美国国务院由外交安全局管理的正义奖赏计划（Rewards for Justice）周三宣布悬赏1000万美元，寻求更多有关黑猫（ALPHV/BlackCat）勒索软件组织的更多信息。 Help Us Trap This CatALPHV/BlackCat-linked actors have targeted more than 400 victims worldwide.If you have info on this ransomware-as-a-service group, or associated individuals or entities, contact us.You could be eligible for a reward or relocation. pic.twitter.com/GzvjzFEFux — Rewards for Justice (@RFJ_USA) March 27, 2024 黑猫勒索组织的勒索软件也称为ALPHV/BlackCat，于2021年11月首次部署。 ALPHV/BlackCat以勒索软件即服务商业模式运营，该组织的成员开发并维护勒索软件变体，然后招募附属机构来部署勒索软件。ALPHV/BlackCat及其附属机构随后分享了所有支付的赎金。 美国国务院表示，它设立了一条暗网举报热线，以保护潜在消息来源的安全。 为什么它很重要 公告称，根据《计算机欺诈和滥用法》（Computer Fraud and Abuse Act），美国国务院试图起诉“在外国政府控制下针对美国关键基础设施从事某些恶意网络活动”的网络行为者。 RJF表示，ALPHV/BlackCat采用“勒索软件即服务”（ransomware-as-a-service）的商业模式运营，该组织的成员开发和维护勒索软件变体，然后招募附属机构来部署勒索软件。 除了基于Tor的暗网举报方式外，RFJ还指出，“符合条件的消息来源可能会获得通过加密货币支付的消息费和奖励。” 更大的趋势 当Change Healthcare遭受网络攻击时，勒索软件最终引发了连锁反应，在整个医疗保健生态系统（从患者和医疗服务提供者到药房和付款人）中产生了深远的影响，而且这种连锁反应仍在持续。 联邦机构证实，自美国司法部去年12月宣布扣押ALPHV团伙的基础设施以来，医疗保健机构已成为攻击目标。 美国国家网络安全联盟（National Cybersecurity Alliance）信息安全和参与总监Cliff Steinhauer表示，Blackcat对联合健康集团（UnitedHealth Group）旗下每年处理150亿笔医疗交易的Change网络的攻击凸显了网络事件报告透明度的必要性，并强调了医疗机构应急计划的紧迫性。 他在本月早些时候表示，培养网络安全意识文化和定期进行安全审计对于增强企业执行交易和保护患者护理的能力至关重要。 Steinhauer表示：“这次攻击之所以引人注目，是因为其潜在的规模及其针对的医疗基础设施的关键性质。” 据报道，UHG支付了约2200万美元的比特币赎金。随着Change开始恢复服务，BlackCat的一名附属机构声称ALPHV的领导者关闭了其设施，发布了虚假的删除通知，并保留了全部赎金。 记录在案 美国国务院在一份声明中说：”ALPHV/BlackCat勒索软件即服务组织入侵了美国和全球关键基础设施部门的计算机网络，在目标系统上部署勒索软件，禁用受害者网络内的安全功能，窃取敏感机密信息，要求受害者支付赎金才能恢复访问，并威胁说如果受害者不支付赎金，就会公布被窃取的数据。” 去年初，美国国务院曾悬赏1000万美元，悬赏将Hive勒索软件团伙与外国政府联系起来的信息。 联系方式 有关此正义奖赏的更多信息，请访问正义奖赏网站：https://rewardsforjustice.net/english/malicious_cyber_activity.html 自1984年成立以来，RFJ已向全球超过125人支付了超过2.5亿美元，这些人提供了可采取行动的信息，帮助解决了对美国国家安全的威胁。 在Twitter上关注“正义奖赏计划”：https://twitter.com/RFJ_USA 正义奖赏网站提供的暗网举报网址是：http://he5dybnt7sr6cm32xt77pazmtm65flqy6irivtflruqfc5ep7eiodiad.onion 此外，正义奖赏网站提供了Signal、Line、Telegram、Viber、WhatsApp的举报方式，号码均为：+1 202 702 7843。  ...

