HackerNews 编译，转载请注明出处： 贷款公司 LoanDepot 证实，在1月初的勒索软件攻击中，有1690万人的个人信息被盗。 事件于上月被披露，当时该公司向美国证券交易委员会（SEC）告知称发现未授权的系统活动，并已下线相关系统。在近期的更新中，证实有超过1690人受到影响，并开始发出通知信。 LoanDepot 在提交给缅因州总督的信中指出：“通过对事件的调查，我们确定在2024年1月3日至1月5日期间，遭未经授权的第三方访问了系统。受影响的信息包括姓名、地址、电子邮件地址、电话号码、出生日期、社会安全号码和银行卡号。” LoanDepot为受影响个人提供免费身份保护和信用监控服务，并提醒用户留意个人信息保护。本次事件涉及勒索软件，Alphv/BlackCat勒索软件组织声称对此负责，并在其泄露网站上列出LoanDepot，声称出售被盗数据。 近期，美国政府将提供高达1000万美元的资金以查明BlackCat领导人身份。   消息来源：securityweek，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近期，执法部门遭受黑客攻击，LockBit团伙已在新基础设施上重新启动了勒索软件操作，并威胁将更多的攻击重点放在政府部门上。 根据联邦调查局泄密模型透露，该团伙发布了一份详细声明，指明他们的疏忽导致了此次泄露，并概述了未来的行动计划，旨在引起关注。 LockBit 勒索软件持续攻击 上周六，LockBit宣布恢复其勒索软件业务，并发布信息称，承认“个人疏忽和不负责任”扰乱了执法部门其在克罗诺斯行动中的活动。 该团伙保留了其品牌名称，并将数据泄露网站转移到了新的.onion地址。该网站列出了五名受害者，并附有发布被盗信息的倒计时器。   重新启动的 LockBit 数据泄露网站 2月19日，当局拆除了LockBit的基础设施，包括34台服务器，这些服务器托管了数据泄露网站及其镜像、从受害者窃取的数据、加密货币地址、解密密钥以及附属面板。 在攻击发生后，LockBit团队立即确认了泄露事件，称他们只丢失了运行PHP的服务器，并且未受影响的备份系统是基于PHP的。 五天后，LockBit团队重新启动了其业务，并提供了有关漏洞的详细信息，以及他们将如何运营业务以使其基础设施更难以遭受黑客攻击。 未更新的 PHP 服务器 LockBit 表示，执法部门入侵了两个主要服务器。 黑客指出，由于个人疏忽和不负责任，他们没有及时更新PHP，导致受害者管理和聊天面板服务器以及博客服务器运行的是PHP 8.1.2版本，其很可能受到了CVE-2023-3824漏洞的黑客攻击。 LockBit表示，他们已经更新了PHP服务器，并宣布将奖励在最新版本中发现漏洞的人。 网络犯罪分子猜测，执法部门入侵其基础设施的原因可能是因为一月份对富尔顿县的勒索软件攻击，这增加了泄露信息的风险。 黑客表示，执法部门获得了数据库、网络面板源以及一小部分未受保护的解密器”。 去中心化 在克罗诺斯行动期间，当局收集了1000多个解密密钥。LockBit声称警方从未受保护的解密器获得了密钥，服务器上有近20,000个解密器。 黑客将“不受保护的解密器”定义为未启用“最大解密保护”功能的文件加密恶意软件的构建，通常由低级别附属机构使用，这些附属机构收取2000美元的赎金。 LockBit计划升级其基础设施的安全性，并切换为手动发布解密器和试用文件解密，以及在多个服务器上托管附属面板，并根据信任级别为其合作伙伴提供对不同副本的访问权限。 该团伙遭受了沉重打击，即使它设法恢复了服务器，附属机构也有充分的理由不信任。LockBit表示，通过面板的分离和更大的去中心化，无需自动模式下的试解密，最大限度地保护每个公司的解密者，黑客入侵的机会将显著降低。 消息来源：bleepingcomputer，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国医疗保健技术巨头 Change Healthcare 遭网络攻击，导致大范围的网络中断。 该事件最初于美国东部时间 2 月 21 日被披露，该公司宣布其部分应用程序不可用。在后续的更新中提出，公司正在遭遇企业范围内的连接问题，影响了牙科、药房、病历、临床、注册、收入和支付服务领域的100多个应用程序。公司表示正在解决与网络安全相关的中断，预计至少持续一整天。并透露，此次中断主要是由外部威胁造成，目前已断开系统连接以控制事件。 虽然 Change Healthcare 没有说明它是哪种类型的网络攻击的受害者，但鉴于对此类攻击的典型响应是断开受影响的系统与网络的连接，因此可能涉及勒索软件。 