根据 Zscaler ThreatLabz 的报告，一家财富 50 强公司向 Dark Angels 勒索软件组织支付了 7500 万美元赎金，创下纪录。 “2024 年初，ThreatLabz 发现一名受害者向 Dark Angels 支付了 7500 万美元，这一创纪录的金额必将引起其他攻击者的兴趣，他们可能希望通过采用Dark Angels的关键策略（即“大猎物狩猎”策略）来复刻这一事件。”  2024 年 Zscaler 勒索软件报告中写道。 加密情报公司 Chainalysis 在 X 上发布了推文，进一步证实了这笔破纪录的付款。 此前已知的最高勒索赎金是保险巨头 CNA在遭受Evil Corp 勒索软件攻击后支付的4000万美元。 虽然 Zscaler 没有透露哪家公司支付了 7500 万美元的赎金，但他们提到该公司位列财富 50 强，并且攻击发生在 2024 年初。 2024 年 2 月制药巨头 Cencora遭受网络攻击，该公司在财富榜单上排名第 10，并且没有任何勒索软件团伙声称组织了此次攻击，这可能表明有人支付了赎金。但Cencora方尚未对是否向 Dark Angels 支付了赎金进行公开说明。 Dark Angels “Dark Angels（暗黑天使）”是一项针对全球企业开展的勒索软件行动，于2022年5月发起。 与大多数由人类操控的勒索软件团伙一样，Dark Angels 的操控者会入侵企业网络并横向移动，直到最终获得管理权限。在此期间，他们还会从受感染的服务器窃取数据，这些数据随后会作为索要赎金的额外筹码。 当他们获得 Windows 域控制器的访问权限时，威胁行为者会部署勒索软件来加密网络上的所有设备。 当威胁行为者发起攻击时，他们使用了基于Babuk 勒索软件泄露源代码的Windows 和VMware ESXi加密器。 之后，他们改用 Linux 加密器，该加密器与 Ragnar Locker(已于 2023 年被执法部门破获）自 2021 年以来使用的加密器相同。 这款 Linux 加密器曾在针对江森自控的Dark Angels 攻击中使用， 加密该公司的 VMware ESXi 服务器。在这次攻击中，Dark Angels声称窃取了27 TB的公司数据，并要求该公司支付5100万美元的赎金。 Dark Angels 勒索信 威胁行为者还运营了一个名为“Dunghill Leaks”的数据泄露网站用于勒索受害者，威胁称如果不支付赎金就会泄露数据。 Dark Angels 的“Dunghill”泄露数据泄露网站 Zscaler ThreatLabz 表示，Dark Angels 采用的是“大猎物狩猎”策略，即只瞄准少数高价值公司，希望获得巨额赎金，而不是同时瞄准多家公司，索要多笔但数额较小的赎金。简单来说就是“采用高度针对性的方法，通常一次只攻击一家大公司。” “这与大多数勒索软件组织形成了鲜明对比，这些组织不加区分地瞄准受害者，并将大部分攻击外包给初始访问经纪人和渗透测试团队的附属网络。” 据Chainalysis称，“大猎物狩猎”策略在过去几年中已成为众多勒索软件团伙采用的主导趋势。   消息来源：BleepingComputer，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

