近日，卡巴斯基发出警告，他们监测到一种名为Luna的新型勒索软件系列正在肆虐。Luna可加密运行多个操作系统的设备，包括 Windows、Linux 和 ESXi 等主流操作系统。 卡巴斯基安全研究人员在公司暗网威胁情报主动监控系统中的某个暗网勒索软件论坛广告发现了Luna 勒索软件的身影，有意思的是，该勒索软件似乎专门是为讲俄语的攻击者所设计。 卡巴斯基在报告中指出，Luna的背景和俄语密不可分，例如它只与讲俄语勒索组织进行合作；而在它的二进制文件中硬编码的赎金记录存在语法拼写错误，习惯性拼写“a little team”而不是“a small team”。这意味着，Luna背后的勒索组织必定是以俄语交流为主。 在俄语中，Luna的意思是“月球”，截止到目前，Luna还是一款较为基础的勒索软件，深度功能还在开发之中，且基于可用的命令行选项功能有限。但是这依旧需要引起注意，因为Luna使用了一种不太常见的加密方案，使用了X25519 椭圆曲线 Diffie-Hellman 密钥交换与高级加密标准 (AES) 对称加密算法相结合。 基于 Rust 的跨平台勒索软件 勒索组织在Rust中开发了这种新型的勒索软件，并利用其与平台无关的特性将其移植到多个平台，而对源代码的更改很少。 Luna 证实了跨平台勒索软件的趋势：当前的勒索软件团伙严重依赖 Golang 和 Rust 等语言。一个值得注意的例子包括 BlackCat 和 Hive。这些语言与平台无关，用这些语言编写的勒索软件可以很容易地从一个平台移植到其他平台，因此攻击可以同时针对不同的操作系统。 例如Linux 和 ESXi 样本都是使用相同的源代码编译，与 Windows 版本相比有一些细微的变化。其余代码与 Windows 版本相比没有重大变化。除此之外，跨平台语言有助于规避静态分析。 卡巴斯基表示，鉴于该组织刚刚被发现并且其活动仍在受到监控，因此关于使用 Luna 勒索软件对哪些受害者进行加密的数据非常少。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/339729.html 封面来源于网络，如有侵权请联系删除

在总统拒绝支付终止网络攻击的费用后，尽管黑客组织已经垮台，但整个国家仍在苦苦挣扎。今年4月，一个名为Conti的俄罗斯勒索软件组织从哥斯达黎加的财政部入手，掀起了27个部门一系列相互关联的攻击。 Conti提出以2000万美元的价格归还这些数据。但哥斯达黎加政府拒绝支付赎金，新上任的总统罗德里戈查韦斯宣布全国进入紧急状态，对所谓的“叛徒”展开追捕，并依靠美国和西班牙等盟友来帮助它。 “我们正处于战争之中”查韦斯在就职后的几天里说。他指责前一届政府隐瞒了破坏的真实程度，并将其比作恐怖主义。 这场攻击导致哥斯达黎加在线税收瘫痪，公共医疗和一些公共部门工作人员的薪资中断。 与此同时，该黑客团体也成为因乌克兰战争而激化的地缘政治的受害者。在该黑团体宣布支持俄罗斯后，一名内部人士泄露了他们的工具包、内部聊天记录作为报复。 随着泄露而来的是Conti的消亡。到6月底，Conti嘲笑哥斯达黎加和其他受害者的网站被关闭，其暗网谈判网站也被关闭。 这使哥斯达黎加为恢复IT系统的努力更加复杂：即使同意支付赎金，也联系不到始作俑者了。 西班牙帮助哥斯达黎加部署了自己的勒索软件保护软件MicroClaudia，美国派出了团队协助，并由微软、IBM和思科公司捐赠软件和专业知识。 安全研究员ShmuelGihon说：“Conti在哥斯达黎加的袭击，在某种程度上是最后一次绝望的尝试，他们希望自己的行动能引起一点关注。” 据估计，Conti曾经有大约400名黑客，还有数量不详的关联机构租用了他们的工具包——这些人在2021年从至少600个目标那里获得了数亿美元的加密货币。 哥斯达黎加仍在努力应对4月黑客袭击的后果。与所有成功的勒索软件攻击一样，如果没有密钥，就没有办法解密自己的数据——大多数系统必须从头开始重建，这个过程可能需要数年时间。 有迹象表明，Conti正在以不同的形式重组，其中就包括一个名为BlackBasta的组织，该组织在短短几个月内就已袭击了50家机构。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1292921.htm 封面来源于网络，如有侵权请联系删除

