LockBit 勒索软件组织制定新的赎金谈判指南
LockBit领导层对组织支付的低利率表示担忧,当受害者支付时,附属机构收取的赎金金额被认为太低。 为了应对LockBit组织内部日益增长的挫败感,其领导者彻底改变了与勒索软件受害者谈判的方式。LockBit领导层对组织支付的低利率表示担忧,当受害者支付时,附属机构收取的赎金金额被认为太低。谈判的不一致也是高层之间争论的焦点。LockBit内部认为,经验不足的附属机构无法从受害者那里获得预期的最低付款,并且过于频繁地提供未经批准的折扣。在十月份规则变更生效之前,几乎没有任何成文的规则或谈判指南。附属机构完全自行其是,而不一致的谈判导致拒绝支付赎金的受害者人数增加。这主要是因为该组织经验不足的附属机构提供的折扣与赎金金额相比太大。此外,跟踪该组织谈判的事件响应人员正在记录这些数据并将其用于对付他们。 据称新近达成共识的指南,是为了保证Lockbit及其附属机构的利益。LockBit为附属公司提供了需要遵循的指南,以及有关可以提供的最大折扣以及相对于初始赎金金额的谈判可以低到什么程度的规则。 Lockbit高层认为,当谈判者认为与更有经验的附属公司合作时可以获得更大的折扣时,因为之前的攻击表明他们可以提供这些折扣,这些谈判者就会停止谈判并拒绝付款。他们觉得自己做了一笔糟糕的交易,而犯罪分子最终却没有得到报酬。 LockBit表示,在某些情况下,他们发现附属机构提供高达90%的折扣,只是为了获得赎金,而不顾赎金的多少。这样做的得利影响表现为,一些更有经验的勒索犯罪分子同样在收取赎金,这显得他们提供的折扣不那么诱人,可以说是扰乱了勒索市场。Lockbit是勒索生态中的创新者,他们把赎金收取的权利下放到了附属机构。 根据安全商店Analyst1收集的情报,LockBit在9月份发布了一项调查,为附属公司提供了对潜在规则变更进行投票的机会,并指出了该组织的挫败感。 它为附属公司提供了六种选择: (1)让一切保持原样。附属公司一如既往地制定自己的规则,没有任何限制。 (2)根据公司的年收入确定最低赎金要求,例如赎金比例为年收入的3%,就禁止超过50%的折扣。因此,如果该公司的收入为1亿美元,则最初的赎金请求应从300万美元起步,最终支付不少于150万美元。 (3)不要对所需的最低金额施加任何限制,因为这取决于对受害者造成的损害。但是,最大折扣不应超过50%。例如,如果初始赎金设置为100万美元,则附属机构不能接受任何低于50万美元的付款。 (4)如果您能找到网络保险,则禁止支付低于受害者保险金额的任何款项。 (5)如果您能找到网络保险,则禁止支付低于受害者保险金额50%的款项。 (6)您想到的其他建议。 随后,LockBit确定了两项规则,这些规则将指导从10月1日开始的所有未来谈判。 第一个是赎金金额,以及附属机构应如何根据受害者的年收入比例设定起步金额。 收入不超过1亿美元的 -赎金应在3%到10%之间(编者注:要求赎金的最高金额为300万-1000万美元之间) 收入1-10亿美元之间的-赎金应在0.5%至5%之间(编者注:要求赎金的最高金额为500万-5000万美元之间) 收入超过10亿美元 –赎金应在0.1%至3%之间(编者注:以收入100亿为例,要求赎金的最高金额为1000万-3亿美元之间) LockBit表示,虽然赎金金额最终仍由附属机构自行决定,并且“无论金额多少看起来都是公平的”,但在教科书勒索软件部署场景中应遵循上述指导。 例如,如果附属公司未能销毁受害者的备份,他们可能会调整赎金。 第二条规则涉及附属公司提供的折扣。虽然赎金金额仍然可以由附属机构自行决定,但他们现在提供折扣的许可要少得多,硬性最高限额为50%。 LockBit在与Analyst1分享的发给关联公司的消息中表示:“从2023年10月1日起,在与受攻击公司的沟通过程中,严格禁止给予超过最初请求金额50%的折扣。” “对于那些性格钢铁般的人来说,知道如何确定公司大概率支付的赎金金额并且几乎从不做出大折扣的人,请牢记这条规则,并根据最大允许的大小调整赎金金额折扣。