FBI再立功，查封了勒索软件团伙Radar/Dispossessor的服务器及域名，Dispossessor的暗网泄密网站被关闭

美国联邦调查局周一宣布，经过国际联合执法调查，FBI已查封了名为Radar（又名Dispossessor）勒索软件团伙的服务器和网站。

此次联合行动由英国国家打击犯罪局、班贝格检察官办公室和巴伐利亚州刑事警察局（BLKA）合作开展。这对美国联邦调查局来说是一次罕见的胜利，它正在与全球执法机构一起努力遏制勒索软件日益严重的威胁。

美国联邦调查局俄亥俄州克利夫兰办事处发表声明称，执法部门查获了3台美国服务器、3台英国服务器、18台德国服务器、8个美国域名和1个德国域名，其中包括radar[.]tld、dispossessor[.]com、cybernewsint[.]com（虚假新闻网站）、cybertube[.]video（虚假视频网站）和dispossessor-cloud[.]com。目前访问这些网站，会显示一条来自执法部门的消息，内容为：“该网站已被查封。”

该勒索软件团伙的暗网泄密网站地址为：http://e27z5kd2rjsern2gpgukhcioysqlfquxgf7rxpvcwepxl4lfc736piyd.onion，经“暗网下/AWX”测试，目前也已无法访问。

自2023年8月成立以来，Radar/Dispossessor勒索软件团伙由名为“Brain”的头目领导，将目标锁定在世界各地各个行业的中小型企业，他们会利用受害公司系统的安全漏洞，窃取大量数据，并用加密技术扰乱公司数据。该团伙声称对美国、阿根廷、澳大利亚、比利时、巴西、洪都拉斯、印度、加拿大、克罗地亚、秘鲁、波兰、英国、阿拉伯联合酋长国和德国的数十家公司发动了攻击，其中FBI确定了至少43名受害者。

美国联邦调查局称，勒索软件团伙利用漏洞、弱密码以及账户缺乏多因素身份验证等手段入侵网络。在获得受害企业网络访问权限后，他们会窃取数据并部署勒索软件来加密公司的设备。

联邦调查局表示：“一旦犯罪分子获得系统访问权限，他们就会获得管理员权限并轻松访问文件。然后实际的勒索软件被用于加密。结果，这些公司无法再访问自己的数据，一旦公司受到攻击，如果他们没有联系犯罪分子，该团伙就会通过电子邮件或电话主动联系受害公司的其他人。这些电子邮件还包含之前被盗文件播放的视频平台链接。”这是敲诈勒索团伙常用的手段，被称为“双重敲诈”。

该网络犯罪团伙成立之初，以勒索软件团伙的身份进行活动，转载在LockBit勒索软件攻击期间窃取的旧数据，并声称自己是LockBit勒索软件团伙的附属机构。Radar/Dispossessor还转载了其他勒索软件行动的泄密信息，并试图在各种数据交易市场和黑客论坛（如BreachForums和XSS）上出售这些信息。

“Dispossessor最初宣布重新提供大约330名LockBit受害者的数据。据称这是以前可用的LockBit受害者的重新发布数据，现在托管在Dispossessor的网络上，因此不受LockBit可用性限制，”SentinelOne在4月份的一份报告中表示。

“Dispossessor似乎正在重新发布之前与其他勒索软件团伙相关的数据，例如Cl0p、Hunters International和8base。我们知道Dispossessor上列出的受害者至少有十几个之前也被其他团伙列出过。”

从2024年6月开始，威胁行为者开始利用泄露的LockBit 3.0加密器[VirusTotal]用于他们自己的加密攻击，大大扩大了他们的攻击范围。

“暗网下/AWX”看到，在过去的一年里，美国及其盟友的执法部门渗透、破坏和打击了ALPHV/Blackcat勒索软件团伙（一个部署LockerGoga、MegaCortex、HIVE和Dharma的勒索软件团伙）、Ragnar Locker勒索软件团伙、Hive勒索软件团伙以及LockBit勒索软件团伙，取得了多次重大胜利。然而，勒索软件攻击如同雨后春笋，在某些国家的庇护下，总是能够春风吹又生。