HackerNews 编译，转载请注明出处： 上周末，俄罗斯对乌克兰能源基础设施发动了开战以来规模最大的导弹和无人机袭击之一。此次袭击导致乌克兰全国电力中断、关键服务陷入混乱，基辅及多个其他城市几乎完全陷入黑暗。 据互联网监督机构网络封锁追踪组织（NetBlocks）消息，袭击发生后，乌克兰实施了最长达 12 小时的紧急停电措施。基辅及其他地区出现大面积互联网中断和通信故障，截至周一，抢修工作仍在进行，多个地区仍未恢复稳定供电。 乌克兰第二大电信运营商沃达丰（Vodafone）周日表示，停电已迫使其网络实施临时限制。该公司称：“停电后，所有人会立即切换至移动互联网，这导致网络连接承受极高负载。” 袭击还扰乱了乌克兰海关总署的运作。乌克兰国家边防局表示，由于数据库出现技术故障，周六其被迫暂停乌克兰与波兰边境的人员和车辆通行数小时。 该机构称：“故障是俄罗斯炮击能源设施导致停电引发的”，并补充说明边境运营已于当日晚些时候恢复。 乌克兰官员表示，周六夜间，俄方共发射 450 多架无人机以及 45 枚巡航导弹和弹道导弹，目标直指电力和天然气设施，造成热电厂及为核电站供电的变电站受损。 乌克兰能源部长斯维特兰娜・格林丘克（Svitlana Hrynchuk）表示：“如此多的弹道导弹直接击中能源设施，这一情况实属罕见。” 国营电力公司乌克兰中央能源公司（Centrenergo）报告称，其旗下多座电站遭受灾难性破坏。 该公司在一份声明中表示：“距上一次袭击还不到一个月，敌人昨晚再次袭击了我们整个发电系统。电站陷入火海！我们已全面停运，目前发电量降至零。” 自全面入侵以来，俄罗斯多次针对乌克兰能源基础设施发动袭击，导致大面积停电和互联网中断。乌克兰官员表示，部分袭击行动结合了导弹打击与协同网络攻击。 在 9 月接受 “Recorded Future News” 采访时，乌克兰最高网络安全官员奥列克桑德尔・波季曾预测，随着冬季临近，俄罗斯可能会重启对乌克兰电网及其他关键服务的袭击。他说：“我们预计他们会发动常规打击，同时试图瘫痪维持关键基础设施运转的系统。” 与克里姆林宫军事情报机构（GRU）相关的组织 —— 尤其是臭名昭著的黑客组织Sandworm—— 此前曾在对电网发动实体打击的同时实施数字入侵。 斯洛伐克网络安全公司 ESET 发布的研究显示，6 月至 9 月期间，“沙虫” 组织向乌克兰能源、物流、政府和农业部门的实体部署了多种数据擦除恶意软件。专家称，这是俄罗斯旨在破坏乌克兰战时经济稳定的更广泛行动的一部分。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 国会预算办公室（CBO）本周披露一起网络安全事件，据称有某国政府背景的黑客入侵了其系统。 这家联邦机构负责向国会提供预算及经济相关信息。《华盛顿邮报》周四报道称，一名未具名的 “外国行为体” 入侵了该机构，可能获取了国会各办公室与工作人员之间的通信信息和聊天记录。 众议院预算委员会主席乔迪・阿灵顿（得克萨斯州共和党人）在声明中证实，此次 CBO 遇袭背后是 “复杂的外国行为体”。 “众议院预算委员会正与 CBO、众议院首席信息官及其他相关方密切合作，监控局势发展，确保事件得到控制，并减轻入侵造成的任何不利影响，” 阿灵顿表示。 CBO 发言人证实了这起安全事件，并指出该机构已立即采取行动控制事态，同时推行 “额外监控措施和新的安全管控手段，以进一步保护机构未来的系统安全”。 “事件正在调查中，为国会提供的工作仍在继续，” 该发言人说，“与其他政府机构和私营部门实体一样，CBO 的网络偶尔会面临威胁，我们会持续监控并应对这些威胁。” 一名匿名消息人士告诉《华盛顿邮报》，此次入侵是在 “近日” 被发现的，该机构已告知国会其 “及早” 侦测到了这一事件。 CBO 拒绝回应有关入侵性质及黑客入侵途径的后续问题。该机构主要负责向国会提供法案财务影响分析。 众议院国土安全委员会主席安德鲁・加巴里诺（纽约州共和党人）表示，他已就缓解措施联系联邦网络安全机构，并补充称，网络犯罪分子和有国家背景的黑客 “正日益瞄准各级政府实体”。 有国家背景的黑客多次针对美国涉财联邦政府机构发动攻击。今年 2 月，黑客入侵美国货币监理署（OCC）使用的电子邮件系统，获取了 “高度敏感信息”。 