[[440797]]

據(jù) securityaffairs 12月15日消息，美國聯(lián)邦調(diào)查局(FBI)在調(diào)查俄勒岡州一家醫(yī)療機構遭受數(shù)據(jù)泄露事件時，意外發(fā)現(xiàn) HelloKitty 勒索軟件團伙(又名 Five Hands)在烏克蘭活動。

“7月11日，俄勒岡州麻醉科(OAG， P.C.)遭受了一次網(wǎng)絡攻擊，導致服務器被短暫鎖定。" 俄勒岡州麻醉科發(fā)布的數(shù)據(jù)泄露通知中寫道，“10月21日，F(xiàn)BI查獲了一個屬于烏克蘭黑客組織HelloKitty的賬戶，其中包含 OAG 的患者和雇員檔案。FBI 認為 HelloKitty 利用了我們第三方防火墻中的漏洞，使黑客能夠進入網(wǎng)絡。”

HelloKitty 團伙從今年年初便活躍至今。FBI在11月發(fā)布閃光警報中，曾警告私營企業(yè)警惕 HelloKitty 勒索軟件團伙的演變。根據(jù)警報，該勒索軟件團伙正在發(fā)起分布式拒絕服務 (DDoS) 攻擊，作為其勒索活動的一部分。

如果受害者拒絕支付贖金，該勒索軟件團伙就會針對他們的網(wǎng)站進行DDoS攻擊。

與其他勒索軟件團伙一樣，HelloKitty 采用的是雙重勒索策略。即攻擊者會先竊取大量的敏感信息，然后對受害者的數(shù)據(jù)進行加密，并威脅受害者如果不支付贖金就會公開這些數(shù)據(jù)。

據(jù)了解，HelloKitty 團伙要求受害者以比特幣 (BTC) 方式支付贖金。為了達到破壞目標網(wǎng)絡的目的，該團伙會利用 SonicWall 漏洞( CVE-2021-20016、CVE-2021-20021、CVE-2021-20022、CVE-2021-2002)，或使用受損的憑據(jù)等多種技術手段。

今年5月，美國CISA發(fā)布關于FiveHands勒索軟件的分析報告(AR21-126A)中，從未透露該團伙的可能位置。這次意外發(fā)現(xiàn)可能會使 HelloKitty 團伙暫時中止其行動，并將活動地點轉(zhuǎn)移到治安更”放縱“的國家。

參考來源：https://securityaffairs.co/wordpress/125675/cyber-crime/hellokitty-ransomware-ukraine.html