Bleeping Computer 网站披露，勒索软件 BlackByte 带着 2.0 版本回归了。新版本做了大量升级，主要包括利用从 LockBit 借来的新勒索技术，创建了一个新的数据泄露网站。 在短暂消失之后， BlackByte 勒索软件带着新版本重新出现在大众视野，目前正在黑客论坛上通过其控制的 Twitter 账户，积极宣传一个新数据泄露网站。 宣传新 BlackByte 数据泄露网站的推文 虽然尚不清楚该勒索软件的加密器是否发生了变化，但该团伙已经推出了一个全新的Tor 数据泄漏网站。 目前，数据泄露网站有了新勒索策略，允许受害者付费将其数据发布时间延长 24 小时（5000 美元），下载数据（200000 美元），或销毁所有数据（300000 美元），这些价格可能会根据受害者的规模/收入发生改变。 新的BlackByte 数据勒索方案（来源：BleepingComputer） 值得一提的是，网络安全情报公司 KELA 指出，BlackByte 的新数据泄露网站没有正确嵌入“客户 ”可以用来购买或删除数据的比特币和 Monero 地址，使得新的勒索方案看起来已经失效。 众所周知，新勒索技术出现的主要目的是让受害者支付费用以删除其数据，或者是让其他攻击者自愿购买这些数据。在 LockBit 发布其 3.0 版本时也引入了这些勒索手段，但是被当作了一种噱头，而不是可行的勒索手段。 BlackByte 是何方神圣？ 2021 年夏天，BlackByte 勒索软件开始活跃，当时其所属的黑客开始入侵企业网络，窃取数据并加密设备。BlackByte 以往的攻击事件中，最引人注目的当属针对美国国家橄榄球联盟 49 人队的网络攻击。 除此之外，这些攻击者利用漏洞入侵网络，并且过去曾利用 ProxyShell 攻击链入侵微软 Exchange 服务器。联邦调查局和特勤局的联合发布公告表示，该团伙还攻击包括政府设施、金融、食品和农业等在内的关键基础设施部门 2021 年，BlackByte 勒索软件中出现了一个可以创建免费 BlackByte 解密器的漏洞。不幸的是，漏洞被报告后，该团伙立即修复了漏洞。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/342285.html 封面来源于网络，如有侵权请联系删除

根据身份盗用资源中心 (ITRC) 的数据，谷歌语音诈骗在 2021 年的身份相关欺诈案例中创下新纪录。这家非营利组织表示，在2021年它收到了 14,947 份来自消费者的报告，比 2020 年增加了 26%，这也是有史以来处理的最多的。在这些报告中，其中一半 (50%) 是诈骗案中的受害者：也就是说，他们与攻击者共享个人身份信息 (PII)。该组中超过一半 (53%) 包含 谷歌语音诈骗，使其成为今年最流行的欺诈类型。 欺诈者通常会寻找在网上销售商品的受害者。他们会向目标发送一个谷歌验证码并要求受害者分享该代码——表面上是为了验证他们是一个“真正的”卖家。实际上，如果受害者这样做，他们的电话号码将与一个新创建的欺诈性 Google Voice 帐户相关联，然后欺诈者就会利用该账户继续诈骗下一个目标。 在其他地方，ITRC记录的“身份滥用”事件增加了8%，共计4168起。其中五分之二(40%)与滥用金融账户有关，其中大多数与新账户欺诈(64%)有关，其余与接管账户(36%)有关。超过一半(55%)的身份滥用案例被记录为试图打开、访问或接管政府账户或申请福利，这无疑是受到美国COVID救济款项的流行的刺激。 这家非盈利机构还说，他们中的许多人都是社交媒体上有影响力的人，被诱骗参与了比特币投资骗局，又或者说他们可以增加自己的账户被Instagram验证的几率。在这两个案例中，他们都被要求提供细节，结果被锁定在他们的账户之外。所以ITRC首席执行官Eva Velasquez 将 2021年称为身份诈骗创纪录的一年，“由于身份欺诈的风险很高，所以采取保护措施很重要，比如冻结你的信用卡，在所有账户上使用12+字符的独特密码，以及忽略可疑信息等。” 转自 FreeBuf，原文链接：https://www.freebuf.com/news/342245.html 封面来源于网络，如有侵权请联系删除

