美国国务院由外交安全局管理的正义奖赏计划（Rewards for Justice）周三宣布悬赏1000万美元，寻求更多有关黑猫（ALPHV/BlackCat）勒索软件组织的更多信息。 Help Us Trap This CatALPHV/BlackCat-linked actors have targeted more than 400 victims worldwide.If you have info on this ransomware-as-a-service group, or associated individuals or entities, contact us.You could be eligible for a reward or relocation. pic.twitter.com/GzvjzFEFux — Rewards for Justice (@RFJ_USA) March 27, 2024 黑猫勒索组织的勒索软件也称为ALPHV/BlackCat，于2021年11月首次部署。 ALPHV/BlackCat以勒索软件即服务商业模式运营，该组织的成员开发并维护勒索软件变体，然后招募附属机构来部署勒索软件。ALPHV/BlackCat及其附属机构随后分享了所有支付的赎金。 美国国务院表示，它设立了一条暗网举报热线，以保护潜在消息来源的安全。 为什么它很重要 公告称，根据《计算机欺诈和滥用法》（Computer Fraud and Abuse Act），美国国务院试图起诉“在外国政府控制下针对美国关键基础设施从事某些恶意网络活动”的网络行为者。 RJF表示，ALPHV/BlackCat采用“勒索软件即服务”（ransomware-as-a-service）的商业模式运营，该组织的成员开发和维护勒索软件变体，然后招募附属机构来部署勒索软件。 除了基于Tor的暗网举报方式外，RFJ还指出，“符合条件的消息来源可能会获得通过加密货币支付的消息费和奖励。” 更大的趋势 当Change Healthcare遭受网络攻击时，勒索软件最终引发了连锁反应，在整个医疗保健生态系统（从患者和医疗服务提供者到药房和付款人）中产生了深远的影响，而且这种连锁反应仍在持续。 联邦机构证实，自美国司法部去年12月宣布扣押ALPHV团伙的基础设施以来，医疗保健机构已成为攻击目标。 美国国家网络安全联盟（National Cybersecurity Alliance）信息安全和参与总监Cliff Steinhauer表示，Blackcat对联合健康集团（UnitedHealth Group）旗下每年处理150亿笔医疗交易的Change网络的攻击凸显了网络事件报告透明度的必要性，并强调了医疗机构应急计划的紧迫性。 他在本月早些时候表示，培养网络安全意识文化和定期进行安全审计对于增强企业执行交易和保护患者护理的能力至关重要。 Steinhauer表示：“这次攻击之所以引人注目，是因为其潜在的规模及其针对的医疗基础设施的关键性质。” 据报道，UHG支付了约2200万美元的比特币赎金。随着Change开始恢复服务，BlackCat的一名附属机构声称ALPHV的领导者关闭了其设施，发布了虚假的删除通知，并保留了全部赎金。 记录在案 美国国务院在一份声明中说：”ALPHV/BlackCat勒索软件即服务组织入侵了美国和全球关键基础设施部门的计算机网络，在目标系统上部署勒索软件，禁用受害者网络内的安全功能，窃取敏感机密信息，要求受害者支付赎金才能恢复访问，并威胁说如果受害者不支付赎金，就会公布被窃取的数据。” 去年初，美国国务院曾悬赏1000万美元，悬赏将Hive勒索软件团伙与外国政府联系起来的信息。 联系方式 有关此正义奖赏的更多信息，请访问正义奖赏网站：https://rewardsforjustice.net/english/malicious_cyber_activity.html 自1984年成立以来，RFJ已向全球超过125人支付了超过2.5亿美元，这些人提供了可采取行动的信息，帮助解决了对美国国家安全的威胁。 在Twitter上关注“正义奖赏计划”：https://twitter.com/RFJ_USA 正义奖赏网站提供的暗网举报网址是：http://he5dybnt7sr6cm32xt77pazmtm65flqy6irivtflruqfc5ep7eiodiad.onion 此外，正义奖赏网站提供了Signal、Line、Telegram、Viber、WhatsApp的举报方式，号码均为：+1 202 702 7843。  ...

