美国网络安全和基础设施安全局(CISA)和联邦调查局(FBI)已发布联合公告，警告Zeppelin勒索软件攻击。Zeppelin 勒索软件于2019 年11月首次出现在威胁领域，当时来自 BlackBerry Cylance 的专家发现了一种名为Zeppelin的Vega RaaS 的新变体。该勒索软件涉及针对欧洲、美国和加拿大的技术和医疗保健、国防承包商、教育机构、制造商、公司的攻击。Zeppelin 被发现时是通过水坑攻击分发的，其中 PowerShell 有效负载托管在 Pastebin 网站上。 在部署Zeppelin勒索软件之前，攻击者会花费几周时间映射受害者网络，以确定他们感兴趣的数据存储在哪里。勒索软件可以部署为 .dll 或 .exe 文件，也可以包含在 PowerShell 加载程序中。 Zeppelin威胁行为者要求受害者以比特币支付赎金，金额从几千美元到超过一百万美元不等。该组织使用多种攻击媒介来访问受害者网络，包括 RDP 攻击、SonicWall 防火墙漏洞利用和网络钓鱼攻击。威胁行为者还实施双重勒索模型，威胁要泄露被盗文件，以防受害者拒绝支付赎金。 Zeppelin通常部署为 PowerShell 加载程序中的 .dll 或 .exe 文件。对于每个加密文件，它会附加一个随机的 9 位十六进制数字作为扩展名。在受感染的系统上（通常在桌面上）放置了赎金记录。FBI 观察到Zeppelin 攻击者在受害者网络中多次执行恶意软件的情况，导致每次攻击都创建不同的 ID 或文件扩展名；这导致受害者需要唯一的解密密钥。 对此，美国机构建议不要支付赎金，因为无法保证加密文件能够恢复，支付勒索软件会鼓励非法勒索行为。FBI还鼓励组织报告与 Zeppelin 运营商的任何互动，包括日志、比特币钱包信息、加密文件样本和解密文件。 为了降低勒索软件攻击的风险，建议组织定义恢复计划，实施多因素身份验证，使所有操作系统、软件和固件保持最新，实施强密码策略，分段网络，禁用未使用的端口和服务，审核用户帐户和域控制器，实施最低权限访问策略，查看域控制器、服务器、工作站和活动目录，维护数据的脱机备份，并识别、检测和调查异常活动和指示的勒索软件的潜在遍历带有网络监控工具。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/341907.html 封面来源于网络，如有侵权请联系删除

Sophos X-Ops在报告中称某汽车供应商的系统在5月的两周内被三个不同的勒索软件团伙入侵，文件遭多重加密，其中两次攻击发生的间隔甚至是在两小时内。 在这些攻击之前，2021年12月，一个可能的初始访问代理（IAB）对该公司的系统进行了初步入侵，攻击者利用防火墙的错误配置，使用远程桌面协议（RDP）连接入侵域控制器服务器。 Sophos X-Ops在本周三发布的报告称虽然双重勒索软件攻击越来越常见，但这是他们看到的第一起三个独立的勒索软件攻击者使用同一个入口点来攻击一个组织的事件。 两个月内三次被攻破 在最初的入侵之后，LockBit、Hive和ALPHV/BlackCat的附属攻击组织也分别在4月20日、5月1日和5月15日进入了受害者的网络。 5月1日，LockBit和Hive勒索软件的有效载荷在两小时内利用合法的PsExec和PDQ Deploy工具在整个网络中分发，在每次攻击中加密了十多个系统，与LockBit关联的攻击组织还窃取了数据并将其外流到Mega云存储服务。 Sophos X-Ops 在报告中对事件细节进行了补充，其表示由于Hive攻击是在Lockbit之后2小时开始的，Lockbit勒索软件仍在运行，因此这两个小组不断发现没有标志着它们被加密的扩展名的文件。 两周后，5月15日，当这家汽车供应商的IT团队仍在恢复系统时，一个BlackCat攻击者也连接到了被LockBit和Hive入侵的同一管理服务器。在安装了合法的Atera Agent远程访问解决方案后，攻击者获得了网络上的持久性，并渗出了被盗数据。 在半小时内，BlackCat的附属攻击机构在网络上使用PsExec交付了自己的勒索软件有效载荷，在使用被攻击的凭证在网络上横向移动后，加密了六台机器。 