Stormous勒索软件家族简介 Stormous勒索软件基本信息 Stormous勒索软件最早出现于2021年中期，是一款采用勒索软件即服务（RaaS）模式 运营的双重勒索软件。该团伙对外发布的一些帖子是使用阿拉伯语撰写而成，因此推测团伙 的成员可能位于中东国家和北非地区。Stormous勒索软件利用了俄罗斯与乌克兰紧张局势 的升级，公开表示支持俄罗斯，这种策略与Conti勒索软件的行为类似，被认为旨在吸引公 众关注，加大该团伙的影响力。该团伙擅长利用鱼叉式钓鱼技术或已知漏洞来攻击受害组织 /企业网络，截至2024年10月，Stormous勒索团伙已成功攻击了172个组织和企业，影响 了包括古巴、阿根廷、波兰、中国、黎巴嫩、以色列、乌兹别克斯坦、印度、南非、巴西、 摩洛哥等40多个国家。受害行业广泛，其中信息技术、教育、制造业、政府、交通、能源、 法律、房地产和电信行业受到的影响最为严重。 Stormous勒索软件的攻击行动存在很大的争议，因为被该勒索软件组织公布的受害者 中，有的确实被成功攻击，有的攻击却缺少足够的证据证明。因之前被发现利用已泄露数据 伪装成新攻击事件，该勒索软件攻击行动还被调侃为“清道夫行动”(scavengeroperations)， 因此Stormous勒索软件组织的攻击可能存在欺诈，其中一些典型案例如下： 可口可乐(Coca-cola)的攻击事件 Stormous勒索软件组织宣称从可口可乐公司网络中窃取了161GB数据，并索要1.65比 特币（约折合64,000美元）作为赎金。然而，赎金数额与声称窃取的数据量相比显得微不 足道，引发了对该团伙所掌握数据真实价值的质疑; 美泰(MattelInc)公司攻击事件 美泰公司曾在2020年11月遭受勒索软件攻击，而Stormous勒索软件组织公布的针对 该公司的数据，很可能仅仅是对之前被盗数据的重新包装，企图混淆视听，以期从中获利; 乌克兰外交部攻击事件 3月1日宣布攻击了他们声称从该部的数据库中获取了大量敏感数据，例如电话号码、 电子邮件、密码和卡号。但据了解，这些数据在暗网上长期流传，并且是免费共享的。 EpicGams攻击事件 Stormous声称攻击了EpicGames，并窃取了近200GB数据，其中包括3300万用户的信 息。然而，这些数据的真实性还没有得到证实。 Stormou勒索软件发展史 2023年发展情况图1.Stormous勒索软件2023年发展情况 2023年7月13日，Stormous勒索软件组织通过GhostSec的Telegram频道宣布，正式 与GhostSec建立合作伙伴关系，并成功合作针对古巴各部委实施行动。 2023年8月FiveFamilies黑客团伙正式成立。该团伙包括了三大黑客组织、一大勒 索软件组织和一个黑客论坛，具体包括：ThreatSec、GhotsSec、SiegedSec、Stormous 和BlackForums。 图2.TheFiveFamilies黑客团伙 2023年10月，GhostSec宣布推出了名为GhostLocker的新勒索软件即服务（RaaS）框 架，该框架使用的是基于Python的Nuitka编译项目。Stormous组织随后宣布，除了 他们现有的StormousX程序外，还将GhostLocker勒索软件程序纳入其攻击工具库中。2024年发展情况 图3.Stormous勒索软件2024年发展情况 2024年2月24日，Stormous组织在“TheFiveFamilies”Telegram频道宣布，与GhostSec 合作启动了新的勒索软件即服务（RaaS）计划“STMX_GhostLocker”。该计划包含三种 服务：付费服务、免费服务，以及针对那些没有长期计划、只想在博客上出售或发布数 据的个人的PYV服务。 2024年4月29日，Stormous的暗网专用数据泄露站点（DSL）出现了无法访问的情况， 而该团伙并未在其任何官方频道发布相关声明，这导致了外界一度猜测Stormous可能 已经停止运营； 2024年5月17日，长期与Stormous合作的GhostSec黑客团伙在Telegram频道宣布， 由于已筹集足够资金支持未来活动，将关闭GhostSec服务渠道和GhostLockerRaaS 服务。他们计划将V3GhostLocker勒索软件的源代码共享给Stormous，以确保合作伙 伴顺利过渡，并避免诈骗或服务中断。Stormous将接管“FiveFamilies”的Telegram 频道。 2024年6月，Stormous宣布他们没有停止运营，而是对服务进行了重大更新，将他们 的勒索软件GhostLocker升级到了第四版。 2024年10月23日，DragonRansom勒索软件组织开设了名为@Stormouss的Telegram 频道，并运营@stmcrychat频道，企图冒充Stormous团伙，这一行为始于2024年3月。 2024年10月27日，Stormous勒索软件组织在其Telegram频道@StmXRansomware宣布， 为了修复服务中的一些问题，计划在下周一或周二恢复运营。图4.Stormous在Telegram发布的消息