The Good | Robinhood勒索软件运营者认罪 网络诈骗公司遭制裁
美国当局近期对Robinhood勒索软件团伙和菲律宾Funnull Technology公司采取执法行动。伊朗籍运营者Sina Gholinejad(化名Sina Ghaaf)已承认在2019至2024年间通过管理员凭证窃取和漏洞利用手段,针对巴尔的摩、格林维尔等美国城市及医疗非营利组织部署勒索软件,造成数百万美元损失。攻击者使用VPN、加密货币混币器和欧洲服务器隐匿行踪,最高面临30年监禁。
菲律宾Funnull Technology公司因协助虚拟货币诈骗被美国财政部制裁,其通过出售IP地址和托管服务支持超33.2万个恶意域名,涉案金额超2亿美元。该公司提供域名生成算法、品牌仿冒模板及快速切换IP等技术工具,中国籍管理员Liu Lizhi同时被列入制裁名单。
The Bad | Go语言僵尸网络"PumaBot"通过SSH暴力攻击物联网设备
新型Go语言恶意软件PumaBot正针对嵌入式物联网设备实施精准攻击。该僵尸网络通过C2服务器(ssh.ddos-cc[.]org)获取目标IP列表,暴力破解SSH端口(22)后植入持久化后门。攻击流程包括:
- 检查设备标识"Pumatronix"(疑针对监控摄像头厂商)
- 执行
uname -a排除蜜罐环境 - 将二进制文件写入
/lib/redis - 创建伪装系统服务(如redis.service/mysqI.service)
- 添加SSH公钥维持访问
PumaBot具备安装PAM rootkit、窃取凭证(存储于/usr/bin/con.txt)及横向移动能力,其组件还包括Go后门、SSH暴力破解工具networkxm等。防御建议包括:更新固件、禁用默认凭证、网络分段、限制SSH访问及监控异常登录。
The Ugly | DragonForce勒索软件通过RMM漏洞攻击MSP服务商
DragonForce勒索团伙近期利用SimpleHelp远程管理平台的3个漏洞(CVE-2024-57726/57727/57728)入侵MSP服务商,窃取客户环境数据后部署加密器。该组织采用"白标"勒索即服务(RaaS)模式:
- 允许附属团伙定制加密器品牌
- 提供Tor泄漏站点、谈判面板等基础设施
- 2025年3月已列出136名受害者
此攻击再次凸显MSP作为供应链关键节点的风险价值。历史案例显示,ConnectWise、ScreenConnect、Kaseya等主流RMM平台均曾遭类似利用。随着勒索软件生态去中心化和AI技术的滥用,威胁态势持续升级。