勒索软件传播至今，360反勒索服务已累计接收到数万勒索软件感染求助。随着新型勒索软件的快速蔓延，企业数据泄露风险不断上升，勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广，危害性也越来越大。360全网安全大脑针对勒索软件进行了全方位的监测与防御，为需要帮助的用户提供360反勒索服务。 2023年9月，全球新增的活跃勒索软件家族有ThreeAM、Knight、CiphBit、LostTrust等家族。 以下是本月值的关注的部分热点： Cisco警告称其VPN的0day漏洞被勒索软件团伙利用 凯撒娱乐确认因客户数据被盗而向勒索软件支付赎金 黑客积极利用Openfire漏洞来加密服务器 基于对360反勒索服务数据的分析研判，360数字安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员）发布本报告。 感染数据分析 针对本月勒索软件受害者设备所中病毒家族进行统计：Phobos家族占比24.59%居首位，第二的是占比13.11%的Makop，TellYouThePass家族以15.38%位居第三。 其中位居第三的TellYouThePass持续通过web漏洞利用发动攻击。 对本月受害者所使用的操作系统进行统计，位居前三的是：Windows 10、Windows Server 2008以及Windows 7。 2023年9月被感染的系统中桌面系统和服务器系统占比显示，受攻击的系统类型占比基本相当，偶有NAS平台感染。 勒索软件热点事件 Cisco警告称其VPN的0day漏洞被勒索软件团伙利用 思科警告称，思科自适应安全设备(ASA)和思科Firepower威胁防御系统(FTD)中存在编号为CVE-2023-20269的0day漏洞，而勒索软件组织会利用该漏洞来获取对企业网络的访问权限。该漏洞允许未经授权的远程攻击者对现有帐户进行暴力攻击。通过访问这些帐户，攻击者可以在受攻击的网络中建立无客户端的SSL VPN会话，而根据受害者的具体网络配置差异这一攻击也会产生不同级别的威胁。 在今年8月，就有报道称Akira勒索软件团伙利用Cisco VPN设备的未知漏洞入侵企业网络。在这次攻击发生的一周后，Rapid7报告称除了Akira之外，Lockbit勒索软件也利用了Cisco VPN设备的安全漏洞。9月初，思科确认了这些勒索软件团伙利用的0day漏洞的存在，并在临时安全公告中提供了解决方法。但目前尚未发布受漏洞影响的产品的安全更新。 香港数码港遭勒索攻击致400GB数据泄露 安全内参9月8日消息，香港科创中心数码港已就网络安全漏洞向警方和香港隐私监管机构上报。勒索软件组织Trigona声称，已从数码港窃取超过400GB数据，要求支付30万美元（约合港币235万元）才能归还。 周四，一位IT专家查阅了暗网相关材料，发现包括银行账户信息和身份证复印件在内的被窃数据正在竞价售卖，起价定为30万美元。 香港网络安全公司VX Research的安全专家Anthony Lai Cheuk-tung分析称，“假设一个人的信息是1GB，那就至少有400名受害者。” 数码港商业园区有140名员工，是1900家初创企业和科技公司的运营基地。警方表示，已将此案移交网络安全及科技罪案调查科进行调查，目前尚未有人被捕。 数码港在周三发布声明，谴责未经授权的第三方攻击者入侵其部分计算机系统，并表示他们在发现入侵后迅速采取了行动。但是，声明并未点出谁是可能的肇事者。 凯撒娱乐确认因客户数据被盗而向勒索软件支付赎金 美国最大的赌场连锁品牌凯撒娱乐表示：为避免近期的一次网络攻击中遭窃取的客户数据在网上泄露，该公司已向黑客支付了赎金。 凯撒娱乐于9月7日发现有攻击者窃取了其“忠诚度计划”数据库，该数据库中存储了许多客户的驾照号码和社会安全号码。在凯撒娱乐向美国证券交易委员会提交的一份8-K表格中显示：“我们仍在调查攻击者获得的文件中包含的敏感信息的范围。”……“到目前为止，没有证据表明任何会员的密码/PIN码、银行账户信息或支付卡信息（PCI）已被攻击者获取。” 此外，表格内容中还暗示向攻击者支付赎金是为了防止被盗数据在网上泄露。据媒体透露，该娱乐公司支付了大约1500万美元的赎金，这一金额大约是攻击者最初索要的3000万美元的一半。