微软已将此前追踪的朝鲜黑客组织Moonstone Sleet与勒索软件FakePenny的网络攻击联系起来，该组织提出了数百万美元的勒索要求。 尽管该威胁组织的战术、技术和程序（TTPs）在很大程度上与其他朝鲜攻击者重叠，但他们也在持续采用新颖的攻击方法，使用自主开发的基础设施和工具。 此前追踪的Moonstone Sleet组织Storm-17已被观察到使用木马化软件（例如PuTTY）、恶意游戏和npm软件包、自定义恶意软件加载器，以及虚假的软件开发公司（如StarGlow Ventures和C.C. Waterfall）对金融和网络间谍目标进行攻击。他们通过LinkedIn、Telegram、自由职业网络或电子邮件与潜在受害者互动。 微软表示：“在首次检测到Moonstone Sleet活动时，我们发现该组织与Diamond Sleet表现出很大的重叠性。该组织重复使用已知的Diamond Sleet恶意软件（如Comebacker）的代码，并使用成熟的Diamond Sleet技术获取对组织的访问权限，例如通过社交媒体传递木马化软件。” “然而，Moonstone Sleet很快转变为使用自主开发的基础设施和攻击方式。随后，微软观察到Moonstone Sleet和Diamond Sleet同时行动，其中Diamond Sleet仍在大量使用此前已知的成熟技术手段。” Moonstone Sleet PuTTY 攻击流程 朝鲜黑客与勒索软件相关 在黑客入侵受害者网络的两个月后，即今年四月，我们首次发现黑客部署了新的定制 FakePenny 勒索软件变种。 然而，与之前朝鲜国家黑客协调的勒索软件攻击不同，此前受害者被朝鲜黑客要求支付10万美元的赎金，而Moonstone Sleet攻击者要求支付660万美元的比特币。 微软对此次攻击的评估结论为：Moonstone Sleet部署勒索软件的主要动机是获取经济利益。而此前该组织参与的网络间谍攻击也表明，他们的攻击旨在创收和收集情报。 自首次观察到该组织的行动以来，Moonstone Sleet已针对多个行业发起攻击，包括软件和信息技术、教育以及国防工业基地部门的个人和组织。 FakePenny 勒索软件的留言截图 Moonstone Sleet并不是近年来第一个与勒索软件攻击有关联的朝鲜黑客组织。此前，美国和英国政府正式将 2017 年 5 月勒索软件 WannaCry 危害全球数十万台电脑这一事件归咎于 Lazarus Group。 2022年7月，微软和FBI也分别将朝鲜黑客与勒索软件Holy Ghost的行动、勒索软件Maui针对医疗机构的攻击联系起来。 微软补充道：“Moonstone Sleet 的各种战术之所以引人注目，不仅是因为它们十分有效，还因为它们是从其他朝鲜黑客多年来为实现朝鲜网络目标而开展的活动中演变而来的。” “此外，Moonstone Sleet 效仿另一朝鲜黑客 Onyx Sleet 将勒索软件加入其战术库，这表明该组织可能正在加强自己的能力来实现一些破坏性行动。”   消息来源：bleepingcomputer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

佳士得拍卖行确认遭遇数据泄露攻击，原因是一个勒索软件组织周一威胁要泄露从该公司窃取的数据。 本月初，佳士得网站下线，该公司当时称这是“技术安全事件”。此次网络攻击发生时，佳士得拍卖行正准备拍卖价值约 8.4 亿美元的收藏品。虽然此次事件导致潜在买家无法在佳士得网站上查看拍卖品，但人们仍然可以进行竞标。 佳士得是一家拥有250年历史的英国艺术品及奢侈品拍卖行，是全球最富有的拍卖行之一。佳士得去年通过销售艺术品和奢侈品赚取了超过 60 亿美元，此前该公司曾以创世界纪录的 4.5 亿美元价格将列奥纳多·达芬奇的画作《救世主》卖给了一位沙特王子。 