HackerNews 编译，转载请注明出处： 勒索组织Interlock宣称对圣保罗市政府网络攻击负责。该组织于周一将这座明尼苏达州城市列入其数据泄露网站，声称窃取了43GB数据，但未列出赎金金额与支付期限。市政府与州政府官员均未回应置评请求。 尽管攻击中窃取的具体数据尚未明确，但市长梅尔文·卡特在7月29日记者会上表示最担忧政府雇员数据安全。市政府官员称，居民数据存储在云应用程序中未受影响。上周日，市政府发言人向当地媒体证实遭遇勒索攻击但拒绝支付赎金。 卡特向记者说明：“威胁方已提出具体赎金要求。我们明确拒绝支付后，对方威胁称若不付款将泄露部分数据。自始至终我们始终保有全部数据的访问权及系统控制权，目前正对所有城市系统实施全面重启——包括服务器及所有设备，并为其升级安全软件。”他接受媒体采访时补充道，官员们正逐一检查政府管控的服务器与设备，未来数日将手动重置所有市政员工的密码，本周起逐步恢复系统运行。 卡特为应对措施辩护，称由于FBI正在调查，因此无法充分披露信息。“网络攻击的规模与复杂程度在过去五年急剧升级，各级政府、学校、医院等机构都需警惕并强化安全协议。” 攻击影响 圣保罗市政府服务因勒索攻击已瘫痪数周。尽管911等紧急服务仍可用，但多项关键职能陷入停滞：居民无法在线支付公用事业账单，许可证等业务被迫转为纸质办理；水费在线支付端口关闭，政府声明“暂不接受任何形式的水费缴纳（线上/电话/现场）”，滞纳金暂免征收；图书馆WiFi、计算机及打印服务中断，新账户注册功能停用，市政府已为咨询居民设立临时联系电话及邮箱。 上周市政府警告，黑客正针对30万居民发送虚假政府账单，呼吁勿点击来源不明的链接或附件。此次攻击对基础设施破坏严重，明尼苏达州长蒂姆·沃尔兹已调动国民警卫队参与恢复工作。 值得注意的是，圣保罗遭袭前一周，FBI刚发布Interlock勒索组织的预警通报。该通报称该勒索软件正针对北美与欧洲的关键基础设施及企业，调查人员发现Interlock与另一知名政府攻击组织Rhysida存在潜在关联。今年该组织还曾导致透析服务商DaVita及俄亥俄州大型医疗系统瘫痪。       消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 朝鲜政府支持的黑客组织ScarCruft（又称APT37）在近期攻击中首次部署了勒索软件。该组织长期以高价值个人和政府机构为网络间谍目标，但韩国安全公司S2W周四报告称，其在此次行动中使用了“新发现的”勒索软件。 研究人员将该勒索软件命名为VCD（取自其对加密文件添加的扩展名）。其会生成英文和韩文两个版本的勒索通知。S2W指出，ScarCruft使用勒索软件的行为“暗示其可能转向经济利益驱动的行动，或拓展了包含破坏性及勒索策略的运营目标”。 ScarCruft过往主要攻击韩国、日本、越南、俄罗斯和尼泊尔的目标。在7月针对韩国用户的攻击中，黑客通过鱼叉邮件投递恶意压缩包入侵系统。诱饵文件显示关于街道地址变更导致的邮政编码更新信息（报告未明确邮件接收者身份）。 研究人员在此次攻击中识别出超过9类恶意软件，包括信息窃取工具LightPeek、FadeStealer，以及利用合法实时通讯平台PubNub进行命令控制（C2）的后门程序NubSpy。ScarCruft通过PubNub将恶意流量伪装成正常网络通信以隐藏行踪。 该行动被归因于ScarCruft下属小组ChinopuNK（该小组曾传播可窃取系统信息并支持Windows/Android双平台攻击的Chinotto恶意软件）。本次攻击中黑客使用了名为ChillyChino的新变种。 研究人员基于两点证据高度确认攻击由ScarCruft发起：一是使用PubNub进行C2通信；二是部署了FadeStealer（该组织自2023年起使用的恶意软件，可录制音频、记录击键并收集外接设备数据）。 据信隶属于朝鲜国家安全部的ScarCruft是该国最活跃的黑客单位之一，以社会工程学手段诱骗受害者打开恶意文件著称。今年5月，该组织曾伪装成朝鲜问题专家及智库发送钓鱼邮件。去年还针对媒体和知名学者以“收集战略情报”，据称这些情报能“影响朝鲜决策流程”。 尽管勒索软件的部署对ScarCruft整体战略意图尚不明确，但朝鲜政府关联黑客常参与经济利益驱动的攻击，为受制裁政权筹集资金。