当勒索软件黑客上个月攻击Colonial Pipeline并关闭了美国东海岸大部分地区的天然气输送时，世界意识到石化管道行业被黑客破坏的危险。现在看来，另一家以管道为重点的企业也在同一时间受到勒索软件的攻击，但它却对自己的漏洞却保持沉默，即使黑客已经在暗网上公布了70GB的内部文件。 一个自称为Xing Team的组织上个月在其暗网上发布了从LineStar Integrity Services公司窃取的文件集，该公司位于休斯顿，向管道客户销售审计、合规、维护和技术服务。这些数据首先由维基解密式的透明组织 “分布式拒绝秘密”（DDoSecrets）在网上发现，其中包括73500封电子邮件、会计文件、合同和其他商业文件，约19GB的软件代码和数据，以及10GB的人力资源文件，包括员工的驾驶执照和社会保障卡的扫描件。 虽然这次泄露似乎没有像Colonial Pipeline事件那样对基础设施造成任何破坏，但安全研究人员警告说，泄漏的数据可能为黑客提供了一个针对更多管道服务进行攻击的路线图。DDoSecrets公司以搜索勒索软件集团泄露的数据作为其任务的一部分，揭露它认为值得公众监督的数据，周一在其泄露网站上公布了该公司37G的数据。该组织称，它小心翼翼地编辑了潜在的敏感软件数据和代码。DDoSecrets称这些数据和代码可能使后续黑客找到管道相关软件的漏洞并且加以利用。 但未经编辑的文件，仍然可以在网上找到。安全公司Gigamon的威胁情报研究员Joe Slowik认为，这些文件可能包括能够对其他管道进行后续攻击的信息，目前还不清楚70GB的泄漏信息中可能包括哪些敏感信息，但他担心它可能包括LineStar客户使用的软件架构或物理设备的信息，因为LineStar向管道客户提供信息技术和工业控制系统软件。   （消息及封面来源：cnBeta）

日本跨国集团富士胶片（Fujifilm）遭遇勒索软件攻击，被迫关闭了部分全球网络。该公司在其网站上发布的一份声明中写道：“富士胶片公司目前正对可能来自公司外部的非法访问进行调查。在调查进行中，部分网络被关闭并与外部通信断开”。 声明中继续写道 2021 年 6 月 1 日深夜，我们察觉到有可能受到勒索软件的攻击。为此，我们采取措施，对有可能受到影响的服务器及电脑停止运行，并断开网络连接。 我们目前正在确认其影响程度和规模。对由此带来的不便，我们向所有的客户和业务伙伴深表歉意。 由于部分网络关闭，富士胶片美国公司在其网站上增加了一个通知，称其目前遇到了影响所有形式的通信的问题，包括电子邮件和来电。在早些时候的一份声明中，富士胶片证实，网络攻击也使公司无法接受和处理订单。   （消息及封面来源：cnBeta）  

据外媒BGR报道，在Colonial Pipeline证实美国燃料公司强调的一次全新的系统故障不是公司遭受某种新的黑客攻击的产物后一天，Colonial首席执行官Joseph Blount在接受《华尔街日报》采访时“抛出了一颗重磅炸弹”。 早在5月7日，该燃料公司的一名员工在当天早些时候发现了一张来自DarkSide勒索团伙的赎金字条，从而引发了整个事件链。Blount现在证实，他已经做出决定，公司将支付赎金，同意支付440万美元的赎金–因为在那个时候，还公司还不能确定黑客在其系统中的破坏达到了什么程度。 Blount在这次采访中承认，这是他在本月初灾难发生后的第一次接受采访，他承认支付赎金是一个有争议的举动。事实上，执法官员对此不屑一顾，很多网络安全记者也感叹Colonial公司的行为将使其他勒索软件犯罪者更加胆大妄为。但Blount坚定地说：“我承认，我不愿意看到钱被这样的人拿走。但这是为国家做的正确事情。” Blount这样做是正确的吗？好吧，事实证明，DarkSide黑客给了Colonial一个解密工具，但效果并不好，作为付款的交换条件–事实上，这个低劣的工具让管道运营商不得不着手恢复其网络，这与它根本没有付款的情况几乎相同。 此外，来自GasBuddy的众包数据显示，至少有十几个州遭受了某种形式的燃料中断，甚至在Colonial公司说它已经在周末恢复了正常运营之后。如果这还不够，根据美国能源部以及国家国土安全部的机密分析，整个事件还几乎将美国带到了国家重大能源危机的边缘。根据《纽约时报》的报道，这两个机构都推测，如果Colonial输油管线中断的时间再长一点，就会出现一系列的坏结果。例如，只要该管道的运营网络再中断几天，柴油的缺乏就会迫使公共汽车和各种大众运输工具关闭，这是其一。“多米诺骨牌”效应还包括工厂和炼油厂同样被关闭–因为Colonial公司网络的持续关闭将使他们的产品无处可销。 这一切都发生在DarkSide勒索软件团伙显然从Colonial Pipeline的攻击中感受到自己的一些影响之后。据报道，最近几天，一个竞争对手的勒索软件团伙的人在一个暗网论坛上留言说，DarkSide的创始人已经失去了对他们用来托管和发布受害者被盗数据的网站的访问权。其他基础设施，如他们的支付服务器，据说也被从DarkSide团伙手中夺走。然而，这些说法的合法性存在一些疑问。 在相关新闻中，Colonial Pipeline证实，它在周二试图从勒索软件攻击中恢复时又遭遇了网络中断。然而，该公司强调，这个新问题的背后并没有什么邪恶的东西–尽管从某种程度上说，它确实是之前攻击的一种副产品。Colonial Pipeline公司在一份声明中说：“我们运行提名系统的内部服务器今天上午经历了间歇性的中断，这是由于正在进行的一些加固工作和我们恢复过程的一部分。这些问题与勒索软件或任何类型的再感染无关。”     （消息及封面来源：cnBeta）

