HackerNews 编译，转载请注明出处： 与Play勒索软件家族有关的威胁行为者利用微软Windows最近修补的安全漏洞作为零日漏洞，攻击了美国一家未具名的机构。 据博通旗下的赛门铁克威胁猎手团队称，此次攻击利用了CVE-2025-29824，这是公共日志文件系统（CLFS）驱动程序中的一个权限提升漏洞，微软上个月对其进行了修补。 Play，也被称为Balloonfly和PlayCrypt，以其双重勒索策略而闻名，即在加密之前先窃取敏感数据，以换取赎金。它自2022年年中以来一直活跃。 赛门铁克观察到，在此次活动中，威胁行为者可能利用面向公众的思科自适应安全设备（ASA）作为切入点，通过尚未确定的方法转移到目标网络上的另一台Windows机器上。 此次攻击值得注意的是使用了Grixba，这是一个之前被归因于Play的定制信息窃取器，以及一个针对CVE-2025-29824的利用程序，该程序被放置在音乐文件夹中，并伪装成Palo Alto Networks软件（例如，“paloaltoconfig.exe”和“paloaltoconfig.dll”）。 威胁行为者还被观察到运行命令，收集受害者活动目录中所有可用机器的信息，并将结果保存到CSV文件中。 “在利用程序执行过程中，会在C:\ProgramData\SkyPDF路径下创建两个文件，”赛门铁克解释说。“第一个文件PDUDrv.blf是一个公共日志文件系统基础日志文件，是利用过程中产生的一个痕迹。” “第二个文件clssrv.inf是一个被注入到winlogon.exe进程中的DLL。这个DLL能够释放另外两个批处理文件。” 其中一个名为“servtask.bat”的批处理文件用于提升权限、转储SAM、SYSTEM和SECURITY注册表项，创建一个名为“LocalSvc”的新用户，并将其添加到管理员组。另一个批处理文件“cmdpostfix.bat”用于清除利用痕迹。 赛门铁克表示，在此次入侵中没有部署勒索软件负载。调查结果表明，在微软修复之前，针对CVE-2025-29824的利用程序可能已经被多个威胁行为者掌握。 值得注意的是，网络安全公司详细描述的利用方式与微软披露的另一项活动集群Storm-2460并不重叠，后者利用该漏洞进行有限的攻击，传播名为PipeMagic的木马。 CVE-2025-29824的利用也表明勒索软件行为者使用零日漏洞入侵目标的趋势。去年，赛门铁克透露，Black Basta团伙可能利用了CVE-2024-26169，这是Windows错误报告服务中的一个权限提升漏洞，作为零日漏洞。 “自带安装程序”EDR绕过技术在Babuk勒索软件攻击中的新应用 与此同时，Aon的Stroz Friedberg事件响应服务详细描述了一种名为“自带安装程序”的本地绕过技术，威胁行为者利用该技术禁用端点安全软件并部署Babuk勒索软件。 据该公司称，此次攻击针对了SentinelOne的端点检测与响应（EDR）系统，通过利用SentinelOne代理升级/降级过程中的一个漏洞，在获得一台面向公众的服务器的本地管理员权限后实施攻击。 “Aon的研究人员John Ailes和Tim Mashni表示：“自带安装程序是一种技术，威胁行为者可以通过在配置不当的情况下，及时终止代理更新过程，从而绕过主机上的EDR保护。” 这种方法值得注意，因为它不依赖于易受攻击的驱动程序或其他工具来解除安全软件的武装。相反，它利用代理升级过程中的一个时间窗口来终止正在运行的EDR代理，使设备处于无保护状态。 具体来说，它利用了这样一个事实：使用MSI文件安装软件的不同版本会导致它在执行更新之前终止已经运行的Windows进程。 “自带安装程序”攻击本质上涉及运行一个合法的安装程序，并在关闭正在运行的服务后，通过发出“taskkill”命令强行终止安装过程。 “Aon的研究人员表示：“由于SentinelOne的旧版本进程在升级过程中被终止，而新进程在启动前被中断，最终结果是一个没有SentinelOne保护的系统。” SentinelOne表示，这种技术也可以应用于其他端点保护产品，该公司已经对其本地升级授权功能进行了更新，以防止此类绕过再次发生。