暗网勒索团伙LockBit最近几个月遇到了严重问题，其基础设施可能遭到黑客攻击。这是西方著名信息安全记者约翰·迪马吉奥（Jon DiMaggio）报道的，他发布了他的[勒索软件日记项目的第三部分]。 LockBit采用了勒索软件即服务（RaaS）的形式。有意使用此服务的各方支付押金以使用自定义的租赁攻击，并通过一种会员框架获利。赎金由LockBit开发人员团队和发起攻击的会员（附属合作伙伴）分配，后者最多可获得75%的赎金。 “我从第三方收到的信息表明他们可以侵入该组织的基础设施。当时，尚不完全清楚LockBit背后的人是否已经陷入了混乱，或者只是暂时休息一下。但他们的活动肯定被打断了。我相信这样做是为了消除对其基础设施的入侵的影响。”DiMaggio写道。 他补充说，LockBit在发布受害者数据时面临一些问题。他认为，该组织的成员试图利用两大暗网论坛（Exploit 和 XSS——俄罗斯网络犯罪分子经常使用的两个论坛）上的说服性宣传，来掩盖LockBit经常无法及时、一致地发布被盗数据的事实。相反，该社区据称依靠空洞的威胁及其声誉来说服受害者付款。 DiMaggio表示，这是由于该集团内部基础设施和低带宽的限制。 DiMaggio表示，LockBit最近升级了其基础设施以解决这些缺点。然而，这实际上是一种策略，旨在给人留下受害者数据发布中的错误已被纠正的印象。合作伙伴将LockBit计划留给竞争对手。他们知道，尽管有最新声明，LockBit无法发布有关受害者的大量数据。 DiMaggio发布了他的主要发现： 一、LockBit目前可能已经被入侵 暗网勒索团伙LockBit利用Tox进行通信和实现勒索操作，但是在DiMaggio与LockBit团伙分享他这份报告中的发现后，LockBit团伙就从Tox上消失了。与此同时，DiMaggio收到了来自LockBit附属合作伙伴的消息，他们认为是DiMaggio入侵了该团伙。然后，DiMaggio收到了来自第三方的另一条消息，表明他们可能已经入侵了该团伙的基础设施。当时，尚不清楚LockBit团伙背后的人是否已经躲藏起来，或者只是在休息，但他们没有活动的情况非常明显，DiMaggio相信该团伙是为了清理对其基础设施的入侵而销声匿迹的。 二、Lockbit无法持续发布和泄露受害者数据 LockBit团伙在其暗网泄密网站上进行宣传，并在犯罪论坛上进行大肆宣扬，以掩盖其经常无法持续发布被盗数据的事实。相反，它依靠空洞的威胁和自豪的公众声誉来说服受害者付款。不知何故，除了附属合作伙伴之外，没有人注意到这一点。此问题是由于其后端基础设施和可用带宽的限制造成的。 三、LockBit最近更新了其基础设施来解决这些问题 然而，这只是一个噱头，让人看起来以为它修复了前面提到的无法持续发布受害者数据的问题。它声称受害者的“文件已发布”。通常，这是一个谎言和策略，目的是掩盖“LockBit无法像向其附属合作伙伴承诺的那样，通过其管理面板持续托管和发布大量受害者数据”的事实。此外，在过去的六个月里，LockBit提出了空洞的威胁，但在许多受害者拒绝付款后却没有采取任何行动。 四、附属合作伙伴正在离开LockBit，转而投奔其竞争对手 他们知道，尽管LockBit声称无法发布大量受害者数据。此外，他们需要几天到几周的时间来审查信件并回复其附属合作伙伴。有些请求根本没有被LockBit团伙解决。 LockBit团伙错过了最新的发布日期，无法生成更新的勒索软件变体来支持其附属合作伙伴。 五、LockBit依赖于使用竞争对手泄露的过时的、公开的勒索软件 LockBit希望从其竞争对手的勒索软件团伙窃取勒索软件，用于自己的运营，并通过其管理面板提供。它希望提供点菜式的勒索软件产品，并成为黑客附属机构的一站式商店。...

