HackerNews 编译，转载请注明出处： 勒索软件团伙目前正利用 VMware ESXi 漏洞 CVE-2025-22225，该漏洞已于 2025 年 3 月由Broadcom公司修复。美国网络安全与基础设施安全局（CISA）证实，勒索软件团伙正利用 VMware ESXi 沙箱逃逸漏洞 CVE-2025-22225 实施攻击。 该漏洞是 VMware ESXi 中存在的任意写入问题，拥有 VMX 进程权限的攻击者可触发内核任意写入操作，进而实现沙箱逃逸。彼时，这家虚拟化巨头证实，已有相关信息表明该漏洞存在在野攻击利用行为。安全公告中指出：“拥有 VMX 进程权限的恶意攻击者可触发内核任意写入操作，进而实现沙箱逃逸。” VMware 在 2025 年 3 月发布的安全公告 VMSA-2025-0004 中，修复了三个已遭在野积极利用的零日漏洞，这些漏洞均可实现 ESXi 虚拟机逃逸与代码执行，具体包括： ·  CVE-2025-22226（CVSS 7.1）：HGFS 文件系统存在越界读取漏洞，可导致 VMX 进程内存泄露。 ·  CVE-2025-22224（CVSS 9.3）：VMCI 接口存在时间检查与使用不一致（TOCTOU）漏洞，可引发越界写入，攻击者可借此以 VMX 进程权限执行代码。 ·  CVE-2025-22225（CVSS 8.2）：ESXi 存在任意写入漏洞，可实现从 VMX 沙箱逃逸至内核层。 今年 1 月，Huntress 研究人员通报称，发现汉语区攻击者滥用遭入侵的 SonicWall VPN，投递针对 VMware ESXi 的攻击工具包。 该攻击链包含一套成熟的虚拟机逃逸方案，且其开发时间似乎比相关 VMware 漏洞公开披露时间早一年以上。对 2025 年 12 月观测到的攻击事件分析显示，该团伙提前掌握了 2025 年 3 月才披露的三款 ESXi 零日漏洞，可见其对未知漏洞存在长期隐秘利用行为。 2025 年 12 月，Huntress 研究人员检测到一起入侵事件，攻击者最终部署了 VMware ESXi 漏洞利用工具包，其初始入侵途径为遭攻陷的SonicWall VPN。工具包中存在简体中文字符及相关编译路径等证据，表明该工具包大概率在 VMware 公开漏洞前一年多就以零日漏洞利用工具的形式开发完成，可见幕后是一支资源充足的汉语区攻击团伙。 攻击者利用域管理员凭证开展横向渗透，实施侦察活动，修改防火墙规则以阻断外部访问、同时保留内网移动权限，并对拟窃取数据进行预处理。该工具包可针对多达 155 个 ESXi 版本发起攻击，通过禁用 VMCI 驱动、加载未签名内核驱动实现虚拟机逃逸，或为后续勒索软件部署铺路。该攻击最终在造成实质损失前被成功阻断。 该威胁团伙依靠一款名为 MAESTRO 的协调工具，管控完整的 VMware ESXi 虚拟机逃逸流程。该工具会禁用 VMCI 驱动，通过自带驱动（BYOD）技术加载未签名漏洞利用驱动，并统筹漏洞利用全流程。该驱动会泄露 VMX 进程内存以绕过地址空间布局随机化（ASLR）防护，滥用 HGFS 与 VMCI 接口漏洞，向 VMX 进程写入壳代码，最终逃逸至 ESXi 内核层。随后会部署一款基于 VSOCK 协议的隐蔽后门VSOCKpuppet，可从客户机虚拟机对虚拟机管理程序实现持久化远程控制，同时规避传统网络监控，并恢复相关驱动以降低被检测概率。 Huntress 研究人员发现证据表明，该攻击链至少自 2024 年 2 月起就已被使用。报告指出：“漏洞利用二进制文件中包含程序数据库（PDB）路径，可据此窥探其开发环境。” CISA 已更新已知被利用漏洞（KEV）目录中 CVE-2025-22225 的相关条目，确认该漏洞正被用于勒索软件攻击行动。   