第346期

本周热点事件威胁情报

勒索团伙声称窃取Freedman HealthCare敏感文件

勒索团伙近日宣称入侵了美国健康数据分析公司Freedman HealthCare，窃取了52.4GB、共计42204份敏感文件，计划于美国东部时间周二凌晨4点公开泄露。Freedman HealthCare服务对象包括多个州政府机构、保险公司及医疗提供方，参与了加州、特拉华州与罗德岛等地大规模医疗数据库的建设，涉及数千万居民的医保、诊疗和支付数据。一旦数据属实泄露，或将成为近年来最严重的医疗信息安全事件之一。勒索团伙此前曾威胁癌症患者并泄露整形术前照片，以施压受害方支付赎金，显示其无底线的勒索手段和对关键行业的高频攻击趋势。Freedman公司尚未对此事件公开回应。

参考链接：

https://www.theregister.com/2025/06/16/extortionists_claim_freedman_healthcare_hack/

新兴勒索组织Anubis具备加密与文件抹除双重破坏能力

安全研究机构近日披露，一款名为Anubis的新兴勒索软件即服务（RaaS）正在迅速崛起，其独特之处在于结合传统勒索加密与文件抹除功能，形成“双重威胁”攻击模式。该组织自2024年12月活跃以来，已攻击澳大利亚、加拿大、秘鲁和美国的医疗、建筑等多个行业目标。Anubis具备“wipe mode”功能，可在受害者文件被加密的同时永久删除部分文件，彻底摧毁恢复可能，即便缴纳赎金也无济于事。此外，Anubis运营灵活的联盟分成制度，在俄罗斯语网络论坛RAMP和XSS上活跃，吸引合作者参与加密勒索、数据售卖与访问权限转让等多种变现路径。安全专家指出，Anubis的代码与早期样本“Sphinx”高度相似，显示其经过改进和重命名，进一步提升了隐蔽性与操作效率。研究还观察到其通过命令行进行系统设定修改与目录抹除等操作，显露出高度毁灭性的意图。随着Anubis等组织的发展，勒索软件生态正向更加激进和多元化方向演变，威胁情报人员和安全团队需密切关注其攻击策略与联盟网络的扩张动向。

参考链接：

https://www.trendmicro.com/en_us/research/25/f/anubis-a-closer-look-at-an-emerging-ransomware.html

Black Basta泄露事件暴露钓鱼攻击与Google账号接管风险

近期泄露的Black Basta勒索组织内部数据揭示了该组织内部运作的细节，并引发业界对多种网络攻击手法的警觉，尤其是钓鱼攻击、Google账号接管、以及通过Microsoft Teams实施的入侵行为。据安全公司ReliaQuest的分析，2月11日泄露的一批消息中包含多达20万条来自Black Basta组织内部的聊天记录。这些由代号“ExploitWhispers”的疑似前成员公开的信息，与5月7日LockBit组织的数据库泄露一同，进一步揭示了勒索团伙内部运作细节及攻击手法。ReliaQuest警告称，组织应立即禁止公司设备访问个人Google账户，并加强员工对钓鱼邮件和Microsoft Teams相关社交工程攻击的识别能力。此外，还需监控Python脚本的异常使用，因为攻击者常在成功实施Teams钓鱼攻击后通过Python脚本开展后续控制。在泄露的聊天中，Black Basta的头目（据称名为Oleg Nefedov，使用别名Trump、GG和AA）提到两个活跃于Exploit犯罪论坛的成员：SebastianPereiro和marmalade_knight。前者参与有关Microsoft Teams零日漏洞的讨论，后者专注于暴力破解工具的配置。据分析，这两人或其方法被用于指导Black Basta的渗透团队。

参考链接：

https://www.govinfosecurity.com/blogs/black-basta-leaks-highlight-phishing-google-takeover-risks-p-3890

Fog勒索软件使用合法工具和开源工具发起攻击活动

2025年5月，Fog勒索软件组织攻击了一家亚洲金融机构，采用了一组极为罕见的渗透与监控工具，引发安全研究人员关注。据Symantec报告，攻击者在入侵中使用了Syteca监控软件、GC2、Stowaway和Adaptix等工具，这些工具通常出现在红队测试或间谍行动中，而非传统勒索软件攻击中。攻击者潜伏在受害网络内长达两周，显示出高度策划与耐心。更罕见的是，攻击完成后还创建了持久性服务以保持访问权限，这一行为暗示勒索行为可能只是掩护，实际目标或为窃取情报。GC2通过Google Sheets或SharePoint建立C2通道，Syteca疑用于监视，Stowaway用于渗透传输，Adaptix C2则协助数据控制和持久化操作。虽然此次攻击的初始入侵路径尚未明确，但专家怀疑与Exchange服务器有关。此次行动与Fog以往针对美国学校、利用VPN或漏洞传播的手法形成鲜明对比，显示出其攻击策略正在不断演进。研究人员指出，这种非常规工具组合及异常持久性行为值得各组织警惕，提示未来勒索攻击可能融合更多间谍活动元素。

参考链接：

https://securityaffairs.com/178969/malware/unusual-toolset-used-in-recent-fog-ransomware-attack.html

勒索组织威胁公开巴拉圭720万公民数据

一个自称“Brigada Cyber PMC”的勒索组织近日声称，从巴拉圭政府多个系统中窃取了720万公民的个人身份信息，并要求政府支付740万美元赎金，否则将公开全部数据。该组织在暗网泄露网站发布通告，并设定最后期限为6月13日。所涉数据包括姓名、性别、国籍、职业、身份证号、出生日期及婚姻状况等敏感信息。据网络安全公司Resecurity披露，该组织疑似于5月28日首次在黑客论坛上出售两份SQL数据库，并提供部分样本验证真实性。同时，另一名黑客“el_farado”也在不同论坛中兜售号称来自巴拉圭科迪勒拉州的完整公民数据库，可能显示有多个攻击者或攻击事件同时发生。Resecurity指出，该组织有可能与此前攻击南美多个国家政府系统的黑客有关，且部分攻击者与新兴勒索团伙FunkSec存在关联。同时，有情报显示巴拉圭交通与道路安全局系统曾于5月29日被下线维护，疑与数据泄露事件有关。

参考链接：

https://www.govinfosecurity.com/ransomware-group-threatens-to-dump-paraguayan-citizens-data-a-28686