标签: 勒索软件

LockBit 被破解!日本警方已帮助3家企业恢复数据

据日本媒体报道,日本警察厅已成功解密由LockBit勒索软件组织加密的文件,帮助至少 3 家公司在没有支付赎金的情况下恢复了数据。 反恶意软件供应商 Malwarebytes 最近表示, LockBit 是2022 年最多产的勒索软件团伙,在全球范围内进行了数百次已确认的攻击,但现在日本警察厅似乎找到了消除威胁的方法。 这要归功于日本警察厅今年 4 月新成立的网络警察局和网络特别调查组,大约 2400 名调查人员和技术人员开始专注于网络犯罪领域。“我们因此能够避免丢失数据或需要付费才能取回数据。”今年9 月曾遭受 LockBit 攻击的汽车零部件制造商 Nittan 的一位代表告诉媒体。 据悉,日本警察厅已经开始着手与其他国家调查机构分享其解密方法。碰巧的是,国际反勒索软件特别工作组也可能会在2023年1月开始运作。该工作组包括美国、日本及澳大利亚,它们共同属于Counter Ransomware Initiative,该合作伙伴关系包括了欧盟在内的 36 个国家。 早在几年前,欧洲刑警组织和 IT 安全公司就开始提供免费的恢复工具,私营公司也开发了一些自己的工具。然而,这些大多适用于较旧的恶意软件,并没有对较新版本的勒索软件起到太大作用。 LockBit 自 2019年末出现以来,已迅速更跌至3.0版本,成为最流行的勒索软件系列之一,勒索目标涵盖了大型跨国公司及地方政府,权威人士认为 LockBit 的成功源于该组织成熟的RaaS(勒索软件及服务)运作能力。此外,由于LockBit 组织相对分散,局部的执法行动很难动其根基,因此研发解密工具无疑是现阶段一种比较有效的反制措施。   转自 Freebuf,原文链接:https://www.freebuf.com/articles/353927.html 封面来源于网络,如有侵权请联系删除

俄亥俄州法院、警察局遭到 LockBit 勒索软件攻击

Therecord 网站披露,俄亥俄州芒特弗农市警察局、法院和其它政府办公室遭到勒索软件攻击。市政府官员表示,本市信息技术 IT 供应商使用的某个远程访问工具中存在一个安全漏洞,攻击者安装了名为 LockBit 的勒索软件,并要求支付赎金以获取某些文件。 攻击事件发生后,市政府安全专家和 IT 供应商 Dynamic Networks 一直在努力利用备份恢复所有受影响的系统。从发布的声明来看,易受勒索软件影响的软件已经从所有系统中移除了。 LockBit 勒索软件团伙 2022 年,勒索软件团伙针对新泽西、科罗拉多、俄勒冈、纽约和其他几个州的政府展开了网络攻击。 专家指出,这是针对地方、州和国家政府持续攻击趋势的一部分,今年发生了 175 起针对政府的网络攻击,相比 2021 年 196 起有所下降,但仍然是一个大问题。 LockBit 已迅速成为 2022 年最“活跃”的勒索软件团伙,今年对世界各地政府机构、公司和组织发动了数百次网络袭击。该团伙在 2020 年 1 月开始崭露头角,目前已经成为世界上最活跃和最具破坏性的勒索软件变种之一。 根据 Recorded Future 从勒索网站、政府机构、新闻报道、黑客论坛和其它来源收集到的数据来看,LockBit团伙 与 8 月份发生的 82 次网络攻击事件有关,受害者总数更是达到 1111 个。 法国警方也表示,LockBit 上个月对巴黎东南部一家医院进行破坏性的网络攻击,此次攻击破坏了医院的医疗影像、病人入院和其它服务。此外,据网络安全公司 Dragos 的数据,第二季度针对工业系统的勒索软件攻击中约有三分之一是由 LockBi t发起的。 截至 2022 年 12 月,勒索软件攻击的图表。 自 6 月以来,LockBit 组织的活动突然激增,值得一提的是,该组织还推出了新版本 LockBit 3.0”,据称该版本包括技术改进和漏洞赏金计划。     转自 Freebuf,原文链接:https://www.freebuf.com/news/353816.html 封面来源于网络,如有侵权请联系删除

