欧盟立法者就《网络弹性法案》在技术和政治层面均达成一致，下一步欧洲议会和欧盟理事会通过后将成为法律。 有消息称：欧盟政策制定者于11月30日达成了关于《网络弹性法案》的政治协议，弥合了在最后几个悬而未决问题上的分歧。 《网络弹性法案》是一项立法提案，为从智能玩具到工业机械等各类联网设备引入安全要求。欧盟委员会、欧洲议会和欧盟理事会通过“三方对话”会议最终敲定这一法案。下一步需要欧洲议会和欧盟理事会正式通过，才能成为法律。 该协议此前在技术层面上已经基本敲定，提案的许多方面在政治会议期间得到认可。欧盟谈判代表经过激烈讨论之后解决了最后的政治障碍。 牵头此事的欧洲议会议员Nicola Danti表示，“《网络弹性法案》将加强联网产品的网络安全，解决硬件和软件中的漏洞问题，让欧洲大陆更安全、更有弹性。欧洲议会已经立法保护供应链，并将保护路由器、杀毒软件等关键产品列为网络安全优先事项。” 漏洞处理机制 法案规定，如果制造商知道联网设备存在可能被黑客利用的重大漏洞，不得将此类产品投放市场。一旦发现这些潜在入口，在产品公开的支持期限内，他们必须处理这些问题。 一旦发现安全事件或被积极利用漏洞，制造商必须向有关当局报告，并告知他们采取了哪些行动减轻安全风险。 被积极利用漏洞是一类极其敏感的网络威胁情报，表明黑客入口仍然没有被修补。因此，谁应该负责处理这些敏感信息成为谈判的焦点。 欧盟部长理事会将这项任务从欧盟网络安全局（ENISA）移交给各国计算机安全事件响应团队（CSIRTs）。根据修订的《网络和信息系统指令》（NIS2），这些团队本就担负类似的任务。 然而，欧洲议会坚持让ENISA参与，避免国家机构在保留这些高度敏感信息方面拥有过多自主权。 后来，双方达成妥协，决定要求制造商通过单一报告平台同时向有关CSIRT和ENISA发送通知。但是，欧盟成员国认为，考虑网络安全事宜，他们应该有权利对发送给ENISA的信息加以限制。 各方对这些限制的条件进行激烈讨论，达成的条件十分“狭窄”。具体而言，如涉及产品主要存在于国内市场且不对其他欧盟国家构成风险，所在国CSIRT有权限制向ENISA发送通知。 其次，成员国当局不会被强制要求，向ENISA披露他们认为与保护基本安全利益相关的任何信息。这一限制性条款符合欧盟条约。 第三，如制造商自认为信息进一步传播会立即带来风险，并在提交给CSIRT的通知中加以说明，所在国也有权对发送给ENISA的信息加以限制。 另一方面，欧洲议会议员争取到如下权利：ENISA仍将获得部分信息，用以监测欧盟单一市场的任何系统性风险。ENISA将了解相关制造商和产品信息，以及有关漏洞利用的一般信息。 欧洲议会议员们还推动在法案中明确，ENISA应获得足够的资源应对新任务。虽然这未能成为法案的一部分，但它将纳入欧盟主要机构发布的联合声明。 开源软件 谈判的另一大焦点是如何处理集成到商业产品中的开源软件。就此，各方已在技术层面达成一项协议，并在政治层面得到认可。 法案仅涵盖在商业活动背景下开发的软件，并专门针对开源软件管理者在文档编制和漏洞处理方面制定规则。 根据外媒Euractiv看到的最终文本，法案排除了那些在市场上销售开源软件但将所有收入重新投资于非营利活动的非营利组织。 其他热点话题 法案还包括其他热点话题的条目，如国家安全豁免、次级立法、罚款收入分配等。 成员国专门为国家安全或国防目的开发或修改的任何产品不受法案限制。 欧盟立法阶段反复讨论次级立法类型。如果是委托法规（delegated acts），需要欧洲议会参与，而执行法规（implementing acts）无需欧洲议会参与。支持期限将在委托法规下详细定义，而特殊产品类别将在执行法规下定义。 欧洲议会推动加入措辞，要求《网络弹性法案》的罚没款项用于增强网络安全能力的活动。这一点没有写入法案文本，但将在法案总则中提及。   转自安全内参，原文链接：https://www.secrss.com/articles/61414 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，法国总理伊丽莎白·博尔内近期签署了一份备忘录，要求所有政府公务人员在 2023 年 12 月 8 日之前卸载 Signal、WhatsApp 和 Telegram 等外国通讯软件，使用本国开发的替代产品“Olvid”。 BleepingComputer 与法国记者沟通后，该记者澄清称，该政策仅针对部长、国务卿、办公厅主任和内阁成员，这一举措并不是彻底禁止使用外国消息应用程序，而是建议改用本地开发的更安全的软件。 法国总理表示，面向主要消费者的即时通讯软件在我们的日常通信中占据着越来越大的比重。然而，这些数字工具并非没有安全漏洞，因此无法确保通过它们共享的对话和信息的安全性。 此次法国政府主推的Olvid，宣称支持端到端加密消息，使用去中心化基础设施，且不需要电话号码或任何其他个人数据即可注册。由于Olvid拥有 ANSSI（法国国家网络安全机构）“一级安全认证”，该认证要求专家对应用程序源代码进行彻底的检查，在安全性上，Olvid被认为遥遥领先其他外国通讯软件。 