使用“停服”软件、遭遇勒索软件攻击、缺失数据备份计划，多种因素叠加，导致斯里兰卡政府云系统丢失了近4个月的数据。 9月12日有消息称，斯里兰卡政府云系统“兰卡政府云”（LGC）遭受一次大规模勒索软件攻击。该国已经启动调查程序。 这次调查由斯里兰卡计算机网络应急技术处理协调中心（CERT|CC）负责。斯里兰卡信息与通信技术局（ICTA）于9月11日向多家本地新闻媒体确认了这次攻击。 这次攻击很可能从8月26日开始，当时，一个gov.lk域名用户表示他们在过去几周里收到了可疑的链接，有人可能点击了其中一条链接。 “兰卡政府云”的服务和备份系统迅速被加密。斯里兰卡信息与通信技术局首席执行官Mahesh Perera估计，所有使用“gov.lk”电子邮件域名的电子邮件地址（5000个），包括内阁办公室使用的地址，都受到了影响。 系统和备份在遭受攻击后12小时内得以恢复。然而，由于系统在5月17日至8月26日之间的数据没有可用备份，所有受影响的账户在这段时间内的数据都已永久丢失。 使用过时软件因缺乏预算未能升级 Mahesh Perera告诉媒体，“兰卡政府云”于2007年引入，最初使用Microsoft Exchange 2003版，在2014年升级为Microsoft Exchange 2013版。 “兰卡政府云”使用OpenStack/KVM底层架构 他说：“这个版本一直在使用，但现在已经过时，不再维护，容易受到各种类型的攻击。” 尽管斯里兰卡信息与通信技术局计划从2021年开始升级“兰卡政府云”到最新版本（目前是Exchange Server 2019 CU11 Oct21SU），但由于“资金限制和某些以前的董事会决定”，决策一直受到拖延。 在遭受攻击后，斯里兰卡信息与通信技术局已经开始采取措施增强“兰卡政府云”安全性。具体措施包括启动每日离线备份例程，升级相关电子邮件应用程序到最新版本。 斯里兰卡计算机网络应急技术处理协调中心在帮助信息与通信技术局检索丢失的数据。 此前，斯里兰卡政府曾因未能有效促进公共行政部门和私营部门落实严格的网络安全措施而受到批评。 根据基于爱沙尼亚电子政务学院基金的“国家网络安全指数”，斯里兰卡在175个国家中排名第83位。2023年6月，斯里兰卡政府公布了拖延已久的网络安全法案。根据法案规定，该国将首次设立国家网络安全管理机构。   转自安全内参，原文链接：https://www.secrss.com/articles/58734 封面来源于网络，如有侵权请联系删除

因发生勒索软件事件，美国宾州钱伯斯堡学区宣布连续三天取消所有课程，直到周五才正常开放。 新学年刚开始不到一周，美国宾夕法尼亚州钱伯斯堡学区宣布发生“临时网络故障”，连续三天（8月28-30日）取消所有课程。 该学区发表在线声明，表示“正在与第三方司法鉴定专家密切合作，调查故障来源，确认故障对系统的影响，并尽快恢复系统的全部功能。” 网络安全专家Angel Kern表示，服务中断最可能的原因是勒索软件攻击。Kern在宾夕法尼亚州立大学和南卡罗来纳州低地技术学院教导网络安全。他虽然没有和钱伯斯堡学区的司法鉴定专家合作，却也很关注这一事件。 Kern说：“勒索软件特别恶劣。如果你无法访问系统，就无法教学。（勒索软件导致）你不能访问系统进行教学。所以，（学校关闭）并不令人意外。” 上周四，钱伯斯堡学区确认，技术故障与“勒索软件事件”有关。 学区还宣布，所有学校将于上周五（9月1日）按常规时间开放。学区将上周四的课程表整体向后推迟两小时，要求学生在上周剩余时间里，将平板电脑设备留在家中，禁止访客和志愿者进入学校建筑。学区表示，预期技术限制还将持续，学生将无法访问互联网。 学区工作人员在学区网站上发布消息，表示：“我们将继续调查，与我们的专业领域专家以及执法部门一起确定这一事件的全部性质和范围。” 勒索软件威胁态势严峻 根据威胁情报公司Recorded Future的数据，迄今为止，今年美国已有至少120个学区遭受了勒索软件攻击。许多学校在系统中存储敏感数据，包括学生社保号码和医疗记录。 Angel Kern表示：“防范勒索软件真的很困难。