HackerNews 编译，转载请注明出处： 美国司法部本周宣布，两名美国网络安全行业从业者，已就其参与BlackCat（又名Alphv） 勒索软件攻击 相关指控认罪。 去年 10 月，美方曾指控三名人员针对多家美国本土企业实施勒索软件攻击。其中两名嫌疑人分别为来自得克萨斯州、36 岁的凯文・马丁，以及一名未公开身份的人士 —— 二人此前均在威胁情报与事件响应公司数字明特担任勒索软件谈判专员。第三名嫌疑人是来自佐治亚州、40 岁的瑞安・戈德堡，他曾任职于网络安全企业赛格尼娅，担任事件响应经理。 美方指控这三人非法入侵多家企业系统，窃取核心机密信息，并投放BlackCat勒索软件。 据司法部对该犯罪团伙运作模式的描述，这三名嫌疑人实为BlackCat勒索软件的附属成员。他们会将从受害者处获取的赎金抽取 20%，上缴给该勒索软件运营组织的管理者，以此换取文件加密恶意软件的使用权，以及专用敲诈勒索管理平台的访问权限。 司法部透露，三人曾从一名受害者处，通过比特币收取了 120 万美元赎金。 戈德堡与马丁均承认犯有敲诈勒索共谋罪—— 二人利用勒索软件瘫痪企业运营，以此实施敲诈。他们或将面临最高 20 年监禁，案件量刑听证会定于 2026 年 3 月 12 日举行。 2021 年 11 月至 2023 年 12 月期间，执法部门开展专项行动瓦解了该网络犯罪团伙，而在此期间，BlackCat勒索软件运营组织已针对超 1000 家机构发起攻击。该团伙并未就此销声匿迹，而是继续活动数月之久，直至从全康医疗处榨取 2200 万美元赎金后，才以 “跑路骗局” 的方式彻底收手。 自 2024 年初起，美国政府已悬赏 1000 万美元，征集与BlackCat 勒索软件团伙核心成员有关的线索，但截至目前，尚未公布相关抓捕指控进展。 值得注意的是，就在戈德堡与马丁认罪消息公布的数天前，乌克兰籍人士阿尔乔姆・斯特里扎克，也已在美国一家法院就其涅斐勒姆”勒索软件附属成员 的相关指控认罪。 消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

五角大楼证实，与执法部门合作调查指控黑客组织ALPHV（又名BlackCat）窃取了涉及美国武装部队的敏感数据文件。该组织威胁将公布从弗吉尼亚州IT公司Technica窃取的300GB数据。 Technica 尚未回应置评请求，但黑客表示，该公司的黑客攻击使他们能够获取与国防反情报和安全局相关的信息，该局已经进行了各种安全许可检查。 五角大楼发言人苏·高夫表示，目前正在与执法部门协调，但拒绝就具体安全事件发表评论。 与此同时，为了支持他们的说法，ALPHV 发布了被盗文件的屏幕截图，其中包含数十人的姓名、社会安全号码、安全许可和就业地点，以及与各个政府机构和私人承包商的发票和合同。该组织威胁称，除非 Technica 联系他们，否则将出售或公开这些数据。 ALPHV 采用RaaS模型运行，自成立以来已发起了一千多次网络攻击。美国司法部将该组织描述为世界第二大勒索团伙（ LockBit 排名第一 ）。 ALPHV 最引人注目的攻击是去年 9 月针对米高梅度假村和凯撒娱乐公司的勒索行为 。尽管 FBI 声称已于 12 月封锁了该组织的网络基础设施，但 ALPHV 表示已恢复对其资源的访问，并取消了针对美国政府和军事企业的攻击限制。   转自安全客，原文链接：https://www.anquanke.com/post/id/293090 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 臭名昭著的勒索软件组织 BlackCat/Alphv 的官方网站已经离线好几天了，据信是执法部门关闭的。 自12月7日以来，位于 Tor 的 BlackCat/Alphv 泄露网站一直无法访问。威胁情报公司 RedSense 第二天报告称，该网站已被执法部门关闭。 在周日的更新中，该公司表示，“RedSense 首席研究官 Yelisey Bohuslavkiy 证实，包括 BlackCat 附属公司和初始访问经纪人在内的黑客确信关闭是由执法行动造成的。”另外，该公司补充说：“与 AlphV 直接相关的顶级组织的其他勒索软件领导层也证实了这一点，特别是 Royal/BlackSuit、BlackBasta、LockBit 和 Akira 的管理员和团队负责人。” RedSense 还了解到，网络犯罪分子预计一切都会很快恢复，这表明对其运营和基础设施的影响有限。 截止发稿，BlackCat 网站已经关闭了四天。SOC 公司 ReliaQuest 指出，该集团的网站确实存在连接问题和中断的历史，然而，这似乎是一个最长的停机时间。 目前还没有执法机构公布针对 BlackCat 的行动信息。 在2023年1月关闭Hive勒索软件后，BlackCat 表示，这不会对其运营造成影响。 根据思科Talos最近的一份年度回顾报告，BlackCat 是今年第二活跃的黑客组织，仅次于LockBit。BlackFog 11月份的一份勒索软件报告显示，上个月BlackCat 和 LockBit 一样活跃。 BlackCat 背后的运营者似乎会说俄语，该公司于 2021 年底以勒索软件即服务的形式出现，提供高达90%的赎金，以吸引附属机构。据说，BlackCat 的许多开发人员和洗钱者都与现已不存在的 Darkside/BlackMatter 勒索软件有关。 ReliaQuest 表示，该勒索软件的泄密网站在关闭前列出了 650 多名受害者。受害者包括 Reddit、西部数据、瑞士体育、米高梅度假村和 NCR 等主要组织。前不久，BlackCat还勒索了台湾中国石化（BlackCat 声称攻击了台湾中国石化）。       Hackernews 编译，转载请注明出处 消息来源：SecurityWeek，译者：Serene

