HackerNews 编译，转载请注明出处： 一个名为Arkana Security的新勒索软件组织声称入侵了美国电信提供商WideOpenWest（WOW!），并窃取了客户数据。WideOpenWest（WOW!）是一家总部位于美国的电信公司，主要在中西部和东南部地区运营，为住宅和商业客户提供宽带互联网、有线电视和电话服务。WOW!以其在与大型供应商竞争的市场中提供高速互联网和具有竞争力的价格而闻名。 Arkana Security最近出现在威胁领域，声称提供渗透测试后的服务，并提供数据安全和风险管理服务。该勒索软件组织通过窃取受害者的数据来向他们施压，要求支付一笔“慷慨的费用”。 Arkana声称窃取了两个数据库，分别包含40.3万和220万账户的数据。被攻破的数据包括用户名、密码、安全详情、电子邮件和Firebase集成数据。 “我们已完全攻破了Wide Open West（WOW!），获取了高度敏感的客户数据和服务器。如果你们不采取行动，我们将公开并出售这些数据。”该组织在其Tor泄露网站上发布的声明中写道。 “现在，只有你们和我们知道这次入侵。但如果你们不支付，入侵将公之于众。 你们的基础设施是一场灾难——你们的安全措施形同虚设。系统保护如此薄弱，显然没有真正努力去保护任何东西。 这是你们的巨大失误，后果将非常严重。” Arkana在泄露网站上曝光了受害者，并发布了被入侵组织高管的敏感个人信息。 目前，该组织还将俄勒冈监控网络公司列在了泄露网站上。 Arkana声称已入侵WOW!的内部系统，包括AppianCloud和Symphonica平台。 “一次重大的网络攻击席卷了Wide Open West（WOW!），这是一家拥有超过150万客户的领先互联网服务提供商。黑客成功通过攻破其两个关键平台：AppianCloud和Symphonica，获得了对WOW!的全面控制。此次入侵导致WOW!的系统、面向客户的设备和后端服务器被全面接管，使客户数据和运营基础设施面临重大风险。攻击者现在能够操纵网络配置、客户数据和服务器代码逻辑，这对WOW!的整个客户群，包括依赖其服务的关键基础设施部门，构成了严重威胁。”该组织发布的声明继续说道。“攻击者现在完全控制了WOW!的基础设施，攻击的全部规模仍在展开。数百万客户和企业客户可能受到影响，影响程度尚未完全显现。”   消息来源：Security Affairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国信息专员办公室（ICO）因2022年的一次勒索软件攻击，对高级计算机软件集团有限公司处以307万英镑的罚款，该攻击暴露了79,404人的敏感个人数据，其中包括国家医疗服务体系（NHS）的患者数据。 2022年8月初，当包括111紧急服务在内的各种NHS服务出现重大故障时，宣布了此次网络攻击，这表明英国托管服务提供商（MSP）高级计算机软件集团受到了攻击。 高级计算机软件集团为NHS提供了多种患者管理和健康相关产品，如Adastra、Caresys、Carenotes、Odyssey、Crosscare、Staffplan和eFinancials。 该公司并未透露许多关于哪个勒索软件组织攻击了他们的细节，但在接下来的几天里，显然恢复工作将需要很长时间，即使有Mandiant和微软专家的帮助。 后来证实，LockBit勒索软件组织是此次攻击的幕后黑手，他们利用被盗的凭证在Staffplan Citrix服务器上设置远程桌面协议（RDP）会话，随后横向移动进入组织的环境。 今天，ICO宣布对高级计算机软件集团处以307万英镑（约合395万美元）的罚款，以惩罚其未能保护敏感数据和系统免受黑客攻击。 ICO在其声明中强调了软件供应商未能实施足够的安全措施，以防止导致数据泄露和危及生命的健康服务中断的漏洞。 这些漏洞主要涉及漏洞扫描不佳、补丁管理不充分以及缺乏普遍的多因素认证（MFA）覆盖。 “高级计算机软件集团的子公司安全措施严重不足，不符合我们对处理如此大量敏感信息的组织的期望，”信息专员约翰·爱德华兹表示。 “尽管高级计算机软件集团在许多系统上安装了多因素认证，但覆盖不全面意味着黑客可以进入，使成千上万人的敏感个人信息面临风险。” 值得注意的是，此次对高级计算机软件集团的罚款与2024年8月ICO考虑并宣布的609万英镑（约合774万美元）的罚款相比大幅减少。 