据研究数据显示，今年第一季度勒索软件行为者陷入困境，因为越来越多的公司拒绝支付勒索金，导致 2024 年第一季度只有 28％ 的公司支付了赎金，这是有记录以来的最低点。这一数字在 2023 年第四季度是 29％ ，Coveware 的统计数据显示自 2019 年初开始支付额持续减少。这种减少是由于组织实施了更加先进的保护措施、不屈服于勒索者财务要求的法律压力日益增加，以及网络犯罪分子多次违背了赎金支付后不公开或转售被盗数据的承诺。 然而，需要注意的是，尽管支付率下降，给勒索软件行为者的支付金额却比以往任何时候都要高，根据 Chainalysis 的报告，去年达到了11 亿美元。 这是因为勒索软件团伙通过提高攻击频率和要求更高的金额来避免暴露被盗秘密并向受害者提供解密钥匙，从而影响了更多的组织。 关于 2024 年第一季度，Coveware 报告，平均赎金支付额环比下滑 32％ ，现在为 381,980 美元，而中位数赎金支付额环比上涨 25％ ，为 250,000 美元。 平均和中位数赎金支付额同时下降和上升表明高额支付的减少和适中金额的增加。这可能是由于勒索要求变得更加谦逊和/或少有高价值目标屈服于勒索。 关于最初的渗透方式，报告上半年几乎有一半的情况都是未知的。 在那些已确定的情况中，远程访问和漏洞利用起了最大的作用，其中 CVE-2023-20269，CVE-2023-4966 和 CVE-2024-1708-9 漏洞在第一季度被勒索软件操作者更广泛地利用。 执法效应 Coveware 报告显示，FBI 的 LockBit 干扰对这个曾经领先的操作产生了巨大影响，这反映在他们的攻击统计数据中。该行动也给其他主要团伙带来了动荡，导致支付纠纷和退出骗局，就像我们看到的 BlackCat/ALPHV 一样。 此外，这些执法行动削弱了其他勒索软件附属机构对 RaaS（勒索软件即服务）经营者的信心，许多人决定独立运营。 “我们已经看到了最近攻击中 Babuk 分支的增加，以及几个前 RaaS 附属机构使用无处不在且几乎免费的 Dharma / Phobos 服务，”  Coveware 在报告中解释。 根据安全公司的说法，附属机构在许多情况下决定完全退出网络犯罪。 “网络敲诈生态系统中的大多数参与者并不是顽固的犯罪分子，而是拥有 STEM 技能的个体，生活在缺乏引渡条约的司法管辖区内，与此同时缺乏足够合法的经济机会来使用他们的技能，” Coveware 继续说。 “这些人中的一些人可能会认为增加的陷入困境的风险以及被切断收入的风险足以让他们退出。” 在这个不稳定的领域中，Akira 以第一季度发起的攻击最为活跃的勒索软件位居榜首，现已连续九个月位于第一位。 FBI 本周报告称，Akira 至少对 250 个组织负有责任，勒索了 4200 万美元的赎金。   转自E安全，原文链接：https://mp.weixin.qq.com/s/cBmJ0AHEkU6TdEkyPXrABw 封面来源于网络，如有侵权请联系删除

4 月 23 日，国际医疗诊断和试验巨头 Synlab 的意大利分公司因遭受勒索软件攻击，被迫关闭其 IT 系统，目前所有医学诊断和试验服务均已暂停。 Synlab 集团总部位于德国慕尼黑，在全球 30 个国家开展业务。其意大利分公司的网络覆盖 380 个实验室和医疗中心，每年进行 3500 万次医疗分析，年营业额达 4.26 亿美元。 该公司在上周末宣布，在 4 月 18 日凌晨遭到安全入侵，为限制破坏活动，所有计算机不得不关闭。 公司在声明中表示：“在发现入侵事件后，IT 部门立即执行了公司的安全程序，从网络中隔离了公司的所有基础设施，并关闭了所有机器。” 尽管公司尚未确认，但一些敏感的医疗数据可能已经被攻击者获取。 “作为《通用数据保护条例》第28条规定的数据处理者，我们通知您，目前我们不能排除此次攻击可能影响到为您提供的服务或您的治疗方案中的个人数据。” ——Synlab意大利分公司 由于这一事件，所有的实验室分析和样本收集服务都已经暂停，直至另行通知。