思科Talos的研究员Chetan Raghuprasad在一份报告中指出：“GhostSec和Stormous勒索软件组织联合发起了针对超15个国家各行业的双重勒索攻击。” “GhostLocker和Stormous勒索软件已推出一项新的勒索即服务（RaaS）计划，名为STMX_GhostLocker，旨在为附属机构提供多样选择。” 这一组织发动的攻击涵盖了古巴、阿根廷、波兰、中国、黎巴嫩、以色列、乌兹别克斯坦、印度、南非、巴西、摩洛哥、卡塔尔、土耳其、埃及、越南、泰国和印度尼西亚等国家的受害者。 技术、教育、制造、政府、交通、能源、法医、房地产和电信等一些行业遭受了严重影响。 GhostSec（切勿与Ghost Security Group混淆，后者也被称为GhostSec）是“五大家族”联盟的一部分，该联盟还包括ThreatSec、Stormous、Blackforums和SiegedSec。 该组织成立于2023年8月，旨在“促进互联网地下世界的团结与联系，扩大并发展我们的工作和运营。” 去年年底，该网络犯罪组织通过GhostLocker进军勒索软件即服务（RaaS），以每月269.99美元的价格向其他参与者提供服务。随后，Stormous勒索软件组织宣布将采用基于Python的勒索软件进行攻击。 Talos最新的调查结果显示，这两个组织联手不仅涉及广泛领域的攻击，而且在2023年11月发布GhostLocker的更新版本，并于2024年推出了名为STMX_GhostLocker的全新RaaS计划。 Raghuprasad解释道：“新计划包括向附属机构提供的付费服务、免费服务以及用于在博客上出售或发布数据的个人服务（PYV服务）。” STMX_GhostLocker在暗网上设有自己的泄密网站，上面列示了至少6名来自印度、乌兹别克斯坦、印尼、波兰、泰国和阿根廷的受害者。 GhostLocker 2.0（又称GhostLocker V2）是用Go编写的，号称完全高效并提供快速的加密/解密功能。它还配有修改后的勒索信，督促受害者在7天内联系他们，否则就有泄露数据的风险。 RaaS计划允许附属机构通过网络面板追踪运营、监控加密状态和支付情况，并提供一个构建器，根据其偏好配置负载，包括待加密目录以及加密过程开始前需终止的进程和服务。 一旦部署，勒索软件将与命令和控制（C2）面板建立连接，继续执行加密例程，但在此之前将终止指定进程或服务，并窃取与特定扩展名列表匹配的文件。 Talos表示，他们发现GhostSec可能使用两种新工具破坏合法网站。“其中之一是‘GhostSec深度扫描工具集’，用于递归扫描合法网站，另一个是名为‘GhostPresser’的进行跨站点脚本（XSS）攻击的黑客工具，”Raghuprasad解释。 GhostPresser的主要目的是入侵WordPress网站，允许威胁行为者更改网站设置、添加新插件和用户，甚至安装新主题，这表明GhostSec致力于壮大其武器库。 “该组织宣称他们使用该工具攻击受害者，但我们无法验证这些说法。勒索软件运营商可能会因多种原因使用该工具，”Talos告诉《黑客新闻》。 “深度扫描工具可用来寻找进入受害者网络的途径，而GhostPresser工具不仅危害受害者网站，还可以用于暂存有效载荷以进行分发，以避免使用攻击者基础设施。”   转自E安全，原文链接：https://mp.weixin.qq.com/s/uvIR8uov5WpGO3hq2g-A7g 封面来源于网络，如有侵权请联系删除