然而，此次罚款具有重要意义，因为这是英国首次对数据处理者而非数据控制者处以罚款。 过去ICO对数据控制者处以的显著罚款包括对英国航空公司因2018年数据泄露处以创纪录的2000万英镑罚款，以及对万豪国际酒店因2014年安全事件处以1840万英镑罚款。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯语言的黑客组织 RedCurl（又名 Earth Kapre 和 Red Wolf）首次与勒索软件活动相关联，这标志着该威胁组织的攻击手法发生了转变。 这一活动由罗马尼亚网络安全公司 Bitdefender 观察到，涉及部署一种前所未见的勒索软件变种，名为 QWCrypt。 RedCurl 有着针对加拿大、德国、挪威、俄罗斯、斯洛文尼亚、乌克兰、英国和美国等多地多个实体进行企业间谍攻击的历史。该组织自至少 2018 年 11 月以来一直活跃。 2020 年，Group-IB 记录的攻击链涉及使用带有 “人力资源”（HR）主题诱饵的鱼叉式网络钓鱼电子邮件来激活恶意软件部署过程。今年 1 月，Huntress 详细描述了该威胁组织针对加拿大多个组织的攻击，以部署名为 RedLoader 的加载程序，该程序具有 “简单的后门功能”。 上个月，加拿大网络安全公司 eSentire 揭露了 RedCurl 使用伪装成简历和求职信的垃圾 PDF 附件，在网络钓鱼信息中利用合法的 Adobe 可执行文件 “ADNotificationManager.exe” 侧载加载程序恶意软件。 Bitdefender 详细描述的攻击过程遵循相同的步骤，使用伪装成简历的可挂载磁盘镜像（ISO）文件来启动多阶段感染程序。在磁盘镜像中存在一个文件，它模仿 Windows 屏保（SCR），但实际上是由 ADNotificationManager.exe 执行的加载程序（“netutils.dll”）使用的二进制文件，通过 DLL 侧载执行。 “执行后，netutils.dll 立即用 open 动词发起 ShellExecuteA 调用，将受害者的浏览器定向到 https://secure.indeed.com/auth，”Bitdefender 技术解决方案总监 Martin Zugec 在一份与《黑客新闻》分享的报告中表示。 “这显示了一个合法的 Indeed 登录页面，这是一个精心设计的干扰，旨在误导受害者认为他们只是在打开简历。这种社会工程手段为恶意软件提供了在未被察觉的情况下运行的窗口。” 加载程序还充当下载程序，用于下载下一阶段的后门 DLL，同时通过计划任务在主机上建立持久性。然后使用程序兼容性助手（pcalua.exe）执行新检索到的 DLL，这种技术在 2024 年 3 月由 Trend Micro 详细描述。 植入物提供的访问权限为横向移动铺平了道路，使威胁者能够在网络中导航、收集情报并进一步升级访问权限。但似乎是一个重大的转变，他们已知的作案手法之一也导致了勒索软件的首次部署。 “这种有针对性的攻击可以被解释为一种试图用最小的努力造成最大损害的尝试，”Zugec 说。“通过加密托管在 hypervisors 上的虚拟机，使其无法启动，RedCurl 有效地禁用了整个虚拟化基础设施，影响所有托管服务。” 勒索软件可执行文件除了采用 “自带易受攻击的驱动程序”（BYOVD）技术来禁用端点安全软件外，还会在启动加密例程之前采取步骤收集系统信息。此外，加密后留下的勒索便条似乎受到 LockBit、HardBit 和 Mimic 团伙的启发。 “这种重复使用现有勒索便条文本的做法引发了关于 RedCurl 团伙的起源和动机的问题，”Zugec 说。“值得注意的是，没有已知的专门泄露网站（DLS）与该勒索软件相关联，目前尚不清楚勒索便条是否代表真正的敲诈企图或是一种转移注意力的手段。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 根据Palo Alto Networks Unit 42最新的云威胁报告，66%的云存储桶中包含敏感数据，这些数据容易受到勒索软件攻击。SANS Institute最近报告称，这些攻击可以通过滥用云服务提供商的存储安全控制和默认设置来实施。 “仅在过去几个月里，我就目睹了两种利用合法云安全功能实施勒索软件攻击的方法，”SANS认证讲师、安全顾问Brandon Evans警告说。Halcyon披露了一项攻击活动，该活动利用了亚马逊S3的本地加密机制之一SSE-C来加密目标存储桶。几个月前，安全顾问Chris Farris展示了攻击者如何利用AWS的另一项安全功能（带有外部密钥材料的KMS密钥）通过ChatGPT生成的简单脚本实施类似的攻击。“显然，这个话题无论是对威胁行为者还是研究人员来说都是当务之急，”Brandon指出。 为应对云勒索软件，SANS建议组织机构： 了解云安全控制的效能与局限：使用云服务并不能自动保证数据安全。“大多数人首先使用的云服务是OneDrive、Dropbox、iCloud等文件备份解决方案，”Brandon解释道。“虽然这些服务通常默认启用了文件恢复功能，但亚马逊S3、Azure存储或谷歌云存储并非如此。安全专业人员必须了解这些服务的工作原理，不要假设云服务会拯救他们。” 封禁不受支持的云加密方法：AWS S3 SSE-C、AWS KMS外部密钥材料等加密技术可能被滥用，因为攻击者可以完全控制密钥。组织机构可以使用身份和访问管理（IAM）策略来强制S3使用特定的加密方法，例如使用托管在AWS中的密钥材料的SSE-KMS。 启用备份、对象版本控制和对象锁定：这些是云存储的完整性和可用性控制措施。在三大云服务提供商中，这些功能均未默认启用。如果正确使用，它们可以增加组织在勒索软件攻击后恢复数据的可能性。 通过数据生命周期策略平衡安全与成本：这些安全功能需要费用。“云服务提供商不会免费托管你的数据版本或备份。同时，你的组织也不会为你提供数据安全的无限预算，”Brandon说。三大云服务提供商都允许客户定义生命周期策略。这些策略使组织能够自动删除不再需要的对象、版本和备份。然而，攻击者也可能利用生命周期策略，如在前述攻击活动中，他们利用该策略敦促目标快速支付赎金。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，Visual Studio Code（VSCode） Marketplace上存在两个恶意扩展，它们会向用户部署处于开发阶段的勒索软件。 这两个名为“ahban.shiba”和“ahban.cychelloworld”的扩展，已被市场维护人员下架。 据ReversingLabs称，这两个扩展包含代码，旨在调用PowerShell命令，从命令与控制（C2）服务器获取PowerShell脚本负载并执行。 该负载被怀疑是处于早期开发阶段的勒索软件，仅加密受害者Windows桌面名为“testShiba”文件夹中的文件。 文件加密后，PowerShell负载显示消息：“您的文件已被加密。向ShibaWallet支付1个柴犬币以恢复它们。” 然而，没有向受害者提供其他说明或加密货币钱包地址，这进一步表明该恶意软件可能仍在开发中。 几个月前，软件供应链安全公司发现多个恶意扩展，其中一些伪装成Zoom，但具有从远程服务器下载未知第二阶段负载的功能。 上周，Socket详细描述了一个恶意Maven包，它伪装成scribejava-core OAuth库，每月15日秘密收集并泄露OAuth凭证，突出显示了旨在逃避检测的时间触发机制。 该库于2024年1月25日上传至Maven Central，目前仍可从该存储库下载。 “攻击者使用typoquatting——创建几乎相同的名称来欺骗开发人员添加恶意包，”安全研究员库什·潘迪亚说。“有趣的是，这个恶意包有六个依赖包。” “它们都是typoquatting合法包，但使用相同的groupId（io.github.leetcrunch），而不是真实的命名空间（com.github.scribejava）。” 采用这种方法的目的是提高恶意库的表面合法性，从而增加开发人员下载并在项目中使用它的可能性。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Elastic Security Labs 观察到，Medusa 勒索软件即服务（RaaS）操作背后的威胁参与者使用了一种名为 ABYSSWORKER 的恶意驱动程序，作为自带脆弱驱动程序（BYOVD）攻击的一部分，旨在禁用防恶意软件工具。 