攻击时间线 通过删除影子副本和清除被攻击系统上的Windows事件日志，这个最后的攻击者也使恢复尝试和Sophos团队的事件响应工作变得复杂。 BlackCat删除了Sophos可以用来追溯这三个勒索软件团伙在受害者网络中活动的证据。 Sophos的事件响应人员在5月中旬协助受害者进行攻击调查时，发现文件被Lockbit、Hive和BlackCat勒索软件加密了三次，并在被加密的系统上发现了三种不同的赎金笔记。 “事实上，正如下面的截图所示，一些文件甚至被加密了五次，”Sophos团队向外界透露称。“因为Hive攻击是在Lockbit之后2小时开始的，Lockbit勒索软件仍在运行，所以这两个小组不断发现没有标志着它们被加密的扩展的文件。” 被加密了5次的文件 如何抵御勒索软件 Sophos还发布了一份白皮书，分享了关于防御来自多个勒索软件团伙的类似攻击的指导。 建议企业保持其系统的最新状态，并调查其环境中是否有威胁者引入的后门或漏洞，作为失败的保障，以便在被驱逐时重新获得对网络的访问。 Sophos还建议锁定VNC和RDP等服务或从外部访问的远程访问解决方案。如果需要远程访问，系统只能通过VPN到达，并且只能通过具有强制多因素认证（MFA）和强密码的账户。网络也应该被分割，将关键的服务器分离到VLAN中，整个网络都应该被扫描和审计，以及时发现未打补丁和有漏洞的设备。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/341648.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 卡巴斯基的网络安全研究人员将Maui勒索软件与朝鲜支持的Andariel APT组织联系起来，后者被认为是Lazarus APT集团的一个部门。 朝鲜民族国家黑客使用Maui勒索软件对提供医疗服务的服务器进行加密，包括电子健康记录服务、诊断服务、成像服务和内联网服务。 卡巴斯基专家注意到，在将Maui勒索软件部署到初始目标系统前约10小时，黑客在3个月前向目标部署了一种著名的DTrack恶意软件变体。这两种恶意代码都被认为是Andariel武器库的一部分。并且，用于攻击日本、俄罗斯、印度和越南公司的DTrack变体与Andariel APT网络间谍活动中使用的样本代码相似度为84%。 Andariel APT（又名Stonefly）自2015年来一直很活跃，它参与了几次朝鲜政府发起的攻击事件。 根据这次攻击的操作方式，我们得出结论，Maui勒索软件事件背后的黑客TTP与过去Andariel/Stonefly/Silent Chollima的活动非常相似: 在初始感染后使用合法的代理和隧道工具或部署它们以保持访问，并使用Powershell脚本和Bitsadmin下载其他恶意软件; 利用漏洞来攻击已知但未修补的脆弱公共服务，如WebLogic和HFS; 专门部署DTrack，也称为Preft; 在活动之前，目标网络内的停留时间可以持续数月； 在全球范围内部署勒索软件，显示持续的经济动机和利益规模。 2020年4月，美国国务院、财政部、国土安全部和联邦调查局发布了一份联合咨询意见，警告世界各地的组织注意朝鲜民族国家黑客对全球银行和金融机构构成的“重大网络威胁”。 当时，美国政府还向任何能够提供“与朝鲜有关的APT组织所开展活动的信息”的人提供高达500万美元的奖金，当局还将为过去黑客活动的信息付费。 今年7月，美国国务院将奖励增加到1000万美元。 掌握与朝鲜相关的APT团体（如Andariel、APT38、Bluenoroff、Guardians of Peace，Kimsuky或Lazarus集团）相关的任何个人信息，以及违反计算机欺诈和滥用法并参与针对美国关键基础设施的人，可以获得奖励。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 研究人员警告称，一种名为GwisinLocker的新勒索软件能够对Windows和Linux ESXi服务器进行加密。该勒索软件针对韩国医疗、工业和制药公司，其名称来自作者“Gwisin”（韩语中的幽灵）的名字。 