威胁者正积极试图利用Veeam Backup & Replication中一个现已打补丁的安全漏洞，来部署Akira和Fog勒索软件。 网络安全厂商Sophos表示，在过去的一个月里，它一直在追踪一系列利用被泄露的VPN凭证和CVE-2024-40711创建本地帐户并部署勒索软件的攻击。 CVE-2024-40711在CVSS等级中被评为9.8级（满分10.0），是一个允许未经验证的远程代码执行的关键漏洞。2024 年 9 月初，Veeam 在备份与复制 12.2 版本中解决了这一问题。 德国 CODE WHITE 公司的安全研究员 Florian Hauser 是发现并报告该安全漏洞的功臣。 在每个案例中，攻击者最初都是在未启用多因素身份验证的情况下使用被入侵的 VPN 网关访问目标的，Sophos 说，其中一些 VPN 运行的是不支持的软件版本。 每次，攻击者都在端口 8000 的 URI /trigger 上利用 VEEAM，触发 Veeam.Backup.MountService.exe 生成 net.exe。该漏洞利用程序创建了一个本地账户‘point’，并将其添加到本地管理员和远程桌面用户组中。 据说，在导致部署 Fog 勒索软件的攻击中，威胁者将勒索软件投放到未受保护的 Hyper-V 服务器上，同时使用 rclone 实用程序外泄数据。其他勒索软件部署均未成功。 对 CVE-2024-40711 的积极利用促使英国国家医疗服务系统（NHS England）发布了一份警告，指出 “企业备份和灾难恢复应用程序是网络威胁组织的重要目标”。 在披露这一消息的同时，Palo Alto Networks 第 42 部门详细介绍了名为 Lynx 的 INC 勒索软件的后续版本，该版本自 2024 年 7 月以来一直处于活跃状态，其攻击目标是美国和英国的零售、房地产、建筑、金融和环境服务领域的组织。 据说，早在2024年3月，INC勒索软件的源代码就在地下犯罪市场上出售，促使恶意软件作者重新包装锁定器并产生新的变种，从而刺激了Lynx的出现。 “Lynx勒索软件与INC勒索软件共享大量源代码，”Unit 42说。“INC勒索软件最初出现在2023年8月，其变种兼容Windows和Linux。” 在此之前，美国卫生与公众服务部（HHS）卫生部门网络安全协调中心（HC3）也发布警告称，该国至少有一家医疗保健实体已成为 Trinity 勒索软件的受害者，Trinity 勒索软件是另一款相对较新的勒索软件，于 2024 年 5 月首次为人所知，据信是 2023Lock 和 Venus 勒索软件的改版。 HC3表示：“这是一种通过多种攻击载体渗透系统的恶意软件，包括钓鱼电子邮件、恶意网站和利用软件漏洞。一旦进入系统，Trinity 勒索软件就会采用双重勒索策略，将受害者作为攻击目标。” 据观察，网络攻击还提供了一种被称为BabyLockerKZ的MedusaLocker勒索软件变种，该变种由一个有经济动机的威胁行为者提供，据悉自2022年10月以来一直很活跃，目标主要位于欧盟国家和南美洲。 Talos 研究人员表示：“该攻击者使用了几种公开的攻击工具和离岸二进制文件（LoLBins），这是由同一开发者（可能是攻击者）构建的一套工具，用于协助被攻击组织的凭证窃取和横向移动。” 这些工具大多是对公开可用工具的封装，其中包括简化攻击过程的附加功能，并提供图形或命令行界面。     转自安全客，原文链接：https://www.anquanke.com/post/id/300858 封面来源于网络，如有侵权请联系删除

一、组织概述 （一）组织背景 Hunters International勒索组织最早于2023年10月进入大众视野，以RaaS（勒索软件即服务）模式运作。自发布以来，该组织的攻击活动已遍布至教育、医疗、金融、制造等各个行业，影响范围覆盖全球各个地区。 从起源上，Hunters International是一款基于老牌勒索软件Hive源码改进的新型勒索软件。该勒索软件以其复杂的加密算法和加密策略而闻名，这也是它能在短时间内成功实施多起勒索攻击的重要原因。 Hunters International声称其源码来自于Hive Hunters International擅长通过供应链攻击、应用程序漏洞来获取初始访问权限，并部署如Cobalt Strike、SharpRhino等远控工具，最终传播勒索软件，加密和窃取数据。此外，该组织重视保密性，严格管控信息，保证其行动的隐蔽性。近期，Hunters International勒索组织日渐猖獗，使其在网络犯罪领域迅速崭露头角，强势威胁全球网络安全。 Hunters International数据泄露站点 作为典型的双重勒索组织，Hunters International对外宣称其主要目的是数据泄露，以此施压受害者，要求他们支付赎金，上图展示了该组织的数据泄露站点。 （二）攻击活动统计 根据公开数据统计，2024年初至今，Hunters International组织已成功发起163次勒索攻击。从下图可知，该组织近期攻击活动较为频繁。 各月攻击次数(注：统计日期截止2024/09/13) 从受害者国家分布来看，Hunters International组织的主要目标是美国，其中欧洲、亚洲一些国家也遭遇数次攻击，其中，中国占比3%左右。 