联合国去年报告显示，其正调查近60起由朝鲜黑客（包括Kimsuky、Lazarus、Andariel和BlueNoroff等组织）实施的网络攻击，这些攻击在六年内窃取约30亿美元资金。联合国专家强调：“这些网络威胁行为体的核心任务是为朝鲜获取有价值信息并非法创收。”       消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 思科公司披露，在针对其公司代表的语音钓鱼（vishing）攻击后，网络犯罪分子窃取了在Cisco.com注册用户的基本档案信息。 这家网络设备巨头于7月24日发现该事件，调查发现攻击者诱骗了一名员工，并获得了对思科使用的第三方云客户关系管理（CRM）系统的访问权限。 这导致攻击者窃取了拥有Cisco.com用户账户的个人的个人信息和用户信息，包括姓名、组织名称、地址、思科分配的用户ID、电子邮箱地址、电话号码以及账户元数据（如创建日期）。 然而，思科表示攻击者未获取“组织客户的机密或专有信息，或任何密码及其他类型的敏感信息”。思科补充说，该事件未影响其产品或服务，且其他思科CRM系统实例也未受影响。 “获悉事件后，我们立即终止了攻击者对该CRM系统实例的访问权限，并启动了调查。思科已与数据保护机构沟通，并根据法律要求通知了受影响的用户，”该公司称。“我们正在实施进一步的安全措施，以降低未来发生类似事件的风险，包括重新培训员工如何识别和防范潜在的语音钓鱼攻击。” 思科尚未披露有多少个人的个人信息和用户账户信息在此次事件中被盗，也未说明攻击者是否要求支付赎金以换取不泄露被盗数据。 Salesforce CRM数据泄露事件 尽管思科尚未确认，但这很可能与持续利用语音钓鱼和社会工程技术的Salesforce数据窃取攻击浪潮有关，该攻击被归因于ShinyHunters勒索团伙。 近期还有其他知名企业受到Salesforce数据泄露影响，包括阿迪达斯（Adidas）、澳洲航空（Qantas）、安联人寿（Allianz Life）、LVMH集团旗下品牌路易威登（Louis Vuitton）、迪奥（Dior）和蒂芙尼（Tiffany & Co.），以及时尚巨头香奈儿（Chanel）。 BleepingComputer联系思科发言人希望分享受影响用户数量详情并确认数据是否从被入侵的Salesforce实例窃取时，对方未立即回应。 去年10月，在名为IntelBroker的威胁攻击者于黑客论坛BreachForums泄露“非公开”数据后，思科还不得不将其公共DevHub门户下线。一个月后，思科确认该攻击者从配置错误的面向公众的DevHub门户下载了文件，其中包括一些属于CX Professional Services客户的文件。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Arctic Wolf报告显示，自7月下旬以来，SonicWall防火墙设备遭Akira勒索软件攻击的频率显著上升，攻击者可能利用了一个此前未知的安全漏洞。 Akira勒索组织自2023年3月活跃至今，已累计入侵超300家机构，受害者涵盖日产（大洋洲及澳大利亚地区）、日立、斯坦福大学等知名企业及高校。截至2024年4月，美国联邦调查局（FBI）确认该组织通过250余起攻击事件获利超4200万美元。 Arctic Wolf实验室观察到，自7月15日起多起勒索入侵事件涉及通过SonicWall SSL VPN连接的非授权访问。研究人员指出：“本次攻击活动的初始入侵方式尚未完全确认。尽管零日漏洞存在的可能性极高，但通过暴力破解、字典攻击和凭证填充等方式获取访问权限的可能性在所有案例中均未被完全排除。” 攻击呈现显著特征： 快速入侵加密：攻击者从通过SSL VPN账户初始访问网络到实施数据加密的间隔极短，该模式与至少自2024年10月观察到的同类攻击一致，表明针对SonicWall设备的持续性攻击活动； 异常认证源：勒索运营者使用虚拟私有服务器（VPS）进行VPN认证，而合法VPN连接通常源自宽带互联网服务提供商； 基础设施共享：多起入侵事件存在共享基础设施特征，表明攻击存在协同性。 防御建议 鉴于SonicWall零日漏洞极可能被野外利用，Arctic Wolf建议管理员： 暂时禁用SonicWall SSL VPN服务； 在补丁发布前实施强化措施：增强日志监控、部署终端检测、阻止托管服务商网络的VPN认证请求。 