又一例勒索攻击严重扰乱医疗服务的案例，此次事件的特殊之处在于，美国CISA曾联系Ardent公司警告存在恶意活动，但此时为时已晚，该公司已经中招。 有消息称：由于遭受网络攻击，美国得克萨斯州东部地区多家医院在感恩节当天被迫转移救护车。这次网络攻击影响范围广泛，远超初期判断。医院代表表示，这次攻击还迫使新泽西州、新墨西哥州和俄克拉荷马州的医院转移救护车。 所有受影响医院都由Ardent健康服务公司全资或部分拥有。该公司总部位于田纳西州，在至少五个州拥有二十多家医院。 目前，部分医院无法接收救护车，包括新墨西哥州阿尔伯克基市中心一家拥有263张床位的医院、新泽西州蒙特克莱尔一家拥有365张床位的医院，以及得克萨斯州东部地区服务数千名患者的几家医院。 勒索软件严重扰乱医疗服务 勒索软件攻击曾在新冠疫情期间严重扰乱了医疗服务，本次网络攻击提供了新的例证。 本周一，Ardent健康服务公司发表声明，确认勒索软件攻击导致服务中断，并称其下属医院“在系统恢复在线之前，将部分急诊患者转移到其他地区医院”。医院也被迫重新安排非紧急手术日程。公司还表示，“下属医院、急诊室和诊所将继续提供安全有效的患者护理。” 一位在受影响的新泽西州医院工作的护士告诉CNN，当医院决定因黑客事件关闭网络时，工作人员赶紧“尽可能多地打印出患者信息”。因为医院不允许工作人员向记者透露情况，她选择匿名发言，“我们所有工作都在纸上进行。” 这位护士表示，由于不能使用计算机，只能依赖纸追踪患者化验等工作进度，“一切都慢了很多。我们每年都会进行几次这样的演练，但效果还是很差。” Chiara Marababol是受黑客攻击影响的两家新泽西州医院（山腰医疗中心和帕斯卡克谷医疗中心）的发言人。她表示，这些医院会继续为患者提供急诊护理。她在一封电子邮件中告诉CNN，“但是，在我们解决系统问题期间，我们要求当地急救系统暂时将需要紧急护理的患者转移到其他地区。” 美国联邦政府曾联系并警告 知情人士告诉CNN，在感恩节前一天（11月22日），美国联邦网络安全与基础设施安全局（CISA）官员联系了Ardent健康服务公司，警告该公司计算机系统受到恶意网络活动影响。 Ardent健康服务公司发言人Will Roberts确认，CISA官员曾与该公司联系，“他们提醒我们系统中存在可疑活动。” Will Roberts告诉CNN，但是，CISA发出警告之前，Ardent健康服务公司已经在11月20日检测到计算机系统出现“异常”，“我们已经聘请了更多外部网络安全人士展开调查”。感恩节当天，公司意识到他们遭受的是勒索软件攻击。 当被问及上述沟通情况，CISA发言人建议记者直接联系Ardent健康服务公司。 CISA于今年启动一项计划，意在警告关键行业的组织，如果他们不采取防御措施，就将面临勒索软件攻击的风险。向Ardent健康服务公司发出预警正是这一计划的一部分。CISA官员声称，这项计划挫败了多次勒索软件攻击。 Ardent健康服务公司遭遇黑客攻击造成了广泛的影响。这表明如果母公司或关键服务提供商受到网络攻击，会对医院等关键基础设施运营商产生连锁影响。 主要位于东欧或俄罗斯的网络犯罪分子在整个新冠疫情期间多次扰乱美国医疗组织，锁定计算机并索要赎金。许多黑客攻击针对的都是设备不足以应对威胁的小型健康诊所。 仅在过去九个月，其他网络攻击已经迫使康涅狄格州、佛罗里达州、爱达荷州和宾夕法尼亚州的医院转移救护车。 CISA专家在2021年的一项研究中发现，勒索软件攻击可能会阻碍患者护理，并让医院面临数周甚至数月的资源紧张。   转自安全内参，原文链接https://mp.weixin.qq.com/s/O3pDrhYsQ8t5-BQMBQwWsQ 封面来源于网络，如有侵权请联系删除

