据外媒报道，美国芝加哥公立学校发生了一起大规模的数据泄露事件，近 50 万名学生和 6 万名员工的数据遭泄露，这一切源于其供应商 Battelle for Kids 遭受了勒索软件攻击。 Battelle for Kids 是一家总部位于俄亥俄州的非营利性教育机构，主要负责分析公立学校系统共享的学生数据，以设计教学模型并评估教师的表现。据 Battelle for Kid 称，他们已与 267 个学校系统达成合作，覆盖超过 280 万学生。 5 月 20 日，芝加哥公立学校（CPS）学区披露，去年 12 月 1 日对 Battelle for Kids 的勒索软件攻击暴露了其学校系统中 495448 名学生和 56138 名员工的存储数据，时间范围为 2015 学年至 2019 学年。 “具体而言，未经授权的一方可以访问您孩子的姓名、出生日期、性别、年级、学校、芝加哥公立学校学生 ID、州学生 ID、学生所学课程信息，以及 2015 至 2019 学年期间用于教师评估的学生表现分数。”CPS 在学生数据泄露通知中详细说明道。 对于员工，遭泄露的则是其姓名、学校、员工 ID、CPS 电子邮件地址和 Battelle for Kids 用户名。 CPS 表示，该攻击事件中没有泄露任何社会安全号码、家庭住址、健康数据或财务信息。 作为补偿，CPS 为受影响的任何学生或教职员工提供免费的信用监控和身份盗窃保护。 CPS 称，尽管他们与 Battelle for Kids 的合同要求立即通知数据泄露，但他们是在事件发生后过去四个多月的 2022 年 4 月 26 日才首次被告知，并且直到 5 月 11 日，他们才知道具体是哪些学生或教职员工的数据泄露了。 “我们的供应商 Battelle for Kids 告诉我们，之所以延迟通知 CPS，是因为他们通过独立的取证分析验证违规行为的真实性以及执法机构调查此事花费了不少时间。”CPS 在其数据泄露页面上解释道。 目前尚不清楚此攻击背后的勒索软件团伙具体是哪一个。该勒索软件团伙没有公开披露 Battle for Kids 的遭窃数据，这表明 Battelle for Kids 有可能向其支付了赎金。   转自 网安，原文链接：https://www.wangan.com/p/7fy7f64308964da2 封面来源于网络，如有侵权请联系删除

在刚刚过去的 2021 年，勒索软件依然是网络攻击的主角。相比较窃取数据，攻击者更愿意通过锁定数据收取赎金来牟利。根据 Verizon 的 2022 年数据泄露调查报告，勒索软件攻击（涉及恶意代码扰乱受害者计算机上的数据）今年增加了 13%，相当于过去五年的总和。 这是 Verizon 的第 15 次年度报告。研究人员分析了来自 5212 起勒索事件和 23896 起安全事件的数据。相比之下，Verizon 在 2008 年的第一份报告着眼于三年期间的 500 起事件。 在接受 CNET 采访的时候，该研究的主要作者之一亚历克斯·平托（Alex Pinto）表示：“这是一段非常疯狂的旅程”。他补充说，在 2008 年，没有人真正想过要量化和衡量网络攻击。 由于 Colonial Pipeline 和 JBS USA 等公司被攻击，勒索软件在 2021 年成为头条新闻。管道运营商和肉类加工商都支付了相当于数百万美元的费用来解锁他们的数据，但他们的业务关闭导致了恐慌性购买以及天然气和肉类价格的飙升。 Pinto 表示在 15 年前，勒索软件还是非常小众。这种攻击方式直到 2008 年才开始崛起，到 2013 年已经受到了各界关注。 Pinto 表示如今，许多网络犯罪分子发现，他们可以通过锁定公司数据而不是窃取数据进行财务欺诈或身份盗窃，从而以更少的工作赚更多的钱。他说，尽管数据盗窃案件仍然存在，但出售窃取的信息会增加网络攻击者的时间和风险。 无论是勒索软件攻击还是数据泄露，人类仍然是攻击的薄弱环节。在过去的 15 年中，涉及网络犯罪分子说服人们下载恶意软件或交出凭据的社会工程的使用已从违规总数的 10% 上升到 25%。   转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1273281.htm 封面来源于网络，如有侵权请联系删除