《CS:GO》（反恐精英：全球攻势）是近来最热门的多人第一人称射击游戏之一，由知名电子游戏开发商Valve Software发行。该游戏中的武器皮肤具有不同的稀有性，这就促使了使用Steamworks API的交易网站的创建，以方便玩家相互交易皮肤。 CS.MONEY就是其中最大的CS:GO皮肤交易平台之一，拥有53种武器的1696种独特皮肤，总资产价值为1650万美元。而该平台最近不幸被黑客盯上，在第一波攻击中大约600万美元的皮肤失窃，资产直接缩水了1/3以上。 在8月13日察觉到攻击后至今，CS.MONEY网站处于关闭状态，并且暂时无法给出恢复服务的预计时间。CS.MONEY正在采取各种方式挽回损失。据其在Twitter上发布的推文，其他交易平台已同意阻止20000件被盗物品的交易，以防止黑客脱手赃物。 对于本次攻击事件，CS.MONEY的公关主管Timofey Sobolevky撰文详细说明了来龙去脉： CS.MONEY在收到可疑交易的消息后，最初的想法是CS.MONEY本身被黑客入侵，他们禁用了所有外部设备和服务的授权，怀疑问题可能出在cookie文件被盗。但工作人员登陆交易数据库后，发现CS.MONEY service在其日志中未记录任何交易，这说明发送可疑交易的机器人不是受CS.MONEY控制，而是由攻击者直接控制。这也解释为什么即使他们重置了所有授权并关闭了服务仍未能停止可疑交易。 CS.MONEY随后确认，事件的源头是黑客以某种方式获取了用于Steam授权的Mobile Authenticator文件的访问权限，使得黑客能够直接控制托管皮肤的机器人。 该黑客为混淆视听，除将皮肤发送给自己外，还随机将其分发给普通玩家、知名交易者、博主等，以转移调查人员的注意力、隐藏自身的踪迹。在攻击的第一天，黑客共操纵约100个帐户完成了约1000笔交易。 CS.MONEY团队现在正在尝试重置其密码和MA文件，而所有被转移的皮肤现在都处于交易锁定状态。目前不清楚游戏开发商Valve是否会进行干预追回失窃物品。 转自 安全内参，原文链接：https://www.secrss.com/articles/45939 封面来源于网络，如有侵权请联系删除

据The Verge报道，根据Mozilla研究人员的最新分析，大多数流行的月经和孕期跟踪应用程序没有强大的隐私保护功能。健康应用程序的隐私政策泄露一直是个问题，但现在堕胎在美国许多地方都是非法的，属于这一特定类别的问题尤其令人担忧。 经期和孕期跟踪应用程序收集的数据，理论上可以用来起诉在非法地方堕胎的人。来自经期跟踪应用程序的数据并不是目前用于将人们与堕胎联系起来的最大东西–最常见的是，这些案件中使用的数字数据来自短信、Google搜索或Facebook信息。但它们仍然是潜在的风险。 “收集个人和敏感健康信息的公司在涉及到他们收集的个人信息的隐私和安全时需要格外勤奋，特别是现在在我们美国的罗诉韦德案之后的世界里，不幸的是，太多的公司没有这样做，”Mozilla *Privacy Not Included指南负责人Jen Caltrider在一份声明中说。 这项分析研究了25个最流行的应用程序和可穿戴设备，它们具有经期和孕期跟踪功能。报告发现，大多数人没有说他们是否以及何时会与执法部门分享信息。在这25个应用程序中，有18个从Mozilla获得了关于其隐私做法的警告标签，包括Clue Period & Cycle Tracker和Eve，这两个应用程序在苹果应用商店的周期跟踪应用程序推荐中位居前列。该标签指出，Mozilla对这些应用的隐私政策以及围绕它们如何收集、分享和保护用户数据表示担忧。 不过，分析中包括的五个可穿戴设备并没有得到警告标签。Garmin、Fitbit、Apple Watch、Oura Ring和Whoop Strap包括经期跟踪功能，并符合Mozilla的隐私标准。 Mozilla在今年5月围绕心理健康应用程序发布了一份类似的报告，也发现这些产品在保护用户隐私方面做得很差。你可以在这里看到完整的*Privacy Not Included指南。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1305529.htm 封面来源于网络，如有侵权请联系删除

