由于保持运营的重要性，工业公司和公用事业公司更有可能付费，从而吸引更多的威胁团体并关注 OT 系统。 去年，四分之三的工业企业遭受了勒索软件攻击，影响运营技术 (OT) 的攻击比以往任何时候都多——这表明工业部门的脆弱性和支付赎金以维持生存的倾向导致攻击激增。 根据网络物理防御公司 Claroty 发布的一份报告，在过去12个月中，超过一半的工业企业（54%）遭受了勒索软件攻击，影响了其运营技术，无论是直接影响还是因为链接的 IT 系统受到攻击12月6日。与该公司2021年的上一份报告相比，攻击对 OT 系统的影响显着增加，当时47%的公司受到勒索软件影响其运营。 事实上，针对工业企业和关键基础设施提供商的攻击已经变得非常普遍。位于匹兹堡的阿利基帕市政水务局最近遭受了网站损坏，原因是与伊朗有关的威胁组织 Cyber Av3ngers 迫使其关闭水压监测系统并更改了网站的登陆页面。事实证明，该事件是11月底开始的针对美国各地供水设施的更广泛网络攻击的一部分。但关注的不仅仅是公用事业公司：2022年2月，轮胎制造商普利司通在 LockBit 2.0勒索软件组织成功入侵其网络后，不得不关闭其制造网络数天。 尽管 Claroty 调查显示，在这两个时期内，针对 OT 系统的直接攻击保持一致，超过三分之一（37%）的公司在2023年遭受了影响 IT 和 OT 系统的攻击，但与Claroty 首席产品官 Grant Geyer 表示，2021年，27%的组织将遭受双重影响攻击。 他表示：“这些数字与去年一样令人震惊，它们不仅表明了问题的严重性，而且表明这是一种极其可行的商业模式，并且使运营面临风险，而不仅仅是 IT。” “由于许多 OT 系统都是基于 Windows 的，因此由于分段不佳或没有分段，勒索软件经常从 IT 环境溢出到 OT 环境。” 尽管针对工业企业的勒索软件事件数量有所增加，但它们始终占所有攻击的三分之一。资料来源：NCC 集团。 网络安全服务公司 NCC Group 的数据显示，总体而言，过去一年中，工业部门仍然是每月最大的勒索软件目标。与去年同月相比，10月份的勒索软件攻击增加了81%，而针对工业部门的攻击通常占所有勒索软件事件的三分之一。 NCC 集团工业部主管肖恩·阿罗史密斯 (Sean Arrowsmith) 表示，由于最近的地缘政治冲突，威胁活动总体上有所增加，导致国家支持的行为者和黑客活动分子发起工业攻击。 他说：“禁用和/或削弱能源基础设施的能力可能会导致消费者的使用受到限制甚至无法使用，从而加剧战争和冲突带来的不稳定和混乱。” “这些破坏行为影响了国际安全问题中最重要的权力动态。” 工业界对攻击者：“嘿，我们会付出代价” 攻击工业公司有吸引力的原因之一是：运营中断导致支付赎金的可能性更大。通常情况下，公司支付勒索软件的倾向在很大程度上取决于他们的收入——根据 Sophos 的年度勒索软件状况报告，较小的公司支付勒索软件费用的比例为36%，而不是依赖备份，而较大的公司支付勒索软件费用的比例为55%。 与此同时，根据 Claroty 的《2023年全球工业网络安全状况》报告，工业领域的受害者支付费用的比例高达三分之二(67%)。 Claroty 的 Geyer 表示：“只要看看三分之二的组织正在支付赎金这一事实，就可以了解为什么如此多的组织受到攻击。” “运营中断让 CIO 左右为难，迫使他们做出这些站不住脚的情绪化决定。” 第三方是依赖 OT 的公司（例如工业公司和公用事业公司）需要解决的另一个弱点。 例如，根据安全指标公司 SecurityScorecard 的数据，美国所有排名前10的能源公司都有一家第三方供应商在过去12个月内遭受了入侵，导致其业务遭到破坏。虽然该公司跟踪的近2,000家第三方提供商中只有4%遭受直接泄露，但这导致全球90%的能源公司在一年多的时间里都在应对这些违规行为的后果。 SecurityScorecard 员工威胁研究员 Rob Ames 表示，仅 MOVEit 漏洞就影响了数百家能源公司。 他说：“这种对数据泄露的指控，然后威胁数据泄露，正在成为勒索企图曝光的越来越核心的部分，而不是勒索软件的实际部署。” “我想说，更多依赖于声称的曝光而不是实际加密的勒索企图是一种趋势，当然，仍然是出于经济动机。” OT 安全需要更多政府帮助 许多自来水公司和其他关键基础设施公司都是小型本地公司，或者由城镇和县运营。