关联漏洞预警 报告发布一周前，SonicWall曾警告客户修复安全移动接入（SMA 100）设备中的高危漏洞（CVE-2025-40599）。该漏洞可导致未修复设备遭受远程代码执行攻击，但利用需管理员权限且暂无活跃利用证据。同时提醒：Google威胁情报小组发现攻击者正利用泄露凭证在SMA 100设备上部署新型OVERSTEP rootkit恶意软件。 SonicWall强烈建议客户： 对照GTIG报告中的入侵指标（IoCs）检查设备； 审查日志中的非授权访问及可疑活动； 发现入侵证据立即联系官方支持。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国折扣零售巨头Dollar Tree（美元树）被最臭名昭著的勒索软件团伙之一宣称攻击。该团伙在其暗网博客上公布了该公司，声称已获取超过1TB数据。而Dollar Tree表示已知悉攻击者的声明，并强调任何关于该公司卷入此事的指控均不属实。 Dollar Tree的名称近期出现在INC Ransom的泄密网站上——该团伙利用此网站展示其最新受害者。攻击者宣称这家折扣零售巨头已成为“数据泄露的受害者”，并威胁“1.2TB敏感及个人数据即将公开”。 Dollar Tree向Cybernews表示，公司已注意到勒索软件团伙的声明，但指出数据泄露指控仅涉及其在2024年收购的99 Cents Only连锁店。公司发言人声明：“这些指控中提及的文件似乎涉及前99 Cents Only员工。Dollar Tree与99 Cents Only Stores的关联仅限收购其关闭后的部分房地产租赁权。我们并未收购其企业实体、系统/网络或数据。任何关于Dollar Tree卷入此事的指控均不准确。” Dollar Tree是零售业巨头，在美加拥有超15,000家门店，雇员超65,000人，2024年营收逾175亿美元。 由于该团伙刚将Dollar Tree列入其暗网博客，目前尚未在公告中附加完整数据样本。勒索软件团伙通常先公布受害者，再以泄露数据为威胁逼迫其支付赎金。 截至目前，INC Ransom仅上传了少数据称与Dollar Tree相关的文档截图，但大部分信息指向另一折扣连锁品牌99 Cents Only（Dollar Tree于2024年收购）。攻击者可能获取了99 Cents Only遗留系统或与并购相关的企业数据库。 若事件属实，这并非Dollar Tree数据首次外泄。2023年有报道称，该公司曾将员工及客户未加密信息共享给第三方供应商，而后者随后遭入侵。 INC Ransom是当前最活跃的勒索软件团伙之一。该组织两年前首次被发现，此后攻击名单持续扩大，受害者包括国防承包商Stark AeroSpace、旧金山芭蕾舞团、英国莱斯特市政府及施乐公司（Xerox Corporation）等。 该团伙攻击目标广泛，甚至曾针对加拿大汉密尔顿教区天主教墓园等非营利机构。据Cybernews暗网监测工具Ransomlooker显示，过去12个月INC Ransom已侵袭超200家组织，其中7月是其攻击高峰。 该团伙采用“多重勒索”手段：不仅加密窃取数据，更威胁不付款即公开数据。其攻击行业横跨医疗、教育及政府领域，目标地域集中于西方国家，但明确避开独联体国家——这与许多俄罗斯背景网络犯罪团伙的策略一致。 有研究人员认为，新兴勒索团伙Lynx可能是INC Ransom成员重组或更名的产物。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 北美主要冰制品供应商北极冰川（Arctic Glacier）被曝光出现在某网络犯罪集团的暗网博客上，该平台被用于展示其最新受害目标。 黑客组织麒麟（Qilin）勒索软件团伙在其博客宣称入侵了该公司，并声称已获取敏感企业数据、员工详细信息及其他私人资料。北极冰川是美国和加拿大最大的包装冰及碎冰产品供应商之一，其服务对象包括便利店巨头7-Eleven等主要品牌。 cybernews已联系北极冰川公司寻求置评，收到回复后将更新报道。 与此同时，攻击者分享了多张据称是窃取数据的截图。泄露信息包括多份护照和驾照副本、员工薪酬数据，以及若干法律和财务文件。 