赎金金额仍由您自行决定,金额为您认为公平的金额。” “请严格遵守规则,并尽可能遵守建议。” Analyst1引用了LockBit和The Register之前的对话作为这些新政策正在实施的例子。 当经销商巨头CDW和LockBit之间的谈判于10月初破裂时,Windows勒索软件组织的发言人告诉我们,根据其计算,CDW的年收入为200亿美元,而其支付报价太低了。 LockBit发言人当时表示:“计时器一到,你就可以看到所有信息,谈判就结束了,不再进行。” “我们拒绝了这个荒谬的金额。” 根据LockBit的新赎金指南,估值为200亿美元时,所需的赎金将设定在2000万至60亿美元之间。 LockBit在其泄密博客上发帖称,CDW仅向其提供110万美元作为赎金,以回应其提出的8000万美元赎金 — —这一提议似乎被视为具有冒犯性。 勒索软件组织与其潜在受害者之间持续不断的斗争凸显了密切监控这一不断变化的形势的新发展的必要性。在勒索软件攻击的多个阶段中,对于受害者和攻击者来说,谈判都是至关重要的事件。然而,差异体现在结果上。当谈判失败时,攻击者遭受的后果相对较小,例如损失时间和资源。然而,这些事件的受害者面临着更重大的损失,并面临着巨大的财务和声誉损失。 在谈判中,受害者是唯一的决策者。虽然进入谈判并支付赎金通常被认为是最不利的选择,但在某些情况下,受害者可能会考虑这种选择,以挽救企业免受更严重的损害。公司和参与者都意识到了这种动态。参与者识别他们可以利用的漏洞并战略性地利用它们。 LockBit有着对知名实体进行多次攻击的历史,其内部结构和集团内部谈判规则的最新发展引入了另一层复杂性。了解这种转变对于仔细评估缓解勒索软件攻击(如果发生)的方法至关重要。 “此分析的关键要点是认识到每个LockBit案例本质上都是独一无二的,这主要是由于内部组织结构。最显着的因素之一是,对违规行为本身负责的关联公司也是谈判背后的关联公司。这意味着什么?每次谈判者处理一个新案件时,他们可能会与不同的人打交道。 “人为因素,包括心理细微差别和不同的经验水平,显着影响谈判过程。因此,受影响的实体必须有效地适应和驾驭这些变量,以提高在缓解LockBit攻击的复杂环境中成功解决问题的机会。” 转自网空闲话plus,原文链接:https://mp.weixin.qq.com/s/1JJDJMC6yRo766tAIa1DSg 封面来源于网络,如有侵权请联系删除
印度雇佣黑客多年来一直瞄准美国、中国等国
据安全公司SentinelOne的调查分析,一个由印度雇佣的黑客组织十多年来一直以美国、中国、缅甸、巴基斯坦、科威特等国家为目标,进行广泛的间谍、监视和破坏行动。 根据分析,该组织名为Appin Software Security(又名 Appin Security Group,以下简称Appin),最初是一家提供攻击性安全培训计划的教育初创公司,但至少从 2009 年起就开展秘密黑客行动。SentinelOne 安全人员汤姆·黑格尔 (Tom Hegel)在近期发布的综合分析中表示:“该组织针对高价值个人、政府组织和其他涉及特定法律纠纷的企业进行了黑客行动。” 该调查结果基于路透社获得的非公开数据,路透社指责 Appin 策划针对政治领导人、国际高管、体育人物的数据盗窃。作为回应,该公司否认了其与雇佣黑客业务的联系。 Appin 被指提供的一个核心服务是名为“MyCommando”(又名 GoldenEye 或 Commando)的工具,该工具允许客户登录查看和下载活动特定数据和状态更新、安全通信,并提供从开源研究到社会工程再到特洛伊木马活动的多种任务选项。 