根據Zscaler ThreatLabz 的報告，一家財富50 強公司向黑暗天使勒索軟體團夥支付了破紀錄的7,500 萬美元贖金。 「2024 年初，ThreatLabz 發現一名受害者向『黑暗天使』支付了7500 萬美元，高於任何公開的金額–這一成就勢必會引起其他攻擊者的興趣，他們希望透過採用他們的關鍵策略（我們將在下文中介紹）來複製這種成功，」《2024 年Zscaler 勒索軟體報告》寫道。

加密貨幣情報公司Chainalysis 在X 日的Twitter上進一步證實了這項破紀錄的支付。

先前已知的最大一筆贖金是保險巨頭CNA在遭受Evil Corp 勒索軟體攻擊後支付的4000 萬美元。

雖然Zscaler 沒有透露是哪家公司支付了7,500 萬美元的贖金，但他們提到這家公司是財富50強企業之一，攻擊發生在2024 年初。

2024 年2 月遭受網路攻擊的財富50 強公司之一是製藥巨頭Cencora，該公司在榜單上排名第10 位。 沒有勒索軟體團夥聲稱對攻擊負責，這可能表明有人支付了贖金。

BleepingComputer 聯繫了Cencora，詢問他們是否向黑暗天使支付了贖金，但尚未收到回覆。

誰是黑暗天使

黑暗天使是2022 年5 月發起的勒索軟體行動，當時它開始以全球公司為目標。

與大多數人為操作的勒索軟體團夥一樣，”黑暗天使”的操作員會入侵企業網路並橫向移動，直到最終獲得管理權限。在此期間，他們還會從被入侵的伺服器上竊取數據，然後在索要贖金時利用這些數據作為額外的籌碼。

當他們存取Windows 網域控制站時，威脅者就會部署勒索軟體來加密網路上的所有裝置。

威脅分子在發起行動時，使用了基於洩漏的Babuk 勒索軟體原始碼的Windows 和VMware ESXi 加密程式。

然而，隨著時間的推移，他們轉而使用Linux 加密器，這與Ragnar Locker 自2021 年以來使用的加密器如出一轍。 2023 年，執法部門搗毀了Ragnar Locker。

在黑暗天使對Johnson Controls的攻擊中，這個Linux 加密器被用來加密該公司的VMware ESXi 伺服器。

在這次攻擊中，”黑暗天使”聲稱竊取了27 TB 的公司數據，並要求支付5100 萬美元的贖金。

黑暗天使的勒索信

威脅者還經營一個名為”Dunghill Leaks”的資料外洩網站，用來勒索受害者，威脅說如果不支付贖金就會洩漏資料。

黑暗天使的”鄧希爾”資料外洩網站

Zscaler ThreatLabz 稱，”黑暗天使”採用的是”大獵殺”策略，即只針對少數幾家高價值公司，希望獲得巨額賠付，而不是同時針對多家公司，支付數量眾多但金額較小的贖金。

Zscaler ThreatLabz 的研究人員解釋說：”‘黑暗天使’組織採用了一種針對性很強的方法，通常一次只攻擊一家大公司。這與大多數勒索軟體團夥形成鮮明對比，這些團夥不加區分地以受害者為目標，並將大部分攻擊工作外包給由初始訪問經紀人和滲透測試團隊組成的附屬網路”。

據Chainalysis 稱，在過去幾年中，”大獵殺”戰術已成為許多勒索軟體團夥利用的主要趨勢。