安全内参11月22日消息，总部位于孟买的印度领先中央证券存管机构Central Depository Services Limited（CDSL）表示，其系统已遭恶意软件入侵。 上周五（11月18日），该证券存管机构向印度国家证券交易所提交一份文件，称其检测到“一些内部设备”已遭恶意软件影响。 文件指出，“出于谨慎考量，我公司立即隔离了这些设备，并脱离资产交易市场以避免影响其他部分。” CDSL表示将继续开展调查，但截至目前，“尚无迹象表明有任何机密信息或投资者数据因此事件而遭泄露。” CDSL并未透露该恶意软件的具体细节。截至本文撰稿时，该公司网站已经关闭，且CDSL拒绝解释网站关停是否与攻击事件有关。 CDSL发言人Banali Banerjee表示暂时无法回答其他问题，包括公司是否保存有能确定哪些数据被泄露（如果确有泄露）的日志记录。发言人只表示，“我们正在努力解决问题。” 中央证券存管机构为印度证券业运转关键机构 CDSL号称维护并服务于全国各投资者的近7500万个交易员账户（在印度被称为demat账户），该公司的重要股东包括孟买证券交易所、渣打银行和印度Life Insurance Corporation（LIC）人寿保险公司。 CDSL成立于1999年，是印度唯一一家公开上市的同类公司，也是仅次于印度最早证券存管机构National Depository Services Limited（NDSL）的第二大存管机构。CDSL允许用户以电子形式持有证券及相关交易，并协助证券交易所进行贸易结算。 印度证券交易委员会要求，所有想交易印度证券的人都必须拥有Demat账户。而只有国家证券存托有限公司和中央存托服务有限公司这两个机构才能批准Demat账户开设。 CDSL公司在提交的文件中表示，“CDSL团队已经向有关当局上报了此次事件，目前正与政府网络安全顾问合作，共同分析事件影响。” 转自 安全内参，原文链接：https://www.secrss.com/articles/49261 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，近期爱沙尼亚逮捕了两名本国国民，此前这两人因实施大规模加密货币庞氏骗局被起诉，该骗局最终导致 5.75 亿美元的损失。 据悉，此次逮捕的两名爱沙尼亚公民姓名分别是 Sergei Potapenko 和 Ivan Turõgin，这两人被指控在 2013 年 12 月至 2019 年 8 月期间，与居住在爱沙尼亚、白俄罗斯和瑞士的其他四名同伙一起诈骗了数十万名受害者。 犯罪分子苦心经营庞氏骗局 这个诈骗团伙通过一个由空壳公司（疑似出售挖矿设备）、银行账户、虚拟资产服务和加密货币钱包组成的复杂网络，将受害者资金集中在一起，以帮助他们洗钱。 当不能按时交付设备时，为了避免客户退款，诈骗团伙通过一种名为 HashFlare（于 2015 年 2 月推出）的新加密货币挖矿服务，诱骗已支付挖矿硬件费用的客户签署远程挖矿合同（”云挖矿“）。 从起诉书的内容来看，该团伙许诺部分同意”云挖矿“的客户将从一个集中远程挖矿中获得采矿权，并可以获得一定比例的利润。但是 HashFlare 利润回报和余额都是假的，HashFlarePotapenko 和 Turõgin 只是将其当作了一个大规模的庞氏骗局来运营。 值得一提的是，起诉书显示，当受害者要求提取其采矿收益时，为了掩盖骗局，该犯罪团伙要么拒绝付款，要么从公开市场上购买一些虚拟货币支付给受害者。 以开”银行“的名义，欺骗受害者 从起诉书内容来看，这伙诈骗分子还在爱沙尼亚成立了一家名为 Polybius Foundation OÜ（又名 Polybius Bank ）的新公司，并邀请许多潜在投资者通过 “首次代币发行”（ICO）为项目提供资金，以换取被称为 Polybius代币（PLBT）的虚拟代币，表示这一举措是 “数字加密银行世界的真正革命 “的一部分。 