这包括默认为所有新客户启用该功能。 与此同时，思科透露，一个名为Crytox的勒索软件家族在其攻击链中使用了HRSword，以关闭端点安全保护。 HRSword此前曾在传播BabyLockerKZ和Phobos勒索软件的攻击中被观察到，以及那些旨在终止韩国AhnLab安全解决方案的攻击。 勒索软件新趋势 近几个月来，勒索软件攻击越来越多地将目标对准域控制器，以入侵组织，使威胁行为者能够获得特权账户的访问权限，并利用集中的网络访问权限在几分钟内加密数百或数千个系统。 “在超过78%的人为操作的网络攻击中，威胁行为者成功入侵了域控制器，”微软上个月透露。 “此外，在超过35%的案例中，主要传播设备——负责大规模分发勒索软件的系统——是域控制器，突显了其在实现广泛加密和运营中断中的关键作用。” 近几个月来，检测到的其他勒索软件攻击利用了一种名为PlayBoy Locker的新勒索软件即服务（RaaS），它为相对缺乏技能的网络犯罪分子提供了一个全面的工具包，包括勒索软件负载、管理仪表板和支持服务。 “PlayBoy Locker RaaS平台为附属机构提供了许多选项，用于构建针对Windows、NAS和ESXi系统的勒索软件二进制文件，能够根据不同的操作需求进行定制配置，”Cybereason表示。“PlayBoy Locker RaaS运营商为附属机构宣传定期更新、反检测功能，甚至提供客户支持。” 与此同时，DragonForce发起了一场勒索软件卡特尔运动，这是一个声称控制了RansomHub的网络犯罪团伙，RansomHub是一个在2025年3月底突然停止运营的RaaS计划。 白标签品牌服务旨在允许附属机构将DragonForce勒索软件伪装成不同的菌株，以换取额外费用。威胁行为者声称将从成功的勒索软件赎金中抽取20%的份额，允许附属机构保留剩余的80%。 DragonForce于2023年8月首次出现，最初定位为支持巴勒斯坦的黑客行动主义行动，随后发展成为一个完整的勒索软件行动。在最近几周，该RaaS集团因其针对英国零售商（如哈罗德、马莎和合作商店）的攻击而受到关注。 “这一举措，以及DragonForce将其自身品牌定位为‘勒索软件卡特尔’的推动，表明该组织希望通过启用一个生态系统来提高其在网络犯罪领域的知名度，”SentinelOne表示。“在这种模式下，DragonForce提供基础设施、恶意软件和持续的支持服务，而附属机构则以自己的品牌运行活动。” 据BBC新闻报道，针对英国零售行业的攻击被认为是由臭名昭著的威胁集团和RansomHub附属机构Scattered Spider（又名Octo Tempest或UNC3944）策划的。 “包括UNC3944在内的威胁行为者将零售组织视为有吸引力的目标是合理的，因为它们通常拥有大量个人身份信息（PII）和财务数据，”谷歌旗下的Mandiant表示。 “此外，如果勒索软件攻击影响了它们处理金融交易的能力，这些公司可能更有可能支付赎金要求。” 2024年，勒索软件攻击增加了25%，勒索软件组织泄露网站的数量增加了53%。根据Bitsight的说法，这种分裂是较小、更灵活的帮派的出现，它们正在攻击中型组织，这些组织可能并不总是有资源来应对这些威胁。 “勒索软件组织的激增意味着它们的增长速度超过了执法部门关闭它们的速度，它们对小型组织的关注意味着任何人都可能成为目标，”安全研究员Dov Lerner表示。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国司法部（DoJ）上周四宣布对一名36岁也门公民提出指控，指控其使用Black Kingdom勒索软件实施全球攻击，包括美国境内的企业、学校和医院。也门萨那的Rami Khaled Ahmed被控一项合谋罪、一项蓄意破坏受保护计算机罪及一项威胁破坏受保护计算机罪。据评估，Ahmed目前居住在也门。 司法部声明称：“2021年3月至2023年6月期间，Ahmed及其同伙入侵了多家美国受害者的计算机网络，包括加州恩西诺的医疗计费服务公司、俄勒冈州的滑雪度假村、宾夕法尼亚州的学区以及威斯康星州的健康诊所。”