卡巴斯基的研究人员发现了一种以前不为人知的恶意软件，称为CryWiper，用于对俄罗斯市长办公室和法院进行破坏性攻击。这种恶意软件会伪装成勒索软件，但实际上是一种数据擦除恶意软件，可以永久销毁受感染系统上的数据。目前有多少机构受到了攻击、该恶意软件是否成功擦除了数据等具体细节还不得而知。 卡巴斯基的报告声称，他们在仔细分析了恶意软件样本后发现，尽管这种木马伪装成勒索软件，向受害者勒索钱财以“解密”数据，但实际上并不加密数据，而是有意破坏受影响系统中的数据。此外，分析该木马的程序代码后发现，这不是开发人员的错误，而是其初衷。 数据擦除恶意软件在过去十年中已变得越来越常见。2012年，一种名为Shamoon的数据擦除软件对沙特阿拉伯的沙特阿美和卡塔尔的拉斯拉凡液化天然气公司（RasGas）造成了严重破坏。四年后，Shamoon的一个新变种卷土重来，攻击了沙特阿拉伯的多家组织。2017年，一种名为NotPetya的自我复制恶意软件在短短数小时内肆虐全球，造成的损失估计高达100亿美元。 专家认为，该恶意软件是专门针对 Windows 系统设计的，因为它使用了对 WinAPI 函数的多次调用。在执行后，CryWiper 使用任务计划程序和 schtasks create 命令创建一个任务，每 5 分钟运行一次其文件。擦除器使用 HTTP GET 请求联系命令和控制服务器，并将受感染系统的名称作为参数传递。C2 依次响应“运行”或“不运行”命令，以确定恶意软件是否必须启动。 在某些情况下，研究人员观察到执行延迟 4 天（345,600 秒）以隐藏感染背后的逻辑。收到运行响应后，CryWiper 使用 taskkill 命令停止与 MySQL 和 MS SQL 数据库服务器、MS Exchange 邮件服务器和 MS Active Directory Web 服务相关的进程。此操作会在加密之前解锁上述合法应用程序使用的文件。CryWiper 将停止与 MySQL、MS SQL 数据库服务器、MS Exchange 电子邮件服务器和 MS Active Directory Web 服务相关的关键进程，以释放锁定的数据以供销毁。 擦除器还会删除受感染机器上的卷影副本，以防止受害者恢复已擦除的文件。为了破坏用户文件，擦除器使用伪随机数生成器“Mersenne Vortex”生成一系列数据覆盖原始文件内容。该恶意软件还将.CRY 扩展名附加到它已损坏的文件中，并投放赎金票据（’README.txt’），要求 0.5 比特币用于解密。 报告总结到，CryWiper 会将自己定位为勒索软件程序，即声称受害者的文件已加密，如果支付赎金，则可以恢复。然而，这是一个骗局：事实上，数据已被销毁，无法归还。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/abN5HPJKYcnbkmqjDtS4Wg 封面来源于网络，如有侵权请联系删除

被研究人员称之为Redigo的一种基于Go的新的恶意软件，它一直针对有CVE-2022-0543漏洞的Redis服务器并植入一个隐秘的后门允许命令执行。 CVE-2022-0543是Redis（远程字典服务器）软件中的一个关键漏洞，具有非常高的威胁性。它在2022年2月被发现并修复。修复几个月后，仍有攻击者继续在未打补丁的机器上利用它。针对于此漏洞的恶意软件的名称Redigo则是由它的目标机器和构建它的编程语言创造的。 今天，AquaSec报告说，其易受CVE-2022-0543影响的Redis蜜罐捕获了一个新的恶意软件，该恶意软件并没有被Virus Total上的安全软件检测到。 Redigo攻击 AquaSec说，Redigo攻击从6379端口的扫描开始，以定位暴露在开放网络上的Redis服务器。找到目标端点后，atacker连接并运行以下命令: INFO – 检查Redis的版本，以确定服务器是否有CVE-2022-0543的漏洞。 SLAVEOF – 创建一个攻击服务器的副本。 REPLCONF – 配置从攻击服务器到新创建副本的连接。 PSYNC – 启动复制流并下载服务器磁盘上的共享库 “exp_lin.so”。 MODULE LOAD – 从下载的动态库中加载模块，该模块能够执行任意命令并利用CVE-2022-0543。 