近日，西班牙环球银行(Bank Globalcaja)称其本地系统遭遇了勒索软件攻击，“Play”勒索软件组织声称将对此次攻击负责。 Globalcaja在twitter上发布的一份官方声明中提到：此次网络攻击发生在上周四，勒索组织激活了金融机构的安全协议。 此外，Globalcaja向客户保证，勒索软件攻击没有损害任何客户账户或协议，其电子银行平台Ruralvía的正常运作仍未受到影响。 该公司还证实，客户无须担心，可以继续安全地通过网上银行进行金融业务，现有的自动取款机也可以正常使用。作为预防措施的一部分，Globalcaja暂时关闭了特定的办公工作站，努力将此次攻击的影响将至最低。 Versa Networks的CRO Martin Mackay表示：金融部门对于勒索组织来说，是一个极具吸引力的目标，因为金融机构管理的数据和关键服务数量庞大。以客户信息为目标，以泄露数据为威胁，不仅会造成财务损失，还会危及银行的价值和声誉。 Martin Mackay称，虽然目前不知道Globalcaja是否满足了Play的赎金要求，但在这种情况下，最关键的就是不要屈服于该组织的任何要求。即便是支付赎金也不能保证被盗数据会被归还或不被泄露，这只会助长进一步的网络犯罪活动。 Globalcaja强调，他们正在尽力使目前的局势正常化，后面也会对这一事件进行深入的分析。Mackay补充说：一个比较积极的方面是Globalcaja有安全协议。 首席风险官还进一步表示，尚未采用安全协议的银行机构应考虑实施网络分段等措施，这些措施可以限制恶意软件的移动，并将漏洞的影响降至最低。 此外，Mackay总结道，整个网络中保持完整的可视性可以在快速识别和处理网络威胁方面发挥巨大作用。 而据Comparitech的数据研究主管Rebecca Moody说，今年针对金融机构的攻击事件有所增加。比如之前对美国Tri Counties银行的网络攻击。勒索组织BlackBasta声称，其对澳大利亚Latitude Financial的攻击可能泄露了约1400万条记录；以及对印度Fullerton（要求300万美元赎金）和印度尼西亚Syariah银行（要求2000万美元）的LockBit攻击。 Moody补充说：正如我们能从这次Globalcaja的最新案件中可以看到的那样，由于这些组织都拥有高度敏感的数据，所以一旦遭到攻击，就格外令人担忧。虽然金融机构不屈服于黑客的要求是十分正确的，但他们也必须帮助客户采取所有必要的步骤以保护自己免受身份盗窃和其他类型的欺诈。 转自 Freebuf，原文链接：https://www.freebuf.com/news/368604.html 封面来源于网络，如有侵权请联系删除

据 Ivanti 称，2023 年 3 月，报告的违规总数高于前三年报告的总和。 勒索软件组织不断将漏洞武器化，并将其添加到他们的武器库中，以对受害者发动破坏性和破坏性攻击。2023 年第一季度，研究人员发现了 12 个与勒索软件相关的新漏洞。他们还更新了正在跟踪的与勒索软件相关的关键指标，为企业保护其数据和资产免受这些不断升级的威胁提供了宝贵的见解。 与勒索软件相关的漏洞 前五名要点： 1.2023 年第一季度，有12 个新漏洞与勒索软件相关。 在过去的一个季度中，73% 的这些漏洞在互联网和深网和暗网中呈上升趋势。随着这种增加，现在有 7,444 种产品和 121 家供应商容易受到勒索软件攻击，其中微软以 135 个与勒索软件相关的漏洞位居榜首。 2.完整的MITRE ATT&CK杀伤链存在于59个漏洞中，其中两个漏洞是全新的。 MITRE ATT&CK杀伤链的漏洞允许攻击者端到端地利用它们（初始访问渗透），使它们极其危险。然而，流行的扫描器目前无法检测到其中三个漏洞。 3.流行的扫描器未检测到与勒索软件相关的 18 个漏洞，使企业面临重大风险。 4.开源漏洞有所增加。 目前有 119 个与勒索软件相关的漏洞存在于多个供应商和产品中。