LockBit勒索软件团伙声称对威奇托市发动了一场破坏性的网络攻击，迫使该市政府关闭了用于在线账单支付的IT系统和包括法庭罚款、水费和公共交通系统。 威奇托位于堪萨斯州，是该州最大的城市，人口接近40万。它在该地区扮演着重要的文化、经济和交通枢纽角色，拥有多家飞机制造厂。 2024年5月5日，该市政府宣布他们正面临一场破坏性的网络攻击，LockBit勒索软件加密了部分网络。 为了遏制损失并阻止攻击进一步传播，该市IT专家关闭了用于在线服务的计算机。 官方声明中提到：“这一决定并非轻率之举，我们需要确保系统在重新投入使用之前是通过了安全审查的。” 5月8日早些时，LockBit勒索软件团伙将威奇托添加到其勒索门户上，并威胁称除非威奇托支付赎金，否则将于2024年5月15日前发布所有被盗文件。 在攻击发生仅三天后就公布勒索软件受害者名单并不常见，因为通常来说勒索软件团伙会给公司更多时间去谈判。 然而，此次公布是在国际执法行动揭露并制裁了LockBit勒索软件运营的领导者，一个名为Dmitry Yuryevich Khoroshev的31岁俄罗斯国籍的人之后，仅几小时内完成的。此人在网上的别名是“LockBitSupp”。 将威奇托市迅速列入受害名单可能是该勒索软件对最近执法行动的报复，这些行动严重破坏了软件运营，同时玷污了运营者的声誉。 与此同时，威奇托市持续受到干扰，以下服务仍然不可用：  暂停水费的自动付款 某些地点（机场航站楼，高级学习图书馆，Evergreen和Walters图书馆分馆）的公共Wi-Fi 图书馆的在线目录、数据库和一些数字服务 图书馆工作人员通过城市网络的电子邮件通讯 图书馆的自助打印释放站和自助检查站 高级学习图书馆的自动材料处理器  图书馆的大部分电话呼入功能 社区资源中心的Wi-Fi和电话服务 由于在线付款平台关闭，公共服务，包括高尔夫球场、公园、法院和水务局，要求居民以现金或支票支付  截至2024年5月10日的任何投标、提案或资格要求的请求被推迟到2024年5月17日。此外，原定于2024年5月10日星期五的“投标开标”已取消 除上述之外，一些公共安全服务如WFD和WPD已开始使用“纸笔报告”，而威奇托市公交车和填埋场服务只接受现金支付。 该市仍在调查此次攻击是否导致数据被盗，然而LockBit勒索软件团伙在部署其加密器之前会窃取数据是公知的。 因此，如果不支付赎金，数据很可能会被泄露到勒索软件团伙的数据泄露网站上。   消息来源：bleeping computer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

微软已确认，上月发布的 Windows Server 安全更新可能会导致本地安全机构子系统服务（LSASS）进程崩溃，从而重新启动域控制器。 LSASS 是 Windows 的一项用于处理安全策略、用户登录、访问令牌创建和密码更改等任务的服务。 受影响的 Windows 版本和错误安全更新列表包括 Windows Server 2022（KB5036909）、Windows Server 2019（KB5036896）、Windows Server 2016（KB5036899）、Windows Server 2012 R2（KB5036960）、Windows Server 2012（KB5036969）、Windows Server 2008 R2（KB5036967）和 Windows Server 2008（KB5036932）。 微软解释：“在极少数情况下，运行域控制器（DC）角色的 Windows 服务器可能会因为本地安全机构子系统服务（LSASS）崩溃而重新启动。”这一情况已添加到 Windows 版本运行状况仪表板的最新更新中。 为解决由于 LSASS 内存泄漏而导致的其他 Windows Server 崩溃问题，微软发布了紧急带外（OOB）更新，这是在安装了 2024 年 3 月的 Windows Server 安全更新后出现的。 