安全内参11月30日消息，英国议会国家安全战略联合委员会（JCNSS）周一举行首次证据介绍会，调查其国家安全战略能否有效应对勒索软件威胁。 联合委员会主席玛格丽特·贝克特(Margaret Beckett)议员表示，这次介绍会旨在确定“威胁的规模和性质”。 在此之前，由英国上、下议院议员组成的联合委员会已开放证据提交通道。 预计后续听证会将进一步引入应对勒索软件攻击的证人，包括受害者及执法机构。其中一部分由委员会传唤，另一些则根据书面证据进行选择。 勒索软件威胁规模有多大？ 贝克特表示，“人们似乎普遍认为，近年来勒索软件威胁正持续恶化，但总体上仍缺少能够证明威胁规模的可靠数据。” 网络安全公司NCC Group首席技术官Ollie Whitehouse、咨询公司Control Risks网络事件响应负责人Jayan Perera以及牛津大学网络安全教授Sadie Cresse三位证人，在本次介绍会上提出了以下几大要点： 针对英国组织的勒索软件攻击在实际“规模”上缺乏可见性； 尽管不清楚攻击事件的真实数量，但其他数据来源证实这确实是个普遍存在的威胁； 所谓“泄露网站”所公布的信息，并不足以体现其他未公开被盗数据的网络勒索活动； 勒索攻击事件上报的普及度不高，组织只在有明显好处时才会选择与政府和执法部门接触； 应当以仍在持续发展的网络安全科学为基础，据此探索对勒索软件的抵御之道。 会上公布了哪些证据？ 在本次调查之前，英国政府已经发布过两项国家安全战略审查：第一是2021年的安全、国防、发展与外交政策综合审查，其中将勒索软件确定为“最有害的网络犯罪形式之一”；第二是今年的英国国家网络战略，其中将勒索软件描述为“英国面临的最重大网络威胁”，且“可能与国家支持的间谍活动具备同等危害”。 在听证会的开场，Ollie Whitehouse引用了美国财政部金融犯罪执法网络（FinCEN）本月早些时候发布的数据。数据显示，2021年全美勒索软件攻击和支付赎金数额均创下新纪录。 他指出，上报的事件已经由2020年的487起跃升至1489起，同比增长约300%。但2022年期间，NCC Group对勒索软件泄露网站的分析显示，受害者数量减少了7%至10%。 Jayan Perera观察到，俄乌战争似乎影响到了勒索软件即服务（RaaS）生态系统。知名勒索软件组织Conti内部的亲俄与亲乌派成员就曾发生过冲突，地缘政治争端后来导致其聊天记录泄露。 Sadie Cresse多次强调犯罪团伙的经济学原理，例如确定供应链攻击如何通过一次投入拿下多位受害者，以此获取规模经济收益。 她还指出，尽管Conti组织已经覆灭（该团伙此前曾攻击哥斯达黎加政府引发该国政治动荡），但其个人成员仍可能以新的身份继续活跃，这也体现出犯罪生态系统的内部流动性。 “隧道尽头没有光明” 英国上议院议员Baroness Crawley援引媒体报道，提到勒索软件攻击已经成为英国政府内阁办公室简报室（COBR）召开会议的主要原因。 报道称，尽管经过几个月的工作，内政部领导的勒索软件“冲刺”已经在一年前结束，但政府方面仍未采取任何切实行动以应对这一威胁。 直接负责勒索软件事务的官员表示，他们觉得隧道尽头没有光明，甚至完全感受不到有助于英国遏制这方面问题的任何希望。 Perera和Whitehouse都对政府的迟缓行动做出辩护。Creese则表示，“其实勒索软件中还涉及其他多种网络威胁类型，所以我建议把对勒索软件的担忧转化为对网络弹性的整体推进。” 转自 安全内参，原文链接：https://www.secrss.com/articles/49576 封面来源于网络，如有侵权请联系删除

