据BleepingComputer消息，在英国最大的邮政企业皇家邮政（Royal Mail） 遭遇网络攻击近1个月后，LockBit 勒索软件组织正式承认自己是这起网络勒索攻击事件的“始作俑者”。 1月初，英国皇家邮政因这次攻击导致国际邮政业务被迫中断。当时的勒索票据显示，它是由“LockBit Black Ransomware”创建，属于LockBit所采用的新版加密器，包含已被关闭的 BlackMatter 勒索软件的代码和功能。票据还包含多个指向 LockBit 勒索软件操作的 Tor 数据泄漏站点和协商站点的链接，这些线索无不指向攻击者就是 LockBit 。   但LockBit负责对外联络的 LockBitSupport曾在事后表示，他们没有攻击皇家邮政，并称是有其他攻击者使用了他们泄露的构建器实施了这次行动。LockBitSupport没有解释为什么皇家邮政的赎金票据包含指向 LockBit 的 Tor 协商和数据泄漏站点的链接，而不是其他据称使用构建器的攻击者的站点。 不久后，LockBit曾在一个俄罗斯黑客论坛的帖子中证实，旗下某附属组织发动了这次攻击，表示只会在支付赎金后提供解密器并删除从皇家邮政网络窃取的数据。 而随着2月6日（UTC），皇家邮政被列入LockBit数据泄露网站的攻击条目，表示该组织正式宣告对这起攻击事件负责。条目显示，如果不能在 2 月 9 日星期四凌晨 03:42分（UTC）之前缴纳赎金，被盗数据将会公开发布。 皇家邮政在 LockBit 数据泄露网站上的条目信息   在攻击发生后，皇家邮政仍将这起事件模糊地描述为“网络事件”，试图淡化勒索攻击带来的影响，并表示已经恢复了部分受影响的服务。 就在去年11月，皇家邮政也曾因网络故障，导致在线追踪服务中断超过24小时。     转自 Freebuf，原文链接：https://www.freebuf.com/news/356916.html 封面来源于网络，如有侵权请联系删除  

据BleepingComputer 2月3日消息，法国计算机紧急响应小组(CERT-FR) 近日发出警告，攻击者正通过一个远程代码执行漏洞，对全球多地未打补丁的 VMware ESXi 服务器部署新型ESXiArgs 勒索软件。 据悉，该漏洞编号为CVE-2021-21974，由 OpenSLP 服务中的堆溢出问题引起，未经身份验证的攻击者可以此进行低复杂度攻击。该漏洞主要影响6.x 版和 6.7 版本之前的 ESXi 管理程序，2021年2月23日 ，VMware曾发布补丁修复了该漏洞。对于还未打补丁的服务器，须在管理程序上禁用易受攻击的服务定位协议 (SLP) 服务。 新型ESXiArgs 勒索软件 对此轮攻击的研究，重点并不在于围绕这个已揭露两年的漏洞，而在于新型勒索软件ESXiArgs的出现。根据Shodan 搜索，全球至少有 120 台 VMware ESXi 服务器已在此勒索软件活动中遭到破坏。 BleepingComputer 发现，勒索软件在受感染的 ESXi 服务器上使用 .vmxf、.vmx、.vmdk、.vmsd 和 .nvram 扩展名加密文件，并为每个包含元数据（可能需要解密）的加密文档创建了一个.args文件。虽然攻击者声称窃取了数据，但有受害者反馈，通过对有超过500GB数据的服务器的流量分析，被攻击期间使用量仅为 2 Mbps。在审查了过去 90 天的流量统计数据后，没有发现出站数据的证据转移，因而认为数据没有被渗透。 有受害者还在锁定的系统上发现了名为“ransom.html”和“How to Restore Your Files.html”的赎金票据。其他受害者则反馈他们的票据是明文文件。 ESXiArgs 赎金票据 技术细节 研究人员在BleepingComputer论坛分享了在检索 ESXiArgs 加密器和相关 shell 脚本副本后的发现，当服务器被破坏时，会在 /tmp 文件夹中存储如下文件： encrypt– 加密器 ELF 可执行文件。 