由于电子邮件服务已停止，客户被建议通过电话与 Synlab 联系。 Synlab 在遭受网络攻击之前收到但尚未进行分析的医学样本都已储存在每个案例所需的低温条件下。然而，如果系统恢复所需时间过长，客户可能需要重新提交样本。 该公司在周末发布更新，通知客户已开始逐步重新启动一些服务，包括专科门诊访问和物理治疗。 与此同时，公司正在努力确保 IT 基础设施上不再存在恶意软件，并从备份中恢复系统。 状态更新中写道：“目前，Synlab 特别工作组正在分析包括备份系统在内的所有IT基础设施的每个部分，以便尽快安全地恢复系统。” 该公司没有提供具体的恢复时间表，而是鼓励客户查看网站或关注 Synlab 的社交媒体渠道以获取最新信息。 截至本文撰写之时，尚无任何大型勒索软件团伙宣称对 Synlab 意大利分公司的网络攻击负责。   转自安全内参，原文链接：https://www.secrss.com/articles/65543 封面来源于网络，如有侵权请联系删除

LockBit勒索软件团伙声称已泄露据称从哥伦比亚特区保险、证券和银行部（DISB）窃取的1GB数据。 该组织声称拥有DISB、美国证券交易委员会（SEC）、特拉华州银行机构以及其他金融实体的800GB数据，并威胁称除非DISB支付赎金，否则将这些数据公开。 据称，这些数据疑似是在3月底针对数据服务商Tyler Technologies 的网络攻击期间从DISB的STAR系统客户端盗取的。 Tyler Technologies和DISB分别表示，此次攻击涉及对托管DISB STAR系统客户端数据的云环境进行未经授权的访问，导致该系统离线。 虽然在受感染的系统上部署了文件加密勒索软件，但Tyler一直致力于使用可用备份恢复环境和相关数据。 Tyler目前已证实，从STAR系统窃取的信息已在网上泄露，但尚未确定数据泄露的范围。承包商表示，可能泄露的信息可能包括姓名、出生日期、社会安全号码、驾驶执照号码和其他信息。 “我们已确认黑客获取系统信息的证据，并正在与第三方网络安全取证专家合作，以确定影响范围。截至4月18日，黑客已发布了他们声称从STAR系统获取的信息。”该公司表示。 Tyler还指出，它尚未确定在攻击中可能被盗的个人身份信息（PII），一旦识别过程完成，将开始通知相关个人。 LockBit网站相关信息截图 Tyler指出，这次攻击与2020年的勒索软件攻击暂无联系，2020年的攻击事件影响了公司内部网络和电话系统，并迫使其关闭了包括网站在内的多个系统。 总部位于德克萨斯州的Tyler Technologies提供财产税生命周期管理解决方案、公民服务解决方案、安全系统用于访问官方记录、监管解决方案以及综合纠错、案件管理和公共安全解决方案。   消息来源：securityweek，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

供一次性使用的廉价勒索软件正在暗网论坛上出售，这让缺乏经验的自由职业者无需与附属机构进行任何互动即可参与网络犯罪。 网络安全公司 Sophos 情报部门的研究人员发现，2023 年 6 月至 2024 年 2 月期间，四个论坛上共有 19 种勒索软件可出售或正在开发。 他们将网络犯罪工具比作“垃圾枪”——20 世纪 60 年代和 1970 年代充斥美国的廉价进口手枪。虽然这些武器往往不可靠，但它们仍具有一些优势，例如门槛低和可追溯性低。 这些相同的优势也适用于勒索软件入门套件市场上的潜在网络犯罪分子。研究人员观察到的比特币品种范围从 20 美元到 0.5 美元不等，在发布时约为 13,000 美元。平均价格中位数为 375 美元。 因为不存在希望从中分一杯羹的附属机构，一次性网络犯罪工具与勒索软件即服务模式并不同。 