据观察，名为 “Carbanak “的银行恶意软件近日又有新动作。有黑客利用该软件发起勒索攻击，并采用了与之前完全不同的全新策略。 网络安全公司 NCC 集团分析了今年 11 月的勒索软件攻击事件后表示：该恶意软件已经进行了调整升级，如今已纳入攻击供应商和全新技术，这让其攻击更加有效、更加多样。 Carbanak 通过新的传播链卷土重来 上个月，Carbanak 通过被入侵网站冒充各种商业相关软件进行传播，其冒充的工具包括流行的业务相关软件，如 HubSpot、Veeam 和 Xero。 Carbanak 最早于 2014 年被发现，它以数据外渗和远程控制功能而闻名。Carbanak 最初是一种银行恶意软件，后来被  FIN7  网络犯罪集团利用。 根据 NCC Group 的记录，这些被入侵的网站会被装载恶意安装程序文件，并伪装成合法的实用程序，继而触发 Carbanak 以达到最终的勒索目的。 2023 年勒索软件攻击事件激增 今年 11 月共报告勒索软件攻击事件  442  起，高于今年  10  月的 341 起。到目前为止，今年共报告了4276 起案件，而 2021 年和 2022 年的勒索事件总和仅为 5198 起。 根据 NCC 公司的数据显示，工业（33%）、消费周期（18%）和医疗保健（11%）成为最主要的目标行业，其中北美（50%）、欧洲（30%）和亚洲（10%）占了大部分攻击。 至于最常见的勒索软件家族，LockBit、BlackCat 和 Play 在 442 次攻击中占 47%（或 206 次攻击）。本月，BlackCat 被当局解散，此举将对近期的威胁格局产生什么影响，我们拭目以待。 NCC 集团全球威胁情报主管 Matt Hull 称：“今年只剩最后一个月，然而攻击总数已超过 4000 次，与 2021 年和 2022 年相比增幅巨大，因此明年勒索软件水平是否会继续攀升值得关注”。 网络保险公司 Corvus 也证实了 11 月份勒索软件攻击的激增事实，该公司称又发现了484 名新的勒索软件受害者，这些受害者信息已经被公布到了泄密网站上。 该公司表示：“整个勒索软件生态系统已经成功地脱离了 QBot，同时正在为勒索软件集团带来收益回报”。 造成这个变化的原因是因为此前执法部门捣毁 QBot（又名 QakBot）基础设施的结果。微软上周披露了传播该恶意软件的小规模网络钓鱼活动的细节，更加凸显了彻底捣毁这些组织所面临的挑战。 与此同时，卡巴斯基透露，Akira 勒索软件的安全措施会在试图使用网络浏览器中的调试器访问该网站时引发异常，从而防止其通信网站被分析。 这家俄罗斯网络安全公司进一步强调，勒索软件运营商利用 Windows 通用日志文件系统(CLFS)驱动程序中的不同安全漏洞——CVE-2022-24521、CVE-2022-37969、CVE-2023-23376、CVE-2023-28252 (CVSS 得分:7.8)——进行权限升级。   转自FreeBuf.COM，原文链接：https://www.freebuf.com/news/387852.html 封面来源于网络，如有侵权请联系删除

网络犯罪组织 UAC-0099 继续攻击乌克兰，利用WinRAR中的漏洞传播 LONEPAGE 恶意软件。 据网络安全公司 Deep Instinct 称，攻击的主要目标是在国外工作的乌克兰员工。UAC-0099 组于 2023 年 6 月首次由乌克兰计算机应急响应小组 (CERT-UA) 发现。值得注意的是，这些攻击是针对政府组织和媒体的，目的是从事间谍活动。UAC-0099 组织还在 2022 年至 2023 年期间获得了对乌克兰数十台计算机的未经授权的远程访问。 这些攻击是使用包含 HTA、RAR 和 LNK 附件的网络钓鱼消息进行的，这会导致部署 LONEPAGE，这是一种 Visual Basic Script (VBS) 恶意软件，能够与命令和控制服务器通信以获取其他恶意软件，例如键盘记录程序、信息窃取程序和截屏程序。   