HackerNews 编译，转载请注明出处： 半导体服务企业Trio-Tech International披露，其位于新加坡的子公司遭到勒索软件攻击。 该公司在向美国证券交易委员会（SEC）提交的文件中表示，事件发生于3月11日，导致其网络内部分文件被加密。 Trio-Tech称，该子公司立即启动应急响应程序，主动将系统下线以控制事态蔓延。此外，子公司还在第三方网络安全专家协助下展开调查，并通知了执法部门。 “该子公司正采取措施控制事件、恢复受影响系统，并加强整个网络环境的监控。同时正在按适用法律要求通知受影响方，”公司在文件中写道。 Trio-Tech最初认为该事件不会造成重大影响，但攻击者随后公布了从其网络窃取的部分数据，”管理层因此认定该事件可能构成重大网络安全事件”。 公司表示调查仍在进行中，尚未确定可能受影响数据的全部范围。”该子公司还在与其网络保险提供商密切合作，以支持调查、修复及潜在的理赔流程，”Trio-Tech补充道。 公司未透露攻击者身份细节，但Gunra勒索软件团伙已在其Tor泄露网站上将Trio-Tech列入受害者名单。 SecurityWeek已向Trio-Tech发送邮件，寻求关于攻击者声明的更多信息，如获回复将更新本文。 总部位于加州的Trio-Tech International提供半导体后端解决方案（SBS），包括制造、测试和分销服务，以及工业电子设备。该公司在美国、中国、马来西亚、新加坡和泰国均设有办事处。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  WorldLeaks团伙本周同时对洛杉矶及其地铁系统发动攻击，导致部分服务被迫中断；与此同时，旧金山湾区两座城市也因遭遇勒索软件攻击而宣布进入紧急状态。 洛杉矶地铁系统遭袭，服务受限 据当地媒体报道，本周洛杉矶地铁（Metro）内部系统检测到未授权活动，迫使该机构限制系统访问权限，车站到站显示屏也因此受到影响。 NBC洛杉矶报道称：”内部行政计算机系统出现未授权活动，促使Metro限制了对这些系统的访问，导致车站显示屏无法显示列车到达时间。” 目前乘客在通过网站或客服热线为TAP交通卡充值时遇到困难，Metro建议乘客改用站内售票机完成充值。铁路和公交服务仍在正常运行，且没有客户或员工的个人信息受到影响。Metro方面表示，正在进行全面的安全检查，并努力恢复系统的完全访问权限。 湾区城市相继沦陷，紧急状态接踵而至 另一起事件中，福斯特市（Foster City）官员表示，一场勒索软件攻击正在广泛破坏市政服务，迫使市领导宣布进入紧急状态，以便争取外部支持和资金援助。虽然911等紧急服务仍在正常运转，但许多依赖内部系统的市政服务已无法使用。市政厅虽保持开放，但仅能提供有限服务。 该市于周四早些时候发现攻击后，迅速将大部分系统下线以保护网络安全。目前 officials 正与独立网络安全专家合作，开展调查并努力恢复运营。 此次攻击主要影响了数字服务和信息获取渠道，核心的应急响应能力保持完好。当局表示，目前尚不清楚攻击者是否访问或复制了敏感数据，但警告公众信息可能已遭泄露。作为预防措施， officials 敦促所有曾与市政府有过业务往来的市民更改密码，并采取措施保护个人数据。 据《旧金山纪事报》报道，该市表示：”出于谨慎考虑，建议所有与福斯特市有过业务往来的市民更改个人密码，并采取措施保护自己的个人数据。” WorldLeaks认领洛杉矶市政府为受害者 2026年3月20日，WorldLeaks勒索软件团伙将其数据泄露网站上的受害者名单更新，加入了洛杉矶市政府。该团伙声称窃取了159.9GB数据，共计779份文件。 WorldLeaks是一个以勒索为目的的网络犯罪组织，通过窃取企业数据向受害者施压，威胁若不支付赎金就将数据公开泄露。该团伙于2025年更名自2023年起活跃的Hunters International勒索团伙。