在早期活动中,Appin被指参与了针对中国和巴基斯坦的攻击,2013 年, Appin 还被确定为macOS 间谍软件 KitM 的幕后黑手。此外,SentinelOne 表示还发现了针对印度国内目标的实例,其目的是窃取印度和美国锡克教徒的电子邮件帐户。 黑格尔指出,在一次不相关的活动中,该组织还使用域名 speedaccelator[.]com 作为 FTP 服务器,托管在其恶意网络钓鱼电子邮件中使用的恶意软件,其中一个恶意软件后来被用于ModifiedElephant APT以针对印度国内的目标。 除了利用来自第三方的大型基础设施进行数据泄露、命令与控制 (C2)、网络钓鱼和设置诱饵站点外,据说这个神秘的组织还依赖 Vervata、Vupen 和 Core Security 等私营供应商提供的间谍软件和漏洞利用服务。 在另一个值得注意的策略中,Appin 被发现利用位于美国加利福尼亚州的自由职业者平台 Elance(现名 Upwork),从外部软件开发商那里购买恶意软件,同时还利用内部员工开发定制的黑客工具集。 黑格表示:“研究结果体现了该组织具有非凡的韧性,在代表不同客户成功实施攻击方面有着良好记录。” 转自Freebuf,原文链接:https://www.freebuf.com/news/384405.html 封面来源于网络,如有侵权请联系删除
俄罗斯黑客利用 Ngrok 功能和 WinRAR 漏洞攻击大使馆
Hackernews 编译,转载请注明出处: 继Sandworm 和 APT28(俗称 Fancy Bear)之后,另一个由国家资助的俄罗斯黑客组织 APT29 正在利用WinRAR中的 CVE-2023-38831 漏洞进行网络攻击。 APT29 组织以不同的名称被追踪,包括:UNC3524/NobleBaron/Dark Halo/NOBELIUM/Cozy Bear/CozyDuke/SolarStorm,并以出售宝马汽车为诱饵瞄准大使馆。 CVE-2023-38831 安全漏洞影响 WinRAR 6.23 之前的版本,并允许制作 .rar 和 .zip 文件,这些文件可以在攻击者的后台代码中执行。 自4月以来,该漏洞已被攻击者作为零日漏洞利用,目标是加密货币和股票交易论坛。 在本周的一份报告中,乌克兰国家安全和国防委员会(NDSC)表示,APT29 一直在使用恶意 ZIP 存档,在后台运行脚本来显示 PDF 诱惑,并下载并执行有效载荷的 PowerShell 代码。 恶意档案名为“DIPLOMATIC-CAR-FOR-SALE-BMW.pdf”,目标是欧洲大陆的多个国家,包括阿塞拜疆、希腊、罗马尼亚和意大利。 来自 APT29 的宝马汽车广告带有 WinRAR 漏洞 APT29 曾在 5 月份的一次活动中使用宝马汽车和网络钓鱼诱饵来攻击乌克兰的外交官,该活动通过 HTML 走私技术提供 ISO 有效载荷。 乌克兰NDSC表示,在这些攻击中,APT29 将旧的网络钓鱼策略与一种新颖的技术相结合,以实现与恶意服务器的通信。他们使用 Ngrok 免费静态域(Ngrok 于 8 月 16 日宣布的新功能)访问托管在其 Ngrok 实例上的命令和控制服务器。 在这种策略中,他们利用 Ngrok 提供的免费静态域名来利用 Ngrok 的服务,通常以“Ngrok -free.app”下的子域名的形式。通过使用这种方法,攻击者设法隐藏他们的活动并与受损系统通信,而不会有被检测到的风险。 自从网络安全公司 Group-IB 的研究人员报告称,WinRAR 中的 CVE-2023-38831 漏洞被利用为零日漏洞后,高级威胁参与者开始将其纳入攻击中。 ESET的安全研究人员发现,今年8月,俄罗斯APT28黑客组织利用该漏洞发起了鱼叉式网络钓鱼活动,以欧洲议会议程为诱饵,针对欧盟和乌克兰的政治实体发起了攻击。 俄罗斯黑客利用 WinRAR 漏洞攻击欧盟和乌克兰的政治实体 乌克兰 NDSC 表示,观察到的来自 APT29 的活动之所以突出,是因为它混合了新旧技术,例如使用 WinRAR 漏洞来传递有效载荷和 Ngrok 服务来隐藏与 C2 的通信。 这份来自乌克兰机构的报告提供了一组入侵指标,包括 PowerShell 脚本和电子邮件文件的文件名和相应的哈希值,以及域名和电子邮件地址。 Hackernews 编译,转载请注明出处 消息来源:bleepingcomputer,译者:Serene
