日前，美国俄亥俄州哥伦布市当局对一名网络安全研究员提起了诉讼，指控他非法下载该市在网络攻击中被窃取的数据并与媒体分享。 今年7月，哥伦布市曾遭到 Rhysida 勒索软件组织的攻击，导致公共机构的电子邮件和其他资源的系统中断，虽然该市最早表示没有数据被加密，但 Rhysida 声称窃取了 6.5 TB 的数据，其中 45%（约26万个、 3.1 TB大小的文件）已在8月8日该市拒绝支付赎金后发布。 事后，哥伦布市市长安德鲁·金瑟 （Andrew Ginther） 表示，泄露的数据没有任何价值，而且攻击没有效果，但一位名叫康纳·古德沃尔夫 （Connor Goodwolf） 的网络研究员指责市长并未透露实情，并将部分泄密内容与媒体进行了共享。 8月12日，市长称被窃的数据因为“加密或损坏”而无法使用，公众无需担心，但古德沃尔夫与媒体分享的样本证明泄露的数据并未加密，其中包含警察和罪犯的社会安全号码、家庭暴力案件中的姓名以及其他居民的个人信息。 当局随即对古德沃尔夫提起诉讼，称共享被盗数据是非法行为，而且指责他在暗网以非正常手段与黑客“互动”后才获得这些数据。 诉讼还指称，古德沃尔夫据称计划创建一个网站供人们查看他们的数据是否被泄露，这干扰了警方的调查。 该诉讼旨在对古德沃尔夫发出临时限制令，包括禁止他进一步访问、下载或共享数据，并保留到目前为止下载的所有数据，同时要求他支付超过2.5万美元的处罚金。 据市检察官扎克·克莱因 （Zach Klein） 称，古德沃尔夫仍然被允许就该事件发表评论，该诉讼不是为了压制言论自由，而是防止数据的进一步传播。   转自FreeBuf，原文链接：https://www.freebuf.com/news/410067.html 封面来源于网络，如有侵权请联系删除

安全内参8月30日消息，马来西亚公共交通运营商国家基建公司（Prasarana Malaysia Bhd）确认，社交媒体上关于其内部系统部分被未经授权访问的网络安全事件的报道属实。 国家基建公司在一份声明中表示，此次事件并未影响其日常运营，公司正与网络安全专家合作，调查并缓解这一情况。 该公司还表示，正在与国家网络安全局（Nacsa）和马来西亚网络安全机构（CyberSecurity Malaysia）协调，以提供全面的应对措施并保护其系统免受任何威胁。 声明称：“我们的重点仍然是迅速解决问题，同时确保我们的服务继续满足公众的需求。我们将继续在适当的时候提供更新。” 这份声明意在回应社交媒体关于其网站可能因勒索软件攻击而导致316GB数据泄露的报道。 8月25日夜间，网络安全平台Falcon Feeds.io在推特上发帖称，一家名为RansomHub的勒索软件组织还威胁将在6到7天内公布国家基建公司的数据。 勒索软件是一种恶意软件，其设计目的是通过加密数据来阻止对计算机系统或文件的访问，直到向攻击者支付赎金为止。 国家基建公司拥有并运营广泛的交通服务，涵盖RapidKL旗下的轻轨、捷运和巴士快速交通系统，以及吉隆坡单轨列车和一支公交车队。   转自安全内参，原文链接：https://www.secrss.com/articles/69702 封面来源于网络，如有侵权请联系删除

多伦多教育局 （TDSB） 本周证实， 6 月发现的勒索软件盗取了学生信息。 TDSB 是加拿大最大、最多元化的教育机构，管理着 582 所学校，约有 235,000 名学生。 最初 TDSB 表示，网络犯罪分子攻击的是一个独立于教育局官方网络的技术测试环境。 但近期，TDSB 证实，2023/2024学年部分学生的个人数据确实在受影响的测试环境中。这些数据包括学生姓名、学校名称、年级、学校邮箱、学生ID及出生日期。 TDSB 的网络安全团队和外部专家认为，学生面临的风险“较低”，且在其调查过程中（包括对暗网及其他网络平台的监控）未发现任何数据泄露或公开曝光。 近期，LockBit勒索软件团伙宣称对此次数据泄露事件负责。