此外，Olvid 还独立验证了由密码学教授米歇尔·阿布杜拉（Michel Abdalla ）设计的定制密码协议，且Olvid 的对称加密技术已经具备了抗量子能力，同时该项目还保证，一旦美国国家标准与技术研究院（NIST）的公钥算法遴选程序最终确定，其公钥加密技术也将具备类似的强度。 至于法国政府决定建议使用Olvid的确切原因，目前尚不明确，但已有不少反对者的声音。在与记者的交流中，法国数字部门对此表示不满，认为对Olvid的宣传过度，同时也传达了Signal是他们可以接受的平台。Signal 总裁梅雷迪思·惠特克 (Meredith Whittaker) 在 Twitter 上对有关该应用程序安全漏洞的模糊说法提出质疑，称其毫无根据且具有误导性。 法国正陆续收紧政府人员设备App使用策略 在2023年，法国已两度对政府人员设备的App使用设限。 此次法国的政策被认为与瑞士军方相似，该国要求士兵停止使用 Signal、WhatsApp 和 Telegram等流行的通讯软件，转而使用国内开发的加密通讯服务Threema进行官方和私人聊天。 而在3月，出于对安全考虑，法国改革和公共管理部发布通知，禁止在上述人员设备上使用TikTok、Instagram、Twitter、Netflix等社交及媒体软件，称这些软件不能服务于国家行政管理，且可能对数据安全构成威胁。 转自Freebuf，原文链接：https://www.freebuf.com/news/385573.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 美国和以色列当局说，与伊朗有关联的黑客攻击了一个特定的工业控制设备，因为它是以色列制造的，美国宾夕法尼亚州西部的一个小型水务局（黑客劫持美国自来水公司的工业控制系统）只是其中一个。 美国联邦调查局(FBI)、美国环境保护局、美国网络安全和基础设施安全局(CISA)以及以色列国家网络管理局上周五在一份报告中表示：“受害者遍及美国多个州。”但他们没有说明有多少组织遭到了黑客攻击。 阿利基帕市水务局的主席马修·莫特斯在11月25日发现遭到了黑客攻击，他表示，联邦官员告诉他，同一组织还入侵了另外四家公用事业公司和一家水族馆。 网络安全专家说，虽然没有证据表明伊朗参与了10月7日哈马斯对以色列发动的袭击，那次袭击引发了加沙的战争，但他们预计，政府支持的伊朗黑客和亲巴勒斯坦的黑客活动分子会在事件发生后加强对以色列及其盟友的网络攻击。这确实发生了。 这份多机构咨询报告解释了 CISA 在周三确认宾夕法尼亚州遭到黑客攻击时没有提到的问题——除供水和水处理设施外的其他行业也使用同样的设备，Unitronics 公司生产的 Vision 系列可编程逻辑控制器，并且也存在潜在的漏洞。 该报告称，这些行业包括“能源、食品和饮料制造以及医疗保健”。这些装置用来调节压力、温度和流体流量等。 阿利基帕的黑客事件促使工人暂时停止在一个偏远的泵站抽水，该泵站负责调节附近两个城镇的水压，导致工作人员改用人工操作。黑客在被入侵的设备上留下了一张数字名片，称所有以色列制造的设备都是“合法目标”。 该公告称，这些自称“Cyber Av3ngers”的黑客隶属于伊朗伊斯兰革命卫队，美国在 2019 年将其列为外国恐怖组织。该组织称，至少从11月22日起，该组织就盯上了 Unitronics 的设备。 通过 Shodan 搜索，发现美国有200多台这样的联网设备，全球有1700多台。通过 ZoomEye 搜索”Unitronics Web”，发现该 PLC 设备的 Web 界面相关资产，美国有40条，全球共有640条。 上图均为 “Unitronics控制系统” 更多资产信息可以访问www.zoomeye.org查看   该报告指出，Unitronics 的设备出厂时带有默认密码，专家不赞成这种做法，因为这会使设备更容易受到黑客攻击。最佳的要求是在开箱即用时创建唯一的密码。该公司表示，黑客可能是通过“利用网络安全漏洞，包括密码安全性差和暴露于互联网”来访问受影响的设备的。 专家表示，许多水务公司对网络安全的重视不够。 作为对阿利基帕黑客事件的回应，宾夕法尼亚州的三名国会议员在一封信中要求美国司法部进行调查，他们说，美国人必须知道，他们的饮用水和其他基础设施是安全的，不会受到”民族国家对手和恐怖组织”的威胁。“Cyber Av3ngers”在10月30日的社交媒体帖子中声称，他们入侵了以色列的10个水处理厂，但目前尚不清楚他们是否关闭了任何设备。 自从以色列和哈马斯开战以来，该组织扩大并加速了对以色列关键基础设施的袭击。在10月7日之前，伊朗和以色列进行了低级别的网络冲突。Unitronics 没有回应美联社关于黑客攻击的询问。 据了解，这次攻击发生不到一个月前，联邦上诉法院的一项裁决促使美国环保署废除了一项规定，该规定要求美国公共供水系统将网络安全测试纳入联邦授权的定期审计中。联邦上诉法院对密苏里州、阿肯色州和爱荷华州提起的一起案件的裁决引发了这一回调，一家水务公司贸易集团也加入了这一裁决。 拜登政府一直在努力加强关键基础设施的网络安全，其中80%以上是私人拥有的，并对电力公用事业、天然气管道和核设施等部门实施了监管。但许多专家指出，太多重要行业被允许进行自我监管。       Hackernews 编译，转载请注明出处 消息来源：securityweek，译者：Serene