多个黑客组织利用 Zimbra 零日漏洞攻击多国政府机构
Hackernews 编译,转载请注明出处: 谷歌的研究人员发现,黑客利用 Zimbra 电子邮件产品的一个漏洞,攻击了希腊、突尼斯、摩尔多瓦、越南和巴基斯坦的政府机构。 谷歌的威胁分析团队在 6 月份首次发现了这个漏洞,编号为 CVE-2023-37580。从 6 月开始,四个不同的组织利用零日漏洞攻击了 Zimbra Collaboration,这是一个许多组织用来托管电子邮件的电子邮件服务器。 该漏洞是一个跨站点脚本(XSS)漏洞,允许黑客向受害者网站注入恶意脚本。 黑客窃取了电子邮件信息、用户凭证和认证令牌。Zimbra 于 7 月 5 日在 GitHub 上发布了针对该问题的修复程序,并于 7 月 13 日发布了一份带有修复指导的咨询。官方补丁于 7 月 25 日发布。 谷歌表示,针对希腊政府机构的攻击发生在 6 月 29 日,而针对摩尔多瓦和突尼斯的攻击发生在 7 月 11 日。越南和巴基斯坦分别在 7 月 20 日和 8 月 25 日遭到袭击。 在官方补丁发布之前,谷歌观察到有三个威胁组织利用了这个漏洞,其中包括在修复程序最初在 Github 上公开之后可能已经了解到这个漏洞的组织。 “在官方补丁发布后,我们发现了第四次使用 XSS 漏洞的攻击。其中三次活动是在修复程序最初公开之后开始的,这强调了组织尽快应用修复程序的重要性。” 对希腊的攻击始于一封带有恶意链接的电子邮件。当用户在登录Zimbra时点击这个按钮,黑客就可以访问用户的电子邮件和附件。黑客也可以用它来设置一个自动转发规则到攻击者控制的电子邮件地址。 第二次针对摩尔多瓦和突尼斯政府的攻击被认为是一个臭名昭著的黑客组织 Winter Vivern 所为,该组织被怀疑与俄罗斯有联系。该组织此前曾被指控以乌克兰、波兰和印度的组织为目标。上个月,该组织被发现利用了一个零日漏洞,影响了欧洲各国政府使用的另一个流行的网络邮件服务。在对摩尔多瓦和突尼斯的攻击中,电子邮件中的恶意 url“包含了这些政府中特定组织的唯一官方电子邮件地址”。 第三次攻击是针对越南的一个政府组织,黑客试图通过网络钓鱼获取用户凭证。谷歌表示:“在这种情况下,利用 url 指向一个脚本,该脚本显示了一个钓鱼页面,要求用户的 webmail 凭证,并将窃取的凭证发布到一个托管在官方政府域名上的 url 上,攻击者可能会破坏这个域名。” 第四次攻击是针对巴基斯坦的一个政府组织,黑客试图窃取Zimbra认证令牌。 谷歌表示,这些黑客攻击是攻击者如何监控开源存储库的例子,这些存储库发布了漏洞修复程序,但尚未向用户发布。 研究人员补充说,这是继 2022 年利用另一个 XSS 漏洞 CVE-2022-24682 之后,第二个影响津巴布韦邮件服务器的漏洞被用于对政府的攻击。 他们表示:“邮件服务器中经常出现的跨站攻击漏洞也表明,需要对这些应用程序进行进一步的代码审计,尤其是针对跨站攻击漏洞。” “我们敦促用户和组织迅速应用补丁,并保持软件的最新状态,以获得全面的保护。” Hackernews 编译,转载请注明出处 消息来源:TheRecord,译者:Serene
黑客声称对以色列发动多次袭击并泄露机密文件
