【案例介绍】赎金提高，防御失效：某上市企业两年内两度陷入同一勒索团伙之手

本文链接：https://blog.csdn.net/solarset/article/details/145140839

1. 案例介绍

1.1 千万赎金

通过ransomware.live情报监控平台披露的聊天记录（https://www.ransomware.live/nego/hunters/20240510）可以了解到在2024年3月-4月，黑客组织hunters攻击并泄露了某公司，泄露数据总量超过1.2TB，数量大小为2,793,643 个文件，并且hunters组织明确要求1000w美元，不同意任何讨价还价的可能，若不支付会直接公开受害者的数据信息

最终受害者公司提出以400万美元作为赎金，但是Hunter组织依然坚持1000万美元，导致谈判破裂，最终该公司的敏感数据被公布在Hunter的官网

1.2 疑似受害者信息

通过聊天记录中提到的复活节日期（3月31日），我们初步推测该受害者被勒索的时间。同时，根据聊天记录中公开数据的数量和时间点进行分析，我们认为该受害者疑似为 Exela Technologies（易赛诺科技公司）。从公开的信息可以看出，Hunters 组织将泄露的数据细分为四种类型：个人身份信息、政府数据、客户数据和私人数据，并基于这四类数据进行了更细致的分类。这表明，该组织在 DLS 模式的运营上展现出较高的专业性和精细化水平。

1.3 公司介绍

Exela Technologies**（纳斯达克代码：XELA）是一家全球领先的上市**业务流程自动化（BPA）公司，致力于为各行业提供数字化转型解决方案，以提升质量、生产力和终端用户体验。公司总部位于美国德克萨斯州欧文市，成立于2017年，由 SourceHOV LLC、Novitex Holdings, Inc. 和 Quinpario Acquisition Corp. 2 合并而成，并在纳斯达克上市。

Exela 的解决方案涵盖信息管理、工作流程自动化和集成通信等核心技术，广泛服务于金融、医疗保健、保险和公共部门等多个行业。公司在美洲、欧洲、中东、非洲和亚太地区设有约 120 个交付中心，拥有约 13,100 名员工。作为一家上市公司，Exela 利用其专有技术和全球布局，帮助企业实现流程自动化，提高效率，降低成本，并推动数字化转型的深入发展。

1.4 两次勒索

根据聊天记录我们可以看到，这不是Exela Technologies第一次被勒索了，受害者的发言表明在本次勒索事件之前已经经历过类似事情。

根据网上公开信息表示，早在 2022年6 月 20 日加密了Exela Technologies公司数据，并在疑似谈判失败后，于 7 月 13 日公布了详细信息。

有趣的是，Hive勒索组织疑似是Hunters勒索组织的前身，可以说，时隔两年，Exela这家上市公司面对老对手还是被入侵成功，甚至在今年的1月份，Exela公司联合XBP Europe公司成立安全部门，推出旗下ai网络安全产品及服务，并声称推出 Reaktr.ai，提供由 AI 赋能的网络安全、数据现代化和多云管理，但最终呈现的结果却不尽人意。

2. 背景

2.1 家族介绍

Hunters International是一个勒索软件即服务（Ransomware-as-a-Service，简称RaaS）组织，于2023年出现。专注于攻击Windows和Linux环境，进行数据加密和泄露。这个组织的主要目标是泄露目标数据，然后以赎金要求换取被盗数据的归还，以此方式勒索受害者。

勒索病毒家族在多个国家针对企业进行攻击并不罕见，但这个组织的特别之处在于，它有意培养一种国际化的运营模式。它是一个勒索软件即服务（RaaS）的运营方，而许多RaaS运营方都会与分布在不同国家的“附属团体”（affiliates）合作。据推测，该组织的“总部”位于东欧或俄罗斯，但其基础设施和活动已经被追踪到亚洲、南非及其他地区。这种分布式的地理布局使得执法机构难以中断其运营，但也给该组织带来了协调运作的挑战，例如时区差异、操作安全性以及攻击的一致性等问题都可能受到影响。

RaaS 是 Ransomware-as-a-Service（勒索软件即服务） 的缩写。它是一种商业化的勒索软件运营模式，类似于合法软件即服务（SaaS）的模式。