前天，“Kirin博客”报道了国际联合执法机构查封了臭名昭著的ALPHV勒索软件团伙的暗网泄密网站，在经历与美国当局的暗网域名争夺战后，ALPHV勒索软件团伙选择推出了新的暗网onion域名。 ALPHV勒索软件团伙又名BlackCat，最初于2020年8月以“DarkSide”名义推出 ，然后在面临因该团伙广泛宣传的对殖民管道的勒索攻击而造成的执法行动的巨大压力后于2021年5月关闭。 该勒索软件团伙后来于2021年7月31日以“BlackMatter”名称回归，但在Emsisoft利用漏洞创建解密器并查封服务器后，该勒索软件团伙于2021年11月再次关闭。 该团伙于2021年11月再次回归，这次的名称为“BlackCat/ALPHV”。从那时起，勒索软件团伙不断演变其勒索策略，并采取与英语附属机构合作的不寻常方式 。 这次事件一开始，ALPHV勒索软件团伙对外界宣称说，由于硬件故障，他们的暗网网站离线了。这种情况过去也发生过，所以很多人相信了这个借口。ALPHV勒索软件团伙接着表示，他们已经转移了暗网泄密网站的服务器和博客。 然而，12月19日，美国政府就ALPHV勒索软件发布了一份官方声明，声称ALPHV勒索软件的基础设施已经被联邦调查局（FBI）查封，他们公布了针对 ALPHV 的解密工具，并与国际合作伙伴合作，已经为 500 多家公司解密。联邦调查局 ALPHV 的搜查令指出，一名秘密线人进入了 ALPHV 面板。然后，联邦调查局对 ALPHV 面板进行了…… “调查”，设法进入了 ALPHV 网络，获得了 946 个Tor 站点的公钥/私钥对，ALPHV勒索软件团伙使用这些站点来托管受害者通信站点、泄密站点以及上述附属面板。 至此，FBI也掌握了ALPHV勒索软件团伙的暗网网站的.onion域名（http://alphvmmm27o3abo3r2mlmjrpdmzle3rykajqc5xsj7j7ejksbpsa36ad.onion）的密钥，与ALPHV 勒索软件团伙开展了拉锯战。19日的时候，FBI将该勒索软件团伙的暗网网站的.onion域名转向扣押的页面，显示扣押图片以及以下信息： 这项行动是在欧洲刑警组织和哥廷根犯罪调查中心的大力协助下，与美国佛罗里达州南区检察官办公室和司法部计算机犯罪和知识产权科协调采取的。 如果您有关于Blackcat、其附属机构或活动的信息，您可能有资格通过美国国务院的正义奖赏计划获得奖赏。信息可通过以下基于 Tor 的举报热线提交：he5dybnt7sr6cm32xt77pazmtm65flqy6irivtflruqfc5ep7eiodiad.onion（需要 Tor 浏览器）。 有关针对美国关键基础设施的外国恶意网络活动信息奖励的更多信息，请访问 https://rfj.tips/SDT55f。 然而，20日，当人们访问ALPHV勒索软件团伙的暗网网站的.onion域名（http://alphvmmm27o3abo3r2mlmjrpdmzle3rykajqc5xsj7j7ejksbpsa36ad.onion）时，出现以下页面，ALPHV勒索软件团伙声称“夺取”了他们的数据泄露站点，重新获得了对 URL 的控制，并声称 FBI 获得了对他们用来托管服务器的数据中心的访问权限。   由于 ALPHV 运营商和 FBI 现在都控制着用于在 Tor 中的暗网泄露网站洋葱 URL 的私钥，因此他们可以来回夺取对方的 URL，这一过程一整天都在进行。 不过，作为 ALPHV 解除扣押信息的一部分，该团伙宣布为其数据泄露网站推出一个新的暗网onion域名（http://alphvuzxyxv6ylumd2ngp46xzq3pw6zflomrghvxeuks6kklberrbmyd.onion），FBI 没有该网站的私钥，因此无法扣押。 该勒索软件团伙声称，FBI 仅在过去一个半月内获得了约 400 家公司的解密密钥。然而，他们表示，另外 3000 名受害者现在将失去钥匙。 ALPHV勒索软件团伙还表示，他们正在取消对其附属机构的所有限制，使他们能够瞄准任何他们想要的组织，包括关键基础设施。附属机构仍被限制攻击独立国家联合体（独联体）国家，这些国家以前是苏联的一部分。 最后，ALPHV勒索软件团伙表示将附属公司的收入份额提高到支付赎金的 90%，这可能会说服他们转而使用竞争的勒索软件即服务。 ALPHV勒索软件团伙的声明： 大家都知道，联邦调查局拿到了我们博客的钥匙，现在我们来告诉大家是怎么回事。 首先，这一切是如何发生的，在检查了他们的文件后，我们了解到他们获得了其中一个 DC 的访问权限，因为所有其他 DC 都没有被触及，事实证明，他们以某种方式入侵了我们的一个主机，甚至可能是他本人帮助了他们。 他们最多能拿到过去一个半月的密钥，大约有 400 家公司，但现在有 3000 多家公司再也收不到他们的密钥了。 由于他们的行为，我们正在引入新的规则，或者说取消所有的规则，除了一条，你不能碰独联体，你现在可以阻止医院，核电站，任何东西和任何地方。 现在，所有广告的费率为 90%。 我们不向公司提供任何折扣，严格按照我们规定的金额付款。 VIP 广告客户将获得我们为其单独设立的私人联盟计划，该计划位于独立的 DC 上，彼此完全隔离。 感谢您的体验，我们会考虑到我们的错误，更加努力地工作，等待您在聊天室中的抱怨和要求提供不再存在的折扣。   美国当局与ALPHV勒索软件团伙战斗的时间线： ----------------------- 2023年12月10日：ALPHV主域名离线，其管理者称是硬件故障 2023年12月10日：传言是美国当局导致ALPHV下线 2023年12月11日：ALPHV否认指控 2023年12月19日上午7:26：ALPHV域名被查封 2023年12月19日上午7:42：ALPHV称这是旧域名，无关紧要 2023年12月19日上午9:56：美国司法部就ALPHV被查封及其服务器被入侵一事发布官方声明 2023年12月19日中午12:34：ALPHV取消域名并威胁对美国（及相关实体）进行报复，允许对关键基础设施进行攻击...