近日，微软威胁情报团队表示，一个名为 Storm-1811 的黑客正在滥用客户端管理工具 “快速助手”（Quick Assist），针对用户展开社交工程攻击。 Quick Assist 是微软公司推出的一款合法应用程序，允许用户通过远程连接与他人共享自己的 Windows 或 macOS 设备，主要用于排除系统中的技术问题，默认安装在运行 Windows 11 的设备上。 2024 年 5 月 15 日，微软威胁情报团队在发布的一份报告中指出，Storm-1811 是一个以部署 Black Basta 勒索软件而闻名的有经济动机的网络犯罪团伙。 黑客冒充安检人员 研究人员经过详细分析得出了黑客的攻击链，首先通过网络钓鱼实施社会工程学攻击，诱骗毫无戒心的受害者安装远程监控和管理（RMM）工具，然后发送 QakBot、Cobalt Strike，最终发送 Black Basta 勒索软件。 整个过程中，黑客滥用微软’快速助手’功能来实施社会工程学攻击。例如，伪装成受信任的联系人，例如微软技术支持或目标用户所在公司的 IT 专业人员，以获得对潜在攻击目标设备的初始访问权限。 黑客一开始会想方设法掌握一批受害者的数据信息，此后便向受害者邮箱发送大量垃圾邮件，完成一系列操作后，拨打受害者电话冒充安全公司声称“能够提供协助”，诱骗用户使用系统内置的远程管理软件与其展开通信，以便更进一步侵入用户设备。 为了使网络攻击更有说服力，黑客还会发起链接列表攻击（一种电子邮件轰炸攻击）这时候，受害目标电子邮件地址会注册各种合法的电子邮件订阅服务，导致其收件箱充斥着订阅的内容。然后，黑客伪装成公司的 IT 支持团队，给受害目标用户打电话，声称可以帮助他们解决垃圾邮件问题，并说服他们通过 “快速协助”（Quick Assist）授权访问他们的设备。 一旦用户允许访问和控制，黑客就会运行脚本化的 cURL 命令，下载一系列批处理文件或 ZIP 文件，用于发送恶意有效载荷，在受害者整个网络中部署 Black Basta 勒索软件。微软方面表示，公司的完全团队正在密切关注滥用 “快速助手 “的情况，并正在努力在软件中加入警告信息，以通知用户可能存在的技术支持诈骗，防止诈骗可能会为勒索软件的传播提供便利。 网络安全公司 Rapid7 指出，”快速助手“滥用活动始于 2024 年 4 月中旬，目标涉及包括制造业、建筑业、食品饮料业、银行业以及运输业等多个行业和垂直领域，实施此类攻击的门槛相对很低，再加上这些攻击对受害者造成的重大影响，具有很强的破坏力、以及广泛的受影响范围，给威胁攻击者通过部署勒索软件敛财提供了新思路。 自 2022 年 4 月 出道以来，Black Basta 勒索软件团伙与其它勒索软件组织一样，主要通过实施双重勒索攻击，获取赎金。从 Elliptic 和 Corvus Insurance 发布的联合研究结果来看， Black Basta 自推出以来，累计感染了超过 329 名受害者。 值得注意的是，安全研究人员通过分析区块链交易，发现 Black Basta 与 Conti 勒索软件团伙之间貌似存在着明显的联系，2022 年，Conti 勒索软件团伙停止了攻击活动，差不多同一时间 Black Basta 组织开始活跃。   转自FreeBuf，原文链接：https://www.freebuf.com/news/401225.html 封面来源于网络，如有侵权请联系删除

有消息称安全研究人员披露了十多个影响通用电气（GE）医疗旗下Vivid系列超声产品的安全漏洞。恶意攻击者可以利用这些漏洞篡改患者数据，甚至在某些情况下安装勒索软件。 OT安全厂商Nozomi Networks发布技术报告称：“这些漏洞可以造成多方面影响，包括在超声设备上植入勒索软件、访问和篡改存储在易受攻击设备上的患者数据等。” 这些安全问题影响Vivid T9超声系统及其预装的Common Service Desktop网页应用程序。该应用程序暴露在设备的本地主机接口上，允许用户执行管理操作。 另一个受影响的软件程序叫做EchoPAC，安装在医生的Windows工作站上，帮助他们访问多维度的超声、血管和腹部影像。 