据悉，Koxic勒索软件正在韩国境内传播。它在今年早些时候首次被发现，最近该团队发现，一个外观和内部勒索笔记都经过修改的文件被检测到，并被ASD基础设施屏蔽。 当感染时，“.KOXIC_[Random string]”扩展名将添加到加密文件的名称中，并在每个目录中生成TXT文件勒索通知。 最近收集的勒索信与BlueCrab（Sodinokibi，REvil）勒索软件的勒索笔记相似，该勒索软件曾在韩国发行。 BlueCrab有自己的网站，并指定用户应该通过TOR浏览器访问它。与BlueCrab相反，Koxic勒索软件通过电子邮件指导联系。 在过去收集的Koxic勒索软件样本中，有些样本的勒索笔记完全不同，有些则与BlueCrab格式几乎相同。但这两个勒索软件之间似乎没有直接联系，因为它们的代码没有相似之处。 另外需要注意的是，部分名称被故意更改以隐藏UPX包装。这种技术被称为UPX技巧，是一种常用的方法，用UPX打包的文件被修改以阻碍分析或绕过AV软件的自动解包。   更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/2027/ 消息来源：ASEC，封面来自网络，译者：Shirley。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

邪恶的LockBit 3.0网络犯罪组织声称对加拿大魁北克小城Westmount（韦斯特芒特）的勒索软件攻击负责，该攻击导致Westmount的市政服务停止并关闭了员工电子邮件帐户，勒索者要求该市在12月4日之前支付一笔未公开数字的赎金。通过电话联Westmount市长，21日下午晚些时候，在得知袭击事件发生24小时后，仍然没有具体信息可以传达。市长和信息技术部门都无法确定黑客是否真的能够窃取公民或员工的信息。 Westmount是魁北克西南部一个拥有近21,000名居民的城市，周一（21日）最初报告称，由于不明原因的计算机中断，该市的电子邮件服务无法使用。后来，该市证实此次中断还影响了其他市政服务，并且源于有针对性的网络攻击。 该市网站上公告称电子邮件系统停服 “不幸的是，网络攻击在我们的社会中变得越来越普遍和复杂，尽管我们采取了所有措施，但公共行政部门并不能完全免受这一悲惨现实的影响，”Westmount市长克里斯蒂娜史密斯在一份声明中说。“我想向所有Westmount市民保证，我们的团队正在认真和勤奋地工作以应对这种情况，我们会随时通知居民。” Westmount市在政府网站上发布的消息 该市没有对攻击的范围发表评论，但表示已聘请一家网络安全公司进行调查并尽快恢复其系统。为了从袭击中恢复过来，Westmount得到了魁北克市政联合会的帮助。该组织委托VARS（Raymond Chabot Grant Thornton 的子公司）支持该市。 魁北克当地数字新闻机构La Presse援引该市IT主管Claude Vallières的话说，“我们知道我们有服务器被加密，但不知道是谁攻击了我们。我们仍在调查受感染的服务器，但我们没有与任何人进行过任何沟通。”最早发现异常的，是一名员工在周日（20日）早上报告了一台电脑的问题。作为预防措施，随后关闭了几台机器，”Claude Vallières 说。“我们将努力阻止感染。他的团队花了一整天的时间进行调查。 LockBit 3.0勒索软件组织声称对此次攻击负责，并表示已成功下载14TB的敏感数据。作为勒索软件即服务组织运营的LockBit 示，如果在接下来的两周内未支付赎金，它将公布被盗数据。 这条给Westmount的消息发布在LockBit暗网博客网站上。(来源:ISMG) LockBit勒索软件团伙以2021年针对埃森哲的勒索软件攻击而闻名，在进行了两个月的Beta测试并为道德黑客提供漏洞赏金以检查解密代码后，于2022年6月推出了LockBit 3.0恶意软件。 LockBit运营者发布了显示不同部门文件和其他数据的屏幕截图作为他们索赔的证据，但信息安全媒体集团无法立即联系市政当局并确认文件的真实性。 此次攻击发生在加拿大网络安全中心发布新的《2023-2024年国家网络威胁评估》之后。该报告中关键发现的第一条就是：勒索软件是对加拿大组织的持续威胁。网络犯罪仍然是最有可能影响加拿大人和加拿大组织的网络威胁活动。由于其对组织运作能力的影响，勒索软件几乎可以肯定是加拿大人面临的最具破坏性的网络犯罪形式。部署勒索软件的网络犯罪分子已经在不断发展和复杂的网络犯罪生态系统中进化，并将继续适应以实现利润最大化。 “只要勒索软件仍然有利可图，我们几乎肯定会继续看到网络犯罪分子部署它，”报告说。 美国司法部最近的一份声明，Lockbit是“最活跃和最具破坏性”的勒索软件之一。联邦调查局在对安大略省警察局 (OPP) 于10月底逮捕的一名俄裔加拿大人提起的诉讼中指出，他在最近几个月内“在世界上造成了至少1000名受害者。 Westmount市的官方网站并未受到此次攻击的影响，该市政府表示将在该网站上发布有关恢复情况的任何更新。市长向居民保证，数据安全是其“首要任务”，“保护我们居民和员工的信息也是如此”。 转自 安全内参，原文链接：https://www.secrss.com/articles/49270 封面来源于网络，如有侵权请联系删除