因此，他们在部署网络安全方面往往落后。Claroty 的 Geyer表示，在殖民管道遭受勒索软件攻击两年后，关键基础设施所有者仍然没有做好防范勒索软件的准备，这通常是因为经济效益不高。 他说：“某些领域的自由市场力量无法从经济上推动社会中受保护程度最低/最脆弱的方面发生变化。” “这是整个政府介入的机会，不仅要推动监管，还要推动资金投入，以帮助确保许多在网络方面投资不足的实体——我们所说的‘目标富裕，网络贫穷’部门得到适当的保护与辩护。” NCC 集团的阿罗史密斯表示，公司内部不需要拥有深厚的专业知识，但应该专注于可见性、规划和事件响应练习。 “为 IT 和 OT 制定强大的事件响应计划，然后排练和演练该计划，以便所有利益相关者都明确角色和职责，”他说。   转自安全客，原文链接：https://www.anquanke.com/post/id/291764 封面来源于网络，如有侵权请联系删除

Austal USA会同意勒索者的条件吗？ 美国国防部 ( DoD ) 和美国国土安全部 ( DHS ) 的造船商和承包商 Austal USA 已确认其是网络攻击的受害者，目前正在调查该事件。 Austal 总部位于澳大利亚，专注于高性能铝制船舶。其美国分公司 Austal USA 参与了多个大型项目。其中包括向美国海军交付独立级濒海战斗舰，该舰长127米，每艘造价3.6亿美元。此外，奥斯塔现有一份价值33亿美元的合同，为美国海岸警卫队建造11艘巡逻艇。 12月6日，敲诈勒索黑客组织Hunters International表示，它已渗透到Austal USA的系统，并在其网站上发布了一些信息作为入侵的证据。 在回应置评请求时，公司发言人证实了此次攻击： “我们最近发现我们系统的安全性受到了损害。我们能够迅速消除该事件的后果。 包括联邦调查局 (FBI) 和海军犯罪调查局 (NCIS) 在内的监管机构立即收到有关此问题的通知，并正在帮助我们确定攻击者访问的原因和信息量。 没有个人信息或任何绝密数据被盗。我们正在与当局密切合作，并将在获得新信息后继续向受该事件影响的所有相关方通报最新情况。 奥斯塔美国公司认识到事件的严重性以及我们作为国防部和国土安全部承包商所承担的特殊责任。我们的调查正在进行中，我们将努力彻底调查这一事件，以防止将来再次发生这种情况。” 猎人国际威胁将在未来几天公布更多从奥斯塔系统窃取的数据，包括合规声明、招聘信息、财务数据和证书。 奥斯塔美国公司没有透露黑客是否获得了工程图和有关美国海军独特技术的其他信息。 猎人国际是一个全新的敲诈勒索组织。一些专家认为，这是对最近停止运营的 Hive 团伙的“品牌重塑”。该理论基于对与 Hive 代码可疑相似的恶意软件代码的分析。 该组织否认所有指控，声称他们只是获得了勒索软件源代码。据攻击者称，加密并不是他们攻击的最终目标——主要目的是窃取数据并将其用作向受害者勒索赎金的手段。 该组织的泄密网站目前包含来自世界不同行业和地区的十几名受害者。   转自安全客，原文链接：https://www.anquanke.com/post/id/291741 封面来源于网络，如有侵权请联系删除

Twisted Spider 组织积极使用 DanaBot 木马作为危险恶意软件的传播渠道。 微软报告了新一波 CACTUS 勒索软件攻击，利用恶意广告部署DanaBot工具作为初始访问媒介。 就在几天前，Arctic Wolf专家已经研究了一次类似的活动，该活动利用Qlik Sense 商业智能平台中的漏洞渗透目标环境并用 CACTUS 勒索软件感染它们，但这些网络事件的差异比乍看起来要多。一眼。 Microsoft 威胁情报专家指出，DanaBot 恶意软件是一种多功能工具，可以充当信息窃取程序和后门，其感染导致了黑客 Storm-0216（Twisted Spider，UNC2198）的积极行动。结果，这导致了 CACTUS 勒索软件的传播，该公司在 禁止平台上的 一系列出版物中报告了该勒索软件。 DanaBot 在很多方面与 Emotet、TrickBot、 QakBot和 IcedID 等工具相似。