VMware 为 ESXi 虚拟机管理程序中的一个严重漏洞发布补丁后不到一周，微软威胁情报团队表示，勒索软件团体正在利用该漏洞获取加入域的系统的完全管理访问权限。 根据微软威胁情报团队的最新警告，该漏洞编号为 CVE-2024-37085，CVSS 严重性评分为 6.8，已被多个已知勒索软件组织滥用，在企业网络上部署数据勒索恶意软件。 VMware 上周发布补丁和解决方法时并未提及野外攻击，同时警告黑客可能利用该漏洞获取对 ESXi 主机未经授权的访问和控制。 VMware 表示：“VMware ESXi 包含身份验证绕过漏洞。VMware 已评估此问题的严重性，将其评为中等严重性范围。”“具有足够 Active Directory (AD) 权限的攻击者可以通过在从 AD 中删除配置的 AD 组（默认情况下为“ESXi 管理员”）后重新创建该组，获得对之前配置为使用 AD 进行用户管理的 ESXi 主机的完全访问权限。” 该公司推出了针对 ESXi 8.0 和 VMware Cloud Foundation 5.x 的补丁，但没有计划推出针对 ESXi 7.0 和 VMware Cloud Foundation 4.x 的补丁。 微软报告称，Storm-0506、Storm-1175 和 Octo Tempest 等知名网络犯罪集团已经利用此 VMware ESXi 漏洞部署勒索软件。 微软表示：“过去三年中，针对并影响 ESXi 虚拟机管理程序的微软事件响应 (Microsoft IR) 活动的数量增加了一倍以上。” 在一个记录在案的案例中，微软表示北美一家工程公司受到了 Black Basta 勒索软件部署的影响，其中包括使用 CVE-2024-37085 漏洞来获取组织内 ESXi 虚拟机管理程序的提升权限。 该公司警告称：“微软发现威胁行为者在域中创建了‘ESX Admins’组并向其中添加了一个新用户帐户……此攻击导致 ESXi 文件系统被加密，并导致 ESXi 管理程序上托管的虚拟机失去功能。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/g_dRPBhX0HQeAPYRH-Dz-g 封面来源于网络，如有侵权请联系删除

联邦检察官周四宣布，一名涉嫌为朝鲜军事情报机构实施网络犯罪的男子因密谋入侵美国医疗机构、美国国家航空航天局、军事基地和其他国际实体而被起诉。 Rim Jong Hyok被堪萨斯州堪萨斯城大陪审团起诉。他被指控利用洗钱者套现非法收益，然后用这些钱购买计算机服务器，并资助针对全球国防、技术和政府实体的更多网络攻击。 官员们表示，美国医院和其他医疗机构遭受的黑客攻击扰乱了患者的治疗。他被指控攻击了美国 11 个州的 17 个实体，其中包括 NASA 和军事基地以及韩国国防和能源公司。 起诉书称，黑客入侵 NASA 计算机系统长达三个月，窃取了超过 17 GB 的非机密数据。当局称，他们还入侵了密歇根州和加利福尼亚州等地国防公司的计算机系统，以及德克萨斯州的兰道夫空军基地和佐治亚州的罗宾斯空军基地。 根据法庭记录，网上法庭记录没有列出 Hyok 的律师，Hyok 曾居住在朝鲜，并在朝鲜军事情报机构平壤和新义州的办公室工作。 司法部官员称，2021 年 5 月，黑客加密了堪萨斯州一家医院的文件和服务器，但他们没有透露这家医院的具体名称。该医院支付了约 10 万美元的比特币以恢复其数据，并向联邦调查局报警。科罗拉多州一家医疗保健提供商在受到同样的 Maui 勒索软件变种的影响后也支付了费用。 联邦调查局的一位高级官员告诉记者，联邦调查局已经查获了该黑客组织使用的在线账户以及勒索软件攻击所得的 60 多万美元，这些资金已经或将返还给受害者。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/nUaFNDHXR_X5rsdh2sbR2A 封面来源于网络，如有侵权请联系删除