据知道创宇暗网雷达监测，近日勒索软件组织 BlackCat(ALPHV)将台湾中国石化（https://www.cpdc.com.tw）添加到其Tor泄露网站的受害者名单中，从公布的数据来看，本次泄露的数据大小为41.9GB，数据上传时间是2023年11月27日。 BlackCat (ALPHV)勒索网站官网 台湾中国石油化学工业开发股份有限公司（中石化、CPDC）成立于1969年。原系台湾行政院经济部所属国营事业，1991年股票于台湾证券交易所挂牌上市，1994年，正式转为民营企业，为威京集团事业体之一。 台湾中国石化开发总公司及其子公司在台湾和国际上生产和销售石化中间体及相关工程塑料、合成树脂、化学纤维和其他衍生产品。 关于BlackCat (ALPHV)组织 BlackCat 勒索组织（又名AlphaVM、AlphaV 或ALPHV）于2021 年11月中旬首次被 Malwarehuntertam 研究人员披露，是第一个基于 RUST 语言编写的专业勒索软件家族系列，并因其高度定制化和个性化的攻击而迅速赢得市场，是勒索即服务(RaaS) 的运营商之一。 根据目前的分析，BlackCat 采用勒索软件即服务 (RaaS) 商业模式，在已知的网络犯罪论坛中招揽生意，允许合作的黑客组织使用勒索软件并自留 80-90% 的赎金。BlackCat 采取了更激进的方式来对受害者进行勒索，在一个多月的时间里，在他们的泄密网站上已经有十几个受害者的信息被泄露。 迄今为止，该组织的最大受害者都是美国的组织，但 BlackCat 及其合作组织也攻击了欧洲、菲律宾和其他地方的目标。受害者包括以下行业的组织：建筑和工程、零售、运输、商业服务、保险、机械、专业服务、电信、汽车零部件和制药。 BlackCat 在数据泄露站点（暗网）上公布的台湾中国石化部分样例数据截图如下： 黑客公布的部分样例数据截图 从勒索组织发布的截图上来看，此次泄露的数据包含了其内部通讯录、银行账户、收入支出等财务状况和高管交接资料等。     Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达

