勒索软件

ChainCatcher 消息，一名 27 岁德国籍黑客 Noah Christopher 在泰国曼谷被逮捕，其在欧洲面临多达 74 项网络犯罪逮捕令。调查显示，此人涉嫌在 2021 至 2025 年间开发并运营勒索软件平台及“网络犯罪即服务”（CaaS）体系，包括提供分布式拒绝服务（DDoS）攻击工具（如 Fluxstress、Neldowner），协助全球客户发起网络攻击并收取报酬，相关赎金支付涉及加密货币及其他数字资产，构成跨国网络犯罪活动，目前其签证已被吊销，正被羁押等待引渡至德国。

ChainCatcher 消息，知名链上调查者 ZachXBT 今日发布调查称，一名名为 Aleksandr（Aleks）Khinkis 的俄罗斯场外（OTC）经纪人，涉嫌自 2025 年以来，通过单一加密交易平台账户协助勒索软件团伙洗钱超过 470 万美元。 相关资金涉及三笔可疑赎金支付，总计约 796 枚比特币（BTC）。调查显示，这些资金在比特币与 Avalanche 之间桥接转移后，被分批汇入其交易平台充值地址（0xa756），在 2025 年至 2026 年期间共完成 75 笔转账。此外，约 1660 万美元资金目前仍存放在 Aave 中，并持续被逐步变现。 ZachXBT 指出多笔赎金交易：2025 年 9 月约 72 枚 BTC 的赎金支付曾通过桥接转入相关地址；2025 年 10 月约 164 枚 BTC 的赎金也被发现并被转换为约 380 万美元。部分相关地址在 2025 年 11 月被 Tether 列入黑名单，随后被冻结的 USDT 已在三周前被销毁，表明执法与合规机构已介入。 更早的 2023 年，该账户还曾涉及一笔约 560 枚 BTC 的赎金交易，这些资金通过多层中介地址和多个交易平台流转后，于 2024 年再桥接至 Avalanche 网络。此外，调查还指出，相关比特币来源地址与多个勒索软件地址存在较高关联性，疑似作为支付中转节点。尽管部分资金仍处于休眠状态，ZachXBT 警告称其未来仍可能被继续洗钱，同时也呼吁受害者及时报告相关地址以便冻结资金。

ChainCatcher 消息，据 Criptonoticias 报道，西班牙加利西亚自治区桑亨霍（Sanxenxo）市政府遭受勒索软件攻击，黑客加密了数千份行政文件并阻断系统访问，要求支付 5,000 美元比特币赎金。 攻击发生于 1 月 26 日，导致市政服务器完全瘫痪，影响了这个拥有 17,000 多名居民的城市的基本服务运行。市政府已向西班牙民事卫队报案，拒绝支付赎金，并表示正在启用每日备份以恢复系统。

ChainCatcher 消息，据 Cointelegraph 报道，网络安全公司 Group-IB 研究人员发现，一款名为 “DeadLock” 的勒索软件正利用 Polygon 智能合约隐藏自身并轮换代理地址。 该勒索软件于去年 7 月首次被发现，其通过调用特定智能合约动态更新用于与受害者通信的命令与控制基础设施地址。一旦受害者被感染且数据被加密，DeadLock 将发出勒索信，威胁若要求未获满足将出售被盗数据。 研究人员指出，将代理地址存储在链上使得其基础设施极难被破坏，因为不存在可关闭的中心服务器，且区块链数据在全球节点上永久留存。这种滥用智能合约传递代理地址的方法具有极强变异性。尽管 DeadLock 目前曝光度较低且已知受害者数量有限，但其新颖的攻击手法仍对未予以重视的组织构成潜在威胁。