近日，网络安全公司趋势科技的分析师发现了Play勒索软件的最新Linux版本变种，专门用于加密 VMware ESXi 虚拟机。 研究人员称这是首次观察到 Play 勒索软件以 ESXi 环境为攻击目标。这表明，该勒索组织可能正在扩大其在 Linux 平台上的攻击范围，从而扩大受害者总数，使得他们的赎金谈判更加成功。 由于 ESXi 虚拟机的资源处理效率更高，在企业转而使用 ESXi 虚拟机进行数据存储和托管关键应用程序后，大多数勒索软件组织都将重点转向了 ESXi 虚拟机。 所以一旦企业的 ESXi 虚拟机被破坏将导致重大业务运营中断，而加密文件和备份则会大大减少受害者恢复受影响数据的选择。 Play 勒索软件 Linux 攻击流程，图源：趋势科技 在调查 Play 勒索软件样本时，趋势科技还发现该勒索软件团伙使用了由名为 Prolific Puma 的威胁行为者提供的 URL 缩短服务。 成功启动后，Play 勒索软件 Linux 样本将扫描并关闭受攻击环境中发现的所有虚拟机，然后开始加密文件（如虚拟机磁盘、配置和元数据文件），并在每个文件末尾添加 .PLAY 扩展名。 趋势科技称，要关闭所有运行中的 VMware ESXi 虚拟机以便对其进行加密，加密程序将执行以下代码： /bin/sh -c "for vmid in $(vim-cmd vmsvc/getallvms | grep -v Vmid | awk '{print $1}'); do vim-cmd vmsvc/power.off $vmid; done" 研究人员在分析时发现，该变种专门针对 VMFS（虚拟机文件系统）设计，VMFS 是 VMware 的 vSphere 服务器虚拟化套件使用的文件系统。 它还会在虚拟机的根目录中投放一张赎金条，该赎金条将显示在 ESXi 客户端的登录门户和虚拟机重启后的控制台中。 Play 勒索软件 Linux 控制台赎金说明，图源：趋势科技 2022 年 6 月，Play 勒索软件首次浮出水面，首批受害者开始在 BleepingComputer 论坛上寻求帮助。 该勒索软件的操作者以从被入侵设备中窃取敏感文件而闻名，他们在双重勒索攻击中使用这些文件，迫使受害者支付赎金，并威胁将被盗数据泄露到网上。 Play 勒索软件的受害者包括云计算公司 Rackspace、加利福尼亚州奥克兰市、汽车零售巨头阿诺德-克拉克、比利时安特卫普市和达拉斯县。 去年12 月，美国联邦调查局在与 CISA 和澳大利亚网络安全中心（ACSC）的联合公告中警告说，截至 2023 年 10 月，该勒索软件团伙已入侵了全球约 300 家组织。 这三个政府机构建议防御者尽可能启用多因素身份验证，保持离线备份，实施恢复计划，并保持所有软件处于最新版本。   转自FreeBuf，原文链接：https://www.freebuf.com/news/406727.html 封面来源于网络，如有侵权请联系删除

巴西特家具罕见地承认，此次攻击“已经并且可能继续对公司的业务运营产生重大影响。” 安全内参7月18日消息，遭遇勒索软件攻击后，美国最大的家具公司之一被迫关闭制造设施。 巴西特家具（Bassett Furniture）表示，7月10日发现未经授权的访问后，公司关闭了一些IT系统。 该公司在本周一提交的监管文件中写道，黑客“通过加密某些数据文件扰乱了公司的业务运营”，迫使公司启动了事件响应计划。 巴西特家具在向美国证券交易委员会（SEC）提交的8-K文件中表示：“由于采取了关闭部分系统等遏制措施，截至本报告日期，公司的制造设施尚未恢复运营。” “公司的零售店和电子商务平台仍然开放，客户可以下单并购买现有商品；然而，公司目前的订单履行能力受到了影响。” 为了减轻中断影响，公司工作人员正在努力恢复受影响的系统并实施替代方案。 与许多公司在网络攻击后提交给SEC的8-K文件不同，巴西特家具罕见地承认此次攻击“已经并且可能继续对公司的业务运营产生重大影响。影响或一直持续到恢复工作完成之时。” 他们仍不确定这是否会“实质性地”影响公司的财务表现。 