该团伙发布的公告未具体说明被盗数据的数量，但设定了13天的期限要求TDSB支付相应的赎金。但TDSB 没有回应 LockBit 的公告的要求。 学校董事会在近期致家长的一封信中为其应对攻击的措施辩护，称已采取多项安全增强措施，并与执法部门协作进行调查。 LockBit近期发布了包括TDSB在内的多个受害者名单，专家指出，该名单中的许多信息都是虚假的，涉及很多不存在的受害者，并且名单中的很多受害者都是遭到了其他团伙的攻击，而非LockBit。   消息来源：The Record，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Hackread报道，近期Cisco Talos（思科威胁情报团队）发现，BlackByte勒索软件正在对全球企业发起新一轮攻击。BlackByte组织利用VMware ESXi虚拟机监控程序中最近被修补的漏洞，通过VPN访问发动攻击。 思科建议各组织实施多因素认证（MFA）并加强安全措施以降低风险。 被利用的漏洞为CVE-2024-37085，它允许攻击者绕过身份验证并控制易受攻击的系统。除了这个漏洞之外，还观察到BlackByte组织使用受害者授权的远程访问机制，例如VPN。这种策略使得BlackByte在可见性较低的情况下运营，并逃避安全监控系统。 另一个令人担忧的事态发展是该组织使用被盗的Active Directory凭据来传播其勒索软件。这意味着他们可以更快、更有效地在网络内传播感染，从而增加潜在的损害。 思科团队研在8月28日星期三研究结果发布前，与Hackread分享了他们的发现。研究人员认为，BlackByte实际活动比公共数据泄露网站上显示的更活跃。网站只显示了他们成功发起攻击的一小部分，可能掩盖了他们行动的真实范围。 BlackByte针对的5个最主要目标行业：制造业；运输/仓储；专业人士、科学和技术服务；信息技术；公共行政。 研究人员建议各个组织优先考虑修补系统，包括VMware ESXi虚拟机管理程序，为所有远程访问和云连接实施多因素身份验证（MFA），应审核VPN配置，并限制对关键网段的访问。 限制或禁用NTLM的使用，并选择更安全的身份验证方法也非常重要。部署可靠的端点检测和响应（EDR）解决方案可以大大提高安全性。 此外，全面的安全策略应包括主动威胁情报和事件响应能力，以有效保护系统免受BlackByte和类似攻击等威胁。   转自E安全，原文链接：https://mp.weixin.qq.com/s/Ep_KcP3AmAOSGjzs3IZU3w 封面来源于网络，如有侵权请联系删除

多个勒索软件团伙用来关闭端点检测和响应 (EDR) 解决方案的恶意 PoorTry 内核模式 Windows 驱动程序已演变为 EDR 擦除器，它会删除对安全解决方案运行至关重要的文件，并使恢复变得更加困难。 趋势科技自 2023 年 5 月起就已警告过 Poortry 驱动程序添加了此功能，Sophos 现已确认在野外看到了 EDR 擦除攻击。 PoorTry 从 EDR 停用器演变为 EDR 擦除器，代表了勒索软件参与者在策略上非常激进的转变，他们现在优先考虑更具破坏性的设置阶段，以确保在加密阶段获得更好的结果。 PoorTry，也称为“BurntCigar”，于 2021 年开发，作为内核模式驱动程序，用于禁用 EDR 和其他安全软件。 该工具包被 BlackCat、Cuba 和 LockBit 等多个勒索软件团伙使用，最初引起人们关注是因为其开发人员找到了通过 Microsoft 的认证签名流程对其恶意驱动程序进行签名的方法。其他网络犯罪团伙（如 Scattered Spider）也被发现使用该工具实施以凭证盗窃和 SIM 卡交换攻击为重点的入侵活动。 在 2022 年和 2023 年期间，Poortry不断发展，优化其代码并使用 VMProtect、Themida 和 ASMGuard 等混淆工具来打包驱动程序及其加载器（Stonestop）以进行逃避检测。 