2022年，Change Healthcare与UnitedHealth Group旗下子公司Optum合并，创建了美国最大的医疗保健技术公司之一。该组织为全国各地的医疗保健提供者和付款人处理付款流程。 该公司可以访问大约三分之一的美国患者的医疗记录，每年处理数十亿笔医疗保健交易，中断对医疗保健系统产生了重大影响，一些药房无法处理处方。 “由于北美最大的处方处理机在全国范围内停电，目前无法在四个地点处理处方。尽管仍能接受处方，但无法通过保险处理。”Scheurer Health宣布。   消息来源：securityweek，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国国务院提供高达1500万美元的奖励，用于悬赏与LockBit勒索软件团伙成员及其同谋相关的信息。 奖励分为两部分：1000万美元用于获取可能导致定位或识别LockBit领导层的信息；另外，500万美元奖金用于提供可能导致逮捕LockBit勒索软件关联公司的线索。 美国司法部将LockBit勒索软件团伙与超过2000名受害者联系起来，指出该团伙索要数亿美元的赎金后，已获利超过1.2亿美元。 这些奖励是通过跨国有组织犯罪奖励计划（TOCRP）提供的。自1986年以来，美国政府已为有用线索支付超过1.35亿美元。 美国国务院设有专用的Tor SecureDrop服务器，可用于匿名提交与LockBit和其他通缉威胁行为者有关的线索。 美国国务院安全投递页面 此次，美国国务院宣布悬赏总额达1500万美元，以奖励提供有关LockBit勒索软件变体攻击的相关信息。 自2020年1月以来，LockBit攻击者对美国和全球范围内的2000多名受害者实施了攻击，导致了昂贵的业务中断以及敏感信息的破坏或泄露。已支付超过1.44亿美元的赎金，用于从LockBit勒索软件事件中进行恢复。 LockBit勒索软件团伙因国际执法行动而瓦解 在代号为“克罗诺斯行动”的全球执法行动中，LockBit勒索软件的暗网泄露网站在本周被关闭，该行动由英国国家犯罪局（NCA）领导。 警方官员在“ No More Ransom”门户网站上发布了免费的LockBit 3.0 Black勒索软件解密器，该解密器利用从LockBit被扣押的服务器中检索到的1,000多个解密密钥开发而成。 LockBit 泄露网站截图 两名LockBit组织成员被逮捕，针对其他LockBit黑客，法国和美国司法当局发出了三份国际逮捕令和五份起诉书。 美国司法部本周还公布了针对两名俄罗斯嫌疑人Artur Sungatov和Ivan Gennadievich Kondratiev（又名Bassterlord）的两份起诉书，指控他们涉嫌参与LockBit攻击。 全球警方共查获了34台LockBit服务器以及200多个加密钱包，这些钱包被该团伙用来收取赎金。 执法部门今天在该组织的暗网泄露网站上发布了更多信息，显示LockBit在一段时间内雇佣了188名成员。但具体的全部成员信息暂未公布。 LockBit勒索软件即服务（RaaS）于2019年9月开始运行，本周被关闭，是迄今为止运行时间最长的RaaS操作。 自曝光以来，LockBit声称对全球多个大型政府组织发起了攻击，包括波音公司、英国皇家邮政和意大利国税局等。 最近，美国银行向客户发出数据泄露警告，原因是其Infosys McCamish Systems（IMS）服务提供商遭到声称为LockBit的黑客攻击。   消息来源：bleeping computer，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Cactus勒索软件团伙声称他们在上个月成功入侵了施耐德电气的网络，并窃取了约1.5TB的数据。 据称，他们于1月17日获取了施耐德电气可持续发展业务部门的访问权限。 近期，暗网上公布了25MB 的被盗数据，其中包括几名美国公民护照和保密协议文件的扫描件，作为黑客所声称的证据。该团伙目前正在勒索该公司，并威胁称，如果不支付赎金，就会泄露所有被盗的数据。 鉴于此，推测从其受损系统中窃取的数据可能涵盖了客户工业控制和自动化系统的敏感信息以及有关环境和能源法规合规性的信息。 目前尚不清楚具体被盗的数据内容，但施耐德电气服务众多知名公司，包括 Allegiant Travel Company、Clorox、DHL、杜邦、希尔顿、利盟、百事可乐和沃尔玛等，在全球拥有超过 150,000 名员工。2013年收入为285亿美元。此前曾遭受Clop勒索软件MOVEit数据盗窃攻击，影响了2700多个组织。 Cactus 泄露网站信息截图 Cactus勒索软件是于2023年3月出现，具有双重勒索攻击特征。其运营商利用购买的凭据、与各种恶意软件分发者的合作、网络钓鱼攻击或利用安全漏洞来渗透企业网络。 一旦获得对目标网络的访问权限，他们会在受感染的网络中横向移动，同时窃取敏感数据以用作赎金谈判的筹码。 自出现以来，Cactus勒索软件已将100多家公司添加到其数据泄露站点。威胁行为者称将要在网上泄露部分数据，同时仍在谈判赎金。   消息来源：bleeping computer，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