截至周二下午，没有任何勒索软件团伙宣布对此次事件负责。 巴西特家具在美国拥有近90家门店，是该国最大的家具制造商和销售商之一。在勒索软件攻击的同一天，公司报告2024年第二季度收入同比下降了17%。 SEC事件披露政策初显威 此次攻击正值各组织向SEC提交关于网络安全事件的8-K文件数量急剧增加之际。 2023年7月，美国SEC通过了一条备受争议的规则，要求公司迅速披露对财务“有重大影响”的网络安全事件。 这条规则引发了上市公司和立法者的愤怒，他们质疑SEC使用“重大网络安全事件”一词时定义不清，因为大多数大型组织每天都面临着无穷无尽的网络入侵。 自该规则生效以来，几乎所有的披露文件都声称，网络攻击对公司的利润没有“重大”影响。然而，数家公司后来承认，事件恢复成本或运营停工的确导致了重大财务损失。 本周，美国联合健康集团和一家汽车经销商公司披露，他们遭遇网络安全事件造成了重大财务影响。   转自安全内参，原文链接：https://www.secrss.com/articles/68248 封面来源于网络，如有侵权请联系删除

来自能源、石油/天然气和公用事业领域的 275 名 IT/网络安全领导者分享了他们遭遇勒索软件攻击的经历。 Sophos 最新的年度研究针对能源、石油/天然气和公用事业领域（支持企业的关键基础设施的核心要素）的真实勒索软件经历，探索了受害者的完整历程，从攻击率和根本原因到运营影响和业务结果。 今年的报告揭示了该行业的新研究领域，包括对赎金要求与赎金支付的探讨，以及能源、石油/天然气和公用事业组织从执法机构获得支持以补救攻击的频率。 提交表单，此处下载报告PDF副本。 勒索软件感染率持稳 2024 年，67% 的能源、石油/天然气和公用事业组织遭受勒索软件的攻击，与 2023 年报告的攻击率相同。 98% 的能源、石油/天然气和公用事业组织在过去一年遭受勒索软件攻击，他们表示网络犯罪分子在攻击期间试图破坏其备份。其中五分之四 (79%) 的备份破坏尝试成功，这是所有行业中备份破坏成功率最高的。 2024 年针对能源、石油/天然气和公用事业组织的勒索软件攻击中有 80% 导致数据加密，与 2023 年该行业报告的加密率 (79%) 一致，但高于 2024 年跨行业平均水平 70%。 2024 年，能源、石油/天然气和公用事业组织从勒索软件攻击中恢复的平均成本为 312 万美元，与 2023 年报告的 317 万美元相似。 受勒索软件攻击影响的设备 平均而言，能源、石油/天然气和公用事业行业中有 62% 的计算机受到勒索软件攻击的影响，远高于 49% 的跨行业平均值。 与其他行业不同，其他行业中只有一小部分组织对其整个环境进行了加密，而大约五分之一的能源、石油/天然气和公用事业组织 (17%) 报告称其 91% 或更多的设备受到影响。 51%的组织使用备份进行数据恢复 61% 的能源、石油/天然气和公用事业组织支付了赎金以恢复加密数据，而只有 51% 的组织使用备份恢复了加密数据，这是所有行业中备份使用率最低的一次。 这是能源、石油/天然气和公用事业组织首次报告支付赎金的倾向高于使用备份。相比之下，在全球范围内，支付赎金的组织占 56%，使用备份的组织占 68%。 今年的调查结果与前两年相比发生了显著变化，当时该行业的备份使用率令人印象深刻（2023 年为 70%，2022 年为 77%）。 一个显著变化是受害者使用多种方法恢复加密数据的倾向有所增加（例如支付赎金和使用备份）。这一次，35% 的能源、石油/天然气和公用事业组织报告称，他们使用了不止一种方法来加密数据，高于 2023 年报告的 26%。 关键基础设施受害者通常不会支付最初要求的赎金 86 家支付赎金的能源、石油/天然气和公用事业组织受访者分享了实际支付的金额，结果显示 2024 年的平均（中位数）支付金额为 250 万美元。 