Elastic Security Labs 在报告中称，他们观察到一次 Medusa 勒索软件攻击，该攻击通过使用名为 HeartCrypt 的打包即服务（PaaS）进行打包的加载程序来传输加密器。 “该加载程序与一个被我们命名为 ABYSSWORKER 的中国厂商的被吊销证书签名的驱动程序一起部署，它会在受害机器上安装该驱动程序，然后利用它来攻击并使不同的 EDR 厂商失效，”该公司在报告中表示。 名为 “smuol.sys” 的驱动程序模仿了一个合法的 CrowdStrike Falcon 驱动程序（“CSAgent.sys”）。从 2024 年 8 月 8 日到 2025 年 2 月 25 日，VirusTotal 平台上已经检测到了数十个 ABYSSWORKER 文件。所有已识别的样本都使用了可能被盗且已被吊销的中国公司证书进行签名。 值得注意的是，这个能够杀死 EDR 的驱动程序在 2025 年 1 月被 ConnectWise 以 “nbwdv.sys” 的名字记录在案。 一旦被初始化和启动，ABYSSWORKER 被设计成将进程 ID 添加到全局受保护进程列表中，并监听传入的设备 I/O 控制请求，然后根据 I/O 控制代码将这些请求分派给相应的处理程序。 “这些处理程序涵盖了从文件操作到进程和驱动程序终止的一系列操作，提供了一个全面的工具集，可用于终止或永久禁用 EDR 系统，”Elastic 表示。 部分 I/O 控制代码列表如下： – 0x222080 – 通过发送密码 “7N6bCAoECbItsUR5-h4Rp2nkQxybfKb0F-wgbJGHGh20pWUuN1-ZxfXdiOYps6HTp0X” 启用驱动程序 – 0x2220c0 – 加载必要的内核 API – 0x222184 – 复制文件 – 0x222180 – 删除文件 – 0x222408 – 按模块名称杀死系统线程 – 0x222400 – 按模块名称移除通知回调 – 0x2220c0 – 加载 API – 0x222144 – 按进程 ID 终止进程 – 0x222140 – 按线程 ID 终止线程 – 0x222084 – 禁用恶意软件 – 0x222664 – 重启机器 其中，0x222400 尤为引人关注，它可以通过搜索并移除所有已注册的通知回调来使安全产品失明，这种方法也被其他 EDR 杀手工具（如 EDRSandBlast 和 RealBlindingEDR）采用。 这一发现紧随 Venak Security 的一份报告，该报告指出威胁参与者如何利用 Check Point 的 ZoneAlarm 防病毒软件相关的合法但脆弱的内核驱动程序，作为 BYOVD 攻击的一部分，以获得提升的权限并禁用 Windows 安全功能，如内存完整性。 攻击者随后滥用了这些提升的权限，通过远程桌面协议（RDP）连接到受感染的系统，从而获得持久的访问权限。这一漏洞随后已被 Check Point 修补。 “由于 vsdatant.sys 以高级内核权限运行，攻击者能够利用其漏洞，绕过安全防护和防病毒软件，从而完全控制受感染的机器，”该公司表示。 “一旦这些防御被绕过，攻击者就能完全访问底层系统，能够获取用户密码和其他存储的凭证等敏感信息。这些数据随后被窃取，为进一步的攻击打开了大门。” Check Point 软件公司告诉《黑客新闻》，该脆弱的驱动程序已过时，且不再被积极使用，因此客户需要运行软件的最新版本。 “Venak Security 提到的脆弱驱动程序（vsdatant.sys，版本 14.1.32.0）已过时，不再在我们当前的产品中使用，”该公司表示。“运行 ZoneAlarm 或 Harmony Endpoint 最新版本的用户不会受到影响，因为这些版本包含更新的驱动程序，解决了此问题。” “在彻底审查后，我们可以确认过去 8 年发布的版本均不受此问题影响。为了获得全面的保护，我们建议用户确保运行的是 Check Point ZoneAlarm 或 Check Point Harmony Endpoint 的最新版本，其中包含针对 BYOVD 风格攻击的增强防护措施。” 这一发展正值 RansomHub（又名 Greenbottle 和 Cyclops）勒索软件操作被归因于至少一个其附属机构使用的一种以前未被记录的多功能后门，代号为 Betruger。 