HackerNews 编译，转载请注明出处： 超过一年的 Black Basta 勒索软件团伙的内部聊天记录被泄露，提供了前所未有的视角，揭示了他们的策略和成员之间的内部冲突。 这些俄语聊天记录在 2023 年 9 月 18 日至 2024 年 9 月 28 日期间于 Matrix 消息平台进行，于 2025 年 2 月 11 日被一位名为 ExploitWhispers 的人士泄露，该人士声称泄露数据是因为该团伙针对俄罗斯银行。泄露者的身份仍然是个谜。 Black Basta 最初在 2022 年 4 月受到关注，当时他们使用现已基本停用的 QakBot（又名 QBot）作为传播工具。根据美国政府在 2024 年 5 月发布的一份公告，这个双重勒索团伙估计已针对北美、欧洲和澳大利亚的 500 多个私营行业和关键基础设施实体。 据 Elliptic 和 Corvus Insurance 估计，到 2023 年底，这个活跃的勒索软件团伙已从 90 多个受害者那里获得了至少 1.07 亿美元的比特币赎金。 瑞士网络安全公司 PRODAFT 表示，这个以经济利益为动机的威胁行为者（也被称为 Vengeful Mantis）由于内部纷争，自今年年初以来基本处于不活跃状态，其中一些运营商通过收取赎金但不提供有效的解密工具来诈骗受害者。 更糟糕的是，与俄罗斯有关联的网络犯罪集团的关键成员据说已经跳槽到 CACTUS（又名 Nurturing Mantis）和 Akira 勒索软件行动。 “内部冲突是由‘Tramp’（LARVA-18）驱动的，他是一名已知的威胁行为者，运营一个负责传播 QBot 的垃圾邮件网络，”PRODAFT 在 X 上的一篇帖子中表示。“作为 BLACKBASTA 内的关键人物，他的行为在该团伙的不稳定中起到了重要作用。” 泄露的聊天记录包含近 200,000 条消息，其中一些关键内容如下： Lapa 是 Black Basta 的主要管理员之一，负责管理任务。 Cortes 与 QakBot 团伙有关联，该团伙在 Black Basta 针对俄罗斯银行的攻击后试图与之划清界限。 YY 是 Black Basta 的另一名管理员，负责支持任务。 Trump 是“该团伙主要头目”Oleg Nefedov 的一个别名，他还使用 GG 和 AA 这两个名字。 Trump 和另一名成员 Bio 曾在现已解散的 Conti 勒索软件团伙中合作。 据信，Black Basta 的一名成员是一名 17 岁的未成年人。 在 Scattered Spider 成功后，Black Basta 开始积极将社会工程学纳入其攻击手段。 据 Qualys 称，Black Basta 团伙利用已知漏洞、配置错误和安全控制不足来获取对目标网络的初始访问权限。讨论显示，SMB 配置错误、暴露的 RDP 服务器和弱身份验证机制经常被利用，通常依赖默认的 VPN 凭证或暴力破解被盗凭证。 目前，Black Basta 尚未发布这些漏洞的补丁。在此期间，使用受影响系统的组织应采取以下防御措施： 限制对敏感日志文件和目录的访问。 对日志和备份文件应用严格的文件权限。 避免记录敏感的会话相关数据。 在存储前加密敏感数据。 在生产环境中禁用调试模式。 实施更强的身份验证和会话管理。 定期对系统及其文件处理过程进行安全审计。 强烈建议使用受影响系统的组织立即采取行动，保护其关键基础设施免受潜在攻击。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国媒体公司Lee企业（Lee Enterprises）公布了最近一次网络攻击的更多细节，透露攻击者加密并窃取了文件。 Lee企业在 25 个州拥有 350 家周报和专业出版物。据新闻自由追踪器报道，至少有 75 家报纸受到了网络攻击的影响。 Lee企业首次向美国证券交易委员会（SEC）报告网络攻击时，表示由于 “网络安全事件”，公司在 2 月 3 日遭遇了技术故障。