美国驻黑山大使馆警告居留当地的美国人，该国正在进行的勒索软件攻击可能会对该国关键的公共服务和政府服务造成广泛的破坏。黑山国家安全局（ANB）上周首次证实了这一勒索软件攻击，其目标是政府系统和其他关键的基础设施和公用事业，包括电力、水系统和交通系统。在撰写本报告时，黑山政府的官方网站无法使用，由于攻击，甚至数个发电厂都已经转为手动操作。 然而，黑山的官员声称没有数据被盗，并声称没有设施因为这次攻击而造成永久性损害。ANB宣称，该国正处于”混合战争”之下，并将这次攻击归咎于俄罗斯协调的对抗行为。自黑山于2017年加入北约以来，两国的关系一直很紧张，之后俄罗斯威胁要采取报复行动。 此后，美国驻黑山大使馆发布了安全警报，表示黑山政府正面临着一场”持续不断的”网络攻击。”大使馆警告说：”攻击可能包括对公共事业、交通（包括边境口岸和机场）和电信部门的干扰。建议居住在巴尔干国家的公民限制旅行，审查个人安全计划，并注意周围的环境”。 根据恶意软件研究小组VX-Underground的说法，Cuba勒索软件集团声称对这次攻击负责。在其暗网泄露网站上，Cuba勒索软件集团声称它在8月19日从黑山议会获得了”财务文件、与银行雇员的通信、账户变动、资产负债表、税务文件、赔偿金[和]源代码”。 黑山自8月20日以来总理职位一直空缺，当时该国议会投票通过了对执政政府的不信任案，从而导致政府倒台。 网络安全公司Profero此前将Cuba勒索软件集团与讲俄语的黑客联系起来，研究人员在该集团与受害者谈判时观察到了这一点。但Profero表示，它相信该组织”不是国家支持的”。 这个勒索软件团伙自2019年以来一直存在，去年联邦调查局发布了一份警报，警告各组织，网络犯罪分子一直以关键基础设施为目标。联邦调查局表示，它已经观察到大约50个目标实体，黑客向受害者索要了数千万美元。 对黑山的攻击发生在与俄罗斯有联系的Conti勒索软件集团在4月开始的长达数周的攻击中攻击哥斯达黎加政府后仅几个月。在其暗网泄密博客上发布的一条信息中，Conti敦促哥斯达黎加公民向他们的政府施压以支付赎金，该组织后来将赎金翻倍至2000万美元。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1310931.htm 封面来源于网络，如有侵权请联系删除

据火绒安全实验室发布的消息，火绒监测到某勒索软件突然爆发，后门模块位于用友畅捷通 T+ 软件目录里。病毒爆发时间与用友畅捷通 T+ 软件升级模块时间很近，火绒安全实验室怀疑此安全问题可能是供应链攻击。 即黑客可能使用某些方式劫持用友畅捷通 T+ 升级模块，导致用户尝试更新升级将后门模块下载到本地执行。 目前用友并未就该问题发布声明 , 因此还无法确定到底是供应链攻击还是通过其他方式劫持导致企业中毒的。 企业用户应提高警惕： 使用用友畅捷通的主要都是企业，而且存储的可能都是财务之类的重要信息，中毒后被加密可能会有大麻烦。 火绒经过研究发现黑客首先会通过漏洞或其他方式向受害者终端投放后门模块，然后通过后门模块执行代码。 之后通过后门模块在内存中加载并执行勒索病毒，当文件被加密后黑客在勒索信里要求企业支付 0.2 比特币。 该病毒被命名为FakeTplus，也就是根据用友畅捷通T+来命名的，目前火绒安全软件已经可以成功查杀病毒。 使用畅捷通的企业可以在升级前安装火绒杀毒，这样如果升级时仍然存在安全问题火绒会直接杀掉这个后门。 疑似有企业支付赎金： 蓝点网查询火绒提供的勒索信，发现里面黑客留的地址已经开始有交易记录，交易记录时间与病毒投放吻合。 该地址有4次交易记录，有1次是笔0.2 BTC 转账，这意味着已经有受害企业向黑客支付赎金以换取解密密钥。 考虑到黑客可能会给每个受害者留不同的地址因此更难以追查，也无法判断黑客到目前已经收到多少比特币。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1310351.htm 封面来源于网络，如有侵权请联系删除

