RADAR 和 DISPOSSESSOR 的崛起：一种新的勒索软件即服务

今年 4 月， SentinelOne的安全研究员 Jim Walter发表了一篇文章，详细介绍了一些勒索软件附属组织如何在被以前的合作伙伴欺骗后开始合作以确保付款。

最近最引人关注的事件涉及 ALPHV 集团，据称该集团从 Change Healthcare 收取了 2200 万美元赎金，并携款潜逃，而数据泄露的关联公司却未付款。由于资金不足且掌握了数据，关联公司向 RansomHub 施压，要求 Change Healthcare 支付数据删除费用。

长岛整形外科 (LIPSG) 也发生了类似情况。据称，ALPHV 从受害者那里收到了少量赎金，而窃取数据的关联公司既没有从受害者那里得到任何补偿，也没有从 ALPHV 那里得到任何补偿。因此，该关联公司（自称 RADAR）试图从 LIPSG 那里获得付款，但没有成功，最终在黑客 DISPOSSESSOR 运营的 Leaked Data 网站上泄露了数据。

DISPOSSESSOR 于 2024 年 2 月出现，并在 BreachForums 上宣布拥有 330 名 Lockbit 受害者的数据。分析师表示，DISPOSSESSOR 并不是一个勒索软件组织，而是之前被盗数据的转售商，包括 Clop、Hunters International、8Base 和 Snatch 的泄密数据。到 5 月，情况变得很明显，DISPOSSESSOR 遵循类似于 LockBit 的勒索软件即服务 (RaaS) 模式，充当数据经纪人而不是勒索软件组织。

6 月，RADAR 在 BreachForums 上发布了招聘渗透测试人员的公告，由 DISPOSSESSOR 担保。大约在这个时候，两名黑客都转型成为成熟的勒索软件团伙。

DISPOSSESSOR 的泄密网站仍名为“泄露数据”，但当DataBreaches访问时在接受采访时，他们自称是“RADAR 和 DISPOSSESSOR”团队。在对话中，网络犯罪分子解释道，这两个团伙现在都参与相同的攻击，共享工具和方法，并瓜分利润。

本周，Leaked Data 又增加了两名来自美国医疗行业的受害者：路易斯安那州的德里医院和纽约的 Aire Dental。这些事件此前尚未被其他组织报告过。

Leaked Data 网站包含了针对附属机构的详细规则，并描述了 RADAR 和 DISPOSSESSOR 提供的功能，包括具有各种配置的构建生成、两个不同的 Windows 加密器、进程和排除列表编辑功能，以及加密后快速、高效的可用空间擦除。

尽管 RADAR 和 DISPOSSESSOR 的公开活动时间很短，但他们声称拥有三年的运营经验，并指出他们从未被 FBI 逮捕过。该团队继续向希望销售被盗数据的其他团体或分支机构提供服务，他们转向 RaaS 模式，成为又一个以此原则运作的团体，这引起了专家们的担忧。

在泄密网站上，RADAR 和 DISPOSSESSOR 保持了预先发布数据的风格。他们没有发布被盗信息的截图，而是在泄密页面上附上短视频，直观地展示被盗数据的目录。如果受害者在倒计时结束前没有联系犯罪分子，黑客就会发布一段更长的视频，详细介绍所有泄露的数据。

与其他一些团体一样，RADAR 和 DISPOSSESSOR 也威胁受害者采取监管行动或提起诉讼，但由于这些恶意行为者的匿名性，此类威胁实施的可能性很小。

原文始发于微信公众号（独眼情报）：RADAR 和 DISPOSSESSOR 的崛起：一种新的勒索软件即服务