在面临日益严厉的执法压力后，该组织放弃了文件加密手段，全面转向数据窃取和勒索模式，至今已宣称对数百名受害者下手。 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自 1 月下旬起，“联锁”（Interlock）勒索软件团伙就在零日攻击中，利用思科安全防火墙管理中心（FMC）软件中一个极其严重的远程代码执行（RCE）漏洞。 “联锁” 勒索软件活动于 2024 年 9 月浮出水面，与 ClickFix 以及多起恶意软件攻击有关，在这些攻击中，他们在英国多所大学的网络中部署了一款名为 “NodeSnake” 的远程访问木马。 “联锁” 团伙还宣称对针对达维塔（DaVita）、凯特林健康（Kettering Health）、德克萨斯理工大学系统以及明尼苏达州圣保罗市的攻击负责。最近，IBM X – Force 研究人员报告称，“联锁” 团伙的操作者部署了一种名为 “Slopoly” 的新恶意软件变种，很可能是利用生成式人工智能工具创建的。 思科于 3 月 4 日修复了这个安全漏洞（CVE – 2026 – 20131），并警告称，该漏洞可能让未经身份验证的攻击者在未打补丁的设备上以 root 权限远程执行任意 Java 代码。 亚马逊威胁情报团队周三报告称，在该漏洞被修复前，“联锁” 勒索软件团伙已针对企业防火墙，利用这个安全防火墙管理中心的漏洞发动攻击长达一个多月。 亚马逊综合安全首席信息安全官 CJ・摩西表示：“在查找该漏洞当前或过往的利用情况时，我们的研究发现，‘联锁’团伙从 2026 年 1 月 26 日起就开始利用这个漏洞，比其公开披露时间早了 36 天。这可不是普通的漏洞利用，‘联锁’团伙掌握了一个零日漏洞，这让他们在防御者察觉之前，就有一周时间抢先入侵各机构。” 思科在 3 月 4 日发布了一份安全公告，披露了思科安全防火墙管理中心软件 Web 界面的一个漏洞。周三，思科在发布公告后通过电子邮件向 BleepingComputer 表示：“我们感谢亚马逊在这件事上的合作，并且已在安全公告中更新了最新信息。我们强烈敦促客户尽快升级，并参考我们的安全公告以获取更多详细信息和指导。” 自今年年初以来，思科还修复了其他几个在实际中被当作零日漏洞利用的安全漏洞。例如，1 月，它修复了一个严重级别的思科 AsyncOS 零日漏洞，自 11 月起，该漏洞就被用于入侵安全电子邮件设备；同时，思科还修复了一个关键的统一通信远程代码执行漏洞，这个漏洞也在零日攻击中被利用。 上个月，思科修复了另一个严重级别的漏洞，该漏洞被当作零日漏洞利用，用于绕过 Catalyst SD – WAN 身份验证，攻击者借此能够攻陷控制器，并在目标网络中添加恶意的非法对等节点。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 以 Velvet Tempest 为代号追踪的勒索软件威胁组织，正利用 ClickFix 技术与合法的 Windows 工具部署 DonutLoader 恶意软件与 CastleRAT 后门。 网络诱骗威胁情报公司 MalBeacon 的研究人员在一个模拟的组织环境中，对黑客的行为进行了为期 12 天的观测。 Velvet Tempest，同时也以 DEV‑0504 为代号进行追踪，是一个至少在五年内以附属机构身份参与勒索软件攻击的威胁组织。 该组织与部署多款破坏力极强的勒索软件家族相关联：Ryuk（2018‑2020）、REvil（2019‑2022）、Conti（2019‑2022）、BlackMatter、BlackCat/ALPHV（2021‑2024）、LockBit 以及 RansomHub。 Velvet Tempest 勒索软件部署时间线（来源：MalBeacon） 此次攻击由 MalBeacon 在 2 月 3 日至 16 日期间于一个美国非营利组织的复刻环境中监测到，该环境拥有超过 3000 个终端与 2500 多名用户。 