麒麟勒索软件组织声称对全球最大的汽车零部件供应商之一延锋汽车内饰（延锋）的网络攻击负责。 延锋是一家专注于内饰零部件的中国汽车零部件开发商和制造商，在全球 240 个地点拥有超过 57,000 名员工。 该公司向通用汽车、大众集团、福特、Stellantis（菲亚特、克莱斯勒、吉普、道奇）、宝马、戴姆勒、丰田、本田、日产和上汽集团销售内饰零部件。该公司构成了这些汽车制造商供应链的重要组成部分。 本月早些时候，有 报道 称延锋汽车受到直接影响Stellantis的网络攻击，迫使该汽车公司停止其北美工厂的生产。 这家中国公司仍未回应有关此事的置评询问。然而，直到昨天它的主要网站才重新上线，但没有任何有关中断的声明。 Stellantis 告诉 BleepingComputer，由于外部供应商的“问题”，他们遭受了干扰。 Stellantis 在一份声明中表示：“由于外部供应商的问题，Stellantis 的一些北美组装工厂的生产在 11 月 13 日这一周中断。所有受影响工厂已于 11 月 16 日全面恢复生产。” 麒麟声称对这次袭击负责 昨天，又名“Agenda”的 Qilin 勒索软件组织声称对 Yanfeng 进行了攻击，并将其添加到其 Tor 数据泄露勒索网站中。 威胁行为者发布了多个样本，以证明他们涉嫌访问延锋系统和文件，包括财务文件、保密协议、报价文件、技术数据表和内部报告。 延锋被列入麒麟勒索门户网站 麒麟威胁要在未来几天内公布其掌握的所有数据，但没有设定具体的截止日期。 Qilin 勒索软件团伙于 2022 年 8 月底推出了名为“Agenda”的 RaaS（勒索软件即服务）平台。 2023 年，威胁行为者将他们的勒索软件重新命名为“Qilin”，他们今天使用的名称是“Qilin”。 麒麟勒索信 威胁行为者针对所有行业的公司，许多攻击都在流程终止和文件扩展名更改中进行定制，以最大限度地提高影响。 Group-IB 成功渗透了 Qilin 的运营，并于 2023 年 5 月发布了一份报告，分享其收集的情报，包括有关该团伙招募、管理面板功能和目标排除的详细信息。   转自安全客，原文链接https://www.anquanke.com/post/id/291533 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站消息，七个国家的执法机构与欧洲刑警组织和欧洲司法组织共同发起了一次联合执法行动，成功在乌克兰境内逮捕了某勒索软件组织的核心成员。 据悉，这些网络犯罪分子使用 LockerGoga、MegaCortex、HIVE 和 Dharma 等勒索软件发动网络攻击活动，导致大量企业运营瘫痪。欧洲司法组织称，在入侵受害目标系统后，该组织会偷偷潜伏起来（潜伏时间有时长达数月）部署不同类型的勒索软件，如 LockerGoga、MegaCortex、HIVE 或 Dharma，此后会向受害者“发送”一则赎金通知，要求受害者支付比特币，以换取解密密钥。 从分析结果发现，威胁攻击者通过在暴力攻击和 SQL 注入攻击中窃取受害目标的用户凭证，以及使用带有恶意附件的网络钓鱼电子邮件访问目标网络，一旦成功进入，就会立刻使用 TrickBot 恶意软件、Cobalt Strike 和 PowerShell Empire 等工具横向移动并入侵到其他系统，然后再触发先前部署的勒索软件有效载荷。 截至案发前，该勒索软件团伙已经加密了大型企业的 250 多台服务器，造成的损失超过数亿欧元。值得一提的是，犯罪网络组织内分工十分明确，一些成员主要担任破坏受害目标 IT 网络的“重任”，一些成员主要“帮助”受害者支付加密货币，以解密被加密的文件。 乌克兰勒索软件团伙被捕 鉴于该团伙带来的破坏力，来自挪威、法国、德国和美国的 20 多名调查人员协助乌克兰国家警察在基辅开展调查。11 月 21 日，通过对基辅、切尔卡瑟、罗夫诺和文尼察 30 个地点的协同突袭，逮捕了该团伙 32 岁的主谋，并抓获了四名同伙。 