近日，LockBit勒索软件团伙声称已入侵台湾半导体制造公司（TSMC），并获得7000万美元赎金。据悉，台积电是全球第一家专业积体电路制造服务（晶圆代工foundry）企业。 上周三，一个名为Bassterlord的Lockbit关联公司通过Twitter宣布了对台积电的黑客攻击，并分享了与该公司相关信息的截图，作为攻击的证据。 该勒索软件集团声称已经从该公司窃取了大量敏感信息，并威胁说在拒绝付款的情况下将公布这些信息。该组织还计划公布可以让威胁者进入该公司基础设施的信息。 “在拒绝付款的情况下，还将公布进入网络的点以及密码和登录公司。”Lockbit运营商在其泄漏网站上发布的公告这样写道。 该组织最初给了台积电7天时间来支付赎金，但后来它将最后期限推迟到8月6日。台积电否认它被Lockbit攻破，而是证实该组织攻破了该公司的一个IT硬件供应商Kinmax Technology。 官方声明如下：“台积电经过审查，本次网络安全事件并未影响台积电的业务运营，也没有泄露台积电的任何客户信息。台积电在事件发生之后，立即根据公司的安全协议和标准操作程序，终止与该供应商的数据交换。”同时勒索集团LockBit宣称对本次安全事件负责，官方在其网站上列出了相关数据，并索要7000万美元（当前约5.08亿元人民币）赎金。 LockBit表示，如果台积电不付款，它还将发布密码和登录信息。LockBit表示相关数据是从Kinmax Technology窃取的，该公司为台积电提供网络，云计算，存储和数据库管理等IT服务。经审查，这一事件没有影响台积电的业务运营，也没有泄露台积电的任何客户信息。台积电指出，在情况得到解决之前，它不会与被黑的供应商合作。 “事件发生后，台积电已经根据公司的安全协议和标准操作程序，立即终止了与这家相关供应商的数据交换。台湾的Kinmax Technology还为其他知名公司提供服务，包括思科、思杰、HPE、微软和Nvidia。 Kinmax在6月29日发现了安全漏洞，它还补充说，该事件影响了一个测试环境。 Kinmax解释说”泄露的内容主要包括本公司作为默认配置提供给客户的系统安装准备，我们要向受影响的客户表示诚挚的歉意，因为泄露的信息中含有他们的名字，可能给他们带来一些不便。公司已经彻底调查了这一事件，并实施了强化的安全措施，以防止将来发生此类事件。” 早在2018年8月，一个恶意软件感染了几个台湾半导体制造有限公司（TSMC）工厂的系统，这些工厂是苹果生产其设备的工厂。该公司证实，其系统感染了臭名昭著的WannaCry勒索软件的一个变体，该软件在2017年5月的几个小时内袭击了150个国家的20万台电脑。     转自E安全，原文链接：https://mp.weixin.qq.com/s/tFYKM2Fi1RgFUfzGF1k5qQ 封面来源于网络，如有侵权请联系删除

Cyble研究和情报实验室的研究人员发现了Akira勒索软件一个复杂的Linux变体。 在最近的一份报告中，Cyble研究和情报实验室（CRIL）详细介绍了Akira勒索软件的一个复杂的Linux变体，引起了人们对Linux环境越来越容易受到网络威胁的关注。 Akira勒索软件一直在积极针对各行业的众多组织，对组织的网络安全和敏感数据构成了不小的威胁。 Akira勒索软件的Linux变体 2023年4月出现以来，Akira勒索软件已经危害了46名公开披露的受害者。 值得注意的是，自CRIL关于Akira勒索软件的上一份报告至今，又有30名受害者被确认，这表明该组织的影响越来越大。这些受害者大多数都在美国。 受影响的组织横跨各个行业，包括教育、银行、金融服务和保险（BFSI）、制造业和服务业等。 恶意的Linux可执行文件是一个64位Linux可执行和可链接格式（ELF）文件。 要执行Akira可执行文件，必须提供特定的参数。例如，需要加密的文件/文件夹的路径，加密的共享网络驱动器的路径，加密的文件的百分比，以及创建一个子进程进行加密。 Akira勒索软件的Linux变体： 技术细节 要运行Akira勒索软件的Linux变种，需要给出具体的指令，称为参数。 