美国新闻媒体《华盛顿时报》被 Rhysida 勒索软件攻击，各种公司文件被拍卖，包括银行对账单、员工文件以及社会保障卡的复印件等。 Rhysida 集团声称正在网上拍卖《华盛顿时报》的“独家”数据，标价为5比特币，拍卖倒计时为七天。 “准备好打开钱包，购买独家数据。我们只卖给一个人，不转售，你将是唯一的所有者！”该团伙发帖称。 总部位于华盛顿特区的《华盛顿时报》被视为美国五大保守派媒体之一，每月在线访客超过 300 万，每天纸质读者超过 5 万。 Rhysida 暗网泄密网站 尽管 Rhysida 并没有具体说明从《纽约时报》服务器窃取的数据量，但提供了所谓的样本作为此次攻击的“证据”。 虽然样本难以辨认，Cybernews 仍能检查出这些样本似乎包含各种公司文件，包括银行对账单、员工文件以及某人的德克萨斯州驾照和社会保障卡的复印件。 Rhysida 暗网泄密网站 《华盛顿时报》暂未做出回应，但公司网站仍在正常运行，没有明显中断。 《华盛顿时报》由新闻世界传播集团于 1982 年创办，以印刷版和网络版形式出版。 Rhysida 受害者数量上升 自 2023 年 5 月成立以来， Rhysida 组织已在暗网上攻击了 114 名受害者。 根据美国政府去年 8 月发布的资料，该团伙以攻击“机会目标”而闻名，已渗透到教育、医疗、制造业和地方政府等多个领域。 Rhysida 被认为是一个勒索软件即服务（RaaS）组织，向其他“犯罪分子”出售其尚未完全成熟的黑客工具，获取一定比例的利润。该团伙经常进行双重勒索，即使受害者已经支付了解密密钥，仍威胁泄露被盗数据，除非收到第二笔付款。 今年，该团伙声称对英国国家图书馆（世界上最大的历史知识宝库之一）和芝加哥的Anne & Robert H. Lurie儿童医院的入侵负责。 在要求 400 万美元赎金（60 比特币）未支付后，Rhysida 最终泄露了从儿童医院窃取的所有数据，安全研究人员批评其行为“极其低劣”。 此外，该团伙还袭击了豪华游艇经销商 Marine Max、马里兰州乔治王子县学校系统和蜘蛛侠视频游戏制造商Insomniac Games。 2023 年的受害者还包括总部位于加州的医疗保健集团 Prospect Medical Holdings (PMH)，该攻击导致多个州的数十家医院和医疗机构服务中断。此外，总部位于慕尼黑的视频制造商 Travian Games 也成为了受害者。 今年 2 月，韩国互联网与安全局（KISA）的研究小组破解了该团伙的加密代码，并在其网站上发布了免费的 Rhysida 解密工具和手册。   消息来源：cybernews，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

澳大利亚金矿公司 Evolution Mining 披露，一勒索软件攻击影响了其 IT 系统的正常运营。 该公司在提交给澳大利亚证券交易所 (ASX) 的文件 (PDF) 中表示，该攻击于 8 月 8 日被发现，并已得到控制。 Evolution Mining 表示：“我们积极处理这一事件，重点是保护员工的健康、安全和隐私，同时确保公司的系统和数据的安全。” 该公司还透露，一直在与外部网络取证专家合作调查此次攻击，并且澳大利亚网络安全中心也已获悉此事。 Evolution Mining 在澳大利亚证券交易所的公告中指出：“公司预计此次攻击不会对运营产生任何重大影响。” 该公司没有提供此次攻击背后的勒索软件团伙的具体细节，而且SecurityWeek也没有看到任何已知组织声称对此事件负责。 大约两个月前，BianLian 勒索软件团伙在其基于 Tor 的泄密网站上公布了从澳大利亚稀土金属生产商 Northern Minerals窃取的数据，随后 Evolution Mining 遭受了勒索软件攻击。 尽管公司确认了数据、运营信息、财务数据、现任和前任员工的个人信息及部分股东信息在攻击中遭到泄露，但表示此次事件并未对运营造成重大影响。   消息来源：securityweek，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