encrypt.sh– 作为攻击逻辑的 shell 脚本，在执行加密器之前执行各种任务。 public.pem– 用来加密文件的RSA公钥。 motd– 文本形式的赎金票据，将被复制到 /etc/motd，以便在登录时显示。服务器的原始文件将被复制到 /etc/motd1。 index.html– HTML 格式的赎金票据，将取代 VMware ESXi 的主页。服务器的原始文件将被复制到同一文件夹中的 index1.html。 在分析了加密器后，研究人员没能从中发现可破解的密码学漏洞。加密器使用OpenSSL的安全CPRNG RAND_pseudo_bytes生成32个字节的密钥，并使用安全流密码Sosemanuk加密文件。文件密钥用RSA（OpenSSL的RSA_public_encrypt）进行加密，并附加到文件的末尾。Sosemanuk 算法的使用相当独特，通常只用于从 Babuk（ESXi 变体）源代码派生的勒索软件。 此分析表明 ESXiArgs 可能采用了泄露的Babuk 源代码，该源代码之前已被其他 ESXi 勒索软件活动使用，例如 CheersCrypt 和 Quantum/Dagon 的 PrideLocker 加密器。 加密器由一个 Shell 脚本文件执行，该脚本文件使用各种命令行参数启动，包括公共 RSA 密钥文件、要加密的文件、不会加密的数据块、加密块的大小和文件尺寸。加密器使用 encrypt.sh shell 脚本启动，该脚本充当攻击背后的逻辑。启动时，脚本将执行以下命令来修改 ESXi 虚拟机的配置文件 (.vmx)，以便将字符串“ .vmdk” 和“ .vswp” 更改为“ 1.vmdk” 和“ 1.vswp ”。 修改VMX文件 接下来，该脚本将强制结束 (kill -9) 所有包含字符串“ vmx ”的进程，从而终止所有正在运行的虚拟机。随后将使用“esxcli storage filesystem list | grep "/vmfs/volumes/" | awk -F'  ' '{print $2}”命令获取 ESXi卷列表，搜索与.vmdk、.vmx、.vmxf、.vmsd、.vmsn、.vswp、.vmss、.nvram、.vmem扩展名匹配的文件。每找到一个文件，脚本将在同一文件夹中创建一个 [file_name].args 文件，其中包含计算出的大小步长、“1”和文件大小，例如，server.vmx 将有一个关联的 server.vmx.args 文件。之后，脚本将使用’encrypt’可执行文件，根据计算出的参数对文件进行加密。 创建.args文件和加密文件的例程 加密后，脚本将用赎金票据替换 ESXi index.html 文件和服务器的 motd 文件。最后，该脚本将删除似乎安装到/store/packages/vmtools.py[ VirusTotal ] 的后门，并从以下文件中删除多行： /var/spool/cron/crontabs/root /bin/hostd-probe.sh /etc/vmware/rhttpproxy/endpoints.conf /etc/rc.local.d/local.sh 清理各种 Linux 配置文件和潜在后门 这种清理和对 /store/packages/vmtools.py的应用与瞻博网络（juniper）在 2022 年 12 月观察到的 ESXi 服务器的自定义 Python 后门非常相似 。为此所有服务器管理员都应该检查此 vmtools.py 文件是否存在，以确保它已被删除。     转自 Freebuf，原文链接：https://www.freebuf.com/news/356626.html 封面来源于网络，如有侵权请联系删除  