物理接触后可造成高危害 要成功利用这些漏洞，攻击者首先需要进入医院环境并与设备进行物理交互，之后他们才能利用这些漏洞获得管理员权限，执行任意代码。 在假设的攻击场景中，恶意攻击者可以通过植入勒索软件锁定Vivid T9系统，甚至窃取或篡改患者数据。 最严重的漏洞是CVE-2024-27107（CVSS评分：9.6），涉及使用硬编码凭证。研究人员发现的其他缺陷包括命令注入（CVE-2024-1628）、以不必要的权限执行（CVE-2024-27110、CVE-2020-6977）、路径遍历（CVE-2024-1630、CVE-2024-1629）以及保护机制失效（CVE-2020-6977）。 Nozomi Networks设计的漏洞利用链，通过CVE-2020-6977获取设备的本地访问权限，然后利用CVE-2024-1628实现代码执行。 Nozomi Networks表示：“为了加快攻击速度，攻击者还可以利用暴露的USB端口，插入一只恶意U盘，通过模拟键盘和鼠标，以比人类更快的速度自动执行所有必要步骤。” 或者，攻击者可以使用通过其他手段（如网络钓鱼或数据泄漏）获取的被盗VPN凭证，访问医院的内部网络，扫描易受攻击的EchoPAC设备，然后利用CVE-2024-27107获取对患者数据库的不受限制的访问，彻底破坏其机密性、完整性和可用性。 GE医疗发布了一系列公告，表示“现有的缓解措施和控制措施”将这些漏洞带来的风险降到了可接受的水平。 公告指出：“具有物理访问权限的恶意攻击者可能会使设备无法使用，但是这种情况不太可能发生。而且设备的预期用户会看到明确的被攻击迹象。该漏洞只能被具有直接物理访问权限的人利用。” 物联网漏洞频发 这次漏洞披露几周前，研究人员在医学成像软件Merge DICOM Toolkit Windows版中发现了数个安全漏洞（CVE-2024-23912、CVE-2024-23913和CVE-2024-23914）。这些漏洞可用于触发DICOM服务进入拒绝服务状态。这些问题已在这一工具库的v5.18版本中得到解决。 此外，研究人员还在西门子SIMATIC Energy Manager（EnMPro）产品中发现了最高严重性安全漏洞（CVE-2022-23450，CVSS评分：10.0）。远程攻击者可以通过发送恶意制作的对象利用该漏洞以SYSTEM权限执行任意代码。 Claroty安全研究员Noam Moshe表示：“成功利用该漏洞的攻击者可以远程执行代码，并完全控制EnMPro服务器。” 强烈建议用户更新到V7.3 Update 1或更高版本，因为之前的所有版本都包含不安全的反序列化漏洞。 集成于物联网设备中的ThroughTek Kalay平台中也曝出了安全漏洞（CVE-2023-6321到CVE-2023-6324）。攻击者可以利用这些漏洞提升权限、以root身份执行命令，并与受害设备建立连接。 罗马尼亚安全厂商Bitdefender表示：“将这些漏洞结合在一起，可以在本地网络内进行未经授权的root访问和远程代码执行，从而彻底破坏受害设备。只有在设备被本地网络探测到后才有可能实施远程代码执行。” 这些漏洞在2023年10月被披露后，于2024年4月得到了修补。这些漏洞影响了Owlet、Roku和Wyze等供应商生产的婴儿监视器和室内安全摄像头。攻击者可以将这些漏洞链接在一起，在设备上执行任意命令。 Bitdefender 补充道：“这些漏洞的影响远远超出了理论攻击的范围，因为它们直接影响依赖ThroughTek Kalay驱动设备的用户的隐私和安全。”   转自安全内参，原文链接：https://www.secrss.com/articles/66222 封面来源于网络，如有侵权请联系删除

