HackerNews 编译，转载请注明出处： 近期，执法部门遭受黑客攻击，LockBit团伙已在新基础设施上重新启动了勒索软件操作，并威胁将更多的攻击重点放在政府部门上。 根据联邦调查局泄密模型透露，该团伙发布了一份详细声明，指明他们的疏忽导致了此次泄露，并概述了未来的行动计划，旨在引起关注。 LockBit 勒索软件持续攻击 上周六，LockBit宣布恢复其勒索软件业务，并发布信息称，承认“个人疏忽和不负责任”扰乱了执法部门其在克罗诺斯行动中的活动。 该团伙保留了其品牌名称，并将数据泄露网站转移到了新的.onion地址。该网站列出了五名受害者，并附有发布被盗信息的倒计时器。   重新启动的 LockBit 数据泄露网站 2月19日，当局拆除了LockBit的基础设施，包括34台服务器，这些服务器托管了数据泄露网站及其镜像、从受害者窃取的数据、加密货币地址、解密密钥以及附属面板。 在攻击发生后，LockBit团队立即确认了泄露事件，称他们只丢失了运行PHP的服务器，并且未受影响的备份系统是基于PHP的。 五天后，LockBit团队重新启动了其业务，并提供了有关漏洞的详细信息，以及他们将如何运营业务以使其基础设施更难以遭受黑客攻击。 未更新的 PHP 服务器 LockBit 表示，执法部门入侵了两个主要服务器。 黑客指出，由于个人疏忽和不负责任，他们没有及时更新PHP，导致受害者管理和聊天面板服务器以及博客服务器运行的是PHP 8.1.2版本，其很可能受到了CVE-2023-3824漏洞的黑客攻击。 LockBit表示，他们已经更新了PHP服务器，并宣布将奖励在最新版本中发现漏洞的人。 网络犯罪分子猜测，执法部门入侵其基础设施的原因可能是因为一月份对富尔顿县的勒索软件攻击，这增加了泄露信息的风险。 黑客表示，执法部门获得了数据库、网络面板源以及一小部分未受保护的解密器”。 去中心化 在克罗诺斯行动期间，当局收集了1000多个解密密钥。LockBit声称警方从未受保护的解密器获得了密钥，服务器上有近20,000个解密器。 黑客将“不受保护的解密器”定义为未启用“最大解密保护”功能的文件加密恶意软件的构建，通常由低级别附属机构使用，这些附属机构收取2000美元的赎金。 LockBit计划升级其基础设施的安全性，并切换为手动发布解密器和试用文件解密，以及在多个服务器上托管附属面板，并根据信任级别为其合作伙伴提供对不同副本的访问权限。 该团伙遭受了沉重打击，即使它设法恢复了服务器，附属机构也有充分的理由不信任。LockBit表示，通过面板的分离和更大的去中心化，无需自动模式下的试解密，最大限度地保护每个公司的解密者，黑客入侵的机会将显著降低。 消息来源：bleepingcomputer，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

作为国际克罗诺斯行动的一部分 ，英国执法部门透露 ，尽管他们收到了删除受害者数据的赎金，但LockBit 勒索组织仍在保留受害者的数据。 英国国家犯罪局（NCA）局长格雷厄姆·比格（Graham Biggar）称LockBit是过去四年来“最活跃、最具危害性的勒索软件组织”，自成立以来，该组织已成功攻击了全球数千个组织。 该组织的行为包括对受害者网络上的设备进行加密，并窃取数据，随后要求赎金以提供解密密钥并删除数据。该组织在表态中声称，将严格遵守承诺。 然而，最近的情况表明，即使受害者支付了赎金，黑客仍然保留了被盗数据的备份副本。目前尚不清楚犯罪分子是否与第三方分享了这些信息，但这些数据保留在他们手中这一事实完全否定了勒索者的所有声明和承诺。 NCA计划稍后公布在行动中获得的更多信息，包括有关LockbitSupp管理员和该组织财务状况的数据。Graham Biggar在接受记者采访时强调了勒索软件威胁的严重性，并指出2023年是攻击次数和勒索资金量创纪录的一年。 LockBit有可能会试图恢复其犯罪活动，但执法机构打算继续打击该组织，特别是现在他们已经掌握了有关其参与者和行动方法的足够信息。 之前的报道指出，执法人员已经清理了LockBit的基础设施，并完全控制了他们在洋葱网络上的网站。   转自安全客，原文链接：https://www.anquanke.com/post/id/293401 封面来源于网络，如有侵权请联系删除