在获取访问权限后，Velvet Tempest 操作者执行了手动操作，包括对 Active Directory 进行侦察、主机发现、环境信息收集，同时使用 PowerShell 脚本窃取存储在 Chrome 中的凭据。 该脚本托管在一个 IP 地址上，研究人员将该 IP 与 Termite 勒索软件入侵所用的工具部署服务器相关联。 据研究人员介绍，Velvet Tempest 通过恶意广告活动获取初始访问权限，该活动引导至一个结合 ClickFix 与验证码的页面，指示受害者将一段经过混淆的命令粘贴到 Windows 运行对话框中。 Velvet Tempest 使用的 ClickFix 诱饵（来源：MalBeacon） 粘贴的命令触发了嵌套的 cmd.exe 调用链，并利用 finger.exe 获取首批恶意软件加载器。其中一个载荷是一个伪装成 PDF 文件的压缩包。 在后续阶段中，Velvet Tempest 使用 PowerShell 下载并执行命令，以获取更多载荷、通过 csc.exe 在临时目录编译 .NET 组件，并在 C:\ProgramData 中部署基于 Python 的组件以实现持久化。 此次行动最终部署了 DonutLoader，并加载了 CastleRAT 后门。CastleRAT 是一款远程控制木马，与以分发多种 RAT 与信息窃取工具（如 LummaStealer）闻名的 CastleLoader 加载器相关联。 Termite 勒索软件此前已宣称对多家知名受害者发起攻击，包括 SaaS 提供商 Blue Yonder 与澳大利亚大型试管婴儿机构 Genea。 尽管 Velvet Tempest 通常实施双重勒索攻击 —— 即在窃取企业数据后对受害者系统进行加密，但 MalBeacon 的报告指出，在本次观测到的入侵事件中，该威胁组织并未部署 Termite 勒索软件。 多个勒索软件组织已在攻击中采用 ClickFix 技术。Sekoia 曾在 2025 年 4 月报告称，Interlock 勒索软件团伙使用该社会工程方法攻破企业网络。   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Symantec 和 Carbon Black 威胁猎人团队的最新报告显示，与朝鲜相关的 Lazarus Group（又称 Diamond Sleet、Pompilus）在针对中东一家未具名机构的攻击中使用了 Medusa 勒索软件。 Broadcom 威胁情报部门表示，其还发现同一威胁行为者对美国一家医疗机构发起了攻击，但未成功。Medusa 是由网络犯罪组织 Spearwing 于 2023 年推出的勒索软件即服务（RaaS）项目。该组织迄今已宣称实施超过 366 起攻击。 该公司在提交给 The Hacker News 的报告中称：“对 Medusa 数据泄露站点的分析显示，自 2025 年 11 月初以来，美国有四家医疗和非营利机构遭到攻击。” “受害者包括一家心理健康领域非营利机构和一家自闭症儿童教育机构。”目前尚不清楚这些受害者是否全部由朝鲜相关人员攻击，还是部分攻击由其他 Medusa 合作方实施。该期间的平均勒索金额为 260,000 美元。 朝鲜黑客组织使用勒索软件并非没有先例。早在 2021 年，Lazarus 旗下名为 Andariel（又称 Stonefly）的分支就被发现使用 SHATTEREDGLASS、Maui、H0lyGh0st 等定制勒索软件攻击韩国、日本和美国的机构。 随后在 2024 年 10 月，该黑客组织还与 Play 勒索软件攻击相关联，标志着其转向使用现成的加密工具加密受害者系统并索要赎金。 不过，并非只有 Andariel 从定制勒索软件转向使用现成版本。