勒索软件通过针对特定组织的定向攻击进行分发。专家们还表示，韩国警方，国家情报局和KISA等韩国实体的名称也出现在勒索信上。 据当地媒体报道，Gwisin黑客在公休日和凌晨攻击了韩国公司。 Windows系统上的攻击链利用MSI安装程序，需要一个特殊值作为参数来运行MSI中包含的DLL文件。 “它类似于Magniber，因为它以MSI安装程序的形式运行。但与针对随机个体的Magniber不同，Gwisin本身不执行恶意行为，它需要为执行参数提供特殊值，该值用作运行MSI中包含的DLL文件的关键信息。”安全公司Ahnlab发布的报告中写道。“文件本身不会在各种沙箱环境的安全产品上执行勒索软件活动，因此很难检测到Gwisin，勒索软件的内部DLL通过注入正常的Windows进程来运行，对于每个受攻击的公司来说，这个过程都是不同的。” GwisinLocker勒索软件能够在安全模式下运行，它首先将自身复制到ProgramData的某个路径，然后在强制系统重新启动之前注册为服务。 Reversinglabs的研究人员分析了勒索软件的Linux版本，他们指出这是一种复杂的恶意软件，具有专门设计用于管理Linux主机和针对VMWare ESXI虚拟机的功能。GwisinLocker将AES对称密钥加密与SHA256哈希相结合，为每个文件生成唯一密钥。 Linux GwisinLocker变体的受害者需要登录到该组织运营的门户网站，才能与黑客取得联系。 “对更大规模的GwisinLocker活动的分析和公开报道表明，勒索软件掌握在复杂的黑客手中，他们在部署勒索软件之前获得了对目标环境的访问和控制权，这包括识别和窃取敏感数据，用于所谓的“双重勒索”活动。”Reversinglabs发布的报告总结道。“该组织勒索信中的细节表明，他们熟悉韩语以及韩国政府和执法部门。因此人们猜测，Gwisin可能是一个与朝鲜有关的高级持续威胁（APT）组织。”   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

作为过去十年最具破坏性的网络安全攻击类型之一，勒索软件已经发展到影响全球各种规模的组织。 什么是勒索软件？ 勒索软件是一种网络安全攻击，它允许威胁参与者控制目标的资产并要求赎金以保证这些资产的可用性和机密性。 报告分析了2021年5月至2022年6月报告期内欧盟、英国和美国共发生的 623 起勒索软件事件。数据来自政府和安全公司的报告、媒体、经过验证的博客，在某些情况下使用来自暗网的相关资源。 据悉，在 2021 年 5 月至 2022 年 6 月期间，勒索软件威胁参与者每月窃取大约 10 TB 的数据。58.2%的被盗数据包括员工个人数据。至少发现了47 个独特的勒索软件威胁参与者。对于 94.2% 的事件，我们不知道公司是否支付了赎金。但是，当协商失败时，攻击者通常会在他们的网页上公开数据并使其可用。这是一般情况下发生的情况，并且是 37.88% 事件的现实。 因此，我们可以得出结论，其余 62.12% 的公司要么与攻击者达成协议，要么找到了另一种解决方案。该研究还表明，各种规模和各行各业的公司都受到影响。 然而，上述数字只能描绘整体情况的一部分。实际上，研究表明勒索软件攻击的总数要大得多。目前这个总数是不可能的，因为太多的组织仍然没有公开他们的事件或没有向有关当局报告。 有关已披露事件的信息也非常有限，因为在大多数情况下，受影响的组织不知道威胁参与者是如何设法获得初始访问权限的。最后，组织可能会在内部处理该问题（例如决定支付赎金）以避免负面宣传并确保业务连续性。然而，这种方法无助于解决问题——相反，它反而助长了这种现象，在此过程中助长了勒索软件的商业模式。 正是在这些挑战的背景下，ENISA 正在探索改进这种事件报告的方法。修订后的网络和信息安全指令 (NIS 2) 有望改变通知网络安全事件的方式。新规定旨在支持对相关事件进行更好的映射和理解。 根据报告的分析，勒索软件攻击可以通过四种不同的方式针对资产：攻击可以锁定、加密、删除或窃取（LEDS）目标资产。目标资产可以是任何东西，例如来自文件、数据库、Web 服务、内容管理系统、屏幕、主引导记录 (MBR)、主文件表 (MFT) 等的文档或工具。 