近日，乌克兰国防情报局声称，他们成功进行了网络攻击，入侵了俄罗斯政府的民航局，并获得大量机密文件，其中包括民航局长达一年半的每日报告清单。 这是乌克兰政府首次承认对俄罗斯进行网络攻击。自2022年初俄罗斯入侵以来，亲乌克兰团体和黑客组织曾声明过发起了类似不法攻击事件，包括对航空公司、银行和互联网供应商的袭击等。但国家公开承认黑客攻击还史无前例，针对此次事件，乌克兰政府将其描述为“网络空间的复杂特别行动”。 乌克兰政府称，俄罗斯的民航部门正处于崩溃的边缘。乌克兰政府还公布了几份据称泄露的文件的截图，并列出了从中了解到的一些事实。 据称，2023年1月，俄罗斯民航报告了大约185起事件，其中三分之一被宣布为危险事件。在2023年前9个月，记录了150起飞机故障案例，而2022年同期为50起。乌克兰政府声称，这表明俄罗斯航空最近记录的安全隐患强度增加了两倍。 这还不是全部。俄罗斯在飞机维护方面也遇到了问题，由于乌克兰方的制裁，备件很难外包。现在，该国正在将飞机维修转移到伊朗，但在那里进行此类工作没有相关认证，存在更高的风险和安全隐患。飞机零件的短缺在俄罗斯造成了“飞机自相残杀”，这意味着它正在拆解飞机以修理其他飞机。 目前尚不清楚黑客攻击是何时进行的。俄罗斯的民航局尚未对这些指控做出回应。值得注意的是，这是乌克兰首次承认对俄罗斯目标进行网络行动。国家自豪地宣传他们对对手的网络攻击是很反常的，但就乌克兰而言，这似乎可以理解。因为这一违规操作对俄罗斯航空业造成了重大打击，并引发了对其民用空域安全的担忧。被盗文件可能暴露该国航空交通管制系统的漏洞，并为乌克兰提供有价值的信息。此次黑客攻击的时机至关重要，因为它发生在俄罗斯和乌克兰之间的紧张局势达到顶峰的时候。   转自E安全，原文链接：https://mp.weixin.qq.com/s/leIEYylUZLTYTeO-kp2DCg 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 本月初，全球领先的自行车零部件制造商之一 Shimano 遭受勒索软件攻击，涉及 4.5TB 的敏感公司数据。 据《自行车新闻》报道，攻击者 LockBit 是一个网络犯罪组织，他们使用恶意软件来破坏公司的敏感数据、勒索金钱，以换取不公开发布这些数据。 网络安全公司 Flashpoint 称其为世界上“最活跃”的勒索软件组织，在所有已知的勒索软件攻击中，有27.93%是由该组织发起的。 本月早些时候，LockBit 组织威胁要公布 Shimano 公司的 4.5TB 机密数据，除非他们支付一笔数额不详的赎金。泄露的数据包括机密员工详细信息、财务文件、客户数据库和其他机密公司文件。 黑客将赎金的最后期限定为2023年11月5日，逾期未支付赎金，LockBit 网站上的通知就变为了“所有可用数据(已)公布”。但是没有相应的下载链接来访问这些数据。直到上周，Escape Collective 更新了他们的报告，Shimano 可能正在进行谈判。 但至少部分数据确实已经公布，Escape Collective 报告说，公开的是多个文件夹以及子文件夹，文件包含英文、中文和印尼语，涵盖了 Shimano 渔具和自行车部门不同机密性的广泛信息。目前还不清楚赎金是多少。 很明显，Shimano 公司没有支付赎金，因此泄露了敏感信息。但这并不意味着结束。在 Shimano 收到的勒索信中，黑客指出，“如果你不支付赎金，我们将来会再次攻击你的公司。”     Hackernews 编译，转载请注明出处 消息来源：bicycling.com，译者：Serene

中东上空发生了一些“不可思议”的事情。 据MotherBoard最新报道，商业机组人员报告说，中东上空发生了一些“不可思议”的事情：自9月份以来，新颖的“欺骗”攻击已导致数十起导航系统故障。9月下旬，伊朗附近的多架商业航班因导航系统失灵而误入歧途。这些飞机首先收到了欺骗性的GPS信号，这些信号旨在欺骗飞机的系统，让其误认为飞机正在远离真实位置的地方飞行数英里。其中一架飞机未经许可差点飞入伊朗领空。名为OPSGROUP的国际组织跟踪了大量此类事件，过去一个多月内有50多起类似事件。从那时起，在网上讨论这个问题的机组人员表示，情况只会变得更糟，专家们正在竞相查明幕后黑手。目前这个问题还没有解决方案，其潜在的灾难性影响和原因尚不清楚。 OPSGROUP是一个由飞行员和飞行技术人员组成的国际组织， 9月份就这些事件发出了警报，并开始收集数据与其成员和公众分享。据OPSGROUP称，中东地区多架商用飞机在连续数月收到欺骗性导航信号后失去了导航能力。不仅仅是GPS，后备导航系统也被损坏，导致彻底失败。 