其许多出版物的运营受到了影响，包括印刷报纸、订阅账户和内部服务。 在周二向 SEC 提交的更新中，Lee企业没有明确表示遭受了勒索软件攻击，但根据目前的调查，威胁行为者侵入了其网络，加密了关键应用程序并窃取了某些文件，这符合典型的勒索软件攻击特征。 Lee企业正在进行法医分析，以确定是否有个人或敏感信息因黑客攻击而泄露。 “此次事件影响了公司的运营，包括产品分发、账单、收款和供应商付款。我们产品组合中的印刷出版物分发出现了延迟，在线运营也部分受限，” Lee企业向 SEC 表示。 该公司补充说：“截至 2025 年 2 月 12 日，所有核心产品已恢复正常分发节奏，但周报和附属产品尚未恢复。这些产品占公司总运营收入的 5%。公司预计将在未来几周内逐步恢复这些业务。” 这家媒体巨头预计此次事件将产生重大影响，但财务影响的全部范围尚未确定。 SecurityWeek 尚未发现任何已知的勒索软件组织声称对此次攻击负责。 目前尚不清楚Lee企业是否支付了赎金或正在考虑这一选项，但公司指出，它确实拥有一份 “全面的网络安全保险政策，涵盖与事件响应、法医调查、业务中断和监管罚款相关的费用，但需遵守保单限额和免赔额”。   消息来源：Security Week；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： CISA 和 FBI 表示，部署 Ghost 勒索软件的攻击者已经入侵了包括关键基础设施组织在内的多个行业的受害者，涉及超过 70 个国家。 受影响的行业还包括医疗保健、政府、教育、技术、制造业以及众多中小企业。 “从 2021 年初开始，Ghost 攻击者开始攻击那些互联网服务运行过时软件和固件版本的受害者，”CISA、FBI 和多州信息共享与分析中心（MS-ISAC）在周三发布的一份联合公告中表示。 “这种对包含漏洞的网络的无差别攻击已导致超过 70 个国家的组织被攻陷，包括中国的组织。” Ghost 勒索软件运营商经常更换其恶意软件可执行文件，更改加密文件的文件扩展名，修改勒索信内容，并使用多个电子邮件地址进行勒索通信，这导致该组织的归属随时间波动。 与该组织相关的名称包括 Ghost、Cring、Crypt3r、Phantom、Strike、Hello、Wickrme、HsHarada 和 Rapture，其攻击中使用的勒索软件样本包括 Cring.exe、Ghost.exe、ElysiumO.exe 和 Locker.exe。 这个以经济利益为动机的勒索软件组织利用公开可用的代码来利用易受攻击服务器的安全漏洞。他们针对的是 Fortinet（CVE-2018-13379）、ColdFusion（CVE-2010-2861、CVE-2009-3960）和 Exchange（CVE-2021-34473、CVE-2021-34523、CVE-2021-31207）中未修补的漏洞。 为了防御 Ghost 勒索软件攻击，网络安全防御者被建议采取以下措施： 制作定期的异地系统备份，防止被勒索软件加密， 尽快修补操作系统、软件和固件的漏洞， 关注 Ghost 勒索软件针对的安全漏洞（即 CVE-2018-13379、CVE-2010-2861、CVE-2009-3960、CVE-2021-34473、CVE-2021-34523、CVE-2021-31207）， 对网络进行分段，限制从受感染设备的横向移动， 对所有特权账户和电子邮件服务账户强制使用抗网络钓鱼的多因素认证（MFA）。 在 Amigo_A 和 Swisscom 的 CSIRT 团队于 2021 年初首次发现 Ghost 勒索软件后，其运营商开始投放定制的 Mimikatz 样本，随后是 Cobalt Strike 信标，并使用合法的 Windows CertUtil 证书管理器部署勒索软件有效载荷，以绕过安全软件。 