此外，正如Mandiant在 2021 年 2 月详细介绍 的那样，Storm-0216 组织此前曾被观察到使用 IcedID 部署 Maze 和 Egregor 等勒索软件系列 。 据微软称，在审查的活动中，攻击者最初还使用了 QakBot 提供的初始访问权限。向 DanaBot 的运营过渡可能与 2023 年 8 月的协调执法行动有关，该行动 导致 QakBot 基础设施被拆除。 使用 DanaBot 收集的凭据通常会传输到攻击者的服务器，然后通过RDP进行横向移动，最后进行数据加密。 新一波 Storm-0216 网络攻击展示了攻击者在规避安全措施和使用 DanaBot 等新工具方面的持续创造力。公司需要定期更新其安全系统并掌握最新威胁以保护其数据。 保持警惕并采取积极主动的网络安全方法是应对日益复杂的网络犯罪分子攻击的唯一可靠方法。   转自安全客，原文链接：https://www.anquanke.com/post/id/291647 封面来源于网络，如有侵权请联系删除

美国国家信用合作社管理局发言人称，由于技术提供商Ongoing Operations遭勒索软件攻击，大约有60家信用合作社面临各种程度的服务中断。 有消息称：大约60家信用合作社因行业技术提供商遭受勒索软件攻击面临服务中断。 美国国家信用合作社管理局（NCUA）是联邦层面监管信用合作社的机构。该机构发言人Joseph Adamoli表示，此次勒索软件攻击对象是云服务提供商Ongoing Operations，该公司隶属信用合作社技术公司Trellance。 大量信用社出现不同程度服务中断 NCUA收到的事故报告表明，Ongoing Operations于11月26日向多家信用合作社发送消息，称公司遭到勒索软件攻击。 Ongoing Operations告知受影响的信用合作社，“发现此情况后，我们立即采取行动处理和调查此事件，包括聘请第三方专家协助确定事件的性质和范围。我们还通知了联邦执法部门。” “目前，我们仍在展开调查，我们将继续提供必要的更新。请注意，目前我们没有掌握任何信息被滥用的证据。经过极其深重的考虑，我们决定发布通知，保持对此事件的关注。” Adamoli确认，由于第三方服务提供商遭勒索软件攻击，目前大约有60家信用合作社面临各种程度的服务中断。 他说，“NCUA正在与受影响的信用合作社进行协调。受影响的联邦保险信用合作社的会员存款由国家信用合作社股份保险基金承保，金额最高可达25万美元。” 他补充说，NCUA已经向美国财政部、联邦调查局和网络安全与基础设施安全局通报此事件。Trellance未回应置评请求。 事件影响外溢到更大范围 此次攻击影响较大，外溢到其他信用合作社技术提供商，包括为信用合作社提供数据处理解决方案的公司FedComp。 FedComp未回应置评请求，但其网站上的通知显示，“FedComp数据中心遇到技术困难，全国性服务中断。” 声明提到，“我们无法提供服务，恢复时间未知。Trellance仍在努力解决问题。我们暂不提供电子邮件支持，技术支持电话依旧保持畅通。” 山谷联邦信用合作社（MVFCU）也受到影响。这家信用合作社发布通知，警告客户他们正在应对严重的服务中断。 这家位于纽约州佩鲁的信用合作社为克林顿县/埃塞克斯县数千人提供服务。该合作社表示，他们的数据处理商FedComp已转达Trellance遭受勒索软件攻击的消息。 山谷联邦信用合作社首席执行官Maggie Pope给会员致信，写道，“Trellance表示我们的会员信息并未受到此次事件影响。” “由于此次攻击事件，Trellance必须迁移到新的服务器系统。这一过程涉及多个步骤，需要一些时间。这不仅仅是山谷联邦信用合作社的问题，而是全国性问题。Trellance和FedComp一直在全天候工作，帮助我们以及其他遇到同样问题的美国信用合作社重新上线系统。” 山谷联邦信用合作社表示，计划承担与此事件相关的任何费用。 针对信用社等攻击数量激增 今年8月，NCUA警告称，他们注意到针对信用合作社、信用合作社服务组织以及其他金融服务产品第三方供应商的网络攻击正在增加。 今年早些时候，多家信用合作社受到了针对MOVEit文件传输软件的网络攻击。过去三年，数十家组织向缅因州监管机构提交了数据泄露报告。 