Royal 勒索软件攻击瞄准美国医疗系统

美国卫生与公众服务部(HHS)发出警告称:名为Royal的勒索软件组织正对国家医疗保健系统发起攻击。 该机构的卫生部门网络安全协调中心(HC3)说:”虽然大多数已知的勒索软件运营商都提供勒索软件服务,但Royal似乎是一个没有任何附属机构的私人团体,同时对于攻击的目标也一直出于经济目的。 目前,该组织声称要窃取数据进行双重勒索攻击,他们也会渗出敏感数据。 据Fortinet FortiGuard实验室称,Royal勒索软件至少从2022年开始活跃。该恶意软件是一个用C++编写的64位Windows可执行文件,通过命令行启动,这也表明它需要人工操作来触发在进入目标环境后感染。 除了删除系统中的卷影副本外,Royal还利用OpenSSL加密库对文件进行AES标准的加密,并在文件后缀上”.royal”。 上个月微软披露,它正在跟踪的一个名为DEV-0569的团体被观察到通过各种方法部署勒索软件。 这包括通过恶意广告、假的论坛页面、博客评论,或通过钓鱼邮件将恶意链接传递给受害者,导致合法的应用程序(如Microsoft Teams或Zoom)被安装流氓程序文件。 据了解,这些文件藏有一个被称为BATLOADER的恶意软件下载器,然后被用来提供各种各样的有效载荷,如Gozi、Vidar、BumbleBee,此外还滥用远程管理工具(如Syncro)来安装Cobalt Strike,以便后续部署勒索软件。 这个勒索软件团伙尽管今年才出现,但据了解该组织是由来自其他组织的有经验的攻击者组成,这表明了攻击方式在不断进化。 目前Royal勒索软件对医疗保健系统的攻击主要集中在美国,赎金要求从25万美元到200万美元不等。   转自 Freebuf,原文链接:https://www.freebuf.com/news/352319.html 封面来源于网络,如有侵权请联系删除

Vice Society 勒索软件太猖狂,一年内袭击 33 个教育机构

The Hacker News 网站披露,Vice Society 勒索软件组织增加了对教育机构的网络攻击,在 2022 年期间,该组织袭击了 33 个教育机构,超过 LockBit、BlackCat、BianLian 和 Hive 等其它勒索软件团伙。 从 Palo Alto Networks Unit 42 分享的数据分析结果来看,除教育机构外,Vice Society 其它攻击目标主要涉及医疗保健、政府、制造业、零售业和法律服务业等领域。 2022 年,Vice Society 100 多个受害者中,美国报告了 35 例,其次是英国 18例,西班牙 7 例,巴西和法国各 6 例,德国和意大利各 4例,澳大利亚 3 例,如此多攻击事件使其成为最具影响力的勒索软件团伙之一。 自 2021 年 5 月开始活跃以来,Vice Society 与其它勒索软件团队主要区别在于其不使用自己的勒索软件变体,而是依赖于地下论坛上出售的 HelloKitty 和 Zeppelin 等预先存在的勒索程序二进制文件。微软曾以 DEV-0832 的名义追踪过该组织活动轨迹,发现在某些情况下,Vice Society 尽量避免部署勒索软件直接勒索,而是利用窃取的数据进行勒索。 根据 Unit 42 的研究结果,Vice Society 一般会在受害者系统环境中“潜伏”时间 6 天左右,最初要求的赎金往往不会超过100万美元,在与受害者谈判后可能还会下降 60%左右。 最后,Umit 42 研究员 JR Gumarin 强调,网络安全能力有限、资源有限的教育机构往往最容易受到网络威胁,正在成为勒索软件组织的潜在目标。   转自 Freebuf,原文链接:https://www.freebuf.com/news/351858.html 封面来源于网络,如有侵权请联系删除