Lilith是一个由JAMESWT发现的基于C/C++控制台的勒索软件，是专门针对64位版本的Windows进行设计。像今天推出的大多数勒索软件一样，Lilith会执行双重勒索攻击，也就是攻击者在加密设备之前先窃取受害者的重要数据。 根据Cyble的研究人员对Lilith的分析报告，这个新的勒索软件并没有引入任何新意。然而Lilith以及最近出现的RedAlert和0mega，仍应该被视为新威胁，企业也应该提高对它们的关注度。 Lilith的细节 执行时，Lilith会试图终止与硬编码列表中的条目相匹配的进程，包括Outlook、SQL、Thunderbird、Steam、PowerPoint、WordPad、Firefox等。 这一过程会将有价值的文件从目前可能正在使用它们的应用程序中释放出来，从而使这些高价值文件能够被加密。 在加密过程启动之前，莉莉丝在所有列举的文件夹中创建并投下赎金票据。 该说明给受害者三天时间，让他们通过所提供的Tox聊天地址与勒索软件行为者联系，否则他们将受到公开数据暴露的威胁。 莉莉丝的勒索信 (Cyble) 被排除在加密之外的文件类型是EXE、DLL和SYS，同时程序文件、网络浏览器和回收站文件夹也不会被加密。 有趣的是，Lilith还包含一个 “ecdh_pub_k.bin “的排除项，它存储了BABUK勒索病毒感染的本地公钥。 包括BABUK密钥的排除列表（Cyble） 这可能是复制的代码的残留物，所以它可能是两个勒索软件菌株之间的一个迹象。 最后，加密是使用Windows加密API进行的，通过Windows的CryptGenRandom函数生成随机密钥。勒索软件在加密文件时会附加了”.lilith “文件扩展名。 要注意什么？ 虽然现在判断Lilith是否会发展成为一个大规模的威胁或一个成功的RaaS项目还为时过早，但分析家们仍然应该密切关注它的发展进程。 Lilith的第一个受害者是一个位于南美的大型建筑集团，这是一个表明Lilith可能对大型企业感兴趣的迹象。并且其背后的操作者已经意识到他们需要穿越政治迷宫以避免成为执法部门的目标。毕竟，这些新颖的勒索软件项目大多是旧程序的重塑，因此它们的操作者通常非常了解这个领域的复杂性。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/339124.html 封面来源于网络，如有侵权请联系删除

PFC（Professional Finance Company,Inc.）是一家总部位于美国科罗拉多州的债务催收公司，和“数千家”机构合作处理客户和病人的未付账单和未偿余额。在 7 月 1 日，官方发布新闻稿承认过去数月持续遭到勒索软件，最早可以追溯到今年 2 月。 PFC 虽然在美国的知名度并不高，但它服务于数百家美国医院和医疗机构，因此本次勒索攻击可能成为今年美国历史上最大规模的私人和健康信息泄露事件。 PFC 表示本次数据泄漏将影响 650 家医疗提供商，黑客获取了患者名称、家庭住址、尚未偿还的结算金额和其他金融信息。PFC 表示部分数据还涉及患者的出生日期、身份证号码、医疗保险、药物救治等信息。 在提交给美国卫生与公众服务部的文件中，PFC 确认本次勒索软件攻击至少影响了 191 万患者。至少两家采用 PFC 系统的医疗机构出现了数据泄露，位于美国 Delaware 的 Bayhealth Medical Center 有 17481 名患者数据泄漏，在 Texas 的 Bayhealth Medical Center 有 1159 名患者信息被泄漏。 包括 TechCrunch 在内的多家媒体尝试联系 PFC 的首席执行官 Michael Shoop，但是均未得到恢复。公司总顾问 Nick Prola 出面回答了诸多媒体的询问，但是回答都是公文化的，并拒绝回答媒体的指定问题。这些问题包括公司在今年 2 月就已发现，为何在过去 4 个月时间里并没有通知受到影响的医疗服务提供商，以及被窃取的数据是否经过加密。 转自 cnbeta，原文链接：https://www.cnbeta.com/articles/tech/1292183.htm 封面来源于网络，如有侵权请联系删除

