【勒索软件周报】 - 2024 年 3 月 8 日

我们看到另一勒索软件操作本周被关闭，该操作首先被执法部门破坏，然后针对关键基础设施，使它们进一步受到美国政府的关注。

奇怪的是，这似乎是 DarkSide 的常见例程，我的意思是 BlackCat/ALPHV，勒索软件操作往往会攻击关键基础设施，然后意识到这是一个大错误。

事实上，他们已经成为国际执法行动的目标，联邦调查局可以在数月的时间里攻击该团伙的服务器，同时收集数据、解密器，并最终占领数据泄露网站的域名。

虽然 Tor 洋葱域名抢占事件是 FBI 和 BlackCat 之间的一场拉锯战，但该勒索软件团伙并没有被关闭，而是决定继续运作，并发誓要针对美国关键基础设施进行报复。

大约两个月后，他们的一个附属公司 攻击了 UnitedHealth Group 的 Change Healthcar e，这是一家技术解决方案公司，许多药房、医生办公室和医院都使用它来计费医疗保健和处方索赔。

这次攻击导致美国医疗保健系统严重中断，导致药店无法接受保险和折扣卡，在某些情况下，导致患者支付全价药品。

与他们以 DarkSide 身份攻击殖民管道 并导致其 关闭 类似，他们 更名为 BlackCat/ALPHV 现已在 Change Healthcare 攻击后关闭。

据其关联公司称，Change Healthcare 的母公司、UnitedHealth 的子公司 Optum 向勒索软件操作支付了 2200 万美元的赎金，以防止被盗数据泄露并获得文件解密器。

然而，该附属公司表示，BlackCat 窃取了赎金，并且没有转移一部分赎金，并表示赎金已被“联邦调查局”扣押。

事实上， BlackCat 实施了一场退出骗局 ，他们窃取了赎金，指责执法部门，然后关闭，并表示他们不想再次出庭。

不幸的是，我们迟早会看到勒索软件操作以新名称重新命名以重复这一循环，这只是时间问题。

在其他新闻中， Stormous 勒索软件 团伙 攻击了 Duvel 比利时啤酒制造商 ，许多人认为该啤酒制造商是关键的基础设施。

最后， 瑞士政府还警告说 ，由于 Play 勒索软件对 Xplain 的攻击，瑞士有 65,000 份文件被泄露。

本周提供新勒索软件信息和故事的贡献者和人员包括 @demonslay335 、 @Seifreed 、 @fwosar 、 @malwrhunterteam 、 @billtoulas 、 @BleepinComputer 、 @LawrenceAbrams 、 @serghei 、 @ Ionut_Ilascu 、 @ddd1ms 、 @uuallan 、 @AShukuhi 、 @ BrettCallow 、 @BushidoToken 、 @JBurnsKoven 、 @Jon__DiMaggio 、 @ValeryMarchive 、 @UK_Daniel_Card 、 @AlexMartin 、 @TalosSecurity 、 @CarlyPage_ 和 @pcrisk 。

2024 年 3 月 4 日

BlackCat 勒索软件声称窃取了 2200 万美元赎金，关闭了服务器

ALPHV/BlackCat 勒索软件团伙已关闭其服务器，据称他们向负责攻击Change Healthcare 平台运营商 Optum 的附属公司诈骗了 2200 万美元。

我们应该禁止支付赎金吗？

随着网络犯罪分子继续从其攻击中获取经济回报，有关联邦禁止支付赎金的讨论越来越多。

新的 STOP 勒索软件变种

PCrisk 发现了新的 STOP 勒索软件变种，附加了 .wisz 和 .wiaw 扩展名。

新的 SkyNet 勒索软件变种

PCrisk 发现了一个 SkyNet 变种，该变种附加了 .payuranson扩展名并释放了名为 SkynetData.txt 的勒索字条 。

2024 年 3 月 5 日

BlackCat 勒索软件在退出骗局中被关闭，归咎于“联邦调查局”

