Stormous勒索软件家族

2024-11-12 19:20:20
我要分享


微信扫码分享

Stormous勒索软件家族简介

Stormous勒索软件基本信息

Stormous勒索软件最早出现于2021年中期，是一款采用勒索软件即服务（RaaS）模式运营的双重勒索软件。该团伙对外发布的一些帖子是使用阿拉伯语撰写而成，因此推测团伙的成员可能位于中东国家和北非地区。Stormous勒索软件利用了俄罗斯与乌克兰紧张局势的升级，公开表示支持俄罗斯，这种策略与Conti勒索软件的行为类似，被认为旨在吸引公众关注，加大该团伙的影响力。该团伙擅长利用鱼叉式钓鱼技术或已知漏洞来攻击受害组织/企业网络，截至2024年10月，Stormous勒索团伙已成功攻击了172个组织和企业，影响了包括古巴、阿根廷、波兰、中国、黎巴嫩、以色列、乌兹别克斯坦、印度、南非、巴西、摩洛哥等40多个国家。受害行业广泛，其中信息技术、教育、制造业、政府、交通、能源、法律、房地产和电信行业受到的影响最为严重。

Stormous勒索软件的攻击行动存在很大的争议，因为被该勒索软件组织公布的受害者中，有的确实被成功攻击，有的攻击却缺少足够的证据证明。因之前被发现利用已泄露数据伪装成新攻击事件，该勒索软件攻击行动还被调侃为“清道夫行动”(scavenger operations)，因此Stormous勒索软件组织的攻击可能存在欺诈，其中一些典型案例如下：

可口可乐(Coca-cola)的攻击事件

Stormous勒索软件组织宣称从可口可乐公司网络中窃取了161GB数据，并索要1.65比特币（约折合64,000美元）作为赎金。然而，赎金数额与声称窃取的数据量相比显得微不足道，引发了对该团伙所掌握数据真实价值的质疑 ;

美泰(Mattel Inc)公司攻击事件

美泰公司曾在2020年11月遭受勒索软件攻击，而Stormous勒索软件组织公布的针对该公司的数据，很可能仅仅是对之前被盗数据的重新包装，企图混淆视听，以期从中获利;

乌克兰外交部攻击事件

3月1日宣布攻击了他们声称从该部的数据库中获取了大量敏感数据，例如电话号码、电子邮件、密码和卡号。但据了解，这些数据在暗网上长期流传，并且是免费共享的。

Epic Gams攻击事件

Stormous声称攻击了Epic Games，并窃取了近200GB数据，其中包括3300万用户的信息。然而，这些数据的真实性还没有得到证实。

Stormou勒索软件发展史

2023年发展情况

图1. Stormous勒索软件2023年发展情况

l 2023年7月13日，Stormous勒索软件组织通过GhostSec的Telegram频道宣布，正式与GhostSec建立合作伙伴关系，并成功合作针对古巴各部委实施行动。

l 2023年8月Five Families黑客团伙正式成立。该团伙包括了三大黑客组织、一大勒索软件组织和一个黑客论坛，具体包括：ThreatSec、GhotsSec、SiegedSec、Stormous和BlackForums。

图2. The Five Families黑客团伙

l 2023年10月，GhostSec宣布推出了名为GhostLocker的新勒索软件即服务（RaaS）框架，该框架使用的是基于Python的Nuitka编译项目。Stormous组织随后宣布，除了他们现有的StormousX程序外，还将GhostLocker勒索软件程序纳入其攻击工具库中。

2024年发展情况

图3. Stormous勒索软件2024年发展情况

l 2024年2月24日，Stormous组织在“The Five Families”Telegram频道宣布，与GhostSec合作启动了新的勒索软件即服务（RaaS）计划“STMX_GhostLocker”。该计划包含三种服务：付费服务、免费服务，以及针对那些没有长期计划、只想在博客上出售或发布数据的个人的PYV服务。

l 2024年4月29日，Stormous的暗网专用数据泄露站点（DSL）出现了无法访问的情况，而该团伙并未在其任何官方频道发布相关声明，这导致了外界一度猜测Stormous可能已经停止运营；

l 2024年5月17日，长期与Stormous合作的GhostSec黑客团伙在Telegram频道宣布，由于已筹集足够资金支持未来活动，将关闭GhostSec服务渠道和GhostLocker RaaS服务。他们计划将V3 GhostLocker勒索软件的源代码共享给Stormous，以确保合作伙伴顺利过渡，并避免诈骗或服务中断。Stormous将接管“Five Families”的Telegram频道。

l 2024年6月，Stormous宣布他们没有停止运营，而是对服务进行了重大更新，将他们的勒索软件GhostLocker升级到了第四版。

l 2024年10月23日，DragonRansom勒索软件组织开设了名为@Stormouss的Telegram频道，并运营@stmcrychat频道，企图冒充Stormous团伙，这一行为始于2024年3月。

l 2024年10月27日，Stormous勒索软件组织在其Telegram频道@StmXRansomware宣布，为了修复服务中的一些问题，计划在下周一或周二恢复运营。

图4. Stormous在Telegram发布的消息

l 2024年11月1日，Stormous勒索软件组织通过其Telegram频道@StmXRaaS公开发布了受害者数据，并宣布这些数据也被同步到了该组织的专用数据泄露站点，标志着其恢复运营。

