自2023年2月在暗网上首次推出专门的数据泄露网站以来，美杜莎勒索软件家族逐渐加大其网络攻击的力度。相关研究人员称，该组织采用了多重勒索策略，为受害者提供了不同价格的多种选择，如延长时间、数据删除或下载所有数据等。 美杜莎勒索软件家族在2022年底“萌芽”，并在2023年开始“崭露头角”，以对高科技、教育、制造、医疗保健和零售等行业的广泛攻击而出名。据估计，2023年有多达74个组织（主要位于美国、英国、法国、意大利、西班牙和印度）受到勒索软件的影响。 该组织精心策划的勒索软件攻击始于利用面向互联网的资产或具有已知未修补漏洞的应用程序以及劫持合法帐户，通常使用初始访问代理来获得目标网络的立足点。 在网络安全公司观察到的一个例子中，Microsoft Exchange Server被利用来上传Web Shell，然后将其用作安装和执行ConnectWise远程监控和管理软件的管道。 其中一个值得注意的方面是依赖陆上生活（LotL）技术来与合法活动和回避检测相结合。同时还观察到使用一对内核驱动程序来终止安全产品的硬编码列表。 初始访问阶段之后是发现和侦察受感染的网络，最终启动勒索软件以列举和加密所有文件，但扩展名为 .dll、.exe、.lnk 和 .medusa（加密文件的扩展名）的文件除外。 对于每个被感染的受害者，美杜莎的泄密网站都会显示有关组织的信息、要求的赎金、被盗数据公开发布前的剩余时间以及浏览量，以向公司施加压力。 威胁行为者还为受害者提供了不同的选择，所有选择都涉及某种形式的勒索，以删除或下载被盗数据并寻求延长时间以防止数据被释放。 随着勒索软件的商品化和专业化发展，威胁行为者越来越肆无忌惮地发起攻击。他们不仅通过诉诸人身暴力威胁甚至通过专门的公关渠道来公开点名和羞辱组织。据报道，美杜莎不仅有一个专门的媒体团队来处理他们的品牌推广工作，而且还利用一个名为“信息支持”的公共Telegram频道共享受感染组织的文件。 研究人员称，美杜莎勒索软件的出现及其在2023年恶劣行径标志着勒索软件领域的重大发展。他们的操作展示了复杂的攻击手段，利用了系统漏洞和初始访问代理，同时巧妙地避免了通过离地技术进行检测。   转自E安全，原文链接：https://mp.weixin.qq.com/s/EeDUVsImC4EOb-GZ-BoBEA? 封面来源于网络，如有侵权请联系删除

据知道创宇暗网雷达监测，Sems and Specials Incorporated 遭 8Base 组织勒索，称将于 2024年1月19日公开数据。 据了解，此次泄露的数据包含发票、收据、会计凭证、个人资料、证书、雇佣合同、大量机密信息、保密协议、个人档案等。 勒索组织声称将于 2024年1月19日公开数据。 Sems and Specials Incorporated（简称SSI）是一家总部位于美国纽约州纽约市的公司，成立于1990年。该公司主要从事特殊螺钉、垫圈和金属制品等高精度零件的生产和销售，服务的行业包含海军陆战队和军队。 8Base 勒索软件组织自 2022 年 3 月以来一直表现活跃，在 2023 年 6 月的攻击活动显著增加。该组织还采用了双重勒索策略，通过多种手段迫使受害者支付赎金。 Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达

据The Record网站消息，1月11日，勒索软件组织美杜莎（Medusa）在其暗网受害名单网站上列出了 Water for People——一家专为贫困地区提供清洁饮用水的非盈利组织。 美杜莎向该组织索要30万美元赎金，否则将公布被盗信息。Water for People 的一位发言人表示：“被盗的数据均早于2021年，财务系统未受损害，也没有影响任何业务运营。我们正在与顶级事件响应公司以及我们的保险公司合作，并与我们的安全团队一起强化我们的系统，以防止未来再发生类似事件。” “虽然最近来自美杜莎勒索软件的网络攻击并未影响我们的工作，但它确实反映出，即使是像我们这样的非营利组织也成为了攻击目标。我们尝试进行善意谈判，但没有结果。”该发言人补充道。 