前天，“Kirin博客”报道了国际联合执法机构查封了臭名昭著的ALPHV勒索软件团伙的暗网泄密网站，在经历与美国当局的暗网域名争夺战后，ALPHV勒索软件团伙选择推出了新的暗网onion域名。 ALPHV勒索软件团伙又名BlackCat，最初于2020年8月以“DarkSide”名义推出 ，然后在面临因该团伙广泛宣传的对殖民管道的勒索攻击而造成的执法行动的巨大压力后于2021年5月关闭。 该勒索软件团伙后来于2021年7月31日以“BlackMatter”名称回归，但在Emsisoft利用漏洞创建解密器并查封服务器后，该勒索软件团伙于2021年11月再次关闭。 该团伙于2021年11月再次回归，这次的名称为“BlackCat/ALPHV”。从那时起，勒索软件团伙不断演变其勒索策略，并采取与英语附属机构合作的不寻常方式 。 这次事件一开始，ALPHV勒索软件团伙对外界宣称说，由于硬件故障，他们的暗网网站离线了。这种情况过去也发生过，所以很多人相信了这个借口。ALPHV勒索软件团伙接着表示，他们已经转移了暗网泄密网站的服务器和博客。 然而，12月19日，美国政府就ALPHV勒索软件发布了一份官方声明，声称ALPHV勒索软件的基础设施已经被联邦调查局（FBI）查封，他们公布了针对 ALPHV 的解密工具，并与国际合作伙伴合作，已经为 500 多家公司解密。联邦调查局 ALPHV 的搜查令指出，一名秘密线人进入了 ALPHV 面板。然后，联邦调查局对 ALPHV 面板进行了…… “调查”，设法进入了 ALPHV 网络，获得了 946 个Tor 站点的公钥/私钥对，ALPHV勒索软件团伙使用这些站点来托管受害者通信站点、泄密站点以及上述附属面板。 至此，FBI也掌握了ALPHV勒索软件团伙的暗网网站的.onion域名（http://alphvmmm27o3abo3r2mlmjrpdmzle3rykajqc5xsj7j7ejksbpsa36ad.onion）的密钥，与ALPHV 勒索软件团伙开展了拉锯战。19日的时候，FBI将该勒索软件团伙的暗网网站的.onion域名转向扣押的页面，显示扣押图片以及以下信息： 这项行动是在欧洲刑警组织和哥廷根犯罪调查中心的大力协助下，与美国佛罗里达州南区检察官办公室和司法部计算机犯罪和知识产权科协调采取的。 如果您有关于Blackcat、其附属机构或活动的信息，您可能有资格通过美国国务院的正义奖赏计划获得奖赏。信息可通过以下基于 Tor 的举报热线提交：he5dybnt7sr6cm32xt77pazmtm65flqy6irivtflruqfc5ep7eiodiad.onion（需要 Tor 浏览器）。 有关针对美国关键基础设施的外国恶意网络活动信息奖励的更多信息，请访问 https://rfj.tips/SDT55f。 然而，20日，当人们访问ALPHV勒索软件团伙的暗网网站的.onion域名（http://alphvmmm27o3abo3r2mlmjrpdmzle3rykajqc5xsj7j7ejksbpsa36ad.onion）时，出现以下页面，ALPHV勒索软件团伙声称“夺取”了他们的数据泄露站点，重新获得了对 URL 的控制，并声称 FBI 获得了对他们用来托管服务器的数据中心的访问权限。   由于 ALPHV 运营商和 FBI 现在都控制着用于在 Tor 中的暗网泄露网站洋葱 URL 的私钥，因此他们可以来回夺取对方的 URL，这一过程一整天都在进行。 不过，作为 ALPHV 解除扣押信息的一部分，该团伙宣布为其数据泄露网站推出一个新的暗网onion域名（http://alphvuzxyxv6ylumd2ngp46xzq3pw6zflomrghvxeuks6kklberrbmyd.onion），FBI 没有该网站的私钥，因此无法扣押。 该勒索软件团伙声称，FBI 仅在过去一个半月内获得了约 400 家公司的解密密钥。然而，他们表示，另外 3000 名受害者现在将失去钥匙。 ALPHV勒索软件团伙还表示，他们正在取消对其附属机构的所有限制，使他们能够瞄准任何他们想要的组织，包括关键基础设施。附属机构仍被限制攻击独立国家联合体（独联体）国家，这些国家以前是苏联的一部分。 最后，ALPHV勒索软件团伙表示将附属公司的收入份额提高到支付赎金的 90%，这可能会说服他们转而使用竞争的勒索软件即服务。 