勒索软件团伙通过 Google 搜索引擎广告来传播 Putty 和 WinSCP 的虚假下载网站，针对Windows系统管理员。 WinSCP 和 Putty 是流行的 Windows 实用程序，其中 WinSCP 是 SFTP 客户端和 FTP 客户端，Putty 是 SSH 客户端。 系统管理员通常在 Windows 网络上拥有更高的权限，这使得他们成为想要通过网络快速传播、窃取数据以及访问网络域控制器以部署勒索软件。 Rapid7 最近的一份报告称，搜索引擎活动在搜索 “下载 WinSCP” 或 “下载 Putty”时会显示假冒 Putty 和 WinSCP 网站的广告。 这些广告使用了易混淆的相似域名，例如 puutty.org、puutty[.]org、wnscp[.]net 和 vvinscp[.]net。 这些网站包含下载链接，单击这些链接后，这些链接会引导受害者从攻击者的服务器下载 ZIP 存档。 假冒 Putty 下载网站推送木马安装程序 下载的 ZIP 存档包含一个 Setup.exe 可执行文件（它是 Windows 版 Python 的重命名且合法的可执行文件 ( pythonw.exe )）和一个恶意 python311.dll 文件。 当 pythonw.exe 可执行文件启动时，它将尝试启动合法的 python311.dll 文件。攻击者使用 DLL 旁加载加载的恶意版本替换了该 DLL。 当用户运行Setup.exe时，认为它正在安装PuTTY或WinSCP，它会加载恶意DLL，该DLL会提取并执行加密的Python脚本。 该脚本最终将安装 Sliver 后利用工具包，这是一种用于初始访问公司网络的流行工具。 Rapid7 表示，攻击者使用 Sliver 远程投放更多有效负载，包括 Cobalt Strike 信标。黑客利用此访问权限窃取数据并尝试部署勒索软件加密器。 攻击链 虽然 Rapid7 分享了有关勒索软件的有限细节，但研究人员表示，该活动与Malwarebytes 和趋势科技发现的活动类似 ，后者部署了现已关闭的 BlackCat/ALPHV 勒索软件。 Rapid7 的 Tyler McGraw 解释说：“在最近的一次事件中，Rapid7 观察到攻击者试图使用备份实用程序 Restic 窃取数据，然后部署勒索软件，但这一尝试最终在执行过程中被阻止。” “Rapid7 观察到的相关技术、策略和程序 (TTP) 让人想起趋势科技去年报告的过去的 BlackCat/ALPHV 活动。” 在过去的几年中，搜索引擎广告已成为一个大问题， 许多攻击者利用它们来推送恶意软件和网络钓鱼网站。 这些广告针对流行程序，包括 Keepass、CPU-Z、  Notepad++、Grammarly、MSI Afterburner、Slack、Dashlane、 7-Zip、CCleaner、VLC、Malwarebytes、Audacity、μTorrent、OBS、Ring、AnyDesk、Libre Office、Teamviewer、 Thunderbird 和 Brave。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/wdmVhgYz__iF2KJiyvMq6w 封面来源于网络，如有侵权请联系删除

Akira 勒索软件团伙声称攻击 Fiskars 集团后，集团发布声明确认“遭遇了网络攻击，影响了在美国的一小部分公司系统。” Fiskars 表示公司的运营未受影响，业务仍在正常进行。 “Fiskars 集团发现此次攻击后，立即采取了遏制措施，并成功阻止了事件的进一步发展。目前，针对该事件及其对数据影响的调查正在进行中，”公司表示。 Fiskars 集团已通知执法部门，并继续协助他们的调查。 尚不清楚此次事件是否暴露了任何个人数据。 5月14日，使用Akira 勒索软件的著名黑客在其受害者网站上发布了 Fiskars 集团的信息，声称他们窃取了2TB的数据，包括“各种敏感文件”。 “我们拿走了2TB的数据。需要我列出从他们服务器上复制的内容吗？很显然这里有很多你们感兴趣的敏感文件。我们会尽快提供这些文件的访问权限，”Akira 在暗网上的帖子写道。 Fiskars集团总部位于芬兰赫尔辛基，是Fiskars、Georg Jensen、Gerber、Iittala、Moomin Arabia、Royal Copenhagen、Waterford和Wedgwood的全球消费品供应商。该公司在 100 多个国家/地区开展业务，拥有近 450 家门店。Fiskars集团拥有约7,000名员工，2023年全球净销售额为11亿欧元。 