两家俄罗斯互联网服务提供商(ISP)收到Google的通知，称其网络上的全球缓存服务器已被禁用。缓存服务器是一个isp绑定节点，用于更快地向互联网用户提供谷歌内容，并在中断期间也可保持访问。缓存对于流行的YouTube内容是最重要的，isp可以将这些内容存储在服务器上，并更快地加载，给他们的订阅者更好的连接体验。 俄罗斯新闻媒体试图确认哪些实体受到了这一举措的影响，并证实Radiosvyaz（Focus Life）和MIPT Telecom会受到此次决定的影响。不过俄罗斯最大的移动网络提供商MTS和MegaFon提供商报告称目前没有任何变化，而 VimpelCom、T2 RTK 控股和 ER-Telecom 拒绝就此事发表评论。 确认受影响的两家ISP已5月 19日关闭其缓存服务器，随后几天他们也收到了Google的通知。MIPT Telecom已与RBC.ru分享了他们从 Google 收到的通知，该通知确认了报告的有效性和所提供的理由。在通知中，谷歌表示关闭缓存服务器的原因是法律实践的变化，并指出公司和关键人物被列入制裁名单。 虽然此项制裁会对这两家俄罗斯ISP产生较大的影响，但好在这两家公司在俄罗斯国内的市场份额相对较小，所以也就不会对俄罗斯网民产生多大的影响。但是，如果谷歌将禁令扩大到所有俄罗斯互联网提供商，那么公司及其客户的情况都会发生巨大变化。谷歌的全局缓存可以减少70%到90%的外部流量，这取决于ISP运营商的最终用户的内容消费模式。失去服务会增加他们的运营成本，这可能会渗入订阅用户的每月账单里。 除此之外，关闭缓存服务器不仅会威胁 YouTube 视频加载速度。它还将影响存储在同一系统上的服务器，例如 Google CAPTCHA。如果isp被禁用了这项服务，区分人类和机器人的系统可能无法在俄罗斯的网站上运行。 值得注意的是，俄罗斯的谷歌子公司在该国第一台缓存服务器关闭之前就启动了破产程序。 由于法院对Roskomnadzor因不遵守封锁要求而提出的索赔，且该公司被处以1亿美元巨额，所以该公司表示无法继续在俄罗斯开展业务。此外，莫斯科仲裁法院批准没收其价值约32,500,000美元的当地资产，以回应NTV、TNT、ANO TV-Novosti (RT)、TV Channel 360、VGTRK、Zvezda等被谷歌删除频道的YouTube频道所有者提交的几项提议。然而，谷歌的当地子公司并没有参与在俄罗斯提供缓存服务，因为这是谷歌全球业务的一部分，所以这两个问题没有联系，至少在技术层面上是这样。   转自 FreeBuf，原文链接：https://www.freebuf.com/articles/334464.html 封面来源于网络，如有侵权请联系删除

近日，有观察发现，新暗网市场Industrial Spy正在对受害者设备进行加密并尝试推出自己的勒索计划。此前，Industrial Spy并没有对受攻击的公司进行敲诈，而是将自己宣传为一个市场，公司可以在其中购买竞争对手的数据来获取商业机密、制造图纸、会计报告和客户数据库。 Industrial Spy市场提供不同级别的数据产品，其中“高级”被盗数据包价值数百万美元，而较低级别的数据甚至可以作为单个文件以低至2美元的价格出售。例如，Industrial Spy目前正在以140万美元的价格出售一家印度公司的高级别数据，以比特币支付。 近日，有观察发现，新暗网市场Industrial Spy正在对受害者设备进行加密并尝试推出自己的勒索计划。此前，Industrial Spy并没有对受攻击的公司进行敲诈，而是将自己宣传为一个市场，公司可以在其中购买竞争对手的数据来获取商业机密、制造图纸、会计报告和客户数据库。 Industrial Spy市场提供不同级别的数据产品，其中“高级”被盗数据包价值数百万美元，而较低级别的数据甚至可以作为单个文件以低至2美元的价格出售。例如，Industrial Spy目前正在以140万美元的价格出售一家印度公司的高级别数据，以比特币支付。 为了推广他们的服务，攻击者会与广告软件加载程序和假破解网站合作来传播恶意软件，这些恶意软件会在设备上创建README.txt文件，而这些文件中正包含了推广信息。 Industrial Spy加入勒索软件大军 上周，安全研究小组MalwareHunterTeam发现了一个新的Industrial Spy恶意软件样本，然而这次看起来更像是勒索信，而不是推广的文本文件。这封勒索信称Industrial Spy的攻击者不仅窃取了受害者的数据而且还对其进行了加密。 “非常不幸，我们不得不通知您，您的公司正面临着威胁，所有的文件都被加密，而没有我们的私钥您将无法将其恢复。如果您试图在没有我们帮助的情况下自行恢复，很可能会导致这些数据完全丢失”，勒索信中这样写道，“此外，我们研究了您整个公司的网络，并已将所有敏感数据下载到我们的服务器上。如果在未来3天内没有收到您的任何回复，我们将在Industrial Spy网站上公布您的数据。” 经研究人员测试显示，Industrial Spy确实对文件进行加密，但不同于大多数其他勒索软件家族，它不会在加密文件的名称上附加新的扩展名，如下所示。 勒索软件专家Michael Gillespie对此进行了解读，他一眼就认定它使用的是DES加密，RSA1024公钥加密。 该勒索软件还使用了0xFEEDBEEF的文件标记，这是在别的勒索软件家族中从未见过的。当然，我们不应该把这个文件标记与在编程中使用的那个著名的神奇调试值0xDEADBEEF混淆。 在加密文件的同时，Industrial Spy勒索软件在设备上每个文件夹中都会创建名为“README.html”的勒索记录，这些勒索记录包含一个TOX id，受害者可以使用它来联系勒索软件团伙并协商赎金。 或与勒索团伙Cuba有关联？ 当研究勒索信中的TOX ID和电子邮件地址时，MalwareHunterTeam小组发现了一个Industrial Spy与勒索团伙Cuba的奇怪联系。 上传到VirusTotal的勒索软件样本会创建一个带有相同TOX ID和电子邮件地址的勒索记录。 但是，它没有链接到Industrial Spy Tor的站点，而是链接到勒索团伙Cuba的数据泄露网站并使用相同的文件名。众所周知，!! READ ME !!.txt，是勒索团伙Cuba的赎金票据。另外还有一点值得一提，加密文件还附加了.Cuba扩展名，就像平时勒索团伙Cuba在加密文件时所做的那样。 虽然这并不能百分百肯定地将这两个组织联系在一起，但研究人员推测很可能Industrial Spy的攻击者在测试他们的勒索软件是使用了勒索团伙Cuba的信息。 这还有待安全研究人员和分析人士继续保持密切关注与进一步的探索。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/334468.html 封面来源于网络，如有侵权请联系删除

经过了为期一年代号为“黛利拉行动”（Operation Delilah）的调查，尼日利亚警方于近日在拉各斯的穆尔塔拉•穆罕默德国际机场逮捕了一名37岁男子，该男子是网络犯罪团伙SilverTerrier（又名TMT）的疑似头目。本次抓捕行动得到了几家全球大型网络安全公司（包括Group-IB, Palo Alto Networks Unit 42和Trend Micro）的支持。 SilverTerrier是一个拥有数百人成员规模的团伙，自2014年进入公众视野以来它就一直相当活跃，该团伙十分注重于商业电子邮件犯罪（BEC）。2020年5月，这个团伙曾发动过一次引发广泛关注的攻击。当时，Palo Alto Networks的研究人员观察到，团伙以COVID-19为诱饵对全球医疗机构和政府组织发动了攻击。 在此之前，2020年11月，国际刑警组织领导了打击SilverTerrier团伙的“猎鹰行动”（Operation Falcon）。此后，在“猎鹰二号行动”中，国际刑警组织逮捕了SilverTerrier团伙的15名成员。 “尼日利亚逮捕了这名著名的网络罪犯，这证明了我们的国际执法联盟和国际刑警组织的私营部门伙伴在打击网络犯罪方面长期不懈的努力收到了成果”，尼日利亚警察部门助理总督察、国际刑警组织尼日利亚国家中央局局长、国际刑警组织执行委员会非洲事务副主席Garba Baba Umar这样对媒体说道。 这名助理总督察还补充说道:“我希望这次‘黛利拉行动’能震慑全世界的网络罪犯，执法部门将继续追捕他们，这次逮捕行动也将为相关受害者带来慰藉。” 对此，国际刑警组织负责网络犯罪行动的助理主任Bernardo Pillot也表达了自己观点，“这起案件让我们看到了网络犯罪的全球化属性，以及通过全球到区域打击网络犯罪的行动方法的重要性。网络犯罪不是我们195个成员国中的任何一个可以单独面对的威胁，只有国家执法机构、私营部门合作伙伴和国际刑警组织共同坚持不懈地努力，才可以取得良好的结果。” 转自 Freebuf，原文链接：https://www.freebuf.com/news/334370.html 封面来源于网络，如有侵权请联系删除