受害者国家分布 从受害者所在行业分布来看，该组织针对的行业没有明显的倾向性，其中，以制造业和信息技术行业为主，占比分别为30.6%和9.8%。 受害者行业分布 二、样本分析 今年8月，国外研究机构披露，Hunters International勒索组织利用一种新型C#远控木马SharpRhino对IT人员进行网络钓鱼，从而入侵企业内网，最终实施勒索攻击。SharpRhino能够实现从初始感染、提权、执行 PowerShell命令到最终部署勒索软件等一系列恶意行为，本文针对该事件涉及的样本进行详细分析。 （一）SharpRhino远控木马 Hunters International组织投递远控木马SharpRhino的完整流程如下图所示： SharpRhino远控木马通过捆绑合法工具ipscan进行传播，母体样本ipscan为NSIS安装程序，解压后包含如下文件： 当双击ipscan安装程序，7za.exe程序被触发，调用7za.dll对UpdateFull.7z解压，解压后的文件被释放到C:\ProgramData\Microsoft\WindowsUpdate24、C:\ProgramData\Microsoft\ LogUpdateWindows两个目录下，如下图： 其中，LogUpdate.bat和WindowsUpdate.bat两者功能相似，Kautix2aeX.t和Wiaphoh7um.t相似。Microsoft.AnyKey为快捷方式文件，指向了LogUpdate.bat脚本文件。 LogUpdate.bat为批处理脚本，用来启动PowerShell脚本文件Wiaphoh7um.t。 Wiaphoh7um.t为PowerShell脚本文件，该脚本主要有两个功能： 解密出经过高度混淆的SharpRhino木马的C#源代码； 将SharpRhino源码编译加载到内存，将C2、加密密钥、延时时间传递给函数HPlu()并执行； SharpRhino为最终的远控木马，具体信息如下表： SharpRhino运行之后，首先会生成随机16个字节的ClientID ，并收集系统信息。 然后通过http与服务器进行连接，并发送上线数据包。数据包为json格式，分为三个字段“UUID”，“ID”，“Data”。首次向服务器发送数据时“UUID”的值为null，“ID”为 ClientID，“Data”为收集的系统信息。接着将数据包通过RC4加密、base64编码后发送至C2服务器： cdn-server-2.wesoc40288.workers.dev。 捕获到的上线包数据流量如下： 发送数据包之后，客户端接收服务器的响应，解析出相应指令并执行：服务器返回指令共有三种情况： delay：延迟一定时间后再次向服务器发送http请求 exit：直接退出程序 PowerShell：执行任意PowerShell命令 为了更详细的分析控制端与客户端的通信行为，我们手动构造PowerShell命令来模拟两者交互过程。以打开计算器应用为例，构造的控制端向客户端发送指令的流量如下图： 下图展示了数据包被解密后，客户端成功打开了计算器。 （二）Hunters International勒索软件 该勒索软件需要提供“-c 用户名:密码”才能执行，该用户名和密码用于受害者登录泄露网站查看信息，最后保存在勒索信中提供给受害者。 勒索软件在执行过程中会在控制台中输出文件加密操作的过程信息，执行完成后会在每个加密的文件夹中留下一封勒索信文件并自动用记事本打开，加密后的文件通常被加上“.locked”后缀。对比早期的版本（2024.03），近期的版本（2024.07）在加密过程信息输出和勒索信内容方面进行了更新。 新版本在控制台输出中增加了进度条、I/O速率、当前执行的任务等信息。 勒索信方面，文件名和内容都进行了更新，早期版本文件名为“Contact us.txt”,近期更新为“READ ME NOW!.txt”。 该勒索软件执行后首先检查解析命令行参数，如果没有提供参数，当前执行立即终止。现整理部分参数如下： 参数项 描述 -c 指定用户名密码，格式为“user:password”，必选参数 -t/-threads/–threads 加密线程数量，默认为10 -R/-no-remote/–no-remote 不加密远程共享文件 -k/-kill/–kill 要杀死的进程 -s/-skip/–skip 跳过不加密的文件 -E/-no-erase/–no-erase 不擦除磁盘空间 -X/-no-extension/–no-extension 不给加密后文件添加后缀 -w/-wait/–wait 等待一段时间后加密 该勒索软件中使用的字符串都被单独移位+异或加密保存，使用时移位+异或解密后拼接恢复。 解析完命令行参数后，程序会创建一个线程池来进行后续的多线程的文件加密操作，在加密文件前，该程序会执行以下命令来删除卷影以阻止备份和恢复 exe delete shadows /all /quiet exe shadowcopy delete exe delete systemstatebackup exe delete catalog-quiet exe /set {default} recoveryenabled No exe /set {default} bootstatuspolicy ignoreallfailures exe delete systemstatebackup -keepVersion:3 停止包含以下列表中名称的服务和进程，防止文件被占用无法加密。 