消息来源: cybersecuritynews： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员发现了一个新的勒索软件即服务（RaaS）组织，该团伙已攻陷巴西及南非多家机构。 据勒索软件专业公司Halcyon称，该团伙被命名为 “Vect”，于 2025 年 12 月启动招募计划后，目前正持续吸纳加盟攻击者。 该组织声称其恶意软件是使用C++独立开发的，而不是像多数同类团伙那样，重新利用Lockbit 3.0或Conti等知名勒索软件的泄露源代码。 该勒索软件采用 ChaCha20-Poly1305 认证加密算法，据称在无硬件加速的系统上，其加密速度是 AES-256-GCM 算法的 2.5 倍。其采用间歇加密技术部署，为提升加密速度，仅对部分数据块进行加密混淆。 Halcyon声称：“尽管该团伙成立时间较短，但展现出超乎寻常的成熟度，其宣称可提供跨平台勒索软件，覆盖 Windows、Linux 及 VMware ESXi 系统；支持安全模式执行以压制安全工具；还配备高速间歇加密功能，兼顾攻击速度与破坏性。” “Vect 目前似乎处于早期验证阶段，已宣称攻陷巴西、南非各一家机构，大概率在大规模扩张前测试自身攻击能力。” 加盟者的收入分成模式显然是“慷慨”的，入门费为 250 美元，且独立国家联合体（CIS）区域申请者可免缴该费用 —— 这一规则暗示了该团伙的藏身区域。 该行动的成熟度表明它是由一些有经验的RaaS参与者运营的，Red Piranha的另一项分析声称。 Red Piranha在一份研究报告中解释道：“该组织的操作安全措施引人注目，使用门罗币进行支付以保持财务匿名性，通过 TOX 协议实现加盟攻击者间的加密点对点通信；基础设施完全依托 TOR 隐藏服务搭建，未在公网留下任何痕迹。” “自主研发恶意软件、采用新型加密算法、具备跨平台攻击能力、搭配完善操作安全措施，这些特征共同表明，Vect 的操控者是资深威胁行为者，可能是老牌勒索软件加盟者的品牌转型或全新布局。” 该机构补充说，初始访问很可能是通过暴露的RDP/VPN、窃取的凭据、网络钓鱼或漏洞利用实现初始入侵。 Vect 采用经典双重勒索模式，目前已攻陷的两家机构均被列在其公开数据泄露平台上。 建议采取的防护措施 Halcyon建议网络防御者关注以下方面，以降低Vect带来的风险： 加固边界设备防范初始入侵：需重点防护飞塔（Fortinet）账号及管理界面（Vect 曾在俄语论坛求购被盗飞塔账号）；及时安装更新补丁，限制管理员权限暴露范围，对所有远程访问及特权访问强制要求高强度身份认证。 跨 Windows、Linux、VMware ESXi 系统开展威胁遏制：对管理网络进行分段隔离，限制虚拟机管理程序管理平面的访问权限，通过管控管理协议与文件共享，阻断攻击者横向渗透路径。 重点监测安全模式与间歇加密行为：加强对可疑安全模式启动、快速选择性文件加密（间歇加密典型特征）的监控；集中收集并核查相关日志与遥测数据，实现快速范围界定与威胁遏制。 部署反勒索软件防护方案：采用可在恶意二进制文件运行前阻断执行、能检测并阻止勒索软件运行时行为与数据窃取尝试、可拦截篡改操作及网络入侵的防护工具。 消息来源: infosecurity-magazine： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据悉，荷兰一家大型会计师事务所已成为活跃勒索软件组织Nova的最新攻击目标。 2026年1月23日，该入侵事件被一家勒索软件活动跟踪平台发现并记录，其攻击发生时间估计与发现日期相近。 攻击者宣称已窃取大量敏感数据，并给出了为期10天的最后通牒，要求受害方与其联系并就支付赎金进行谈判。 事件详情 毕马威是全球领先的专业服务机构，为众多大型跨国企业提供审计、税务及咨询等全方位服务。 其荷兰分部掌握着大量客户敏感数据，涵盖金融服务、合规审计及企业运营的敏感客户数据。 