Water for People目前在9个不同的国家开展业务，包括拉美地区的危地马拉和洪都拉斯、非洲的莫桑比克和亚洲的印度，目标是在未来八年内改善超过 2 亿人的用水状况。此次勒索攻击发生前，该组织获得了亚马逊创始人杰夫·贝佐斯（Jeff Bezos）的亿万富翁前妻麦肯齐·斯科特 (MacKenzie Scott) 1500 万美元资助。 根据 Unit 42 的最新分析，这已不是美杜莎第一次攻击与供水相关的组织，去年，一家为近50万人提供饮用水的意大利公司就曾遭到该组织的袭击。 勒索软件组织正越发“不分青红皂白” 尽管非营利和非政府组织部门的许多组织缺乏财务保障，其中大部分依赖捐款才能运营，但近来它们也未能幸免于勒索软件组织的攻击。 Unit 42 的研究数据表明，非营利部门与媒体、娱乐和农业行业一样经常受到美杜莎的攻击。英国数据保护监管机构的安全事件趋势数据显示，自 2020 年以来，英国慈善志愿部门已报告了 100 多起勒索软件事件。就在去年 9 月，国际救助儿童会也遭到了攻击。 Unit 42 分析指出，美杜莎不分青红皂白地发起攻击，凸显了此类勒索软件组织已经构成了一种相当普遍的威胁。   转自Freebuf，原文链接：https://www.freebuf.com/articles/network/371593.html 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 2023 年 11 月，医疗保健服务提供商 HMG Healthcare 遭到勒索软件攻击，导致其 40 家附属护理机构的用户和员工的健康信息被泄露。 该公司立即对这一事件展开调查，发现黑客在8月份成功入侵了其服务器并窃取了未加密的文件。 这些被盗文件包含了姓名、出生日期、联系方式、健康状况、治疗信息、社会安全号码和工作记录等个人信息。 数据泄露通知中描述道，“我们通知受影响的个人或相关方，在2023年8月，涉及您或您亲人的服务器被未授权访问，并且可能导致了信息泄露” ，“此次事件是因为黑客访问我们的服务器并窃取未加密的文件。” HMG Healthcare 立即采取安全措施，防止进一步的泄露事件。 通知进一步指出：“HMG 尝试识别被泄露的数据，但现在这个过程存在一定困难。” 为了给受害者提供更多支持，该公司设立了一个咨询中心以解答疑问，并发布了受影响的机构清单。 此外，公司还建议他们持续关注自己的账户流水、福利明细和信用记录。 虽然数据泄露通知中未详细描述攻击方式，但专家普遍推测这是一次由勒索软件攻击引发的安全事件。   消息来源：securityaffairs，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

所有的受害者现在都有机会恢复他们的数据，无需支付任何赎金。 思科 Talos与荷兰警方合作，成功解密了 Babuk 勒索软件的一个名为 Tortilla 的变种，在打击网络犯罪方面取得了重大进展。 这一成功的关键在于，警方捕获了在阿姆斯特丹的一名犯罪分子，并夺取了他提供给同意支付赎金的受害者的特定解密工具。 在 Babuk 勒索软件的源代码在黑客论坛上泄露后不久，“Tortilla”就出现了。该恶意软件变体主要针对 Microsoft Exchange 服务器，利用 ProxyShell 漏洞分发加密恶意软件。 尽管 Avast 在 Tortilla 发布前就已经推出了 Babuk 的解密工具，但由于密钥不匹配，这一工具对新的变种效果不佳。 Talos 的研究团队发现，这一病毒的可执行文件使用了固定的公钥/私钥对进行所有攻击。一旦这些密钥被提取，信息就会传递给 Avast 以更新他们的 Babuk 解密器。 Avast 已将“Tortilla”解密密钥包含在其通用解密工具 Babuk 中，其中还包含从 2021 年源代码泄露中获得的 14 个 ECDH-25519 密钥。Tortilla 受害者现在可以使用Avast 的解密器免费恢复数据 。 Cisco Talos 强调，Tortilla 并不是唯一使用 Babuk 代码加密受害者数据的操作。自 2021 年 12 月以来，还出现了其他 7 个使用该代码的恶意操作：Rook、Night Sky、Pandora、Nokoyawa Cheerscrypt、AstraLocker 2.0、ESCiArgs、Rorschach、RTM Locker 和 RA Group。   转自安全客，原文链接：https://www.anquanke.com/post/id/292557 封面来源于网络，如有侵权请联系删除