随后，Polybius 在一份新闻稿中声称，ICO 已经从超过 14250 名投资者手里筹集了约 1700 万美元，满足了获得欧洲银行执照的要求（想要获得银行执照需要三天内筹集 600 多万美元）。 此外，FBI 的 HashFlare 调查结果显示，这伙诈骗分子从第三方投资者处筹集了超过 3100 万美元，这些资金被转移到他们的个人银行账户和虚拟货币钱包，而不是用于资助 Polybius 银行，犯罪分子从未向投资者支付任何股息，也从未组建银行。 相反，欺诈分子利用非法资金购买了至少 75 处房地产、豪华车辆，还投资了数以千计的加密货币采矿机。 美国检察官尼克-布朗表示，犯罪分子利用加密货币的”诱惑力“，围绕加密货币采矿的神秘性实施了一个巨大庞氏骗局，涉及范围和造成的影响确实令人震惊。 诈骗分子利用虚假消息吸引投资者，然后利用拉来的资金支付给早期投资者，还试图把这些赃款”隐匿“在爱沙尼亚的房产、豪华汽车以及世界各地的银行账户和虚拟货币钱包里。 目前，美国与爱沙尼亚当局正在努力追查赃款，两名诈骗分子也被指控了 16 项电信诈骗罪，一项阴谋洗钱罪。一旦罪名成立，这两人将面临最高 20 年监禁。 转自 Freebuf，原文链接：https://www.freebuf.com/news/350426.html 封面来源于网络，如有侵权请联系删除

11月21日体育博彩公司DraftKings在推特上发表称， 部分用户遭到了黑客组织的撞库攻击，该攻击导致的损失高达30万美元。目前DraftKings正在调查客户的账户问题，对受影响的账户进行整改。 根据调查，所有被劫持账户的共同点可能是最初的5美元存款，然后攻击者改变密码，在不同的电话号码上利用双因素身份认证（2FA），从受害者的网上银行账户中提款。 很多受害者在社交媒体上表达了他们的不满，因为他们无法与DraftKings的任何人取得联系，从而不得不看着攻击者反复的从他们银行账户中取钱。 在遭受攻击12个小时后，DraftKings总裁兼联合创始人保罗-利伯曼表示：”我们目前认为，这些客户的登录信息在其他网站上被泄露，然后被用来访问他们的DraftKings账户，受害者使用了相同的登录信息”。 “我们没有看到任何证据表明DraftKings的系统被攻破以获得这些信息。我们已经确定有近30万美元的客户资金受到影响，我们打算补偿受到影响的客户。 同时DraftKings公司建议客户不要在多个线上服务中使用同一个密码，也不要让第三方平台获取他们的认证许可，除了DraftKings提供的投注跟踪器和投注应用程序。 建议还没有受到此次攻击的DraftKings客户立即在他们的账户上打开2FA，并删除任何银行信息，解除银行账户链接，以阻止欺诈性提款请求。 在此次的撞库攻击中，威胁者使用自动化工具反复尝试（多达数百万次），使用从其他在线服务中窃取的凭证（通常是用户/密码对）获得用户账户的访问权限。 撞库攻击对那些在多个平台登录凭证相同的账户来说效果非常好。攻击者一旦获得账户登录权限，则可以窃取相关的个人和财务信息、进行未经授权的购买或者像被劫持的DraftKings账户那样，将链接的银行账户中的钱转移到他们控制的账户。 正如联邦调查局最近警告的那样，由于比较容易获得泄露的登录凭证，类似这种撞库攻击的数量正在迅速增加。 Okta还报告说，今年的情况急剧恶化，在2022年的前三个月，它在其平台上记录了超过100亿次撞库事件。这个数字约占Okta跟踪的整体身份验证流量的34%，这意味着三分之一的登录尝试是恶意的和欺诈性的。 转自 Freebuf，原文链接：https://www.freebuf.com/news/350429.