HackerNews 编译，转载请注明出处： 某勒索软件组织宣称从迪拜最负盛名的医院之一窃取了4.5亿条患者记录，并威胁将公开泄露这些数据。 6月4日，该组织在其暗网泄露站点更新声明，声称已从迪拜美国医院（AHD）窃取敏感数据，影响患者记录高达4.5亿条。 “我们已从AHD转储海量数据，即将追加其财务数据。请持续关注本网站，”声明采用常见施压手段逼迫医院就范。该组织威胁将于6月8日公开泄露被盗数据。截至发稿时，涉事医院尚未回应置评请求。 作为该地区最负盛名的私立医疗机构，迪拜美国医院成立于1996年，隶属Mohamed & Obaid Al Mulla集团。这家拥有254张床位的急症护理机构位于迪拜Oud Metha区，提供超过40个专科的医疗服务，以医疗创新著称（包括1800多例使用达芬奇Xi手术系统的机器人手术）。 失窃数据类型 攻击者宣称窃取未压缩总量达4TB的数据，包括： 个人资料与人口统计数据 信用卡号 账单历史记录 阿联酋身份证号 含健康状况和治疗方案的临床记录 尽管攻击者声称包含患者数据，但实际核查的样本数据主要涉及财务内容，涵盖医院内部财务报告、工资单及账单记录等文件。若其宣称属实，此次泄露将引发严重的隐私与监管风险——尤其在网络安全法规严格的地区涉及财务及国民身份证数据。 Gunra勒索软件背景 Gunra是勒索软件领域的新兴威胁组织，2025年4月首次出现后已累计攻击12个目标。该组织以房地产、制药和制造业为攻击目标，采用双重勒索策略（威胁泄露数据+加密文件）谋取经济利益。入侵系统后，该软件会快速加密文件并添加“.ENCRT”扩展名，同时在每个目录留下勒索信，详细说明付款及数据恢复步骤。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

一、组织概述 （一）组织背景 Hunters International勒索组织最早于2023年10月进入大众视野，以RaaS（勒索软件即服务）模式运作。自发布以来，该组织的攻击活动已遍布至教育、医疗、金融、制造等各个行业，影响范围覆盖全球各个地区。 从起源上，Hunters International是一款基于老牌勒索软件Hive源码改进的新型勒索软件。该勒索软件以其复杂的加密算法和加密策略而闻名，这也是它能在短时间内成功实施多起勒索攻击的重要原因。 Hunters International声称其源码来自于Hive Hunters International擅长通过供应链攻击、应用程序漏洞来获取初始访问权限，并部署如Cobalt Strike、SharpRhino等远控工具，最终传播勒索软件，加密和窃取数据。此外，该组织重视保密性，严格管控信息，保证其行动的隐蔽性。近期，Hunters International勒索组织日渐猖獗，使其在网络犯罪领域迅速崭露头角，强势威胁全球网络安全。 Hunters International数据泄露站点 作为典型的双重勒索组织，Hunters International对外宣称其主要目的是数据泄露，以此施压受害者，要求他们支付赎金，上图展示了该组织的数据泄露站点。 （二）攻击活动统计 根据公开数据统计，2024年初至今，Hunters International组织已成功发起163次勒索攻击。从下图可知，该组织近期攻击活动较为频繁。 各月攻击次数(注：统计日期截止2024/09/13) 从受害者国家分布来看，Hunters International组织的主要目标是美国，其中欧洲、亚洲一些国家也遭遇数次攻击，其中，中国占比3%左右。 受害者国家分布 从受害者所在行业分布来看，该组织针对的行业没有明显的倾向性，其中，以制造业和信息技术行业为主，占比分别为30.6%和9.8%。 受害者行业分布 二、样本分析 今年8月，国外研究机构披露，Hunters International勒索组织利用一种新型C#远控木马SharpRhino对IT人员进行网络钓鱼，从而入侵企业内网，最终实施勒索攻击。SharpRhino能够实现从初始感染、提权、执行 PowerShell命令到最终部署勒索软件等一系列恶意行为，本文针对该事件涉及的样本进行详细分析。 （一）SharpRhino远控木马 Hunters International组织投递远控木马SharpRhino的完整流程如下图所示： SharpRhino远控木马通过捆绑合法工具ipscan进行传播，母体样本ipscan为NSIS安装程序，解压后包含如下文件： 当双击ipscan安装程序，7za.exe程序被触发，调用7za.dll对UpdateFull.7z解压，解压后的文件被释放到C:\ProgramData\Microsoft\WindowsUpdate24、C:\ProgramData\Microsoft\ LogUpdateWindows两个目录下，如下图： 其中，LogUpdate.bat和WindowsUpdate.bat两者功能相似，Kautix2aeX.t和Wiaphoh7um.t相似。Microsoft.AnyKey为快捷方式文件，指向了LogUpdate.bat脚本文件。 LogUpdate.bat为批处理脚本，用来启动PowerShell脚本文件Wiaphoh7um.t。 Wiaphoh7um.t为PowerShell脚本文件，该脚本主要有两个功能： 解密出经过高度混淆的SharpRhino木马的C#源代码； 将SharpRhino源码编译加载到内存，将C2、加密密钥、延时时间传递给函数HPlu()并执行； SharpRhino为最终的远控木马，具体信息如下表： SharpRhino运行之后，首先会生成随机16个字节的ClientID ，并收集系统信息。 然后通过http与服务器进行连接，并发送上线数据包。数据包为json格式，分为三个字段“UUID”，“ID”，“Data”。首次向服务器发送数据时“UUID”的值为null，“ID”为 ClientID，“Data”为收集的系统信息。接着将数据包通过RC4加密、base64编码后发送至C2服务器： cdn-server-2.wesoc40288.workers.dev。 捕获到的上线包数据流量如下： 发送数据包之后，客户端接收服务器的响应，解析出相应指令并执行：服务器返回指令共有三种情况： delay：延迟一定时间后再次向服务器发送http请求 exit：直接退出程序 PowerShell：执行任意PowerShell命令 为了更详细的分析控制端与客户端的通信行为，我们手动构造PowerShell命令来模拟两者交互过程。以打开计算器应用为例，构造的控制端向客户端发送指令的流量如下图： 下图展示了数据包被解密后，客户端成功打开了计算器。 （二）Hunters International勒索软件 该勒索软件需要提供“-c 用户名:密码”才能执行，该用户名和密码用于受害者登录泄露网站查看信息，最后保存在勒索信中提供给受害者。 勒索软件在执行过程中会在控制台中输出文件加密操作的过程信息，执行完成后会在每个加密的文件夹中留下一封勒索信文件并自动用记事本打开，加密后的文件通常被加上“.locked”后缀。对比早期的版本（2024.03），近期的版本（2024.07）在加密过程信息输出和勒索信内容方面进行了更新。 新版本在控制台输出中增加了进度条、I/O速率、当前执行的任务等信息。 勒索信方面，文件名和内容都进行了更新，早期版本文件名为“Contact us.txt”,近期更新为“READ ME NOW!.txt”。 该勒索软件执行后首先检查解析命令行参数，如果没有提供参数，当前执行立即终止。现整理部分参数如下： 参数项 描述 -c 指定用户名密码，格式为“user:password”，必选参数 -t/-threads/–threads 加密线程数量，默认为10 -R/-no-remote/–no-remote 不加密远程共享文件 -k/-kill/–kill 要杀死的进程 -s/-skip/–skip 跳过不加密的文件 -E/-no-erase/–no-erase 不擦除磁盘空间 -X/-no-extension/–no-extension 不给加密后文件添加后缀 -w/-wait/–wait 等待一段时间后加密 该勒索软件中使用的字符串都被单独移位+异或加密保存，使用时移位+异或解密后拼接恢复。 