此次攻击目标的选择，符合Nova勒索软件一贯的作案模式，即专注于攻击专业服务与金融行业的知名企业。Nova已被视为当前勒索软件领域的重要威胁之一。 威胁情报数据显示，该组织在Tor网络上部署了多个命令与控制服务器节点。 对公开攻击指标的分析表明，Nova通过分布在多个“.onion”域名下的基础设施来实施数据泄露。 该团伙的后端服务器采用基于uvicorn的标准架构，表明其采用了标准化的后端部署。 安全建议 网络安全团队应立即封锁已识别的相关域名基础设施，并密切监控网络内是否存在与勒索软件部署相关的横向移动活动。 一旦在网络日志中发现任何与Nova相关的入侵痕迹或攻击指标，必须立即启动应急预案。 截至目前，毕马威官方尚未就此次事件公开发表声明。 建议客户及其他相关方密切关注其官方渠道的后续通报，以获取事件影响的详细评估及修复进展的时间表。 消息来源:cybersecuritynews.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Crunchbase近日确认发生数据泄露事件。此前，名为ShinyHunters的网络犯罪组织声称从其系统中窃取了超过200万条个人记录。 由于勒索失败，ShinyHunters已在相关网站上公开泄露了一个容量为402 MB的压缩数据包。 Crunchbase表示，此次事件未影响公司正常运营，且安全漏洞现已得到遏制。公司已通报美国联邦当局，并正借助外部专家力量调查此事。目前，Crunchbase正在评估被泄露的数据内容，以确定是否需要依法发布通知。 Crunchbase在给SecurityWeek的声明中称：“Crunchbase检测到一起网络安全事件，有威胁行为者从公司内部网络窃取了某些文件。此事件未造成业务运营中断。我们已控制住事态，系统是安全的。” 声明进一步指出：“在发现事件后，我们立即聘请了网络安全专家协助处理，并联系了联邦执法机构。我们已知悉威胁行为者在网上公开了部分信息。根据事件响应流程，我们正在审查受影响的信息，并将依据相关法律要求决定是否需发布通知。” ShinyHunters团伙最近重启了其数据泄露网站，列出的受害者包括SoundCloud、Betterment以及本次的Crunchbase，前两家公司此前也已承认遭遇数据泄露。 ShinyHunters是一个以牟利为目的的网络犯罪组织，自2020年起持续活跃。它从大型企业窃取海量个人及公司数据，若赎金要求未被满足，便在地下论坛出售或公开泄露这些数据。该组织常利用窃取的凭证、云服务漏洞及社交工程手段实施攻击，并曾宣称对Tokopedia等知名平台及其他高价值目标的大规模数据泄露事件负责。 消息来源:securityaffairs.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Symantec与Carbon Black的研究人员发现了一种名为Osiris的新型勒索软件变种，该变种于2025年11月被用于攻击一家东南亚大型食品服务特许经营商。 根据Symantec和VMware Carbon Black威胁猎手的分析，攻击者部署了一个名为POORTRY的恶意驱动程序，用自带漏洞驱动技术来禁用安全软件。 目前对Osiris的开发者，或其是否以勒索软件提供服务知之甚少，但有证据表明其与INC勒索软件存在关联。 Symantec与Carbon Black发布的报告中指出：“虽然这款Osiris勒索软件与2016年出现的同名勒索软件家族（Locky勒索软件的一个变种）重名，但没有迹象表明这两个家族之间存在任何关联。” Osiris似乎是一种新型勒索软件变种，与2016年基于Locky的同名变种无关。其开发者及任何RaaS模式仍属未知，但博通研究人员发现了攻击者与INC勒索软件团伙有相关联的迹象。 Osiris是一款功能齐全的勒索软件，能够停止服务和进程、选择要加密的文件和文件夹，并投放勒索信。