黑客声称对以色列的基础设施进行了攻击,其中包括以色列航空公司,据称机密和内部文件在网上泄露。 11 月 16 日,代号为 SiegedSec 的黑客组织在他们的通讯频道上发帖称,他们入侵了以色列航空公司,并在网上泄露了该公司的内部机密文件。该航空公司总部位于特拉维夫,运营飞往欧洲和亚洲的国内国际航班。 SiegedSec 分享了一张屏幕截图,看起来像是包含多个文档的 Israir 管理平台的仪表板。在帖子中,黑客还分享了据称属于该公司的 1.4GB 数据的链接。 泄露的数据包括以色列航空公司的报告、法律文件、许可证、证明、保险文件、飞行许可证和内部程序。截至撰写本文时,该航空公司尚未回复置评请求。 同一个攻击者声称已经破坏了以色列政府的设备。“我们已经断开了许多设备,例如警报器、温度传感器等 ,我希望以色列农业部感谢我们的礼物。”SiegedSec 写道。 该团伙还声称“影响”了 Shufersal 连锁超市的系统。Shufersal 在以色列设有 395 家分支机构,拥有 16,600 名员工。 该公司和农业部尚未回应置评请求。 11 月 14 日,另一名代号为 Abnaa AlSaada(可能来自也门)的攻击者声称他们接管了铝制造公司 Profal 的运营。黑客在其 Telegram 频道上分享了工厂生产线操作仪表板的屏幕截图。 Cybernews 无法独立核实这些说法。截至撰写本文时,该公司的网站已关闭。Profal 尚未回应置评请求。 自以色列和巴勒斯坦战争爆发以来,双方都遭遇了黑客组织对数字战场的定向攻击。亲巴勒斯坦黑客广泛针对以色列的许多公司和组织。 AnonGhost 针对“红色警报”应用程序发送虚假的核攻击威胁,亲俄黑客团伙“匿名苏丹”攻击了《耶路撒冷邮报》网站,声称针对以色列的防空系统“铁穹”。俄罗斯黑客Killnet还对以色列政府网站发起了分布式拒绝服务 (DDoS) 攻击。 亲以色列的黑客活动分子印度网络部队已经摧毁了哈马斯的官方网站。其他亲以色列帮派包括 SilenOne、Garuna Ops 和 Team UCC Ops。 转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/rdsnDy0QU6UQGEslYa2L4w 封面来源于网络,如有侵权请联系删除
路透社:中国工商银行已支付赎金
Hackernews 编译,转载请注明出处: 根据路透社消息,Lockbit 勒索软件团伙本周一在一份声明中称中国工商银行已支付了赎金。路透社无法独立证实该声明的真实性。 工行美国分支机构 11 月 9 日受到勒索软件攻击(中国工商银行美国子公司遭 LockBit 勒索软件攻击),导致美国国债市场交易中断。工行没有立即回应置评请求。 “他们支付了赎金,交易已完成,”Lockbit 的代表通过在线消息应用程序 Tox 告诉路透社。 工商银行美国经纪自营商的停牌使其暂时欠下纽约梅隆银行 90 亿美元的债务,这一数额是其净资本的数倍。 据路透社报道,这次黑客攻击的范围如此之广,以至于该公司的公司电子邮件都停止了运行,迫使员工改用谷歌邮件。 勒索软件攻击发生之际,正值人们对 26 万亿美元美国国债市场的弹性担忧加剧,美国国债市场对全球金融管道至关重要,可能会受到监管机构的密切关注。对此,美国财政部发言人周一没有立即发表评论。 金融行业网络安全组织金融服务信息共享和分析中心说,金融公司有完善的协议来共享此类事件的信息。一位发言人在一份声明中表示:“我们提醒会员保持所有保护措施的最新状态,并立即修补关键漏洞。”他补充说:“勒索软件仍然是金融业面临的最大威胁载体之一。” 为什么支付? 最近几个月,Lockbit 入侵了世界上一些最大的组织,在受害者拒绝支付赎金的情况下窃取和泄露敏感数据。 据美国官员称,在短短三年内,它已成为世界上最大的勒索软件威胁。 而美国遭受到了最广泛的打击,从金融服务、食品到学校、交通和政府部门,1700 多家美国组织都受到了影响,几乎涉及每个行业。 长期以来,官方一直建议不要向勒索软件团伙支付赎金,以打破犯罪分子的商业模式。