Hackernews 编译，转载请注明出处： LockBit 勒索软件业务现在正在从BlackCat/ALPHV 和 NoEscape 中招募分支机构和开发人员。 上周，NoEscape 和 BlackCat/ALPHV 勒索软件的 Tor 网站突然无法访问，没有任何警告。与 NoEscape 相关的分支机构声称，该勒索组织实施了一场退出骗局，窃取了数百万美元的赎金，并关闭了该公司的网页和数据泄露网站。 NoEscape 被认为是 Avaddon 勒索软件的翻版，Avaddon 于2011年6月关闭，并向 BleepingComputer 发布了解密密钥。我们希望 NoEscape 将再次为他们的受害者释放解密密钥。 BlackCat/ALPHV 勒索软件上周也遭受了5天的中断，包括数据泄露和谈判站点在内的所有基础设施都处于离线状态。周一，该数据泄露网站恢复，但所有数据都被删除了。管理员声称他们的中断是由硬件故障引起的，然而，多方消息称，网站中断与执法行动有关（执法部门捣毁臭名昭著的 BlackCat 勒索软件网站）。 LockBit 从陷入困境的帮派中招募成员，据 LeMagIT 首次报道，LockBit 运营经理 LockBitSupp 已经开始从 BlackCat 和 NoEscape 勒索软件中招募分支机构。 在一个俄语的黑客论坛上，LockBitSupp 告诉附属机构，如果他们有被盗数据的备份，他们可以利用他的数据泄露网站和谈判小组继续勒索受害者。除了附属机构之外，LockBitSupp 还试图为 ALPHV 加密器招募编码员。 虽然目前还不清楚是否有任何 BlackCat/NoEscape 分支机构已经转移到LockBit，但在 LockBit 的数据泄露网站上已经发现了一个 BlackCat 的受害者。 FalconFeeds在推特上写道：“LockBit 勒索软件组织将德国能源署 dena (http://dena.de)添加到他们的受害者名单中，该机构之前是 BlackCat/ALPHV 勒索软件组织的受害者。” BlackCat/ALPHV是DarkSide和BlackMatter勒索软件操作的重新命名。BlackMatter 于2021年11月关闭后，其附属公司过渡到LockBit。 BlackMatter 转移受害者到 LockBit 网站 由于LockBit是目前最大的勒索软件，LockBitSupp告诉BleepingComputer，他将 BlackCat 的中断视为“圣诞礼物”。 现在判断分支机构和渗透测试人员是否已经对 BlackCat 或 NoEscape 失去了信任，并转向其他业务，现在还很难说。然而，如果我们很快看到另一个品牌组织的重塑，也就不足为奇了。     Hackernews 编译，转载请注明出处 消息来源：bleepingcomputer，译者：Serene

根据苹果公司近日发布的数据泄露报告，2023年全球数据泄漏规模将创下历史新高，前九个月有3.6亿人的敏感数据遭泄漏，比2022年全年高出20%。苹果公司在报告中强调了使用端到端加密来保护敏感数据的重要性。 报告显示，过去两年中，勒索软件攻击和针对“可信”技术供应商的供应链攻击是导致数据泄露急剧增加的两个主要原因。 数十亿记录遭到泄露 根据报告，2021和2022年，全球泄露了惊人的26亿条个人记录，仅2022年一年就泄漏了约15亿条个人记录。 2023年将创下新的数据泄漏记录。仅2023年前9个月的数据泄露总数就已经比2022年全年总数高出20%。截至2023年8月底，企业和机构一共泄露了约3.6亿人的敏感记录。 苹果公司在报告中引用的 IBM 和 Forrester 的研究数据显示，在最近发生过数据泄露的组织中，95%之前已经发生过一次泄露。75%的受访者在过去12个月内至少经历过一次数据泄露事件。 勒索软件和针对技术厂商的供应链攻击是导致近年来数据泄露急剧增加的主要原因。