据报道，攻击者向卡尔维亚市政府索要 1000 万欧元赎金，该市市长称绝对不会支付，此前西班牙加入了《反勒索软件倡议》。 1 月 17 日，西班牙马略卡岛卡尔维亚市议会宣布，该市于上周六遭受勒索软件攻击，市政服务受到影响。 卡尔维亚坐落于马略卡岛，历史悠久，拥有 5 万人口。卡尔维亚是该岛的旅游热点，年接待游客约 160 万人次。 市政在线服务瘫痪，议会成立危机委员会 上周末，卡尔维亚市各大系统遭受网络攻击，市议会被迫成立危机委员会，负责评估攻击造成的损害，并制定影响缓解计划。 卡尔维亚市发布声明，“上周六凌晨，本市遭受了一次勒索软件网络攻击，攻击者试图勒索市议会。市议会正在努力尽快恢复正常。” 该市市长 Juan Antonio Amengual 表示，一组 IT 专家正在进行取证分析，以估计未经授权访问的程度、恢复受影响的系统和服务。 由于 IT 故障，市政府将指控、申请等所有行政服务的受理截止日期，推迟到 2024 年 1 月 31 日。 如市民急需提交注册文件，仍可以通过西班牙国家综合行政门户网站办理业务。 与此同时，市政府已向警方网络犯罪部门通报这一事件、提交初步取证分析信息，并提出了必要的投诉。 声明末尾，市政府对给市民带来的不便致歉，提醒市民服务热点仍在运营。 声明还表示：“市议会对这种情况可能造成的不便深感遗憾，再次保证将坚定不移地以最有序、快速、高效的方式解决当前情况。” “至少，电话沟通和当面沟通都保持正常。” 攻击者索要 1000 万欧元赎金遭拒 截至本文撰写之时，主要勒索软件团体均未宣布对卡尔维亚市攻击事件负责，因此肇事者身份仍然未知。 不过，当地一家媒体获悉，网络犯罪分子设定了 1000 万欧元的赎金，约合 1100 万美元。 市长告诉当地媒体，市政府在任何情况下都不会支付赎金。 勒索软件对包括小城镇在内的各种规模的实体构成重大风险，这是当今数字领域的一大隐忧。 勒索软件攻击可能使关键的市政服务陷入混乱，严重干扰日常运营和公共服务。如果在旅游旺季发生此类攻击，后果将不堪设想。   转自安全内参，原文链接：https://www.secrss.com/articles/62902 封面来源于网络，如有侵权请联系删除

自2023年2月在暗网上首次推出专门的数据泄露网站以来，美杜莎勒索软件家族逐渐加大其网络攻击的力度。相关研究人员称，该组织采用了多重勒索策略，为受害者提供了不同价格的多种选择，如延长时间、数据删除或下载所有数据等。 美杜莎勒索软件家族在2022年底“萌芽”，并在2023年开始“崭露头角”，以对高科技、教育、制造、医疗保健和零售等行业的广泛攻击而出名。据估计，2023年有多达74个组织（主要位于美国、英国、法国、意大利、西班牙和印度）受到勒索软件的影响。 该组织精心策划的勒索软件攻击始于利用面向互联网的资产或具有已知未修补漏洞的应用程序以及劫持合法帐户，通常使用初始访问代理来获得目标网络的立足点。 在网络安全公司观察到的一个例子中，Microsoft Exchange Server被利用来上传Web Shell，然后将其用作安装和执行ConnectWise远程监控和管理软件的管道。 其中一个值得注意的方面是依赖陆上生活（LotL）技术来与合法活动和回避检测相结合。同时还观察到使用一对内核驱动程序来终止安全产品的硬编码列表。 初始访问阶段之后是发现和侦察受感染的网络，最终启动勒索软件以列举和加密所有文件，但扩展名为 .dll、.exe、.lnk 和 .medusa（加密文件的扩展名）的文件除外。 对于每个被感染的受害者，美杜莎的泄密网站都会显示有关组织的信息、要求的赎金、被盗数据公开发布前的剩余时间以及浏览量，以向公司施加压力。 威胁行为者还为受害者提供了不同的选择，所有选择都涉及某种形式的勒索，以删除或下载被盗数据并寻求延长时间以防止数据被释放。 