库特奈医疗中心 (Kootenai Health) 披露了一起数据泄露事件，464000 名患者的个人信息被 3AM 勒索软件窃取和泄露，泄露的数据包括姓名、出生日期、社会安全号码 (SSN)、医疗和病情信息、医疗诊断以及健康保险信息等。 Kootenai提交给缅因州司法部长办公室的通知写道：“2024 年 3 月 2 日，Kootenai卫生局发现异常活动，导致某些 IT 系统访问中断。” 经调查，网络犯罪分子于 2024 年 2 月 22 日就未经授权访问了 Kootenai 的系统，这一行为使得犯罪分子有十天时间能够窃取敏感数据。 2024 年 8 月 1 日，Kootenai结束了对所有泄露数据的检查，确认泄露的数据包括：姓名、出生日期、社会安全号码 (SSN)、驾驶执照、政府身份证号码、医疗记录编号、医疗和病情信息、医疗诊断以及健康保险信息。 Kootenai Health 表示，未发现被盗信息遭到滥用的情况，但是建议受影响人员注册 12-24 个月的身份保护服务。 患者还可以访问医院在库特奈健康网站上发布的公告，以获取更多信息和支持链接。 Kootenai Health 是爱达荷州的一家非营利性医疗保健机构，运营着该地区最大的医院，提供急救、外科手术、癌症治疗、心脏护理和骨科等广泛的医疗服务。 3AM 勒索软件泄露数据 3AM 勒索软件团伙已声称对此次攻击负责，并在其暗网门户上泄露了被盗数据，网页显示还未支付赎金。 被盗数据包括一个 22GB 的档案，任何网络犯罪分子都可以免费下载并用于进一步的攻击。 Kootenai Health 数据在 3AM 勒索门户网站上泄露 3AM 是一种基于 Rust 开发的勒索软件毒株，首次报告于 2023 年 9 月。它主要作为备选工具，用于当其他更成熟的锁定工具失效时进行部署，因此其部署范围相对较为有限。 今年 1 月，Intrisec 分析师报告称，发现3AM、Conti 和 Royal 勒索软件团伙之间存在明显联系，暗示这三者之间可能存在某种关联。   BleepingComputer，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

LoanDepot通过SEC报告披露称，今年1月曝光的勒索软件攻击相关的费用总计超1.92亿元。 安全内参8月13日消息，美国抵押贷款巨头LoanDepot 6日报告称，与最近的勒索软件攻击相关的成本已达到近2700万美元。 这次网络攻击于2024年1月初被曝光。当时，公司为了应对攻击导致数据被加密的情况，选择将一些系统下线。 几周后，LoanDepot通知当局，超过1600万人的个人信息可能已被泄露，包括姓名、地址、电子邮件地址、电话号码、出生日期、社会保障号码和金融账号等。 LoanDepot的最新财务报告显示，该事件给公司造成了2690万美元（约合人民币1.92亿元）的成本。 该金额包括“调查和补救网络安全事件的成本，客户通知和身份保护的成本，以及专业费用（包括法律费用、诉讼和解费用以及佣金担保）”。 LoanDepot补充道：“在截至2024年6月30日的季度内，公司因与网络安全事件相关的集体诉讼带来了2500万美元的应计成本。” 就在LoanDepot数据泄露曝光之前，执法机构刚刚针对Alphv/BlackCat勒索软件组织进行了打击，该组织声称对上述攻击事件负责。这些网络犯罪分子声称，他们正在出售从贷款机构窃取的数据。 电子制造服务公司Keytronic近日透露，最近的勒索软件攻击导致的费用和收入损失总计超过1700万美元。   转自安全内参，原文链接：https://mp.weixin.qq.com/s/CBVPPBDvTUZh1ilzzBnU8g 封面来源于网络，如有侵权请联系删除

 美国联邦调查局克利夫兰分部已通过摧毁勒索软件团伙 Radar(又名Dispossessor） 的各个服务器和域名，彻底瓦解该团伙的势力。 美国联邦调查局发布声明称，2024年8月12日，以网名“布莱恩”为首的犯罪团伙被捣毁。执法部门拆除了三台美国服务器、三台英国服务器、十八台德国服务器、八个美国犯罪域名和一个德国犯罪域名，这些均属于 Radar。 联邦调查局发布声明，确认以“布莱恩”为首的犯罪团伙已被彻底捣毁。该组织自2023年8月起开始活动，并迅速发展成为具有国际影响力的勒索软件集团，专门针对中小型企业和组织实施攻击。 Radar 针对多个行业进行攻击，包括制造业、开发、教育、医疗保健、金融服务及交通运输等。尽管该组织最初主要针对美国的目标，联邦调查局发现其已涉及13个不同国家的43家企业。 调查还发现，许多网站与布莱恩及其网络犯罪团队有关。与其他勒索软件变种类似，Radar 勒索软件采用双重勒索模式，即不仅加密受害者系统，还窃取数据以勒索赎金。 勒索软件是一种恶意软件，通过加密用户数据使其无法访问，受害者需支付赎金以恢复数据。Radar通过识别使用弱密码或未启用多因素身份验证的易受攻击系统来实施攻击。 “一旦犯罪分子获得系统访问权限，他们就会获得管理员权限并轻松访问文件，然后实际的勒索软件会用于加密。”FBI 表示。 如果受害者没有先支付赎金，Radar的成员就会主动通过电子邮件或电话联系受害者公司内部的人员，发送链接展示被盗文件的视频，迫使受害者付款。最终，犯罪团伙会将窃取的数据发布到泄密页面，并设置倒计时，如果未支付赎金，数据将被公开发布到公共论坛上。   消息来源：cybernews，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