SLAVEOF NO ONE – 将有漏洞的Redis服务器转变成主服务器。 利用植入后门的命令执行能力，攻击者收集主机的硬件信息，然后下载Redigo（redis-1.2-SNAPSHOT）。该恶意软件在升级权限后被执行。 攻击者通过6379端口模拟正常的Redis通信，以逃避网络分析工具的检测，同时试图隐藏来自Redigo的命令和控制服务器的流量。 由于AquaSec公司蜜罐的攻击时间限制，其分析师无法确定Redigo在环境中站稳脚跟后到底做了什么。 AquaSec表示，Redigo的最终目标很可能是将易受攻击的服务器作为机器人加入网络，进行分布式拒绝服务（DDoS）攻击，或者在被攻击的系统上运行加密货币矿工。 此外，由于Redis是一个数据库，访问数据并窃取它也可能是Redigo攻击的目的。 转自 Freebuf，原文链接：https://www.freebuf.com/news/351413.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 在谷歌Play Store上发现的恶意Android短信应用程序可以偷偷获取短信，目的是在Facebook、谷歌和WhatsApp等平台上创建账户。 这款名为Symoo（com.vanjan.sms）的应用程序下载量超过10万次，充当了向服务器发送消息的中继站，为账户创建服务做宣传。 这是通过使用与受感染设备相关的电话号码作为收集一次性密码的手段来实现的，该密码通常是在设置新帐户时用来验证用户的。 发现该恶意软件的安全研究人员Maxime Ingrao说：“恶意软件在第一个屏幕上询问用户的电话号码，同时还要求用户获得短信权限。” “然后它假装加载了应用程序，但一直停留在这个页面上，这是为了隐藏接收到的短信界面，这样用户就看不到订阅各种服务的短信。” 使用这些电话号码非法注册的主要服务包括亚马逊、Discord、Facebook、谷歌、Instagram、KakaoTalk、微软、耐克、Telegram、TikTok、Tinder、Viber和WhatsApp等。 此外，恶意软件收集的数据会被转移到一个名为“goomy[.]fun”的域名，该域名曾被用于另一个名为Virtual Number（com.programmatics.virtualnumber）的恶意应用程序，该应用程序已从Play商店中下架。 该应用程序的开发者Walven也与另一款名为ActivationPW-虚拟号码（com.programmatics.activation）的安卓应用程序联系在一起，该应用程序声称提供“接收来自200多个国家短信验证的虚拟号码”，价格不到50美分。 据Ingrao称，Symoo和ActivationPW代表了欺诈方案的两端，其中，安装了Symoo和ValidationPW的黑客设备的电话号码，被用来帮助用户通过后者购买账户。 谷歌告诉The Hacker News，这两款应用程序已经从Play商店下架，开发者也被禁止使用。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

安全内参11月30日消息，英国议会国家安全战略联合委员会（JCNSS）周一举行首次证据介绍会，调查其国家安全战略能否有效应对勒索软件威胁。 联合委员会主席玛格丽特·贝克特(Margaret Beckett)议员表示，这次介绍会旨在确定“威胁的规模和性质”。 在此之前，由英国上、下议院议员组成的联合委员会已开放证据提交通道。 预计后续听证会将进一步引入应对勒索软件攻击的证人，包括受害者及执法机构。其中一部分由委员会传唤，另一些则根据书面证据进行选择。 勒索软件威胁规模有多大？ 贝克特表示，“人们似乎普遍认为，近年来勒索软件威胁正持续恶化，但总体上仍缺少能够证明威胁规模的可靠数据。” 网络安全公司NCC Group首席技术官Ollie Whitehouse、咨询公司Control Risks网络事件响应负责人Jayan Perera以及牛津大学网络安全教授Sadie Cresse三位证人，在本次介绍会上提出了以下几大要点： 针对英国组织的勒索软件攻击在实际“规模”上缺乏可见性； 尽管不清楚攻击事件的真实数量，但其他数据来源证实这确实是个普遍存在的威胁； 所谓“泄露网站”所公布的信息，并不足以体现其他未公开被盗数据的网络勒索活动； 勒索攻击事件上报的普及度不高，组织只在有明显好处时才会选择与政府和执法部门接触； 应当以仍在持续发展的网络安全科学为基础，据此探索对勒索软件的抵御之道。 