一名伊朗公民近日承认参与了 Robinhood 勒索软件的攻击行动。在长达五年的时间里，该勒索软件被用于入侵美国多个城市及组织的网络，窃取数据并加密设备，试图敲诈数百万美元。

据美国司法部公布的信息以及一份未密封的起诉书显示，39 岁的西娜・戈利内贾德（Sina Gholinejad），也被称为 “西娜・加法夫”（Sina Ghaaf），伙同其他共谋者，从 2019 年 1 月至 2024 年 3 月期间，在被入侵的网络中部署了 Robinhood 勒索软件。

这些攻击目标广泛，涵盖了地方政府、医疗保健机构以及非营利组织。黑客们通过加密受害者的文件，索要比特币赎金，以提供解密器并承诺不泄露数据作为交换。

众多知名机构都未能幸免，其中包括巴尔的摩市、北卡罗来纳州的格林维尔市、俄勒冈州的格雷舍姆市、纽约州的扬克斯市，还有子午线医疗集团以及伯克希尔农场中心等组织。

戈利内贾德及其同伙通常利用管理员账户或系统漏洞进入受害者网络，手动部署勒索软件，并通过 Tor 暗网站点要求受害者支付赎金。

早在 2019 年 5 月，Robinhood 团伙就因扰乱巴尔的摩市的信息技术系统长达数周而声名狼藉。此后，该团伙在后续的攻击行动中还进行了数据盗窃，利用窃取的数据以及威胁泄露数据，对受害者施加更大压力。

Robinhood 团伙作案手法独特，当时他们使用了技嘉公司一款合法但存在漏洞的驱动程序（gdrv.sys），通过 “自带漏洞驱动程序” 攻击方式关闭受害者的杀毒软件，使得恶意软件能够在不受安全软件干扰的情况下，顺利启动勒索软件加密程序。

一旦设备被加密，受害者会看到勒索说明，指示他们通过 Tor 网站与黑客联系，协商赎金支付事宜。起诉书还揭露，攻击者为躲避执法部门追踪，使用了位于欧洲的虚拟专用服务器、虚拟专用网络（VPN）以及加密货币混合器等手段。

目前，戈利内贾德已在北卡罗来纳州的联邦法院认罪。他面临着因阴谋实施欺诈、计算机入侵、敲诈勒索和洗钱等罪名，最高可判处 30 年监禁的严厉刑罚。

资讯来源：bleepingcomputer

转载请注明出处和本文链接

[培训]科锐逆向工程师培训第53期2025年7月8日开班！