网络安全研究人员发现了一个以前未记录的 Windows 后门，它利用名为后台智能传输服务 ( BITS )的内置功能作为命令和控制 (C2) 机制。 Elastic Security Labs 于 2024 年 6 月 25 日发现了这一新发现的恶意软件，该恶意软件与针对南美某政府外交部的网络攻击有关。该活动集群被标记为 REF8747 。 安全研究人员 Seth Goodwin 和 Daniel Stepanic表示：“本文发布时，后门的最新版本具有 35 种处理程序功能，包括键盘记录和屏幕捕获功能。此外，BITSLOTH 还包含许多用于发现、枚举和命令行执行的不同功能。” 据评估，该工具自 2021 年 12 月开始开发，被攻击者用于数据收集目的，目前尚不清楚幕后黑手是谁。 攻击者使用了名为RingQ的开源工具。RingQ 用于加密恶意软件并防止被安全软件检测，然后解密并直接在内存中执行。 2024 年 6 月，安实验室安全情报中心 (ASEC)透露，存在漏洞的 Web 服务器被利用来投放 Web Shell，然后利用这些 Web Shell 通过 RingQ 投递其他有效载荷，包括加密货币挖矿机。 此次攻击还因使用 STOWAWAY 通过 HTTP 代理加密的 C2 流量和名为 iox 的端口转发实用程序而引人注目，后者此前曾被名为Bronze Starlight（又名 Emperor Dragonfly）的网络间谍组织在 Cheerscrypt 勒索软件攻击中利用。 BITSLOTH 采用 DLL 文件（“flengine.dll”）的形式，通过使用与 Image-Line 关联的合法可执行文件（称为FL Studio（“fl.exe”），使用 DLL 侧加载技术进行加载。 研究人员表示：“在最新版本中，开发人员添加了一个新的调度组件，以控制 BITSLOTH 在受害者环境中运行的具体时间。这是我们在其他现代恶意软件家族（如EAGERBEE ）中观察到的功能。” BITSLOTH 是一个功能齐全的后门，能够运行和执行命令、上传和下载文件、执行枚举和发现以及通过键盘记录和屏幕捕获收集敏感数据。 它还可以将通信模式设置为 HTTP 或 HTTPS、删除或重新配置持久性、终止任意进程、从机器上注销用户、重新启动或关闭系统，甚至从主机上更新或删除自身。该恶意软件的一个定义方面是它使用 BITS 作为 C2。 研究人员补充道：“这种媒介对对手来说很有吸引力，因为许多组织仍在努力监控 BITS 网络流量和检测异常的 BITS 作业。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/3LDb_jS9vDUZpy-EIu4NnQ 封面来源于网络，如有侵权请联系删除

以色列黑客宣布对伊朗持续的互联网中断负责。 该组织以 WeRedEvils 为名开展活动，至少自 2023 年 10 月以来就已存在，这可能是哈马斯袭击以色列的直接后果，从而引发了当前的加沙战争。 “接下来几分钟，我们将攻击伊朗的系统和互联网提供商。”WeRedEvils 昨天在 Telegram 上表示。“猛烈的打击即将到来。” 根据该组织自己的说法，这次攻击是成功的，他们声称已经成功侵入伊朗的计算机系统，窃取数据并导致互联网中断。该组织声称他们已将窃取的信息转交给以色列政府。 作为证据，WeRedEvils 指出，信息和通信技术部网站 ict.gov.ir 目前已瘫痪，伊朗各部委的大多数其他网站也同样瘫痪，并出现“响应时间过长”的错误。一些网站还出现 403 错误。 《The Register》仅找到两个可在美国访问的政府部门页面，一个是该国文化部，另一个是外交部。 目前还不清楚 WeRedEvils 究竟造成了多大的损失，或者它是否应对当前的中断负全部责任。 WeRedEvils 声称，去年 10 月，它曾袭击伊朗电网，导致电网瘫痪两小时。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/qzJ9kecAyX8K93tdE7R9lg 封面来源于网络，如有侵权请联系删除