2023年前9个月的勒索软件攻击数量比2022年同期增加了70%。2023年上半年遭遇勒索软件攻击的组织数量同比暴增了约50%，下半年的数据可能还会更高。 研究还发现，98%的组织与最近至少经历过一次数据泄露的技术供应商建立了合作关系。因数据泄漏事件影响众多组织和个人的主要技术供应商包括 Fortra 、 3CX 、 ProgressSoftware 和微软等。 苹果在报告中表示：“消费者数据面临的威胁日益增加，是企业和其他组织收集和明文存储个人数据数量不断增加的结果，特别是在云端。组织应该对网络中存储的数据进行加密，只有拥有解密密钥的人才能读取，从而降低黑客滥用或出售消费者数据的可能性。” 大规模数据泄漏刺激加密需求 组织需要对正在使用、传输和静态的数据进行加密，这是一个长期共识。各国的多项法规和行业指令（例如 PCIDSS 、 HIPAA 、 GLBA 和欧盟的 GDPR ）都要求或建议加密，特别是对于存储和传输中的数据。 即便如此，许多组织出于各种原因在数据加密方面继续拖延。Ontinue 安全运营副总裁 CraigJones 表示，这些因素包括加密系统的复杂性、潜在成本、对性能影响的担忧以及缺乏有效管理加密系统的内部专业知识。 “实施端到端加密的难度在中等难度到非常具有挑战性之间，具体取决于组织的规模、现有基础设施以及加密数据的类型，” Jones 说：“这需要仔细规划、投资正确的工具和技术，并且通常需要组织建立新的数据安全文化。此外，组织在实施加密时还经常会遇到与密钥管理和系统兼容性有关的问题。” 云计算的快速增长是组织考虑加密的另一个重要因素。苹果公司的研究数据显示，80%的数据泄露来自存储在云端的数据，加密云端数据可能比加密本地数据更具挑战性。 组织可能犯的另一个错误是仅仅依赖云提供商进行数据加密，Ben-Ari 表示：“虽然云提供商提供了有价值的安全措施，但组织必须承担加密数据的直接责任。” 转自“GoUpSec”，原文链接https://mp.weixin.qq.com/s/joIMzIMfA06Mfm4gbY3MlA?from=industrynews&version=4.1.15.6007&platform=win 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 一个调查勒索软件威胁的英国议会委员会建议英国政府采取更积极的态度对抗黑客，并表示政府应考虑强制执行事件报告，并为公共部门受害者提供政府支持，“直至完全恢复”。 在周三发布的一份报告中，国家安全战略联合委员会还建议创建一个政府支持的网络保险机制，并使副首相负责提高国家抵御网络勒索的工作。委员会警告称，一次黑客攻击可能对公共服务造成“严重损害”。但委员会称内政部成员似乎对这个问题不感兴趣。 该委员会写道：“政府随时面临灾难性勒索软件攻击的风险，但又缺乏相关的计划。”“勒索软件成为更紧迫的政治优先事项至关重要。” 在一年多的调查中，该委员会听取了多方利益相关者的意见，包括英国国家犯罪局局长、网络安全和保险高管，以及一位前美国代理副司法部长的意见 该委员会建议政府要求所有勒索软件受害者在事件发生后三个月内通知当局，这与国家犯罪局NCA的立场相反。 NCA负责人Graeme Biggar告诉委员会，他不知道其他需要受害者必须报告事件的犯罪。但委员会认为，对于勒索软件，如果受害者没有足够的动力主动提出，“这便很难充分理解勒索软件威胁的性质和规模，以及如何做出最好地应对。”委员会称，只有2%至10%的网络犯罪引起了执法部门的注意。 委员会补充说，无论是否有报告要求，政府都应建立一个中央报告机制。 委员会还建议为NCA和国家网络安全中心提供更多资源，以便他们可以支持公共部门受害者。国家网络安全中心还应调查它是否可以建立一个由行业主导的机构，为慈善机构和小企业提供免费的勒索软件恢复援助。 报告中对NCA提出了额外的批评，报告中的成员称，该机构只有5%的员工构成了国家网络犯罪部门。