随着勒索软件的商品化和专业化发展，威胁行为者越来越肆无忌惮地发起攻击。他们不仅通过诉诸人身暴力威胁甚至通过专门的公关渠道来公开点名和羞辱组织。据报道，美杜莎不仅有一个专门的媒体团队来处理他们的品牌推广工作，而且还利用一个名为“信息支持”的公共Telegram频道共享受感染组织的文件。 研究人员称，美杜莎勒索软件的出现及其在2023年恶劣行径标志着勒索软件领域的重大发展。他们的操作展示了复杂的攻击手段，利用了系统漏洞和初始访问代理，同时巧妙地避免了通过离地技术进行检测。   转自E安全，原文链接：https://mp.weixin.qq.com/s/EeDUVsImC4EOb-GZ-BoBEA? 封面来源于网络，如有侵权请联系删除

据知道创宇暗网雷达监测，Sems and Specials Incorporated 遭 8Base 组织勒索，称将于 2024年1月19日公开数据。 据了解，此次泄露的数据包含发票、收据、会计凭证、个人资料、证书、雇佣合同、大量机密信息、保密协议、个人档案等。 勒索组织声称将于 2024年1月19日公开数据。 Sems and Specials Incorporated（简称SSI）是一家总部位于美国纽约州纽约市的公司，成立于1990年。该公司主要从事特殊螺钉、垫圈和金属制品等高精度零件的生产和销售，服务的行业包含海军陆战队和军队。 8Base 勒索软件组织自 2022 年 3 月以来一直表现活跃，在 2023 年 6 月的攻击活动显著增加。该组织还采用了双重勒索策略，通过多种手段迫使受害者支付赎金。 Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达

据The Record网站消息，1月11日，勒索软件组织美杜莎（Medusa）在其暗网受害名单网站上列出了 Water for People——一家专为贫困地区提供清洁饮用水的非盈利组织。 美杜莎向该组织索要30万美元赎金，否则将公布被盗信息。Water for People 的一位发言人表示：“被盗的数据均早于2021年，财务系统未受损害，也没有影响任何业务运营。我们正在与顶级事件响应公司以及我们的保险公司合作，并与我们的安全团队一起强化我们的系统，以防止未来再发生类似事件。” “虽然最近来自美杜莎勒索软件的网络攻击并未影响我们的工作，但它确实反映出，即使是像我们这样的非营利组织也成为了攻击目标。我们尝试进行善意谈判，但没有结果。”该发言人补充道。 Water for People目前在9个不同的国家开展业务，包括拉美地区的危地马拉和洪都拉斯、非洲的莫桑比克和亚洲的印度，目标是在未来八年内改善超过 2 亿人的用水状况。此次勒索攻击发生前，该组织获得了亚马逊创始人杰夫·贝佐斯（Jeff Bezos）的亿万富翁前妻麦肯齐·斯科特 (MacKenzie Scott) 1500 万美元资助。 根据 Unit 42 的最新分析，这已不是美杜莎第一次攻击与供水相关的组织，去年，一家为近50万人提供饮用水的意大利公司就曾遭到该组织的袭击。 勒索软件组织正越发“不分青红皂白” 尽管非营利和非政府组织部门的许多组织缺乏财务保障，其中大部分依赖捐款才能运营，但近来它们也未能幸免于勒索软件组织的攻击。 Unit 42 的研究数据表明，非营利部门与媒体、娱乐和农业行业一样经常受到美杜莎的攻击。英国数据保护监管机构的安全事件趋势数据显示，自 2020 年以来，英国慈善志愿部门已报告了 100 多起勒索软件事件。就在去年 9 月，国际救助儿童会也遭到了攻击。 Unit 42 分析指出，美杜莎不分青红皂白地发起攻击，凸显了此类勒索软件组织已经构成了一种相当普遍的威胁。   