ALPHV勒索软件团伙的声明： 大家都知道，联邦调查局拿到了我们博客的钥匙，现在我们来告诉大家是怎么回事。 首先，这一切是如何发生的，在检查了他们的文件后，我们了解到他们获得了其中一个 DC 的访问权限，因为所有其他 DC 都没有被触及，事实证明，他们以某种方式入侵了我们的一个主机，甚至可能是他本人帮助了他们。 他们最多能拿到过去一个半月的密钥，大约有 400 家公司，但现在有 3000 多家公司再也收不到他们的密钥了。 由于他们的行为，我们正在引入新的规则，或者说取消所有的规则，除了一条，你不能碰独联体，你现在可以阻止医院，核电站，任何东西和任何地方。 现在，所有广告的费率为 90%。 我们不向公司提供任何折扣，严格按照我们规定的金额付款。 VIP 广告客户将获得我们为其单独设立的私人联盟计划，该计划位于独立的 DC 上，彼此完全隔离。 感谢您的体验，我们会考虑到我们的错误，更加努力地工作，等待您在聊天室中的抱怨和要求提供不再存在的折扣。   美国当局与ALPHV勒索软件团伙战斗的时间线： ----------------------- 2023年12月10日：ALPHV主域名离线，其管理者称是硬件故障 2023年12月10日：传言是美国当局导致ALPHV下线 2023年12月11日：ALPHV否认指控 2023年12月19日上午7:26：ALPHV域名被查封 2023年12月19日上午7:42：ALPHV称这是旧域名，无关紧要 2023年12月19日上午9:56：美国司法部就ALPHV被查封及其服务器被入侵一事发布官方声明 2023年12月19日中午12:34：ALPHV取消域名并威胁对美国（及相关实体）进行报复，允许对关键基础设施进行攻击...

  暗网勒索团伙LockBit最近几个月遇到了严重问题，其基础设施可能遭到黑客攻击。这是西方著名信息安全记者约翰·迪马吉奥（Jon DiMaggio）报道的，他发布了他的[勒索软件日记项目的第三部分]。 LockBit采用了勒索软件即服务（RaaS）的形式。有意使用此服务的各方支付押金以使用自定义的租赁攻击，并通过一种会员框架获利。赎金由LockBit开发人员团队和发起攻击的会员（附属合作伙伴）分配，后者最多可获得75%的赎金。 “我从第三方收到的信息表明他们可以侵入该组织的基础设施。当时，尚不完全清楚LockBit背后的人是否已经陷入了混乱，或者只是暂时休息一下。但他们的活动肯定被打断了。我相信这样做是为了消除对其基础设施的入侵的影响。”DiMaggio写道。 他补充说，LockBit在发布受害者数据时面临一些问题。他认为，该组织的成员试图利用两大暗网论坛（Exploit 和 XSS——俄罗斯网络犯罪分子经常使用的两个论坛）上的说服性宣传，来掩盖LockBit经常无法及时、一致地发布被盗数据的事实。相反，该社区据称依靠空洞的威胁及其声誉来说服受害者付款。 DiMaggio表示，这是由于该集团内部基础设施和低带宽的限制。 DiMaggio表示，LockBit最近升级了其基础设施以解决这些缺点。然而，这实际上是一种策略，旨在给人留下受害者数据发布中的错误已被纠正的印象。合作伙伴将LockBit计划留给竞争对手。他们知道，尽管有最新声明，LockBit无法发布有关受害者的大量数据。 DiMaggio发布了他的主要发现： 一、LockBit目前可能已经被入侵 暗网勒索团伙LockBit利用Tox进行通信和实现勒索操作，但是在DiMaggio与LockBit团伙分享他这份报告中的发现后，LockBit团伙就从Tox上消失了。与此同时，DiMaggio收到了来自LockBit附属合作伙伴的消息，他们认为是DiMaggio入侵了该团伙。然后，DiMaggio收到了来自第三方的另一条消息，表明他们可能已经入侵了该团伙的基础设施。当时，尚不清楚LockBit团伙背后的人是否已经躲藏起来，或者只是在休息，但他们没有活动的情况非常明显，DiMaggio相信该团伙是为了清理对其基础设施的入侵而销声匿迹的。 二、Lockbit无法持续发布和泄露受害者数据 LockBit团伙在其暗网泄密网站上进行宣传，并在犯罪论坛上进行大肆宣扬，以掩盖其经常无法持续发布被盗数据的事实。