去年，Bitdefender 披露，另一个被追踪为 Moonstone Sleet 的朝鲜威胁行为者此前曾使用名为 FakePenny 的定制勒索软件，而现在可能使用 Qilin 勒索软件攻击了多家韩国金融公司。 该公司向 The Hacker News 表示，这些变化可能标志着朝鲜黑客组织的战术转变：他们开始作为成熟 RaaS 组织的合作方运作，而非自行开发工具。 Symantec 和 Carbon Black 威胁猎人团队首席情报分析师 Dick O’Brien 表示：“其动机很可能是实用主义。”“既然可以使用 Medusa 或 Qilin 这类经过验证的威胁，何必费力开发自己的勒索软件有效载荷？”“他们可能认为，扣除合作方费用后，收益仍大于成本。” Lazarus Group 的 Medusa 勒索软件行动中使用了多种工具： ·     RP_Proxy，一款定制代理工具 ·     Mimikatz，一款公开可用的凭证窃取程序 ·     Comebacker，该威胁行为者专用的定制后门 ·     InfoHook，一款此前被发现与 Comebacker 配合使用的信息窃取工具 ·     BLINDINGCAN（又称 AIRDRY、ZetaNile），一款远程访问木马 ·     ChromeStealer，一款用于从 Chrome 浏览器提取存储密码的工具 尽管此类勒索攻击与 Andariel 以往的攻击模式相似，但该活动尚未与 Lazarus 旗下任何具体分支关联。 该公司表示：“转向使用 Medusa 表明，朝鲜在网络犯罪中的疯狂参与丝毫未减。”“朝鲜相关行为者在攻击美国机构时似乎毫无顾忌。”尽管部分网络犯罪组织因可能引发声誉风险而声称避开医疗机构，但 Lazarus 似乎不受任何此类约束。   消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络犯罪分子越来越多地利用合法的管理软件发起攻击，这使得他们的恶意活动更难被发现。 这些行为者不再仅仅依赖定制的计算机病毒，而是滥用合法的员工监控工具来隐藏在企业网络中。 通过使用旨在跟踪员工生产力的软件，他们可以控制系统并窃取敏感数据，而不会触发标准的安全警报。 这种策略使他们能够融入正常的日常流量中，绕过通常用于拦截已知恶意程序的防御措施。 在最近的攻击活动中，主要使用的工具是“Net Monitor for Employees Professional”和“SimpleHelp”。 尽管这些应用程序是为提供有用的 IT 支持和员工监督而设计的，但黑客已经将其用于恶意目的。 Net Monitor for Employees Professional 控制台界面（来源：Huntress） 他们利用这些软件的强大功能（例如查看屏幕、管理文件和运行命令）来控制计算机。这实际上将一款标准的办公工具变成了远程控制网络的危险武器。 Huntress 分析师在 2026 年初发现了这种特定活动，并指出攻击者利用这些工具维持长期访问权限。 研究人员观察到，入侵者不仅监视用户，还积极地为更具破坏性的攻击做准备。 通过建立这种隐蔽的立足点，攻击者可以在 IT 团队不知情的情况下执行技术命令并禁用安全措施。 这种静默访问通常会导致尝试部署“Crazy”勒索软件（一种文件锁定病毒）以及窃取加密货币。 规避技术和持久性 攻击者竭力伪装其在受感染机器上的存在，以避免被清除。他们经常将恶意文件重命名，使其看起来像重要的 Microsoft 服务。 例如，监控代理通常注册为“OneDriveSvc”和“OneDriver.exe”之类的名称，试图欺骗用户，让他们误以为这是一个无害的云存储进程。 图片 时间线（来源：Huntress） 这个简单的技巧帮助恶意软件在不引起怀疑的情况下保持活跃。 为了进一步确保能够留在网络中，攻击者安装了 SimpleHelp 作为备用入口点。