根据美国参议院委员会的一份新报告，美国政府缺乏关于勒索软件攻击的全面数据，而且现有的报告比较分散。美国国土安全部和公共事务委员会近日发布了一份 51 页的报告，呼吁政府迅速实施新的授权，要求联邦机构和关键基础设施组织在遭遇勒索软件之后必须上报，以及需要支付的赎金。 为了撰写这份报告，委员会进行了为期 10 个月的调查，并重点关注加密货币在勒索软件支付中的作用。结果发现有关攻击的报告是“零散且不完整”的，部分原因是 FBI 和 CISA 都声称拥有“一站式服务” 报告攻击的网站——分别是 IC3.gov 和 StopRansomware.gov。 新法律要求关键基础设施组织在 72 小时内向 CISA 报告网络攻击，并在 24 小时内向 CISA 报告勒索软件的赎金。CISA 在 3 月份表示将立即与 FBI 分享事件报告，但调查发现这种安排存在缺陷。 报告指出：“虽然这些机构声明他们彼此共享数据，但在与委员会工作人员的讨论中，勒索软件事件响应公司质疑此类通信渠道对协助攻击受害者的影响的有效性”。 除了 FBI 和 CISA 的双重报告职能之外，财政部的 FinCEN、运输安全管理局和证券交易委员会还有针对特定部门的报告制度，以及通过 FBI 外地办事处和一些州政府的报告。报告指出：“这些机构没有统一捕获、分类或公开共享信息。” 它指出，专家认为 FBI 关于勒索软件的 IC3 数据是数据的“子集”。 FBI 在其年度 IC3 报告中承认其勒索软件数据“人为地低”，因为受害者只是自愿向 FBI 报告事件。与此同时，收集勒索软件受害者报告的 FBI 外地办事处在后续调查期间与约 25% 的受害者失去了联系。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1273865.htm 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，美国联邦贸易委员会（FTC）将对推特处以 1.5 亿美元巨额罚款，原因是该公司将收集到的电话号码和电子邮件地址，用于定向广告投放。 根据法庭披露出的信息来看，自 2013 以来，Twitter 以保护用户账户为理由，开始要求超过了 1.4 亿用户提供个人信息，但并没有告知用户这些信息也将允许广告商向其投放定向广告。 推特此举违反了联邦贸易委员会法案和 2011 年委员会行政命令，这些法案明确禁止了该公司歪曲隐私和安全做法，并从欺骗性的收集数据中获利。 据悉，早在 2009 年 1 月至 5 月期间，在黑客获得推特的管理控制权后，该公司未能保护用户的个人信息，行政命令随之颁布。 推特遭受巨额罚款 FTC 主席 Lina M. Khan 表示，Twitter 以进行安全保护为由，从用户处获得数据，但最后也利用这些数据向用户投放广告，这种做法虽然提高了 Twitter 的收入来源，但也影响了超过 1.4 亿 Twitter 用户，1.5 亿美元的罚款侧面反映了 Twitter 这一做法的严重性。 美国检察官 Stephanie M. Hinds 强调，为防止威胁用户隐私，今后将实施大量新的合规措施，联邦贸易委员会拟议命令的其他条款包括以下几条： 1. 禁止 Twitter 从欺骗性收集的数据中获利； 2. 允许用户使用其他多因素身份验证方法，比如不需要用户提供电话号码的移动身份验证应用程序或安全密钥； 3. 通知用户 ，twitter 滥用了为帐户安全而收集的电话号码和电子邮件地址，以并提供有关  Twitter  隐私和安全控制的信息； 4. 实施和维护全面的隐私和信息安全计划，要求公司检查和解决新产品的潜在隐私和安全风险； 5. 限制员工访问用户的个人数据； 6. 如果公司遇到数据泄露，需立刻通知 FTC。 目前，推特已同意与联邦贸易委员会达成和解，支付 1.5 亿美元的民事罚款，并对使用用户信息进行广告盈利事件道歉。 除此之外，在联邦法院批准和解后，推特也将实施新的合规措施以改善其数据隐私做法。 类似案件 2018 年也发生了非常相似的事情，当时 Facebook 为其所有用户构建了复杂的广告配置文件，从用户的 2FA 电话号码到从其朋友个人资料中收集的信息，应有尽有。 后来，Facebook 使用用户的 2FA 电话号码作为附加载体，投放有针对性的广告。 转自 Freebuf，原文链接：https://www.freebuf.com/news/334342.html 封面来源于网络，如有侵权请联系删除