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： SecuRing的研究人员Wojciech Reguła（@_r3ggi）发布了一个macOS沙盒逃逸漏洞的技术细节和概念验证（PoC）代码，该漏洞被追踪为CVE-2022-26696（CVSS评分7.8）。 在Regula发表的总结中，研究人员观察到，这个漏洞是由他在沙盒macOS应用程序中观察到的一个奇怪行为引起的，这个行为可能会启动任何不继承主应用程序沙盒配置文件的应用程序。 苹果公司发布的建议写道：“沙盒进程可能可以绕过沙盒限制，该建议通过改进环境卫生解决了该漏洞。 ZDI发布的报告中写道：“该漏洞允许远程攻击者逃离受影响的Apple macOS安装上的沙盒。攻击者必须首先获得在目标系统上执行低权限代码的能力，才能利用此漏洞。LaunchServices组件中的XPC消息处理过程中存在特定漏洞，精心制作的消息可能会触发特权操作的执行。攻击者可以利用此漏洞提升权限，并在当前用户的上下文中执行任意代码。” 该漏洞于2021年12月22日报告给供应商，并于2022年8月15日披露。 Regula将分析重点放在Terminal.app的Objective-C方法上。 专家写道：“设置__OSINSTALL_ENVIRONMENT环境变量时，+[TTApplicationisRunningInInstallEnvironment]将返回YES，因此，当终端启动，+[TTApplicationisRunningInInstallEnvironment]返回YES时，一些环境变量没有被清除。通过简单的命令注入，我能够在终端中执行代码，而无需任何沙盒！” 专家通过将漏洞嵌入到Word文档中，并加载Mythic的JXA有效载荷，从而将漏洞武器化。 Regula解释道：“在终端内执行代码可能非常危险，因为它可能已经获得了一些TCC权限。” Reguła分享了一个视频PoC，演示了如何将Word文档武器化，以逃离沙盒并在终端内执行代码。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： Cyble研究和情报实验室（CRIL）的专家发现了三个新的勒索软件：AXLocker、Octocrypt和Alice勒索软件。 AXLocker勒索软件会加密受害者的文件，并从受感染的机器上窃取Discord令牌。对代码的分析表明，startencryption()函数通过枚举C:\驱动器上的可用目录来实现搜索文件的功能。该恶意软件只针对特定的文件扩展名，并从加密过程中排除目录列表。 AXLocker勒索软件使用AES加密算法加密文件，与其他勒索软件不同，它不会更改加密文件的名称或扩展名。 Cyble发布的分析表明：“在加密受害者的文件后，勒索软件收集并向黑客发送敏感信息，如计算机名、用户名、机器IP地址、系统UUID和Discord令牌。” 恶意软件使用正则表达式在本地存储文件中查找Discord令牌，然后将其与其他信息一起发送到Discord服务器。 一旦勒索软件对文件进行了加密，它就会弹出一个窗口，其中包含一张赎金通知，指示用户与操作人员联系。赎金单不包括要求受害者恢复文件的金额。 Cyble还发现了一种名为Octocrypt的新勒索软件，这是一种Golang勒索软件，其运营商正在采用勒索软件即服务（RaaS）的商业模式。该恶意软件于2022年10月左右出现在威胁环境中，售价为400美元。 Cyble继续说道：“Octocrypt网页面板生成器界面允许黑客通过输入API URL、加密地址、加密金额和联系人邮箱地址等选项来生成勒索软件二进制可执行文件。” Cyble发现的第三种勒索软件被称为“Alice”，也被提供为勒索软件即服务（RaaS）。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