只要某一个员工点击电子邮件中的链接——特别是管理级别的员工——你就失去了对所有系统的控制。你要么得支付比特币，要么得从备份中恢复数据。只要黑客掌控了服务器，他们就一定能访问存储的数据。” 上周二晚上，忧心忡忡的家长在钱伯斯堡学区董事会会议上要求学区给出解释。在会议的公共评论环节，一名家长说：“我只是想知道，为什么学区不说出实际发生了什么。我有朋友在学区工作，他们说系统被黑了。” 根据钱伯斯堡学区有关计算机存储个人信息遭泄漏的官方政策，除非有“合理的原因”，学区不得“延迟”通知受影响的学生和家长。 虽然勒索软件攻击可能导致敏感信息泄露，但是家长不用过度恐慌。Angel Kern说：“现在遍地都是黑客和勒索软件攻击，你的数据可能早已经外泄了。” 考虑到这一点，Angel Kern建议所有人，无论是否受到影响，都定期检查银行和信用卡账户，并和美国三家主要信用报告机构联系，冻结自己的信贷数据。     转自安全内参，原文链接:https://www.secrss.com/articles/58481 封面来源于网络，如有侵权请联系删除

拥有百年历史的蒙特利尔市电力服务委员会遭到LockBit勒索软件攻击，官方拒绝支付赎金，选择重建IT基础设施。 LockBit勒索软件团伙持续占据头条新闻，他们对关键组织、政府和企业发动了一系列攻击，引发了网络安全专家的担忧。 周三（30日），该团伙声称对加拿大蒙特利尔市电力服务委员会（CSEM）发动了攻击。这是一家拥有百年历史的市政组织，负责管理蒙特利尔市的电力基础设施。 CSEM在周二确认了攻击事件，并在一份声明中写道，他们于8月3日遭受勒索软件攻击，但拒绝支付赎金。他们正在努力恢复系统，并联系了加拿大国家当局和魁北克省执法部门，并已重建信息技术基础设施。 CSEM表示：“今天，制造此案件的犯罪团伙公开了一些被窃数据。我们谴责这种非法行为，同时指出被披露的数据对公众安全和CSEM运营带来的安全风险都很低。” “需要指出，CSEM所有项目都有公开文件可查。也就是说，人们可以从魁北克省官方流程办公室获取所有工程、施工、管理计划。” LockBit在周三威胁要泄露数据，这正是他们宣布对攻击负责的同一天。 LockBit团伙动作频频，内部或发生变化 过去一周，LockBit团伙颇为高调，发起了很多攻击事件，反复登上新闻。CSEM事件为这一周画上了句号。该团伙发动的攻击数量远远超过其他所有勒索软件团伙。 上周五，西班牙国家警察警告称，LockBit攻击团伙正在向建筑公司发送一系列高度复杂的网络钓鱼邮件。 这些电子邮件自称来自一家摄影公司，要求为建筑物拍照制定预算。在邮件往来后，假公司会发送一份照片拍摄计划文档。一经下载，受害者设备将遭到加密。 这只是LockBit对欧洲目标发动的多样化攻击行动的一小部分。其他攻击目标有法国法兰西岛自然区域管理机构以及意大利国立卡波迪蒙特博物馆。 该团伙的攻击速度十分惊人。但是，网络安全厂商Analyst1首席安全专家Jon DiMaggio发布研究报告，对这个网络犯罪团伙的运作能力产生疑问。 Analyst1针对LockBit团伙进行了一系列研究，DiMaggio表示，LockBit领导层在8月的前两周内消失了，一度失联，直到8月13日才重新出现。 DiMaggio表示，由于后端基础设施和可用带宽出现问题，该团伙在发布攻击期间窃取的数据时遇到了困难。他说，LockBit的惯用手段是，利用他们是目前攻击频率最高的勒索软件团伙这一恶名，迫使受害者支付赎金。 DiMaggio报告发布后，卡巴斯基在本周也发布了一份报告，表示LockBit 3.0勒索软件生成器流出后，黑客滥用这一工具生成新变种。卡巴斯基发现了396个基于LockBit代码的不同样本。     转自安全内参，原文链接:https://www.secrss.com/articles/58380 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 一个基于.NET的开源信息窃取恶意软件SapphireStealer，已被多个实体用来增强其能力并产生自己的定制变体。 