Ahmed被指控通过利用微软Exchange服务器的ProxyLogon漏洞（CVE-2021-26855）开发并部署勒索软件。该软件通过加密受害者网络数据或声称窃取数据实施勒索，加密后会在系统中留下赎金条，要求受害者向同谋者控制的比特币地址支付价值1万美元的加密货币。据称受害者还被要求将付款证明发送至Black Kingdom专用邮箱，该勒索软件估计感染了美国及其他地区约1500台计算机系统。 微软在2021年3月底披露，这款也被追踪为Pydomer的勒索软件家族曾利用Pulse Secure VPN漏洞（CVE-2019-11510）发动攻击，并指出其是首个利用ProxyLogon漏洞的现有勒索家族。网络安全厂商Sophos将Black Kingdom描述为“结构相对简陋且业余”，攻击者利用ProxyLogon漏洞部署Web Shell后，通过PowerShell命令下载勒索软件。2021年8月，观察发现一名尼日利亚威胁行为体试图以支付100万美元比特币为条件招募员工，作为内鬼在企业网络部署Black Kingdom勒索软件。 若罪名成立，Ahmed每项指控最高面临五年联邦监禁。此案由美国联邦调查局（FBI）联合新西兰警方调查。此次指控正值美国政府当局针对各类犯罪活动密集发布公告之际： 司法部公开对乌克兰公民Artem Stryzhak的起诉书，指控其自2021年6月成为勒索软件附属成员后使用Nefilim勒索软件攻击企业。Stryzhak于2024年6月在西班牙被捕，并于2025年4月30日引渡至美国。若定罪将面临最高五年监禁。 英国公民Tyler Robert Buchanan（疑似臭名昭著的Scattered Spider网络犯罪组织成员）从西班牙引渡至美国，面临电信欺诈和加重身份盗窃指控。Buchanan于2024年6月在西班牙被捕，美国于2024年11月宣布对其及Scattered Spider其他成员的指控。 Scattered Spider另一成员Noah Michael Urban于2024年1月被捕，2025年4月初对类似指控认罪，并同意根据认罪协议向59名受害者支付1300万美元。尽管多名成员被捕，Scattered Spider仍被观察到使用模仿Okta登录门户的更新版钓鱼工具包和新版Spectre RAT维持对入侵系统的持久访问。Silent Push称：“2025年观察到的变化暗示新开发者和/或技术混淆决策的存在。” 儿童勒索组织764的两名头目Leonidas Varagiannis（又名War，21岁）和Prasan Nepal（又名Trippy，20岁）因指挥和传播儿童性虐待材料（CSAM）被捕，二人被指控剥削至少八名未成年受害者。该组织另一成员Richard Anthony Reyna Densmore因性剥削儿童于2024年11月在美国被判30年监禁。764组织成员隶属于The Com——一个实施经济动机犯罪、性犯罪和暴力犯罪的松散关联团体集合，其中也包括Scattered Spider。 美国财政部金融犯罪执法网络（FinCEN）将柬埔寨 conglomerate HuiOne Group 列为“东南亚跨国网络犯罪集团主要洗钱关切机构”，指控其协助浪漫诱骗诈骗并为朝鲜民主主义人民共和国（DPRK）网络劫案收益洗钱提供关键节点。HuiOne Pay的银行牌照于2025年3月被柬埔寨国家银行吊销。 这些进展出现之际，勒索软件仍是持久威胁，尽管随着持续执法行动导致攻击策略重大转变，该领域日益呈现碎片化和波动性。这包括无加密攻击频率上升，以及网络犯罪分子从传统层级化组织转向“独狼”模式的趋势。 Halcyon表示：“勒索软件运营日益去中心化，越来越多前附属成员选择独立运作而非依附既有组织。这一转变由多重因素驱动，包括执法协调加强、主要勒索基础设施成功捣毁，以及攻击者通过品牌轮换或无标识行动规避溯源的广泛尝试。” Verizon数据显示，2024年所有分析的数据泄露事件中44%涉及勒索软件（2023年为32%）。但也有好消息：拒绝支付赎金的受害者数量创历史新高，愿支付赎金的组织比例下降。