擦除器的进化 Sophos 的最新报告基于2024 年 7 月的 RansomHub 攻击，该攻击利用 Poortry 删除关键的可执行文件 (EXE)、动态链接库 (DLL) 和安全软件的其他重要组件。 这确保了 EDR 软件无法被防御者恢复或重新启动，从而使系统在攻击的后续加密阶段完全不受保护。 该过程从 PoorTry 的用户模式组件开始，识别安全软件的安装目录和这些目录中的关键文件。 然后，它向内核模式组件发送请求，系统地终止与安全相关的进程，然后删除其关键文件。 这些文件的路径被硬编码到 PoorTry 上，而用户模式组件支持按文件名或类型删除，从而赋予它一定的操作灵活性，以覆盖更广泛的 EDR 产品。 按文件类型删除功能 该恶意软件可以进行微调，仅删除对 EDR 操作至关重要的文件，从而避免在攻击危险的初始阶段产生不必要的告警从而引发关注。 Sophos 还指出，最新的 Poortry 变种采用签名时间戳操作来绕过 Windows 上的安全检查，并使用来自其他软件（如 Tonec Inc. 的 Internet Download Manager）的元数据。 驱动程序属性 攻击者采用了一种被称为“证书轮盘”的策略，他们部署使用不同证书签名的相同有效载荷的多个变体，以增加至少一个成功执行的机会。 用于签署 Poortry 驱动程序的各种证书 尽管人们努力追踪 PoorTry 的演变并阻止其生效，但该工具的开发人员已经表现出了适应新防御措施的非凡能力。 EDR 擦除功能使该工具在应对攻击方面比防御者更具优势，但也可能为在加密前阶段检测攻击提供新的机会。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/aHdlIjodAAYxsQCg6HNDPQ 封面来源于网络，如有侵权请联系删除

软件解决方案提供商 Young Consulting 披露了一起影响了950000人的数据泄露事件，并声称此次泄露是由于BlackSuit勒索软件攻击导致的。 4 月 13 日，软件解决方案供应商 Young Consulting“意识到其基础设施出现了技术困难”，调查发现有黑客在 2024 年 4 月 10 日至 2024 年 4 月 13 日期间侵入了该公司网络，并窃取了一些文件。 “2024年4月13日，公司检测到内部计算环境出现技术故障。我们迅速将受影响系统下线并启动调查，委托网络安全取证公司协助，以确定事件的性质和范围。”该公司发布的一份数据泄露通知写道，“调查发现，一名未经授权的黑客在 2024 年 4 月 10 日至 2024 年 4 月 13 日期间访问了 Young Consulting 的网络，并下载了某些文件的副本。” 泄露的数据因人而异，可能包括某些个人的姓名、社会保险号、出生日期、保险单或索赔信息等。 该公司制造商未公开此次攻击的详细信息。根据该公司与缅因州总检察长办公室共享的数据泄露通知显示此次事件影响了 954,177 人。 Young Consulting 开展的调查显示，在一次安全漏洞中，未经授权的行为者访问了包括Blue Shield在内的某些数据持有者的信息。公司仍在审查受影响的文件，并确定具体受影响的个人。2024年6月28日，Young Consulting已向Blue Shield确认了此次漏洞，并开始通知可能信息已被泄露的个人。 Blue Shield发布的事件通知中写道：“Blue Shield收到了其软件解决方案供应商Young Consulting的通知，该供应商报告称经历了一次数据安全事件，可能会影响健康计划成员的信息。” 该软件制造商已为受影响的个人提供了一年的免费信用监控服务。 5 月份，BlackSuit 勒索软件组织将 Young Consulting 添加到其 Tor 泄漏网站的受害者名单中。该勒索软件团伙声称窃取了以下信息： 业务数据（合同、联系人、计划、演示文稿等） 员工数据（护照、合同、联系方式、家庭详细信息、体检等） 财务数据（审计、报告、付款、合同等） 从共享和个人文件夹中获取的其他数据 BlackSuit 补充说，Young Consulting 高层管理人员完全拒绝谈判，认为他们是在虚张声势。 被盗数据现已可供下载。   消息来源：securityaffairs，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

