内容转载

= ̄ω ̄= 内容转载

恶意 NPM 软件包瞄准德国公司进行供应链攻击

5月11日,网络安全研究人员在NPM注册表中发现了一些恶意软件包,专门针对一些位于德国的知名媒体、物流和工业公司进行供应链攻击。 JFrog研究人员在一份报告中表示,“与NPM库中发现的大多数恶意软件相比,这一有效负载危险性更高。它是一个高度复杂的、模糊的恶意软件,攻击者可以通过后门完全控制被感染的机器。” DevOps公司表示,根据现有证据,这要么是一个复杂的威胁行为,要么是一个“非常激进”的渗透测试。 目前,大部分恶意软件包已经从注册表中移除,研究人员追踪到四个“维护者”bertelsmannnpm、boschnodemodules、stihlnodemodules和dbschenkernpm,这些用户名表明其试图冒充像贝塔斯曼、博世、Stihl和DB Schenker这样的合法公司。 “维护者”bertelsmannnpm 一些软件包的名称非常具体,它意味着对手设法识别了公司内部存储库中的库以进行依赖混淆攻击。 供应链攻击 上述发现来自Snyk的报告,该报告详细描述了其中一个违规的软件包“gxm-reference-web-aut -server”,并指出恶意软件的目标是一家在其私有注册表中有相同软件包的公司。 Snyk安全研究团队表示:“攻击者很可能在该公司的私人注册表中,掌握了这样一个包的存在信息。” Reversing实验室证实了黑客攻击行为,称上传至NPM的恶意模块版本号比私有模块的版本号更高,从而迫使模块进入目标环境,这是依赖混淆攻击的明显特征。 该实验室解释“运输和物流公司的目标私有软件包有0.5.69和4.0.48版本,与恶意软件包的公开版本名称相同,但其使用的是版本0.5.70和4.0.49。” JFrog称这种植入是“内部开发”,并指出该恶意软件包含两个组件,一个是传输器,它在解密和执行JavaScript后门之前,向远程遥测服务器发送有关被感染机器的信息。 后门虽然缺乏持久性机制,但设计用于接收和执行硬编码的命令和控制服务器发送的命令,评估任意JavaScript代码,并将文件上传回服务器。 研究人员称,这次攻击的目标非常明确,并且其掌握了非常机密的内部信息,甚至在NPM注册表中创建的用户名公开指向目标公司。 在此之前,以色列网络安全公司Check Point披露了一项长达数月的信息窃取活动,该活动使用AZORult、BitRAT、Raccoon等商用恶意软件攻击德国汽车行业。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/332868.html 封面来源于网络,如有侵权请联系删除

创历史记录,英国网络安全中心向社会发送 3300 万条警报

近日,英国国家网络安全中心(National Cyber Security Centre,简称NCSC)发布了一份报告,为先前注册早期预警服务(the Early Warning service)的组织机构发送了3300多万条警报。 根据该报告统计,政府机构在2021年内共计化解了270多万起网络诈骗案件,这一数字创造了新的记录。而正是因为主动网络防御(Active Cyber Defense)项目在2021年的重大升级,使得组织机构可以从容应对新出现的威胁,使得成功狙击诈骗活动成为可能。 NCSC重点关注的攻击行为包括虚假名人代言的加密货币赠品、与COVID-19相关的活动、假冒NCSC或其他国家执法机构的虚假勒索电子邮件,以及虚假包裹递送通知。 创纪录之年 NCSC表示,扩大防御范围是致使成功识别与化解网络诈骗的数量创造新纪录的最主要原因。对此,在报告中是这样解释的:“这一增长反映了NCSC服务范围的扩大,化解了更多的恶意网络内容,比如虚假名人代言骗局,总体网络骗局的数量也得到控制。” 此外,NCSC也在报告中补充道,“公众对可疑电子邮件、短信和网站的报告使得这项工作得到补充,更多的骗局因此得到成功化解。” 报告同时提到一些具体的案例,比如NCSC在2021年内发现并化解了1400多起针对英国国家医疗服务体系(NHS)的钓鱼攻击,这一数字比2020年的整整高出11倍。 另一个值得注意的大规模攻击案例是针对Android设备的恶意软件Flubot,它通过显示状态为“未送达”短信发送给智能手机用户。NCSC成功阻止了它的扩散,并封锁了120多万个与它相关的域名。 就2021年全年被化解的诈骗案件数量而言,270万是2020年这一数字的4倍。 早期预警服务 NCSC在2021年最重要的工作可能是早期预警服务的增长,预计到2022年年底,这项服务的客户数量会达到4600。 平均而言,这项服务每天标记90,410个事件,表明在客户的系统上检测到潜在的恶意内容。 早期预警服务在以下三种情况下会发送警报: 系统已被恶意软件主动破坏。 存在潜在滥用迹象,例如激进的网络扫描。 存在暴露在互联网上的易受攻击的服务和开放端口。 关于更多关于早期预警服务的详情,可以浏览此网页。 转自 FreeBuf,原文链接:https://www.freebuf.com/articles/332815.html 封面来源于网络,如有侵权请联系删除