Verizon在《2025年数据泄露调查报告》（DBIR）中称：“2024年支付赎金中位数为11.5万美元，低于前一年的15万美元。64%受害组织未支付赎金，较两年前的50%有所上升。”Coveware数据显示，2025年第一季度平均赎金支付额为552,777美元，环比微降0.2%，但媒体披露的赎金支付额同比飙升80%（增长20万美元）。 该公司表示：“2025年第一季度选择支付赎金的公司比例略有上升，无论是为了获取解密密钥还是阻止威胁行为体在泄露网站公布被盗数据。”该季度勒索支付解决率统计为27%，低于2019年Q1的85%、2020年Q1的73%、2021年Q1的56%、2022年Q1的46%、2023年Q1的45%及2024年Q1的28%。“尽管攻击仍在持续且新团伙每月涌现，但早期勒索软件即服务（RaaS）集团打造的精密勒索机器正陷入难以解决的复杂困境。” Check Point数据显示，尽管遭遇挫折，勒索软件未见停歇迹象：2025年Q1报告2,289起事件，较2024年Q1增长126%，但2025年3月勒索攻击环比下降32%（总计600起）。北美和欧洲占案件总数80%以上，消费品与服务、商业服务、工业制造、医疗保健以及建筑工程成为最受攻击行业。 BlackFog创始人兼CEO Darren Williams博士表示：“勒索事件量正达到前所未有的水平。这对应对专注于破坏、数据盗窃和勒索的攻击者的组织构成持续挑战。不同团伙会兴起和解散，但他们都聚焦于同一终极目标——数据外泄。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 勒索软件领域正在进行重组，一个名为DragonForce的黑客组织正试图通过卡特尔式架构整合其他勒索团伙。DragonForce目前采用分布式附属品牌模式激励勒索软件参与者，为其他勒索软件即服务（RaaS）运营商提供无需承担基础设施维护成本的业务开展方式。 该组织代表向BleepingComputer表示，他们纯粹以经济利益为驱动，但也遵循“道德准则”，反对攻击某些医疗机构。 传统RaaS运营商拥有自己的附属团队或合作伙伴，勒索软件开发商会提供文件加密恶意软件和基础设施。附属方负责构建加密软件变种、入侵受害者网络并部署勒索软件，同时管理解密密钥并与受害者谈判赎金。开发商维护所谓的“数据泄露网站（DLS）”用于公布拒付赎金受害者的失窃信息。作为使用恶意软件和基础设施的交换，开发商通常从赎金中抽取最高30%的费用。 DragonForce自称“勒索软件卡特尔”，收取已支付赎金的20%。在其模式下，附属方可访问基础设施（谈判工具、失窃数据存储、恶意软件管理后台），并以自有品牌使用DragonForce加密器。该组织于3月宣布“新方向”，称附属方可“在已验证合作伙伴支持下创建自有品牌”。 DragonForce旨在管理“无限品牌”，这些品牌可针对ESXi、NAS、BSD和Windows系统。 DragonForce向BleepingComputer解释其架构类似于市场平台，附属方可选择以DragonForce品牌或其他品牌部署攻击。本质上，威胁行为者团体可使用该服务并以白标形式使用自有品牌。作为回报，他们无需运营数据泄露网站、开发恶意软件或处理谈判事务。 不过附属方必须遵守规则，首次违规即遭除名。“我们是遵守规则的诚信合作伙伴。”DragonForce代表表示。“他们必须遵守规则，我们能实施控制，因为所有操作都在我们的服务器上运行，否则这种模式就没有意义。”这些规则仅适用于接受新商业模式的威胁行为者。 当被问及是否禁止攻击医院或医疗机构时，DragonForce表示这取决于医院类型，并表现出某种程度的同理心。“我们不攻击癌症患者或心脏相关机构，我们更愿意给他们捐款。我们是为了生意和金钱，我和合作伙伴都不是来杀人的。”该组织告诉BleepingComputer。 网络安全公司Secureworks研究人员认为，DragonForce的模式可能吸引更多附属方，包括技术能力较弱的威胁行为者。“即使技术老练的威胁行为者也可能青睐这种无需自建基础设施就能部署恶意软件的灵活性。”