一种名为 SLUBStick 的新型 Linux 内核跨缓存攻击，将有限的堆漏洞转化为任意内存读写能力的成功率高达 99%，让研究人员能够提升权限或逃离容器。 该发现来自奥地利格拉茨技术大学的一组研究人员，他们演示了使用 32 位和 64 位系统中的 9 个现有 CVE 对 Linux 内核版本 5.9 和 6.2（最新版本）进行攻击，显示出很高的通用性。 此外，此次攻击可与所有现代内核防御措施（如监控模式执行保护 (SMEP)、监控模式访问保护 (SMAP) 和内核地址空间布局随机化 (KASLR)）配合使用。 研究人员将展示在启用了最先进防御功能的最新 Linux 中如何实现权限提升和容器逃逸。同时，发布的技术论文包含有关此次攻击和潜在利用场景的所有细节。 SLUBStick 详细信息 Linux 内核高效且安全地管理内存的一种方法是，为不同类型的数据结构分配和取消分配内存块（称为“slab”）。 此内存管理流程中的缺陷可能允许攻击者破坏或操纵数据结构，这称为跨缓存攻击。然而，这些攻击大约有 40% 的时间是有效的，并且通常迟早会导致系统崩溃。 SLUBStick 利用堆漏洞（例如双重释放、用户释放后或越界写入）来操纵内存分配过程。 研究人员实验中成功利用的 CVE，来源：stefangast.eu 接下来，它使用定时侧通道来确定内存块分配/释放的确切时刻，从而允许攻击者预测和控制内存重用。 使用这些时间信息可将跨更改利用的成功率提高到 99%，从而使 SLUBStick 非常实用。 测量成功率，来源：stefangast.eu 将堆漏洞转换为任意内存读写原语分为三个步骤： 释放特定的内存块并等待内核重新使用它们。 以可控的方式重新分配这些块，确保它们能够重新用于页表等关键数据结构。 一旦回收，攻击者就会覆盖页表条目，获得读取和写入任何内存位置的能力。 篡改数据，来源：stefangast.eu 想要深入研究 SLUBStick 并试验格拉茨大学研究人员使用的漏洞的人可以在研究人员的 GitHub 存储库中找到它们。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/PpXosWa7BfbqqcxYzcLwhA 封面来源于网络，如有侵权请联系删除

一个名为 StormBamboo 的黑客组织入侵了一家未公开的互联网服务提供商 (ISP)，并使用恶意软件毒害软件自动更新。 该网络间谍组织也被称为 Evasive Panda、Daggerfly 和 StormCloud，自 2012 年以来一直活跃。 Volexity 威胁研究人员透露，网络间谍团伙利用不安全的 HTTP 软件更新机制（未验证数字签名）在受害者的 Windows 和 macOS 设备上部署恶意软件负载。 网络安全公司 Volexity在周五发布的一份报告中解释道：“当这些应用程序检索更新时，它们不会安装预期的更新，而是会安装恶意软件，包括但不限于 MACMA 和 POCOSTICK（又名 MGBot）。” 为了实现这一目标，攻击者拦截并修改了受害者的 DNS 请求，并用恶意 IP 地址对其进行毒害。这样，无需用户交互，恶意软件便会从 StormBamboo 的命令和控制服务器传送到目标系统。 例如，他们利用 5KPlayer 请求更新 youtube-dl 依赖项，以推送托管在其 C2 服务器上的后门安装程序。 在入侵目标系统后，攻击者安装了恶意 Google Chrome 扩展程序 (ReloadText)，这使得他们能够收集和窃取浏览器 cookie 和邮件数据。 StormBamboo 攻击流程（Volexity） 研究人员补充道：“Volexity 观察到StormBamboo 针对多家软件供应商。”