近日，星巴克的关键供应链管理软件提供商 Blue Yonder 遭遇勒索软件攻击，虽此次事件并未影响客户服务或商店运营，但却迫使星巴克恢复使用手动流程来管理员工日程安排和工资系统。商店经理现在使用笔和纸来跟踪员工的时间，因为攻击扰乱了公司的后端调度和时间管理流程。 这次事件给星巴克的新任首席执行官Brian Niccol带来了额外的挑战，他已经在应对连续三个季度的销售额下降。虽然公司努力解决这种情况，但还应优先考虑维持正常的客户服务运营并确保支付适当的员工薪酬。 在多个行业产生的连锁反应 对于英国零售影响：英国主要连锁超市 Morrisons 和 Sainsbury’s 报告称，尽管他们已经实施了备份系统，但他们的仓库管理系统受到了干扰。 Blue Yonder 回应：Blue Yonder 已招募外部网络安全公司协助恢复工作并实施防御协议。该公司尚未提供恢复服务的具体时间表。“我们正在夜以继日地应对这一事件，并继续取得进展。目前没有关于我们的恢复时间表的其他更新可以分享，“Blue Yonder 在相关报告中写道。 该事件凸显了假日期间供应链系统的脆弱性，Blue Yonder 为广泛的客户群提供服务包括： 前 100 家制造商中的 46 家 100 大消费品制造商中的 64 家 全球 100 大零售商中的 76 家 此次攻击增加了影响主要食品服务公司的越来越多的网络安全事件。不由地让人想起今年早些时候，麦当劳和 Panera 都经历了技术中断，Panera 的事件在员工数据泄露后导致了集体诉讼。 相关研究表明攻击的时机特别重要，86%的勒索软件攻击在节假日或周末以组织为目标。尽管政府努力遏制此类活动，但以2023年为例，网络犯罪分子在全球范围内提取了超11亿美元的勒索赎金。     转自Freebuf，原文链接：https://www.freebuf.com/news/416249.html 封面来源于网络，如有侵权请联系删除

Change Healthcare 证实，自 2 月份遭受勒索软件攻击以来，几乎整整九个月，其信息交换中心服务已恢复正常运行。 在平常的一年里，这家医疗保健机构要处理 150 亿笔交易，是美国所有信息交换中心中处理交易最多的。它负责整个美国医疗保健系统中医疗保健提供商、医院、从业人员和患者之间的支付和交易。据美国医院协会（AHA）称，2 月份 ALPHV/Blackcat 的勒索软件攻击导致次月高达 94% 的医院受到财务影响。 通过更新网站状态页面确认的这项服务的恢复，标志着 Change Healthcare 从攻击中整体恢复的一个重要里程碑，目前该恢复工作已基本完成，但尚未完全结束。 他们没有使用多因素身份验证，这让我大吃一惊。网络没有被分割，这让我大吃一惊…… 在短短两个月内，绝大多数功能都已重新上线，并且至少部分恢复。唯一尚未完全恢复的业务功能是 Clinical Exchange（电子病历信息交换）、MedRX（药房报销管理）和支付方打印通信多渠道分发系统（支付文件打印）。 然而，医疗服务提供者将在更长的时间内感受到这一事件带来的巨大财务影响。 几乎就在 Change Healthcare 被 ALPHV 打得落花流水之后，医疗服务提供商就报告了财务困难。到 3 月初，超过三分之一的医院表示，他们一半以上的收入受到了支付中断的影响，近 60% 的医院表示每天的收入缺口达到或超过 100 万美元。 联合健康（UnitedHealth）旗下的 Optum 于 3 月 1 日启动了 “临时资金援助计划”，以支持医疗机构解决现金流问题。联合健康旗下的 Change Healthcare 在发布恢复信息交换中心服务的最新消息时也表示，截至 10 月 15 日，已经偿还了 32 亿美元的贷款。 无息借给医疗服务提供者的资金总额被认为超过了 60 亿美元。根据联合健康最近的财报[PDF]，仅在 3 月底，Change Healthcare 为修复此次攻击就花费了 8.72 亿美元，而此后的费用已远远超过 20 亿美元（含税）。 The Register联系了Change Healthcare公司要求发表声明，但该公司没有立即做出回应。 根据美国卫生与公众服务部（HHS）最近的统计数据，约有 1 亿人受到了 Change Healthcare 大型漏洞的影响。美国医疗协会认为，该公司处理的美国公民医疗报销申请约占三分之一，而美国人口约为 3.37 亿，这意味着美国近三分之一的人口受到影响，绝大多数 Change Healthcare 患者的信息受到泄露。 人们的数据被泄露的程度各不相同，但全名、电子邮件地址、银行数据、报销记录等都被窃取了。 事情发生后不久，联合健康公司首席执行官安德鲁-威蒂（Andrew Witty）自然被传唤到国会，解释究竟是如何允许这种武器级的事件发生的。 他向议员们解释说，ALPHV 的附属公司使用窃取的凭证登录了 Citrix 门户网站，你猜对了，该门户网站没有启用多因素身份验证 (MFA)。 威蒂在接受质询时谈到了公司向勒索者付款的决定，此前曾有传言称，此举是基于对已知 ALPHV 钱包的区块链分析而做出的。他向参议员们证实，联合健康确实向攻击者支付了 2200 万美元。 他承认自己是授权付款的人，并表示这 “是我不得不做出的最艰难的决定之一。我不希望任何人做出这样的决定”。 在首席执行官作证后，专家们向 The Register 表示，网络犯罪分子利用的安全漏洞相当于 “严重疏忽”。 Contrast Security 公司网络战略高级副总裁汤姆-凯勒曼（Tom Kellermann）说：“他们没有使用多因素身份验证，这让我大吃一惊。“我对网络没有分段感到震惊。他们在明知网络已被入侵的情况下，却没有对该环境进行强有力的威胁猎杀，这让我大吃一惊。坦率地说，我认为这是令人震惊的疏忽。”     转自安全客，原文链接：https://www.anquanke.com/post/id/302062 封面来源于网络，如有侵权请联系删除

