Bleeping Computer 网站披露，网络安全公司 Dragos 近期遭遇了勒索软件攻击，一个网络犯罪团伙试图突破 Dragos 的防御系统，渗透到其内部网络，以期对设备进行加密。 Dragos 发言人表示虽然网络攻击者可以“访问” SharePoint 云服务和合同管理系统，但并证据表明攻击者破坏了内部网络系统和网络安全平台。 网络攻击者通过 Dragos 员工账户侵入系统 值得一提的是，网络攻击者入侵 Dragos 网络系统充满了戏剧性，他们利用了一名 Dragos 销售员工个人信息，完成员工入职过程中的初始流程。（该名员工入职前泄露了包括电子邮件在内的个人信息）。 成功入侵到 Dragos 的 SharePoint 云平台后，攻击者获得访问销售部门新员工可以使用的资源的权限，还下载了“通用数据”，并访问了 25 份通常只对客户可用的情报报告。好消息是，由于基于角色的访问控制（RBAC）规则，威胁攻击者不能访问包括消息传递、IT 服务台、财务、征求建议书（RFP）、员工识别和营销系统等其它 Dragos 系统。 勒索软件攻击事件时间线（Dragos） 网络攻击者在眼看迟迟不能攻破 Dragos 的内部网络后，随及向 Dragos 高管发送了一封勒索电子邮件。5小时后，Dragos 相关人员看到了 勒索消息，五分钟后，立刻禁用了被破坏的安全帐户，撤销所有活动会话。 Dragos 在声明中指出安全研究人员调查了公司安全信息和事件管理（SIEM）中的警报，阻止被攻击的账户，之后迅速聘请了第三方监测、检测和响应（MDR）供应商来管理事件响应工作，相信公司的分层安全控制阻止了威胁攻击者的行动。 Dragos 担心部分数据可能被公开 Dragos 发言人强调虽然外部事件响应公司和 Dragos 分析师认为勒索事件得到了最大程度的控制，但公司选择不支付勒索费用，事情发生也从未试图联系网络攻击者，因此有数据被盗和被公开的可能性。     转自 Freebuf，原文链接：https://www.freebuf.com/news/366207.html 封面来源于网络，如有侵权请联系删除

The Hacker News 网站披露，网络安全研究人员发现一种名为 CACTUS 的新型勒索软件正在利用 VPN 设备中的漏洞，对大型商业实体进行网络攻击。 Kroll 公司在与 The Hacker News 分享的一份报告中表示 CACTUS 一旦进入受害者网络系统，就开始尝试枚举本地帐户、网络用户帐户以及可访问的端点，创建新用户帐户，随后利用自定义脚本通过预定任务自动部署和“引爆”勒索软件加密器。 CACTUS  善于利用各种工具 自 2023 年 3 月以来，安全研究人员多次观察到 CACTUS 勒索软件一直针对大型商业实体。此外，网络攻击者采用了双重勒索策略，在加密前窃取敏感数据。值得一提的是，截至目前为止尚未发现任何数据泄露。 CACTUS 恶意软件利用存在漏洞 VPN 设备后，进入目标系统，设置一个 SSH 后门，以谋求后续能够“长久”入侵。在完成上述步骤后，开始执行一系列 PowerShell 命令进行网络扫描，并确定用于加密的计算机列表。 此外，在 CACTUS 恶意软件攻击过程中，还利用 Cobalt Strike 和 Chisel 隧道工具进行命令和控制，同时也“积极”利用 AnyDesk 等远程监控和管理（RMM）软件向受感染的主机推送文件。安全研究人员还观察到 CACTUS  恶意软件感染过程中禁用和卸载目标系统的安全解决方案，以及从 Web 浏览器和本地安全子系统服务（LSASS）中提取凭证以提升自身权限。 CACTUS 恶意软件权限提升主要通过横向移动、数据渗出和赎金软件部署来实现，其中赎金软件是通过 PowerShell 脚本实现的（Black Basta 也使用过类似方法）。 