据Security Affairs 6月18日消息，曾于今年2月5日攻击流行社交新闻聚合平台Reddit的幕后主使于近日浮出水面，BlackCat(又名 ALPHV)勒索软件组织发布消息称对这起网络攻击负责。 Reddit曾在事发后表示，该攻击是针对对 Reddit 员工的一次复杂网络钓鱼活动，将他们引导至一个假冒的公司内网网关站点，骗取其账号和密码，进而获得一些内部文档和业务系统的访问权限。Reddit曾指出有部分公司员工及广告商信息被泄露，Reddit 用户密码和账户没有受到损害。 但如今BlackCat宣布他们窃取了Reddit 80GB 的数据压缩包，并表示Reddit 没有查明所有被窃取的数据类型。此外，他们曾在 4 月 13 日和 6 月 16 日两次尝试联系 Reddit，但均未成功。在给Reddit的最后一封电子邮件中，BlackCat提出了450万美元的赎金需求，并要求Reddit撤回对第三方应用收费的决议，否则将泄露这些数据。 BlackCat 博客上发布的关于此次攻击事件的消息 Reddit 近期宣布将对一些第三方应用收取高额的 API 费用，意味着一些受欢迎的第三方应用将无法继续运营，这一举措引发了用户和开发者的强烈反对。 BlackCat 近期较为活跃，根据网络安全分析师 ANOZR WAY 的说法，该组织在 2022 年所有勒索软件攻击中占比达到了约 12% 。BlackCat 于 2021 年首次被发现，采取和其他勒索软件相似的勒索软件即服务 (RaaS)方式运营。       转自 Freebuf，原文链接：https://www.freebuf.com/news/369913.html 封面来源于网络，如有侵权请联系删除

最近，汽车消费电子巨头 Voxx Electronics成为臭名昭著的勒索软件组织BlackCat的受害者，该团伙于5月24日在暗网上正式公开了此次攻击的详细信息。 BlackCat 在单独的 Voxx 泄漏页面上列出了一长串从公司窃取的数据类型，包括银行和财务记录、内部源数据及Voxx 客户和合作伙伴的机密文件，并发布了一个随机数据样本。 泄露的 Voxx 数据样本 BlackCat要求 Voxx在72小时内支付赎金，否则，他们不仅将公开出售这些数据，还会将这起攻击事件告知给 Voxx 的所有客户，并附带机密文件的下载地址。 BlackCat还透露他们之所以这么做，是因为最初 Voxx拒绝与他们合作，并挑衅地说道“拒绝合作将被视为完全同意将客户和合作伙伴的数据公开到公共领域，并将其用于犯罪目的。” Voxx 已不是近来BlackCat的唯一受害者，5月22日，该组织声称入侵了国际会计和咨询公司Mazar Group，并从中窃取了超过 700 GB 的敏感信息，包括客户协议和财务记录。今年2月，他们袭击了美国的多个实体，包括一个由十几家医院组成的医疗保健网络，尽管此前他们声称会避免针对医疗保健行业的勒索攻击。     转自 Freebuf，原文链接：https://www.freebuf.com/news/367505.html 封面来源于网络，如有侵权请联系删除

ALPHV勒索软件团伙，又名BlackCat，宣布对欧洲天然气管道和电力网络运营商Creos卢森堡公司的网络攻击负责。Creos的所有者Encevo是欧盟五国的能源供应商，它在7月25日宣布，他们在7月22日和23日之间遭遇了网络攻击。虽然此次网络攻击导致Encevo和Creos的用户门户网站暂时性不可用，但所提供的服务并没有中断。 7月28日，Encevo公司发布了关于网络攻击的最新情况，其初步调查结果表明，网络入侵者从被访问的系统中窃取了 “一定数量的数据”。当时，Encevo无法估计影响的范围，该公司希望用户耐心能够等待调查结束，届时每个人都会收到一份个性化的关于此次事件的通知。Encevo表示，当有更多信息时，将在网络攻击的专门网页上公布，不过目前为止Encevo的相关媒体账户上没有发布进一步的更新，表明这一调查程序可能仍在进行中。 目前，Encevo建议所有用户重新设置他们的在线账户密码，如果这些密码也被用在了其他网站上的话，用户也应该改变他们在这些网站的密码，避免造成更多的损失。 BlackCat再次发动攻击 ALPHV/BlackCat勒索软件集团周六将Creos加入其勒索网站，威胁要公布18万个被盗文件，总大小为150GB，包括合同、协议、护照、账单和电子邮件。虽然没有宣布实现这一威胁的确切时间，但该勒索软件集团宣称要在周一的晚些时候进行披露。 ALPHV勒索软件在勒索网站上添加Creos ALPHV/BlackCat最近推出了一个新的勒索平台，他们让访问者可以搜索到被盗数据，目的是增加对受害者的压力，让他们支付赎金。虽然BlackCat继续对数据勒索的形式做出了创新，但他们似乎并没有从过去的错误中吸取教训，继续以高知名度的公司为目标，这很可能使他们成为国际执法机构的重大目标。 BlackCat被认为是DarkSide行动的改头换面，DarkSide在对Colonial Pipeline的勒索软件攻击大肆宣传后，迫于国际执法部门的压力选择了关闭。在关闭DarkSide后，他们改名为BlackMatter，以逃避执法部门，但国际执法部门仍然在持续追踪，因此该团伙再次选择关闭。 自2021年11月，攻击者以BlackCat/ALPHV的名义重新启动以来，攻击者倾向于避开美国的大目标，而以欧洲实体为目标，如奥地利州、意大利时装连锁店和瑞士机场服务提供商。然而，他们似乎没有从错误中吸取教训，继续攻击重要的基础设施，如2月份的德国汽油供应公司Oiltanking和现在的Creos卢森堡。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/340820.html 封面来源于网络，如有侵权请联系删除