欧洲刑警组织还在荷兰设立了一个虚拟指挥中心，以处理在入室搜查中缴获的数据。最终，乌克兰国家警察局网络警察表示，在 TOR 特别小组的支持下，执法人员在基辅地区以及切尔卡瑟、罗夫诺和文尼察地区对嫌疑人的住宅和汽车进行了 30 多次授权搜查，没收了大量的计算机设备、汽车、银行卡和 SIM 卡、’草稿’、数十种电子媒体和其他非法活动证据和加密货币资产。 值得注意的是，此次抓捕行动“继承了” 2021 年的某执法行动，当时警方拘留了12名嫌疑人，这些人大都来自同一勒索软件团伙的成员，该团伙与针对 71 个国家 1800 名受害者的攻击有关。正如两年前调查显示的结果一样，威胁攻击者部署了 LockerGoga、MegaCortex 和 Dharma 勒索软件，还在攻击中使用了Trickbot 等恶意软件和 Cobalt Strike 等工具。 欧洲刑警组织和挪威相关机构接下来的工作重点是是分析 2021 年在乌克兰查获的设备数据，以期帮助确定近期在基辅逮捕的其他嫌疑人的身份。 LockerGoga 和 MegaCortex 勒索软件免费解密程序 据悉，联合执法行动由法国当局于 2019 年 9 月发起，重点是在挪威、法国、英国和乌克兰组成的联合调查小组（JIT）的帮助下，在欧洲司法组织的财政支持下，与荷兰、德国、瑞士和美国当局合作，找到乌克兰境内的威胁攻击者并将其绳之以法。参与的执法机构名单如下： 挪威：国家刑事调查局（Kripos） 法国：巴黎检察官办公室、国家警察局（Police Nationale – OCLCTIC） 荷兰：国家警察局（Politie）、国家检察院（Landelijk Parket, Openbaar Ministerie） 乌克兰：总检察长办公室 (Офіс Генерального прокурора), 乌克兰国家警察局 (Національна поліція України) 德国：斯图加特检察官办公室、罗伊特林根警察总部（Polizeipräsidium Reutlingen）CID Esslingen 瑞士：瑞士联邦警察局（fedpol）、巴塞尔-兰茨查特警察局（Polizei Basel-Landschaft）、苏黎世州检察官办公室、苏黎世州警察局 美国：美国：美国特勤局 (USSS)、联邦调查局 (FBI) 欧洲刑警组织：欧洲网络犯罪中心 (EC3) 欧洲司法组织。 欧洲刑警组织指出，来自七个国家的执法和司法机构与欧洲刑警组织和欧洲司法组织联手，在乌克兰摧毁并逮捕了勒索软件攻击幕后的“元凶”。此外，通过法证分析，瑞士当局还与 No More Ransom 合作伙伴和 Bitdefender 合作开发了 LockerGoga 和 MegaCortex 勒索软件变种的解密工具。   转自Freebuf，原文链接https://www.freebuf.com/news/385165.html 封面来源于网络，如有侵权请联系删除

Security Affairs 网站披露，美国汽车配件零售商巨头 AutoZone 称其成为了 Clop MOVEit 文件传输网络攻击的受害者，导致大量数据泄露。 AutoZone 是美国最大的汽车零配件售后市场经销商之一，在美国、墨西哥、波多黎各、巴西和美属维尔京群岛经营着 7140 家门店。遭受网络攻击后，AutoZone 立刻通知了 184995 名民众，大规模黑客攻击活动泄露了他们的个人信息。 经调查研究，AutoZone 发现一个未经授权的第三方利用了与 MOVEit 相关的漏洞，并从支持 MOVEit 应用程序的 AutoZone 系统中“过滤”了某些数据。目前，相关机构已经对受影响的系统和相关数据进行了分析，以确定用户的信息是否受到了潜在影响。 