标签: 勒索软件

安全公司 Bitdefender 无偿放出 LockerGoga 勒索软件解密器

响应 NoMoreRansom Initiative 活动号召,罗马尼亚网络安全公司 Bitdefender 放出了全新的解密器,LockerGoga 勒索软件的受害者现在可以免费恢复被锁的文件。 LockerGoga 勒索软件家族于 2019 年首次出现,以攻击工业组织而闻名。 LockerGoga 于 2019 年 3 月攻击了 Norsk Hydro,导致这家挪威铝制造商停产近一周,损失超过 5000 万美元。该勒索软件还被用于攻击法国工程咨询公司 Altran Technologies 以及美国化工公司 Hexion 和 Momentive。 据与欧洲刑警组织一起参与解密器开发的苏黎世检察官办公室称,LockerGoga 的运营者参与了针对 71 个国家/地区的 1,800 多个个人和机构的勒索软件攻击,造成超过 1 亿美元的损失。 LockerGoga 勒索软件背后的组织自 2021 年 10 月以来一直处于不活跃状态,当时美国和欧洲执法机构逮捕了 12 名涉嫌成员。苏黎世检察官办公室表示,逮捕后,警方花了几个月的时间检查突袭期间收集的数据,并发现了该组织的加密密钥,以解锁 LockerGoga 勒索软件攻击的数据。 Bitdefender 威胁研究和报告主管 Bogdan Botezatu 表示:“当我们发现勒索软件代码中的漏洞或单个解密密钥可用时,通常可以解密数据。这个解密器依赖于 2021 年逮捕行动中查获的密钥,根据我们与相关执法部门的合作,这些密钥已私下与我们共享”。 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1318303.htm 封面来源于网络,如有侵权请联系删除

Emotet 僵尸网络开始分发 Quantum 和 BlackCat 勒索软件

Hackernews 编译,转载请注明出处: 在Conti今年正式退出威胁领域后,包括Quantum和BlackCat在内的勒索软件即服务 (RaaS) 组织现在正在利用Emotet恶意软件。 Emotet于2014年开始作为银行木马,但随着时间的推移,该恶意软件已成为巨大的威胁,它能够将其他有效负载下载到受害者的机器上,从而允许攻击者远程控制它。 尽管与侵入性恶意软件加载程序相关的基础设施在2021年1月作为执法工作的一部分被拆除,但据说Conti勒索软件卡特尔在去年年底发挥了重要作用。 AdvIntel在上周发布的一份咨询报告中表示:“从2021年11月到2022年6月Conti解散,Emotet是Conti独有的勒索软件工具,然而,Emotet感染链目前被归咎于Quantum和BlackCat。” 典型的攻击序列需要使用Emotet(又名SpmTools)作为初始访问向量来投放Cobalt Strike,然后将其用作勒索软件操作的后利用工具。 臭名昭著的Conti勒索软件团伙可能已经解散,但它的一些成员仍然一如既往地活跃,要么是BlackCat和Hive等其他勒索软件团队的成员,要么是专注于数据勒索和其他犯罪活动的独立团体。 Quantum也是Conti的一个衍生组织,在随后的几个月里,它利用了回调网络钓鱼技术(称为BazaCall或BazarCall)来突破目标网络。 Recorded Future在上个月发布的一份报告中指出:“Conti附属公司使用各种初始访问媒介,包括网络钓鱼、凭据泄露、恶意软件分发和利用漏洞。” AdvIntel表示,自今年年初以来,它在全球范围内观察到超过1267000例Emotet感染病例,活动高峰出现在2月和3月,恰逢俄罗斯入侵乌克兰。 由于Quantum和BlackCat等勒索软件集团的使用,感染人数在6月至7月间再次激增。这家网络安全公司获取的数据显示,Emotet攻击最多的国家是美国,其次是芬兰、巴西、荷兰和法国。 ESET此前报告称,与2021年9月至12月的前四个月相比,2022年前四个月的Emotet检测数量增加了100倍。 据以色列网络安全公司Check Point称,Emotet在2022年8月最流行的恶意软件列表中从第一名跌至第五名,仅次于FormBook、Agent Tesla、XMRig和GuLoader。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