ChainCatcher 消息，据 Group-IB 监测，勒索软件家族 DeadLock 正利用 Polygon 智能合约分发和轮换代理服务器地址，以逃避安全检测。该恶意软件于 2025 年 7 月首次被发现，通过在 HTML 文件中嵌入与 Polygon 网络交互的 JS 代码，利用 RPC 列表作为网关获取攻击者控制的服务器地址。这种技术与之前发现的 EtherHiding 类似，旨在利用去中心化账本构建难以被屏蔽的隐蔽通信通道。DeadLock 目前已出至少三个变体，最新版本还嵌入了加密通信应用 Session 以直接与受害者对话。

ChainCatcher 消息，据美国司法部消息，两名美国男子因使用 ALPHV BlackCat 勒索软件对美国多个目标实施攻击而认罪。 来自佐治亚州的 Ryan Goldberg（40岁）和德克萨斯州的 Kevin Martin（36岁）承认在 2023 年 4 月至 12 月期间部署了 ALPHV BlackCat 勒索软件。两人均为网络安全行业从业者，他们与另一名共谋者向 ALPHV BlackCat 管理员支付 20% 的赎金分成以获取勒索软件使用权。在成功勒索一名受害者约 120 万美元比特币后，三人平分了其中 80% 的赎金并通过各种方式洗钱。 两名被告将于 2026 年 3 月 12 日接受判决，最高可判处 20 年监禁。

ChainCatcher 消息，据 The Hacker News 报道，Qilin 勒索组织通过攻破韩国一家 IT 服务商 GJTec，发起 “Korean Leaks” 供应链攻击，导致 28 家金融企业受害、100 多万文件共计 2 TB 数据被窃。Bitdefender 调查发现该行动与朝鲜背景 APT “Moonstone Sleet” 有关，疑似与俄语系 Qilin 组织合作，目标对韩国金融市场施压。

ChainCatcher 消息，据 Bitcoin News 报道，勒索软件组织“Rhysida”窃取了美国马里兰州交通部的敏感数据，并正以 30 枚比特币（约合 340 万美元）的价格对这些数据进行拍卖。

ChainCatcher 消息，据美国司法部消息，英国公民 Thalha Jubair 因参与至少 120 起网络入侵和勒索攻击被起诉，涉及 47 家美国实体，受害者支付的赎金总额超过 1.15 亿美元。起诉书指控 19 岁的 Jubair（化名“EarthtoStar”、“Brad”、“Austin”等）与被称为“Scattered Spider”的网络犯罪集团合作，通过社会工程技术获得未经授权的网络访问权限，窃取并加密信息，然后向受害者勒索赎金。该集团还攻击了美国关键基础设施公司和美国法院系统。执法部门在 2024 年 7 月查封服务器时成功扣押了价值约 3600 万美元的加密货币。Jubair 面临计算机欺诈、电信欺诈和洗钱等多项指控，最高可判处 95 年监禁。

ChainCatcher 消息，一则所谓欧洲刑警组织（Europol）悬赏 5 万美元以追踪俄罗斯勒索软件团伙 Qilin 管理员的消息，其实只是一个 Telegram 骗局。这一虚假悬赏消息欺骗了多家网络安全新闻媒体，使其误以为 Europol 将向任何能够提供 Qilin 两名管理员 Haise 和 XORacle 信息的人支付奖励。 据称，这两人负责“协调附属组织并监督勒索活动”，而 Europol 希望获得能“直接导致识别或定位这些管理员”的情报。 然而，Europol 向 Security Week 确认，这个所谓的悬赏其实是一个“骗局”，该机构从未发布过此类悬赏。

ChainCatcher 消息，美国司法部宣布，在弗吉尼亚州、加利福尼亚州和德克萨斯州联邦法院解封六份搜查令后，查扣了超过 280 万美元的加密货币、7 万美元现金及一辆豪华汽车。这些资产据称与伊安尼斯·亚历山德罗维奇·安特罗彭科（Ianis Aleksandrovich Antropenko）洗钱的勒索软件犯罪所得有关，他目前在德州北区面临起诉。 根据起诉书，安特罗彭科及其同伙部署了 Zeppelin 勒索软件 入侵受害者系统，对数据进行加密并窃取信息，随后要求支付赎金以换取文件解密、阻止泄露或删除被盗数据。受害者包括美国国内外的个人、企业和机构。 搜查令显示，安特罗彭科通过多种渠道洗钱勒索所得，其中包括使用 ChipMixer —— 一个在 2023 年被国际执法行动拆除的加密货币混币服务。他还将加密货币兑换成现金，并分批存入账户以规避监管。