通过扩大附属基数，DragonForce有望凭借其模式的灵活性获取更大利润。 目前尚不清楚有多少勒索软件附属方已接触该卡特尔组织，但DragonForce称成员名单包含知名团伙。“我不能透露具体数字，但来找我们合作的包括你们经常报道的那些组织。”一个名为RansomBay的新兴勒索团伙已加入该模式。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 肾脏透析公司DaVita表示，周六遭遇的勒索软件攻击已经影响了其部分业务，并加密了其网络的部分内容。 该公司于周一上午通知了美国证券交易委员会这一事件，并警告称，尽管已经实施了应急计划，但仍在继续为患者提供护理。 “在发现攻击后，我们立即启动了响应协议，并采取了遏制措施，包括主动隔离受影响的系统。”官员解释道，“然而，此次事件仍对我们的部分运营产生了影响。尽管我们已经采取了临时措施以恢复某些功能，但目前我们还无法估计此次中断的持续时间和范围。” DaVita表示，现在还难以确定此次攻击对公司总体产生的影响。 该公司去年报告的收入为128亿美元，是全球最大的肾脏护理提供商之一，全球共有3166个门诊透析中心，为约281100名患者提供服务。DaVita在美国运营着2500多个中心，并在其他13个国家拥有数百个中心。 其主要职能是治疗终末期肾病，这需要患者每周进行三次肾脏透析，直到获得新的肾脏。 截至周一上午，尚无任何勒索软件团伙声称对此次攻击负责。该公司也未回应有关攻击者身份或是否会支付赎金的评论请求。 网络安全专家在2025年追踪到100多起针对医疗机构的勒索软件攻击，数十家医院、诊所、实验室等因安全事件面临运营问题。 微软上个月警告称，由于患者护理中断以及与大型医院网络相比支付赎金的困难，勒索软件攻击仍然是农村医院的主要担忧。 微软官员凯特·贝恩肯表示，勒索软件攻击常常成为医院关闭的“临界点”，这不仅影响医院本身，还可能对它们所服务的社区产生危及生命的后果。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Sensata Technologies（简称 Sensata）在上周末遭受了一次勒索软件攻击，部分公司网络被加密，运营受到扰乱。 在向美国证券交易委员会（SEC）提交的 8-K 表格中，Sensata 表示此次攻击发生在 4 月 6 日星期日，并涉及数据泄露。 “此次事件暂时影响了 Sensata 的运营，包括发货、收货、制造生产以及各种其他支持功能，”通知中写道。 Sensata 是一家工业技术公司，开发、制造和销售各种传感器及传感器解决方案，以及电气保护组件和系统。 该公司产品主要用于汽车、航空航天和工业应用领域。2023 年，Sensata 报告的年收入为 40 亿美元。 Sensata 表示，公司已采取立即行动，加快受网络攻击影响的关键功能的恢复进程。然而，公司无法提供完成这一工作的具体时间表。 在外部网络安全专家的协助下进行的初步调查确认，黑客已从公司网络中窃取了数据。 数据泄露与勒索软件的常见策略 数据泄露是勒索软件攻击者常用的策略，用于勒索受害者、增加支付赎金的压力，并制造法律和监管上的复杂性。 目前，Sensata 正在确定此次攻击中被盗的文件，并将根据调查结果通知受影响的个人和监管机构。 公司预计此次事件对其截至今年 6 月 30 日的当前季度财务结果不会产生重大影响。 然而，Sensata 承认，随着对安全事件的全面范围和影响的进一步了解，这一预期可能会发生变化。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Everest 勒索软件团伙的暗网泄露网站显然在周末被一名未知攻击者黑掉，现已下线。 未知攻击者将网站内容替换为以下讽刺性信息：“不要犯罪，犯罪很糟糕 xoxo 来自布拉格。” Everest 团伙已将其泄露网站下线，该网站现已无法加载，显示“洋葱网站未找到”错误。 Everest 的被黑泄露网站（Tammy H.） 