这是一个非常紧迫的问题，因为开源代码在许多工具中得到广泛使用。 5.两个高级持续威胁 (APT) 组织最近开始使用勒索软件作为首选武器。 包括 DEV-0569 和 Karakurt，使利用勒索软件的 APT 组织总数达到 52 个。 “我们不断从所有行业的客户那里听到，降低风险是他们的三大优先事项，当我们将其与我们的研究结果并列时，我们发现风险每个季度都在升级。安全人才短缺和 IT 预算紧缩限制了企业直面这些挑战。”Securin 首席执行官Aaron Sandeen表示，“私营和公共组织的安全取决于全方位应对这一挑战。” 弱点类别 该报告还追踪了导致勒索软件团体武器化的漏洞的弱点类别，强调了企业广泛使用的软件产品和操作系统缺乏安全性。对于企业及其安全团队，这份指数报告提供了有关勒索软件攻击者使用的趋势和技术的见解，这将帮助他们加强对这种风险的防御。“多年来，我们一直警告我们的客户注意软件制造商和 NVD 和 MITRE 等存储库忽略的漏洞。我们的预测性威胁情报平台已经能够在威胁被目前困扰全球组织的勒索软件团伙积极采用之前很久就向客户发出威胁警告。”Sandeen 说。除了使用更传统的策略外，威胁行为者还在不断改进他们的工具和策略，以使其更具破坏性。Ivanti 首席产品官 Srinivas Mukkamala表示：“IT 和安全团队面临的最大挑战之一是确定漏洞的优先级并修复漏洞，尤其是那些与勒索软件相关的漏洞。”他还指出，“我们现在才开始看到威胁行为者开始使用 AI 发起攻击。随着多态恶意软件攻击和攻击性计算的副驾驶成为现实，情况只会变得更加复杂。虽然尚未在野外出现，但勒索软件作者使用 AI 来扩展正在使用的漏洞和漏洞利用列表只是时间问题。这一全球挑战需要全球响应，以真正打击威胁行为者并将他们拒之门外。”     转自 E安全，原文链接：https://mp.weixin.qq.com/s/93_0ZncJP_ETx-_jYZ_6TA 封面来源于网络，如有侵权请联系删除

最近，汽车消费电子巨头 Voxx Electronics成为臭名昭著的勒索软件组织BlackCat的受害者，该团伙于5月24日在暗网上正式公开了此次攻击的详细信息。 BlackCat 在单独的 Voxx 泄漏页面上列出了一长串从公司窃取的数据类型，包括银行和财务记录、内部源数据及Voxx 客户和合作伙伴的机密文件，并发布了一个随机数据样本。 泄露的 Voxx 数据样本 BlackCat要求 Voxx在72小时内支付赎金，否则，他们不仅将公开出售这些数据，还会将这起攻击事件告知给 Voxx 的所有客户，并附带机密文件的下载地址。 BlackCat还透露他们之所以这么做，是因为最初 Voxx拒绝与他们合作，并挑衅地说道“拒绝合作将被视为完全同意将客户和合作伙伴的数据公开到公共领域，并将其用于犯罪目的。” Voxx 已不是近来BlackCat的唯一受害者，5月22日，该组织声称入侵了国际会计和咨询公司Mazar Group，并从中窃取了超过 700 GB 的敏感信息，包括客户协议和财务记录。今年2月，他们袭击了美国的多个实体，包括一个由十几家医院组成的医疗保健网络，尽管此前他们声称会避免针对医疗保健行业的勒索攻击。     转自 Freebuf，原文链接：https://www.freebuf.com/news/367505.html 封面来源于网络，如有侵权请联系删除