研究人员表示：“不同于现代勒索软件复杂的基础设施，垃圾枪勒索软件让犯罪分子能够以廉价、轻松且独立的方式参与行动。” “他们可以针对小公司和个人，因为他们不太可能有资源来保护自己或者能有效应对事件，所以不会给其他任何人带来影响。” 虽然这种自由听起来很有吸引力，但与廉价的无证手枪的情况一样，也存在风险：即工具本身要么有缺陷，要么“作为骗局的一部分存在后门”。 然而，在潜在的犯罪分子看来，“这些大概是可以接受的风险——尤其是因为使用垃圾枪勒索软件最终可能会为著名的勒索软件团伙带来更有利可图的就业机会，”他们写道。 这些工具在野外的功效尚不清楚。可供调查人员监控的基础设施很少，而且攻击者的目标很可能是小型企业或个人，导致宣传很少。此外，攻击者没有被盗数据的泄露站点。 据观察，去年美国和欧洲受到的攻击中至少使用了一种出售的工具 EvilExtractor ，且论坛上声称其他三种变体也已被使用。 Sophos X-Ops 总监 Christopher Budd 强调了这些工具给防御者带来的挑战。 “由于攻击者用这些变体针对中小型企业，且赎金要求很小，因此大多数攻击可能不会被发现并上报。这也给防御者留下了情报空白，而安全界必须填补这一空白，”他说。 出售勒索软件的暗网论坛上的讨论显示出操作的业余性质。与知名度较高的暗网网站不同，这些论坛上似乎没有愚蠢的问题，“对于那些渴望发展自己能力的人来说，他们可以为自己分一杯羹。” 研究人员观察到用户请求分享操作指南的副本，其中包括著名勒索软件运营商 Bassterlord 编写的勒索软件手册。 一名用户在论坛上发帖称，他们正在尝试一些新的东西：“用有针对性的网络钓鱼获得立足点，接着收集尽可能多的有价值的数据并运行勒索软件。” 他们写道：“从潜在的收益、缺乏后援和立足的机会来看，谁又知道哪些是可能好一些目标。” “我们非常感谢关于此类操作建议的提出，因为这是我第一次实施勒索。”   转自安全客，原文链接：https://www.anquanke.com/post/id/295738 封面来源于网络，如有侵权请联系删除

据称，有黑客利用未打补丁的 Atlassian 服务器并部署 Cerber 勒索软件的 Linux 变体（也称为 C3RB3R）。 此次攻击利用了Atlassian Confluence 数据中心和服务器中的一个严重安全漏洞 CVE-2023-22518，未经身份验证的攻击者能够重置 Confluence 并创建管理员帐户。 有了这种访问权限，黑客冒着失去机密性、完整性和可用性的风险去控制系统。出于经济动机的网络犯罪团伙利用新创建的管理员帐户安装 Effluence Web shell 插件，从而能够执行任意命令。 Cado 的威胁情报工程师内特·比尔 (Nate Bill) 在周二发表的博客文章中谈论了此次事件。他指出，主要的 Cerber 有效负载在“confluence”用户下执行，且将其加密范围限制为该用户拥有的文件。 Rapid7 曾于2023 年 11 月标记过此漏洞。 该勒索软件的核心组件是用 C++ 编写的，它是很多同样用 C++ 编写的有害软件的载体。该附加软件是从攻击者控制的中央服务器中获取的。 一旦其任务完成，主要的勒索软件组件就会被系统删除。而其他两个被涉及到的组件中：一个检查勒索软件是否具有必要的权限，而另一个则对计算机上的文件进行加密，让它们在支付赎金之前无法访问。 尽管勒索信中有声称会有数据泄露，但并没有发生。 Bill 表示，在转向 Golang 和 Rust 等跨平台语言的过程中，纯 C++ 有效负载的主导地位是值得注意的。 这位安全研究人员强调了Cerber 的复杂性，但也指出了特别是在配置良好且具有备份的系统中，仅加密 Confluence 数据的局限性，从而降低了受害者付费的动力。 这些发展与针对 Windows 和 VMware ESXi 服务器的新勒索软件系列的出现处在同时期。此外，勒索软件攻击者正在使用泄露的 LockBit 勒索软件源代码定制变体，这也突显了员工需要准备强力的安全措施、具备强大的网络安全文化。   转自安全客，原文链接：https://www.anquanke.com/post/id/295752 封面来源于网络，如有侵权请联系删除