尽管如此，凯撒明确表示，它无法就“应对事件负责的攻击者”的潜在行动提供任何保证，包括他们仍可能出售或泄露客户被盗信息的可能性。 黑客积极利用Openfire漏洞来加密服务器 黑客正在积极利用Openfire的消息传递服务器中的一个高严重性漏洞传播勒索软件用以加密服务器并部署加密挖矿程序。 Openfire是一种被广泛使用的基于Java的开源聊天服务器，此次被利用的漏洞编号为CVE-2023-32315，是一种影响Openfire管理控制台的身份验证绕过方式，该漏洞允许未经身份验证的攻击者在易受攻击的服务器上创建新的管理员帐户。攻击者通常使用这些帐户安装恶意Java插件。 该漏洞影响几乎所有当前主流的Openfire版本，从3.10.0到4.6.7，以及4.7.x中的4.7.0到4.7.4版本。尽管Openfire在5月发布的版本4.6.8、4.7.5以及最新的4.8.0中修复了该问题，根据统计：到8月中旬，仍有超过3000台Openfire服务器仍运行着易受攻击的版本。 黑客信息披露 以下是本月收集到的黑客邮箱信息：   表格1. 黑客邮箱 当前，通过双重勒索或多重勒索模式获利的勒索软件家族越来越多，勒索软件所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索软件家族占比，该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分（已经支付赎金的企业或个人，可能不会出现在这个清单中）。 以下是本月被双重勒索软件家族攻击的企业或个人。若未发现被数据存在泄露风险的企业或个人也请第一时间自查，做好数据已被泄露准备，采取补救措施。 本月总共有449个组织/企业遭遇勒索攻击，其中包含中国7个组织/企业在本月遭遇了双重勒索/多重勒索。其中有19个组织/企业未被标明，因此不再以下表格中。   表格2. 受害组织/企业 系统安全防护数据分析 360系统安全产品，目前已加入黑客入侵防护功能。在本月被攻击的系统版本中，排行前三的依次为Windows Server 2008、Windows 7以及Windows Server 2012。 对2023年9月被攻击系统所属地域统计发现，与之前几个月采集到的数据进行对比，地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。 通过观察2023年9月弱口令攻击态势发现，RDP弱口令攻击、MYSQL弱口令攻击和MSSQL弱口令攻击整体无较大波动。 勒索软件关键词 以下是本月上榜活跃勒索软件关键词统计，数据来自360勒索软件搜索引擎。  devos：该后缀有三种情况，均因被加密文件后缀会被修改为devos而成为关键词。但本月活跃的是phobos勒索软件家族，该家族的主要传播方式为：通过暴力破解远程桌面口令成功后手动投毒。 360：属于BeijngCrypt勒索软件家族，由于被加密文件后缀会被修改为360而成为关键词。该家族主要的传播方式为：通过暴力破解远程桌面口令成功后手动投毒，本月新增通过数据库弱口令攻击进行传播。 locked: 属于TellYouThePass勒索软件家族，由于被加密文件后缀会被修改为locked而成为关键词。该家族主要通过各种软件漏洞、系统漏洞进行传播。 halo：同360。 malloxx：属于TargetCompany(Mallox)勒索软件家族，由于被加密文件后缀会被修改为mallox而成为关键词。主要通过暴力破解远程桌面口令成功后手动投毒和SQLGlobeImposter渠道进行传播。此外360安全大脑监控到该家族本曾通过匿影僵尸网络进行传播。 wis：属于Makop勒索软件家族，由于被加密文件后缀会被修改为mkp而成为关键词。该家族主要的传播方式为：通过暴力破解远程桌面口令成功后手动投毒。 faust：同devos。 mkp：同wis。 mallox：同malloxx。 eking：同devos。 解密大师 从解密大师本月解密数据看，解密量最大的是Loki，其次是Sodinokibi。使用解密大师解密文件的用户数量最高的是被Crysis家族加密的设备。 转自安全客，原文链接：https://www.anquanke.com/post/id/290700 封面来源于网络，如有侵权请联系删除