理论上，攻击者可能利用这些被盗信息实施身份盗窃，用于欺诈性账户注册。此外，威胁行为者还可能通过伪装成公司客户或雇主，利用泄露数据发起针对性钓鱼攻击。更严重的是，攻击者或通过分析泄露的法律文件探查企业利益关系，进而策划更具破坏性的后续攻击。 北极冰川在北美运营着超过100个分销中心，为超过75,000家零售、商业和工业客户提供服务。据报道，该公司雇佣员工逾千人，去年营收接近3亿美元。 此次攻击的幕后黑手麒麟勒索软件今年影响力持续扩大。该团伙自2022年开始活动，但2025年明显加大了攻击频率，仅4月份就攻击了68个实体。近期，该团伙还被指入侵了法国SMABPT集团西班牙子公司Asefa，以及纽约地标建筑麦迪逊大道550号。麒麟团伙今年初因攻击全球能源与制造业巨头SK集团而引发广泛关注。根据Cybernews暗网监测工具Ransomlooker的数据，过去12个月内该团伙已攻击至少350家公司。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 超过九国警方联合行动，于上周四查封了BlackSuit勒索团伙的暗网勒索站点。 访问该团伙主要TOR域名及其私密谈判页面时，用户将被重定向至“查封横幅”，声明这些网站“已被美国国土安全调查局（HSI）查封”，属于国际联合行动的一部分。横幅展示17家执法机构标识及网络安全公司Bitdefender的徽标，其中隶属移民与海关执法局（专注跨国犯罪调查）的HSI标识位于最显眼位置。截至发稿，HSI尚未回应置评请求。 BlackSuit团伙自2023年4/5月起活跃，是一个“私有”勒索组织——不同于勒索即服务（RaaS）模式，其工具链不向其他犯罪分子授权。联邦调查局（FBI）和网络安全与基础设施安全局（CISA）去年的联合公告指出，BlackSuit很可能是Royal勒索团伙的“换皮”版本，其背后的网络犯罪分子被认为与Conti集团有关联——后者是俄罗斯网络犯罪界最受关注、研究最深入的团体之一。 该公告披露，BlackSuit向全球受害者勒索的赎金总额“超过5亿美元”，已知受害者包括日本奖章巨头角川集团（Kadokawa）以及美国最受欢迎的动物园之一坦帕湾动物园。2024年4月，该团伙宣称攻击血液血浆采集机构Octapharma，美国医院协会称此次攻击导致“全国近200家血液血浆采集中心被迫暂时关闭”。 网站查封后，思科Talos事件响应团队发布研究称，部分BlackSuit成员已转而加入Chaos勒索团伙，“依据是勒索软件的加密算法、赎金通知结构以及攻击所用工具集的相似性。”       消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 根据NCC Group的最新研究结果，2025年第二季度全球勒索软件攻击数量较第一季度下降43%，执法行动与内部冲突对威胁态势产生了重大影响。 4月至6月期间共记录了1180次攻击，而第一季度为2074次。 该公司还观察到，2025年6月声称发动的勒索软件攻击连续第四个月下降，较5月减少6%，降至371次。 第二季度的放缓紧随今年前三个月攻击量的急剧上升，这一上升主要由Clop、RansomHub和Akira等主导团伙的激进攻击活动驱动。 然而，近期的执法行动已打击了一些关键勒索软件运营者，包括针对Clop和RansomHub的附属组织。值得注意的是，Clop和RansomHub在第二季度已从活跃勒索软件团伙前十名单中消失。 NCC Group研究人员指出：“这些打击可能在勒索软件团伙生态系统中产生了连锁反应，迫使附属组织重新集结或转向新兴勒索软件团伙。” 这份发布于7月23日的报告还强调，内部信息泄露及不同勒索软件行为者之间的冲突可能是攻击放缓的因素之一。5月，臭名昭著的LockBit团伙的内部信息遭泄露。 同时，研究人员观察到DragonForce在与竞争对手勒索软件运营者进行“地盘争夺战”，以图确立其在网络犯罪市场的主导地位。DragonForce似乎对2025年3月下旬RansomHub的基础设施中断负有责任，此举遏制了其运作。 攻击量下降的另一个可能因素是第二季度受复活节和斋月等全球性假期影响导致的季节性放缓。 Qilin领跑碎片化市场 Qilin（麒麟）是第二季度最活跃的勒索软件团伙，声称发动了151次攻击，占总量的13%。这一数字高于第一季度的95次攻击。 