佳士得数据泄露事件是RansomHub这一相对较新的勒索软件组织所发起攻击的结果。 该网络犯罪组织于 2024 年 2 月出现，并因开始泄露据称从医疗保健交易处理商 Change Healthcare 窃取的数据而成为最近几周的新闻头条。 RansomHub 于周一在其基于 Tor 的泄密网站上列出了佳士得以及其他一些组织的名单。 该网络犯罪分子声称从拍卖行窃取了 2 GB 的数据，并威胁说如果不支付赎金，他们将在一周内公开这些数据。 RansomHub 勒索软件组织声称窃取了“全球至少 50 万名佳士得拍卖行私人客户”的“敏感个人信息”。 黑客发布的截图显示，他们已经获得一个包含姓名、出生日期、地址、国籍等个人信息以及护照等身份证明文件数据的数据库。 “我们试图与他们达成合理的解决方案，但他们中途停止了沟通。”RansomHub勒索软件组织表示。“很明显，如果发布这些信息，他们将受到 GDPR 的巨额罚款，同时也会毁掉他们在客户心目中的声誉，他们根本不关心客户的隐私。” 佳士得发表声明称，公司本月初遭遇了一起技术安全事故，并迅速采取行动保护系统，包括关闭其网站。 “我们的调查发现，第三方未经授权访问了佳士得的部分网络。他们还发现，事件背后的组织窃取了我们部分客户的少量个人数据。没有证据表明任何财务或交易记录遭到泄露。”佳士得的一位发言人表示。 佳士得发言人补充道：“佳士得目前正在通知隐私监管机构、政府机构，并且正在与受影响的客户进行沟通。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/9L_y-acjS_QOvPqSX3BFCA 封面来源于网络，如有侵权请联系删除

数周前被FBI查封的勒索软件泄露数据交易暗网站点BreachForums，如今再次上线。 本周二，BreachForums重新开放注册，由早期的管理员之一ShinyHunters掌控。 5月15日，BreachForums网站和其Telegram频道被查封，两者均显示“现在由FBI控制”的警告。此外，FBI还在BreachForums网站上展示了其管理员Baphomet和ShinyHunters的头像被关在监狱里的图片，许多信息安全观察人士因此认为他们都已被逮捕。 但ShinyHunters团队声称自己毫发无损，并炫耀称其成员没有任何人被捕。 据Hackread.com的报道，ShinyHunters在FBI查封后的第二天重新获得了对BreachForums网站和一个新的暗网域名的访问权。 与此同时，美国司法部或FBI都没有发布关于查封BreachForums的官方声明——这与过去几年高调打击网络犯罪的行事风格不同。FBI也拒绝对之前的查封或BreachForums的重新发表评论。 BreachForums是2022年关闭的RaidForums的替代品，上线至今一直是最令警方头痛的暗网市场。 FBI曾于2023年6月查封了早期版本的BreachForums。其前管理员Conor Brian Fitzpatrick（又名“Pompourin”）被捕，并于今年1月被判处20年监督释放。然而，该网站卷土重来，这次由不同的管理员掌控，但仍然充当勒索软件经纪人。 “BreachForums的重组并不令人意外，”前FBI特工、现任BlueVoyant全球专业服务负责人Austin Berglas表示。 “完全捣毁一个在线有组织犯罪集团极其困难。要确保所有有访问权限的人员都被拘留和离线，识别并查封关键基础设施，包括摧毁整个犯罪组织的金融、技术和通信网络。” “尽管执法部门可能查封主要域名和相关服务器，但可能存在未识别的备份服务器和域名，必要时可以启用，或者之前未识别的个人可能拥有行政或技术访问权限，可以在查封或关闭后使用。”Berglas补充道。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/EonbSdqw0qrrUV2Xy-DXOA 封面来源于网络，如有侵权请联系删除