据Bleeping Computer网站8月28日消息，LockBit 勒索软件团伙宣布，他们正着手改进对分布式拒绝服务 (DDoS) 攻击的防御，以应对来自安全机构的攻击，并借此来大力提高自身勒索实力。 近期，该团伙曾遭到数字安全巨头 Entrust组织的DDoS攻击，这是由于在6月18日，Entrust 的数据在一次攻击中被 LockBit 窃取。Entrust拒绝支付赎金，该团伙宣布在 8 月 19 日公布所有被盗数据，但Entrust发动的DDoS攻击成功阻止了这次公开行为。 上周，LockBit的对外账号LockBitSupp发布消息称，该组织已重新开展业务，拥有更大的基础设施，可以进行不受 DDoS 攻击影响的数据泄露，并表示正在招募 dudosers（DDoSers），试图将 DDoS 作为一种勒索策略。经历了来自Entrust的攻击，该团伙似乎认为三重勒索、加密 + 数据泄漏 +DDoS的攻击组合方式不仅威力更大，也更加有趣。 可能是出于对攻击的报复，LockBit承诺会泄露从Entrust 窃取的超过 300GB数据，并宣称“要让全世界都知道你的秘密”。 LockBit表示，他们将与任何与他们联系的人私下分享 Entrust 数据，目前看来LockBit似乎信守了承诺，在上周末发布了一个名为“entrust.com”的种子文件，其中包含 343GB大小的文件。 Lockbit 泄露的 Entrust 数据 LockBit希望Entrust 的数据可以从多个渠道公开，除了在他其自有网站上发布之外，他们还通过至少两个文件存储服务共享了 Torrent。 为了防止进一步的 DDoS 攻击，LockBit已在受害者的赎金记录中使用唯一链接，此外还增加镜像和复制的服务器数量，并计划通过防弹存储服务（bulletproof storage service）及 Clearnet 访问被盗数据，从而提高被盗数据的可用性。 自 2019 年 9 月以来，LockBit 勒索软件已经活跃了近三年，近期除了针对Entrust进行攻击，还攻陷了意大利税务局，并窃取了78GB的个人数据信息。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/343132.html 封面来源于网络，如有侵权请联系删除

安全内参8月25日消息，作为服务全球多家大型航空公司的技术提供商，Accelya表示，近期刚刚遭遇勒索软件攻击，部分系统已经受到影响。 Accelya的客户包括达美航空、英国航空、捷蓝航空、联合航空、维珍大西洋航空、美国航空等多家知名航空企业。 勒索软件公开发布窃取数据 8月23日，该公司披露，其聘请解决此事的两家安全厂商发现，Accelya内部数据已经被发布至专门的勒索泄密网站。 上周四（8月18日），AlphV/BlackCat勒索软件团伙公布了据称窃取自Accelya的数据。该团伙称窃取的数据包含电子邮件、员工合同等内容。 Accelya公司一位发言人称，他们聘请的专家设法“隔离”了勒索软件，阻断其在系统内进一步传播。 这位发言人表示，“我们的取证调查人员证实，受到攻击影响的只是整体环境中的一部分。没有证据表明恶意软件可能经由我们的系统，横向移动到我们客户的环境当中。” 他们还补充称，Accelya公司正在审查上周AlphV泄露网站上发布的数据，并将向受到信息泄露影响的客户发布通报。 Accelya公司主要负责为各大航空零业企业提供客运、货运与行业分析平台，与9个国家共250多家航空企业保持着合作关系。 2022年，航空产业已经成为勒索软件团伙的一大主要攻击目标。今年5月，印度香料航空（SpiceJet）和加拿大战斗机培训服务商均曾遭遇勒索软件攻击。 AlphV/BlackCat勒索软件是谁？ AlphV/BlackCat是当前最活跃的勒索软件团伙之一，上个月刚刚对路易斯安那州亚历山大市政府发动攻击，今年春季还先后攻击了多所大学。 同样是在上个月，该团伙又先后攻击了卢森堡两家能源公司，以及日本电子游戏巨头万代南梦宫。 根据几位专家的介绍，AlphV/BlackCat其实是BlackMatter勒索软件团伙的“马甲”，而BlackMatter又是DarkSide勒索团伙改头换面后的产物。这个DarkSide来头不小，最大的动作就是震惊世界的科洛尼尔管道运输公司攻击案。 该团伙的一位代表在今年2月接受了美媒The Record的采访，声称大多数主要勒索软件团伙间都有着某种形式的关联。 说起AlphV跟BlackMatter及DarkSide之间的关系，这位代表表示，“可以这么说，我们借用了他们的优势，同时回避了他们的劣势。” FBI在4月的警报中提到，截至今年3月，执法机构已经追踪到至少60起由AlphV/BlackCat团伙发动的勒索软件攻击。 转自 安全内参，原文链接：https://www.secrss.com/articles/46226 封面来源于网络，如有侵权请联系删除