排名第二的是Akira（131次攻击），其次是Play（115次）和SafePay（108次）。SafePay在5月因声称发动70次攻击而引发广泛关注。该组织首次被发现于2024年9月，研究人员指出关于该团伙的公开信息相对较少。 专家将SafePay与其他知名行为者（如LockBit、BlackCat、INC Ransom和Play）联系起来。 NCC Group透露，2025年已追踪到86个新的和现有的活跃攻击组织，数量有望超过2024年的纪录。NCC Group全球威胁情报主管马特·赫尔（Matt Hull）评论道：“攻击者数量的增加意味着企业需要防范更广泛的攻击手法。” 行业目标分布 第二季度遭受攻击最多的行业是工业领域，共353次攻击，占总量的30%。紧随其后的是非必需消费品行业，251次攻击占总量21%。该行业包括零售业，后者在第二季度成为重点攻击目标。 信息技术（10%）、医疗保健（8%）和金融服务（6%）位列本季度前五大受攻击行业。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）周二警告北美和欧洲的企业，需加强系统防护以应对一种新的Interlock勒索软件变种。 该双重勒索组织于2024年秋季首次出现在勒索软件领域，已知针对各种关键基础设施组织和行业，包括医疗保健、教育、技术、政府和制造业。 “这些行为者本质上是机会主义且受经济利益驱动，采用各种手段渗透并破坏受害者提供基本服务的能力。”CISA表示。 “Interlock勒索软件是一个鲜明的例子，展示了当今勒索软件组织变得多么危险和不可预测，”Swimlane的首席安全自动化架构师Nick Tausek表示。 “尽管他们直到2024年底才被发现，但该组织一直非常活跃，并对像DaVita和Kettering Health这样的医疗机构发起了高调攻击。”Tausek说。 今年5月，Interlock成为头条新闻，原因是它声称对中西部医疗集团Kettering Health长达数周的勒索软件攻击负责，该攻击迫使其14个医疗中心和120多家门诊诊所取消了数千个诊疗程序。 JavaScript转向PHP FBI表示，已观察到Interlock通过入侵合法网站进行路过式下载（drive-by download）来获得对其受害者的初始访问权限，将恶意载荷伪装成虚假的Google Chrome或Microsoft Edge浏览器更新，这对勒索软件行为者而言是一种非典型方法。 该组织还以使用“ClickFix社会工程技术”而闻名，例如，通过虚假的reCAPTCHA诱骗用户执行Interlock远程访问木马（RAT）。 “验证码包含指示用户打开Windows运行窗口、粘贴剪贴板内容，然后执行恶意Base64编码的PowerShell进程。”公告称。 该警告发布不到一周前，The DFIR Report和Proofpoint的联合研究发现该组织正在使用其先前识别的基于JavaScript的Interlock RAT的“一种新的、更具弹性的变种”。 这种新变种转而使用PHP，似乎是2025年6月首次出现的、新的大规模Kongtuke FileFix恶意软件活动的一部分。 Interlock Kongtube FileFix 恶意软件活动 链接的JavaScript首先提示用户点击验证码以“验证您是人类”，然后是“验证步骤”，要求打开运行命令并粘贴剪贴板内容。粘贴后，它会执行一个PowerShell脚本，最终导致Interlock RAT感染。图片来自The DFIR Report和Proofpoint。 Tausek解释说，Interlock的独特之处在于其战术多样性。 “该组织曾使用ClickFix攻击冒充IT工具渗透网络，部署远程访问木马（RAT）来传播恶意软件，并且最近采用了双重勒索策略以最大化对受害者的压力。” 安全研究人员观察到的Interlock勒索软件变种与Rhysidia威胁组织使用的变种有相似之处，表明Interlock可能是经验丰富的俄罗斯相关组织Rhysida团伙的一个分支。 World Secrets Blog 已观察到该组织同时使用RAT和CobaltStrike工具快速建立远程命令与控制中心（C2），然后通常会下载PowerShell来安装某种信息窃取程序（如LumanStealer）以及键盘记录器二进制文件，以“窃取凭据进行横向移动和权限提升”。 