此前，微软已在 2022 年 12 月和 2022 年 3 月解决了其他 LSASS 崩溃问题，这些问题曾被认为是域控制器重新启动的原因。 NTLM 认证失败和 VPN 的问题 微软此前已经确认，2024年4月的Windows安全更新还会导致NTLM认证失败和受影响域控制器的负载增加。 此外，Windows平台跨客户端和服务器的用户也受到VPN连接失败的影响。 微软尚未告知该影响的具体原因，目前仍在努力修复中。建议中小型和大型企业客户通过“Support for Business”联系微软，家庭用户可使用Windows “Get Help”应用获得帮助。 在微软发布修复程序之前，目前没有官方解决方案。但是，您仍然可以通过卸载安全问题更新来暂时解决这些已知问题。 微软表示：“将LCU包名称作为参数的情况下使用DISM/Remove-Package命令行选项，这样就可以在安装组合的SSU和LCU包之后移除LCU。可以使用DISM /online /get-packages 命令查找包名称。” 值得注意的是，Redmond在周二补丁更新中也囊括了安全修复；因此，为了解决域控制器、NTLM和VPN的问题而移除2024年4月的更新同时也会清除所有安全漏洞的修复程序。   消息来源：bleeping computer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

英国政府确认，一名黑客最近成功入侵国防部的网络，获取了武装部队支付网络的部分数据。这次被攻击的系统包含现役和预备役军人及一些最近退伍军人的个人数据。 国防部长格兰特·沙普斯在下议院的声明中表示，国防部最近几天才察觉此次入侵。得知入侵后，国防部立即隔离系统并停止所有支付操作。好在此次事件并没有对工资、费用支付和退伍军人养老金产生重大影响。沙普斯指出，4月份所有的工资都已支付。 国防部长澄清说，黑客的目标是由承包商管理的外部系统，该系统与国防部的核心网络完全分离，与主要军事人力资源系统没有联系。受影响的主机主要包含姓名和银行账户的详细信息，有时也包括地址。预计大约有270,000份工资记录被泄露。 目前尚未查明黑客入侵的具体方式。但沙普斯指出，一些迹象表明承包商存在潜在失误，这也为未经授权的访问提供了机会。 目前尚无迹象表明黑客窃取了任何数据，但以防万一，受影响的服务人员已通过指挥链被告知了风险。同时受到影响的退伍军人将会收到有关事件和泄露数据的信函通知。 沙普斯强调，这次攻击是黑客发动的，同时表示在目前阶段，“其他国家的介入”也是一种可能性。   消息来源：bleeping computer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

据知道创宇暗网雷达监测，美国大陆航空航天技术公司475GB数据遭泄露。据了解，本次泄露的数据包括：个人机密数据、客户文件、大量技术文档、客户数据库、预算、工资单、税收、身份证、财务信息等。 知道创宇暗网雷达截图 信息截图 美国大陆航空航天技术™ (Continental Aerospace Technologies™) 是通用航空领域的全球领导者。 美国大陆航空航天技术公司官网截图 他们是唯一一家提供全系列汽油和 Jet-A 发动机以及航空电子设备服务的公司。美国大陆航空航天技术公司成立于 1905 年，总部位于美国阿拉巴马州。 Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达

