HackerNews 编译，转载请注明出处： 若企业主、关键基础设施实体员工或政府部门/机构人员遭遇勒索软件攻击并支付赎金，须依法向澳大利亚当局报告。 年营业额达300万澳元及以上的组织，须在支付赎金后72小时内向澳大利亚信号局（ASD）报告勒索软件或网络勒索付款情况，关键基础设施相关组织同样适用此规定。报告须包含企业及联系人信息、网络安全事件全部已知细节：事件发现时间、被利用漏洞、勒索软件变种或恶意软件类型、攻击责任方、企业自身或第三方中介支付的具体金额，以及与威胁行为者的所有通信记录。 若未支付赎金则无强制报告义务。例如仅收到勒索要求但拒绝付款时，无需上报事件。 ASD强调，无论网络安全事件是否源自境外或影响海外实体，均不影响报告义务。“若受影响的报告企业（直接或间接受害）收到勒索要求并选择付款，必须提交报告”，ASD在常见问题解答（FAQ）中明确说明。 强制付款报告制度已于5月30日（周五）生效。2025年底前的初始阶段将重点开展合规宣传而非立即处罚。逾期72小时未提交赎金报告的企业将面临19,800澳元罚款。 澳大利亚成为全球首个推行强制赎金报告制度的国家。此举早有预兆——去年该国政府实体、关键基础设施和企业持续遭受国家背景黑客组织的攻击。ASD在年度网络威胁报告中指出：“这些行为体为实现国家目标开展网络行动，包括间谍活动、恶意影响、干涉胁迫，以及预置网络破坏能力。”       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Cisco Talos披露，黑客正利用OpenAI ChatGPT和InVideo AI等热门人工智能工具的虚假安装程序作为诱饵，传播CyberLock、Lucky_Gh0$t勒索软件及新型恶意软件Numero等威胁。 “基于PowerShell开发的CyberLock勒索软件主要针对受害者系统中的特定文件进行加密，”研究员切坦·拉古普拉萨德在报告中指出，“Lucky_Gh0$t则是Yashma勒索软件的变种，属于Chaos勒索软件家族的第六代迭代，仅对勒索程序二进制文件进行了微调。”而Numero属于破坏性恶意软件，通过篡改Windows操作系统图形界面组件使设备瘫痪。 这些正版AI工具在B2B销售和营销领域广受欢迎，表明相关行业的个人与机构成为攻击者的主要目标。虚假网站“novaleadsai[.]com”疑似冒充正规潜在客户开发平台NovaLeads，可能通过SEO投毒技术提升搜索引擎排名。该网站以“首年免费使用，后续月费95美元”为诱饵，诱使用户下载内含恶意.NET可执行文件(“NovaLeadsAI.exe”)的压缩包。该文件实为加载器，用于部署基于PowerShell的CyberLock勒索软件。 该勒索软件具备权限提升功能，若未获管理员权限将自我提权执行，随后加密“C:”、“D:”、“E:”分区中特定扩展名的文件，并投放勒索信索要5万美元门罗币赎金。值得注意的是，攻击者在勒索信中宣称赎金将用于援助巴勒斯坦、乌克兰、非洲、亚洲等“长期遭受不公”地区的妇女儿童。“与无辜生命尤其是儿童的牺牲相比，这笔金额微不足道。遗憾的是，我们认定多数人不会主动施以援手，迫使我们出此下策。”勒索信写道。最后阶段，攻击者利用系统原生二进制工具“cipher.exe”配合“/w”参数清除磁盘可用空间，阻碍取证恢复。 另一攻击者则通过伪造ChatGPT高级版安装程序传播Lucky_Gh0$t勒索软件。恶意自解压安装包内含仿冒微软程序“dwm.exe”的勒索程序“dwn.exe”，同时捆绑微软官方开源AI工具。一旦运行安装程序，脚本即触发勒索程序。这款Yashma变种在加密1.2GB以下文件前会删除卷影副本及备份。勒索信包含专属解密ID，要求受害者通过Session通讯软件联系支付赎金获取解密工具。 此外，黑客还利用AI视频创作平台InVideo AI的伪造安装程序传播破坏性恶意软件Numero。该安装程序作为投放器包含三个组件：Windows批处理文件、VB脚本及Numero可执行程序。启动后，批处理文件通过无限循环调用VB脚本，每60秒中断并重启Numero进程。这款C++编写的32位程序会检测分析工具和调试器进程，随后将桌面窗口标题、按钮及内容覆盖为数字串“1234567890”。 此次披露恰逢谷歌旗下Mandiant曝光利用Facebook和LinkedIn恶意广告的欺诈活动。