这些参数包括诸如要加密的文件或文件夹的位置、加密的共享网络驱动器、加密的文件的百分比以及创建一个用于加密的子进程。 当勒索软件被执行时，它使用一种称为RSA的特殊加密类型来锁定计算机上的文件。这种加密方式使文件在没有解密密钥的情况下无法打开。 该勒索软件有一个特定文件类型的清单，其目的是进行加密。这些文件类型包括各种扩展名，如文档、数据库、图像等。如果一个文件符合这些扩展名中的任何一个，该勒索软件将对其进行加密。 Akira勒索软件的Linux变体使用不同的对称密钥算法，包括AES、CAMELLIA、IDEA-CB和DES，来执行加密过程。这些算法有助于扰乱文件中的数据，使其无法访问。 执行后，Akira勒索软件会加载一个预先确定的RSA公钥来启动加密过程。同时每个被攻击的文件都会被附加”.akira “的文件扩展名，并在受害者的系统中存入了一张赎金票据。 Akira勒索软件的Linux变种揭示了Linux平台上的系统对网络威胁越来越脆弱。 因此，使用Linux环境的组织必须保持警惕，并实施强有力的安全措施，以防止勒索软件攻击。     转自 Freebuf，原文链接：https://www.freebuf.com/news/370646.html 封面来源于网络，如有侵权请联系删除

近日，勒索软件组织Omega成功对某企业使用的SaaS应用（SharPoint Online）发动了勒索攻击，整个攻击（数据泄露）过程高度自动化且没有攻击任何端点。 据报道该事件的网络安全公司Obsidian的创始人Glenn Chisholm介绍，这可能是业界发现的首个针对企业使用的SaaS服务的自动化勒索攻击。 Chisholm指出，对于勒索软件攻击的防护，企业过去依赖端点安全投资，但最新的攻击表明，仅仅确保端点安全还远远不够，因为越来越多的企业在SaaS应用程序中存储和访问数据。 在此次攻击中，攻击者利用了受害企业的安全性较差的SharPoint服务账户凭证（不仅可以通过互联网公开访问，而且没有启用MFA）。并利用SharePoint Online提供的网站集管理功能（多个网站共享管理设置并拥有相同的管理员账户，该功能在拥有多个业务功能和部门的大型企业中很常见），在2小时内批量删除了200个其他管理员账户。 凭借自行分配的权限，攻击者随后使用自动化脚本从受害企业的SharePoint Online库中获取了数百个文件，并将它们发送到与俄罗斯一家Web托管公司相关联的虚拟专用服务器(VPS)主机。 Chisholm表示，Obsidian在过去六个月中观察到的针对企业SaaS环境的攻击比前两年的总和还多。他说，攻击者日益增长的兴趣很大程度上源于这样一个事实，即企业越来越多地将受监管的、机密或敏感信息放入SaaS应用程序中，而没有实施与端点技术相同的控制。 根据AppOmni最新发布的报告，自2023年3月1日以来，针对Salesforce社区站点和其他SaaS应用程序的SaaS攻击增加了300%。主要的攻击途径包括过多的访客权限、过多的对象和字段权限、缺乏MFA以及对敏感数据的过度访问权限。Odaseva去年进行的一项研究显示，48%的受访者表示他们的组织在过去12个月内经历过勒索软件攻击，超过一半的攻击(51%)的目标SaaS数据。     转自 GoUpSec，原文链接：https://mp.weixin.qq.com/s/Ol8RxdK1RUAOTT4ycMC5Zg 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，在 LockBit 勒索软件联合咨询报告中，美国和国际网络安全机构表示自2020 年以来，该团伙对美国实体组织发动了约 1700 次攻击，成功勒索了约 9100 万美元。 近期，美国当局及其在澳大利亚、加拿大、英国、德国、法国和新西兰的国际合作伙伴表示，LockBit 勒索软件即服务（RaaS）行动是 2022 年全球“领先”的勒索软件威胁，受害目标数量最多。 根据 MS-ISAC 去年全年收到的报告，影响州、地方、部落和法庭（SLTT）政府的勒索软件事件中，约有 16% 是 LockBit 发起的。