根据勒索软件特别工作组 (RTF) 周三发布的一份新报告，过去几年勒索软件攻击的发生率和规模显著增加，赎金支付额将在 2023 年首次超过 10 亿美元。 2024 年 4 月的 36 页进度报告“Doubling Down”强调了尽管政府机构、民间社会、技术社区和私营部门在共同努力打击勒索软件，勒索软件仍然是持续威胁。 勒索软件特别工作组报告背后的加利福尼亚州智囊团安全与技术研究所 (IST) 回顾了其在 2021 年 RTF 报告“打击勒索软件：综合行动框架”中提出的建议，并指出虽然取得了一些进展，但仍然存在重大挑战。 RTF 表示，在 2021 年报告中提出的 48 项最初建议中，实际上只有一半 (24 项) 采取了实际行动，另外 20 项正处于初步阶段，而 4 项建议仍未得到解决。 该研究所呼吁要“加倍努力”地实施其余建议，特别是那些需要美国政府采取立法行动的建议。 报告指出：“虽然各国政府建立的机制值得赞扬，但我们认为美国没有充分利用这些机制。” IST 使用主题标签“#24in24”宣布周三将与新发布的 X 报告一起举办特别活动。 此次活动包括来自勒索软件生态系统的 42 名专家安排的5 场讨论小组、 3 场主题演讲和 2 场炉边谈话，计划将把剩下的 24 条建议取消，并讨论如何通过国内外协调一致的方式大力阻止勒索软件攻击。 与该报告一样，该活动还将涵盖如何破坏勒索软件商业模式并减少犯罪利润、帮助组织为勒索软件攻击做好准备以及更有效地应对勒索软件攻击等主题。 2023 年主要勒索软件统计数据 根据 RTF 报告中收集的最新统计数据，从 2022 年到 2023 年，向 FBI 报告的针对关键基础设施的勒索软件攻击增加了 37%。 RTF 发现，在同一时期，勒索软件攻击总体数量增加了约 18%，导致受害者损失了超过 10 亿美元的加密货币。 谷歌的统计数据显示，2023 年，四个勒索软件组织利用了六个零日漏洞，包括 MOVEit 和 GoAnywhere 文件传输服务、Citrix 网络产品和 PaperCut 打印管理软件。每个漏洞攻击都给数百名受害者带来了损失。 在金融领域，安全软件公司 Sophos 报告称，25% 的攻击为数据加密和数据泄露。 RTF 表示，协调事件报告机制仍需要采取行动，其中包括要简化事件报告以减轻受害者的负担、通过信息共享扩大国际合作以及加大威慑和破坏力度。 RTF 还希望看到各国政府采取具体措施，例如控制赎金支付并加深与执法部门、美国政府网络机构（例如国家标准与技术研究院 (NIST) 、网络安全基础设施、安全局 (CISA)的联系。同时建议投入更多财政资源来准备和应对网络攻击。 该智库认为，要想实施行动来大规模阻止勒索软件的传播，需要各利益相关方如政府、民间社会、行业加大努力。 RTF 还强调，考虑到国家的高度脆弱性、国家安全问题、经济损失和关键服务中断，政府需要提高应对勒索软件问题的透明度。   消息来源：cybernews，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

在遭受网络攻击致使出现运营问题后，英国莱斯特市市议会仍在努力解决该市街灯无法关闭的问题。 来自博蒙特莱斯的居民罗杰·尤因斯是注意到该市街灯日夜亮着的人之一。 他说：“我注意到安斯特里大道一侧的街灯全亮，而另一侧的却全灭。” 在向市议会询问原因后，尤因斯被告知市议会遭受的网络攻击正在影响“中央管理系统”，这也导致出现街灯“不听使唤”的结果。 这场网络攻击引起了当地居民的担忧，因为灯光用电很多，这很可能会增加电费开支。尤因斯在一封电子邮件中被告知，灯光问题应该在五月第一周结束前能得到解决。 市议会发言人报告称，他们已经发现了这个问题，并将其归因于最近发生的网络攻击。由于市政府必须关闭 IT 系统，因此无法“远程识别街灯系统中的故障”。 “故障的默认模式是灯光保持亮着，以确保道路不会完全没有照明，从而造成安全隐患，”发言人说道。“解决这个问题需要采取一系列步骤，我们正在尽快处理。”   转自安全客，原文链接：https://www.anquanke.com/post/id/296000 封面来源于网络，如有侵权请联系删除