继瑞士 IT 服务提供商 Xplain 遭受网络攻击后，瑞士国家网络安全中心 (NCSC) 在一份新闻稿中披露了泄露数据的详细信息，联邦网络安全办公室 (BACS) 也参与了调查。 Xplain 是一家瑞士技术和软件解决方案提供商，为多个政府部门、行政单位甚至国家军队提供服务。 近日，瑞士国家网络安全中心（NCSC）公布了一份报告，分析了 Xplain 遭勒索软件攻击后发生的数据泄露事件，该事件影响了数千份联邦政府敏感文件。 去年5月23日，Play 勒索软件团伙入侵了该公司并声称已窃取了包含机密信息的文件，随后在其暗网门户网站上公开了窃取的数据。 早在 2023 年 5 月，黑客就利用一个漏洞将托管州服务应用程序的 Xplain 服务器作为目标，阻止访问，直到发送密钥或解锁工具以换取赎金。这次由 Play 勒索软件组织发起的攻击产生了深远的影响，影响到联邦警察局、联邦海关和边境保护局、瑞士联邦铁路和阿尔高州当局。 2023年6月，瑞士联邦政府网站和瑞士联邦铁路在线门户遭到DDoS攻击，导致多个网站无法访问。财政部于 2023 年 6 月 12 日报告称，亲俄组织“NoName”声称对其 Telegram 频道的攻击负责，且攻击中没有数据丢失。该组织还参与了2023 年 6 月早些时候对瑞士议会网站的攻击。 Play 勒索软件组织泄露了大约 6.5万份属于联邦政府的文件，其中包括机密文件和登录凭据，这些文件于 2023 年 6 月 14 日发布在其暗网泄露网站上。 根据 NCSC今天早些时候发布的新闻稿，BACS 随后接管了联邦政府内部事件响应的协调和泄露数据的分析。6月28日成立政策策略危机小组，并于8月23日正式启动行政调查，以查明Xplain数据泄露的详细情况。 Play 勒索软件组织的官方暗网泄露网站 BACS强调，该报告重点关注数据类型和分析挑战，而不是泄露数据的内容。大约 70%的文件属于 Xplain，14%属于联邦管理局。黑客泄露了属于瑞士联邦政府的9040份文件中的95%，主要来自联邦司法和警察部、联邦司法办公室、联邦警察局、国家移民秘书处和ISC-FDJP。 大约一半的联邦政府文件例如姓名、电子邮件地址、电话号码和地址、技术细节、机密信息和账户密码等。还有一小部分几百份文件包含 IT 系统文档、软件或架构数据以及密码等敏感内容，其中 4,779 个文件包含个人数据，278 个文件包含技术信息。根据《资料保护条例》，共有 121 个对象被列为机密，其中 4 个对象包含可读密码。 公告称，行政调查于 2023 年 8 月 23 日启动，将于本月底完成，全部结果和网络安全建议将与联邦委员会共享。 调查持续时间长的原因在于分析非结构化数据的复杂性和泄露数据的庞大数量，这需要大量的时间和资源来分流与联邦行政部门相关的文件。 此外，分析泄露数据以寻找证据在法律上也很复杂，因为机密信息需要机构间的协调和参与，这不可避免地延长了此次调查的时间。   转自Freebuf，原文链接：https://www.freebuf.com/news/393783.html 封面来源于网络，如有侵权请联系删除

趋势科技发现了来自RA World（RA Group）勒索软件组织的新一轮活动。该组织自2023年4月开始进行恶意活动，并在此期间成功攻击了美国、德国、印度和台湾等国家的多个组织，主要集中在医疗保健和金融领域。 研究人员透露，最新一波 RA World 攻击针对的是拉丁美洲的多家医疗机构。这些攻击分几个阶段进行。 初始访问：首先是黑客通过域控制器渗透计算机系统。编辑组策略 (GPO) 允许攻击者在受害者的系统上设置自己的规则。 第 1 阶段（Stage1.exe）：一旦成功渗透系统，病毒会利用“Stage1.exe”文件进行网络评估，包括检查域控制器并准备复制病毒的下一步行动。 第 2 阶段（Stage2.exe）：在此阶段，病毒开始自我复制到网络上其他计算机，并启动准备加密文件的过程。“Stage2.exe”负责在目标网络内传播恶意代码，为发起主要攻击打下基础。 第 3 阶段（Stage3.exe）：这是病毒激活的最终阶段，涉及对受感染计算机上的文件进行加密，并要求支付赎金以恢复文件。该阶段采用复杂的加密技术，使用户和系统无法访问这些文件。 RA World多阶段攻击方案   此外，该恶意软件能够在特殊安全模式下重新启动系统，以规避防病毒软件的检测。它还会在攻击执行后清除其痕迹，使研究人员更难分析。 为了最大限度地降低成为RA World攻击受害者的风险，建议采用最佳安全实践：限制管理权限、及时更新所使用的软件、定期进行数据备份、在与电子邮件和网站交互时保持小心谨慎，并对公司员工进行网络安全基础知识培训。   转自安全客，原文链接：https://www.anquanke.com/post/id/293631 封面来源于网络，如有侵权请联系删除

