标签: 勒索攻击

世界水果巨头因勒索攻击直接损失超 7400 万元

世界水果巨头都乐(Dole)公司在日前发布的第一季度财报中披露,今年2月的勒索软件攻击事件,造成了1050万美元(约合人民币7400万元)的直接成本,其中约480万美元用于保证持续运营。 这次攻击对都乐公司的业务影响整体较为有限,主要受影响了公司新鲜蔬菜和智利市场的业务。都乐公司CEO Rory Byrne在上周四的财报电话会议上表示,此次攻击给其新鲜蔬菜业务造成了约570万美元的成本。 Byrne说,“尽管问题本身相当复杂并造成了高昂成本,但公司员工在保障都乐系统恢复协议按预期起效上付出的努力很值得赞赏。” 根据向美国证券交易委员会提交的6-K文件来看,此次攻击影响到都乐传统业务约半数服务器和四分之一的用户计算机。 恶意黑客还窃取了一部分公司数据,包括某些员工信息。都乐公司管理层在文件中提到,没有证据表明员工数据已遭公开。 都乐食品于2021年同爱尔兰Total Produce公司合并,成立全球最大农产品公司都乐公共有限公司,合并后的总部位于都柏林。 都乐表示,自攻击发生以来,所有受到影响的服务器和最终用户计算机均已得到恢复或和还原。该公司还表示,已经聘请第三方网络安全专家协助调查攻击并开展补救,并一直在与执法部门进行合作。 Byrne今年3月曾警告称,都乐公司预计无法完全抵消攻击成本,并指出在北美市场获取足够的网络安全保险费用过于高昂,令人望而却步。     转自 安全内参,原文链接:https://www.secrss.com/articles/54935 封面来源于网络,如有侵权请联系删除

美国大型 IT 分销商遭勒索攻击:客户服务受影响 已持续多天

美国大型技术提供商ScanSource宣布遭受勒索软件攻击,其部分系统、业务运营和客户门户均受到影响。 ScanSource是一家美国上市的IT与电信分销商,并提供POS与支付、安全、AIDC(自动识别与数据捕捉)等特定解决方案。该公司旗下还拥有云服务商与教育平台Intelisys、云分销商与托管服务商intY等品牌。ScanSource在2022财年营收为35.3亿美元。 从5月15日左右开始,外媒BleepingComputer收到ScanSource客户反馈,称发现无法正常访问SanSource的客户门户与官方网站,担心其遭受到网络攻击。 图:安全内参发现ScanSource官网已变成一个单页面的静态网页,网络事件公告置顶在首屏 5月16日,ScanSource证实公司确实在前天遭受了勒索软件攻击,并导致部分系统受到影响。 该公司已经开始实施事件响应计划,包括上报执法部门、寻求取证和网络安全专业人士的帮助。 相关专家正协助开展调查并实施处置策略,希望尽量减轻事件造成的运营中断。 此番网络攻击引发巨大影响。ScanSource公司警告称,未来一段时间内,面向客户的服务将存在延迟,预计将影响北美和巴西地区的业务。 公司新闻稿称,“我们正努力让受影响的系统重新上线,同时减轻事件对业务造成的影响。” “ScanSource对由此可能给北美及巴西地区的客户和供应商造成的任何不便或业务延误表示遗憾,并感谢他们的耐心等待。” 作为一家科技企业,ScanSource是在纳斯达克上市的财富1000强企业之一。可能是受到网络攻击事件披露的影响,公司股价在披露当天下跌了1.42%。 截至消息发布时,尚不清楚此次攻击来自哪个勒索软件团伙,也不确定是否涉及数据失窃。     转自 Freebuf,原文链接:https://www.freebuf.com/news/367169.html 封面来源于网络,如有侵权请联系删除

FPV 无人机遭勒索攻击,设备直接成”板砖”