会上公布了哪些证据？ 在本次调查之前，英国政府已经发布过两项国家安全战略审查：第一是2021年的安全、国防、发展与外交政策综合审查，其中将勒索软件确定为“最有害的网络犯罪形式之一”；第二是今年的英国国家网络战略，其中将勒索软件描述为“英国面临的最重大网络威胁”，且“可能与国家支持的间谍活动具备同等危害”。 在听证会的开场，Ollie Whitehouse引用了美国财政部金融犯罪执法网络（FinCEN）本月早些时候发布的数据。数据显示，2021年全美勒索软件攻击和支付赎金数额均创下新纪录。 他指出，上报的事件已经由2020年的487起跃升至1489起，同比增长约300%。但2022年期间，NCC Group对勒索软件泄露网站的分析显示，受害者数量减少了7%至10%。 Jayan Perera观察到，俄乌战争似乎影响到了勒索软件即服务（RaaS）生态系统。知名勒索软件组织Conti内部的亲俄与亲乌派成员就曾发生过冲突，地缘政治争端后来导致其聊天记录泄露。 Sadie Cresse多次强调犯罪团伙的经济学原理，例如确定供应链攻击如何通过一次投入拿下多位受害者，以此获取规模经济收益。 她还指出，尽管Conti组织已经覆灭（该团伙此前曾攻击哥斯达黎加政府引发该国政治动荡），但其个人成员仍可能以新的身份继续活跃，这也体现出犯罪生态系统的内部流动性。 “隧道尽头没有光明” 英国上议院议员Baroness Crawley援引媒体报道，提到勒索软件攻击已经成为英国政府内阁办公室简报室（COBR）召开会议的主要原因。 报道称，尽管经过几个月的工作，内政部领导的勒索软件“冲刺”已经在一年前结束，但政府方面仍未采取任何切实行动以应对这一威胁。 直接负责勒索软件事务的官员表示，他们觉得隧道尽头没有光明，甚至完全感受不到有助于英国遏制这方面问题的任何希望。 Perera和Whitehouse都对政府的迟缓行动做出辩护。Creese则表示，“其实勒索软件中还涉及其他多种网络威胁类型，所以我建议把对勒索软件的担忧转化为对网络弹性的整体推进。” 转自 安全内参，原文链接：https://www.secrss.com/articles/49576 封面来源于网络，如有侵权请联系删除

一群可能位于越南的攻击者专门针对可能访问 Facebook 业务和广告管理帐户的员工，在几个月前首次曝光后，他们重新出现并改变了其基础设施、恶意软件和作案手法。 该组织被WithSecure的研究人员称为 DUCKTAIL，该组织使用鱼叉式网络钓鱼来针对 LinkedIn 上的个人，从这些个人的职位描述来看可能他们有权管理 Facebook 企业帐户。最近，还观察到攻击者通过 WhatsApp 瞄准受害者。受感染的 Facebook 商业帐户用于在平台上投放广告，以获取攻击者的经济利益。 DUCKTAIL 攻击者进行研究 帐户滥用是通过恶意软件程序使用受害者的浏览器实现的，该恶意软件程序伪装成与品牌、产品和项目规划相关的文档。攻击者首先建立一个在 Facebook 上有业务页面的公司列表。然后，他们在 LinkedIn 和其他来源上搜索为这些公司工作并拥有可以让他们访问这些业务页面的职位的员工。这些包括管理、数字营销、数字媒体和人力资源角色。 最后一步是向他们发送一个链接，其中包含一个伪装成 .pdf 的恶意软件的存档，以及看似属于同一项目的图像和视频。研究人员看到的一些文件名包括项目“发展计划”、“项目信息”、“产品”和“新项目预算业务计划”。 DUCKTAIL 组织自 2021 年下半年以来一直在开展这项活动。在今年 8 月WithSecure 曝光他们的行动后，该行动停止了，攻击者重新设计了他们的一些工具集。 攻击者改用 GlobalSign 作为证书颁发机构 今年早些时候分析的恶意软件样本使用以一家越南公司的名义从 Sectigo 获得的合法代码签名证书进行了数字签名。由于该证书已被报告和撤销，攻击者已切换到 GlobalSign 作为他们的证书颁发机构。