近日，俄罗斯最大的快递公司之一 CDEK 遭遇了网络攻击负责，这次攻击导致该公司的服务中断数日。 事件发生后，有一些自称 “Head Mare ”的俄语黑客声称对此次攻击负责，他们用勒索软件加密了该公司的服务器，并销毁了公司系统的备份副本。 不过，该公司将此次服务中断归咎于 “大规模技术故障”，该故障影响了其网站和移动应用程序的功能。CDEK 还暂停了包裹运输，以避免人工处理过程中出现错误。 该公司表示：本周一（5月27日），公司在恢复全面运营方面取得了重大进展，但遗憾的是，我们还没有做好恢复服务的准备。您的所有包裹都是安全的，我们正在尽一切必要的努力确保它们尽快到达您的手中。 虽然 CDEK 公司并没有公开表示此次中断是因网络攻击而起，但据该公司内部的一位匿名人士透露给俄罗斯媒体 Vedomosti的消息称，这的确是一起勒索软件攻击事件。本周二（5月28日）晚些时候，俄罗斯国家杜马信息政策委员会主席证实 CDEK 的中断是由网络攻击造成的。 黑客组织在X上公开披露攻击事件 该黑客组织在 X 上发布的一则声明中写道： CDEK 的安全政策几乎是无效的，系统管理员防御能力太弱了。 CDEK 的通讯主管在接受 Interfax 新闻社采访时说，公司打算最迟于 5 月 29 日恢复运营。同时他表示公司正在努力全面恢复服务，也同步准备了备用计划。 CDEK 成立于 2000 年，以特许经营方式运营，截至 2023 年，在 31 个国家拥有超过 4300 个提货点，其中大部分位于俄罗斯。2021 年，公司估值约为 2 亿美元。 有不少СDEK 在俄罗斯的客户近几日纷纷在俄罗斯媒体发表的声明下发表评论，抱怨包裹投递延误。“我们的孩子本应在周五收到我们的包裹。一位客户告诉俄罗斯新西伯利亚市的当地媒体。 另一位俄罗斯公民告诉《生意人报》，快递延误将使他损失 4 万卢布（约合 450 美元）。 黑客没有说明他们为什么要攻击 CDEK，他们在 X 上称 CDEK 是 “俄罗斯最差的快递服务之一”。俄罗斯独立媒体 Meduza 报道称，在俄罗斯入侵乌克兰之初，俄罗斯士兵曾使用 CDEK 从乌克兰边境发送大型包裹。 Head Mare 黑客组织于去年 12 月加入 X，从那时起，它就声称对数家俄罗斯公司的攻击负责，包括互联网提供商、政府机构、工厂以及石油和天然气公司。他们发布了截图来证实这些所谓的攻击，但由于俄罗斯方面没有公开报道，因此很难核实这些行动的真实性。   转自FreeBuf，原文链接：https://www.freebuf.com/news/402127.html 封面来源于网络，如有侵权请联系删除

每年负责 150 亿笔医疗保健交易的Change Healthcare公司估计，尽管支付了 2200 万美元的赎金，但在 2 月份的网络攻击中，三分之一的美国人（约 1.12 亿）的个人健康和身份信息被盗。 Change Healthcare尚未确定或联系数据遭到泄露的具体个人；与该公司签约的医疗服务提供商现在才看到其财务运营恢复正常。 圣玛丽山区医院、西部家庭健康中心、社区医院和科罗拉多州大章克申市退伍军人事务医疗中心均证实，他们与 Change 签订了合同，并受到系统中断的影响。 Family Health West 首席执行官兼总裁 Korrey Klein 医学博士表示：“坏人可能掌握的信息非常可怕。更糟糕的是，如果涉及到圣玛丽医院、社区和 Family Health West，任何在梅萨县接受过医疗服务的人都可能受到这种泄露的影响。” 根据美国医院协会 (AHA) 的数据，Change 是 UnitedHealth Group 的子公司，负责处理三分之一的患者记录。Klein 博士表示，Change 的医疗索赔流程通常包含患者的姓名、地址、出生日期、社会安全号码和雇主；如果索赔有共付额，它还可能包含患者的保险 ID 和金融机构信息。 