UAC- 0099 攻击链 Deep Instinct 的最新分析表明，利用 HTA 附件只是三种不同感染方法之一。另外两个包括自解压 (SFX) 档案和带有诱饵文档的 ZIP 档案。LONEPAGE 分发 ZIP 文件利用 WinRAR 漏洞（ CVE-2023-38831 ，CVSS 评分：7.8），该漏洞允许攻击者在用户尝试查看 ZIP 存档中的安全文件时执行任意代码。 在一种情况下，SFX 文件包含伪装成传票 DOCX 文件的 LNK 快捷方式，并使用 Microsoft 写字板图标来诱骗受害者打开它。该攻击导致恶意 PowerShell 代码的执行和 LONEPAGE 的设置。 另一种攻击使用特制的 ZIP 存档，该存档容易受到 CVE-2023-38831 的攻击。Deep Instinct 于 2023 年 8 月 5 日发现了由 UAC-0099 创建的两个此类文件，即 WinRAR 开发人员发布该漏洞修复程序三天后。 根据 Deep Instinct 的说法，UAC-0099 使用的策略简单但有效。尽管初始感染的方法不同，但感染的基础仍然相同：它基于使用 PowerShell 并创建执行 VBS 文件的计划任务。 使用复杂的感染方法，包括流行的 WinRAR 软件中的漏洞，展示了 UAC-0099 组织的高水平准备。公共和私营部门保持警惕并加强安全措施的必要性变得越来越明显。这一事件凸显了不断更新和加强防御系统以防止未来网络攻击和保护国家数字基础设施的重要性。   转自安全客，原文链接：https://www.anquanke.com/post/id/292171 封面来源于网络，如有侵权请联系删除

ReasonLabs 的专家发现了 Google Chrome 浏览器的三个恶意扩展程序，它们伪装成虚拟专用网络 (VPN) 服务。这些程序用于劫持会话、破解现金返还系统和窃取数据，从官方商店下载了超过 150 万次。 恶意扩展程序通过隐藏在流行视频游戏盗版版本中的安装程序进行分发，例如《侠盗猎车手》、《刺客信条》和《模拟人生 4》。受害者通过 torrent 网站下载游戏，这增加了感染的风险。 谷歌在收到研究人员的信息后，采取了行动，从 Chrome 网上应用店中删除了这些程序。受感染的扩展程序包括 netPlus（100 万次安装）、netSave 和 netWin（50 万次安装）。 大多数感染病例发生在俄罗斯、乌克兰、哈萨克斯坦和白俄罗斯。该活动似乎最初是针对俄语用户的。 扩展是自动安装的，没有任何注册表级别的通知。安装后，该程序会检查设备上是否有防病毒软件，然后在 Google Chrome 中下载 netSave，在 Microsoft Edge 中下载 netPlus。 从外部来看，这些扩展模仿了合法 VPN 服务的真实界面，甚至提供付费订阅。 该恶意软件的关键特征之一是使用“屏幕外”权限。它使攻击者能够通过 Offscreen API 秘密地与网页的 DOM（文档对象模型）进行交互。这使得黑客能够悄悄窃取敏感数据、操纵网络请求，甚至禁用浏览器中安装的其他工具。 恶意软件目标列表包括 Avast SafePrice、AVG SafePrice、Honey：自动优惠券和奖励、LetyShops、Megabonus、AliRadar Shopping Assistant、Yandex.Market Adviser、ChinaHelper 和 Backlit 等知名应用程序。 这些扩展还与命令和控制服务器进行通信，传输指令、受害者识别、敏感信息等。 这一事件引起了专家们对与网络浏览器扩展相关的严重安全问题的关注。其中许多程序都经过精心伪装，使它们更难以被发现。建议用户定期监控 Chrome 网上应用店上的评论，以了解任何可疑或恶意活动的报告。   转自安全客，原文链接：https://www.anquanke.com/post/id/292166 封面来源于网络，如有侵权请联系删除