据BleepingComputer 2月1日消息，知名勒索软件组织LockBit 开始使用一种新型加密器，其源代码来自已经被解散的Conti 勒索软件。 据推特上多位知名安全博主表示，LockBit使用的这种新型加密器被称为“LockBit Green”，通过对样本进行逆向工程，发现它100% 基于 Conti泄露的源代码，但令人困惑的是，LockBit已经拥有属于自己的加密器，却还要选择基于 Conti 构建有效负载。 网络安全公司 PRODAFT 向BleepingComputer 分享了所发现的四个 LockBit Green 样本的 MD5 哈希值， 并透露至少有 5 名受害者受到了使用LockBit Green变体的攻击。BleepingComputer 测试了 PRODAFT 共享的其中一个样本，也发现使用了与Conti 加密器相同的命令行参数，但赎金票据已修改为 LockBit 3.0的样式，而不是 Conti 的格式。 LockBit Green 赎金票据 BleepingComputer 也注意到LockBit Green 使用的似乎是随机扩展名，而不是标准的 .lockbit扩展名。 LockBit Green 使用的不同加密文件扩展名 虽然目前并不清楚 LockBit在自有的加密器正常使用的情况下，还会使用基于 Conti 的新加密器，但PRODAFT观察到，一些前 Conti 成员似乎看好LockBit Green。自Conti 勒索软件组织解散后，已有一些黑客组织开始利用Conti的源代码，但稍显讽刺的是，这家有着俄罗斯背景的勒索软件组织的源代码现在却被一些组织用来攻击俄罗斯企业。       转自 Freebuf，原文链接：https://www.freebuf.com/news/356320.html 封面来源于网络，如有侵权请联系删除

1月31日，微软透露其安全团队Redmond正在跟踪 100 多个在攻击期间部署勒索软件的攻击者，总共监控到 50 多个在去年被频繁使用的勒索软件系列。 微软例举了一些最突出的勒索软件有效负载，包括Lockbit Black、BlackCat（又名 ALPHV）、Play、Vice Society、Black Basta 和 Royal。但微软表示“防御策略应该更少地关注有效负载，而更多地关注导致其部署的活动链”，因为勒索软件仍在针对那些不常见漏洞或最近正需要修补漏洞的设备进行攻击。 攻击策略 虽然一直有新的勒索软件系列出现，但大多攻击者在破坏网络和通过网络传播时都使用相同的策略，对此类行为进行检测将有助于阻止他们的攻击。 微软也提到，攻击者越来越依赖网络钓鱼以外的策略来进行攻击，比如利用 Exchange Server 的DEV-0671 和 DEV-0882漏洞部署 Cuba 和 Play 勒索软件。就在不久前，Exchange 团队敦促客户通过应用最新支持的累积更新 (CU) 来为本地 Exchange 服务器打补丁，让他们随时准备部署紧急安全更新。据报道，超过 60000 台暴露在 Internet 上的 Exchange 服务器容易受到利用ProxyNotShell RCE 漏洞的攻击。与此同时， 也有数千台服务器正受到利用ProxyShell 和 ProxyLogon 漏洞攻击的风险，这是2021年最常被利用的两个安全漏洞。 其他攻击者也正在转向或使用恶意广告来提供恶意软件加载器和下载器，以传播勒索软件和各种其他恶意软件变种，如信息窃取程序。例如，一个被追踪为 DEV-0569 的攻击者被认为是勒索软件团伙的初始访问代理，在广告活动中滥用 Google Ads来分发恶意软件，从受感染的设备中窃取密码，并最终获得对企业网络的访问权限，并将权限出售给其他攻击者，如Royal 勒索软件组织。 近期活动趋势 在具体的勒索软件活动趋势中，2022年的一起标志性事件是Conti勒索软件组织在执法行动的压力下迎来终结，但基于勒索软件即服务 (Raas) 的勒索行为正在兴起，包括LockBit、Hive、Cuba、BlackCat 和 Ragnar在内的勒索软件组织在去年频繁作案。 