豪雅公司因勒索软件攻击致使多个业务部门的IT系统中断，勒索团伙“国际猎手”声称窃取了约2TB内部数据，并威胁索要1000万美元赎金。 4月16日，日本豪雅株式会社（Hoya Corporation）遭到“国际猎手”（Hunters International）团伙的勒索软件攻击，该团伙要求豪雅支付1000万美元赎金（约合人民币7240万元）以获取文件解密工具，否则他们将公开在攻击期间窃取的文件。 豪雅是一家专注于光学仪器、医疗设备和电子组件的日本公司。该公司在30多个国家设有160家办事处和子公司，并拥有43个遍布全球的实验室。 一周前，该公司公开了一起影响生产和订单处理的网络攻击事件，表示多个业务部门的IT系统遭到了中断。公司当时表示正在调查黑客是否已经访问或窃取了其系统中的敏感信息，并指出确定文件是否被盗可能需要一些时间。 据报道，“国际猎手”要求支付1000万美元的赎金，否则将公开他们声称窃取到的1700万份文件，总数据量约为2TB。这一赎金要求也得到了其他媒体二次确认。 目前，“国际猎手”的网站上尚未发布任何文件，威胁者也没有公开承认对豪雅的攻击责任。外媒LeMagIT发布了勒索软件团伙的谈判面板的截图作为证据。受害者需通过这一面板支付赎金。 威胁者对豪雅采取了“不谈判/不打折”的策略，表示这是唯一能接受的报价。目前尚不清楚勒索软件团伙是否只是在虚张声势，还是真的会拒绝接受任何更低的报价。 外媒BleepingComputer已经联系豪雅要求对最近的进展发表评论，但尚未收到回复。与此同时，自2024年4月4日以来，豪雅没有对业务状态进行任何更新，因此可以推测生产仍然受到影响，补救措施仍在进行中。 “国际猎手”是一个在2023年中期出现的勒索软件即服务（RaaS）团伙。其加密器与Hive勒索软件团伙共享代码，可能是后者的换壳。然而，“国际猎手”否认与Hive团伙有任何关联，声称他们是从已经停业的勒索软件团伙那里购买的软件和网站。 从2023年中期开始，“国际猎手”对各个行业的公司发起了攻击，要求的赎金金额从几十万美元到数百万美元不等。这家勒索软件团伙的攻击目标非常广泛，甚至包括医院，并向患者提出勒索要求。   转自安全内参，原文链接：https://mp.weixin.qq.com/s/PPh076N7pVdeuSLywtVDgQ 封面来源于网络，如有侵权请联系删除

DAIXIN Team 勒索软件组织声称对酒店行业知名品牌 Omni Hotels & Resorts 发起的恶意网络攻击负责。 根据暗网上发布的消息，该勒索软件组织不仅渗透了该连锁酒店的系统，还窃取了敏感数据，包括自 2017 年以来所有访客的记录。此外，他们还发出了即将泄露数据的警告。 Cyber Express 在 4 月初首次报道了 Omni Hotels & Resorts 遭受的网络攻击，当时这家豪华连锁酒店发现自己在遭受确认的攻击后陷入了全国范围内的 IT 崩溃。 自 3 月 29 日以来，这家豪华连锁酒店一直在应对 Omni Hotels & Resorts 被网络攻击的影响，该攻击导致其旗下酒店普遍出现 IT 中断。 为了对网络攻击做出快速反应，Omni Hotels & Resorts 采取了果断行动，关闭了受影响的系统，以减轻进一步的损害并遏制漏洞。尽管在恢复受影响的系统方面取得了重大进展，但要恢复所有运营仍在继续努力。 Omni 酒店遭受网络攻击：勒索软件索赔未经证实 尽管 DAIXIN Team 提出的勒索软件索赔很严重，但 Omni Hotels & Resorts 的官方核实仍在进行中。Cyber Express 团队联系该公司进行澄清，但截至最新消息，尚未收到官方回应。 