“Volexity 通知了 ISP 并与其合作，后者调查了其网络上提供流量路由服务的各种关键设备。随着 ISP 重新启动并使网络的各个组件脱机，DNS 投毒立即停止。” 2023 年 4 月，ESET 发布了一篇博客文章，介绍了 Volexity 自 2018 年以来一直跟踪的恶意软件家族 POCOSTICK。 ESET 没有直接证据，但提出最有可能的感染源是中间人 (AiTM)。Volexity 研究团队在真实案例中证实这种情况，并证明攻击者能够控制目标 ISP 的 DNS 基础设施，从而修改受害组织网络中的 DNS 响应。 Volexity的威胁情报研究人员得出结论： StormBamboo 是一名技术高超、攻击性极强的威胁实施者，他通过入侵第三方（在本例中为 ISP）来攻击目标。攻击者在各种活动中使用的恶意软件表明，他们投入了大量精力，不仅积极支持 macOS 和 Windows 的有效负载，还支持网络设备。 研究人员证实了 ESET 对 POCOSTICK 恶意软件感染媒介的假设。攻击者可以拦截 DNS 请求并用恶意 IP 地址对其进行毒害，然后使用此技术滥用使用 HTTP 而非 HTTPS 的自动更新机制。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/LoFBeztuZfEM_mM6zPnnCg 封面来源于网络，如有侵权请联系删除

近日，在一起重大网络安全事件中，印度小型银行的关键技术服务提供商C-Edge Technologies遭到勒索软件攻击，近300家当地金融机构的支付系统被迫暂时关闭。 据路透社报道，知情人士表示，此次攻击需要立即采取行动，将受影响的银行与更广泛支付网络隔离开来。 尽管多次请求，C-Edge Technologies并未回应评论，而印度银行和支付系统的主要监管机构——印度储备银行（RBI）也未发表任何声明。 周三晚间，负责监管印度支付系统的印度国家支付公司（NPCI）发布了一份公告，确认已“暂时禁止C-Edge Technologies接入NPCI运营的零售支付系统”。 公告指出，由C-Edge服务的银行客户在隔离期间将无法使用支付系统。 这种隔离是预防措施，目的是防止对国家支付基础设施产生更广泛的影响。据监管机构官员称，这些主要在大城市之外运营的近300家小型银行已被切断了与支付网络的连接。尽管此次中断规模较大，但一位知情人士指出，这些银行的业务量仅占该国整个支付系统总量的0.5%左右。 为了评估情况并进一步降低风险，NPCI目前正在进行审计。此外，印度央行和印度网络安全机构最近几周已向金融机构发出了关于潜在网络威胁的警告。   转自Freebuf，原文链接：https://www.freebuf.com/news/407594.html 封面来源于网络，如有侵权请联系删除

近日，有攻击者劫持了 Facebook 上的网页，诱骗用户下载一个合法的人工智能（AI）照片编辑器，但实际上他们真正下载的却是一个专门用以盗取用户的凭据信息窃取程序。 趋势科技的研究人员发现的这一恶意广告活动利用了人工智能的流行性，并结合了各种流行的威胁策略，包括网络钓鱼、社交工程和以恶意方式使用合法工具。最终的有效载荷是 Lumma 窃取器，它的目标是敏感信息，包括用户凭据、系统详细信息、浏览器数据和扩展。 研究人员指出，此次攻击的关键之处在于滥用付费的 Facebook 促销活动，攻击者利用这些促销活动引诱用户参与，并最终发送恶意软件。 趋势科技威胁研究员 Jaromir Horejsi 提到：一旦攻击者获得了页面控制权，他就能发布广告推广 AI 照片编辑器，并引导受害者下载伪装成照片编辑器的端点管理实用程序。 攻击者利用当前大家对人工智能技术和相关工具的关注，使用这些工具作为恶意活动的诱饵，其中包括网络钓鱼诈骗、深度伪造和自动攻击。 到目前为止，与该活动相关的恶意软件包在 Windows 上产生了约 16000 次下载，在 macOS 上产生了 1200 次下载。