LockBit勒索软件团伙声称已泄露据称从哥伦比亚特区保险、证券和银行部（DISB）窃取的1GB数据。 该组织声称拥有DISB、美国证券交易委员会（SEC）、特拉华州银行机构以及其他金融实体的800GB数据，并威胁称除非DISB支付赎金，否则将这些数据公开。 据称，这些数据疑似是在3月底针对数据服务商Tyler Technologies 的网络攻击期间从DISB的STAR系统客户端盗取的。 Tyler Technologies和DISB分别表示，此次攻击涉及对托管DISB STAR系统客户端数据的云环境进行未经授权的访问，导致该系统离线。 虽然在受感染的系统上部署了文件加密勒索软件，但Tyler一直致力于使用可用备份恢复环境和相关数据。 Tyler目前已证实，从STAR系统窃取的信息已在网上泄露，但尚未确定数据泄露的范围。承包商表示，可能泄露的信息可能包括姓名、出生日期、社会安全号码、驾驶执照号码和其他信息。 “我们已确认黑客获取系统信息的证据，并正在与第三方网络安全取证专家合作，以确定影响范围。截至4月18日，黑客已发布了他们声称从STAR系统获取的信息。”该公司表示。 Tyler还指出，它尚未确定在攻击中可能被盗的个人身份信息（PII），一旦识别过程完成，将开始通知相关个人。 LockBit网站相关信息截图 Tyler指出，这次攻击与2020年的勒索软件攻击暂无联系，2020年的攻击事件影响了公司内部网络和电话系统，并迫使其关闭了包括网站在内的多个系统。 总部位于德克萨斯州的Tyler Technologies提供财产税生命周期管理解决方案、公民服务解决方案、安全系统用于访问官方记录、监管解决方案以及综合纠错、案件管理和公共安全解决方案。   消息来源：securityweek，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

一名暗网用户声称对印度著名文具产品制造商 Luxor International Private Limited 的数据泄露事件负责。 Luxor 数据泄露事件于 2024 年 4 月 19 日首次被发现， nuovo BreachForums 的邮箱管理员披露了据称属于 Luxor 数据库的泄露情况。 泄露的数据最初分享在 Telegram 频道 Leakbase ，包含了 692 MB 的 SQL  数据，涵盖大量敏感信息。暴露的数据包括名字、姓氏、出生日期、散列密码、账单和运输详细信息、税务信息等。 涉嫌 Luxor 数据泄露暴露敏感数据库 Luxor 数据泄露包括注册在 Luxor 网站上的个人信息，这意味着泄露的数据可能是真实的。如果被盗数据被证实是真实的，此次泄露可能导致信任丧失、财务损失、声誉受损、身份盗窃、运营中断和潜在的欺诈，不仅影响到公司本身，还包括其客户和利益相关者。 据称受到影响的 Luxorwriting Instruments Private Limited 和 Luxor International Private Limited 已被通知此次泄露事件。 Luxor 在印度次大陆开展业务，其泄露事件不仅对国内客户造成影响，还影响了其在亚太地区的客户和合作伙伴。 此外，邮政局的动机尚不清楚，因为黑客并未分享有关泄露的任何意图或动机，而且被盗的数据似乎仅限于客户，因为它仅包含来自 Gmail 帐户而不是组织的业务帐户的数据。 解读 Luxor 数据泄露 一篇归因于邮政局的公开帖子提供了对 Luxor 数据泄露的见解，将 Luxor 描述为“印度书写工具行业的领军品牌”。该帖子包括文件名（luxor.in.sql）和大小（未压缩的692 MB），为泄露的数据规模提供了参考。 泄露的数据似乎包括结算信息或交易记录，它们被分成不同条目，且包含各种字段。这些字段可能包括标识符、时间戳、数值和文本数据，这表明存在着一个管理结算相关活动的综合系统。   消息来源：thecyberexpress，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

