史上最高！这家企业向勒索软件支付了超 5.4 亿元赎金

安全内参 7 月 31 日消息，一个名叫黑暗天使（Dark Angels）的勒索软件网络犯罪团伙，从一位未具名的受害者那里获取了全球有史以来最大金额的赎金。

美国知名零信任安全公司 Zscaler 的研究人员表示，该团伙勒索了 7500 万美元（约合人民币 5.42 亿元），几乎是此前公开报道的勒索软件赎金最高记录的两倍。2021 年 3 月，美国保险巨头 CNA Financial 遭受勒索软件攻击后被迫支付 4000 万美元（约合人民币 2.89 亿元）。

在攻击中，黑暗天使使用 RagnarLocker 勒索软件的变种锁定 VMWare ESXi 服务器。

Zscaler 警告说，黑暗天使的成功可能会“驱使其他勒索软件团伙采用类似策略。因此，各组织更加需要优先保护自己，免受日益增长且代价越来越高的勒索软件攻击。”

Zscaler 在 2024 年勒索软件报告中还指出，2023 年 4 月至 2024 年 4 月间，勒索软件攻击同比增加了 18%。被列在数据泄露网站上的受害公司数量自去年以来增长了近 58%。

报告还发现，美国、意大利和墨西哥的勒索软件攻击增长率最高。这三个国家的勒索软件攻击“涨幅惊人”，分别达到 93%、78%和 58%。

图：各国勒索软件受害者比例

黑暗天使团伙揭秘

黑暗天使针对各种行业，包括医疗、政府、金融和教育。最近，有观察发现它针对大型工业、技术和电信公司发起攻击。

Zscaler 表示：“黑暗天使团伙采用高度针对性的方法，通常一次攻击一家大型公司。这与大多数勒索软件团伙形成鲜明对比，后者会无差别地选择受害者，并将大部分攻击外包给初始访问代理和渗透测试团队的附属网络。”

“一旦黑暗天使确定并攻陷目标，他们会选择性地决定是否加密公司的文件。在大多数情况下，黑暗天使团伙会窃取大量信息，通常在 1-10 TB 之间。该团伙已经从大型企业窃取了 10-100 TB 的数据，传输这些数据可能需要数天到数周时间。”

Zscaler 还表示，黑暗天使“最引人注目的攻击”发生在 2023 年 9 月，当时该团伙“攻陷了一家提供楼宇自动化系统解决方案和其他服务的国际企业集团”。黑暗天使要求受害者支付 5100 万美元赎金，声称窃取了对方超过 27 TB 的企业数据，并加密了该公司的 VMware ESXi 虚拟机。他们使用 RagnarLocker 勒索软件变种加密了公司的文件。

Zscaler 报告称，“尚不清楚”RagnarLocker 与黑暗天使之间的关系，但已知该团伙在 RagnarLocker 遭到执法行动打击之前使用了该勒索软件，导致该软件一名关键成员于 2023 年 10 月被捕。

黑暗天使团伙首次出现于 2022 年，使用了一种与 Babuk“非常紧密相关”的勒索软件变种。Babuk 常用于双重勒索攻击。随后，该团伙开始使用一种类似于 RagnarLocker 的变种。

美国终端安全厂商 SentinelOne 在一篇研究黑暗天使的技术博客中写道：“虽然勒索软件团伙们成功地使用了 ESXi 锁定器，但是专门针对 Linux 系统的勒索软件家族仍然很少。黑暗天使使用的 Linux 版本是一个稍作修改、版本较新的 RagnarLocker 二进制文件。”

Zscaler 首席安全官 Deepen Desai 说：“勒索软件防御在 2024 年仍然是首席信息安全官们的首要任务。创纪录的赎金支付源于勒索软件即服务模型（RaaS）的日益普及，以及对遗留系统的众多零日攻击、钓鱼攻击的增加、AI 驱动攻击的出现。”

Zscaler 报告称，最活跃的勒索软件“家族”是 LockBit，占所有勒索软件攻击活动的 22%，其次是 BlackCat（也称为 ALPHV）和 8Base，后两者占比分别是 9%和 8%。

Zscaler 还将黑暗天使、LockBit、BlackCat、Akira 和 Black Basta 列为“2024-2025 年值得关注的五大勒索软件家族”。

勒索软件攻击最集中的国家是美国，占所有攻击的 49.95%，其次是英国（5.92%），德国（4.09%），加拿大（3.51%），法国（3.26%）。

制造业是受勒索软件攻击“最多的”行业，其次是医疗、技术、教育和金融服务。

值得注意的是，黑暗天使实施的这次勒索软件攻击，只有在受害者被公开或攻击得到进一步证实之后，才会正式载入史册。

参考资料：https://www.thestack.technology/worlds-largest-ever-ransomware-payment-zscaler/