近日，在一起重大网络安全事件中，印度小型银行的关键技术服务提供商C-Edge Technologies遭到勒索软件攻击，近300家当地金融机构的支付系统被迫暂时关闭。 据路透社报道，知情人士表示，此次攻击需要立即采取行动，将受影响的银行与更广泛支付网络隔离开来。 尽管多次请求，C-Edge Technologies并未回应评论，而印度银行和支付系统的主要监管机构——印度储备银行（RBI）也未发表任何声明。 周三晚间，负责监管印度支付系统的印度国家支付公司（NPCI）发布了一份公告，确认已“暂时禁止C-Edge Technologies接入NPCI运营的零售支付系统”。 公告指出，由C-Edge服务的银行客户在隔离期间将无法使用支付系统。 这种隔离是预防措施，目的是防止对国家支付基础设施产生更广泛的影响。据监管机构官员称，这些主要在大城市之外运营的近300家小型银行已被切断了与支付网络的连接。尽管此次中断规模较大，但一位知情人士指出，这些银行的业务量仅占该国整个支付系统总量的0.5%左右。 为了评估情况并进一步降低风险，NPCI目前正在进行审计。此外，印度央行和印度网络安全机构最近几周已向金融机构发出了关于潜在网络威胁的警告。   转自Freebuf，原文链接：https://www.freebuf.com/news/407594.html 封面来源于网络，如有侵权请联系删除

据知道创宇暗网雷达监测，近日勒索软件组织 BlackCat(ALPHV)将台湾中国石化（https://www.cpdc.com.tw）添加到其Tor泄露网站的受害者名单中，从公布的数据来看，本次泄露的数据大小为41.9GB，数据上传时间是2023年11月27日。 BlackCat (ALPHV)勒索网站官网 台湾中国石油化学工业开发股份有限公司（中石化、CPDC）成立于1969年。原系台湾行政院经济部所属国营事业，1991年股票于台湾证券交易所挂牌上市，1994年，正式转为民营企业，为威京集团事业体之一。 台湾中国石化开发总公司及其子公司在台湾和国际上生产和销售石化中间体及相关工程塑料、合成树脂、化学纤维和其他衍生产品。 关于BlackCat (ALPHV)组织 BlackCat 勒索组织（又名AlphaVM、AlphaV 或ALPHV）于2021 年11月中旬首次被 Malwarehuntertam 研究人员披露，是第一个基于 RUST 语言编写的专业勒索软件家族系列，并因其高度定制化和个性化的攻击而迅速赢得市场，是勒索即服务(RaaS) 的运营商之一。 根据目前的分析，BlackCat 采用勒索软件即服务 (RaaS) 商业模式，在已知的网络犯罪论坛中招揽生意，允许合作的黑客组织使用勒索软件并自留 80-90% 的赎金。BlackCat 采取了更激进的方式来对受害者进行勒索，在一个多月的时间里，在他们的泄密网站上已经有十几个受害者的信息被泄露。 迄今为止，该组织的最大受害者都是美国的组织，但 BlackCat 及其合作组织也攻击了欧洲、菲律宾和其他地方的目标。受害者包括以下行业的组织：建筑和工程、零售、运输、商业服务、保险、机械、专业服务、电信、汽车零部件和制药。 BlackCat 在数据泄露站点（暗网）上公布的台湾中国石化部分样例数据截图如下： 黑客公布的部分样例数据截图 从勒索组织发布的截图上来看，此次泄露的数据包含了其内部通讯录、银行账户、收入支出等财务状况和高管交接资料等。     Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达