据BleepingComputer网站6月14日消息，为了提高勒索效率，勒索软件团伙BlackCat创建了一个专属网站，允许受害者检查他们的数据是否在攻击中被盗，这一做法的目的是为了迫使受害者付费。 在过去勒索软件团伙通过数据泄露站点刻意泄露少量被盗数据，并向受害者发送邮件，警告他们信息已被盗取。 然而，这些勒索手段并不总是奏效，即便公司的员工、客户数据被盗，公司也有权决定不付款。 出于这个原因，勒索软件团伙不断发展他们的策略，以对受害者施加额外的压力。 最近，在BlackCat针对美国俄勒冈州一家酒店和水疗中心的勒索攻击行动中，声称窃取了 1500 名员工的 112GB 数据。但这一次，勒索软件团伙并没有仅仅在他们的 Tor 数据泄露网站上泄露数据，而是更进一步，创建了一个专门的网站，允许个人员工和顾客检查他们的数据是否在酒店攻击期间被盗。虽然顾客数据仅包含姓名、到达日期和住宿费用，但员工数据包含极其敏感的信息，例如姓名、社会安全号码、出生日期、电话号码和电子邮件地址。 允许个人员工和顾客检查数据是否被盗的网站 勒索软件团伙甚至为每位受害员工创建“数据包”，其中包含个人在酒店的工作相关的文件。由于该站点托管在公共互联网上，因此可以被搜索引擎抓取，并且暴露的信息可能会被添加到搜索结果中，从而进一步扩大了被窃信息的泄露面。 可见，在折起事件中，网站的目的很明确，就是迫使酒店员工和顾客请求删除他们的个人数据，而这只能通过支付赎金来完成。 Emisosft 安全分析师 Brett Callow表示，这是一个具有创新性的策略，如果公司知道与顾客和员工有关的信息将以这种方式被盗，会更倾向于支付赎金避免数据泄露，并避免可能受到的集体诉讼。但现在判断这一策略是否真正有效还为时过早，毕竟建立每一个个人的数据包对于勒索软件团伙来说绝对是一项耗时的工程。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/336265.html 封面来源于网络，如有侵权请联系删除

据BleepingComputer网站6月13日消息，网络攻击者正通过BlackCat 勒索软件攻击存在漏洞的Microsoft Exchange 服务器。 在微软安全专家观察到的案例中，攻击者使用未修补的 Exchange 服务器作为入口向量的初始攻击，两周后，再通过 PsExec在网络上部署了BlackCat 勒索软件有效负载。 “虽然这些威胁参与者的常见入口向量包括远程桌面应用程序和受损凭据，但我们还看到威胁参与者利用 Exchange 服务器漏洞获取目标网络访问权限。”Microsoft 365 Defender 威胁情报团队表示。尽管没有提及用于初始访问的 Exchange 漏洞，但根据微软 2021 年 3 月的安全公告，其中包含了有关调查和缓解ProxyLogon漏洞攻击的指导性说明。 此外，虽然微软没有在本案例研究中明确部署 BlackCat 勒索软件的网络犯罪组织，但通过对FIN12、DEV-0504等组织的追踪，发现他们都曾在攻击行为中部署过BlackCat的有效载荷。 今年4月，FBI就曾发出过警告称，在 2021 年 11 月至 2022 年 3 月间，BlackCat 勒索软件已对全球至少 60 个组织的网络进行加密。根据调查，BlackCat/ALPHV 的许多开发人员和都与 Darkside/Blackmatter 有关联，这表明他们拥有广泛的网络和勒索软件操作经验。 为了防御 BlackCat 勒索软件攻击，微软建议企业组织审查自身系统中的用户身份状况，监控对其网络的外部访问，并尽快更新其环境中所有易受攻击的 Exchange 服务器。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/336125.html 封面来源于网络，如有侵权请联系删除