伊朗勒索软件组织攻击美国企业,遭美政府溯源真实身份并制裁

美国财政部海外资产控制办公室(OFAC)昨天宣布,对隶属于伊朗伊斯兰革命卫队(IRGC)的10名个人和两家实体实施制裁,理由是他们参与了勒索软件攻击。 美国财政部声称,过去两年以来,这些个人涉嫌参与多起勒索软件攻击,并入侵了美国和全球其他地区组织的网络。 这些恶意活动,还与多家网络厂商分别跟踪的国家资助黑客活动存在交集,具体包括APT35、Charming Kitten、Phosphorus、DEV-0270、Tunnel Vision和Nemesis Kitten。 美国财政部表示,“已经有多家网络安全公司发现,这些入侵活动确与伊朗政府有关。他们此前进行过多种恶意网络攻击,包括勒索软件和网络间谍活动。” “该团伙针对全球各组织及官员发起广泛攻击,重点针对美国及中东地区的国防、外交和政府工作人员,同时也将矛头指向媒体、能源、商业服务和电信等私营行业。” 三名成员信息被悬赏3000万美元 作为伊朗伊斯兰革命卫队的附属组织,该团伙的成员主要是总部位于伊朗的Najee Technology Hooshmand Fater LLC(简称Najee Technology)和Afkar System Yazd公司(简称Afkar System)员工,其中包括: Mansour Ahmadi:Najee Technology公司法人、董事总经理兼董事会主席 Ahmad Khatibi Aghda:Afkar System公司董事总经理兼董事会成员 其他雇员及同事:Ali Agha-Ahmadi、Mohammad Agha Ahmadi、Mo”in Mahdavi、Aliakbar Rashidi-Barjini、Amir Hossein Nikaeen Ravari、Mostafa Haji Hosseini、Mojtaba Haji Hosseini及Mohammad Shakeri-Ashtijeh 美国财政部之前曾制裁与Net Peygard Samavat公司相关的人员,理由是他们曾于2019年同伊斯兰革命卫队和伊朗情报与安全部(MOIS)开展合作。 一年之后,美国财政部又制裁了Rana Intelligence Computing公司及部分员工,称这家打着经营旗号的企业其实在代表伊情报与安全部协调网络攻击活动。 在此次制裁公告中,美国国务院提供3000万美元,征集关于Mansour Ahmadi、Ahmad Khatibi Aghda和Hossein Nikaeen Ravari三名受制裁伊朗人的信息。三人也因涉嫌参与针对美国关键基础设施组织的勒索软件攻击,面临美国司法部的指控。 图:悬赏海报(美国国务院) 美国安全公司提供溯源证据链 昨天,美国、加拿大、英国和澳大利亚的网络安全机构还发布联合公告,描述了该威胁团伙的恶意活动并披露了技术细节。 安全公司Secureworks也紧跟发布一份报告,证实了美国财政部的信息。 Secureworks公司表示,由于抓住了对方在2022年6月勒索软件事件中犯下的操作失误,该公司成功将Nemesis Kitten(也称Cobalt Mirage)团伙同伊朗的Najee Technology、Afkar System两家公司,以及名为Secnerd的另一家实体联系了起来。 Secureworks公司反威胁部门(CTU)在今年5月的报告中,也曾提到涉及Nemesis Kitten的类似恶意攻击(与Phosphorus APT团伙存在交集)。 上周,微软表示,Nemesis Kitten(也称DEV-0270)团伙一直悄悄“作为伊朗支持的Phosphorus网络间谍团伙(又名Charming Kitten和APT35)的子部门,为个人或公司获取非法收入。” 微软将该团伙与多家伊朗企业联系了起来,其中包括Najee Technology、Secnerd和Lifeweb。 微软解释道,“该团伙的攻击目标有很大的随机性:他们会首先扫描互联网以查找易受攻击的服务器和设备,因此服务器和设备易受攻击且暴露在网上的组织更可能受到攻击影响。”   转自 安全内参,原文链接:https://www.secrss.com/articles/46950 封面来源于网络,如有侵权请联系删除