安全内参11月21日消息，就在俄军进入乌克兰领土的几周之后，美国知名安全公司曼迪安特（Mandiant）的一名代表拨通了乌克兰最大国有石油及天然气公司Naftogaz的高管电话，提出一个不同寻常的建议：Naftogaz是否愿意让曼迪安特帮助他们检查网络当中存在的安全隐患？ 多年以来，俄罗斯黑客针对Naftogaz系统的入侵尝试从未停歇，因此在听说曼迪安特愿意免费部署搜索团队、检测网络中是否潜伏安全隐患时，这家能源公司表示十分乐意。 这项提议是西方科技企业的广泛努力之一，希望帮助乌克兰在战时保护自己免受俄方网络攻击影响。从曼迪安特到微软，来自美国网络安全、威胁情报及科技领域的数十家公司联合组建了一支网络志愿团队，放弃中立态度，直接介入俄乌冲突。 他们自称为网络防御援助协作组织（CDAC），这个创意由摩根大通前首席信息安全官Greg Rattray最早提出。几个月来，他一直努力建立公私合作关系，希望对抗破坏性网络攻击。本文是他第一次公开深入讨论此项倡议。 多年来，美国官员一直希望通过公私合作伙伴关系来打击破坏性网络攻击。这个思路背后的逻辑是：美国国安局和网络司令部经常在网络攻击发生之前或期间，掌握关于攻击活动的情报，美国网络安全企业则拥有阻止攻击的专业知识。如果能够成功协同合作，有望更好地抵御破坏性网络攻击。 而CDAC倡议的与众不同之处，在于其合作伙伴并非华盛顿，而是基辅。这也成为公私合作的难得测试场景，可以检验构想中的联合，最终能不能在美国本土发挥作用。 Rattray在接受采访时表示，“俄乌冲突在周四（2月24日）正式爆发，我从周一起就开始四处沟通。”很快就有二十多家美国企业迅速签署了协议，愿意提供许可证、人员和专业知识，帮助乌克兰捍卫自己的网络空间。 Rattray解释称，“在我看来，俄罗斯方面的粗暴进军成为团结各家企业、签署合作协议的最大助力。大家都愿意以乌克兰为实验场，看看自己到底能够为网络安全做点什么。” 黑客的天然目标 Naftogaz公司拥有庞大的供应商、子公司和在线计费系统网络，众多设施环节使其成为俄罗斯黑客们的天然攻击目标。而一旦有攻击者成功突入防线，Naftogaz的内部设施就可能被搅成一团乱麻，阻碍乌克兰天然气输送系统的正常运行、甚至将能源系统彻底关停。 早在2015年，俄罗斯就曾经在电网身上动过类似的手脚。当时俄方黑客侵入了乌克兰电网，导致基辅周边近25万居民陷入黑暗长达六个小时。人们普遍认为，如果俄罗斯能让乌克兰停电一次，那在双方开战期间就绝对能让乌克兰停电第二次、第三次。 正是这样的压力，促使曼迪安特首席技术官Ron Bushar致电Naftogaz，询问对方是否愿意让曼迪安特的独家软件程序扫描其运营网络。Bushar解释称，行业普遍怀疑Naftogaz网络当中已经潜伏有俄方黑客，迫切需要一场大“扫荡”、大“搜捕”。 网上的搜捕队就如同循着犯案线索努力跟进的警察：他们查找电子“指纹”、清点盗窃行为，并认真观察入侵者可能留下的一切痕迹——比如恶意代码。 Bushar表示，“我们以极快的速度对成千上万的系统进行了扫描。一旦有所发现，我们就会继续深挖，对该系统展开进一步研究。” 但问题是，他们并没有太多发现：确实找到了能擦除硬盘信息的恶意代码，也扫描出了黑客“埋设”在此以待日后激活的预置恶意软件，可并不存在能造成大规模系统中断的“暴雷”。 Bushar回忆道，“我们没有检测到明显的攻击性活动，只发现恶意黑客已经获得了访问权限，并正在内部环境中移动的证据。” 于是，他们排查到了入侵的缺口并将恶意黑客拒之门外。 俄乌战争爆发初期，俄罗斯黑客在全乌范围内发动了一系列缓慢推进的低级别攻击，并未特别针对Naftogaz。