臭名昭著的Conti勒索软件团伙已经正式关闭了他们的运营，基础设施已经下线，团队领导人被告知该品牌已经不复存在。这个消息来自Advanced Intel的Yelisey Boguslavskiy，他今天下午在推特上说该团伙的内部基础设施已经关闭。 虽然面向公众的Conti新闻数据泄漏和赎金谈判网站仍然在线，但Boguslavskiy告诉BleepingComputer，成员用于执行谈判和在其数据泄漏网站上发布”新闻”的Tor管理面板现在已经关闭。此外，BleepingComputer还被告知，其他内部服务，如他们的火箭聊天服务器，正在退役。 虽然 Conti 在与哥斯达黎加的信息战中关闭可能看起来很奇怪，但 Boguslavskiy 告诉我们，Conti 进行了这次非常公开的攻击以创建一个实时操作的假象，而 Conti 成员慢慢迁移到其他更小的勒索软件操作。 然而，Advanced Intel独特的对抗性可见度和情报发现导致了事实上相反的结论。Advanced Inte明天发布的一份报告解释说，Conti想通过这次最后的攻击达到的唯一目的是利用这个平台作为宣传的工具，以最合理的方式演绎他们自己的死亡和随后的重生。 Conti领导层内部宣布对哥斯达黎加进行攻击是为了宣传而不是赎金。该组织成员之间的内部沟通表明，要求的赎金远远低于100万美元。虽然Conti勒索软件品牌已经不复存在，但该网络犯罪集团将在未来很长一段时间内继续在勒索软件行业发挥重要作用。   转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1271855.htm 封面来源于网络，如有侵权请联系删除

自4月17日Conti勒索软件攻击爆发以来，已至少影响了哥斯达黎加27个政府机构，其中9个受到严重影响，如征税工作受阻碍、公务员工资发放金额错乱等； 哥国新任总统日前表示，有证据显示，国内有内鬼配合勒索软件团队敲诈政府，这场危机是政府多年未投资网络安全的苦果； 安全专家称，这些犯罪团伙财力雄厚，完全有可能以收买的方式渗透进任何目标组织。   5月16日（周一），哥斯达黎加新任总统Rodrigo Chaves在新闻发布会上表示，国内有合谋者协助Conti勒索软件团伙敲诈政府，这坐实了Conti团伙日前在网站上发布的声明内容。 据阿根廷老牌媒体《国家报》报道称，哥国总统没有公布合谋的内鬼是谁，也未提及他们究竟如何与Conti团伙串通。 总统称，“毫不夸张地说，我们已经身处战争。作战的对象是国际恐怖组织。目前已经有明确迹象可知，国内有人正与Conti合谋。”但他并未透露更多细节。 “这些犯罪团伙财力雄厚，完全有可能以收买的方式渗透进任何目标组织。” BRETT CALLOW, EMSISOFT公司威胁分析师 上周末，安全厂商Emsisoft威胁分析师Brett Callow发现，Conti网站上发布内容，试图诱导哥国人民以“组织集会”的方式施压，迫使政府支付赎金，还声称“我们决心通过网络攻击推翻政府。” 由于哥国政府“拒不配合”支付赎金，Conti团伙开出的赎金价码已经上涨一倍，目前为2000万美元，同时威胁将在一周内删除解密密钥。 5月8号，哥国总统Chaves刚宣誓就任，就宣布国家进入紧急状态。再往前两天（5月6日），美国国务院悬赏1000万美元，全球征集Conti团队“关键领导者”的个人信息。 Chaves在新闻发布会上表示，哥国政府已经从各部门抽调人手，组建了一支“特警小组”，负责应对4月17日爆发的这起勒索软件攻击。本次攻击至少影响到哥国27家政府机构，其中9家“受到了严重影响”，全面评估排查仍在进行当中。 Chaves指出，勒索软件攻击阻碍了政府的征税工作，并导致不少公职人员工资被多发或少发了。 他指责前任政府没能对网络安全进行充分投资，并向哥国人民强调“此次勒索名为安全事件，实际上是一场国家危机。” 尽管Chaves并没有提供国内有合谋者协助Conti团伙的证据，但威胁分析师Callow表示，内部威胁是个由来已久且影响深远的问题。例如，一家托管服务商（为其他企业提供IT服务，并可访问客户网络的公司）的工程师就曾于2020年1月受到指控，罪名是在暗网论坛上出售客户网络的登录信息。 Callow解释道，“这些团伙财力雄厚，完全有可能以收买的方式渗透进任何目标组织。所以如果有内部人士在向他们提供协助，我一点也不会感到惊讶。”   转自 安全内参，原文链接：https://www.secrss.com/articles/42541 封面来源于网络，如有侵权请联系删除