去年，俄罗斯政府黑客组织还利用微软软件的漏洞，攻击了美国多个政府机构。 2025 年全年，联邦网络安全机构已多次发出警告，称存在多个可能被黑客利用、针对政府系统发动攻击的漏洞。美国网络安全与基础设施安全局（CISA）已就影响微软、思科和甲骨文等热门联邦政府工具的漏洞发布紧急指令。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 比利时国家安全委员会建议，所有无人机及无人机飞行员必须进行注册。比利时政府希望通过这一举措，对近日在机场和军事基地周边出现的无人机实现管控。 比利时机场和军事基地上空已多次发现无人机飞行。这不仅造成数百万欧元的经济损失，也引发了对乘客及机场工作人员安全的担忧。 正因如此，首相巴特・德韦弗决定召开国家安全委员会会议。该委员会的职责是就恐怖主义威胁向比利时政府提供建议。 “我们绝不允许机场运营因不受管控的无人机飞行而中断。这需要全国层面的协同应对，” 内政大臣伯纳德・坎坦于周三回应时表示。 国家安全委员会的建议之一是，立即推行无人机及无人机飞行员强制注册制度。 目前，无人机（又称无人驾驶航空器系统）无需注册即可飞行，但禁止在机场、军事基地、监狱、王室领地及其他关键基础设施周边空域飞行。强制注册将便于监管部门发现无人机在禁飞区的飞行行为。 “我们并非生活在一个人人可以随心所欲的体系中。我们不能禁止所有无人机，因为它们在安全领域也能为我们提供助力，” 坎坦在国家安全委员会会议后向比利时新闻媒体表示。 此外，这位大臣还呼吁民众保持冷静。“局势确实在我们的掌控之中。威胁确实存在，这一点我不否认，但我们绝不是完全束手无策，” 他补充道。 许多人认为，欧洲机场和军事基地上空的无人机部署与俄罗斯有关。但俄罗斯方面已否认所有相关指控。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 拥有超百万听众的西班牙知名广播电台KISS-FM近日遭遇网络攻击，与俄罗斯有关联的Rhysida勒索组织声称已窃取其内部数据，并在暗网以3比特币（约合30万美元）的价格公开拍卖。 该组织在其暗网泄密站点发布声明，给电台设下7天付款期限，威胁称若未收到赎金将公开或转卖所有数据。”抓住这次竞标独家、独特数据的机会！打开你们的钱包，准备好购买独家资料。我们只进行一次销售，您将成为唯一所有者！”攻击者在公告中如此宣称。 为证明攻击属实，黑客公布了据称是窃取数据的截图样本。经Cybernews核实，被盗资料可能包含： 潜在听众收视率日志 电台与西班牙数字转型部往来文件 财务发票凭证 研究人员指出：”虽然泄露文件的具体内容尚不明确，但此类数据曝光通常会导致公众信任崩塌，引发西班牙数据保护法及GDPR法规的合规审查，并破坏商业合作关系。” KISS-FM隶属于西班牙传媒集团Mediaset España，该集团去年营收达29.5亿欧元。值得注意的是，本次作案的黑客组织Rhysida正是上周袭击美国制造业巨头Gemini Group的元凶，该组织以”双重勒索”策略闻名——既对数据加密锁定，又威胁公开泄露。 根据美国国防部最新档案，该组织专攻”高价值目标”，已成功渗透教育、医疗、政府及制造业等多个领域。安全研究人员判断其基地可能位于俄罗斯或独联体国家。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与俄罗斯有关联的Rhysida勒索软件团伙近日在暗网泄露了美国制造业巨头Gemini Group近2TB的敏感数据，北美洲员工与客户记录因此面临曝光风险。 Gemini Group总部位于密歇根州巴德阿克市，是一级供应商，在美国和墨西哥设有 18 个分支机构。福特、丰田、通用汽车等主要汽车制造商均采用该集团的产品。公司现有员工 1400 余人，年营收达 3 亿美元。 该公司提供多种产品及服务，包括塑料挤出成型、吹塑成型，以及锻造和铝型材挤压用金属模具制造，其产品供应给汽车行业的主要企业。 10月底，该团伙在其暗网泄密网站发布声明，声称已窃取Gemini Group INC的重要数据。 勒索软件团伙常以泄露站点为施压手段，逼迫企业支付赎金。若谈判破裂，攻击者通常会将窃取的数据公之于众，供任何人下载。 