在 RaaS 模型中，勒索软件开发者或组织会开发勒索软件工具并提供给其他犯罪分子或“附属者”（affiliates）使用。附属者负责实际的攻击活动，如入侵目标网络并部署勒索软件，而开发者则提供技术支持、工具更新以及支付赎金的基础设施。通常，附属者会将获得的赎金按一定比例分给开发者。

2.2 家族起源

Hunters International 是一个于 2023 年 10 月崛起的勒索软件团体，采用 Ransomware-as-a-Service（RaaS） 模式运营。其技术和运营策略与此前被执法部门拆解的 Hive 勒索软件高度相似，甚至代码有 60% 重叠。这引发了人们对其是 Hive 演变或重新品牌化的猜测。然而，Hunters International 否认了这些指控，声称自己是一个独立的新团体，仅接管了 Hive 的部分源代码和基础设施，而非 Hive 的延续或分支。

根据这张截图显示，该组织的管理员/威胁行为者首次于2023年10月24日宣布了他们的数据泄露网站（DLS）。

翻译：关于我们的猜测 我们注意到，有人基于加密代码60%的相似性，错误地认定我们是Hive勒索软件团伙的延续。事实上，Hive的所有源码，包括其网站以及旧版的Golang和C语言版本，都已经被出售，而我们是购买这些资源的人。然而，对我们来说不幸的是，我们发现这些代码中存在许多错误，导致某些情况下无法成功解密。我们已经修复了所有这些问题。正如你在这里看到的，加密并不是我们的主要目标，这也是为什么我们没有自己开发加密代码的原因。

Hunters 对 Hive 代码进行了许多改进，包括以下内容：

修正了Hive原始加密逻辑中的“某些情况下导致文件无法解密”的多个问题；
减少了命令行参数，并简化了加密密钥存储的流程；
使用Rust重新构建了代码，而早期的Hive版本是用C语言和Golang编写的；
增加了定制化选项，包括文件扩展名的设置、删除卷影副本（Volume Shadow Copies）以及指定加密的最小文件大小；
将加密算法从ChaCha20-Poly1305更改为AES和RSA算法的组合。

该组织似乎通过减少命令行选项和优化加密密钥管理来简化了 Hive 勒索软件。通过切换到以其安全性和效率著称的 Rust 语言，他们增强了恶意软件的检测规避能力并加快了加密速度。此外，他们的勒索软件将加密密钥嵌入到加密文件中，这使得安全专家的解密过程变得复杂，而对于支付赎金的受害者来说则简化了。

2.3 Hunters International DLS模式

DLS:“Data Leak Site”（数据泄露网站）

备注：在网站正式公开上线之前，团队成员可能已经在内部使用该网站。

通过追踪其受害者列表的时间线，发现他们于 2023 年 10 月 20 日 列出了第一个受害者。这表明该 DLS 至少从该日期开始或更早已投入使用。然而，该网站直到 2023 年 10 月 28 日 才开始获得关注，因为各种信息安全资源报道称其代码与 Hive 勒索软件高度相似。

随后，Hunters International 于 2024 年 1 月 22 日 推出了其 Onion 网络上的 DLS 清晰版网站（与原名相同）。

勒索软件即服务（RaaS）团体可能出于以下几个原因发布数据泄露网站：

施压受害者：通过威胁曝光敏感数据，迫使受害者尽快支付赎金。
重复获利：即使受害者支付了赎金，一些团体仍会将数据在暗网上出售或用于其他恶意用途，以获取额外收入。
提升声誉：通过公开成功的攻击和数据泄露事件，在犯罪圈内提升声誉，从而吸引更多的“客户”。
扩大影响：这些网站不仅会对直接受害者施加压力，还可能影响其合作伙伴或客户，从而放大攻击的影响，提高赎金支付的可能性。
打击企业形象：例如，像 ALPHV 这样的勒索软件运营者，曾直接向美国证券交易委员会（SEC）报告受害者的数据泄露，揭露受害公司未能在规定的四天内完成信息披露。这种策略可以损害企业的商业声誉。

3. Hunters International 平台介绍

3.1 泄露平台

3.1.1 暗网地址

https://hunters55rdxciehoqzwv7vgyv6nt37tbwax2reroyzxhou7myxxxxxx.onion 数据泄露平台
https://hunters33dootzzwybhxyh6xnmumopeoza6u4hkontdqu7awxxxxxx.onion   登录平台