上周五（12月29日），一位名为 Olusegun Samson Adejorin 的尼日利亚黑客因对马里兰州和纽约州的两个慈善组织实施诈骗行为在加纳被捕，并面临与商业电子邮件泄密 (BEC) 攻击有关的指控。 根据美国联邦大陪审团的八项指控，Adejorin 面临的指控包括电信欺诈、严重身份盗窃和未经授权访问受保护的计算机，这些行为与针对马里兰州两家慈善组织的攻击有关，该攻击导致美国一家慈善组织损失超过 750 万美元。 Adejorin窃取数百万美元，将面临最高20年刑期 美国司法部（DoJ）在本周发布的一份公告中提到，Adejorin 的诈骗计划最早始于 2020 年 6 月至 8 月期间，他不仅冒充员工还非法访问了员工的电子邮件账户。 Adejorin 冒充某慈善机构员工，要求为其提供投资服务的另一家慈善机构中提取大笔资金，而为了顺利完成超过 10000 美元的取款流程，Adejorin 使用从该员工账户中窃取的凭证，从需要批准交易的员工账户中发送了电子邮件。 此外，美国司法部还补充称：作为该计划的一部分，Adejorin 还涉嫌购买了一种用于窃取电子邮件登录凭证的凭证收集工具。他注册了欺诈性域名，然后将欺诈性电子邮件藏在了员工的邮箱中一个不显眼的位置。 通过这种方式，Adejorin 成功诱骗慈善机构人员将 750 万美元转入其银行账户中，转账的慈善组织在整个过程中并未察觉到异常，以为是将这些款项存入了该员工的合法银行账户中。 根据法律规定，Adejorin 因电信诈骗罪将面临最高 20 年的刑期，因未经授权访问受保护计算机罪将面临 5 年的刑期，因严重身份盗窃罪将面临 2 年的强制刑期。 美国司法部的公告还指出，恶意注册和使用域名的刑期可延长 7 年。 近年来，商业邮件欺诈 (Business Email Compromise, BEC)攻击在流行性和创新性方面都得到了发展。BEC 欺诈各不相同，但它们一般都有一个共同点，就是瞄准那些拥有金融控制权的工作人员（无论其是在大型或小型组织中），然后对其实施有针对性的鱼叉式网络钓鱼攻击。 BEC 攻击也称为 CEO 欺诈，严重的会造成重大经济损失。去年夏天，美国联邦调查局的一份报告指出，商业电子邮件泄露已造成数十亿美元的损失。 面对此类攻击，可采取的合理防御措施包括：实施多因素身份验证，以减少未经授权访问账户的可能性；使用电子邮件过滤来检测和阻止网络钓鱼企图；建立一个验证程序，以支持电汇请求，并使用第二通信渠道。比如，当收到可疑的消息，通知你更改银行账户信息时，可以与合作伙伴取得联系进行确认，这样能避免很多不必要的损失。 转自FreeBuf，原文链接：https://www.freebuf.com/news/388636.html 封面来源于网络，如有侵权请联系删除

近日，德国豪华车制造商宝马被黑客“盯上”了。因为宝马某些用于访问经销商内部工作系统的子域名容易受到SAP重定向漏洞的影响，黑客恰好利用这些子域名伪造链接，针对宝马进行鱼叉式网络钓鱼活动或部署恶意软件。 SAP重定向漏洞会影响SAP产品（SAP NetWeaver Application Server Java）网络应用服务器的安全，这就意味着任何人都可以通过添加字符串来伪造重定向链接。 例如，用户在子域名中添加字符串： “sap/public/bc/icf/logoff?redirecturl=https://maliciouswebsite.com” 但实际上的URL是这样的： “https://<…>.bmw.com/sap/public/bc/icf/logoff?redirecturl=https://maliciouswebsite.com” “这表明黑客只需要通过操纵受影响的SAP系统的URL参数，就可以将用户重定向到恶意网站，或者将任意内容注入到合法网站中。” Cybernews研究人员解释道。 虽然这种漏洞不是关键性的，但它为黑客提供了很多能够触及宝马内部员工或客户的机会。 想象一下，如果你收到了来自CEO或经理下达工作指令的的邮件，因为域名是合法的，防火墙并不会识别出邮件中的恶意链接。