 根据Secureworks的《2023年威胁状况报告》，在2023年3月至6月的四个月里，勒索软件泄露网站上公布的受害者人数达到了“前所未有的水平”。 按照目前的水平，2023年将是自2019年有记录以来在所谓的“点名羞辱”网站上点名受害者人数最多的一年。预计第10000名受害者的名字将于2023年夏末发布到网站中。该报告揭示了对特定漏洞的一次性大规模剥削是该时期后四个月被点名受害者人数创纪录的主要因素：  三月 – Fortra GoAnywhere，被Clop利用 五月 – Zimbra邮件服务器，被MalasLocker利用 六月 – MOVEit Transfer，被Clop利用 勒索软件名称和耻辱泄漏站点受害者列表 – 2020 年至 2023 年 一家被称为GOLD MYSTIC的LockBit运营商是12个月内最活跃的勒索软件集团，公布的受害者人数几乎是第二活跃集团ALPPV（黑猫）的三倍，该集团由一个名为GOLD BLAZER的集团运营。除了已知的团体，2023年3月至6月，新的勒索软件计划发布了大量受害者。这包括8BASE在2023年6月期间在其泄漏现场列出了近40名受害者。Secureworks反威胁部门威胁情报副总裁Don Smith指出：“虽然我们仍然认为熟悉的名字是最活跃的威胁参与者，但几个新的、非常活跃的威胁团体的出现正在使受害者和数据泄露的显著增加。尽管他们受到了高调的打击和制裁，但网络犯罪分子是适应的大师，因此威胁继续加速。”研究人员承认，仅靠泄漏网站并不能完全准确地描述勒索软件的状态，因为它们只列出了未支付赎金的受害者。 勒索软件驻留时间的戏剧性下降  2023年的报告发现，勒索软件的平均停留时间不到24小时，比前12个月的4.5天大幅下降。在10%的案例中，勒索软件是在最初访问后的五小时内部署的。史密斯认为，这一趋势是由于网络检测能力的提高，威胁行为者加快了行动速度，以减少在部署勒索软件之前被阻止的机会。因此，威胁行为者正专注于更简单、更快地实施操作，而不是更复杂的大型、多站点企业范围的加密事件。但这些攻击的风险仍然很高。停留时间下降的另一个因素是，现在部署勒索软件的许多威胁行为者的技能低于以前的运营商，方法也不那么复杂。这是由于勒索软件即服务（RaaS）模式的兴起降低了进入门槛。 勒索软件的首选初始访问向量是什么 Secureworks观察到，两种最常见的初始访问向量是扫描和利用（32%）和被盗凭据（32%）。 与前12个月的52%相比，扫描和利用漏洞（即识别被特定漏洞攻击的易受攻击系统）在勒索软件事件中所占的比例大幅下降。从被盗凭据开始的事件比例也比前12个月有所下降，当时占勒索软件入侵的39%。 从2022年7月到2023年6月，通过钓鱼电子邮件发送的商品恶意软件是第三常见的初始访问媒介，占14%。 防止勒索软件的最有效方法 研究人员指出，通过以下措施的组合，可以在早期预防或检测出已识别的前三种初始接触媒介： 及时定期修补。CISA和合作机构列出了威胁行为者扫描的主要漏洞，其中许多包含较旧的缺陷。各组织应优先考虑修补这些漏洞。 多因素身份验证（MFA）。虽然该报告承认，威胁行为者正在采用各种策略绕过MFA，但当薄弱的凭据被利用时，这些控制措施通常会阻止对手前进。 全面实施监控解决方案。研究人员表示，勒索软件事件中数据被盗和使用之间的时间间隔意味着组织在监控网络犯罪论坛中被盗数据方面具有巨大价值。   转自E安全，原文链接：https://mp.weixin.qq.com/s/Sk1Rcg87-KB3GKAjP9xSUA 封面来源于网络，如有侵权请联系删除

有消息称：美高梅度假村透露，公司上个月遭受网络攻击，损失高达1亿美元（约合人民币7.3亿元），黑客藉此窃取了客户的个人信息。 这家酒店和娱乐巨头在9月11日披露了一起网络安全事件。事件影响了主要网站、在线预订系统，以及老虎机、信用卡终端和自动取款机等赌场服务。 几天后，情况逐渐明晰。造成此次中断的威胁组织是与BlackCat/ALPHV勒索软件团伙的关联成员，被称为Scattered Spider。 这些黑客利用社交工程方法侵入了美高梅网络，窃取了敏感数据，并加密了100多个ESXi虚拟机管理器。 这次网络攻击大范围扰乱了美高梅业务运营，导致信息技术系统长时间中断，造成了实质性影响。 