据OPSGROUP称，该活动集中在三个地区：巴格达、开罗和特拉维夫。该组织在11月的更新中表示，该组织在过去五周内跟踪了50多起事件，并确定了三种新的、不同类型的导航欺骗事件，其中两起是自 9 月份首次报告以后发生的。 OPSGROUP表示，虽然GPS欺骗并不新鲜，但这些新攻击的具体载体以前是“不可想象的”，并将其描述为暴露了“航空电子设备设计中的基本缺陷”。这种欺骗破坏了惯性参考系统（IRS），这是一种通常被称为飞机“大脑”的设备，使用陀螺仪、加速度计和其他技术来帮助飞机导航。Motherboard采访的一位专家表示，这“非常重要”。 “这听起来简直不可思议，”OPSGROUP在其关于这些事件的公开帖子中表示。“IRS（惯性参考系统）应该是一个独立的系统，无法被欺骗。我们可能会失去所有机载导航能力，并且必须向[空中交通管制]询问我们的位置并请求航向，乍一看毫无意义，尤其是对于配备最新航空电子设备的最先进的飞机而言。然而，多份报告证实这确实发生了。” 中东地区的信号干扰很常见，但这种强大的欺骗手段却是新鲜事。德克萨斯大学奥斯汀分校研究卫星通信的教授托德·汉弗莱斯 (Todd Humphreys) 表示，自2018年以来，叙利亚附近的空域 中一直存在极其强大的信号干扰器。叙利亚被美国总统称为‘地球上最具侵略性的电子战环境。 汉弗莱斯领导着德克萨斯大学无线电导航实验室，该实验室开发了国际空间站强大接收器所使用的软件，该接收器用于研究来自近地轨道的全球导航卫星信号。如今，汉弗莱斯和他实验室的研究生团队正在不断研究该地区的信号。 “除了普通的干扰（例如，使用线性调频干扰器），我们还在无线电拖网中捕获了GPS欺骗信号，”他说。“但是，有趣的是，欺骗信号似乎从未完成。它们要么缺少关键的内部数据，要么相互不一致，因此无法欺骗GPS接收器。他们的目的似乎是拒绝服务而不是真正的欺骗。我和我的学生开始意识到欺骗是新的干扰。换句话说，它被用于拒绝服务，因为它比钝性干扰更有效。” 目前这个问题还没有解决方案，其潜在的灾难性影响和原因尚不清楚。根据OPSGROUP组织11月份的更新，“业界在解决这一问题方面进展缓慢，导致机组人员只能寻找检测和缓解GPS欺骗的方法。” 汉弗莱斯说，如果机组人员确实意识到出了问题，他们唯一的办法就是依靠空中交通管制。 “GPS和IRS及其冗余备份是现代飞机导航系统的主要组成部分，”汉弗莱斯说。“当读数损坏时，飞行管理系统会假设飞机位置不正确，合成视觉系统会显示错误的背景信息等。最终，如果飞行员发现出现问题，他们可以恢复到 [VHF全向范围]/[陆地上的距离测量设备]。但在最近的几个案例中，空中交通管制必须介入并直接为飞行员提供方向“矢量”（通过不安全的通信通道）以引导他们到达目的地。这不是一个可扩展的解决方案。” 汉弗莱斯说：“如果飞行员弄清楚发生了什么事，而忽略了GPS和损坏的IRS，那么欺骗的效果就仅限于拒绝服务。” “但是GPS干扰的一个重要区别是，尽管干扰会导致GPS失效，但它不会破坏IRS。欺骗确实存在，这对于航空安全而言非常重要。” “这表明，在GPS故障时充当航位推算备份的惯性参考系统在面对GPS欺骗时根本没有备份，因为欺骗的GPS接收器会破坏IRS，然后 IRS就会对错误的位置进行航位推算。”汉弗莱斯告诉MotherBoard。“此外，冗余的GPS接收器和IRS（大型飞机有2个以上的GPS接收器和3个以上的IRS）无法提供额外的保护：它们都会被损坏。” 过去15年来，汉弗莱斯和其他人一直在对发生的此类袭击发出警报。2012年，他在国会作证，说明需要保护GNSS免遭欺骗。“GPS欺骗就像针对航空系统的零日攻击，”他告诉 Motherboard。“他们对此完全没有准备，也无能为力。” 汉弗莱斯表示，OPSGROUP从9月份开始发布的报告是“我所知道的第一个明确的案例，其中商用飞机因GPS欺骗而偏离航线”。 这些新型欺骗攻击背后的实体尚不清楚，但汉弗莱斯表示，他和一名学生已经缩小了可能的来源范围。“我的学生扎克·克莱门茨 (Zach Clements) 上周利用近地轨道上的几艘航天器的原始GPS测量结果，将这种欺骗的源头定位到了德黑兰东部外围，”他说。 伊朗并不是该地区唯一欺骗GPS信号的国家。正如Politico首次报道的那样，克莱门茨是哈马斯10月7日袭击后第一个发现很可能来自以色列的欺骗行为的人。“自10月15日左右以来，我们在以色列看到的强烈而持续的欺骗行为几乎肯定是以色列自己进行的，”汉普莱斯说。“以色列国防军实际上向一名记者承认了这一点。” 汉弗莱斯当时表示，遇到这GPS欺骗的机组人员可以依靠其他机载仪器来着陆。 汉弗莱斯表示，以色列欺骗行为的影响与9月底在伊朗附近观察到的效果相同。“据我所知，这是有史以来第一起明确的商用飞机GPS欺骗案件，”他说。“它们发生的时间如此之近令人惊讶，但可能只是巧合。”     