Rhysida 团伙采用其常用策略，给予一周宽限期后，发布了一个 1.9TB 的数据集，据称包含该公司超过 170 万个文件。 暗网泄露数据详情： 实习生及其导师名单 员工薪资与休假余额文件，含全名、职位、入职日期、实发工资数额及休假天数 内部文件模板 客户名单，含公司名称、联系人全名及公司地址 各类发票 年度采购报告 健康保险文件，含供应商名称、服务内容、公司所用保险计划及相关费用 泄露的员工个人文件及照片，含个人身份信息（PII）、家庭住址、社会安全号码（SSNs）、出生日期及薪资详情   泄露敏感员工数据会使其面临身份盗窃、欺诈、社会工程学攻击风险，甚至可能遭遇人身安全威胁。 Cybernews 研究团队解释称：“此次泄露可能会破坏员工对公司的信任，尤其是在公司未就此事完全透明化的情况下。公司还可能面临法律后果，失去客户信任，而曝光的财务细节可能导致竞争劣势。” Rhysida勒索团伙背景： 美国国防部最新资料显示，该团伙以“伺机而动”为行动准则，已渗透教育、医疗、制造及地方政府等多个领域。安全机构Barracuda研究人员指出，该组织可能源自俄罗斯或独联体国家。 在近期攻击中，该团伙通过Microsoft Teams、Zoom和PutTy平台展开钓鱼攻击，利用恶意广告传播恶意软件，借员工账户渗透企业系统。据Cybernews暗网监测工具Ransomlooker统计，自2023年5月活跃以来，该团伙已累计声称侵破236个目标。 其罪行包括： 9 月：宣称入侵美国马里兰州交通部，该部门运营着美国最大港口之一。泄露的数据样本包括护照、身份证、背景调查文件及其他敏感材料。 8 月：攻击田纳西州和肯塔基州周边地区的库克维尔地区医疗中心，导致系统混乱。团伙发布了十余份含患者信息的数据样本，系统中断迫使 IT 团队全天候工作以恢复服务。 5 月：宣称攻击秘鲁政府系统，该国官方网站管理着全国身份证登记信息，涵盖护照、税务记录、健康保险、警方档案、劳工记录等。秘鲁政府否认了此次勒索软件攻击。 5月：宣称入侵巴西大型汽车经销商 Carrera，窃取的敏感数据包括护照和合同，团伙索要 100 万美元赎金。 1 月：宣称入侵加拿大魁北克省蒙特利尔北区服务器，索要 100 万美元赎金。 2024 年第四季度：以 100 枚比特币为赎金，攻击西雅图 – 塔科马国际机场，破坏关键系统并导致数周停运，使这一美国西海岸最繁忙的枢纽之一陷入瘫痪。达美航空、新加坡航空、阿拉斯加航空等被迫全面启用人工流程，开具手写登机牌。 2024 年：宣称美国主流新闻媒体《华盛顿时报》为攻击目标，声称以 5 枚比特币的价格在网上拍卖该媒体的 “独家” 数据。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 10 月中旬，CLOP 勒索软件团伙首次宣称入侵《华盛顿邮报》，并将其列入 Tor 数据泄露网站。 CLOP（又称 Cl0p）是一个活跃的俄语勒索软件即服务（RaaS）团伙，专注于 “大型目标狩猎” 和 “双重勒索” 攻击。 该团伙于 2019 年 2 月左右首次出现在威胁格局中，脱胎于 TA505 网络犯罪集团 —— 这是一个至少自 2014 年起就活跃的以获利为目的的犯罪团伙。 与其他俄罗斯背景的威胁行为者一样，CLOP 会避开前苏联国家的目标，其恶意软件无法在主要使用俄语的计算机上激活。 团伙操作者及关联人员会锁定高价值目标，窃取敏感数据、加密网络，随后将被盗文件发布到数据泄露网站，向受害者施压以迫使其支付赎金。CLOP 会利用零日漏洞和存在漏洞的第三方软件（如 MOVEit、GoAnywhere、甲骨文 EBS 系统），借助初始访问中介和自动化工具，还会使用复杂的规避技术和横向移动技术，以最大化攻击影响和获利。 CLOP 的受害者包括Shell、英国航空公司、Bombardier、科罗拉多大学、普华永道以及BBC等。 该团伙发起的重大攻击活动包括： GoAnywhere MFT 攻击（2023 年）：利用漏洞 CVE-2023-0669 入侵了超过 130 家机构。 MOVEit Transfer 攻击（2023 年）：通过 SQL 注入零日漏洞 CVE-2023-34362 实施，是历史上规模最大的勒索软件攻击活动之一，影响了全球数百家公司，包括美国和欧洲企业。 