除了获取敏感信息外，勒索软件还阻止医疗服务提供商使用 Change 软件接收付款和提交医疗索赔。提交医疗索赔对于服务提供商让保险公司报销患者费用至关重要。 袭击发生十二周后，梅萨县受影响的医院报告称，他们以电子方式提交索赔的能力已与大多数其他系统一起恢复。 损害控制 UnitedHealth Group （联合健康集团）首席执行官安德鲁·威蒂本月初在众议院小组委员会面前作证称，网络犯罪分子可能掌握约三分之一美国人的健康数据；该公司以比特币支付了 2200 万美元的赎金，但无法确定此次黑客攻击的 BlackCat 勒索软件组织是否会遵守协议。 联合健康集团于 4 月底发布声明，解释称由于数据复杂，数月内无法向特定个人提供援助。不过，联合健康集团已建立了呼叫中心和网站，提供信用监控和身份盗窃保护。 Klein 博士表示，鉴于情况的严重性，应该尽早通知患者，因此 Family Health West 承担了这项任务。 “尽管通知不是我们的责任，但我们会通知过去三年内接受过 Family Health West 医疗服务的任何人。”Klein 说道。“我们不知道他们是否收集了当前信息、过去信息，或者根本没有收集（任何）信息，但我们认为最好主动为患者提供信息。” 据社区医院通讯主管凯伦·马索夫 (Karen Martsolf) 称，在 2 月份网络攻击发生后不久，他们就向患者发送了一封有关该攻击的信件。 社区医院首席执行官兼总裁克里斯·托马斯表示：“虽然我们受到了社区医院外发生的这次网络攻击的影响，但我们将继续致力于保护我们的组织和患者免受这些外部威胁。” 美国退伍军人事务部部长丹尼斯·麦克多诺 (Denis McDonough) 在四月底的新闻发布会上表示，全国退伍军人事务部已向 1500 多万退伍军人发送了电子邮件，告知他们信息泄露的可能性，并提供了由变革医疗机构、联邦贸易委员会和退伍军人事务部本身提供的防欺诈资源和建议。 “几周以来，我们一直在敦促 Change 提供更多信息。”麦克多诺说。“如果我们确实得知退伍军人的个人信息已被泄露，我们将迅速采取行动，减轻影响，并为受影响的退伍军人提供全力支持。但要明确的是，我们不会等待确认后再与退伍军人沟通此事。” 深远的财务影响 根据联合健康集团最新的财务披露，此次网络攻击已造成约 8.7 亿美元的损失；联合健康集团首席财务官约翰·雷克斯估计，到今年年底，此次事件可能给公司造成 14 亿至 16 亿美元的损失。 这种勒索软件攻击还对全国许多医疗机构和服务提供商造成了显著的经济损失：AHA 在 3 月 9 日至 3 月 12 日期间对近 1,000 家医院进行了调查，发现 82% 的医院报告其现金流受到影响，其中近 60% 的受访者表示其每日收入受到超过 100 万美元的影响。 尽管医院没有受到直接攻击，但受影响的主要原因是勒索软件阻止提供商通过 Change 软件处理索赔。因此，提供商必须手动填写索赔单并将其发送给保险公司，克莱恩说这说起来容易做起来难。 “如果索赔是针对手术的，账单上可能会有 100 行信息。”Klein 说。“所有这些都必须手动输入到保险公司的网站上——每个病人、每次就诊。 “我们无法手动处理通常发出的大量索赔，因此索赔案件开始堆积，我们的现金开始减少。幸运的是，我们有足够的现金储备，所以我们知道我们最终会得到赔偿。这只是需要多长时间的问题。”     转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/f51flEf2Cv4eIXbfO-p-7A 封面来源于网络，如有侵权请联系删除