解析完命令行参数后，程序会创建一个线程池来进行后续的多线程的文件加密操作，在加密文件前，该程序会执行以下命令来删除卷影以阻止备份和恢复 exe delete shadows /all /quiet exe shadowcopy delete exe delete systemstatebackup exe delete catalog-quiet exe /set {default} recoveryenabled No exe /set {default} bootstatuspolicy ignoreallfailures exe delete systemstatebackup -keepVersion:3 停止包含以下列表中名称的服务和进程，防止文件被占用无法加密。 agntsvc, backup , dbeng50, dbsnmp, encsvc, excel, firefox, infopath, isqlplussvc, memtas, mepocs, msaccess, msexchange, msmq, mspub, mssql, mydesktopqos, mydesktopservice, mysql, notepad, ocautoupds, ocomm, ocssd, onenote, oracle, outlook, powerpnt, sap, sqbcoreservice, sql, steam, svc$, synctime, tbirdconfig, thebat, thunderbird, veeam, visio, vmm, vmwp, vss, winword, wordpad, xfssvccon 枚举网络中存在的主机： 遍历本地磁盘驱动器类型，以区分本地和网络共享磁盘。 然后开始分别扫描本地文件，和网络共享文件，添加到不同的待加密文件列表中使用不同的线程分开加密。 文件加密过程中，该程序会跳过以下的文件名、文件目录名及文件后缀。 跳过的文件名： READ ME NOW!.txt, autorun.inf, bootfont.bin, boot.ini, bootsect.bak, desktop.ini, iconcache.db, ntldr, NTUSER.DAT, NTUSER.DAT.LOG, Ntuser.ini, thumbs.db 跳过的文件目录名： Windows, Program Files, Program Files (x86), Program Data, $Recycle.Bin, All Users, Default, Google, System Volume Information, Boot, Intel, Internet Explorer, PerfLogs 跳过的文件后缀名： 386, adv, ani, bat, bin, cab, cmd, com, cpl, cur, deskthemepack, diagcab, diagcfg, diagpkg, dll, drv, exe, hlp, hta, icl, icns, ico, ics, idx, key, ldf, lnk, lock, mod, mpa, msc, msi, msp, msstyles, msu, nls, nomedia, ocx, pdb, prf, ps1, rom, rtp, scr, shs, spl, sys, theme, themepack, tmp, wpx 该勒索软件使用 AES 算法来加密文件内容，加密密钥由BCryptGenRandom()函数生成的随机数组成，加密逻辑使用 AES 硬件指令集实现。为了保护加密密钥和便于解密，该样本使用 RSA-OAEP来加密AES密钥并保存在被加密文件尾部。 加密过程完成后，该勒索软件会在每个磁盘驱动器上创建一个“buffer.swp”文件，并不断写入 16384字节的随机数据，直到磁盘上没有可用空间，最后再删除该文件，以此来覆盖硬盘数据，防止从硬盘中恢复文件。 三、ATT&CK 下表总结了Hunters International 勒索软件的ATT&CK矩阵攻击链。 四、新华三防护方案 新华三聆风实验室将持续跟踪Hunters International组织最新勒索攻击活动。目前，新华三威胁情报特征库已支持相关IOC检测，病毒特征库支持相关样本检测，新华三AIFW及AI SOC平台均支持该检测，请及时升级更新。 