相反，它依靠空洞的威胁和自豪的公众声誉来说服受害者付款。不知何故，除了附属合作伙伴之外，没有人注意到这一点。此问题是由于其后端基础设施和可用带宽的限制造成的。 三、LockBit最近更新了其基础设施来解决这些问题 然而，这只是一个噱头，让人看起来以为它修复了前面提到的无法持续发布受害者数据的问题。它声称受害者的“文件已发布”。通常，这是一个谎言和策略，目的是掩盖“LockBit无法像向其附属合作伙伴承诺的那样，通过其管理面板持续托管和发布大量受害者数据”的事实。此外，在过去的六个月里，LockBit提出了空洞的威胁，但在许多受害者拒绝付款后却没有采取任何行动。 四、附属合作伙伴正在离开LockBit，转而投奔其竞争对手 他们知道，尽管LockBit声称无法发布大量受害者数据。此外，他们需要几天到几周的时间来审查信件并回复其附属合作伙伴。有些请求根本没有被LockBit团伙解决。 LockBit团伙错过了最新的发布日期，无法生成更新的勒索软件变体来支持其附属合作伙伴。 五、LockBit依赖于使用竞争对手泄露的过时的、公开的勒索软件 LockBit希望从其竞争对手的勒索软件团伙窃取勒索软件，用于自己的运营，并通过其管理面板提供。它希望提供点菜式的勒索软件产品，并成为黑客附属机构的一站式商店。...

  “Kirin博客”监测发现，近期，据称有俄罗斯政府背景的勒索软件团伙十分高产，继上周新增15名受害者后，LockBit勒索软件团伙又在其暗网数据泄露门户中增加了8名新的受害者，而Clop勒索软件团伙则利用广泛使用的MOVEit文件传输软件中的零日漏洞袭击了科技巨头IBM运营的系统，导致数百万美国人的敏感医疗和健康信息被盗。 LockBit勒索软件狂潮中新的8名受害者 LockBit勒索软件团伙新发布的8名受害者来自世界各地，其中包括总部位于英国的Zaun（生产金属栅栏）、位于迪拜的DIFC法院（负责处理商业和一些民事纠纷）以及两家律师事务所：总部位于曼谷的Siam Premier和瑞典的Luterkort，后者自称是马尔默历史最悠久的律师事务所。 Zaun Limited（英国） Roxcel Trading（奥地利） St Mary’s School（南非） MEAF Machines（奥地利） Max Rappenglitz（德国） Siam Premier（泰国） Luterkort Advokatbyrå（瑞典） Majan（阿联酋） DIFC Courts（阿联酋） > LockBit [\#ransomware](https://twitter.com/hashtag/ransomware?src=hash&ref_src=twsrc%5Etfw) group has added 8 victims to their [\#darkweb](https://twitter.com/hashtag/darkweb?src=hash&ref_src=twsrc%5Etfw) portal: > > – Zaun Limited?? > – Roxcel Trading ?? > – St Mary's School ?? > – MEAF Machines ?? > – Max Rappenglitz ?? > – Siam Premier ?? > – Luterkort Advokatbyrå ?? > – Majan ?? > – DIFC Courts ??[\#DeepWeb](https://twitter.com/hashtag/DeepWeb?src=hash&ref_src=twsrc%5Etfw) [\#CybeRisk](https://twitter.com/hashtag/CybeRisk?src=hash&ref_src=twsrc%5Etfw) [\#CTI](https://twitter.com/hashtag/CTI?src=hash&ref_src=twsrc%5Etfw) [pic.twitter.com/5ImQbAJMr1](https://t.co/5ImQbAJMr1) > > — FalconFeedsio (@FalconFeedsio) [August 13, 2023](https://twitter.com/FalconFeedsio/status/1690676630732058626?ref_src=twsrc%5Etfw) 博客上没有详细说明LockBit声称窃取的数据类型或索要赎金的细节。