在他们继续以原公司的名义向多个 CA 申请证书的同时，他们还建立了其他六家企业，全部使用越南语，其中三个获得了代码签名证书。 2021 年底出现的 DUCKTAIL 恶意软件样本是用 .NET Core 编写的，并使用框架的单文件功能编译，该功能将所有必需的库和文件捆绑到一个可执行文件中，包括主程序集。这确保恶意软件可以在任何 Windows 计算机上执行，无论它是否安装了 .NET 运行时。自 2022 年 8 月活动停止以来，WithSecure 研究人员观察到从越南上传到 VirusTotal 的多个开发 DUCKTAIL 样本。 其中一个示例是使用 .NET 7 的 NativeAOT 编译的，它提供与 .NET Core 的单文件功能类似的功能，允许二进制文件提前本地编译。然而，NativeAOT 对第三方库的支持有限，因此攻击者转而使用 .NET Core。 坏演员一直在试验 其他实验也被观察到，例如包含来自 GitHub 项目的反分析代码，但从未真正打开过，从命令和控制服务器发送电子邮件地址列表作为 .txt 文件的能力在恶意软件中对它们进行硬编码，并在执行恶意软件时启动一个虚拟文件，以减少用户的怀疑——观察到文档 (.docx)、电子表格 (.xlsx) 和视频 (.mp4) 虚拟文件。 攻击者还在测试多级加载程序以部署恶意软件，例如 Excel 加载项文件 (.xll)，它从加密的 blob 中提取二级加载程序，然后最终下载信息窃取程序恶意软件。研究人员还确定了一个用 .NET 编写的下载程序，他们高度信任 DUCKTAIL，它执行 PowerShell 命令，从 Discord 下载信息窃取程序。 infostealer 恶意软件使用电报频道进行命令和控制。自从 8 月被曝光以来，攻击者更好地锁定了这些频道，一些频道现在有多个管理员，这可能表明他们正在运行类似于勒索软件团伙的附属程序。研究人员说：“聊天活动的增加和新的文件加密机制可确保只有特定用户能够解密某些泄露的文件，这进一步加强了这一点。” 浏览器劫持 部署后，DUCKTAIL 恶意软件会扫描系统上安装的浏览器及其 cookie 存储路径。然后它会窃取所有存储的 cookie，包括存储在其中的任何 Facebook 会话 cookie。会话 cookie 是网站在身份验证成功完成后在浏览器中设置的一个小标识符，用于记住用户已经登录了一段时间。 该恶意软件使用 Facebook 会话 cookie 直接与 Facebook 页面交互，或向 Facebook Graph API 发送请求以获取信息。此信息包括个人帐户的姓名、电子邮件、生日和用户 ID；个人帐户可以访问的 Facebook 业务页面的名称、验证状态、广告限制、名称、ID、账户状态、广告支付周期、货币、adtrust DSL 以及任何相关 Facebook 广告账户的花费金额。 该恶意软件还会检查是否为被劫持的帐户启用了双因素身份验证，并在启用时使用活动会话获取 2FA 的备份代码。“从受害者机器窃取的信息还允许威胁行为者从受害者机器外部尝试这些活动（以及其他恶意活动）。研究人员说：“窃取的会话 cookie、访问令牌、2FA 代码、用户代理、IP 地址和地理位置等信息，以及一般帐户信息（如姓名和生日）可用于隐藏和冒充受害者。” 该恶意软件旨在尝试将攻击者控制的电子邮件地址添加到被劫持的 Facebook 企业帐户中，这些帐户可能具有较高的身份：管理员和财务编辑。根据 Facebook 所有者 Meta 的文档，管理员可以完全控制帐户，而财务编辑可以控制存储在帐户中的信用卡信息以及帐户上的交易、发票和支出。他们还可以将外部业务添加到存储的信用卡和月度发票中，从而使这些业务可以使用相同的付款方式。 冒充合法客户经理身份 在目标受害者没有足够的访问权限以允许恶意软件将攻击者的电子邮件地址添加到预期的企业帐户的情况下，攻击者依靠从受害者的机器和 Facebook 帐户中泄露的信息来冒充他们。 在 WithSecure 事件响应人员调查的一个案例中，受害者使用的是 Apple 机器，并且从未从 Windows 计算机登录过 Facebook。系统上未发现恶意软件，无法确定初始访问向量。目前尚不清楚这是否与 DUCKTAIL 有关，但研究人员确定袭击者也来自越南。 