圈小蛙

黑暗天使勒索软件团伙收到破纪录的7500万美元赎金

根据Zscaler ThreatLabz的报告,一家财富50强公司向黑暗天使(Dark Angels勒索软件团伙支付了破纪录的7500万美元赎金。

“2024年初,ThreatLabz发现一名受害者向Dark Angels支付了7500万美元,高于任何公开的金额——这一攻击成果必将引起其他攻击者的兴趣,他们希望通过采用他们的关键策略来复制这种成功,”2024年Zscaler的勒索软件报告中写道。

加密货币情报公司Chainalysis在X上发布了推文,进一步证实了这一笔破纪录的赎金付款。

此前,已知的最大赎金支付额为4000万美元,是保险巨头CNA在遭受Evil Corp勒索软件团伙攻击后支付的。

虽然Zscaler没有透露哪家公司支付了7500万美元的赎金,但他们提到该公司位列财富50强,并且攻击发生在2024年初。

2024年2月遭受网络攻击的财富50强公司之一是制药巨头Cencora,在榜单上排名第10。没有任何勒索软件团伙声称对此次攻击负责,这可能表明有人支付了赎金。

谁是黑暗天使

暗黑天使”团伙从2022年5月发起勒索软件行动,当时它开始以全球公司为目标。

与大多数由人类操控的勒索软件团伙一样,黑暗天使的操控者会入侵企业网络并横向移动,直到最终获得管理权限。在此期间,他们还会从被入侵的服务器窃取数据,这些数据随后会作为索要赎金的额外筹码。

当他们获得Windows域控制器的访问权限时,威胁行为者会部署勒索软件来加密网络上的所有设备。

当威胁行为者发起攻击时,他们使用了基于Babuk勒索软件源代码的Windows和VMware ESXi加密程序。

然而,随着时间的推移,他们转而使用Linux加密程序,这与Ragnar Locker自2021年以来使用的加密程序如出一辙。2023年,执法部门捣毁了Ragnar Locker。RagnarLocker于2023年被执法部门破获。

在黑暗天使对江森自控(Johnson Controls)的攻击中,该Linux加密器被用于加密该公司的VMware ESXi服务器。

在这次攻击中,黑暗天使声称窃取了27TB的公司数据,并要求支付5100万美元的赎金。

威胁行为者还运营一个名为“Dunghill Leaks”的数据泄露网站,用于勒索受害者,威胁称如果不支付赎金,就会泄露数据。

Zscaler ThreatLabz表示,Dark Angels采用的是“大猎物狩猎”策略,即只瞄准少数几家高价值公司,希望获得巨额赎金,而不是同时针对多家公司,索要多笔但数额较小的赎金。

Zscaler ThreatLabz的研究人员解释道:“黑暗天使组织采用高度针对性的方法,通常一次只攻击一家大公司。”

Chainalysis称,“大猎物狩猎”策略在过去几年中已成为众多勒索软件团伙采用的主导趋势。

Exit mobile version