图5. Stormous在Telegram平台发布受害者信息

RaaS计划

Stormous勒索软件组织自2021年起活跃于网络犯罪领域，并在2023年与GhostSec合作攻击多个目标。2024年2月，该组织正式推出了其勒索软件即服务（RaaS）平台，命名为STMX_GhostLocker，并向有意加入的个人或团体提供了三种加入方案。

付费版附属公司

支付1500美元，即可成为附属公司，将有权限访问一个高效控制面板，加入专属论坛与行业伙伴交流，享受在“附属”板块的品牌展示，以及博客快速发布攻击目标的权利。对于成功获得勒索赎金的案例，Stormous仅收取15%的分成。

以下是STMX_GhostLocker为付费附属公司展示的功能图：

图6. 付费版功能图

免费版附属公司

为所有使用Stormous程序的人提供免费版本。为享受此服务，使用者需要具备现成的访问权限。需注意的是，该服务使用者将无法访问控制面板；如果使用者选择信任Stormous的一个附属公司，或者他们有意与免费使用者建立联系，相关的谈判将由他们负责。使用者设定的目标将在Stormous的博客上发布，同时Stormous将从中抽取20%的费用。

PYV服务

针对那些没有长期计划、仅希望在Stormous的博客和相关频道上出售或发布数据的个人，其提供以下服务：用户可以免费在Stormous平台上发布待售公司的数据。一旦数据成功出售，Stormous将收取10%的佣金作为服务费。

2024年5月GhostSec宣布退出STMX_GhostLocker勒索软件即服务(RaaS)计划后，Stormous勒索软件组织在2024年6月推出了新的RaaS（勒索软件即服务）方案，该方案相较于之前更为简化：

终身会员

潜在参与者只需支付1500美元即可获得终身会员权限，享受以下服务：访问控制面板、加密程序以及在数据泄露网站上发布攻击目标的权限。

季度会员

潜在参与者可以选择支付400美元以获得与终身会员相同的权限，但该权限仅限3个月的使用期限，如果附属公司在到期后未进行续费，Stormous将保留其数据，直至他们再次付款。

2024年9月14日，Stormous勒索软件组织通过其Telegram频道宣布对其勒索软件即服务（RaaS）计划进行调整，取消了季度会员选项，并下调了终身会员的价格。现在，潜在的参与者仅需支付950美元，即可获得Stormous RaaS方案的全部访问权限。该组织对RaaS计划的频繁调整，包括减少服务项目和降低服务费用，引发了外界对其运营状况的猜测。特别是在与GhostSec组织分道扬镳之后，Stormous似乎面临了一定的运营挑战

图7. Stormous最新调整后的收费策略

攻击案例

Duvel Moortgat

2024年3月，勒索软件组织Stormous对比利时知名啤酒制造商Duvel Moortgat发起网络攻击，导致该公司的IT系统检测到入侵并迅速响应，宣布暂时关闭了包括Duvel、La Chouffe、Liefmans、De Koninck和Maredsous等品牌的生产线。尽管生产活动受到影响，Duvel Moortgat发言人表示，由于库存充足，预计不会对产品供应造成影响。

Stormous随后在其数据泄露网站上公布了从Duvel Moortgat窃取的88GB数据，这些数据包括财务、人力资源、客户身份信息和网络信息等敏感数据。

图8. Stormous发布的Duvel Moortgat被窃取信息

AOSense/NASA

2024年9月，Stormous勒索软件组织宣称对AOSense公司，发起网络攻击，并声称此次攻击同时波及了NASA(美国联邦政府负责民用太空计划的独立机构，主要进行航空和航天研究)。AOSense公司，总部位于加利福尼亚州森尼维尔，是一家专注于量子传感技术的开发商和制造商。据Stormous组织在其官方Telegram频道发布的消息，该团伙从AOSense窃取了高达1TB的数据。然而，与NASA相关的数据量并未在官方控制面板中明确展示

图9. AOSense/NASA相关数据公开页面

Stomous在其官方Telegram频道发布的消息可知，NASA的数据是通过AOSense获取到。并向AOSense索要赎金高达500万美元的赎金。

图10. Stomous发布的NASA图纸

TRANSAK

2024年10月21日，Transak公司就Stormous勒索软件攻击事件发表声明，确认攻击影响了其1.14%的用户群体，总计92,554名用户。然而，Stormous组织对此数据提出异议，声称通过审查窃取的数据后发现，实际受影响的用户数量远超Transak所公布的，高达500万，涉及Trust Wallet、METAMASK、ZilSwap等多个平台的用户数据，窃取的数据总量超过300GB。Stormous还指控Transak关于受影响用户数量的声明是不实的。

Stormous勒索软件集团在其Telegram频道上发表声明，断然拒绝了Transak安全团队提出的3万美元以删除被盗数据的提议，强调所涉及的数据价值远超此报价，认为此要求是不合理的。Stormous还对Transak提出的参与漏洞赏金计划的请求表示嘲讽，称之为荒谬。该团伙明确表示不会接受这一微不足道的报价，并威胁将泄露额外的50GB数据，同时计划将剩余数据出售给出价最高的买家。

图11. Stormous拒绝Transak的3万美元赎金请求

Stormous勒索软件家族

热点排行

关注我们