思科Talos研究员Edmund Brumaghin在与The Hacker News分享的一份报告中表示:“像SapphireStealer这样窃取信息的恶意软件可以用来获取敏感信息，包括公司凭据。这些信息经常被转售给其他威胁行为者，他们利用这些访问权进行额外的攻击，包括与间谍活动或勒索软件/勒索有关的行动。” 随着时间的推移，一个允许经济动机和国家行为者使用恶意软件提供商提供的服务来实施各种攻击的完整生态系统已经发展起来了。 从这个角度来看，这种恶意软件不仅代表了网络犯罪即服务(CaaS)模式的演变，而且还为其他威胁行为者提供了将被盗数据货币化的机会。这让他们能够分发勒索软件，进行数据盗窃和其他恶意网络活动。 SapphireStealer与暗网上越来越多的其他窃取恶意软件很像，它具备收集主机信息、浏览器数据、文件、截图的功能，并通过简单邮件传输协议(SMTP)以ZIP文件的形式泄露数据。 它的源代码在2022年12月下旬免费发布，这使得不法分子能够试验恶意软件，并使其隐蔽。这包括使用Discord webhook或Telegram API达到数据泄露的目的。 Brumaghin说:“这种威胁的多种变体已经在野外存在，且随着时间的推移，攻击者将提高其效率和有效性。” 恶意软件作者还公开了一个.NET恶意软件下载程序，代号为fd – loader，这使得从攻击者控制的分发服务器检索额外的二进制有效负载成为可能。 Talos表示，它检测到恶意软件下载程序被用于提供远程管理工具，如DCRat、jnrat、DarkComet和Agent Tesla。 一个多星期前，Zscaler分享了另一个名为Agniane Stealer的窃取恶意软件的细节，该恶意软件能够从浏览器、Telegram、Discord和文件传输工具中窃取凭证、系统信息、会话细节，以及来自70多个加密货币扩展和10个钱包的数据。 它在几个暗网论坛和Telegram频道上以每月50美元的价格出售(没有终身许可证)。 安全研究员Mallikarjun Piddannavar说:“开发Agniane Stealer的黑客利用包装程序来维护和定期更新恶意软件的各种功能。”     消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

Lockbit是最常见的勒索软件之一。它附带了一个联盟勒索软件即服务（RaaS）计划，向参与者提供高达80%的赎金要求，并为那些发现并报告导致文件可以无需支付赎金解密漏洞的人提供了漏洞赏金计划。根据Lockbit所有者、同名网络犯罪组织的说法，已经支付了多达5万美元的赏金。除了这些特点之外，Lockbit还提供了一个可搜索的门户网站，用于查询被勒索软件家族攻击过的公司的泄露信息，甚至向那些在身上纹有Lockbit标志的人提供支付。 Lockbit v3，也称为Lockbit Black，于2022年6月首次被发现，这对自动化分析系统及分析师来说是一个挑战。其中最具挑战性的特征包括： 它支持使用随机生成密码的加密可执行文件。这将会阻止执行并阻碍自动化分析，除非在命令行中提供适当的密码。 有效载荷包括针对逆向工程分析的强大保护技术。 它包括许多未记录的内核级Windows函数. 2022年9月，多名安全新闻专业人士报道并证实了Lockbit 3的一个生成器工具的泄露。该工具允许任何人创建自己定制版本的勒索软件。其中两个不同的用户发布了创建不同变种的勒索软件所需的文件 Lockbit builder上传到GitHub根据我们的分析，X（之前称为Twitter）用户@protonleaks和@ali_qushji发现了两个不同的变体。我们的时间戳分析证实，在两次泄露中builder.exe二进制文件略有不同。protonleaks版本的编译日期是2022年9月9日，而ali_qushji版本是的编译日期是2022年9月13日。在恶意软件的模板二进制文件（嵌入和不完整版本的恶意软件，用于构建最终可供分发的版本）中也发现了类似的编译时间差异。   更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/3018/ 消息来源：securelist，封面来自网络，译者：知道创宇404实验室翻译组。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