2023 年 8 月 15 日左右，AutoZone 确定有威胁攻击者利用 MOVEit 应用程序中的漏洞盗取了其系统中的大量数据信息，虽然后来 AutoZon 公司没有发现任何滥用被暴露的个人信息的情况，但还是强烈建议用户对欺诈和身份盗窃时刻保持警惕。 针对此次数据泄露事件，AutoZon 公司已经采取了技术措施来解决该漏洞，其中主要包括暂时禁用 MOVEit 应用程序、重建受影响的系统以及修补漏洞，以及为受影响的客户提供免费的信用监控和身份保护服务。 Cl0p 勒索软件组织滥用 MOVEit 漏洞 今年 8 月，网络安全公司 Emsisoft 分享了 Cl0p 勒索软件组织如何滥用 MOVEit Transfer 文件传输平台漏洞的具体细节。网络安全专家表示，此次攻击影响了约 1000 个组织和 60144069 名个人，Cl0p 勒索软件团伙利用零日漏洞 CVE-2023-34362 成功入侵了许多实体组织，并盗取大量数据信息。 以下是受影响人数最多的组织名单： Emsisoft 在发布的报告指出，已知的受害者中美国机构占 83.9%，德国占 3.6%，加拿大占 2.6%，英国占 2.1%。受影响最严重的行业是金融与专业服务和教育，分别占事件总数的 24.3% 和 26.0%。值得一提的是，网络安全公司 Resecurity 的研究人员在发布的报告中证实了 Emsisoft 分享的数据，截至 8 月 23 日，Resecurity 报告声称 MOVEit 活动已经袭击了 963 家公共和私营的实体组织。 此外，Resecurity 报告指出受影响最大的行业是金融、专业服务和教育，这些行业合计占报告受害者的48% 以上，Cl0p 预计将产生 750 万至 1 亿美元赎金收入。   转自Freebuf，原文链接：https://www.freebuf.com/news/384758.html 封面来源于网络，如有侵权请联系删除

大英图书馆是英国国家图书馆，也是世界上最大的图书馆之一，2023年10 月下旬，大英图书馆首次对外披露，它正在经历一场未具体说明的网络安全事件，导致其位于伦敦和约克郡的网站出现“重大技术中断”，进而导致其网站、电话线路和现场服务（例如访客 Wi-Fi）瘫痪，部分中断的服务至今仍没有完全恢复。 英国当地时间11月21日，大英图书馆正式发布事件声明，确认了此次中断是由“以此类犯罪活动闻名的组织”发起的勒索软件攻击造成的。该组织表示，目前已发现一些内部数据被非法窃取并泄露，这些数据“可能来自图书馆的内部人力资源档案系统”。 据新闻网站 TechCrunch 报道，大英图书馆已被列入 Rhysida 勒索软件团伙的暗网泄露网站名单，该团伙声称对此次网络攻击负责，并威胁以75万美元等值比特币的价格出售所窃取的数据。 目前，大英图书馆并未透露它是如何被入侵的，以及有多少数据被盗，也没有明确表示是否会满足攻击者的赎金要求。但是大英图书馆在最新声明中指出，受此次攻击影响的业务可能需要数周甚至更长时间才能完全恢复正常。   转自安全牛，原文链接：https://mp.weixin.qq.com/s/2zfk9DTpwZfLfrRJZ1SfUg 封面来源于网络，如有侵权请联系删除

加拿大政府表示，其两名承包商遭到黑客攻击，泄露了属于数量不详的政府雇员的敏感信息。 这些违规行为发生在上个月，影响了 Brookfield Global Relocation Services (BGRS) 和 SIRVA Worldwide Relocation & Moving Services，这两家公司都是为加拿大政府雇员提供搬迁服务的提供商。 受影响的 BGRS 和 SIRVA 加拿大系统中存储的与政府相关的信息可以追溯到 1999 年，这些信息属于广泛的受影响个人，包括加拿大皇家骑警 (RCMP) 成员、加拿大武装部队人员和加拿大政府雇员。 虽然加拿大政府尚未确定该事件的来源，但 LockBit 勒索软件团伙已声称对破坏 SIRVA 系统负责，并泄露了他们声称包含 1.5TB 被盗文件的档案。 