不过，macOS 版本重定向到的是苹果网站，而不是攻击者控制的网站，这表明攻击者只针对 Windows 用户发起攻击。 网络钓鱼导致页面被劫持 此次钓鱼活动中的攻击始于潜在受害者看到广告之前。因为攻击者首先会向目标社交媒体页面的所有者发送网络钓鱼信息，以获得页面控制权供自己恶意使用。发送者账户的个人资料基本都是空的，因为用户名基本是随机生成的。 信息中的钓鱼链接通常以直接链接或个性化链接页面的形式发送。有时，攻击者甚至滥用 Facebook 的开放重定向 URL，使这些链接看起来更合法。 如果页面操作员点击这些链接，就会出现一个要求他们向 Meta 开发人员的 “业务支持中心 “核实信息的页面。点击屏幕上的 “在此验证您的信息 “链接，就会进入一个虚假的账户保护页面，在随后的几个步骤中，该页面会要求用户提供登录和接管账户所需的信息，如电话号码、电子邮件地址、生日和密码等。 在目标用户提供这些信息后，攻击者会窃取其个人资料，并开始创建和发布人工智能照片编辑器的恶意广告，广告链接到一个使用合法工具（如 Evoto）名称的虚假域名。 Horejsi 写道：假冒的照片编辑器网页看起来与原始网页非常相似，这有助于欺骗受害者，让他们以为自己正在下载照片编辑器。 然而，上钩的用户实际下载的是免费的 ITarian 端点管理软件。攻击者利用一系列后端进程控制，最终控制受害者的机器下载最终的有效载荷–Lumma 窃取程序。 研究人员建议用户应定期更新并使用强大的密码 研究人员建议社交媒体用户应在其所有账户上启用多因素身份验证，以增加一层额外的保护，防止未经授权的访问，并在所有账户上定期更新和使用强大、唯一的密码。 企业还应定期开展教育和提高认识活动，让员工了解在访问企业网络时社交媒体上潜伏的危险，以及如何识别与网络钓鱼攻击相关的可疑信息和链接。 最后，企业和个人用户都应监控其账户是否有任何异常行为，如意外登录尝试或账户信息变更，组织应采用某种检测和响应机制。   转自Freebuf，原文链接：https://www.freebuf.com/news/407579.html 封面来源于网络，如有侵权请联系删除

全球最大白银生产商之一、黄金、铜和锌的重要生产商Fresnillo PLC近日披露，该公司遭遇了一次网络攻击，导致部分IT系统和数据被非法访问。 Fresnillo在周二的一份公告中表示，公司成为了一起网络安全事件的受害者，这次事件导致未经授权的人员访问了公司的部分IT系统和数据。在发现攻击后，Fresnillo立即启动了应急响应措施以控制数据泄露，并与外部取证专家合作，正在调查和评估此次事件的影响。 Fresnillo强调，此次网络攻击并未影响其生产运营，预计也不会对财务或物质层面产生影响。Fresnillo表示：“所有业务部门的活动正常进行，未经历或预见到任何重大运营或财务影响。我们将持续评估该情况直至完全解决。” Fresnillo在墨西哥运营着八个矿山（Fresnillo、Saucito、Juanicipio、Ciénega、Herradura、Soledad-Dipolos1、Noche Buena和San Julián），拥有四个高级勘探项目（Orisyvo、Rodeo、Guanajuato和Tajitos），以及一些长期勘探项目。该公司在伦敦证券交易所（FRES）和墨西哥证券交易所（FRES）上市，并在墨西哥、秘鲁和智利拥有采矿特许权和勘探项目。 值得注意的是，上个月澳大利亚矿业公司Northern Minerals也披露了一起数据泄漏事件，BianLian勒索软件团伙在暗网上发布了从该公司网络中窃取的数据（包括企业、运营和财务信息）。加拿大铜山矿业公司（CMMC）也曾在2022年12月遭遇勒索软件攻击后被迫关闭其一个矿厂的系统，以遏制和评估影响。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/NbJ2qOkoLZwRCbijI2_3VA 封面来源于网络，如有侵权请联系删除

