导 读
根据 Zscaler ThreatLabz 的报告,一家财富 50 强公司向 Dark Angels 勒索软件团伙支付了创纪录的 7500 万美元赎金。
“2024 年初,ThreatLabz 发现一名受害者向 Dark Angels 支付了 7500 万美元,高于任何公开的金额——这一成就必将引起其他攻击者的兴趣,他们希望通过采用他们的关键策略(我们将在下面描述)来复制这种成功。” 2024 年 Zscaler 勒索软件报告(_https://www.zscaler.com/resources/industry-reports/threatlabz-ransomware-report.pdf_)中写道。
加密情报公司 Chainalysis 在 X 上发布了推文,进一步证实存在这笔破纪录的付款。
此前已知的最大赎金为 4000 万美元,是保险巨头 CNA在遭受Evil Corp 勒索软件攻击后支付的。
虽然 Zscaler 没有透露哪家公司支付了 7500 万美元的赎金,但他们提到该公司位列财富 50 强,并且攻击发生在 2024 年初。
2024 年 2 月遭受网络攻击的财富 50 强公司之一是制药巨头 Cencora,在榜单上排名第 10。没有任何勒索软件团伙声称对此次攻击负责,这可能表明有人支付了赎金。
“Dark Angels (暗黑天使)”勒索软件组织于 2022 年 5 月发起,一开始就针对全球化企业。
与大多数由人类操控的勒索软件团伙一样,黑暗天使的操控者会入侵企业网络并横向移动,直到最终获得管理权限。在此期间,他们还会从受感染的服务器窃取数据,这些数据随后会作为索要赎金的额外筹码。
当他们获得 Windows 域控制器的访问权限时,攻击者会部署勒索软件来加密网络上的所有设备。
当攻击者发起攻击时,他们使用基于 Babuk 勒索软件泄露源代码的Windows 和 VMware ESXi 加密器。
随着时间的推移,他们改用了 Linux 加密器,该加密器与 Ragnar Locker 自 2021 年以来使用的加密器相同。Ragnar Locker于 2023 年被执法部门破获。
这款 Linux 加密器曾在针对江森自控的攻击中使用, 加密该公司的 VMware ESXi 服务器。在这次攻击中,暗黑天使声称窃取了 27 TB 的公司数据,并要求支付 5100 万美元的赎金。
Dark Angels 勒索信
该勒索软件团伙还运营一个名为“Dunghill Leaks”的数据泄露网站,用于勒索受害者,威胁称如果不支付赎金就会泄露数据。
Dark Angels 的“Dunghill”泄露数据泄露网站
Zscaler ThreatLabz 表示,Dark Angels 采用的是“捕鲸”策略,即只瞄准少数高价值公司,希望获得巨额赎金,而不是同时瞄准多家公司,索要多笔但数额较小的赎金。
Zscaler ThreatLabz 的研究人员解释道:“暗黑天使组织采用高度针对性的方法,通常一次只攻击一家大公司。”
“这与大多数勒索软件组织形成了鲜明对比,这些组织不加区分地瞄准受害者,并将大部分攻击外包给初始访问经纪人和渗透测试团队的附属网络。”
据Chainalysis称,“针对大猎物的捕鲸狩猎”策略在过去几年中已成为众多勒索软件团伙采用的主导趋势。
参考链接:
扫码关注
会杀毒的单反狗
讲述普通人能听懂的安全故事