美高梅在向美国证券交易委员会（SEC）提交的 8-K表格中写道：“（我们）估计，由于9月的网络安全事件，拉斯维加斯大道度假村和区域运营部门的经调整物业息税折旧摊销前利润（EBITDAR）降低了约1亿美元。” “公司网站和移动端应用程序上的预订功能受到影响，导致入住率下降了88%。不过，基本只有9月的入住率受到影响。” 除了损失1亿美元的收入，美高梅还需支付不到1000万美元的一次性风险缓解费用、法律费用、第三方咨询和事件应对措施费用。美高梅表示，预计这些费用可由网络安全保险全额承担。 美高梅坚称，总体而言，财务影响将主要限于2023年第三季度，并不会对年度财务业绩产生重大影响。 美高梅度假村认为，这一事件已经得到控制，所有面向客户的系统已经完全恢复，剩下的系统预计将在未来几天内恢复正常运行。 客户数据被盗 美高梅还警告说，威胁行为者成功窃取了2019年3月之前与美高梅进行交易的客户的个人信息。 昨天，受影响的个人收到了一份单独的通知，告知他们下列详细信息已经暴露，被网络犯罪分子盗取，具体被盗信息因人而异： 姓名 电话号码 电子邮箱 邮寄地址 性别 出生日期 驾驶执照 社会安全号码（SSN） 护照号码 美高梅总结说，经调查，并未发现任何客户密码、银行账号和支付卡信息因该事件被泄露的迹象。 该公司为受数据泄露影响者提供免费的信用监控和身份保护服务，并警告客户要保持警惕，防止未经请求的通讯。 美高梅度假村警告称：“我们建议您继续保持警惕，通过查看账单、监控您的免费信用报告，防范欺诈和身份盗用事件。我们还建议您保持警惕，不要接受与您的个人信息有关的未经请求的通讯。”   转自安全内参，原文链接：https://www.secrss.com/articles/59410 封面来源于网络，如有侵权请联系删除

据海外科技媒体Bleepingcomputer报道，一个名为RansomedVC的新型勒索攻击组织本周早前事件宣称已成功入侵了索尼公司的网络系统，并非法窃取了超过3.14GB未压缩数据。该组织表示：由于索尼公司不愿意配合谈判并按要求支付赎金，因此他们将通过非法渠道公开售卖这些“数据和访问权限”。 索尼公司目前已正式回应遭勒索攻击的传言，该公司发言人表示：我们正在紧急调查这起网络攻击事件，但目前尚未有明确的调查结果。 据了解，除了RansomedVC组织，还有其他黑客组织也声称对这起勒索攻击事件负责。虽然RansomedVC的勒索组织最先声称是其攻击了索尼公司的网络系统，但据研究人员观察，RansomedVC发布的勒索样本很小（仅2MB），包括一个PowerPoint演示文稿、一些Java源代码文件、Eclipse IDE屏幕截图及其他内容。 RansomedVC在暗网网站上发布的勒索声明 另一个威胁组织MajorNelson表示他们才是真正的攻击者，并驳斥了RansomedVC的说法。“媒体不应该相信RansomedVC勒索软件工作人员的谎言，他们应该感到羞耻。”MajorNelson在BreachForums上发帖表示。 为了证实其说法的真实性，MajorNelson公开展示了一个2.4 GB大小的压缩包，其中含有被宣称属于索尼公司的3.14 GB未压缩数据。MajorNelson声称这些数据中含有大量的“内部系统的凭据”以及以下文件信息： SonarQube Creators Cloud 索尼证书 用于生成许可证的设备模拟器 qasop安全 事件响应策略 BreachForums同样表示对本次攻击事件负责 在MajorNelson发布的压缩包含有RansomedVC发布的小样本中所有文件，但目前仍然难以判断谁是这次勒索攻击的元凶。虽然攻击者分享的数据似乎确实属于索尼公司，但最终事件认定有待索尼公司发布的官方说明。如果本次攻击事件得到证实，将是索尼在今年内遭遇的第二次内部数据泄露。 此前，勒索软件组织Cl0p利用文件传输软件MOVEit Transfer的一个漏洞，窃取了索尼公司的部分重要数据。该攻击事件对索尼造成了重大的影响，包括财务损失、声誉受损和用户信任的丧失等。   转自安全牛，原文链接：https://mp.weixin.qq.com/s/GIG45oipY95TqIxF1vVdKQ 封面来源于网络，如有侵权请联系删除