据悉，美国林肯学院定于周五关闭，这使其成为该国第一所部分因勒索软件攻击而关闭的高等教育机构。发布在该学校网站上的一封信件写道，虽然这所学校经历了两次世界大战、西班牙流感和大萧条，但却无法处理新冠大流和发生于去年12月的勒索软件攻击的组合。 学校在公告中写道：“林肯学院是2021年12月网络攻击的受害者，它挫败了招生活动、阻碍了对所有机构数据的访问并造成2022年秋季招生预测的情况不明确。招聘、维持和筹款工作所需的所有系统都无法运行。幸运的是，没有个人身份信息被暴露。在2022年3月完全恢复后，预测会显示出巨大的招生缺口，需要一个变革性的捐赠或合作来维持林肯学院在本学期之后的发展。” 这所伊利诺伊州的学校以亚伯拉罕·林肯总统的名字命名，该校在林肯总统于1865年的生日那天破土动工，是美国教育部认定的仅有的几所以黑人乡村的农村学院之一。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1267645.htm 封面来源于网络，如有侵权请联系删除

尽管恶意软件开发者擅长利用各种软硬件漏洞来达成目的，但他们散播的成品也并非毫无破绽。比如近日，安全研究人员 John Page（又名 hyp3rlinx）就介绍了一招反制勒索软件的新套路。由个人网站和 Twitter 账号上发布的内容可知，John Page 专精于找到恶意软件本身的漏洞，并于近日分享了阻止勒索软件加密受害者文件的方法。 视频截图（来自：malvuln / YouTube） 据悉，许多勒索软件都会被 DLL 劫持所影响。通常攻击者会利用这种动态链接库来诱骗程序加载，以运行他们预期中的恶意代码。 但转念一想，你也大可合理利用该技术来“反劫持”并阻止某些类型的勒索软件。 视频链接：https://tv.sohu.com/v/dXMvODIyMjQwNTMvMzQ2MTE1MDg2LnNodG1s.html John Page 在网站上分享了针对 REvil、Wannacry、Conti 等最新版恶意软件的漏洞和自定义 DLL 的详情。 可知要顺利解套，DLL 需在攻击者可能放置恶意软件的潜在目录中守株待兔。 截图（来自：Malvuln 网站） John Page 还建议采用分层策略，比如将之放在包含重要数据的网络共享上。 由于动态链接库不会在勒索软件访问它们之前被调用，因而此举可无视绕过反病毒软件防护的勒索软件活动。 遗憾的是，DLL 反劫持套路只适用于微软 Windows 操作系统，而无法轻松照搬到 Mac、Linux 或 Android 平台上。 此外它只能尝试避免被勒索软件加密文件，而不能阻止被攻击者访问系统和泄露数据。   转自cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1265609.htm 封面来源于网络，如有侵权请联系删除