该植入程序具有通常与勒索软件攻击前部署的恶意软件相关的功能，如截取屏幕、记录按键、网络扫描、权限提升、凭证转储以及将数据窃取到远程服务器。 “Betruger 的功能表明，它可能是为了在准备勒索软件攻击时减少在目标网络上投放的新工具数量而开发的，”Broadcom 旗下的赛门铁克表示，将其描述为与其他勒索软件集团为数据窃取开发的自定义工具有所不同。 “在勒索软件攻击中使用除加密有效载荷以外的自定义恶意软件相对不寻常。大多数攻击者依赖合法工具、利用现成资源以及公开可用的恶意软件，如 Mimikatz 和 Cobalt Strike。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： YouTube 上推广游戏外挂的视频被用于传播一种名为 Arcane 的未被记录在案的盗取器恶意软件，该软件可能针对俄语用户。 卡巴斯基在一份分析报告中表示：“这种恶意软件的有趣之处在于它收集的信息量之大。”它会从 VPN 和游戏客户端，以及 ngrok、Playit、Cyberduck、FileZilla 和 DynDNS 等各种网络工具中抓取账户信息。 攻击链涉及在 YouTube 视频中分享指向受密码保护的存档文件的链接，打开后，该存档文件会解压出一个名为 start.bat 的批处理文件，该文件负责通过 PowerShell 检索另一个存档文件。 随后，该批处理文件利用 PowerShell 启动新下载存档文件中嵌入的两个可执行文件，同时禁用 Windows SmartScreen 保护功能，并将每个驱动器根文件夹设置为 SmartScreen 过滤器的例外。 这两个二进制文件中，一个是加密货币矿工，另一个是名为 VGS 的盗取器，它是 Phemedrone 盗取器恶意软件的一个变种。截至 2024 年 11 月，攻击者已被发现用 Arcane 替代了 VGS。 “尽管其中很多内容是从其他盗取器中借鉴而来的，但我们无法将其归因于任何已知的家族。”这家俄罗斯网络安全公司指出。 除了从各种基于 Chromium 和 Gecko 的浏览器中窃取登录凭证、密码、信用卡数据和 Cookie 外，Arcane 还能够收集全面的系统数据，以及以下多个应用程序的配置文件、设置和账户信息： VPN 客户端：OpenVPN、Mullvad、NordVPN、IPVanish、Surfshark、Proton、hidemy.name、PIA、CyberGhost 和 ExpressVPN 网络客户端和工具：ngrok、Playit、Cyberduck、FileZilla 和 DynDNS 通讯软件：ICQ、Tox、Skype、Pidgin、Signal、Element、Discord、Telegram、Jabber 和 Viber 电子邮件客户端：Microsoft Outlook 游戏客户端和服务：Riot Client、Epic、Steam、Ubisoft Connect（原 Uplay）、Roblox、Battle.net 以及各种 Minecraft 客户端 加密货币钱包：Zcash、Armory、Bytecoin、Jaxx、Exodus、Ethereum、Electrum、Atomic、Guarda 和 Coinomi 此外，Arcane 还被设计为能够截取受感染设备的屏幕截图，枚举正在运行的进程，并列出已保存的 Wi-Fi 网络及其密码。 “大多数浏览器会生成唯一密钥，用于加密其存储的敏感数据，如登录信息、密码、Cookie 等。”卡巴斯基表示，“Arcane 利用数据保护 API（DPAPI）获取这些密钥，这是盗取器的典型行为。” “但 Arcane 还包含一个名为 Xaitax 的工具的可执行文件，它利用该工具破解浏览器密钥。为此，该工具会被秘密地写入磁盘并启动，盗取器从其控制台输出中获取所需的全部密钥。” 此外，该盗取器恶意软件还采用了一种单独的方法，通过调试端口启动浏览器副本，从而从基于 Chromium 的浏览器中提取 Cookie。 该行动背后的不明威胁行为者已经扩大了他们的业务范围，包括一个名为 ArcanaLoader 的加载器，该加载器声称用于下载游戏外挂，但实际上却传播盗取器恶意软件。俄罗斯、白俄罗斯和哈萨克斯坦已成为此次行动的主要目标。 “这场特定的活动之所以有趣，是因为它展示了网络犯罪分子的灵活性，他们始终在更新他们的工具和分发方法。”