安全内参10月18日消息，德国报纸《海尔布隆言论报》（Heilbronn Stimme）在上周五（10月14日）遭遇勒索软件攻击，印刷系统陷入瘫痪，该报被迫以电子版形式发布最新一期内容。 上周六，该报已经发布了6页“应急”版，所有计划发表的讣闻均转移至官方网站。而且整个周末期间，报社的电话和电子邮件通信始终未能恢复上线。 这份地区性出版物的发行量约为75000份，受印刷问题的影响，其官方网站已经暂时取消了付费墙模式。该报的网站月度访问量约为200万次。 报社主编Uwe Ralf Heer表示，此次攻击对整个Stimme Mediengruppe媒体集团都造成了影响，具体包括旗下的Pressedruck、Echo与RegioMail等公司。 发行量25万4千份的Echo受到网络攻击影响，连网站上的电子版访问都出现了问题。但其在线新闻门户Echo24.de仍在正常运行。 Heer指出，此次攻击出自某知名网络犯罪团伙之手。该团伙于上周五晚对其系统进行了加密，并留下勒索说明。但截至上周六下午，对方仍未给出具体的赎金数额。 员工开始居家办公 按照报社通知，该报编辑开始在家中使用个人电脑工作，并拿到了由报社发放的新邮件地址。 该媒体集团正在与警方合作，希望尽快找到解决技术问题的方法，同时努力查明肇事元凶。 应德国内政部长Thomas Strobl的要求，巴登-符腾堡州的网络安全专家也开始协助修复工作。 通知中写道，“我们正与警方、数据保护及外部专家开展正式合作，希望尽快将运营恢复至正常水平。” “但就目前来看，我们无法预测能否在一周之内恢复报纸交付。” 在印刷系统恢复正常之前，《海尔布隆言论报》将继续通过来自卡尔斯鲁厄的第三方印刷“应急”版报纸。 由于该媒体集团本身也是发行商，因此海尔布隆地区的《南德意志报》（Süddeutsche Zeitung）和《斯图加特报》（Stuttgarter Zeitung）等其他主要报纸（发行量达35万份）也将暂停发行，直至另行通知。 转自 安全内参，原文链接：https://www.secrss.com/articles/48050 封面来源于网络，如有侵权请联系删除

8月29日，国内知名技术社区qidao123.com消息，我国多个安全技术社群开启疯狂吐槽模式，网传以用友为代表的头部管理软件厂商遭遇大规模勒索攻击，从而影响到无数下游企业，引发了难以想象的危害，其损失暂时无法估计。 由于病毒模块的投放时间与企业用户升级软件时间相近，因此有安全厂商表示，该勒索攻击事件有可能是黑客通过供应链污染或漏洞的方式进行投毒。简单来说，黑客首先通过漏洞或其他方式向受害者终端投放后门病毒模块，以此执行任意恶意模块（恶意模块数据被AES算法加密），再通过后门模块在内存中加载执行勒索病毒。 据悉，一旦被攻击，用户计算机文件被.locked后缀的勒索病毒加密，攻击者索要0.2个BTC（约合2.7万+人民币）的赎金。 目前受该勒索病毒影响的企业用户数量还在不断增加。根据现有的信息，该勒索病毒与之前流行的TellYouThePass勒索病毒为关联家族，甚至有可能就是TellYouThePass的最新变种。 建议：可能遭受攻击的企业用户应立即对本地数据进行手动备份和自动备份你，一旦不幸中招也可通过备份对数据进行恢复，或者求助于安全厂商，寻找解决方案。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/343248.html 封面来源于网络，如有侵权请联系删除