FPV无人机竞赛护目镜制造商Orqa称,一个承包商在其设备的固件中植入代码,作为一个隐形威胁,旨在使设备瘫痪,索取高昂赎金。 4月30日,Orqa收到客户的报告,FPV.One V1护目镜开机后会直接进入引导程序模式无法正常使用。 随后该公司透露,这个问题是由日期/时间功能引起的固件错误造成的。 Orqa说:在这场危机的5、6个小时内,我们发现这个问题是由一个勒索软件引起的,这个勒索软件是几年前由一个黑心的前承包商秘密植入到我们的引导程序中的,目的是为了从公司获得高昂的赎金。 攻击者毫无商业信誉,为了不引起怀疑,他在过去几年里还与我们保持着业务关系,直到这次暴雷。 此次 “赎金软件定时炸弹攻击 “背后的承包商据称已经发布了一个 “未经授权的二进制文件”,说是可以解决FPV.One护目镜瘫痪的问题。 然而,该公司警告客户不要安装非官方固件,目前公司正在积极的测试以寻求解决的方法。 该公司表示,由于攻击者已经公开了他的所作所为,并发布了另一个被破坏的固件,我们决定让用户了解这一情况,并警告他们在设备上安装非官方固件的风险,积极的保障我们用户的利益。 除此之外,我们的安全审查发现,只有一小部分代码受到这个恶意软件的影响,目前正在进行修复。 修复后的固件预计将在新版本公开发布。     转自 Freebuf,原文链接:https://www.freebuf.com/news/365496.html 封面来源于网络,如有侵权请联系删除

国际支付巨头 NCR 遭勒索攻击:POS 机服务已中断多天

支付巨头NCR公司遭受勒索软件攻击,旗下Aloha POS系统平台发生中断。BlackCat/ALPHV团伙已经宣布为此负责。 NCR是一家美国软件与技术咨询公司,为餐厅、企业及零售商等客群提供数字银行、POS系统及支付处理解决方案。 NCR用于酒店服务的产品Aloha POS平台自上周三(4月12日)发生故障以来,至今仍无法供客户正常使用。 经过多日沉默后,NCR今天对外披露称,为Aloha POS平台提供支持的数据中心遭受到勒索软件攻击。 该公司在发给Aloha POS客户的邮件中表示,“作为NCR公司的重要客户,我们正在联络该数据中心以了解更多中断信息。该中断事件已经影响了部分酒店客户的一定数量的附属Aloha应用程序。” “4月13日,我们确认此次中断源自勒索软件攻击。” “发现这一情况后,我们立即开始联系客户,并聘请第三方网络安全专家参与调查。” “相关通知也已提交至执法部门。” 在发给媒体的声明中,NCR表示此次中断影响到其部分Aloha POS酒店客户,而且中断的只是“一定数量的附属Aloha应用程序”。 但是,有Aloha POS客户在Reddit论坛上分享称,中断事件已经导致其业务运营出现重大问题。 一位客户在AlohaPOS子论坛上写道,“受事件影响,我们这边的餐厅经理、小型特许经营让和上百位员工瞬间回到了石器时代。现在我们只能用纸笔记录信息,再把结果发给总部,整体情况令人头痛。” 其他用户则忙于为员工按时发放工资。还有些客户建议手动从数据文件中提取信息,直到本次中断结束。 NCR表示:“我们拥有明确的恢复路径,而且正在实际执行。另外,我们正为客户提供专门的帮助和解决方法,在支持他们运营的同时努力推进全面恢复。” 但遗憾的是,跟近期发生的Dish和西部数据网络攻击类似,勒索软件攻击造成的中断往往需要很长时间才能安全恢复运行。 BlackCat宣布对该事件负责 虽然NCR没有透露此次勒索软件攻击背后的元凶,但网络安全研究员Dominic Alivieri在BlackCat/ALPHV勒索软件团伙的数据泄露网站上短暂发现过一篇帖子,宣称对此次事件负责。 图:BlackCat数据泄露网站上发布的NCR攻击帖现已被删除 帖子里还包含一名NCR代表与勒索软件团伙间的谈判对话片段。 根据聊天记录来看,BlackCat勒索软件团伙告知NCR,他们在攻击期间并没有窃取存储在服务器上的任何数据。 然而恶意黑客宣称窃取了NCR客户的凭证,并表示如不支付赎金则将凭证公之于众。 “我们在客户网络上获取到大量凭证,可用于接入Insight、Pulse等。在收到赎金后,我们会提供完整凭证清单。” BlackCat随后从数据泄露网站上删除了NCR的帖子,可能是希望对方愿意通过谈判接受赎金要求。 BlackCat勒索软件团伙自2021年11月开始活动,会使用复杂的加密工具开展多种多样的定制化勒索攻击。 该团伙因其数据泄露网站上的黑猫图像而得名BlackCat。不过这批恶意黑客在论坛和谈判活动中,内部自称ALPHV。 自亮相以来,BlackCat已经发展为目前最活跃的勒索软件团伙之一,曾在全球范围内发动数百起攻击,赎金要求从3.5万美元到上千万美元不等。 转自 安全内参,原文链接:https://mp.weixin.qq.com/s/HU_Fe7FFojNwKodqe6YuGw 封面来源于网络,如有侵权请联系删除