在这些事件中，LockBit 团伙攻击的目标主要是市政府、县政府、公共高等教育机构、K-12 学校以及执法部门等紧急服务机构。 此外，MS-ISAC 表示在 2022 年，LockBit 是全世界部署最多的勒索软件变种，并在 2023 年持续“高产”。自 2020 年 1 月以来，使用 LockBit 的分支机构对包括金融服务、食品和农业、教育、能源、政府和应急服务、医疗保健、制造业和运输等行业的关键基础设施部门，发动了大规模攻击。 网络安全机构分享了 LockBit 常利用的漏洞和暴露（CVE），以及自 2019 年 9 月首次出现以来对 LockBit RaaS 操作进化轨迹的深入探索。该联合咨询还提供了缓解措施，以帮助防御者挫败针对其组织的 LockBit 攻击活动。 联邦调查局（FBI）网络部助理主任 Bryan Vorndran 指出联邦调查局鼓励所有组织审查这项 CSA，实施缓解措施，以更好地抵御使用 LockBit 的网络攻击。如果遭受了网络攻击，请联系当地的联邦调查局外地办事处。 2019 年 9 月，LockBit 勒索软件于作为一种勒索软件即服务（RaaS）业务首次出现，并于 2021 年 6 月带着更新版本 LockBit 2.0 RaaS 重新“出道”。 2022 年 2 月的一次紧急警报中，联邦调查局分享了 LockBit 的妥协指标，并建议受害者紧急报告任何LockBit 攻击。 几个月后，LockBit 3.0 推出了 Zcash 加密货币支付选项、创新的勒索策略和第一个勒索软件漏洞奖励计划。 之后，LockBit 对汽车巨头、意大利国税局、英国皇家邮政和奥克兰市等实体组织，发动了网络攻击。       转自 Freebuf，原文链接：https://www.freebuf.com/news/369579.html 封面来源于网络，如有侵权请联系删除

Cyber News 网站披露，疑似与俄罗斯有关的勒索软件团伙 ALPV/BlackCat 袭击了安全门禁制造商Automatic Systems，北约、阿里巴巴、泰雷兹等多个实体组织可能受到影响。 攻击事件发生后，ALPV/BlackCat 在暗网泄露网站上发布了安全门禁制造商 Automatic Systems 受影响客户的所谓机密数据，其中包括从保密协议到护照副本一百多个被盗数据样本。 很快，Automatic Systems 公司在其网站上发布消息承认遭受了网络攻击，并表示网络入侵发生在 6 月 3 日，威胁攻击者的目标是“其部分服务器” ，意识到遭遇攻击后，公司立即采取保护措施来阻止勒索软件的传播。 ALPPV/BlackCat 称其窃取了大量 Automatic Systems 公司合作伙伴和客户的个人信息、财务数据、护照详细信息和其他信息。 该组织在暗网博客上发布帖子称被盗的数据包括与北约合作、为军事公司采购设备的机密文件，以及此类设备的安装和使用的详细计划。此外，帖子显示了阿里巴巴似乎和受害者 Automatic Systems 有业务关系。 Automatic Systems 公司声称目前在正在调查中，已与总部所在地比利时的执法部门取得联系。（该公司雇佣了近 400 名员工，主要生产车辆、行人和乘客出入控制系统，是法国制造业巨头博洛雷的子公司） ALPPV/BlackCat 勒索软件是何方神圣？ 2021 年，安全人员首次发现 ALPHV/BlackCat 勒索软件，该组织主要经营勒索软件即服务(RaaS)业务，向犯罪分子出售恶意软件订阅服务，以使用 Rust 编程语言而闻名。根据微软的一项分析， ALPHV/BlackCat 勒索软件已与 Conti、LockBit 和 REvil 等其它知名勒索软件家族开展合作。 ALPHV/BlackCat 已经成为目前最活跃的勒索软件团伙之一，联邦调查局认为 ALPHV/BlackCat 卡特尔的洗钱者与 Darkside和Blackmatter 勒索软件卡特尔有联系，表明该集团在 RaaS 业务中拥有一个完善的网络。 从网络安全分析师 ANOZR WAY 公开的数据来看，ALPHV/BlackCat 团伙可能要对 2022 年发生的约 12% 勒索攻击负责。5 月中旬，ALPHV/BlackCat  团伙就入侵了国际审计、会计和咨询公司 Mazars Group。 6 月初，ALPHV/BlackCat  团伙又攻击了由美国法院、美国证券交易委员会和国防部使用的法律技术平台 Casepoint。     转自 Freebuf，原文链接：https://www.freebuf.com/news/369451.html 封面来源于网络，如有侵权请联系删除