新兴的跨平台 BianLian 勒索软件攻击正在提速

新兴跨平台BianLian勒索软件的运营商本月增加了他们的命令和控制(C2)基础设施,这一发展暗示着该组织的运营节奏正在提速。 使用Go编程语言编写的BianLian勒索软件于2022年7月中旬首次被发现,截至9月1日已声称有15个受害组织。 值得注意的是,这一新兴的双重勒索勒索软件家族与同名的Android银行木马没有联系,后者主要针对移动银行和加密货币应用程序窃取敏感信息。 安全研究人员Ben Armstrong、Lauren Pearce、Brad Pittack和Danny Quist介绍称, “该勒索软件对受害者网络的初始访问是通过成功利用ProxyShell Microsoft Exchange Server漏洞实现的,利用它来删除web shell或ngrok有效负载以进行后续活动。BianLian还将SonicWall VPN设备作为攻击目标,这是勒索软件组织的另一个常见目标。” 与另一个名为“Agenda”的新Golang恶意软件不同,BianLian攻击者从初始访问到实施加密的停留时间最长可达6周,这一持续时间远高于2021年报告的15天入侵者停留时间的中值。 除了利用离地攻击(living-off-the-land,LotL)技术进行网络分析和横向移动外,该组织还部署定制植入物作为维持对网络的持久访问的替代手段。 据研究人员介绍,后门的主要目标是从远程服务器检索任意有效负载,将其加载到内存中,然后执行它们。 BianLian与Agenda类似,能够在Windows安全模式下启动服务器以执行其对文件加密恶意软件,同时不被系统上安装的安全解决方案检测到。 为消除安全障碍而采取的其他步骤包括删除卷影副本、清除备份以及通过Windows远程管理(WinRM)和PowerShell脚本运行其Golang加密器模块。 据报道,已知最早的与BianLian相关的C2服务器于2021年12月出现在网络上。但此后,该C2基础设施经历了“令人不安的扩张”,现已超过30个活跃IP地址。 网络安全公司Cyble在本月早些时候详细介绍了该勒索软件的作案手法,据Cyble称,该勒索软件的目标组织跨越多个行业,如媒体、银行、能源、制造、教育、医疗保健和专业服务等。而且大多数组织位于北美、英国和澳大利亚。 BianLian是网络犯罪分子继续使用跳跃战术(hopping tactics)以避免被发现的又一迹象。它还增加了使用Go作为基础语言的越来越多的威胁,使攻击者能够在单个代码库中进行快速更改,然后可以针对多个平台进行编译。 研究人员补充道,BianLian已经证明自身擅长使用离地攻击(LOtL)方法来横向移动,并根据他们在网络中遇到的防御能力来调整操作。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/343832.html 封面来源于网络,如有侵权请联系删除