该活动将用户诱导至冒充Luma AI、Canva Dream Lab、Kling AI等正规AI视频工具的虚假网站。据Morphisec和Check Point本月初揭露，该活动被归因于越南关联组织UNC6032，至少自2024年中持续活跃。 攻击流程中，用户访问虚假网站后被要求输入提示词生成视频。无论输入内容如何，网站都会触发下载基于Rust的投放器STARKVEIL。该程序投放三款信息窃取类模块化恶意软件：使用TOR隧道获取.NET有效载荷的下载器GRIMPULL；收集系统信息及密码管理器/加密货币钱包数据的.NET后门FROSTRIFT；具备键盘记录、远程命令执行等功能的.NET远控木马XWorm。STARKVEIL还通过Python投放器COILHATCH，借助DLL侧加载技术启动上述载荷。 “这些AI工具已不仅针对设计师，任何人都可能被看似无害的广告诱骗，”Mandiant警告道，“尝试最新AI工具的诱惑可能让任何人沦为受害者。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一名伊朗籍公民在美国联邦法院承认参与运营Robbinhood勒索软件团伙，该组织通过一系列勒索攻击瘫痪了全美多个市政厅、医院及私营企业系统。司法部表示，Sina Gholinejad于本周二对计算机欺诈与电信欺诈共谋罪认罪，承认与同伙入侵数十个网络，使用Robbinhood恶意软件加密数据并勒索比特币赎金。Gholinejad将于8月宣判，最高面临30年监禁。 Robbinhood最臭名昭著的攻击是2019年5月针对巴尔的摩市的入侵事件，迫使市政部门切断数百台电脑网络连接，导致水费、房产税及停车费在线支付系统瘫痪。巴尔的摩市最终耗费超1900万美元用于系统恢复与弥补收入损失，北卡罗来纳州、俄勒冈州、纽约州及新泽西州也有其他受害者。 检方指出，Robbinhood团伙采用类似现代勒索软件即服务（RaaS）的运营模式，其犯罪活动可追溯至2019年初。攻击者在受害机构留下勒索信，引导受害者通过Tor暗网平台协商赎金，要求以比特币支付。司法部透露，赎金到账后，该团伙通过混币器与其他加密货币进行“链跳”操作隐匿资金流向，并利用多层VPN掩盖登录痕迹。 美国检察官丹尼尔·布巴尔表示：“网络犯罪并非无受害者的罪行，这是对我们社区的定向攻击。Gholinejad及其同伙策划的勒索计划扰乱民生、企业及地方政府运作，导致受害者和机构蒙受数千万美元损失。”       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国威斯康星州希博伊根市向约6.7万人发出警告，称2024年10月的勒索软件攻击导致黑客获取其个人信息。市政府于周五向监管机构提交数据泄露通知信，证实黑客在2024年10月31日入侵市政系统时窃取了社保号码、州身份证及车牌号信息。 希博伊根市政府委托网络安全公司展开调查，最终于5月14日确认数据确遭窃取。这座人口约5万的城市此前承认勒索软件团伙Chort宣称对此次攻击负责，但称无证据表明敏感数据遭窃。2024年11月，Chort团伙公开文件档案截图并索要赎金。 市政府已向执法部门报告事件，并在应对过程中“参考其指导意见”。官员表示应急服务仍正常运行，但自11月22日后未再发布进一步更新。市政府在通知信中承诺为受影响居民提供为期一年的身份保护服务。 希博伊根是威斯康星州近两年遭勒索攻击的多个政府实体之一。Chort勒索团伙于2024年11月崭露头角，宣称攻击科威特公共农业与渔业资源局、乔治亚州某公立学校等多家机构。纽约哈特威克学院也出现在该团伙的泄密网站上，校方上月向超4800名受害者发送通知信，证实去年10月遭袭。       消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 加拿大新斯科舍电力公司于5月23日披露，其遭遇的网络安全事件已被确认为“高度复杂的勒索软件攻击”。此次事件始于3月19日的未授权系统访问，攻击者最终窃取了约28万名客户的敏感数据，占该省55万用户总数的51%。被泄露信息包括： 个人身份信息：姓名、出生日期、电话号码、电子邮箱、实际住址与服务地址 财务数据：预授权支付账户的银行账号、信用卡历史记录、账单明细及消费历史 政府证件信息：驾照号码、社会保险号码 能源使用细节：用电量数据、服务请求记录 尽管攻击者成功侵入商业网络系统，但电力公司强调发电、输电等核心基础设施未受影响。