委员会写道，该机构应该获得更多资金，以渗透和破坏等方式与黑客进行勒索软件斗争。 它引用了智库皇家联合服务研究所提交的一份声明，“政府不能仅仅通过弹性建设措施简单地在英国周围建造一堵大墙。” 委员会说，使勒索软件成为更大的政治优先事项应该包括将反勒索软件的行为责任从内政部转移到内阁办公室，并由副首相直接监督，目前内政部并没有优先考虑这个问题。 报告指出，在内阁办公室，这个问题可以被视为跨政府的国家安全优先事项。 一名委员会证人，一名当地政府官员告诉小组，她所在的英格兰北部行政区负担不起网络保险。在2020这个行政区年经历了勒索软件攻击。 报告描述英国网络保险“处于极度糟糕的状态”，在这种状态下，保险公司正在提高保费，并且对于那些能够负担得起的人来说，需求超过了容量。英格兰和威尔士的一个地方当局协会告诉委员会，网络保险的高昂价格导致许多议会领导人选择将有限的资金用于提高弹性。 委员会成员表示，由于“英国严重缺乏保险”和负担不起的保费，政府应与保险业合作，制定类似于洪水保险的公共部门再保险计划。 这项建议面临着一场艰苦的战斗，至少在首相里希·苏纳克（Rishi Sunak）的保守党政府中是这样。 副总理奥利弗·道登（Oliver Dowden）告诉委员会，“其主要立场是，在市场可以履行这一职能的情况下，它不会干预承担风险责任。”   消息来源：inforisktoday，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 乌克兰最大的服务提供商Kyivstar在一次重大网络攻击后陷入瘫痪。 Kyivstar移动网络基于固定和移动技术的广泛范围，包括乌克兰的4G（LTE），为将近2600万移动客户和超过100万宽带固定互联网客户提供通信服务和数据传输。 12月12日早上，该公司宣布遭受了一次网络攻击，所有移动通信和互联网接入暂时中断。 Kyivstar通知了执法机构和当地政府，包括乌克兰安全局（SSU）。乌克兰安全局宣布，根据乌克兰刑法的八项条款，已对这次网络攻击开展了刑事诉讼。 该公司补充说，其订户的个人数据没有受到泄露。 公司首席执行官Oleksandr Komarov表示，这次攻击是“持续冲突的结果”，他还解释说，IT基础设施已被“部分破坏”。 “战争也在网络空间发生。不幸的是，我们因这场战争而受到打击”，Komarov在全国电视广播中说。 Komarov解释道，包含客户数据的两个数据库已受损并且目前被锁定。 乌克兰SBU情报机构告诉路透社，他们正在调查，事故的可能性之一是由俄罗斯安全机构发起的网络攻击。路透社报道称，俄罗斯外交部尚未对置评请求作出回应。 这次攻击很可能是一次战争行为，目的是攻击和破坏乌克兰关键基础设施。这次攻击不是出于财务动机，攻击者也没有使用任何假旗行动来掩盖攻击的性质。 一位乌克兰网络防御内部的消息人士告诉路透社，俄罗斯被怀疑是攻击的来源。 该消息人士说：“这绝对是国家黑客，没有赎金，全是破坏，所以这不是出于财务动机的攻击。” 由于Kyivstar服务的中断，乌克兰内政部长Ihor Klymenko说，乌克兰人可以在最近的警察或消防部门联系家人或紧急服务。 紧急电话101、102和112仍在运行。   消息来源：SecurityAffairs，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 乌克兰国防部主要情报局的黑客宣布，他们已经入侵了俄罗斯联邦税务局千台服务器，并清除了数据库和备份。 军事情报部门表示，这次黑客攻击是在俄罗斯境内成功开展特别行动的结果。 乌克兰国防部主情报局发布的声明中写道：“在这次特别行动中，军事情报部门成功入侵了俄罗斯联邦税务局的一个关键且防护良好的中央服务器，以及俄罗斯境内和暂时被占领的克里米亚地区的2300多个区域服务器。” 声明称，“由于这次网络攻击，所有服务器都感染了恶意软件。