开源勒索软件工具包 Cryptonite 变成意外的擦除器恶意软件

Hackernews 编译,转载请注明出处: 一个名为Cryptonite的开源勒索软件工具包版本因其“架构和编程薄弱”而在野外被观察到具有擦除器功能。 与其他勒索软件不同,Cryptonite无法在地下网络犯罪网站上出售,而是直到最近才由名为CYBERDEVILZ的攻击者通过GitHub存储库免费提供。源代码及其分支已经被删除。 该恶意软件是用Python编写的,它利用加密包中的Fernet模块对扩展名为“.cryptn8”的文件进行加密。 但Fortinet FortiGuard实验室分析的一种新样本发现,它可以锁定文件,但无法重新解密,本质上就像一个破坏性数据擦除器。 但这一变化并非攻击者的故意行为,而是由于缺乏质量保证,导致程序在完成加密过程后试图显示勒索通知时崩溃。 Fortinet研究人员Gergely Revay在周一的一篇报道中表示:“这个漏洞的问题在于,由于勒索软件的设计简单,如果程序崩溃,甚至关闭,就无法恢复加密文件。” 勒索软件程序执行过程中引发的异常也意味着用于加密文件的“密钥”永远不会传输给运营商,从而锁定用户的数据。 这一发现是在勒索软件领域不断发展的背景下得出的,以文件加密恶意软件为幌子的擦拭器越来越多地部署在不允许解密的情况下覆盖数据。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

勒索软件凶猛!法国巴黎又一医院暂停运营并转移患者

安全内参12月6日消息,上周末,法国巴黎一家综合性医院遭到勒索软件攻击,被迫叫停医疗手术并转移了6名患者。 法国卫生部表示,凡尔赛医院中心目前已经陷入无计算机系统可用的困境,该医疗综合体旗下有两所医院与一家养老院。 6名患者中,3名转移患者来自重症监护室,另外3名则来自新生儿病房。法国卫生部长弗朗索瓦·布劳恩 (Francois Braun)周日警告称,此次攻击后可能还有更多患者需要被转移至其他位置,并导致“医院进行了全面组织调整”。 这位部长在推特上表示,“这种以法国民众健康为要挟的行为不可接受……我们正在动员一切专业人员,确保给予患者护理和照料。” 虽然医院内部重症监护室的关键设备仍在运行,但由于内部网络故障再加上员工人手不足,已经无法单独监控各设备发回的生命体征。 巴黎检察官已经对这起所谓“勒索未遂”案件展开初步调查。 近几月法国医疗机构频遭网络攻击 布劳恩表示,近几个月来,包括凡尔赛医院中心在内,法国的医疗保健服务机构“每天都会遭到攻击”。不过其中“绝大多数”攻击都被成功阻止。 今年8月,巴黎另一家医院Center Hospitalier Sud Francilien也遭到勒索软件攻击,经过数周时间才得以恢复。 该医院雇员和患者的敏感数据被勒索团伙发布至其官方主页。法国警方已将此次攻击的幕后黑手归因于LockBit勒索软件团伙。 针对本次攻击,外媒The Record已经联系卫生部、法国国家网络安全机构国家信息系统安全局(ANSSI)并提出置评请求。 就在攻击前不久,上任已有八年九个月的法国国家信息系统安全局局长Guillaume Poupard宣布即将离职。 转自 安全内参,原文链接:https://www.secrss.com/articles/49773 封面来源于网络,如有侵权请联系删除