Security Affairs 网站披露，RansomedVC 勒索组织声称成功入侵了索尼并将该公司添加到其 Tor 泄密网站上。目前，索尼已宣布正在调查数据泄露事件。 网络安全事件发生后，勒索软件组织公布了一些文件以作为成功入侵的证据，但目前尚不清楚威胁攻击者是否入侵了该公司的所有系统，但从 RansomedV 发布在其泄露网站上的信息来看，该组织已经成功入侵了索尼的所有系统。 RansomedVC 向 Bleeping Computer 透漏，其已经从索尼网络中窃取了 260 GB 的数据，并试图以 250 万美元的价格出售窃取的数据。就目前来看索尼并不想支付赎金，RansomedVC  组织表示虽然不会在索尼网络上部署任何勒索软件，但会出售被盗数据。 有意思的是，在 RansomedVC 声称对索尼进行黑客攻击的同时，另一个网名为 “MajorNelson “的威胁攻击者也声称对此次攻击事件负责，并表示 RansomVC 在撒谎。不仅如此，MajorNelson 还发布帖嘲讽记者相信 RansomedVC 勒索软件的谎言，太容易受骗了，应该为此感到羞耻。（MajorNelson 在 BreachForums 上发表 RansomedVCs 是骗子，他们只是想骗取你的钱财，追逐影响力，享受泄密吧。） 除了反驳 RansomedVC ，MajorNelson 还”曝出“了一个 2.4 GB 大小的压缩包，其中包含 “大量内部系统的凭证”，以及与下列系统相关的数据：SonarQube、创作者云、索尼的证书、用于生成许可证的设备模拟器、qasop 安全、事件响应策略等等。   转自Freebuf，原文链接：https://www.freebuf.com/news/379448.html 封面来源于网络，如有侵权请联系删除

在黑客利用思科SSL VPN漏洞CVE-2023-20269入侵相关组织，加密Windows、Linux电脑档案后，勒索软件Akira攻击态势持续延烧，上个月成为前10大的勒索软体家族，超过110个组织遭Akira锁定。 今年5月研究人员观察到勒索软件Akira采用了过往较为少见的攻击手法，黑客疑似针对尚未采用双因素验证的SSL VPN系统下手，从而入侵受害组织，这样的手法引起不少研究人员对于该黑客组织的高度关注。 后来到了8月，恶意软件分析员Aura确认被针对的SSL VPN系统厂牌是思科。而且，黑客应该是针对该系统的漏洞下手，绕过双因素验证流程。当时，确认有8起勒索软件攻击是透过该厂牌的SSL VPN系统入侵，并且研究发现也有人利用类似手法散布勒索软件LockBit。 这样的发现，在9月上旬得到思科的证实，勒索软件Akira就是利用CVE-2023-20269入侵组织的内部网络环境，漏洞存在于该厂牌的网络资安设备ASA、FTD系列，攻击者可在未经授权的情况下，借由暴力破解攻击找出有效的帐号及密码，甚至有可能透过未经授权的用户，建立无客户端的SSL VPN连线。 最近有新的分析指出，勒索软体黑客组织Akira的攻击行动持续升温。今年8月Akira是第4大的勒索软体，仅次于LockBit 3.0、8Base、BlackCat（Alphv），截至9月15日，总共有110个组织受害，这些组织大部分位于美国和英国，但黑客没有偏好特定产业，受害组织涵盖教育、金融、房仲、制造、顾问业者，当中包含大型生产流程质量检验业者Intertek。 研究人员指出，一旦黑客得到内部网络的访问权限，就会使用远程桌面连线工具AnyDesk、RustDesk，以及压缩软件WinRAR来进行后续攻击行动，并且利用系统信息工具PC Hunter及wmiexec横向移动。 此外，为了让档案加密工作能顺利执行，黑客会停用Windows内建的防毒软件实时监控功能，并使用PowerShell下达删除磁盘区阴影复制服务（VSS）的备份档案。此外，这些黑客也开发了Linux版的加密程序，可用来加密VMware ESXi虚拟机的档案，进行绑架勒赎。 勒索软体黑客采取寄生攻击（LOLBins）手法，利用企业组织内现成的应用程序，执行攻击行动，来回避系统侦测的情况可说是非常普遍。其中，有许多黑客组织，如：LockBit、BlackByte以及专门针对SQL Server的勒索软件FreeWorld，滥用远程桌面连线工具AnyDesk来存取受害主机，Akira也不例外。 但值得留意的是，这些黑客还运用另一款开源、跨平台的远程桌面连线工具RustDesk，有可能会架设自己的基础设施架构，或是利用其内建的点对点（P2P）连线功能，让攻击行动变得更为隐密。   转自E安全，原文链接：https://mp.weixin.qq.com/s/UxlSKaaHAMLYD6UaYlY41g 封面来源于网络，如有侵权请联系删除