agntsvc, backup , dbeng50, dbsnmp, encsvc, excel, firefox, infopath, isqlplussvc, memtas, mepocs, msaccess, msexchange, msmq, mspub, mssql, mydesktopqos, mydesktopservice, mysql, notepad, ocautoupds, ocomm, ocssd, onenote, oracle, outlook, powerpnt, sap, sqbcoreservice, sql, steam, svc$, synctime, tbirdconfig, thebat, thunderbird, veeam, visio, vmm, vmwp, vss, winword, wordpad, xfssvccon 枚举网络中存在的主机： 遍历本地磁盘驱动器类型，以区分本地和网络共享磁盘。 然后开始分别扫描本地文件，和网络共享文件，添加到不同的待加密文件列表中使用不同的线程分开加密。 文件加密过程中，该程序会跳过以下的文件名、文件目录名及文件后缀。 跳过的文件名： READ ME NOW!.txt, autorun.inf, bootfont.bin, boot.ini, bootsect.bak, desktop.ini, iconcache.db, ntldr, NTUSER.DAT, NTUSER.DAT.LOG, Ntuser.ini, thumbs.db 跳过的文件目录名： Windows, Program Files, Program Files (x86), Program Data, $Recycle.Bin, All Users, Default, Google, System Volume Information, Boot, Intel, Internet Explorer, PerfLogs 跳过的文件后缀名： 386, adv, ani, bat, bin, cab, cmd, com, cpl, cur, deskthemepack, diagcab, diagcfg, diagpkg, dll, drv, exe, hlp, hta, icl, icns, ico, ics, idx, key, ldf, lnk, lock, mod, mpa, msc, msi, msp, msstyles, msu, nls, nomedia, ocx, pdb, prf, ps1, rom, rtp, scr, shs, spl, sys, theme, themepack, tmp, wpx 该勒索软件使用 AES 算法来加密文件内容，加密密钥由BCryptGenRandom()函数生成的随机数组成，加密逻辑使用 AES 硬件指令集实现。为了保护加密密钥和便于解密，该样本使用 RSA-OAEP来加密AES密钥并保存在被加密文件尾部。 加密过程完成后，该勒索软件会在每个磁盘驱动器上创建一个“buffer.swp”文件，并不断写入 16384字节的随机数据，直到磁盘上没有可用空间，最后再删除该文件，以此来覆盖硬盘数据，防止从硬盘中恢复文件。 三、ATT&CK 下表总结了Hunters International 勒索软件的ATT&CK矩阵攻击链。 四、新华三防护方案 新华三聆风实验室将持续跟踪Hunters International组织最新勒索攻击活动。目前，新华三威胁情报特征库已支持相关IOC检测，病毒特征库支持相关样本检测，新华三AIFW及AI SOC平台均支持该检测，请及时升级更新。 五、IOC angryip[.]org angryipsca[.]com cdn-server-1[.]xiren77418[.]workers[.]dev cdn-server-2[.]wesoc40288[.]workers[.]dev ec2-3-145-180-193.us-east-2.compute[.]amazonaws[.]com ec2-3-145-172-86.us-east-2.compute[.]amazonaws[.]com d2e7729c64c0dac2309916ce95f6a8253ca7f3c7a2b92b452e7cfb69a601fbf6 3f1443be65525bd71d13341017e469c3e124e6f06b09ae4da67fdeaa6b6c381f 9a8967e9e5ed4ed99874bfed58dea8fa7d12c53f7521370b8476d8783ebe5021 b57ec2ea899a92598e8ea492945f8f834dd9911cff425abf6d48c660e747d722 09b5e780227caa97a042be17450ead0242fd7f58f513158e26678c811d67e264 c4d39db132b92514085fe269db90511484b7abe4620286f6b0a30aa475f64c3e94b6cf6c30f525614672a94b8b9788b46cbe061f89ccbb994507406404e027af 24de8de24001bc358c58aa946a28c545aaf9657b66bd5383c2d5a341c5d3c355 1fcb1e861fc7219d080430388630b438c2de7f09272cfa32799bb51aa6083c47     转自FreeBuf，原文链接：https://www.freebuf.com/news/412262.html 封面来源于网络，如有侵权请联系删除