Interlock会部署针对Windows和Linux操作系统的勒索软件加密器，同时也常用AnyDesk进行远程文件传输。 在加密受害者的文件（使用.interlock或.1nt3rlock文件扩展名）后，该团伙会发送一张便条，指示受害者访问其“Worldwide Secrets Blog”洋葱地址以进行联系并用比特币支付赎金。 “您的网络已被入侵，我们已获取您最重要的文件。”Interlock在5月对Kettering Health写道，威胁称除非支付未公开的赎金，否则将公布其声称从Kettering网络中窃取的1TB数据。 Broadcom在2024年10月对该勒索软件团伙的分析报告中指出，其“警告受害者不要修改文件、使用恢复软件或重启系统，因为这些行为可能导致不可逆转的损害。”Broadcom还表示，Interlock受害者通常只有96小时进行谈判。 根据Cybernews的Ransomlooker工具，自今年1月以来，该组织已声称至少攻击了35名勒索软件受害者，其中约一半的攻击发生在过去六周内。 “这些攻击的范围和频率突显了现代威胁行为者变得多么具有适应性。攻击现在来自多个向量，通常是同时进行，组织必须做好准备，”Tausek告诉Cybernews。 CISA建议组织通过实施强大的端点检测和响应（EDR）工具及能力来加固系统，包括修补暴露的系统、采用多因素认证和进行网络分段。 Tuasek表示，除了定期修补、网络分段和其他主动防御措施外，“同样关键的是让员工具备识别社会工程尝试的意识，以免导致系统被入侵。”       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国政府已确认将推进一项拟议禁令，禁止公共部门和关键国家基础设施（CNI）组织支付勒索软件赎金。 此前在2025年1月发起的一项公众咨询中，四分之三的受访者表示支持该提案。 该禁令旨在通过使这些目标对网络犯罪团伙的吸引力降低，从而更好地保护医院、学校和交通等基本公共服务免受勒索软件攻击。 过去一年中，众多英国公共部门服务遭受了勒索软件影响，包括地方议会和医院。5月，英格兰国民医疗服务体系(NHS England)敦促其供应商承诺采取强有力的网络安全措施，以应对“普遍存在”的勒索软件威胁。 不在禁令覆盖范围内的企业将被要求在向攻击者支付赎金前通知政府。政府随后将向受害者提供建议和支持，包括告知他们如果资金流向受制裁的网络犯罪团伙，支付赎金将面临违法风险。 安全部长丹·贾维斯（Dan Jarvis）评论道：“勒索软件是一种掠夺性犯罪，它将公众置于风险之中，破坏生计，并威胁我们所依赖的服务。这就是为什么我们决心粉碎网络犯罪分子的商业模式，在我们实施‘变革计划’（Plan for Change）的同时，保护我们所有人都依赖的服务。” 英国将制定强制性勒索软件报告制度 作为反勒索软件措施的一部分，英国政府还承诺建立强制性勒索软件事件报告制度。 政府表示，在咨询期间，该制度获得了强烈支持。 强制性报告旨在为英国执法机构增强有关勒索软件攻击的情报收集能力。这些信息也可用于支持针对勒索软件团伙的国际执法行动。 专家对提案的有效性表示质疑 专家们对政府计划的有效性提出了担忧。 这包括制造“双重体系”的风险，即不在禁令覆盖范围内的企业和实体面临更多攻击目标的风险。 另一个风险是可能将勒索软件攻击进一步推向地下，那些认为自己别无选择只能支付的受害者可能会设法规避禁令进行支付，例如使用第三方中介来处理付款。 一些组织也可能选择错误标记勒索软件攻击，以逃避审查或潜在处罚。 Immersive网络威胁情报高级总监凯夫·布林（Kev Breen）警告说：“针对新措施，我们应考虑一个问题：这是否存在将公司推离报告的危险？如果选项是通过支付来快速恢复，对比因被禁止而无法恢复，诱惑可能是支付赎金然后干脆不报告。” 佩恩·希克斯·比奇（Payne Hicks Beach）律师事务所争议解决团队合伙人马克·琼斯（Mark Jones）指出，在意大利（支付勒索软件攻击者赎金已属非法）的一项调查显示，43%的组织仍然承认支付了勒索软件赎金。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文