印度政府实体和国防部门已成为网络钓鱼活动的目标，该活动旨在投放基于 Rust 的恶意软件以进行情报收集。 该活动于 2023 年 10 月首次检测到，企业安全公司 SEQRITE 将该活动代号为“Operation RusticWeb”。 安全研究员 Sathwik Ram Prakki表示：“新的基于 Rust 的有效负载和加密的 PowerShell 命令已被用来将机密文档泄露到基于 Web 的服务器，而不是专用的命令和控制 (C2) 服务器。” 该集群与被广泛追踪的“Transparent Tribe”和“SideCopy ”集群之间已发现战术上的重叠，这两个集群均被评估为与巴基斯坦有关。 SEQRITE详细介绍了该黑客组织针对印度政府机构发起的多次活动，以传播 AllaKore RAT、Ares RAT 和 DRat 等众多木马。 ThreatMon 记录的其他近期攻击链采用了 Microsoft PowerPoint 文件诱饵以及易受CVE-2023-38831影响的特制 RAR 存档来进行恶意软件传播，从而实现不受限制的远程访问和控制。 ThreatMon今年早些时候指出：“SideCopy APT 组织的感染链涉及多个步骤，每个步骤都经过精心策划，以确保成功入侵。” 最新的一组攻击从网络钓鱼电子邮件开始，利用社会工程技术诱骗受害者与恶意 PDF 文件进行交互，这些文件会丢弃基于 Rust 的有效负载，用于在后台枚举文件系统，同时向受害者显示诱饵文件。 除了收集感兴趣的文件外，该恶意软件还可以收集系统信息并将其传输到 C2 服务器，但缺乏地下网络犯罪中其他高级窃取恶意软件的功能。 SEQRITE 在 12 月发现的第二条感染链采用了类似的多阶段过程，但用负责枚举和渗透步骤的 PowerShell 脚本替换了 Rust 恶意软件。 但有趣的是，最后阶段的有效负载是通过名为“Cisco AnyConnect Web Helper”的 Rust 可执行文件启动的。收集到的信息最终上传到 oshi[.]at 域，这是一个名为OshiUpload的匿名公共文件共享引擎。 Ram Prakki 表示：“RusticWeb 行动可能与 APT 威胁有关，因为它与多个与巴基斯坦有关的组织有相似之处。” 近两个月前，Cyble 发现了DoNot 团队针对印度克什米尔地区个人使用的恶意 Android 应用程序。 攻击者也被称为 APT-C-35、Origami Elephant 和 SECTOR02，据信是印度裔，有利用Android 恶意软件渗透克什米尔和巴基斯坦移动设备的历史。 Cyble 检查的变种是名为“QuranApp: Read and Explore”的开源 GitHub 项目的木马版本，该项目配备了各种间谍软件功能，可以记录音频和 VoIP 通话、捕获屏幕截图、从各种应用程序收集数据，下载其他 APK 文件并跟踪受害者的位置。 Cyble表示：“DoNot 组织不断努力改进其工具和技术，这突显了他们所构成的持续威胁，特别是针对印度敏感的克什米尔地区的个人。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/QqxasjwJAo9KoQ03VkllxA 封面来源于网络，如有侵权请联系删除