勒索软件的生命周期一直保持不变，直到 2018 年左右，勒索软件开始添加更多功能并且勒索技术成熟。我们可以确定勒索软件攻击的五个阶段：初始访问、执行、目标行动、勒索和赎金协商。这些阶段不遵循严格的顺序路径。 研究中出现了 4 种不同的勒索软件商业模式： 以个人攻击者为中心的模型 以群体威胁参与者为重点的模型 勒索软件即服务模型 数据中介模型 一种主要旨在将恶名作为成功勒索软件业务的关键的模型（勒索软件运营商需要保持一定的恶名声誉，否则受害者将不会支付赎金） 勒索软件生命周期的五个阶段 转自 E安全 ，原文链接：https://mp.weixin.qq.com/s/Wr6nKrGKPDBFjIt6UcGQLg 封面来源于网络，如有侵权请联系删除

德国半导体制造商Semikron披露，该公司遭到勒索软件攻击，加密了公司的部分网络。 Semikron在德国、巴西、中国、法国、印度、意大利、斯洛伐克和美国等全球24个办事处和8个生产基地拥有3000多名员工，2020年的营业额约为4.61亿美元，其同时也是世界领先的电力工程部件制造商之一，每年安装的风力涡轮机中有35%使用其技术。 Semikron集团在周一的声明中称其已成为一个专业黑客组织的网络攻击的受害者，犯罪者声称从Semikron的系统中窃取了数据，此次攻击也导致了Semikron的IT系统和文件的部分加密，目前Semikron集团正在对整个网络进行调整和调查取证，。 根据德国联邦信息安全办公室发布的相关警报，以及疑似部署在加密赛米控系统上的勒索纸条表明，这是一次LV勒索软件攻击，并且攻击者偷走了总量为2TB的文件，但目前为止Semikron集团并未承认数据被盗的说法。 Semikron集团称正在联合外部的网络安全专家和警方专家共同调查攻击者关于从系统中窃取数据的说法。Semikron集团补充说，在整个调查过程中，它也将通知并与有关当局合作，如果发现任何数据被盗的证据，将立刻提醒客户和合作伙伴。 同时，Semikron集团正在努力恢复工作能力，以尽量减少对员工、客户和合同伙伴的干扰，并确保Semikron集团的IT系统的最佳安全性。在调查和协调进一步措施方面，Semikron集团也得到了相关主管部门的支持。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/340890.html 封面来源于网络，如有侵权请联系删除

近日，美国众议院通过了《报告来自被选为监督和监控网络攻击和勒索软件的国家的攻击法案》（也称为《勒索软件法案》）据悉，美国众议佛罗里达州共和党众议员 Gus Bilirakis 的说法，《勒索软件法案》将使美国更容易应对来自外国对手的勒索软件攻击。 拟议的立法将通过强制报告与勒索软件和其他攻击有关的跨境投诉来修订 2006 年美国安全网络法案。 《勒索软件法》主要针对俄罗斯、中国、朝鲜和伊朗，在提到涉嫌勒索软件攻击者时，特别指出了这些国家。它针对那些被指控对美国实施勒索软件攻击的国家的个人、政府或其他组织。 根据该法律，联邦贸易委员会 (FTC) 将每两年向众议院能源和商业委员会以及参议院商业、科学和运输委员会提交一份报告。该报告将概述 FTC 收到的跨境投诉，并按被指控的攻击者进行细分。描述了其使用和体验2006年美国安全网络法案（公法109-455）授予的权限以及该法案所做的修正。报告包括以下内容： 该报告将包括涉及勒索软件的投诉数量，以及 FTC 已采取或未采取行动的投诉清单。在该法案中，Bilirakis 呼吁 FTC 确定与其合作的外国机构，以及它取得的成果。它还将确定它在外国法院购买的任何诉讼，并注明结果。 “我们看到针对美国人的网络犯罪有所增加，”Bilirakis 在宣布该法案时说。“这些事件凸显了加强和现代化我们的关键基础设施以防止和应对网络攻击的重要性。” 据悉，Bilirakis 于 2021 年 7 月提出了这项名为 HR 4551 的立法。它现在必须通过参议院才能到达总统的办公桌。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/co5U9QEXiLtM6R5QshkRiA 封面来源于网络，如有侵权请联系删除