百年海运企业遭勒索攻击:大量内部数据失窃 已有 5GB 被公开

荷兰海运物流服务公司Royal Dirkzwager遭Play勒索软件团伙入侵,失窃数据已被公布。 Royal Dirkzwager公司成立于1872年,为海运行业的数百家组织提供船舶管理服务,包括港口进出船舶交通监控、应急响应服务等。 针对Royal Dirkzwager的网络攻击发生于3月6日,导致该公司系统宕机,多项服务被迫暂停。 虽然修复操作立即开始,但该公司需要大约一周的时间,才能清理和完全恢复系统并恢复第一批服务。 上周初,Royal Dirkzwager公司确认遭受勒索软件攻击,但没有发布关于此事的具体细节。 3月16日,该公司宣布几乎所有服务均恢复正常运行,并且正着手处理收尾工作。 勒索软件团队已公开5GB内部数据 但就在同一天,Play勒索软件团伙在其Tor泄密网站上发布了5 GB大小的归档文件,内容据称是窃取自Royal Dirkzwager的数据。 根据Play团伙的说明,归档文件中包含私有及个人数据、合同、员工ID、护照等信息,而且这只是Royal Dirkzwager失窃数据中的一部分。 如果该公司不满足他们的勒索要求,Play团伙威胁将公布全部数据。 Play勒索软件又名PlayCrypt,于2022年6月被首次发现,近期成为最活跃的勒索软件家族之一。 深网情报项目DarkFeed收集的数据显示, Play团伙在2023年2月共实施7次攻击,而自3月初以来已发动13起攻击。今年1月,Play在全球勒索软件团伙的活跃度排名中位列第五。 外媒securityWeek已经就攻击细节向Royal Dirkzwager发出置评邮件,但没有收到任何回复。       转自 安全内参,原文链接:https://www.secrss.com/articles/52997 封面来源于网络,如有侵权请联系删除

全球关键半导体厂商因勒索攻击损失超 17 亿元

作为全球最大的半导体制造设备和服务供应商,美国应用材料公司(Applied Materials)在上周的财报电话会议中表示,有一家上游供应商遭到勒索软件攻击,由此产生的关联影响预计将给下季度造成2.5亿美元(约合人民币17.17亿元)的损失。 应用材料没有透露供应商的具体信息,但多位行业分析师表示,这里指的应该是美国技术与工程公司MKS Instruments。MKS在上周一宣布,受2月3日发现的勒索软件攻击影响,其第四季度财报电话会议已经被迫延后。 供应商受影响设施仍未恢复运营,预计造成2.5亿美元损失 应用材料公司首席执行官Gary Dickerson在上周四的电话会议上称,“最近一家主要供应商遭受攻击,将对我们第二季度的出货造成影响。” 应用材料在发布的财报中表示,2023财年第二季度预计净销售额约为64亿美元,此结果“反映了持续存在的供应链挑战;另外有一家供应商近期遭受网络安全事件影响,相关损失可能达2.5亿美元”。 该公司没有回应置评请求,所以暂时无法确定受攻击影响的供应商是否为MKS Instruments。 MKS Instruments则表示,在经历所谓勒索软件攻击后,公司目前仍在“恢复当中”。 MKS方面指出,“MKS正持续努力,希望恢复受影响设施的正常运营。第一季度,勒索软件攻击给公司真空解决方案与光子解决方案部门的订单处理、产品运输和客户服务能力造成了严重影响。” MKS还补充称,目前尚不确定此次勒索软件事件造成的损失与影响范围。公司仍在核算网络保险能否抵偿攻击带来的部分开销,财报电话会议暂定延后至2月28日。 MKS解释道,“公司希望通过延后财务业绩的发布时间,更好地解决勒索软件事件引发的财务影响。” 截至上周五,尚无勒索软件团伙公开对MKS攻击事件负责。 供应链安全问题难解 针对MKS的攻击再次凸显出近年来网络安全专家们的普遍担忧:随着大型企业在系统保障方面的逐步增强,恶意黑客开始将矛头指向供应链中体量较小、安全能力较弱的环节。 网络防御公司Horizon3.ai的Monti Knode说,越来越多的公司开始像MKS这样公开承认网络攻击造成的后果。 移动安全厂商Approv的CEO Ted Miracco则表示,半导体供应链仍然是全球经济当中最复杂、也最重要的部分之一。 “去年我们已经亲眼目睹半导体市场中断可能引发的长期后果,影响将波及从汽车到食品的多种产品价格。” “相较于最近的中美气球事件,半导体供应链面临的攻击威胁无疑更值得关注。”   转自 安全内参,原文链接:https://www.secrss.com/articles/52046 封面来源于网络,如有侵权请联系删除

