官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
图片来源:Resecurity
Resecurity公司HUNTER团队最新报告揭露,自称"混沌三位一体"(Trinity of Chaos)的网络犯罪联盟正在实施大规模数据勒索行动。该勒索软件团伙据信与Lapsus$、Scattered Spider和ShinyHunters存在关联,已在TOR网络建立数据泄露网站(DLS),宣称入侵了39家全球企业,包括谷歌、思科、丰田、联邦快递、迪士尼、万豪及法航-荷航集团。
从数据窃贼到勒索集团
报告显示,"混沌三位一体"已从单纯的数据窃取组织发展为成熟的勒索软件集团。研究人员指出:"该组织意图持续活动,并已转向传统勒索软件运作模式。"虽然未宣布新攻击,但黑客公布了过往入侵中未披露的数据样本。其针对Salesforce的威胁信息指控该公司存在过失,扬言将发布"海量记录"。Salesforce回应称未发现新漏洞利用证据,但不排除历史漏洞导致客户数据大规模泄露的可能。
专业化的勒索策略
该组织自称"Scattered LAPSUS & Hunters",在勒索信息中采用类企业化的专业口吻,宣称:"专注于高价值企业数据获取与战略性入侵行动,业务范围覆盖全球汽车、金融、保险、科技、电信、ISP等多个领域。"其声称自2019年活跃至今,战术包括以GDPR等数据保护法规为由威胁向监管机构举报受害者,这种胁迫手段与Cl0p和FIN11勒索组织的既往手法如出一辙。
2025年10月3日,该组织在DLS公布39家企业名单,设定10月10日为赎金谈判截止日。受害者涵盖丰田、联邦快递、UPS、沃尔格林、斯特兰蒂斯、阿迪达斯、卡地亚、古驰、巴黎世家和香奈儿等《财富》100强企业、航空公司及奢侈品牌。
波及航空与科技巨头
Resecurity确认泄露数据包含个人身份信息(PII)和业务记录,但密码较少,推测攻击者可能通过OAuth令牌滥用和Salesforce实例入侵窃取数据,这与FBI9月发布的关于针对Salesforce环境的语音钓鱼(vishing)和OAuth令牌窃取预警相符。
多家航空公司数据遭泄露,包括法航、荷航、澳航和墨西哥航空,涉及乘客信息、常旅客计划数据及内部通讯。其中墨西哥航空2025年7月4日的入侵事件导致3900万条含PII的记录外泄。
最引人关注的是思科和谷歌的涉事数据。虽然全貌尚不明确,但样本显示包含谷歌AdWords用户和数字营销机构数据,以及涉及思科客户和员工信息的Salesforce记录。思科泄露数据集尤为敏感,包含与FBI、国土安全部、NASA及澳大利亚国防部等执法和政府机构相关的记录,可能暴露内部采购细节和通讯内容。
15亿条记录的潜在威胁
"混沌三位一体"宣称拥有涵盖760家企业的15亿条记录,包括:
- 2.54亿条账户记录
- 5.79亿条联系人条目
- 1.71亿条商机记录
- 5900万条用户账户
- 4.58亿条案例记录
若数据属实,这将成为暗网史上最大规模单次数据泄露事件之一。Resecurity警告称,这些数据可能被用于AI驱动的网络犯罪,通过数据集交叉关联,攻击者可实施精准钓鱼、身份盗窃及高级社会工程攻击。
参考来源:
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)