有消息称：美国德克萨斯州达拉斯市表示，今年5月该市因Royal勒索软件攻击被迫关闭所有IT系统，此次攻击始于一个被盗帐户。 在上周发布的《达拉斯市勒索软件事件：2023年5月事件的补救措施和解决方案》事件溯源分析总结报告中，达拉斯市对这起事件进行了完整回顾。 4月初，Royal团伙使用被盗的域服务帐户获得该市网络的访问权限，并在4月7日至5月4日期间持续访被破解系统。市政府和外部网络安全专家通过分析系统日志数据得出结论，在此期间，攻击者成功收集并外泄了1.169 TB文件。 Royal团伙还在达拉斯市政府系统上部署了Cobalt Strike命令与控制信标（C2 Beacon），为部署勒索软件做准备。5月3日凌晨2点，Royal团伙开始部署勒索软件，使用合法的微软管理工具对服务器进行加密。 检测到攻击后，达拉斯市启用缓解措施，将高优先级的服务器脱机以阻止Royal团伙的攻击行动。与此同时，该市在内外部网络安全专家团队的帮助下开始服务恢复工作。 所有服务器的恢复过程持续了5周多。5月9日，财务服务器重新投用。6月13日，最后一台受到攻击影响的服务器“废物管理服务器”恢复正常。 达拉斯市表示：“本市向德克萨斯州总检察长报告，由于此次攻击，26212名德州居民和共计30253名个人的私人信息或被曝光。” “总检察长网站显示，Royal团伙曝露了个人信息，如姓名、地址、社会保障信息、健康信息、健康保险信息等内容。” 到目前为止，达拉斯市议会已经为勒索软件攻击的恢复工作划拨850万美元预算，最终费用将在事后公布。 达拉斯是美国第四大都会区、第九大城市，总人口约260万。 打印机自动打印出勒索通知 最初，当地媒体报道，达拉斯市疑似遭到勒索软件攻击，于5月3日星期一早上关闭了警察通信和信息技术系统。 达拉斯市在5月3日发表的一份声明中解释说，“周三早上，本市安全监控工具通知了我们的安全运营中心（SOC），我们的环境中可能遭受了勒索软件攻击。随后，本市确认一些服务器已经受到勒索软件攻击，达拉斯警察局网站等多个功能区域受到影响。” “市政府团队与供应商一起积极工作，努力隔离勒索软件，防止其进一步传播，并从被感染服务器中删除勒索软件，让当前受到影响的所有服务恢复正常。根据本市事件响应计划，市长和市议会收到了事件通知。” 达拉斯市的网络打印机在事件当天早上开始打印勒索通知。BleepingComputer获得了一张通知图片，得以确认Royal勒索软件团伙是这次攻击的幕后黑手。 通过市政府网络打印机“推送”的勒索通知 Royal勒索软件团伙被认为是Conti犯罪团伙的一个分支，在Conti停止运营后崭露头角，其团伙于2022年1月出山。为了避免引起注意，他们最早使用其他勒索软件团伙的加密工具，比如ALPHV/BlackCat。不久之后，他们一整年都在用自己的加密工具Zeon发动攻击。 在2022年底，这个勒索软件团伙重新包装，选用了“Royal”这个名字，逐渐成为针对企业最活跃的勒索软件团伙之一。Royal团伙惯于利用公开可访问设备中的安全漏洞侵入目标网络。他们也经常采用回电联络型钓鱼攻击获得企业网络的初始访问权限。 攻击目标会收到一封电子邮件，其中嵌入了伪装成订阅续订的电话号码。只要目标呼叫电话号码，攻击者就会使用社交工程学手段欺骗受害者安装远程访问软件，向威胁行为者提供其网络的访问权限。   转自安全内参，原文链接：https://www.secrss.com/articles/59207 封面来源于网络，如有侵权请联系删除