Accellion FTA 攻击（2020-2021 年）：利用文件传输设备中的零日漏洞，从约 100 家机构窃取数据。     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 意大利知名通信业高管兼政治顾问披露，自己成为 Paragon 间谍软件的攻击目标。这使得他成为这起震动意大利政府的丑闻中第五位公开现身的意大利受害者。 数字取证研究员已就此次攻击事件与当事人弗朗切斯科・尼科德莫沟通，据他透露，尼科德莫是收到 WhatsApp 通知的受害者之一，该通知提供了其遭 Paragon 旗下 Graphite 间谍软件攻击的相关证据。 意大利新闻媒体 Fanpage 率先报道了这一消息。据该媒体称，尼科德莫长期为政治候选人提供通信事务咨询，仅 2024 年一年，其公司就参与了 13 场选举活动。值得注意的是，尼科德莫同时担任意大利最大政党民主党的通信主管，该政党是当前意大利联合政府的组成部分。 意大利总理焦尔吉娅・梅洛尼领导的政府已承认，曾使用 Paragon 间谍软件试图监控上述五名已知意大利受害者中的部分人士，但否认与两名公开披露感染情况的 Fanpage 记者遭攻击事件有关联。此前，Fanpage 于 2024 年 6 月发表深度调查报道，揭露了梅洛尼与青年法西斯分子之间的关联。 斯科特 – 雷尔顿表示：“尽管意大利当局承认了部分案件，但无法解释的 Paragon Graphite 间谍软件攻击案例仍在不断增加，针对政治领域及选举活动相关人员的攻击主题仍在持续。”   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 三位美国州总检察长于周四宣布，教育科技公司 Illuminate Education 将支付 510 万美元罚款，并同意调整业务运营方式，以和解有关其糟糕安全措施导致 2021 年数据泄露的指控。 此次数据泄露泄露了学生姓名、种族、编码医疗状况以及是否享受特殊教育便利等信息。事件影响了 49 个州的学生，仅加利福尼亚州就有 300 万名学生受波及。 加利福尼亚州总检察长罗布・邦塔（Rob Bonta）在新闻稿中指出，多项安全漏洞导致了此次数据泄露。 例如，新闻稿称，Illuminate 公司被指控未删除前员工的登录凭证。获取这些私人数据的黑客据称就是利用该公司一名前员工的凭证侵入了其网络。 这家教育科技公司还被指控未对系统进行可疑活动监控，且未将备份数据库与在用数据库分开单独防护。新闻稿提到，由于数据库未分离，在用数据库遭入侵时，备份数据库也随之受到损害。 Illuminate 公司还被指控在隐私政策中作出虚假陈述，其政策称公司的做法 “符合或超过适用的联邦及州法律要求”。 新闻稿显示，该公司已同意加强访问控制和账户管理措施，对可疑活动进行实时监控，并停止将备份数据库与在用数据库存储在同一网络中。 此次诉讼由邦塔联合康涅狄格州总检察长威廉・唐（William Tong）和纽约州总检察长莱蒂娅・詹姆斯（Letitia James）共同发起。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 内华达州政府在一份攻击事后审查报告中表示，对于 8 月导致关键政府系统瘫痪的网络犯罪分子，该州并未支付赎金。 在FBI、Mandiant及其他多个机构的协助下，该州用 28 天时间从勒索软件攻击中恢复，找回约 90% 受影响数据。州政府官员在报告中解释，剩余数据 “并非恢复基本服务所需，目前正按风险等级进行审查”。 报告未指明发起攻击的勒索软件团伙及赎金金额，官员称 “经过慎重考虑” 决定不支付赎金，核心依据是对备份恢复受影响系统的能力有信心。 网络安全公司Mandiant追踪发现，此次攻击源于一次搜索引擎优化投毒攻击 —— 攻击者在州政府信息技术人员频繁访问的可信网络资源中植入恶意代码。 报告指出，“调查显示，威胁行为者最早于 2025 年 5 月 14 日侵入系统，当时一名州政府员工无意中从伪造网站下载了带有恶意软件的系统管理工具”，并补充称黑客 “利用谷歌合法广告作为载体分发恶意软件包”。 “该工具安装了隐藏后门，即便Symantec Endpoint Protection在 6 月 26 日隔离了该工具，后门仍保持活跃。