近日，美国知名建筑设计公司 CannonDesign（佳能公司）向其 13000 多名客户发送了数据泄露通知，告知他们黑客在2023年初的一次攻击中侵入并窃取了公司的网络数据。 公司在通知中说明，安全事件发生在2023年1月19日至25日期间，涉及未经授权的网络访问和数据泄露。尽管公司于2023年1月25日发现了入侵行为，但调查工作直到2024年5月3日才完成，整个过程持续了超过三个月。 调查结果显示，攻击者可能获取了包括姓名、地址、社会安全号码（SSN）和驾驶执照号码在内的个人信息。为了降低个人数据泄露的风险，公司将为受影响的个人提供Experian提供的24个月信用监控服务，但该措施显著滞后。 Cannon Design 没有明确指出攻击者的身份，但其发言人向 BleepingComputer 证实，此次披露的信息与 2023 年初发生的 Avos Locker 勒索软件攻击有关。 该公司还表示，尽管数据已在多个网站上公布，但目前尚未发现任何滥用被盗信息的行为。 Avos Locker勒索软件攻击 2023 年 2 月 2 日，Avos Locker 勒索软件团伙宣布对 CannonDesign 进行了攻击，声称掌握了 5.7 TB 的被盗数据，包括公司和客户文件。 Avos Locker的原始声明 在勒索未果后，数据被转交给了 Dunghill Leaks，该组织于 2023 年 9 月 26 日发布了被盗的 2TB 数据，内容包括数据库转储、项目示意图、招聘文件、客户详细信息、营销材料、IT 和基础设施细节以及质量保证报告。 被盗数据随后出现在 Dunghill Leaks 网站上 Dunghill Leaks 是由 Dark Angels 勒索软件组织于 2023 年 4 月推出的数据泄露网站，用于向受害者施压，迫使他们支付赎金。 2024 年 2 月，同一数据集在暗网中的黑客论坛上发布，包括 ClubHydra，而数据集的一部分在 2024 年 7 月通过 torrent 在 Breached Forums 上分享的。 黑客在 clearnet 黑客论坛上免费分享的部分数据 BleepingComputer 已联系 CannonDesign，确认此次披露的数据泄露与已在网上流传一年多的同一数据集有关，但尚未得到任何回复。 CannonDesign 是一家总部位于美国的著名建筑、工程和咨询公司，是全球最具创新力的建筑公司之一，以其在学术建筑、医院和体育场馆等领域的卓越项目而闻名，参与的重要项目包括明尼苏达大学健康诊所和外科中心、马里兰大学多功能体育场等。   消息来源：bleepingcomputer，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

本周二，据FalconFeeds、Ransomlook等多家威胁情报平台报道，某A股上市建筑公司某集团疑似发生大规模数据泄漏，勒索软件组织The Ransom House Group在数据泄漏论坛发帖称窃取了该公司2.3TB数据，并宣称如果未来2-3天内不支付赎金将撕票（公布数据）。 此次针对某集团的攻击事件未得到官方确认，也未公布具体被窃数据的种类和数量，但报道该事件的威胁情报平台预计可能涉及公司内部敏感信息。 RansomHouse勒索软件组织发布的勒索通知 曾勒索荷兰建筑巨头和AMD RansomHouse是近年来新兴的数据勒索团伙之一，自2021年末开始活跃。