BlackCat 勒索软件组织关闭了他们的暗网网站，并可能在上传虚假的执法查封横幅后实施了退出骗局。 安全研究员 Fabian Wosar表示：“ALPHV/BlackCat 没有被查获，他们正在诈骗其附属机构。” 英国国家犯罪局 (NCA)告诉路透社，它与 BlackCat 基础设施的任何中断无关。 Recorded Future 安全研究员 Dmitry Smilyanets在社交媒体平台 X 上发布了屏幕截图，其中 BlackCat 参与者声称“联邦调查局把我们搞砸了”，并且他们打算以 500 万美元出售勒索软件的源代码。 据称，BlackCat 勒索软件组织从 UnitedHealth 旗下 Change Healthcare 部门 (Optum) 收到了 2200 万美元的赎金，并拒绝与实施此次攻击的附属公司分享收益。 据DataBreaches 报道，心怀不满的勒索软件附属公司在 RAMP 网络犯罪论坛上提出指控，该附属公司的账户已被管理人员暂停，“他们掏空了钱包，拿走了所有的钱。”他们说。 这引发了人们的猜测，即 BlackCat 上演了一场退出骗局，以逃避审查，并在未来以新品牌重新出现。一名勒索软件组织的前管理员表示，“品牌重塑正在等待中”。 BlackCat勒索软件组织的基础设施于 2023 年 12 月被执法部门查封，但该电子犯罪团伙设法夺取了服务器控制权并重新开始运营，没有造成任何重大后果。该组织此前曾以“DarkSide”和“BlackMatter”的名义开展活动。 DomainTools 的安全顾问马拉奇·沃克 (Malachi Walker) 表示：“BlackCat 在内部可能担心其组织内有内奸，因此先发制人地关闭运营网络，以防止像LockBit勒索软件组织那样被执法部门渗透攻击。” 这种退出骗局可能是 BlackCat 拿走现金逃跑的机会。由于加密货币再次达到历史新高，该团伙可以通过“高价”出售他们的加密货币而逃脱惩罚。在网络犯罪世界中，声誉就是一切，BlackCat 似乎正在通过这些行动与其附属公司断绝关系，将来该组织可能以新面孔重新出现。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/txQd93UYh-gIszJpgEsxdg 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： LockBit 勒索软件组织扩大影响范围，受害者包括美国的STOCK Development、比利时的Smulders、美国的United Notions Inc.、德国的STARK Power GmbH、德国的SCHÜTT & GRUNDEI、德国的Röhr + Stolberg GmbH、美国的航空航天公司和德国埃索集团。LockBit勒索软件团伙尚未披露网络攻击背后的动机、数据泄露的程度以及数据泄露的方法等细节。 LockBit 勒索软件组织的索赔尚不明确 尽管目标公司的官方网站正常运行且没有发现不法行为迹象，但这引发了对LockBit网络攻击的怀疑。考虑到LockBit的历史记录，现阶段驳回指控还为时过早。 网站信息截图 最近，LockBit勒索软件组织声称在其数据泄露页面上列出了12名新受害者，并参与了有关夺取其网站的讨论。 夺取其网站的相关报道是打击网络犯罪的重要里程碑，司法部与国际执法机构合作扰乱了LockBit的运营。 此次协调行动涉及英国国家犯罪局网络部门、联邦调查局（FBI）和其他合作伙伴。通过控制LockBit的基础设施，包括面向公众的网站和服务器，执法部门有效地削弱了该组织进行进一步攻击并威胁发布被盗数据来勒索受害者的能力。 