一月份美国德克萨斯州一小镇供水系统溢出遭黑客攻击，目前调查得出，该事件疑似与一个神秘的俄罗斯黑客组织有关。这是美国公用事业公司成为外国网络攻击目标的最新案例。 本次袭击是针对德克萨斯州狭长地带乡村小镇的三起袭击事件之一。当地官员表示，公众没有面临任何危险，这些企图已报告给联邦当局。 Hale 中心城市经理 Mike Cypert 表示：“在四天内，我们的防火墙遭受了 37,000 次登录尝试。由于该市采取了手动操作并关闭了系统，黑客攻击未能成功。” 他指出，被攻击小镇Muleshoe位于西部约60英里处，人口约5000人。黑客攻击导致供水系统溢出，但随后该系统被关闭，并由官员手动接管。目前事件已迅速处理解决，水消毒系统未受影响，公共供水系统和公众没有受到任何危险。 本周，美国网络安全公司 Mandiant 发起的至少一起攻击与一个神秘的俄罗斯黑客活动组织有关。猜测该组织可能与俄罗斯军事黑客组织有合作，或者其本身就是俄罗斯军事黑客组织的一部分。 该组织自称为“CyberArmyofRussia_Reborn”，声称对一月份美国和波兰供水设施遭受的袭击负责，这些袭击当时几乎没有受到关注。 网络安全研究人员表示，CyberArmyofRussia_Reborn 涉嫌与俄罗斯政府有联系。去年，这些组织对乌克兰及其盟友进行了攻击，其中包括导致网站暂时离线的拒绝服务数据攻击。 微软去年12月在报道中指出，有时这些组织声称对实际上由克里姆林宫军事情报黑客实施的攻击负责。 Hale 中心城市经理 Mike Cypert 表示，他已向联邦调查局（FBI）和国土安全部（DHS）转达了信息。 联邦调查局（FBI）拒绝就此发表评论，国土安全部（DHS）旗下的网络安全和基础设施安全局（CISA）将问题转交给了目标城市。 去年11月，伊朗国家集团对美国供水设施进行了黑客攻击。随后，CISA发布了一份咨询报告。伊朗国家集团表示，他们的目标是使用以色列设备的设施。 该国副国家安全顾问 Anne Neuberger 去年12月表示，针对伊朗黑客的攻击以及针对医疗保健行业的一系列勒索软件攻击，政府应该对公用事业和行业采取行动，以此加强网络安全。 今年三月，美国环境保护局局长Michael S. Regan和总统国家安全事务助理Jake Sullivan 致信各州州长，要求他们采取措施保护供水。 Regan和Sullivan 提出：“饮用水和废水系统作为生命线关键基础设施部门，由于往往缺乏采取严格的网络安全实践所需的资源和技术能力，因此成为网络攻击的吸引目标。”     消息来源：securityweek，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

截至 2024 年 1 月 1 日，由 Akira 勒索软件组织支持的威胁行为者已经侵入超过 250 个网络，勒索了约 4200 万美元的非法收益。 荷兰和美国的网络安全机构以及欧洲刑警组织的欧洲网络犯罪中心 (EC3) 在一份报告中指出：“自 2023 年 3 月以来，Akira 勒索软件已对北美、欧洲和澳大利亚的广泛企业和关键基础设施实体造成了影响。” ” 2023 年 4 月，Akira 威胁行为者在最初关注 Windows 系统之后，开始部署针对 VMware ESXi 虚拟机的 Linux 变体攻击。” 根据观察，双重勒索团伙在早期阶段使用了 Locker 的 C++ 变体，然后从 2023 年 8 月开始转向基于 Rust 的代码。需要注意的是，这些电子犯罪行为者与 Akira 勒索软件家族完全不同，后者在 2017 年非常活跃。 利用思科设备中已知的漏洞（例如，CVE-2020-3259和CVE-2023-20269），可以用于初始访问目标网络。替代方法包括使用远程桌面协议 (RDP)、鱼叉式网络钓鱼、有效凭据以及缺乏多重身份验证 (MFA) 保护的虚拟专用网络 (VPN) 服务。 众所周知，Akira 攻击者利用各种方法在受感染的系统上创建新的域帐户以确保持久性，并通过滥用 Zemana AntiMalware 驱动程序来终止与防病毒相关的进程，这被称为“自带易受攻击的驱动程序” (BYOVD) 攻击。 