针对 VMware ESXi 基础架构的勒索软件攻击无论部署何种文件加密恶意软件，都遵循一种既定模式。 网络安全公司Sygnia在与《黑客新闻》共享的一份报告中提到：虚拟化平台是组织IT基础设施的核心组成部分，但它们往往存在固有的错误配置和漏洞，这使它们成为威胁行为者有利可图和高度有效的滥用目标。 这家以色列公司通过对LockBit、HelloKitty、BlackMatter、RedAlert (N13V)、Scattered Spider、Akira、Cactus、BlackCat和Cheerscrypt等各种勒索软件家族的事件响应工作发现，对虚拟化环境的攻击遵循类似的行动顺序。 这包括以下步骤： 通过网络钓鱼攻击、恶意文件下载和利用面向互联网资产的已知漏洞获取初始访问权限 利用暴力攻击或其他方法提升权限，获取 ESXi 主机或 vCenter 的凭证 验证他们对虚拟化基础架构的访问权限并部署勒索软件 删除或加密备份系统，或在某些情况下更改密码，使恢复工作复杂化 将数据渗出到外部位置，如 Mega.io、Dropbox 或他们自己的托管服务 启动勒索软件的执行以加密 ESXi 文件系统的”/vmfs/volumes “文件夹 将勒索软件传播到非虚拟化服务器和工作站，以扩大攻击范围 为降低此类威胁带来的风险，建议企业确保实施充分的监控和日志记录，创建强大的备份机制，执行强有力的身份验证措施，加固环境，并实施网络限制以防止横向移动。 网络安全公司 Rapid7 警告称，自 2024 年 3 月初以来，该公司一直在利用常用搜索引擎上的恶意广告，通过错别字域名分发 WinSCP 和 PuTTY 的木马安装程序，并最终安装勒索软件。 这些伪装安装程序充当了投放 Sliver 后期漏洞工具包的渠道，该工具包随后被用于投放更多有效载荷，包括用于部署勒索软件的 Cobalt Strike Beacon。 该活动与之前的 BlackCat 勒索软件攻击在战术上有共同之处，后者使用恶意广告作为初始访问载体，是交付氮气恶意软件的重复性活动的一部分。 安全研究员Tyler McGraw说：该活动一定程度上影响了 IT 团队的成员，他们最有可能在寻找合法版本的同时下载木马文件。 勒索软件攻击 恶意软件一旦被成功执行可能会为威胁行为者提供更多便利，让其通过模糊后续管理操作的意图来阻碍分析。 此次攻击也是继Beast、MorLock、Synapse和Trinity等新勒索软件家族出现后的又一次最新事件披露，其中MorLock家族广泛针对俄罗斯公司，并在不先外泄文件的情况下对文件进行加密。 Group-IB在俄罗斯的分支机构F.A.C.C.T.表示：为了恢复数据访问，MorLock攻击者要求支付相当高的赎金，赎金数额可达数千万或数亿卢布。 根据 NCC 集团共享的数据，2024 年 4 月全球勒索软件攻击比上月下降了 15%，从 421 起降至 356 起。 值得注意的是，2024 年 4 月也标志着 LockBit 结束了长达 8 个月的受害者最多的威胁行为体统治，这也说明了其在今年早些时候执法部门大举打击后的艰难生存状况。 然而，令人惊讶的是，LockBit 3.0 并不是本月最突出的威胁组织，其观察到的攻击次数还不到 3 月份的一半。反倒Play 成为了最活跃的威胁组织，紧随其后的是 Hunters。 除了勒索软件领域的动荡之外，网络犯罪分子还在宣传隐藏的虚拟网络计算（hVNC）和远程访问服务，如 Pandora 和 TMChecker，这些服务可被用于数据外渗、部署额外的恶意软件和促进勒索软件攻击。 Resecurity表示：多个初始访问代理（IAB）和勒索软件操作员使用 TMChecker 来检查可用的受损数据，以确定是否存在企业VPN和电子邮件账户的有效凭证。 因此，TMChecker 的同时崛起意义重大，因为它大大降低了那些希望获得高影响力企业访问权限的威胁行为者的进入成本门槛，这些访问权限既可以用于初次利用，也可以在二级市场上出售给其他对手。   转自Freebuf，原文链接：https://www.freebuf.com/news/401744.html 封面来源于网络，如有侵权请联系删除