研究人员发现一种新的网络钓鱼即服务——Frappo

据Security affairs网站5月10日消息,网络安全机构Resecurity近期发现了一项名为Frappo的新型地下网络犯罪服务,以网络钓鱼即服务(PHaaS)的形式,使网络犯罪分子能够托管和生成以假乱真的网络钓鱼页面,这些页面主要针对网络银行、电子商务、流行零售商和在线服务来窃取客户数据。 这项服务最早于2021年 3 月22 日左右出现在暗网上,之后有过重大升级,最后一次更新是在 2022 年 5 月 1 日。除了暗网,Frappo也积极利用Telegram 进行宣传,拥有一个将近2000名活跃成员的群组,网络犯罪分子们在这就各种成功的攻击经验展开交流。 Frappo赋予网络犯罪分子以匿名和加密格式处理被盗数据的能力,具备匿名计费、技术支持、凭证搜集和追踪等功能。Frappo根据他们选择的订阅期限为网络犯罪分子提供了几种付款计划,就像为合法企业提供基于 SaaS 服务的平台一样,Frappo允许网络犯罪分子最大限度地降低开发网络钓鱼工具包的成本,并在更大范围内得到运用。 值得注意的是,网络钓鱼页面的部署过程完全自动化,Frappo利用一个预先配置的 Docker 容器和一个安全通道,通过 API 收集受损的凭证。 正确配置Frappo后,将会对搜集到的数据可视化——例如有多少受害者打开了网络钓鱼页面、授权或输入凭据、正常运行时间和服务器状态。日志部分将显示这些凭证,其中包含有关每个受害者的详细信息,例如 IP 地址、用户名、密码等。 根据Resecurity的观察,这些网络钓鱼页面的逼真度很高,其中包含诱骗受害者输入授权凭证的交互式场景。Frappo的出现表明,网络犯罪分子一直在利用先进的工具和技术来发动攻击,数字身份信息的保护已成为在线网络安全的关键。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/332796.html 封面来源于网络,如有侵权请联系删除

微软修复了所有 Windows 版本中的新 NTLM 零日漏洞

微软于近期解决了一个积极利用的Windows LSA零日漏洞,未经身份验证的攻击者可以远程利用该漏洞来强制域控制器通过Windows NT LAN Manager (NTLM)安全协议对其进行身份验证。LSA(Local Security Authority的缩写)是一个受保护的Windows子系统,它强制执行本地安全策略并验证用户的本地和远程登录。该漏洞编号为CVE-2022-26925,是由Bertelsmann Printing Group的Raphael John报告的,据调查,该漏洞在野已被利用,似乎是PetitPotam NTLM中继攻击的新载体。 安全研究员GILLES Lionel于2021年7月发现该变体,且微软一直在阻止PetitPotam变体,不过官网的一些举措仍然没有阻止其变体的出现。LockFile勒索软件组织就滥用PetitPotam NTLM中继攻击方法来劫持Windows域并部署恶意负载。对此,微软建议Windows管理员检查针对Active Directory证书服务(AD CS)上的NTLM中继攻击的PetitPotam缓解措施,以获取有关保护其系统免受CVE-2022-26925攻击的信息。 通过强制认证提升权限 通过使用这种新的攻击向量,威胁行为者可以拦截可用于提升权限的合法身份验证请求,这可能会导致整个域受到破坏。不过攻击者只能在高度复杂的中间人攻击(MITM)中滥用此安全漏洞,他们能够拦截受害者和域控制器之间的流量以读取或修改网络通信。 微软在其发布的公告中解释:未经身份验证的攻击者可以调用LSARPC接口并强制域控制器使用NTLM 对攻击者进行身份验证。此安全更新检测到LSARPC中的匿名连接尝试并禁止它。且此漏洞影响所有服务器,但在应用安全更新方面应优先考虑域控制器。在运行Windows 7 Service Pack 1和Windows Server 2008 R2 Service Pack 1 的系统上安装这些更新可能会带来不利影响,因为它们会破坏某些供应商的备份软件。 CVE-2022-26925影响所有Windows版本,包括客户端和服务器平台,从Windows7和 Windows Server 2008到Windows 11和Windows 2022。不过在今年五月份的微软Patch Tuesday,微软已经和其他两个漏洞一起修补了该零日漏洞,一个是Windows Hyper-V 拒绝服务漏洞 (CVE-2022-22713)、还有一个是Magnitude Simba Amazon Redshift ODBC 驱动程序漏洞 (CVE-2022-29972)。 转自 Freebuf,原文链接:https://www.freebuf.com/articles/332788.html 封面来源于网络,如有侵权请联系删除