该公司在4月28日与母公司Emera联合发布首次安全通告，5月1日确认数据遭窃，5月14日起陆续向受影响客户发送详细通知信。值得关注的是，攻击者已将被盗数据发布于暗网，但截至5月27日，尚未有任何勒索组织公开宣称对此负责。 新斯科舍电力公司总裁彼得·格雷格在最新声明中明确表示：“我们严格遵循国际制裁法规和执法部门建议，决定不支付任何赎金。”目前该公司正与第三方网络安全专家合作，评估数据泄露的具体范围，并为受影响客户提供为期两年的TransUnion信用监控服务。能源监管机构已启动事件审查程序，重点评估攻击对公共事业运营的长期影响及数据保护机制的改进方案。 此次事件暴露出关键基础设施面临的严峻安全挑战——攻击者通过商业网络与核心运营系统的隔离设计漏洞，成功窃取海量用户数据却未触发物理系统警报。网络安全专家指出，此类“双重隔离失效”现象在北美能源行业已非个案，建议公用事业公司加强供应链安全审计，并建立动态威胁情报共享机制。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国联邦调查局（FBI）发布警告称，自2022年起活跃的“Silent勒索组织”，简称SRG，又名月蛾、话痨蜘蛛、UNC3753，持续利用IT主题社会工程学通话及回拨式钓鱼邮件攻击美国律师事务所，通过获取系统远程访问权限窃取敏感数据实施勒索。该组织曾参与“BazarCall”恶意活动，并为Ryuk和Conti勒索软件攻击提供初始渗透支持。 FBI在警报中指出：“尽管该组织历史上攻击过多个行业企业，但自2023年春季起持续锁定美国律所，主要瞄准法律行业数据的高度敏感性。”最新监测显示，截至2025年3月，攻击者开始冒充IT支持人员致电员工，诱骗其开放远程访问权限，随后使用WinSCP、Rclone等工具窃取数据，多数情况下无需管理员权限即可得手。这种新型战术虽近期才出现，但已导致多起成功入侵事件。 得手后，该组织通过匿名邮件威胁出售或公开数据，甚至直接致电受害企业员工施压谈判。虽然运营着数据泄露网站，但FBI发现其威胁公示数据的行为存在反复。该组织攻击活动痕迹极少，常借助合法远程工具规避杀毒软件检测。典型攻击迹象包括：未经授权下载Zoho Assist/AnyDesk等工具、异常的WinSCP/Rclone外联流量、匿名组织的勒索来电/邮件，以及催促收件人致电取消订阅的钓鱼邮件。 报告最后建议：“实施基础防护措施，包括保持警惕、使用强密码、多因素认证及安装杀毒软件。针对静默勒索集团应重点采取以下措施：开展反钓鱼培训、制定IT人员身份核验规范、定期备份数据、全员启用双因素认证。”       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 知名勒索软件团伙Stormous在暗网论坛发布大量据称属于法国政府机构及组织的电子邮件与密码数据。该团伙声称此次泄露涉及“法国政府重要部门全面数据”，但网络安全研究团队Cybernews调查发现，虽然数据集包含部分真实信息，但其质量存疑。 泄露数据中的密码采用已被安全界普遍认为脆弱的MD5哈希算法加密。研究人员指出：“这可能是早期安全标准尚未完善时期的历史数据。”若数据属实，攻击者可利用这些信息实施精准钓鱼攻击，例如冒充政府机构索要敏感信息，甚至通过破解哈希值获取系统访问权限——尤其当相关机构存在密码复用或弱口令问题时。 被曝光的机构名单包括法国开发署、巴黎大区卫生局、家庭津贴基金、审计法院及农业信贷银行区域分行等。不同机构泄露的邮箱数量差异显著，部分仅涉及数个账户，但攻击者宣称某些机构泄露量达数百条。本媒体已联系法国国家网络安全局（ANSSI）置评，目前尚未获得回复。 值得关注的是，去年法国曾发生涉及9500万公民记录的泄露事件，包含电话号码、邮箱及部分支付信息。Stormous勒索团伙自2022年活跃至今，去年曾宣称攻击比利时啤酒厂商杜威摩盖特集团。据暗网追踪平台Ransomlooker统计，该团伙过去12个月至少入侵34家机构。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025年5月19日至22日，欧洲刑警组织（Europol）与欧洲司法组织（Eurojust）协调发起的“终局行动”（Operation ENDGAME）成功摧毁了全球勒索软件基础设施。执法部门共查封300台服务器和650个域名，并签发20份国际逮捕令。 