他们擦除了硬盘数据并瘫痪掉身份验证系统，导致员工们无法登录。 但在Naftogaz保护并强化了自身网络边界之后，擦除类恶意软件仍在以某种方式不断出现在系统当中，密码和登录信息盗窃也一刻未停。研究人员们能意识到出了问题，但却无法解释原因。突然之间，Bushar他们顿悟般想通了一切：必须用军事思维审视问题。 内部威胁 事实证明，战争期间的网络安全保护工作有其特殊性。Busahr和他的团队意识到，需要保护的边界一直处于变化之中。如今占领乌克兰小块领土的俄罗斯军队已经夺取到了部分天然气设施，并试图通过终端侵入其运营系统。 Bushar指出，“在乌克兰东部地区，俄军已经占据了部分领土和相应的关键基础设施。”其中就包括Naftogaz公司的数据中心和当地电信及行政办公室。“整理敌占区各点位上的系统和IP地址，证明这些就是我们所看到攻击的确切来源。” 事实上，有时候攻击看起来像是源自Naftogaz内部。他们发现这并不是因为俄方突破了安全边界，而是“他们已经占据了Naftogaz的数据中心及相关系统，这样就能正常访问系统并攻击设施内的其他部分……整个过程类似于应对内部威胁。” 于是援助人员们调整了防御策略，开始切断俄占区内的业务系统。“我们提出建议，如果乌方决定从某省撤退，Naftogaz就应该在系统落入敌军手中之前，主动将这些系统从网络中断离开来。” 建议最终转化成了实践。Naftogaz开始指示员工在城镇被俄军攻占时联系主管，切断当地的网络访问。而在逃离敌占城市时，员工们还会向Naftogaz总部呼叫确认。这套新策略贯彻下去之后，Naftogaz就能及时调整防御姿态以反映各地战况。Bashar表示，神秘的内部威胁也就此消散无踪。 技术实力 在CDAC创始人Rattray着手为合作倡议物色志愿者时，他的第一个电话就打给了RSA Security前CEO Art Coviello。RSA Security是网络安全与加密领域的先驱之一。如今的Coviello则经营着一家风险投资基金，专门为网络安全企业提供资金支持。 他表示，“乌克兰人有这个技术实力。不少公司都在乌克兰设有软件开发分部，这本身就说明那里的技术储备和教育水平都比较到位。他们只是没有机会，或者没有像美国本土这样的金融资源来建设自己的网安防御体系。” 而CDAC的参与，应该有助于弥合这个缺口。 Coviello提到，这项努力并不单纯是为了响应战争。乌克兰以外的人们也应当保持警惕，毕竟俄罗斯对乌克兰使用的网络武器，也可能被用于攻击其他目标。“我绝对不会低估俄罗斯人的能力。” Coviello强调，“人们可能没有意识到，美国人民其实生活在世界上最大的数字玻璃屋内。我们受到的影响最大、承担的损失最重，因为我们之间的联系非常紧密、对技术的依赖性极高。我们的一切关键基础设施和业务构成都受到了这种技术转型的影响。” Rattray则提到，乌克兰用行动震惊了全世界——这种成就不仅来自正面战场，也来自网络空间。乌克兰方面极为敏捷，能够快速将系统迁移至云端，而云数据不会受到本土轰炸和一般黑客攻击的影响。乌克兰人的技术专长让他们能够在受到攻击时迅速转向，并充分运用来自科技界的巨大助力。 Rattray总结道，“俄罗斯人并不像我们想象中那么擅长网络作战。他们在数字空间中的行动跟我们的预期基本相符，比如信息战竞争、用传统方式通过网络空间收集监控情报之类。但我们预想中的破坏性攻击并没有出现。” 转自 安全内参，原文链接：https://www.secrss.com/articles/49226 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 谷歌云（Google Cloud）上周披露，它在野外发现了34个不同的Cobalt Strike工具黑客版本，其中最早的版本于2012年11月发布。 