Cactus 与其它恶意软件存在明显差异 与其它勒索软件相比，Cactus 的不同之处在于其使用加密来保护勒索软件二进制文件，Kroll 负责网络风险的副董事总经理 Laurie Iacono 向 The Hacker News 透漏，CACTUS 本质上是对自身进行加密，使其更难检测，并帮助其避开防病毒和网络监控工具。（CACTUS 勒索软件使用批处理脚本提取 7-Zip 的勒索软件二进制文件，然后在执行有效负载之前删除 .7z 档案。) Cactus 勒索软件存在三种主要的执行模式，每种模式都使用特定的命令行开关进行选择：设置(-s)、读取配置(-r)和加密(-i)。-s和-r参数允许威胁攻击者设置持久化并将数据存储在 C: ProgramData ntuser.dat 文件中，加密器稍后在使用 -r 命令行参数运行时读取该文件。 从研究人员的分析结果来看，CACTUS 勒索软件变体主要通过利用 VPN 设备中的漏洞，侵入目标受害者网络，这表明部分威胁攻击者一直在对远程访问服务和未修补的漏洞，进行初始入侵。 几天前，趋势科技也发现名为 Rapture 的勒索软件，它的整个感染链最多可持续三到五天。 最后，研究人员强调有理由怀疑，攻击活动是通过易受攻击网站和服务器促进入内部系统的，因此实体组织必须采取措施保持系统的最新状态，并执行最低特权原则（PoLP）。     转自 Freebuf，原文链接：https://www.freebuf.com/news/366111.html 封面来源于网络，如有侵权请联系删除

LockBit 3.0勒索软件集团周一泄露了从印度贷款机构Fullerton India窃取的600GB关键数据，两周后该集团向该公司要求300万美元赎金。 Fullerton 印度公司4月24日表示，他们遭受了恶意软件的攻击，作为预防措施，被迫暂时脱机运营。该公司表示，目前已经恢复了客户服务，并与全球网络安全专家合作，使其安全环境更具弹性。 随后，LockBit 3.0 勒索软件集团很快在其数据泄漏网站上将富勒顿印度公司列为受害者，称其窃取了600GB的 “个人和合法公司的贷款协议”。 LockBit 3.0 勒索软件集团给出了4月29日的最后期限，要求其支付赎金否则将公布被盗数据。随后该组织还让该公司选择支付1000美元，将最后期限延长24小时。 Fullerton 印度公司在印度各地设有699个分支机构，为大约210万客户提供上门信贷服务。该公司在2022年管理着价值超过25亿美元的资产，雇用了13000多名员工。 著名的网络犯罪研究人员Ritesh Bhatia与信息安全媒体集团分享了关于LockBit集团在暗网上发布与Fullerton印度公司相关文件的证据。他说，数据泄漏是由于Fullerton印度公司拒绝勒索软件集团的要求，导致该集团启动了三重勒索手段，迫使该公司付款。 双重勒索是指勒索软件攻击者加密受害者的数据并将其渗出，以对受害者施加额外的压力，而三重勒索是指黑客联系受害者的客户、商业伙伴、供应商和客户，将漏洞公之于众，迫使受害者到谈判桌上来。     转自 Freebuf，原文链接：https://www.freebuf.com/news/366094.html 封面来源于网络，如有侵权请联系删除

据CBS报道，美国德克萨斯州达拉斯市本周三遭受了勒索软件攻击，导致其多项市政服务中断。 “周三早上，该市的安全监控工具向安全运营中心 (SOC)发出勒索软件攻击的告警。”该市的公开声明透露。 “目前达拉斯市已确认许多服务器已被勒索软件破坏，影响了几个功能区域，包括达拉斯警察局网站。安全团队及其供应商正在积极努力隔离勒索软件以防止其传播，从受感染的服务器中删除勒索软件，并恢复当前受影响的所有服务。根据达拉斯市的事件响应计划(IRP)，该市市长和市议会已获悉该事件。” CBS Texas还发布了一张勒索软件的通知截图（下图），据报道，该图是通过达拉斯市的网络打印机发送的。 根据勒索通知内容，勒索软件组织Royal似乎对此次攻击负责。 