2025年3月9日,暗网新出现的勒索软件组织Crazyhunter通过其Tor网站公开了其活动信息,并宣称已成功攻击五家台湾目标,其中包括三家医院、一所大学和一家电子制造公司。该组织以“数据湮灭前的最终谈判者”自居,展示了其高度专业化的攻击能力和勒索策略。
Crazyhunter声称其攻击链存活时间超过MITRE平均预估值的300%,并能够100%静默绕过主流企业终端保护系统(如CrowdStrike、SentinelOne等)。其“三维数据湮灭系统”结合军用级加密算法(XChaCha20-Poly1305)、CIA认证的数据销毁技术以及AI生成的高仿真高管丑闻证据,确保威胁的不可逆性。此外,该组织提供“高端犯罪品牌服务”,包括数据泄露延迟特权、漏洞修复指南以及解密器和数据销毁证据视频。
目前,五家受害目标中,一家已支付赎金,一家处于倒计时阶段,另外三家已超过通牒期限,数据可能已被销毁。Crazyhunter强调其与REvil和LockBit不同,专注于通过数学证明攻击的必然性、代码确保威胁的不可逆性,并将所有承诺记录在区块链上。勒索者还披露表亚洲大学与其谈判的部分细节,显示了校方代表在与勒索者沟通中的被动和失策,教训极为深刻。
此次攻击事件凸显了勒索软件技术的日益复杂化,尤其是针对医疗、教育和制造业等关键行业的威胁。建议相关机构加强网络安全防护,定期备份数据,并制定应急响应计划以应对类似攻击。
关于CrazyHunter Team
CrazyHunter Team在自我介绍中自诩为《数据湮灭前的最终谈判者》 ,号称有如下特点。
◆ 72小时漏洞响应真空
✓ 独家利用链,存活时间超过MITRE平均预估值的300%
✓ 100%静默绕过企业终端保护系统(已验证:CrowdStrike、SentinelOne、Microsoft Defender XDR、Symantec EDR、Trend Micro XDR)
◆ 三维数据湮灭系统
✓ 加密层:军用级XChaCha20-Poly1305算法
✓ 销毁层:CIA认证的覆盖删除技术
✓ 威慑层:AI生成的高仿真高管丑闻证据
◆ 高端犯罪品牌服务
✓ 50%预付款可享受数据泄露延迟特权(最长72小时)
✓ 免费提供漏洞修复指南
✓ 解密器及数据销毁证据视频
◆[战略宣言]
“我们不像REvil那样贪婪,也不像LockBit那样张扬。我们只做三件事:
通过数学证明攻击的必然性
通过代码确保威胁的不可逆性
将每一个兑现的承诺记录在区块链上”
勒索实施监测网站也是在3月9日才将该组织列入监控目标,相关信息还很少。
受害者1:台湾亚洲大学
Victim details
We hacked into Asia University's internal system through the Internet, controlled the domain controller and distributed encryption software in bulk, paralyzing their business. At the same time, in retaliation for their non-payment, we overwrote, deleted and formatted their servers and backups, totaling 200TB of data. Here is our evidence
Isn't it ridiculous? They are willing to spend months to build a new system and let students and teachers use paper and pen to record their work, rather than pay the ransom. What a selfish school.
据悉,该大学是一所位于中国台湾台中市雾峰区的私立综合大学,学术单位包括医学暨健康学院、信息电机学院、管理学院、人文社会学院、创意设计学院、护理学院、国际学院、人工智能学院,共8学院,28个学系,19个硕士班研究所,8个硕士在职专班研究所,和8个博士班研究所。
受害者2:台湾亚洲大学医院
受害者3:台湾Mackay纪念医院
Victim details
We hacked into the internal system of Mackay Memorial Hospital through the Internet, controlled the AD domain controller, and distributed encryption software in large quantities, paralyzing the hospital's operations. At the same time, in retaliation for their non-payment, we decided to leak their information. You can get a sample on Breachforums https://breachforums.st/Thread-Taiwan-Mackay-Memorial-Hospital-www-mmh-org-tw-All-patient-data
Here is our evidence of the intrusion
受害者4:台湾- Huacheng Electric
已协商一致,支付了赎金,数额不详。 应该是双方达成了于保密协议,不能透露任何细节。
受害者5:台湾彰化基督教医院
I apologize to the common people who were affected by the data breach, but I had to do this because Mackay Hospital forced me to do so. It was his arrogance that led to the data breach.
由于已过了限定期限,疯狂猎人已经将受害者的数据公布,提供了下载链接。
小结
亚洲大学代表谈判失败的教训
受害者亚洲大学代表林俊杰的沟通失败揭示了三点关键教训。
一是拖延策略的双刃剑:过度暴露内部管理漏洞(如财务困境、决策层级冗杂)非但未能争取时间,反而为攻击者提供了心理施压的突破口。合法拖延应依托外部合规框架(如“需第三方司法审计”),而非自揭短板。
二是威胁升级的失控:未在初期设立明确底线(如“暴力威胁将触发执法介入”),导致攻击者持续加码。沟通中须通过“承认影响+转移责任”平衡威胁,例如:“我们已向监管部门报备,任何数据泄露将触发其独立调查”。
三是信息管控的缺失:自行协商中透露“医院借学校传话”“技术负责人被停职”等细节,无意间暴露跨机构协作漏洞,加剧社会工程风险。
勒索谈判本质是心理博弈,受害者需通过“法律威慑话术+技术反制证据”构建对等博弈权,而非陷入自证清白的被动循环。支付赎金不仅无法保障数据恢复,更可能成为APT组织长期渗透的入口。
后勒索攻击的应对策略
立即启动法律与执法联动;第一时间联系警方及网络安全监管部门,获取专业支持。攻击者IP、通信记录、勒索信等证据需完整保留,避免私自删除或篡改。案例教训:学校试图自行协商导致攻击者获得内部管理情报,加剧胁迫筹码。
技术隔离与损害控制;网络隔离:立即断开受感染系统的外部连接,防止横向渗透。若关键数据被加密,优先对存储设备进行物理镜像备份,为后续取证提供基础。拒绝支付赎金:支付行为无法保证数据恢复,且可能被标记为“易妥协目标”遭二次攻击。据IBM统计,2024年仅23%的支付者最终取回完整数据。
危机沟通的黄金法则;统一出口:指定唯一发言人(如法律顾问+技术负责人),避免多线回复产生信息矛盾。模糊化决策机制:以“跨部门联席会议”“第三方审计流程”等话术拖延,避免透露具体时间表或责任人。反制威慑:明确告知攻击者“所有通信已被执法部门监控”,提高其心理风险成本。
业务连续性重建;应急切换:启用离线备份数据恢复核心业务,医院等关键机构需预设“洁净网络”冗余系统。社会协作:通过行业协会共享攻击指纹(如加密算法特征),联动防御力量。
案例中学校因内部协调低效、过度暴露弱点陷入被动。面对勒索,需以“法律+技术+公关”三维响应取代单纯协商,通过专业团队介入打破攻击者的心理控制链,最大限度减少声誉与资产损失。
参考资源
1、Crazyhunter的Tor网站
原文始发于微信公众号(网空闲话plus):专攻中国台湾的最新勒索软件组织“疯狂猎人”(Crazyhunter)亮相:谈判细节暴露受害者严重失策
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论