近日，西班牙环球银行(Bank Globalcaja)称其本地系统遭遇了勒索软件攻击，“Play”勒索软件组织声称将对此次攻击负责。 Globalcaja在twitter上发布的一份官方声明中提到：此次网络攻击发生在上周四，勒索组织激活了金融机构的安全协议。 此外，Globalcaja向客户保证，勒索软件攻击没有损害任何客户账户或协议，其电子银行平台Ruralvía的正常运作仍未受到影响。 该公司还证实，客户无须担心，可以继续安全地通过网上银行进行金融业务，现有的自动取款机也可以正常使用。作为预防措施的一部分，Globalcaja暂时关闭了特定的办公工作站，努力将此次攻击的影响将至最低。 Versa Networks的CRO Martin Mackay表示：金融部门对于勒索组织来说，是一个极具吸引力的目标，因为金融机构管理的数据和关键服务数量庞大。以客户信息为目标，以泄露数据为威胁，不仅会造成财务损失，还会危及银行的价值和声誉。 Martin Mackay称，虽然目前不知道Globalcaja是否满足了Play的赎金要求，但在这种情况下，最关键的就是不要屈服于该组织的任何要求。即便是支付赎金也不能保证被盗数据会被归还或不被泄露，这只会助长进一步的网络犯罪活动。 Globalcaja强调，他们正在尽力使目前的局势正常化，后面也会对这一事件进行深入的分析。Mackay补充说：一个比较积极的方面是Globalcaja有安全协议。 首席风险官还进一步表示，尚未采用安全协议的银行机构应考虑实施网络分段等措施，这些措施可以限制恶意软件的移动，并将漏洞的影响降至最低。 此外，Mackay总结道，整个网络中保持完整的可视性可以在快速识别和处理网络威胁方面发挥巨大作用。 而据Comparitech的数据研究主管Rebecca Moody说，今年针对金融机构的攻击事件有所增加。比如之前对美国Tri Counties银行的网络攻击。勒索组织BlackBasta声称，其对澳大利亚Latitude Financial的攻击可能泄露了约1400万条记录；以及对印度Fullerton（要求300万美元赎金）和印度尼西亚Syariah银行（要求2000万美元）的LockBit攻击。 Moody补充说：正如我们能从这次Globalcaja的最新案件中可以看到的那样，由于这些组织都拥有高度敏感的数据，所以一旦遭到攻击，就格外令人担忧。虽然金融机构不屈服于黑客的要求是十分正确的，但他们也必须帮助客户采取所有必要的步骤以保护自己免受身份盗窃和其他类型的欺诈。 转自 Freebuf，原文链接：https://www.freebuf.com/news/368604.html 封面来源于网络，如有侵权请联系删除

据 Ivanti 称，2023 年 3 月，报告的违规总数高于前三年报告的总和。 勒索软件组织不断将漏洞武器化，并将其添加到他们的武器库中，以对受害者发动破坏性和破坏性攻击。2023 年第一季度，研究人员发现了 12 个与勒索软件相关的新漏洞。他们还更新了正在跟踪的与勒索软件相关的关键指标，为企业保护其数据和资产免受这些不断升级的威胁提供了宝贵的见解。 与勒索软件相关的漏洞 前五名要点： 1.2023 年第一季度，有12 个新漏洞与勒索软件相关。 在过去的一个季度中，73% 的这些漏洞在互联网和深网和暗网中呈上升趋势。随着这种增加，现在有 7,444 种产品和 121 家供应商容易受到勒索软件攻击，其中微软以 135 个与勒索软件相关的漏洞位居榜首。 2.完整的MITRE ATT&CK杀伤链存在于59个漏洞中，其中两个漏洞是全新的。 