史上最高！这家企业向勒索软件支付了超5.4亿元赎金；

自动草稿

受害者目前未具名；成功索要赎金的黑暗天使一跃成为今年最值得关注的勒索软件团伙。

安全内参7月31日消息，一个名叫黑暗天使（Dark Angels）的勒索软件网络犯罪团伙，从一位未具名的受害者那里获取了全球有史以来最大金额的赎金。美国知名零信任安全公司Zscaler的研究人员表示，该团伙勒索了7500万美元（约合人民币5.42亿元），几乎是此前公开报道的勒索软件赎金最高记录的两倍。2021年3月，美国保险巨头CNA Financial遭受勒索软件攻击后被迫支付4000万美元（约合人民币2.89亿元）。在攻击中，黑暗天使使用RagnarLocker勒索软件的变种锁定VMWare ESXi服务器。Zscaler警告说，黑暗天使的成功可能会“驱使其他勒索软件团伙采用类似策略。因此，各组织更加需要优先保护自己，免受日益增长且代价越来越高的勒索软件攻击。”Zscaler在2024年勒索软件报告中还指出，2023年4月至2024年4月间，勒索软件攻击同比增加了18%。被列在数据泄露网站上的受害公司数量自去年以来增长了近58%。报告还发现，美国、意大利和墨西哥的勒索软件攻击增长率最高。这三个国家的勒索软件攻击“涨幅惊人”，分别达到93%、78%和58%。自动草稿 图：各国勒索软件受害者比例

黑暗天使团伙揭秘

黑暗天使针对各种行业，包括医疗、政府、金融和教育。最近，有观察发现它针对大型工业、技术和电信公司发起攻击。Zscaler表示：“黑暗天使团伙采用高度针对性的方法，通常一次攻击一家大型公司。这与大多数勒索软件团伙形成鲜明对比，后者会无差别地选择受害者，并将大部分攻击外包给初始访问代理和渗透测试团队的附属网络。”“一旦黑暗天使确定并攻陷目标，他们会选择性地决定是否加密公司的文件。在大多数情况下，黑暗天使团伙会窃取大量信息，通常在1-10 TB之间。该团伙已经从大型企业窃取了10-100 TB的数据，传输这些数据可能需要数天到数周时间。”Zscaler还表示，黑暗天使“最引人注目的攻击”发生在2023年9月，当时该团伙“攻陷了一家提供楼宇自动化系统解决方案和其他服务的国际企业集团”。黑暗天使要求受害者支付5100万美元赎金，声称窃取了对方超过27 TB的企业数据，并加密了该公司的VMware ESXi虚拟机。他们使用RagnarLocker勒索软件变种加密了公司的文件。Zscaler报告称，“尚不清楚”RagnarLocker与黑暗天使之间的关系，但已知该团伙在RagnarLocker遭到执法行动打击之前使用了该勒索软件，导致该软件一名关键成员于2023年10月被捕。黑暗天使团伙首次出现于2022年，使用了一种与Babuk“非常紧密相关”的勒索软件变种。Babuk常用于双重勒索攻击。随后，该团伙开始使用一种类似于RagnarLocker的变种。美国终端安全厂商SentinelOne在一篇研究黑暗天使的技术博客中写道：“虽然勒索软件团伙们成功地使用了ESXi锁定器，但是专门针对Linux系统的勒索软件家族仍然很少。黑暗天使使用的Linux版本是一个稍作修改、版本较新的RagnarLocker二进制文件。”Zscaler首席安全官Deepen Desai说：“勒索软件防御在2024年仍然是首席信息安全官们的首要任务。创纪录的赎金支付源于勒索软件即服务模型（RaaS）的日益普及，以及对遗留系统的众多零日攻击、钓鱼攻击的增加、AI驱动攻击的出现。”Zscaler报告称，最活跃的勒索软件“家族”是LockBit，占所有勒索软件攻击活动的22%，其次是BlackCat（也称为ALPHV）和8Base，后两者占比分别是9%和8%。Zscaler还将黑暗天使、LockBit、BlackCat、Akira和Black Basta列为“2024-2025年值得关注的五大勒索软件家族”。勒索软件攻击最集中的国家是美国，占所有攻击的49.95%，其次是英国（5.92%），德国（4.09%），加拿大（3.51%），法国（3.26%）。制造业是受勒索软件攻击“最多的”行业，其次是医疗、技术、教育和金融服务。值得注意的是，黑暗天使实施的这次勒索软件攻击，只有在受害者被公开或攻击得到进一步证实之后，才会正式载入史册。

办公电脑遭病毒远程控制！公安部发布多起财会人员被黑典型案例

自动草稿

近期，通过投放木马病毒入侵公司电脑，从而冒充企业老板或客户诈骗财会人员的“精准投毒”类电信网络诈骗案件高发，造成相关企业巨大损失。公安部对此高度重视，部署各地公安机关迅速行动、重拳出击，成功侦破一批重点案件，打掉一批诈骗团伙。今日，公安部公布其中5起典型案例，切实提高相关企业和人员防骗意识能力。