近日，数十万个可能存在漏洞的 Atlassian Confluence Data Center 和 Confluence Server 实例暴露在互联网山，黑客能够在这些实例上远程运行任意代码。 Atlassian 是一家澳大利亚裔美国软件巨头，为开发人员和管理人员提供产品，该公司拥有 10000 多名员工，2023 年报告的收入超过 35 亿美元。研究人员在两款 Atlassian 产品中发现了一个安全漏洞 CVE-2024-21683（ CVSS 得分为 8.3），经过仔细分析得出，黑客可以对受影响的系统实施远程代码执行 (RCE) 攻击。 Cyber news 安全研究小组表示，鉴于很多企业正在使用 Atlassian Confluence Data Center 和 Confluence Server 服务，以帮助其团队协同工作和共享信息。这样的话，黑客就可以利用 CVE-2024-21683 安全漏洞侵入受影响的系统，并盗取受害者大量数据信息。 更为糟糕的是，CVE-2024-21683 安全漏洞不仅允许未经验证的黑客执行任意代码，而且不需要用户交互。 大量 Atlassian 实例暴露在互联网上 值得一提的是，虽然 Atlassian 收到 根据 Cybernews 的勒索软件监控工具 Ransomlooker 的数据，平均赎金要求为 530 万美元，因此尽快修复任何具有 RCE 功能的漏洞至关重要。报告后，便立刻针对两个受影响的服务发布了修复程序。然而，其安全团队还是发现数十万个易受攻击的实例暴露在互联网上，不断”诱惑“威胁攻击者发动网络攻击活动。 Cyber news 的安全研究人员指出，共有多达 224962 个数据中心和服务器实例暴露在互联网上，威胁攻击者可以利用 CVE-2024-21683 安全漏洞侵入受害者的网络系统中，一旦有了“立足点”，就可以轻松获得对系统的完全控制，随意安装恶意软件、访问敏感数据以及操纵系统配置。 此外， Atlassian 暴露的实例还危及到很多普通用户。研究人员认为，黑客可以窃取受害者登录凭证，从而侵入 Atlassian 账户和其他重复使用相同凭证的账户。 对此，研究人员强调，RCE 漏洞是高级勒索软件团伙经常使用的一种攻击载体，可以获得进入目标系统的初始入口，帮助勒索软件团伙开展攻击活动，（ Cyber news 勒索软件监控工具 Ransomlooker 的数据显示，勒索攻击事件平均赎金为 530 万美元）因此尽快修复任何具有 RCE 功能的安全漏洞非常重要。 以著名勒索软件 Cl0p 为例， 该组织曾经利用 Progress 软件公司 MOVEit Transfer 软件中一个零日漏洞（现已修复），入侵了受害者的内部系统，非法访问、盗取大量敏感数据，数千家机构和数千万人受到影响，造成数千万美元的损失。 最后，安全研究人员深入分析后发现，Atlassian Confluence Data Center 和 Confluence Server 出现安全漏洞后，仍旧有五个国家/地区托管了一半易受攻击的实例。其中，美国拥有最多的可能易受攻击的实例，为53195个，另有22007个易受攻击的实例被追踪到日本。 与此同时，南非、法国和德国各自托管了超过 11000 个暴露的未打补丁的 Confluence 服务。   转自FreeBuf，原文链接：https://www.freebuf.com/news/401663.html 封面来源于网络，如有侵权请联系删除