这种冗余机制意味着，即使其中一个工具被发现并移除，另一个工具也能让他们再次入侵。 他们还配置了该软件，使其监视屏幕上的特定词语，例如“钱包”或“币安”。这样，当用户打开银行应用程序时，他们就能立即收到警报，从而确保在最佳时机窃取资金。 为了防止此类攻击，企业必须严格限制哪些用户可以安装软件，并应在所有远程账户上强制执行多因素身份验证 (MFA)。 安全团队还应定期审核系统，查找未经授权的远程管理工具，并监控禁用防病毒程序的尝试。 最后，检查模仿合法服务的异常程序名称对于及早发现此类入侵至关重要。     消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一款名为 Reynolds 的新型勒索软件家族细节，该勒索软件载荷内部直接内嵌了 BYOVD 组件，用于规避防御机制。 BYOVD 是一种攻击技术，指攻击者滥用合法但存在漏洞的驱动软件提升权限，并关闭终端检测与响应（EDR）方案，使恶意行为不被发现。多年来，该手段已被多个勒索软件组织采用。 Symantec 与 Carbon Black 威胁狩猎团队在报告中称：“通常，攻击中的 BYOVD 规避防御组件是独立工具，会在勒索软件载荷部署前先植入系统，用以关闭安全软件。”“但在本次攻击中，存在漏洞的驱动（NsecSoft NSecKrnl 驱动）直接与勒索软件本体捆绑在一起。” 博通网络安全团队指出，这种将规避防御组件与勒索软件载荷捆绑的手法并非首创，2020 年 Ryuk 勒索软件攻击、2025 年 8 月下旬知名度较低的 Obscura 勒索软件攻击事件中均出现过该手段。 在 Reynolds 攻击活动中，该勒索软件会释放存在漏洞的 NsecSoft NSecKrnl 驱动，并终止 Avast、CrowdStrike Falcon、帕洛阿尔托网络 Cortex XDR、Sophos（含 HitmanPro.Alert）、Symantec 终端保护等多款安全软件的相关进程。 值得注意的是，NSecKrnl 驱动存在已知安全漏洞（CVE-2025-68947，CVSS 评分 5.7），可被利用终止任意进程。该驱动已被威胁组织 Silver Fox 用于攻击活动，在投放 ValleyRAT 木马前关闭终端安全工具。 过去一年，该黑客组织曾使用 truesight.sys、amsdk.sys 等多款存在漏洞的合法驱动，通过 BYOVD 攻击解除安全软件防护。 将规避防御与勒索功能整合为单一组件，会加大防护方拦截攻击的难度，同时也让勒索软件附属团伙无需再将该步骤单独加入攻击流程。 Symantec 与 Carbon Black 表示：“本次攻击活动中值得注意的是，在勒索软件部署数周前，目标网络中已出现可疑的侧加载加载器。” 勒索软件部署次日，攻击者还在目标网络中投放了 GotoHTTP 远程访问程序，表明其意图维持对受感染主机的持久访问。 该公司称：“BYOVD 技术高效且依托合法签名文件，不易触发告警，因此深受攻击者青睐。” “将规避防御能力与勒索软件载荷捆绑的优势，也是攻击者采用该方式的原因，在于规避防御程序与勒索软件整合后更‘隐蔽’，无需在受害者网络中释放额外外部文件。” 该发现与近几周多项勒索软件相关动态相吻合： ·     一起大规模钓鱼攻击通过携带 Windows 快捷方式（LNK）附件的邮件运行 PowerShell 代码，下载 Phorpiex 加载器，进而投放 GLOBAL GROUP 勒索软件。该勒索软件的特点是所有恶意行为均在受感染系统本地执行，可适配物理隔离环境。同时该软件不会窃取数据。 ·     WantToCry 组织发起的攻击滥用合法虚拟基础设施管理服务商 ISPsystem 提供的虚拟机，大规模托管并投放恶意载荷。