虽然目前尚不清楚攻击者是如何获得对 Everest 网站的访问权限的，或者该网站是否真的被黑，但一些安全专家，如 Flare 高级威胁情报研究员 Tammy Harper，指出可能是利用了 WordPress 漏洞来篡改勒索软件团伙的泄露网站。 “值得一提的是，Everest 使用了 WordPress 模板来制作他们的博客。我不会对此感到惊讶，”Harper 表示。 自 2020 年首次出现以来，Everest 勒索软件团伙已从仅通过数据窃取进行企业勒索的策略转变为在攻击中加入勒索软件以加密受害者的受损系统。 Everest 的运营者还以作为其他网络犯罪团伙和威胁行为者的初始访问代理而闻名，出售对被攻陷企业网络的访问权限。 在过去的五年中，Everest 已在其暗网泄露网站上添加了超过 230 名受害者，该网站是双倍勒索攻击的一部分，勒索软件团伙试图通过威胁发布包含敏感信息的文件来迫使受害者支付赎金。 其最近的一名受害者是 STIIIZY，这是一家总部位于加利福尼亚州的知名大麻品牌，Everest 在 2024 年 11 月声称对其发起了攻击。今年 1 月，STIIIZY 透露，未知攻击者攻陷了其销售点（POS）供应商，窃取了客户信息，包括购买信息和政府身份证件。 2024 年 8 月，美国卫生与公众服务部还警告称，Everest 勒索软件团伙正越来越多地针对美国各地的医疗机构。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 西雅图港口管理局（Port of Seattle）近日向约9万人发出通知，告知他们的个人信息在2024年8月的一次勒索软件攻击中遭到泄露。 西雅图港口管理局在2024年8月24日披露了此次攻击，称由此引发的IT故障扰乱了多项服务和系统，包括预订检查系统、乘客显示屏、西雅图港口网站、flySEA应用程序，并导致西雅图-塔科马国际机场的航班延误。 三周后，港口管理局确认此次攻击是由名为Rhysida的勒索软件操作发起的。 勒索软件攻击 在事件发生后，港口管理局决定不屈服于网络犯罪分子的要求，即使他们威胁要在暗网泄露网站上发布窃取的数据。 “我们拒绝支付所要求的赎金，因此，攻击者可能会在他们的暗网网站上发布他们声称窃取的数据，”西雅图港口管理局在2024年9月13日表示。 “我们对攻击者窃取的数据的调查仍在进行中，但似乎攻击者确实在8月中旬至下旬获取了一些港口数据。评估被窃数据的过程复杂且耗时。” 数据泄露影响 2025年4月3日，港口管理局宣布，他们现在正在向受影响的个人发送约9万封通知信。据该机构称，此次数据泄露中约有7.1万人来自华盛顿州。 根据泄露通知信的副本，攻击者窃取了员工、承包商和停车数据的多种组合，包括姓名、出生日期、社会安全号码（或社会安全号码的最后四位数字）、驾驶执照或其他政府身份证号码，以及一些医疗信息。 港口还表示，他们存储的“机场或海运乘客信息非常少”，并且其支付处理系统未受攻击影响。 “在任何时候，此次事件都没有影响到安全前往或离开西雅图机场或使用港口海运设施的能力，”港口管理局本周补充道。“主要航空公司和邮轮合作伙伴的专有系统未受影响，联邦合作伙伴（如联邦航空管理局、运输安全管理局和美国海关与边境保护局）的系统也未受影响。” Rhysida勒索软件 Rhysida是此次西雅图港口攻击背后的勒索软件即服务（RaaS）操作，于2023年5月浮出水面，并在入侵大英图书馆、智利军队（Ejército de Chile）、俄亥俄州哥伦布市、索尼子公司Insomniac Games和全球最大的休闲船只及游艇零售商MarineMax后迅速声名狼藉。 其附属机构还入侵了Singing River Health System，该系统警告近90万人，他们的个人和健康信息在2023年8月的一次Rhysida勒索软件攻击中被盗。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国零售巨头沃尔玛旗下的仓储超市连锁品牌Sam’s Club正在调查Clop勒索软件团伙声称的网络攻击事件。 Sam’s Club在美国和波多黎各运营着600多家仓储式超市，并在墨西哥和中国拥有近200家门店。