为了进行权限提升，攻击者依赖于凭证抓取工具，如 Mimikatz 和 LaZagne，而 Windows 远程桌面协议 (RDP) 用于在受害者网络内进行横向移动。数据泄露主要是通过 FileZilla、WinRAR、WinSCP 和 RClone 等工具完成。 根据趋势科技在 2023 年 10 月发布的勒索软件分析，Akira 勒索软件采用结合了 Chacha20 和 RSA 的混合加密算法对目标系统进行加密。 “此外，与大多数现代勒索软件二进制文件相同，Akira 勒索软件二进制文件具有一项功能，可以通过从受影响的系统中删除卷影副本来抑制系统恢复。” 在某些情况下，出于经济动机，攻击团伙会在同一次妥协事件中针对不同的系统架构（例如 Windows 和 ESXi 加密器 Akira_v2）提供两种不同的勒索软件变体。 根据区块链和源代码数据显示，Akira 勒索软件组织可能与已经解散的 Conti 勒索软件团伙存在关联。去年 7 月，Avast 发布了 Akira 解密器，但这些漏洞很可能已被修复。 Akira 针对 Linux 企业环境的变化也遵循了类似 LockBit、Cl0p、Royal、Monti 和 RTM Locker 等其他成熟勒索软件系列的做法。 LockBit 的复兴之路 趋势科技披露，今年 2 月初，执法部门全面取缔了多产的 LockBit 团伙，对其运营和声誉造成了重大影响。这导致该团伙在新的数据泄露事件中发布了旧受害者和虚假受害者的信息。 Chainalysis 在 2 月份的报告指出，LockBit 是当前运作最多产、使用最广泛的 RaaS变种之一，可能拥有数百个附属机构。其中包括许多与其他著名 RaaS 变种相关的附属机构。 这家区块链分析公司指出，他们发现了一条加密货币踪迹，将 LockBit 管理员与名为卡萨德上校的塞瓦斯托波尔记者联系起来。据称，卡萨德上校在俄罗斯危机爆发后曾为俄罗斯民兵组织在顿涅茨克和卢甘斯克受制裁管辖区的活动募集捐款，这发生在 2022 年乌克兰战争期间。 值得指出的是，思科 Talos 在 2022 年 1 月将卡萨德上校与俄罗斯国家支持的APT28组织精心策划的反乌克兰虚假信息活动联系起来。 根据趋势科技最近的调查，LockBitSupp 似乎在行动后试图夸大受害者数量，同时重点公布来自执法机构参与破坏活动的国家的受害者。其可能是为了强调其实力增强，并对那些干扰其活动的人采取行动的说法。 在上个月接受 Recorded Future News 采访时，LockBitSupp 承认了利润短期下降的情况，但承诺改善安全措施。 Agenda 带着更新的 Rust 版本回归 这次开发还遵循了 Agenda 勒索软件组织（又名 Qilin 和 Water Galura）的做法，他们使用更新的 Rust 变体通过远程监控和管理 (RMM) 工具以及 Cobalt Strike 感染 VMWare vCenter 和 ESXi 服务器的情况。 这家网络安全公司指出：“Agenda 勒索软件的传播能力扩展到了虚拟机基础设施，这表明其运营者也在向新的目标和系统拓展。” 尽管新一批勒索软件参与者不断注入威胁格局，但越来越明显的是，在地下网络犯罪中出售的“粗制滥造”的勒索软件正被用于实施现实世界的攻击。这使得较低层次的个人威胁参与者能够在无需成为组织的一部分的情况下产生可观的利润。 值得注意的是，这些勒索软件中大多数是一次性的，单次价格低至 20 美元，而其他一些品种，如 HardShield 和 RansomTuga，则无需额外付费。 Sophos 表示，junk-gun勒索软件使犯罪分子能够以廉价、轻松、独立的方式参与行动，远离了现代勒索软件复杂的基础设施。这被描述为一种相对较新的现象，进一步降低了进入成本。他们可以针对小公司和个人，因为这些目标通常缺乏资源来保护自己或有效应对事件，同时对其他人的影响较小。   消息来源：thehackernews，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文