MITRE ATT&CK杀伤链的漏洞允许攻击者端到端地利用它们（初始访问渗透），使它们极其危险。然而，流行的扫描器目前无法检测到其中三个漏洞。 3.流行的扫描器未检测到与勒索软件相关的 18 个漏洞，使企业面临重大风险。 4.开源漏洞有所增加。 目前有 119 个与勒索软件相关的漏洞存在于多个供应商和产品中。这是一个非常紧迫的问题，因为开源代码在许多工具中得到广泛使用。 5.两个高级持续威胁 (APT) 组织最近开始使用勒索软件作为首选武器。 包括 DEV-0569 和 Karakurt，使利用勒索软件的 APT 组织总数达到 52 个。 “我们不断从所有行业的客户那里听到，降低风险是他们的三大优先事项，当我们将其与我们的研究结果并列时，我们发现风险每个季度都在升级。安全人才短缺和 IT 预算紧缩限制了企业直面这些挑战。”Securin 首席执行官Aaron Sandeen表示，“私营和公共组织的安全取决于全方位应对这一挑战。” 弱点类别 该报告还追踪了导致勒索软件团体武器化的漏洞的弱点类别，强调了企业广泛使用的软件产品和操作系统缺乏安全性。对于企业及其安全团队，这份指数报告提供了有关勒索软件攻击者使用的趋势和技术的见解，这将帮助他们加强对这种风险的防御。“多年来，我们一直警告我们的客户注意软件制造商和 NVD 和 MITRE 等存储库忽略的漏洞。我们的预测性威胁情报平台已经能够在威胁被目前困扰全球组织的勒索软件团伙积极采用之前很久就向客户发出威胁警告。”Sandeen 说。除了使用更传统的策略外，威胁行为者还在不断改进他们的工具和策略，以使其更具破坏性。Ivanti 首席产品官 Srinivas Mukkamala表示：“IT 和安全团队面临的最大挑战之一是确定漏洞的优先级并修复漏洞，尤其是那些与勒索软件相关的漏洞。”他还指出，“我们现在才开始看到威胁行为者开始使用 AI 发起攻击。随着多态恶意软件攻击和攻击性计算的副驾驶成为现实，情况只会变得更加复杂。虽然尚未在野外出现，但勒索软件作者使用 AI 来扩展正在使用的漏洞和漏洞利用列表只是时间问题。这一全球挑战需要全球响应，以真正打击威胁行为者并将他们拒之门外。”     转自 E安全，原文链接：https://mp.weixin.qq.com/s/93_0ZncJP_ETx-_jYZ_6TA 封面来源于网络，如有侵权请联系删除

最近，汽车消费电子巨头 Voxx Electronics成为臭名昭著的勒索软件组织BlackCat的受害者，该团伙于5月24日在暗网上正式公开了此次攻击的详细信息。 BlackCat 在单独的 Voxx 泄漏页面上列出了一长串从公司窃取的数据类型，包括银行和财务记录、内部源数据及Voxx 客户和合作伙伴的机密文件，并发布了一个随机数据样本。 泄露的 Voxx 数据样本 BlackCat要求 Voxx在72小时内支付赎金，否则，他们不仅将公开出售这些数据，还会将这起攻击事件告知给 Voxx 的所有客户，并附带机密文件的下载地址。 BlackCat还透露他们之所以这么做，是因为最初 Voxx拒绝与他们合作，并挑衅地说道“拒绝合作将被视为完全同意将客户和合作伙伴的数据公开到公共领域，并将其用于犯罪目的。” Voxx 已不是近来BlackCat的唯一受害者，5月22日，该组织声称入侵了国际会计和咨询公司Mazar Group，并从中窃取了超过 700 GB 的敏感信息，包括客户协议和财务记录。今年2月，他们袭击了美国的多个实体，包括一个由十几家医院组成的医疗保健网络，尽管此前他们声称会避免针对医疗保健行业的勒索攻击。     转自 Freebuf，原文链接：https://www.freebuf.com/news/367505.html 封面来源于网络，如有侵权请联系删除