俄罗斯胜利日期间,黑客在电视节目上发布反战信息

Security Affairs 网站披露,俄罗斯胜利日期间,境内部分电视台遭受网络攻击,黑客成功获取权限后,发布反战信息。 据 BBC 报道,这次协同网络攻击影响了包括第一频道、Rossiya-1、MTS、Rostelecom 和 NTV-Plus  等在内俄罗斯的主要媒体。 胜利日期间,在俄罗斯总统普京发表讲话时,黑客组织破坏了俄罗斯在线电视时间表页面,发布反战信息。除此之外,还试图通过智能电视访问电视节目表,向俄罗斯公民展示指责克里姆林宫的宣传信息。 黑客在入侵俄罗斯电视节目表页面后,将每个节目的名称更改为 “你们的手上沾满了成千上万乌克兰人和他们数百名被害儿童的血,电视节目和当局都在撒谎,反对战争”。 匿名者黑客组织第一时间公开了此次网络攻击的消息,但目前尚不清楚哪个组织攻击了俄罗斯媒体。 值得一提的是,此次网络攻击还导致俄罗斯视频流媒体平台 RuTube 下线,部分亲乌克兰黑客认为该平台是俄罗斯宣传的重要组成部分。 遭受攻击后,媒体平台 RuTube 表示,攻击者没有访问其内部档案,正在努力恢复平台。另一方面,网上黑客组织声称,Rutube 的代码已经从平台上完全删除,并计划尽快泄露。 转自 Freebuf,原文链接:https://www.freebuf.com/news/332781.html 封面来源于网络,如有侵权请联系删除

在遭遇勒索软件攻击后,美林肯学院宣布关闭

据悉,美国林肯学院定于周五关闭,这使其成为该国第一所部分因勒索软件攻击而关闭的高等教育机构。发布在该学校网站上的一封信件写道,虽然这所学校经历了两次世界大战、西班牙流感和大萧条,但却无法处理新冠大流和发生于去年12月的勒索软件攻击的组合。 学校在公告中写道:“林肯学院是2021年12月网络攻击的受害者,它挫败了招生活动、阻碍了对所有机构数据的访问并造成2022年秋季招生预测的情况不明确。招聘、维持和筹款工作所需的所有系统都无法运行。幸运的是,没有个人身份信息被暴露。在2022年3月完全恢复后,预测会显示出巨大的招生缺口,需要一个变革性的捐赠或合作来维持林肯学院在本学期之后的发展。” 这所伊利诺伊州的学校以亚伯拉罕·林肯总统的名字命名,该校在林肯总统于1865年的生日那天破土动工,是美国教育部认定的仅有的几所以黑人乡村的农村学院之一。 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1267645.htm 封面来源于网络,如有侵权请联系删除