近日，勒索软件团伙 Lockbit 声称已经从意大利税务局窃取了 78GB 的文件。另外，该团伙已经将税务局添加到其暗网泄密网站上展示的受害者名单中。 据悉，意大利税务局是在 1999 年第 300 号立法令对财政管理部门进行重组而诞生，自 2001 年 1 月 1 日开始运作，有自己的章程以及管理行政和会计的具体条例，该局的管理机构由局长、管理委员会和审计委员会组成。 意大利税务局主要负责执行意大利的财政法规，并征收税收和收入，并为意大利和非意大利的纳税人提供了若干在线服务 勒索软件团伙 Lockbit 声称已经窃取的意大利税务局 78GB 数据，其中主要包括公司文件、扫描、财务报告和合同，计划很快发布文件和样本的屏幕截图。如果消息属实，此次网络攻击将是意大利政府机构遭受的最严重事件之一。 目前，尚不清楚 Lockbit 勒索软件团伙是否已经与意大利政府取得联系，也不知道具体赎金数额。但是勒索软件团伙给了该机构 5 天时间来支付勒索赎金，以避免被盗数据泄露。 Lockbit 勒索软件团伙详情 研究人员披露 Lockbit 团伙至少从 2019 年就已经出现，是如今最活跃的勒索软件团伙之一。6 月底，Lockbit 勒索软件发布了 LockBit 3.0，其中包含漏洞赏金计划、Zcash 支付和新的勒索策略等重要创新。 新版本 3.0 已在最近的攻击中使用了，漏洞赏金计划的推出也成为了圈内的头条新闻，这是第一个勒索软件团伙要求网络安全专家提交其恶意勒索软件中的漏洞，以谋求持续改进。此外，该团伙还宣布提供 1000 美元至100万美元，奖励给提出 “出色的想法 ”，能够改善其运作的人。 值得注意的是，为了保护自身的隐匿性，Lockbit 勒索软件团伙接受 Zcash 付款，以及 Monero 和比特币。 LockBit 3.0 勒索软件操作还使用了一种新的勒索模式，允许攻击者购买攻击期间从受害者那里盗取的数据。此举意味着，部分网络犯罪分子可以购买意大利纳税人的数据，进行广泛的金融诈骗。 随着事件持续发酵，管理意大利税务局 IT 基础设施的政府组织 Sogei 发布声明表示，在进行了大量技术调查后，Sogei 排除了对税务局网络攻击已经发生的可能性。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/340126.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，威胁攻击者正在黑客论坛上推广新版本 Redeemer（救赎者）勒索软件构建器，为低级别网络攻击者免费提供了一个轻松进入勒索软件世界的机会。 勒索软件运营者透露，新版本完全采用 C++ 编写，可在 Windows Vista、7 以上版本运行，具有多线程性能和中等 AV 检测率。 与许多勒索软件即服务 (RaaS) 的操作不同，新版本支持所有人下载使用救赎者勒索软件构建器来发起自己的网络攻击。当受害者决定支付赎金时，攻击发起者会分享主密钥与关联公司持有的私有构建密钥进行解密。 此外，新版本勒索软件中还提供了一个图形用户界面，主要用于构建勒索软件可执行文件和解密工具，相关的使用说明都包含在了 ZIP 中。值得一提的是，勒索软件运营商表示，新版本未来可能会像 Redeemer 1.0 版本一样，公开发布源代码。 Redeemer 的创建者在黑客论坛上推广该项目 救赎者 2.0 详细介绍 据悉，新版本勒索软件构建器新增了几个功能，例如支持 Windows 11、GUI 工具以及类似 XMPP 和Tox Chat 等通信选项。 此外，新版本救赎者勒索软件还有一个活动 ID 跟踪系统，可以将数据添加到可执行文件中，允许攻击者跟踪其可能正在进行的各种活动。 受害者支付的赎金数额是在构建可执行文件的过程中设定的，并与特定的 ID 相对应，勒索软件供应商不能向攻击发起者任意索赔。 Redeemer 勒索软件 GUI 构建器 运营商在黑暗网站 Dread 上创建了一个页面，供联盟成员获取工具包，建立沟通，获取指示，并获得支持。 2.0 版本公告 Cyble 的研究人员对新版本进行了详细分析并在报告中表示，新版本勒索软件在启动时会创建了一个互斥锁，以避免在受害者系统上有多个运行实例，并理员权限滥用 Windows APIs。 