与此同时，为俄罗斯联邦安全局服务的俄罗斯IT公司Office.ed-it.ru也以同样的方式遭到了攻击。” 声明还称，乌克兰军事情报部门还能够捕获整个俄罗斯的税务数据的互联网流量。这次网络攻击还中断了俄罗斯联邦税务局中央办公室与2300个地区办公室之间的通信。 俄罗斯机构的专家连续四天试图恢复服务但未成功。乌克兰情报部门认为，俄罗斯联邦税务局将至少一个月无法正常运作，税务系统完全恢复是不可能的。 声明最后总结道：“乌克兰国防部的这次网络攻击是对克里姆林宫政权的又一严重打击，该政权暂时失去了对税收和费用的控制。” 11月底，乌克兰情报部门宣布他们已经黑客攻击了俄罗斯联邦航空运输局”Rosaviatsia”，这次攻击是一次复杂的特别网络行动的结果。Rosaviatsia是负责俄罗斯民用航空监管和管理的政府机构，其主要职责是确保国内航空运输的安全、安保和效率。 这些国家支持的黑客声称他们窃取了包含俄罗斯航空业危机证据的敏感文件。 今天，乌克兰最大的服务提供商Kyivstar遭到了一次网络攻击，其服务被瘫痪。这次攻击与持续的冲突有关。   消息来源：SecurityAffairs，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 上周，美国网络安全和基础设施安全局（CISA）将两个Qlik Sense漏洞添加到其已知被利用漏洞（KEV）目录中。以下是添加到目录中的问题列表： CVE-2023-41265（CVSS评分9.6）- Qlik Sense HTTP隧道漏洞：Qlik Sense包含一个HTTP隧道漏洞，允许攻击者提升权限并在托管软件的后端服务器上执行HTTP请求。 CVE-2023-41266（CVSS评分8.2）- Qlik Sense路径遍历漏洞：Qlik Sense包含一个路径遍历漏洞，允许远程未经验证的攻击者通过发送恶意构造的HTTP请求创建匿名会话。这个匿名会话可能允许攻击者向未经授权的端点发送进一步请求。 网络安全公司Praetorian的研究人员在2023年8月发现了这两个漏洞。著名研究员Kevin Beaumont指出，攻击者开始利用Praetorian发布的完整漏洞链进行攻击。 Arctic Wolf的研究人员也观察到攻击者在Cactus勒索软件团伙发起的攻击中利用这两个漏洞。 根据绑定操作指令（BOD）22-01：减少已知被利用漏洞的重大风险，FCEB机构必须在截止日期之前解决已识别的漏洞，以保护其网络免受利用目录中漏洞的攻击。 专家还建议私人组织审查目录并解决其基础设施中的漏洞。 CISA要求联邦机构在2023年12月28日之前修复这些漏洞。   消息来源：SecurityAffairs，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Hackernews 编译，转载请注明出处： 臭名昭著的勒索软件组织 BlackCat/Alphv 的官方网站已经离线好几天了，据信是执法部门关闭的。 自12月7日以来，位于 Tor 的 BlackCat/Alphv 泄露网站一直无法访问。威胁情报公司 RedSense 第二天报告称，该网站已被执法部门关闭。 在周日的更新中，该公司表示，“RedSense 首席研究官 Yelisey Bohuslavkiy 证实，包括 BlackCat 附属公司和初始访问经纪人在内的黑客确信关闭是由执法行动造成的。”另外，该公司补充说：“与 AlphV 直接相关的顶级组织的其他勒索软件领导层也证实了这一点，特别是 Royal/BlackSuit、BlackBasta、LockBit 和 Akira 的管理员和团队负责人。” RedSense 还了解到，网络犯罪分子预计一切都会很快恢复，这表明对其运营和基础设施的影响有限。 截止发稿，BlackCat 网站已经关闭了四天。