ConnectWise发布警告称，ConnectWise ScreenConnect存在严重漏洞，正遭受广泛利用，可能导致数千台服务器被接管。 本周，ConnectWise发布了ScreenConnect 23.9.7的安全修复程序，披露了两个漏洞，其中一个CVSS评分最高达10分。 Huntress的研究人员指出，此漏洞被编号为CVE-2024-1709，可轻松绕过身份验证并获取对ScreenConnect实例的管理访问权限。 第二个漏洞（标识为CVE-2024-1708）是一种路径遍历漏洞，可能允许恶意的ScreenConnect扩展在预期子目录之外执行远程代码（RCE）。然而，Huntress的研究人员指出，仅利用CVE-2024-1709就可以实现RCE。 本地的ConnectWise ScreenConnect管理员应立即升级到版本23.9.8，以防止服务器受到损害。据ConnectWise称，云实例已经修补完成。 ScreenConnect 漏洞威胁无数下游端点 ConnectWise ScreenConnect通常由托管服务提供商（MSP）用于远程访问客户端点，以提供IT支持和其他服务。 考虑到每个ScreenConnect实例可能为数百或数千个端点提供服务，CVE-2024-1709可能会导致重大的供应链攻击。这与Cl0p勒索软件组织实施的MOVEit黑客攻击不同，后者自2023年5月以来已影响了2,500多个组织。 Huntress首席执行官凯尔·汉斯洛万在一份声明中表示：“我不能掩饰事实——情况非常糟糕。该软件的广泛使用和该漏洞提供的访问权限表明我们正面临着勒索软件猖獗的局面。” Huntress也参与了MOVEit黑客攻击后的事件响应，并指出由于概念验证（POC）漏洞的存在，增加了危险。他们决定只有在其他供应商发布了他们自己的POC后才发布自己的POC。 Huntress发言人表示，该公司与ConnectWise密切合作，研究该漏洞及其潜在影响。 “双用途软件会带来风险；就像今年夏天通过MOVEit发现的Huntress一样，它为IT团队提供了无缝功能，但也为黑客提供了同样的功能，”Hanslovan说道。“利用远程访问软件，坏人可以像好人一样轻松地推送勒索软件补丁。一旦他们开始推广他们的数据加密器，我敢打赌90%的预防性软件不会捕获它，因为它来自可信的来源。”   转自安全客，原文链接：https://www.anquanke.com/post/id/293407 封面来源于网络，如有侵权请联系删除

德国德国能源行业开发商 PSI Software SE 已确认受到勒索软件攻击，该攻击影响了其内部基础设施。 该公司在全球开展业务，拥有 2,000 多名员工。它专门为大型能源供应商开发软件解决方案，还提供一系列用于管理和维护交钥匙能源基础设施、投资组合管理和能源分配的解决方案。 2月15日，PSI Software 在其网站主页上宣布遭受网络攻击。由于此次攻击，该公司不得不关闭包括电子邮件在内的多个 IT 系统，以降低数据丢失的风险。 在随后的更新中，PSI Software 确认此次中断是由网络犯罪分子使用勒索软件造成的。到目前为止，该公司还无法确定攻击者的具体渗透方法。 “2 月 15 日晚，我们的网络检测到异常活动。出于安全原因，所有外部连接和系统立即被禁用。”PSI Software 表示。 目前没有证据表明攻击者获得了客户端系统的访问权限，但调查仍在进行中。 该公司没有提供有关客户端系统目前是否以任何形式运行的信息。所有 PSI Software 客户的运营也可能无限期暂停。