圈小蛙
根据Zscaler ThreatLabz的报告,一家财富50强公司向黑暗天使(Dark Angels)勒索软件团伙支付了破纪录的7500万美元赎金。
“2024年初,ThreatLabz发现一名受害者向Dark Angels支付了7500万美元,高于任何公开的金额——这一攻击成果必将引起其他攻击者的兴趣,他们希望通过采用他们的关键策略来复制这种成功,”2024年Zscaler的勒索软件报告中写道。
加密货币情报公司Chainalysis在X上发布了推文,进一步证实了这一笔破纪录的赎金付款。
此前,已知的最大赎金支付额为4000万美元,是保险巨头CNA在遭受Evil Corp勒索软件团伙攻击后支付的。
虽然Zscaler没有透露哪家公司支付了7500万美元的赎金,但他们提到该公司位列财富50强,并且攻击发生在2024年初。
2024年2月遭受网络攻击的财富50强公司之一是制药巨头Cencora,在榜单上排名第10。没有任何勒索软件团伙声称对此次攻击负责,这可能表明有人支付了赎金。
谁是黑暗天使
“暗黑天使”团伙从2022年5月发起勒索软件行动,当时它开始以全球公司为目标。
与大多数由人类操控的勒索软件团伙一样,黑暗天使的操控者会入侵企业网络并横向移动,直到最终获得管理权限。在此期间,他们还会从被入侵的服务器窃取数据,这些数据随后会作为索要赎金的额外筹码。
当他们获得Windows域控制器的访问权限时,威胁行为者会部署勒索软件来加密网络上的所有设备。
当威胁行为者发起攻击时,他们使用了基于Babuk勒索软件源代码的Windows和VMware ESXi加密程序。
然而,随着时间的推移,他们转而使用Linux加密程序,这与Ragnar Locker自2021年以来使用的加密程序如出一辙。2023年,执法部门捣毁了Ragnar Locker。RagnarLocker于2023年被执法部门破获。
在黑暗天使对江森自控(Johnson Controls)的攻击中,该Linux加密器被用于加密该公司的VMware ESXi服务器。
在这次攻击中,黑暗天使声称窃取了27TB的公司数据,并要求支付5100万美元的赎金。
威胁行为者还运营一个名为“Dunghill Leaks”的数据泄露网站,用于勒索受害者,威胁称如果不支付赎金,就会泄露数据。
Zscaler ThreatLabz表示,Dark Angels采用的是“大猎物狩猎”策略,即只瞄准少数几家高价值公司,希望获得巨额赎金,而不是同时针对多家公司,索要多笔但数额较小的赎金。
Zscaler ThreatLabz的研究人员解释道:“黑暗天使组织采用高度针对性的方法,通常一次只攻击一家大公司。”
据Chainalysis称,“大猎物狩猎”策略在过去几年中已成为众多勒索软件团伙采用的主导趋势。