BleepingComputer在8月首次报道了Donut 勒索集团，将他们与对希腊天然气公司DESFA、英国建筑公司Sheppard Robson和跨国建筑公司Sando的袭击联系起来，证实Donut在对企业的双重勒索攻击中部署勒索软件。 而近期，BleepingComputer再次发现了用于Donut操作的加密器样本“VirusTotal”，进一步表明该组织正在使用自己定制的勒索软件进行双重勒索攻击。奇怪的是，Sando和DESFA的数据也被发布到几个勒索软件操作的网站上，Hive勒索软件声称发起了Sando攻击，Ragnar Locker则声称发起了DESFA攻击。 Unit 42研究员Doel Santos还表示：“赎金记录中使用的TOX ID可以在HelloXD勒索软件的样本中看到。这种被盗数据和附属关系的交叉发布让我们相信Donut Leaks背后的威胁行为者是众多行动的附属机构，现在正试图在他们自己的行动中将数据货币化。” Donut 勒索软件介绍 对于Donut勒索软件的分析仍在进行中。目前已知的是，在执行时，它会扫描匹配特定扩展名的文件进行加密。加密文件时，勒索软件会避开包含以下字符串的文件和文件夹： 当文件被加密时，Donut勒索软件会将.donut扩展名附加到加密文件。例如，1.jpg将被加密并重命名为1.jpg.donut。 由Donut勒索软件加密的文件 Donut Leaks的操作非常独特，其使用有趣的图形，在攻击中体现了一丝“幽默”。它甚至为可执行文件提供构建器，作为其Tor数据泄漏站点的网关。这种独特尤其体现在其赎金记录中，他们在其中使用了不同的ASCII艺术，例如旋转的ASCII甜甜圈。 Donut赎金记录 BleepingComputer看到的另一个勒索软件笔记会伪装成一个显示PowerShell错误的命令提示符，然后打印一个滚动的勒索笔记。为了避免被发现，赎金票据被严重混淆，所有字符串都经过编码，JavaScript在浏览器中解码赎金票据。这些赎金票据包括联系威胁行为者的不同方式，包括通过TOX和Tor协商站点。 Donut赎金谈判现场 Donut勒索软件操作还在其数据泄露站点上包含一个“构建器”，该构建器由一个bash脚本组成，用于创建Windows和Linux Electron应用程序，并带有捆绑的Tor客户端以访问其数据泄露站点 D0nut勒索软件electron应用程序 总的来说，这个敲诈勒索团体值得关注，不仅仅因为他们明显的技能，还因为他们推销自己的能力。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/iclz2GKglxTW-dNQG4s-dg 封面来源于网络，如有侵权请联系删除

据BleepingComputer 11月22日消息称，名为甜甜圈（D0nut）的勒索软件组织正制定针对企业的双重勒索攻击策略。 今年8月，BleepingComputer首次报道了甜甜圈勒索软件组织，它们分别参与了对希腊天然气公司 DESFA、英国建筑公司 Sheppard Robson 和跨国建筑公司 Sando 的网络勒索攻击。 最近，BleepingComputer 发现了用于甜甜圈的加密器样本，表明该组织正在使用自己定制的勒索软件进行双重勒索攻击。