根据 Zscaler ThreatLabz 的报告,一家财富 50 强公司向黑暗天使勒索软件团伙支付了破纪录的 7500 万美元赎金。"2024 年初,ThreatLabz 发现一名受害者向'黑暗天使'支付了 7500 万美元,高于任何公开的金额--这一成就势必会引起其他攻击者的兴趣,他们希望通过采用他们的关键策略(我们将在下文中介绍)来复制这种成功,"《2024 年 Zscaler 勒索软件报告》写道。
加密货币情报公司 Chainalysis 在 X 日的Twitter上进一步证实了这一破纪录的支付。
此前已知的最大一笔赎金是保险巨头 CNA在遭受Evil Corp 勒索软件攻击后支付的 4000 万美元。
虽然 Zscaler 没有透露是哪家公司支付了 7500 万美元的赎金,但他们提到这家公司是财富 50强企业之一,攻击发生在 2024 年初。
2024 年 2 月遭受网络攻击的财富 50 强公司之一是制药巨头 Cencora,该公司在榜单上排名第 10 位。 没有勒索软件团伙声称对此次攻击负责,这可能表明有人支付了赎金。
BleepingComputer 联系了 Cencora,询问他们是否向黑暗天使支付了赎金,但尚未收到回复。
谁是黑暗天使
黑暗天使是 2022 年 5 月发起的勒索软件行动,当时它开始以全球公司为目标。
与大多数人为操作的勒索软件团伙一样,"黑暗天使"的操作员会入侵企业网络并横向移动,直到最终获得管理权限。在此期间,他们还会从被入侵的服务器上窃取数据,然后在索要赎金时利用这些数据作为额外的筹码。
当他们访问 Windows 域控制器时,威胁者就会部署勒索软件来加密网络上的所有设备。
威胁分子在发起行动时,使用了基于已泄露的 Babuk 勒索软件源代码的 Windows 和 VMware ESXi 加密程序。
然而,随着时间的推移,他们转而使用 Linux 加密器,这与 Ragnar Locker 自 2021 年以来使用的加密器如出一辙。2023 年,执法部门捣毁了 Ragnar Locker。
在黑暗天使对Johnson Controls的攻击中,这个 Linux 加密器被用来加密该公司的 VMware ESXi 服务器。
在这次攻击中,"黑暗天使"声称窃取了 27 TB 的公司数据,并要求支付 5100 万美元的赎金。
黑暗天使的勒索信
威胁者还运营着一个名为"Dunghill Leaks"的数据泄漏网站,用来勒索受害者,威胁说如果不支付赎金就会泄漏数据。
黑暗天使的"邓希尔"数据泄露网站
Zscaler ThreatLabz 称,"黑暗天使"采用的是"大猎杀"策略,即只针对少数几家高价值公司,希望获得巨额赔付,而不是同时针对多家公司,支付数量众多但金额较小的赎金。
Zscaler ThreatLabz 的研究人员解释说:"'黑暗天使'组织采用了一种针对性很强的方法,通常一次只攻击一家大公司。这与大多数勒索软件团伙形成鲜明对比,这些团伙不加区分地以受害者为目标,并将大部分攻击工作外包给由初始访问经纪人和渗透测试团队组成的附属网络"。
据Chainalysis 称,在过去几年中,"大猎杀"战术已成为众多勒索软件团伙利用的主要趋势。