除了在 Ghost 勒索软件攻击中用于初始访问外，针对 Fortinet SSL VPN 设备的漏洞 CVE-2018-13379 的国家级黑客组织也被发现进行了攻击。 攻击者还利用同一安全漏洞攻陷了可通过互联网访问的美国选举支持系统。 Fortinet 在 2019 年 8 月、2020 年 7 月、2020 年 11 月和 2021 年 4 月多次警告客户修补其 SSL VPN 设备以应对 CVE-2018-13379。 CISA、FBI 和 MS-ISAC 今天发布的联合公告还包含了与 FBI 调查中识别的先前 Ghost 勒索软件活动相关的妥协指标（IOCs）、战术、技术和程序（TTPs）以及检测方法，这些调查最近一次是在 2025 年 1 月。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 思科公司表示，最近在Kraken勒索软件团伙的泄露网站上发布的文件，涉及的数据来源于三年前的网络攻击。 这些数据，包含一份似乎从思科系统中被窃取的凭证列表，近日出现在Kraken勒索软件团伙的新数据泄露网站上。 思科发言人回应SecurityWeek的询问时表示：“思科已知有关安全事件的报告。报告中提到的事件发生在2022年5月，且我们当时已完全解决了该事件。” 他还表示：“根据我们的调查，事件并未对客户造成任何影响。” 思科曾在2022年8月详细说明了这一网络攻击事件。当时，一个名为Yanluowang的勒索软件团伙将思科列为其泄露网站的受害者，声称窃取了数GB的信息。 该事件被归咎于俄罗斯关联的威胁行为者UNC2447，该团伙以使用FiveHands和HelloKitty勒索软件而闻名。事件还与臭名昭著的Lapsus$黑客团伙有关，该团伙在2022年底解散，原因是两名英国成员被逮捕并定罪，此外，还与Yanluowang团伙有关。 2022年9月，攻击者公开了从思科窃取的文件，思科确认这些数据确实来源于其网络。 就在上周末，其中一部分数据——包括用户名、标识符和密码哈希值——出现在Kraken的泄露网站上，目前该网站总共有六篇相关帖子。 Kraken似乎是HelloKitty勒索软件团伙的重新品牌化，正如泄露网站所提到的，这也解释了为何他们会拥有这些思科的数据。 该团伙多次更换名字，可能是为了通过重提旧有攻击来吸引对新品牌的关注。 消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025年2月12日，Bill Toulas报道——一个名为“Sarcoma”的新型勒索病毒组织近日声称对中国台湾大型印刷电路板（PCB）制造商Unimicron发起了攻击。 黑客发布了他们声称从该公司系统中窃取的文件样本，并威胁如果不支付赎金，将于下周泄露所有数据。 在Sarcoma的泄密网站上，黑客于昨日更新了新的信息，称他们目前掌握着从Unimicron公司窃取的377GB SQL文件和文档。 Unimicron被列入Sarcoma受害者名单 Unimicron是一家公开上市公司，主要生产刚性和柔性印刷电路板（PCB）、高密度互连（HDI）板以及集成电路（IC）载体。 该公司是全球最大的PCB制造商之一，在中国、德国和日本设有工厂和服务中心。其产品广泛应用于LCD显示器、计算机、外设以及智能手机等领域。 Unimicron在台湾证券交易所（TWSE）公告中披露称，2月1日公司遭遇了一次勒索病毒攻击，造成运营中断。 根据公告，该事件发生在1月30日，影响了Unimicron旗下的中国子公司——深圳市友米科技有限公司。 该公司表示，攻击的影响范围有限，并已聘请外部网络取证团队进行事件分析并协助实施防御措施。 然而，Unimicron并未确认是否发生了数据泄露。与此同时，Sarcoma在勒索平台上泄露的样本看起来似乎是真实的。 BleepingComputer已联系Unimicron，要求其就Sarcoma的指控发表更新声明，但尚未得到回复。 