黑客通过在多个系统安装商业远程监控软件提升访问权限，攻陷了普通用户账户和特权用户账户。” 8 月 16 日至 24 日期间，黑客横向渗透多个关键系统，访问包括密码库服务器在内的敏感目录，清除日志掩盖痕迹并删除备份后，部署了勒索软件。 调查显示，共有 26408 个文件被访问，但仅一份文档包含一名前员工的个人信息，相关人员已得到通知。 调查人员未发现数据被窃取或上传至勒索软件泄露网站的证据，但仍在持续监控该事件。截至周四，尚无勒索软件团伙认领此次攻击。 州首席信息官蒂莫西・加卢兹表示，他们认为此次攻击对该州造成实质性影响的可能性较低，但会继续监控事态。 8 月 24 日至 9 月 20 日期间，50 名州政府员工累计加班 4212 小时，加班费支出超 25.9 万美元，外部供应商相关费用达 130 万美元。 报告显示，受影响最严重的核心机构包括卫生部门、机动车管理局和公共安全部门。初始攻击后，部分政府办公室关闭数日，多个机构的电话系统和网站也被黑客瘫痪。 州长乔・隆巴多（Joe Lombardo）在声明中称，“内华达州团队保护了核心服务，按时向员工发放薪资，并快速实现恢复 —— 全程未向犯罪分子支付任何费用”。 在攻击导致的 28 天系统中断期间，州长办公室表示已协调 60 多个州政府机构及多家供应商应对此次事件，美国国土安全部协助联邦调查局和地方执法部门开展恢复工作。 报告提到，恢复工作的优先事项是修复州政府薪资系统，确保员工按时领到工资。报告还概述了后续计划：进一步强化州政府系统安全，实现部门间网络隔离，并更广泛地部署安全工具。 此次州政府遭袭恰逢联邦政府削减地方政府依赖的关键网络安全服务。 美国国土安全部今年早些时候裁减了网络安全与基础设施安全局（CISA）数百名员工，即便美国多个州政府已遭遇导致核心服务中断的网络攻击，裁员仍在继续。 过去两周，得克萨斯州、田纳西州和印第安纳州的政府机构均受网络事件影响，南卡罗来纳州某县也于周三披露了一起网络安全事件。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 根据斯洛伐克网络安全公司ESET最新研究，这个与俄罗斯关联的黑客组织在6月至9月期间，对乌克兰粮食、能源、物流及政府机构发动了多轮数据摧毁攻击。 自俄乌冲突爆发以来，乌克兰基础设施持续遭受网络攻击。但作为该国出口创收支柱的农业领域，此前很少被直接针对。此次粮食产业也成为了俄罗斯国家级黑客组织Sandworm的最新攻击目标。 两款新型数据擦除软件 西方情报机构确认，Sandworm黑客组织为俄军情报总局（GRU）下属组织，堪称乌克兰网络安全领域的头号威胁。该组织曾制造多起重大网络攻击事件，如2015年全境大停电、2017年NotPetya全球网络攻击、2023年基辅之星电信系统瘫痪等。 ESET研究报告披露，最新攻击浪潮中出现了两款新型数据擦除软件——“Zerolot”和“Sting”。 这些恶意程序最初于4月入侵乌克兰某高校系统，随后蔓延至粮食和能源企业。此类专为永久销毁数据设计的破坏性软件，往往能导致目标机构运营系统彻底瘫痪。 调查还发现，另一个代号UAC-0099的黑客组织充当了攻击链前端角色。该组织据信自2022年起持续对乌克兰政府、国防部门进行网络渗透，随后将系统访问权限转交Sandworm实施最终破坏。 安全警示 ESET专家强调，管2024年末有迹象显示俄方黑客转向间谍活动，但2025年初以来，Sandworm仍在持续对乌关键部门发动破坏性网络攻击。这些攻击再次表明，数据擦除器仍是俄方关联黑客在乌克兰的首选武器。 乌克兰网络安全部门警示，俄罗斯黑客组织往往将网络攻击与实体军事行动相配合。例如在导弹袭击关键基础设施的同时，发动协同网络攻击以最大化破坏效果。 值得注意的是，俄方网络行动范围正持续扩大。 ESET监测显示，RomCom、Gamaredon等黑客组织仍在持续攻击欧盟成员国，这些目标大多与乌克兰国防保障或后勤支援体系存在关联。 研究人员指出：“几乎所有被锁定的国际目标都与乌克兰战事存在明显关联，这充分说明俄乌冲突仍在主导俄罗斯的情报资源分配。”   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文