加密货币骗局通过在 YouTube 上重播旧视频,窃取了数百万美元

据悉,加密货币骗局通过在YouTube上重播埃隆·马斯克(Elon Musk)、杰克·多尔西(Jack Dorsey)和方舟投资(Ark Invest)的旧视频,窃取了数百万美元。 这是一种老式的投资翻倍骗局,承诺将返还受害者支付的加密货币金额的两倍。 诈骗者在Ark Invest的“The ₿ Word”会议上重新播放了经过剪辑的埃隆·马斯克、杰克·多尔西和凯瑟琳·伍德关于加密货币的讨论视频,赚取130多万美元。 过去,诈骗者也曾利用与埃隆·马斯克有关的其他视频,如SpaceX发射和特斯拉视频,成功宣传虚假赠品,并在此过程中窃取了数百万美元。 操作简单 有近10个YouTube频道发布了相关视频,视频中还包括欺诈性加密赠品网站链接在内的其他内容。这只是整个计划的一部分。有报道称,该骗局可以追溯到一月份,诈骗者在短短七个小时内就收获了40万美元。 全球最大的专业安全技术公司迈克菲的安全研究人员也一直在监控这场骗局,并于周四发布了一份报告,报告中指出已经识别到11个诈骗网站。 迈克菲在报告发布后的第二天更新帖子,表示这些网站的数量在24小时内增加到了26个。 YouTube的流媒体广告宣传了几个主题相似的网站,他们声称返还的加密货币价值是他们收到的两倍。例如,如果你发送1BTC,你将收到2BTC的回报。 ——迈克菲 然而,这些网站每天都在出现,诈骗者会生成新的钱包,从容易受骗的加密货币用户那里获取资金。以下是一些研究人员发现的网站: 上图中的一些站点仍在运行。这个名单不够完整,因为诈骗者在继续建立新的网站,在新的流媒体上播放剪辑后的加密货币相关对话。 研究人员表示,视频中宣传的网站诱使访问者认为其他人一直在发送加密货币,并获得了两倍的资金。此外,该网站还展示了一张最近交易的表格作为依据。 为了创建假表格,骗子使用JavaScript代码生成一个随机加密货币钱包和支付金额的列表。 被盗资金 以下是诈骗者利用Ark Invest加密货币骗局窃取的以太坊和比特币钱包地址和金额列表: 获取的金额可能看起来不多,但考虑到整个骗局只需要很少的努力和技能,这已经是一笔不少的资产。一旦视频被编辑好,网站开始运行,诈骗者就只需要等待受害者转移数字货币。 迈克菲表示,已发现的恶意网站上列出的钱包记录了各种各样的交易,5月5日加密货币交易额达到28万美元。第二天,总价值飙升至130万美元。最大的钱包从13笔交易中获得了超过9万美元的比特币。 YouTube 频道 通过快速浏览当前所有的诈骗视频发现,诈骗者在5月7日又窃取了10万美元,有9个YouTube频道在引诱加密货币用户进入诈骗网站,几乎所有的内容都包括特斯拉、埃隆·马斯克、方舟投资等字样。 其中有一些宣传加密货币诈骗网站的频道拥有大量的粉丝,订阅人数在7.1万至108万之间。这些频道的订阅者数量似乎是人为夸大的,以增加骗局视频的可信度,因为它们没有其他内容可以发布。 一些频道已通过下架或限制付费会员观看的形式,将剪辑后的视频删除。这种类型的骗局非常普遍,YouTube每天都会进行审核和删除,但速度还不够快。目前至少有40个这样的视频。这些直播每天运行多次,一旦结束就会被删除。 加密货币用户一直是威胁参与者的目标,他们寻求新的方法使受害者落入陷阱。尽管加密货币资产翻倍的承诺已经是过时的把戏,但对于诈骗者来说仍然是有利可图的。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/uYGbHINdNpBV4nwAt8xgvg 封面来源于网络,如有侵权请联系删除