根据 Cybernews Ransomlooker 工具，Akira Ransomware 是 2023 年最活跃的勒索软件团伙之一，共有 169 名受害者。 据联邦调查局 （FBI） 和其他当局称，在不到一年的运营中，该团伙已从 250 多个受影响的组织中获得了约 4200 万美元的勒索软件收益。Akira的最大受害者是日本汽车巨头日产（Nissan），该公司向100,000人通报了网络漏洞，据称斯坦福大学（Stanford University）和德克萨斯州的城市拿骚湾（Nassau Bay）丢失了430GB的内部数据。    消息来源：cybernews，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

据BleepingComputer消息，澳大利亚最主要的非银行类贷款机构Firstmac日前遭遇了一起由网络攻击导致的数据泄露事件，被称为Embargo的勒索软件团伙从该公司窃取了超过500G的数据。 Firstmac是澳大利亚金融服务行业的重要参与者，主要专注于抵押贷款、投资管理和证券化服务。该公司总部位于昆士兰州布里斯班，拥有 460 名员工，已发放10万笔住房贷款，目前管理着 150 亿澳元的抵押贷款。 5月11日，Have I Been Pwned 的创建者 Troy Hunt 在 X 上公开了由Firstmac发送给客户的通知信样本，告知他们发生了严重的数据泄露事件，并称在外部网络安全专家的协助下确定泄露的信息包括了客户姓名、住址、电子邮箱、电话号码、出生日期、外部银行账户信息和驾照信息。 尽管如此，Firstmac 向客户保证，他们的账户和资金是安全的，该公司的系统现在已经得到了适当的支持。 为此，Firstmac已将所有帐户更改都必须使用双因素身份验证或生物识别技术来确认用户的身份。IDCare也将为收到通知的客户提供免费的身份盗窃保护服务，并建议对未经请求的通信保持谨慎，并定期检查其帐户对帐单是否有异常活动。 据澳大利亚新闻媒体报道，这一数据泄露事件发生在2024年4月，Embargo勒索软件组织在其数据泄露网站上宣布了这一消息。 Embargo在数据泄露网站上公开的勒索信息 该组织被认为是一个新兴的网络犯罪团伙，其勒索页面上只列出了两名受害者，目前尚未找到该组织的加密器的样本，不清楚他们是自己主导了勒索攻击，还是从其他人手中购买了被盗数据进行勒索。   转自Freebuf，原文链接：https://www.freebuf.com/news/400745.html 封面来源于网络，如有侵权请联系删除 

5月11日（上周六），CISA 和FBI表示，Black Basta 勒索软件的附属组织在 2022 年 4 月至 2024 年 5 月期间入侵了 500 多个组织。 美国卫生与公众服务部（HHS）和多州信息共享与分析中心（MS-ISAC）合作发布的联合报告中提到，该团伙还加密并窃取了16个关键基础设施部门中至少12个部门的数据。 CISA 表示：Black Basta 的附属组织已将目标锁定在北美、欧洲和澳大利亚的 500 多家私营企业和关键基础设施实体，其中包括医疗保健组织。 Black Basta 最早于 2022 年 4 月以勒索软件即服务（RaaS）的形式出现。近几年来其附属公司入侵了多家知名企业、机构，包括德国国防承包商莱茵金属、现代汽车欧洲分部、英国技术外包公司 Capita、工业自动化公司和政府承包商 ABB、多伦多公共图书馆、美国牙医协会、索比斯、可耐福和加拿大黄页等。 2022 年 6 月，Conti 网络犯罪集团在历经了一系列数据泄露事件发生后正式关闭，然后分裂成多个集团， Black Basta就是其中之一。 2023 年 3 月，卫生与公众服务部的安全团队在一份报告中提到：该威胁组织在最初运作的两周内就大量攻击了至少 20 名受害者，这表明它在勒索软件方面经验丰富，并拥有稳定的初始访问来源。 不少人怀疑该组织与俄罗斯网络威胁组织有所关联。主要是因为其精通勒索软件的复杂程度，同时该组织也很少会在暗网论坛上招募或做广告，不少人认为该组织可能是RaaS 威胁组织 Conti 的再版。 