赎金通常被要求以加密货币的形式支付,这种形式更难追踪,并且接收者为匿名。 一些公司已经悄悄支付了赎金,以求迅速恢复运营,避免敏感数据被公开泄露对公司声誉造成损害。如果受害者没有数字备份,必须使用解密密钥才能恢复系统,他们有时别无选择,只能付费。 上周,Lockbit 团伙公布了航空巨头波音公司的内部数据(勒索不成!LockBit 泄露 43GB 波音公司数据)。并在其网站上表示,他们已经感染了安理律师事务所的计算机系统。 另外值得注意的是,Lockbit 团伙对中国工商银行、DP World、Allen & Overy 和波音等多家公司的攻击,其共同点都是利用 Citrix Bleed (CVE-2023-4966) 的公开漏洞,以破坏大型组织的系统、窃取数据和加密文件。 尽管 Citrix 在一个多月前就修复了 CVE-2023-4966,但数千个暴露在互联网上的端点仍在运行易受攻击的设备。 Hackernews 编译,转载请注明出处 消息来源:Reuters,译者:Serene
Royal 勒索软件要求 350 名受害者支付 2.75 亿美元
Hackernews 编译,转载请注明出处: FBI 和 CISA 在一份联合报告中透露,自 2022 年 9 月以来,Royal 勒索软件团伙已经入侵了全球至少 350 个组织的网络。 在 3 月份发布的原始报告的更新中,这两家机构还指出,勒索软件行动与超过 2.75 亿美元的赎金要求有关。更新中包含了联邦调查局调查期间发现的额外信息。 报告中写道:“自 2022 年 9 月以来,Royal 已经在全球范围内锁定了 350 多名已知受害者,勒索软件的需求超过了 2.75 亿美元。” “Royal 在加密之前进行数据泄露和勒索,然后在没有支付赎金的情况下将受害者的数据发布到泄露网站。网络钓鱼邮件是 Royal 团伙最初访问的最成功的媒介之一。” 今年 3 月,FBI 和 CISA 首次共享了入侵指标和战术、技术和程序(TTPs)清单,以帮助防御者检测和阻止在其网络上部署皇家勒索软件有效载荷的企图。 美国卫生与公众服务部(HHS)安全团队于 2022 年 12 月透露,勒索软件是针对美国医疗机构的多起攻击的幕后黑手,随后发布了这份联合咨询。 从 Royal 到 BlackSuit? 最新的咨询报告还指出,Royal 可能会计划一个品牌重塑计划和/或衍生版本,BlackSuit 勒索软件将展示与 Royal 共享的几个编码特征。 BleepingComputer 在 6 月份报道称,Royal 勒索软件团伙一直在测试一种新的 BlackSuit 加密器,它与该组织常用的加密器有许多相似之处。 虽然人们认为,自 5 月份 BlackSuit 勒索软件行动浮出水面以来,Royal 勒索软件行动将会重塑,但实际上从未发生过。Royal 仍在积极利用 BlackSuit 对企业组织进行有限的攻击。 由于 BlackSuit 是一个独立的行动,Royal 可能计划成立一个专注于某些类型受害者的组织,因为一旦发现两个加密器之间的相似性,重新命名就不再有意义了。 “我相信我们很快就会看到更多类似 BlackSuit 的东西。但到目前为止,似乎新的载入程序和新的 Blacksuit 加密器都是失败的,”RedSense 的合伙人兼研发主管 Yelisey Bohuslavskiy 告诉 BleepingComputer。 与 Conti 网络犯罪团伙的联系 Royal 勒索软件是由技术高超黑客组成的一个私人组织,他们曾与臭名昭著的 Conti 网络犯罪团伙合作。 尽管在2022年1月首次被发现,但自同年9月以来,他们的恶意活动强度才有所增加。 虽然他们最初使用的是来自 ALPHV/BlackCat 等其他行动的勒索软件加密器,可能是为了避免引起注意,但该团伙后来转向部署自己的工具。 