8月23日消息，前不久，网络安全机构Resecurity发布报告预测，到2031年，全球勒索软件勒索活动将达到2650亿美元，对全球企业造成的潜在总损失或达到10.5万亿美元。日前，360集团创始人、董事长 周鸿祎发文称，最近多起知名企业遭遇勒索攻击，在业界引起了热议。勒索攻击俨然已经成为“全球公敌”，严重影响企业业务发展。 周鸿祎表示，与传统攻击不同，勒索攻击已变成一种新商业模式。它不撬你的保险柜，而是给你做一个更大的保险柜，把你的保险柜也锁起来，而且被勒索后基本无解，你就只能交赎金。 据统计，在最严重的勒索软件攻击中，组织支付的平均赎金2021年比2020年增加近五倍，达到812360美元，中国勒索攻击起价也已达500万元。 前不久，国际知名服务器厂商思科公司证实被勒索攻击，泄露数据2.8GB，思科被窃取的数据包括大约3100个文件，许多文件是保密协议、数据转储和工程图纸。 根据其团队博文披露的细节，黑客是通过思科员工的个人谷歌浏览器个人帐户密码同步功能作为初始向量，从而获取了思科内部凭证。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1307461.htm 封面来源于网络，如有侵权请联系删除

据infosecurity消息，肆虐Android平台的银行木马 SOVA 卷土重来，和之前相比增加了更多的新功能，甚至还有可能进行勒索攻击。8月11日，安全公司 Cleafy 对SOVA木马进行细致调查，并以报告的形式分享了调查结果。 报告指出，2021年9月，SOVA首次被安全人员发现，当时其开发人员在暗网上发布了未来更新的路线图，并声称正在进入市场。在接下来的几个月里，Cleafy 公司还发现了SOVA的各种迭代版本，实现了更新路线图中提到的某些功能。其中包括双因素身份验证 (2FA) 拦截、cookie 窃取和针对新目标和国家（例如多家菲律宾银行）的注入。 根据报告，SOVA将分布式拒绝服务（DDoS）、中间人（MiTM）和 RANSOMSORT 功能整合到其武器库中——在现有的银行覆盖、通知操作和键盘记录服务之上。SOVA还可以模仿的目标包括需要信用卡访问才能操作的银行应用程序、加密货币钱包和购物应用程序。 2022年7月，Cleafy公司发现了SOVA (V4)版本，并在其最新的公告中进行详细说明，针对的目标应用APP也从2021年的90个增加至200个，包括银行应用程序和加密货币交易所/钱包。 Cleafy 公司在报告中表示，“SOVA最有趣的部分与虚拟网络计算功能有关，自 2021 年 9 月以来，此功能一直在 SOVA 路线图中，这是攻击者不断更新恶意软件新功能的一个有力证据。” 此外，SOVA的最新版本还可以从受感染的设备中获取屏幕截图、记录和执行手势以及管理多个命令。在 SOVA V4版本，cookie 窃取机制被进一步重构和改进，以指定目标 Google 服务的综合列表以及其他应用程序列表。而更新后的恶意软件可以通过拦截那些卸载应用程序的操作来保护自己。 值得注意的是，Cleafy声称发现了 SOVA 的新版本（V5），对于代码进行了重构，添加了一些新功能，与命令/控制 (C2) 服务器之间通信的一些小变化。虽然SOVA V5 缺少 VNC 模块，但它具有勒索软件功能，这在移动端中较为罕见。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/341757.html 封面来源于网络，如有侵权请联系删除

2022年8月10日，思科证实，Yanluowang勒索软件集团在今年5月下旬入侵了公司网络，攻击者试图以泄露被盗数据威胁索要赎金。 对此，思科发言人表示，攻击者只能从与受感染员工帐户相关联的 Box 文件夹中获取和窃取非敏感数据，声称公司及时采取了相应行动进行遏制。 “思科未发现此事件对我们的业务造成任何影响，包括思科产品或服务、敏感的客户数据或敏感的员工信息、知识产权或供应链运营。8 月 10 日，攻击者将此次安全事件中的文件列表发布到了暗网。但思科采取了额外措施来保护系统，并分享技术细节以帮助保护更广泛的安全社区。” Yanluowang 发给 Cisco 的邮件 用于破坏思科网络的被盗员工凭证 Yanluowang 攻击者在劫持员工的个人 Google 帐户（包含从其浏览器同步的凭据）后，使用员工被盗的凭据获得了对思科网络的访问权限。随后，攻击者多因素身份验证 (MFA) 推送说服员工接受该通知，并假冒受信任的支持组织发起了一系列复杂的语音网络钓鱼攻击。 