略少于一半（48%）的受访者表示，他们的付款与原始要求相符。26% 的人支付的金额低于原始要求，27% 的人支付的金额更多。 从行业数据来看，能源、石油/天然气和公用事业最倾向于支付攻击者要求的原始赎金金额。这也是支付低于原始要求金额的倾向第二低的行业。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/O3SHo9cdffsRXRG1jZ3LYA 封面来源于网络，如有侵权请联系删除

关键供应商Synnovis遭勒索软件攻击，导致英国伦敦器官移植和血液供应受到干扰。 安全内参7月17日消息，六周前，勒索软件攻击干扰了血液检测公司Synnovis的运作。到目前为止，这一事件已经影响了近8000名英国国家医疗服务体系（NHS）患者的手术，包括器官移植和癌症治疗，已被取消、推迟或转移到伦敦的其他设施。 NHS在7月11日发布公告更新指出，自6月3日事件爆发以来，伦敦国王学院医院NHS信托基金和盖伊和圣托马斯NHS信托基金，两家受影响最严重的NHS信托基金共推迟了6199次急性门诊预约和1491次选择性手术。 NHS表示，尽管推迟的急性门诊预约和选择性手术数量有所减少，但攻击的影响仍在继续，并且具有破坏性。 NHS伦敦医疗主任Chris Streather医生在声明中说：“这仍然对患者产生了重大影响，我理解手术推迟带来的痛苦。” “在整个伦敦，我们继续与NHS同事合作，互相提供帮助，尽量减少事件对护理服务的干扰，特别是在伦敦东南部的护理服务。伦敦的NHS组织正在合作制定恢复服务的计划。” NHS表示，6月3日事件造成持续干扰，也影响了整个英国的血液供应。 医院正在使用比平时更多的通用血型- O阴性和O阳性。NHS表示：“这对国家血液库存产生了影响。” 关键供应商因勒索攻击丧失IT能力 Synnovis在7月1日的最新更新中表示，网络攻击影响了其几乎所有的IT系统，导致公司处理样本的能力持续大幅降低。 Synnovis是盖伊和圣托马斯NHS信托基金、国王学院医院NHS信托基金和SYNLAB之间的病理学合作伙伴关系。 讲俄语的勒索软件组织Qilin声称对此次攻击负责。该组织在6月底在暗网上泄露了近4GB从Synnovis和NHS窃取的数据，据说还要求受害者支付5千万美元赎金。 公司表示，攻击影响了Synnovis分析仪识别和处理传入样本以及传输测试结果的能力。“相关的电子过程很多被迫归回纸面和手动操作，这大大影响了处理能力和交付时间。” Synnovis表示，预计“需要一些时间”才能完全恢复，并补充说，公司正在采取分阶段的方法重新建立其技术基础设施，“根据临床重要性进行优先排序”。 Synnovis说：“这包括在盖伊和圣托马斯以及国王学院医院交付新的中间件，即简化我们实验室信息管理系统结果报告和传输的软件。这些软件能增加我们各方的处理能力。” 外媒Security Media Group试图采访NHS和Synnovis，二者均拒绝提供该事件的额外详细信息。 医疗行业勒索破坏式攻击层出不穷 Synnovis攻击事件及其对NHS患者服务的破坏性影响令人想起最近美国和其他地区医疗保健部门遭遇的类似网络事件。 今年2月，美国联合健康集团的子公司Change Healthcare遭遇攻击；5月，Ascension连锁医院受到勒索软件攻击。两次事件均造成了大规模的干扰。 上周五，弗吉尼亚州民主党参议员Mark R. Warner向美国卫生与公众服务部部长Xavier Becerra和国家安全顾问助理Anne Neuberger发送了一封信，敦促拜登政府迅速制定并发布医疗保健部门的强制性最低网络标准。 尽管美国卫生部几个月来一直在研究如何制定医院的潜在网络安全绩效目标，Warner鼓励政府在Change Healthcare攻击之后立即发布新的医疗保健规定。 他说：“鉴于网络安全威胁和攻击的严重性、频率和复杂性不断增加，我今天写信是为了敦促您优先制定、尽快提出强制性最低网络标准。简而言之，不充分的网络安全实践使人们的生命处于危险之中。”   转自安全内参，原文链接：https://www.secrss.com/articles/68200 封面来源于网络，如有侵权请联系删除