一旦你打开了链接并输入了你的凭证，黑客就能对你部署勒索软件或进行其他恶意行为。 这种漏洞对于黑客来说再好不过，只需要几个步骤就能进行大规模的网络钓鱼活动。他们通常会在实际环境中利用这个漏洞来窃取类似于登陆凭证的敏感信息，或者向毫无戒心的用户传播恶意软件。当受害者点击看似合法的链接时，实际上进入的是恶意网站，然后在网站执行恶意的JavaScript代码，被提示输入敏感信息。 宝马已经修复该漏洞 在Cybernews的研究人员向宝马披露了这一漏洞后，宝马针对该漏洞迅速进行了修复。 宝马集团发言人表示，对公司的员工、客户和商业伙伴而言，信息安全是宝马集团的首要任务。在发现漏洞后，公司立即做出了应对以最小化可能带来的影响，目前，这一漏洞并未危及到宝马集团相关系统，也没有出现数据泄露或被误用的情况。 宝马集团发言人称，宝马集团在访问内部系统时采用的是多级安全控制措施，他们遵循的原则是：数据越敏感，安全措施就越高。 重定向攻击如何工作以及如何避免 在Web应用程序或组件没有正确验证或清洗URL情况下，SAP重定向漏洞及类似漏洞通常会导致Web应用程序将用户重定向到指定的URL。 这种影响到宝马网站和其他SAP系统类型的漏洞最早可追溯到2012年，即使公司进行了安全更新，仍然存在风险。因为攻击者只需要修改URL值，就能将用户重定向到恶意网站。 MITRE 公司指出：“修改后链接中的服务器名称与原始站点相同，钓鱼尝试看起来更可信。而这个问题是否构成一个漏洞取决于应用程序的预期行为，例如，一个搜索引擎可能会故意提供重定向到任意URL的服务。” 为了解决SAP重定向漏洞，Cybernews研究人员推荐以下措施： SAP已经发布了针对SAP重定向漏洞的补丁，补丁对漏洞进行了修复，这是缓解漏洞最有效的方法。 为了防止注入攻击和其他安全漏洞，开发者应当遵循安全编码实践和指南，比如开放网络应用安全项目（OWASP）十大安全风险。 定期进行安全评估可以帮助识别系统和应用中的漏洞，并在攻击者有机会利用它们之前，采取主动的补救措施。 研究人员表示，安全是一个持续的过程，公司应当定期审查和更新他们的安全措施，确保措施有效。而重定向漏洞是重大的安全风险，并且可能对组织造成毁灭性的影响，需要尤其注意。 当然，用户也应该小心点击那些链接，即使域名看起来合法，黑客也可能通过其他方式来传递恶意载荷。 转自FreeBuf，原文链接：https://www.freebuf.com/news/388671.html 封面来源于网络，如有侵权请联系删除

过去几个月，一个名为 Cyber Toufan 的黑客组织袭击了以色列 100 多个公共和私人组织，这是该地区地缘政治紧张局势加剧所推动的网络攻击活动的一部分。 CyberToufan 具有复杂的黑客特征，该组织声称由巴勒斯坦国家网络战士组成，因此迅速声名鹊起，该组织对知名以色列实体执行复杂的网络攻击。 据报道， 该组织的策略表明 Cyber Toufan 很可能是由政府赞助的，有证据表明伊朗可能参与其中。 “与其他亲巴勒斯坦的哈马斯黑客组织相比，该组织表现出了卓越的能力。他们的活动重点是破坏服务器、数据库和泄露信息，有证据表明该组织受到来自民族国家——有可能是伊朗——的支持。”国际反恐研究所 (ICT) 在 11 月底指出。 安全研究人员已跟踪超过 100 起与 Cyber Toufan 操作相关的入侵，其特点是泄露大量数据（包括个人信息）并将其发布在网络上。 威胁情报公司SOC Radar在两周前的一份报告中写道：“他们的攻击不仅导致大量数据泄露，而且还成为一种数字报复形式，符合该地区更广泛的战略目标。” Cyber Toufan 于 2023 年 11 月 18 日在 Telegram 频道上发表的一篇文章 安全研究员Kevin Beaumont 表示，迄今为止，该组织已在其 Telegram 频道上泄露了 59 个组织的数据。在针对托管服务提供商 (MSP) 的攻击中，它可能还攻击了 40 多个目标。 “他们发布的数据包括完整的服务器磁盘映像、带有许多域私钥的 SSL 证书（尚未被撤销且仍在使用）、SQL 和 CRM 转储。甚至 WordPress 备份，显然现在人们在 WordPress 上构建 CRM。”Beaumont 说。 CyberToufan 的受害实体包括以色列国家档案馆、以色列创新局、Homecenter Israel、以色列自然和公园、特拉维夫学院、以色列卫生部、福利和社会保障部、以色列证券管理局、Allot、MAX Security & Intelligence 、Radware 和丰田以色列。 博蒙特表示，一些受害实体无法从网络攻击中恢复，并且已离线数周，这可能是黑客使用擦除器针对 Linux 系统导致的。 据研究人员称，CyberToufan 使用合法工具 Shred 来“以不可恢复的方式删除文件”。为此，该组织使用自己的 shell 脚本运行 Shred，以确保即使该进程被管理员终止，该工具也能继续运行。 人们还看到该组织向受害实体的客户发送电子邮件以进行宣传，并且似乎正在与其他黑客组织进行更大规模的集体行动协调。 转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/J6zk7amcWphjOU2KbqZWRg 封面来源于网络，如有侵权请联系删除

近日，有多个窃取信息的恶意软件团伙正在滥用一个未记录的名为 “MultiLogin “的谷歌 OAuth 端点恢复过期的身份验证 cookie 。通过这种方式黑客可以获取到用户账户信息，即使账户密码已被重置仍能成功登陆。 会话 cookie 是一种特殊类型的浏览器 cookie，其中包含身份验证信息，允许用户在不输入凭据的情况下自动登录网站和服务。这类 cookie 的储存时间有限，因此如果账户被盗，黑客无法一直使用它们登录账户。 但在2023年11月下旬，Lumma和 Rhadamanthys 黑客曾声称可以恢复在攻击中被盗的过期谷歌身份验证cookie，即使用户已经注销、重置密码或会话过期，这些 cookie 仍可让网络犯罪分子在未经授权的情况下访问谷歌账户。 利用谷歌 OAuth 端点 CloudSEK  研究人员上周五（12月29日）发布的一份报告进一步揭示了这个零日漏洞的工作原理，并阐述了该漏洞的被大规模利用的严重后果。 2023 年 10 月 20 日，一个名为 PRISMA 的黑客首次披露了该漏洞，他在 Telegram 上发布消息称发现了一种恢复过期 Google 身份验证 cookie 的方法。 在对该漏洞进行逆向工程后，CloudSEK 发现它使用了一个名为 “MultiLogin “的未注明谷歌 OAuth 端点，该端点通过接受账户 ID 和 auth-login 标记向量来同步不同 Google 服务之间的帐户。 此请求用于在多个 Google 网站（例如 YouTube）的 Google 身份验证 cookie 中设置浏览器中的 Chrome 帐户。 这个请求是 Gaia Auth API 的一部分，只要 cookie 中的帐户与浏览器中的帐户不一致就会触发。 CloudSEK 表示，滥用该终端的信息窃取恶意软件会提取登录到谷歌账户的 Chrome 配置文件的 tokens 和账户 ID。这些被盗信息包含两个关键数据：service (GAIA ID) 和 encrypted_token。 加密令牌使用存储在 Chrome 浏览器 “Local State” 文件中的加密密钥进行解密。同样的加密密钥也用于解密浏览器中保存的密码。 通过利用窃取的 token，GAIA 与多重登录端点配对，威胁行为者可以重新生成过期的 Google Service cookies，并访问被盗账户。 使用令牌：GAIA对从文本文件中读取以生成对MultiLogin的请求 CloudSek 研究员 Pavan Karthick 表示，他们对该漏洞进行了逆向工程，并能够使用它来重新生成过期的 Google 身份验证 cookie，如下所示： 重置密码后，cookie再生成功 Karthick 解释称，如果用户重置其 Google 密码，身份验证 cookie 只能重新生成一次。