图片来源：SOLEES TIME VIA UNSPLASH 10月11日，日本电子产品制造商卡西欧公司证实，先前宣布的网络事件确为一起勒索软件攻击。此次攻击可能暴露了员工、客户、业务合作伙伴和附属公司的信息。 卡西欧在一份更新的声明中称，10 月 5 日的攻击涉及 “受到第三方勒索软件攻击破坏 ”的服务器。   勒索软件攻击导致多个系统无法使用，调查显示黑客已经获得了受影响服务器上的数据。随后，该公司关闭了服务器，并聘请外部安全公司协助应对。 10 月 6 日，卡西欧公司向日本警方通报了这一事件，10 月 7 日还联系了日本个人信息保护委员会。   截至10月11日，卡西欧公司表示，它认为临时员工和合同工的个人信息已经泄露。附属公司员工的个人信息也被泄露，同时被泄露的还有业务合作伙伴、过去曾参加过公司面试的人员以及 “使用公司和部分附属公司提供的服务 ”的部分客户数据。 卡西欧公司没有公开每一组所泄露的具体数据，但表示不包括客户的信用卡信息。 声明还补充说，所有业务合作伙伴以及卡西欧附属公司有关的合同、发票和销售信息也在攻击中泄露。 黑客可能已经访问了内部法律文件以及人力资源规划、审计、销售、技术信息等方面的数据。 卡西欧提醒到：“请注意，您的个人信息有可能被滥用于向您发送陌生的电子邮件，如钓鱼邮件或垃圾邮件。如果您收到任何可疑邮件，请不要打开并立即删除。 ”  该公司强调不要通过社交媒体传播被盗信息，因为这 “可能会增加因本案信息泄露造成的损失，侵犯受影响者的隐私，对他们的生活和业务造成严重影响，并助长犯罪”。 随后，“地下 ”勒索软件团伙宣称是他们发动了这次攻击。黑客称，他们从该公司窃取了 204.9 GB 的数据，并提供了被窃取数据的样本作为证明。 研究人员称，该组织于 2023 年 7 月首次出现，一些专家解释说，它似乎与总部设在俄罗斯的 RomCom 网络犯罪组织有联系。 Fortinet 指出，该组织已经列出了 16 名受害者，其中大部分位于美国和欧洲。微软去年发布了一份报告，概述了 RomCom 的行动，称其： “会伺机开展勒索软件和勒索行动，以及实施有针对性的凭证收集活动，而这一切的目的很可能是为了支持情报行动”。 RomCom 组织还部署了地下勒索软件，它与 2022 年 5 月首次在野外观察到的工业间谍勒索软件密切相关。 已查明的勒索软件攻击影响了电信和金融等行业。 微软补充说：“他们发现了这与 “工业间谍 ”勒索软件的 “大量代码重叠”，他们认为这意味着 “地下 ”是同一行动的重塑。” 消息来源：The Record，译者：XX；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Palo Alto Networks 发现了一种名为 “Lynx ”的新型勒索软件威胁行为体，它正积极瞄准美国和英国各行各业的组织。不过，这种新的恶意软件并不是全新的，事实上，它是 2023 年 8 月出现的 INC 勒索软件家族的改版。 自出现以来，Lynx勒索软件已经掀起了波澜，其攻击目标涉及零售、房地产、建筑和金融服务等多个领域。该变种以 “勒索软件即服务”（RaaS）的方式运行，因此其他网络犯罪分子也可以在其攻击中部署该变种。 Lynx 勒索软件背后的恶意行为者采用了复杂的技术，包括双重勒索策略，即在加密受害者数据之前先将其流出。如果不支付赎金，被盗数据可能会泄露或在暗网上出售。 Lynx 勒索软件的血统可以直接追溯到 INC 勒索软件，估计有 48% 的代码与之共享。使用开源工具 BinDiff 对这两种恶意软件进行比较，证实了两者的相似性。Palo Alto Networks 发现，许多核心功能（约 70.8%）被重复使用，这表明 Lynx 开发人员严重依赖 INC 的代码库。 BinDiff 显示的 INC 和 Lynx 勒索软件代码相似性 | 图片： Palo Alto Networks 这种对已有勒索软件代码的依赖在网络犯罪领域并不罕见。正如报告所指出的，“通过利用已有代码，并在其他成功勒索软件打下的基础上继续发展，威胁行为者可以节省时间和资源，从而更快、更有效地发起攻击。这种代码的重复使用导致了勒索软件家族的迅速扩散，随着地下市场上源代码的增多，这种趋势很可能会继续下去。” Lynx 勒索软件最危险的一点是它实施双重勒索。受害者不仅要面对被加密的文件，还要面临敏感数据被暴露的风险。Lynx 背后的组织声称已经入侵了许多公司，并将窃取的数据显示在公共网站上。虽然他们声称自己避开政府机构、医院和非营利组织，但他们的攻击仍对许多行业构成重大威胁。 Palo Alto Networks 强调了 Lynx 勒索软件的广泛部署途径，包括网络钓鱼电子邮件、恶意下载和黑客论坛上的资源共享。