研究人员报告称，该软件支持多种命令选项来定义目标、设置日志记录、选择加密模式以及Hyper-V等相关操作。这个新的勒索软件家族会跳过特定文件类型和系统文件夹，为加密文件附加.Osiris扩展名，删除VSS快照，并终止数据库、备份和生产力相关进程。该恶意软件使用混合ECC和AES-128-CTR加密，每个文件使用唯一密钥，通过完成端口管理异步输入/输出操作，并留下一份名为Osiris-MESSAGE.txt的勒索信，并在勒索信中提及敲诈细节和谈判链接。攻击链在勒索软件部署的数天前便已启动，攻击者当时使用Rclone工具悄悄窃取数据，并将其上传到Wasabi云存储桶中。这种方法，连同重用的工具（如名为kaz.exe的Mimikatz变体），都与过去Inc勒索软件的操作手法如出一辙，表明这可能是模仿或由前Inc附属组织参与的行动。 报告继续指出：“攻击者还部署了Netscan、Netexec和MeshAgent等其他具有双重用途的工具。他们还使用了定制版的Rustdesk远程监控和管理工具，该工具被修改以伪装其功能，并加入了‘WinZip远程桌面’的文件描述和WinZip图标，企图隐藏其真实用途。” 攻击者使用常见的双重用途工具进行网络探测和访问，外加一个伪装成“WinZip远程桌面”的修改版RustDesk远程工具以隐藏其目的。为了瘫痪防御系统，他们在一次自带漏洞驱动攻击中，部署了伪装成Malwarebytes组件的Poortry驱动程序，用以关闭安全软件。KillAV也为了达成目的而被使用。最后，在启动勒索软件之前，他们启用了RDP以维持远程访问。 Osiris是技术娴熟的威胁行为者使用的一款能力强大的新型勒索软件。研究人员强调，工具的重复使用和战术表明其可能与Inc附属组织及Medusa活动存在潜在联系，尽管这样的关联尚不明确。 报告总结道：“勒索软件领域的形势不断变化，新勒索软件家族的出现始终值得密切关注。” 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： WorldLeaks网络犯罪团伙声称已从这家鞋服巨头的系统中窃取了信息。 在网络犯罪团伙声称从其系统窃取数据后，耐克已展开调查。 1月22日，这家运动鞋服巨头被列为WorldLeaks团伙运营的基于Tor的泄露网站的受害者。网站上的倒计时显示，除非支付赎金，否则被盗数据将于1月24日公开。 网络犯罪分子尚未具体说明他们从耐克窃取了多少数据或何种类型的数据。 耐克向SecurityWeek表示：“我们始终高度重视消费者隐私和数据安全。我们正在调查一起潜在的网络安全事件，并积极评估情况。” WorldLeaks组织于2025年出现，其前身是自2023年底开始活跃的勒索软件团伙”Hunters International”。在转型为WorldLeaks后，这些网络犯罪分子停止使用文件加密恶意软件，完全专注于数据窃取和勒索。 截至发稿时，WorldLeaks网站列出了近120名受害者名单。其中之一是戴尔公司，该公司曾在2025年7月表示，黑客仅窃取了合成的或公开可用的信息。 耐克可能遭入侵的消息传出前不久，服装零售商Under Armour刚刚宣布正在调查一起涉及客户电子邮件地址和其他个人信息的数据泄露事件。     消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一个名为 Osiris的新型勒索软件家族的相关细节，该勒索软件于 2025 年 11 月针对东南亚一家大型餐饮服务加盟商发起攻击。 赛门铁克与炭黑威胁狩猎团队指出，此次攻击利用了一款名为POORTRY的恶意驱动程序，采用的是一种名为自带易受攻击驱动程序的已知攻击技术，以此破坏安全软件的防御功能。 值得注意的是，此次发现的Osiris被判定为全新勒索软件变种，与 2016 年 12 月出现的同名称变种并无关联 —— 后者是Locky勒索软件的衍生版本。