此外，执法当局还获得了解密密钥，使受害者能够重新访问其加密数据。 LockBit 的回应：挑衅性消息 为了回应此次删除，LockBit管理员发布了一条长消息，探讨他们最近的活动和动机。该消息带有挑衅性的语气，试图抹黑执法机构。 尽管LockBit的运营受到了干扰，但最近的声明表明，该勒索软件组织已经以增强的技术和功能重新出现。 LockBit往期报道： LockBit 勒索软件卷土重来，在警方破坏后恢复了服务器 美国悬赏 1500 万美元寻找 LockBit 勒索软件团伙的信息 LockBit 团队称对 12 月芝加哥社区医院遭受的网络攻击负责 消息来源：thecyberexpress，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Epic Games 等大公司已被添加到勒索软件团伙的数据泄露网站中，威胁称将数百GB的数据泄露。 “目前没有证据证明Mogilevich 的勒索软件指控是合法的，Mogilevich 也没有联系Epic或提供任何证据证明指控的真实性。”Epic Games 在推特上写道。 美国视频游戏和软件开发商Epic Games是最近被莫吉列维奇勒索团伙称为受害者之一的知名公司之一。 这家美国视频游戏和软件开发商和发行商是最近被称为莫吉列维奇勒索团伙数据泄露网站受害者的众多知名公司之一。Mogilevich 勒索团伙声称其旨在惩罚未能保护基础设施安全的公司和企业，将其列为数据泄露受害者，并声称已出售其中一些公司的数据。 零售巨头Shein成为Mogilevich 勒索团伙最新的受害者，据称窃取了300GB的客户、员工和货运数据。他们还声称破坏了Kick的实时视频流服务系统，并窃取了75GB的用户数据和日志。   转自安全客，原文链接：https://www.anquanke.com/post/id/293606 封面来源于网络，如有侵权请联系删除

据美国联邦调查局（FBI）、网络安全和基础设施局（CISA）以及卫生与公众服务部的联合报告，ALPHV/BlackCat勒索软件团伙威胁要对执法干预进行报复，并将目标瞄准医疗保健行业。 据BleepingComputer报道，该团伙声称对最近针对Change Healthcare的攻击负责，声称窃取了6TB数据，其中包括Change Healthcare解决方案源代码以及数千家医疗保健提供商、药房和保险提供商的数据。 此次网络攻击对全国药店产生了重大影响，促使人们采用电子解决方案。AttackIQ对手研究团队的分会负责人安德鲁·科斯蒂斯在一封电子邮件中告诉SC Media，在针对医疗保健行业的这次重大网络攻击中，这一建议为各组织敲响了警钟，要求他们优先考虑网络安全措施。 FBI 中断后，ALPHV/BlackCat 袭击了近 70 家受害者 周二发布的联合通报是对12月19日通报的更新，与司法部同时发布公告，称FBI已扰乱勒索软件即服务(RaaS)组织并查封了多个网站。 ALPHV/BlackCat随后“解封”了其网站，并向附属公司发布消息，取消对攻击关键基础设施的限制，特别将医院和核电站列为潜在目标。更新后的指南包括截至2024年2月与ALPHV/BlackCat及其附属公司相关的最新已知妥协指标(IOC)以及策略、技术和程序(TTP)。 美国国务院悬赏1000万美元，征集有关ALPHV/BlackCat领导人身份和位置的信息，并额外悬赏500万美元，征集导致该团伙任何附属机构被捕或定罪的信息。 ALPHV/BlackCat 利用远程访问工具，冒充 IT 人员 根据FBI和CISA的报告，ALPHV/BlackCat利用先进的社会工程和远程访问工具进行攻击。他们经常伪装成IT技术人员或服务台工作人员，获取员工凭证进行初始访问，然后部署远程访问软件如AnyDesk、Mega sync或Splashtop，协助数据泄露。 ALPHV/BlackCat附属公司使用开源中间对手攻击框架Evilginx2从受害者系统获取MFA凭据、登录凭据和会话cookie，并利用域控制器获取密码在网络中横向移动。 