最终，攻击者者诱骗受害者接受其中一个 MFA 通知，并在目标用户的上下文中获得了对 VPN 的访问权限。一旦他们在公司的企业网络上站稳脚跟，Yanluowang运营商随即横向扩展到思科服务器和域控制器。 在获得域管理员权限后，他们使用 ntdsutil、adfind 和 secretsdump 等枚举工具收集更多信息，并将一系列有效负载安装到受感染的系统上，其中就包括后门。 在获得初始访问权限后，攻击者进行了各种活动来维护访问权限，最大限度地减少取证，并提高他们对环境中系统的访问级别。虽然思科检测到了该攻击行为并将其驱逐出环境，但在未来的几周内，Yanluowang依旧尝试重新获得访问权限，均未成功。 黑客声称从思科窃取数据 虽然思科一再强调，Yanluowang勒索组织在攻击期间没有在其网络上部署任何勒索软件。 Talos 专家在报告中指出，“我们没有在这次攻击中观察到勒索软件的部署，但使用的 TTP 与“勒索软件前活动”一致，这是在受害者环境中部署勒索软件之前通常观察到的活动。观察到的许多 TTP 与 CTIR 在之前的交战中观察到的活动是一致的。我们的分析还建议重用与这些先前参与相关的服务器端基础设施。在之前的活动中，我们也没有观察到勒索软件在受害者环境中的部署。” 但攻击者声称已经从窃取了2.75GB数据，大约有3100个文件，其中很多文件涉及保密协议、数据转储和工程图纸。此外，攻击者还公布了一份在攻击中被盗的经过编辑的 NDA 文件，作为攻击的证据，并“暗示”他们破坏了思科的网络并泄露了文件。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/341607.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，一个名为“0mega”的新勒索软件正在针对全球组织进行双重勒索攻击，并要求受害企业支付数百万美元赎金。 经研究人员分析后发现，0mega 是 2022 年 5 月出现的一项新勒索软件操作，自那时以来已经攻击了许多受害者。 0mega 的详细信息 目前，研究人员还没有发现 0mega 操作的勒索软件样本，因此没有太多关于文件如何被加密的信息。但是，研究人员发现该勒索软件在加密文件的名称上附加了.0mega 扩展名，并创建了名为 DECRYPT-FILES.txt 的赎金记录。 这些赎金记录一般是针对每个受害者量身定制，通常包含公司名称和描述攻击中被盗的不同类型数据。此外，一些记录中还包含威胁信息，表示如果受害者公司不支付赎金，0mega  团伙将会向其商业伙伴和贸易协会透露攻击情况。 最后，这些赎金记录中还有一个 Tor 支付谈判网站的链接，其中包含受害者可以用来联系勒索软件团伙的 “支持” 聊天。 受害者若是想要登录该网站，必须上传自身赎金记录，其中包括该站点用来识别受害者的唯一 Base64 编码 blob。 专门的 0mega 数据泄漏网站 0mega 与几乎所有以企业为目标的勒索软件操作一样，专门运行一个自己的数据泄露站点，如果受害者不支付赎金，威胁攻击者将使用该站点发布被盗数据。目前，0mega 泄漏网站存放着 152 GB 的数据，这些数据是在 5 月的一次攻击中，从一家电子维修公司窃取而来。 值得一提的是，一名受害者上周被移除出泄露网站，这表明该公司可能已经支付了赎金。 0mega 作为一个新勒索软件，未来可能会进行更多的网络攻击，需要我们时刻密切关注。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/338777.html 封面来源于网络，如有侵权请联系删除