洛杉矶联合学区遭勒索软件攻击,多项服务出现中断

洛杉矶联合学区 (LAUSD) 承认遭到勒索软件攻击,导致持续的技术中断。LAUSD 是仅次于纽约市教育部的美国第二大学区。LAUSD 为 1000 多所学校的 60 多万名从幼儿园到 12 年级的学生提供服务,并雇用了超过 26000 名教师。 本周一,该学区承认在上周末遭到网络攻击,随后确认攻击类型为勒索软件。尽管本次攻击导致 LAUSD 基础设施出现“明显的中断”,不过该学区表示正着手恢复受影响的服务。LAUSD 表示,预计技术问题不会影响交通、食品或课后活动,但指出“业务运营可能会延迟或修改”。 该学区警告说,持续的中断包括“访问电子邮件、计算机系统和应用程序”。该学区内 Northridge Academy High 学校的一篇帖子证实,教师和学生可能无法访问 Google Drive 和 Schoology,这是一个 K- 12 学习管理系统,直至另行通知。 LAUSD 表示,根据对关键业务系统的初步分析,“员工医疗保健和工资单没有受到影响,网络事件也没有影响学校的安全和应急机制”。然而,目前尚不清楚攻击期间是否有任何数据被盗,LAUSD 尚未回答媒体的问题。勒索软件攻击者通常会在要求支付赎金之前泄露受害者的文件,旨在进一步勒索受害者,威胁要在不支付赎金的情况下在线泄露被盗数据。目前尚不清楚袭击的幕后黑手是谁。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1313305.htm 封面来源于网络,如有侵权请联系删除

QNAP 警告新的 DeadBolt 勒索软件攻击利用 Photo Station 漏洞

Hackernews 编译,转载请注明出处: QNAP发布了一项新的公告,建议其网络连接存储(NAS)设备的用户升级到最新版本的Photo Station。此前,又一轮DeadBolt勒索软件攻击在野外肆虐,利用了软件中的零日漏洞。 这家台湾公司表示,它在9月3日检测到了这些攻击,并表示该活动似乎针对运行Photo Station且暴露在互联网上的QNAP NAS设备。 该问题已在以下版本中得到解决: QTS 5.0.1:Photo Station 6.1.2及更高版本 QTS 5.0.0/4.5.x:Photo Station 6.0.22及更高版本 QTS 4.3.6:Photo Station 5.7.18及更高版本 QTS 4.3.3:Photo Station 5.4.15及更高版本 QTS 4.2.6:Photo Station 5.2.14及更高版本 目前该漏洞的细节尚不清楚,该公司建议用户禁用路由器上的端口转发,防止NAS设备在互联网上访问,升级NAS固件,为用户帐户应用强密码,并定期备份以防止数据丢失。 自2022年1月以来,这是针对QNAP设备第四轮DeadBolt攻击的最新进展,随后在5月和6月发生了类似的入侵。 该公司表示:“QNAP NAS不应该直接连接到互联网。我们建议用户使用QNAP提供的myQNAPcloud Link功能,或启用VPN服务。这样可以有效加固NAS,降低被攻击的几率。”   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

黑山出现持续的勒索软件威胁,美国大使馆罕见发出网络安全警报

美国驻黑山大使馆警告居留当地的美国人,该国正在进行的勒索软件攻击可能会对该国关键的公共服务和政府服务造成广泛的破坏。黑山国家安全局(ANB)上周首次证实了这一勒索软件攻击,其目标是政府系统和其他关键的基础设施和公用事业,包括电力、水系统和交通系统。在撰写本报告时,黑山政府的官方网站无法使用,由于攻击,甚至数个发电厂都已经转为手动操作。 然而,黑山的官员声称没有数据被盗,并声称没有设施因为这次攻击而造成永久性损害。ANB宣称,该国正处于”混合战争”之下,并将这次攻击归咎于俄罗斯协调的对抗行为。自黑山于2017年加入北约以来,两国的关系一直很紧张,之后俄罗斯威胁要采取报复行动。 此后,美国驻黑山大使馆发布了安全警报,表示黑山政府正面临着一场”持续不断的”网络攻击。”大使馆警告说:”攻击可能包括对公共事业、交通(包括边境口岸和机场)和电信部门的干扰。建议居住在巴尔干国家的公民限制旅行,审查个人安全计划,并注意周围的环境”。 根据恶意软件研究小组VX-Underground的说法,Cuba勒索软件集团声称对这次攻击负责。在其暗网泄露网站上,Cuba勒索软件集团声称它在8月19日从黑山议会获得了”财务文件、与银行雇员的通信、账户变动、资产负债表、税务文件、赔偿金[和]源代码”。 黑山自8月20日以来总理职位一直空缺,当时该国议会投票通过了对执政政府的不信任案,从而导致政府倒台。 网络安全公司Profero此前将Cuba勒索软件集团与讲俄语的黑客联系起来,研究人员在该集团与受害者谈判时观察到了这一点。但Profero表示,它相信该组织”不是国家支持的”。 这个勒索软件团伙自2019年以来一直存在,去年联邦调查局发布了一份警报,警告各组织,网络犯罪分子一直以关键基础设施为目标。联邦调查局表示,它已经观察到大约50个目标实体,黑客向受害者索要了数千万美元。 对黑山的攻击发生在与俄罗斯有联系的Conti勒索软件集团在4月开始的长达数周的攻击中攻击哥斯达黎加政府后仅几个月。在其暗网泄密博客上发布的一条信息中,Conti敦促哥斯达黎加公民向他们的政府施压以支付赎金,该组织后来将赎金翻倍至2000万美元。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1310931.htm 封面来源于网络,如有侵权请联系删除