该组织声称使用合法的红队模拟工具Brute Ratel C4和Cobalt Strike作为其C2服务器的信标。 2月27日的更新中添加了ALPHV/BlackCat已知使用的工具的哈希值和文件名，以及网络指示器如C2服务器域和IP地址，以及ScreenConnect和SimpleHelp远程访问的IP地址。 建议采取白名单方法保护远程访问工具，并使用FIDO/WebAuthn身份验证或基于PKI的MFA来抵御网络钓鱼、推送轰炸和SIM交换策略。 部署强大的MFA特别是在远程访问系统上是至关重要的，可以防止被盗凭证导致勒索软件事件。 改变医疗保健漏洞可能是持续勒索软件趋势的一部分 尽管运营Change Healthcare平台的Optum及其母公司UnitedHealth Group尚未确认ALPHV/BlackCat的隶属关系，但其被列入勒索软件团伙的泄露网站，表明针对医疗保健行业的持续趋势。医疗保健行业是勒索软件不可抗拒的目标，2023年公开的攻击比前一年增加了134%。 安全研究人员表示，Change Healthcare攻击可能涉及对ConnectWise ScreenConnect关键漏洞的利用，尽管ConnectWise否认存在连接，ALPHV/BlackCat附属公司拒绝使用此漏洞。 FBI、CISA和HHS的IOC表明ALPHV/BlackCat附属机构已使用ScreenConnect进行远程访问，但并不表明使用了特定漏洞。 尽管资源限制，但缓解医疗保健系统遭受的勒索软件攻击仍是一场艰苦的战斗。许多医疗保健组织的IT和网络安全团队相对薄弱，缺乏完全外包的情况下，很难实施最佳实践。   转自安全客，原文链接：https://www.anquanke.com/post/id/293561 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： Rhysida勒索软件团伙声称对本月初芝加哥卢里儿童医院遭受的网络攻击负责。 本月初，芝加哥卢里儿童医院遭数据泄露，电子邮件、电话、MyChart访问以及本地互联网均受到影响。超声波和CT扫描结果无法获得，患者服务优先系统被取消，医生被迫改用笔和纸开处方。 近期，Rhysida勒索软件团伙已将Lurie Children’s医院列入其暗网上的勒索门户网站，声称从该医院窃取了600 GB的数据。Rhysida 勒索软件提出以 60 BTC的价格向单个买家出售被盗数据。 Rhysida 可供购买 600GB 敏感数据 截止日期设定为7天，之后数据将以较低价格出售给多个威胁行为者，或在Rhysida的平台上免费泄露。 卢里儿童医院受到影响 根据Lurie Children’s于2024年2月22日发布的最新状态更新，恢复IT系统的工作正在进行中，服务中断仍然影响一些运营部门。   由于支付系统受到影响，停电持续时将导致支付医疗费用支付延迟，医院目前已暂停收取预约缺席费用。 Rhysida勒索软件团伙最近的一个错误暴露了加密器中的一个漏洞，可以用来解密文件而无需支付赎金。 然而，考虑到卢里儿童医院长期受到的破坏，执法部门可能无法及时利用解密器对最近的攻击产生影响。此外，如果Rhysida声称的数据泄露被证实，意味着大量儿童的敏感医疗信息已被不可逆转地泄露给网络犯罪分子。   消息来源：bleepingcomputer，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Cybernews网站消息，Reddit某用户在遭受网络攻击后，Netlify向他的简单静态网站开具了一张10.4万美元的账单。最初收到这个账单，该用户还以为是在开玩笑，与Netlify公司客服沟通后，账单降至5225美元。随着这个故事在网上的热度不断攀升，Netlify公司CEO决定不向该用户收取任何费用。 分布式拒绝服务（DDoS）攻击通常被看作是小麻烦，很少造成持久的损害。