当局已获悉该事件，联邦信息安全办公室的专家正在积极帮助该公司最大程度地减少该事件的后果。所有系统的功能将在不影响安全的情况下尽快恢复。   转自安全客，原文链接：https://www.anquanke.com/post/id/293369 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 美国国务院提供高达1500万美元的奖励，用于悬赏与LockBit勒索软件团伙成员及其同谋相关的信息。 奖励分为两部分：1000万美元用于获取可能导致定位或识别LockBit领导层的信息；另外，500万美元奖金用于提供可能导致逮捕LockBit勒索软件关联公司的线索。 美国司法部将LockBit勒索软件团伙与超过2000名受害者联系起来，指出该团伙索要数亿美元的赎金后，已获利超过1.2亿美元。 这些奖励是通过跨国有组织犯罪奖励计划（TOCRP）提供的。自1986年以来，美国政府已为有用线索支付超过1.35亿美元。 美国国务院设有专用的Tor SecureDrop服务器，可用于匿名提交与LockBit和其他通缉威胁行为者有关的线索。 美国国务院安全投递页面 此次，美国国务院宣布悬赏总额达1500万美元，以奖励提供有关LockBit勒索软件变体攻击的相关信息。 自2020年1月以来，LockBit攻击者对美国和全球范围内的2000多名受害者实施了攻击，导致了昂贵的业务中断以及敏感信息的破坏或泄露。已支付超过1.44亿美元的赎金，用于从LockBit勒索软件事件中进行恢复。 LockBit勒索软件团伙因国际执法行动而瓦解 在代号为“克罗诺斯行动”的全球执法行动中，LockBit勒索软件的暗网泄露网站在本周被关闭，该行动由英国国家犯罪局（NCA）领导。 警方官员在“ No More Ransom”门户网站上发布了免费的LockBit 3.0 Black勒索软件解密器，该解密器利用从LockBit被扣押的服务器中检索到的1,000多个解密密钥开发而成。 LockBit 泄露网站截图 两名LockBit组织成员被逮捕，针对其他LockBit黑客，法国和美国司法当局发出了三份国际逮捕令和五份起诉书。 美国司法部本周还公布了针对两名俄罗斯嫌疑人Artur Sungatov和Ivan Gennadievich Kondratiev（又名Bassterlord）的两份起诉书，指控他们涉嫌参与LockBit攻击。 全球警方共查获了34台LockBit服务器以及200多个加密钱包，这些钱包被该团伙用来收取赎金。 执法部门今天在该组织的暗网泄露网站上发布了更多信息，显示LockBit在一段时间内雇佣了188名成员。但具体的全部成员信息暂未公布。 LockBit勒索软件即服务（RaaS）于2019年9月开始运行，本周被关闭，是迄今为止运行时间最长的RaaS操作。 自曝光以来，LockBit声称对全球多个大型政府组织发起了攻击，包括波音公司、英国皇家邮政和意大利国税局等。 最近，美国银行向客户发出数据泄露警告，原因是其Infosys McCamish Systems（IMS）服务提供商遭到声称为LockBit的黑客攻击。   消息来源：bleeping computer，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

近日，德国知名物流流程软件开发商 PSI Software SE 证实其遭遇网络攻击。据悉，此次勒索软件攻击事件严重破坏了其内部基础设施，对生产经营造成了深远影响。 PSI Software SE 公司是一家知名的跨国性企业，在全球范围内拥有 2000 多名员工，专门为大型能源供应商提供软件解决方案，主要提供 “运营管理、网络利用、管道管理、泄漏检测和定位、投资组合管理、能源交易和销售的控制系统解决方案。 2 月 15 日，PSI 软件公司突然宣布，由于遭到了威胁攻击者发动的网络攻击，公司被迫中断了包括电子邮件在内的多个内部 IT 系统，以期降低数据信息丢失的安全风险。 