5月21日，LockBit 勒索软件团伙声称他们是四月份针对加拿大药房连锁店伦敦药房网络攻击的幕后黑手，并威胁将在谈判失败后公开被盗数据。 伦敦药房在加拿大阿尔伯塔省、萨斯喀彻温省、曼尼托巴省和不列颠哥伦比亚省的80多家门店中拥有超过9000名员工，主要提供医疗保健和药房服务。 4月28日的一次网络攻击迫使伦敦药房关闭了在加拿大西部的所有零售店。该公司表示，没有发现客户或员工数据受到影响的证据。 “如果我们的调查表明有任何一个人的信息被泄露，我们会根据隐私法通知受影响的人和相关隐私专员，”该药房连锁店表示。 5月9日，伦敦药房的总裁兼首席运营官（COO）Clint Mahlman再次确认，受雇进行取证调查的第三方网络安全专家未发现“含健康数据和LDExtras数据的客户数据库”被泄露的证据。 虽然伦敦药房已经重新开放了此前关闭的门店，但公司网站仍然无法访问，且显示错误信息：“服务器遇到内部错误，无法完成请求。” 昨天早些时候，LockBit 勒索软件组织将伦敦药房添加到其勒索门户网站，声称对4月份的网络攻击负责，并威胁要公开据称从该公司系统中窃取的数据。 伦敦药房被列入 LockBit 勒索网站 该勒索软件团伙尚未提供任何证据来证明从伦敦药房的服务器中窃取了文件，只声称与伦敦药房关于支付2500万美元赎金的谈判失败。 尽管伦敦药房并未确认 LockBit 的说法，但在它与 BleepingComputer 分享的一份声明中表示，伦敦药房知道该勒索软件团伙声称窃取了“可能包含员工信息的公司总部文件”——如上图所示，LockBit 仅提到“被盗数据”。 伦敦药房补充道，他们不会也无法支付 LockBit 要求的赎金，但承认该团伙“可能会在暗网上泄露窃取的伦敦药房公司文件，其中一些文件可能包含员工信息”。 “在目前的调查阶段，我们无法提供可能受影响员的工个人信息性质或受影响程度的具体信息。我们的审查正在进行中，但由于这次网络事件造成了系统损坏，我们预计这项审查将需要一些时间，”伦敦药房表示。 “出于极度谨慎的考虑，我们已主动通知所有现任员工。无论最终是否发现他们的数据被泄露，我们都提供了24个月的免费信用监控和身份盗用保护服务。” LockBit勒索软件的兴起与衰落 该勒索软件即服务（RaaS）运营于2019年9月以ABCD的身份首次出现，后来改名为LockBit。 自从它出现以来，LockBit声称对全球许多政府和知名组织发动了攻击，包括波音、大陆汽车巨头、意大利国家税务局、美国银行和英国皇家邮政。 2024年2月美国悬赏 1500 万美元寻找 LockBit 勒索软件团伙的信息 ，同时执法部门发布了”克罗诺斯行动”，摧毁了LockBit的基础设施，没收了34台服务器，其中包含超过2500个解密密钥，这些密钥有助于创建一个免费的LockBit 3.0黑色勒索软件解密工具。 根据扣押的数据，美国司法部和英国国家犯罪局估算道，在2022年6月至2024年2月期间，LockBit在全球范围内发动了7000次攻击，勒索金额在5亿至10亿美元之间。 LockBit域名被扣押的截图 然而，LockBit目前仍然保持活跃，并已迁移到新的服务器和暗网域名。它以报复最近被美国和英国当局摧毁的基础设施为由，持续对全球范围内的受害者发动攻击，并释放大量新旧数据。 LockBit声称他们是伦敦药房网络攻击的幕后黑手，此前，另一次国际执法行动将该勒索软件团伙的领导人公之于众，该领导人为使用“LockBitSupp”化名的31岁俄罗斯国籍人士Dmitry Yuryevich Khoroshev。 目前，美国国务院提供了一笔高达1000万美元的奖金，用于奖励提供有助于LockBit领导人被捕或定罪的信息，同时额外提供了500万美元的奖金，用于奖励任何可能导致LockBit勒索软件成员被捕的线索。   消息来源：bleepingcomputer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Atlas 是美国大陆 49 个州最大的全国燃料分销商之一，每年销售超过 10 亿加仑。 据研究员 Dominic Alvieri 报道， Blackbasta 勒索组织将该公司添加到其 Tor 泄露网站的受害者名单中。 该团伙声称从 ATLAS 窃取了 730GB 的数据，包括：会计、人力资源、财务、行政、部门数据以及用户和员工数据。 