Sophos 发现了 针对世界各地酒店员工的全球网络钓鱼活动。黑客伪装成心怀不满的客人发送恶意电子邮件。其目标是窃取密码以访问机密酒店数据。 黑客以在住宿期间遇到问题的客户名义发送邮件。这些投诉可以是各种各样的——从怀疑中毒到指责对残疾人不关心。 黑客精心编造假故事，以博取员工的同情和信任。例如，据称有人在房间里留下了装有已故亲戚照片的相机，并发现了一些信件。 一旦酒店代表回复此类消息并要求提供更多详细信息，黑客就会回复一封新信。它包含确认其投诉的文件链接 – 合同、支票、医疗报告等。 事实上，这些链接会指向 Google Drive、Mega 或 Dropbox 等云存储服务。恶意软件隐藏在存档文件中。信中还指出了访问这些档案的密码。 Sophos 研究人员指出，黑客使用先进的社会工程方法，并且非常擅长操纵受害者、推断他们的情绪。 此前曾针对美国税务公司使用过类似的攻击模式。当时，黑客还会在提交声明的截止日期之前发送网络钓鱼电子邮件。 Sophos 专家敦促酒店员工保持警惕，不要打开来自不熟悉来源的可疑文件。应该小心任何非标准请求，尤其是包含链接或附件的请求。 黑客可以窃取机密的客户数据，包括付款详细信息，给酒店业主带来经济损失，因为大量资金将用于赔偿以及（如有必要）修复受损系统。 此外，访问员工信件将使黑客能够跟踪他们的计划和行动。他们可以利用以这种方式获得的信息进行进一步的攻击，例如针对特定员工的有针对性的网络钓鱼。 最常受影响的酒店位于美国、英国、德国、意大利和西班牙。然而，网络钓鱼电子邮件以不同的语言发送到世界各地。 为了保护自己，专家建议公司定期对员工进行网络卫生和威胁识别方面的培训。 转自安全客，原文链接：https://www.anquanke.com/post/id/292057 封面来源于网络，如有侵权请联系删除

ReversingLabs 的网络安全专家 Carlo Zanchi 发现了许多黑客最近利用的一个新趋势。该趋势的本质是恶意利用 GitHub 平台传播恶意软件。 Zanchi 在报告中指出，此前，恶意软件作者经常在 Dropbox、Google Drive、OneDrive 和 Discord 等平台上托管其恶意软件副本。但最近，越来越多地使用 GitHub 作为恶意软件的直接宿主。 黑客始终首选公共服务来托管和操作恶意软件。它们的使用使得恶意基础设施难以禁用，因为没有人会仅仅为了阻止某些危险僵尸网络的工作而完全阻止 Google Drive。 公共服务还允许黑客将恶意网络流量与受感染网络上的合法通信混合在一起，从而使及时检测和响应威胁变得更加困难。 因此，GitHub 上 Gist 代码片段存储服务的滥用表明了这一趋势的演变。对于黑客来说，还有什么比将其恶意代码存储在这样的小型存储库中并根据需要将其安全地传送到受感染的主机更方便的了。 ReversingLabs 已识别出 PyPI 平台上的多个软件包 – “httprequesthub”、“pyhttpproxifier”、“libsock”、“libproxy”和“libsocks5” – 这些软件包伪装成用于处理代理网络的库，但包含一个 Base64 编码的 URL ，导致一个秘密 Gist 托管在一次性 GitHub 帐户中，没有公共项目。 研究人员还发现了黑客积极使用的另一种利用 GitHub 的方法。这里已经涉及到版本控制系统的功能了。其中，黑客在单击“Git commit”按钮时依赖具有更改历史记录的消息，通过恶意软件从中提取命令，然后在受感染的系统上执行它们。 关键点是，恶意软件放置在已经受感染的计算机上，扫描特定存储库的提交历史记录以查找特定消息。这些提交消息包含隐藏命令，然后由软件提取并在受害者的计算机上执行。 Zanchi 强调，使用 GitHub 作为 C2 基础设施本身并不新鲜，但滥用 Gists 和 Git commit 等功能是黑客近年来越来越多使用的创新方法。 使用 GitHub 等流行且值得信赖的平台作为网络犯罪的基础设施是一个非常令人震惊的趋势，这表明了黑客的聪明才智。 尽管服务本身安全可靠，但黑客不断寻找各种漏洞引入恶意代码和 C2 命令。这对公司和用户来说都是一个行动信号——他们需要提高警惕并使用现代手段来防御威胁。 转自安全客，原文链接：https://www.anquanke.com/post/id/292062 封面来源于网络，如有侵权请联系删除