建议 Facebook Business 管理员定期审查在 Business Manager > Settings > People 下添加的用户，并撤销对任何授予管理员访问权限或财务编辑角色的未知用户的访问权限。 在我们的调查中，WithSecure 事件响应团队发现业务历史日志和目标个人的 Facebook 数据与事件分析相关。“然而，对于与个人 Facebook 帐户相关的日志，门户网站上可见的内容与下载数据副本时获得的内容之间存在广泛的不一致。作为对其他调查人员的建议，WithSecure 事件响应团队强烈建议尽快捕获业务历史日志的本地副本，并为其帐户请求用户数据的副本。 转自 Freebuf，原文链接：https://www.freebuf.com/news/351010.html 封面来源于网络，如有侵权请联系删除

据悉，Koxic勒索软件正在韩国境内传播。它在今年早些时候首次被发现，最近该团队发现，一个外观和内部勒索笔记都经过修改的文件被检测到，并被ASD基础设施屏蔽。 当感染时，“.KOXIC_[Random string]”扩展名将添加到加密文件的名称中，并在每个目录中生成TXT文件勒索通知。 最近收集的勒索信与BlueCrab（Sodinokibi，REvil）勒索软件的勒索笔记相似，该勒索软件曾在韩国发行。 BlueCrab有自己的网站，并指定用户应该通过TOR浏览器访问它。与BlueCrab相反，Koxic勒索软件通过电子邮件指导联系。 在过去收集的Koxic勒索软件样本中，有些样本的勒索笔记完全不同，有些则与BlueCrab格式几乎相同。但这两个勒索软件之间似乎没有直接联系，因为它们的代码没有相似之处。 另外需要注意的是，部分名称被故意更改以隐藏UPX包装。这种技术被称为UPX技巧，是一种常用的方法，用UPX打包的文件被修改以阻碍分析或绕过AV软件的自动解包。   更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/2027/ 消息来源：ASEC，封面来自网络，译者：Shirley。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Hackernews 编译，转载请注明出处： 乌克兰遭受了新一轮勒索软件攻击，类似于此前俄罗斯Sandworm民族国家组织的入侵。 斯洛伐克网络安全公司ESET将这种新型勒索软件称为RansomBoggs，该公司表示，针对多个乌克兰实体的攻击最早是在2022年11月21日被发现的。 该公司在周五的推文中表示：“虽然用.NET编写的恶意软件是新的，但其部署与之前的Sandworm攻击类似。” 与此同时，被微软追踪为Iridium的Sandworm黑客涉嫌于2022年10月使用另一种名为Prestige的勒索软件，对乌克兰和波兰的运输和物流部门发动了一系列攻击。 据称，RansomBoggs活动使用PowerShell脚本分发勒索软件，后者与今年4月份曝光的Industrier2恶意软件攻击中使用的脚本“几乎相同”。 据乌克兰计算机应急响应小组（CERT-UA）称，名为POWERGAP的PowerShell脚本利用一个名为ArguePatch（又名AprilAxe）的加载程序部署了名为CaddyWiper的数据擦除恶意软件。 ESET对这种新型勒索软件的分析表明，它会生成一个随机生成的密钥，在CBC模式下使用AES-256加密文件，并附加“.chsch”文件扩展名。 沙虫（Sandworm）是俄罗斯军事情报机构内部的一个精英对抗黑客组织，多年来在打击关键基础设施方面有着臭名昭著的记录。 该黑客与2017年针对医院和医疗设施的NotPetya网络攻击，以及2015年和2016年针对乌克兰电网的破坏性攻击有关。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