Microsoft Security 博客官方发布的最新《Cyber Signals》报告指出，勒索软件即服务 (RaaS)日益猖獗，但是常规的软件设置就能应对，可以阻止大部分勒索软件攻击。此外，报告中还发现客户错误配置云服务、依赖不可靠的安全软件、通过默认宏设置流量勒索软件，这导致微软制造了某种勒索软件攻击，即人为操作的勒索软件。 在报告中指出：“你可能会使用某个热门应用来实现某种目的，但是这并不意味着攻击者将其武器化以实现另一个目标。其中最为常见的是，应用的‘经典’配置意味着它的默认状态，允许该组织内的任意用户进行广泛访问。不要忽视这种风险，也不要担心中断而更改应用设置”。 那么解决方案是什么呢？ 微软威胁情报分析师 Emily Hacker 建议删除重复或未使用的应用程序，这有助于防止有风险的程序成为勒索软件攻击的门户。其次，注意授予 TeamViewer 等应用程序的权限。 Hacker 发现的其他一些勒索软件端点包括密码被盗、身份不受保护、安全产品丢失或禁用以及修补速度缓慢，她为此提供了身份验证、解决安全盲点以及保持系统最新等解决方案。Hacker 分析认为，与实施增强的安全协议相比，早期和常规的预防措施成本更低。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1308853.htm 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，多米尼加共和国的多米尼加农业研究所（Instituto Agrario Dominicano）遭到了 Quantum 勒索软件的疯狂攻击，该勒索软件加密了整个政府机构的多项服务和工作站，导致部分工作暂时停滞。 当地媒体报道称，勒索软件攻击发生在 8 月 18 日，严重影响了多米尼加农业研究所（IAD）的运作。（IAD 隶属于农业部管理，主要负责执行多米尼加共和国的土地改革计划，是该国重要的政府机构）。 攻击者索要 60 万美元赎金 IAD 技术总监 Walixson Amaury Nuñez 在接收当地媒体采访时透漏，此次勒索软件攻击导致 IAD几乎所有服务器出现问题（ 四个物理服务器和八个虚拟服务器出现故障）。此外，，因为数据库、应用程序、电子邮件等都受到影响，数据信息也基本都遭受了破坏。 值得一提的是，IAD 告诉当地媒体其系统中只有例如杀毒软件之类的基本安全软件，缺乏专业的安全部门。此次事件，攻击者索要 60 多万美元赎金。 攻击事件发生后，多米尼加共和国立即开始响应，经过家网络安全中心（CNCS）分析后发现，攻击者的 IP 地址来自美国和俄罗斯。 攻击背后的勒索软件组织 Bleeping Computer 从 Venezuela BT 处获悉，后者表示 IAD 不太可能支付赎金，60 万美元超出了他们的负担范围。 从媒体披露的信息来看，Quantum 勒索软件声称已经窃取了超过 1TB 的数据，最初要求 IAD 支付 65 万美元的赎金，并威胁如果 IAD 不公开支付赎金，就会立即泄露这些数据。 赎金说明（来源：BleepingComputer） 据了解，Quantum 勒索软件团伙目前已成为 Conti 勒索软件的一个分支，主要接管了之前 MountLocker 勒索软件操作，此外，Quantum 与对 PFC 的攻击有关，影响了 650 多个医疗机构，正在成为针对企业的勒索软件操作中的主要角色。 MountLocker 从 2020 年 9 月开始首次部署在攻击中，随后以不同的名称多次更名，主要使用了 AstroLocker、XingLocker 等，最后是 Quantum。 更名为 Quantum 发生在 2021 年 8 月，在此之后，该品牌的重塑从未变得特别活跃，行动大多处于休眠状态，直到 Conti 勒索软件操作开始关闭，其成员开始寻找其他操作进行渗透。 从 Advanced Intel 的 Yelisey Boguslavskiy 的说法来看，一些 Conti 网络犯罪集团加入了 Quantum 勒索软件的行列。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/342859.html 封面来源于网络，如有侵权请联系删除