转自网空闲话plus，原文链接：https://mp.weixin.qq.com/s/y_seB1mt1Oa1SGZBE0skNQ 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 亲俄黑客组织Killnet本周受到越来越严格的审查，此前一家新闻网站似乎披露了该组织领导人的身份。 他在网上被称为基尔米尔克(Killmilk)，在俄乌战争期间，他因代表一群出于政治动机的黑客而出名。据俄媒体 Gazeta.ru 周二发布的一篇报道，他实际上是一名30岁的俄罗斯公民，名叫尼古拉·塞拉菲莫夫(Nikolai Serafimov)。 根据 Gazeta.ru 从其他黑客活动人士和执法机构的消息来源获得的数据，塞拉菲莫夫已婚，拥有保时捷和宝马汽车，之前曾因分销毒品而被定罪。 截至周三，Killmilk 和 Killnet 都没有对这则新闻报道发表公开评论。 Gazeta.ru 没有解释是什么引发了报道，基尔米尔克一度要求 Gazeta.ru 披露是谁泄露了这些信息，但该新闻网站表示拒绝。据 Gazeta.ru 报道，这名黑客随后终止了通信并删除了聊天记录。 Killnet 声称对针对西方国家医疗机构以及美国和欧洲政府机构网站的DDoS攻击负责。 网络安全公司 Radware 的网络威胁情报主管帕斯卡尔·吉宁斯(Pascal Geenens)表示，新闻报道中描述的此人的形象——“具有说服能力和良好的社会工程技能，能够围绕自己建立一个品牌，攻击能力技术含量较低”——与他对基尔米尔克的看法一致，他说：“基尔米尔克的身份暴露后，他将无法继续经营下去。” 在周二的新闻发布之前，Killnet 的行动最近似乎就处于一个十字路口。研究人员说，在去年发起了几次活动后，该组织在过去几个月的活动有所减少，这可能是内部分裂的信号。 反 Killmilk 联盟 据Gazeta.ru报道，十多名黑客和黑客激进分子公开反对Killnet及其领导人。据研究人员称，尽管把自己定位为一个有影响力的爱国英雄，但基尔米尔克原来是一个普通的黑客，在同行中名声不佳。 研究人员说，基尔米尔克经常把其他黑客组织的行动归功于自己，或者对从未发生过的网络攻击撒谎。据俄罗斯黑客活动人士称，他还欠别人钱，欺骗自己的客户，很少兑现自己的承诺。 起初，这种古怪行为帮助基尔米尔克吸引了俄罗斯的支持者。基尔米尔克的前同事告诉 Gazeta.ru，他是“一个优秀的品牌创造者——他知道如何创造信息产品并销售它们。”然而，一些俄罗斯黑客声称他的行为“对整个俄罗斯黑客主义社区有害”。 “很多人都受够了基尔米尔克。在幕后，相当一部分亲俄组织反对他，”亲俄组织NET-WORKER 的一名黑客活动人士告诉 Gazeta.ru。 很长一段时间以来，俄罗斯黑客都不敢与基尔米尔克对抗，因为他以泄露对手的真实姓名而闻名。例如，他对“Anonymous Russia”组织的头目进行了人肉搜索——一名18岁的白俄罗斯公民，绰号“Raty”，在今年早些时候于白俄罗斯被捕。 研究人员说，如果 Killmilk 的身份被正式暴露，Killnet 可能很快就需要一个新的领导人。在这种情况下，地下黑客组织有时会消失，成员会在其他地方重新出现。 吉宁斯说道:“Killnet 与 Killmilk 的理念和声音有着紧密的联系。“这可能意味着一个时代和最具影响力的亲俄黑客组织的终结。但是，每当出现空白时，这个空白很快就会被另一个人或组织填补。”       Hackernews 编译，转载请注明出处 消息来源：TheRecord，译者：Serene

LockBit领导层对组织支付的低利率表示担忧，当受害者支付时，附属机构收取的赎金金额被认为太低。 为了应对LockBit组织内部日益增长的挫败感，其领导者彻底改变了与勒索软件受害者谈判的方式。LockBit领导层对组织支付的低利率表示担忧，当受害者支付时，附属机构收取的赎金金额被认为太低。谈判的不一致也是高层之间争论的焦点。LockBit内部认为，经验不足的附属机构无法从受害者那里获得预期的最低付款，并且过于频繁地提供未经批准的折扣。在十月份规则变更生效之前，几乎没有任何成文的规则或谈判指南。附属机构完全自行其是，而不一致的谈判导致拒绝支付赎金的受害者人数增加。这主要是因为该组织经验不足的附属机构提供的折扣与赎金金额相比太大。此外，跟踪该组织谈判的事件响应人员正在记录这些数据并将其用于对付他们。 据称新近达成共识的指南，是为了保证Lockbit及其附属机构的利益。LockBit为附属公司提供了需要遵循的指南，以及有关可以提供的最大折扣以及相对于初始赎金金额的谈判可以低到什么程度的规则。 Lockbit高层认为，当谈判者认为与更有经验的附属公司合作时可以获得更大的折扣时，因为之前的攻击表明他们可以提供这些折扣，这些谈判者就会停止谈判并拒绝付款。他们觉得自己做了一笔糟糕的交易，而犯罪分子最终却没有得到报酬。 LockBit表示，在某些情况下，他们发现附属机构提供高达90%的折扣，只是为了获得赎金，而不顾赎金的多少。这样做的得利影响表现为，一些更有经验的勒索犯罪分子同样在收取赎金，这显得他们提供的折扣不那么诱人，可以说是扰乱了勒索市场。Lockbit是勒索生态中的创新者，他们把赎金收取的权利下放到了附属机构。 