根据分析，加密器在执行时会扫描匹配特定扩展名的文件进行加密，并避开包含以下字符串的文件和文件夹： Edge ntldr Opera bootsect.bak Chrome BOOTSTAT.DAT boot.ini AllUsers Chromium bootmgr Windows thumbs.db ntuser.ini ntuser.dat desktop.ini bootmgr.efi autorun.inf 当文件被加密时，Donut 勒索软件会将 .d0nut 扩展名附加到加密文件。因此，例如，1.jpg 将被加密并重命名为 1.jpg.d0nut。 甜甜圈勒索软件还会利用 ASCII 编码，制作富有个性化的赎金票据页面，如旋转的 ASCII 甜甜圈。 甜甜圈勒索软件的赎金票据 为了增强隐蔽性，赎金票据被严重混淆，所有字符串都被编码，要通过JavaScript在浏览器中对赎金票据进行解码。这些赎金票据包括联系攻击者的不同方式，例如通过 TOX 和 Tor 协商站点。 甜甜圈勒索软件还在其数据泄露站点上设置了一个构建器，由一个 bash 脚本组成，用于创建 Windows 和 Linux Electron 应用程序，并带有捆绑的 Tor 客户端以访问数据泄露站点。 BleepingComputer认为，该勒索组织不仅有较为突出的技能水平，而且还有一定的营销能力，需要对其引起足够的警惕。 转自 Freebuf，原文链接：https://www.freebuf.com/news/350528.html 封面来源于网络，如有侵权请联系删除

近日，LockBit 3.0网络犯罪团伙声称对加拿大韦斯特蒙市政服务平台瘫痪和关闭员工电子邮件账户的勒索软件攻击事件负责，并要求该市在12月4日前支付赎金。 根据韦斯特蒙市报道，该市的电子邮件服务因不明原因的计算机故障而无法使用，并且该故障也影响了其他市政服务。后经证实该次故障源于一次有针对性的网络攻击。 韦斯特蒙市长Christina Smith在一份声明中说：”网络攻击在我们的社会中变得越来越普遍和复杂，尽管我们采取了所有的措施，公共管理部门也不能完全避免这种恶意的攻击”。”我向所有韦斯特蒙市民保证，市政府正在全力以赴的应对此次网络袭击事件，并正在拟定补救措施。接下来我们每一步工作和计划都会向广大市民公布，让广大市民监督“。 目前该市并未通报此次事件所影响的程度以及带来的损失，但表示目前已经聘请了一家网络安全公司进行调查，并尽快恢复其系统。 该市IT部门负责人Claude Vallières说：”我们知道我们有加密的服务器，但我们不知道是谁攻击了我们。我们仍在调查被感染的服务器，但我们目前没有收到任何赎金通知”。 LockBit声称对该事件负责 LockBit 3.0勒索软件集团声称对这次攻击负责，并称他们已经成功下载了14兆字节的敏感数据，如果在未来两周内不支付赎金，将公布被盗数据。 以2021年针对埃森哲的勒索软件攻击而闻名的LockBit勒索软件组织，在进行了两个月的测试于2022年6月推出了LockBit 3.0恶意软件。 LockBit运营商发布了显示不同部门文件和其他数据的截图，作为此次攻击事件的证据，但信息安全媒体无法立即联系市政府确认这些文件的真实性。 这次攻击是在加拿大网络安全中心发布新的《2023-2024年国家网络威胁评估》后发生的。该报告称，勒索软件是 “加拿大人面临的最具破坏性的网络犯罪形式”，只要勒索软件仍然有利可图，我们肯定会继续看到网络犯罪分子部署它。 目前，韦斯特蒙市的官方网站没有受到攻击的影响，市政府说：任何关于此次事件的情况及恢复都会在网站上传达更新。市长向市民保证，数据安全是其 “首要任务”，我们会竭尽全力保护我们市民的信息。 转自 Freebuf，原文链接：https://www.freebuf.com/news/350538.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： Cyble研究和情报实验室（CRIL）的专家发现了三个新的勒索软件：AXLocker、Octocrypt和Alice勒索软件。 AXLocker勒索软件会加密受害者的文件，并从受感染的机器上窃取Discord令牌。对代码的分析表明，startencryption()函数通过枚举C:\驱动器上的可用目录来实现搜索文件的功能。该恶意软件只针对特定的文件扩展名，并从加密过程中排除目录列表。 