ChainCatcher 消息，据 Decrypt 报道，美国德州当局宣布查获涉嫌勒索软件操作者 Ianis Antropenko 的 280 万美元加密货币、7 万美元现金及一辆豪华汽车。Antropenko 被指控使用 Zeppelin 勒索软件攻击全球目标。 数据显示，2024 年美国加密相关犯罪损失达 93 亿美元，同比上升 66%。司法部网络犯罪部门表示，已累计追回 3.5 亿美元受害者资金，阻止超 2 亿美元潜在赎金支付。

ChainCatcher 消息，据美国和国际执法机构查获，4 台服务器、9 个域名，以及约 100 万美元的比特币，这些资产与一个臭名昭著的俄罗斯勒索软件团伙有关，该团伙被指控袭击了涵盖关键领域的数百家机构。 美国司法部表示，这次行动于 7 月 24 日展开，由美国联合加拿大、德国、爱尔兰、法国、英国、乌克兰、立陶宛等国的机构共同执行，目标是与 BlackSuit 和 Royal 勒索软件相关的基础设施。调查人员认为，这两种勒索软件变种由同一网络犯罪团伙开发。 当局称，自 2022 年以来，该团伙曾勒索超过 5 亿美元赎金，其中单笔最高勒索金额高达 6,000 万美元。据称，他们在此期间袭击了美国 450 多个受害者，包括医院、学校、警察局、能源公司和政府机构，非法获利至少 3.7 亿美元。 此次被查扣的加密货币在扣押时价值 1,091,453 美元，来源于一家交易平台在 2024 年 1 月冻结的数字钱包。根据法庭文件，这笔资金包含了一名受害者于 2023 年 4 月支付的部分比特币赎金，该赎金总额为 145 万美元。 BlackSuit 和 Royal 的受害者通常被要求通过暗网网站以比特币支付赎金。网络安全官员警告称，这类恶意软件的操作者常结合恐吓手段与复杂的数据窃取技术，使得在不支付赎金的情况下很难恢复数据。

ChainCatcher 消息，据 Cointelegraph 报道，区块链情报公司 TRM Labs 表示，名为 Embargo 的勒索软件组织自 4 月以来已转移了超过 3400 万美元的与赎金相关的加密货币。Embargo 目前约有 1880 万美元的加密货币存放在非关联钱包中，专家认为这种策略可能是为了延迟检测或在未来利用更好的洗钱条件。Embargo 采用勒索软件即服务 (RaaS) 模式运营，主要针对停机成本高昂的行业，包括医疗保健、商业服务和制造业，并且倾向于攻击美国境内的受害者，这可能是因为他们的支付能力更强。 TRM 的调查表明，Embargo 可能是臭名昭著的 BlackCat (ALPHV) 组织的改名版本，后者在今年早些时候因疑似退出骗局而销声匿迹。Embargo 虽然不像 LockBit 或 Cl0p 那样明显具有攻击性，但它采用了双重勒索策略：加密系统并威胁受害者若不付款，就泄露敏感数据。在某些情况下，该组织会公开点名或在其网站上泄露数据，以加大压力。

ChainCatcher 消息，据美国司法部北德克萨斯地区检察官办公室通报，美国司法部已于 7 月 24 日向德克萨斯北区法院提起民事诉讼，申请没收此前查封的加密资产。 据悉，FBI 达拉斯分局于 4 月 15 日从一个加密地址中查封约 20.29 BTC，当前市值超过 240 万美元。相关资产被指与勒索软件组织 Chaos 的成员 “Hors” 有关，涉及洗钱与计算机勒索等非法活动。该团伙曾在德克萨斯北区及其他地区实施多起网络攻击。