目前，该勒索软件的开发者身份尚不明确，也无法确定其是否以勒索软件即服务的模式对外提供。 不过，这家隶属于博通公司的网络安全部门表示，他们已发现相关线索，表明部署该勒索软件的威胁攻击者，此前可能与INC 勒索软件存在关联。 该公司在向thehackernews提供的一份报告中指出：“攻击者在此次攻击中使用了各类原生工具与双用途工具，同时还部署了 POORTRY 恶意驱动程序。这款驱动程序很可能是作为自带易受攻击驱动程序攻击的一部分，用于禁用安全软件。” “攻击者将窃取的数据上传至Wasabi 云存储桶，且使用的Mimikatz 工具版本及文件名（kaz.exe），均与此前 INC 勒索软件攻击者所使用的一致，这些都表明此次攻击与部分 INC 勒索软件攻击事件存在潜在关联。” Osiris被描述为一种高效的加密载荷，推测是由经验丰富的攻击者开发使用。该勒索软件采用混合加密方案，会为每个文件生成唯一的加密密钥。其功能具备灵活性，可实现停止服务、指定待加密的文件夹与文件扩展名、终止进程以及投放勒索信等操作。 默认情况下，奥西里斯被设计用于终止一系列进程与服务，涉及范围包括微软办公套件、Exchange 邮件服务器、火狐浏览器、写字板、记事本、卷影副本以及威联通备份软件等。 目标网络中出现恶意活动的首个迹象，是攻击者在部署勒索软件前，通过Rclone 工具将敏感数据窃取至 Wasabi 云存储桶。此外，攻击者还使用了多款双用途工具，如Netscan 网络扫描工具、Netexec 渗透测试工具和 MeshAgent 远程管理工具，同时还有一款定制版本的向日葵远程控制软件。 POORTRY 驱动程序与传统的自带易受攻击驱动程序攻击所使用的驱动有所不同，它并非向目标网络部署 “合法但存在漏洞” 的驱动程序，而是一款专门用于提升权限和终止安全工具的定制驱动。 赛门铁克与炭黑威胁狩猎团队强调：“攻击者还在目标网络中部署了KillAV 工具，该工具的作用是投放存在漏洞的驱动程序，进而终止安全进程。此外，目标网络的远程桌面协议（RDP）被启用，这很可能是为了方便攻击者获取远程访问权限。” 当前，勒索软件仍是企业面临的重大安全威胁，其攻击态势也在不断变化 —— 部分攻击团伙销声匿迹，而新的团伙则迅速崛起或趁机填补空缺。赛门铁克与炭黑对数据泄露网站的分析数据显示，2025 年勒索软件攻击者共宣称发动了4737 起攻击，相较于 2024 年的 4701 起，同比增长 0.8%。 2025 年最为活跃的勒索软件团伙包括Akira、Qilin、Play、INC、SafePay、RansomHub、DragonForce、Sinobi、Rhysida以及CACTUS。该领域其他值得关注的动态如下： 2025 年中后期观测到的攻击事件显示，使用Akira勒索软件的威胁攻击者，借助存在漏洞的Throttlestop 驱动程序，并结合Windows CardSpace 用户界面代理与微软媒体基础保护管道，实现 Bumblebee loader的侧载执行。 Akira勒索软件团伙还利用SonicWall SSL VPN的漏洞发起攻击，针对处于并购阶段的中小企业环境实施入侵，最终获取对规模更大的收购方企业的访问权限。另有一起阿基拉攻击事件显示，攻击者通过类 ClickFix 人机验证钓鱼诱饵，投放一款名为SectopRAT的.NET 远程访问木马，以此作为远程控制和勒索软件投递的通道。 LockBit勒索软件虽在 2024 年初遭遇执法部门的打击行动，但其基础设施仍在持续运作，并于 2025 年 10 月与DragonForce、Qilin达成合作。该团伙还推出了LockBit 5.0 变种，可针对多种操作系统和虚拟化平台发起攻击。LockBit 5.0 的一项重大更新是采用双阶段勒索软件部署模式，将加载器与主载荷分离，同时最大限度提升攻击的隐蔽性、模块化程度和破坏效果。 