Hackernews 编译，转载请注明出处： 世界上最大的银行之一正在处理勒索软件攻击。 英国《金融时报》报道称，中国最大的国有银行中国工商银行(ICBC)本周遭到勒索软件攻击。 据报道，代表证券公司、银行和资产管理公司的行业组织证券业和金融市场协会(Securities Industry and Financial Markets Association)在美国国债市场的某些交易无法结算后，向其成员发出了有关这一事件的信息。 中国工商银行在美全资子公司——工银金融服务有限责任公司（ICBCFS）在官网发布声明称，美东时间11月8日，ICBCFS遭勒索软件攻击，导致部分系统中断。 ICBCFS表示，发现攻击后立即切断并隔离了受影响系统，已展开彻底调查并向执法部门报告，正在专业信息安全专家团队的支持下推进恢复工作。ICBCFS称，已成功结算周三执行的美国国债交易和周四完成的回购融资交易。 声明称，中国工商银行及其他国内外附属机构的系统未受此次事件影响，中国工商银行纽约分行也未受影响。 消息人士告诉英国《金融时报》，此次攻击的幕后黑手是 LockBit 勒索软件团伙。整个 2023 年，该组织对政府、公司和组织进行了几次大规模攻击，远远超过了目前任何其他勒索软件团伙。 网络安全专家 Kevin Beaumont 分享了一份 Shodan 搜索报告，显示中国工商银行有一个 Citrix Netscaler 盒子没有打 CVE-2023-4966 的补丁，专家称这个漏洞为“CitrixBleed”，影响 Netscaler ADC 和 Netscaler 网关设备。这些产品被公司用来管理网络流量。 Beaumont 说，这个盒子目前已下线，但他指出，勒索软件团伙正在利用这个问题，因为它“允许完全、轻松地绕过所有形式的身份验证”。他补充说，超过 5000 家组织尚未修补该漏洞。 Beaumont 解释说:“它就像你在组织内部的指向和点击一样简单——它为攻击者提供了一个完全交互式的远程桌面PC。” Halcyon 首席执行官 Jon Miller 表示，针对中国工商银行的所谓攻击“有可能对全球金融市场产生严重影响，因为美国国债是全球银行和金融体系的核心。” 他说:“金融、制造业、医疗保健和能源等关键基础设施提供商仍然是勒索软件运营商的首要目标，因为迅速解决攻击并恢复运营的压力增加了受害组织支付赎金要求的可能性。” 据《财富》杂志报道，按收入计算，工商银行是中国最大的银行，也是全球最大的商业银行，2022年的收入为2147亿美元，利润为535亿美元。它拥有1070万企业客户和7.2亿个人客户。除了在国内拥有1.7万家分行外，工商银行还在41个国家设有分行，其中包括美国东西海岸的13家分行。       Hackernews 编译，转载请注明出处 消息来源：TheRecord、bleepingcomputer、每日经济新闻，译者：Serene