根据安全商店Analyst1收集的情报，LockBit在9月份发布了一项调查，为附属公司提供了对潜在规则变更进行投票的机会，并指出了该组织的挫败感。 它为附属公司提供了六种选择： （1）让一切保持原样。附属公司一如既往地制定自己的规则，没有任何限制。 （2）根据公司的年收入确定最低赎金要求，例如赎金比例为年收入的3%，就禁止超过50%的折扣。因此，如果该公司的收入为1亿美元，则最初的赎金请求应从300万美元起步，最终支付不少于150万美元。 （3）不要对所需的最低金额施加任何限制，因为这取决于对受害者造成的损害。但是，最大折扣不应超过50%。例如，如果初始赎金设置为100万美元，则附属机构不能接受任何低于50万美元的付款。 （4）如果您能找到网络保险，则禁止支付低于受害者保险金额的任何款项。 （5）如果您能找到网络保险，则禁止支付低于受害者保险金额50%的款项。 （6）您想到的其他建议。 随后，LockBit确定了两项规则，这些规则将指导从10月1日开始的所有未来谈判。 第一个是赎金金额，以及附属机构应如何根据受害者的年收入比例设定起步金额。 收入不超过1亿美元的 -赎金应在3%到10%之间（编者注：要求赎金的最高金额为300万-1000万美元之间） 收入1-10亿美元之间的-赎金应在0.5%至5%之间（编者注：要求赎金的最高金额为500万-5000万美元之间） 收入超过10亿美元 –赎金应在0.1%至3%之间（编者注：以收入100亿为例，要求赎金的最高金额为1000万-3亿美元之间） LockBit表示，虽然赎金金额最终仍由附属机构自行决定，并且“无论金额多少看起来都是公平的”，但在教科书勒索软件部署场景中应遵循上述指导。 例如，如果附属公司未能销毁受害者的备份，他们可能会调整赎金。 第二条规则涉及附属公司提供的折扣。虽然赎金金额仍然可以由附属机构自行决定，但他们现在提供折扣的许可要少得多，硬性最高限额为50%。 LockBit在与Analyst1分享的发给关联公司的消息中表示：“从2023年10月1日起，在与受攻击公司的沟通过程中，严格禁止给予超过最初请求金额50%的折扣。” “对于那些性格钢铁般的人来说，知道如何确定公司大概率支付的赎金金额并且几乎从不做出大折扣的人，请牢记这条规则，并根据最大允许的大小调整赎金金额折扣。赎金金额仍由您自行决定，金额为您认为公平的金额。” “请严格遵守规则，并尽可能遵守建议。” Analyst1引用了LockBit和The Register之前的对话作为这些新政策正在实施的例子。 当经销商巨头CDW和LockBit之间的谈判于10月初破裂时，Windows勒索软件组织的发言人告诉我们，根据其计算，CDW的年收入为200亿美元，而其支付报价太低了。 LockBit发言人当时表示：“计时器一到，你就可以看到所有信息，谈判就结束了，不再进行。” “我们拒绝了这个荒谬的金额。” 根据LockBit的新赎金指南，估值为200亿美元时，所需的赎金将设定在2000万至60亿美元之间。 LockBit在其泄密博客上发帖称，CDW仅向其提供110万美元作为赎金，以回应其提出的8000万美元赎金 — —这一提议似乎被视为具有冒犯性。 勒索软件组织与其潜在受害者之间持续不断的斗争凸显了密切监控这一不断变化的形势的新发展的必要性。在勒索软件攻击的多个阶段中，对于受害者和攻击者来说，谈判都是至关重要的事件。然而，差异体现在结果上。当谈判失败时，攻击者遭受的后果相对较小，例如损失时间和资源。然而，这些事件的受害者面临着更重大的损失，并面临着巨大的财务和声誉损失。 在谈判中，受害者是唯一的决策者。虽然进入谈判并支付赎金通常被认为是最不利的选择，但在某些情况下，受害者可能会考虑这种选择，以挽救企业免受更严重的损害。公司和参与者都意识到了这种动态。参与者识别他们可以利用的漏洞并战略性地利用它们。 LockBit有着对知名实体进行多次攻击的历史，其内部结构和集团内部谈判规则的最新发展引入了另一层复杂性。了解这种转变对于仔细评估缓解勒索软件攻击（如果发生）的方法至关重要。 “此分析的关键要点是认识到每个LockBit案例本质上都是独一无二的，这主要是由于内部组织结构。最显着的因素之一是，对违规行为本身负责的关联公司也是谈判背后的关联公司。这意味着什么？每次谈判者处理一个新案件时，他们可能会与不同的人打交道。 “人为因素，包括心理细微差别和不同的经验水平，显着影响谈判过程。因此，受影响的实体必须有效地适应和驾驭这些变量，以提高在缓解LockBit攻击的复杂环境中成功解决问题的机会。”     转自网空闲话plus，原文链接：https://mp.weixin.qq.com/s/1JJDJMC6yRo766tAIa1DSg 封面来源于网络，如有侵权请联系删除