勒索攻击致使国际帆船之都进入紧急状态

因勒索软件攻击导致城市所有IT系统离线,奥克兰市宣布进入紧急状态。 宣布进入紧急状态后,奥克兰市可以加快政令实施、材料与设备采购,并在必要时召集应急工作人员。 据安全内参检索,奥克兰市是新西兰人口最多的城市,还被誉为国际帆船之都。 遭受勒索攻击后一周仍未好转,非紧急服务是重灾区 2月14日的更新声明中写道,“今天,奥克兰市临时行政官G. Harold Duffey宣布当地进入紧急状态,旨在应对2月8日(星期三)开始的勒索软件攻击所造成的网络中断影响。” 该事件没有影响到核心服务,911警务调度、消防及应急资源都在按预期运作。 尽管上周的勒索软件攻击只影响到非紧急服务,但当时离线的多个系统目前仍未恢复。 目前尚不清楚攻击出自哪个勒索软件团伙,奥克兰市也未分享关于赎金要求或数据盗窃情况的详细信息。 事件发生后,外媒BleepingComputer立即联系了奥克兰市一名发言人,但对方表示无法透露更多细节。 声明指出,“该市IT部门正与一家领先的取证公司合作,开展事件响应与分析,并配合其他网络安全和技术公司的恢复与补救工作。” “目前正对多个地方、州和联邦机构开展持续调查。” 图:奥克兰市宣布当地进入紧急状态。 全球勒索攻击猖獗,多国均有紧急状态前例 大约三年前,即2019年7月,美国路易斯安那州州长John Edwards在该州学区遭遇勒索软件攻击之后,也曾宣布进入紧急状态。 当月,莫尔豪斯、萨宾、门罗市及瓦希塔学区的IT系统均因勒索软件加密而离线,导致全州范围内各学校系统中断。 美国联邦汽车运输安全管理局(FMCSA)曾发出一项区域性紧急公告,覆盖全美17个州外加哥伦比亚特区,原因是DarkSide勒索软件攻击令美国最大燃油输送企业科洛尼尔管道公司(Colonial Pipeline)陷入瘫痪。 Emsisoft公司威胁分析师Brett Callow表示,“2022年以来,美国至少有6个地方政府遭受勒索软件影响,其中至少4个发生了数据失窃。” 今年1月,微软透露,截至2022年年底,他们持续跟踪的100多个勒索软件团伙至少已实际部署超50种不同勒索软件家族。 转自 安全内参,原文链接:https://mp.weixin.qq.com/s/S46qA6abKp5BQmlQK2vaCg 封面来源于网络,如有侵权请联系删除