据报道，因为Elasticsearch数据库安全防护薄弱的缘故，导致其被黑客盯上，并被黑客用勒索信替换了其数据库的450个索引，如需恢复则需要支付赎金620美元，而总赎金打起来则达到了279,000美元。威胁行为者还设置了7天付款期限，并威胁在此之后赎金将增加一倍。如果再过一周没有得到报酬，他们说受害者会丢失索引。而支付了这笔钱的用户将得到一个下载链接，链接到他们的数据库转储，据称这将有助于快速恢复数据结构的原始形式。 该活动是由 Secureworks 的威胁分析师发现的，他们确定了450多个单独的赎金支付请求。根据Secureworks的说法，威胁行为者使用一种自动脚本来解析未受保护的数据库，擦除数据，并添加赎金，所以在这次行动中似乎没有任何人工干预。 而这种勒索活动并不是什么新鲜事，其实之前已经发生过多起类似的网络攻击，而且针对其他数据库管理系统的攻击手段也如出一辙。通过支付黑客费用来恢复数据库内容是不太可能的情况，因为攻击者其实无法存储这么多数据库的数据。 相反，威胁者只是简单地删除不受保护的数据库中的内容，并给受害者留下一张勒索信。到目前为止，在勒索信中看到的一个比特币钱包地址已经收到了一笔付款。但是，对于数据所有者来说，如果他们不进行定期备份，那么遇到这种情况并丢失所有内容就很可能会导致重大的经济损失。虽然一些数据库支持在线服务，不过总有业务中断的风险，其成本可能远远高于骗子要求的小额金额。此外，机构不应该排除入侵者窃取数据并以各种方式变卖数据的可能性。 不幸的是，还是有很多数据库在无任何保护的前提下暴露在公众视野前，只要这种情况继续存在，那它们肯定就会被黑客盯上。Group-IB最近的一份报告显示，2021年网络上暴露的 Elasticsearch 实例超过10万个，约占2021年暴露数据库总数的30%。根据同一份报告，数据库管理员平均需要170天才能意识到他们犯了配置错误，但这种失误已经给黑客留下了足够的攻击时间。 据报道，因为Elasticsearch数据库安全防护薄弱的缘故，导致其被黑客盯上，并被黑客用勒索信替换了其数据库的450个索引，如需恢复则需要支付赎金620美元，而总赎金打起来则达到了279,000美元。威胁行为者还设置了7天付款期限，并威胁在此之后赎金将增加一倍。如果再过一周没有得到报酬，他们说受害者会丢失索引。而支付了这笔钱的用户将得到一个下载链接，链接到他们的数据库转储，据称这将有助于快速恢复数据结构的原始形式。 该活动是由 Secureworks 的威胁分析师发现的，他们确定了450多个单独的赎金支付请求。根据Secureworks的说法，威胁行为者使用一种自动脚本来解析未受保护的数据库，擦除数据，并添加赎金，所以在这次行动中似乎没有任何人工干预。 而这种勒索活动并不是什么新鲜事，其实之前已经发生过多起类似的网络攻击，而且针对其他数据库管理系统的攻击手段也如出一辙。通过支付黑客费用来恢复数据库内容是不太可能的情况，因为攻击者其实无法存储这么多数据库的数据。 相反，威胁者只是简单地删除不受保护的数据库中的内容，并给受害者留下一张勒索信。到目前为止，在勒索信中看到的一个比特币钱包地址已经收到了一笔付款。但是，对于数据所有者来说，如果他们不进行定期备份，那么遇到这种情况并丢失所有内容就很可能会导致重大的经济损失。虽然一些数据库支持在线服务，不过总有业务中断的风险，其成本可能远远高于骗子要求的小额金额。此外，机构不应该排除入侵者窃取数据并以各种方式变卖数据的可能性。 不幸的是，还是有很多数据库在无任何保护的前提下暴露在公众视野前，只要这种情况继续存在，那它们肯定就会被黑客盯上。Group-IB最近的一份报告显示，2021年网络上暴露的 Elasticsearch 实例超过10万个，约占2021年暴露数据库总数的30%。根据同一份报告，数据库管理员平均需要170天才能意识到他们犯了配置错误，但这种失误已经给黑客留下了足够的攻击时间。 据报道，因为Elasticsearch数据库安全防护薄弱的缘故，导致其被黑客盯上，并被黑客用勒索信替换了其数据库的450个索引，如需恢复则需要支付赎金620美元，而总赎金打起来则达到了279,000美元。威胁行为者还设置了7天付款期限，并威胁在此之后赎金将增加一倍。如果再过一周没有得到报酬，他们说受害者会丢失索引。