根据谷歌云威胁情报（GCTI）团队的调查结果，这些版本从1.44到4.7，总共有275个独特的JAR文件。Cobalt Strike的最新版本是4.7.2版。 Cobalt Strike由Fortra（née HelpSystems）开发，是一种受欢迎的对抗框架，红色团队使用它来模拟攻击场景并测试其网络防御能力。 它包括一个作为指挥和控制（C2）中心的团队服务器，以远程控制受感染的设备，以及一个旨在提供下一阶段有效负载的stager，称为Beacon，这是一个功能齐全的植入物，可向C2服务器报告。 由于该软件具有广泛的功能，越来越多地黑客将其未经授权的版本武器化，以推进他们的后开发活动。 谷歌Chronicle子公司的逆向工程师Greg Sinclair表示：“虽然Cobalt Strike的意图是模拟真实的网络威胁，但黑客已经掌握了它的能力，并将其作为受害者网络中横向移动的强大工具，作为第二阶段攻击有效载荷的一部分。” 为了解决这种滥用，GCTI发布了一套开源的YARA规则，以标记恶意黑客组织使用的软件的不同变体。 Sinclair说：“我们的想法是删除坏版本，同时保留合法版本，我们的目的是将这个工具移回合法红色团队的领域，让攻击者难以滥用它。”   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

据BleepingCompuer 11月17日消息，自 9 月中旬以来，一个复杂的网络钓鱼工具包一直以北美用户为目标，利用劳动节和万圣节等假期，对消费者发动攻击。 根据Akamai安全研究人员的说法，该工具包使用多种逃避检测技术，并结合了多种机制，其中最为独特的功能是能基于令牌系统，确保每个受害者都被重定向到一个唯一的 URL钓鱼页面。 活动概览 Akamai 发现该钓鱼活动始于 2022 年 9 月，通过发送“有机会赢得知名品牌的奖品”为主题的钓鱼邮件，吸引那些企图寻找节日特惠的消费者上钩。 钓鱼邮件示例 钓鱼邮件中的链接不会引发任何安全告警，在经过一系列重定向，以及借助URL 缩短器隐藏大多数 URL后，大多防病毒软件无法识别其有害性，而攻击者滥用 Google、AWS 和 Azure 等具有良好声誉的合法云服务，也为绕过保护机制提供了便利。 这些钓鱼邮件假冒的品牌包括体育用品公司 Dick’s、高端行李箱制造商 Tumi、达美航空、山姆超市会员店、开市客等。当受害者来到钓鱼页面，都会提示需完成一份限时5分钟的调查问卷来获得奖品。由于时间的紧迫性，让不少受奖品驱使的受害者没有时间过多犹豫。此外，为进一步打消受害者顾虑，攻击者还炮制出带有奖品实物图片的虚假用户评价，从而增加了钓鱼的成功率。 虚假的用户晒单评价 在获得所谓的“奖品”后，受害者会被要求输入付款的详细信息，以支付奖品运费。这些信息会被攻击者窃取，用于其他的网上消费。 Akamai 表示，大约 89% 的受害者来自美国和加拿大，并根据他们的确切位置，重定向至不同的网络钓鱼站点，以冒充当地品牌。 每个受害者都有一个唯一的 URL 通常，URL地址中的“#”用于将访问者引导至链接页面的特定部分，而在此钓鱼邮件活动中，锚标记代表 JavaScript 在网络钓鱼登陆时使用的令牌，将目标重定向至一个新的URL。 “HTML 锚点之后的值不会被视为 HTTP 参数，也不会被发送到服务器，但受害者浏览器上运行的 JavaScript 代码可以访问该值，”Akamai解释称。“在网络钓鱼诈骗的背景下，当验证它是否是恶意的安全产品扫描时，放置在 HTML 锚点之后的值可能会被忽略或忽略。” Akamai 分享了如下两图，展示网络钓鱼链接锚点如何用于创建重定向链接。 