部分主机名已在 LockBit、Qilin、Conti、BlackCat、Ursnif 等多个勒索软件组织，以及 NetSupport RAT、PureRAT、Lampion、Lumma 窃密木马、RedLine 窃密木马等恶意软件活动的基础设施中被发现。 ·     据评估，防弹主机服务商利用 VMmanager 默认 Windows 模板的设计缺陷（每次部署均复用相同静态主机名与系统标识），将 ISPsystem 虚拟机租给其他犯罪组织，用于勒索软件攻击与恶意软件投放。这使得威胁组织可部署数千台主机名相同的虚拟机，加大溯源关停难度。 ·     DragonForce 组织推出 “企业数据审计” 服务，为附属团伙提供勒索敲诈支持，标志着勒索软件运营持续专业化。LevelBlue 公司表示：“该审计服务包含详细风险报告、通话脚本与高管信函等预制沟通材料，以及用于施压谈判的策略指导。” ·     DragonForce 以联盟模式运作，允许附属团伙打造自有品牌，同时依托其体系获取资源与服务。 ·     最新版 LockBit 5.0 勒索软件已被证实采用 ChaCha20 算法对 Windows、Linux、ESXi 环境中的文件与数据加密，一改 LockBit 2.0 与 3.0 使用的 AES 加密方式。此外，新版本新增数据销毁组件、加密前延迟执行选项、进度条加密状态追踪，优化反分析规避检测能力，并强化内存执行以减少磁盘痕迹。 ·     Interlock 勒索软件组织持续攻击英美机构，尤以教育行业为目标，其中一起攻击利用游戏反作弊驱动 GameDriverx64.sys 的零日漏洞（CVE-2025-61155，CVSS 评分 5.5），通过 BYOVD 技术关闭安全工具。该攻击还会部署 NodeSnake/Interlock 远程访问木马（又称 CORNFLAKE）窃取敏感数据，初始入侵途径为 MintLoader 感染。 勒索软件组织正逐步将目标从传统本地设备转向云存储服务，尤其是亚马逊云（AWS）配置不当的 S3 存储桶，攻击依托云原生功能删除、覆盖数据，暂停权限或窃取敏感内容，同时隐蔽作案。 据 Cyble 公司数据，GLOBAL GROUP 是 2025 年涌现的众多勒索软件组织之一，其余包括 Devman、DireWolf、NOVA、J group、Warlock、BEAST、Sinobi、NightSpire、The Gentlemen。ReliaQuest 数据显示，仅 2025 年第四季度，Sinobi 数据泄露网站公示数量增长 306%，成为仅次于 Qilin 与 Akira 的第三大活跃勒索软件组织。 研究员 Gautham Ashok 称：“与此同时，LockBit 5.0 卷土重来是第四季度最大变化之一，年末攻击量激增，该组织仅 12 月就公示了 110 家受害机构。”“这表明该组织可快速扩大攻击规模，将入侵转化为实质影响，并维持规模化附属团伙运作体系。” 新兴组织涌现与现有团伙合作结盟，共同推动勒索软件活动激增。2025 年勒索软件组织宣称实施 4737 起攻击，高于 2024 年的 4701 起。同期，仅窃取数据施压、不执行加密的攻击数量达 6182 起，较 2024 年增长 23%。 Coveware 在上周季度报告中称，2025 年第四季度平均赎金支付额为 591,988 美元，较第三季度暴涨 57%，主因是少数 “高额和解案”。该公司补充称，威胁组织可能回归 “数据加密” 本源，以更有效施压受害者支付赎金。   消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国一家主要的支付网关与解决方案服务商BridgePay表示，勒索软件攻击导致其核心系统下线，引发大范围服务中断并波及多项业务。 该事件始于上周五，并迅速升级为 BridgePay 平台全国性服务瘫痪。 服务中断数小时后确认遭勒索软件攻击 BridgePay Network Solutions于周五晚间证实，导致其支付网关业务中断的事件系勒索软件攻击引发。 