Sarcoma勒索病毒于2024年10月首次发动攻击，并迅速成为当月最活跃和高产的勒索病毒团伙之一，声称已攻陷36个受害者。 2024年11月，网络安全专家CYFIRMA警告称：“Sarcoma勒索病毒因其激进的攻击手法和不断增加的受害者数量，正迅速成为一个重大威胁。” 2024年12月，工业网络威胁情报公司Dragos将Sarcoma列为全球工业组织最重要的新兴威胁之一。 RedPiranha的报告提供了关于Sarcoma的更多细节，解释了该组织利用钓鱼邮件和n天漏洞利用手段获得初步访问权限，并且已通过供应链攻击从服务供应商转向其客户。 在渗透成功后，Sarcoma进行RDP利用、横向移动和数据窃取等活动。 然而，虽然该威胁团伙的行动显示出其在该领域的经验，但其具体工具尚未被分析，因此其操作的来源和战术仍未完全解码。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2024年，勒索软件攻击使网络犯罪团伙共获得8.135亿美元的非法收入，相较于2023年的12.5亿美元有所下降。 区块链情报公司Chainalysis指出，2024年上半年的敲诈总金额为4.598亿美元，并表示自2024年7月之后，支付活动减少了约3.94%。 “2024年下半年勒索软件事件数量有所增加，但链上支付却减少了，这表明虽然更多受害者被盯上，但实际支付赎金的人变少了。”该公司说道。 另一个挑战是勒索软件生态系统的日益碎片化。在LockBit和BlackCat倒台之后，许多新入局者涌现，他们放弃了针对大型企业的“狩猎”，转而将目标对准小型至中型企业，这也导致赎金数额要求较低。 根据Coveware公司收集的数据，2024年第四季度的平均勒索软件支付金额为553,959美元，相较于第三季度的479,237美元有所上升。然而，中位数赎金支付金额却从200,000美元降至110,890美元，环比下降了45%。 “支付赎金仍然是那些没有其他办法恢复关键数据的人的最后选择。”该公司表示。 “新旧勒索软件变种的故障解密工具以及对威胁行为者履行承诺能力的日益不信任，都促使受害者除非万不得已，否则不会选择支付赎金。” 赎金支付的减少也与执法部门在打击网络犯罪团伙和加密货币洗钱服务方面取得的越来越多的成功相呼应，这破坏了犯罪行为的经济动机，并提高了进入这一领域的门槛。 尽管如此，2024年也见证了自2021年以来年度勒索软件事件数量的最高值，达到了惊人的5,263次攻击，同比增加了15%。 “工业领域在全球经济中扮演着关键角色，2024年遭受了所有勒索软件攻击的27%（1,424次），比2023年增加了15%。”NCC集团表示。“2024年，超过一半的攻击（55%）发生在北美地区。” 2024年最常见的勒索软件变种包括Akira（11%）、Fog（11%）、RansomHub（8%）、Medusa（5%）、BlackSuit（5%）、BianLian（4%）和Black Basta（4%）。在此期间，独狼行动者占据了8%的市场份额。 最近几个月出现的一些新入局者包括Arcus Media、Cloak、HellCat、Nnice、NotLockBit、WantToCry和Windows Locker。特别是HellCat，被发现采用心理战术来羞辱受害者，迫使他们支付赎金。 “Akira和Fog使用了相同的洗钱方法，这与其他勒索软件变种不同，进一步支持了它们之间存在关联的观点。”Chainalysis说道。 “这两个组织主要专注于利用VPN漏洞，这使他们能够未经授权访问网络，进而部署勒索软件。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员详细披露了一起攻击事件，攻击者利用基于Python的后门程序持续访问受感染终端，随后利用这一访问权限在整个目标网络中部署RansomHub勒索软件。 据GuidePoint Security称，攻击者最初通过一款名为SocGholish（又称FakeUpdates）的JavaScript恶意软件获得访问权限，该软件通过诱骗用户下载假冒的网页浏览器更新进行传播。 