在针对此次攻击的官方声明中，Omni Hotels & Resorts 承认网络攻击造成的破坏，并向客人保证将持续努力修正这种情况。 全面调查正在进行中，Omni Hotels & Resorts 正在与领先的网络安全专家合作以评估泄露的全部范围。调查旨在确定事件的范围以及连锁酒店系统内存储的数据是否存在任何潜在的泄露。 对客人的承诺中的运营挑战 网络安全仍然是 Omni Hotels & Resorts 的首要任务，该公司对网络攻击造成的不便表示遗憾，并赞扬其团队为恢复正常运营所做的不懈努力。 尽管某些系统处于离线状态，但基本服务已恢复，客人可以在加强安全措施的情况下继续享受热情的款待。 随着调查的展开，Omni Hotels & Resorts 强调其透明度和问责制，重申其对保护客人信息和确保业务连续性的承诺。 这次网络攻击明确地提醒人们，网络犯罪分子所构成的威胁始终存在，并凸显了酒店业及其他行业采取强有力的网络安全措施的必要性。   转自安全客，原文链接：https://www.anquanke.com/post/id/295646 封面来源于网络，如有侵权请联系删除

美国医疗服务提供商Group Health Cooperative（GHC-SCW ）透露，勒索软件团伙在1月份侵入其网络，窃取了包含超50万人的个人和医疗信息的文件。 此次被盗的信息包括： 患者姓名 地址 电话号码 电子邮件地址 出生或死亡日期 社会安全号码 会员人数 医疗保险及医疗补助号码 该卫生组织于2024年1月25日发现系统遭到未经授权访问，导致GHC-SCW多个系统瘫痪，攻击者试图加密系统但未成功。 GHC-SCW已向FBI报告了此次网络攻击，并聘请外部网络安全代理处理，确认黑客已复制了GHC-SCW的数据。 GHC-SCW表示已与FBI和CISA合作，并采取额外措施减轻事件可能造成的伤害。 医疗保健提供商已在其IT和网络系统中增强了安全措施，受攻击影响的人员将获得为期一年的监控服务。 BlackSuit 勒索软件声称认领 尽管该组织没有透露1月份泄露事件的威胁组织名称，但BlackSuit勒索软件团伙声称对3月份的攻击负责。 攻击者称：被盗文件还包括受影响患者的财务信息、员工数据、商业合同和电子邮件通信。 BlackSuit 泄露网站上的 GHC-SCW 条目 BlackSuit的暗网自去年5月首次被发现以来，已增加了数十名受害者，但人们对这一勒索软件背后的组织知之甚少。 今年6月，Royal勒索软件团伙（被认为是Conti组织的继承者）开始测试一种名为BlackSuit的新加密器，此前有传言称他们可能重新命名。 随后，Royal更名为BlackSuit，并采用了类似Conti2的更加集中的运营模式。 据FBI和CISA在11月的联合通报，自2022年9月以来，Royal勒索软件团伙已经侵入全球至少350个组织的网络，索要超2.75亿美元赎金。   消息来源：bleepingcomputer，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

英国议会国家安全战略联合委员会指责，英国政府应对勒索软件出现失误，让国家陷入“完全暴露、毫无防备”的状态。 有消息称：英国议会下属国家安全战略联合委员会（JCNSS）批评该国政府采取“鸵鸟策略”，对勒索软件构成的“巨大而迫在眉睫”的国家网络威胁置之不理。 本周一（3月11日），英国政府对JCNSS此前发布的一份报告做出正式回应，招致了上述批评。 JCNSS在2023年12月发布报告警告称，政府的失误意味着国家面临“高风险”，可能随时面临“灾难性的勒索软件攻击”。报告提出了一系列建议，并特别批评了前内政大臣Suella Braverman，称她“对（勒索软件攻击）这个话题不感兴趣”，尽管她的部门自称在该问题上是政府的领导者。 