港口被黑、财政数据失窃…2022年全球关基设施屡遭勒索软件蹂躏

全球超级港口之一、葡萄牙最大港口里斯本港当地官员确认,由于遭受网络攻击,港口网站一周后仍无法正常访问。大约在同一时间,LockBit团伙将里斯本港列入其网站已勒索名单,声称发动了勒索软件攻击。 新闻报道称,里斯本港务局(APL)证实,本次攻击并未损害其关键基础设施的运营。攻击发生后,港务局已将事件上报至国家网络安全中心和司法警察局。 港口官员在采访中表示,“针对此类事件规划的各项安全协议和响应措施都已迅速启动。里斯本港务局与各主管部门长期保持密切合作,共同保障系统和相关数据的安全。” LockBit勒索软件团伙声称,窃取到了财务报告、审计、预算、合同、货物信息、船舶日志、船员详细信息、客户PII(个人身份信息)、港口文件、往来邮件等数据。该团伙还公布了被盗数据样本,但披露数据的合法性无法得到验证和证实。 LockBit威胁称,若里斯本港不满足赎金要求,他们将在2023年1月18日公布入侵期间窃取到的所有数据。该团伙提出的赎金数额为150万美元,并表示受害者可以先支付1000美元,将数据发布时间延后24小时。 年底勒索软件团伙愈加猖獗 上个月,LockBit勒索软件团伙袭击了美国加利福尼亚州财政部,并窃取到76 Gb数据。该团伙威胁称,如果受害者不在2022年12月24日前支付赎金,将泄露窃取数据内容。根据声明,LockBit在此次攻击中窃取到数据库、机密数据、财务文件、认证、法庭与性诉讼资料、IT文件等信息。 加州财政部在声明中确认了此次攻击事件,称“加利福尼亚州网络安全集成中心(Cal-CSIC)正积极应对涉及州财政部的网络安全事件。通过与州及联邦安全合作伙伴共同协调,已主动发现了入侵行为。在识别出威胁后,已迅速部署数字安全与在线威胁搜寻专家以评估入侵程度,同时检查、遏制和缓解未来漏洞。” 以往,黑客团伙曾多次在勒索要求未得到满足下公开数据内容。2022年10月,新闻报道称Hive勒索软件的勒索即服务(RaaS)团伙就泄露了从印度塔塔电力能源公司窃取到的数据。两周前,该黑客团伙对外声称对塔塔电力网络攻击事件负责,塔塔电力也做出证实。 已有研究表明,LockBit 3.0似乎采用(或大量借鉴)了BlackMatter勒索软件家族提出的概念和技术。研究人员从二者间发现了诸多相似之处,有强烈迹象表明LockBit 3.0复用了BlackMatter的代码。 过去一年全球关基设施屡遭勒索攻击蹂躏 里斯本港勒索攻击事件是针对欧洲港口一系列严重网络攻击的又一起事件。 2022年2月,网络攻击影响到整个欧洲的多家石油运输和储存企业,当局确认这波大规模网络攻击还波及到比利时、德国和荷兰的港口设施。比利时SEA-Invest和荷兰Evos的IT系统遭到破坏;与此同时,有未经证实的报道称,BlackCat勒索软件可能已破坏了德国石油供应商Oiltanking GmbH Group和Mabanaft Group的系统。 2022年11月,美国国土安全部部长Alejandro N. Mayorkas在参议院国土安全和政府事务委员会就“对国土的威胁”问题作证时称,截至2022年2月,网络安全与基础设施安全局、联邦调查局和国家安全局发现,美国16大关键基础设施行业中有14个都曾遭受勒索软件事件影响。受害者在2021年上半年共支付约5.9亿美元赎金,远高于2020年全年的4.16亿美元。 Mayorkas表示,“我们认为对于勒索软件事件的报告仍严重不足。根据评估,我们认为针对美国网络的勒索软件攻击在短期和长期内还将继续增加,因为网络犯罪分子已经建立起有效的商业模式,能够提高攻击活动的经济收益、成功几率和匿名性。” 近年来,勒索攻击事件在美国各州、地方、部落和领土(SLTT)政府机构及关键基础设施组织层面已愈发普遍。2020年,全美勒索攻击提出的赎金总额超过14亿美元。     转自 安全内参,原文链接:https://www.secrss.com/articles/50771 封面来源于网络,如有侵权请联系删除