卡巴斯基表示，“此外，Arcane 盗取器本身也很有趣，因为它收集了各种不同的数据，并且使用了各种技巧来提取攻击者想要的信息。” 消息来源：TheHackerNews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究员约哈内斯·努格罗霍发布了一款针对Akira勒索软件Linux版本的解密器，该解密器利用GPU算力来恢复解密密钥并免费解锁文件。 努格罗霍在朋友的求助下开发了这款解密器，他判断基于Akira生成加密密钥的方式（使用时间戳），破解加密系统在一周内可行。尽管过程中遇到了一些意外的复杂情况，项目耗时三周，且研究员在破解加密密钥上花费了1200美元用于GPU资源，但他最终还是成功了。 这款解密器并不像传统的解密工具那样需要用户提供密钥来解锁文件。相反，它通过暴力破解加密密钥（每个文件唯一）来工作，这利用了Akira加密程序基于当前时间（纳秒）作为种子生成加密密钥的事实。 加密种子是与加密函数一起使用以生成强大且不可预测的加密密钥的数据。由于种子影响密钥生成，因此保持其秘密性至关重要，以防止攻击者通过暴力破解或其他加密攻击重新创建加密或解密密钥。 Akira勒索软件为每个文件动态生成唯一的加密密钥，使用四个不同时间戳种子（纳秒精度），并通过1500轮SHA-256哈希处理。 用于生成密钥的四个时间戳 来源：tinyhack.com 这些密钥使用RSA-4096加密，并附加在每个加密文件的末尾，因此在没有私钥的情况下很难解密。时间戳中纳秒级的精度使得每秒可能产生超过十亿个值，这使得暴力破解密钥变得困难。 此外，努格罗霍表示，Linux上的Akira勒索软件使用多线程同时加密多个文件，这使得确定所用时间戳变得更加困难，进一步增加了复杂性。 研究人员通过查看朋友分享的日志文件，缩小了暴力破解的时间戳范围。这使他能够看到勒索软件的执行时间，通过文件元数据估计加密完成时间，并在不同硬件上生成加密基准以创建可预测的配置文件。 最初使用RTX 3060的尝试速度太慢，每秒只能进行6000万次加密测试。升级到RTC 3090也没有太大帮助。 最终，研究人员转向使用RunPod & Vast.ai云GPU服务，这些服务提供了足够的算力，并且价格合理，足以确认其工具的有效性。 具体来说，他使用了16个RTX 4090 GPU，在大约10小时内暴力破解了解密密钥。然而，根据需要恢复的加密文件数量，这一过程可能需要几天时间。 研究人员在其书面报告中指出，GPU专家仍可优化他的代码，因此性能可能会进一步提升。 努格罗霍已在GitHub上提供了解密器，并附上了如何恢复Akira加密文件的说明。 与往常一样，在尝试解密文件时，请备份原始加密文件，因为使用错误的解密密钥可能会导致文件损坏。 BleepingComputer尚未测试该工具，无法保证其安全性和有效性，因此使用时需自行承担风险。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据称，一名51岁的俄罗斯和以色列双重国籍男子，是LockBit勒索软件集团的开发者，已被引渡至美国，距离他因与该网络犯罪计划相关的指控被正式起诉还不到三个月。 罗斯蒂斯拉夫·帕涅夫于2024年8月在以色列被捕。据称，他从2019年至2024年2月一直在为该勒索软件团伙工作，当时该团伙的在线基础设施在一次执法行动中被查封。 “罗斯蒂斯拉夫·帕涅夫被引渡到新泽西区表明：如果你是LockBit勒索软件阴谋的成员，美国会找到你并将你绳之以法，”美国检察官约翰·乔达诺说。 LockBit逐渐成为最活跃的勒索软件集团之一，攻击了全球至少120个国家的2500多个实体，其中近1800个位于美国。 受害者包括个人、小型企业到跨国公司，还有医院、学校、非营利组织、关键基础设施以及政府和执法机构。 该犯罪集团的网络犯罪活动已获得至少5亿美元的非法利润，给受害者造成了数十亿美元的损失，包括收入损失以及事件响应和恢复的成本。 作为LockBit的开发者，帕涅夫负责设计和维护锁定器的代码库，从2022年6月至2024年2月期间赚取了大约23万美元。 “帕涅夫承认他为LockBit集团完成的工作包括开发用于禁用防病毒软件的代码；向连接到受害者网络的多台计算机部署恶意软件；以及在连接到受害者网络的所有打印机上打印LockBit勒索信，”司法部表示。 “帕涅夫还承认编写和维护LockBit恶意软件代码，并向LockBit集团提供技术指导。” 除了帕涅夫外，还有六名LockBit成员在美国受到指控，包括米哈伊尔·瓦西里耶夫、鲁斯兰·阿斯塔米罗夫、阿图尔·松加托夫、伊万·根纳季耶维奇·孔德拉季耶夫、米哈伊尔·帕夫洛维奇·马特维耶夫和德米特里·尤里耶维奇·霍罗舍夫，其中霍罗舍夫也被确认为LockBit的管理员，使用网名LockBitSupp。 此外，霍罗舍夫、马特维耶夫、松加托夫和孔德拉季耶夫因参与网络攻击被美国财政部外国资产管制办公室（OFAC）制裁。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个名为”Mora_001″的新勒索软件组织正利用两个Fortinet漏洞，通过未授权访问防火墙设备部署名为SuperBlack的自定义勒索病毒。 这两个漏洞均为身份验证绕过漏洞，编号为CVE-2024-55591和CVE-2025-24472。Fortinet分别于2024年1月和2月披露了相关漏洞信息。 Fortinet在2024年1月14日首次披露CVE-2024-55591时，确认该漏洞已被作为零日漏洞利用。北极狼公司指出，自2024年11月起，攻击者就利用该漏洞入侵FortiGate防火墙。 值得注意的是，Fortinet在2025年2月11日将其1月公告中补充了CVE-2025-24472漏洞信息，导致外界误认为这是新发现的被利用漏洞。但Fortinet向BleepingComputer澄清称，该漏洞实际已于2024年1月修复且未被利用。 “我们未发现CVE-2025-24472被利用的证据。”Fortinet当时表示。 然而，Forescout研究人员的报告显示，他们在2025年1月下旬发现SuperBlack攻击活动，攻击者最早在2025年2月2日就利用了CVE-2025-24472漏洞。 Forescout向BleepingComputer说明：”尽管我们未直接向Fortinet报告24472漏洞的利用情况，但一家受影响的合作机构将我们的调查结果同步给了Fortinet的PSIRT团队。” “随后，Fortinet在2月11日更新公告，承认CVE-2025-24472正被积极利用。”BleepingComputer已联系Fortinet核实该细节，目前尚未获得回复。 SuperBlack攻击流程分析 Forescout指出，Mora_001采用高度结构化的攻击链，不同受害者间的攻击模式高度一致： 首先，攻击者通过jsconsole接口发起基于WebSocket的攻击，或直接向暴露的防火墙接口发送HTTPS请求，利用两个Fortinet漏洞获取’super_admin’权限。 接着，创建新管理员账户（包括forticloud-tech、fortigate-firewall、adnimistrator），并修改自动化任务配置以确保账户被删除后能自动重建。 随后，攻击者通过窃取的VPN凭证、新建VPN账户、WMIC/SSH工具及TACACS+/RADIUS认证进行网络测绘和横向移动。 在实施双重勒索前，Mora_001使用定制工具窃取数据，优先针对文件服务器、数据库服务器和域控制器进行加密。完成加密后，系统会留下勒索信。最终部署名为’WipeBlack’的定制擦除工具，清除勒索软件执行痕迹以阻碍取证分析。 Forescout发现多项证据表明SuperBlack与LockBit勒索组织存在密切联系，尽管前者表现出独立运作特征： SuperBlack加密器（VirusTotal记录）基于LockBit 3.0泄露的构建器开发，具有相同的载荷结构和加密算法，但移除了原始品牌标识。 SuperBlack勒索信包含与LockBit运营相关的TOX聊天ID，暗示Mora_001可能是LockBit前附属机构或核心团队中负责赎金谈判的成员。 攻击使用的IP地址与历史LockBit行动存在大量重叠。此外，WipeBlack工具亦被BrainCipher、EstateRansomware、SenSayQ等与LockBit关联的勒索组织使用。 Forescout在报告末尾提供了完整的SuperBlack攻击活动入侵指标（IoC）列表。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文