该团伙发布了一系列文件作为黑客攻击的证据，包括人们的身份证、数据表、工资支付请求者以及从受害者系统中窃取的文件夹的图片。 该石油公司尚未披露这起涉嫌事件。 Black Basta 自 2022 年 4 月以来一直活跃，与其他勒索软件操作一样，它实施了双重勒索攻击模型。 2022 年 11 月，Sentinel Labs 研究人员报告称 ，他们发现了 Black Basta 勒索软件团伙与出于经济动机的黑客组织 FIN7 之间的联系的证据。 2022 年 11 月，Cybereason Global SOC (GSOC) 团队的专家观察到Qakbot感染激增，  这是持续的激进 Qakbot 恶意软件活动的一部分，该活动导致  美国出现Black Basta 勒索软件感染。 攻击链从 QBot 感染开始，操作员使用后利用工具 Cobalt Strike 接管机器并最终部署 Black Basta 勒索软件。攻击始于包含恶意 URL 链接的垃圾邮件/网络钓鱼电子邮件。 研究人员注意到，一旦获得网络访问权限，攻击者就会行动极快。在 Cybereason 观察到的一些案例中，攻击者在不到两小时内就获得了域管理员权限，并在不到 12 小时内开始部署勒索软件。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/_xQCSTQQxxy7vZr061CHUQ 封面来源于网络，如有侵权请联系删除

总部位于加利福尼亚的成像传感器制造商OmniVision在去年遭遇Cactus勒索软件攻击后，发布警告称公司存在数据泄露风险。 OmniVision是中国韦尔半导体的子公司，主要设计并开发智能手机、笔记本电脑、网络摄像头、汽车、医疗成像系统等设备的成像传感器。2023年该公司拥有2200名员工，年收入达到14亿美元。 周五，OmniVision向加利福尼亚州当局报告了一起安全漏洞事件，据称该公司系统于2023年9月4日至9月30日期间被勒索软件加密。 “2023年9月30日，OVT发现一起安全事件，该制造商系统被未经授权的第三方加密。针对该事件，我们在第三方网络安全专家的协助下迅速展开全面调查，同时通知了执法部门。经过深入调查确定，未经授权方在2023年9月4日至9月30日期间从公司系统中获取了一些个人信息。”通知中写道。 OmniVision表示，其内部调查于2024年4月3日结束，调查结果显示攻击者窃取了公司的个人信息。 被盗数据在通知样本中已被屏蔽，同时被泄露的人员数量仍不明确。 然而，Cactus勒索软件团伙在2023年10月17日发布了一则公告，声称对OmniVision发动了攻击，并泄露了以下数据样本： 护照扫描件 保密协议 合同 机密文件 黑客最终免费提供此次攻击中持有的所有数据，该数据以ZIP档案的形式下载。 OmniVision被列入Cactus博客的截图 截至目前，OmniVision已从Cactus勒索软件分站（在暗网上）上移除。 Cactus是约一年前出现的勒索软件团伙，其目标是利用VPN设备的漏洞获取对企业网络的访问权限，同时采用特殊的加密方式来规避检测。 该团体曾攻击过一些大型公司，比如冷藏和物流巨头Americold以及能源和自动化制造企业Schneider Electric。 作为对此次数据泄露的回应，OmniVision积极采取措施来加强环境安全，同时能够更加快速地检测到可疑活动。他们还向通知接收者提供了为期24个月的信用监控和身份盗用恢复服务。 我们建议受影响的人注册OmniVision提供的服务，同时保持警惕，拒绝未经任何邀请和可疑的通信，定期审核信用报告和账户对账单，并将异常活动报告给所属金融机构。   消息来源：bleepingcomputer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文