德国军工巨头莱茵金属（Rheinmetall）近日证实遭受了BlackBasta勒索软件攻击，影响了其民用业务。 莱茵金属的制造业务覆盖汽车、军用车辆、武器、防空系统、发动机和各种钢铁产品，拥有超过2.5万名员工，年收入超过70亿美元。 2023年5月20日星期六，BlackBasta在其勒索网站上发布了从莱茵金属窃取的数据样本。 公布的数据样本包括保密协议、技术原理图、护照扫描件和采购订单。 莱茵金属公司的发言人证实了这次攻击，并澄清说它只会影响其民用部门： “莱茵金属公司正在继续努力缓解勒索软件组织Black Basta的攻击。2023年4月14日我们检测到了该攻击，影响了集团的民用业务。” 莱茵金属宣称由于集团内部实施严格分离的IT基础设施，其军事业务不受攻击的影响。 此外，该公司表示已通知有关执法当局，并向科隆检察官办公室提出刑事诉讼。 莱茵金属公司在向乌克兰提供军事援助方面发挥着重要作用，最近通过启动一项新的战略合作计划，升级了与乌克兰一家国有储罐制造商的关系。 勒索软件组织BlackBasta于2022年4月开始活跃，最近多次成功入侵知名企业。 2023年5月7日，BlackBasta宣布对领先的电气化和自动化技术提供商ABB发动了攻击。 2023年4月，BlackBasta入侵了加拿大目录出版商黄页集团，在此过程中窃取了敏感文档和数据。 2023年3月22日，BlackBasta成功渗透到英国外包巨头Capita的企业网络，后者是英国政府和军队多个部门的签约供应商。     转自 GoUpSec，原文链接：https://mp.weixin.qq.com/s/wr27ffTyHte4s6q3DCXK1g 封面来源于网络，如有侵权请联系删除

多个恶意黑客团伙利用2021年9月Babuk（又名Babk或Babyk）勒索软件泄露的源代码，构建了多达9个针对VMware ESXi系统的不同勒索软件家族。 美国安全厂商SentinelOne公司的研究员Alex Delamotte表示，“这些变体在2022年下半年至2023年上半年开始出现，表明对Babuk源代码的利用呈现出上升趋势。” “在泄露源代码的帮助下，即使恶意黑客缺乏构建攻击程序的专业知识，也能对Linux系统构成威胁。” 许多大大小小的网络犯罪团伙都将目光投向ESXi管理程序。自今年年初以来，已经出现至少三种不同的勒索软件变种——Cylance、Rorschach（又名BabLock）和RTM Locker等，它们都以泄露的Babuk源代码为基础。 图：Babuk默认展示的赎金消息 SentinelOne最新分析表明，如今这种现象已经愈发普遍，Conti和REvil（又名REvix）等黑客团伙也开始利用Babuk源代码开发更多ESXi勒索软件。 其他将Babuk功能移植进自身代码的勒索软件家族还包括LOCK4、DATAF、Mario、Play和Babuk 2023（又名XVGV）等。 尽管出现了明显的趋势，但SentinelOne公司表示，它没有观察到Babuk同ALPHV、Black Basta、Hive及LockBit的ESXi勒索软件间存在相似之处。该公司还发现，ESXiArgs和Babuk之间同样“几乎没有相似之处”，表明之前的归因可能有误。 Delamotte解释道，“随着越来越多ESXi勒索软件采用Babuk源代码，恶意黑客们有可能会转向该组织基于Go语言开发的NAS勒索软件。在黑客群体之间，Go语言目前仍是个小众选项，但其接受程度正在不断增加。” 这一趋势始于Royal勒索软件的幕后团伙（疑似前Conti成员）扩展攻击工具库，他们曾将针对Linux和ESXi环境的ELF变体纳入自己的武器储备。 Palo Alto Networks旗下安全部门Unit 42发布文章也指出，“ELF变体与Windows变体非常相似，样本没有使用任何混淆技术。包括RSA公钥和赎金记录在内的所有字符串，均以明文形式存储。” Royakl勒索软件攻击会从各种初始访问向量（如回调钓鱼、BATLOADER感染或窃取凭证等）起步，随后投放Cobalt Strike Beacon以预备执行勒索软件。 自2022年9月出现以来，Royal勒索软件已在其泄露网站上宣称对157家组织的事件负责，其中大多数攻击针对美国、加拿大和德国的制造、零售、法律服务、教育、建筑及医疗服务组织。 