在开始加密之前，恶意软件会滥用 Windows 命令来清除事件日志，并删除任何系统状态的备份，从而阻止受害者轻松/免费恢复。下面显示的进程被终止，以防止危害加密过程，并释放所有的目标文件和数据使其可被加密。 加密前终止的进程（Cyble） 之后，勒索软件会为 Windows 放置一个自定义图标，用于加密文件的扩展名，生成赎金声明，并列出所有文件和目录。 赎金票据 Bleeping Computer 独立测试了新版本勒索软件，发现其在加密后并没有删除所有文件，因此它的操作现在看来是不可靠的。 加密文件以及一些原件 当受害者试图打开其中一个加密的副本时，会收到一条消息，指示其打开赎金声明以获取有关操作的详情信息。 打开加密文件时出现的错误信息 该勒索软件还在 Winlogon 注册表项中添加了勒索注释，以警告用户重启系统的话，可能发生的情况。 系统重启期间显示的赎金记录（Cyble） 新版本勒索软件值得警惕吗？ 像“救赎者”这样的勒索软件，大幅降低了网络犯罪分子（包括技能低的攻击者），进入勒索软件领域的门槛。 虽然这些低级别的攻击者一般缺乏在有价值的公司网络上找到初始接入点的技能，但仍然可能对许多重要但保护不足的实体造成重大损害，例如医疗保健和小型企业，仍然值得我们警惕！ 转自 FreeBuf，原文链接：https://www.freebuf.com/news/339984.html 封面来源于网络，如有侵权请联系删除

安全内参7月21日消息，德国建材巨头可耐福集团（Knauf Group）宣布已成网络攻击目标。其业务运营被攻击扰乱，迫使全球IT团队关闭了所有IT系统以隔离事件影响。 此次网络攻击发生在6月29日晚间。截至本文发布时，可耐福仍在开展取证调查、事件响应及补救工作。 可耐福在网站主页上发布的简短公告写道，“我们目前正在努力减轻对我们的客户和合作伙伴的影响。所有工厂正常运转，所有业务离线进行。对于可能发生的交付过程中的任何不便或延迟，我们深表歉意。” 根据外媒看到的邮件警告，作为攻击响应的一部分，可耐福的电子邮件系统已经关闭，目前业务通信主要依靠手机和Microsoft Teams。 可耐福是一家总部位于德国的跨国建筑材料生产商，在全球墙板市场上拥有约81%的份额。 可耐福在全球多个国家拥有150处生产基地，也是美国可耐福绝热材料公司及USG公司的所有者。 值得注意的是，可耐福绝热材料公司也在网站上发布了关于网络攻击的通知，可见其同样受到了影响。 Black Basta宣布对事件负责 虽然可耐福并未在公告中说明此次遭遇的具体攻击类型，但从事件持续时间、影响和IT系统的恢复难度来看，这恐怕是一起勒索软件攻击。 事实上，名为Black Basta的勒索软件团伙已经在其网站上发布公告，于7月16日将可耐福列为受害者。此举也相当于宣布对这次攻击负责。 图：Black Basta勒索门户将可耐福列为攻击受害者 该勒索软件团伙还公布了一批数据，据称是攻击期间从可耐福处窃取到的全部文件中的20%。目前已经有超过350名访问者访问了这些文件。 图：Black Basta泄露了20%的被盗文件 记者已经看到电子邮件通信、用户凭证、员工联络信息、生产文档及ID扫描件等样本。 既然没有公布所有失窃文件，看起来恶意团伙仍希望能通过谈判获取赎金。 Black Basta团伙的崛起之路 Black Basta勒索软件团伙在2022年4月首度开展RaaS攻击，并迅速凭借针对高调受害者的双重勒索行为闯下名号。 根据早期展现出的知识能力和谈判风格来看，不少安全专家认为Black Basta应该是Conti改头换面之后的新“马甲”。 到2022年6月，Black Basta开始与Qbot（QuakBot）合作传播其勒索软件，同时开始投放Cobalt Strike并协助在受害者网络内横向移动。 另外，这群恶意黑客还专门为自己的勒索软件制作了Linux版本，用于入侵运行在Linux服务器上的VMware ESXi虚拟机。 转自 安全内参，原文链接：https://www.secrss.com/articles/44952 封面来源于网络，如有侵权请联系删除