尽管如此，  根据区块链分析公司 Chainalysis 的数据，勒索软件组织去年的勒索收入大幅下降了 40% 左右，为4.568 亿美元，而前年的收入达到了创纪录的 7.65 亿美元。但这种下降趋势并不是因为攻击次数减少，而是因为越来越多的受害者开始拒绝支付勒索赎金。 最近，在美国司法部、联邦调查局、特勤局和欧洲刑警组织的国际执法行动的打击下，Hive 勒索软件数据泄露和 Tor 支付暗网被查封，FBI向受害者分发了 1300 多个解密密钥，并获得了对 Hive 通信记录、恶意软件文件哈希值和 250 个 Hive 分支机构详细信息的访问权限，美国国务院也悬赏1000万美元，寻求 Hive 勒索软件组织或其他攻击者与外国政府存在联系的线索。 某种程度上说，在打击勒索软件领域，2023年似乎迎来了开门红。     转自 Freebuf，原文链接：https://www.freebuf.com/news/356171.html 封面来源于网络，如有侵权请联系删除  

据日本媒体报道，日本警察厅已成功解密由LockBit勒索软件组织加密的文件，帮助至少 3 家公司在没有支付赎金的情况下恢复了数据。 反恶意软件供应商 Malwarebytes 最近表示， LockBit 是2022 年最多产的勒索软件团伙，在全球范围内进行了数百次已确认的攻击，但现在日本警察厅似乎找到了消除威胁的方法。 这要归功于日本警察厅今年 4 月新成立的网络警察局和网络特别调查组，大约 2400 名调查人员和技术人员开始专注于网络犯罪领域。“我们因此能够避免丢失数据或需要付费才能取回数据。”今年9 月曾遭受 LockBit 攻击的汽车零部件制造商 Nittan 的一位代表告诉媒体。 据悉，日本警察厅已经开始着手与其他国家调查机构分享其解密方法。碰巧的是，国际反勒索软件特别工作组也可能会在2023年1月开始运作。该工作组包括美国、日本及澳大利亚，它们共同属于Counter Ransomware Initiative，该合作伙伴关系包括了欧盟在内的 36 个国家。 早在几年前，欧洲刑警组织和 IT 安全公司就开始提供免费的恢复工具，私营公司也开发了一些自己的工具。然而，这些大多适用于较旧的恶意软件，并没有对较新版本的勒索软件起到太大作用。 LockBit 自 2019年末出现以来，已迅速更跌至3.0版本，成为最流行的勒索软件系列之一，勒索目标涵盖了大型跨国公司及地方政府，权威人士认为 LockBit 的成功源于该组织成熟的RaaS（勒索软件及服务）运作能力。此外，由于LockBit 组织相对分散，局部的执法行动很难动其根基，因此研发解密工具无疑是现阶段一种比较有效的反制措施。   转自 Freebuf，原文链接：https://www.freebuf.com/articles/353927.html 封面来源于网络，如有侵权请联系删除

Therecord 网站披露，俄亥俄州芒特弗农市警察局、法院和其它政府办公室遭到勒索软件攻击。市政府官员表示，本市信息技术 IT 供应商使用的某个远程访问工具中存在一个安全漏洞，攻击者安装了名为 LockBit 的勒索软件，并要求支付赎金以获取某些文件。 攻击事件发生后，市政府安全专家和 IT 供应商 Dynamic Networks 一直在努力利用备份恢复所有受影响的系统。从发布的声明来看，易受勒索软件影响的软件已经从所有系统中移除了。 LockBit 勒索软件团伙 2022 年，勒索软件团伙针对新泽西、科罗拉多、俄勒冈、纽约和其他几个州的政府展开了网络攻击。 专家指出，这是针对地方、州和国家政府持续攻击趋势的一部分，今年发生了 175 起针对政府的网络攻击，相比 2021 年 196 起有所下降，但仍然是一个大问题。 LockBit 已迅速成为 2022 年最“活跃”的勒索软件团伙，今年对世界各地政府机构、公司和组织发动了数百次网络袭击。该团伙在 2020 年 1 月开始崭露头角，目前已经成为世界上最活跃和最具破坏性的勒索软件变种之一。 