2022年，RansomHouse勒索团伙将Jefferson信用合作社列入受害者名单，而Envision信用合作社在去年宣布遭到LockBit勒索软件团伙的网络攻击。Ardent信用合作社在2020年也遭遇了一起事件。 今年2月，NCUA批准了新规定，要求联邦保险信用合作社在网络攻击发生后72小时内通知该机构。新规定于9月1日生效。 10月，NCUA主席Todd Harper表示，规定生效后30天内，NCUA收到了146份事故报告——达到了该机构过去一年内才能收到的报告数量。 他称赞信用合作社积极努力寻求政府机构帮助，提升网络安全。但是，他也指出NCUA对“整个信用合作社系统的分析能力仍然有限”。 他说，“这是因为信用合作社服务组织和信用合作社第三方服务提供商的监管水平不如银行供应商。毕竟，NCUA没有直接检查或监督这些实体的法定权限。” “利益相关者必须认识到，由于NCUA没有对供应商的监管权限，带来了切实风险，风险在不断扩大，影响我们所有人。” 他补充说，向NCUA报告的网络事件中超过60%涉及第三方服务提供商和信用合作社服务组织。 他表示，“这个监管盲点在不断扩大。在它被解决之前，数千家联邦保险信用合作社、数以千万计信用合作社消费者以及数万亿美元的资产都面临极高风险。”   转自安全内参，原文链接：https://www.secrss.com/articles/61388 封面来源于网络，如有侵权请联系删除

Security Affairs 网站消息，Black Basta 勒索软件团伙自 2022 年初“出道”以来，成功“感染”了 300 多个受害目标，累计收获赎金超过 1.07 亿美元。 2022 年 4 月，一个名为 Black Basta 的勒索软件团伙开始活跃在互联网空间，与其它勒索软件组织一样，该组织主要通过实施双重勒索攻击，获取赎金。从 Elliptic 和 Corvus Insurance 发布的联合研究结果来看， Black Basta 自推出以来，累计“获取”的支付比特币赎金至少达到 1.07 亿美元，感染了超过 329 名受害者，其中包括 ABB、Capita、Dish Network 和 Rheinmetall。 值得注意的是，网络安全研究人员通过分析区块链交易，发现 Black Basta 与 Conti 勒索软件团伙之间貌似存在着明显的联系。2022 年，Conti 勒索软件团伙停止了攻击活动，差不多同一时间 Black Basta 组织开始活跃。 网络安全专家还透露 Black Basta 主要通过俄罗斯加密货币交易所 Garantex 洗白非法资金。Elliptic 报告中还指出， Black Basta 勒索软件团伙成功攻击了全球 329 多个组织机构，并在 2022-2023 年成为受害者数量第四多的勒索软件，分析表明，自 2022 年初以来， Black Basta 已经收到了至少 1.07 亿美元的赎金，涉及 90 多名受害者。其中，收到的最大赎金为 900 万美元，其中至少有 18 笔赎金超过了 100 万美元，平均赎金为 120 万美元。 从报告来看， Black Basta 勒索软件团伙的大多数受害者从事制造业、工程建筑业和零售业。区域分布方面，61.9% 的受害者在美国，15.8% 在德国，5.9% 在加拿大。 值得一提的是，部分受害者支付的赎金由 Conti 和 Black Basta 团伙发送给了 Qakbot 恶意软件幕后团伙。 Black Basta 与其它恶意软件存在联系 今年 8 月，美国联邦调查局宣布，在一次名为 “猎鸭行动 “的国际执法行动中，捣毁 了Qakbot 僵尸网络。（Qakbot 也被称为 QBot、QuackBot 和 Pinkslipbot，是一种自 2008 年以来一直活跃的信息窃取恶意软件，该恶意软件通过恶意垃圾邮件活动进行传播。） Cisco Talos 警告称，尽管采取了执法行动，但 QakBot 背后的威胁攻击者仍然十分活跃。研究人员表示，自 2023 年 8 月初以来，Qakbot 机器人背后的威胁攻击者一直在开展网络攻击活动，旨在传播 Knight 勒索软件和 Remcos RAT。 Black Basta 勒索软件团伙大约有 10% 的赎金被转给了 Qakbot，这表明，在 Qakbot 参与向受害者提供访问权限的情况下，大约 10% 的赎金被转给了 Qakbot。Black Basta 背后的威胁攻击者则平均拿走了 14% 的赎金。Elliptic 表示，这种分赃模式也是勒索软件即服务操作中常见的典型分账方式。   转自Freebuf，原文链接：https://www.freebuf.com/news/385580.html 封面来源于网络，如有侵权请联系删除