转自 安全内参，原文链接：https://mp.weixin.qq.com/s/x6-cRbKCbM9xBXc5Wfrk_Q 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，网络安全公司 Dragos 近期遭遇了勒索软件攻击，一个网络犯罪团伙试图突破 Dragos 的防御系统，渗透到其内部网络，以期对设备进行加密。 Dragos 发言人表示虽然网络攻击者可以“访问” SharePoint 云服务和合同管理系统，但并证据表明攻击者破坏了内部网络系统和网络安全平台。 网络攻击者通过 Dragos 员工账户侵入系统 值得一提的是，网络攻击者入侵 Dragos 网络系统充满了戏剧性，他们利用了一名 Dragos 销售员工个人信息，完成员工入职过程中的初始流程。（该名员工入职前泄露了包括电子邮件在内的个人信息）。 成功入侵到 Dragos 的 SharePoint 云平台后，攻击者获得访问销售部门新员工可以使用的资源的权限，还下载了“通用数据”，并访问了 25 份通常只对客户可用的情报报告。好消息是，由于基于角色的访问控制（RBAC）规则，威胁攻击者不能访问包括消息传递、IT 服务台、财务、征求建议书（RFP）、员工识别和营销系统等其它 Dragos 系统。 勒索软件攻击事件时间线（Dragos） 网络攻击者在眼看迟迟不能攻破 Dragos 的内部网络后，随及向 Dragos 高管发送了一封勒索电子邮件。5小时后，Dragos 相关人员看到了 勒索消息，五分钟后，立刻禁用了被破坏的安全帐户，撤销所有活动会话。 Dragos 在声明中指出安全研究人员调查了公司安全信息和事件管理（SIEM）中的警报，阻止被攻击的账户，之后迅速聘请了第三方监测、检测和响应（MDR）供应商来管理事件响应工作，相信公司的分层安全控制阻止了威胁攻击者的行动。 Dragos 担心部分数据可能被公开 Dragos 发言人强调虽然外部事件响应公司和 Dragos 分析师认为勒索事件得到了最大程度的控制，但公司选择不支付勒索费用，事情发生也从未试图联系网络攻击者，因此有数据被盗和被公开的可能性。     转自 Freebuf，原文链接：https://www.freebuf.com/news/366207.html 封面来源于网络，如有侵权请联系删除

The Hacker News 网站披露，网络安全研究人员发现一种名为 CACTUS 的新型勒索软件正在利用 VPN 设备中的漏洞，对大型商业实体进行网络攻击。 Kroll 公司在与 The Hacker News 分享的一份报告中表示 CACTUS 一旦进入受害者网络系统，就开始尝试枚举本地帐户、网络用户帐户以及可访问的端点，创建新用户帐户，随后利用自定义脚本通过预定任务自动部署和“引爆”勒索软件加密器。 CACTUS  善于利用各种工具 自 2023 年 3 月以来，安全研究人员多次观察到 CACTUS 勒索软件一直针对大型商业实体。此外，网络攻击者采用了双重勒索策略，在加密前窃取敏感数据。值得一提的是，截至目前为止尚未发现任何数据泄露。 CACTUS 恶意软件利用存在漏洞 VPN 设备后，进入目标系统，设置一个 SSH 后门，以谋求后续能够“长久”入侵。在完成上述步骤后，开始执行一系列 PowerShell 命令进行网络扫描，并确定用于加密的计算机列表。 此外，在 CACTUS 恶意软件攻击过程中，还利用 Cobalt Strike 和 Chisel 隧道工具进行命令和控制，同时也“积极”利用 AnyDesk 等远程监控和管理（RMM）软件向受感染的主机推送文件。安全研究人员还观察到 CACTUS  恶意软件感染过程中禁用和卸载目标系统的安全解决方案，以及从 Web 浏览器和本地安全子系统服务（LSASS）中提取凭证以提升自身权限。 CACTUS 恶意软件权限提升主要通过横向移动、数据渗出和赎金软件部署来实现，其中赎金软件是通过 PowerShell 脚本实现的（Black Basta 也使用过类似方法）。 