勒索软件已冲击国家安全?英国议会启动专项调查

安全内参11月30日消息,英国议会国家安全战略联合委员会(JCNSS)周一举行首次证据介绍会,调查其国家安全战略能否有效应对勒索软件威胁。 联合委员会主席玛格丽特·贝克特(Margaret Beckett)议员表示,这次介绍会旨在确定“威胁的规模和性质”。 在此之前,由英国上、下议院议员组成的联合委员会已开放证据提交通道。 预计后续听证会将进一步引入应对勒索软件攻击的证人,包括受害者及执法机构。其中一部分由委员会传唤,另一些则根据书面证据进行选择。 勒索软件威胁规模有多大? 贝克特表示,“人们似乎普遍认为,近年来勒索软件威胁正持续恶化,但总体上仍缺少能够证明威胁规模的可靠数据。” 网络安全公司NCC Group首席技术官Ollie Whitehouse、咨询公司Control Risks网络事件响应负责人Jayan Perera以及牛津大学网络安全教授Sadie Cresse三位证人,在本次介绍会上提出了以下几大要点: 针对英国组织的勒索软件攻击在实际“规模”上缺乏可见性; 尽管不清楚攻击事件的真实数量,但其他数据来源证实这确实是个普遍存在的威胁; 所谓“泄露网站”所公布的信息,并不足以体现其他未公开被盗数据的网络勒索活动; 勒索攻击事件上报的普及度不高,组织只在有明显好处时才会选择与政府和执法部门接触; 应当以仍在持续发展的网络安全科学为基础,据此探索对勒索软件的抵御之道。 会上公布了哪些证据? 在本次调查之前,英国政府已经发布过两项国家安全战略审查:第一是2021年的安全、国防、发展与外交政策综合审查,其中将勒索软件确定为“最有害的网络犯罪形式之一”;第二是今年的英国国家网络战略,其中将勒索软件描述为“英国面临的最重大网络威胁”,且“可能与国家支持的间谍活动具备同等危害”。 在听证会的开场,Ollie Whitehouse引用了美国财政部金融犯罪执法网络(FinCEN)本月早些时候发布的数据。数据显示,2021年全美勒索软件攻击和支付赎金数额均创下新纪录。 他指出,上报的事件已经由2020年的487起跃升至1489起,同比增长约300%。但2022年期间,NCC Group对勒索软件泄露网站的分析显示,受害者数量减少了7%至10%。 Jayan Perera观察到,俄乌战争似乎影响到了勒索软件即服务(RaaS)生态系统。知名勒索软件组织Conti内部的亲俄与亲乌派成员就曾发生过冲突,地缘政治争端后来导致其聊天记录泄露。 Sadie Cresse多次强调犯罪团伙的经济学原理,例如确定供应链攻击如何通过一次投入拿下多位受害者,以此获取规模经济收益。 她还指出,尽管Conti组织已经覆灭(该团伙此前曾攻击哥斯达黎加政府引发该国政治动荡),但其个人成员仍可能以新的身份继续活跃,这也体现出犯罪生态系统的内部流动性。 “隧道尽头没有光明” 英国上议院议员Baroness Crawley援引媒体报道,提到勒索软件攻击已经成为英国政府内阁办公室简报室(COBR)召开会议的主要原因。 报道称,尽管经过几个月的工作,内政部领导的勒索软件“冲刺”已经在一年前结束,但政府方面仍未采取任何切实行动以应对这一威胁。 直接负责勒索软件事务的官员表示,他们觉得隧道尽头没有光明,甚至完全感受不到有助于英国遏制这方面问题的任何希望。 Perera和Whitehouse都对政府的迟缓行动做出辩护。Creese则表示,“其实勒索软件中还涉及其他多种网络威胁类型,所以我建议把对勒索软件的担忧转化为对网络弹性的整体推进。” 转自 安全内参,原文链接:https://www.secrss.com/articles/49576 封面来源于网络,如有侵权请联系删除