此类攻击通常涉及利用黑帽搜索引擎优化（SEO）技术，将受害者重定向到看似合法但已被感染的网站。SocGholish执行后，会与攻击者控制的服务器建立联系，以获取其他有效载荷。 网络安全 去年，SocGholish攻击活动针对依赖过时版本SEO插件（如Yoast（CVE-2024-4984，CVSS评分：6.4）和Rank Math PRO（CVE-2024-3665，CVSS评分：6.4））的WordPress网站进行初步渗透。 在GuidePoint Security调查的事件中，SocGholish感染约20分钟后，基于Python的后门程序被植入。攻击者随后通过RDP会话在局域网内横向移动，将该后门程序传播至同一网络中的其他计算机。 安全研究员Andrew Nelson表示：“该脚本作为反向代理，连接到硬编码的IP地址。脚本通过初始命令与控制（C2）握手后，将建立一个主要基于SOCKS5协议的隧道。” “该隧道允许攻击者利用受害系统作为代理，在受感染网络中横向移动。” 自2023年12月初以来，该Python脚本（ReliaQuest于2024年2月记录了其早期版本）已在野外被检测到，并进行了旨在改进隐匿技术的“表面级更改”。 GuidePoint还指出，解码后的脚本既精致又编写良好，这表明恶意软件作者要么对维护高度可读和可测试的Python代码一丝不苟，要么依赖于人工智能（AI）工具来辅助编码。 Nelson补充道：“除了局部变量隐匿外，代码被分解为具有高度描述性方法名称和变量的不同类。每个方法还具有高度错误处理和详细的调试信息。” 基于Python的后门程序远非勒索软件攻击中检测到的唯一前驱程序。本月早些时候，Halcyon指出，在勒索软件部署之前部署的其他工具包括： 使用EDRSilencer和Backstab禁用端点检测和响应（EDR）解决方案 使用LaZagne窃取凭据 ——使用MailBruter暴力破解凭据以攻击电子邮件账户 ——使用Sirefef和Mediyes维持隐蔽访问并传递其他有效载荷 此外，勒索软件攻击活动还瞄准了亚马逊S3存储桶，利用亚马逊网络服务（AWS）的服务器端加密（客户提供的密钥）（SSE-C）对受害者的数据进行加密。这一活动被归因于名为Codefinger的攻击者。 除了在没有其生成的密钥的情况下阻止恢复外，这些攻击还采用紧急勒索策略，通过S3对象生命周期管理API将文件标记为在七天内删除，以迫使受害者付款。 网络安全 Halcyon表示：“Codefinger滥用已公开的具有S3对象读写权限的AWS密钥。通过利用AWS原生服务，他们在无需合作的情况下实现了既安全又无法恢复的加密。” 与此同时，SlashNext表示，其见证了模仿Black Basta勒索软件团伙电子邮件轰炸技术的“快速”钓鱼活动激增，向受害者收件箱发送超过1100封与新闻通讯或付款通知相关的合法邮件。 该公司称：“当人们感到不知所措时，攻击者会通过电话或Microsoft Teams消息乘虚而入，冒充公司技术支持人员提供简单解决方案。” “他们自信地交谈以获得信任，指示用户安装TeamViewer或AnyDesk等远程访问软件。一旦软件安装在设备上，攻击者便悄然潜入。从那里，他们可以传播有害程序或潜入网络的其他区域，为直接访问敏感数据铺平道路。”

