[[440797]]

據(jù) securityaffairs 12月15日消息，美國聯(lián)邦調(diào)查局(FBI)在調(diào)查俄勒岡州一家醫(yī)療機(jī)構(gòu)遭受數(shù)據(jù)泄露事件時，意外發(fā)現(xiàn) HelloKitty 勒索軟件團(tuán)伙(又名 Five Hands)在烏克蘭活動。

“7月11日，俄勒岡州麻醉科(OAG， P.C.)遭受了一次網(wǎng)絡(luò)攻擊，導(dǎo)致服務(wù)器被短暫鎖定。" 俄勒岡州麻醉科發(fā)布的數(shù)據(jù)泄露通知中寫道，“10月21日，F(xiàn)BI查獲了一個屬于烏克蘭黑客組織HelloKitty的賬戶，其中包含 OAG 的患者和雇員檔案。FBI 認(rèn)為 HelloKitty 利用了我們第三方防火墻中的漏洞，使黑客能夠進(jìn)入網(wǎng)絡(luò)。”

HelloKitty 團(tuán)伙從今年年初便活躍至今。FBI在11月發(fā)布閃光警報中，曾警告私營企業(yè)警惕 HelloKitty 勒索軟件團(tuán)伙的演變。根據(jù)警報，該勒索軟件團(tuán)伙正在發(fā)起分布式拒絕服務(wù) (DDoS) 攻擊，作為其勒索活動的一部分。

如果受害者拒絕支付贖金，該勒索軟件團(tuán)伙就會針對他們的網(wǎng)站進(jìn)行DDoS攻擊。

與其他勒索軟件團(tuán)伙一樣，HelloKitty 采用的是雙重勒索策略。即攻擊者會先竊取大量的敏感信息，然后對受害者的數(shù)據(jù)進(jìn)行加密，并威脅受害者如果不支付贖金就會公開這些數(shù)據(jù)。

據(jù)了解，HelloKitty 團(tuán)伙要求受害者以比特幣 (BTC) 方式支付贖金。為了達(dá)到破壞目標(biāo)網(wǎng)絡(luò)的目的，該團(tuán)伙會利用 SonicWall 漏洞( CVE-2021-20016、CVE-2021-20021、CVE-2021-20022、CVE-2021-2002)，或使用受損的憑據(jù)等多種技術(shù)手段。

今年5月，美國CISA發(fā)布關(guān)于FiveHands勒索軟件的分析報告(AR21-126A)中，從未透露該團(tuán)伙的可能位置。這次意外發(fā)現(xiàn)可能會使 HelloKitty 團(tuán)伙暫時中止其行動，并將活動地點(diǎn)轉(zhuǎn)移到治安更”放縱“的國家。

參考來源：https://securityaffairs.co/wordpress/125675/cyber-crime/hellokitty-ransomware-ukraine.html