亨利·施恩公司在2023年10月14日遭遇了BlackCat勒索软件攻击，导致了长达一个月的运营停顿，并泄露了大量用户数据。 安全内参8月8日消息，美国医疗保健分销商、财富500强企业亨利·施恩（Henry Schein）日前下调了其年度利润预期。这家牙科和医疗设备分销商警告称，从去年10月披露的网络攻击中恢复正常的速度较慢。 该公司股价在盘前交易中下跌至64.50美元，跌幅达7.3%。 在网络安全漏洞发生后，亨利·施恩将一些系统下线，通知了当局并聘请了专家，事件还扰乱了其制造和分销业务。 伦敦证券交易所数据显示，该事件对公司今年的财务表现产生了持续影响，第二季度收入为31.4亿美元，低于分析师预估的32.7亿美元。 首席执行官Stanley Bergman表示：“我们在分销业务中的销售趋势正在改善，但自去年年底的网络事件以来，这些业务的恢复速度比预期的要慢。” 勒索攻击造成重大损失 亨利·施恩最初在2023年10月14日遭遇了BlackCat勒索软件攻击，导致了长达一个月的运营停顿。BlackCat组织声称，泄露了包括DEA号码、个人身份信息（PII）数据和供应商银行账户在内的敏感数据。 尽管公司努力恢复，网络攻击者在去年11月14日再次发动攻击。威胁行为者声称，此次造成超过5亿美元的损失。 值得注意的是，ALPHV/BlackCat组织声称对亨利·施恩进行了两次重新加密，并预告了第三次攻击。然而，几天后，BlackCat从其泄露网站上移除了亨利·施恩，这表明公司可能支付了赎金，但没有官方声明证实这一点。 黑客组织在去年12月再次通过其暗网频道更新了亨利·施恩数据泄露的情况。同月，亨利·施恩公司向美国缅因州总检察长报告称，数据泄露影响了超过2.9万人的个人信息。 公司下调营收预期 亨利·施恩将其年度利润预期从此前的每股5美元至5.16美元下调至每股4.70美元至4.82美元。分析师预计利润为每股5.06美元。 公司表示，现在预计全年销售额将增长4%至6%，而此前的预测为增长8%至10%。按照公司2023财年总营收123.39亿美元计算，2024财年总营收预期下调了4.93亿美元（约合人民币35.4亿元）。 亨利·施恩的牙科部门第二季度销售额下降了1.7%，至19.2亿美元，低于预期的19.9亿美元。 其医疗部门的销售额也下降了5%，至9.98亿美元，低于预期的10.7亿美元。   转自安全内参，原文链接：https://www.secrss.com/articles/68973 封面来源于网络，如有侵权请联系删除