安全内参8月24日消息，距巴黎市中心28公里，拥有1000张床位的Center Hospitalier Sud Francilien（简称CHSF）医院上周日（8月21日）遭遇网络攻击，迫使其将患者转诊至其他机构，并推迟了手术预约。 CHSF为当地60万居民提供诊疗服务，因此任何运营中断，都有可能给身处危急关头的病患造成健康甚至是生命威胁。 经谷歌翻译，CHSF发布的公告称，“此次计算机网络攻击，导致我院业务软件、存储系统（特别是医学影像）及与患者入院相关的信息系统暂时无法访问。” 该医院的管理部门尚未发布进一步事态更新，目前IT系统中断引发的运营紧缺也仍未结束。 CHSF的医生们已经在对需要紧急护理的病患进行评估，如果迫切需要医学影像诊疗，病患们将被转移至另一处医疗中心。 法媒《世界报》称，攻击CHSF的勒索软件团伙要求受害者支付1000万美元以换取解密密钥。 一位警方消息人士向《世界报》透露，“目前，巴黎检察官办公室旗下的网络犯罪部门，已经启动了对这一入侵计算机系统，并企图实施勒索的有组织黑客团伙的调查”，由“调查工作由打击数字犯罪中心（C3N）的宪兵负责。” 幕后黑手或为LockBit 3.0 法国网络安全记者Valéry Riess-Marchive在事件中发现了LockBit 3.0感染的迹象，并提到介入调查的国家宪兵也正在负责追踪Ragnar Locker和LockBit。 Riess-Marchive表示，根据Ragnar Locker以往只向大规模关键基础设施目标下手的特点，这次事件应该不是其所为。相比之下，LockBit 3.0的攻击目标则要广泛得多。 如果LockBit 3.0确实就是CHSF攻击事件的幕后黑手，那他们就违反了RaaS的“行规”，即不得由附属组织向医疗保健服务商的系统发动加密攻击。 目前，这场事端究竟是谁所为还不明确，LockBit 3.0的勒索网站上也还没挂出CHSF的信息，所以前面的一切分析仍然只是假设。 转自 安全内参，原文链接：https://www.secrss.com/articles/46196 封面来源于网络，如有侵权请联系删除

安全内参8月23日消息，欧洲国家希腊最大的天然气分销商DESFA在上周六（8月20日）证实，由于遭受网络攻击，该公司出现了一定程度的数据泄露与IT系统中断。 在向当地新闻媒体发布的公开声明中，DESFA称有黑客试图渗透其网络，但因为IT团队快速反应而被阻断。然而，对方仍在有限范围内实施了入侵，导致部分文件和数据被访问并可能“外泄”， DESFA为此停用了多项在线服务，希望保护客户数据。而且随着专家们努力进行恢复，各项服务已经逐渐恢复运行。 DESFA向消费者保证称，此次事件不会影响到天然气供应，所有天然气输入/输出点均保持正常容量运行。 该公司也已通知警方的网络犯罪部门、国家数据保护办公室、国防部以及能源与环境部，希望在最短时间内以最低影响解决问题。 最后，DESFA宣布绝不会与网络犯罪分子对话，也就不存在进行赎金谈判。 Ragnar Locker宣布对事件负责 上周五（8月19日），Ragnar Locker勒索软件团伙在窃取数据后确认了此次攻击。这批恶意黑客亮相于两年多之前，并在2021年发起过多起大型网络攻击活动。 Ragnar Locker在今年活跃度仍然不低，但攻击数量上较去年有所下降。FBI最近一份报告提到，Ragnar Locker与截至2022年1月美国各关键基础设施实体遭受的共52起网络入侵有关。 该恶意黑客团伙还在其数据泄露与勒索门户上发布了所谓被盗数据清单，展示了一小部分似乎不涉及机密信息的被盗文件。 此外，Ragnar Locker提到他们在DESFA系统上发现了多个安全漏洞，并向对方告知了这一情况。这可能是该团伙勒索行动的一部分，但据称受害者并未做出回应。 如果受害组织不满足赎金要求，该恶意黑客团伙威胁将发布整个文件树内对应的所有文件。 图：DESFA公司名字已被挂上Ragnar Locker勒索页面 此次攻击恰逢欧洲各天然气供应商的艰难时期。当前欧洲大陆主要国家已决定快速削减对俄罗斯天然气的依赖，因此不可避免要产生问题。 预计在即将到来的冬季，供应短缺、停气、配给中断和能源价格飙升等因素可能轮番上演，届时消费者恐怕又将迎来一波针对天然气供应商的勒索攻击大爆发。 转自 安全内参，原文链接：https://www.secrss.com/articles/46146 封面来源于网络，如有侵权请联系删除