而支付了这笔钱的用户将得到一个下载链接，链接到他们的数据库转储，据称这将有助于快速恢复数据结构的原始形式。 该活动是由 Secureworks 的威胁分析师发现的，他们确定了450多个单独的赎金支付请求。根据Secureworks的说法，威胁行为者使用一种自动脚本来解析未受保护的数据库，擦除数据，并添加赎金，所以在这次行动中似乎没有任何人工干预。 而这种勒索活动并不是什么新鲜事，其实之前已经发生过多起类似的网络攻击，而且针对其他数据库管理系统的攻击手段也如出一辙。通过支付黑客费用来恢复数据库内容是不太可能的情况，因为攻击者其实无法存储这么多数据库的数据。 相反，威胁者只是简单地删除不受保护的数据库中的内容，并给受害者留下一张勒索信。到目前为止，在勒索信中看到的一个比特币钱包地址已经收到了一笔付款。但是，对于数据所有者来说，如果他们不进行定期备份，那么遇到这种情况并丢失所有内容就很可能会导致重大的经济损失。虽然一些数据库支持在线服务，不过总有业务中断的风险，其成本可能远远高于骗子要求的小额金额。此外，机构不应该排除入侵者窃取数据并以各种方式变卖数据的可能性。 不幸的是，还是有很多数据库在无任何保护的前提下暴露在公众视野前，只要这种情况继续存在，那它们肯定就会被黑客盯上。Group-IB最近的一份报告显示，2021年网络上暴露的 Elasticsearch 实例超过10万个，约占2021年暴露数据库总数的30%。根据同一份报告，数据库管理员平均需要170天才能意识到他们犯了配置错误，但这种失误已经给黑客留下了足够的攻击时间。 据报道，因为Elasticsearch数据库安全防护薄弱的缘故，导致其被黑客盯上，并被黑客用勒索信替换了其数据库的450个索引，如需恢复则需要支付赎金620美元，而总赎金打起来则达到了279,000美元。威胁行为者还设置了7天付款期限，并威胁在此之后赎金将增加一倍。如果再过一周没有得到报酬，他们说受害者会丢失索引。而支付了这笔钱的用户将得到一个下载链接，链接到他们的数据库转储，据称这将有助于快速恢复数据结构的原始形式。 该活动是由 Secureworks 的威胁分析师发现的，他们确定了450多个单独的赎金支付请求。根据Secureworks的说法，威胁行为者使用一种自动脚本来解析未受保护的数据库，擦除数据，并添加赎金，所以在这次行动中似乎没有任何人工干预。 而这种勒索活动并不是什么新鲜事，其实之前已经发生过多起类似的网络攻击，而且针对其他数据库管理系统的攻击手段也如出一辙。通过支付黑客费用来恢复数据库内容是不太可能的情况，因为攻击者其实无法存储这么多数据库的数据。 相反，威胁者只是简单地删除不受保护的数据库中的内容，并给受害者留下一张勒索信。到目前为止，在勒索信中看到的一个比特币钱包地址已经收到了一笔付款。但是，对于数据所有者来说，如果他们不进行定期备份，那么遇到这种情况并丢失所有内容就很可能会导致重大的经济损失。虽然一些数据库支持在线服务，不过总有业务中断的风险，其成本可能远远高于骗子要求的小额金额。此外，机构不应该排除入侵者窃取数据并以各种方式变卖数据的可能性。 不幸的是，还是有很多数据库在无任何保护的前提下暴露在公众视野前，只要这种情况继续存在，那它们肯定就会被黑客盯上。Group-IB最近的一份报告显示，2021年网络上暴露的 Elasticsearch 实例超过10万个，约占2021年暴露数据库总数的30%。根据同一份报告，数据库管理员平均需要170天才能意识到他们犯了配置错误，但这种失误已经给黑客留下了足够的攻击时间。 Secureworks强调，任何数据库都不应该是面向公众的。此外，如果需要远程访问，管理员应为授权用户设置多因素身份验证，并将访问权限仅限于相关个人。如果将这些服务外包给云提供商的机构，也应确保供应商的安全政策与他们的标准兼容，并确保所有数据得到充分保护。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/335077.html 封面来源于网络，如有侵权请联系删除