根据 Elliptic 和 Corvus Insurance 的研究，在 2023 年 11 月之前，这个与俄罗斯有关联的勒索软件团伙还从 90 多名受害者那里收取了至少 1 亿美元的赎金。 截至 2023 年 6 月的攻击次数和赎金支付情况 联合咨询还为防御者提供了 Black Basta 关联公司使用的战术、技术和程序 (TTP) 以及在联邦调查局调查中发现的破坏指标 (IOC)。 防御者应及时更新操作系统、软件和固件，要求尽可能多的服务采用防网络钓鱼的多因素身份验证（MFA），并培训用户识别和报告网络钓鱼企图，以降低 Black Basta 勒索软件的攻击风险。 他们还应该通过应用 CISA 推荐的缓解措施来确保远程访问软件的安全，尽可能频繁地备份设备配置和关键系统，以便更快地进行修复和恢复，并实施《StopRansomware 指南》中分享的缓解措施。 这些机构特别强调了医疗保健机构在此次勒索软件行动中面临的更大风险，并敦促它们确保采用这些建议的缓解措施来阻止潜在的攻击。 CISA 和 FBI 警告称：医疗机构由于其规模、对技术的依赖性、以及对个人健康信息的访问权限以及病人护理中断所造成的独特影响，成为网络犯罪分子的诱人目标。 编写组织敦促 HPH 部门和所有关键基础设施组织应用本 CSA 中 “缓解 “部分的建议，以降低遭受 Black Basta 和其他勒索软件攻击的可能性。 虽然联邦机构没有透露发布此警告的背后原因，但或许与上周发生的一起疑似 Black Basta 勒索软件攻击事件有关。据称有黑客入侵了医疗保健巨头 Ascension 的系统，迫使美国医疗保健网络将救护车转向未受影响的设施。 5月10日（上周五），Health-ISAC（信息共享与分析中心）也发布了一份威胁公告，警告Black Basta勒索软件团伙最近加强对医疗保健行业的攻击。   转自Freebuf，原文链接：https://www.freebuf.com/news/400733.html 封面来源于网络，如有侵权请联系删除 

LockBit勒索软件团伙声称对威奇托市发动了一场破坏性的网络攻击，迫使该市政府关闭了用于在线账单支付的IT系统和包括法庭罚款、水费和公共交通系统。 威奇托位于堪萨斯州，是该州最大的城市，人口接近40万。它在该地区扮演着重要的文化、经济和交通枢纽角色，拥有多家飞机制造厂。 2024年5月5日，该市政府宣布他们正面临一场破坏性的网络攻击，LockBit勒索软件加密了部分网络。 为了遏制损失并阻止攻击进一步传播，该市IT专家关闭了用于在线服务的计算机。 官方声明中提到：“这一决定并非轻率之举，我们需要确保系统在重新投入使用之前是通过了安全审查的。” 5月8日早些时，LockBit勒索软件团伙将威奇托添加到其勒索门户上，并威胁称除非威奇托支付赎金，否则将于2024年5月15日前发布所有被盗文件。 在攻击发生仅三天后就公布勒索软件受害者名单并不常见，因为通常来说勒索软件团伙会给公司更多时间去谈判。 然而，此次公布是在国际执法行动揭露并制裁了LockBit勒索软件运营的领导者，一个名为Dmitry Yuryevich Khoroshev的31岁俄罗斯国籍的人之后，仅几小时内完成的。此人在网上的别名是“LockBitSupp”。 将威奇托市迅速列入受害名单可能是该勒索软件对最近执法行动的报复，这些行动严重破坏了软件运营，同时玷污了运营者的声誉。 与此同时，威奇托市持续受到干扰，以下服务仍然不可用：  暂停水费的自动付款 某些地点（机场航站楼，高级学习图书馆，Evergreen和Walters图书馆分馆）的公共Wi-Fi 图书馆的在线目录、数据库和一些数字服务 图书馆工作人员通过城市网络的电子邮件通讯 图书馆的自助打印释放站和自助检查站 高级学习图书馆的自动材料处理器  图书馆的大部分电话呼入功能 社区资源中心的Wi-Fi和电话服务 由于在线付款平台关闭，公共服务，包括高尔夫球场、公园、法院和水务局，要求居民以现金或支票支付  截至2024年5月10日的任何投标、提案或资格要求的请求被推迟到2024年5月17日。此外，原定于2024年5月10日星期五的“投标开标”已取消 除上述之外，一些公共安全服务如WFD和WPD已开始使用“纸笔报告”，而威奇托市公交车和填埋场服务只接受现金支付。 该市仍在调查此次攻击是否导致数据被盗，然而LockBit勒索软件团伙在部署其加密器之前会窃取数据是公知的。 因此，如果不支付赎金，数据很可能会被泄露到勒索软件团伙的数据泄露网站上。   消息来源：bleeping computer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