安全内参消息，印度果阿邦的洪水监测系统遭到勒索软件攻击，攻击者要求支付加密货币，以解密洪水监测站的数据。 在向果阿警方网络小组的投诉中，一直在维护数据的州政府水资源部表示，所有文件已被加密，无法再被访问。 “服务器已经受到勒索软件的网络攻击。所有文件都被加密了，扩展名为eking，无法访问。在一个弹出窗口界面和提示文件中，攻击者要求支付比特币加密货币来解密数据。这次攻击发生在2022年6月21日午夜12点至凌晨2点之间。数据的完整性已被改变，使其无法备份以前的数据。执行工程师Sunil Karmarkar提交的投诉显示：”该服务器在24×7的互联网线路上工作，由于没有杀毒软件和防火墙已过时，攻击者轻易得手了。 该投诉是在6月24日提交的，在今天被曝光。 位于帕纳吉的数据中心服务器存储了果阿州主要河流15个地点的洪水监测系统的数据，以监测河流的水位。该系统作为灾害管理的一部分，以便控制洪水的情况。 洪水监测系统、自动雨量计和气象仪的数据存储在该州首府的水资源部总部服务器中，而这些服务器是由海德拉巴的ASTRA Microwave Products有限公司维护。 由于黑客攻击，该部门现在无法访问与不同站点的电池电压有关的数据，以及与12个站点有关的数据包，并丢失了所有的旧数据，这些数据现在无法再在本地进行备份，而且由于整个州正在进行旺盛的季风活动，也丢失了目前处于水位的河流的实时数据。 转自 安全内参，原文链接：https://www.secrss.com/articles/44630 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 法国虚拟移动电话运营商La Poste mobile受到勒索软件攻击，影响了行政和管理服务。 该公司指出，黑客可能已经访问了其客户数据，因此建议他们保持警惕。并且该公司强调了身份盗用或网络钓鱼攻击的风险，以防数据泄露。 “La Poste Mobile的行政和管理服务于7月4日（星期一）成为恶意勒索软件型病毒的受害者。我们一知悉此事件，便立即采取了必要的保护措施，暂停了相关的计算机系统。这一保护行动使得我们暂时关闭了网站和客户区，”该公司在其网站上发表的一份声明中写道，并且该网站目前仍处于关闭状态。“我们的IT团队目前正在诊断这一情况。初步分析表明，我们的服务器对您的移动电话线路的运行至关重要，目前已经得到了很好的保护。另一方面，La Poste mobile员工电脑中的文件可能受到了影响。其中一些文件可能包含个人数据。” 从周四到周五，Lockbit勒索软件在其泄露网站上添加了La Poste Mobile的名字。 该团伙自2019年以来一直很活跃，如今是最活跃的勒索团伙之一。最近，Lockbit勒索软件发布了LockBit 3.0，其中有一些重要的新功能，例如漏洞奖励计划、Zcash支付和新的勒索策略。 最近归咎于该组织的事件包括对富士康工厂，加拿大战斗机训练公司和热门德国图书馆服务的攻击事件。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文  

一种新的勒索软件正以谷歌更新的形式出现在网络上，有证据证明，其在利用Windows系统的功能进行勒索攻击。 趋势科技（ Trend Micro ）的研究人员称他们发现了最新的威胁，被称为 “HavanaCrypt”，这是一个赎金软件包，该恶意软件使用开源的.NET混淆器Obfuscar编写，并将自身伪装成谷歌软件更新，诱使用户点击。 当HavanaCrypt开始执行进程时，该勒索软件会通过使用系统中的ShowWindow函数隐藏其窗口，给它一个0的参数。该勒索软件还有多种反虚拟化技术，帮助它在虚拟机中执行时避免动态分析，一旦发现系统在虚拟机环境中运行，该软件将会自动终止进程。 趋势科技的研究人员在分析中写道：“该勒索软件的作者极有可能计划通过Tor浏览器进行通信，因为Tor的是它避免加密文件的目录之一。