SOC 公司 ReliaQuest 指出，该集团的网站确实存在连接问题和中断的历史，然而，这似乎是一个最长的停机时间。 目前还没有执法机构公布针对 BlackCat 的行动信息。 在2023年1月关闭Hive勒索软件后，BlackCat 表示，这不会对其运营造成影响。 根据思科Talos最近的一份年度回顾报告，BlackCat 是今年第二活跃的黑客组织，仅次于LockBit。BlackFog 11月份的一份勒索软件报告显示，上个月BlackCat 和 LockBit 一样活跃。 BlackCat 背后的运营者似乎会说俄语，该公司于 2021 年底以勒索软件即服务的形式出现，提供高达90%的赎金，以吸引附属机构。据说，BlackCat 的许多开发人员和洗钱者都与现已不存在的 Darkside/BlackMatter 勒索软件有关。 ReliaQuest 表示，该勒索软件的泄密网站在关闭前列出了 650 多名受害者。受害者包括 Reddit、西部数据、瑞士体育、米高梅度假村和 NCR 等主要组织。前不久，BlackCat还勒索了台湾中国石化（BlackCat 声称攻击了台湾中国石化）。       Hackernews 编译，转载请注明出处 消息来源：SecurityWeek，译者：Serene

HackerNews 编译，转载请注明出处： 肯塔基州和印第安纳州的非营利性医疗企业Norton Healthcare，由数十家诊所和医院组成，在大路易斯维尔和印第安纳南部的140多个地点拥有20,000多名员工与1,750多名受雇医疗提供者。 12月18日，该企业通知客户发生了一起“网络安全事件”，影响了企业的内部系统。 根据发送给受影响客户的通知，此事件被“确定为勒索软件攻击”。 Norton声称已经通知了联邦调查局，从安全备份中恢复了其系统，并未支付任何形式的赎金。缅因州总检察长办公室表示，这起勒索软件攻击影响了2,500,000人。 根据公司调查，一些网络存储设备在2023年5月7日至5月9日期间遭到不明黑客的访问。虽然这次侵入未涉及Norton Healthcare的医疗记录系统或其在线医疗记录平台Norton MyChart，但黑客仍然获取了包括所有病人、员工及其家属和受益人在内的部分个人数据。 这些数据包括姓名、联系信息、出生日期、社会安全号码、健康信息、保险信息和医疗识别号码以及驾驶执照号码或其他政府身份证号码、金融账户号码和数字签名。 Norton为受影响个人提供了两年的免费信用监控和身份盗窃保护服务。   消息来源：cybernews，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

美国司法部起诉了两名与俄罗斯联邦安全局（FSB）有关联的黑客，指控他们针对政府官员开展了长达数年的网络间谍活动。司法部周四指控联邦安全局情报部门官员鲁斯兰-亚历山大罗维奇-佩列季亚特科（Ruslan Aleksandrovich Peretyatko）和信息技术工作者安德烈-斯坦尼斯拉沃维奇-科里涅茨（Andrey Stanislavovich Korinets）在2016年10月至2022年10月期间试图入侵多个美国政府机构（包括国防部和能源部）雇员的电脑。 起诉书还称，公开名称为”Callisto Group”的共谋者针对英国和其他地方的军方和政府官员、智库研究人员和工作人员以及记者，使用了复杂的鱼叉式网络钓鱼电子邮件，这些电子邮件声称来自电子邮件提供商，暗示用户违反了服务条款。 根据司法部的起诉书，这些电子邮件包含 Callisto 集团为获取受害者的凭证而创建的恶意域，使共谋者能够在未经授权的情况下访问受害者的账户并获取“有价值的情报”，其中包括与美国国防、外交和安全政策有关的情报。 据司法部称，作为黑客和泄密造谣活动的一部分，“从其中某些目标账户”获取的信息还在2019年英国大选前被泄露给了俄罗斯和英国的媒体。 