AXLocker勒索软件使用AES加密算法加密文件，与其他勒索软件不同，它不会更改加密文件的名称或扩展名。 Cyble发布的分析表明：“在加密受害者的文件后，勒索软件收集并向黑客发送敏感信息，如计算机名、用户名、机器IP地址、系统UUID和Discord令牌。” 恶意软件使用正则表达式在本地存储文件中查找Discord令牌，然后将其与其他信息一起发送到Discord服务器。 一旦勒索软件对文件进行了加密，它就会弹出一个窗口，其中包含一张赎金通知，指示用户与操作人员联系。赎金单不包括要求受害者恢复文件的金额。 Cyble还发现了一种名为Octocrypt的新勒索软件，这是一种Golang勒索软件，其运营商正在采用勒索软件即服务（RaaS）的商业模式。该恶意软件于2022年10月左右出现在威胁环境中，售价为400美元。 Cyble继续说道：“Octocrypt网页面板生成器界面允许黑客通过输入API URL、加密地址、加密金额和联系人邮箱地址等选项来生成勒索软件二进制可执行文件。” Cyble发现的第三种勒索软件被称为“Alice”，也被提供为勒索软件即服务（RaaS）。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

安全内参11月18日消息，自2018年以来，全球已发生500次公开确认的针对医疗保健组织的勒索软件攻击。凶猛的攻势导致近13000个独立设施瘫痪，并影响到近4900万份病患记录。 总体估算，我们认为这些攻击仅由停机造成的经济损失就已超过920亿美元。 勒索软件攻击对各行业不同组织有着广泛的破坏力。其不仅能够将系统加密锁死，还可能将个人数据置于失窃与被利用的风险之下。而当来到医疗保健场景，相关风险将进一步提升，关键系统和患者数据可能无法访问，导致严重延误甚至危及病患生命安全。例如，阿拉巴马州一项将于本月开庭的诉讼就表明，2019年针对一家医院的勒索软件攻击已致使一名婴儿死亡。 下面，本文将探究勒索软件对全球医疗机构的攻击与影响。美国研究团队Comparitech使用全球勒索软件跟踪程序采集到的数据，探索了勒索软件在医疗保健领域引发的持续威胁，特别是这些攻击造成的真实成本。这次研究只涉及公开确认的攻击，所以实际数据可能更加触目惊心。 图：2018 年至 2022 年 10 月对医疗保健组织的勒索软件攻击 图：医疗保健勒索软件攻击次数（按组织类型划分） 请注意，某一国家比其他国家遭受的攻击次数更多，并不一定代表其更易成为攻击者的“目标”。相反，这可能代表着该国对勒索软件攻击的认识和报告更加成熟且深入。以美国为例，各州就有多种数据泄露报告工具和法规，有助于确认攻击事件。相比之下，其他国家/地区可能不存在同类工具或法规。 重要发现 2018年初至2022年10月期间，我们在研究中发现： 共有500起针对医疗机构的勒索软件攻击；其中2021年攻击数量最多，共发生166起。 共12961家独立医院/诊所/组织可能受到攻击影响。 攻击至少影响到4884万7107份个人病历，其中接近半数（约2000万份）来自2021年。 赎金要求从900美元到2000万美元不等。 我们估计，黑客索取的赎金总额已超过12亿美元。 我们估计，受害者已向黑客支付了近4400万美元赎金。 勒索攻击造成的停机时间从几小时到七个月（期间系统无法满负荷运转）不等。 攻击引发的平均停机时间从2021年和2022年开始急剧增加，分别为19.5天和16天。 全球勒索软件引发的医疗机构停机总成本估计为920亿美元。 Conti、Pysa、Maze、Hive和Vice Society成为占比最高的几种勒索软件毒株，前三种在2020/2021年间占据主导地位，后两种在2021/2022年间占主导地位。 针对医疗保健组织的逐年/逐月勒索软件攻击统计 如前文提到，2021年是医疗保健组织遭受勒索软件攻击最严重的一年，占自2018年以来整个采样周期内所有攻击的33%（166起）。2020年同样占比不小，共发生137起攻击。 这两年恰逢新冠疫情大爆发。由于医疗机构运营压力巨大、资源捉襟见肘，恶意黑客也找到了趁虚而入的方法，例如疲惫的员工们更难发现包含勒索软件的网络钓鱼邮件。 