美国检方起诉三名前网络安全从业者，涉嫌参与BlackCat|黑客扫描 TCP端口8530/8531疑似利用 WSUS远程执行漏洞

关键词

勒索攻击

美国联邦检察官近日起诉三名美国公民，指控他们在 2023 年 5 月至 11 月期间利用 BlackCat（又名 ALPHV）勒索软件攻击多家美国企业网络并实施敲诈勒索。被起诉的三人为佛罗里达州居民——瑞安·克利福德·戈德堡（Ryan Clifford Goldberg）、凯文·泰勒·马丁（Kevin Tyler Martin）以及一名未公开姓名的同伙（被称为“共谋者1”）。

起诉书显示，他们以医疗设备制造商（佛罗里达州坦帕）、制药企业（马里兰州）、加州一家诊所、加州一家工程公司，以及弗吉尼亚州一家无人机制造公司为攻击目标，入侵系统、窃取数据并部署勒索程序，随后要求高额加密货币赎金。

据《芝加哥太阳时报》报道，案发时马丁与“共谋者1”均在一家名为 DigitalMint 的公司担任勒索谈判员，而戈德堡则在网络安全公司 Sygnia 担任应急响应经理。目前三人均已离职。DigitalMint 与 Sygnia 均表示已配合执法机关调查。早在 2025 年 7 月，《彭博社》就曾报道 FBI 正调查一名 DigitalMint 前员工涉嫌从赎金支付中分成。

根据起诉文件，三人被控密谋通过非法访问受害企业的网络与计算机系统、窃取数据、部署 BlackCat 勒索软件并收取加密货币赎金，以谋取非法利益。其中部分攻击细节包括：

2023 年 5 月 13 日左右，他们攻击了一家医疗设备公司，索要 1000 万美元赎金，最终公司支付了约 127.4 万美元的虚拟货币；
同月，他们攻击另一家公司，赎金额未公布；
7 月，他们攻击一家加州诊所，要求 500 万美元；
10 月，他们攻击一家工程公司，索要 100 万美元；
11 月，他们攻击一家无人机制造商，索要约 30 万美元。

部分攻击未成功获取赎金。据法庭文件，马丁目前拒绝认罪，而戈德堡则在 FBI 面谈中承认受“共谋者1”招募参与攻击，目的是“赎清债务”。“共谋者1”目前尚未被正式起诉。

检方指控戈德堡与马丁犯有“通过敲诈干扰州际商业的共谋罪”、“通过敲诈干扰州际商业罪”以及“故意破坏受保护计算机罪”等多项联邦重罪。如果罪名成立，他们最高可能面临长达 50 年的联邦监禁。

关键词

安全漏洞

近期，网络安全研究人员与防火墙监测服务发现，大量扫描活动正集中针对 Windows Server Update Services（WSUS）基础设施，特别是 TCP 端口 8530 与 8531。根据包括 Shadowserver 在内的安全组织网络传感器数据，这两组端口的探测行为在过去一周内急剧上升。

虽然部分扫描源与安全研究项目相关，但分析人员同时发现，大量来自未知实体的探测流量，这些活动与任何已知安全研究机构无关，表明可能存在恶意攻击者正准备利用漏洞。该行为与近期公开的严重漏洞 CVE-2025-59287 高度吻合——此漏洞可使攻击者在 WSUS 服务器上远程执行任意代码。

攻击者可通过连接至未加密的 8530 端口或使用 TLS 加密的 8531 端口，直接访问存在漏洞的 WSUS 服务。一旦连接建立，便可在目标系统上无认证地执行恶意脚本，完全控制受害服务器。

SANS 的分析显示，这类攻击通常分为两个阶段：第一阶段是侦察与扫描，用于识别可被利用的系统；第二阶段是实际利用，攻击者会向确认存在漏洞的服务器植入恶意脚本，从而获得深层控制。鉴于当前大规模扫描行为，专家认为所有暴露在公网且具备漏洞特征的 WSUS 实例都应视为已遭入侵。

漏洞信息已在公开渠道广泛传播，技术细节充足，极大降低了攻击门槛，使中等水平的威胁行为者也能轻易构造并部署利用代码。安全专家警告，任何暴露在互联网环境中的 WSUS 服务都应立即视为潜在受害目标。

目前，该漏洞（CVE-2025-59287）的严重等级高达 9.8，影响多个版本的 WSUS 服务。安全团队与系统管理员应立即检查网络边界，确认是否存在可从外部访问的 WSUS 服务器。一旦发现，应立即采取隔离措施，并执行全面的取证分析，以判断是否已被攻击。

对于尚未能及时部署补丁的组织，建议通过网络分段限制 WSUS 服务仅对内部授权网络开放。同时，应启用高级威胁检测机制，对 WSUS 进程异常脚本执行与可疑外联行为进行实时监控，以便第一时间识别入侵迹象。

文章来源 ：安全圈