昨天，IBM的网络安全研究人员发布了一份报告，介绍了他们发现的恶意软件活动。该活动利用JavaScript Web注入，窃取美洲、欧洲和日本40家银行的银行数据。 专家发现，该活动自2022年12月起就开始准备，当时获取了攻击中使用的恶意域名。该活动直到今年三月才被发现。目前，已有超过5万用户受到黑客影响。 攻击本身是通过从攻击者服务器下载的JS脚本实现的，针对许多银行常见的特定页面结构。攻击的最终目标是拦截用户凭据及其一次性密码（OTP），以登录银行系统并获得对受害者帐户的完全访问权限，包括进行未经授权的交易。 IBM表示，最初的感染可能是通过欺诈性广告或网络钓鱼发生的，但没有详细说明。然后，恶意软件会将特殊的脚本标签注入受害者的浏览器，从而生成外部脚本。这种方法增加了攻击的隐蔽性，因为简单的加载器脚本不太可能被标记为恶意。 由此产生的恶意脚本也经过伪装：例如，在活动中被视为合法的JavaScript内容交付网络。为了逃避检测，黑客使用了类似于合法“cdnjs[.]com”和“unpkg[.]com”的域名。在执行之前，该脚本还会检查受害者系统上是否存在某些防病毒产品。一切都是为了避免被发现。 值得注意的是，该脚本能够根据C2服务器的指令动态改变其行为，支持多种操作状态。 研究人员发现该活动与DanaBot（自2018年以来分发的模块化银行木马）之间存在联系。据IBM称，三月份发现的活动仍在进行中。对于面临风险的银行应用程序用户，IBM专家建议在使用电子邮件、搜索聚合器和在线银行本身时提高警惕。 转自安全客，原文链接：https://www.anquanke.com/post/id/292064 封面来源于网络，如有侵权请联系删除

美国联邦调查局（FBI）近期宣称，截至 2023 年 9 月，ALPHV/BlackCat 勒索软件团伙已成功袭击全球 1000 多名受害者，狂“薅”了超过 3 亿美元的赎金，其中近 75% 受害者来自美国，其余约 250 个散布在全球各地。 在近期与 CISA 合作发布的联合公告中，FBI 分享了 ALPHV/BlackCat 勒索软件的缓解措施，以期帮助降低全球实体组织受该勒索软件攻击的风险。FBI 和 CISA 这两家机构还提供了联邦调查局于 12 月 6 日确定的 ALPPV IOC（妥协指标）和 TTP（战术、技术和程序），强烈建议网络管理者优先修补正在被利用的安全漏洞。 此外，FBI 督促网络管理员尽快在所有服务中使用强密码强制执行多因素身份验证（MFA），尤其是对于网络邮件、VPN 和与关键系统链接的帐户，并将软件定期更新至最新版本，日常重点工作应放在漏洞评估上，并将其作为标准安全协议的重要组成部分。 2021 年 11 月，ALPHV/BlackCat 勒索软件首次 “浮出水面”，一度被业内人士怀疑是臭名昭著的 DarkSide 和BlackMatter 勒索软件的再现。成功袭击 Colonial Pipeline 后，ALPHV/BlackCat 勒索软件在全球范围内变得臭名昭著，执法机构对其进行了广泛且深入的调查。FBI 曾将 ALPHV/BlackCat 勒索软件团伙与 2021 年 11 月至 2022 年 3 月期间发生的 60 多起违规行为联系起来。 FBI ”颠覆“了 ALPHV/BlackCat 勒索软件 12 月 7 日，Bleeping Computer 首次报道称，ALPHV/BlackCat 勒索软件团伙的 Tor 谈判和数据泄露网站突然停止工作。近期，美国司法部证实了报道，称联邦调查局成功”攻入“了 ALPHV/BlackCat 勒索软件的服务器，监控了该组织的日常活动并获得了解密密钥。 