据安全厂商Agari称，从2022年第一季度到第二季度，因威胁行为者试图通过新方式来规避传统的安全防御，被称为“混合网络钓鱼”的多阶段网络钓鱼攻击的检测率增长了600%以上。本次Agari季度威胁趋势和情报报告是与 PhishLabs 合作制作的，是基于对数十万次针对企业、员工和品牌的网络钓鱼和社交媒体攻击的分析。 报告解释说：“混合网络钓鱼威胁是多阶段攻击，与传统网络钓鱼不同，它首先通过电子邮件与受害者进行交互。攻击者在电子邮件正文中包含一个手机号码作为诱饵，旨在诱骗受害者致电并提交敏感信息。” 网络钓鱼或基于电话的网络钓鱼攻击占报告中“基于响应”的骗局的四分之一 (25%)。此类别中的其他类型是 419 诈骗 (54%)、商业电子邮件泄露 (16%) 和工作诈骗 (5%)。这些基于响应的攻击目前占电子邮件传播威胁的五分之二 (41%)，比上一季度增长3.5%，是自2020年以来的最高份额。凭证盗窃 (55%) 和恶意软件传递 (5%)完善其他类型的公司电子邮件威胁。 有趣的是，第二季度近四分之三 (73%) 的 BEC攻击是使用免费网络邮件服务发起的，比第一季度的数据增加了3%。相比之下，那些使用欺骗或劫持域的人仅占攻击量的四分之一 (27%)。Gmail (72%) 是被滥用最多的电子邮件服务。这似乎表明更简单的策略仍然有效，尽管BEC的用户意识比一年前要高得多。 这与卡巴斯基 2 月份的数据有些吻合，该数据显示利用免费电子邮件帐户和使用模糊支付请求的商品“BEC即服务”活动的检测激增。不过对企业来说，社会工程学仍旧是他们最大的安全风险之一，所以企业在安全意识和技术防范方面还需要不断提高。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/342151.html 封面来源于网络，如有侵权请联系删除

近日，德国计划强制要求在政府网络中使用安全、现代的网络浏览器，并公布了最低标准提案的意见征求稿。 德国联邦信息安全办公室(BSI)曾在7月发布了一个最低标准草案，希望这些标准能够增强政府的网络弹性并更好地保护敏感数据。先进的浏览器包含多种功能，可阻止或减轻各种常见的基于Web的攻击。 提议的标准涵盖桌面和移动浏览器，而之前的安全指南仅适用于政府PC和工作站上的桌面浏览器。 意见征询后，BSI预计将在政府系统中强制执行最低标准。此举将禁止联邦雇员在政府业务中使用不合规的浏览器，例如现已弃用的Internet Explorer。 BSI规定的大多数安全和隐私技术目前大多数现代浏览器都能提供。其中包括支持X.509标准的证书、加密与服务器的连接以及支持HSTS（HTTP严格传输安全）。 浏览器还需要支持自动更新机制，只有在完整性检查成功时才会执行更新。此外还必须实施同源策略(SOP)，以便文档和脚本无法访问其他网站的资源，例如文本和图形。 事实上，所有现代浏览器都已经非常安全（忽略隐私），它们中的大多数共享完全相同的引擎（编者：例如开源的Chromium），因此共享相同的安全功能和加密功能。浏览器公司Vivaldi的开发人员和安全专家Tarquin Wilton Jones指出：“总的来说，浏览器一直处于建立安全连接和实施沙盒等安全功能的最前沿。” 他补充说，此举的目的更多是为了提高政府IT的安全性，而不是改变浏览器的设计方式。但是，他警告说，某些浏览器不允许用户关闭遥测或供应商跟踪数据的方式可能会导致合规问题。 转自 安全内参 ，原文链接：https://www.secrss.com/articles/45880 封面来源于网络，如有侵权请联系删除