总部位于美国的拼车公司 HopSkipDrive 遭第三方数据泄露，导致用户驾驶执照号码泄露。 HopSkipDrive是一家主要服务于儿童和老年人的公司，最近遭受了第三方数据泄露事件。据称，攻击者于2023年5月底入侵了HopSkipDrive使用的第三方应用程序，并在系统中滞留了近两周。 据该公司称，可能泄露的信息包括用户名、邮寄地址、电子邮件地址，以及驾驶执照号码或非驾驶员ID号码。该事件影响了超过约15.5万人。 暴露的驾驶执照和身份证号码可能被用来进行网络欺诈，给受害者带来严重的安全风险。 HopSkipDrive成立于2015年，为美国校车系统之外的地区的儿童和老年人提供乘车服务。该公司的合作伙伴包括丹佛公立学校、加利福尼亚县、联邦路公立学校以及其他组织。   消息来源：cybernews，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国财政部外国资产控制办公室（OFAC）宣布对六名涉嫌与伊朗情报机构有关的官员实施制裁，原因是他们袭击了美国和其他国家的关键基础设施实体。 这些被制裁的官员隶属于伊朗伊斯兰革命卫队网络电子司令部（IRGC-CEC），其中礼萨·拉什加里安也是IRGC-CEC的负责人兼IRGC-Qods部队指挥官，据称他还参与了伊斯兰革命卫队的各种网络和情报行动。 根据美国财政部的声明，这些个人被追责是因为其涉及的网络行动。在这些行动中他们入侵了以色列公司Unitronics制造的可编程逻辑控制器，并发布了图像。 根据2023年11月下旬美国网络安全和基础设施安全局（CISA）的披露，宾夕法尼亚州西部阿利基帕市政水务局成为伊朗威胁行为者利用Unitronics PLC的目标。 这次攻击是由一个名为Cyber Av3ngers的伊朗黑客组织发起的，该组织在以色列与哈马斯冲突后加剧，对以色列和美国的实体发动了破坏性攻击。其自2020年以来活跃，曾针对波士顿儿童医院、欧洲和以色列等地进行多起网络攻击。 根据美国财政部的表示：“工业控制设备如可编程逻辑控制器等，是水和其他关键基础设施系统的敏感目标。虽然此次特殊行动未中断任何关键服务，但未经授权访问关键基础设施系统可能对公众造成伤害，引发毁灭性人道主义后果。” 与此同时，另一个亲伊朗的“psychological operation group”组织声称袭击了阿尔巴尼亚统计研究所（INSTAT），并声称窃取了数TB的数据。自2022年7月中旬以来，Homeland Justice 就有针对阿尔巴尼亚的跟踪记录，最近观察到该黑客传播了代号为No-Justice的擦除器恶意软件。   消息来源：thehackernews，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 近日，LockBit勒索软件团伙宣布对芝加哥社区医院发起网络攻击。该医院在发布的声明中承认了这一事件，指出该攻击于去年12月18日被首次发现。 这是该组织在今年1月份第二次针对医院的攻击，去年11月，发起的攻击导致新泽西州和宾夕法尼亚州多家医院不得不取消预约并在没有患者档案的情况下进行运营。 LockBit勒索软件团伙在本周二晚上将医院列入其泄密网站，并要求支付近90万美元的赎金，给予两天时间作出回应，截止目前LockBit 官网信相关信息已经下架。 受攻击的芝加哥社区医院表示：“已经采取行动确保患者护理不受影响。尽管已确认了包含患者信息的文件被黑客复制，但没有迹象表明电子病历（EMR）数据库或整个财务系统受到损害，目前尚不清楚受影响的具体信息类型”。 该医院目前已向联邦调查局、美国卫生与公众服务部以及其他监管机构报告了此次事件。医院承诺会尽快向可能受影响的患者直接邮寄通知信，提供免费的信用监控和身份保护服务。据报道，该医院在2021年和2022年接诊了超过34万名患者。 与此同时，该团伙因涉嫌拒绝向附属机构支付费用而面临内部骚乱。尽管该组织过去声称制定了禁止攻击医院的规定，但LockBit成员仍然继续对医疗机构发起攻击。在2022年圣诞节期间，该团伙曾对加拿大最大的儿科健康中心多伦多病童医院发起袭击，引起公愤。此后，他们继续袭击美国和国外多家医院和医疗机构。   