ALPHV勒索軟件團(tuán)伙，又名BlackCat，聲稱對(duì)上周針對(duì)中歐國(guó)家天然氣管道和電力網(wǎng)絡(luò)運(yùn)營(yíng)商Creos Luxembourg SA的網(wǎng)絡(luò)攻擊負(fù)責(zé)。Creos的所有者Encevo于7月25日宣布 ，他們?cè)?月22日至23日遭受了網(wǎng)絡(luò)攻擊，該公司在五個(gè)歐盟國(guó)家經(jīng)營(yíng)能源供應(yīng)商。Creos Luxembourg SA在盧森堡擁有并管理電力網(wǎng)絡(luò)和天然氣管道。公司規(guī)劃、建設(shè)和維護(hù)其擁有或負(fù)責(zé)管理的高、中、低壓電網(wǎng)和高、中、低壓天然氣管道。

雖然網(wǎng)絡(luò)攻擊導(dǎo)致Encevo和Creos的客戶門(mén)戶不可用，但所提供的服務(wù)并未中斷。

7月28日，該公司發(fā)布了網(wǎng)絡(luò)攻擊的最新消息，他們的初步調(diào)查結(jié)果表明，網(wǎng)絡(luò)入侵者已經(jīng)從被訪問(wèn)的系統(tǒng)中竊取了“一定數(shù)量的數(shù)據(jù)”。

當(dāng)時(shí)，Encevo無(wú)法估計(jì)影響的范圍，并懇請(qǐng)客戶耐心等待調(diào)查結(jié)束，屆時(shí)每個(gè)人都會(huì)收到個(gè)性化的通知。

由于沒(méi)有在Encevo的媒體門(mén)戶上發(fā)布進(jìn)一步的更新，因此該程序可能仍在進(jìn)行中。Encevo說(shuō)，當(dāng)有更多信息可用時(shí)，它將發(fā)布在網(wǎng)絡(luò)攻擊的專(zhuān)用網(wǎng)頁(yè)上。

目前，建議所有客戶重置他們用于與 Encevo和Creos服務(wù)交互的在線帳戶憑據(jù)。此外，如果這些口令在其他網(wǎng)站上相同，客戶也應(yīng)該在這些網(wǎng)站上更改他們的口令。

Encevo 表示已向大公國(guó)警察局報(bào)告，并已通知盧森堡國(guó)家數(shù)據(jù)保護(hù)委員會(huì)、盧森堡監(jiān)管研究所和其他“主管部門(mén)”。

Bleeping Computer已聯(lián)系Creos，要求提供有關(guān)網(wǎng)絡(luò)攻擊影響的更多信息，但該公司發(fā)言人現(xiàn)階段拒絕發(fā)表任何評(píng)論。

ALPHV/BlackCat勒索軟件組織7月30日將Creos添加到其勒索網(wǎng)站，威脅要發(fā)布180,000個(gè)被盜文件，總大小為150GB，包括合同、協(xié)議、護(hù)照、賬單和電子郵件。

雖然沒(méi)有宣布實(shí)現(xiàn)這一威脅的確切時(shí)間，但黑客們發(fā)誓要在8月1日(周一)晚些時(shí)候進(jìn)行披露。

ALPHV/BlackCat最近推出了一個(gè)新的勒索平臺(tái)，讓訪問(wèn)者可以搜索被盜數(shù)據(jù) ，目的是增加受害者的壓力，讓他們支付贖金。在2022年7月10日下午15:35 在Dark Web發(fā)布的最新帖子中，“ALPHV”不僅通過(guò)文本簽名引入了搜索，而且還支持用于搜索密碼和泄露 PII 的標(biāo)簽。似乎一些被盜文件仍在索引中，但大部分已可用于快速導(dǎo)航。已識(shí)別出超過(guò)2,270個(gè)包含明文訪問(wèn)憑證和密碼信息的索引文檔，以及超過(guò)100,000 包含機(jī)密標(biāo)記的文檔，包括索引的電子郵件通信和敏感附件。

雖然BlackCat繼續(xù)創(chuàng)新數(shù)據(jù)勒索，但他們似乎從未從錯(cuò)誤中吸取教訓(xùn)，并繼續(xù)針對(duì)可能使他們成為國(guó)際執(zhí)法機(jī)構(gòu)瞄準(zhǔn)目標(biāo)的知名公司。

BlackCat被認(rèn)為是重新命名的DarkSide， 在對(duì)Colonial Pipeline的廣為人知的勒索軟件攻擊后，在執(zhí)法部門(mén)的壓力下關(guān)閉。

關(guān)閉DarkSide后，他們重新命名為BlackMatter以逃避執(zhí)法，但隨著該團(tuán)伙再次關(guān)閉，壓力仍在繼續(xù)。

自 2021年11月威脅行為者以BlackCat/ALPHV的形式重新啟動(dòng)以來(lái)，威脅行為者傾向于避開(kāi)美國(guó)的大型目標(biāo)，轉(zhuǎn)而瞄準(zhǔn)歐洲實(shí)體，如奧地利國(guó)家、 意大利時(shí)裝連鎖店和瑞士機(jī)場(chǎng)服務(wù)提供商。

然而，他們似乎沒(méi)有從錯(cuò)誤中吸取教訓(xùn)，繼續(xù)攻擊關(guān)鍵基礎(chǔ)設(shè)施，例如2月份的德國(guó)石油供應(yīng)公司 Oiltanking和現(xiàn)在的Creos Luxembourg。

BlackCat也稱為“ALPHV”或“AlphaVM”和“AphaV”，是用Rust編程語(yǔ)言創(chuàng)建的勒索軟件系列。該組織的領(lǐng)導(dǎo)人在暗網(wǎng)論壇上的通訊中具有相同的別名，將Rust描述為與 Lockbit和Conti相比美，Rust是他們的儲(chǔ)物柜的競(jìng)爭(zhēng)優(yōu)勢(shì)之一。盡管Blackcat和 Alpha 在TOR網(wǎng)絡(luò)中具有完全不同的URL，但它們頁(yè)面上使用的腳本場(chǎng)景是相同的，并且可能由相同的參與者開(kāi)發(fā)。

歐盟網(wǎng)絡(luò)安全局7月29日發(fā)布了一份報(bào)告，其中分析了2021年5月至2022年6月期間歐盟發(fā)生的 623起事件。報(bào)告發(fā)現(xiàn)，在勒索軟件攻擊期間，每月有10TB的數(shù)據(jù)被盜和外泄，而超過(guò)60% 的組織可能已經(jīng)支付了贖金。

參考資源

1、https://www.bleepingcomputer.com/news/security/blackcat-ransomware-claims-attack-on-european-gas-pipeline/

2、https://www.encevo.eu/en/encevo-cyberattack/

文章來(lái)源：網(wǎng)空閑話