通过与其他网络犯罪团伙合作，利用企业系统的漏洞发动攻击，RansomHouse逐步形成了复杂的勒索网络。RansomHouse勒索软件组织并不像传统勒索软件团伙那样对文件进行加密，而是专注于数据窃取与勒索。RansomHouse主要通过复杂的网络渗透手段和钓鱼攻击来进入目标公司的网络。成功攻破后，他们会迅速下载并窃取公司数据，随后勒索赎金。 RansomHouse强调自己并非“勒索软件组织”，而是“专业调解者”，帮助受害者以最小损失解决数据泄露问题。 据报告，RansomHouse已经针对各行各业的多家知名大型企业发起攻击（上图），不断扩大其全球影响力。此前，RansomHouse曾成功攻击过包括半导体巨头AMD、非洲零售巨头Shoprite在内的多家大型公司，通过数据窃取与勒索手段获取赎金。值得注意的是，RansomHouse此前曾攻击过荷兰建筑巨头KuiperCompagnons。 勒索软件防御的关键措施 此次网络攻击凸显了在“网络攻击全球化”大潮中，中国企业的威胁态势正迅速恶化，面对RansomHouse及类似的网络勒索威胁，企业应采取多层次的防御措施，以防止数据泄露和勒索攻击。以下是GoUpSec安全顾问提供的关键防御策略： 漏洞管理与补丁更新。RansomHouse通常利用未修复的系统漏洞进行攻击，因此企业必须确保及时安装系统和软件更新，修复已知的安全漏洞。 强化访问控制与身份验证。使用强密码策略并启用多因素身份验证（MFA）可以大幅减少攻击者利用弱密码获取系统访问权限的机会。 数据加密与备份。定期备份重要数据并确保备份文件离线存储。同时，对敏感数据进行加密，以减少数据泄露后的影响。 网络钓鱼培训与防护。钓鱼攻击是网络犯罪分子常用的手段之一。企业应定期对员工进行网络安全培训，提高对钓鱼邮件的识别能力，同时部署电子邮件过滤系统。 引入威胁检测与响应平台。采用安全信息和事件管理系统（SIEM）和威胁检测平台，可以帮助企业及时识别和响应潜在的网络威胁，降低攻击造成的损害。 与专业网络安全供应商合作。企业可以考虑与专业的网络安全公司合作，进行定期的安全审计和渗透测试，以确保其安全防护体系的有效性。 通过这些策略，企业可以显著提升其网络防御能力，抵御RansomHouse等依赖数据窃取进行勒索的新兴勒索组织的威胁。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/-e-uFQGGQ0h1Uz79YtLPXQ 封面来源于网络，如有侵权请联系删除

近日，一场大规模勒索活动利用可公开访问的环境变量文件（.env）入侵了多个组织，这些文件包含与云和社交媒体应用程序相关的凭据。 “在这次勒索活动中存在多种安全漏洞，包括暴露环境变量、使用长期凭证以及缺乏最小权限架构 。”Palo Alto Networks Unit 42 在一份报告中指出。 该活动的显著特点是在受感染组织的亚马逊网络服务（AWS）环境中设置了攻击基础设施，并将其作为跳板，扫描超过 2.3 亿个唯一目标的敏感数据。 据了解，该恶意活动以 11 万个域为目标，在 .env 文件中获取了超过 9 万个独特变量，其中 7000 个变量属于组织的云服务，1500 个变量与社交媒体账户相关联。 Unit 42 表示，这次活动攻击者成功对托管在云存储容器中的数据进行勒索。不过，攻击者并没有在勒索之前对数据进行加密，而是将数据提取出来，并将勒索信放在被入侵的云存储容器中。 这些攻击最引人注目的一点是，它并不依赖于云提供商服务中的安全漏洞或错误配置，而是源于不安全 Web 应用程序上的 .env 文件意外曝光，从而获得初始访问权限。 成功破坏云环境为广泛的发现和侦察步骤铺平了道路，目的是扩大他们的影响力，威胁行为者将 AWS 身份和访问管理（IAM）访问密钥武器化，以创建新角色并提升他们的权限。 具有管理权限的新 IAM 角色随后被用于创建新的 AWS Lambda 函数，以启动包含数百万个域名和 IP 地址的全网自动扫描操作。 