LockBit 还公开了与所谓的 SIRVA 代表谈判失败的内容。 “Sirva.com 表示，他们的所有信息仅值 100 万美元。我们有超过 1.5TB 的文件被泄露，以及分支机构（欧盟、北美和澳大利亚）的 3 个 CRM 完整备份，”该勒索软件组织在其暗网的一个条目中表示。数据泄露网站。 Sirva 在 LockBit 泄露网站上 10 月 19 日获悉承包商的安全漏洞后，政府立即向加拿大网络安全中心和隐私专员办公室等相关当局报告了该漏洞。 虽然对大量受损数据的分析仍在继续，但有关受影响个人的具体细节（包括受影响员工的数量）仍未确定。然而，初步评估表明，自 1999 年以来使用搬迁服务的人可能已经暴露了个人和财务信息。 周五发表的一份声明称：“加拿大政府不会等待这项分析的结果，而是正在采取积极主动的预防措施来支持那些可能受到影响的人。  ” “将向过去 24 年来随 BGRS 或 SIRVA Canada 搬迁的现任和前任公务员、加拿大皇家骑警和加拿大武装部队成员提供信用监控或重新签发可能已被泄露的有效护照等服务。 “有关将提供的服务以及如何访问这些服务的更多详细信息将尽快提供。” 我们敦促可能受此数据泄露影响的个人采取预防措施，包括更新登录凭据、启用多因素身份验证以及监控在线财务和个人帐户是否存在异常活动。 那些怀疑其账户遭到未经授权的访问的人还必须立即联系其金融机构、当地执法部门和加拿大反欺诈中心 (CAFC)。     转自安全客，原文链接：https://www.anquanke.com/post/id/291424 封面来源于网络，如有侵权请联系删除

10 月 25 日首次发现漏洞后，雅马哈方面就立刻聘请外部网络安全专家进行事件调查，随后披露其菲律宾摩托车制造和销售子公司雅马哈汽车菲律宾股份有限公司（YMPH）管理的服务器之一，遭受未经第三方授权的非法访问并受到勒索软件攻击。 目前，YMPH 公司员工个人数据被盗的消息已得到证实，但雅马哈方面一直强调，威胁攻击者入侵的是雅马哈发动机菲律宾子公司的一台服务器，没有影响到雅马哈发动机集团的总部或任何其他子公司。 安全事件发生后，YMPH 和雅马哈发动机总部 IT 中心联合成立了指导小组，在调查安全事件影响范围的同时，也在与外部互联网安全公司合作，一起进行恢复工作。此外，YMPH 公司已经向菲律宾有关当局报告了这一安全事件。 INC 勒索团伙声称对网络攻击负责 值得一提的是，虽然雅马哈公司尚未披露此次攻击事件背后的“黑手”是那个威胁组织，但 INC 勒索软件团伙已声称对此次袭击负责，并泄露了从雅马哈汽车菲律宾子公司窃取的数据信息。几天前，威胁攻击者将雅马哈添加到其暗网泄露网站上，并公布了多个文件档案，其中约 37GB 被盗数据包括员工身份信息、备份文件、公司和销售信息等。 INC RANSOM 网站页面 据悉，INC 勒索软件团伙于 2023 年 8 月首次“浮出水面”，主要针对医疗保健、教育和政府等多个领域的组织实施双重勒索攻击。自“出道”以来，INC Ransom 已在其泄密网站上增加了 30 名受害者。必须要说的是，被该团伙入侵的组织数量可能有更多，毕竟只有拒绝支付赎金的受惠者才会被公开披露在数据泄露网站上。 据 SentinelOne 报道，威胁攻击者通过鱼叉式网络钓鱼电子邮件访问目标网络，同时也发现他们使用 Citrix NetScaler CVE-2023-3519 漏洞。获得访问权限后，网络攻击者通过网络横向移动，首先获取并下载敏感文件以索取赎金，然后部署勒索软件有效载荷来加密被入侵的系统。此外，INC-README.TXT 和 INC-README.HTML 文件会自动投放到带有加密文件的每个文件夹中。 INC RANSOM 注释 成功发动网络攻击后，勒索软件团伙以在其泄密网站上公开披露所有被盗数据为威胁，向受害者发出 72 小时最后通牒，要求支付赎金。此外，威胁攻击者还承诺向受害者提供初始攻击方法、网络安全指南、数据销毁证据的详细信息，并“保证”不会再次对其进行网络攻击。   转自Freebuf，原文链接：https://www.freebuf.com/news/384303.html 封面来源于网络，如有侵权请联系删除