在很多人的印象中，一旦设备感染勒索软件都需要支付高昂的赎金才能取回自己的数据。不过现在出现了一种新型的赎回方式，那就是做善事。CloudSEK 的威胁情报研究团队最近发现了一个名为“GoodWill”的勒索软件，受害者如果想要获得密钥，就必须做一些善事：给不幸的人提供食物、毛毯，或者向病人捐钱。总的来说，受害者必须参与三项活动才能恢复数据。 如下所示，第一个活动要求您为路边有需要的人提供衣服和毯子，并制作自己这样做的视频。该视频还必须发布到社交媒体上以鼓励他人。然后必须将此信息通过电子邮件发送给攻击者作为完成的证据。 第二个活动要求您从快餐连锁店喂养五个孩子，并在这样做的同时善待他们。受害者还必须与他们自拍，并再次在社交媒体上发布这些照片和视频。然后必须将餐厅账单的图像以及指向社交媒体帖子的链接发送给攻击者。 第三个活动迫使您去医院并为需要经济援助的人支付医疗费用。这些人也必须自拍，并且必须记录音频对话作为证据。然后，必须在社交媒体上发布一篇关于援助的“漂亮文章”，并且您必须向人们解释如何成为 GoodWill 的勒索软件基本上是发生在您身上的最好的事情。 一旦攻击者验证了所有信息，他们将发送一个解密工具，以便您可以恢复您的文件。 CloudSEK 能够将 IP 地址和电子邮件地址追溯到印度一家据称管理端到端安全性的 IT 公司。 GoodWill 与 HiddenTear 勒索软件有相似之处，但 CloudSEK 也能够在用 Hinglish 编写的代码中找到字符串，例如“error hai bhaiya”，翻译为“有一个错误，兄弟”。   转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1273523.htm 封面来源于网络，如有侵权请联系删除

臭名昭著的Conti勒索软件团伙已经正式关闭了他们的运营，基础设施已经下线，团队领导人被告知该品牌已经不复存在。这个消息来自Advanced Intel的Yelisey Boguslavskiy，他今天下午在推特上说该团伙的内部基础设施已经关闭。 虽然面向公众的Conti新闻数据泄漏和赎金谈判网站仍然在线，但Boguslavskiy告诉BleepingComputer，成员用于执行谈判和在其数据泄漏网站上发布”新闻”的Tor管理面板现在已经关闭。此外，BleepingComputer还被告知，其他内部服务，如他们的火箭聊天服务器，正在退役。 虽然 Conti 在与哥斯达黎加的信息战中关闭可能看起来很奇怪，但 Boguslavskiy 告诉我们，Conti 进行了这次非常公开的攻击以创建一个实时操作的假象，而 Conti 成员慢慢迁移到其他更小的勒索软件操作。 然而，Advanced Intel独特的对抗性可见度和情报发现导致了事实上相反的结论。Advanced Inte明天发布的一份报告解释说，Conti想通过这次最后的攻击达到的唯一目的是利用这个平台作为宣传的工具，以最合理的方式演绎他们自己的死亡和随后的重生。 Conti领导层内部宣布对哥斯达黎加进行攻击是为了宣传而不是赎金。该组织成员之间的内部沟通表明，要求的赎金远远低于100万美元。虽然Conti勒索软件品牌已经不复存在，但该网络犯罪集团将在未来很长一段时间内继续在勒索软件行业发挥重要作用。   转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1271855.htm 封面来源于网络，如有侵权请联系删除

在 2022 年 Pwn2Own 温哥华黑客大赛的第三天，也就是最后一天，参赛者使用零日漏洞再次将Windows 11 操作系统连续黑了3次。 由于 Double Dragon 团队无法在规定的时间内演示他们的漏洞利用，当天针对 Microsoft Teams 的第一次尝试失败，但第二次是来自 Viettel Cyber Security 的 nghiadt12，利用了 Windows 11 零日权限升级（通过整数溢出）漏洞；第三、第四次是来自 REverse Tactics 和 vinhthp1712 的Bruno Pujos ，分别使用 Use-After-Free 和 Improper Access Control 漏洞提升了 Windows 11 的权限。 在 Pwn2Own 的第一天， 参赛者成功利用 16 个零日漏洞入侵多个产品，包括微软的 Windows 11 操作系统和 Teams 通信平台、Ubuntu Desktop、Apple Safari、Oracle Virtualbox 和 Mozilla Firefox，总共赢得了80 万美元奖金。 