暗网简介：Meow 勒索软件

2022 年末，发现了 4 个勒索软件株，它们源自 Conti 泄露的勒索软件株。其中之一是 Meow 勒索软件。该加密勒索软件的运行从 2022 年 8 月下旬至 9 月上旬观察到，一直持续到 2023 年 2 月。2023 年 3 月，Meow 勒索软件的免费解密器发布，导致其停止运行。

事件发生时，卡巴斯基表示可能使用了经过修改的 Conti 病毒来加密 257 名受害者 ，其中 14 名受害者向攻击者付费以重新获得对其数据的访问权限。用于解密的私钥是在2022年11月13日至2023年2月5日之间生成的，表明了攻击的时间范围。

一个名为“Meow”的组织仍然活跃，并且进入 2024 年的速度相对较快，截至 2024 年已有 9 名受害者。虽然看起来并不是一个不使用 RaaS 模式的组织，但仅在2024年3月他们就已经列出了三个受害者，而且他们针对的机构也不是小目标。

使用 Bing Image Creator 绘制插图

由于最近没有检测到样本加密器的实例，假设是同一实体，Meow 勒索软件的最新版本可能仅作为勒索组织运行。因此，我们无法明确说明仍然活跃的 Meow 组织是否是之前行动 MeowCorps 的直接延续。

然而，就像 Snatch 组织一样，他们可能是熟练的黑客，但缺乏恶意软件开发技能。他们的勒索软件在解密器发布后遭到破坏，但他们还没有设法创建更复杂的病毒。

泄露网站上列出的所有最近受害者都提到了数据提取，但没有提到加密。没有任何迹象表明他们的运营中使用了勒索软件，他们的网站目前名为 Meow Leaks。

XSS 论坛中的一个帖子

唯一引起我们怀疑的方面是，基于 Conti 的 Meow 加密器最初针对的是许多俄罗斯组织。因此，一些消息来源将他们标记为反俄罗斯勒索组织。然而，他们目前对受害者的选择与这种描述有很大不同。

Meow 勒索软件是谁？

与 Conti v2 变体相关的 Meow 勒索软件最初于 2022 年 8 月被发现，在 2023 年 3 月后消失了一段时间，但类似的名称组在 2023 年末出现，并且在 2024 年仍然高度活跃。他们维护着一个数据泄露网站他们列出了 24 名受害者。它的 暗网 存在显示有限的受害者名册，但只显示那些尚未支付赎金的人。

一旦以 MeowCorp、MeowLeaks 或 Meow 等不同名称运行，它就会使用 ChaCha20 算法来加密受感染服务器上的数据。然后，受害者被指示通过电子邮件或电报联系勒索者，以接收有关支付赎金和恢复文件的指示。勒索信的标题包括“ 喵！喵！喵！ ”和“ meowcorp2022 ”在 2022 年首次勒索软件病毒的登录凭据中重复出现。

目标用户

与老喵相比，目标用户有很大不同。他们的国家目标清单并不广泛；他们的绝大多数目标都在美国， 记录了 17 起袭击事件 。与此同时，摩洛哥发生了两起袭击事件，加拿大、英国、意大利、尼日利亚和新加坡各有 1 名受害者。

喵泄漏主页

他们可能会选择包含敏感数据的目标，因为他们不能依靠加密来勒索付款。 医疗保健 和医学研究等行业  经常成为攻击的目标。

河三角洲联合学区的受害者“羞辱”

他们在数据泄露网站上发布了上述声明，同时披露了表示愿意付款的受害者的数据。他们解释说，协议失败的原因是“没有准备好的 勒索软件谈判者 ”。

涉嫌出售受害公司的数据

根据数据内容，确定价格，并邀请潜在买家与其联系。

联系喵项目

在他们的数据泄露网站上，仅存在联系部分，不包括受害者列表。

他们将某些数据出售给多个买家，但不提供有关购买是否已完成的更新。价格范围约为 2,999 美元至 60,000 美元。

作案手法

让我们回顾一下 Meow 勒索软件能够利用勒索软件加密数据的时期。如前所述，该变体源于 Conti-2 勒索软件泄露代码，使用 ChaCha20 算法对受感染服务器上的数据进行加密。它要求受害者通过电子邮件或电报等各种沟通渠道支付赎金。

该勒索软件最初于 2022 年 8 月底和 9 月初被发现，一直活跃到 2023 年 2 月。加密文件的扩展名为“.MEOW”，勒索信息名为“ readme.txt”。 ”

Meow 勒索软件说明（ 来源 ）

勒索信上写着重复的短语“喵！喵！MEOW!”，指示受害者通过指定的电子邮件地址和 Telegram 帐户联系勒索者，协商赎金并取回加密文件。

Meow 勒索软件通过各种方式传播，包括未受保护的远程桌面协议 (RDP) 配置、带有恶意附件的垃圾邮件、欺骗性下载、僵尸网络、漏洞利用、恶意广告、网络注入、虚假更新和受感染的安装程序。该勒索软件加密了多种文件类型，不包括“.exe”和注释文本文件。加密文件通常位于用户文件夹和临时目录中。

最近受影响的实体之一范德比尔特大学医学中心发表声明称，尚未捕获到与其所谓的正在进行的操作有关的脉冲或恶意软件样本。VUMC 的一位发言人承认，他们正在处理一起网络事件，但没有透露事件发生的时间、是否涉及勒索软件，也没有透露攻击造成的影响程度。

缓解策略：数据保护重点

鉴于 Meow 数据勒索团队不断变化的策略，特别是他们转向数据销售而不是基于加密的勒索软件攻击，因此调整缓解策略以优先考虑数据保护至关重要。这是一个全面的方法：

数据分类和加密：

• 实施强大的数据分类政策来识别敏感信息，特别是在医疗保健和医学研究等行业，这些行业是主要目标。

• 使用强大的加密算法对静态和传输中的敏感数据进行加密，以减轻未经授权的访问的影响。

访问控制和最低权限：

• 实施严格的访问控制，仅允许授权人员访问数据。

• 遵循最小权限原则，确保个人只能访问其角色所需的数据。

网络分段和监控：

• 对网络进行分段以遏制潜在的漏洞并限制网络内的横向移动。

• 使用入侵检测系统 (IDS) 以及安全信息和事件管理 ( SIEM ) 工具实施连续网络监控，以检测表明数据泄露尝试的异常活动。

员工培训和意识：

• 定期举办培训课程，向员工介绍最新的网络钓鱼策略、社会工程技术以及威胁行为者使用的其他方法。

• 培养网络安全意识文化，鼓励员工及时报告可疑活动。

事件响应计划：

• 制定并定期更新专门针对数据泄露和勒索企图的事件响应计划。

• 制定明确的事件响应协议，包括沟通程序、法律考虑以及与执法机构的协调。

备份与恢复：

• 实施强大的备份和恢复策略，以确保在发生勒索软件攻击或数据泄露时数据的可用性。

• 定期测试备份系统，以验证其完整性和恢复关键数据的有效性。

供应商和第三方风险管理：

• 评估有权访问敏感数据的供应商和第三方合作伙伴的安全状况。

• 要求供应商遵守严格的安全标准并定期接受安全评估。

通过实施这些缓解策略，组织可以增强抵御 Meow 等组织构成的数据勒索威胁的能力，保护敏感数据并最大程度地减少潜在违规的影响。定期评估和调整这些措施对于领先于不断变化的网络威胁至关重要。

Meow 勒索软件可能的 MITRE ATT&CK TTP

下面列出了在Meow勒索病毒毒株分析 中获得的TTP  及其当前可能的TTP。