但Reddit上的一个用户“liubanghoudai24”在遭受DDoS攻击后，收到了云服务提供商发来的一份高额账单。 liubanghoudai24 提到，上周末他收到了一封Netlify发来的邮件，称他有一笔10.4万美元的账单逾期未支付。 Netlify的控制面板显示，该网站在四天内的带宽使用量异常高，2月16日达到了峰值60.7TB，他们怀疑网站遭到了攻击。 此前，liubanghoudai24用户发布的静态网站已经在Netlify上运行了四年，每月的带宽使用量没有超过10GB，每天的访客数量大约200人，使用免费套餐就足够了。“虽然这不是不可能发生的事，但为什么会攻击这样一个简单的静态网站呢？”用户困惑地说。 据了解，被攻击的网站jyutping.org存储了一套粤语的罗马拼音方案、一些课程和教程。在联系客服确认情况后，发现网站内有一个mp3文件（一首邓丽君演唱的非常火的歌曲《满船尽载一船愁》）被下载了数百万次，累计使用了164.1TB的宽带流量。在过去30天内，占据了该网站带宽使用量的99%。 其中，大量的宽带消耗来源于使用谷歌云服务地址的一些非常老旧的用户代理，包括像2010年左右的iPad、Windows 98和Windows 6电脑等设备。 根据以上情况，Netlify表示，该网站要么拥有一批热衷于老式技术的粉丝，要么可能遭到了一次DDoS攻击，他们更偏向于后者。Netlify建议将这类文件托管到像YouTube或SoundCloud这样的第三方平台上。 CEO在帖子中回复，liubanghoudai24不会因此承担费用 在Hacker News上，一名使用“bobfunk”别名的用户自称是Netlify的CEO，他向其他用户保证遭受DDoS攻击后的相关账单将会被免除。Cybernews尝试但未能核实该CEO的身份，但根据该用户曾发表的多个帖子及其个人资料，可以证明他是Netlify创始人Matt Biilmann。 bobfunk表示，“公司客服已经与论坛中的用户取得联系，告知他此次事件不会产生任何费用。目前，在流量激增且不符合攻击模式的情况下，公司不会关闭免费网站，但会在事后免除因合理错误产生的任何费用。对于这一信息没有在最初的回复中明确传达，我们深表歉意。” 另外，bobfunk用户还向那些质疑如果这一事件没有引起热议，Netlify是否会免除账单的人做了保证。据他所说，在过去9年中，公司已经免除了大量账单，而那些账单并没有引起广泛关注。虽然他一直倾向于出错时让网站保持正常运行，但目前公司正在努力改变默认设置，确保免费网站不会产生超额费用。 Cybernews已经联系了Netlify以获取更多消息，并将在收到回复后更新报道。   转自Freebuf，原文链接：https://www.freebuf.com/news/392768.html 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 贷款公司 LoanDepot 证实，在1月初的勒索软件攻击中，有1690万人的个人信息被盗。 事件于上月被披露，当时该公司向美国证券交易委员会（SEC）告知称发现未授权的系统活动，并已下线相关系统。在近期的更新中，证实有超过1690人受到影响，并开始发出通知信。 LoanDepot 在提交给缅因州总督的信中指出：“通过对事件的调查，我们确定在2024年1月3日至1月5日期间，遭未经授权的第三方访问了系统。受影响的信息包括姓名、地址、电子邮件地址、电话号码、出生日期、社会安全号码和银行卡号。” LoanDepot为受影响个人提供免费身份保护和信用监控服务，并提醒用户留意个人信息保护。本次事件涉及勒索软件，Alphv/BlackCat勒索软件组织声称对此负责，并在其泄露网站上列出LoanDepot，声称出售被盗数据。 近期，美国政府将提供高达1000万美元的资金以查明BlackCat领导人身份。   消息来源：securityweek，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文