在现代微芯片中，一些晶体管的尺寸已经缩小到比新冠病毒还要小十分之一的程度，这些微小的电荷作为计算基础的0和1，很容易受到干扰。一束散射的光子就足以让电子错位，干扰计算机程序。或者，通过更有针对性的激光精确照射，也可以达到同样的效果。现在，这种物理学上的电脑漏洞利用技术即将向更多的硬件黑客开放。 首个开源激光芯片黑客工具诞生 在即将于拉斯维加斯举行的Black Hat网络安全会议上，安全公司NetSPI的黑客Sam Beaumont和Larry “Patch” Trowell计划展示他们研发的新型激光黑客设备——RayV Lite。 安装在3D打印框架上的RayV Lite组件 图片：NETSPI 两位黑客打算将这款工具的设计和组件列表开源发布，目的是让任何人都能通过激光手段来逆向工程芯片，触发它们的漏洞，并揭露它们的秘密——这些方法过去只有财大气粗的企业巨头、学术实验室和政府机构的研究人员才能使用。目前最先进的商业光基黑客工具，如Riscure Laser Station，通常价格高达15万美元，超过了一辆法拉利跑车的价格，即使是低预算版本的价格也接近1万美元。然而，通过3D打印、商品组件选择和巧妙的物理技巧，Beaumont和Trowell以一辆自行车的成本（不到500美元）发出了类似工具。 两位黑客表示，创造并发布这款超廉价芯片黑客工具的设计，旨在证明激光故障注入或激光逻辑状态成像等激光利用技术比许多硬件设计师（包括NetSPI的一些客户）想象的更为可行。通过展示这些方法可以极低成本实现，他们希望能敦促硬件制造商加强对这种小众但奏效的黑客技术的防范，同时为全球DIY黑客和研究人员提供一种新研究工具。 Beaumont认为RayV Lite代表着一种潮流，那就是“高端黑客工具的家庭化”：像ChipWhisperer和HackRF这样的设备已经使电磁或基于无线电的黑客技术变得更加便宜和易于获取。 长期从事硬件黑客工作、现为电动汽车充电公司Alpitronic产品安全负责人的Adam Laurie在仔细评估了Beaumont和Trowell的激光黑客工作后表示：“它将此类工具从超昂贵的学术或国家黑客平台转移到了车库，那里才是创造性工作真正发生的地方。” RayV Lite的工作原理 在开发RayV Lite时，Beaumont和Trowell专注于两种不同的激光黑客方法。一种是激光故障注入（LFI），它使用短暂的光束来干扰处理器晶体管的电荷，“翻转”位元从1到0或反之亦然。在某些情况下，小心地触发这些位元翻转可能会产生更大的效果。例如，在他们测试的一款汽车芯片中，在某个特定时刻用激光干扰该芯片可以绕过一个安全检查，将芯片的固件置于未受保护状态，进而可以扫描其原本混淆的代码以找到漏洞。 Beaumont和Trowell表示，许多加密货币硬件钱包也容易受到LFI的攻击，比如在芯片请求PIN码以解锁加密密钥的那一刻进行干扰。“你取下加密钱包的芯片，在正确的时间用激光照射它，它就会假定你拥有PIN码，”Trowell说，“它会跳过指令，直接给你密钥。” 第二种激光黑客技术被称为激光逻辑状态成像，它专注于实时监视芯片的架构和活动，通过激光光束反射并捕捉结果（类似于相机或显微镜），然后进行分析——在Beaumont和Trowell的工作中，这通常通过机器学习工具完成。由于激光光线根据其电荷反射硅的方式不同，这种技巧使黑客不仅能够绘制出处理器的物理布局，还能够提取其晶体管存储的数据，从而揭示其处理的数据和代码的线索，其中可能包含敏感信息。 RayV Lite如何做到超低成本 在RayV Lite的首个版本中，Beaumont和Trowell为该工具设计了两个不同的版本，每个版本适用于这两种激光黑客技术之一。目前，他们只发布了激光故障注入模型，并希望在几个月内推出激光逻辑状态成像版本。这两种版本将使用相同的基本组件和相同的DIY成本削减技巧。例如，该工具的机身基于一个名为OpenFlexure的开源3D打印显微镜模型，该模型利用3D打印的PLA塑料的灵活性来实现激光的精确瞄准。