转自Freebuf，原文链接：https://www.freebuf.com/articles/network/371593.html 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 2023 年 11 月，医疗保健服务提供商 HMG Healthcare 遭到勒索软件攻击，导致其 40 家附属护理机构的用户和员工的健康信息被泄露。 该公司立即对这一事件展开调查，发现黑客在8月份成功入侵了其服务器并窃取了未加密的文件。 这些被盗文件包含了姓名、出生日期、联系方式、健康状况、治疗信息、社会安全号码和工作记录等个人信息。 数据泄露通知中描述道，“我们通知受影响的个人或相关方，在2023年8月，涉及您或您亲人的服务器被未授权访问，并且可能导致了信息泄露” ，“此次事件是因为黑客访问我们的服务器并窃取未加密的文件。” HMG Healthcare 立即采取安全措施，防止进一步的泄露事件。 通知进一步指出：“HMG 尝试识别被泄露的数据，但现在这个过程存在一定困难。” 为了给受害者提供更多支持，该公司设立了一个咨询中心以解答疑问，并发布了受影响的机构清单。 此外，公司还建议他们持续关注自己的账户流水、福利明细和信用记录。 虽然数据泄露通知中未详细描述攻击方式，但专家普遍推测这是一次由勒索软件攻击引发的安全事件。   消息来源：securityaffairs，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

所有的受害者现在都有机会恢复他们的数据，无需支付任何赎金。 思科 Talos与荷兰警方合作，成功解密了 Babuk 勒索软件的一个名为 Tortilla 的变种，在打击网络犯罪方面取得了重大进展。 这一成功的关键在于，警方捕获了在阿姆斯特丹的一名犯罪分子，并夺取了他提供给同意支付赎金的受害者的特定解密工具。 在 Babuk 勒索软件的源代码在黑客论坛上泄露后不久，“Tortilla”就出现了。该恶意软件变体主要针对 Microsoft Exchange 服务器，利用 ProxyShell 漏洞分发加密恶意软件。 尽管 Avast 在 Tortilla 发布前就已经推出了 Babuk 的解密工具，但由于密钥不匹配，这一工具对新的变种效果不佳。 Talos 的研究团队发现，这一病毒的可执行文件使用了固定的公钥/私钥对进行所有攻击。一旦这些密钥被提取，信息就会传递给 Avast 以更新他们的 Babuk 解密器。 Avast 已将“Tortilla”解密密钥包含在其通用解密工具 Babuk 中，其中还包含从 2021 年源代码泄露中获得的 14 个 ECDH-25519 密钥。Tortilla 受害者现在可以使用Avast 的解密器免费恢复数据 。 Cisco Talos 强调，Tortilla 并不是唯一使用 Babuk 代码加密受害者数据的操作。自 2021 年 12 月以来，还出现了其他 7 个使用该代码的恶意操作：Rook、Night Sky、Pandora、Nokoyawa Cheerscrypt、AstraLocker 2.0、ESCiArgs、Rorschach、RTM Locker 和 RA Group。   转自安全客，原文链接：https://www.anquanke.com/post/id/292557 封面来源于网络，如有侵权请联系删除