德国军工巨头莱茵金属（Rheinmetall）近日证实遭受了BlackBasta勒索软件攻击，影响了其民用业务。 莱茵金属的制造业务覆盖汽车、军用车辆、武器、防空系统、发动机和各种钢铁产品，拥有超过2.5万名员工，年收入超过70亿美元。 2023年5月20日星期六，BlackBasta在其勒索网站上发布了从莱茵金属窃取的数据样本。 公布的数据样本包括保密协议、技术原理图、护照扫描件和采购订单。 莱茵金属公司的发言人证实了这次攻击，并澄清说它只会影响其民用部门： “莱茵金属公司正在继续努力缓解勒索软件组织Black Basta的攻击。2023年4月14日我们检测到了该攻击，影响了集团的民用业务。” 莱茵金属宣称由于集团内部实施严格分离的IT基础设施，其军事业务不受攻击的影响。 此外，该公司表示已通知有关执法当局，并向科隆检察官办公室提出刑事诉讼。 莱茵金属公司在向乌克兰提供军事援助方面发挥着重要作用，最近通过启动一项新的战略合作计划，升级了与乌克兰一家国有储罐制造商的关系。 勒索软件组织BlackBasta于2022年4月开始活跃，最近多次成功入侵知名企业。 2023年5月7日，BlackBasta宣布对领先的电气化和自动化技术提供商ABB发动了攻击。 2023年4月，BlackBasta入侵了加拿大目录出版商黄页集团，在此过程中窃取了敏感文档和数据。 2023年3月22日，BlackBasta成功渗透到英国外包巨头Capita的企业网络，后者是英国政府和军队多个部门的签约供应商。     转自 GoUpSec，原文链接：https://mp.weixin.qq.com/s/wr27ffTyHte4s6q3DCXK1g 封面来源于网络，如有侵权请联系删除

多个恶意黑客团伙利用2021年9月Babuk（又名Babk或Babyk）勒索软件泄露的源代码，构建了多达9个针对VMware ESXi系统的不同勒索软件家族。 美国安全厂商SentinelOne公司的研究员Alex Delamotte表示，“这些变体在2022年下半年至2023年上半年开始出现，表明对Babuk源代码的利用呈现出上升趋势。” “在泄露源代码的帮助下，即使恶意黑客缺乏构建攻击程序的专业知识，也能对Linux系统构成威胁。” 许多大大小小的网络犯罪团伙都将目光投向ESXi管理程序。自今年年初以来，已经出现至少三种不同的勒索软件变种——Cylance、Rorschach（又名BabLock）和RTM Locker等，它们都以泄露的Babuk源代码为基础。 图：Babuk默认展示的赎金消息 SentinelOne最新分析表明，如今这种现象已经愈发普遍，Conti和REvil（又名REvix）等黑客团伙也开始利用Babuk源代码开发更多ESXi勒索软件。 其他将Babuk功能移植进自身代码的勒索软件家族还包括LOCK4、DATAF、Mario、Play和Babuk 2023（又名XVGV）等。 尽管出现了明显的趋势，但SentinelOne公司表示，它没有观察到Babuk同ALPHV、Black Basta、Hive及LockBit的ESXi勒索软件间存在相似之处。该公司还发现，ESXiArgs和Babuk之间同样“几乎没有相似之处”，表明之前的归因可能有误。 Delamotte解释道，“随着越来越多ESXi勒索软件采用Babuk源代码，恶意黑客们有可能会转向该组织基于Go语言开发的NAS勒索软件。在黑客群体之间，Go语言目前仍是个小众选项，但其接受程度正在不断增加。” 这一趋势始于Royal勒索软件的幕后团伙（疑似前Conti成员）扩展攻击工具库，他们曾将针对Linux和ESXi环境的ELF变体纳入自己的武器储备。 Palo Alto Networks旗下安全部门Unit 42发布文章也指出，“ELF变体与Windows变体非常相似，样本没有使用任何混淆技术。包括RSA公钥和赎金记录在内的所有字符串，均以明文形式存储。” Royakl勒索软件攻击会从各种初始访问向量（如回调钓鱼、BATLOADER感染或窃取凭证等）起步，随后投放Cobalt Strike Beacon以预备执行勒索软件。 自2022年9月出现以来，Royal勒索软件已在其泄露网站上宣称对157家组织的事件负责，其中大多数攻击针对美国、加拿大和德国的制造、零售、法律服务、教育、建筑及医疗服务组织。 转自 安全内参，原文链接：https://mp.weixin.qq.com/s/x6-cRbKCbM9xBXc5Wfrk_Q 封面来源于网络，如有侵权请联系删除