美国联邦调查局（FBI）和美国网络安全和基础设施安全局（CISA）发布的联合公告证实“Royal 勒索软件已更名为 BlackSuit，自两年多前出现以来，已向受害者索要超过 5 亿美元的赎金。” BlackSuit 团被认为是臭名昭著的 Conti 网络犯罪集团的直接继承者，于 2022 年 1 月以 Quantum 勒索软件的形式开始活动，自 2022 年 9 月以来一直活跃。 最初为了避免引起不必要的注意，Quantum使用了其他组织的加密器（如 ALPHV/BlackCat），但不久之后他们就部署了自己的Zeon 加密器，并于 2022 年 9 月更名为 Royal。 2023 年 6 月，在袭击德克萨斯州达拉斯市后，Royal 勒索软件行动开始测试一种名为 BlackSuit 的新加密器。从那时起，他们一直以 BlackSuit 的名义运作，Royal 勒索软件攻击已完全停止。 “BlackSuit 勒索软件是之前被确认为 Royal 勒索软件的演变，在编码上有许多相似之处，并且表现出了更强大的功能。该勒索软件的使用时间约为 2022 年 9 月至 2023 年 6 月。”FBI和CISA在周三对原始公告的更新中证实，“赎金要求通常在 100 万美元到 1000 万美元之间，要求以比特币支付。BlackSuit 总共索要 5 亿多美元的赎金，最大的个人赎金为 6000 万美元。” 2023 年 3 月以及随后的 2023 年 11 月的咨询更新中，这两个机构分享了攻击指标以及一系列策略、技术和程序 (TTP)，以帮助防御者阻止该团伙在其网络上部署勒索软件。 FBI 和 CISA 还指出，自 2022 年 9 月以来，BlackSuit 对 350 多个组织发起了攻击，并索要了至少 2.75 亿美元的赎金。 美国卫生与公众服务部 (HHS) 安全团队于 2022 年 12 月披露该勒索软件主要针对美国各地的医疗保健行业，组织了多起攻击事件，随后FBI 和 CISA联合发布相关公告。 最近，多个消息来源告诉 BleepingComputer，BlackSuit 勒索软件是大规模 CDK Global IT 中断的幕后黑手，此次中断扰乱了北美超过 15,000 家汽车经销店的运营，迫使CDK 关闭其 IT 系统和数据中心以控制事件，汽车经销商也不得不改用纸笔，导致买家无法购买汽车或接受已购车辆的服务。 参考链接：CDK Global 遭遇攻击导致系统中断，影响数千家美国汽车经销商   消息来源：BleepingComputer，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

勒索软件攻击袭击了法国国家博物馆联盟网络，包括巴黎大皇宫和其他博物馆。此次攻击影响了法国各地约 40 家博物馆。该网络中的一些场馆正在举办夏季奥运会的比赛。 此次攻击于周日被发现，影响了法国约 40 家博物馆使用的数据系统。 巴黎当局周二表示，尽管发生了网络攻击事件，但奥运会赛事并未受到影响。 大皇宫举办击剑和跆拳道比赛，而同样属于 RMN 网络的凡尔赛宫则是马术运动和现代五项的场地。 巴黎检察院已指派打击网络犯罪大队下属部门开展调查，以确定攻击的规模和实施者。目前正在努力保护和恢复受影响的系统，初步调查尚未发现任何受感染系统数据泄露的迹象。 据报道，此次事件背后的未具名黑客组织已要求以加密货币支付赎金，并威胁称，如果不支付赎金，他们将在 48 小时内公布加密数据。 卢浮宫馆长马蒂亚斯·格罗利尔 (Matthias Grolier) 在 X 上反驳了有关此次袭击影响到其他博物馆的说法，包括著名的卢浮宫，该博物馆在当前的旅游繁荣时期尤为重要。 据法国媒体Sud Ouest报道，此次攻击导致巴黎大皇宫博物馆关闭系统，以防止攻击蔓延，导致法国多家博物馆的书店和精品店停业。不过，当局已制定解决方案，让这些书店和精品店能够自主运营。 大皇宫博物馆方面表示，此次网络攻击没有对其管理的博物馆造成其他影响，博物馆仍在正常运营。 上周，即将辞职的法国总理加布里埃尔·阿塔尔表示，该国安全部门在奥运会前几天挫败了 68 起网络攻击，其中两起针对奥运场馆。 法国安全机构  ANSSI 表示，所报告的大多数攻击都是低强度的，例如分布式拒绝服务 (DDoS) 攻击，并且没有网络事件影响开幕式或比赛的首项赛事。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/Z3V8OSuAeGQy-qmp5voBTw 封面来源于网络，如有侵权请联系删除