否则，它可以多次重新生成，从而登陆账户。 恶意软件开发者急于添加漏洞 Lumma stealer 于 11 月 14 日首次利用了该漏洞，其开发人员采用了黑盒技术，如用私钥加密 token:GAIA 对，以向竞争对手隐藏这一机制，并防止该功能被复制。 Radamanthys 是第一个在 11 月 17 日效仿的人；此后还有 12 月 1 日的 Stealc、12 月 11 日的 Medusa、12 月 12 日的 RisePro 和 12 月 26 日的 Whitesnake。因此，目前至少有 6 个黑客声称能够使用此 API 端点重新生成 Google cookie。 Lumma 还发布了该漏洞的更新版本：转而使用 SOCKS 代理来逃避 Google 的滥用检测措施，并在恶意软件和 MultiLogin 端点之间实现加密通信；以对抗谷歌的修复措施。 由于Google尚未证实 MultiLogin 端点被滥用，因此目前该漏洞的利用状况及其修复措施仍不清楚。 转自FreeBuf，原文链接：https://www.freebuf.com/news/388434.html 封面来源于网络，如有侵权请联系删除

一个已知的勒索软件组织声称对最近针对日产的网络攻击负责，并声称从这家日本汽车制造商窃取了 100 GB 的信息。 该汽车制造商于 12 月初透露，日产汽车公司以及位于澳大利亚和新西兰的日产金融服务公司的内部系统已成为黑客的目标。 该公司于 12 月 22 日证实，“未经授权的第三方非法访问了该公司在澳大利亚和新西兰的部分网络系统”，并表示正在努力确定哪些信息受到影响。 澳大利亚和新西兰的网络安全机构以及隐私监管机构和执法部门已收到通知。 一个名为 Akira 的勒索软件组织声称对日产发起攻击，声称窃取了 100 GB 的数据，包括公司文件和员工的个人信息。 网络犯罪分子威胁在未来几天内泄露数据，这表明日产不愿支付黑客要求的赎金。 Akira勒索软件行动于 3 月份出现，据信与臭名昭著的 Conti 组织有一定联系。迄今为止，Akira 已经攻击了大约 180 个组织，其中大部分位于美国。 日产并不是近几个月来唯一一家成为网络犯罪分子攻击目标的汽车制造商。丰田德国公司还通知客户，在勒索软件攻击后，涉及客户个人信息的数据可能已经被泄露。 转自安全客，原文链接：https://www.anquanke.com/post/id/292224 封面来源于网络，如有侵权请联系删除

近日，热门策略游戏《Slay the Spire》的扩展版本《Downfall》被黑客入侵。他们利用 Steam 更新系统向玩家推送了 Epsilon 信息窃取恶意软件。 开发者 Michael Mayhem 表示：被入侵的软件包是原游戏的预包装独立修改版，并非通过 Steam Workshop 安装的修改版。 最开始是其中一台设备被恶意软件非法入侵，当时正在运行的安全软件没能阻止它，甚至都没有做出标记。但这并不是一个盗取密码的恶意软件，因为 2FA 并没有触发或阻止它，而且被入侵的账户都在不同的电子邮件地址下（这些地址本身都没有被盗）。 此外，黑客还入侵了《Downfall》开发者之一的 Steam 和 Discord 账户，从而控制了该 MOD 的 Steam 账户。Michael Mayhem称此次事件更像是一种令牌劫持，黑客们专门劫持 Steam 并利用它上传，但目前这还只是猜测。 Mayhem 在周三（12月27日）发表的一份声明中告知用户称：此次安全漏洞允许恶意上传替换已打包的《Downfall》游戏。如果您确实在 12月25日的18:30-19:30时间段内曾打开了《Downfall》，并且该游戏向您弹出了 Unity 库安装程序，那么您的设备可能会出现安全风险。 该恶意软件会从设备中的网络浏览器（谷歌 Chrome、Yandex、Microsoft Edge、Mozilla Firefox、Brave、Vivaldi）以及 Steam 和 Discord 消息中收集 cookies 和保存的密码和信用卡信息。 