趋势科技已检测到 Water Curupira 组织正在积极传播 PikaBot 恶意软件。该活动从 2023 年第一季度开始，一直持续到 6 月底，随后在9月再次出现。 PikaBot 用于网络钓鱼活动，由两个组件组成：下载器和主模块。这种结构允许黑客通过连接到管理服务器进行未经授权的远程访问和任意命令执行，且检测风险较小。 Water Curupira 组织的活动与之前由 TA571 和 TA577 组织使用类似策略传播 QakBot 的活动重叠。PikaBot 活动的增加与 8 月份 QakBot 被清算以及 DarkGate 恶意软件的出现有关。 PikaBot 主要用作下载程序，它会启动其他恶意软件，包括后利用工具 Cobalt Strike，该工具通常在实际勒索软件部署之前使用。 PikaBot 的分发策略非常简单和熟悉：黑客将恶意附件集成到电子邮件中，下载和启动它们会导致计算机感染恶意软件。 值得注意的是，在启动感染链之前，引导加载程序会检查 Windows 操作系统的语言，如果检测到俄语或乌克兰语，则会中断执行。这表明了对 Water Curupira 群体可能起源的一些思考。 如果计算机受到攻击，PikaBot 会收集有关受害者系统的详细信息，并将其以 JSON 格式发送到控制服务器。Water Curupira 恶意活动的目标是部署 Cobalt Strike，这通常会导致随后启动 Black Basta 勒索软件。 此外，趋势科技指出，Water Curupira 在 2023 年第三季度初使用 DarkGate 开展了多项活动，并开展了少量 IcedID 活动，此后该组织完全转向使用 PikaBot。   转自安全客，原文链接：https://www.anquanke.com/post/id/292555 封面来源于网络，如有侵权请联系删除

英国国防公司 Ultra 的美国子公司 Ultra Intelligence & Communications (Ultra I&C) 遭遇了 ALPHV (BlackCat) 勒索软件团队的攻击，导致联邦调查局、北约和瑞士空军的敏感资料被黑客获取。 暗网上出现的信息显示，BlackCat 黑客在他们的博客上发布了 Ultra I&C 数据。据他们称，在 2023 年 12 月 27 日发生的攻击中，有30GB 数据被盗。Ultra I&C 的代表尚未对泄密消息发表评论。 BlackCat 公开数据包含各种信息，包括审计、财务和员工人事数据。黑客声称，被盗数据包含与联邦调查局、北约、瑞士、以色列和多家国防公司有关的信息。 瑞士联邦国防办公室证实，此次数据泄露使其空军信息受到影响，Ultra I&C 也及时向瑞士政府通报了此次网络攻击。 瑞士国防、民防和体育部（VBS）表示，此类性质的事件一向受到非常严肃的对待，目前正在进行详细调查。不过，根据目前的数据，瑞士陆军的操作系统并未受到网络攻击的影响。截至目前，黑客仅发布了商业数据。 VBS 还解释说，他们的系统不依赖于单一供应商或系统，因此可以单独保护正在使用的 IT 系统。目前他们正在评估 BlackCat 泄漏站点上发布数据的重要性。 Ultra I&C 主要为国防公司提供军事和情报加密及通信服务，这次泄露事件给相关的组织和公司带来了巨大的潜在风险。 近年来，BlackCat 已成为最臭名昭著的勒索软件团伙之一。尤其是，他们涉及 9 月的拉斯维加斯米高梅度假村和凯撒国际赌场事件，并从赌场事件中获得了高达 1500 万美元的赎金。   转自安全客，原文链接：https://www.anquanke.com/post/id/292552 封面来源于网络，如有侵权请联系删除

据知道创宇暗网雷达监测，12 月 27 日，Ultra Intelligence & Communications 公司 30GB 数据遭到泄露，数据包含审核数据、财务数据、项目数据、员工数据、合同数据、公司和组织列表。数据来源于勒索组织 BlackCat，数据可下载。 据悉，美国联邦调查局（FBI ）在本月攻入了 BlackCat  勒索软件的服务器，以监控该组织的日常活动并获得解密密钥，同时扣押了 BlackCat 勒索软件数据泄露网站的域名，并添加了一条横幅。然而，几个小时后，BlackCat 勒索软件就“解封”了数据泄露网站。 