有消息称LockBit 3.0勒索软件团伙对埃及最大的电子支付提供商Fawry发动攻击。他们不仅成功加密了文件，还声称窃取了数据。 11月8日，LockBit在其专用泄漏网站发布了Fawry相关数据样本，将这次入侵行动公之于众。次日，网络安全监控平台Hackmanac声称，此次LockBit 3.0勒索软件攻击窃取了Fawry客户的个人详细信息，导致多家银，行建议客户删除Fawry平台上的账户信息。 公司最初否认遭受攻击 阿拉伯非洲国际银行证实Fawry遭受了网络攻击，客户个人身份信息（PII）可能已经泄露。 该银行表示，已立即采取措施阻止访问，但入侵活动仍对客户数据的安全构成重大威胁。该银行还敦促员工从系统中删除在Fawry上注册的任何卡号，并在后续几周内密切监控交易以防潜在问题。 然而，Fawry最初发布了一份正式声明，称埃及境内没有发生任何网络入侵行为，强调其所有平台和服务都有高效、安全的电子防御措施。 Fawry声明发布之际，许多客户发现该公司网站难以访问，总是弹出服务器错误消息，也无法通过移动应用程序登录账户。 Fawry的声明称：“一些人在社交媒体上散布谣言。他们或宣扬我们遭到攻击，或表示我们的信息系统被入侵。本公司否认这些谣言。公司立即对服务器进行实时调查。根据测试结果，我们确认为客户和银行提供服务的服务器没有被破坏。公司保证客户的任何财务或银行数据都未泄露，并按照全球监管机构要求采用了最高的网络安全标准。” 确认测试环境用户个人数据遭泄露 11月26日，Fawry再次针对此次攻击发表声明：“Fawry仍然相信受攻击数据不会影响平台上的财务交易，但公司认为（泄露）数据可能包含一些客户的个人详细信息，这些信息曾作为系统迁移项目的一部分存在测试平台上。” Fawry还确认了泄露数据的细节，包括地址、电话号码和出生日期。 11月9日，知名网络安全公司Group-IB被请来调查此事件。三天后，他们“在Fawry所有服务器基础设施上部署了新的网络安全解决方案”，并宣布“11月23日彻底清除了生产和测试环境中LockBit的存在痕迹”。 网络安全公司StrikeReady的首席产品官兼联合创始人Anurag Gurtu表示，Fawry的网络攻击之所以引人注目，一大原因是入侵发生在Fawry网络的一个隔离部分。他认为，Fawry“积极主动”地对入侵事件做出响应，该公司专门聘请了网络安全公司调查此次攻击。Gurtu建议其他金融服务实体考虑此事件的影响，并采取“预防措施，以防潜在的数据误用”。 但是，纽约州立大学宾汉姆顿分校管理学院副教授Sumatra Sarkar批评Group-IB和Fawry发布的“信息过于有限”，导致“难以评估对事件的响应是否到位”。   转自安全内参，原文链接：https://www.secrss.com/articles/61307 封面来源于网络，如有侵权请联系删除

区块链分析公司 Elliptic 的一份新报告显示，自 2022 年初以来，受害者组织已向 Black Basta 勒索软件组织支付了超过 1 亿美元的赎金。 Black Basta至少从 2022 年 4 月开始活跃，迄今为止已造成 300 多次感染，成为受害者数量第四大的活跃勒索软件。据信 Black Basta 与臭名昭著的 Conti 勒索软件组织有关，该组织于去年关闭了商店。 Black Basta 在出现后的几个月内就成为了一个主要威胁，它与其他网络犯罪团伙合作并采用双重勒索策略：除了加密文件外，该组织还窃取受害者的数据，并威胁要在网络上发布数据，除非支付赎金。有薪酬的。 迄今为止，该组织已声称对数起备受瞩目的入侵事件负责，其中包括英国业务流程外包和专业服务公司Capita、瑞士工业巨头ABB、法国航空航天和安全巨头泰雷兹、德国汽车零部件和国防公司莱茵金属，以及加拿大肉类巨头枫叶食品公司。 