BlackCat 勒索软件团伙正在实施退出骗局，试图通过假装联邦调查局 (FBI) 查封了他们的网站和基础设施来关闭网站并携其附属公司的资金逃跑。

GhostSec 的联合勒索软件操作及其武器库的演变

Talos 观察到 GhostSec 和 Stormous 勒索软件团伙联手使用 GhostLocker 和 StormousX 勒索软件程序对古巴、阿根廷、波兰、中国、黎巴嫩、以色列、乌兹别克斯坦、印度、南非、巴西、摩洛哥、印度、南非、巴西、摩洛哥等国家的受害者进行多次双重勒索攻击。根据我们对该组织在其 Telegram 频道和 Stormous 勒索软件数据泄露网站上发布的披露消息的评估，卡塔尔、土耳其、埃及、越南、泰国和印度尼西亚。

新的 Makop 勒索软件变种

PCrisk 发现了一个 Makop 变体，该变体附加 .reload扩展名并删除名为 +README-WARNING+.txt 的勒索字条 。

2024 年 3 月 6 日

杜维尔称勒索软件攻击后啤酒“绰绰有余”

Duvel Moortgat 啤酒厂昨晚深夜遭受勒索软件攻击，导致该公司装瓶设施的啤酒生产停止。

提供英国核潜艇训练的Capita公司证实“网络事件”

英国最大的外包公司 Capita 周一证实，周五导致员工无法访问账户的 IT 中断是由“网络事件”造成的。

新的 MedusaLocker 勒索软件变种

PCrisk 发现了新的 MedusaLocker 变体，该变体附加了 .genesis15 和 .duralock05扩展名，并删除了名为 HOW_TO_BACK_FILES.html 的勒索信息 。

2024 年 3 月 7 日

FBI：2023 年美国因网络犯罪损失创纪录的 125 亿美元

FBI 互联网犯罪投诉中心 (IC3) 发布了 2023 年互联网犯罪报告，报告损失较 2022 年增加了 22%，达到创纪录的 125 亿美元。

瑞士：Play勒索软件泄露65,000份政府文件

瑞士国家网络安全中心 (NCSC) 发布了一份关于 Xplain 勒索软件攻击后数据泄露的分析报告，披露该事件影响了数千个敏感的联邦政府文件。

LockBit：该系列如何试图东山再起

自从 Cronos 合法运营以来，LockBit 3.0 黑手党特许经营权一直在努力让人们相信业务继续进行，就好像什么也没发生过一样。 对他的主张的审查显示出截然不同的现实。

2024 年 3 月 8 日

UnitedHealth 恢复部分 Change Healthcare 药房服务

Optum 的 Change Healthcare 上个月遭受严重的 BlackCat 勒索软件攻击，导致美国医疗保健系统大范围中断，之后已开始让系统恢复在线状态。

这就是本周的内容！ 希望大家周末愉快！

本周提供新勒索软件信息和故事的贡献者和人员包括： @demonslay335 、 @Seifreed 、 @fwosar 、 @malwrhunterteam 、 @billtoulas 、 @BleepinComputer 、 @LawrenceAbrams 、 @serghei 、 @ Ionut_Ilascu 、 @ddd1ms 、 @uuallan 、 @AShukuhi 、 @BrettCallow 、 @BushidoToken 、 @JBurnsKoven 、 @Jon__DiMaggio 、 @ValeryMarchive 、 @UK_Daniel_Card 、 @AlexMartin 、 @TalosSecurity 、 @CarlyPage_ 和 @pcrisk

2024 年 3 月 4 日

BlackCat 勒索软件声称窃取了 2200 万美元赎金，关闭了服务器

ALPHV/BlackCat 勒索软件团伙已关闭其服务器，据称他们向负责攻击Change Healthcare 平台运营商 Optum 的附属公司诈骗了 2200 万美元。

我们应该禁止支付赎金吗？

随着网络犯罪分子继续从其攻击中获取经济回报，有关联邦禁止支付赎金的讨论越来越多。

新的 STOP 勒索软件变种

PCrisk 发现了新的 STOP 勒索软件变种，附加了 .wisz 和 .wiaw 扩展名。

新的 SkyNet 勒索软件变种

PCrisk 发现了一个 SkyNet 变种，该变种附加了 .payuranson扩展名并释放了名为