日前，英美等国执法机构揭露了臭名昭著的勒索软件组织 LockBit一名主要头目——31岁的俄罗斯黑客德米特里·霍罗舍夫（Dmitry Yuryevich Khoroshev），目前已经受到英国、美国和澳大利亚的多项制裁。 据英国国家犯罪局（NCA）于5月7日发布的公告称，霍罗舍夫又名LockBitSupp，是LockBit勒索软件组织的管理员和开发人员，针对他的调查属于之前“克罗诺斯行动”的一部分，该行动由11个国家的相关执法机构组成，在今年2月曾查封了该组织的基础设施并迫使其服务下线。 美国司法部公布的一份起诉书显示霍罗舍夫犯有26项罪名，包括一项共谋实施欺诈、敲诈勒索和与计算机有关的相关活动的罪名；一项串谋电汇欺诈罪;八项故意损坏受保护计算机的罪名；八项与受保护计算机的机密信息有关的勒索罪；八项与损坏受保护计算机有关的敲诈勒索罪。 美国当局已对霍罗舍夫实施了资产冻结和旅行禁令，并悬赏1000万美元征集他的个人线索，一旦霍罗舍夫成功被捕，上述指控最高可判处185年监禁，每项指控都会受到最高 2.5万美元的罚款。 据悉，霍罗舍夫于2019年9月左右创立了LockBit，并在过去几年中至少获得了1亿美元的个人收入。在这期间，该组织软件历经3次迭代，向全球黑客或“附属公司”网络提供勒索软件即服务 （RaaS），为其提供进行攻击的工具和基础设施，逐渐成为威胁世界各企业组织的头号勒索软件。 NCA表示，仅在2022年6月至2024年2月期间，通过LockBit服务建立的攻击达到了7000多次，受打击最大的5个国家是美国、英国、法国、德国和中国。 自“克罗诺斯行动“以来，LockBit在过去两个月中一直试图重建，并构建了新的数据泄露网站，但NCA评估称，联合执法行动已使该组织“元气大伤”，目前只能以有限的容量运行，对全球构成的威胁已大幅降低。   转自FreeBuf，原文链接：https://www.freebuf.com/news/400211.html 封面来源于网络，如有侵权请联系删除

在安全研究人员警告 Cactus 勒索软件团伙利用 Qlik Sense 数据分析和商业智能 (BI) 平台中的三个漏洞的近五个月后，许多组织仍在面临该勒索团伙的威胁。 Qlik 在 8 月和 9 月披露了这些漏洞。该公司8月份披露的漏洞涉及Windows版Qlik Sense Enterprise多个版本中的两个漏洞，分别被追踪为CVE-2023-41266和CVE-2023-41265。这两个漏洞一旦连锁，未经认证的远程攻击者就可以在受影响的系统上执行任意代码。今年 9 月，Qlik 披露了 CVE-2023-48365，该漏洞被证明是 Qlik 绕过了 8 月份对前两个漏洞的修复。 Gartner 将 Qlik 评为市场上最优秀的数据可视化和 BI 供应商之一。 持续利用 Qlik 安全漏洞 两个月后，Arctic Wolf报告称，观察到Cactus勒索软件的操作者利用这三个漏洞在目标环境中获得了初步立足点。当时，这家安全厂商表示，它正在对客户遭遇通过 Qlik Sense 漏洞攻击的多个实例做出响应，并警告说 Cactus 集团的活动正在迅速发展。 尽管如此，许多组织似乎并未收到这份备忘录。4 月 17 日，Fox-IT 的研究人员进行了一次扫描，共发现了 5205 台可通过互联网访问的 Qlik Sense 服务器，其中 3143 台服务器仍然受到 Cactus 组织漏洞的攻击。其中，396 台服务器似乎位于美国。其他存在大量易受攻击的 Qlik Sense 服务器的国家包括意大利（280 台）、巴西（244 台）、荷兰和德国（分别为 241 台和 175 台）。 Fox-IT 是荷兰一批安全组织中的一员，他们在一个名为 “梅丽莎项目”的支持下开展合作，以破坏仙人掌组织的运作。 