同时，它还会查找文件名中包含 “密码 “的文件，并查找其他凭证，包括本地 Windows 登录和 Telegram等账户信息。 Epsilon恶意软件收集凭证(Any.run) Mayhem 建议Downfall用户立即更改所有重要密码，尤其是未受2FA（双因素验证）保护的账户密码。 有用户报告称：该恶意软件会将自己作为 Windows 启动管理器应用程序安装在 AppData 文件夹中，或作为 UnityLibManager 安装在 /AppData/Roaming 文件夹中。 Epsilon Stealer 是一种通过 Telegram 和 Discord 向其他威胁行为者出售的信息窃取恶意软件。它通常用于以 Discord 上的游戏玩家为目标，以测试新游戏漏洞为幌子，诱骗他们安装恶意软件以换取报酬。 在安装游戏后，恶意软件还会在后台运行，窃取用户的密码、信用卡信息和身份验证 cookie。窃取的信息要么被威胁者用来入侵更多账户，要么在暗网市场上出售。 根据 VirusTotal 数据，这次攻击背后的黑客的目标不只是Steam，还可能瞄准了其他游戏和游戏开发商。 包含相同信息窃取恶意软件的其他文件（VirusTotal） Steam加强安全防护 自 8 月底开始，越来越多的Steamworks 账户被黑客用来上传恶意游戏版本，使玩家感染恶意软件，因此今年 10 月，Valve 宣布现在要求游戏开发商在 Steam 默认发布分支上推送更新时进行基于短信的安全检查。 作为安全更新的一部分，任何在已发布应用程序的默认/公共分支上设置构建的 Steamworks 帐户都需要有一个与其帐户相关联的电话号码，这样 Steam 才能在继续之前给你发短信确认代码，任何需要添加新用户的 Steamworks 帐户都需如此。这一项规定已经于今年10月24日起正式生效。 转自FreeBuf，原文链接：https://www.freebuf.com/news/388252.html 封面来源于网络，如有侵权请联系删除

俄亥俄州彩票公司在圣诞节前夕遭到严重勒索软件攻击，一些内部应用程序受到严重影响，导致其被迫关闭了一些关键的内部网络系统。目前，彩票机构正在积极调查此次事件，努力恢复所有受影响服务。 俄亥俄州彩票机构在周三发布的新闻稿中表示，目前尚无法提供移动兑奖和 599 美元以上的奖金兑奖服务，KENO、Lucky One 和 EZPLAY 渐进式大奖的中奖号码也无法在其网站或移动应用程序上查询，但用户可以在任何俄亥俄州彩票零售商处查询自己的中奖信息。 此外，该彩票机构还强调，在安全事件调查和系统服务恢复期间，用户可以通过俄亥俄州彩票网站和手机应用程序查询普通中奖号码，并且能够在任何俄亥俄州彩票零售商处兑取最高 599 美元的奖金。但 600 美元以上的奖金必须将彩票邮寄到俄亥俄州彩票中心办公室或使用数字索赔表进行兑换。 部分公告内容：2023 年 12 月 24 日，俄亥俄州彩票机构遭遇网络安全事件，部分内部应用程序受到严重影响。事件发生后，机构立即组织安全专家着手解决安全问题。同时，俄亥俄州内部也在积极调查网络攻击事件，由此对用户造成不便，深表歉意，并正在尽快恢复所有服务。 新型勒索软件团伙声称对网络攻击事件负责 虽然俄亥俄州彩票机构没有把安全事件与任何已知黑客或黑客组织联系起来，但新型勒索软件团伙 DragonForce 高调宣称对此次网络攻击负责，该团伙表示成功加密了受害者设备并窃取大量数据，其中主要包括社会安全号码和出生日期。 DragonForce 勒索软件谈判聊天 DragonForce 勒索软件团伙在其数据泄露网站上新增了一条信息，显示被盗文件包含俄亥俄州彩票客户和员工的信息，（超过 3000000个条目、名、姓、邮件、地址、中奖金额、员工和彩民的 SSN 和 出生日期记录）解压后的泄露文件约为 600 多千兆字节。 目前，业内对 DragonForce 勒索团伙的了解并不多。可以肯定的是虽然该组织是新成立的“公司”，但他们的策略、谈判风格和数据泄露网站表明其是一个经验丰富的勒索团伙。可以预见，随着执法部门对勒索软件行动进行持续打击，如果发现该组织是由其它勒索软件团伙“改头换面”而来，也不足为奇。 转自FreeBuf，原文链接：https://www.freebuf.com/news/387976.html 封面来源于网络，如有侵权请联系删除