美国联邦调查局警告食品和农业公司，要做好准备，防止勒索软件操作者在播种和收获季节攻击农业实体。联邦调查局的警告指出，以前在这些季节对6个粮食合作社的勒索软件攻击是在2021年秋收期间进行的，2022年初的两次攻击可能通过破坏种子和化肥的供应而影响种植季节。 “网络犯罪分子可能将农业合作社视为有利可图的目标，由于它们在农业生产中扮演着时间敏感的角色，他们愿意付费，”BlackFog首席执行官兼联合创始人Darren Williams博士说。”去年，我们看到最大的肉类加工公司之一JBS食品公司、价值数十亿美元的乳制品公司Schreiber、位于明尼苏达州的农场供应和谷物营销合作社Crystal Valley以及位于爱荷华州的农场服务提供商NEW Cooperative等受到攻击后，食品供应中断了。 Williams补充说：”不幸的是，勒索软件攻击正在以无与伦比的速度增加，许多组织仍然依赖过时的技术来防御它们，因此，针对我们的食品供应的破坏性攻击的机会比以往任何时候都高。” 俄罗斯与乌克兰之间近期爆发的战争也凸显了粮食安全问题，这可能会看到许多国家认真对待这一威胁，英国也已经发布了类似的指导意见。 Comparitech公司的安全专家Brian Higgins说：”农民和食品生产已经被网络犯罪分子盯上一段时间了。英国国家网络安全中心（NCSC）在2020年12月发布了指南，美国当局也在跟进，这并不奇怪。犯罪分子总是会在最脆弱的地方攻击他们的目标，以最大限度地施加压力来满足他们的要求。这就是为什么种植和收获季节是农业界特别感兴趣的原因。再加上COVID-19大流行带来的持续的供应链困难，你就会明白为什么这个行业需要提高它的游戏规则并认真对待这些威胁。农民的利润率传统上是非常微薄的，所以一次成功的攻击可能对个别企业或集体造成难以置信的伤害。如果网络犯罪分子来敲门，基本的网络保护必须到位。” Armis公司的首席信息官Curtis Simpson警告说，”许多食品和农业供应链也是由小型企业促成的。其中一些业务已经受到大流行病的影响，任何此类攻击都可能使他们永远失去业务。再一次，当这种情况发生时，从食品服务提供者到餐馆到医院和消费者的下游业务都会遭遇产品采购问题。”   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1261517.htm 封面来源于网络，如有侵权请联系删除

虽然这家俄罗斯安全公司近几个月来已经失宠，但卡巴斯基宣布它已经成功破解了Yanluowang勒索软件（没错，它真的叫阎罗王，字面上Yanluowang。）这一充满了东方文化气息的恶意软件是去年由赛门铁克公司首次发现的，现在，卡巴斯基已经发现了它使用的加密算法中的一个漏洞。这使得该公司能够开发一个免费的解密工具，赎金软件的受害者可以用它来取回他们的数据，而不需要支付一分钱。 据了解，Yanluowang已经在包括美国、巴西和土耳其在内的多个国家发动袭击。已经开发的解密器显然将受到受害者的欢迎，但卡巴斯基提示说，至少需要一个被加密的原始文件才能发挥作用。 卡巴斯基在关于发布该免费工具的帖子中说： 卡巴斯基专家对该勒索软件进行了分析，发现了一个漏洞，可以通过已知文本攻击解密受影响用户的文件。这所需的一切都被添加到Rannoh解密工具中。 要解密一个文件，你应该至少有一个原始文件。如前所述，阎罗王勒索软件将文件沿着3千兆字节的阈值分为大文件和小文件。这就产生了一些必须满足的条件，以便解密某些文件。 – 要解密小文件（小于或等于3GB），你需要一对大小为1024字节以上的文件。这足以解密所有其他小文件。 – 要解密大文件（超过3GB），你需要一对大小不低于3GB的文件（加密的和原始的）。这将足以解密大文件和小文件。 根据以上几点，如果原始文件大于3GB，就有可能解密受感染系统上的所有文件，包括大文件和小文件。但如果有一个小于3GB的原始文件，那么只有小文件可以被解密。 更多信息请见卡巴斯基的《如何恢复被阎罗王加密的文件》一文： https://securelist.com/how-to-recover-files-encrypted-by-yanlouwang/106332/   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1260543.htm 封面来源于网络，如有侵权请联系删除