五、IOC angryip[.]org angryipsca[.]com cdn-server-1[.]xiren77418[.]workers[.]dev cdn-server-2[.]wesoc40288[.]workers[.]dev ec2-3-145-180-193.us-east-2.compute[.]amazonaws[.]com ec2-3-145-172-86.us-east-2.compute[.]amazonaws[.]com d2e7729c64c0dac2309916ce95f6a8253ca7f3c7a2b92b452e7cfb69a601fbf6 3f1443be65525bd71d13341017e469c3e124e6f06b09ae4da67fdeaa6b6c381f 9a8967e9e5ed4ed99874bfed58dea8fa7d12c53f7521370b8476d8783ebe5021 b57ec2ea899a92598e8ea492945f8f834dd9911cff425abf6d48c660e747d722 09b5e780227caa97a042be17450ead0242fd7f58f513158e26678c811d67e264 c4d39db132b92514085fe269db90511484b7abe4620286f6b0a30aa475f64c3e94b6cf6c30f525614672a94b8b9788b46cbe061f89ccbb994507406404e027af 24de8de24001bc358c58aa946a28c545aaf9657b66bd5383c2d5a341c5d3c355 1fcb1e861fc7219d080430388630b438c2de7f09272cfa32799bb51aa6083c47     转自FreeBuf，原文链接：https://www.freebuf.com/news/412262.html 封面来源于网络，如有侵权请联系删除

近日，一个名为RA group的新勒索软件组织进入人们的视野，该网络犯罪团伙自2023年4月22日起就已经开始有所“行动”，目前仍在迅速扩大其勒索活动的范围。 安全研究员Chetan Raghuprasad在与the Hacker News分享的一份报告中提到：到目前为止，该组织已经入侵了美国的三个组织和韩国的一个组织，涉及制造业、财富管理、保险提供商和制药等多个垂直行业。 RA勒索组织运营着一个信息泄露网站，他们向受害者进行双重勒索攻击，迫使他们支付赎金。 Raghuprasad解释称：RA集团使用的是定制赎金笔记，其中包括受害者的名字和下载泄露证据的唯一链接。如果受害者在三天内未与该组织联系，那他们就会直接泄露受害者的信息。 此外，该组织还采取了一些措施以避免通过硬编码列表加密系统文件和文件夹，从而允许受害者下载qTox聊天应用程序。受害者可通过赎金通知上提供的qTox ID与该组织取得联系。 RA Group与其他勒索软件的不同之处在于，他们会将信息托管在安全的TOR站点上，然后直接在他们的泄漏网站上出售受害者的泄露数据。 大约一周前，SentinelOne表示，现在有很多威胁行为者通过Babuk勒索软件代码开发出了十几种能够针对Linux系统的“衍生品”。同时，也有越来越多的黑客开始使用Babuk构建器来开发ESXi和Linux勒索软件，这已然成为了一个明显的趋势。 在过去一年中，采用Babuk源代码的其他勒索软件参与者还包括了AstraLocker和Nokoyawa。Cheerscrypt是另一种基于Babuk的勒索软件。此外，还有另外两种代号为Rancoz和BlackSuit的新型勒索软件，后者专门针对Windows和VMware ESXi服务器。 Cyble表示：这些不断更新升级的勒索软件，从侧面透露出了目前的威胁行为者们已经是一批具备先进的专业技能和敏捷性的人，他们都熟知目前各国实施的网络安全措施，且能够站在这些政策的对立面，定制“专属”勒索软件。 转自 Freebuf，原文链接：https://www.freebuf.com/news/366566.html 封面来源于网络，如有侵权请联系删除