HackerNews 编译，转载请注明出处： 非营利性献血机构OneBlood证实，去年夏天的一次勒索软件攻击中，捐赠者的个人信息被盗。 OneBlood于2024年7月31日首次向公众通报此次攻击，指出勒索软件攻击者对其虚拟机进行了加密，迫使这家医疗机构回退到使用手动流程。 OneBlood为美国250多家医院提供血液，此次攻击导致血液采集、检测和分发工作延误，一些诊所启动了“严重血液短缺”预案。 当时，这家非营利机构紧急呼吁民众捐赠O型阳性、O型阴性和血小板，这些血型普遍适用，可用于紧急输血。 上周，OneBlood开始向受影响的个人发送数据泄露通知，告知他们针对此事件的调查已于2024年12月12日完成，并确定泄露的确切日期为2024年7月14日。 威胁者在OneBlood发现泄露后的一天，即7月29日之前，一直可以访问其网络。 “我们的调查显示，2024年7月14日至7月29日期间，我们的网络中某些文件和文件夹被未经授权地复制。”OneBlood的数据泄露通知中写道。 “调查确定，您的姓名和社保号码包含在相关文件和文件夹中。”同一份文件指出。 虽然采血中心通常会收集更多信息，如电话号码、电子邮件和实体地址、人口统计数据和病史，但此次泄露的数据仅限于姓名和社保号码。 姓名和社保号码可能会被用于身份盗窃和金融欺诈，由于这些信息不易更改，相关风险将持续多年。 为减轻这一风险，OneBlood在信中附上了免费一年期信用监测服务的激活码，通知收件人需在2025年4月9日前使用。 此外，受影响个人应考虑对其账户进行信用冻结和欺诈警报设置，以防止遭受经济损失。 虽然OneBlood确实遵守了其最初承诺，即告知受影响个人可能存在的数据泄露风险，但六个月的延迟通知仍使这些人处于风险之中。 OneBlood在勒索软件攻击中受影响的人数尚未披露。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一种新的勒索软件活动正在利用亚马逊AWS的客户提供的密钥服务器端加密（SSE-C）功能加密S3存储桶，只有威胁行为者才知道解密密钥，并要求支付赎金以获取该密钥。 这一活动由Halcyon发现，据其报告，名为“Codefinger”的威胁行为者已至少对两名受害者进行了加密。然而，该行动可能会升级，或者很快会有更多威胁行为者采用这一战术。 亚马逊简单存储服务（S3）是亚马逊云服务（AWS）提供的一种可扩展、安全且高速的对象存储服务，而S3存储桶是用于存储文件、数据备份、媒体、日志等的云存储容器。 SSE-C是一种加密选项，用于确保S3静态数据的安全，允许客户使用自己的加密密钥，通过AES-256算法对数据进行加密和解密。AWS不存储该密钥，客户负责生成、管理和保护密钥。 在Codefinger的攻击中，威胁行为者使用被破解的AWS凭证，利用具有“s3:GetObject”和“s3:PutObject”权限的受害者密钥，定位到S3存储桶中的对象进行SSE-C加密。 然后，攻击者在本地生成一个加密密钥，对目标数据进行加密。 由于AWS不存储这些加密密钥，因此即使受害者向亚马逊报告了未经授权的活动，也无法在没有攻击者密钥的情况下恢复数据。 Halcyon解释道：“通过利用AWS原生服务，他们在不合作的情况下实现了既安全又无法恢复数据的加密。” 接下来，攻击者使用S3对象生命周期管理API设置了一个七天的文件删除策略，并在所有受影响的目录中放置了勒索信，指示受害者在给定的比特币地址上支付赎金以换取自定义的AES-256密钥。 勒索信还警告受害者，如果他们尝试更改账户权限或修改存储桶中的文件，攻击者将单方面终止谈判，使受害者无法恢复其数据。 Halcyon已将其发现报告给亚马逊，云服务提供商表示，他们会尽力及时通知密钥已泄露的客户，以便他们立即采取行动。 亚马逊还鼓励人们实施严格的安全协议，并按照以下步骤快速解决未经授权的AWS账户活动问题。 Halcyon还建议AWS客户设置限制性策略，以防止在其S3存储桶中使用SSE-C。 关于AWS密钥，应禁用未使用的密钥，频繁轮换活跃的密钥，并将账户权限保持在所需的最低级别。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员揭示了一个新兴的人工智能（AI）辅助勒索软件家族——FunkSec，该家族于2024年末崭露头角，至今已造成85名以上受害者。 Check Point Research在与The Hacker News分享的最新报告中指出：“该团伙采用双重勒索战术，结合数据窃取与加密手段，向受害者施压以索取赎金。