据 GTA Focal 报道，《GTA 5》的源代码在圣诞节前夕遭泄露，该文件包大小约为 4GB，包含大量 RAGE 引擎文件、概念和参考图像，还有《GTA5》圣安地列斯的早期地图。游戏源代码链接被黑客分发到了Discord、某暗网网站和一个 Telegram 频道等多个渠道。 这次泄露事件距离 Lapsus$ 威胁行为者曾入侵 Rockstar 游戏公司并窃取公司数据已经过去了一年。 在 Telegram 上的《侠盗猎车手》泄密频道中，名为”Phil “的频道所有者发布了源代码的链接，并分享了其中一个文件夹的截图。 包含《GTA 5》源代码的文件夹截图，来源：Telegram Phil还向 Lapsus$ 黑客 Arion Kurtaj 致敬，他曾以 “teapotuberhacker “的名义泄露过《侠盗猎车手 6》的预发布视频。 2022 年，Rockstar Games 遭遇臭名昭著的 Lapsus$ 黑客组织攻击，他们入侵了该公司的 Slack 服务器和 Confluence 维基。 黑客当时声称窃取了《GTA 5》和《GTA 6》的源代码以及《GTA 6》的测试版，并在论坛和 Telegram 上分享了《GTA 5》源代码样本，以证明他们窃取了数据。 黑客2022年在Telegram上出售《GTA V》源代码，来源：BleepingComputer 安全研究组织 vx-underground 相关人员在 Discord 上与泄密者进行了交谈，后者表示源代码的泄露比预期的要早。他们称在 2023 年 8 月收到了源代码，此次泄露的动机是打击《GTA V》MOD 界的诈骗行为，据称很多人都被声称拥有《GTA V》源代码的人骗了。 虽然此次泄露的源代码看起来是合法的《GTA 5》源代码，但其真实性未得到验证。截止目前， Rockstar并未做出回应。 Lapsus$ 黑客擅长社工攻击&SIM 卡交换攻击 一直以来，Lapsus$ 黑客组织都十分擅长使用社交工程和 SIM 卡交换攻击来入侵企业网络。该组织曾对包括 Uber、微软、Rockstar Games、Okta、Nvidia、Mercado Libre、T-Mobile、育碧、沃达丰和三星等在内的知名企业发起过攻击。作为攻击的一部分，黑客还会以窃取到的源代码和客户数据来勒索这些公司支付赎金。 美国国土安全部（DHS）网络安全审查委员会对其战术进行了分析，并分享了预防此类攻击的建议。 虽然 Lapsus$ 组织在成员被捕后活动不再像之前那样频繁了，但据最新消息，其中个别成员最近开始在名为 Scattered Spider 的松散黑客组织中有些小动作。 Scattered Spider 组织采用的是与 Lapsus$ 类似的策略，主要通过利用社交工程、网络钓鱼、MFA 疲劳和 SIM 卡交换攻击来获取大型组织的初始网络访问权。   转自FreeBuf.COM，原文链接：https://www.freebuf.com/news/387698.html 封面来源于网络，如有侵权请联系删除