2022年起，针对医疗保健组织的勒索软件攻击有所减少，截至10月底共83起。虽然数量较少，但预计这一数字在未来几个月内又会重新上升，因为不少攻击是在发生几个月后才被公开上报（例如当黑客已经对外公布数据，或向受影响患者发出通告时，相关机构才被迫承认）。 攻击数量： 2022年（截至10月）— 83起 2021年 – 166起 2020年 – 137起 2019年 – 78起 2018年 – 36起 受影响的病患记录数量： 2022年（截至10月）— 535万1462份 2021年 – 2000万8774份 2020年 – 488万9336份 2019年 – 1802万7346份 2018年 – 57万189份 平均停机时间： 2022年（截至10月）– 16.1天 2021年 – 19.5天 2020年 – 12.3天 2019年 – 13.3天 2018年 – 2.6天 各年停机时长和相应事件数量（已知部分）： 2022年（截至10月）– 514天 (32起事件) 2021年 – 974天（50起事件） 2020年 – 394天（32起事件） 2019年 – 279天（21起事件） 2018年 – 13天（5起事件） 估算总停机时间（将已知事件的平均值推衍至未知事件算出）： 2022年（截至10月） – 1334天 2021年 – 3232天 2020年 – 1685天 2019年 – 1037天 2018年 – 94天 估算停机成本： 2022年（截至10月） – 166亿美元 2021年 – 403亿美元 2020年 – 210亿美元 2019年 – 129亿美元 2018年 – 117亿美元 勒索软件攻击对医疗机构造成的真实成本 不同攻击事件提出的赎金数额往往存在很大差异，统计数字发现赎金最低可至900美元（法国伊苏丹的Centre Hospitalier de la Tour Blanche à Issoudun医疗中心于2019年上报），最高则达到2000万美元（由爱尔兰健康服务局于2021年上报）。造成这种差异的原因，可能是因多数组织并未透露赎金要求（特别是决定屈服、向黑客支付赎金的组织），所以抽样结果不足以反映整体趋势。 只有40起事件报告中给出的赎金数字。除以上提到的爱尔兰健康服务局外，其他赎金数字巨大的事件还包括： 以色列Hillel Yaffe医疗中心——1000万美元：2021年10月，黑客向以色列Hillel Yaffe医疗中心勒索1000万美元。该中心拒绝付款，整个恢复周期持续了约一个月。 法国Le Centre Hospitalier Sud Francilien——1000万美元：法国CHSF在2022年8月收到1000万美元赎金要求。LockBit团伙随后将赎金要求减少至100万美元，但截至本文撰稿时，受害方仍未付款。目前距离服务中断已过去三周，预计将在11月内全面恢复。 美国UF Health Central Florida——500万美元：虽然尚未确认受害方是否支付了赎金，但院方已经提交一份涉及70万981名患者的数据泄露报告，这似乎表明其没有屈服于黑客的压力。 根据目前掌握的数据，可以看到： 平均勒索金额： 2022年（截至10月） – 188万7058美元 2021年 – 579万2857美元 2020年 – 69万624美元 2019年 – 38万6067美元 2018年 – 19400美元 索取的赎金总额（已知部分）： 2022年（截至10月）– 1887万美元（10起事件） 2021年 – 4055万美元（7起事件） 2020年 – 414万美元（6起事件） 2019年 – 463万美元（12起事件） 2018年 – 97000美元（5起事件） 受害方支付赎金的百分比： 2022年（截至10月）– 13%（16起事件中，有2起支付了赎金） 2021年 – 9%（35起事件中，有3起支付了赎金） 2020年 – 26%（38起事件中，有10起支付了赎金） 2019年 – 30%（40起事件中，有12起支付了赎金） 2018年 – 36%（14起事件中，有5起支付了赎金） 通过这些数字，我们可以估算出： 赎金估算总额： 2022年（截至10月）– 1.566亿美元 2021年 – 9.616亿美元 2020年 – 9460万美元 2019年 – 3010万美元 2018年 – 69万8400美元 已支付赎金的估算总额： 2022年（截至10月）– 2140万美元 2021年 – 无法确认支付赎金总额 2020年 –1930万美元 2019年 – 270万美元 2018年 – 38万5714美元 可以看到，近年来勒索软件攻击提出的赎金要求一路飙升，但能够确认的赎金支付数额并不算大。