趋势科技已检测到 Water Curupira 组织正在积极传播 PikaBot 恶意软件。该活动从 2023 年第一季度开始，一直持续到 6 月底，随后在9月再次出现。 PikaBot 用于网络钓鱼活动，由两个组件组成：下载器和主模块。这种结构允许黑客通过连接到管理服务器进行未经授权的远程访问和任意命令执行，且检测风险较小。 Water Curupira 组织的活动与之前由 TA571 和 TA577 组织使用类似策略传播 QakBot 的活动重叠。PikaBot 活动的增加与 8 月份 QakBot 被清算以及 DarkGate 恶意软件的出现有关。 PikaBot 主要用作下载程序，它会启动其他恶意软件，包括后利用工具 Cobalt Strike，该工具通常在实际勒索软件部署之前使用。 PikaBot 的分发策略非常简单和熟悉：黑客将恶意附件集成到电子邮件中，下载和启动它们会导致计算机感染恶意软件。 值得注意的是，在启动感染链之前，引导加载程序会检查 Windows 操作系统的语言，如果检测到俄语或乌克兰语，则会中断执行。这表明了对 Water Curupira 群体可能起源的一些思考。 如果计算机受到攻击，PikaBot 会收集有关受害者系统的详细信息，并将其以 JSON 格式发送到控制服务器。Water Curupira 恶意活动的目标是部署 Cobalt Strike，这通常会导致随后启动 Black Basta 勒索软件。 此外，趋势科技指出，Water Curupira 在 2023 年第三季度初使用 DarkGate 开展了多项活动，并开展了少量 IcedID 活动，此后该组织完全转向使用 PikaBot。   转自安全客，原文链接：https://www.anquanke.com/post/id/292555 封面来源于网络，如有侵权请联系删除

英国国防公司 Ultra 的美国子公司 Ultra Intelligence & Communications (Ultra I&C) 遭遇了 ALPHV (BlackCat) 勒索软件团队的攻击，导致联邦调查局、北约和瑞士空军的敏感资料被黑客获取。 暗网上出现的信息显示，BlackCat 黑客在他们的博客上发布了 Ultra I&C 数据。据他们称，在 2023 年 12 月 27 日发生的攻击中，有30GB 数据被盗。Ultra I&C 的代表尚未对泄密消息发表评论。 BlackCat 公开数据包含各种信息，包括审计、财务和员工人事数据。黑客声称，被盗数据包含与联邦调查局、北约、瑞士、以色列和多家国防公司有关的信息。 瑞士联邦国防办公室证实，此次数据泄露使其空军信息受到影响，Ultra I&C 也及时向瑞士政府通报了此次网络攻击。 瑞士国防、民防和体育部（VBS）表示，此类性质的事件一向受到非常严肃的对待，目前正在进行详细调查。不过，根据目前的数据，瑞士陆军的操作系统并未受到网络攻击的影响。截至目前，黑客仅发布了商业数据。 VBS 还解释说，他们的系统不依赖于单一供应商或系统，因此可以单独保护正在使用的 IT 系统。目前他们正在评估 BlackCat 泄漏站点上发布数据的重要性。 Ultra I&C 主要为国防公司提供军事和情报加密及通信服务，这次泄露事件给相关的组织和公司带来了巨大的潜在风险。 近年来，BlackCat 已成为最臭名昭著的勒索软件团伙之一。尤其是，他们涉及 9 月的拉斯维加斯米高梅度假村和凯撒国际赌场事件，并从赌场事件中获得了高达 1500 万美元的赎金。   