该公司在 2 月 6 日发布的更新公告中称，已联络联邦执法机构（包括美国联邦调查局及美国特勤局），并协同外部溯源与系统恢复团队开展处置工作。 公司表示：“初步溯源调查结果显示，支付卡数据未发生泄露”，并补充称所有被访问文件均已被加密，目前 “无证据表明可用数据存在外泄情况”。 科技媒体BleepingComputer已就攻击涉及的具体勒索软件团伙联系BridgePay，该公司尚未披露其具体信息。 商户被迫转为只收现金 就在 BridgePay 披露该事件的同期，美国部分商户及机构告知客户，因全国性银行卡支付处理业务中断，目前仅支持现金付款。 一家餐馆表示，其“信用卡处理公司遭遇网络安全漏洞”，导致全国范围内的刷卡支付无法使用。 佛罗里达州棕榈湾市政府发布公告称： “我方的第三方信用卡处理供应商BridgePay Network Solutions正遭遇全国性服务中断。因此，本市的在线账单支付门户目前无法使用。我们暂时无法提供预计恢复时间。” 为此，市政府建议市民可现场通过现金、银行卡或支票缴纳公共事业费用，特殊情况下可致电市政办公部门办理。 包括 Lightspeed Commerce、ThriftTrac 及德克萨斯州弗里斯科市在内的其他机构均反馈，其业务受到 BridgePay 此次事件的影响。 支付网关服务遭重创 BridgePay的状态页面显示，其核心生产系统出现大面积中断，受影响部分包括： BridgePay网关API（BridgeComm） PayGuardian 云应用程序接口 MyBridgePay虚拟终端及报表系统 托管支付页面 PathwayLink 网关及入驻门户 当日凌晨 3 时 29 分左右已出现预警信号，监控系统检测到多项服务性能下降，首当其冲的是 “Gateway.Itstgate.com—— 虚拟终端、报表系统、应用程序接口” 相关模块。 这种间歇性服务性能下降最终演变为全面系统中断。 几小时内，该公司便披露事件与网络安全相关，随后证实为勒索软件攻击。 受影响系统范围之广，意味着依赖该平台进行卡交易的众多商户和支付集成商将面临大面积的业务中断。 根据最新公告，BridgePay 表示系统恢复工作尚需时日，相关处置正以 “安全、负责的方式” 推进，同时公司的溯源调查仍在持续。 此次事件进一步加剧了针对支付基础设施的勒索软件攻击浪潮，一旦交易通道中断，影响将迅速传导至线下实体商业领域。 消息来源:bleepingcomputer.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 勒索软件运营者正在滥用合法虚拟基础设施管理服务商ISPsystem提供的虚拟机，大规模托管并分发恶意攻击载荷。 网络安全厂商 Sophos 研究人员在调查近期 WantToCry 勒索软件事件时，发现了该攻击手法。研究人员发现，攻击者使用的 Windows 虚拟机均带有相同主机名，推测这些虚拟机源自 ISPsystem 旗下虚拟化管理平台 VMmanager 的默认模板。 深入调查后研究人员发现，该相同主机名还出现在多个勒索软件团伙的基础设施中，包括LockBit、Qilin、Conti、BlackCat/ALPHV、Ursnif 等多款信息窃取软件的恶意攻击活动。 ISPsystem是一家正规软件公司，主营托管服务商专用控制面板开发，可用于虚拟服务器管理、操作系统维护等场景。VMmanager  是该公司旗下虚拟化管理平台，可为客户快速创建 Windows 或 Linux 虚拟机。 Sophos发现，VMmanager 的 Windows 默认模板每次部署时，都会复用相同的主机名及系统标识符。 部分明知故犯、支持网络犯罪活动且无视下架请求的高防托管服务商，正利用这一设计缺陷实施恶意行为。