同时HavanaCrypt还加密了文本文件foo.txt，并且不会丢弃赎金条。这可能是一个表明HavanaCrypt仍处于开发阶段的迹象。” HavanaCrypt正在为日益增长的勒索软件攻击提供支持。据收集和识别威胁的网络安全供应商智能保护网络称，趋势科技在第一季度检测并阻止了超过440万个通过电子邮件、URL和文件层出现的勒索软件威胁，季度环比增长了37%，这其中包括从2017年就已经存在的分发Magniber勒索软件的假Windows更新以及使用假微软Edge和谷歌浏览器更新来推送Magnitude漏洞的攻击。 趋势科技在针对HavanaCrypt的分析中指出，勒索软件的普遍性植根于它的进化性，它采用不断变化的战术和计划来欺骗不知情的受害者，并成功地渗透到环境中，今年有报告称，勒索软件会伪装成虚假的Windows 10、谷歌浏览器和微软Exchange更新分发，以欺骗潜在的受害者下载恶意文件。 过去几年勒索软件即服务（RaaS）模式的兴起，代码开发人员将勒索软件租赁给其他网络犯罪分子，用于他们的攻击活动以削减已支付的赎金，同时攻击者会采用双重勒索，不仅加密文件，还窃取文件，并以此为威胁称如果不支付赎金，将公开泄露数据并损害受害者的声誉。 Malwarebytes Lab分析师在今年早些时候的一篇关于大规模攻击概述的博客文章中写道：“及时更新应用软件可以说是您保持网络安全所能做的最有用的事情，像我们这样的供应商、专家和分析师永远不会让用户忘记这件事。”诚然及时更新是一个非常好的习惯，但近来的网络犯罪分子喜欢利用这一点，使用虚假的软件更新来欺骗用户。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/338910.html 封面来源于网络，如有侵权请联系删除

美联邦调查局（FBI）、网络与基础设施安全局（CISA）和财政部（DoT）近日警告称，有朝方背景的黑客组织，正在利用勒索软件向美国各地的医疗保健机构和公共卫生部门发起攻击。在周三发布的联合公告中，美政府机构指出，其发现相关黑客活动至少可追溯至 2021 年 5 月开始部署的 Maui 勒索软件。 截图（来自：CISA 网站） 据悉，受害医疗保健机构的服务器资料会被加密，并波及电子健康记录、医学成像和整个内网。 该咨询报告写道： 联邦调查局评估发现有朝方背景的网络攻击者，针对医疗保健机构和公共卫生部门部署了 Maui 勒索软件。 推测黑客认为医疗保健组织愿意支付赎金，毕竟这些组织提供了对人类生命和健康至关重要的服务。基于这一假设，FBI、CIA 和财政部评估有朝方背景的黑客，可能会继续发起针对相关医疗保健组织机构的攻击。 公告还指出，在 FBI 观察到并介入相应的诸多事件中，在毛伊岛爆发的勒索软件攻击对当地医疗保健服务造成了长期的中断困扰。 2022 年 4 月上旬，威胁搜寻初创企业 Stairwell 率先曝光了此事，并努力帮助组织机构确定其是否已被入侵。 分析期间，Stairwell 首席逆向工程师 Silas Cutler 指出 —— 这里缺乏许多常见于勒索软件即服务（RaaS）提供商的工具功能。 这种反常的现象，最终让他们推断 Maui 很可能是在受害者网络中手动部署、然后远程操作者针对其想要的特定文件进行了加密。 此前很长一段时间，我们已经多次听到过类似的报道。Mandiant Intelligence 副总裁 John Hultquist 亦在一封电子邮件中表示，这种情况对他们来说可谓是轻车熟路。 自 COVID-19 大流行以来，针对医疗保健行业的勒索软件攻击也呈现出了一个有趣的发展。 恶意行为者最初可能将网络间谍活动作为一个突破口，但近期有留意到攻击者的重点目标已转向其它传统的外交和军事组织。 不过从业务中断产生的后果来看，医疗保健组织依然非常容易受到此类勒索的影响。 最后，这份 CISA 联合公告提到了相关攻击指标（IOC）、技术策略和程序（TTP）等信息，以帮助相关组织机构有效落实网络安全防护政策。 比如限制对数据的访问、关闭网络设备管理接口，并通过监控工具观察物联网设备是否有被入侵等。 