加拿大、德国军方的独家战机培训供应商Top Aces透露，已遭到LockBit勒索软件攻击； LockBit团伙的官方网站已经放出要求，如不支付赎金将公布窃取的44GB内部数据； 安全专家称，针对国防相关企业的攻击令人担忧，因为“无从得知被盗数据最终会落入哪里”，很可能流入对手国家； LockBit是目前最流行的勒索软件即服务平台之一，据统计今年已攻击了至少650个目标组织。 专门为空军提供战斗机培训服务的的加拿大公司Top Aces（顶级王牌）表示，已经遭到勒索软件攻击。 该公司在周三（5月11日）的一份声明中证实，正在对攻击事件开展调查。 Top Aces公司总部位于蒙特利尔，是“加拿大与德国武装部队的独家空中对抗演习供应商”，而它的名字已经出现在LockBit勒索软件团伙的泄密网站上。 图：LockBit受害者页面截屏。 Top Aces由一群前战斗机飞行员于2000年创立，号称拥有“全球规模最大的私营作战战斗机群”。 除了与加拿大、德国、以色列等国合作之外，该公司还在2019年同美国空军签署了一份利润丰厚的合同。合同中明确提到，Top Aces负责提供用于防御俄罗斯武器的训练工具。 安全厂商Emsisoft的威胁分析师Brett Callow指出，针对国防相关企业的攻击令人担忧，因为“无从得知被盗数据最终会落入哪里”。 Callow表示，“即使当前攻击背后只是一群以营利为目的的恶意黑客，他们仍有可能将数据以出售或其他形式提供给第三方，包括对手国家政府。” “近年来，国防工业基础领域的企业已先后遭遇多次攻击，政府必须找出一种可行的供应链安全增强方法。” Callow还提到，此前洛克希德马丁公司的零部件供应商Visser Precision，为美国民兵III洲际导弹等核威慑武器提供支持的军事承包商Westtech International，都遭遇过网络攻击。 LockBit勒索软件团伙给出的最后期限为5月15日，如果届时Top Aces仍未支付赎金，则泄露据称总计44 GB的失窃数据。 LockBit已成为最活跃勒索软件之一 LockBit是目前最为活跃的勒索软件团伙之一，仅在过去一年就发动了数百次攻击，并且愈发猖獗。据Recorded Future统计数据，2022年他们已经攻击了至少650个组织。 该团伙最近又犯下了两起轰动一时的大案，分别是一家流行的德国图书馆服务、巴西里约热内卢财政系统。 2021年8月，澳大利亚网络安全中心（ACSC）曾发布公告，警告称LockBit勒索软件攻击数量正在激增。 该团伙自2019年9月起一直保持运营，但一直处于边缘位置，直到后来开发出LockBit 2.0勒索软件即服务的全新平台版本。 随着Darkside、Avanddon、REvil等黑客团伙的消亡或退出，LockBit已经成为当下最为常见的勒索软件即服务平台之一。 转自 安全内参，原文链接：https://www.secrss.com/articles/42385 封面来源于网络，如有侵权请联系删除

美国农业机械巨头爱科遭到勒索软件攻击，部分生产设施运营受影响，可能持续多天； 有经销商表示，这导致拖拉机销售在美国最重要的种植季节停滞不前； 近一年来多家农业供应链企业遭到攻击，农业逐渐成为勒索攻击重点目标，FBI已接连发布两次行业预警。 美国知名农业机械生产商爱科（AGCO）宣布遭受勒索软件攻击，部分生产设施受到影响。 爱科经销商表示，拖拉机销售在美国最重要的种植季节停滞不前。 地区经销商B&G Equipment Inc总裁Tim Brannon表示，从周四（5月5日）起，他一直无法访问爱科网站来订购和查找零件。他表示，“我们正进入一年中最繁忙的时期，这将对我们的业务和客户造成了非常大的伤害。” 爱科部分生产设施运营受影响，可能持续多天 爱科公司没有提供任何关于业务中断的细节信息，但该公司可能会关闭部分IT系统，以阻断攻势蔓延。 “爱科仍在调查此次攻击的严重程度，预计未来几天内业务运营将受到负面影响，甚至可能需要更长时间才能完全恢复全部服务。