Sicarii的新型勒索软件即服务运营团伙于 2025 年末首次出现，截至目前仅宣称攻击了一名受害者。该团伙公开宣称自己具有以色列 / 犹太背景，但分析发现，其地下网络活动主要使用俄语，且发布的希伯来语内容存在语法和语义错误。这一现象引发外界猜测，该团伙可能是一次虚假旗标操作。西卡里团伙的主要操作者使用的电报账号为 “@Skibcum”。 有观测显示，名为Storm-2603的威胁攻击者，将合法的迅猛龙数字取证与事件响应工具作为前置攻击手段，为后续投放Warlock、Babuk勒索软件铺路。在攻击过程中，该团伙还利用两款驱动程序（“rsndispot.sys” 和 “kl.sys”）以及 “vmtools.exe” 工具，通过自带易受攻击驱动程序攻击手段破坏安全防护方案。 Makop针对印度、巴西和德国的目标发起攻击，利用暴露且存在安全隐患的远程桌面协议系统，投放用于网络扫描、权限提升、禁用安全软件、凭据窃取和勒索软件部署的各类工具。此次攻击中，除了使用 “hlpdrv.sys” 和 “ThrottleStop.sys” 驱动程序实施自带易受攻击驱动程序攻击外，攻击者还通过GuLoader 加载器投递勒索软件载荷。这是首次有文献记载马科普勒索软件通过加载器进行分发的案例。 另有勒索软件攻击事件显示，攻击者利用已泄露的远程桌面协议凭据获取初始访问权限，随后开展侦察、权限提升、借助远程桌面协议横向移动等操作；在入侵的第六天，将窃取的数据上传至temp [.] sh 平台，并在三天后投放Lynx。 研究发现，Obscura的加密流程存在安全缺陷，这一缺陷会导致大型文件无法被恢复。Coveware指出：“当隐匿者勒索软件加密大型文件时，无法将加密临时密钥写入文件尾部。对于超过 1GB 的文件，其尾部信息根本不会生成 —— 这意味着用于解密的密钥永久丢失，此类文件将彻底无法恢复。” 一个名为01flip的新型勒索软件家族，针对亚太地区的特定目标发起攻击。该勒索软件由Rust 语言编写，可同时针对 Windows 和 Linux 系统发起攻击。其攻击链的核心环节，是利用已知安全漏洞（如CVE-2019-11580 漏洞）获取目标网络的初始立足点。该勒索软件被归因于一个名为CL-CRI-1036的牟利型威胁攻击者。 为防范定向攻击，安全机构建议企业采取以下防护措施：监控双用途工具的使用情况、限制远程桌面协议服务的访问权限、强制启用多因素认证、合理部署应用程序白名单策略、并实施备份数据的异地存储方案。 赛门铁克与炭黑公司表示：“尽管加密型勒索软件攻击的猖獗程度不减，依然构成严重威胁，但新型无加密勒索攻击的出现进一步加剧了风险，催生了一个更为庞大的敲诈勒索生态系统 —— 在这个生态系统中，勒索软件或许只是其中一个组成部分。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员发现，尽管遭遇了执法部门的严厉打击，全球最危险的勒索软件组织之一 LockBit 仍然发布了其最新版本 5.0。 该组织的行动仍在持续推进，并展示出针对不同计算机系统和平台的全新变种。 近期泄露的材料和截图为安全专家提供了一个深入了解该犯罪组织如何管理攻击行动、以及如何与协助其在网络中传播恶意软件的加盟者协同运作的窗口。 核心功能基本不变，运营照常推进 在执法机构发起的重大打击行动 “克洛诺斯行动（Operation Cronos）”之后，LockBit 最新版本在核心设计和功能上基本没有变化。 不过，安全研究人员注意到其界面出现了一些轻微的外观变化，例如加入了节日主题装饰，这在一定程度上表明该组织依然毫不在意执法压力，持续运作。 该组织依旧维持着一套高度成熟的基础设施，用于管理与受害者的谈判流程，并在全球范围内、跨多个行业和领域协调实施攻击。 