第335期

本周热点事件威胁情报

RedCurl组织使用QWCrypt勒索软件进行攻击

研究人员称，RedCurl组织正在使用QWCrypt勒索软件针对Hyper-V虚拟机进行攻击。随着企业越来越多地转向虚拟机来托管其服务器，勒索软件团伙也紧随这一趋势，创建专门针对虚拟化平台的加密器。大多数勒索软件都在针对VMware ESXi服务器，而RedCurl的新型“QWCrypt”勒索软件则针对托管在Hyper-V上的虚拟机。在加密文件时，QWCrypt使用XChaCha20-Poly1305加密算法，并将加密文件的扩展名变成.locked或.randombits。

参考链接：

https://www.bitdefender.com/en-us/blog/businessinsights/redcurl-qwcrypt-ransomware-technical-deep-dive

Arkana Security勒索组织声称入侵WideOpenWest的系统

一个名为“Arkana Security”的新勒索软件组织声称入侵美国电信运营商WideOpenWest（WOW!）的系统，并控制了关键系统，此外还窃取了客户信息。该勒索组织称，他们窃取了两个数据库，一个包含40.3万个帐户，另一个包含 220万个帐户，其中包含用户名、帐户 ID、密码、安全信息、姓名、电子邮件、权限和Firebase集成详细信息等。WOW!尚未对此次攻击及数据泄露事件进行确认。

参考链接：

https://www.securityweek.com/new-ransomware-group-claims-attack-on-us-telecom-firm-wideopenwest/

研究人员称Babuk2勒索组织通过虚假的攻击声明进行勒索

研究人员最近的调查显示，Babuk2勒索组织正在发出虚假声明提出勒索要求。尽管该组织公开声称进行了多次攻击，但第三方或受害者均未确认发生任何实际的勒索软件事件。该组织似乎正在重复使用早期泄露的数据来试图证实其勒索声明，尽管该组织声称在2025年初进行了多次攻击，但没有证据表明有新的、实时的勒索软件加密或新的网络入侵事件。相反，这些数据似乎来自过去的攻击事件。此外，Babuk2于2025年1月出现，并非与Babuk勒索组织存在直接联系。该组织似乎借用“Babuk”这个名称来提升其发出的攻击声明的可信度，以迫使目标支付赎金。

参考链接：

https://www.halcyon.ai/blog/babuk2-ransomware-extortion-attempts-based-on-false-claims

研究人员披露一起Hunters International勒索组织发起的攻击活动

2025年2月，研究人员发现了一起针对零售组织的勒索软件活动，该活动归因于Hunters International勒索组织，这是一个于2023年年中出现的勒索组织。攻击者利用VPN使用RDP访问内部网络资源，执行各种侦察命令，创建用户帐户，并试图在转向WinSCP之前使用Rclone窃取数据。在成功窃取一些数据后，攻击者部署Hunters International勒索软件来加密文件。

参考链接：

https://www.esentire.com/blog/from-access-to-encryption-dissecting-hunters-internationals-latest-ransomware-attack