Shadowserver 基金会的研究人员报告称，大约 20000 台在线暴露的 VMware ESXi 服务器似乎受到了被利用的漏洞CVE-2024-37085的影响。 微软本周警告称，多个勒索软件团伙正在利用 VMware ESXi 漏洞中最近修补的漏洞 CVE-2024-37085（CVSS 评分为 6.8）。 微软研究人员发现 ESXi 虚拟机管理程序中存在一个漏洞，该漏洞被多个勒索软件运营商利用，以获取加入域的 ESXi 虚拟机管理程序的完全管理权限。该漏洞是 VMware ESXi 中的一个身份验证绕过漏洞。 VMware在发布的公告中表示：“如果恶意行为者拥有足够的 Active Directory (AD) 权限，则可以通过在从 AD 中删除已配置的 AD 组（默认情况下为“ESXi 管理员”）后重新创建该组，从而获得 对之前配置为使用 AD 进行用户管理的ESXi 主机 的完全访问权限。” 该公司发布了影响 ESXi 8.0 和 VMware Cloud Foundation 5.x 的安全漏洞补丁。但是，没有计划针对旧版本 ESXi 7.0 和 VMware Cloud Foundation 4.x 提供补丁。建议不受支持版本的用户升级到较新版本以接收安全更新和支持。 微软报告称，Storm-0506、Storm-1175 和 Octo Tempest 等多个以经济为目的的网络犯罪组织已经利用此漏洞部署勒索软件。 “微软安全研究人员发现，Storm-0506、Storm-1175、 Octo Tempest和 Manatee Tempest等勒索软件运营商在多次攻击中都使用了一种新的后入侵技术  。”微软继续说道。“在几起案件中，这种技术的使用导致了 Akira 和 Black Basta 勒索软件的部署。” Shadowserver 研究人员于 2024-07-30 发现 20,275 个实例存在 CVE-2024-37085 漏洞。 “VMware ESXi  CVE-2024-37085 身份验证绕过漏洞。虽然 Broadcom 仅将其评为中等严重性（CVSS 6.8），但我们认为该漏洞更为严重，因为它正在被勒索软件参与者在野外利用。如果您收到实例警报， 请检查是否受到入侵并进行更新。这是基于版本的扫描。” Shadowserver 发布的报告写道。 “我们不检查解决方法或 ESXi 虚拟机管理程序是否已加入域，这是可利用性的条件。任何报告都应被视为潜在漏洞，并由收件人进行验证。” Shadowserver 表示：“需要澄清的是：这些漏洞可能存在，因为这只是针对补丁状态的远程版本检查。我们没有发现任何现成的解决方法，也没有检查是否存在其他可利用的先决条件（加入域的 ESXi 虚拟机管理程序）。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/1AooiBdtDbLBJgvyR2vzXQ 封面来源于网络，如有侵权请联系删除

由于勒索攻击导致运营能力骤降，OneBlood要求250多家医院启动“血液短缺”应急程序，并持续一段时间。 安全内参8月1日消息，因勒索软件攻击关闭部分系统，美国大型血液中心OneBlood的运营能力骤降。 上周三，向美国东南部医疗机构提供血液的非营利组织OneBlood发布声明，告知公众其运作能力受到勒索软件攻击影响。 OneBlood企业传播高级副总裁Susan Forbes表示：“为了维持运转，我们已经实施了手动流程和程序。手动流程执行起来不仅需要耗费长得多的时间，还会影响库存可用性。” “为了进一步管理血液供应，我们已要求250多家接受我们服务的医院启动关键的血液短缺程序，并在一段时间内保持该状态。” OneBlood表示，目前正在与网络安全专家以及联邦和州官员合作解决这一危机。该组织向阿拉巴马州、南卡罗来纳州、佛罗里达州、佐治亚州和北卡罗来纳州的数百家医院提供血液及其他医疗物资。该组织仍在运作，并继续收集、测试和分发血液，但“运行能力已经显著降低”。 这一事件引发了其他血液组织的大力支持，美国血库协会（AABB）灾害工作组正在组织将血液和血小板送往OneBlood。目前，所有血型都有捐献需求，其中O型阳性血、O型阴性血和血小板最为紧缺。 Forbes表示，公司在确认遭到攻击后立即开始调查，并启动了应对工作。“我们正在执行全面的响应工作，并努力尽快恢复系统的所有功能。” “血液供应并不稳定。事件处理仍在进行。如果您符合献血标准，我们敦促您尽快进行预约。” 外媒CNN首次报道了这次攻击。CNN获得了一份发给健康信息共享与分析中心的咨询通知，警告佛罗里达州医院可能面临血液短缺。由于勒索软件攻击，该组织不得不手动标记血液产品。 医疗行业网络威胁严峻 这次攻击发生一周之前，英国一家知名血液测试提供商宣布，在6月勒索软件攻击后，已成功重建大部分IT基础设施。 上个月，英国病理服务提供商Synnovis被Qilin勒索软件团伙攻击，导致1000多次关键手术被取消。英国国家医疗服务体系（NHS）被迫紧急呼吁人们捐献O型血液。 根据两周前发给NHS首席执行官的一封信，勒索软件攻击使英国的国家血液库存“处于非常脆弱的状态”。 勒索软件团伙还攻击了南非国家卫生实验室服务局，严重影响了该国应对猴痘、艾滋病和结核病等多重健康危机的工作。   转自安全内参，原文链接：https://mp.weixin.qq.com/s/kC0UJk-6KlWH10OY4WiQoA 封面来源于网络，如有侵权请联系删除