虽然他们的第一个加密器 Zeon 放弃了让人想起 Conti 生成的勒索信,但他们在2022年9月中旬进行了品牌重塑后改用了 Royal 加密器。最近,该恶意软件已经升级到在针对 VMware ESXi 虚拟机的攻击中加密 Linux 设备。 尽管他们通常通过可公开访问设备的安全漏洞渗透目标网络,但 Royal 运营商也以回调网络钓鱼攻击而闻名。 在这些攻击中,当目标拨打嵌入在电子邮件中的电话号码时,攻击者巧妙地伪装成订阅续订,利用社会工程策略诱骗受害者安装远程访问软件,授予他们访问目标网络的权限。 Royal 攻击者的手法包括对目标的企业系统进行加密,并要求每次攻击的赎金从25万美元到数千万美元不等。 Hackernews 编译,转载请注明出处 消息来源:bleepingcomputer,译者:Serene
MuddyC2Go:伊朗黑客对以色列使用的新 C2 框架
伊朗国家级行动者被观察到使用一种以前未记录的命令与控制(C2)框架,名为MuddyC2Go,作为针对以色列的攻击的一部分。 Deep Instinct安全研究员Simon Kenin在周三发布的技术报告中表示:“该框架的Web组件是用Go编程语言编写的。”该工具被归因于MuddyWater,这是一个与伊朗情报和安全部(MOIS)有关的伊朗国家级支持的黑客团队。 这家网络安全公司称,该C2框架可能从2020年初开始被威胁行为者使用,最近的攻击利用它代替了PhonyC2,这是MuddyWater的另一个自定义C2平台,于2023年6月曝光并泄露了其源代码。 多年来观察到的典型攻击序列包括发送带有恶意软件的压缩文件或伪造链接的钓鱼邮件,这些链接会导致合法远程管理工具的部署。远程管理软件的安装为传递其他有效载荷(包括PhonyC2)铺平了道路。 MuddyWater的作案手法已经得到改进,使用密码保护的压缩文件来规避电子邮件安全解决方案,并分发可执行文件而不是远程管理工具。 “这个可执行文件包含一个嵌入的PowerShell脚本,它会自动连接到MuddyWater的C2,消除了操作员手动执行的需要,” Kenin解释道。 作为回报,MuddyC2Go服务器发送一个PowerShell脚本,每10秒运行一次,并等待操作员的进一步命令。尽管MuddyC2Go的全部功能尚不清楚,但它被怀疑是一个负责生成PowerShell有效载荷以进行后渗透活动的框架。 “如果不需要,我们建议禁用PowerShell,” Kenin说道。”如果启用了PowerShell,我们建议密切监控PowerShell的活动。” 转自Freebuf,原文链接:https://www.freebuf.com/news/383617.html 封面来源于网络,如有侵权请联系删除
继攻击 ChatGPT 之后,匿名苏丹删除了 Cloudflare 网站
近日,黑客组织“匿名苏丹”声称对导致Cloudflare网站瘫痪的大规模分布式拒绝服务(DDoS)攻击负责。后经Cloudflare证实,DDoS攻击使其网站瘫痪了几分钟,并表明它不会影响其他产品或服务。 “需要明确的是Cloudflare没有漏洞。此次DDoS攻击没有影响Cloudflare提供的任何服务或产品功能,也没有客户受到此事件的影响。Cloudflare的网站有意托管在单独的基础设施上,不会影响Cloudflare服务。我们的网站功能齐全,运行良好。”该公司向媒体发布了一份声明。 匿名苏丹在其Telegram频道上取笑Cloudflare,并报道称攻击持续时间为1小时。 该组织Telegram频道上发布的消息写道:“使用cloudflare的公司,他们甚至无法保护自己的主网站,你认为他们可以保护你吗?没有任何保护措施可以阻挡我们的攻击。” “匿名苏丹”组织自2023年1月以来一直很活跃,它声称针对任何反对苏丹的国家。然而,一些安全研究人员认为,匿名苏丹是亲俄威胁组织Killnet的一个子组织。 