近日，Hive勒索组织对外公布了其在11月份对法国体育零售商Intersport的攻击中获得的客户数据。 这个臭名昭著的勒索组织周一在其暗网泄露网站上发布了一批Intersport数据，并威胁说除非零售商支付勒索费，否则将泄露更多数据。 据法国《世界报》报道，黑客攻击包括法国北部商店的Intersport员工的护照信息、他们的工资单、其他商店的离职和在职员工名单，以及社会保险号码。 La Voix Du Nord报道说，黑客攻击发生在 “黑色星期五 “销售期间，使员工无法进入收银系统，迫使商店进行人工操作。 美国联邦政府在11月底表示，Hive已经袭击了全球1300多家公司，收取了约1亿美元的赎金。该组织使用各种方法来获得访问权，利用缺乏多因素认证的目标，访问远程桌面协议、VPN或其他远程网络连接协议。 同时也有利用含有恶意附件的钓鱼邮件，利用Microosft Exchange服务器的漏洞。绕过了多因素认证，通过利用CVE-2020-12812（Fortinet操作系统中现已修补的不当认证漏洞）获得了对FortiOS服务器的访问。 此次攻击正是通过这些途径导致该零售商员工数据泄露。Intersport是一家瑞士公司在全球有5800家分店，其中780家位于法国。目前该公司对此事还没有做出任何回应。   转自 Freebuf，原文链接：https://www.freebuf.com/news/351975.html 封面来源于网络，如有侵权请联系删除

据BleepingComputer 10月22日消息，两个名为TommyLeaks和SchoolBoys的新网络勒索组织正把攻击目标瞄准全球多家公司，但经过调查，背后是系同一团伙所为。 9月，安全研究员 MalwareHunterTeam 率先在推特上发布 了一个名为TommyLeaks的新勒索组织。该组织通过侵入破坏公司网络窃取数据，并索要赎金。BleepingComputer 了解到的赎金要求从 40 万美元到 70 万美元不等。 而本月，MalwareHunterTeam 声称发现 了另一个名为SchoolBoys Ransomware Gang的勒索组织，该组织将窃取数据并加密受害者设备作为勒索攻击的一部分。BleepingComputer 后来发现了一个 SchoolBoys 勒索软件加密器样本，并确认它由泄露的 LockBit 3.0 构建器创建。 虽然这两个组织没有公开数据泄露站点，但他们都使用相同的 Tor 聊天系统作为谈判网站，且该聊天系统以前只被卡拉库特勒索小组使用过，这不得不让人怀疑二者背后存在关联。 TommyLeaks与SchoolBoys使用相似的赎金谈判网站入口 就在上周，BleepingComputer证实，TommyLeaks 和 SchoolBoys Ransomware Gang 实际上就是同组织。在与BleepingComputer 共享的 SchoolBoys 信息中，该组织将受害者称为TommyLeaks，试图强迫受害者支付赎金。 虽然目前尚不清楚他们为何在运营中使用两个不同的名称，但这一做法与之前Conti 使用Karakurt这一马甲名称相类似。今年年初，AdvIntel 首席执行官 Vitali Kremez 向BleepingComputer透露，当 Conti 的勒索软件加密器在攻击中被阻止时，攻击者会使用 Karakurt继续进行攻击。 转自 Freebuf，原文链接：https://www.freebuf.com/news/347695.html 封面来源于网络，如有侵权请联系删除

Conti堪称史上最能卷的网络勒索组织之一，并且其内部组织性非常强，管理制度严格，这也是他能卷到飞起的原因之一。该组织最辉煌的成绩是，在一个月左右的时间里，疯狂地攻击了40多家企业。 网络安全公司 Group-IB研究人员将这一行动命名为“ARMattack”，并表示这是Conti发起的最有成效和效率的勒索活动。 卷上天的ARMattack行动 近日，网络安全公司 Group-IB 发布了一份关于“Conti勒索组织”的报告，报告披露了该组织卷上天的ARMattack行动发生在去年，具体时间是2021年11月17日至12月20日。Group-IB研究人员在事件应急响应活动中发现，该组织在上述时间内发动了疯狂的网络攻击。研究人员基于该组织已经暴露的基础设施域名，将这一行动命名为ARMattack。 