Unit 42 的研究人员 Margaret Zimmermann、Sean Johnstone、William Gamazo 和 Nathaniel Quist 说：”脚本从威胁行为者利用的可公开访问的第三方 S3 桶中检索到了潜在目标列表。恶意 lambda 函数迭代的潜在目标列表包含受害者域名的记录。对于列表中的每个域名，代码都会执行一个 cURL 请求，目标是该域名暴露的任何环境变量文件（即 https://<target>/.env）。” 如果目标域名托管了已暴露的环境文件，文件中包含的明文凭据就会被提取出来，并存储在另一个由威胁行为者控制的公共 AWS S3 存储桶中新建的文件夹中。目前，该存储桶已被 AWS 关闭。 研究人员发现，这场攻击活动特别针对包含 Mailgun 凭证的 .env 文件实例，表明攻击者试图利用它们从合法域名发送钓鱼邮件并绕过安全保护。 感染链的最后，威胁者会从受害者的 S3 存储桶中提取并删除敏感数据，并上传一张勒索信，提醒受害者联系并支付赎金，以避免敏感信息在在暗网上被出售。 威胁行为者试图创建新的弹性云计算（EC2）资源用于非法加密货币挖矿，但以失败告终，这也表明了攻击的经济动机。 目前还不清楚谁是这场活动的幕后黑手，部分原因是使用了 VPN 和 TOR 网络来掩盖其真实来源，不过 Unit 42 表示，它检测到两个 IP 地址分别位于乌克兰和摩洛哥，是 lambda 功能和 S3 提取活动的一部分。 研究人员强调：”这次活动背后的攻击者很可能利用了大量自动化技术来成功、快速地开展行动。这表明，这些威胁行为者在高级云架构流程和技术方面既熟练又专业。”   转自FreeBuf，原文链接：https://www.freebuf.com/news/408949.html 封面来源于网络，如有侵权请联系删除

据观察，一个与 RansomHub 勒索软件有关联的网络犯罪团伙使用了一种新工具，该工具能够终止受攻击主机上的端点检测和响应（EDR）软件，并加入了 AuKill（又名 AvNeutralizer）和 Terminator 等其他类似程序。 网络安全公司Sophos将这种工具命名为EDRKillShifter，该公司是在今年5月的一次勒索软件攻击事件中注意到该工具的。 安全研究员 Andreas Klopsch 称EDRKillShifter 工具是一个‘加载器’可执行文件，一种合法驱动程序的交付机制，容易被滥用（也被称为‘自带易受攻击驱动程序’或 BYOVD 工具）。根据威胁行为者的要求，它可以提供各种不同的驱动程序有效载荷。 RansomHub看起来似乎是 Knight 勒索软件的改良版，最早被发现于2024年2月。它利用已知的安全漏洞获取初始访问权限，并将Atera和Splashtop等合法远程桌面软件丢弃以实现持久访问。 上个月，微软披露， Scattered Spider 电子犯罪集团 已将 RansomHub 和 Qilin 等勒索软件纳入其武器库。 该可执行文件通过命令行和密码字符串输入执行，解密名为 BIN 的嵌入式资源并在内存中执行。BIN 资源解包并运行基于 Go 的最终混淆有效载荷，然后利用不同的易受攻击的合法驱动程序来获得更高的权限并解除 EDR 软件。 二进制文件的语言属性是俄语，这表明恶意软件作者是在具有俄语本地化设置的计算机上编译可执行文件的。Klopsch 表示，所有解压缩的 EDR 杀手都在 .data 部分嵌入了一个易受攻击的驱动程序。 为减轻威胁，研究人员建议保持系统处于最新状态，并启用 EDR 软件中的篡改保护功能，对 Windows 安全角色采取严格措施。 Klopsch 认为：只有当攻击者升级了他们所控制的权限，或者当他们可以获得管理员权限时，这种攻击才有可能发生。因此，将用户和管理员权限加以区分有助于防止攻击事件的发生。   转自FreeBuf，原文链接：https://www.freebuf.com/news/408777.html 封面来源于网络，如有侵权请联系删除