Koxic 勒索软件在韩国传播

据悉,Koxic勒索软件正在韩国境内传播。它在今年早些时候首次被发现,最近该团队发现,一个外观和内部勒索笔记都经过修改的文件被检测到,并被ASD基础设施屏蔽。 当感染时,“.KOXIC_[Random string]”扩展名将添加到加密文件的名称中,并在每个目录中生成TXT文件勒索通知。 最近收集的勒索信与BlueCrab(Sodinokibi,REvil)勒索软件的勒索笔记相似,该勒索软件曾在韩国发行。 BlueCrab有自己的网站,并指定用户应该通过TOR浏览器访问它。与BlueCrab相反,Koxic勒索软件通过电子邮件指导联系。 在过去收集的Koxic勒索软件样本中,有些样本的勒索笔记完全不同,有些则与BlueCrab格式几乎相同。但这两个勒索软件之间似乎没有直接联系,因为它们的代码没有相似之处。 另外需要注意的是,部分名称被故意更改以隐藏UPX包装。这种技术被称为UPX技巧,是一种常用的方法,用UPX打包的文件被修改以阻碍分析或绕过AV软件的自动解包。   更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/2027/ 消息来源:ASEC,封面来自网络,译者:Shirley。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

勒索软件组织控制加拿大城镇 Westmount 以索取赎金

邪恶的LockBit 3.0网络犯罪组织声称对加拿大魁北克小城Westmount(韦斯特芒特)的勒索软件攻击负责,该攻击导致Westmount的市政服务停止并关闭了员工电子邮件帐户,勒索者要求该市在12月4日之前支付一笔未公开数字的赎金。通过电话联Westmount市长,21日下午晚些时候,在得知袭击事件发生24小时后,仍然没有具体信息可以传达。市长和信息技术部门都无法确定黑客是否真的能够窃取公民或员工的信息。 Westmount是魁北克西南部一个拥有近21,000名居民的城市,周一(21日)最初报告称,由于不明原因的计算机中断,该市的电子邮件服务无法使用。后来,该市证实此次中断还影响了其他市政服务,并且源于有针对性的网络攻击。 该市网站上公告称电子邮件系统停服 “不幸的是,网络攻击在我们的社会中变得越来越普遍和复杂,尽管我们采取了所有措施,但公共行政部门并不能完全免受这一悲惨现实的影响,”Westmount市长克里斯蒂娜史密斯在一份声明中说。“我想向所有Westmount市民保证,我们的团队正在认真和勤奋地工作以应对这种情况,我们会随时通知居民。” Westmount市在政府网站上发布的消息 该市没有对攻击的范围发表评论,但表示已聘请一家网络安全公司进行调查并尽快恢复其系统。为了从袭击中恢复过来,Westmount得到了魁北克市政联合会的帮助。该组织委托VARS(Raymond Chabot Grant Thornton 的子公司)支持该市。 魁北克当地数字新闻机构La Presse援引该市IT主管Claude Vallières的话说,“我们知道我们有服务器被加密,但不知道是谁攻击了我们。我们仍在调查受感染的服务器,但我们没有与任何人进行过任何沟通。”最早发现异常的,是一名员工在周日(20日)早上报告了一台电脑的问题。作为预防措施,随后关闭了几台机器,”Claude Vallières 说。“我们将努力阻止感染。他的团队花了一整天的时间进行调查。 LockBit 3.0勒索软件组织声称对此次攻击负责,并表示已成功下载14TB的敏感数据。作为勒索软件即服务组织运营的LockBit 示,如果在接下来的两周内未支付赎金,它将公布被盗数据。 这条给Westmount的消息发布在LockBit暗网博客网站上。(来源:ISMG) LockBit勒索软件团伙以2021年针对埃森哲的勒索软件攻击而闻名,在进行了两个月的Beta测试并为道德黑客提供漏洞赏金以检查解密代码后,于2022年6月推出了LockBit 3.0恶意软件。 LockBit运营者发布了显示不同部门文件和其他数据的屏幕截图作为他们索赔的证据,但信息安全媒体集团无法立即联系市政当局并确认文件的真实性。 此次攻击发生在加拿大网络安全中心发布新的《2023-2024年国家网络威胁评估》之后。该报告中关键发现的第一条就是:勒索软件是对加拿大组织的持续威胁。网络犯罪仍然是最有可能影响加拿大人和加拿大组织的网络威胁活动。由于其对组织运作能力的影响,勒索软件几乎可以肯定是加拿大人面临的最具破坏性的网络犯罪形式。部署勒索软件的网络犯罪分子已经在不断发展和复杂的网络犯罪生态系统中进化,并将继续适应以实现利润最大化。 “只要勒索软件仍然有利可图,我们几乎肯定会继续看到网络犯罪分子部署它,”报告说。 美国司法部最近的一份声明,Lockbit是“最活跃和最具破坏性”的勒索软件之一。联邦调查局在对安大略省警察局 (OPP) 于10月底逮捕的一名俄裔加拿大人提起的诉讼中指出,他在最近几个月内“在世界上造成了至少1000名受害者。 Westmount市的官方网站并未受到此次攻击的影响,该市政府表示将在该网站上发布有关恢复情况的任何更新。市长向居民保证,数据安全是其“首要任务”,“保护我们居民和员工的信息也是如此”。 转自 安全内参,原文链接:https://www.secrss.com/articles/49270 封面来源于网络,如有侵权请联系删除