基于锚令牌的重定向 安全产品和网络流量检测工具会忽略此令牌，因此不会给攻击者带来风险，并且能规避研究人员、分析师和其他非受害人群对钓鱼页面的访问。而对于受害者，该令牌还能对其活动进行追踪。总体而言，该工具包结合了几乎所有已知的有效性和检测规避技术，使其成为针对北美网络用户一个不可忽视的潜在威胁。 随着黑色星期五和圣诞节购物季的临近，专家提示，消费者在收到有关促销和特别优惠的信息时应格外警惕。 转自 Freebuf，原文链接：https://www.freebuf.com/news/350147.html 封面来源于网络，如有侵权请联系删除

美国联邦调查局（FBI）今天表示，自2021年6月以来，臭名昭著的Hive勒索软件团伙已经从一千多家公司成功勒索了大约1亿美元。 更过分的是，Hive团伙在拒绝支付赎金的受害者网络上会部署更多的恶意软件。 据了解，Hive团伙会用Hive勒索软件或另一种勒索软件的变种重新感染那些没有支付赎金就恢复网络的受害组织。 根据网络安全基础设施安全局（CISA）和卫生与公众服务部（HHS）发布的联合咨询中披露，受害者名单包括了各行各业和关键基础设施部门，如政府设施、通信和信息技术，重点是医疗保健和公共卫生（HPH）实体。 虽然向ID勒索软件平台提交的信息并不包括所有的Hive勒索软件攻击，但自今年年初以来，受害者已经提交了850多个样本，其中许多是在3月底和4月中旬之间的巨大活动高峰后推送的。 为了帮助防御者发现与Hive关联的恶意活动，减少或消除此类事件的影响，联邦调查局分享了Hive破坏指标（IOCs）和战术、技术和程序（TTPs）。 目前，联邦机构不鼓励支付赎金，因为这很可能会鼓励其他攻击者加入赎金软件的攻击，并敦促受害者向他们当地的联邦调查局外地办事处或CISA报告Hive攻击。 这将有助于执法部门收集所需的关键信息，以跟踪勒索软件的活动，防止更多的攻击。 Hive是一个至少从2021年6月开始活跃的勒索软件组织，已知其部分成员从2021年11月开始同时为Hive和Conti网络犯罪团伙工作了至少六个月。并且已经掌握了HIVE积极使用Conti提供的初始攻击权限和Conti的笔试人员服务的扩展证据。 转自 Freebuf，原文链接：https://www.freebuf.com/news/350142.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 在勒索软件攻击后，密歇根州两个县的公立学校被迫停止活动，包括上课。 密歇根州杰克逊县和希尔斯代尔县的公立学校在因勒索软件攻击其系统而关闭两天后重新开放。 周一，公立学校开始出现系统故障，影响关键操作系统，之所以出现故障，是因为他们是周末检测到的勒索软件攻击的受害者。 杰克逊县中学学区负责人Kevin Oxley宣布，该系统已被关闭，以控制损坏。 学校通知执法部门，聘请外部网络安全顾问对事件进行调查，并在安全恢复系统方面获得帮助。 作为预防措施，学校要求每个人不要使用任何学校发放的设备。 杰克逊县中级学区的公告中写道：“多亏了我们的技术团队和网络安全专家的全天候工作，我们准备迎接学生明天（2022年11月17日，星期四）返校。” 我们的首要任务是让孩子们重返校园，很高兴明天能够做到这一点。虽然我们的修复工作仍在继续，但我们优先恢复了基本系统，以便我们能够安全地恢复运营，并使杰克逊县和希尔斯代尔县的学校大楼重新开放。然而，由于我们的团队仍致力于恢复其他系统，所以学生们对一些技术资源的访问将受到限制。 目前，尚未有任何网络犯罪集团声称此次攻击。 学区是勒索软件团伙的特权目标，今年9月，美国最大的学区之一洛杉矶联合学区遭到了勒索软件攻击。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文