随后，PSI 软件公司方面立刻组织了网络安全专家调查安全事件，经过网络安全人员分析，PSI Software SE 公司最终证实，网络中断由针对其系统的勒索软件威胁攻击者造成，目前尚不能确定确切的入侵媒介。 此外，PSI 方面还表示，公司安全人员在 2024 年 2 月 15 日夜间检测到期内部网络有异常活动。随后，立刻相继关闭了所有的外部连接和网络系统。好消息是，截至目前，安全研究人员没有发现威胁攻击者将“目光”转向了客户系统的任何证据。 2 月 16 日以来，联邦信息安全办公室的网络安全专家一直在帮助 PSI 公司进行勒索软件事件响应和修复工作。   转自Freebuf，原文链接：https://www.freebuf.com/news/392178.html 封面来源于网络，如有侵权请联系删除

据多家外媒2月19日报道，一项由11个国家参与、名为“克罗诺斯”的联合执法行动一举”重锤“了臭名昭著的勒索软件组织LockBit，相关基础设施已被查封。 该行动由英国国家犯罪署（NCA）牵头，美国、日本、澳大利亚及欧盟部分成员国参与。目前，LockBit的数据泄露网站已被NCA控制，并在其顶部用醒目的横幅显示“该网站现在处于执法部门的控制之下”。NCA向外界确认：“LockBit 服务已因国际执法行动而中断。这一行动仍将持续。” LockBit网站已被贴上”该网站现在处于执法部门的控制之下“的标语 BleepingComputer还证实，LockBit 用于与受害者“谈判”的网站也已关闭，尽管该团伙的其他活动似乎仍在运行。路透社表示，LockBit在加密应用程序上发布消息称备份服务器未受到执法行动的影响。 目前，该行动的更多信息尚未公开，官方将于欧洲中部时间 2 月 20 日中午举行新闻发布会来透露相关细节。 LockBit：勒索软件中的“扛把子” SecureWorks 反威胁部门副总裁唐·史密斯（Don Smith）以追踪勒索软件团伙为生，他形容这次打击行动“太棒了”，并表示在竞争激烈且残酷的市场中，LockBit 已成为最多产且占主导地位的勒索软件运营商。根据泄露网站的数据，LockBit 占据勒索软件市场 25% 的份额，而最有力的竞争对手BlackCat占有率约为 8.5%。 LockBit首次亮相于2019年9月，在经历过3次重大版本迭代后，到2022年已成为全球最活跃的勒索软件即服务运营商之一。仅在刚刚过去的2023年内，LockBit就针对多家全球巨头企业发起过攻击： 2023年1月：攻击英国最大的邮政企业皇家邮政，并索要8000万美元赎金； 2023年3月：攻击生产公司Maximum Industries的系统后窃取了 SpaceX 的机密数据； 2023年6月：攻击全球最大晶圆代工厂台积电，并索要7000万美元赎金； 2023年10月：攻击技术服务巨头 CDW，并索要8000万美元赎金； 2023年10月：攻击波音并最终泄露43GB内部文件； 2023年11月：攻击中国工商银行美国子公司，导致部分系统中断。   转自Freebuf，原文链接：https://www.freebuf.com/news/392044.html 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： Cactus勒索软件团伙声称他们在上个月成功入侵了施耐德电气的网络，并窃取了约1.5TB的数据。 据称，他们于1月17日获取了施耐德电气可持续发展业务部门的访问权限。 近期，暗网上公布了25MB 的被盗数据，其中包括几名美国公民护照和保密协议文件的扫描件，作为黑客所声称的证据。该团伙目前正在勒索该公司，并威胁称，如果不支付赎金，就会泄露所有被盗的数据。 鉴于此，推测从其受损系统中窃取的数据可能涵盖了客户工业控制和自动化系统的敏感信息以及有关环境和能源法规合规性的信息。 