威胁行为者依赖于访问多个虚拟专用服务器(VPS)以及租用的云基础设施、开放代理和DDoS工具。 6月初,微软的一些服务严重中断,包括Outlook电子邮件、OneDrive文件共享应用程序和云计算基础设施Azure。匿名苏丹声称对袭击该公司服务的DDoS攻击负责。 7月,匿名苏丹公司宣布,它窃取了3000万客户账户的凭据。 9月,匿名苏丹在Telegram暂停了该组织的账户后,对其发起了DDoS攻击。 本周,该组织对OpenAI进行了攻击,证实ChatGPT及其API周三遭受的中断是由分布式拒绝服务(DDoS)攻击造成的。 匿名苏丹声称最近通过天网和哥斯拉僵尸网络发起了DDoS攻击。 天网于2012年首次被发现,此后发展成为世界上最大的僵尸网络之一。据估计,天网已在全球范围内感染了100多万台设备。 哥斯拉僵尸网络至少自2021年以来一直活跃,它被用来发动大规模分布式拒绝服务(DDoS)攻击,以及窃取登录凭据和挖掘加密货币。 据估计,哥斯拉僵尸网络已在全球感染了超过100000台设备,每秒能够产生超过100千兆比特的DDoS流量。 转自E安全,原文链接:https://mp.weixin.qq.com/s/sYcBTRanUUySB0wjUO49IQ 封面来源于网络,如有侵权请联系删除
勒索不成!LockBit 泄露 43GB 波音公司数据
Hackernews 编译,转载请注明出处: LockBit 勒索软件团伙公布了从波音公司窃取的数据,波音公司是为商用飞机和国防系统提供服务的最大航空航天公司之一。在泄露之前,LockBit 黑客表示,波音公司无视有关数据将被公开的警告,并威胁要公布约 4GB 的最新文件样本。 在波音公司拒绝支付赎金后,LockBit 勒索软件泄露了超过 43GB 的文件。 LockBit 网站上列出的大多数数据都是不同系统的备份,其中最近的时间戳是10月22日。 该勒索软件于10月27日在其网站上发布了波音公司的信息,并要求波音公司在11月2日的最后期限前与他们联系并进行谈判。 黑客当时表示,他们已经窃取了“大量敏感数据”,并准备公布这些数据。 波音在 LockBit 数据泄露网站的页面 波音公司从 LockBit 的受害者名单上消失了一段时间,但在11月7日再次被列入名单,当时黑客宣布他们的警告被忽视了。LockBit 勒索软件团伙决定表明他们有讨价还价的筹码,并威胁要公布“大约 4GB 的样本数据”。 黑客还威胁说,“如果我们看不到波音公司的积极合作”,他们将公布这些数据库。 LockBit 勒索软件威胁波音公司泄露被盗文件 11月10日,LockBit 在他们的网站上公布了他们从波音公司获得的所有数据。这些文件包括 IT 管理软件的配置备份,以及监控和审计工具的日志。 Citrix 设备的备份也被列出,这引发了人们对 LockBit 勒索软件使用最近披露的 Citrix Bleed 漏洞(CVE-2023-4966)的猜测,该漏洞的概念验证漏洞代码已于10月24日公布。 虽然波音公司证实了网络攻击,但该公司没有提供有关该事件的任何细节,也没有提供黑客是如何侵入其网络的。 LockBit 勒索软件已经活跃了四年多,在各个行业造成了数千名受害者。受害者包括大陆汽车巨头、英国皇家邮政、意大利国税局和奥克兰市。 美国政府 6 月表示,自 2020 年以来,该团伙对美国各组织进行了近1700次攻击,勒索了约 9100 万美元。 不仅如此,今年8月西班牙国家警察警告称,一场针对该国建筑公司的网络钓鱼活动,目的是用 LockBit 的 locker 恶意软件对系统进行加密。 而上周,LockBit 确认对中国工商银行美国子公司的勒索攻击负责 >>>中国工商银行美国子公司遭 LockBit 勒索软件攻击 Hackernews 编译,转载请注明出处 消息来源:bleepingcomputer,译者:Serene