Royal是一种复杂的、不断发展的勒索软件，于2022年初首次被发现。使用Royal的勒索软件组织主要针对大型企业。 BlackBerry 研究人员指出：“与常见的勒索软件即服务（RaaS）不同，Royal不出售其软件，而是直接从初始访问代理 (IAB)那里购买目标公司的网络访问权限，并在公司网络内部实施攻击活动。此外，Royal还因采用双重勒索策略而闻名。” 目前尚不清楚攻击者如何获取了达拉斯市政系统的访问权限。赎金通知表明他们已经对数据进行了加密，并计划在线泄露敏感信息。 攻击导致部分市政服务中断 勒索软件攻击发生后，达拉斯市警察局和市政厅网站已下线，以防止恶意软件进一步传播。 与此同时，达拉斯市的信息和技术服务部门(ITS)正在努力查明中断的原因并关闭所有受影响的设备。 达拉斯市的公开声明补充说： “目前，该市数千台设备中只有不到200台受到影响，但如果任何城市设备存在风险，ITS将对其进行隔离和阻止。恢复工作将优先考虑公共安全服务，面向公众的服务，然后是其他部门”。 目前，达拉斯市警察局和消防局的所有服务、911和311电话仍然有效。 达拉斯市自来水公司的付款仍可通过IVR系统处理，但在线付款可能会遇到一些延迟。另外，达拉斯市法院预计将于周五休庭。 Emsisoft威胁分析师Brett Callow指出，勒索软件对美国地方政府的攻击已经非常普遍，平均每周都会发生一起类似攻击。     转自 GoUpSec，原文链接：https://mp.weixin.qq.com/s/OpF6ddAGsFhg3n0IDhtnGA 封面来源于网络，如有侵权请联系删除

尽管网络安全专家努力防止此类事件发生，但针对公司和政府机构的勒索软件攻击仍在增加。自这一流行病开始以来，已有数百家美国企业报告成为勒索软件的受害者，其中已知的最大攻击是2021年的Kaseya黑客攻击事件。 最近，美国政府也面临着一连串的网络安全事件，联邦调查局、国防部和美国法警署（USMS）都确认今年发生了多起数据泄露和有针对性的攻击。就在上周，USMS宣布网络犯罪分子针对其系统进行了勒索软件攻击，暴露了大量的数据，包括员工的个人身份信息（PII）。值得庆幸的是，该事件没有暴露证人保护计划数据库，这意味着没有证人处于危险之中。 该事件发生在2月17日，但即使在10周后，尽管官员们努力使系统恢复运行，但该系统仍未完全运行。受影响的网络由法警的技术操作组（TOG）操作，通过电话、电子邮件和互联网的使用来追踪嫌疑人，但由于该系统仍然无法使用，该机构不得不设计”其他方法”来追踪嫌疑人。 据《华盛顿邮报》报道，该系统瘫痪了这么久，是因为美国司法部决定不支付任何赎金来解锁网络。相反，官员们采取了关闭整个系统的行动，包括远程擦除在该部门工作的所有员工的手机。这一突如其来的举措，在没有任何事先警告的情况下实施，清除了他们所有的文件、联系人和电子邮件，给许多雇员带来了不便。 然而，尽管有明显的路障，美国法警署仍然坚称，技术性停工并没有影响其进行调查的能力。在本周的一份声明中，法警发言人德鲁-韦德说，大多数关键的调查工具已经恢复，该机构正计划很快部署”一个完全重建的系统，并改进IT安全对策”，以备将来使用。 正如报告所指出的，法警的技术行动组多年来在追踪许多臭名昭著的嫌疑人方面功不可没，其中最突出的是臭名昭著的墨西哥大毒枭华金-查普-古斯曼，他于2014年在墨西哥城被捕。TOG以其复杂的追踪技术而闻名，据说它收集的手机追踪数据比联邦调查局和毒品管制局的总和还要多，最佳战绩是10周内平均有1000人被捕。 自勒索袭击发生以来，法警特遣部队继续进行逮捕，但该机构希望尽早启动并运行完整的计算机系统，以避免对其调查产生长期影响。     转自 cnBeta，原文链接：https://www.toutiao.com/article/7228584381558981124/ 封面来源于网络，如有侵权请联系删除