目标芯片被安装在固定于打印塑料杠杆上的底盘上，由步进电机推动微小的三维移动。通过这种塑料弯曲技巧和透镜聚焦的激光，Beaumont和Trowell表示，RayV可以精确到纳米级别的晶体管组。（PLA塑料确实会磨损，但Beaumont指出，整个RayV Lite的机身可以只需几美元重新打印。） 另一个使Beaumont和Trowell能够大幅降低RayV Lite成本的创新，是由伦敦皇家霍洛威大学的一组学术研究人员首次实现的，他们构建了自己的低成本激光故障注入工具。该创新发现，激光芯片黑客攻击可以使用远比之前认为的更便宜的激光器组件，这是因为即使是较低功率的激光器在较长时间间隔（尽管仍在毫秒内）内发射，也能达到较高功率激光器在较短时间内发射的同等效果。 这一发现使得Beaumont和Trowell能够使用价格不到20美元的激光器，并且大大节省了激光器的电力和设备成本。“人们不会随身携带大功率激光器，”Beaumont说，“但你可以用激光指示器来做这件事，这实际上是我们现在正在做的。”（尽管如此，Beaumont和Trowell警告说，任何使用即使是低功率激光器的人都应佩戴护目镜。） 实际上，RayV Lite最昂贵的组件是用于聚焦的镜头和用作计时机制的FPGA芯片，每个约100美元，以及用于控制和编程的68美元的Raspberry Pi微型计算机。 汽车、医疗行业的“混淆”安全策略面临空前危机 高端黑客工具的贫民化意味着过去专业技术领域流行的“混淆”安全策略正在面临空前的威胁和危机。除了“激光酷”的普遍印象外，Trowell表示，是越来越多的易于获取的激光黑客技术研究促使她和Trowell构思了RayV Lite，同时他们还观察到客户对激光黑客技术的难度存在误解。 一些用于工业控制系统、汽车和医疗设备的高度敏感设备将容易受到激光故障注入或激光逻辑状态成像的攻击。Trowell指出，制造业需要认识到，利用激光破解这些关键设备内部芯片的想法并不像他们可能认为的那样深奥或遥不可及。 “靠混淆来实现的安全性并不能长期依赖，特别是在我们处理关键基础设施或我们家中和心脏中的设备时。”Beaumont说。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/QJTaFEJHRckwfYgAnGhCrw 封面来源于网络，如有侵权请联系删除

Shadowserver 基金会的研究人员报告称，大约 20000 台在线暴露的 VMware ESXi 服务器似乎受到了被利用的漏洞CVE-2024-37085的影响。 微软本周警告称，多个勒索软件团伙正在利用 VMware ESXi 漏洞中最近修补的漏洞 CVE-2024-37085（CVSS 评分为 6.8）。 微软研究人员发现 ESXi 虚拟机管理程序中存在一个漏洞，该漏洞被多个勒索软件运营商利用，以获取加入域的 ESXi 虚拟机管理程序的完全管理权限。该漏洞是 VMware ESXi 中的一个身份验证绕过漏洞。 VMware在发布的公告中表示：“如果恶意行为者拥有足够的 Active Directory (AD) 权限，则可以通过在从 AD 中删除已配置的 AD 组（默认情况下为“ESXi 管理员”）后重新创建该组，从而获得 对之前配置为使用 AD 进行用户管理的ESXi 主机 的完全访问权限。” 该公司发布了影响 ESXi 8.0 和 VMware Cloud Foundation 5.x 的安全漏洞补丁。但是，没有计划针对旧版本 ESXi 7.0 和 VMware Cloud Foundation 4.x 提供补丁。建议不受支持版本的用户升级到较新版本以接收安全更新和支持。 微软报告称，Storm-0506、Storm-1175 和 Octo Tempest 等多个以经济为目的的网络犯罪组织已经利用此漏洞部署勒索软件。 “微软安全研究人员发现，Storm-0506、Storm-1175、 Octo Tempest和 Manatee Tempest等勒索软件运营商在多次攻击中都使用了一种新的后入侵技术  。”微软继续说道。“在几起案件中，这种技术的使用导致了 Akira 和 Black Basta 勒索软件的部署。” Shadowserver 研究人员于 2024-07-30 发现 20,275 个实例存在 CVE-2024-37085 漏洞。 “VMware ESXi  CVE-2024-37085 身份验证绕过漏洞。虽然 Broadcom 仅将其评为中等严重性（CVSS 6.8），但我们认为该漏洞更为严重，因为它正在被勒索软件参与者在野外利用。如果您收到实例警报， 请检查是否受到入侵并进行更新。这是基于版本的扫描。” Shadowserver 发布的报告写道。 “我们不检查解决方法或 ESXi 虚拟机管理程序是否已加入域，这是可利用性的条件。任何报告都应被视为潜在漏洞，并由收件人进行验证。” Shadowserver 表示：“需要澄清的是：这些漏洞可能存在，因为这只是针对补丁状态的远程版本检查。我们没有发现任何现成的解决方法，也没有检查是否存在其他可利用的先决条件（加入域的 ESXi 虚拟机管理程序）。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/1AooiBdtDbLBJgvyR2vzXQ 封面来源于网络，如有侵权请联系删除

由于勒索攻击导致运营能力骤降，OneBlood要求250多家医院启动“血液短缺”应急程序，并持续一段时间。 安全内参8月1日消息，因勒索软件攻击关闭部分系统，美国大型血液中心OneBlood的运营能力骤降。 上周三，向美国东南部医疗机构提供血液的非营利组织OneBlood发布声明，告知公众其运作能力受到勒索软件攻击影响。 OneBlood企业传播高级副总裁Susan Forbes表示：“为了维持运转，我们已经实施了手动流程和程序。手动流程执行起来不仅需要耗费长得多的时间，还会影响库存可用性。” “为了进一步管理血液供应，我们已要求250多家接受我们服务的医院启动关键的血液短缺程序，并在一段时间内保持该状态。” OneBlood表示，目前正在与网络安全专家以及联邦和州官员合作解决这一危机。该组织向阿拉巴马州、南卡罗来纳州、佛罗里达州、佐治亚州和北卡罗来纳州的数百家医院提供血液及其他医疗物资。该组织仍在运作，并继续收集、测试和分发血液，但“运行能力已经显著降低”。 这一事件引发了其他血液组织的大力支持，美国血库协会（AABB）灾害工作组正在组织将血液和血小板送往OneBlood。目前，所有血型都有捐献需求，其中O型阳性血、O型阴性血和血小板最为紧缺。 Forbes表示，公司在确认遭到攻击后立即开始调查，并启动了应对工作。“我们正在执行全面的响应工作，并努力尽快恢复系统的所有功能。” “血液供应并不稳定。事件处理仍在进行。如果您符合献血标准，我们敦促您尽快进行预约。” 外媒CNN首次报道了这次攻击。CNN获得了一份发给健康信息共享与分析中心的咨询通知，警告佛罗里达州医院可能面临血液短缺。由于勒索软件攻击，该组织不得不手动标记血液产品。 医疗行业网络威胁严峻 这次攻击发生一周之前，英国一家知名血液测试提供商宣布，在6月勒索软件攻击后，已成功重建大部分IT基础设施。 上个月，英国病理服务提供商Synnovis被Qilin勒索软件团伙攻击，导致1000多次关键手术被取消。英国国家医疗服务体系（NHS）被迫紧急呼吁人们捐献O型血液。 根据两周前发给NHS首席执行官的一封信，勒索软件攻击使英国的国家血液库存“处于非常脆弱的状态”。 勒索软件团伙还攻击了南非国家卫生实验室服务局，严重影响了该国应对猴痘、艾滋病和结核病等多重健康危机的工作。   转自安全内参，原文链接：https://mp.weixin.qq.com/s/kC0UJk-6KlWH10OY4WiQoA 封面来源于网络，如有侵权请联系删除