每周安全速递³⁵⁷ | 研究人员披露DireWolf勒索组织
发布时间:2025-09-08
阅读次数: 358 次
DireWolf勒索组织于2025年5月首次出现。同月26日,他们在暗网泄密网站上公布了首批6名受害者。该组织声称其唯一目标是金钱,并通过Tox messenger联系受害者。在技术上,DireWolf勒索软件通过结合Curve25519密钥交换和ChaCha20流加密来执行文件加密。在此过程中,每个文件都会生成一个随机会话密钥,并使用攻击者硬编码的公钥和共享密钥来派生加密密钥。该密钥随后通过SHA-256处理,最终对加密文件添加“.direwolf”扩展名。勒索信以“HowToRecoveryFiles.txt”的名称创建。勒索信中包含了硬编码的roomID和用户名,这些是受影响公司的名称。攻击者还将一些泄露的文件上传到一个免费的文件共享网站,允许其他人访问这些文件,并以此作为证据从而威胁受害者。
https://asec.ahnlab.com/en/89944/
2、Storm-0501转向云端勒索攻击
微软最新报告警告,长期活跃的黑客组织Storm-0501已调整战术,从传统终端加密型勒索转向完全基于云端的攻击。该组织利用窃取的目录同步账户及漏洞绕过多因素认证,获取Azure环境的全局管理权限,并通过新增恶意联合域实现持久控制。随后,攻击者会禁用防御、窃取敏感数据、删除快照与备份,甚至通过创建新密钥库强行加密云端数据,迫使受害者支付赎金。与传统勒索软件不同,这类云原生攻击无需植入恶意程序,而是依赖云平台原生功能实施数据破坏与勒索。微软警告,此类战术更隐蔽且难以防范,未来或成为勒索攻击新趋势。
https://www.microsoft.com/en-us/security/blog/2025/08/27/storm-0501s-evolving-techniques-lead-to-cloud-based-ransomware/
MATLAB与Simulink开发商MathWorks确认其网络在今年4月遭勒索软件攻击,导致10476名个人敏感信息被窃取。公司5月曾披露该事件,并将部分内部与客户服务中断(如MFA认证、SSO、许可证中心及云服务)归因于此次攻击。根据提交给美国多州检方的通知,泄露数据可能包括姓名、住址、出生日期、社会安全号或其他国家身份证号码。尽管事件已过去数月,但攻击组织身份仍未公开,也无人声称负责,外界推测MathWorks或仍在谈判或已支付赎金。作为全球领先的数学计算与仿真软件供应商,此次事件突显高科技企业也日益成为勒索软件攻击目标。
https://www.maine.gov/agviewer/content/ag/985235c7-cb95-4be2-8792-a1252b4f8318/7c84e106-7404-4ea6-bbae-3642bff30457.html
NightSpire是一个自2025年2月以来一直活跃的勒索组织,该组织运营一个专用的泄密网站,并在网站上发布受害者的信息以及支付赎金的截止时间。该组织提供多种沟通渠道,如ProtonMail、OnionMail和Telegram频道,以便与受害者进行谈判。该勒索组织声称利用企业的漏洞来渗透其系统,并已经攻击了多个国家和行业的公司。NightSpire勒索软件使用分块加密或整体加密的方法对指定类型的文件进行加密,被加密文件的扩展名为“.nspire”。
https://asec.ahnlab.com/en/89913/
PEAR勒索组织称对本月初俄亥俄州西切斯特镇遭受的网络攻击负责。8月12日,西切斯特镇政府官员宣布,他们发现了一起网络安全事件。PEAR勒索组织在2025年8月15日声称对此次攻击负责,并表示窃取了2TB的数据,但西切斯特镇尚未证实PEAR的说法。两周后,该镇政府官员报告了该镇电子邮件服务器遭受的第二次攻击事件。8月26日,该镇表示已关闭电子邮件、电话和网站服务。据称,镇政府员工收到了勒索信。目前尚无勒索组织声称对第二次攻击事件负责。
https://www.comparitech.com/news/ransomware-group-says-it-hacked-west-chester-township-oh
浙公网安备 33010502006954号 