勒索攻击“逼停”知名矿场,已造成生产安全事故

位于不列颠哥伦比亚省的加拿大铜山矿业公司(CMMC)公布,因遭受勒索软件攻击,业务运营受到影响。 铜山矿业占地18000英亩,平均年产铜料1亿磅,其矿产储量预计可继续开采32年。日本三菱综合材料株式会社持有该公司部分股权。 此次勒索软件攻击发生在2022年12月27日晚,铜山矿业IT团队已通过预定义的风险管理系统及协议迅速做出响应。 为了遏制此次事件,铜山矿业隔离了受感染系统并将其余部分关闭,旨在全面盘查并确定勒索软件攻击的影响。 作为预防措施,铜山矿业的工程师们不得不关停矿场以确定控制系统当前状态,其余流程则转为手动操作。   铜山矿业在官网公告中指出,“公司内外部IT团队正在继续评估风险,并积极建立额外的保障措施,以减轻公司面临的任何进一步威胁。” “铜山矿业正在调查攻击来源,并与参与协助的有关当局联络。” ——加拿大铜山矿业公司 铜山矿业的公告还做出澄清,称此次安全事件并未损害到安全措施或造成任何形式的环境破坏。 该公司目前的首要目标就是尽快恢复正常运营,限制攻击引发的财务影响。 网络情报公司KELA还发现了事件中一个有趣的细节:2022年12月13日,一名犯罪分子曾在黑客市场上兜售来自铜山矿业员工的账户凭证。 从出售凭证到勒索软件攻击披露的时间间隔来看,恶意黑客有可能利用了泄露账户,从而在铜山矿业的内部网络中立足。 工控安全公司Dragos收集的数据显示,2022年针对工业系统的勒索软件攻击频繁发生。 有86起攻击针对制造业组织的系统,尤其是与金属制品和汽车行业相关的系统。Dragos指出,LockBit勒索软件团伙是唯一一个针对采矿和水处理行业的组织。   转自 安全内参,原文链接:https://www.secrss.com/articles/50708 封面来源于网络,如有侵权请联系删除

加拿大最大儿童医院遭勒索攻击,一周仍未恢复系统

加拿大规模最大的儿科保健中心,多伦多病童医院(The Hospital for Sick Children)在12月18日(星期日)遭遇勒索软件攻击,目前正在努力恢复系统。 这家隶属多伦多大学的医院最初表示,攻击事件只影响到几个网络系统,对病患的正常护理仍在继续。 尽管如此,该机构还是将事件划归“灰色代码”级别,即代表发生了“系统故障”。 证实为勒索软件攻击,已启动停机程序 院方官员随后证实,这是一起勒索软件攻击,但“没有证据”表明患者的个人信息遭到泄露。 院方解释称,“截至目前,事件似乎只影响到部分内部临床和业务系统,以及一些医院电话线路与网页。我院已经根据实际需要启动了相应的停机程序。” 该事件已被上报至政府机构,病童医院还聘请了第三方专家参与事件响应。目前医院的部分网页已经关闭,电话系统也存在一定的通话问题。 该院未回应置评请求。自首次公布攻击事件以来,院方持续在官方网站和推特上发布更新。 系统恢复难度大,需数周时间才能完成 12月23日,院方给出最新确认,称所有系统都需要数周时间才能恢复正常。医院解释道,临床和运营团队正在对无法访问的系统执行备份程序。 此次攻击导致医生无法正常访问实验室和成像资料,病患的待诊时间也随之延长。另外,处方的发放流程也受到了影响。 院方官员上周四表示,“此次灰色代码事件影响到了我们的内部计时系统。病童医院的人力资源团队已经启动应急恢复计划,努力确保按时向员工支付工资。对于可能受到延误影响的员工,我们也将致力于保证他们最终拿到正确薪酬。” 上周五,医院的电话线路和内部员工工资计时系统已经恢复正常。但由于其他系统中断,病患的诊断与治疗仍存在延误。 针对医院的勒索攻击已屡见不鲜 截至本周二上午,尚无勒索软件团伙宣布对此次攻击负责。 病童院是近年来儿童医院网络攻击事件中的最新受害者。美国联邦调查局局长Christopher Wray曾在今年6月表示,伊朗政府支持的黑客以波士顿儿童医院为目标,并怒斥“这是我见过的最卑劣的网络攻击之一”。 纵观2021年到2022年,针对医疗保健组织的勒索软件攻击可谓持续不断。相关事件包括近期针对法国一家综合医院、得克萨斯州一家医院、加利福尼亚州一家非营利性组织以及英国国民健康服务中心的攻击活动。   转自 安全内参,原文链接:https://www.secrss.com/articles/50534 封面来源于网络,如有侵权请联系删除