在2021年的局部试验之后，英国政府已经确认，在9月的政府宣传活动之后，自动通知智能手机用户的紧急警报系统将于10月开始推广。该系统将提醒用户高度本地化的事件，如洪水、火灾、极端天气和公共卫生突发事件、恐怖袭击等有可能被添加到可能触发信息的场景列表中。 当收到警报时，设备会发出类似警笛的响声，即使设置为无声或振动，也会在10秒内发出警报。 这是一个类似于美国引入的AMBER警报的功能，最初将在英格兰、苏格兰和威尔士使用，尚未确认北爱尔兰何时将被该系统覆盖。 英国政府已经建立了一个网站，详细介绍了该系统的工作原理，以及警报是如何直接从基站广播的，范围内的每个兼容手机和平板电脑都会收到警报。这绕过了用户提供电话号码以建立联系的需要。该网站还列出了所有当前和过去的警报，以便在你不小心忽略了某个通知或错过了它时可以参考。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1305115.htm 封面来源于网络，如有侵权请联系删除

阿根廷科尔多瓦司法机构在遭受勒索软件攻击后关闭了其 IT 系统，据报道是在新的“Play”勒索软件操作手中。 攻击发生在 8 月 13 日星期六，导致司法机构关闭 IT 系统及其在线门户。停电还迫使使用笔和纸来提交官方文件。在 Cadena 3 分享的“网络攻击应急计划”中，司法机构证实它受到了勒索软件的攻击，并与微软、思科、趋势科技和当地专家合作调查此次攻击。 2022 年 8 月 13 日星期六，科尔多瓦法院的技术基础设施遭受了网络攻击，勒索软件损害了其 IT 服务的可用性。 Clarín 报道称 ，消息人士称，这次攻击影响了司法机构的 IT 系统及其数据库，使其成为“历史上对公共机构最严重的攻击”。 与 Play 勒索软件相关的攻击 虽然司法机构尚未披露此次攻击的细节，但记者 Luis Ernest Zegarra 在 推特上表示，他们受到了将“.Play”扩展名附加到加密文件的勒索软件的攻击。 此扩展与 2022 年 6 月启动的新“Play”勒索软件操作有关，当时受害者开始在 BleepingComputer 论坛上描述他们的攻击。 像所有勒索软件操作一样，威胁参与者将破坏网络并加密设备。加密文件时，勒索软件将附加 .PLAY 扩展名，如下所示： 然而，与大多数勒索软件操作会留下冗长的赎金票据以向受害者发出可怕的威胁不同，Play 赎金票据异常简单。 Play 的ReadMe.txt赎金记录不是在每个文件夹中创建，而是  仅在硬盘驱动器的根目录 (C:\) 中创建，并且仅包含单词“PLAY”和联系电子邮件地址。 BleepingComputer 知道攻击中使用了不同的电子邮件地址，因此上述电子邮件地址可能与对科尔多瓦司法机构的攻击无关。 尚不清楚 Play 是如何入侵司法机构网络的，但作为3 月份 Lapsus$ 入侵 Globant 的一部分，员工电子邮件地址列表被泄露，这可能允许威胁参与者进行网络钓鱼攻击以窃取凭据。 没有与勒索软件团伙相关的数据泄漏或任何数据在攻击期间被盗的迹象。 这不是阿根廷政府机构第一次遭受勒索软件攻击。2020 年 9 月，Netwalker 勒索软件团伙袭击了 Dirección Nacional de Migraciones并索要 400 万美元的赎金。 转自 E安全 ，原文链接：https://mp.weixin.qq.com/s/n-_jigTxvCv4edxPXiXKwQ 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 俄罗斯国家支持的黑客继续用窃取信息的恶意软件打击乌克兰实体，这被怀疑是间谍行动的一部分。 Broadcom Software旗下公司Symantec将这场恶意活动归因于跟踪Shuckworm的黑客，也称为Actinium、Armageddon、Gamaredon、Primitive Bear和Trident Ursa。乌克兰计算机应急小组（CERT-UA）证实了这些发现。 该黑客自2013年以来一直活跃，因明确针对乌克兰的公共和私人实体而闻名。自2022年末俄罗斯军事入侵以来，攻击事件不断升级。 