ALPHV/BlackCat 勒索软件团伙将敲诈勒索提升到了一个新高度，该组织向美国证券交易委员会提交了一份投诉，指控其一名受害者未遵守“一旦遭遇网络攻击，需要在四天内披露”的有关规定。 早些时候，ALPHV/BlackCat 勒索软件团伙将软件公司 MeridianLink 列入了数据泄露名单，并威胁称在 24 小时内未收到赎金，将泄露被盗数据。（MeridianLink 是一家上市公司，主要为银行、信用社和抵押贷款机构等金融组织提供数字解决方案） 勒索软件团伙向美国证券交易委员会“告密” 根据 DataBreaches.net 报道，ALPHV 勒索软件团伙在 11月 7 日成功入侵了 MeridianLink 的网络系统，并在未加密系统的情况下窃取了该公司数据。 值得一提的是，安全事件发生后，MeridianLink 曾表现出希望通过协商付款来“换取”不泄露被盗数据。然而随着事态发展，MeridianLink 公司不愿意尽快支付赎金，这个举动“迫使” ALPHV  组织不得不施加更大压力，于是乎就向美国证券交易委员会（SEC）投诉 MeridianLink 没有披露影响 “客户数据和运营信息 “的网络安全事件。 ALPHV 勒索软件“恼羞成怒” 为了证明投诉真实性，ALPHV 在其网站上公布 SEC 的提示、投诉和转介页面上填写的表格截图，显示攻击者向 SEC “告密”，MeridianLink 在遭受了 “重大违规”安全事件后，并没有按照 8-K 表格 1.05 项的要求披露。 ALPHV 勒索软件向 SEC 投诉 MeridianLInk （注：根据美国证券交易委员会规定，美国机构发生安全事件后要在四个工作日内通报。值得一提的是，路透社在 10 月初曾指出美国证券交易委员会的网络安全新规 2023 年 12 月 15 日才生效。） ALPHV 勒索软件还在其网站上提供了从美国证券交易委员会收到的针对 MeridianLink 投诉的回复。 SEC 回复 ALPHV 对 MeridianLInk 的投诉 MeridianLink 确认遭到网络攻击 MeridianLink 在给 BleepingComputer 的一份声明中表示，发现遭受网络攻击后，公司立即采取行动控制威胁，并聘请第三方专家团队进行调查。该公司还补充到目前仍在努力确定是否有任何消费者个人信息受到网络攻击的影响，如果有，一定会通知受影响的各方。 根据迄今为止掌握的资料，没有发现任何证据表明生产平台受到了未经授权的访问，此次事件造成的业务中断也微乎其微。——MeridianLink 此前，成功发动网络袭击后，勒索软件组织会通知受害目标，并向其施加压力。虽然也有一些勒索团伙曾威胁要向美国证券交易委员会报告漏洞和数据盗窃事件，但是从来没有一个组织真正实施过，ALPHV 可能开了一个先河！   转自Freebuf，原文链接：https://www.freebuf.com/news/384006.html 封面来源于网络，如有侵权请联系删除