因此，企业在防御这些多方面威胁时必须保持警惕。 对Lynx勒索软件的技术分析表明，它使用了先进的加密算法，包括CTR模式下的AES-128和Curve25519 Donna，这使得它在不支付赎金的情况下解密异常困难。该勒索软件专门针对 Windows 系统，据观察，它使用重启管理器 API (RstrtMgr) 来提高加密效率，Conti 和 Cactus 等其他臭名昭著的勒索软件家族也使用了这种技术。 此外，Lynx勒索软件在设计时考虑到了灵活性，允许攻击者通过各种命令行参数自定义执行方式。这样，攻击者就能根据自己的具体需求定制攻击，无论是加密特定目录、网络驱动器还是服务。 恶意软件中的命令行选项 | 图片： Palo Alto Networks Lynx 勒索软件的出现凸显了网络威胁不断演变的本质。企业需要保持警惕并积极采取网络安全措施，以降低此类威胁带来的风险。     转自安全客，原文链接：https://www.anquanke.com/post/id/300789 封面来源于网络，如有侵权请联系删除

图片来源：FreeBuf 勒索软件团伙现在利用一个关键的安全漏洞，让攻击者在易受攻击的 Veeam Backup & Replication (VBR) 服务器上获得远程代码执行 (RCE)。 Code White安全研究员Florian Hauser发现，该安全漏洞（现在被追踪为CVE-2024-40711）是由未受信任数据的反序列化弱点引起的，未经认证的威胁行为者可以利用该漏洞进行低复杂度攻击。 Veeam 于 9 月 4 日披露了该漏洞并发布了安全更新，而 watchTowr Labs 则于 9 月 9 日发布了一份技术分析报告。不过，watchTowr Labs 将概念验证利用代码的发布时间推迟到了 9 月 15 日，以便管理员有足够的时间确保服务器安全。 企业将 Veeam 的 VBR 软件作为数据保护和灾难恢复解决方案，用于备份、恢复和复制虚拟机、物理机和云计算机，从而导致了这一延迟。这也使其成为恶意行为者寻求快速访问公司备份数据的热门攻击目标。 正如 Sophos X-Ops 事件响应人员在上个月发现的那样，CVE-2024-40711 RCE 漏洞很快被发现，并在 Akira 和 Fog 勒索软件攻击中被利用，与之前泄露的凭证一起，向本地管理员和远程桌面用户组添加“点”本地帐户。 在一个案例中，攻击者投放了Fog勒索软件。同一时间段的另一起攻击则试图部署 Akira 勒索软件。Sophos X-Ops表示：所有4起案件中的迹象都与早期的Akira和Fog勒索软件攻击重叠。 在每起案件中，攻击者最初都是使用未启用多因素身份验证的受损 VPN 网关访问目标。其中一些 VPN 运行的是不支持的软件版本。 在Fog勒索软件事件中，攻击者将其部署到未受保护的Hyper-V服务器上，然后使用实用程序rclone外泄数据。 这并非勒索软件攻击针对的首个Veeam漏洞 去年，即 2023 年 3 月 7 日，Veeam 还修补了备份与复制软件中的一个高严重性漏洞（CVE-2023-27532），该漏洞可被利用来入侵备份基础架构主机。 几周后的3月下旬，芬兰网络安全和隐私公司WithSecure发现CVE-2023-27532漏洞部署在与FIN7威胁组织有关的攻击中，FIN7威胁组织因与Conti、REvil、Maze、Egregor和BlackBasta勒索软件行动有关而闻名。 几个月后，同样的Veeam VBR漏洞被用于古巴针对美国关键基础设施和拉美IT公司的勒索软件攻击。 Veeam表示，其产品已被全球超过55万家客户使用，其中包括至少74%的全球2000强企业。 参考来源：Akira and Fog ransomware now exploit critical Veeam RCE flaw (bleepingcomputer.com)     转自FreeBuf，原文链接：https://www.freebuf.com/news/412525.html 封面来源于网络，如有侵权请联系删除

安全内参10月8日消息，美国水务公司（American Water Works）昨天（7日）发布声明，表示其供水和废水设施未受到上周开始的网络攻击影响。 该公司昨天向美国证券交易委员会（SEC）提交了相关文件，向公众通报此事件。公司管理层在其网站上警告，由于为遏制此次攻击采取了措施，客户目前无法访问用于管理个人账户和支付水费的门户网站。 根据公司网站上的公告，目前公司的MyWater账户系统已瘫痪，所有客户预约的服务将被重新安排。此外，所有账单处理已暂停，直至另行通知。但是，系统恢复上线之前，不会产生逾期费用或停止服务。 公司的呼叫中心也已无法正常运作。 美国水务公司是美国最大的受监管水务公共事业公司，总部位于新泽西州，为14个州及18个军事设施的约1400万人提供饮用水、废水处理及其他相关服务。公司在其受监管的业务中报告，2023年净收入达9.71亿美元。 疑似勒索软件攻击，OT系统未受影响 在向SEC提交的文件和网站公告中，该公司表示他们于上周四（10月3日）发现了此次攻击。 公司已通知执法部门，并聘请网络安全专家协助“遏制和缓解这一事件的影响”。 声明指出，公司已采取并将继续采取措施保护其系统和数据，包括断开或停用部分系统。 