以 “Mom’s Meals “为名开展业务的美国公司 PurFoods 遭到勒索软件攻击，超 120 万客户和员工的个人数据信息被盗。 Mom’s Meals 是美国一家医疗送餐服务公司，主要为自费客户或通过医疗补助计划（Medicaid）和《美国老年人法案》（Older Americans Act）计划获得政府援助的人提供餐饮服务。 该公司发布警告称于 2023 年 2 月 22 日在其网络上发现了可疑网络活动，当时内部系统中的某些文件已被勒索软件加密，发现可疑网络行为后，公司立即在第三方专家的帮助下展开了调查。 最终，经过调查人员确定公司内部系统于 2023 年 1 月 16 日至 2023 年 2 月 22 日期间经历了一次大规模网络攻击，威胁攻击者对内部网络中的某些文件进行了加密。2023 年 3 月初，网络攻击带来的负面影响开始显现，一位匿名的 Mom’s Meals 员工向爱荷华州的一家新闻媒体透露，由于 “网络问题”，已经一周没有上班，也没有工资。 PurFoods 调查显示 Mom’s Meals 公司于 2023 年 1 月 16 日开始遭到入侵，安全研究人员在其内部网络上发现常用的数据窃取工具，2023 年 7 月 10 日，深入调查结束后，研究人员确认黑客获取了以下数据信息： 出生日期 驾驶执照 州身份证号码 金融账户信息 支付卡信息 医疗记录编号 医疗保险和医疗补助识别码 健康信息 治疗信息 诊断代码 膳食类别和费用 医疗保险信息 病人 ID 号 社会安全号（>1% 的被暴露者） 根据 PurFoods 向缅因州总检察长办公室提交的数据泄露文件显示，此次网络安全事件共影响 1237681 人，涉及到曾收到 Mom’s Meals 套餐的个人、在职/离职员工以及独立承包商，PurFoods 承诺这些人将通过 Kroll 公司免费获得 12 个月的信用监控和身份保护服务。 最后，PurFoods 强调暴露给网络犯罪分子的数据具有高度敏感性，威胁行为者可以利用其进行精心设计的诈骗、网络钓鱼和社交工程攻击。因此，强烈建议 Mom’s Meals 客户对所有收到的电子邮件、SMS 短信，电话等通信保持高度警惕。     转自Freebuf，原文链接:https://www.freebuf.com/news/376441.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 去年LockBit 3.0勒索软件构建器的泄漏导致威胁行为者滥用该工具来生成新的变体。 俄罗斯网络安全公司卡巴斯基(Kaspersky)表示，它检测到一次部署了一类LockBit版本的勒索软件的入侵，但索要赎金的程序明显与之前不同。 安全研究人员Eduardo Ovalle和Francesco Figurelli说:“该事件背后的攻击者决定使用不同的勒索信。信的标题与一个从前不为人知的组织有关，名为‘NATIONAL HAZARD AGENCY’。” 新版本的勒索信直接指定了获得解密密钥需要支付的金额，并将通信定向到Tox服务和电子邮件。这与LockBit组织的行为不同，后者没有提到金额，而是使用自己的通信和协商平台。 NATIONAL HAZARD AGENCY并不是唯一使用泄露的LockBit 3.0构建器的网络犯罪团伙。已知利用它的其他组织包括Bl00dy和Buhti。 卡巴斯基指出，它在遥测中共检测到396个不同的LockBit样本，其中312个工件是使用泄露的构建器创建的。多达77个样本在勒索信中没有提到“LockBit”。 研究人员说:“许多检测到的参数与构建器的默认配置相对应，只有一些包含微小的变化。这表明，这些样本可能是出于紧急需求而开发的，也可能是由懒惰的人开发的。” 这一披露是在Netenrich深入研究一种名为ADHUBLLKA的勒索软件毒株之际发布的。