有消息称，Lapsus$ 网络犯罪和勒索团伙成员 Arion Kurtaj 被英国法官判处在 “安全医院 “无限期服刑。据悉，Arion Kurtaj 现年18岁，患有自闭症，是 Lapsus$ 团伙主要成员之一，曾参与泄露视频游戏《GTA 6》的数据信息。 Kurtaj 被判处在 “安全医院 “无限期服刑 从英国广播公司（BBC）报道来看，Kurtaj 被英国法官判处在 “安全医院 “无限期服刑。法官表示鉴于 Kurtaj 依然具有发动网络犯罪的能力以及实施网络犯罪的欲望，对公众而言他仍然是一个 “高风险 “人物。因此，除非医生证明他不再构成安全威胁，否则其将会一直待在安全医院。除了参与网络犯罪活动之外，法院还获悉 Kurtaj 在被拘留期间曾实施行动，导致“数十起受伤或财产损失报告”。 值得一提的是，在为期六周的数据泄露事件审判期间，另一名17岁的 Lapsus$ 成员（因法律原因未透露姓名）在伦敦南华克刑事法庭被判有罪（判处18个月的 “青年改造令”，接受严格监管，并 “禁止在网上使用 VPN”）。法官表示该未成年人与 Kurtaj 和其他团伙成员一同合作，成功侵入了科技巨头英伟达（NVIDIA）和电信公司（包括英国电信/EE），并试图勒索受害者 400 万美元的赎金。（未支付）。 Lapsus$ 黑客团伙 根据目前披露的信息来看，尽管 Lapsus$ 网络犯罪团伙大都由青少年组成，但如果低估了该组织的能力或该团伙对组织网络基础设施构成的威胁，那就太天真了。 Lapsus$ 网络犯罪团伙此前曾对多起备受瞩目的网络攻击事件负责，其中包括对 Okta、Uber 和金融科技巨头 Revolut 的攻击，以及对微软内部 Azure 服务器的攻击，据称该团伙通过这次攻击泄露了 37 GB 被盗的必应、Cortana 和其他微软项目的源代码。 更糟糕的是，不同于其他“温和”的勒索软件组织，Lapsus$ 组织成功窃取受害者的专有数据后，如果勒索要求得不到满足，就会立刻公布这些数据。 转自FreeBuf，原文链接：https://www.freebuf.com/news/387441.html 封面来源于网络，如有侵权请联系删除

ESO Solutions 是一家为应急响应人员和医疗机构提供数据和软件的提供商，已开始向 270 万名受黑客攻击影响的个人发出通知。 此次泄露事件于 9 月 28 日发生，迫使 ESO 暂时关闭系统，以遏制事件的影响。尽管黑客访问并加密了内部系统，但 ESO 表示已使用备份恢复了这些系统。 在今天早些时候发布的事件通知中，该公司表示未经授权的第三方可能已经获取了个人数据，他们正在积极配合联邦执法调查。包括姓名、地址和健康详细信息在内的患者信息遭到泄露，社会安全号码等敏感信息也可能被泄露。 “事实上，HIPAA 合规性确实包括允许医疗保健提供商将 ePHI 存储在 SaaS 应用程序和云中，” Centripetal 的安全工程师 Colin Little 评论道。 “我看到的所有针对医疗保健提供商的指南都指出，SaaS 应用程序供应商在做出选择时需要经过彻底审查。虽然有很多因素使得选择 SaaS 应用程序具有吸引力，例如可扩展性和经济因素，但显然需要对该策略进行更彻底的风险评估。” 虽然负责的黑客团伙仍不清楚，但 ESO 的声明表明，该公司可能已付费以确保删除受影响的数据。Infosecurity 已联系该公司核实这些说法。 不管怎样，该公司于 12 月 19 日通知缅因州总检察长办公室，称有 270 万人受到影响，并从 12 月 12 日开始寄出信件。超过 9500 名 Tallahassee Memorial HealthCare 患者受到影响。 ESO 与 Ascension Providence 和 Manatee Memorial Hospital 等医疗保健提供者合作，正在向患者通报此次泄露事件。其他受影响的机构包括密西西比浸信会医疗中心、Merit Health Biloxi、Merit Health River Oaks 和各种医疗机构。 Comparitech 的消费者隐私倡导者 Paul Bischoff 评论道：“受影响的患者应立即采取措施保护自己免遭身份盗窃和健康福利欺诈。” “ESO 尚未说明受影响的患者是否会获得免费的信用监控，但我预计至少其中一些人会获得免费的信用监控。检查您的信用报告，利用免费信用监控，并密切关注您的医疗账单是否存在可疑活动。” 转自安全客，原文链接：https://www.anquanke.com/post/id/292112 封面来源于网络，如有侵权请联系删除