周四早些时候，英国政府宣布，它也发现了联邦安全局干预英国政治进程的“持续不成功企图”，并制裁了 Peretyatko 和 Korinets 的鱼叉式网络钓鱼活动和相关活动，这些活动“导致未经授权的访问和敏感数据外流，其目的是破坏英国组织，更广泛地说，是破坏英国政府”。 英国国家网络安全中心（隶属于 GCHQ）称，这些黑客“几乎肯定隶属于”俄罗斯联邦安全局，并有选择地泄露了他们获得的信息，“符合俄罗斯的对抗目标，包括破坏英国和类似国家对政治的信任”。 美国财政部也宣布了对佩列季亚特科和科里涅茨的制裁，美国国务院还悬赏1000 万美元征集线索，以查明这两人的身份和下落。 Callisto集团被微软追踪为”Star Blizzard”，被Google威胁分析小组追踪为”Cold Driver”，因长期针对北约国家，特别是美国和英国开展间谍活动而闻名。2022年5月，Google研究人员将一次黑客泄密行动归咎于该组织，该组织窃取并泄露了大量支持英国脱欧的高层人士的电子邮件和文件，其中包括英国外国情报机构军情六处（MI6）前负责人理查德-迪尔洛夫爵士（Sir Richard Dearlove）。   转自今日头条，原文链接https://www.toutiao.com/article/7309922472684454426/?log_from=28daf104df523_1702024201260&wid=1702024267135 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 由国家资助的朝鲜黑客 Andariel 从韩国公司窃取了超过 1.2TB 的国防技术相关文件，并勒索了 35.6 万美元的赎金。 首尔警察厅发布的一份声明称，来自平壤的网络攻击者成功地从韩国的十几家公司窃取了大约 250 份与国防技术相关的文件，其中包括防空激光武器。一些受害者没有意识到这一漏洞，而另一些人则试图隐瞒这一漏洞。 韩国警方与联邦调查局(FBI)合作，揭露了 Andariel 的黑客行为。在调查过程中，办案人员追踪到了赎金通过洗钱流入朝鲜。 黑客从三名受害者那里勒索了价值约 4.7 亿韩元(约合 35.6 万美元)的比特币，以换取系统的恢复。在把钱转移到朝鲜之前，Andariel 黑客利用海外加密货币交易所和一位 A 女士的银行账户洗钱。超过四分之一的被盗比特币被送到了靠近朝鲜边境的一家银行。 韩国警方没收了 Andariel 在韩国使用的服务器，并搜查了嫌疑人的住所和设备。A女士是香港一家货币交易所的前雇员，她否认参与洗钱活动，称她提供账户只是“为了方便”。 朝鲜黑客利用一个本地 IP 地址进行攻击，导致一家国内服务器租赁公司向身份不明的客户提供服务。这使得在2022年12月至2023年3月期间，黑客使用该服务器至少83次得以躲避检测。 警方在查获服务器后，确认了国防企业、金融企业、研究机构、制药企业等被黑客攻击的事实，其中约 1.2TB 的文件被盗，其中可能包含重要的技术和资料，包括证书。 警方的报告中写道：“一些公司没有意识到损失，一些公司由于担心企业信任度下降而没有向警方报告损失。” 据《韩国时报》报道，一些被盗的关键数据包括防空激光技术。 Andariel 被认为是朝鲜最臭名昭著的网络犯罪组织 Lazarus 的一个分支。Andariel 至少从2009年开始活跃，主要针对韩国政府机构、军事组织和各种公司进行破坏性攻击。Andariel 参与了针对银行和加密货币交易所的网络金融行动。该团伙由朝鲜的主要情报机构侦察总局控制。 网络新闻已经报道，朝鲜支持的黑客在六年内窃取了 30 亿美元的加密货币。加密货币盗窃和赎金一直是该政权的主要收入来源，特别是为军事和武器计划提供资金。 美国联邦调查局今年早些时候表示，朝鲜据称拥有 6000 名黑客，并利用他们获取经济利益和情报。     Hackernews 编译，转载请注明出处 消息来源：cybernews，译者：Serene