恢复周期取决于公司的系统修复速度，我们将随情况进展发布更新。” ——爱科 从官方新闻稿来看，调查工作仍在进行中，预计此次攻击的影响将持续较长时间。 爱科是农业机械制造行业的巨头之一，年收入超过90亿美元，拥有21000名员工，旗下有Fendt、Massey Ferguson、Challenger、Gleaner及Valtra等品牌。 因此，勒索软件攻击造成的任何生产中断，都可能给爱科的设备生产与交付造成重大的供应链影响。 勒索软件攻击发生时，美国农业机械制造还面临着持续的供应链中断和罢工，导致难以满足农民的设备需求。 外媒就此事与爱科联络，希望了解关于此次攻击的更多信息。但一位发言人表示，目前尚无更多消息可以披露。 爱科公司股价在周五收盘时下跌5.76%，为123.3美元。 农业逐渐成为勒索攻击重点目标 FBI在最近（2022年4月）再次警告称，勒索软件攻击正逐渐将矛头指向美国农业部门，并重点提及了2022年的两起重大案例。 此前在2021年9月，FBI首次发布类似警告。那次后不久，NEW Cooperative与Crystal Valley两家大型农业合作社就遭遇到重大勒索软件攻击。 目前，所有与美国粮食生产和供应直接相关的实体，均被视为关键基础设施。恶意黑客希望通过胁迫受害者就范获取巨额利润。 受到紧张国际政治局势的影响，部分网络攻击也可能具有报复性动机，旨在破坏美国关键基础设施企业的生产活动。 5月5日，爱科公司宣布向乌克兰受战争影响区域的农民捐赠资金和种子。因此，也不排除有俄罗斯黑客对此实施报复性攻击的可能性。 转自 安全内参 ，原文链接：https://www.secrss.com/articles/42134 封面来源于网络，如有侵权请联系删除

虽然在 2021 年微软就已针对 Hive 勒索软件发布 Exchange 服务器的安全补丁，并敦促企业及时进行部署，但是依然有一些组织并没有及时跟进。消息称这些尚未跟进的组织近日再次遭受了 Hive 勒索软件的攻击，被黑客获得了系统权限。 在攻击获得系统权限之后，该勒索软件就会通过 PowerShell 脚本启动 Cobalt Strike，并创建了一个名为“user”的新系统管理员账户。 然后，攻击者使用 Mimikatz（一款功能强大的轻量级调试神器）来窃取域管理员的 NTLM 哈希值，并获得对该账户的控制。在成功入侵后，Hive 进行了一些发现，它部署了网络扫描仪来存储 IP 地址，扫描文件名中含有”密码”的文件，并尝试RDP进入备份服务器以访问敏感资产。 最后通过“Windows.exe”文件执行一个自定义的恶意软件有效载荷，用于窃取并加密文件，删除影子副本，清除事件日志，并禁用安全机制。随后，会显示一个勒索软件的说明，要求该组织与Hive的”销售部门”取得联系，该部门设在一个可通过 Tor 网络访问的.onion 地址。 被攻击的组织还被提供了以下指示： ● 不要修改、重命名或删除*.key.文件。你的数据将无法解密。 ● 不要修改或重命名加密的文件。你会失去它们。 ● 不要向警察、联邦调查局等机构报告。他们并不关心你的业务。他们只是不允许你付款。结果是你将失去一切。 ● 不要雇用恢复公司。没有密钥，他们无法解密。他们也不关心你的业务。他们认为自己是好的谈判者，但事实并非如此。他们通常会失败。所以要为自己说话。 ● 不要拒绝（sic）购买。渗出的文件将被公开披露。 如果不向Hive付款，他们的信息将被公布在 HiveLeaks Tor 网站上。同一网站上还会显示一个倒计时，以迫使受害者付款。 该安全团队指出，在一个例子中，它看到攻击者在最初入侵的72小时内设法加密环境。因此，它建议企业立即给Exchange服务器打补丁，定期轮换复杂的密码，阻止 SMBv1，尽可能限制访问，并在网络安全领域培训员工。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1261193.htm 封面来源于网络，如有侵权请联系删除