Cactus 与其它恶意软件存在明显差异 与其它勒索软件相比，Cactus 的不同之处在于其使用加密来保护勒索软件二进制文件，Kroll 负责网络风险的副董事总经理 Laurie Iacono 向 The Hacker News 透漏，CACTUS 本质上是对自身进行加密，使其更难检测，并帮助其避开防病毒和网络监控工具。（CACTUS 勒索软件使用批处理脚本提取 7-Zip 的勒索软件二进制文件，然后在执行有效负载之前删除 .7z 档案。) Cactus 勒索软件存在三种主要的执行模式，每种模式都使用特定的命令行开关进行选择：设置(-s)、读取配置(-r)和加密(-i)。-s和-r参数允许威胁攻击者设置持久化并将数据存储在 C: ProgramData ntuser.dat 文件中，加密器稍后在使用 -r 命令行参数运行时读取该文件。 从研究人员的分析结果来看，CACTUS 勒索软件变体主要通过利用 VPN 设备中的漏洞，侵入目标受害者网络，这表明部分威胁攻击者一直在对远程访问服务和未修补的漏洞，进行初始入侵。 几天前，趋势科技也发现名为 Rapture 的勒索软件，它的整个感染链最多可持续三到五天。 最后，研究人员强调有理由怀疑，攻击活动是通过易受攻击网站和服务器促进入内部系统的，因此实体组织必须采取措施保持系统的最新状态，并执行最低特权原则（PoLP）。     转自 Freebuf，原文链接：https://www.freebuf.com/news/366111.html 封面来源于网络，如有侵权请联系删除

LockBit 3.0勒索软件集团周一泄露了从印度贷款机构Fullerton India窃取的600GB关键数据，两周后该集团向该公司要求300万美元赎金。 Fullerton 印度公司4月24日表示，他们遭受了恶意软件的攻击，作为预防措施，被迫暂时脱机运营。该公司表示，目前已经恢复了客户服务，并与全球网络安全专家合作，使其安全环境更具弹性。 随后，LockBit 3.0 勒索软件集团很快在其数据泄漏网站上将富勒顿印度公司列为受害者，称其窃取了600GB的 “个人和合法公司的贷款协议”。 LockBit 3.0 勒索软件集团给出了4月29日的最后期限，要求其支付赎金否则将公布被盗数据。随后该组织还让该公司选择支付1000美元，将最后期限延长24小时。 Fullerton 印度公司在印度各地设有699个分支机构，为大约210万客户提供上门信贷服务。该公司在2022年管理着价值超过25亿美元的资产，雇用了13000多名员工。 著名的网络犯罪研究人员Ritesh Bhatia与信息安全媒体集团分享了关于LockBit集团在暗网上发布与Fullerton印度公司相关文件的证据。他说，数据泄漏是由于Fullerton印度公司拒绝勒索软件集团的要求，导致该集团启动了三重勒索手段，迫使该公司付款。 双重勒索是指勒索软件攻击者加密受害者的数据并将其渗出，以对受害者施加额外的压力，而三重勒索是指黑客联系受害者的客户、商业伙伴、供应商和客户，将漏洞公之于众，迫使受害者到谈判桌上来。     转自 Freebuf，原文链接：https://www.freebuf.com/news/366094.html 封面来源于网络，如有侵权请联系删除

据CBS报道，美国德克萨斯州达拉斯市本周三遭受了勒索软件攻击，导致其多项市政服务中断。 “周三早上，该市的安全监控工具向安全运营中心 (SOC)发出勒索软件攻击的告警。”该市的公开声明透露。 “目前达拉斯市已确认许多服务器已被勒索软件破坏，影响了几个功能区域，包括达拉斯警察局网站。安全团队及其供应商正在积极努力隔离勒索软件以防止其传播，从受感染的服务器中删除勒索软件，并恢复当前受影响的所有服务。根据达拉斯市的事件响应计划(IRP)，该市市长和市议会已获悉该事件。” CBS Texas还发布了一张勒索软件的通知截图（下图），据报道，该图是通过达拉斯市的网络打印机发送的。 