通过分析区块链交易，除了之前观察到的受害者学、行为和网站外观方面的相似性之外，Elliptic 还发现了更多 Black Basta 与 Conti 有关的证据。 据观察，Black Basta 的目标是各个行业的组织，其中大多数受害者来自建筑业（10% 的受害者）、律师事务所（4%）和房地产（3%）行业。美国企业占该组织受害者的 61.9%，其次是德国企业，占 15.8%。 Elliptic 认为 Black Basta 已收到超过 1 亿美元的赎金，该组织约 35% 的受害者已支付赎金。 “我们的分析表明，自 2022 年初以来，Black Basta 已收到至少 1.07 亿美元的赎金，涉及 90 多名受害者。收到的最大一笔赎金为 900 万美元，其中至少 18 笔赎金超过 100 万美元。平均赎金金额为 120 万美元，”Elliptic 说。 该公司指出，某些付款可能尚未显示，特别是与最近的受害者有关的付款，而其他付款可能与 Conti 勒索软件攻击有关，由于活动重叠而难以区分。 Elliptic 发现，部分收益被转发给 Qakbot 恶意软件运营商，这些运营商一直在提供对受害者网络的访问。 “Black Basta 运营商似乎平均收取 14% 的赎金。这是勒索软件即服务操作中常见的典型分裂，”Elliptic 说。     转自安全客，原文链接：https://www.anquanke.com/post/id/291593 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： Rhysida 勒索软件组织声称入侵了伦敦爱德华七世国王医院，并将其添加到其Tor 泄露网站的受害者名单中。 爱德华七世国王医院是一家私立医院，位于伦敦市中心马里波恩区的博蒙特街。它是一家领先的急性和专科医疗保健提供商，专注于肌肉骨骼健康、泌尿科、女性健康和消化系统健康。该医院有着悠久的历史，可以追溯到1899年，当时由威尔士亲王(后来的爱德华七世国王)创建，为工人阶级提供高质量的医疗服务。 该组织声称窃取了包括王室在内的大量患者和员工的数据，并公布了被盗文件的图片作为黑客攻击的证据，泄露的图像包括医疗报告、登记表、X光片、医疗处方、医疗报告等等。 “独特的文件呈现在您的眼前! 来自王室的数据! 大量的病人和员工数据。 一次性出售!!” 泄露网站上的公告写道 该勒索软件组织声称窃取了大量“敏感数据”，并以10比特币的价格拍卖。像往常一样，Rhysida 计划将被盗数据出售给一个单一的买家。该团伙将在公告发布后的7天内公布相关数据。 最近，Rhysida勒索软件团伙还将大英图书馆和中国能源工程公司添加到其 Tor 泄露网站的受害者名单中。 Rhysida 勒索软件组织自2023年5月以来一直活跃。根据该团伙的 Tor 泄露网站，至少有 62 家公司是这次行动的受害者，他们袭击了多个行业的组织，包括教育、医疗、制造、信息技术和政府部门。 上周，FBI 和 CISA 发布了一份联合网络安全咨询，对 Rhysida 勒索软件攻击发出警告。该咨询是正在进行的#StopRansomware 工作的一部分，宣传有关与勒索软件组织相关的战术、技术和程序(TTPs)以及妥协指标(ioc)的信息。 有开源报告详细描述了 Vice Society (DEV-0832)活动与观察到的部署 Rhysida 勒索软件的黑客之间的相似之处。这份联合报告写道：“开源报告已经证实了观察到的 Rhysida 组织以勒索软件即服务(RaaS)的方式运作的实例，其中勒索软件工具和基础设施以利润分享模式出租，支付的赎金会在该组织和附属机构之间分配。” Rhysida 黑客利用面向外部的远程服务(例如 VPN、RDP)来获得对目标网络的初始访问并保持持久性。该组织依靠被破坏的凭据对内部 VPN 接入点进行身份验证。根据该报告，黑客利用微软 Netlogon 远程协议中的 Zerologon (CVE-2020-1472)进行网络钓鱼尝试。该组织依靠现有的技术，如本地(内置于操作系统中)网络管理工具来执行恶意操作。     Hackernews 编译，转载请注明出处 消息来源：securityaffairs，译者：Serene