根据 Recorded Future 从勒索网站、政府机构、新闻报道、黑客论坛和其它来源收集到的数据来看，LockBit团伙 与 8 月份发生的 82 次网络攻击事件有关，受害者总数更是达到 1111 个。 法国警方也表示，LockBit 上个月对巴黎东南部一家医院进行破坏性的网络攻击，此次攻击破坏了医院的医疗影像、病人入院和其它服务。此外，据网络安全公司 Dragos 的数据，第二季度针对工业系统的勒索软件攻击中约有三分之一是由 LockBi t发起的。 截至 2022 年 12 月，勒索软件攻击的图表。 自 6 月以来，LockBit 组织的活动突然激增，值得一提的是，该组织还推出了新版本 LockBit 3.0”，据称该版本包括技术改进和漏洞赏金计划。     转自 Freebuf，原文链接：https://www.freebuf.com/news/353816.html 封面来源于网络，如有侵权请联系删除

美国卫生与公众服务部（HHS）发出警告称：名为Royal的勒索软件组织正对国家医疗保健系统发起攻击。 该机构的卫生部门网络安全协调中心（HC3）说：”虽然大多数已知的勒索软件运营商都提供勒索软件服务，但Royal似乎是一个没有任何附属机构的私人团体，同时对于攻击的目标也一直出于经济目的。 目前，该组织声称要窃取数据进行双重勒索攻击，他们也会渗出敏感数据。 据Fortinet FortiGuard实验室称，Royal勒索软件至少从2022年开始活跃。该恶意软件是一个用C++编写的64位Windows可执行文件，通过命令行启动，这也表明它需要人工操作来触发在进入目标环境后感染。 除了删除系统中的卷影副本外，Royal还利用OpenSSL加密库对文件进行AES标准的加密，并在文件后缀上”.royal”。 上个月微软披露，它正在跟踪的一个名为DEV-0569的团体被观察到通过各种方法部署勒索软件。 这包括通过恶意广告、假的论坛页面、博客评论，或通过钓鱼邮件将恶意链接传递给受害者，导致合法的应用程序（如Microsoft Teams或Zoom）被安装流氓程序文件。 据了解，这些文件藏有一个被称为BATLOADER的恶意软件下载器，然后被用来提供各种各样的有效载荷，如Gozi、Vidar、BumbleBee，此外还滥用远程管理工具（如Syncro）来安装Cobalt Strike，以便后续部署勒索软件。 这个勒索软件团伙尽管今年才出现，但据了解该组织是由来自其他组织的有经验的攻击者组成，这表明了攻击方式在不断进化。 目前Royal勒索软件对医疗保健系统的攻击主要集中在美国，赎金要求从25万美元到200万美元不等。   转自 Freebuf，原文链接：https://www.freebuf.com/news/352319.html 封面来源于网络，如有侵权请联系删除

The Hacker News 网站披露，Vice Society 勒索软件组织增加了对教育机构的网络攻击，在 2022 年期间，该组织袭击了 33 个教育机构，超过 LockBit、BlackCat、BianLian 和 Hive 等其它勒索软件团伙。 从 Palo Alto Networks Unit 42 分享的数据分析结果来看，除教育机构外，Vice Society 其它攻击目标主要涉及医疗保健、政府、制造业、零售业和法律服务业等领域。 2022 年，Vice Society 100 多个受害者中，美国报告了 35 例，其次是英国 18例，西班牙 7 例，巴西和法国各 6 例，德国和意大利各 4例，澳大利亚 3 例，如此多攻击事件使其成为最具影响力的勒索软件团伙之一。 自 2021 年 5 月开始活跃以来，Vice Society 与其它勒索软件团队主要区别在于其不使用自己的勒索软件变体，而是依赖于地下论坛上出售的 HelloKitty 和 Zeppelin 等预先存在的勒索程序二进制文件。