眼下，勒索软件已经成为互联网上的一种趋势，它的目标包括企业、政府机构、医院和学校。这是一个几十年前就存在的问题，但在过去几年中变得非常普遍。最初，黑客以个人为目标，要求提供几百美元的比特币，但现在他们追求更大的目标，他们可以勒索更大的金额，并且被勒索放在没有电脑和服务器的情况下无法继续正常使用 密苏里州的阿弗顿高中只是去年被勒索软件入侵的大约1000所美国学校之一。2021年2月24日，该学校的所有系统都受到了勒索软件攻击的影响。 那一天，学校所在地区的技术总监Adam Jasinski被一位老师发来的电子邮件惊醒，其中有一张带有赎金字条的截图。 “我很快就知道出事了，因为我可以看到我在桌面上使用的屏幕，它变蓝屏了，”学校的一名教师Brain Esselman曼告诉媒体Motherboard，”它当然说了一些非常粗鲁的话，我马上意识到这是一个问题。” Jasinski称，当他开车赶去上班的路上一直非常恐慌。到学校之后，他检查了机房，校长则叫停了学校的工作。 “你们任何类型的设备上的每个字节都被加密了。不要试图使用备份，因为它也被加密了。要找回你所有的数据。联系我们，”勒索信写道。 Jasinski表示，他很快得出结论，黑客从学区的人力资源部门窃取了数据，其中包含社会安全号码和约1000人的其他个人数据。幸运的是，学校的备份没有受到影响。因此，Jasinski甚至根本不需要跟黑客联系或接触。 当赎金支付发生时，像Chainalysis这样的公司可以通过区块链追踪比特币来识别黑客的钱包，并跟执法部门合作从而试图收回资金或识别黑客本身。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1259627.htm 封面来源于网络，如有侵权请联系删除

对于IT管理员和网络安全团队来说，勒索软件攻击是一场与时间赛跑的关键比赛，以检测和控制损害，同时抢救公司的数据资产的剩余部分。但是，当这种事件发生时，有多少反应时间呢？似乎不是很多。正如对10个候选勒索软件的测试所揭示的那样，一种名叫LockBit的勒索软件效率惊人，在四分钟内就加密了一台Windows服务器上的近10万个文件，在同行当中处于“领先地位”。 由Splunk进行的勒索软件加密速度测试涉及10个勒索软件家族的10个样本，它们在4个不同的模拟计算机”受害者”配置上运行。在总共400次测试中，在Windows Server 2019机器上运行的LockBit样本成为最快的勒索软件，仅用4分9秒就加密了所有53GB的测试数据。 该测试数据由98561个文件组成，包括pdf、excel和word文档。同时，在一台Windows 10和Windows Server 2019机器上测试了这些勒索软件，包括来自REvil、Darkside、Babuk、Maze、LockBit和其他几个样本。LockBit不仅有最快的样本，而且在中位持续时间方面也排在总体第一位。 有趣的”Babuk”勒索软件在总体上排名第二，尽管它的名声因其最慢的单个样本（文件加密时间超过三个半小时）而受到一些打击。 Splunk还分享了一份白皮书（需要商业电子邮件才能下载），提供了对这项研究的全面看法。至于在发生勒索软件攻击时应采取的策略，该公司建议使用多因素认证、网络分段、集中记录和保持系统补丁。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1252033.htm 封面来源于网络，如有侵权请联系删除