值得一提的是，为了”访问“ ALPHV/BlackCat 勒索软件的后端附属小组，联邦调查局与一名机密人力资源（CHS）接触，该人员在与勒索软件运营商面谈后获得了作为附属机构的登录凭据。 ALPHV/BlackCat 勒索软件扣押横幅 FBI 在收集解密密钥的同时，对 ALPHV/BlackCat 勒索软件的运作进行了持续数月的监控，使得其能够帮助全球 500 多名受害者免费恢复文件，节省了约 6800 万美元的赎金。 FBI 还扣押了 ALPHV/BlackCat 勒索软件数据泄露网站的域名，并添加了一条横幅。然而，几个小时后，ALPHV/BlackCat 勒索软件就“解封”了数据泄露网站，并声称联邦调查局进入了托管该团伙服务器的数据中心。此外，ALPHV/BlackCat 勒索软件还在其泄漏网站上发布的消息中声称，他们已经突破了至少 3400 名受害者的网络防御系统。 最后，由于 ALPHV/BlackCat 勒索软件团伙 和 FBI 目前都拥有数据泄漏网站的私钥，因此双方可以从对方手中夺取域名的控制权，目前这种局面已被其它网络犯罪团伙视为提前送上的“节日礼物”，例如，LockBit 勒索软件团伙已经开始要求 ALPHV/BlackCat 勒索软件的分支机构转换团队，继续与受害者谈判。 转自FreeBuf，原文链接：https://www.freebuf.com/news/387160.html 封面来源于网络，如有侵权请联系删除

加密硬件钱包制造商 Ledger 遭受了供应链攻击，导致价值 600,000 美元的虚拟资产被盗。 黑客发布了一个恶意版本的“@ledgerhq/connect-kit” npm 模块，该模块原本由加密硬件钱包制造商 Ledger 开发。这次攻击导致超过 60 万美元的虚拟资产遭窃。 在发现问题后，Ledger 立即发布了其 npm 模块的新版本（版本1.1.8），并已将恶意的 npm 模块（版本号为2e6d5f64604be31）从代码库中移除。 攻击者利用网络钓鱼攻击获取了一位 Ledger 前员工的凭据和对 Ledger 的NPMJS账户的访问权限。 “今天我们经历了对 Ledger Connect Kit 的攻击，这是一个实现一键功能的 JavaScript 库，允许用户将其 Ledger 设备连接到第三方 DApps（与钱包相关的网站）。这次攻击源于一位前员工遭受网络钓鱼攻击，导致黑客能够上传恶意文件至 Ledger 的 NPMJS（这是一个用于在应用程序间共享 JavaScript 代码的软件包管理器）。” Ledger 主席兼 CEO Pascal Gauthier 在一份声明中指出。“我们与合作伙伴 WalletConnect 紧急合作，解决了这次攻击，并在发现问题后的40分钟内更新了 NPMJS，停用并移除了恶意代码。” 初步观察显示，该账户可能未启用多重身份验证（MFA）。接着，黑客上传了三个恶意版本的模块（1.1.5、1.1.6和1.1.7），其中包含加密货币挖矿恶意软件。 Ledger 的库确认遭到入侵，并被替换为一个挖矿程序。在情况变得更清楚之前，请暂停与任何DApps的交互。 —banteg (@bantg) 2023年12月14日 由于供应链攻击，依赖含有恶意软件模块的应用程序都受到了损害。 这个恶意模块的恶意版本在线上存在了约 5 小时。Ledger 在 WalletConnect 的帮助下迅速禁用了这个恶意项目。Ledger、WalletConnect 及其合作伙伴确认了黑客的钱包地址（0x658729879fca881d9526480b82ae00efc54b5c2d），而 Tether 已经冻结了他们的资金。 消息来源: securityaffairs，译者：Leopold；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