Fox-IT 在发现存在漏洞的服务器后，将其指纹和扫描数据转发给 DIVD，DIVD 随后开始联系存在漏洞的 Qlik Sense 服务器的管理员，告知他们的组织面临潜在的 Cactus 勒索软件攻击。在某些情况下，DIVD 直接向潜在受害者发出通知，而在其他情况下，该组织则试图通过各自国家的计算机应急小组向受害者转达信息。 安全机构正在通知仙人掌勒索软件的潜在受害者 据悉，ShadowServer 基金会也在帮助这些面临风险的组织。在本周的一份重要警报中，这家非营利性威胁情报服务机构将这种情况描述为，如果不及时补救，组织很有可能受到攻击。 ShadowServer表示：如果您收到我们发出的关于在您的网络或选区中检测到易受攻击实例的警报，那么您的网络有可能受到了攻击。可通过检查是否存在扩展名为.ttf或.woff的文件，可以远程确定是否存在受攻击的实例。 Fox-IT表示，目前已确定至少有122个Qlik Sense实例可能因这三个漏洞而受到攻击。其中49个在美国，13个在西班牙，11个在意大利，其余分布在其他17个国家。 当远程 Qlik Sense 服务器上出现入侵指示器时，可能意味着各种情况。例如，它可能暗示攻击者在服务器上远程执行了代码，也可能仅仅是以前安全事件中的遗留物。 Fox-IT 提示称，问题的关键是要明白’已被入侵’可能意味着勒索软件已被部署，但留下的初始访问工件未被删除，或者系统仍被入侵，并有可能在未来发生勒索软件攻击。   转自Freebuf，原文链接：https://www.freebuf.com/news/399688.html 封面来源于网络，如有侵权请联系删除

TRUE Solicitors LLP 是一家总部位于英国，专门从事人身伤害索赔和就业法的著名律师事务所，现已成为臭名昭著的 BlackBasta 勒索软件组织的涉嫌网络攻击的受害者。该勒索软件组织宣布了对 TRUE Solicitors 的网络攻击，但没有提供有关违规程度或受损数据的详细信息。 TRUE Solicitors LLP 以其专业的律师团队而闻名，他们为寻求人身伤害赔偿和各种法律事务协助的客户提供高质量的法律代理。 针对 TRUE Solicitors 的网络攻击：未经证实 为了验证 BlackBasta 勒索软件组织的说法，Cyber Express 团队尝试访问 TRUE Solicitors LLP 的官方网站。然而，团队发现该网站完全正常运行，这给勒索软件组织声明的真实性带来了不确定性。在该公司发布正式声明之前，TRUE Solicitors 网络攻击背后的真相仍然难以捉摸。 这并不是 BlackBasta 勒索软件组织第一次成为头条新闻的主角。 2024 年，该组织将目标锁定为 Leonard’s Syrups，这是一家位于密歇根州的家族企业。暗网论坛上宣布的针对 Leonard’s Syrups 的网络攻击留下了许多悬而未决的问题，网络犯罪分子隐瞒了泄露、受损数据和其动机的关键细节。 在另一起事件中，新增了两名 BlackBasta 勒索软件组织的受害者：南方水务公司 (Southern Water) 和旭硝子玻璃公司 (Asahi Glass Co)。虽然有关攻击范围、受损数据和动机的详细信息尚未披露，但该勒索软件组织设定的暴露数据最后期限仍未知，这也凸显了情况的紧迫性。 TRUE Solicitors网络攻击的影响 如果 BlackBasta 勒索软件组织网络攻击的说法被证明属实，那么影响可能会很大。敏感法律信息和客户数据的泄露可能会对公司、其客户和合作伙伴产生深远的后果。 随着对TRUE Solicitors LLP 网络攻击的进一步调查，利益相关者正在等待该公司就此次违规行为及其影响发表正式声明。在此之前，该行业仍保持高度警惕，准备应对 BlackBasta 勒索软件组织下一次攻击的可能性。 只有时间才能证明这一说法是否属实，或者这一举动可能是网络犯罪分子试图再次散布恐惧和不确定性的氛围。 转自安全客，原文链接：https://www.anquanke.com/post/id/296027 封面来源于网络，如有侵权请联系删除