9月21日，美国当局发布了一份新的网络安全公告，介绍了Snatch勒索软件即服务（RaaS）组织使用的最新战术、技术和程序（TTPs）。 网络安全和基础设施安全局（CISA）和联邦调查局解释说，虽然Snatch于2018年首次出现，但自2021年以来一直在学习借鉴其他勒索软件的技术，现已发展“壮大”。 该勒索软件采用了经典的双重勒索“玩法”，如果受害者不付钱，就会将其详细信息发布到泄密网站上。 据观察，Snatch 威胁行为者会先从其他勒索软件中购买窃取的数据，试图进一步利用受害者支付赎金，以避免他们的数据被发布在 Snatch 的勒索博客上。 该组织通常会尝试暴力破解 RDP 端点或使用其在暗网上购买的凭证进行初始访问，俄通过入侵管理员账户以及 443 端口与罗斯防弹托管服务托管的命令控制服务器建立连接，从而获得持久性。 此外，公告中还提到，附属机构使用 Metasploit 和 Cobalt Strike 等工具进行横向移动和数据发现，有时会在受害者网络内花费长达三个月的时间。 他们还经常会尝试通过一种非常特殊的方式来禁用杀毒软件。 该报告解释说，Snatch攻击者使用一种定制的勒索软件变体，可以将设备重新启动到安全模式，使勒索软件能够绕过反病毒或端点保护的检测，然后在很少有服务运行时对文件进行加密。 受害组织来自多个关键基础设施领域，包括国防工业基地（DIB）、食品和农业以及科技领域。 CardinalOps 首席执行官 Michael Mumcuoglu 表示，在过去的 12 至 18 个月时间里，Snatch 勒索软件组织的活动有所增加。此前他们声称会对最近几起备受瞩目的攻击事件负责，其中包括涉及南非国防部、加利福尼亚州莫德斯托市、加拿大萨斯喀彻温省机场、总部位于伦敦的组织 Briars Group 和其他组织的攻击事件。 Optiv 公司的网络业务负责人Nick Hyatt提到，近几个月来，该组织的 TTP 并没有太大变化。在2022年7月至2023年6月期间，该公司跟踪了Snatch在所有垂直领域发动的70次攻击，这些攻击绝大多数集中在北美地区。   转自Freebuf，原文链接：https://www.freebuf.com/news/378862.html 封面来源于网络，如有侵权请联系删除

政务系统承包商遭勒索攻击，导致哥伦比亚国家政务服务陷入瘫痪。 有消息称，哥伦比亚的多个重要政府部门正在应对一次勒索软件攻击，官员们被迫大幅变更部门运作方式。 哥伦比亚卫生和社会保护部、司法部门、工商监管部门上周宣布，由于美国技术提供商IFX网络公司遭遇网络攻击，引发一系列问题，限制了这些部门的运作能力。IFX网络公司号称拉丁美洲最大的云业务服务商，为当地十余个国家提供网络托管服务。 据法新社报道，哥伦比亚总统府发表声明，称此次袭击影响了762家位于拉丁美洲的公司，当地媒体称有34个哥伦比亚实体以及阿根廷、巴拿马、智利等国家的其他实体受到影响。 哥伦比亚多个重要政务服务瘫痪 上周三（9月13日），卫生和社会保护部表示，前一天接到IFX网络公司关于数据中心出现问题的通知，随后开始发现一系列故障。 该部门称，“由于网络安全事件，我们无法访问执行任务、提供全国性服务的应用程序。托管这些应用程序的基础设施是IFX网络公司的签约项目。该公司正在调查情况，确定何时恢复我们的服务。”该部门表示，他们正在实施替代机制，以继续提供卫生服务，尽量减轻攻击影响。 卫生和社会保护部为哥伦比亚卫生系统设定政策，推动各种卫生倡议，并在各行业利益相关者之间协调国民保健工作。 上周四夜晚，司法机关在官网更新了一条通知，表示因IFX网络公司受到攻击，该网站已经关闭，无法提供服务。 由于这次攻击，哥伦比亚最高法院将从9月14日至20日暂停所有听证会。最高法院在社交媒体上发布了一封更长的通知。官员们表示，他们的信息技术团队于9月12日发现这次攻击，指出攻击影响了整个部门的云基础设施。他们确认，IFX网络公司报告了一次影响多台机器的勒索软件攻击。 官员们表示，“根据技术提供商提供的信息，无法立即恢复服务”。上周三，IFX网络公司代表被传唤到最高法院办公室。“鉴于这一情况，司法机关认为有必要暂停履行法院的所有义务。” 上周四，最高法院签署一份正式文件，列出了将暂停的服务，包括大多数法庭听证会、认证、鉴定、临时许可证、制裁等。 一些面对面服务和听证会仍将举行。如果IFX网络公司能在9月20日之前恢复服务，上述停工指令将被解除。 上周五，最高法院发布了一条后续消息，表示各级法院仍在运作，一些之前安排的听证会也在落实。 负责管理哥伦比亚消费者权益机构和市场竞争组织的工商业监管局也发布通知，确认受到了这次攻击影响，并暂停上周五之前的运营工作。 其他政府机构告诉当地新闻媒体，他们在这一周内遇到了与技术相关的问题，一些哥伦比亚公民也在社交媒体抱怨政府部门办事不利。