英国政府在周一的正式回应中，拒绝了JCNSS报告中的关键建议，比如剥夺内政部处理勒索软件问题的职责，并辩称英国现有法规和当前的国家网络战略已足以应对问题。 JCNSS委员会主席Margaret Beckett议员在周一表示，政府没有把重点放在为英国“众所周知、显然存在的极高风险做准备上”，这并不令人意外。她指出，英国对于新冠疫情也进行了类似的风险评估，然而“平心而论，我们的国家的应对措施实属混乱”。 Beckett表示，政府对JCNSS报告的回应“更清晰地表明，政府不知道全国范围内的网络攻击的程度或成本，也压根没有打算相应地增加资金或资源投入，尽管英国是世界上第三大受网络攻击的国家”。 此前媒体报道，英国的勒索软件攻击正在达到历史最高水平，2023年上半年的攻击几乎与前一年的攻击总数相当多。中央和地方政府在那段时间报告的攻击比以往任何时候都多。 JCNSS委员会在周一表达了“持续深刻关切”，指出英国政府的“短视主义和缺乏准备和规划”可能招致“造成严重破坏的勒索软件攻击，从对经济和生产力的持续损害到实质性国家紧急状态，会带来不同程度的后果”。 Beckett提出质疑：“如果政府坚持采取鸵鸟策略处理国家网络安全，依然基于互联网出现之前制定的法律，依赖一个对这个问题似乎不感兴趣、协调性和资源远逊于网络攻击者的部门，那么英国有什么依据说会采取主动的国家安全措施来保护自己呢？” “如果英国继续采取这种处理勒索软件的方式，就将继续处于完全暴露、毫无防备的状态。政府目前的回应并不是委员会寻求的保证，也不是国家所需要的。所有负责处理网络安全问题的部门都应该退后一步，重新评估并重新考虑英国应该如何抵御这种极其有害的威胁。”   转自安全内参，原文链接：https://www.secrss.com/articles/64379 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 本周，勒索软件组织 Black Basta 宣称将美洲免税店 Duty Free Americas (DFA)纳入其新增的十几个新勒索软件受害者之一。且已从其公司网络系统中窃取了约 1.5 TB 的敏感信息。 BlackBasta网站截图 DFA总部位于佛罗里达州，被誉为西半球最大的免税零售商，拥有1000多名员工，并经营自己的仓库和配送中心。 该公司在美国、中美洲和南美洲的机场和海港以及美国与墨西哥和加拿大边境的部分地区拥有 250 家品牌专卖店。 安全研究员多米尼克·阿尔维耶里（Dominic Alvieri）于周二首次在X平台上发布了有关此次攻击的信息。“Black Basta发布了相关信息，其中包括位于200多个机场和边境口岸的Duty Free Americas”。 用户发布帖子截图 Black Basta声称窃取了DFA的多个部门文件，包括会计、财务、法律和人力资源等，其中包含大量敏感员工数据。 该组织发布了约15个样本泄露页面，其中约十个内容是DFA员工的护照、社会保障卡和驾驶执照。另外还展示了带有完整帐号的信用卡复印件。 BlackBasta DFA 泄漏样本 DFA是法利克集团的全资子公司，法利克集团是法利克家族经营的奢侈品牌香水帝国。 大量属于法利克家族成员的敏感文件已被泄露到Black Basta网站上，包括出生证明、结婚证书、宗教文件、美国司法部指纹检查文件、登机牌以及379,000美元的信用卡账单样本。目前该公司暂未回复。 Black Basta被认为是俄罗斯Conti勒索软件团伙的一个分支，自2022年以来，已赚取超过1亿美元的比特币赎金。 BlackBasta 泄露博客 本次， Black Basta 网站上列出的其他受害者包括佛兰德“Duvel”Moortgat Brewing Company、Xcel 奢侈品牌授权和管理公司以及北美最大的便利店分销商之一帝国贸易公司。     消息来源：cybernews，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文