

声 明

资讯来自全球范围内媒体报道

版权归作者所有
文章内容仅代表作者独立观点

不代表网络盾牌立场
转载目的在于传递更多信息

如有侵权,请公众号后台联系 


一键四连


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
ZhouSa.com-周飒博客