黑客正积极利用 BIG-IP 设备漏洞 配置错误引发危险等级 9.8 安全隐患

上周,F5 披露并修补了一个严重等级达到 9.8 / 10 分的 BIG-IP 漏洞。由于 iControl REST 身份验证配置错误,黑客可借此以 root 权限运行系统命令。据悉,iControl REST 是一组用于配置和管理 BIG-IP 设备的基于 Web 的编程接口,而 BIG-IP 则是该组织用于负载均衡、防火墙、以及检查和加密进出网络数据的一系列设备。 ArsTechnica 指出:BIG-IP 涵盖了超过 16000 个可在线发现的设备实例,且官方宣称有被财富 50 强中的 48 家所采用。 然而让 Randori 安全研究主管 Aaron Portnoy 感到震惊的是: 由于身份验证的设施方法存在缺陷,该问题竟使得能够访问管理界面的攻击者伪装系统管理员身份,之后便可与应用程序提供的所有端点进行交互、甚至执行任意代码。 鉴于 BIG-IP 靠近网络边缘、且作为管理 Web 服务器流量的设备功能,它们通常处于查看受 HTTPS 保护的流量 / 解密内容的有利位置。 过去一整天,Twitter 上流传的大量图片,揭示了黑客是如何积极在野外利用 CVE-2022-1388 漏洞,来访问名为 bash 的 F5 应用程序端点的。 其功能是提供一个接口,用于将用户提供的输入,作为具有 root 权限的 bash 命令来运行。更让人感到震惊的是,虽然不少概念验证(PoC)用到了密码,但也有一些案例甚至可在不提供密码的情况下运作。 对于如此重要的设备命令竟然被这样松散地处置,许多业内人士都感到大为不解,此外有报告提到攻击者可利用 webshell 后门来维持对 BIG-IP 设备的控制(即便修补后也是如此)。 在其中一个案例中,有 IP 地址为 216.162.206.213 和 209.127.252.207 的攻击者将有效载荷置入了 /tmp/f5.sh 的文件路径、从而在 /usr/local/www/xui/common/css/ 中部署基于 PHP 的 webshell 后门。 当然,这并不是安全研究人员被如此离谱严重的漏洞给惊到。比如不少人都提到,这种情况与两年前的 CVE-2020-5902 实在太过相似。 不过随着大家对于 CVE-2022-1388(RCE)漏洞的易得性、强大功能、以及广泛性有了更深入的了解,相关风险也正笼罩到更多人的头上。 如果你所在的组织机构正在使用 F5 的 BIG-IP 设备,还请着重检查并修补该漏洞、以减轻任何可能遇到的潜在风险。 有需要的话,可参考 Randori 热心提供的漏洞详情分析 / 单行 bash 脚本,并抽空详阅 F5 给出的其它建议与指导(KB23605346) 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1267699.htm 封面来源于网络,如有侵权请联系删除

美国、英国和欧盟指责俄罗斯对 Viasat 卫星通信网络的攻击”不可接受”

美国、英国和欧盟正式指责俄罗斯政府在2月份对卫星通信供应商Viasat进行的网络攻击,该攻击在俄罗斯发动对乌克兰的入侵前几个小时曾引发了整个中欧和东欧地区的故障。欧盟在联合声明中说:”欧盟及其成员国与国际伙伴一起,强烈谴责俄罗斯联邦对乌克兰进行的恶意网络活动,该活动以Viasat公司运营的KA-SAT卫星网络为目标。” 欧盟将这次攻击归咎于俄罗斯。虽然攻击的主要目标被认为是严重依赖卫星通信的乌克兰军方,但2月24日的攻击也影响了乌克兰成千上万的Viasat客户和欧洲各地成千上万的客户的互联网服务。攻击还切断了德国各地约5800台风力发电机的远程访问,它们主要依靠Viasat路由器进行远程监测和控制。 几个月后,对Viasat网络的攻击仍未完全解决。Viasat说,网络攻击还损坏了数万个无法修复的终端,并在其对该事件的最新分析中说,到目前为止,服务商已经向客户提供近3万台路由器,以努力使它们重新上线。 欧盟继续说:”这一不可接受的网络攻击是俄罗斯在网络空间持续不负责任的行为模式的又一个例子,这也构成了其非法和无理入侵乌克兰的一个组成部分,”欧盟补充说,该集团正在”考虑采取进一步措施,防止、阻止、遏制和应对这种恶意行为。” 英国国家网络安全中心在声明中说,军事情报显示”几乎可以肯定”俄罗斯是1月份乌克兰政府网站被破坏以及在入侵前部署Whispergate破坏性恶意软件的幕后黑手。 在正式确定Viasat网络攻击来源之前几周,SentinelOne研究人员表示,该事件很可能是俄罗斯一种名为”AcidRain”的新型刷写式恶意软件的结果,该软件旨在远程擦除易受攻击的调制解调器。Viasat证实,这些发现与它自己对攻击的分析”一致”。 SentinelLabs注意到AcidRain和VPNFilter恶意软件之间的相似之处,联邦调查局在2018年将其归于俄罗斯军事情报部门,被称为”Fancy Bear”- 或APT28 – 黑客组织。最近,美国国家安全局和CISA将该活动与Sandworm联系起来,Sandworm被指控在五年内进行了一系列攻击,包括针对全球数百家公司和医院的破坏性NotPetya网络攻击。APT28和Sandworm都与俄罗斯的军事情报机构GRU有关。 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1267741.htm 封面来源于网络,如有侵权请联系删除