邪恶的LockBit 3.0网络犯罪组织声称对加拿大魁北克小城Westmount（韦斯特芒特）的勒索软件攻击负责，该攻击导致Westmount的市政服务停止并关闭了员工电子邮件帐户，勒索者要求该市在12月4日之前支付一笔未公开数字的赎金。通过电话联Westmount市长，21日下午晚些时候，在得知袭击事件发生24小时后，仍然没有具体信息可以传达。市长和信息技术部门都无法确定黑客是否真的能够窃取公民或员工的信息。 Westmount是魁北克西南部一个拥有近21,000名居民的城市，周一（21日）最初报告称，由于不明原因的计算机中断，该市的电子邮件服务无法使用。后来，该市证实此次中断还影响了其他市政服务，并且源于有针对性的网络攻击。 该市网站上公告称电子邮件系统停服 “不幸的是，网络攻击在我们的社会中变得越来越普遍和复杂，尽管我们采取了所有措施，但公共行政部门并不能完全免受这一悲惨现实的影响，”Westmount市长克里斯蒂娜史密斯在一份声明中说。“我想向所有Westmount市民保证，我们的团队正在认真和勤奋地工作以应对这种情况，我们会随时通知居民。” Westmount市在政府网站上发布的消息 该市没有对攻击的范围发表评论，但表示已聘请一家网络安全公司进行调查并尽快恢复其系统。为了从袭击中恢复过来，Westmount得到了魁北克市政联合会的帮助。该组织委托VARS（Raymond Chabot Grant Thornton 的子公司）支持该市。 魁北克当地数字新闻机构La Presse援引该市IT主管Claude Vallières的话说，“我们知道我们有服务器被加密，但不知道是谁攻击了我们。我们仍在调查受感染的服务器，但我们没有与任何人进行过任何沟通。”最早发现异常的，是一名员工在周日（20日）早上报告了一台电脑的问题。作为预防措施，随后关闭了几台机器，”Claude Vallières 说。“我们将努力阻止感染。他的团队花了一整天的时间进行调查。 LockBit 3.0勒索软件组织声称对此次攻击负责，并表示已成功下载14TB的敏感数据。作为勒索软件即服务组织运营的LockBit 示，如果在接下来的两周内未支付赎金，它将公布被盗数据。 这条给Westmount的消息发布在LockBit暗网博客网站上。(来源:ISMG) LockBit勒索软件团伙以2021年针对埃森哲的勒索软件攻击而闻名，在进行了两个月的Beta测试并为道德黑客提供漏洞赏金以检查解密代码后，于2022年6月推出了LockBit 3.0恶意软件。 LockBit运营者发布了显示不同部门文件和其他数据的屏幕截图作为他们索赔的证据，但信息安全媒体集团无法立即联系市政当局并确认文件的真实性。 此次攻击发生在加拿大网络安全中心发布新的《2023-2024年国家网络威胁评估》之后。该报告中关键发现的第一条就是：勒索软件是对加拿大组织的持续威胁。网络犯罪仍然是最有可能影响加拿大人和加拿大组织的网络威胁活动。由于其对组织运作能力的影响，勒索软件几乎可以肯定是加拿大人面临的最具破坏性的网络犯罪形式。部署勒索软件的网络犯罪分子已经在不断发展和复杂的网络犯罪生态系统中进化，并将继续适应以实现利润最大化。 “只要勒索软件仍然有利可图，我们几乎肯定会继续看到网络犯罪分子部署它，”报告说。 美国司法部最近的一份声明，Lockbit是“最活跃和最具破坏性”的勒索软件之一。联邦调查局在对安大略省警察局 (OPP) 于10月底逮捕的一名俄裔加拿大人提起的诉讼中指出，他在最近几个月内“在世界上造成了至少1000名受害者。 Westmount市的官方网站并未受到此次攻击的影响，该市政府表示将在该网站上发布有关恢复情况的任何更新。市长向居民保证，数据安全是其“首要任务”，“保护我们居民和员工的信息也是如此”。 转自 安全内参，原文链接：https://www.secrss.com/articles/49270 封面来源于网络，如有侵权请联系删除

BleepingComputer在8月首次报道了Donut 勒索集团，将他们与对希腊天然气公司DESFA、英国建筑公司Sheppard Robson和跨国建筑公司Sando的袭击联系起来，证实Donut在对企业的双重勒索攻击中部署勒索软件。 而近期，BleepingComputer再次发现了用于Donut操作的加密器样本“VirusTotal”，进一步表明该组织正在使用自己定制的勒索软件进行双重勒索攻击。奇怪的是，Sando和DESFA的数据也被发布到几个勒索软件操作的网站上，Hive勒索软件声称发起了Sando攻击，Ragnar Locker则声称发起了DESFA攻击。 