该病毒自2019年以来多次更名(BIT、LOLKEK、OBZ、U2K和TZW)，同时针对个人和小企业，以换取每位受害者800至1600美元的小额赔偿。 尽管每次迭代都会对加密方案、赎金笔记和通信方法进行轻微修改，但仔细检查就会发现，由于源代码和基础架构的相似性，它们都与ADHUBLLKA有关。 安全研究员Rakesh Krishnan说:“当一个勒索软件在野外应用成功时，网络犯罪分子通常会使用相同的勒索软件样本—稍微调整一下他们的代码库—来试验其他项目。” “例如，他们可能会更改加密方案、赎金笔记或指挥与控制(C2)通信通道，然后将自己重新命名为‘新的’勒索软件。” 勒索软件仍然是一个积极发展的生态系统，见证了黑客策略的频繁变化。恶意软件越来越多地关注Linux环境，使用Trigona, Monti和Akira等家族。     消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

Monti勒索软件是一个同时具有Windows和Linux变种的勒索软件。其在2022年6月被首次发现，当时也引起了不少的关注。它不仅在名称上与臭名昭著的Conti勒索软件相似，而且在威胁行为上也非常类似。该小组以“Monti”为名，并故意模仿了Conti团队广为人知的战术、技术和程序（TTPs），整合了大量Conti的工具，甚至使用了Conti泄漏的源代码。自被发现以来，Monti团队一直在持续针对公司进行持续攻击，并在泄露的网站上公开曝光受害公司的数据。 Industry Count Legal 3 Financial services 2 Healthcare 2 Others 6 表1： Monti勒索软件泄露网站上出现的公司的行业（数据日为2023年3月至8月） Monti勒索软件被曝光两个月后，又开始了恶意活动，这一次他们的目标是政府部门。与此同时，一个新的基于Linux的Monti变种（Ransom.Linux.MONTI.THGOCBC）出现，其与先前的基于Linux的变种有显著差异。早期版本主要基于泄露的Conti源代码，新版本采用了不同的加密器，并具有额外的不同行为。截至撰写本文时，在VirusTotal上只有三家安全厂商将样本标记为恶意。 通过使用BinDiff将新变种与旧变种进行比较，我们发现它们的相似性仅为29%，而旧变种和Conti的相似性率为99%。 我们建议采取后续安全措施来保护重要数据: 实施多因素身份验证（MFA），以阻止攻击者在网络中横向扩展并获得对敏感数据的访问权限。 遵循3-2-1备份指南来生成关键文件的备份。该指南要求创建三个备份副本，使用两种不同的文件格式，并将一个副本存储在不同的位置。这种方法确保了冗余，并最大限度地降低了数据丢失的可能性。   更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/3010/ 消息来源：trendmicro，封面来自网络，译者：知道创宇404实验室翻译组。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

最近，有越来越多的证据表明Akira勒索软件以思科VPN产品为攻击目标，入侵企业网络、窃取并最终加密数据。 Akira勒索软件是2023年3月推出勒索软件，该组织后来增加了一个Linux加密器，以VMware ESXi虚拟机为目标。 思科 VPN 解决方案被许多行业广泛采用，在用户和企业网络之间提供安全、加密的数据传输，通常供远程工作的员工使用。 据报道，Akira经常利用被攻破的思科 VPN 账户入侵企业网络，而不需要投放额外的后门或设置可能泄露的持久性机制。 Akira 的目标是思科 VPN Sophos 在 5 月份首次注意到 Akira 滥用 VPN 账户的情况，当时研究人员指出，勒索软件团伙使用 “单因素身份验证的 VPN 访问 “入侵了一个网络。 一个名为 “Aura “的事件响应者在 Twitter 上分享了关于入侵活动的更多信息，介绍了他们是如何应对多个 Akira 事件的，这些事件都是使用未受多因素身份验证保护的思科 VPN 账户实施的。 