被 Conti 攻击后,哥斯达黎加宣布进入紧急状态

在多个政府机构遭到Conti勒索组织的网络攻击后,哥斯达黎加总统罗德里戈·查韦斯(Rodrigo Chaves)宣布全国进入紧急状态。该国上一次宣布进入紧急状态,还是在2020年应对新冠肺炎肆虐的时候。 据国外媒体报道,Conti勒索组织已经发布了所窃取的672 GB数据中的绝大部分内容,其中有很多都来自于哥斯达黎加各个政府机构。基于勒索攻击带来的严重影响,2022年5月8日,哥斯达黎加查韦斯签署了该命令,也正是这一天,查韦斯刚刚当选为第49任总统。 查韦斯表示,“哥斯达黎加遭受网络犯罪分子、网络恐怖分子的攻击,被迫宣布国家紧急状态。我们正在签署这项法令,宣布整个公共部门进入国家紧急状态。国家授权我们的社会将这些攻击作为犯罪行为来应对。” 哥斯达黎加社会保障基金 (CCSS) 发言人此前也表示,正在加大力度对Conti勒索软件的进行边界安全审查,防止CSS机构因此遭受勒索攻击。 截至5月9日,Conti勒索组织已经在其网站上泄露了97%的数据,其中有大量从哥斯达黎加政府机构窃取的数据: 在本次勒索攻击中,最先遭受Conti勒索组织攻击的机构是财政部,截止到目前尚未完整评估出此次事件的影响范围,以及纳税人信息、支付信息和海关系统的影响程度。早些时候,Conti勒索组织曾向哥斯达黎加索要1000万美元赎金,但是被政府拒绝了。 受到Conti勒索组织攻击影响的部门包括: 财政部 科学、创新、技术与电信部 劳动与社会保障部 社会发展与家庭津贴基金 国家气象研究所 哥斯达黎加社会保障基金 阿拉胡埃拉市各大学主校 目前有安全专家已经对一小部分泄露数据进行初步分析,结果显示源代码和SQL数据库确实来自政府网站。Conti攻击者“UNC1756”及其附属机构并未将此网络攻击归咎于民族国家黑客,而是单独声称对此负责并威胁要在未来进行“更严重的”攻击。 事实上,自4月18日以来,哥斯达黎加的政府程序、签名和邮票系统就已经被破坏,财政部的数字服务一直无法使用,这影响了整个“生产部门”。 查韦斯总统补充说:“我们签署了该法令,以便更好地保护自己,免受勒索组织攻击带来的伤害,这也是以此对国土的攻击。” 很难想象,一个国家会因为一个勒索组织的攻击就宣布进入紧急状态,同时也从侧面反映出Conti勒索组织是多么的丧心病狂,竟然敢公然挑衅政府部门,并对整个国家都造成了严重的影响。 目前,勒索攻击已经成为全球的威胁,无数国家和经济都有可能因此遭受巨大损失。对于Conti勒索组织的猖獗,美国也发布了高达1500万美元的巨额奖金,奖励那些提供关于Conti勒索组织领导层和运营商关键信息的人。 其中,1000万美元奖励给提供Conti勒索组织的攻击者身份和位置信息的人,另外500万美元则奖励给帮助警方逮捕的个人。 公开信息显示,Conti勒索组织发布了勒索即服务,与讲俄语的 Wizard Spider 网络犯罪组织(也以其他臭名昭著的恶意软件,包括 Ryuk、TrickBot 和 BazarLoader 等)存在关联性。 这已经不是该组织第一次入侵政府部门,此前他们还曾入侵爱尔兰卫生部 (DoH),并索要2000万美元的赎金。2021年5月,FBI发出警告,Conti勒索组织正试图破坏美国十几个医疗保健和急救组织。 2021年8月,Conti勒索组织内部人员反水,泄露了其核心的培训材料、运营商的信息、部署各种恶意工具的手册等。但是经过几个月的时间,Conti勒索组织勒似乎并未因此元气大伤,而是继续发起各种网络攻击。 随着全球勒索攻击形势进一步加剧,我们也应该思考,如何建设好网络防护体系,并做好遭受勒索攻击之后的应急响应措施,以免因此而蒙受损失。 转自 Freebuf,原文链接:https://www.freebuf.com/news/332661.html 封面来源于网络,如有侵权请联系删除