Unit 42研究员Doel Santos还表示：“赎金记录中使用的TOX ID可以在HelloXD勒索软件的样本中看到。这种被盗数据和附属关系的交叉发布让我们相信Donut Leaks背后的威胁行为者是众多行动的附属机构，现在正试图在他们自己的行动中将数据货币化。” Donut 勒索软件介绍 对于Donut勒索软件的分析仍在进行中。目前已知的是，在执行时，它会扫描匹配特定扩展名的文件进行加密。加密文件时，勒索软件会避开包含以下字符串的文件和文件夹： 当文件被加密时，Donut勒索软件会将.donut扩展名附加到加密文件。例如，1.jpg将被加密并重命名为1.jpg.donut。 由Donut勒索软件加密的文件 Donut Leaks的操作非常独特，其使用有趣的图形，在攻击中体现了一丝“幽默”。它甚至为可执行文件提供构建器，作为其Tor数据泄漏站点的网关。这种独特尤其体现在其赎金记录中，他们在其中使用了不同的ASCII艺术，例如旋转的ASCII甜甜圈。 Donut赎金记录 BleepingComputer看到的另一个勒索软件笔记会伪装成一个显示PowerShell错误的命令提示符，然后打印一个滚动的勒索笔记。为了避免被发现，赎金票据被严重混淆，所有字符串都经过编码，JavaScript在浏览器中解码赎金票据。这些赎金票据包括联系威胁行为者的不同方式，包括通过TOX和Tor协商站点。 Donut赎金谈判现场 Donut勒索软件操作还在其数据泄露站点上包含一个“构建器”，该构建器由一个bash脚本组成，用于创建Windows和Linux Electron应用程序，并带有捆绑的Tor客户端以访问其数据泄露站点 D0nut勒索软件electron应用程序 总的来说，这个敲诈勒索团体值得关注，不仅仅因为他们明显的技能，还因为他们推销自己的能力。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/iclz2GKglxTW-dNQG4s-dg 封面来源于网络，如有侵权请联系删除

近日，LockBit 3.0网络犯罪团伙声称对加拿大韦斯特蒙市政服务平台瘫痪和关闭员工电子邮件账户的勒索软件攻击事件负责，并要求该市在12月4日前支付赎金。 根据韦斯特蒙市报道，该市的电子邮件服务因不明原因的计算机故障而无法使用，并且该故障也影响了其他市政服务。后经证实该次故障源于一次有针对性的网络攻击。 韦斯特蒙市长Christina Smith在一份声明中说：”网络攻击在我们的社会中变得越来越普遍和复杂，尽管我们采取了所有的措施，公共管理部门也不能完全避免这种恶意的攻击”。”我向所有韦斯特蒙市民保证，市政府正在全力以赴的应对此次网络袭击事件，并正在拟定补救措施。接下来我们每一步工作和计划都会向广大市民公布，让广大市民监督“。 目前该市并未通报此次事件所影响的程度以及带来的损失，但表示目前已经聘请了一家网络安全公司进行调查，并尽快恢复其系统。 该市IT部门负责人Claude Vallières说：”我们知道我们有加密的服务器，但我们不知道是谁攻击了我们。我们仍在调查被感染的服务器，但我们目前没有收到任何赎金通知”。 LockBit声称对该事件负责 LockBit 3.0勒索软件集团声称对这次攻击负责，并称他们已经成功下载了14兆字节的敏感数据，如果在未来两周内不支付赎金，将公布被盗数据。 以2021年针对埃森哲的勒索软件攻击而闻名的LockBit勒索软件组织，在进行了两个月的测试于2022年6月推出了LockBit 3.0恶意软件。 LockBit运营商发布了显示不同部门文件和其他数据的截图，作为此次攻击事件的证据，但信息安全媒体无法立即联系市政府确认这些文件的真实性。 这次攻击是在加拿大网络安全中心发布新的《2023-2024年国家网络威胁评估》后发生的。该报告称，勒索软件是 “加拿大人面临的最具破坏性的网络犯罪形式”，只要勒索软件仍然有利可图，我们肯定会继续看到网络犯罪分子部署它。 目前，韦斯特蒙市的官方网站没有受到攻击的影响，市政府说：任何关于此次事件的情况及恢复都会在网站上传达更新。市长向市民保证，数据安全是其 “首要任务”，我们会竭尽全力保护我们市民的信息。 转自 Freebuf，原文链接：https://www.freebuf.com/news/350538.html 封面来源于网络，如有侵权请联系删除