目前尚不清楚具体被盗的数据内容，但施耐德电气服务众多知名公司，包括 Allegiant Travel Company、Clorox、DHL、杜邦、希尔顿、利盟、百事可乐和沃尔玛等，在全球拥有超过 150,000 名员工。2013年收入为285亿美元。此前曾遭受Clop勒索软件MOVEit数据盗窃攻击，影响了2700多个组织。 Cactus 泄露网站信息截图 Cactus勒索软件是于2023年3月出现，具有双重勒索攻击特征。其运营商利用购买的凭据、与各种恶意软件分发者的合作、网络钓鱼攻击或利用安全漏洞来渗透企业网络。 一旦获得对目标网络的访问权限，他们会在受感染的网络中横向移动，同时窃取敏感数据以用作赎金谈判的筹码。 自出现以来，Cactus勒索软件已将100多家公司添加到其数据泄露站点。威胁行为者称将要在网上泄露部分数据，同时仍在谈判赎金。   消息来源：bleeping computer，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Black Basta 公布了威利斯租赁金融公司 (Willis Lease Finance Corporation) 的秘密文件。 威利斯租赁金融公司是一家喷气发动机租赁公司，是本次网络攻击的受害者，在此期间机密数据最终落入 Black Basta 组织手中。这是从 2 月 9 日向美国证券交易委员会 ( SEC ) 提交的 8-K 表文件中得知的。该公司于 1 月 31 日发现了未经授权访问的迹象，并立即开始对该事件进行补救。 文件指出，已聘请网络安全领域的顶尖专家来调查该事件并予以平息。尽管如此，该公司承认，由于某些系统中断，必须开发临时解决方案才能继续运营和服务客户。 有关损害的详细信息尚未披露，但该公司已通知执法部门，并正在继续努力确定数据泄露的程度。 Black Basta 组织声称，该组织能够窃取 910GB 的数据，包括员工个人数据、人力资源文件、保密协议以及与主要航空公司的租赁协议的详细信息和 40 份护照扫描件。 Black Basta 在其泄露网站上发布了相关文件的样本，以及各种人事文件，其中列出了公司各个部门和职位的员工的社会安全号码。威利斯租赁金融公司的代表尚未对此事发表评论。     转自安全客，原文链接：https://www.anquanke.com/post/id/293253 封面来源于网络，如有侵权请联系删除

据BleepingComputer 消息，江森自控国际公司 (Johnson Controls International) 确认，2023 年 9 月的一次勒索软件攻击给该公司造成了至少2700 万美元的损失，并导致了数据泄露。 作为一家开发和制造工业控制系统、安全设备、空调和消防安全设备的跨国企业集团，江森自控在其亚洲的办事处在遭受Dark Angels 勒索软件组织的攻击后，迫使该公司关闭了大部分 IT 基础设施，从而影响了面向客户的系统。 该组织声称从江森自控窃取了超过 27 TB 的机密数据，并索要 5100 万美元的赎金以删除数据并提供文件解密器。 江森自控承认服务中断，后来将原因归因于“网络安全事件”，但没有提供有关攻击类型或导致数据泄露的可能性的详细信息。而在1月30日向美国证券交易委员会 (SEC) 提交的季度报告中，江森自控证实，他们在 2023 年 9 月 23 日遭受的网络攻击实际上是勒索软件攻击，并导致数据数据泄露。 此外，报告中表示，截至 2023 年 12 月 31 日止，由攻击带来的响应和修复网络攻击相关的费用达 到了2700万美元，其中不包含保险赔偿。 江森自控预计，随着公司继续确定哪些数据被盗，并与外部网络安全取证和补救专家合作，这一损失在未来几个月内将会上升。 根据迄今为止的信息，江森自控相信未经授权的活动已被完全遏制，并且其数字产品和服务（包括 OpenBlue 和 Metasys）均已恢复正常。   转自Freebuf，原文链接：https://www.freebuf.com/news/391141.html 封面来源于网络，如有侵权请联系删除