在比赛的第二天，参赛者也对车企特斯拉展开了攻势，来自Synacktiv 的 David BERARD 和 Vincent DEHORS ，展示了位于Model 3 信息娱乐系统中的两个独特漏洞 (Double-Free & OOBW)，并以此获得了75000美元奖金。 据悉，本届Pwn2Own被针对的产品类别包括 Web 浏览器、虚拟化、本地权限升级、服务器、企业通信和汽车，在为期三天的比赛中，参赛者们可以累计获得超过 100万美元的现金和奖品。同时，这些在大赛期间利用和报告的漏洞，在直到主办方趋势科技公开披露前，厂商们可以有90天的时间对这些漏洞进行修复。 转自 Freebuf，原文链接：https://www.freebuf.com/news/333967.html 封面来源于网络，如有侵权请联系删除

一年一度的 Pwn2Own 黑客大会正在温哥华举办，通过让参赛者与网络安全专家们汇聚一堂，他们可以充分展示相关零日漏洞利用和其它软件破解大法，并获得相应的奖励和技术认可。而在 Pwn2Own 2022 的首日战报中，可知微软 Windows 11 操作系统和 Teams 团队协作服务已被白帽参赛者们在首日双双攻破。 Pwn2Own 2022 也是该系列黑客大会的第 15 周年（图自：ZDI 官网） 不过次日，Pwn2Own 参赛团队还是遇到了一些变化。在针对 Windows 11 的两次攻击尝试中，仅一次演示顺利达成（成功率 50%）。 美国西北大学 TUTELARY 团队的 Yueqi Chen，ZDI 分析师 Tony Fuller 和 Bobby Gould 。 利用不恰当的配置，该团队得以访问 Windows 11 并实现特权提升（EoP），并拿到 40000 美元奖金 + 4 点 Pwn 大师积分。 Viettel Cyber Security 团队利用了 Windows 11 上的整数溢出 EOP 漏洞 遗憾的是，一同参赛的 namnp 未能在规定时间内完成演示。至于详细的漏洞利用报告，各方尚未披露。 最后，REverse Tactics 团队的 Bruno PUJOS 利用了 Windows 11 上的“用后释放”（Use-After-Free）漏洞实现了特权提升。 感兴趣的朋友，还请关注官方的后续战报。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1271947.htm 封面来源于网络，如有侵权请联系删除

在Pwn2Own一年一度的计算机黑客大赛活动中，参赛者和网络安全专家展示他们利用漏洞、零日漏洞和其他问题合法破解各种软件的技能，并获得奖励和认可。今年，在2022年温哥华Pwn2Own活动期间，参赛者在第一天就成功破解了微软Teams和Windows 11。 Hector”p3rro”Peralta是第一个黑掉Microsoft Teams的人。他展示了针对微软企业信使的不当配置，并因其发现而获得15万美元。后来，当Masato Kinugawa执行了一个由感染、错误配置和沙盒逃逸组成的3个漏洞链时，这一次Teams再次成为受害者。Daniel Lim Wee Soong、Poh Jia Hao、Li Jiantao和Ngo Wei Lin展示了对两个漏洞的零点击利用，并且更多针对Teams应用的漏洞发掘依然在继续。 Windows 11也未能幸免于黑客攻击。尽管微软在其最新的操作系统中大力强调安全，但马辛·维昂佐夫斯基还是在Windows 11中执行了一次越界写入的权限升级。为此，马辛获得了40000美元和微软的高度赞扬。 在2022年温哥华Pwn2Own比赛的第一天，微软的产品并不是黑客们唯一破解的软件。参赛者通过破解甲骨文Virtualbox、Mozilla Firefox、Ubuntu Desktop和苹果Safari，成功赚取积分和金钱。这样的活动有助于微软和其他公司提高其产品的安全性，并激励熟练的黑客保持在网络法律的正确一边。 在第一天，黑客们通过利用多个产品中的16个零日漏洞，总共获得了80万美元的收入。在第二和第三天，参赛者可以通过入侵其他软件、小工具和汽车（特斯拉Model 3和Model S）赚取超过100万美元的奖励。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1271383.htm 封面来源于网络，如有侵权请联系删除