对于公司是否正在应对勒索软件攻击或是否收到了勒索要求，美国水务公司未回应相关评论请求。 SEC文件中写道，公司“目前认为其供水或废水设施及运营未受到此次事件的负面影响”。但他们也指出，尚无法“预测此次事件的全部影响”。 在其网站上，美国水务公司表示，他们正通过断开和停用部分系统来保护客户数据并防止进一步的损害。 截至昨天下午，尚无任何勒索软件团伙或黑客组织宣称对这次针对美国水务公司的攻击负责。 美国水务系统网络威胁形势严峻 美国环境保护署（EPA）和其他联邦监管机构多次尝试加强供水和废水行业的网络安全防护措施。然而，去年相关监管努力因游说反对而被搁置。去年11月，伊朗的国家级黑客攻击了数十家水务公司，再次引发人们对该领域安全问题的关注。 EPA在今年5月的报告中指出，最近的检查显示超过70%的水系统未完全遵守《饮用水安全法》，其中一些“存在关键的网络安全漏洞，例如未更新默认密码、使用容易被攻破的单一登录方式”。 两周前，美国顶级网络安全机构发出警告，指出他们仍在应对“互联网可访问的操作技术（OT）和工业控制系统（ICS）设备持续受到的活跃攻击，目标包括供水和废水系统（WWS）领域的设备”。 在此警告发布前，堪萨斯州的一家水务公司由于网络攻击不得不转为手动操作。 参考资料：https://therecord.media/american-water-works-cyberattack-utility     转自安全内参，原文链接：https://www.secrss.com/articles/70967 封面来源于网络，如有侵权请联系删除

一项新的勒索软件操作已开始泄露信息，它声称这些信息已从它在全球范围内入侵的组织那里窃取。 最近几天，Valencia Ransomware 在其暗网泄露网站的所谓“耻辱墙”上发布了数 GB 的可下载信息链接，这些信息似乎是从加利福尼亚州的一个城市、一家制药公司和一家造纸商那里泄露出来的。 据称的受害者包括加利福尼亚州的普莱森顿市（攻击者声称在那里窃取了 283GB 的敏感信息）、马来西亚制药公司 Duopharma Biotech （25.7GB）、印度造纸商 Satia （7.1GB） 和孟加拉国制药商 Globe Pharmaceuticals （200MB）。 还有人声称西班牙时尚巨头 Tendam 也受到了瓦伦西亚集团的打击。如果这是准确的，那就特别不幸的是，因为据报道该公司本月早些时候也遭到了 Medusa 勒索软件的攻击。 网上有猜测称，瓦伦西亚集团的一些攻击可能与利用 Progress 的 WhatsUp Gold 网络监控软件中的关键漏洞有关。 5 月发现并负责任地披露了可以接管 WhatsUp Gold 管理员帐户的漏洞，并在 8 月底发布了概念验证漏洞利用代码。 在概念验证代码发布后的几个小时内，安全公司就报告了网络犯罪分子正在积极利用该漏洞的证据。 在其泄密网页上，瓦伦西亚是这样描述受感染组织的： “这是一份不关心客户隐私的公司名单。” 当然，他们真正的意思是，这里列出了在成为犯罪行为的受害者后选择不支付赎金的公司。 确实，支付赎金会激励网络犯罪分子，并增加未来对您的公司和其他公司发起攻击的风险。 但是，当面对对您的业务以及员工、合作伙伴和客户的生计的潜在破坏时，您的公司可能会觉得别无选择，只能付款。无论您做出何种决定，向执法部门报告网络安全攻击并协助他们进行调查都至关重要。 面对勒索软件，任何人都不应该高枕无忧。随着更多的攻击比以往任何时候都更赚钱，没有迹象表明勒索软件事件可能会很快减少。     转自安全客，原文链接：https://www.anquanke.com/post/id/300400 封面来源于网络，如有侵权请联系删除

一项新的内部审计建议，美国司法部和联邦调查局需要重新定义打击勒索软件获得成功的指标。 这份长达26页的审计报告于9月17日发布。美国司法部监察长Michael Horowitz在报告中详细阐述了该部门从2021年4月到2023年9月期间与勒索软件相关的行动，报告还涵盖了计划于2024年初对LockBit的打击行动。 调查发现，美国司法部和联邦调查局在更有效地打击勒索软件方面有三个需要改进的领域。 应改进衡量打击勒索软件成功的指标 司法部需要一种更好的方式“来确定哪些勒索软件威胁的指标（包括打击勒索软件行动的衡量指标）最为重要，且能够展示其打击勒索软件威胁行动的有效性。” 调查人员查阅的文件显示，司法部目前将与勒索软件相关的“成功”定义为：在报告的勒索软件事件中，“案件在72小时内立案、并入现有案件、解决或采取行动的比例提高到65%”。 联邦调查局表示，2023年，针对47%的勒索软件事件，在72小时内采取了行动，这一数字较2022年的39%有所上升。 此外，联邦调查局和司法部还设定目标，希望在2022年和2023年将与勒索软件相关的查封或没收案件数量增加10%。 调查人员指出：“我们认为，司法部现有的勒索软件指标并未真正反映其打击恶意行为者行动的有效性。” “无论司法部是否继续将勒索软件作为优先任务，都应确定哪些指标最具影响力，以确保能够准确衡量其打击行动的效果。” 报告肯定了司法部和联邦调查局多项基础设施破坏行动的成效，尤其针对LockBit、Hive和AlphV等勒索软件团伙的行动。通过这些行动，两家机构向当前和过去的受害者提供了数百个解密密钥。