谷歌曝光了新型勒索组织Triplestrenth

谷歌威胁情报小组的威胁报告https://services.google.com/fh/files/misc/threat_horizons_report_h1_2025.pdf?utm_source=Securitylabru在不为人知的黑客组织之前曝光Triplestrength，该组织自2020年开始运作。谷歌威胁情报小组网络犯罪、黑客行动主义和信息运营团队负责人吉纳维芙·斯塔克（Genevieve Stark）表示，该组织仅由少数人组成，但其行动规模却令人震惊。

犯罪分子采用多管齐下的攻击方式，用勒索软件感染受害者的计算机，同时以挖矿加密货币控制云账户。与此同时，该组织成员在黑客论坛上非常活跃，并在论坛上提供被黑服务器的访问权限。

攻击者的兴趣范围包括最大的云平台服务器：Google Cloud、Amazon Web Services、Microsoft Azure、Linode、OVHCloud 和 Digital Ocean。调查显示，研究人员利用 Raccoon 恶意软件获取用户权限访问权限，该恶意软件会从受感染的 Windows 计算机中窃取信息。

分析人士指出，该组织意图将勒索活动和加密挖掘活动分开。勒索软件程序仅用于攻击本地系统，不会影响云基础设施。与现代犯罪集团不同，Triplestrength并非通过数据盗窃进行双重勒索相反，他们只是对文件进行加密，然后要求支付赎金才能恢复。

为了加密，攻击者使用各种类型的恶意软件：Phobos、LokiLocker 和 RCRU64。所有这些程序都采用勒索软件即服务（RaaS）模型运行，但与流行的解决方案 RansomHub 和 Lockbit 不同，它们不提供额外的服务，例如用于发布被盗数据或救助金谈判的暗网平台。

最初入侵受害者系统的方法非常简单。该组织不使用零日漏洞或复杂的权限提升技术。主要策略是对远程桌面服务器进行自动暴力攻击。入侵后，黑客在组织网络中移动，取消防病毒软件还使用Mimikatz和NetScan等公开可用的工具。

2024年5月发生过一次此类攻击的惊人例子：攻击者通过暴力破解密码获得对RDP服务器的访问权限，入侵公司网络，失效安全机制并在多台运行Windows的计算机上部署了RCRU64。

有关 Triplestrength 活动的信息出现在谷歌 2025 年首份威胁前景报告中。勒索和加密挖掘之间的联系是通过 Telegram 上的广告建立起来的，该组织正在寻求援助分发 RCRU64。这些信息作者的账户与组织非法采矿的账户相匹配。

该团伙的加密货币活动始于2022年左右。捐赠者利用受害者本地计算机的计算能力，但后来转向云基础设施。unMiner应用程序和unMineable矿池用于挖掘数字货币。

虽然每次袭击给犯罪分子带来的利润相对较小（几千美元），但这次袭击造成的组织损伤却要严重死亡。在某些情况下，云计算费用可能高达数千美元。

谷歌专家已经确定了与该组织活动相关的多个TRX加密货币地址。它们存在于配置文件、来自unMineable池的付款以及加密货币交易所的交易中。几个月前进行的最后一次检查记录了这些钱包的600多笔付款，这表明现在交易数量可能有所增加。

三倍强度的受害者遍布广泛的行业和地理区域。该犯罪团伙规模虽小，但组织性强、犯罪效率高，活动范围不断扩大。