微软曾以 DEV-0832 的名义追踪过该组织活动轨迹，发现在某些情况下，Vice Society 尽量避免部署勒索软件直接勒索，而是利用窃取的数据进行勒索。 根据 Unit 42 的研究结果，Vice Society 一般会在受害者系统环境中“潜伏”时间 6 天左右，最初要求的赎金往往不会超过100万美元，在与受害者谈判后可能还会下降 60%左右。 最后，Umit 42 研究员 JR Gumarin 强调，网络安全能力有限、资源有限的教育机构往往最容易受到网络威胁，正在成为勒索软件组织的潜在目标。   转自 Freebuf，原文链接：https://www.freebuf.com/news/351858.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 一个名为Cryptonite的开源勒索软件工具包版本因其“架构和编程薄弱”而在野外被观察到具有擦除器功能。 与其他勒索软件不同，Cryptonite无法在地下网络犯罪网站上出售，而是直到最近才由名为CYBERDEVILZ的攻击者通过GitHub存储库免费提供。源代码及其分支已经被删除。 该恶意软件是用Python编写的，它利用加密包中的Fernet模块对扩展名为“.cryptn8”的文件进行加密。 但Fortinet FortiGuard实验室分析的一种新样本发现，它可以锁定文件，但无法重新解密，本质上就像一个破坏性数据擦除器。 但这一变化并非攻击者的故意行为，而是由于缺乏质量保证，导致程序在完成加密过程后试图显示勒索通知时崩溃。 Fortinet研究人员Gergely Revay在周一的一篇报道中表示：“这个漏洞的问题在于，由于勒索软件的设计简单，如果程序崩溃，甚至关闭，就无法恢复加密文件。” 勒索软件程序执行过程中引发的异常也意味着用于加密文件的“密钥”永远不会传输给运营商，从而锁定用户的数据。 这一发现是在勒索软件领域不断发展的背景下得出的，以文件加密恶意软件为幌子的擦拭器越来越多地部署在不允许解密的情况下覆盖数据。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

安全内参12月6日消息，上周末，法国巴黎一家综合性医院遭到勒索软件攻击，被迫叫停医疗手术并转移了6名患者。 法国卫生部表示，凡尔赛医院中心目前已经陷入无计算机系统可用的困境，该医疗综合体旗下有两所医院与一家养老院。 6名患者中，3名转移患者来自重症监护室，另外3名则来自新生儿病房。法国卫生部长弗朗索瓦·布劳恩 (Francois Braun)周日警告称，此次攻击后可能还有更多患者需要被转移至其他位置，并导致“医院进行了全面组织调整”。 这位部长在推特上表示，“这种以法国民众健康为要挟的行为不可接受……我们正在动员一切专业人员，确保给予患者护理和照料。” 虽然医院内部重症监护室的关键设备仍在运行，但由于内部网络故障再加上员工人手不足，已经无法单独监控各设备发回的生命体征。 巴黎检察官已经对这起所谓“勒索未遂”案件展开初步调查。 近几月法国医疗机构频遭网络攻击 布劳恩表示，近几个月来，包括凡尔赛医院中心在内，法国的医疗保健服务机构“每天都会遭到攻击”。不过其中“绝大多数”攻击都被成功阻止。 今年8月，巴黎另一家医院Center Hospitalier Sud Francilien也遭到勒索软件攻击，经过数周时间才得以恢复。 该医院雇员和患者的敏感数据被勒索团伙发布至其官方主页。法国警方已将此次攻击的幕后黑手归因于LockBit勒索软件团伙。 针对本次攻击，外媒The Record已经联系卫生部、法国国家网络安全机构国家信息系统安全局（ANSSI）并提出置评请求。 就在攻击前不久，上任已有八年九个月的法国国家信息系统安全局局长Guillaume Poupard宣布即将离职。 转自 安全内参，原文链接：https://www.secrss.com/articles/49773 封面来源于网络，如有侵权请联系删除