勒索软件疑似借助用友畅捷通 T+ 传播

据火绒安全实验室发布的消息,火绒监测到某勒索软件突然爆发,后门模块位于用友畅捷通 T+ 软件目录里。病毒爆发时间与用友畅捷通 T+ 软件升级模块时间很近,火绒安全实验室怀疑此安全问题可能是供应链攻击。 即黑客可能使用某些方式劫持用友畅捷通 T+ 升级模块,导致用户尝试更新升级将后门模块下载到本地执行。 目前用友并未就该问题发布声明 , 因此还无法确定到底是供应链攻击还是通过其他方式劫持导致企业中毒的。 企业用户应提高警惕: 使用用友畅捷通的主要都是企业,而且存储的可能都是财务之类的重要信息,中毒后被加密可能会有大麻烦。 火绒经过研究发现黑客首先会通过漏洞或其他方式向受害者终端投放后门模块,然后通过后门模块执行代码。 之后通过后门模块在内存中加载并执行勒索病毒,当文件被加密后黑客在勒索信里要求企业支付 0.2 比特币。 该病毒被命名为FakeTplus,也就是根据用友畅捷通T+来命名的,目前火绒安全软件已经可以成功查杀病毒。 使用畅捷通的企业可以在升级前安装火绒杀毒,这样如果升级时仍然存在安全问题火绒会直接杀掉这个后门。 疑似有企业支付赎金: 蓝点网查询火绒提供的勒索信,发现里面黑客留的地址已经开始有交易记录,交易记录时间与病毒投放吻合。 该地址有4次交易记录,有1次是笔0.2 BTC 转账,这意味着已经有受害企业向黑客支付赎金以换取解密密钥。 考虑到黑客可能会给每个受害者留不同的地址因此更难以追查,也无法判断黑客到目前已经收到多少比特币。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1310351.htm 封面来源于网络,如有侵权请联系删除