因CDK公司遭遇勒索软件攻击，导致全美上万家汽车经销商业务系统瘫痪十余天；据知情人士透露，CDK通过专业勒索响应公司支付赎金后，约一周时间恢复系统上线；此次事件展示了勒索软件团伙的新洞察：造成影响越坏越能收到赎金。 安全内参7月16日消息，CDK Global是一家为全美汽车经销商提供服务的知名软件公司，上个月因遭受勒索软件攻击而陷入困境。多位知情人士透露，CDK似乎向黑客支付了2500万美元（约合人民币1.81亿元）赎金。 CDK拒绝讨论此事。由于某些加密货币服务具有相对匿名性，很难准确确认谁支付了加密货币。不过，从支撑加密货币支付的区块链数据中，我们能窥见一些内幕。加密货币允许在传统银行系统之外进行数字资产交换，但这些交易记录可在区块链上访问。 TRM Labs的全球调查负责人Chris Janczewski对外媒CNN表示，6月21日，大约387个比特币（当时相当于约2500万美元），被发送到BlackSuit勒索软件相关黑客控制的加密货币账号。 支付完成一周后，CDK表示将汽车经销商重新上线到其软件平台。 Janczewski没有确定谁支付了款项，但另有三位密切跟踪此事件的消息人士证实，确实有大约2500万美元的支付给了BlackSuit的关联者，而CDK很可能是这笔款项的支付方。这些消息人士因为调查的敏感性要求匿名。 其中一位消息人士说，支付赎金的加密货币账号与一家帮助受害者应对勒索攻击的公司有关，但拒绝透露该公司的身份。 CDK发言人Lisa Finney没有回应CNN关于赎金支付的多次评论请求，CDK首席执行官Brian MacDonald也没有回应寻求评论的邮件和LinkedIn信息。 6月中旬袭击CDK的勒索软件攻击扰乱了数千家汽车经销商。这些经销商使用CDK软件管理从排班到销售和订单等一切事务。CDK在给记者的声明中称此次攻击为“网络事件”。但据外媒CBS报道，CDK在发给客户的通知中将此次攻击描述为“网络勒索事件”。 7月初，CDK表示，使用其软件的近15000家北美汽车经销商，“几乎全部”都已重新在其核心管理系统上线。 美国企业频频因勒索攻击支付赎金 美国联邦官员通常不鼓励向网络犯罪分子支付赎金，因为这可能助长未来的攻击。但一些公司觉得他们别无选择，为了恢复敏感的客户数据或使其系统重新上线，只能支付赎金。 对去年出现的新勒索软件犯罪团伙BlackSuit来说，这笔赎金是一笔意外之财。他们声称攻击了很多教育和建筑等行业的目标。美国卫生与公共服务部表示，BlackSuit的恶意软件与此前其他讲俄语的犯罪团伙使用的恶意软件类似。 威胁情报公司Analyst1的首席安全策略师Jon DiMaggio专门研究勒索软件团伙，他说：“自2019年以来，该团伙的领导层一直在以其他勒索软件的名义进行勒索行动。” DiMaggio告诉CNN：“这些年来，我见过很多类似案例。犯罪团伙要么被执法机构关闭，要么决定终止运作，换一个新名字重新开始攻击和勒索各家组织。”他还说，BlackSuit的大多数受害者都在美国。 另一家加密货币追踪公司Chainalysis在2月份发布报告指出，尽管美国政府努力切断网络犯罪分子的资金流，去年网络犯罪分子从全球受害组织中勒索了创纪录的11亿美元赎金。 虽然2500万美元的赎金支付规模庞大，但在利润丰厚的勒索软件行业并不罕见。美国卫生保健巨头联合健康集团的子公司在2月份遭受了一起勒索软件攻击，使全美的药房瘫痪。该集团被迫向另一家犯罪团伙支付了2200万美元的赎金。 但是，网络安全公司Coveware的数据显示，2023年第四季度的平均赎金支付金额明显降低，仅有568705美元。   转自安全内参，原文链接：https://www.secrss.com/articles/68159 封面来源于网络，如有侵权请联系删除