随着人们对勒索软件的认知不断提高，更多企业可能不会公开赎金要求以及是否支付了赎金。毕竟有观点认为，承认支付赎金只会给这些组织招来更多后续勒索攻击。 这一观点有其事实支撑。2021年根本无法确认支付赎金总额，而2022年也仅有一笔赎金上报：恶意黑客对卢森堡、比利时和荷兰的130多处分支机构系统造成严重破坏之后，牙医诊所Colosseum Dental为此支付了超过200万美元赎金。 用停机时间计算损失 可以看到，单靠赎金来计算勒索软件攻击造成的损失非常困难。但我们发现，此类事件中还有另一个更易于衡量的因素——停机时间。 在多数情况下，勒索软件攻击都会导致系统在数小时、数天、数周甚至数月之内无法访问。在某些极端情况下，系统甚至无法恢复正常。 从前文数据可以看到，我们整理到共140个实体的停机时间，总停机时长为2174天，相除计算得出每起攻击事件的平均停机时长。以此为依据，即可估算出所有上报勒索软件攻击的停机总时长——结果为，全球医疗保健组织因停机而承受的业务中断总计7381天，相当于20多年。 2017年的一项研究发现，20个不同行业的平均每分钟停机成本估算为8662美元。按同样的标准计算，医疗保健组织仅因系统停机就损失了超过920亿美元。 尽管这个数字看似巨大，但从部分医疗机构在遭受攻击后披露的信息来看，好像也不是那么夸张。 例如，爱尔兰健康服务局就透露，在攻击发生之后，他们花费了21亿美元升级其IT系统。2021年针对美国Scripps Health的攻击也造成了超1.12亿美元损失。 针对医疗机构的勒索软件攻击仍是一大突出威胁 尽管2022年针对医疗保健组织的勒索攻击数量有所下降，但这并不代表威胁程度有所降低。可以看到恶意黑客提出的赎金数字和造成的停机时间愈发可观，而且黑客可能也在选取更具针对性的攻击方法，确保用更广泛的破坏力提升收到赎金的机率。 此外，针对系统进行加密锁定和数据窃取的“双重勒索”也愈发多见。即使受害实体能够利用备份快速恢复系统，恶意黑客仍然掌握着大量病患私人数据，足以强迫企业选择接受谈判。而且即使企业方最终拒绝支付赎金，出售这些数据也可能给黑客带来巨额利润。 勒索软件攻击有所减少的另一个原因（此趋势在美国乃至全球各行业均有体现）在于，组织对于遭受攻击的态度越来越“低调”。随着人们对勒索攻击认知的增加，受影响实体不太愿意以坦诚的态度上报此类事件。这一方面源自遭受勒索软件攻击带来的耻辱感，另外也是担心会在未来招致更多攻击。 研究方法 从勒索软件攻击图谱中的数据来看，我们在研究中共发现了500起针对医疗保健组织的勒索软件攻击。结合数据内容，我们最终估算出了赎金总额、是否支付赎金以及造成的停机时间。 对于未给出具体停机数字的事件，例如“数日”、“一个月”或“六周后已恢复至80%”，我们会根据数字的下限进行估算。例如，“数日”计为3天，“一个月”计为攻击发生当月的总天数，“六周后已恢复至80%”则直接计为六周。 对于受勒索攻击事件影响的组织，我们将其整理为17种具体类型，定义如下： 学术性医院 救护服务 诊所：提供全方位医疗保健服务的诊所 诊所网络：由多家诊所组成的体系，提供全方位的医疗保健服务 牙医诊所：提供牙科保健服务的诊所 政府卫生部门：受健康相关数据泄露影响的一般政府部门/实体，例如人类卫生服务部/州政府 家庭/老年护理：包括在当地社区提供社会服务的组织 医院 医院网络：由多家医院组成的体系，提供全方位的医疗保健服务 实验室：以医疗健康为基础的实验室业务 心理健康：为成瘾性等精神疾病提供支持的服务机构 验光诊所：提供眼科保健服务的诊所 药房：专门提供药品的组织/网络 康复服务 医疗研究机构 专科诊所：面向特定医疗保健领域的诊所，例如内科诊所或康复中心 专科诊所网络：同上，但拥有多家诊所/多个运营地点 转自 安全内参，原文链接：https://www.secrss.com/articles/49153 封面来源于网络，如有侵权请联系删除