欧洲刑警组织在新闻稿中披露：“行动周期间，海牙总部设立了指挥中心，来自加拿大、丹麦、法国、德国、荷兰、英国和美国的调查人员与欧洲网络犯罪中心（EC3）及其联合网络犯罪行动特别工作组（J-CAT）展开合作。自2024年调查启动以来，欧洲司法组织始终提供关键司法协作支持，确保各国当局高效交换信息并协调调查行动。” 当局还查获价值350万欧元的加密货币，使累计缴获金额突破2120万欧元。此次行动延续了2024年打击僵尸网络的成果，旨在遏制不断演变的恶意软件威胁和网络犯罪集团。 行动重点打击勒索软件部署前的初始入侵恶意软件，已瓦解包括Bumblebee、Lactrodectus、Qakbot、Hijackloader、DanaBot、Trickbot和Warmcookie在内的多个恶意软件家族，这些工具普遍应用于勒索软件即服务（RaaS）模式。执法机构同时针对核心运营者签发20份国际通缉令。 多名恶意软件幕后主脑已被列入国际公开通缉名单。德国将于5月23日起将其中18人列入欧盟头号通缉名单，指控其提供或运营用于重大勒索攻击的工具。 欧洲刑警组织执行主任Catherine De Bolle强调：“即便犯罪分子更新装备重组架构，此次行动再次证明执法部门具备灵活应对能力。通过破坏勒索软件赖以生存的服务链，我们正从源头斩断犯罪生态。”     消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露，全球知名饮料企业可口可乐公司疑似遭遇Everest勒索软件团伙攻击，其暗网泄密网站已列出该公司数据泄露条目。攻击者公布的样本数据显示，近千名软饮制造商员工的个人身份信息与内部机密文件遭泄露，具体包括： 员工身份信息：包含姓名、工号、薪酬等级等人力资源部门管理的核心数据。 企业敏感文件：涉及中东地区分销商的运营策略文档、供应链管理协议等内部资料。 系统访问凭证：疑似包含远程桌面协议（RDP）登录凭据及网络架构拓扑图。 Everest团伙被指与俄罗斯关联的Black-Byte勒索软件即服务（RaaS）组织存在技术关联，主要利用泄露的合法凭证突破企业防御，通过远程桌面协议（RDP）实施横向移动。 根据泄露数据特征，可能衍生多重安全威胁： 精准钓鱼攻击：攻击者可结合员工薪酬信息伪造税务核查邮件，诱导点击恶意链接。 供应链渗透：利用分销商网络拓扑图，对上下游合作伙伴发起协同攻击。 商业间谍活动：竞品企业可能收购泄露的运营策略文档，获取市场竞争优势。 此次事件是Everest团伙过去12个月内发起的第91次企业级网络攻击。该组织曾于2022年10月入侵AT&T公司网络，试图出售其核心网络访问权限。网络安全监测平台Ransomlooker数据显示，食品饮料行业已成为勒索软件攻击的重灾区，2025年第一季度相关事件同比激增67%。 截至发稿时，可口可乐公司尚未对数据泄露事件作出官方回应。安全专家建议受影响员工立即启用多因素认证，并监控银行账户异常活动。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国北卡罗来纳州全服务解剖病理实验室Marlboro-Chesterfield Pathology（MCP）近期遭遇勒索软件攻击，导致大量个人信息记录遭窃。该机构于官网发布的数据泄露通知显示，2025年1月16日发现内部IT系统存在未经授权活动，调查证实攻击者窃取了部分文件。 此次泄露数据包含姓名、住址、出生日期、医疗治疗信息及健康保险信息等敏感内容，具体泄露字段因个体差异有所不同。MCP本周向美国卫生与公众服务部（HHS）通报称，事件影响范围涉及235,911人。 勒索软件组织SafePay于一月下旬宣称对此次攻击负责，该团伙近期还攻击了商业服务提供商Conduent。值得关注的是，截至发稿时MCP已从SafePay的泄密网站下架，暗示受害方可能已支付赎金。SecurityWeek已联系涉事机构寻求置评，但尚未获得回应。 此次事件再次印证医疗行业面临的网络安全危机。当前医疗数据泄露呈现规模化特征，同类事件常波及数十万受害者，部分重大案例甚至影响数百万至数千万人。攻击者利用医疗机构IT系统漏洞与老旧设备防护薄弱点，通过勒索软件、网络钓鱼等手段实施数据窃取与系统加密，对患者隐私与机构运营构成双重威胁。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文