所有受害者都被给予16天或更短的时间进行赎金谈判，否则他们将面临数据被泄露到暗网的风险。 LockBit勒索软件团伙越来越猖獗 这些新的受害者的消息发布不到一周前，该团伙将15个组织添加到其泄密网站，其中包括拥有25000名居民的加利福尼亚州埃尔塞里托市，以及位于美国同一州的一家名为瓦里安 (Varian) 的医疗保健公司，该公司专门从事肿瘤治疗。该团伙威胁称，如果该公司拒绝支付赎金，就会将癌症患者的医疗数据发布到暗网上。 上个月，LockBit勒索软件团伙在5天内攻击了10名受害者，其中包括日本最大的贸易港口名古屋，导致该港口完全关闭，影响了包括汽车巨头丰田在内的公司的货物运输。 Clop勒索软件团伙利用MOVEit漏洞攻击IBM，数百万美国人的健康数据被盗 负责管理科罗拉多州医疗补助计划的科罗拉多州医疗保健政策和融资部 （HCPF）周五证实，该部门已成为利用MOVEit漏洞进行大规模黑客攻击的受害者，导致超过400万患者的数据被泄露。 HCPF在向受影响者发出的数据泄露通知中表示，数据遭到泄露是因为该州供应商之一 IBM“在正常业务过程中使用MOVEit应用程序移动HCPF数据文件”。 通知指出，虽然HCPF或科罗拉多州政府系统没有受到此问题的影响，但“IBM使用的MOVEit应用程序上的某些HCPF文件已被未经授权的行为者访问。” 这些文件包括患者的全名、出生日期、家庭住址、社会安全号码、医疗补助和医疗保险ID号码、收入信息、临床和医疗数据（包括实验室结果和药物治疗）以及健康保险信息。 HCPF称约有410万人受到影响。 IBM MOVEit系统的入侵也影响了密苏里州社会服务部（DSS），但受影响的人数尚不清楚。密苏里州有超过六百万人口。 在上周发布的数据泄露通知中，密苏里州DSS表示：“IBM 是一家向DSS提供服务的供应商，DSS是一个向符合条件的密苏里州人提供医疗补助服务的国家机构。该数据漏洞并未直接影响任何DSS系统，但影响了属于DSS的数据。” DSS表示，访问的数据可能包括个人姓名、部门客户编号、出生日期、可能的福利资格状态或承保范围以及医疗索赔信息。 虽然科罗拉多州的HCPF和密苏里州的DSS都没有被Clop勒索软件团伙在其暗网数据泄露网站列出，但该团伙声称对大规模黑客攻击负责。 美国国务院曾悬赏1000万美金征集Clop勒索软件团伙的线索 今年以来，Clop勒索软件团伙大肆利用MOVEit漏洞，攻击了美国数十家政府、航空、能源等机构，窃取了大量的内部数据。 > Advisory from [@CISAgov](https://twitter.com/CISAgov?ref_src=twsrc%5Etfw), [@FBI](https://twitter.com/FBI?ref_src=twsrc%5Etfw): > > Do you have info linking CL0P Ransomware Gang or any other malicious cyber actors targeting U.S. critical infrastructure to a foreign government? > > Send us a tip. You could be eligible for a reward.[\#StopRansomware](https://twitter.com/hashtag/StopRansomware?src=hash&ref_src=twsrc%5Etfw) [pic.twitter.com/fAAeBXgcWA](https://t.co/fAAeBXgcWA) > > — Rewards for Justice (@RFJ\_USA) [June 16, 2023](https://twitter.com/RFJ_USA/status/1669740545403437056?ref_src=twsrc%5Etfw) 6月份，美国国务院的正义奖赏计划曾宣布悬赏1000万美元，以获取将Clop勒索软件攻击与外国政府联系起来的信息。...