勒索软件 LockBit 运营的多家数据泄露站点由于遭到 DDoS 攻击而在上周末关闭，这些攻击的目的是要求该组织移除从 Entrust 盗取的数据。在 7 月下旬，数字安全机构 Entrust 确认在今年 6 月遭到网络攻击，攻击者从网络中窃取了部分数据。 当时消息人士告诉 BleepingComputer，这是一次勒索软件攻击，但我们无法独立确认背后的原因。上周末，LockBit 宣布对本次攻击负责，并于上周五开始公开泄漏的数据。 在描述中提供了 30 张样本截图，显示了法律文件、营销电子表格和会计数据。在他们开始泄露数据后不久，研究人员开始报告说，勒索软件团伙的 Tor 数据泄露站点由于 DDoS 攻击而无法使用。 昨天，安全研究小组 VX-Underground 从 LockBitSupp（LockBit 勒索软件运营的公众账号）处获悉，其 Tor 站点遭到了攻击，而且他们认为和 Entrust 有关联。 LockBitSupp 表示：“在数据公开和谈判开始之后这些 DDoS 攻击立即开始了，很显然这是 Entrust 的手笔，不然还有谁需要呢？此外，在攻击日志中就提到了要求移除这些数据”。 从这些 HTTPS 请求中可以看出，攻击者在浏览器用户代理字段中向 LockBit 添加了一条消息，告诉他们删除 Entrust 的数据。思科 Talos 研究员 Azim Shukuhi 在Twitter上表示，对 LockBit 服务器的 DDoS 攻击包括“每秒来自 1000 多台服务器的 400 个请求”。 作为对攻击的报复，LockBit 的数据泄露站点现在显示一条消息，警告说勒索软件团伙计划将 Entrust 的所有数据作为种子上传，这将使其几乎不可能被删除。 此外，威胁行为者与安全研究员 Soufiane Tahiri 分享了 Entrust 和勒索软件团伙之间所谓的谈判。该聊天记录表明，最初的赎金要求为 800 万美元，后来降至 680 万美元。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1307537.htm 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，勒索软件 BlackByte 带着 2.0 版本回归了。新版本做了大量升级，主要包括利用从 LockBit 借来的新勒索技术，创建了一个新的数据泄露网站。 在短暂消失之后， BlackByte 勒索软件带着新版本重新出现在大众视野，目前正在黑客论坛上通过其控制的 Twitter 账户，积极宣传一个新数据泄露网站。 宣传新 BlackByte 数据泄露网站的推文 虽然尚不清楚该勒索软件的加密器是否发生了变化，但该团伙已经推出了一个全新的Tor 数据泄漏网站。 目前，数据泄露网站有了新勒索策略，允许受害者付费将其数据发布时间延长 24 小时（5000 美元），下载数据（200000 美元），或销毁所有数据（300000 美元），这些价格可能会根据受害者的规模/收入发生改变。 新的BlackByte 数据勒索方案（来源：BleepingComputer） 值得一提的是，网络安全情报公司 KELA 指出，BlackByte 的新数据泄露网站没有正确嵌入“客户 ”可以用来购买或删除数据的比特币和 Monero 地址，使得新的勒索方案看起来已经失效。 众所周知，新勒索技术出现的主要目的是让受害者支付费用以删除其数据，或者是让其他攻击者自愿购买这些数据。在 LockBit 发布其 3.0 版本时也引入了这些勒索手段，但是被当作了一种噱头，而不是可行的勒索手段。 BlackByte 是何方神圣？ 2021 年夏天，BlackByte 勒索软件开始活跃，当时其所属的黑客开始入侵企业网络，窃取数据并加密设备。BlackByte 以往的攻击事件中，最引人注目的当属针对美国国家橄榄球联盟 49 人队的网络攻击。 除此之外，这些攻击者利用漏洞入侵网络，并且过去曾利用 ProxyShell 攻击链入侵微软 Exchange 服务器。联邦调查局和特勤局的联合发布公告表示，该团伙还攻击包括政府设施、金融、食品和农业等在内的关键基础设施部门 2021 年，BlackByte 勒索软件中出现了一个可以创建免费 BlackByte 解密器的漏洞。不幸的是，漏洞被报告后，该团伙立即修复了漏洞。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/342285.html 封面来源于网络，如有侵权请联系删除