这些服务商允许恶意行为者通过 VMmanager 创建虚拟机，将其用作命令与控制（C2）及恶意载荷投递基础设施。 这一行为本质是将恶意系统隐藏在数千台正常虚拟机中，既增加了攻击溯源难度，也让快速下架恶意节点成为泡影。 绝大多数恶意虚拟机由少数口碑恶劣或受制裁的托管服务商托管，包括Stark Industries Solutions Ltd.、Zomro B.V.、First Server Limited、Partner Hosting LTD及JSC IOT。 Sophos 还发现一家拥有物理基础设施直接控制权的服务商 MasterRDP，该服务商利用 VMmanager 规避检测，提供的虚拟专用服务器（VPS）及远程桌面（RDP）服务均不响应合法合规请求。 据Sophos统计，ISPsystem 旗下最常用的四个主机名 “占所有暴露在公网的 ISPsystem 虚拟机总量的 95% 以上”，具体如下： ·    WIN-LIVFRVQFMKO ·    WIN-LIVFRVQFMKO ·    WIN-344VU98D3RU ·    WIN-J9D866ESIJ2 这四个主机名均在客户检测结果或与网络犯罪活动相关的遥测数据中出现过。 研究人员指出，尽管 ISPsystem VMmanager 是合法虚拟化管理平台，但因其 “成本低、准入门槛低、具备一站式部署能力”，对网络犯罪分子极具吸引力。 科技媒体 BleepingComputer 已联系 ISPsystem，询问其是否知晓 VM 模板遭大规模滥用及后续整改计划，但截至发稿时尚未收到回应。     消息来源:bleepingcomputer.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 意大利罗马大学（La Sapienza）近日成为网络攻击目标，其IT系统遭受影响，导致该教育机构内部运营大面积瘫痪。 校方于本周早些时候首次通过社交媒体披露了此次事件，称其IT基础设施“已成为网络攻击的目标”。作为预防性措施并确保数据完整与安全，学校已下令立即关闭所有网络系统。 罗马大学是欧洲在校学生规模最大的高校，在册学生超 11.25 万名；目前已就该事件报备有关部门，并成立技术专项小组，启动漏洞修复与系统恢复工作 截至撰稿时，该校官方网站仍无法访问。其Instagram官方账号持续更新状态，显示恢复工作仍在进行中。根据昨日发布的公告，校方已设立临时“信息服务点”，为学生们提供因当前数字系统与数据库无法访问而难以获取的各类信息。 尽管校方未透露攻击具体类型及实施者详情，但意大利《晚邮报》援引内部消息称，此次事件系名为Femwar02的亲俄黑客组织发起的勒索软件攻击，已造成数据被加密。 该媒体依据恶意软件特征与攻击模式分析指出，此次攻击与Bablock/Rorschach勒索软件高度相似。该勒索软件变种于2023年首次出现，以加密速度快、定制化程度高为特点。网络安全公司Check Point分析认为，该勒索软件整合了Babuk、LockBit v2.0、DarkSide三款勒索软件的泄露源代码开发而成。 据《晚邮报》消息源透露，攻击者已索要赎金，但校方工作人员未打开赎金通知，以避免触发 72 小时倒计时机制，因此赎金金额尚未明确。目前，该校技术人员正联合意大利计算机安全事件响应小组（CSIRT）、国家网络安全局（ACN）及邮政警察部门专家开展工作，通过未受影响的备份数据推进系统恢复。 需注意的是，尽管Rorschach勒索软件未在暗网设立专门的勒索数据泄露站点，但被窃数据仍可能被传播或转售给其他数据勒索集团，因此数据泄露至公网的风险仍极高。 基于当前情况，罗马大学全体师生需高度警惕钓鱼攻击，切勿点击陌生信息中的链接，并持续监控个人账户是否存在可疑活动。 消息来源:bleepingcomputer.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文