联邦调查局特别制定了一项战略，专门针对那些构成并推动勒索软件生态系统的行为者、基础设施和资金来源。 调查人员表示，他们认为司法部应该进一步追踪破坏勒索软件行动的成效，将破坏次数和向受害者提供的解密密钥数量作为衡量成功的重要指标。 应加强推进机构间协调和信息共享 审计报告指出，司法部尚未为未来两年制定关于勒索软件的行动计划，也未按要求在过去两个财年通过performance.gov报告任何进展。 Horowitz及其团队还发现，一些勒索软件调查因不同执法机构之间的内部矛盾而受阻，这些机构往往拒绝共享信息。 他们表示：“协调失败和冲突未能化解，损害了调查、起诉以及执法间的关键合作关系，也浪费了资源，破坏了公众对司法部的安全感、国家安全以及对政府的信任。” 联邦调查局的官员告诉调查人员，曾有两起相关勒索软件案件分别由不同联邦检察官监督，但“他们未按要求根据解除冲突政策共享信息。” 一位刑事部门官员还透露，全国各地的检察官办公室对这一政策的了解和执行情况存在差异。 应重新审视并制定NCIJTF机构的使命和职能 审计报告还指出，联邦调查局需要为其领导的国家网络调查联合工作组（NCIJTF）的刑事任务中心制定更加明确和具体的使命。 NCIJTF负责协调2021年和2022年整个政府的勒索软件行动计划，但在国会于2022年成立了新的多机构联合勒索软件工作组（JRTF）后，NCIJTF的职能陷入不确定的状态。 报告发现，NCIJTF“在打击勒索软件方面未产生任何有意义的成果”，自新的工作组成立以来，其作用变得模糊不清。 Horowitz表示：“我们发现，联合勒索软件工作组的成立削弱了刑事任务中心的作用，导致其在打击勒索软件方面的角色不再明确。” 美国司法部副助理检察长Bradley Weinsheimer在回复审计报告的信中表示，他认同调查结果，并承诺将致力于解决这些问题。 联邦调查局网络部门助理主任Bryan Vorndran也对相关建议表示赞同，并承诺联邦调查局将更明确地界定NCIJTF的角色。     转自安全内参，原文链接：https://www.secrss.com/articles/70544 封面来源于网络，如有侵权请联系删除

该校校长称本周前三天将关闭学校进行网络安全清洁，近三周内学校网络、邮箱和其他系统都无法使用，家长与学生可通过学习平台Satchel One耐心等待通知，切勿相信（任何）邮件和链接等。 安全内参9月11日消息，英国伦敦南部一所高中日前遭遇勒索软件攻击，导致本周前半段停课，约1300名学生的学业受到影响。 9月5日，查尔斯·达尔文学校的学生被迫离校。次日，校长Aston Smith向家长发布了一封信，告知学生们之前了解到的IT问题“比预想的更为严重”，实际上是一次勒索软件攻击。 信中确认，由于“所有员工的设备已被移走进行清理”，学校将在“下周一、周二和周三暂停授课”。教师们需要时间重新准备课程，而学校的高级管理层则需要建立新的系统，以确保学校正常运作。 信中还提到：“作为预防措施，所有学生的微软Office 365账号已被禁用。如果您收到来自陌生邮箱的邮件，请保持警惕。在恢复过程中，我们绝不会发送任何附件或链接。” 信中补充道，根据接下来几周的情况更新，学校可能需要采取进一步措施，并警告称“所有由学校保存的信息都有可能已被访问”。 目前，学校正与一家网络安全公司合作进行取证调查。然而，校长警告说，在调查结束之前，他无法提供有关数据泄露的更多细节。 校长表示：“令人遗憾的是，尽管我们已经实施了最新的安全措施，这类网络攻击仍然变得越来越普遍。我们目前的情况与英国国家医疗服务体系（NHS）、伦敦交通局、英国国家铁路，以及其他学校和公共部门机构经历的情况类似。” 英国教育业遭勒索攻击日渐增多 此次攻击恰逢英国新学年刚开始，也是继去年一系列针对教育机构的勒索软件攻击后的又一起事件。 近年来，针对英国教育和儿童保育部门的勒索软件攻击达到了前所未有的高峰。2023年，向信息专员办公室（ICO）报告的相关事件多达126起，创下了历史最高纪录。在2024年第一季度，ICO再次收到了27起攻击报告，比去年同期的报告数量增长了一倍以上。 包括英国最大公立寄宿学校怀蒙德汉姆学院（Wymondham College）和西萨塞克斯郡的坦布里奇豪斯学校（Tanbridge House School）在内，多所学校均遭到了网络勒索者的攻击。这些犯罪分子威胁称，如果受害者不支付赎金，他们将公开被窃取的数据。 此前，LockBit勒索软件组织曾试图勒索一所特殊教育需求学校。更有甚者，犯罪分子还公开了吉尔福德郡学校的敏感文件，这些文件似乎包含教师记录的关于高危学生的内部报告。 英国官方称学校应对勒索攻击能力逐步加强 英国教育部发言人曾在谈及影响学校的攻击时表示，教育部正在密切监控网络安全事件，但目前没有证据显示攻击数量有所增加。至于最新的事件，教育部未作进一步回应。 英国政府网络安全主管机构国家网络安全中心（NCSC）早在2020年9月就首次向学校发出了勒索软件攻击的警报，警告称“越来越多的勒索软件攻击正影响英国的教育机构，包括学校、学院和大学。” 自那以后，随着更多勒索软件攻击的发生，NCSC已多次更新其警报页面。 在上个月发布的一项调查报告中，NCSC最近一次提及攻击数量增加。调查显示，尽管勒索软件攻击数量有所增加，但学校应对这些事件的准备工作也在逐步加强。