该公司拥有超过230万名员工，截至2023年1月31日的财年，总收入达到843亿美元。 “我们注意到有关潜在安全事件的报告，正在积极调查此事，”Sam’s Club的发言人向BleepingComputer表示，”保护会员信息的隐私和安全是我们的首要任务。我们高度重视这些问题，并将在适当时候进一步通报情况。” 尽管Sam’s Club并未透露更多调查细节，Clop勒索软件团伙已在其暗网泄密网站上新增了Sam’s Club的条目。该团伙尚未公布任何与此次攻击相关的证据，只是在网站上声称这家总部位于阿肯色州的批发商”无视客户安全，不关心客户权益”。 此次指控发生在Clop团伙自今年1月以来针对全球多家企业发起大规模数据盗窃攻击之后。据悉，这些攻击利用了Cleo安全文件传输软件中的零日漏洞（CVE-2024-50623）。尽管目前尚不清楚有多少企业受影响，Cleo公司表示其产品被全球4000多家机构使用。 今年1月，Clop将总部位于亚利桑那州的Western Alliance Bank列入其泄密网站，并在上周通知近2.2万名客户，他们的个人信息在去年10月的攻击中被盗。此次攻击同样是利用第三方安全文件传输软件中的漏洞。 Clop勒索软件团伙此前还曾利用Accellion FTA、MOVEit Transfer和GoAnywhere MFT等安全文件传输软件中的零日漏洞，实施数据盗窃活动。 值得注意的是，这并非Sam’s Club近年来首次遭遇安全事件。2020年10月，Sam’s Club曾通知部分客户，他们的账户在凭证填充攻击中遭到入侵。随后，Sam’s Club自动重置了这些账户的密码。 当时，Sam’s Club的发言人表示：”此次事件并非我们的系统被攻破，而是攻击者通过网络钓鱼、恶意软件植入或其他企业的数据泄露获取了用户名和密码。我们已重置这些账户的密码，并采取了额外措施以防范欺诈行为。”   消息来源：Bleeping Computer 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员成功入侵了一个名为 BlackLock 的勒索软件团伙的在线基础设施，揭露了该团伙的作案手法和关键信息。 Resecurity 表示，他们发现 BlackLock 犯罪团伙运营的数据泄露网站（DLS）存在一个安全漏洞，这使得研究人员能够提取配置文件、凭证以及服务器上执行的命令历史记录。 该公司称，该漏洞涉及 BlackLock 勒索软件的数据泄露网站（DLS）的 “某种配置错误”，导致与他们通过 Tor 隐藏服务（托管它们）的网络基础设施相关的明网 IP 地址被泄露，以及额外的服务信息。 研究人员将获取的命令历史记录描述为 BlackLock 勒索软件最大的操作安全（OPSEC）失误之一。 BlackLock 是另一个名为 Eldorado 的勒索软件团伙的改版。自 2025 年以来，它已成为最活跃的勒索团伙之一，主要针对科技、制造、建筑、金融和零售行业。截至上个月，该团伙已在网站上列出了 46 个受害者，这些受影响的组织位于阿根廷、阿鲁巴、巴西、加拿大、刚果（布）、克罗地亚、秘鲁、法国、意大利、荷兰、西班牙、阿联酋、英国和美国。 该团伙于 2025 年 1 月中旬宣布推出一个地下附属网络，并被观察到积极招募 “流量引导者”（traffers），以协助攻击的早期阶段，通过将受害者引导至部署恶意软件的恶意页面，这些恶意软件能够建立对受损系统的初始访问。 Resecurity 发现的漏洞是一个本地文件包含（LFI）漏洞，本质上是通过路径遍历攻击欺骗 Web 服务器泄露敏感信息，包括操作员在泄露网站上执行的命令历史记录。 一些值得注意的发现如下： – 使用 Rclone 将数据泄露到 MEGA 云存储服务中，在某些情况下甚至直接在受害者系统上安装 MEGA 客户端。 – 威胁行为者至少在 MEGA 上创建了八个账户，使用通过 YOPmail 创建的一次性电子邮件地址（例如，“zubinnecrouzo-6860@yopmail.com”）来存储受害者数据。 – 对勒索软件的逆向工程发现，其源代码和勒索信与另一种名为 DragonForce 的勒索软件存在相似之处，后者曾针对沙特阿拉伯的组织发动攻击（尽管 DragonForce 使用 Visual C++ 编写，而 BlackLock 使用 Go 语言）。 – BlackLock 的主要运营者之一 “$$$” 于 2025 年 3 月 11 日启动了一个名为 Mamona 的短期勒索软件项目。 在令人意外的转折中，BlackLock 的数据泄露网站于 2025 年 3 月 20 日被 DragonForce 篡改——很可能是通过利用相同的 LFI 漏洞（或类似漏洞）——其配置文件和内部聊天记录被泄露在网站首页上。就在前一天，Mamona 勒索软件的数据泄露网站也遭到了篡改。 Resecurity 表示：“目前尚不清楚 BlackLock 勒索软件（作为一个团伙）是否开始与 DragonForce 勒索软件合作，或者是否悄然转归新所有者旗下。新主人可能接管了该项目及其附属网络，因为勒索软件市场正在整合，他们意识到其前任可能会被攻破。” “BlackLock 和 Mamona 勒索软件事件发生后，关键人物‘$$$’并未表现出任何惊讶。该人物可能完全清楚自己的行动可能已经被攻破，因此悄然退出之前的项目可能是最合理的选择。”   消息来源：The Hacker News；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： ESET在调查几个知名勒索软件组织之间的关联时发现，越来越多的勒索软件组织开始将用于禁用端点检测和响应（EDR）解决方案的工具纳入其武器库。 在2024年LockBit和BlackCat勒索软件组织消亡后，新的威胁者崭露头角，其中包括2024年2月出现的RansomHub，这是一个勒索软件即服务（RaaS）组织。 随着勒索软件附属组织从不同团体迁移到RansomHub，例如据称是Change Healthcare黑客事件背后的BlackCat附属组织，RansomHub成为并一直保持着在该领域的主导威胁地位。 2024年5月，RansomHub在其武器库中添加了EDRKillShifter，这是一种针对众多安全解决方案的自定义EDR杀手工具，它依赖密码来保护在执行过程中充当中间层的shellcode。 EDR杀手是在受害者的网络上执行的，旨在使任何在本地终端上运行的安全解决方案失明、损坏或终止。虽然可以使用简单的脚本，但更复杂的工具会部署易受攻击的驱动程序，然后利用这些驱动程序进行恶意活动。 RansomHub通过其RaaS面板向其附属组织提供了EDRKillShifter，但ESET观察到它被用于涉及Play、Medusa和BianLian等其他勒索软件变种的攻击中。 由于BianLian和Play是比较封闭的勒索软件操作，它们能够获得EDRKillShifter的访问权限，这表明它们可能与RansomHub合作，在其攻击中重新利用RaaS的工具。 “我们高度确信所有这些攻击都是由同一个威胁者执行的，该威胁者是这四个勒索软件组织的附属组织，”ESET指出，并将该威胁者称为QuadSwitcher。 ESET还表示，其他勒索软件附属组织也被看到使用EDRKillShifter，并补充说这并不是威胁者用来禁用安全软件的唯一工具。事实上，勒索软件附属组织使用的EDR杀手种类有所增加。 EDR杀手的使用增加被视为对安全解决方案更有效地检测文件加密恶意软件的反应。ESET指出，加密器很少收到重大更新，以避免引入缺陷的风险。 ESET还指出，虽然有超过1700个易受攻击的驱动程序可以供EDR杀手解决方案使用，但只有少数几个被滥用，因为针对它们有经过测试的代码，威胁者无需从头编写新代码。 除了RansomHub，只有另一个RaaS运营商被观察到在其服务中添加了EDR杀手，即Embargo，其泄露网站上仅列出了14名受害者。该工具被称为MS4Killer，基于公开的概念验证（PoC）代码。   消息来源：Security Week；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文