美国大型电信和IT基础设施巨头CommScope证实，在3月份遭到勒索软件攻击，该攻击导致员工数据和公司文件被泄露。 目前，Vice Society勒索团伙声称已经在该组织的暗网上公布了在此次攻击中被盗的大量CommScope员工数据。 Vice Society是一个臭名昭著的勒索软件团伙，以针对世界各地的教育机构和医疗设施而闻名。 CommScope作为一家财富500强企业，是众多网络产品、电信服务的母公司，其中就包括Arris、Surfboard、Ruckus网络和Systimax布线系统。其总部位于北卡罗来纳州，拥有超过30000名员工，以及全球50个供应链地点。 CommScope公司的一位发言人在4月18日向记者证实，该公司在上个月末遭受了勒索软件的攻击，现在正在调查这一事件。 据报道，这家全球企业集团在3月27日的那一周发现到黑客进入了其IT基础设施的一部分。 Vice Society 在攻击发生两周后的 4月15日在其暗网的主页上声称入侵了 Commscope。该组织在4月14日到4月15日还发布了超过20个链接，链接内容包含了被盗的员工数据。 尽管这家电信巨头没有直接公开表明 Vice Society 是肇事者，但CommScope表示，根据他们的调查显示，实施攻击的团体与声称拥有被盗数据的团体是同一个。 该公司发言人表示，”我们正在与我们的第三方专家合作，验证这些说法，并作为首要任务了解被泄露信息的严重性。我们正在以最快的速度对任何受影响的数据进行彻底审查”。 CommScope还表示，被盗数据包括员工证件信息、公司发票、文件和银行文件，并没有任何客户信息在攻击中被泄露，业务运营也没有中断。     转自 Freebuf，原文链接：https://www.freebuf.com/news/364073.html 封面来源于网络，如有侵权请联系删除

当Windows系统正饱受各类勒索软件之苦时，苹果macOS似乎都拥有“免死金牌”，但最近，研究人员发现了可能首款针对该系统的勒索软件。 据BleepingComputer 4月16日消息，臭名昭著的勒索软件组织LockBit首次创建了针对Mac的加密器，研究人员在 VirusTotal 上发现了一个 ZIP 存档，其中包含了一个名为“locker_Apple_M1_64”的加密器，能够针对运行在 Apple Silicon 上的较新版Mac。进一步研究发现，针对苹果 M1 芯片的加密器已于 2022 年 12 月上传到了 VirusTotal  ，表明这些样本已经流传了一段时间。 尚处于测试阶段的加密器 BleepingComputer 分析了 针对M1芯片 的 LockBit 加密器中的字符串，发现并不适用，表明这些字符串很可能是在测试中随意拼凑的，比如有许多来自 VMware ESXi 的引用， 而VMare自从苹果采用自研芯片之后就宣布不再对其进行支持。此外，加密器中好包含大量只适用于Windows系统中的文件格式，这些格式在 macOS 设备上均不支持。 这似乎说明，针对macOS的加密器还没有从真正意义上完成部署，也还无法投入到实际的攻击行动中。思科的安全研究人员Azim Khodjibaev认为，该加密器目前仅作为测试使用，从未打算部署在网络攻击中。macOS 网络安全专家 Patrick Wardle进一步证实了这一观点，即该加密器还未完成，因为它缺少正确加密 Mac 所需的功能。 虽然 Windows 一直是勒索软件攻击中最具针对性的操作系统，但显而易见，针对macOS系统的勒索软件开发者早已跃跃欲试，尤其是像LockBit 这种拥有强大技术实力、在勒索软件开发上追求极致的勒索软件组织，未来某一天如果真正出现能够攻击苹果系统产品的加密器也不足为奇。 因此，包括 Mac用户在内的所有计算机用户都应养成良好的在线安全习惯，包括及时更新操作系统、避免打开未知附件和可执行文件，并在登录网站时使用强而复杂的密码。     转自 Freebuf，原文链接：https://www.freebuf.com/news/363777.html 封面来源于网络，如有侵权请联系删除