卡尔斯鲁厄应用技术大学（HS Kaiserslautern）成为最新受到勒索软件攻击的德国大学。此前数月，至少有六所类似的机构也遭遇了类似事件。 该事件于上周五得到确认，学校通过紧急网站宣布其“整个IT基础设施”已经下线，其中包括学校电子邮件账户和电话系统。 学校表示，几乎所有面向学生的设施和服务都遭到波及，超过6200名学生受到了影响。电脑机房，甚至图书馆都将“暂时关闭，具体开放时间另行通知”。 学校还在官网向学生和员工发出警告，不要打开他们的工作电脑：“这是一次加密攻击，员工工作场所的工作站可能也会受到影响。” 目前尚不清楚是谁发起了这次多层次的勒索行动，也不清楚在黑客对大学系统进行加密之前，是否盗用了信息。 卡尔斯鲁厄应用技术大学是德国西部莱茵兰-普法尔茨州最大的应用技术型大学，也是最近几个月最新遭到网络犯罪分子攻击的德语应用技术大学。 勒索软件在德国疯狂肆虐 今年3月，勒索软件组织Vice Society在网站上添加了汉堡应用技术大学（HAW Hamburg），声称去年年底对该学校发动了一次攻击。 今年2月，瑞士最大的苏黎世大学宣布成为一次“严重网络攻击”的目标，一位发言人告知外媒The Record，此次攻击“是当前对教育和卫生机构持续攻击的一部分”。 而在此之前的一周，德国萨克森-安哈尔特州的哈尔茨应用技术大学（Harz University of Applied Sciences）、鲁尔西区应用技术大学（Ruhr West University）和德国欧洲应用科学大学（EU/FH European University of Applied Sciences）也宣布受到了络攻击。 早在今年1月，勒索软件组织Vice Society表示对德国杜伊斯堡-埃森大学（University of Duisburg-Essen）去年11月遭遇的网络攻击负责。 在德国其他地方，勒索软件攻击也对私营行业产生了影响。莱茵金属（Rheinmetall）武器公司指责勒索软件组织Black Basta在5月对其进行了攻击。 今年春天，德国法定医疗保险系统最大的IT服务提供商Bitmarck、药物研发巨头Evotec也遭到攻击。     转自 安全内参，原文链接：https://www.secrss.com/articles/55586 封面来源于网络，如有侵权请联系删除

国际制药巨头卫材（Eisai）公司日前披露了一起勒索软件事件，攻击者加密了部分服务器并导致运营受到影响。 卫材公司总部位于日本东京，年收入为53亿美元，拥有1万多名员工。公司在日本、英国、美国北卡罗来纳州和马萨诸塞州等地拥有九个制造设施和15个医学研究单位。该公司开发和生产用于治疗各种癌症和化疗副作用的药物，以及抗癫痫、神经病与痴呆症的药物。 勒索软件攻击发生在周末 卫材官方网站发布的通知显示，该公司在周末遭受了到勒索软件攻击。这是攻击者发起攻击的典型时间，因为节假日期间IT团队人手不足，无法有效应对迅速变化的情况。 通知称，“日本时间6月3日星期六深夜，检测到针对卫材集团部分服务器实施加密锁定的勒索软件事件。” “我们立即执行了事件响应计划，并在网络安全合作伙伴的帮助下展开调查，同时在全公司范围内召集了工作组以快速制定响应程序。” 该公司将大量IT系统断开网络以遏制损害，并防止勒索软件蔓延至公司网络的其他部分。 卫材公司表示，受勒索攻击事件影响，该公司在日本国内外的多个系统（包括物流系统）被迫下线并停止服务，预计调查结束后才能恢复。 不过，公司网站和电子邮件仍在正常运作。 该公司立即将事件上报给了相关执法部门，并聘请外部网络安全专家协助其加快恢复速度。 卫材表示正在调查数据泄露的可能性，目前无法排除这一潜在风险。 另外，也不确定此次网络攻击对公司本财年综合收益预期的影响。 目前还没有勒索软件团伙在其勒索网站上宣布对此次攻击负责，因此肇事者身份仍然成谜。 2021年12月，卫材公司曾遭受AtomSilo勒索软件团伙（现已解散）攻击。尽管AtomSilo勒索网站现已下线，但该团伙当初曾在这里泄露过从卫材内部窃取的多个MDF和LDF数据库。 2021年AtomSilo向卫材发出的勒索说明 转自 安全内参，原文链接：https://mp.weixin.qq.com/s/MYxnSGPqP1MaiLrG5YQgow 封面来源于网络，如有侵权请联系删除