据安全运营公司 Arctic Wolf 称，影响商业分析公司 Qlik 产品的三个漏洞可能已在勒索软件攻击中被利用。 该网络安全公司报告称，发现攻击似乎利用 CVE-2023-41266、CVE-2023-41265 和 CVE-2023-48365 进行初始访问，然后攻击者尝试在受感染的系统上部署 Cactus 勒索软件。 这些被利用的漏洞是由 Praetorian 发现的，并在 Qlik 宣布提供补丁后不久于 8 月和9 月披露了详细信息。 这些被评为“严重”和“高严重性”的安全漏洞影响了数据分析解决方案 Qlik Sense Enterprise for Windows。CVE-2023-41266 是一个路径遍历问题，允许未经身份验证的远程攻击者生成匿名会话并向未经授权的端点发送 HTTP 请求。 CVE-2023-41265 是一个 HTTP 隧道缺陷，可被利用来提升权限并在托管存储库应用程序的后端服务器上执行 HTTP 请求。 结合起来，未经身份验证的远程黑客可以利用这两个漏洞来执行任意代码并向 Qlik Sense 应用程序添加新的管理员用户。 在 Praetorian 研究人员成功绕过CVE-2023-41265补丁后，分配了 CVE-2023-48365。 虽然 Qlik 针对这些漏洞的公告目前表示没有证据表明存在野外利用的情况，但 Arctic Wolf 声称已经看到明显利用这些漏洞进行远程代码执行的攻击。 在获得对目标组织系统的初步访问权限后，网络犯罪分子被发现卸载安全软件、更改管理员帐户密码、安装远程访问软件、使用 RDP 进行横向移动以及窃取数据。在某些情况下，攻击者试图部署 Cactus 勒索软件。 “根据在所有入侵中观察到的显着重叠，我们将所有描述的攻击归因于同一威胁行为者，该威胁行为者负责部署 Cactus 勒索软件，”Arctic Wolf 说。 Qlik 声称拥有超过 40,000 名客户，这使得其产品中的漏洞对黑客来说非常有价值。 据 ZoomEye 称，Qlik Sense 有超过 17,000 个暴露在互联网上的实例，主要分布在美国，其次是巴西和几个欧洲国家。 Cactus 勒索软件自2023 年 3 月以来一直活跃，已针对多个主要组织。据了解，网络犯罪分子会利用 VPN 设备中的漏洞进行初始访问。 转自安全客，原文链接：https://www.anquanke.com/post/id/291576 封面来源于网络，如有侵权请联系删除

11月24日上午，黑客使用勒索软件攻击了流行在线角色扮演游戏《 Ethyryal: Echoes of Yore》的服务器 。此次事件导致约17000个游戏账号数据丢失。  Ethyrial: Echoes of Yore 是一款由独立工作室 Gellyberry Studios 开发的免费大型多人在线角色扮演游戏。它在Steam平台上提供早期版本，也就是说，它正在积极开发中，并在社区支持的情况下创建。  攻击者对服务器和本地备份介质上的所有文件进行了完全加密，并要求支付比特币赎金以获得解密密钥。开发人员决定不支付赎金，而是手动恢复所有系统 – 支付赎金后犯罪分子拒绝遵守条件的风险太大。  大多数帐户与角色、收集的物品和成就一起被摧毁。在他们的官方 Discord 频道中， 业主们承诺将尽一切可能将进度返还给玩家，并给予他们一只“专属宠物”作为补偿。  该工作室计划加强安全措施——更频繁地离线备份数据库、限制对服务器的远程访问、仅允许来自特定范围IP地址的连接。  尽管之前也曾出现过针对游戏开发商的攻击案例，但这并没有像以前那样频繁地影响到用户，也没有达到如此规模。网络安全专家再次强调在在线服务和游戏平台中妥善保护个人数据的重要性。  最引人注目的勒索软件事件之一是 2021 年 2 月对 流行游戏《赛博朋克 2077》和《巫师 3》的开发商CD PROJEKT RED的攻击 。HelloKitty 组织对该事件负责。  2023 年 1 月， 《英雄联盟》和《Valorant》项目的创建者Riot Games成为勒索软件的受害者。黑客索要 1000 万美元赎金，并威胁否则将公布被盗的源代码。 转自安全客，原文链接：https://www.anquanke.com/post/id/291550 封面来源于网络，如有侵权请联系删除