转自安全客，原文链接：https://www.anquanke.com/post/id/292552 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： Abdali 医院是一家综合性医院，位于约旦安曼的现代化开发区 Abdali。Abdali 医院为众多专科患者提供医疗服务。除了一般外科部门外，医院还有骨科和风湿病、妇科、泌尿科、内分泌科、神经科、肾脏科、肺科、内科、肿瘤科、传染病科和麻醉科部门。医院还提供包括整形外科和皮肤科在内的美容专科服务。此外，医院设有妇女健康中心，专注于乳腺癌治疗。 Rhysida 勒索软件组织声称已经入侵了 Abdali 医院，并将其添加到该组织的 Tor 泄露站点的受害者名单中。 该团伙发布了窃取文件的图片作为黑客攻击的证据。泄露的图片包括身份证、合同等内容。 “只剩 7 天时间，准备好你的资金，把握这个机会来竞购独家数据。我们只向一方出售，不再转售，你将成为独家数据唯一的拥有者！”Rhysida 勒索软件团伙在其 Tor 泄露站点上发布的声明中这样写道。   勒索软件团伙声称窃取了大量“敏感数据”，并以 10 比特币的价格进行拍卖。与往常一样，Rhysida 勒索软件操作者计划将被盗数据售给单一买家。团伙将在公告后的七天内公开发布数据。 在 11 月底，该勒索软件团伙声称已经黑入伦敦的爱德华七世医院，以及大英图书馆和中国能源工程公司。 Rhysida 勒索软件团伙自 2023 年 5 月以来一直活跃。根据该团伙的 Tor 泄露网站显示，至少有 62 家公司成为了该团伙的受害者。该勒索软件团伙攻击了多个行业的组织，包括教育、医疗保健、制造业、信息技术和政府部门。 上周，FBI 和 CISA 发布了一份联合网络安全建议（CSA），警告 Rhysida 勒索软件攻击。该建议是持续的 StopRansomware 行动的一部分，旨在传播与勒索软件团伙相关的战略、技术和程序（TTPs）以及妥协指标（IOCs）的信息。该报告包括最近在 2023 年 9 月调查中确认的 IOCs 和 TTPs。 “利用 Rhysida 勒索软件的攻击对象包括教育、医疗保健、制造业、信息技术和政府部门。开源报告详细描述了 Vice Society (DEV-0832) 活动与部署 Rhysida 勒索软件的行为者之间的相似性。”联合建议中写道。 “此外，开源报告已确认观察到的 Rhysida 行为者以勒索软件即服务（RaaS）的形式运作，其中勒索软件工具和基础设施以分成模式出租。支付的赎金随后在团伙和合作伙伴之间分配。” Rhysida 行为者利用外部面向的远程服务（例如VPN、RDP）获得目标网络的初始访问权并保持持久性。该团伙依靠窃取的凭证来认证内部 VPN 访问点。根据该建议，黑客在网络钓鱼尝试中利用了 Microsoft 的 Netlogon 远程协议中的 Zerologon（CVE-2020-1472）漏洞。 该组织依靠本地（内置于操作系统中）网络管理工具等技术来执行恶意操作。   消息来源：securityaffairs，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

据 Corvus Insurance 称，在 10 月份平静的一个月之后，勒索软件组织似乎在 11 月份卷土重来，列出的受害者人数达到了有史以来的最高记录。 在 2023 年 12 月 18 日发布的一份报告中，Corvus Threat Intel 观察到 11 月份有 484 名新的勒索软件受害者发布到泄漏网站。 较 10 月增长 39.08%，较 2022 年 11 月增长 110.43%。 资料来源：乌鸦座保险 这是勒索软件受害者连续第11个月同比增加，也是受害者数量连续第9个月超过300人。这也是今年第三次打破这一记录。 然而，虽然 2023 年的前两项记录主要归因于 Clop 的MOVEit 供应链攻击，但 11 月份的情况并非如此。 CitrixBleed 引发的 LockBit 活动峰值 根据 Corvus 的数据，11 月份的峰值部分归因于 LockBit 活动的复苏。 资料来源：乌鸦座保险 继经历了平静的下跌之后，11 月是 LockBit 2023 年上市受害者数量第三高的月份（121 名）。 