据澳大利亚和美国发布的最新联合网络安全咨询报告，截至2023年10月，Play 勒索软件背后的黑客影响了大约 300 个实体。 当局表示：“使用Play勒索软件的黑客采用双重勒索模式，在窃取数据后加密系统，影响了北美、南美、欧洲和澳大利亚的广泛业务和关键的基础设施组织。” Play，又称为 Balloonfly 和 PlayCrypt，于 2022 年出现，利用 Microsoft Exchange 服务器（CVE-2022-41040 和 CVE-2022-41082）以及 Fortinet 设备（CVE-2018-13379 和 CVE-2020-12812）中的安全漏洞，侵入企业并部署文件加密恶意软件。 值得注意的是，根据 Corvus 的数据，勒索软件攻击越来越多地利用漏洞作为初始感染途径，而不是使用钓鱼邮件。这种方式从 2022 年下半年几乎为零，到 2023 年上半年增加到近三分之一。 网络安全公司Adlumin在上个月发布的一份报告中指出，他们“提供服务”给其他黑客，这个服务形成了“勒索软件即服务（RaaS）”运营的完整转变。 该组织策划的勒索软件攻击使用 AdFind 等公共和定制工具，运行 Active Directory 查询，使用Grixba 列举网络信息，通过GMER、IOBit 和 PowerTool 禁用防病毒软件，以及使用 Grixba 收集有关备份软件和远程管理工具在机器上安装情况的信息。 观察发现，这些黑客还进行了横向移动、数据外泄和加密步骤，依赖 Cobalt Strike、SystemBC 和 Mimikatz 进行攻击后利用。 “Play ransomware group 采用双重勒索模式，在外泄数据后加密系统，” 这些机构表示。“勒索信息中并不包括初始赎金要求或付款说明，而是指示受害者通过电子邮件联系威胁行为者。” 据 Malwarebytes 汇编的统计数据显示，Play 仅在 2023 年 11 月就已经攻击了近 40 个受害者，但明显少于于其同行 LockBit 和 BlackCat（又称 ALPHV 和 Noberus）。 此警报发布数天后，美国政府机构发布了有关 Karakurt 组的更新公告。该组以纯粹的勒索方式著称，避开了基于加密的攻击方式，而是在获得对网络的初始访问权限后，通过购买被盗的登录凭证、入侵经纪人（又称初始访问经纪人）、钓鱼和已知的安全漏洞等方式进行攻击。 政府表示：“Karakurt 的受害者并未报告受损机器或文件的加密情况；相反，Karakurt 的行为者声称窃取了数据，并威胁将其拍卖或公开发布，除非他们收到所要求的赎金。” 这些进展出现的同时，有人猜测 BlackCat 勒索软件可能成为执法行动的目标，因为其暗网泄露门户网站离线了五天。然而，网络犯罪集体将这次停机归咎于硬件故障。 此外，另一个新兴的名为 NoEscape 的勒索软件组织据称已经了退出这次网络攻击，有效地“窃取了赎金支付并关闭了该组织的网络面板和数据泄漏站点”，促使像 LockBit 这样的其他团伙招募他们以前的联盟成员。 勒索软件格局不断演变和转变，不管是否由于执法部门的外部压力，这都并不令人意外。这进一步证实了 BianLian、White Rabbit 和 Mario 勒索软件团伙在针对上市金融服务公司的联合勒索活动中的合作。 “这些合作式的勒索活动并不常见，但可能因暗网中的初始访问经纪人（IABs）与多个团体合作而变得更加普遍，” Resecurity 在上周发布的报告中指出。”导致更多合作的另一个因素可能是执法介入，这造成了网络犯罪分散的局面。这些黑客的被转移者可能更愿意与竞争对手合作。” 消息来源: The Hacker News，译者：Leopold；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文