加盟体系仍在运转 Flare 分析师指出，LockBit 的加盟者计划仍在持续招募新合作伙伴，尽管该组织的声誉已因执法行动而受损。 许多网络犯罪分子已不愿再与 LockBit 合作，但该组织的运作方式仿佛执法打击从未发生过一样。 这种“韧性”展示了犯罪组织在遭受重大破坏后，依然能够迅速适应并维持其商业模式的能力。 LockBit 的快速恢复能力，也凸显了安全团队在打击有组织勒索软件行动时面临的长期挑战。 LockBit 5.0 的多平台攻击策略 LockBit 5.0 最令人担忧的方面在于，其攻击目标已扩展至多个操作系统和虚拟化环境。 安全研究人员获取的最新恶意软件样本显示，在 2026 年 1 月 14 日发现了四种不同的变种： LB_Black：针对传统 Windows 系统 LB_Linux：针对 Linux 环境 LB_ESXi：针对 虚拟化基础设施（VMware ESXi） LB_ChuongDong：另一种已发现的变种 这种多样化策略表明，LockBit 正在战略性地转向企业级环境，尤其是广泛使用虚拟机和云基础设施的组织。 对防御方的意义 这些最新样本的曝光，为安全团队提供了最新的入侵指标，有助于防御工作。 组织现在可以利用这些技术细节，识别自身网络是否遭遇过 LockBit 5.0 的攻击。深入理解这些变种，将帮助网络安全专业人员制定更有效的检测规则和防护策略。 此外，泄露的加盟者控制面板材料清晰展示了 LockBit 如何： 管理勒索赎金支付 制定加盟者行为规则 审核并吸纳新的合作伙伴 这些信息为外界提供了前所未有的视角，揭示了 “勒索软件即服务” 商业模式的具体运作方式。   消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2026年1月20日，Everest在其暗网泄密网站上公布了此次入侵的相关信息，并威胁称，若企业未在其设定的期限内作出回应，将公开披露所窃取的数据。根据 Everest 勒索软件组织的说法，此次攻击导致大量公司内部文件及客户个人数据被泄露。 攻击者宣称：“你们客户的个人数据以及内部文件已被泄露并存储在我们的系统中”，其中包括“种类繁多的客户个人文件和信息”。 据称，被窃取的数据包含大量内部记录，可能在区域范围内引发严重的身份盗用和定向钓鱼攻击风险。 Everest是一个以俄语为主要交流语言的勒索软件组织，最早于2020年12月出现，起初以数据窃取为主，至2021年初发展为具备AES/DES双重加密能力的完整勒索软件体系。 该组织以“纯敲诈”策略而闻名，重点在于窃取并出售企业敏感数据，而不仅仅是对文件进行加密。其近期的高知名度受害者包括华硕、日产汽车，以及都柏林机场。 麦当劳在印度通过两家独立公司运营：负责北部和东部地区的Connaught Plaza Restaurants，以及负责西部和南部地区的 Hardcastle Restaurants。自1996年以来，这两家实体已为数百万印度消费者提供服务。 此前，该公司曾在 2017 年和 2024 年 遭遇过数据安全相关问题。 截至目前，麦当劳印度方面尚未确认此次数据泄露事件。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁行为者被发现在npm注册表上上传了八个软件包，这些软件包伪装成针对n8n工作流自动化平台的集成工具，旨在窃取开发者的OAuth凭证。 其中一个名为 “n8n-nodes-hfgjf-irtuinvcm-lasdqewriit” 的软件包模仿了Google Ads集成，它会提示用户在看似合法的表单中关联其广告账户，随后将凭证窃取到攻击者控制的服务器上。 “这次攻击代表了供应链威胁的新升级，”Endor Labs在上周发布的一份报告中表示。”与通常针对开发者凭证的传统npm恶意软件不同，这次活动利用了作为集中式凭证库的工作流自动化平台——这些平台将OAuth令牌、API密钥以及用于Google Ads、Stripe和Salesforce等数十种集成服务的敏感凭证集中存储在一个位置。” 