据了解，一家安全供应商对路透社调查记者获得的非公开数据进行了长达 11 个月的审查，证实了之前的报道，即印度雇佣黑客组织与全球范围内针对个人和实体的众多（具有破坏性的）网络间谍和监视事件有关。总部位于新德里的神秘组织 Appin 目前已不复存在。但从 2009 年左右开始的几年里，Appin 明目张胆地侵入了世界各地企业和企业高管、政治家以及政府和军事官员的计算机。直到今天，其成员仍然积极参与衍生活动。全球范围内的黑客攻击该公司的客户包括私家侦探、侦探、政府组织、企业客户，以及来自美国、英国、以色列、印度、瑞士等国家实体。 路透社记者从多个来源收集了有关其运营和客户的详细信息，包括连接到名为“MyCommando”的 Appin 网站的日志。Appin 客户使用该网站从路透社描述的一系列选项中订购服务，用于侵入目标实体的电子邮件、电话和计算机。 路透社在其报告中提到，此前的调查已将 Appin 与其中一些事件联系起来，例如 Telenor 事件。 近乎确凿的证据 路透社委托 SentinelOne 对数据进行的审查进一步证实了这种联系。这家网络安全公司对路透社记者收集的数据进行了详尽的分析，显示 Appin 与众多数据盗窃事件之间有近乎确定的联系。其中包括窃取巴基斯坦政府官员的电子邮件和其他数据。 SentinelLabs 首席威胁研究员 Tom Hegel 表示：“该组织目前的状况与十年前有很大不同。我们研究中的最初实体‘Appin’已经不复存在，但可以被视为当今几家黑客雇佣企业的鼻祖。” 基础设施采购 SentinelOne 的审查显示，Appin 经常使用第三方外部承包商来获取和管理其用于代表客户实施攻击的基础设施。Appin 操作人员基本上会要求承包商购买具有特定技术要求的服务器。承包商将为 Appin 购买的服务器类型包括用于存储泄露数据的服务器；命令和控制服务器、托管用于凭证网络钓鱼的网页的服务器以及托管旨在引诱特定目标受害者的网站的服务器。 Appin 高管利用内部员工和位于加利福尼亚州的自由门户网站 Elance（现称为 Upwork）来寻找程序员来编写恶意软件和漏洞利用程序。例如，雇佣黑客组织在攻击 Telenor 时使用的 USB 传播器工具就是一位这样的 Elance 自由职业者的作品。在 2009 年的招聘启事中，Appin 将其正在寻找的工具描述为“高级数据备份实用程序”。该公司为该产品支付了 500 美元。 SentinelOne 表示：“十多年前，向客户提供的进攻性安全服务包括通过多种技术形式窃取数据，通常在内部称为‘拦截’服务。其中包括键盘记录、帐户凭据网络钓鱼、网站篡改和 SEO 操纵/虚假信息。” Appin 还可以满足客户的请求，例如按需破解被盗文档的密码。 在审查期间，印度私营部门的雇佣黑客行业表现出了显着的创造力，尽管在特定时期还具有一定的技术基础。 在这个时代，该行业以创业方式运作，通常选择具有成本效益且简单的进攻能力，尽管这些攻击者的行动规模相当大，但他们通常不属于高度复杂的攻击者，特别是与成熟的高级持续威胁 (APT) 或犯罪组织相比。   转自E安全，原文链接：https://mp.weixin.qq.com/s/CwVECpkIO-NUjQXvVOIZpg 封面来源于网络，如有侵权请联系删除

根据谷歌最新发布的2024年云安全预测报告，新的一年恶意生成式AI（例如FraudGPT和WormGPT）的流行将引发大规模网络攻击活动。与此同时，基于大语言模型的AI应用也将大大提升网络安全防御的效率和能力，网络安全领域将进入惨烈的“大模型作战”阶段，并深刻地改变安全运营、云安全、黑客与网络犯罪模式、政治选举、巴黎奥运会和关键基础设施防护。 以下为谷歌安全团队对2024年新安全威胁的20大预测： 生成式AI被大规模用于网络钓鱼和虚假信息传播：2024年AI和大型语言模型将被广泛用于提高钓鱼邮件和社会工程攻击的专业化水平。大语言模型生成的攻击内容更加难以被员工和检测工具辨别，而且攻击者能够利用AI工具实施大规模攻击。与此同时，生成式AI将被攻击者用于大规模创建虚假新闻和深度伪造内容，可能影响主流新闻，并降低公众对新闻和在线信息的信任。2024年，恶意大语言模型和生成式AI工具的云服务，将被广泛用于协助攻击者实施目标入侵，如网络钓鱼和传播虚假信息。 AI网络安全技术将大大提高安全运营效率。在防御端，AI将大大提高数据分析能力并加固防御体系。防御者将大量利用AI技术强化侦测、响应和归因，以及大大加快数据/代码/事件分析和逆向工程等耗时任务，提高安全运营效率并降低成本。 零日漏洞利用和边缘设备攻击增长：自2012年以来，零日漏洞的使用逐年增长，预计2024年国家级黑客组织和网络犯罪团伙将更多地使用零日漏洞，以便长时间保持对环境的访问。攻击者将转向利用零日漏洞和边缘设备，因为它们难以监控，从而容易躲避安全团队的侦测。 美国总统大选遭受网络攻击：2024年是选举年（包括美国、欧盟、印度、印尼、韩国等），国家级和其他黑客组织将发动各种网络攻击活动，包括针对选举系统的间谍行为、舆情操弄、在社交媒体上冒充总统候选人发布虚假内容，以及针对选民本身的信息操作。预计这些活动在2024年将更加普遍，因为生成式AI工具可以大大提高信息战和网络战的规模和速度。 