多方受害!Donut 勒索组织正对企业部署双重勒索

BleepingComputer在8月首次报道了Donut 勒索集团,将他们与对希腊天然气公司DESFA、英国建筑公司Sheppard Robson和跨国建筑公司Sando的袭击联系起来,证实Donut在对企业的双重勒索攻击中部署勒索软件。 而近期,BleepingComputer再次发现了用于Donut操作的加密器样本“VirusTotal”,进一步表明该组织正在使用自己定制的勒索软件进行双重勒索攻击。奇怪的是,Sando和DESFA的数据也被发布到几个勒索软件操作的网站上,Hive勒索软件声称发起了Sando攻击,Ragnar Locker则声称发起了DESFA攻击。 Unit 42研究员Doel Santos还表示:“赎金记录中使用的TOX ID可以在HelloXD勒索软件的样本中看到。这种被盗数据和附属关系的交叉发布让我们相信Donut Leaks背后的威胁行为者是众多行动的附属机构,现在正试图在他们自己的行动中将数据货币化。” Donut 勒索软件介绍 对于Donut勒索软件的分析仍在进行中。目前已知的是,在执行时,它会扫描匹配特定扩展名的文件进行加密。加密文件时,勒索软件会避开包含以下字符串的文件和文件夹: 当文件被加密时,Donut勒索软件会将.donut扩展名附加到加密文件。例如,1.jpg将被加密并重命名为1.jpg.donut。 由Donut勒索软件加密的文件 Donut Leaks的操作非常独特,其使用有趣的图形,在攻击中体现了一丝“幽默”。它甚至为可执行文件提供构建器,作为其Tor数据泄漏站点的网关。这种独特尤其体现在其赎金记录中,他们在其中使用了不同的ASCII艺术,例如旋转的ASCII甜甜圈。 Donut赎金记录 BleepingComputer看到的另一个勒索软件笔记会伪装成一个显示PowerShell错误的命令提示符,然后打印一个滚动的勒索笔记。为了避免被发现,赎金票据被严重混淆,所有字符串都经过编码,JavaScript在浏览器中解码赎金票据。这些赎金票据包括联系威胁行为者的不同方式,包括通过TOX和Tor协商站点。 Donut赎金谈判现场 Donut勒索软件操作还在其数据泄露站点上包含一个“构建器”,该构建器由一个bash脚本组成,用于创建Windows和Linux Electron应用程序,并带有捆绑的Tor客户端以访问其数据泄露站点 D0nut勒索软件electron应用程序 总的来说,这个敲诈勒索团体值得关注,不仅仅因为他们明显的技能,还因为他们推销自己的能力。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/iclz2GKglxTW-dNQG4s-dg 封面来源于网络,如有侵权请联系删除