Check Point Research （CPR） 和 Check Point 事件响应团队 （CPIRT） 的研究人员检测到一种前所未见的勒索软件，被称为 Rorschach 勒索软件，主要用于用于攻击一家美国公司。 专家指出，Rorschach勒索软件是独一无二的。根据Check Point发布的报告，Rorschach是迄今为止观察到的最快的勒索软件之一。 与其他勒索软件不同的是，新发现的Rorschach勒索病毒没有与任何以前已知的勒索软件集团关联。 这款勒索软件能够执行在企业范围内勒索软件部署期间手动执行的任务。在谈到受害者文件加密的速度时，专家表示 Rorschach是目前观察到最快的勒索软件之一。 “Rorschach”勒索软件采用了一种高效且快速的混合加密方案，该方案混合了curve25519和eSTREAM密码hc-128算法用于加密。这个过程只对原始文件内容的一个特定部分进行加密，而不是整个文件。WinAPI CryptGenRandom被用来生成加密的随机字节，作为每个受害者的私钥。共享密钥是通过curve25519计算的，使用生成的私钥和硬编码的公钥。最后，计算出的共享密钥的SHA512哈希值被用来构建eSTREAM密码hc-128的KEY和IV。 （混合加密） 研究人员将Rorschach加密的速度与Lockbit v.3进行了比较，后者需要大约7分钟来加密受害者的文件，而Rorschach只需4分30秒就能完成。事实证明，一个新的恶魔诞生了。 （赎金票据） 更恐怖的是，Rorschach勒索软件是高度可定制的。也就是说，通过调整加密线程的数量，它可以实现更快的速度。 Rorschach虽然不隶属于其他任何勒索软件组织，但它与其他赎金软件集团也有相似之处。例如，一些赎金票据类似于Yanluowang和DarkSide赎金票据，混合加密方案与Babuk赎金软件集团类似。同时，Rorschach和LockBit之间也有一些相似之处。 “Rorschach “的代码是用其他勒索软件不常见的方式进行保护和混淆的，并且在编译时进行了编译器优化，以尽可能地提高速度和代码内联。就目前来看，Rorschach 从“久负盛誉”的勒索软件集团中汲取了精华，然后加入了一些自己的独特功能。 在最近的观察中安全研究人员表示，在亚洲、欧洲和中东的中小型企业和工业公司也出现了Rorschach 的攻击。     转自 Freebuf，原文链接：https://www.freebuf.com/news/362741.html 封面来源于网络，如有侵权请联系删除  

IBM Aspera Faspex 是一个被企业广泛采用的文件传输应用程序，以能够安全和快速传输大型文件而广受青睐。 安全专家警告说，IBM 于2022年12月8日在软件中修补的一个漏洞（可用于回避身份验证和远程利用代码）正在被多组使用加密恶意软件的攻击者滥用。 虽然该漏洞在12月被修补，但IBM并没有立即详细说明该漏洞随后便在更新中修复了漏洞。在1月26日的安全警报中，IBM表示，该漏洞被命名为CVE-2022-47986，CVSS基本评分为9.8，可允许远程攻击者在系统上执行任意代码。 随后，恶意活动追踪组织Shadowserver在2月13日警告说，他们发现攻击者试图利用Aspera Faspex未更新版本中的CVE-2022-47986。 软件开发商Raphael Mendonça 2月16日报告说，一个名为BuhtiRansom的组织正在 用CVE-2022-47986加密多个服务器。 Buhti是一个相对较新的勒索软件组织，今年2月，该组织引导受害者通过 SatoshiDisk.com，一个目前托管在Cloudflare IP上支持比特币来支付赎金的网站。 勒索软件组织针对文件传输软件或设备也不是什么新鲜事了。