这些准备工作不仅包括保护IT网络，还包括如何快速从事件中恢复。 勒索软件已成为全球教育业公害 Vice Society这一网络犯罪组织是近年来针对英国及全球教育机构发起的一系列勒索软件攻击的幕后黑手。该组织通过窃取敏感数据并威胁公开来勒索受害者支付赎金。 去年，Hive勒索软件组织曾在一次攻击后，向英国两所学校勒索50万英镑（约合60.8万美元）。今年1月，美国和德国的执法机构宣布，他们已“黑掉”了这一黑客组织，并摧毁了Hive团伙使用的基础设施。 此前，BBC新闻曾报道，该团伙公开了从英国14所学校窃取的高度机密数据。在一些情况下，学校并未告知学生和教职工，他们的个人数据已被发布在泄露网站上。 勒索软件攻击在美国的教育机构中也屡见不鲜。最近，美国洛杉矶联合学区以及艾奥瓦州和马萨诸塞州的教育系统也遭遇了类似的攻击。今年早些时候，黑客还入侵了美国首都华盛顿附近的一个学区，导致近10万人的个人信息被泄露。   转自安全内参，原文链接：https://www.secrss.com/articles/70139 封面来源于网络，如有侵权请联系删除

东南亚地区遭勒索攻击频率显著增多 根据趋势科技的遥测数据，东南亚的公司和政府机构，尤其是泰国、日本、韩国、新加坡和印度尼西亚，遭遇了显著增加的攻击频率，这一增速已超过欧洲国家。例如，今年6月，一个名为Brain Cipher的团伙对印度尼西亚的160多家政府机构发动了勒索软件攻击。随着该地区经济的发展，类似的重大事件可能会进一步增加。 趋势科技威胁研究高级经理Ryan Flores表示，亚洲的许多公司和组织在急于实现基础设施数字化的过程中，往往以牺牲安全为代价。 他说：“该地区正在积极推进多项数字化计划，政府也在支持和鼓励在线服务与支付的普及。由于这些基础设施和服务的快速推进，安全往往被降级为次要任务，主要目标是尽快将服务或平台推向市场。” 亚太地区的公司和组织已遭受严重的网络攻击，这也印证了威胁团体已将目光聚焦于该地区。今年3月，越南一家主要的经纪公司遭遇了勒索软件攻击，关键数据被加密，被迫关闭证券交易长达8天。同月，日本官员指责朝鲜黑客在Python包索引（PyPI）服务中植入了恶意代码，该代码可以在受害者的计算机上安装勒索软件。 虽然超过四分之三的勒索软件攻击仍然针对北美和欧洲的组织，但其他地区，特别是亚洲受到成功网络攻击的比例已经迅速上升。根据网络安全咨询服务公司Comparitech的数据，2023年，亚洲公开报道的勒索软件攻击数量增长了85%。 其他威胁追踪者也证实了这一趋势。根据终端安全公司Sophos发布的《2024年勒索软件状况》报告，印度和新加坡都位列受攻击最多的六个国家之中。 亚太地区成为勒索软件的温床 勒索软件团伙正在瞄准亚太地区最关键且最脆弱的工业部门。根据Comparitech从公开报告中整理的数据，针对制造业的攻击显著增加。2023年，已确认的针对制造业的勒索软件事件有21起，其次是政府部门的16起和医疗保健部门的11起。 造成这一局面的主要原因之一是，许多国家没有实施数据泄露通知法，这导致大量泄露事件未被报告，也使得亚洲对网络安全的关注度不足。Comparitech的数据研究负责人Rebecca Moody指出，加密货币在许多亚洲国家的流行也使得公司更容易支付赎金。 她说：“在许多情况下，确认发生攻击的唯一方式是系统中断或网站瘫痪……如果设法让系统在无人察觉的情况下重新上线……那么这些攻击就可以轻松掩盖过去。” 勒索软件与网络犯罪欺诈在亚太地区十分猖獗。朝鲜团伙利用勒索软件、加密劫持攻击等手段，从全球经济中榨取资金，并进行间谍活动。一些亚洲国家的犯罪集团在柬埔寨、老挝和缅甸运营大型欺诈中心——这些实际上是强迫劳动营地——进行大规模、批量化的网恋骗局和“杀猪盘”诈骗，每年非法获利数百亿美元。 低成本，高回报 归根结底，勒索软件攻击的增加可能与犯罪团伙专注于某类受害者无关，而更多地与潜在受害者的增加有关。这是因为公司在进行数字化转型时，未能同步更新安全措施。趋势科技的Flores表示，该地区的网络安全生态系统相对不成熟，再加上地区紧张局势日益加剧，这更可能是攻击增加的原因，而非犯罪团伙专注于某类受害者。 他说：“勒索软件团伙和一般的网络犯罪分子都是机会主义者，所以我认为他们不会真正专注于某个地区。他们关注的是如何以最小的成本获取最大的回报。因此，如果有脆弱、开放或配置错误的基础设施，无论位于亚洲、欧洲还是非洲，都将成为他们的攻击目标。” 亚太地区各国政府已经开始更新法规以提高安全性。今年5月，新加坡更新了《网络安全法》，以应对关键基础设施部门对使用云服务的第三方的依赖，而马来西亚在4月通过了一项法律，要求网络安全服务提供商必须获得许可才能在该国开展业务，尽管法律细节尚未敲定。 NCC集团全球战略威胁情报负责人Matt Hull表示，亚太地区的公司应重点做好基础防护工作，实施基本的防御措施。 他说：“各组织必须优先进行定期的补丁管理，以关闭已知漏洞，实施强密码策略，以防止轻易被利用，并实施多因素认证（MFA），在密码之外增加额外的安全层。此外，建立强大的检测和监控系统，以便迅速识别和应对潜在威胁，也是至关重要的。”   转自安全内参，原文链接：https://mp.weixin.qq.com/s/qUkATZpIayAqggqTs8qV9A 封面来源于网络，如有侵权请联系删除。