  “Kirin博客”监测发现，近期，据称有俄罗斯政府背景的勒索软件团伙十分高产，继上周新增15名受害者后，LockBit勒索软件团伙又在其暗网数据泄露门户中增加了8名新的受害者，而Clop勒索软件团伙则利用广泛使用的MOVEit文件传输软件中的零日漏洞袭击了科技巨头IBM运营的系统，导致数百万美国人的敏感医疗和健康信息被盗。 LockBit勒索软件狂潮中新的8名受害者 LockBit勒索软件团伙新发布的8名受害者来自世界各地，其中包括总部位于英国的Zaun（生产金属栅栏）、位于迪拜的DIFC法院（负责处理商业和一些民事纠纷）以及两家律师事务所：总部位于曼谷的Siam Premier和瑞典的Luterkort，后者自称是马尔默历史最悠久的律师事务所。 Zaun Limited（英国） Roxcel Trading（奥地利） St Mary’s School（南非） MEAF Machines（奥地利） Max Rappenglitz（德国） Siam Premier（泰国） Luterkort Advokatbyrå（瑞典） Majan（阿联酋） DIFC Courts（阿联酋） > LockBit [\#ransomware](https://twitter.com/hashtag/ransomware?src=hash&ref_src=twsrc%5Etfw) group has added 8 victims to their [\#darkweb](https://twitter.com/hashtag/darkweb?src=hash&ref_src=twsrc%5Etfw) portal: > > – Zaun Limited?? > – Roxcel Trading ?? > – St Mary's School ?? > – MEAF Machines ?? > – Max Rappenglitz ?? > – Siam Premier ?? > – Luterkort Advokatbyrå ?? > – Majan ?? > – DIFC Courts ??[\#DeepWeb](https://twitter.com/hashtag/DeepWeb?src=hash&ref_src=twsrc%5Etfw) [\#CybeRisk](https://twitter.com/hashtag/CybeRisk?src=hash&ref_src=twsrc%5Etfw) [\#CTI](https://twitter.com/hashtag/CTI?src=hash&ref_src=twsrc%5Etfw) [pic.twitter.com/5ImQbAJMr1](https://t.co/5ImQbAJMr1) > > — FalconFeedsio (@FalconFeedsio) [August 13, 2023](https://twitter.com/FalconFeedsio/status/1690676630732058626?ref_src=twsrc%5Etfw) 博客上没有详细说明LockBit声称窃取的数据类型或索要赎金的细节。所有受害者都被给予16天或更短的时间进行赎金谈判，否则他们将面临数据被泄露到暗网的风险。 LockBit勒索软件团伙越来越猖獗 这些新的受害者的消息发布不到一周前，该团伙将15个组织添加到其泄密网站，其中包括拥有25000名居民的加利福尼亚州埃尔塞里托市，以及位于美国同一州的一家名为瓦里安 (Varian) 的医疗保健公司，该公司专门从事肿瘤治疗。该团伙威胁称，如果该公司拒绝支付赎金，就会将癌症患者的医疗数据发布到暗网上。 上个月，LockBit勒索软件团伙在5天内攻击了10名受害者，其中包括日本最大的贸易港口名古屋，导致该港口完全关闭，影响了包括汽车巨头丰田在内的公司的货物运输。 Clop勒索软件团伙利用MOVEit漏洞攻击IBM，数百万美国人的健康数据被盗 负责管理科罗拉多州医疗补助计划的科罗拉多州医疗保健政策和融资部 （HCPF）周五证实，该部门已成为利用MOVEit漏洞进行大规模黑客攻击的受害者，导致超过400万患者的数据被泄露。 HCPF在向受影响者发出的数据泄露通知中表示，数据遭到泄露是因为该州供应商之一 IBM“在正常业务过程中使用MOVEit应用程序移动HCPF数据文件”。 通知指出，虽然HCPF或科罗拉多州政府系统没有受到此问题的影响，但“IBM使用的MOVEit应用程序上的某些HCPF文件已被未经授权的行为者访问。” 这些文件包括患者的全名、出生日期、家庭住址、社会安全号码、医疗补助和医疗保险ID号码、收入信息、临床和医疗数据（包括实验室结果和药物治疗）以及健康保险信息。 HCPF称约有410万人受到影响。 IBM MOVEit系统的入侵也影响了密苏里州社会服务部（DSS），但受影响的人数尚不清楚。密苏里州有超过六百万人口。 在上周发布的数据泄露通知中，密苏里州DSS表示：“IBM 是一家向DSS提供服务的供应商，DSS是一个向符合条件的密苏里州人提供医疗补助服务的国家机构。该数据漏洞并未直接影响任何DSS系统，但影响了属于DSS的数据。” DSS表示，访问的数据可能包括个人姓名、部门客户编号、出生日期、可能的福利资格状态或承保范围以及医疗索赔信息。 虽然科罗拉多州的HCPF和密苏里州的DSS都没有被Clop勒索软件团伙在其暗网数据泄露网站列出，但该团伙声称对大规模黑客攻击负责。 美国国务院曾悬赏1000万美金征集Clop勒索软件团伙的线索 今年以来，Clop勒索软件团伙大肆利用MOVEit漏洞，攻击了美国数十家政府、航空、能源等机构，窃取了大量的内部数据。 > Advisory from [@CISAgov](https://twitter.com/CISAgov?ref_src=twsrc%5Etfw), [@FBI](https://twitter.com/FBI?ref_src=twsrc%5Etfw): > > Do you have info linking CL0P Ransomware Gang or any other malicious cyber actors targeting U.S. critical infrastructure to a foreign government? > > Send us a tip. You could be eligible for a reward.[\#StopRansomware](https://twitter.com/hashtag/StopRansomware?src=hash&ref_src=twsrc%5Etfw) [pic.twitter.com/fAAeBXgcWA](https://t.co/fAAeBXgcWA) > > — Rewards for Justice (@RFJ\_USA) [June 16, 2023](https://twitter.com/RFJ_USA/status/1669740545403437056?ref_src=twsrc%5Etfw) 6月份，美国国务院的正义奖赏计划曾宣布悬赏1000万美元，以获取将Clop勒索软件攻击与外国政府联系起来的信息。...