经查，此类诈骗案件中，诈骗分子通常将研发的木马病毒伪装成报税工具、办公软件、电子发票、涉税文件等，通过发送电子邮件或推送下载链接等方式，诱骗企业人员点击下载，从而实施木马攻击。相关企业电脑一旦被木马病毒入侵，诈骗分子即可对电脑远程监控，进而通过办公文件、聊天记录等信息“精准”分析出企业基本情况和财会、管理、销售等人员信息。随后，诈骗分子通过远程控制财会等人员的QQ、微信等社交软件，在本人未发觉的情况下，将用于诈骗的账号添加至其好友列表。时机成熟后，诈骗分子再将诈骗账号“摇身一变”，伪装成该企业老板或客户的QQ、微信，编造多种理由要求财会等人员转账汇款，从而实施诈骗。作案过程中，诈骗分子无论是前期利用木马病毒入侵电脑，还是后期假冒老板、客户要求转账汇款，都极为隐蔽，迷惑性极强，甚至通过长期潜伏逐步摸清相关人员聊天习惯和企业财务审批流程，稍有不慎就可能落入诈骗陷阱。公安部刑侦局有关负责人表示，针对此类诈骗案件多发态势，公安部已部署各地公安机关结合典型案例对企业相关人员开展反诈宣传，指导排查清除钓鱼软件，提升系统安全防护能力，切实消除风险隐患。同时，公安机关提醒广大企业和群众切实提高防范意识，定期对电脑进行杀毒，一旦发现伪装成好友的诈骗账号立即删除并更改聊天软件登录密码。如遇到单位领导、企业老板、公司客户在聊天软件中要求转账汇款的，一定要当面或者电话核实，以免遭受财产损失。5起典型案例案例1：2023年9月21日，浙江省台州市天台县公安局接报一起电信网络诈骗案件，受害人朱某系一科技公司财会人员，被诈骗分子冒充公司老板拉入微信群后转账1000余万元。案件发生以后，浙江省市县三级公安机关联合成立专案组，紧急开展资金止付和案件侦办等工作。接报后，公安机关仅用6小时就抓捕到第1名涉案犯罪嫌疑人，成功为该公司挽回损失600余万元。后经专案组缜密侦查、深挖拓线，在全国多地成功抓获涉及该案资金、通讯等环节的犯罪嫌疑人41名，实现全链条打击。案例2：2023年10月25日，福建省武夷山市公安机关接群众郑某报警称，其公司财务张某疑似被电信网络诈骗1480余万元。接报后，公安机关立即开展涉案资金止付挽损工作，当天成功止付冻结涉案资金930余万元，涉及529个账户。经查，案发前，诈骗分子通过对张某电脑投放木马病毒程序实现远程控制，进而将其微信好友中的公司老板账号秘密删除，再将假老板微信添加为其好友。随后，假老板将张某拉入一微信工作群，让张某提前支付合作公司货款，从而实施诈骗。目前，全案共抓获犯罪嫌疑人51名，打掉黑灰产团伙8个，累计挽回损失1200余万元。案例3：2024年5月22日，安徽省阜阳市公安机关接到某公司人员报警称，公司财务疑似被电信网络诈骗。经查，该公司财务王某在工作微信群中下载运行一不明文件后，电脑被植入木马病毒。境外诈骗分子通过木马病毒远程控制王某电脑，秘密窃取相关信息，利用伪装的“公司领导”微信号要求其向指定账户转账。王某信以为真，向该账户转账100万元，直至公司领导询问时才发觉被骗。案发后，阜阳市公安机关第一时间开展追赃挽损、循线打击，成功为该公司挽回损失85万元，抓获犯罪嫌疑人6名。案例4：2024年3月21日，山东省烟台市公安局蓬莱分局海港海岸派出所接到国家反诈中心下发的见面劝阻指令：辖区内一公司存在被骗风险。接指令后，派出所民警立即开展见面劝阻工作。据悉，该公司工作人员迟某伟安装了一款在网上购买的激活软件后，其电脑被植入木马病毒并被诈骗分子远程控制，自动进行打字、发送消息等操作。随后，诈骗分子利用伪装成公司工作人员的微信向会计发送信息，要求向指定账户转账100万元。了解情况后，民警迅速组织对该公司电脑进行木马病毒查杀，同时对相关人员开展反诈知识宣传，成功为企业避免财产损失。案例5：2024年5月27日，上海市松江区公安机关接到一公司经理李某求助称，其公司员工疑遭遇电信网络诈骗。经了解，该公司财务总监熊某当日收到一条微信好友申请，头像和姓名均为其公司老板。添加好友后，对方以老板日常说话语气与熊某聊天，后以支付货款为由要求其向指定公司账户转账498.6万元。熊某想起公安机关反诈宣传中“转账前要当面或电话确认”的防范提示，并未仓促转账而是立即致电公司老板。因多次未联系上老板，熊某遂将相关情况告知李某。随后，公安机关协助熊某与公司老板取得联系，成功拆穿骗局，避免公司遭受财产损失。经查，熊某公司电脑近日中了木马病毒，诈骗分子通过木马病毒逐步摸清公司人员和经营情况，伪装潜伏后伺机实施诈骗。