借助 DDoS,LockBit 勒索软件正变得更加凶险

据Bleeping Computer网站8月28日消息,LockBit 勒索软件团伙宣布,他们正着手改进对分布式拒绝服务 (DDoS) 攻击的防御,以应对来自安全机构的攻击,并借此来大力提高自身勒索实力。 近期,该团伙曾遭到数字安全巨头 Entrust组织的DDoS攻击,这是由于在6月18日,Entrust 的数据在一次攻击中被 LockBit 窃取。Entrust拒绝支付赎金,该团伙宣布在 8 月 19 日公布所有被盗数据,但Entrust发动的DDoS攻击成功阻止了这次公开行为。 上周,LockBit的对外账号LockBitSupp发布消息称,该组织已重新开展业务,拥有更大的基础设施,可以进行不受 DDoS 攻击影响的数据泄露,并表示正在招募 dudosers(DDoSers),试图将 DDoS 作为一种勒索策略。经历了来自Entrust的攻击,该团伙似乎认为三重勒索、加密 + 数据泄漏 +DDoS的攻击组合方式不仅威力更大,也更加有趣。 可能是出于对攻击的报复,LockBit承诺会泄露从Entrust 窃取的超过 300GB数据,并宣称“要让全世界都知道你的秘密”。 LockBit表示,他们将与任何与他们联系的人私下分享 Entrust 数据,目前看来LockBit似乎信守了承诺,在上周末发布了一个名为“entrust.com”的种子文件,其中包含 343GB大小的文件。 Lockbit 泄露的 Entrust 数据 LockBit希望Entrust 的数据可以从多个渠道公开,除了在他其自有网站上发布之外,他们还通过至少两个文件存储服务共享了 Torrent。 为了防止进一步的 DDoS 攻击,LockBit已在受害者的赎金记录中使用唯一链接,此外还增加镜像和复制的服务器数量,并计划通过防弹存储服务(bulletproof storage service)及 Clearnet 访问被盗数据,从而提高被盗数据的可用性。 自 2019 年 9 月以来,LockBit 勒索软件已经活跃了近三年,近期除了针对Entrust进行攻击,还攻陷了意大利税务局,并窃取了78GB的个人数据信息。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/343132.html 封面来源于网络,如有侵权请联系删除

国际航空重要供应商遭勒索软件攻击,航空业已成为勒索主要目标

安全内参8月25日消息,作为服务全球多家大型航空公司的技术提供商,Accelya表示,近期刚刚遭遇勒索软件攻击,部分系统已经受到影响。 Accelya的客户包括达美航空、英国航空、捷蓝航空、联合航空、维珍大西洋航空、美国航空等多家知名航空企业。 勒索软件公开发布窃取数据 8月23日,该公司披露,其聘请解决此事的两家安全厂商发现,Accelya内部数据已经被发布至专门的勒索泄密网站。 上周四(8月18日),AlphV/BlackCat勒索软件团伙公布了据称窃取自Accelya的数据。该团伙称窃取的数据包含电子邮件、员工合同等内容。 Accelya公司一位发言人称,他们聘请的专家设法“隔离”了勒索软件,阻断其在系统内进一步传播。 这位发言人表示,“我们的取证调查人员证实,受到攻击影响的只是整体环境中的一部分。没有证据表明恶意软件可能经由我们的系统,横向移动到我们客户的环境当中。” 他们还补充称,Accelya公司正在审查上周AlphV泄露网站上发布的数据,并将向受到信息泄露影响的客户发布通报。 Accelya公司主要负责为各大航空零业企业提供客运、货运与行业分析平台,与9个国家共250多家航空企业保持着合作关系。 2022年,航空产业已经成为勒索软件团伙的一大主要攻击目标。今年5月,印度香料航空(SpiceJet)和加拿大战斗机培训服务商均曾遭遇勒索软件攻击。 AlphV/BlackCat勒索软件是谁? AlphV/BlackCat是当前最活跃的勒索软件团伙之一,上个月刚刚对路易斯安那州亚历山大市政府发动攻击,今年春季还先后攻击了多所大学。 同样是在上个月,该团伙又先后攻击了卢森堡两家能源公司,以及日本电子游戏巨头万代南梦宫。 根据几位专家的介绍,AlphV/BlackCat其实是BlackMatter勒索软件团伙的“马甲”,而BlackMatter又是DarkSide勒索团伙改头换面后的产物。这个DarkSide来头不小,最大的动作就是震惊世界的科洛尼尔管道运输公司攻击案。 该团伙的一位代表在今年2月接受了美媒The Record的采访,声称大多数主要勒索软件团伙间都有着某种形式的关联。 说起AlphV跟BlackMatter及DarkSide之间的关系,这位代表表示,“可以这么说,我们借用了他们的优势,同时回避了他们的劣势。” FBI在4月的警报中提到,截至今年3月,执法机构已经追踪到至少60起由AlphV/BlackCat团伙发动的勒索软件攻击。 转自 安全内参,原文链接:https://www.secrss.com/articles/46226 封面来源于网络,如有侵权请联系删除