世界水果巨头都乐（Dole）公司在日前发布的第一季度财报中披露，今年2月的勒索软件攻击事件，造成了1050万美元（约合人民币7400万元）的直接成本，其中约480万美元用于保证持续运营。 这次攻击对都乐公司的业务影响整体较为有限，主要受影响了公司新鲜蔬菜和智利市场的业务。都乐公司CEO Rory Byrne在上周四的财报电话会议上表示，此次攻击给其新鲜蔬菜业务造成了约570万美元的成本。 Byrne说，“尽管问题本身相当复杂并造成了高昂成本，但公司员工在保障都乐系统恢复协议按预期起效上付出的努力很值得赞赏。” 根据向美国证券交易委员会提交的6-K文件来看，此次攻击影响到都乐传统业务约半数服务器和四分之一的用户计算机。 恶意黑客还窃取了一部分公司数据，包括某些员工信息。都乐公司管理层在文件中提到，没有证据表明员工数据已遭公开。 都乐食品于2021年同爱尔兰Total Produce公司合并，成立全球最大农产品公司都乐公共有限公司，合并后的总部位于都柏林。 都乐表示，自攻击发生以来，所有受到影响的服务器和最终用户计算机均已得到恢复或和还原。该公司还表示，已经聘请第三方网络安全专家协助调查攻击并开展补救，并一直在与执法部门进行合作。 Byrne今年3月曾警告称，都乐公司预计无法完全抵消攻击成本，并指出在北美市场获取足够的网络安全保险费用过于高昂，令人望而却步。     转自 安全内参，原文链接：https://www.secrss.com/articles/54935 封面来源于网络，如有侵权请联系删除

美国大型技术提供商ScanSource宣布遭受勒索软件攻击，其部分系统、业务运营和客户门户均受到影响。 ScanSource是一家美国上市的IT与电信分销商，并提供POS与支付、安全、AIDC（自动识别与数据捕捉）等特定解决方案。该公司旗下还拥有云服务商与教育平台Intelisys、云分销商与托管服务商intY等品牌。ScanSource在2022财年营收为35.3亿美元。 从5月15日左右开始，外媒BleepingComputer收到ScanSource客户反馈，称发现无法正常访问SanSource的客户门户与官方网站，担心其遭受到网络攻击。 图：安全内参发现ScanSource官网已变成一个单页面的静态网页，网络事件公告置顶在首屏 5月16日，ScanSource证实公司确实在前天遭受了勒索软件攻击，并导致部分系统受到影响。 该公司已经开始实施事件响应计划，包括上报执法部门、寻求取证和网络安全专业人士的帮助。 相关专家正协助开展调查并实施处置策略，希望尽量减轻事件造成的运营中断。 此番网络攻击引发巨大影响。ScanSource公司警告称，未来一段时间内，面向客户的服务将存在延迟，预计将影响北美和巴西地区的业务。 公司新闻稿称，“我们正努力让受影响的系统重新上线，同时减轻事件对业务造成的影响。” “ScanSource对由此可能给北美及巴西地区的客户和供应商造成的任何不便或业务延误表示遗憾，并感谢他们的耐心等待。” 作为一家科技企业，ScanSource是在纳斯达克上市的财富1000强企业之一。可能是受到网络攻击事件披露的影响，公司股价在披露当天下跌了1.42%。 截至消息发布时，尚不清楚此次攻击来自哪个勒索软件团伙，也不确定是否涉及数据失窃。     转自 Freebuf，原文链接：https://www.freebuf.com/news/367169.html 封面来源于网络，如有侵权请联系删除

FPV无人机竞赛护目镜制造商Orqa称，一个承包商在其设备的固件中植入代码，作为一个隐形威胁，旨在使设备瘫痪，索取高昂赎金。 4月30日，Orqa收到客户的报告，FPV.One V1护目镜开机后会直接进入引导程序模式无法正常使用。 随后该公司透露，这个问题是由日期/时间功能引起的固件错误造成的。 Orqa说：在这场危机的5、6个小时内，我们发现这个问题是由一个勒索软件引起的，这个勒索软件是几年前由一个黑心的前承包商秘密植入到我们的引导程序中的，目的是为了从公司获得高昂的赎金。 攻击者毫无商业信誉，为了不引起怀疑，他在过去几年里还与我们保持着业务关系，直到这次暴雷。 此次 “赎金软件定时炸弹攻击 “背后的承包商据称已经发布了一个 “未经授权的二进制文件”，说是可以解决FPV.One护目镜瘫痪的问题。 然而，该公司警告客户不要安装非官方固件，目前公司正在积极的测试以寻求解决的方法。 该公司表示，由于攻击者已经公开了他的所作所为，并发布了另一个被破坏的固件，我们决定让用户了解这一情况，并警告他们在设备上安装非官方固件的风险，积极的保障我们用户的利益。 除此之外，我们的安全审查发现，只有一小部分代码受到这个恶意软件的影响，目前正在进行修复。 修复后的固件预计将在新版本公开发布。     转自 Freebuf，原文链接：https://www.freebuf.com/news/365496.html 封面来源于网络，如有侵权请联系删除