据BleepingComputer 11月14日消息，Lockbit 勒索软件正利用 Citrix Bleed已公开的漏洞 (CVE-2023-4966) 来破坏大型企业系统、窃取数据并加密文件。该组织近来因陆续攻击勒索波音、中国工商银行等知名企业而再度引发世人关注。 威胁研究员 Kevin Beaumont 一直在追踪针对中国工商银行、  DP World、Allen & Overy 和波音等多家公司的攻击，发现了其中的一些共同点。这些暴露的 Citrix 服务器容易受到 Citrix Bleed 漏洞的影响。 《华尔街日报》进一步证实了这一点，该报获得了美国财政部发给特定金融服务提供商的一封电子邮件，其中提到 LockBit 对中国工商银行的网络攻击负有责任，该攻击是通过利用 Citrix Bleed 缺陷实现。 根据日本威胁研究人员Yutaka Sejiyama与 BleepingComputer 分享的调查结果，截至撰写本文时，超过 10400 台 Citrix 服务器容易受到 CVE-2023-4966 漏洞的攻击。这些服务器中大多数位于美国，达3133 台。 Sejiyama 的扫描显示了上述大型关键组织中存在易受攻击的服务器，所有这些服务器在公开披露该关键缺陷后整整一个月都没有进行修补。 Citrix Bleed 于 10 月 10 日首次披露了该漏洞，影响 Citrix NetScaler ADC 和网关，从而允许访问敏感设备信息，并建议相关企业及时升级至已实施安全更新的修复版本。 Mandiant 报告称，攻击者 于 8 月下旬开始利用 Citrix Bleed，当时该安全漏洞仍为零日漏洞。在攻击中，黑客在多重身份验证阶段（MFA）后使用 HTTP GET 请求来获取 Netscaler AAA 会话 cookie。 Citrix 敦促管理员保护系统免受这种低复杂性、无交互的攻击。10 月 25 日，外部攻击面管理公司 AssetNote 发布了一个概念验证漏洞， 演示了如何窃取会话令牌。     转自Freebuf，原文链接：https://www.freebuf.com/news/383908.html 封面来源于网络，如有侵权请联系删除

Resecurity, Inc.（美国）保护全球主要财富 100 强和政府机构，发现针对能源行业（包括核设施和相关研究实体）的勒索软件运营商数量惊人增加。去年，勒索软件攻击者瞄准了北美、亚洲和欧盟的能源设施。据《商报》报道，在欧盟，2022 年针对能源行业的勒索软件攻击比前一年增加了一倍多，截至 10 月份防御者记录了 21 起攻击。 Resecurity 的研究深入探讨了美国国土安全部在最近发布的情报企业国土威胁评估中引用的独特勒索软件趋势。根据国土安全部的报告，“2020 年 1 月至 2022 年 12 月期间，美国已知的勒索软件攻击数量增加了 47%”。该机构还指出，“勒索软件攻击者在 2023 年上半年在全球勒索了至少 4.491 亿美元，预计将迎来第二个最赚钱的年份。” 针对能源部门和关键基础设施的勒索软件攻击不断升级，这是一个不容忽视的趋势。随着BlackCat/ALPHV、Medusa 和 LockBit 3.0 等至少十几个复杂组织加强对这些高风险目标的关注，威胁形势变得越来越危险。这些威胁行为者并不是孤立行动的；它们得到了由地下接入经纪人和工具开发商组成的蓬勃发展的生态系统的支持，这些经纪人和工具开发商为渗透和利用关键基础设施中的这些基本系统提供了必要的杠杆作用。 这些团体和个人行为者之间的合作清楚地表明了能源行业的战略重要性，该行业被视为高价值数据的金矿，在某些情况下最高支付的赎金超过 5,000,000 美元。Resecurity 发现了多起针对核运营商的袭击事件，这是国家安全主要关注的领域。 展望 2024 年，Resecurity 分析师预计，有针对性的网络威胁将显着增长，特别是勒索软件组织越来越优先考虑能源行业及其供应链内的高价值目标。 报告“针对能源行业的勒索软件攻击呈上升趋势——核能、石油和天然气是 2024 年的主要目标”中有证据表明核能公司正在成为勒索团体的优先目标。     转自安全客，原文链接：https://www.anquanke.com/post/id/291368 封面来源于网络，如有侵权请联系删除