Resecurity 的最新报告详细说明了麒麟勒索软件即服务(RaaS)团伙如何依赖全球防弹托管网络来支持其勒索行动。Resecurity 的这份报告将探讨麒麟 RaaS 运营对防弹托管(BPH)基础设施的依赖,重点关注分布在全球不同地区的流氓提供商网络。
麒麟是当今勒索组织中最为活跃且强大的威胁团伙之一。最引人注目的是,他们最近声称对日本啤酒巨头朝日集团控股公司 9 月的勒索软件攻击负责,该攻击使朝日集团的运营和生产功能瘫痪了近两周。Resecurity 的调查人员与麒麟操作员进行了私下交流,得知威胁行为者正试图以 1,000 万美元的价格出售被盗的朝日数据。这些要求是在 10 月 11 日收到的,当时朝日集团的运营刚刚中断,这可能是麒麟排除中间人、加快对受害者施压的一种策略。
10 月 15 日,麒麟宣布了新的目标和已确认的受害者,包括但不限于:
- 西班牙税务管理机构(Agencia Tributaria),西班牙王国的税收机构
- 美国的 Centurion Family Office Services LLC
- 美国的 Rasi Laboratories,一家生产开发营养保健品的制造商,专注于胶囊、片剂、益生菌和功能性食品等膳食补充剂
- 位于美国俄克拉荷马州塔尔萨的 Victory Christian Center,一个以社区为中心的教堂
- 美国里士满行为健康管理局(RBHA),一个致力于为里士满市居民提供全面心理健康、智力障碍、药物滥用及预防服务的州级组织
- 非洲的 Turnkey Africa,一家为非洲保险行业提供技术解决方案的领先提供商
- 美国的 Charles River Properties,一家总部位于马萨诸塞州沃尔瑟姆的房地产经纪公司
- 美国的新泽西财产责任保险担保协会
- 法国南部 Pyrénées-Orientales 部门的圣克劳德市(Commune De Saint Claude),一个市政服务机构
- 法国南部 Pyrénées-Orientales 部门的 Ville-Elne,一个市镇
此前,在 10 月 14 日,麒麟宣布大众汽车集团法国公司(大众汽车股份公司的子公司)、德克萨斯州的 San Bernard 电力合作社和 Karnes 电力合作社已被攻破。
针对汽车行业尤其值得关注,特别是考虑到此前捷豹路虎(JLR)事件以及勒索软件活动的破坏性后果。麒麟可能是受到数据泄露成功结果的启发,或者他们与提供此类组织访问权限的初始访问代理(IAB)合作,这些访问权限在暗网上出售。
鉴于公布的受害者数量和新被攻击的组织数量,10 月可以说是麒麟最“丰收”的一个月。很明显,该团伙正在增加对美国的攻击,此前曾攻击过佛罗里达州里维埃拉海滩市和科布县等地方市政机构。该团伙已公布了来自不同市场领域和地理区域的 50 多个新受害者,包括克罗地亚、格林纳达、法国、德国、匈牙利、意大利、韩国、巴基斯坦和卡塔尔。
麒麟勒索软件团伙的一个显著特点是其与地下防弹托管(BPH)运营商的密切联系,这些运营商使网络犯罪分子能够秘密托管非法内容和基础设施,使其超出执法部门的管辖范围。例如,自该团伙出现以来,它一直引用多个文件共享托管来检索存储在复杂法律管辖区的受害者数据。
BPH 服务的隐蔽性使得网络安全研究人员和执法机构难以识别其运营商并摧毁其基础设施。这使得打击网络犯罪和保护用户免受网络威胁的努力变得复杂。与麒麟相关的防弹托管已进入“私密模式”,并在流行的暗网社区中实施了退出骗局。然而,截至 2025 年 10 月 15 日,与本报告中描述的活动相关的所有法人实体(位于俄罗斯和香港)仍在继续运营。
与麒麟这样的勒索软件团伙的联系证实了这种活动的有组织性,这是现代跨国网络犯罪团伙的典型特征,它们以盈利为目的运营,并利用司法管辖区的挑战来掩盖其活动。
消息来源:securityaffairs.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容