根据勒索通知内容，勒索软件组织Royal似乎对此次攻击负责。 Royal是一种复杂的、不断发展的勒索软件，于2022年初首次被发现。使用Royal的勒索软件组织主要针对大型企业。 BlackBerry 研究人员指出：“与常见的勒索软件即服务（RaaS）不同，Royal不出售其软件，而是直接从初始访问代理 (IAB)那里购买目标公司的网络访问权限，并在公司网络内部实施攻击活动。此外，Royal还因采用双重勒索策略而闻名。” 目前尚不清楚攻击者如何获取了达拉斯市政系统的访问权限。赎金通知表明他们已经对数据进行了加密，并计划在线泄露敏感信息。 攻击导致部分市政服务中断 勒索软件攻击发生后，达拉斯市警察局和市政厅网站已下线，以防止恶意软件进一步传播。 与此同时，达拉斯市的信息和技术服务部门(ITS)正在努力查明中断的原因并关闭所有受影响的设备。 达拉斯市的公开声明补充说： “目前，该市数千台设备中只有不到200台受到影响，但如果任何城市设备存在风险，ITS将对其进行隔离和阻止。恢复工作将优先考虑公共安全服务，面向公众的服务，然后是其他部门”。 目前，达拉斯市警察局和消防局的所有服务、911和311电话仍然有效。 达拉斯市自来水公司的付款仍可通过IVR系统处理，但在线付款可能会遇到一些延迟。另外，达拉斯市法院预计将于周五休庭。 Emsisoft威胁分析师Brett Callow指出，勒索软件对美国地方政府的攻击已经非常普遍，平均每周都会发生一起类似攻击。     转自 GoUpSec，原文链接：https://mp.weixin.qq.com/s/OpF6ddAGsFhg3n0IDhtnGA 封面来源于网络，如有侵权请联系删除

尽管网络安全专家努力防止此类事件发生，但针对公司和政府机构的勒索软件攻击仍在增加。自这一流行病开始以来，已有数百家美国企业报告成为勒索软件的受害者，其中已知的最大攻击是2021年的Kaseya黑客攻击事件。 最近，美国政府也面临着一连串的网络安全事件，联邦调查局、国防部和美国法警署（USMS）都确认今年发生了多起数据泄露和有针对性的攻击。就在上周，USMS宣布网络犯罪分子针对其系统进行了勒索软件攻击，暴露了大量的数据，包括员工的个人身份信息（PII）。值得庆幸的是，该事件没有暴露证人保护计划数据库，这意味着没有证人处于危险之中。 该事件发生在2月17日，但即使在10周后，尽管官员们努力使系统恢复运行，但该系统仍未完全运行。受影响的网络由法警的技术操作组（TOG）操作，通过电话、电子邮件和互联网的使用来追踪嫌疑人，但由于该系统仍然无法使用，该机构不得不设计”其他方法”来追踪嫌疑人。 据《华盛顿邮报》报道，该系统瘫痪了这么久，是因为美国司法部决定不支付任何赎金来解锁网络。相反，官员们采取了关闭整个系统的行动，包括远程擦除在该部门工作的所有员工的手机。这一突如其来的举措，在没有任何事先警告的情况下实施，清除了他们所有的文件、联系人和电子邮件，给许多雇员带来了不便。 然而，尽管有明显的路障，美国法警署仍然坚称，技术性停工并没有影响其进行调查的能力。在本周的一份声明中，法警发言人德鲁-韦德说，大多数关键的调查工具已经恢复，该机构正计划很快部署”一个完全重建的系统，并改进IT安全对策”，以备将来使用。 正如报告所指出的，法警的技术行动组多年来在追踪许多臭名昭著的嫌疑人方面功不可没，其中最突出的是臭名昭著的墨西哥大毒枭华金-查普-古斯曼，他于2014年在墨西哥城被捕。TOG以其复杂的追踪技术而闻名，据说它收集的手机追踪数据比联邦调查局和毒品管制局的总和还要多，最佳战绩是10周内平均有1000人被捕。 自勒索袭击发生以来，法警特遣部队继续进行逮捕，但该机构希望尽早启动并运行完整的计算机系统，以避免对其调查产生长期影响。     转自 cnBeta，原文链接：https://www.toutiao.com/article/7228584381558981124/ 封面来源于网络，如有侵权请联系删除