ChainCatcher 消息，据 IT 之家援引彭博社报道，美国司法部正在调查 DigitalMint 的一名前勒索软件谈判专家，该专家被指控与黑客达成秘密协议，从勒索赎金中抽取佣金，严重损害客户利益。DigitalMint 是一家总部位于芝加哥的事件响应和数字资产服务公司，专门从事勒索软件谈判和加密货币支付服务，帮助客户换取解密密钥并防止被盗数据泄露。 调查的重点是该谈判专家是否违反了联邦法律，包括合谋、电汇欺诈和洗钱。如果罪名成立，此人将面临严厉的处罚。DigitalMint 已声明涉事员工已被立即解雇，其行为属于个例。

ChainCatcher 消息，据 Cointelegraph 报道，美国财政部已制裁与俄罗斯 Aeza Group 相关的一个加密钱包，地址中含有约 35 万美元资金。Aeza 被指为勒索软件与信息窃取程序的托管服务提供商，涉嫌为多起网络犯罪活动提供基础设施支持。 该钱包位于 Tron 区块链上，为 Aeza 管理性钱包，用于收款与转账，并与多个被制裁实体有关联。此次制裁还包括 Aeza 高层及关联企业，相关美国资产将被冻结，美国个人与机构不得与之交易。

ChainCatcher 消息，据 Bitcoin.com 报道，Lockbit 勒索软件开发人员 Rostislav Panev 已被引渡到美国，目前已被拘留并在等候审判，根据美国司法部的指控显示，他自 2022 年以来一直担任该软件程序员并接受了价值约 23 万美元的加密货币转账，随着服务器被查封和关联方认罪，Lockbit 或将遭到进一步打击，但目前该组织领头人 Dmitry Khoroshev 等关键人物仍然逍遥法外。 据悉，俄罗斯公民 Ruslan Magomedovich Astamirov 和拥有加拿大和俄罗斯双重国籍的 Mikhail Vasiliev 也已被确定为 Lockbit 组织成员，他们于 2023 年和 2022 年被捕，可能分别面临最高 25 年和 45 年的监禁。

ChainCatcher 消息，在国际协调努力下，泰国普吉岛执法部门于周一拘留了四名涉嫌实施加密勒索软件攻击的俄罗斯公民。据信这些嫌疑人是利用 Phobos 勒索软件的 8Base 组织成员，他们在 2023 年 4 月至 2024 年 10 月期间使用勒索软件攻击了 17 家瑞士公司。 嫌疑人被指控入侵多家欧洲公司的网络、加密数据并要求以加密货币支付解密费用。Phobos 勒索软件通常针对缺乏强大网络安全措施的中小型企业。除了这些事件之外，嫌疑人还与全球大约 1,000 名受害者有关，共有约 1600 万美元的比特币被盗。 8Base 组织已被确定为加密勒索软件生态系统中的关键参与者。嫌疑人目前正在等待引渡，以面对与其涉嫌参与勒索软件攻击有关的指控。

ChainCatcher 消息，据 Chainalysis 报道，美国财政部海外资产控制办公室（OFAC）、英国外交和联邦事务部（FCDO）及澳大利亚外交贸易部（DFAT）于 2025 年 2 月 11 日联合宣布制裁俄罗斯防弹托管服务提供商 Zservers。该公司因支持 LockBit 勒索软件团伙的攻击活动而被制裁。 制裁名单包括两名俄罗斯公民 Aleksandr Bolshakov、Alexander Mishin 及其关联加密货币地址，以及 Zservers 公司及其 3 个加密货币地址。 链上数据显示，Zservers 通过 Garantex 等无 KYC 交易所完成超过 520 万美元资金清算。该公司在俄罗斯、保加利亚、荷兰、美国和芬兰均设有服务器，为多个勒索软件组织提供基础设施支持。