资料来源：乌鸦座保险 Corvus 威胁情报分析师估计，如果前两个高峰是由于分支机构在寒假或暑假后重返工作岗位所致，那么 11 月份的增长可能归因于 CitrixBleed 漏洞，“据报道，该漏洞已成为该组织的新主力。” QakBot 的复兴能否意味着今年冬天创下新纪录？ 根据历史季节性数据，Corvus Threat Intel 团队预测 12 月份列出的勒索软件泄漏网站受害者数量将高于 2022 年 12 月，但可能与 11 月份的数字不符。 研究人员补充道：“我们预计一月份的数字会有所下降，因为勒索软件攻击背后的人会休息一段时间。 ” 最后，Corvus 观察到，尽管执法部门在 8 月份取缔了恶意软件加载程序 QakBot （又名 QBot），但仍对勒索软件组织产生了影响。受害者列表的新复苏表明“勒索软件生态系统已成功摆脱 QBot”。 事实上，网络安全公司现在正在观察QakBot 的回归，这可能会影响 Corvus 对不久的将来的预测。   转自安全客，原文链接：https://www.anquanke.com/post/id/292169 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： LockBit 勒索软件业务现在正在从BlackCat/ALPHV 和 NoEscape 中招募分支机构和开发人员。 上周，NoEscape 和 BlackCat/ALPHV 勒索软件的 Tor 网站突然无法访问，没有任何警告。与 NoEscape 相关的分支机构声称，该勒索组织实施了一场退出骗局，窃取了数百万美元的赎金，并关闭了该公司的网页和数据泄露网站。 NoEscape 被认为是 Avaddon 勒索软件的翻版，Avaddon 于2011年6月关闭，并向 BleepingComputer 发布了解密密钥。我们希望 NoEscape 将再次为他们的受害者释放解密密钥。 BlackCat/ALPHV 勒索软件上周也遭受了5天的中断，包括数据泄露和谈判站点在内的所有基础设施都处于离线状态。周一，该数据泄露网站恢复，但所有数据都被删除了。管理员声称他们的中断是由硬件故障引起的，然而，多方消息称，网站中断与执法行动有关（执法部门捣毁臭名昭著的 BlackCat 勒索软件网站）。 LockBit 从陷入困境的帮派中招募成员，据 LeMagIT 首次报道，LockBit 运营经理 LockBitSupp 已经开始从 BlackCat 和 NoEscape 勒索软件中招募分支机构。 在一个俄语的黑客论坛上，LockBitSupp 告诉附属机构，如果他们有被盗数据的备份，他们可以利用他的数据泄露网站和谈判小组继续勒索受害者。除了附属机构之外，LockBitSupp 还试图为 ALPHV 加密器招募编码员。 虽然目前还不清楚是否有任何 BlackCat/NoEscape 分支机构已经转移到LockBit，但在 LockBit 的数据泄露网站上已经发现了一个 BlackCat 的受害者。 FalconFeeds在推特上写道：“LockBit 勒索软件组织将德国能源署 dena (http://dena.de)添加到他们的受害者名单中，该机构之前是 BlackCat/ALPHV 勒索软件组织的受害者。” BlackCat/ALPHV是DarkSide和BlackMatter勒索软件操作的重新命名。BlackMatter 于2021年11月关闭后，其附属公司过渡到LockBit。 BlackMatter 转移受害者到 LockBit 网站 由于LockBit是目前最大的勒索软件，LockBitSupp告诉BleepingComputer，他将 BlackCat 的中断视为“圣诞礼物”。 现在判断分支机构和渗透测试人员是否已经对 BlackCat 或 NoEscape 失去了信任，并转向其他业务，现在还很难说。然而，如果我们很快看到另一个品牌组织的重塑，也就不足为奇了。     Hackernews 编译，转载请注明出处 消息来源：bleepingcomputer，译者：Serene