据说，最新的一系列攻击已于2022年7月15日开始，一直持续到8月8日，感染链利用伪装成通讯和战斗命令的网络钓鱼电子邮件，最终部署了名为GammaLoad.PS1_v2的PowerShell窃取者恶意软件。 同时，还向受损机器交付了两个后门，分别名为Giddome和Pterodo，这两个后门都是典型的Shuckworm工具，攻击者不断重新开发，旨在领先检测标准。 Pterodo的核心是一种Visual Basic Script（VBS）dropper恶意软件，具有执行PowerShell脚本、使用计划任务（shtasks.exe）来保持持久性，以及从命令和控制服务器下载其他代码的功能。 另一方面，Giddome植入物具有多种功能，包括录制音频、捕获屏幕截图、记录击键，以及在受感染主机上检索和执行任意可执行文件。 这些入侵行为通过从受感染账户分发的电子邮件发生，进一步利用Ammyy Admin和AnyDesk等合法软件来促进远程访问。 这一发现是因为Gamaredon黑客与一系列旨在启动GammaLoad.PS1交付链的社会工程攻击有关，使攻击者能够窃取存储在Web浏览器中的文件和凭据。 调查结果是在CERT-UA发出警报后公布的，该警报警告称，“系统性、大规模和地理分散的”网络钓鱼攻击涉及使用名为RelicRace的.NET下载程序来执行Formbook和Snake Keylogger等有效负载。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 微软威胁情报中心（MSTIC）破坏了SEABORGIUM（又名ColdRiver，TA446）的活动，SEABORGIUM是一家与俄罗斯有关的黑客组织，他发起了针对北约国家人员和组织的持续黑客攻击活动。 SEABORGIUM自2017年以来一直很活跃，其活动涉及持续的网络钓鱼和凭证盗窃活动，导致入侵和数据盗窃。APT主要针对北约国家，但专家们还观察到针对波罗的海、北欧和东欧地区（包括乌克兰）的行动。 SEABORGIUM集团主要专注于国防和情报咨询公司、非政府组织和政府间组织、智库和高等教育。该组织还针对前情报官员，俄罗斯事务专家和海外俄罗斯公民。 SEABORGIUM的活动始于目标个人的侦察活动，重点是识别他们在社交网络或势力范围内的联系人。 微软发布的帖子写道：“根据观察到的一些模拟和目标，我们怀疑黑客使用社交媒体平台、个人目录和通用开源情报（OSINT）来完善他们的侦察工作。MSTIC与LinkedIn合作，发现SEABORGIUM的欺诈性个人资料偶尔被用于对特定利益组织的员工进行侦察。” 黑客使用虚假身份与目标个人联系，并开始与他们对话，以建立关系并诱使他们打开通过网络钓鱼邮件发送的附件。 网络钓鱼邮件使用PDF附件，在某些情况下，还包括指向文件、文档托管服务的链接，或托管PDF文档的OneDrive帐户的链接。 打开PDF文件后，会显示一条消息，说明无法查看该文档，他们需要单击按钮重试。 单击该按钮，受害者将被重定向到运行网络钓鱼框架（如EvilGinx）的登录页面，该页面显示合法提供商的登录页面并拦截任何凭据。在获取凭据后，受害者会被重定向到网站或文档，以避免引起怀疑。 一旦攻击者获得了对目标电子邮件帐户的访问权限，他们就会泄露情报数据（电子邮件和附件），或设置从受害者收件箱到参与者控制的秘密传递帐户的转发规则。 微软证实，它已采取行动，通过禁用用于监视、网络钓鱼和电子邮件收集的帐户来破坏SEABORGIUM的运营。这家IT巨头还为该黑客组织分享了IOCs，其中包括APT在其网络钓鱼活动中使用的60多个域的列表。 可以在Microsoft的公告中找到完整的域列表，以及网络防御者可以用来防止类似攻击的安全措施。 防御措施包括禁用Microsoft 365中的电子邮件自动转发，使用IOC调查潜在的危害，要求对所有帐户进行MFA，以及使用FIDO安全密钥来提高安全性。 微软还发布了Azure Sentinel搜索查询[1, 2]，可用于检查恶意活动。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文