据 Have I Been Pwned 创始人 Troy Hunt 分析，美国奢侈品零售商和连锁百货公司 Neiman Marcus 于上月披露的数据泄露事件中暴露了超过 3100 万个客户电子邮件地址。 Hunt 是在该公司向缅因州总检察长办公室提交数据泄露通知后得出的这一结论，而该公司此前提交的泄露通知称此次事件只影响了 64472 人。 Neiman Marcus 在其网站上发布的另一份事件通知中透露道，此次攻击暴露的数据包括姓名、联系信息（如电子邮件、邮寄地址和电话号码）、出生日期、礼品卡信息、交易数据、部分信用卡（无有效期或 CVV）和社会安全号以及员工身份号。 在分析此次泄露事件中被盗数据时，Hunt 发现了 3000 万个唯一的电子邮件地址，与此同时，他还与多个被盗数据库中的信息拥有者确认了这些数据的合法性。 Hunt 表示：“这个数据相当庞大，我确实想及时给数据被盗的人发出通知。被泄露的邮件地址确切总数为 31152842 个。” 数据集中大约 105000 名 Have I Been Pwned 用户将收到一封电子邮件，用以通知此次大规模的数据泄露事件。 BleepingComputer 尝试联系 Neiman Marcus 发言人来确认 Hunt 的发现是否属实，但发言人对此拒绝发表评论。然而，他们向 BleepingComputer 指出该公司网站上已发布数据安全通知，并表示缅因州文件中提到的 64472 人是那些已经收到数据泄露通知的人。 在 Snowflake 的攻击中数据被盗 今年 6 月，Neiman Marcus 在首次披露数据泄露事件后，将该事件与 Snowflake 数据窃取攻击联系起来。 “NMG 近期得知，有未经授权的一方获得了 NMG 云数据库平台的访问权限，该平台由第三方 Snowflake 提供。”该公司表示。 此前，一个使用 “Sp1d3r “头衔的黑客在黑客论坛上出售 Neiman Marcus 的数据，以 15 万美元的价格出售 1200 万个礼品卡号、7000 万个包含客户完整交易的详细信息以及 60 亿行客户购物记录、商店信息和员工数据。 黑客论坛上出售 Neiman Marcus 数据的截图 黑客最初声称该公司拒绝支付勒索要求，但随后删除了论坛帖子和数据样本，这一举动暗示公司可能已经与黑客展开了谈判。 Snowflake、Mandiant 和 CrowdStrike 的联合调查显示，一个被追踪为 UNC5537 的经济动机黑客利用窃取的客户凭据，攻击了至少 165 家未在其 Snowflake 账户上配置 MFA 保护的组织。 相关资讯链接： 由于 Snowflake 账户被入侵，Neiman Marcus 遭受数据泄露   消息来源：bleepingcomputer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