值得注意的是，FunkSec要求的赎金异常低廉，有时低至1万美元，并以折扣价将窃取的数据出售给第三方。” 2024年12月，FunkSec推出了数据泄露网站（DLS），以“集中化”其勒索软件运营，发布泄露公告，提供分布式拒绝服务（DDoS）攻击定制工具，并作为勒索软件即服务（RaaS）模式的一部分，推出定制勒索软件。 受害者主要分布在美国、印度、意大利、巴西、以色列、西班牙和蒙古国。Check Point对该团伙活动的分析显示，这可能是由寻求通过再利用先前黑客活动相关泄露信息来吸引名声的新手所为。 据Halcyon称，FunkSec的特点在于，它既是勒索软件团伙，又是数据掮客，以1000至5000美元的价格向感兴趣的买家兜售窃取的数据。 已确定该RaaS团伙中的部分成员从事黑客活动，这凸显了黑客主义与网络犯罪之间界限的持续模糊，正如国家行为体和有组织网络犯罪分子日益展现出“战术、技术和甚至目标方面令人不安的趋同”一样。 他们还声称以印度和美国为目标，与“自由巴勒斯坦”运动保持一致，并试图与现已不存在的黑客实体如Ghost Algeria和Cyb3r Fl00d建立联系。以下是与FunkSec相关的一些显著人物： Scorpion（又名DesertStorm），一名疑似来自阿尔及利亚的参与者，曾在地下论坛如Breached Forum上宣传该团伙。 El_farado，在DesertStorm被Breached Forum封禁后，成为宣传FunkSec的主要人物。 XTN，一名可能的同伙，参与了一项尚不清楚的“数据分类”服务。 Blako，被DesertStorm与El_farado一同标记。 Bjorka，一名印尼知名黑客活动分子，其别名被用于在DarkForums上声称与FunkSec相关的泄露，这可能指向松散的隶属关系或他们试图冒充FunkSec。 该团伙可能也涉足黑客活动的迹象体现在存在DDoS攻击工具以及与远程桌面管理（JQRAXY_HVNC）和密码生成（funkgenerate）相关的工具。 Check Point指出：“包括加密器在内的该团伙工具的开发可能得到了AI的辅助，这有助于他们快速迭代，尽管开发者显然缺乏技术专长。” 名为FunkSec V1.5的最新勒索软件版本用Rust编写，相关文件是从阿尔及利亚上传到VirusTotal平台的。对旧版本恶意软件的检查发现，勒索软件说明中提到了FunkLocker和Ghost Algeria。这些样本大多是从阿尔及利亚上传的，可能是开发者本人所为，这表明威胁行为者来自该国。 勒索软件二进制文件被配置为递归遍历所有目录并加密目标文件，但在提升权限、采取措施禁用安全控制、删除卷影复制备份以及终止硬编码的进程和服务列表之前不会这样做。 Check Point Research威胁情报小组经理Sergey Shykevich在一份声明中表示：“2024年是勒索软件团伙非常成功的一年，与此同时，全球冲突也助长了不同黑客团体的活动。FunkSec是最近涌现的一个新团伙，在12月成为最活跃的勒索软件团伙，模糊了黑客主义与网络犯罪之间的界限。受政治议程和财务激励的双重驱使，FunkSec利用AI并重新利用旧的数据泄露来建立一个新的勒索软件品牌，尽管其活动的真正成功性仍高度可疑。” 与此同时，Forescout详细描述了Hunters International的一次攻击，该攻击可能利用Oracle WebLogic Server作为初始入口点，投放China Chopper web shell，然后用于执行一系列后利用活动，最终导致勒索软件的部署。 Forescout表示：“在获得访问权限后，攻击者进行了侦察和横向移动，以绘制网络地图并提升权限。攻击者使用了多种常见的行政和红队工具进行横向移动。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文