已发现的软件包清单（目前已被移除）如下： n8n-nodes-hfgjf-irtuinvcm-lasdqewriit (下载量：4,241，作者：kakashi-hatake) n8n-nodes-ggdv-hdfvcnnje-uyrokvbkl (下载量：1,657，作者：kakashi-hatake) n8n-nodes-vbmkajdsa-uehfitvv-ueqjhhhksdlkkmz (下载量：1,493，作者：kakashi-hatake) n8n-nodes-performance-metrics (下载量：752，作者：hezi109) n8n-nodes-gasdhgfuy-rejerw-ytjsadx (下载量：8,385，作者：zabuza-momochi) n8n-nodes-danev (下载量：5,525，作者：dan_even_segler) n8n-nodes-rooyai-model (下载量：1,731，作者：haggags) n8n-nodes-zalo-vietts (下载量：4,241，作者：vietts_code 和 diendh) 用户 “zabuza-momochi”、”dan_even_segler” 和 “diendh” 还被发现与其他仍可下载的库有关联： n8n-nodes-gg-udhasudsh-hgjkhg-official (下载量：2,863) n8n-nodes-danev-test-project (下载量：1,259) @diendh/n8n-nodes-tiktok-v2 (下载量：218) n8n-nodes-zl-vietts (下载量：6,357) 目前尚不清楚这些库是否具有类似的恶意功能。然而，在ReversingLabs Spectra Assure上对前三个软件包的评估未发现安全问题。对于 “n8n-nodes-zl-vietts”，分析已将该库标记为包含具有恶意软件历史的组件。 就在三小时前，软件包 “n8n-nodes-gg-udhasudsh-hgjkhg-official” 的更新版本被发布到npm，这表明该攻击活动可能仍在进行中。 该恶意软件包一旦作为社区节点安装，其行为会像任何其他n8n集成一样，显示配置屏幕，并将Google Ads账户的OAuth令牌以加密格式保存到n8n的凭证存储中。当工作流执行时，它会运行代码，使用n8n的主密钥解密存储的令牌，并将其外泄到远程服务器。 这一事件标志着供应链威胁首次明确针对n8n生态系统，不良行为者利用社区集成的信任来实现其目标。 这些发现凸显了集成不受信任的工作流所带来的安全问题，这可能会扩大攻击面。建议开发者在安装软件包前对其进行审计，仔细检查软件包元数据是否存在异常，并使用官方的n8n集成。 n8n也警告了使用来自npm的社区节点所带来的安全风险，并表示这些节点可以在n8n服务运行的机器上执行恶意操作。对于自托管的n8n实例，建议通过将 N8N_COMMUNITY_PACKAGES_ENABLED 设置为 false 来禁用社区节点。 “社区节点拥有与n8n本身相同的访问权限。它们可以读取环境变量、访问文件系统、发起出站网络请求，最关键的是，在工作流执行期间接收解密的API密钥和OAuth令牌，”研究员Kiran Raj和Henrik Plate表示。”节点代码和n8n运行时之间没有沙盒化或隔离。” “正因如此，只需一个恶意的npm软件包，就足以深入洞察工作流、窃取凭证，并在不立即引起怀疑的情况下与外部通信。对于攻击者而言，npm供应链为进入n8n环境提供了一个隐蔽且高效的切入点。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文