据《国家报》报道，政府并不知道究竟有多少机构受到IFX网络公司遭攻击事件的影响。 熟悉的勒索信息 迄今为止，并没有勒索软件团伙公开对此次事件负责。但是，elHacker.net的网络安全研究人员分享了RansomHouse黑客组织的图片，表示他们可能是对IFX 网络公司发动的攻击的幕后黑手。 据外媒Bleeping Computer报道，过去两年中，该组织部署了多种勒索软件，最近攻击了哥伦比亚医疗保健提供商Keralty。那次攻击的勒索信息与elHacker分享的IFX网路公司事件勒索信息几乎完全一致。 BetterCyber的研究人员表示，他们在监控RansomHouse的Telegram频道时，发现多人询问针对哥伦比亚政府机构的攻击情况。 哥伦比亚总统顾问Saúl Kattan称，这次攻击是“近年来对哥伦比亚基础设施的最大规模攻击”，并批评国会差一票未能批准设立专注于网络安全的新部门。 Saúl Kattan表示，“这次事件体现了成立国家网络安全与空间事务机构的迫切性。” 过去两年来，多个国家政府遭受了勒索软件攻击，受害者包括哥斯达黎加（2022年4月拒绝向俄罗斯黑客集团支付2000万美元赎金后陷入瘫痪）、多米尼加共和国和斯里兰卡（最近遭遇勒索软件攻击）。 这次攻击发生当周，美国国家安全委员会敦促多个国家政府承诺永远不向勒索软件攻击者支付赎金。   转自安全内参，原文链接：https://www.secrss.com/articles/58987 封面来源于网络，如有侵权请联系删除

微软旗下的医疗科技公司Nuance透露，Clop勒索团伙窃取了北卡罗来纳州主要医院的个人数据。MOVEit Transfer是一种托管文件传输，企业使用它来安全地传输基于SFTP、SCP和HTTP的上传文件。微软认为Clop勒索软件团伙利用了MOVEit Transfer平台中的零日漏洞CVE-2023-34362。 6月份，Clop勒索软件集团声称利用MOVEit Transfer漏洞入侵了全球数百家公司。在Clop集团的受害者中，还有微软的Nuance医疗保健技术子公司。Nuance在网络安全专家和一家律师事务所的帮助下对该事件展开了调查。该公司表示，Clop集团可能窃取了北卡罗来纳州多家医院和其他医疗服务提供商的个人数据，包括： 位于夏洛特的医疗保健系统巨头Atrium Health 希科里的卡托巴山谷医疗中心 夏洛特放射科 杜克大学卫生系统 位于桑福德的DLP中卡罗莱纳医疗中心 总部位于格林维尔的ECU Health 位于卡罗莱纳州派恩赫斯特的FirstHealth 总部位于阿什维尔的使命健康系统 Winston Salem的Novant Health Novant Health位于威尔明顿的新汉诺威地区医疗中心 北卡罗来纳大学教堂山分校健康中心 总部位于罗利的Wake Radiology Diagnostic Imaging 总部位于罗利的WakeMed Health&Hospitals 泄露的数据包括人们接受的服务和他们的人口统计信息。在软件供应商披露该缺陷并发布安全更新以修复后，Nuance宣布已立即解决该问题。 Nuance表示：“补丁一有空就安装好了。数据隐私和安全是Nuance的首要任务之一。公司采取了广泛的措施来保护委托给这些信息。”研究人员建议人们查看账户对账单，并监控其免费信用报告中的可疑活动。 美国医院面临压力，多家医院遭到攻击 最近，Rhysida勒索软件集团成为头条新闻，因为它宣布Prospect Medical Holdings遭到黑客攻击，并窃取了该组织的敏感信息。 8月初，网络攻击扰乱了多家医院的计算机系统，这些医院位于多个州，包括加利福尼亚州、得克萨斯州、康涅狄格州、罗德岛州和宾夕法尼亚州。几个州多家医院的一些急诊室被迫关闭，救护车也因网络遭到网络攻击而改道。 几天前，在Prospect Medical袭击事件发生后，Rhysida勒索软件集团在其Tor泄漏现场的受害者名单上又增加了三家美国医院。 Singing River Health System经营着3家医院和10家诊所，是密西西比湾沿岸第二大雇主。旗下的三家医院和其他医疗设施的系统在8月底也遭到网络攻击。   转自E安全，原文链接：https://mp.weixin.qq.com/s/M8cktGA7HYxxUSrP5RJguA 封面来源于网络，如有侵权请联系删除