据外媒BleepingComputer报道，保险巨头安盛集团在泰国、马来西亚、中国香港和菲律宾的分公司遭到了勒索软件网络攻击。据该家媒体昨日报道，Avaddon勒索软件集团在其泄密网站上称，他们从安盛亚洲业务中窃取了3TB的敏感数据。 另外，BleepingComputer昨天观察到针对安盛全球网站的分布式拒绝服务(DDoS)正在进行，这使得安盛的全球网站在一段时间内无法访问。 根据该组织的说法，Avaddon获得的数据包括客户的医疗报告（暴露他们的性健康诊断）、身份证复印件、银行账户报表、索赔表格、付款记录、合同等等。 大约一周前，安盛表示，在法国承保网络保险时将不再报销勒索软件勒索支付的费用。 勒索软件集团攻击安盛亚洲办事处 昨天，Avaddon勒索软件集团声称对袭击保险巨头安盛(AXA)亚洲分支机构负责。 此外，该组织还称，安盛在泰国、马来西亚、中国香港和菲律宾的网站受到了主动DDoS攻击： Avaddon勒索软件团伙于2021年1月首次宣布，他们将发动DDoS攻击以摧毁受害者的网站或网络直到他们主动联系并开始就支付赎金进行谈判为止。 BleepingComputer曾于2020年10月首次报道了这一新趋势，当时该勒索软件组织开始将DDoS攻击作为额外的杠杆。 就在Avaddon宣布安盛系统受到攻击的大约一周前，安盛曾表示，他们在法国承保的网络保险将不再包括勒索软件勒索赔偿。 尽管攻击的确切日期尚不清楚，但正如BleepingComputer看到的，Avaddon昨天开始在他们的泄露网站上曝光了一些窃取来的数据。 另外，Avaddon还威胁称，安盛有约10天的时间跟他们沟通和合作，之后他们将曝光安盛的重要文件。 该集团声称获得了安盛3TB的数据，包括： 客户医疗报告（包括包含性健康诊断）； 客户索赔； 支付给客户的款项； 客户的银行账户扫描文件； 仅限于医院和医生的材料（私人欺诈调查、协议、拒绝偿付、合同）； 身份证明文件如身份证、护照等。 安盛：除了泰国合作伙伴外，还没有证据表明其他合作伙伴也被盗走数据 BleepingComputer联系到安盛时后者表示：“亚洲援助最近遭受了一场有针对性的勒索软件攻击，影响到了公司在泰国、马来西亚、中国香港和菲律宾的IT业务。因此，在泰国由国际合作伙伴援助(IPA)处理的某些数据已经被访问。目前，没有证据表明泰国IPA以外的任何进一步数据被获取。一个由外部法医专家组成的专门工作组正在调查这起事件。我们已经通知了监管机构和商业伙伴。” 安盛发言人对BleepingComputer表示：“安盛非常重视数据隐私，如果IPA的调查证实任何个人的敏感数据受到影响，那么我们将采取必要措施通知并为所有受影响的企业客户和个人提供支持。” 考虑到本周FBI和澳大利亚网络安全中心(ACSC)已经发出警告，Avaddon勒索软件正在针对美国和世界各地广泛领域的组织发起攻击，围绕该事件的时间点值得注意。 对组织的勒索软件攻击持续增长并导致许多组织受到破坏，攻击者要求支付高额赎金。 最近，DarkSide网络犯罪集团要求Colonial Pipeline支付500万美元以恢复其系统的正常运作。 就在本周，BleepingComputer报告称，爱尔兰卫生服务系统也收到了价值2000万美元的勒索软件需求。 安盛尚未就Avaddon要求的赎金金额发表评论。     （消息及封面来源：cnBeta）  