近日，据Bleepingcomputer报道，代号Sp1d3rHunters的黑客宣称泄露了美国歌手泰勒斯威夫特（Taylor swift）“Eras Tour”演唱会的16.6万张门票的条形码数据，并索要200万美元赎金，否则将泄露更多门票数据。美国歌手泰勒斯威夫特号称“行走的GDP”，与英伟达并称“美国经济两大支柱”，因其演唱会近年来席卷全球，堪称吸金龙卷风。这也让很多犯罪分子眼红，纷纷对其粉丝下手，实施各种诈骗。此次巡演门票数据大规模泄露，不禁让人担心更大规模的门票诈骗事件。据英国劳埃德银行统计，2023年7月以来，至少有3000人可能被诱骗购买了假的斯威夫特演唱会门票，总计损失超过100万英镑。 “雪花事件”的余震 泰勒斯威夫特的演唱会门票泄露与此前票务巨头Ticketmaster的数据泄露事件有关。今年5月，知名黑客组织ShinyHunters以50万美元的价格出售5.6亿Ticketmaster客户数据。Ticketmaster随后确认了数据泄露，表示这些数据来自他们在Snowflake（雪花公司）的云端账户。Snowflake是一家基于云的数据仓库公司，为企业提供云存储数据库、用于数据处理和分析。4月，黑客开始使用通过信息窃取恶意软件盗取的凭证，下载了至少全球165个大型企业和机构的Snowflake数据库。随后，这些黑客开始向受害公司勒索，要求支付赎金以防止数据被泄露。确认从Snowflake账户中泄露数据的公司包括Neiman Marcus、洛杉矶联合学区、Advance Auto Parts、Pure Storage和桑坦德银行等知名组织。 巡演门票只是冰山一角 黑客Sp1d3rHunters之前名为Sp1d3r，是从Snowflake账户盗取数据并公开勒索上百家知名企业的幕后黑手。 在黑客论坛上泄露的近17万泰勒斯威夫特巡演门票数据 来源：bleepingcomputer 根据威胁情报服务HackManac上发布的帖子，Sp1d3rHunters泄露的16.6万张泰勒·斯威夫特Eras巡演门票条码数据用于多个演唱会日期的入场，包括即将在迈阿密、新奥尔良和印第安纳波利斯举行的演唱会。帖子中还包含了一小部分所谓的条码数据样本，这些数据包含用于生成可扫描条码的值、座位信息、门票面值等信息。威胁行为者还分享了如何将这些数据转换为可扫描条码的细节。 Sp1d3rHunters要求Ticketmaster支付200万美元赎金，否则将泄露更多用户和门票数据。 “支付200万美元，否则我们将泄露你们的6.8亿用户信息和另外3000万个活动条码，包括更多的泰勒·斯威夫特活动、P!nk、Sting、体育赛事F1方程式赛车、MLB、NFL等数千个活动，”Sp1d3rHunters在帖子中写道。 安全研究人员发现，虽然新泄露的门票条码数据并不包含在5月泄露的初始Ticketmaster数据样本中，但一些新泄露的数据可以在旧的泄露数据中找到，包括门票的哈希值、信用卡和销售订单等信息。 这些攻击背后的组织是ShinyHunters，多年来他们对许多数据泄露事件负责，包括在2020年泄露了18家公司3.86亿用户记录、影响7000万客户的AT&T数据泄露事件，以及最近泄露的3300万个使用Authy多因素认证应用的电话号码。 Ticketmaster的回应 美国东部时间2024年7月5日下午3:44，Ticketmaster在回复bleepingcomputer的公告中指出，其防伪技术每隔几秒钟就会刷新（轮换）门票条码数据，因此被盗的门票（条码）无法使用。 “Ticketmaster的SafeTix技术通过每几秒自动刷新一个新的唯一条码来保护门票，确保它们不会被盗或复制，”Ticketmaster指出：“这是我们实施的众多防欺诈保护措施之一，以确保门票的安全。” Ticketmaster还表示没有与黑客进行任何赎金谈判，并否认ShinyHunters所说的愿意支付100万美元赎金以删除数据的说法。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/TxaoXkGgFvhws_rjkrjLDw 封面来源于网络，如有侵权请联系删除