BleepingComputer 曝光了近日正在肆虐的 Azov 数据擦除恶意软件，可知其能够通过广告软件捆绑、盗版软件下架、以及密钥生成器来分发。与近年来流行的勒索软件不同的是，新变种还将黑锅扣到知名的网络安全研究人员头上 —— 比如宣称自己由程序员兼恶意软件分析师 Hasherezade 打造。 如上方截图，亚速（Azor）恶意软件在勒索文本中恬不知耻地表示 ——“对设备的加密抗议旨在抗议克里米亚，以及西方世界在帮助乌克兰对抗俄罗斯方面做得不够”。 此外在指引受害人解密文件的描述中，Azor 恶意软件还指示受害者在 Twitter 上联系多位知名网络安全研究人员或研究机构，比如 Lawrence Abrams、Michael Gillespie 和 Vitali Kremez，以及 BleepingComputer、MalwareHunterTeam 和 VK Intel 。 然而现实是，由于上述人员和组织与 Azor 勒索软件没有任何关联，他们根本无法协助受害人清楚勒索软件、更别提支付赎金了。 MalwareHunterTeam 指出，Azov 勒索软件大约在两周前开始传播，其背后的威胁行为者似乎通过 SmokeLoader 僵尸网络实施了新变种的安装与传播。 许多网络犯罪分子都利用过 SmokeLoader 打造恶意软件，且通常分布于虚假的算号器、外挂、破解、以及游戏 Mod 网站中。 BleepingComputer 补充道，一些已被 Azor 勒索软件加密的系统、同样感染了 RedLine Stealer 恶意软件和 STOP 勒索软件。 最后，为保护计算机免受恶意软件攻击，希望大家不要出于好奇而访问潜在的恶意网站，并在打开不请自来的电子邮件时务必小心。 此外请确保将反病毒软件始终保持在最新，以防横向传播到通网络内的其它设备。以及养成定期备份系统和重要文件资料的习惯，从而在遇到意外状况时轻松恢复。 转自 cnBeta，原文链接：https://www.toutiao.com/article/7160594333761061383/ 封面来源于网络，如有侵权请联系删除

美国金融监管机构发布报告称，2021年勒索软件攻击与赎金支付数量再创历史新高，多数勒索软件变种的幕后操纵者据信与俄罗斯有关。 总体来看，2021年金融机构根据美国《银行保密法》要求上报的勒索攻击总损失，已经由前一年的4.16亿美元骤升至12亿美元。 这些数据出自周二美国财政部下辖金融犯罪执法网络（FinCEN）发布的最新报告。 2021年内上报事件总计1489起，远高于2020年的487起。研究人员报告称，“勒索软件持续对美国各关键基础设施部门、企业及公众构成重大威胁。” 报告写道，“过去两年以来，勒索软件攻击者开始从广撒网转向针对性入侵，通过精心挑选受害者、重点针对大型企业和提出高额赎金要求等方式，尽可能提高‘投资’回报。” 与此同时，美国白宫周一举办反勒索软件倡议全球峰会，接待来自30多个国家/地区的代表，共商勒索软件难题的解决之道。目前，勒索软件在全球范围内日益猖獗。 值得注意的是，俄罗斯官员缺席了此次会议。FinCEN表示，绝大多数勒索软件攻击均可溯源至俄罗斯。 报告发现，目前五大顶级勒索软件变种均与俄罗斯有关，而且近70%的勒索攻击事件“与俄罗斯、其代理人或俄方行动代表有关。” 报告指出，“虽然很难确定恶意软件的具体归属，但从这些变体的开源信息中确实发现了一些共性，例如使用俄语代码，通过编码刻意绕开俄罗斯或其他前苏联国家，主要在俄语网站上投放广告等。” 今年下半年，勒索软件攻击数量急剧增加。7月1日后上报的攻击事件已经达到793起，而俄罗斯恶意软件变种继续在其中占比四分之三。   转自 安全内参，原文链接：https://www.secrss.com/articles/48587 封面来源于网络，如有侵权请联系删除