一个在4月份入侵哥伦比亚特区大都会警察局（MPD）的勒索软件团伙在周二发布了人事记录，披露了近20名警官的高度敏感数据，包括心理评估和测谎测试结果，驾驶执照图像，指纹，社会安全号码，出生日期以及居住、财务和婚姻历史。 勒索软件团伙威胁说，如果警察不付钱的话，他们就会公布警察线人的身份。根据据称是两个组织之间的聊天记录截图显示，这些数据包括在从暗网一个网站下载的161MB数据包当中。这个数据包在Babuk勒索软件集团成员和MPD官员之间的谈判破裂后曝光。 勒索软件团伙要求警方支付400万美元作为交换条件，承诺不再公布任何信息，并提供一个可以恢复数据的解密密钥。大都会警察局（MPD）对此的回答是支付10万美元，以防止被盗数据的发布。如果这个提议不被接受，那么就没有继续会谈的必要。对于大都会警察局（MPD）的回复，勒索软件团伙表示这个价格是不可接受的，并且要求外界在午夜时分关注他们的网站。 该组织网站上的一个帖子表示，双方谈判走到了死胡同，警方提供的金额不适合他们，他们在官网上又发布了20个个人文件，这些文件包含在1个有密码保护的161MB文件当中。在MPD官员拒绝提高赎金之后，勒索软件团伙后来公布了161MB文件的密码。MPD代表没有回应关于文件真实性或谈判现状的问题。 与如今几乎所有的勒索软件团伙一样，该团伙采用了双重勒索模式，不仅对解锁被盗数据的解密密钥收费，而且还以不公开任何数据的承诺作为交换。勒索软件团伙通常会泄露少量的数据，希望能促使受害者支付费用。如果受害者拒绝，未来发布的数据将包括更多的私人和敏感信息。     （消息及封面来源：cnBeta）  

自 2019 年以来，勒索软件团伙已经从暗网泄露了 2103 家公司的数据。现代化勒索软件行动始于 2013 年，攻击者的方式主要是对企业数据进行加密，然后要求支付赎金来获得解密。不过自 2020 年年初以来，勒索软件行动开始进行一种新的战术，称为双重勒索（double-extortion）。 双重勒索是指勒索软件在加密网络值钱窃取未加密的文件。然后攻击者会威胁说，如果企业不支付赎金，那么就会在暗网上公开被盗的文件。由于无法恢复加密文件以及数据可能被泄露、政府罚款和诉讼的额外担忧，威胁者寄希望于这将迫使受害者更容易地支付赎金。 一位被称为 DarkTracer 的暗网安全研究员一直在追踪 34 个勒索软件团伙的数据泄露网站，并告诉 BleepingComputer，他们现在已经泄露了 2103 个组织的数据。 DarkTracer 跟踪的 34 个勒索软件团伙是 Team Snatch、MAZE、Conti、NetWalker、DoppelPaymer、NEMTY、Nefilim、Sekhmet、Pysa、AKO、Sodinokibi（REvil）、Ragnar_Locker、Suncrypt、DarkSide。CL0P, Avaddon, LockBit, Mount Locker, Egregor, Ranzy Locker, Pay2Key, Cuba, RansomEXX, Everest, Ragnarok, BABUK LOCKER, Astro Team, LV, File Leaks, Marketo, N3tw0rm, Lorenz, Noname 和 XING LOCKER。 在这 34 个团伙中，最活跃的前 5 名团伙是Conti（338次泄密）、Sodinokibi/REvil（222次泄密）、DoppelPaymer（200次泄密）、Avaddon（123次泄密）和Pysa（103次泄密）。 3 个不再活跃的团体，比前五名中的一些团体有更多的泄漏，它们是 Maze（266次泄漏）和 Egregor（206次泄漏）。 所列的一些勒索软件团伙已不再运作，如NetWalker、Sekhmet、Egregor、Maze、Team Snatch，或改名为新名称，如NEMTY和AKO。数据勒索行业已经成为勒索软件团伙的一个重要盈利点，他们告诉BleepingComputer，受害者更担心他们的数据被泄露，而不是加密文件的丢失。   （消息及封面来源：cnBeta）