Ultra Intelligence & Communications（简称ULTRA），是一家全球领先的技术公司，总部位于英国。该公司提供先进的情报、通信和安全技术解决方案，服务于政府、军事和商业客户。是一家与美国政府合作的承包商，由美国政府相关或在美国政府工作的机密人员赞助。 ULTRA 的高层管理人员拒绝支付恢复被盗数据的费用，导致所有与 ULTRA 及其附属公司有关的被盗数据都在这个数据泄露博客中公开。 每个与美国政府合作的承包商都应该被警告这一事件，如果他们不希望美国联邦机密被公开，就应该避免与 ULTRA 有任何进一步的业务往来。这一事件可能促使美国政府重新审视与这些承包商及其分包商的关系。   Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达

HackerNews 编译，转载请注明出处： Abdali 医院是一家综合性医院，位于约旦安曼的现代化开发区 Abdali。Abdali 医院为众多专科患者提供医疗服务。除了一般外科部门外，医院还有骨科和风湿病、妇科、泌尿科、内分泌科、神经科、肾脏科、肺科、内科、肿瘤科、传染病科和麻醉科部门。医院还提供包括整形外科和皮肤科在内的美容专科服务。此外，医院设有妇女健康中心，专注于乳腺癌治疗。 Rhysida 勒索软件组织声称已经入侵了 Abdali 医院，并将其添加到该组织的 Tor 泄露站点的受害者名单中。 该团伙发布了窃取文件的图片作为黑客攻击的证据。泄露的图片包括身份证、合同等内容。 “只剩 7 天时间，准备好你的资金，把握这个机会来竞购独家数据。我们只向一方出售，不再转售，你将成为独家数据唯一的拥有者！”Rhysida 勒索软件团伙在其 Tor 泄露站点上发布的声明中这样写道。   勒索软件团伙声称窃取了大量“敏感数据”，并以 10 比特币的价格进行拍卖。与往常一样，Rhysida 勒索软件操作者计划将被盗数据售给单一买家。团伙将在公告后的七天内公开发布数据。 在 11 月底，该勒索软件团伙声称已经黑入伦敦的爱德华七世医院，以及大英图书馆和中国能源工程公司。 Rhysida 勒索软件团伙自 2023 年 5 月以来一直活跃。根据该团伙的 Tor 泄露网站显示，至少有 62 家公司成为了该团伙的受害者。该勒索软件团伙攻击了多个行业的组织，包括教育、医疗保健、制造业、信息技术和政府部门。 上周，FBI 和 CISA 发布了一份联合网络安全建议（CSA），警告 Rhysida 勒索软件攻击。该建议是持续的 StopRansomware 行动的一部分，旨在传播与勒索软件团伙相关的战略、技术和程序（TTPs）以及妥协指标（IOCs）的信息。该报告包括最近在 2023 年 9 月调查中确认的 IOCs 和 TTPs。 “利用 Rhysida 勒索软件的攻击对象包括教育、医疗保健、制造业、信息技术和政府部门。开源报告详细描述了 Vice Society (DEV-0832) 活动与部署 Rhysida 勒索软件的行为者之间的相似性。”联合建议中写道。 “此外，开源报告已确认观察到的 Rhysida 行为者以勒索软件即服务（RaaS）的形式运作，其中勒索软件工具和基础设施以分成模式出租。支付的赎金随后在团伙和合作伙伴之间分配。” Rhysida 行为者利用外部面向的远程服务（例如VPN、RDP）获得目标网络的初始访问权并保持持久性。该团伙依靠窃取的凭证来认证内部 VPN 访问点。根据该建议，黑客在网络钓鱼尝试中利用了 Microsoft 的 Netlogon 远程协议中的 Zerologon（CVE-2020-1472）漏洞。 该组织依靠本地（内置于操作系统中）网络管理工具等技术来执行恶意操作。   消息来源：securityaffairs，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文