消息来源：therecord，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 乌克兰国家网络安全协调中心（NCSCC）警告军方成员，称俄罗斯支持的APT28组织发动了新的网络钓鱼攻击。 NCSCC 发布警告表示：“俄罗斯正在加大网络间谍活动力度，试图通过窃取军事人员的凭证来获取乌克兰的军事情报和指挥控制系统的访问权限。”该警告通过各社交媒体平台发布，并由乌克兰 IT Army 进一步传播。 NCSCC 同时说到：APT28 专门针对乌克兰国防军队的军事人员和单位，使用网络钓鱼电子邮件获取军事电子邮件账户的访问权限。 IT Army Telegram 帖子称：“APT28 以网络钓鱼方式攻击乌克兰军方，通过创建与 ukr[.]net 几乎相同但 URL 略有差异的网站，诱骗用户输入数据。” IT Army 发布的相关信息截图 政府国防机构称，他们于1月19日首次发现这一活动，主要是发现了几封在“ukr[.]net邮件服务”上的虚假HTML页面电子邮件。 并在X上发布的帖子称：当页面打开时，会显示一个用于输入ukr[.]net凭据的字段，声称是为了“确认访问”，凭据将被发送到该组织控制的服务器上。  X上发布帖子内容 此外，黑客还尝试通过发送一封声称帐户已被盗用的电子邮件，并提供一个重置账户密码的链接来欺骗用户。 NCSCC 说：“当点击 HTML 页面上的’更改密码’按钮时，将启动浏览器内的攻击，并嵌入一个带有虚假页面用于输入ukr[.]net凭据的特殊iframe。在上述两种情况下，凭据都会被泄露到命令和控制服务器，该组织试图提升特权并在系统中移动。” 在该事件中，攻击者控制的服务器 (hxxp://202.55.80[.]225:35770) 是 Ubiquiti Edge 路由器。” 该机构表示：“APT28 以前在网络钓鱼活动中使用过 compromise 的Ubiquiti Edge路由器来外传数据。” APT28 的相关信息 APT28（又称Fancy Bear、Sandworm Team）是俄罗斯的一个网络攻击组织，成立于2004年，隶属于俄罗斯总参谋部的主要情报局（GRU）第85主要特种服务中心（GTsSS）的军事单位26165，其与 APT29 存在差异。 根据Mitre Att&ck框架，APT28被认为在2016年针对美国民主党全国委员会和国会竞选委员会进行了攻击，试图干扰美国总统选举。 2018年，GRU 26165的五名成员因渗透到美国和世界反兴奋剂机构以及其他高价值目标而被联邦政府指控。 APT29（又名Cozy Bear、Nobelium），是另一组网络攻击组织，涉及近期对Microsoft、Hewlett Packard Enterprise等公司的攻击，以及2020年SolarWinds事件。   消息来源：cybernews，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Keenan & Associates 向 150 万客户发送数据泄露通知，警告称在网络攻击中，黑客已经获取了他们的个人信息。 Keenan 是一家总部位于加利福尼亚州的保险经纪和咨询公司，在教育、医疗保健和公共机构领域享有盛誉。自 2017 年起，它成为美国最大经纪公司之一 AssuredPartners NL 的子公司。 该公司向缅因州总检察长办公室提交了一份通知，称在2023年夏季发生的一起数据泄露事件中，有1509616人受到了影响。 通知中写道：“2023 年 8 月 27 日星期日，我们发现一些 Keenan 网络服务器发生了某些故障 。我们立即启动了调查，并聘请了第三方网络安全和取证专家提供助。调查确定，未经授权的一方约在 2023 年 8 月 21 日至 2023 年 8 月 27 日之间的不同时间获得了对某些 Keenan 内部系统的访问权限，并从中获取了一些数据。 ” 黑客从Keenan 的系统中获取的数据信息包括：姓名、出生日期、社会安全号码 (SSN)、护照号码、驾驶证号码、健康保险信息、一般健康信息等。 在这次事件中，泄露的信息类型因个体而异，对员工和客户都造成了影响。此次数据曝露可能导致严重后果，包括身份盗窃、金融欺诈、钓鱼攻击和健康保险欺诈的风险都将会增加。 Keenan表示已经采取措施加强网络、内部系统和应用程序的安全性。建议用户积极使用Experian提供的两年免费身份盗窃保护服务，并对可疑账户活动和未经请求的通信保持警惕。   消息来源：bleepingcomputer，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文