Clop集团在最近几个月针对Fortra公司广泛使用的文件传输软件GoAnywhere MFT的用户进行了大规模的攻击活动。通过利用一个零日漏洞以及对于以前版本未更新的用户，目前已经有超过130名受害者。 安全公司Rapid7本周建议Aspera Faspex用户立即将他们的软件卸载，或者将其升级到有补丁的版本。 该漏洞是Ruby on Rails代码中的一个反序列化漏洞，存在于IBM Aspera Faspex 4.4.2版及以前的版本中。IBM通过删除API调用来修复该漏洞。用户也可以升级到Faspex 5.x版本来避免该漏洞。 IceFire针对文件传输软件 Buhti不是唯一攻击IBM文件传输软件的勒索软件组织。SentinelOne的威胁情报部门SentinelLabs在3月9日报告说，他们观察到CVE-2022-47986被IceFire利用。 该组织以前专注于攻击Windows系统，以双重勒索战术为基础，喜欢猎杀大型游戏。从以前的报告中看，IceFire喜欢以技术公司为目标；然而SentinelLabs观察到最近他们开始转向针对媒体和娱乐部门发起攻击。 SentinelOne表示，在最新的活动中，该组织首次通过Aspera漏洞开始打击Linux系统。对Linux 发起勒索软件攻击比对Windows更困难，因为Linux往往在服务器上运行，这意味着传统的感染载体，如网络钓鱼或驱动式下载无法生效。也因此攻击者转向利用应用程序的漏洞，正如IceFire通过IBM Aspera漏洞部署有效载荷所证明的那样。当然，Buhti勒索软件组织也是如此。 发现CVE-2022-47986的功劳归功于连续安全平台Assetnote的安全研究人员Maxwell Garrett和Shubham Shah。他们在2022年10月6日向IBM报告了这个漏洞，并在2月2日发布了公开的细节，以及概念验证的利用代码。     转自 Freebuf，原文链接：https://www.freebuf.com/news/362413.html 封面来源于网络，如有侵权请联系删除

一个新生的勒索软件团伙突然出现在舞台上，在不到一个月的时间里至少侵入了10个组织。 这个被Trellix研究人员命名为 “Dark Power”的团伙，在大多数方面与其他勒索软件团伙一样。但是，由于其速度之快以及其对Nim编程语言的使用，使其迅速“走红”。 该勒索软件团伙第一次出现在大众视野之下是在2月底的时候。然而，距离现在仅仅不到一个月的时间已经有10名受害者受到了影响。并且”Dark Power”的攻击目标似乎没有任何规律可言。该组织在阿尔及利亚、捷克共和国、埃及、法国、以色列、秘鲁、土耳其和美国增都有活动，涉及农业、教育、医疗、IT和制造部门。 利用Nim作为一种优势 “Dark Power”与众不同的地方在于它对编程语言的选择。 现在似乎有一种趋势，网络犯罪分子正在扩展到其他编程语言。而且这一趋势正在威胁者中迅速蔓延。 “Dark Power”使用Nim编程语言，这是一种高级语言。Nim 最初是一种晦涩难懂的语言，但现在在恶意软件创造方面却更加容易使用，而且它有跨平台的能力。这也使得防守者更难跟上。 其他了解 攻击本身遵循一个老套的勒索软件剧本： 通过电子邮件对受害者进行诱导，下载并加密文件，要求赎金，并多次敲诈受害者，无论他们是否付款。 该团伙还从事典型的双重勒索。在受害者知道他们被入侵之前，”Dark Power” 已经收集了他们的敏感数据。然后他们用它来进行第二次勒索。如果你不付钱，我们将把信息公开或在暗网上出售。 因此，企业需要有政策和程序来保护自己，包括检测Nim二进制文件的能力。同时制定一个非常精确的事件响应计划。只有这样才可以在攻击发生时减少其影响。     转自 Freebuf，原文链接：https://www.freebuf.com/news/361688.html 封面来源于网络，如有侵权请联系删除