【安全资讯】Octo Tempest组织新增RansomHub和Qilin勒索软件

概要：

2024年第二季度，网络犯罪组织Octo Tempest新增了RansomHub和Qilin勒索软件，并在其攻击活动中使用。这一组织以其高级的社会工程、身份妥协和持久性策略而闻名，频繁攻击VMWare ESXi服务器并部署BlackCat勒索软件。

主要内容：

Octo Tempest自2022年初以来一直活跃，曾因0ktapus活动而登上头条，该活动涉嫌在过去两年内入侵了数百个组织，包括Twilio、LastPass、DoorDash和Mailchimp。该组织最近在其攻击活动中新增了RansomHub和Qilin勒索软件。RansomHub是一种勒索软件即服务（RaaS），被多个威胁行为者用于后续攻击活动。

微软报告指出，RansomHub在Manatee Tempest的后续活动中被部署，而初始访问是通过Mustard Tempest的FakeUpdates/Socgholish感染实现的。Qilin勒索软件自2022年8月以来一直活跃，Qilin组织声称已入侵超过130家公司。Qilin操作员采用双重勒索模式，最近攻击了病理服务提供商Synnovis，导致伦敦多家医院取消了数百次计划手术。

Octo Tempest组织专注于身份妥协，类似的Storm-0501组织也采用了类似战术，利用开源工具包如AADInternals进行域联合和其他技术，最终导致Embargo勒索软件的攻击。Qilin勒索软件的操作员通过双重勒索模式，进一步加剧了受害者的损失和影响。