ARMattack行动共攻击了40多家不同领域的企业，这些企业分布在不同地理区域广泛开展业务（如下图所示）。他们有一个共同点——大多都是位于美国，Conti勒索组织的针对性十分明显。 ARMattack行动目标企业地理分布图 Group-IB公司的发言人表示，ARMattack行动的速度令人惊讶，这在网络攻击史上也属于少数。尽管 Conti 泄密网站随即就发布了这40多家企业被窃取的数据，但是目前尚不清楚这些企业是否都已经按照要求支付了赎金。 根据 Group-IB报告公布的数据，Conti最短的一个勒索攻击仅仅只用了三天，就完成了从最初的访问到加密企业的系统。 Group-IB报告指出，Conti勒索组织在获得公司基础设施的访问权后，攻击者会将会泄露特定的文件（通常是为了勒索组织）并寻找包含密码（明文和加密）的文件。最后，在获得所有必要的权限以及有价值设备的访问权限后，攻击者就会将勒索软件部署到所有设备并运行。 每天工作长达14个小时 事实上，Group-IB试图通过从公共渠道收集的数据，包括Conti勒索组织泄露的内部聊天记录，来分析其内部成员工的工作时间。据Group-IB研究人员称，Conti 成员每天活动大约 14 小时，除新年外，他们几乎一直在活动，堪称是勒索界最能卷的勒索组织了，这也是他们能够发动ARMattack行动的原因。 连勒索组织都已经这么卷了，安全行业的压力有多大可想而知，只能被迫跟着卷起来，难怪此前有报告称45%的高管和高级安全从业人员因压力大而考虑退出该行业。 该勒索组织一般在中午（莫斯科时间）开始活动，大概在晚上9点之后撤退，其成员分散在多个时区之内，这意味着组织成员广泛分布在多个区域。同时研究人员还强调，该组织内部功能十分完善，基本和正常的企业没什么区别，包括寻找目标、研发、基础设施运维、提供技术支持等人员，内部分工十分明确。 Conti勒索组织有着强大的实力，包括可以监控 Windows 更新和分析新补丁的变化，发现可用于攻击的零日漏洞，以及利用新披露的安全漏洞。对此，Group-IB恶意软件分析团队负责人表示，不断增加的勒索活动和泄露的数据都在表明，Conti勒索组织不是一个普通的恶意软件开发者，而是一个完整的RaaS产业链，为全球数千名具有各种专业知识的网络攻击者提供各种支持，并和他们分享收益。 2022最能勒索的组织之一 根据2022年第一季度收集的勒索数据来看，Conti是攻击频率排名前三的勒索组织，其成绩仅次于臭名昭著的LockBit勒索组织。 根据从 2022 年第一季度收集的数据，Conti 目前是攻击频率排名前三的勒索软件团伙之一，今年仅次于 LockBit。 资料显示，Conti勒索组织首次被发现于2019年12月下旬，据Group-IB表示，其恶意软件的初始测试版本已被追踪到 2019 年 11 月。自被发现以来，遭遇Conti勒索组织攻击但未支付赎金，因此被其公布数据的企业已经增加到859家。这意味着，平均每个月Conti勒索组织都会公布35家以上未支付赎金企业的数据。 近年来，Conti勒索组织十分猖獗，其危害性和趋利性在目前已知的勒索组织排在前列。根据英国、美国和澳大利亚网络安全机构联合发布的调查报告数据，2021年，Conti勒索组织共获得赎金约1.8亿美元，排名第一，独占2021勒索赎金总金额的三分一。（具体可点击暴富、反水、围剿… …Conti勒索组织魔幻的2021年） 2022年5月，Conti勒索组织还对哥斯达黎加多个政府部门发起大规模网络攻击，哥总统总统罗德里戈·查韦斯因此下达了全国进入紧急状态的命令。而上一次下达该命令还是在2020年新冠疫情席卷全球的时候。Conti勒索组织的危害性可见一斑。 尽管Conti勒索组织经历了内部员工反水，并泄露了内部聊天记录、源代码和部分基础设施，但是该组织并未因此出现崩溃的迹象，依旧十分活跃。而通过加强与其他勒索软件运营商的合作，以及收购TrickBot 等网络犯罪组织，Conti还在不断扩大攻击行动，竟呈现出逐渐变强的趋势。目前，Conti已经成为全球的毒瘤之一，尽管美国对其组织成员开出了天价悬赏，但依旧没能阻止其继续发展。     转自 Freebuf，原文链接：https://www.freebuf.com/news/337170.html 封面来源于网络，如有侵权请联系删除