在与BleepingComputer 的对话中，Aura 表示，由于思科 ASA 缺乏日志记录，所以并尚不清楚 Akira 是通过暴力破解获得 VPN 帐户凭据，还是在暗网市场上购买的。 SentinelOne WatchTower 与 BleepingComputer 私下共享的一份报告也聚焦于相同的攻击方法，报告指出 Akira 可能利用了思科 VPN 软件中的一个未知漏洞，在没有 MFA 的情况下绕过了身份验证。 SentinelOne 在该团伙勒索页面上发布的泄露数据中发现了 Akira 使用思科 VPN 网关的证据，并在至少 8 个案例中观察到了思科 VPN 相关特征，表明这是勒索软件团伙持续攻击策略的一部分。 在八起 “Akira “攻击中发现思科VPN特征  图源：SentinelOne SentinelOne 远程访问 RustDesk 此外，SentinelOne WatchTower 的分析师还观察到 Akira 使用 RustDesk 开源远程访问工具来浏览被入侵的网络，这是已知的第一个滥用该软件的勒索软件组织。 由于 RustDesk 是一个合法工具，不会引起任何警报，因此它可以隐蔽地远程访问被入侵的计算机。 使用 RustDesk 带来的好处包括： 可在 Windows、macOS 和 Linux 上跨平台运行，覆盖 Akira 的全部目标范围 P2P 连接经过加密，因此不太可能被网络流量监控工具标记 支持文件传输，有助于数据外渗，从而简化了 Akira 的工具包 SentinelOne 在 Akira 的最新攻击中观察到的其他 TTP 包括 SQL 数据库访问和操作、禁用防火墙和 启用 RDP、禁用 LSA 保护和禁用 Windows Defender 2023 年 6 月底，Avast 发布了针对 Akira 勒索软件的免费解密程序。但从那之后威胁者已经给加密程序打了补丁，Avast 的工具只能帮助那些旧版本的受害者。     转自Freebuf，原文链接:https://www.freebuf.com/news/375848.html 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，日本著名手表制造商Seiko在7月末遭到了网络攻击，8月21日，BlackCat（又名ALPHV）勒索软件组织在其网站上宣布对这起攻击事件负责。 8 月 10 日，Seiko发布了一份数据泄露通知，称在7月末有未经授权的第三方获得了对其部分 IT 基础设施的访问权限，一些数据可能已被窃取，公司已于8月2日委托外部网络安全专家团队对情况进行调查和评估。 伴随着正式承认对Seiko实施了网络攻击，一份窃取的数据样本被挂在了BlackCat网站上，其中包括看生产计划、员工护照扫描件、新品发布计划和实验室测试结果的内容。 最令人担忧的是，BlackCat声称还窃取了机密技术原理图和手表设计的样本，表明 BlackCat 很可能拥有展示精密内部结构的图纸，包括专利技术，这些内容可能会因此被Seiko的竞争厂家获取。 由于调查仍在进行中，Seiko正在努力采取措施防止造成更多损失，并敦促客户和业务合作伙伴警惕可能冒充公司的电子邮件或其他通信，不要盲目打开邮件或者点击其中的任何链接。 ALPHV勒索软件组织一段时间以来一直在成功地实施各种攻击，并不断演变其勒索策略，最近还创建了一个数据泄露API，从而可以更轻松地分发被盗数据。 到目前为止，BlackCat 组织尚未透露其从 Seiko 服务器窃取的数据更具体的详细信息，也没有透露是否已给该公司支付赎金的最后期限。 该事件反映出针对日本实体的攻击有所增加，特别是在制造业。威胁情报公司 Rapid7 在 6 月份表示，日本价值 1 万亿美元的制造业是勒索软件和一些国家支持的APT攻击的主要目标，所有勒索软件受害者中近三分之一属于汽车和一般制造业。     转自Freebuf，原文链接:https://www.freebuf.com/news/375841.html 封面来源于网络，如有侵权请联系删除