由多家技术公司和执法部门组成的全球联盟正呼吁加强勒索软件打击力度，对其采取“积极而紧迫”的行动。包括微软、亚马逊在内的科技巨头，包括联邦调查局和英国国家犯罪局在内的执法部门加入了Ransomware Task Force (RTF)，向政府提供了将近 50 条建议。 RTF 已经将建议相关报告提交给拜登政府。在报告中写道：“这不仅仅严重危金钱，勒索软件在短短几年时间内已经成为威胁国家安全、公共健康的严重安全问题”。 RTF 联合主席、来自网络安全公司 Rapid 7 的 Jen Ellis 表示：“公民每天都受到这一影响。它对经济和普通民众访问关键服务的能力产生了巨大影响。不仅如此，而且非常令人不安的是，来自有偿赎金的资金用于其他形式的有组织犯罪，例如人口贩运和对儿童的剥削”。 伦敦哈克尼区信息与通信技术总监罗布·米勒（Rob Miller）说：“去年10月的一个星期天早晨，我接到电话询问我们的IT系统问题。很快就意识到这是一次严重的网络攻击”。 他表示：“我们不得不将所有东西下线，并关闭所有系统。而我们的希望为超过 30 万公民提供 24/7 全天候服务，这实在令人感到非常担忧。我们知道摆在我们面前的是巨大的挑战，整个理事会必须团结所有部门的力量，以尽快恢复和运行关键服务”。 他继续说道：“造成的损失确实很大，房屋维修，福利金支付和土地登记都受到了影响。距离我们完全康复还需要几个月的时间，而我不明白这背后的罪犯动机”。   （消息及封面来源：cnBeta）

一个上周从苹果供应商广达电脑公司盗取原理图并威胁要公布文件库的勒索软件集团已神秘地从其暗网博客上删除了所有与勒索企图有关的内容。被称为REvil的勒索软件集团上周二声称，它已经进入了广达公司的内部电脑，并设法获得了一些未发布的苹果产品的图像和原理图。 该组织最初要求广达支付5000万美元以恢复这些文件。然而，根据该黑客组织网站4月20日发布的声明，广达公司拒绝支付赎金，这导致犯罪分子转而向苹果公司要钱。 为了证明自己入侵了广达公司的服务器，也为了加大对苹果公司的压力，黑客们公开发布了一些描述未发布产品原理图的图片，包括苹果公司未发布的下一代MacBook的细节。 该组织威胁要在5月1日前每天发布新的数据，除非苹果支付5000万美元的赎金以换取删除文件。 这次勒索企图的时间点与苹果公司4月20日的 “Spring Loaded”线上发布会活动相吻合，当时苹果公司宣布了AirTag物品追踪器、新iPad Pro型号和新iMacs。然而，尽管有这样的威胁，自从最初的要求被公开以来，没有更多的被盗文件被泄露到网上。 从历史上看，REvil并不以虚张声势著称，如果受害者不付钱，它通常会真的发布被盗的文件，所以不清楚为什么该组织这次没有跟进，而且苹果至今没有对这一漏洞发表评论。促使该组织删除所有与勒索企图有关的内容的原因仍然不明，但如果我们了解到更多信息将带来更多报道。   （消息及封面来源：cnBeta）

援引《华尔街日报》本周三报道，美国司法部已经成立了一个新的工作组，专门针对美国日益增长的勒索软件威胁。在报道中指出，新成立的工作组将会和诸多私营企业、国际合作伙伴进行合作，破坏勒索软件的分销链。 在报道中分享了本周发布的一份内部备忘录，代理副司法部长约翰·卡林正寻求使用多管齐下的方法来破坏勒索软件的勒索计划。美国司法部也能努力捣毁那些支持攻击的数字商店、勒索软件活动背后的托管服务，以及黑客可以找到出售勒索软件的在线论坛。 监督该工作组的 Carlin 向《华尔街日报》透露：“无论从哪个角度来看，2020 年都是有史以来最糟糕的一年，尤其是涉及到勒索软件和相关勒索事件。如果我们不采取行动，这个原本就很糟糕的问题将会变得更加糟糕”。   （消息及封面来源：cnBeta）

通过加强和政府、执法部门、非营利机构、网络安全保险、业内科技公司的合作，安全与技术研究所（IST）正倡导组建全新的勒索软件特别工作组（RTF）。该工作组的创始成员包括了微软、McAfee等诸多科技公司。 RTF的主要工作内容包括：“RTF 将评估现有解决方案在处理勒索软件方面的级别，寻找其中的差距，并为高层决策者创建一个目标具体、可操作的里程碑式的路线图。为了对最终的路线图做出贡献，RTF将委托专家撰写论文，并让各行业的利益相关者参与进来，围绕经过审核的解决方案进行讨论”。 目前 RTF 工作组的成员包括 Aspen Digital ● Citrix ● The Cyber Threat Alliance ● Cybereason ● The CyberPeace Institute ● The Cybersecurity Coalition ● The Global Cyber Alliance ● McAfee ● Microsoft ● Rapid7 ● Resilience ● SecurityScorecard ● Shadowserver Foundation ● Stratigos Security ● Team Cymru ● Third Way ● UT Austin Stauss Center ● Venable LLP         （消息及封面来源：cnBeta；）