转自 cnBeta，原文链接：https://www.135editor.com/beautify_editor.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： “Hive勒索软件即服务”(RaaS)计划的幕后运营者已经彻底修改了他们的文件加密软件，完全迁移到Rust，并采用了更复杂的加密方法。 Hive于2021年6月首次被观察到，现已成为最多产的RaaS组织之一，仅在2022年5月就与Black Basta和Conti一起发生了17次攻击事件。 从GoLang到Rust的转变使Hive成为继BlackCat之后第二种用编程语言编写的勒索软件，使该恶意软件能够获得额外的好处，如内存安全性、对底层资源更深入的控制以及广泛密码库的使用。它还提供了使恶意软件抵抗逆向工程的能力，使其更具规避性。此外，它还具有停止与安全解决方案相关的服务和进程的功能，这些服务和进程可能会阻止其追踪。 Hive和其他勒索软件系列没有什么不同，它会删除备份以防止恢复，但在新的基于Rust的变体中，显著变化的是它的文件加密方法。 MSTIC解释说:“它不是在每个加密的文件中嵌入一个加密的密钥，而是在内存中生成两组密钥，用它们来加密文件，然后将这两组密钥集加密并写入它加密的驱动器的根目录，这两组密钥的扩展名都是.key。” 为了确定两个密钥中哪一个用于锁定特定文件，将加密文件重命名为包含密钥的文件名，然后后跟下划线和Base64编码的字符串(例如，”C:\myphoto.jpg.l0Zn68cb _ -B82BhIaGhI8″)，该字符串指向对应的.key文件中的两个不同位置。 消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 网络安全研究人员详细介绍了勒索软件行为者为在网上掩盖其真实身份以及网络服务器基础设施的托管位置而采取的各种措施。 “大多数勒索软件运营商使用其原籍国(如瑞典、德国和新加坡)以外的托管提供商来托管他们的勒索软件运营网站，”Cisco Talos公司的研究员Paul Eubanks说。“当他们连接到勒索软件网络基础设施执行远程管理任务时，他们使用VPS跳点作为代理来隐藏自己的真实位置。” 众所周知，勒索软件集团依靠暗网来隐藏他们的非法活动，从泄露被盗数据到与受害者协商付款，Talos 透露，他们能够识别“与暗网上的黑客基础设施托管相同的公共IP地址。” Eubanks说：“我们用来识别公共互联网 IP 的方法涉及将威胁参与者的 [自签名] TLS 证书序列号和页面元素与公共互联网上的索引进行匹配。”除了 TLS 证书匹配之外，用于发现攻击者清晰网络基础设施的第二种方法是，使用像Shodan这样的网络爬虫检查暗网网站相关的图标来对抗公共互联网。 调查结果表明，不仅互联网上的任何用户都可以访问犯罪分子的泄露站点，其他基础设施组件(包括识别服务器数据)也被暴露，从而有效地获得用于管理勒索软件服务器的登录位置。 LockBit在其改进的RaaS操作中添加了一个漏洞奖励计划 随着Black Basta勒索软件的开发，勒索软件团伙通过使用QakBot进行初始访问和横向移动，并利用PrintNightmare漏洞(CVE-2021-34527)进行特权文件操作，扩大了其攻击武库。 更重要的是，LockBit勒索软件团伙上周宣布了LockBit 3.0的发布消息“让勒索软件再次伟大！”此外，他们还推出了自己的漏洞奖励计划，为发现安全漏洞和改进软件的“绝妙想法”提供1000美元至100万美元不等的奖励。 漏洞奖励计划的一个关键重点是防御措施：防止安全研究人员和执法部门在其泄露网站或勒索软件中发现漏洞，确定包括联盟计划负责人在内的成员可能被人肉搜索的方式，以及在该组织用于内部通信的消息传递软件和Tor网络本身中发现漏洞。 被加密或识别的威胁表明，像LockBit这样的组织显然非常担心执法行动。最后，该集团计划提供Zcash为一种支付选择，这一点很重要，因为Zcash比比特币更难追踪，这让研究人员更难监视该集团的活动。 消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文