破坏性黑客主义活动盛行：2022年和2023年业界见证了黑客主义活动的死灰复燃以及黑客活动的政治化趋势（包括国家黑客部队的介入和参与），尤其是在俄罗斯或乌克兰、以色列或哈马斯的冲突中，形成了按意识形态和地缘政治划分的两大黑客组织阵营。这些黑客组织的破坏性活动主要包括分布式拒绝服务（DDoS）攻击、数据泄露和网页篡改。这种活动可能扩展到对民用和军事目标的网络攻击，甚至可能用于实施物理设施（或关键基础设施）的破坏。 擦除器成为所有国家黑客武器库的标配：在2022年俄罗斯入侵乌克兰之前，俄罗斯APT组织入侵了乌克兰目标并发起了破坏性攻击。预计在2024年，更多国家会效仿俄罗斯在重要战略目标处埋设破坏性的擦除器恶意软件。 发生针对太空基础设施的攻击：乌克兰的局势表明了地缘军事冲突对太空技术的高度依赖。预计2024年将有国家支持的黑客组织全方位地利用计算机网络开发能力，侵入太空基础设施及相关地面支持基础设施和通信渠道，以达到干扰、破坏、欺骗或进行间谍活动的目的。 针对混合云和多云环境的攻击日益成熟且破坏性更大：攻击者不断寻找新方法在不同的云环境中持久驻留并横向移动，例如利用云安全常见的配置错误和身份与访问管理漏洞。 云中的无服务器技术将被更广泛利用：预测2024年网络犯罪分子和国家级黑客将更广泛地利用云中的无服务器技术，因为这些技术提供更大的可扩展性、灵活性，并可通过自动化工具部署。 勒索软件攻击进一步增长：勒索操作仍然是对企业和全球社会最具影响力的网络犯罪形式。尽管2022年增长停滞，但2023年关于盗窃数据的广告和勒索收入估计显示这一威胁正在增长，预计这种增长将在2024年持续，除非市场出现重大干扰因素。 间谍活动创建“休眠僵尸网络”：网络间谍组织将寻找更多扩大攻击规模的方法，同时不断提高操作安全性。这些组织将使用新旧漏洞，利用易受攻击的物联网、小型办公室/家庭办公室设备和路由器创建“休眠僵尸网络”，并在被发现或使用后废弃（休眠），使追踪和归因工作复杂化。 老旧技术的复兴：攻击者重新采用一些古老但未被（防御技术）广泛覆盖的技术来躲避检测。例如，使用WindowsAPI中未记录的SystemFunctionXXX功能，而不是常见的加密功能。 恶意软件开发转向现代编程语言：恶意软件作者将继续使用Go、Rust和Swift等现代编程语言开发更多恶意软件。这些“安全语言”提供了良好的开发体验，使得快速开发复杂的恶意软件更为便宜，更容易规避检测。 通过软件包管理器发动针对开发者的供应链攻击：近年来，针对NPM（Node.js包管理器）等软件包管理器的供应链攻击表明软件开发者已经成为攻击者的热门目标。这种低成本、高影响力的攻击形式的流行趋势可能会持续增长。 移动网络犯罪日益普及：预计2024年大量网络犯罪分子或电诈人员将采用全新的社交工程策略，例如伪造家政服务信息、假社交媒体账户、银行或政府官员的信息，以及伪造的弹出警报，诱骗受害者在其移动设备上安装恶意应用。 围绕SecOps的方案整合。到2024年，随着越来越多的客户要求在安全运营解决方案中整合风险管理和威胁情报，预计SecOps（安全运营）市场将面临更多整合。客户将要求一个覆盖其整个网络资产的综合生态系统——包括云环境、多云环境、本地部署和混合环境——并且越来越期望供应商能提供有见解的工作流程、指导和内容，以便开箱即用地启动他们的安全计划。 亚太地区网络攻击技术变得更为复杂。EDR（端点检测和响应）解决方案在亚太地区得到进一步普及，亚太地区组织的安全成熟度正在提高。因此，资源充足的攻击者将越来越多地采用检测绕过策略，这在全球范围已经形成趋势。该地区的防御者应该准备好应对安全、网络和虚拟化软件中的零日漏洞利用；针对路由器和其他边缘设备的攻击；以及使用其他方法在受害者网络内外传输和伪装攻击流量。 亚太区“杀猪盘”电信诈骗继续让人头痛。2024年，“杀猪盘”诈骗，这种既包含网络欺诈犯罪又包含人口贩运的犯罪行为，将继续成为亚太国家执法部门面临的棘手难题。2023年8月的一份联合国报告详细说明，许多诈骗者本身也是受害者，他们被贩卖并被迫参与诈骗行为。2023年7月，在菲律宾有2700人从被迫的网络犯罪劳动中被救出。联合国报告称，“形势仍在变化：来自该地区及其他地方的数十万人被强迫参与在线犯罪活动。” 2024年奥运会扩大巴黎的攻击面。预计在2024年巴黎夏季奥运会期间，网络犯罪分子将瞄准售票系统和商品，通过大量的网络钓鱼活动窃取财务信息或凭证。公共机构和银行需要保持警惕。我们还可能看到利用奥运会进行地缘政治活动。奥运会也可能成为错误信息和虚假信息的目标，无论是直接与该事件相关（例如门票销售），还是间接相关（如住宿租赁、公共交通）。 网络安全保费趋于稳定。网络安全保险市场以其波动性而闻名。过去几年，由于安全风险不断累积，网络安全保险费不断上涨且保险覆盖范围缩小。2024年，随着网络安全保险市场的竞争加剧，网络安全保险费用将趋于稳定，承保范围扩大。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/vkNLZvYBu-WHjxCcHVobYw 封面来源于网络，如有侵权请联系删除