HackerNews 编译，转载请注明出处： 微软发现了 Paragon 分区管理器的五个 BioNTdrv.sys 驱动程序漏洞，其中一个被勒索软件团伙利用进行零日攻击，以在 Windows 系统中获取 SYSTEM 权限。 这些易受攻击的驱动程序被用于 “自带易受攻击驱动程序”（BYOVD）攻击，威胁行为者将内核驱动程序放到目标系统上以提升权限。 “具有本地访问权限的攻击者可以利用这些漏洞提升权限或在受害者的机器上造成拒绝服务（DoS）场景，”CERT/CC 的警告中解释道。 “此外，由于攻击涉及一个微软签名的驱动程序，攻击者可以利用自带易受攻击驱动程序（BYOVD）技术来利用系统，即使未安装 Paragon 分区管理器。” 由于 BioNTdrv.sys 是内核级驱动程序，威胁行为者可以利用漏洞以与驱动程序相同的权限执行命令，绕过保护和安全软件。 微软研究人员发现了所有五个漏洞，并指出其中一个是 CVE-2025-0289，被勒索软件团伙利用进行攻击。然而，研究人员并未披露哪些勒索软件团伙将此漏洞作为零日漏洞利用。 “微软观察到威胁行为者（TAs）在 BYOVD 勒索软件攻击中利用这一弱点，特别是使用 CVE-2025-0289 来实现 SYSTEM 级权限提升，然后执行进一步的恶意代码，”CERT/CC 的公告中写道。 “Paragon Software 已经修复了这些漏洞，并且易受攻击的 BioNTdrv.sys 版本已被微软的易受攻击驱动程序阻止列表阻止。” 微软发现的 Paragon 分区管理器漏洞如下： CVE-2025-0288：由于 ‘memmove’ 函数处理不当导致的任意内核内存写入，允许攻击者写入内核内存并提升权限。 CVE-2025-0287：由于输入缓冲区中缺少对 ‘MasterLrp’ 结构的验证，导致空指针解引用，启用任意内核代码执行。 CVE-2025-0286：由于用户提供的数据长度验证不当导致的任意内核内存写入，允许攻击者执行任意代码。 CVE-2025-0285：由于未验证用户提供的数据，导致任意内核内存映射，通过操纵内核内存映射实现权限提升。 CVE-2025-0289：由于在传递给 ‘HalReturnToFirmware’ 之前未验证 ‘MappedSystemVa’ 指针，导致不安全的内核资源访问，可能会导致系统资源被攻陷。 前四个漏洞影响 Paragon 分区管理器 7.9.1 及更早版本，而 CVE-2025-0298（正在被积极利用的漏洞）影响 17 及更早版本。 建议该软件的用户升级到最新版本，其中包含 BioNTdrv.sys 版本 2.0.0，解决了上述所有漏洞。 然而，需要注意的是，即使未安装 Paragon 分区管理器的用户也并非安全无虞。BYOVD 战术并不依赖于软件在目标机器上存在。 相反，威胁行为者将易受攻击的驱动程序包含在他们自己的工具中，允许他们将其加载到 Windows 中并提升权限。 微软已更新其 “易受攻击驱动程序阻止列表”，以阻止该驱动程序在 Windows 中加载，因此用户和组织应确认保护系统已激活。 您可以通过进入 “设置”→“隐私和安全”→“Windows 安全”→“设备安全”→“核心隔离”→“微软易受攻击驱动程序阻止列表”，并确保该设置已启用，来检查阻止列表是否已启用。 Windows 易受攻击驱动程序阻止列表设置 来源：BleepingComputer Paragon Software 网站上的一则警告也指出，用户必须在今天之前升级 Paragon 硬盘管理器，因为它使用了相同的驱动程序，而该驱动程序将在今天被微软阻止。 虽然目前尚不清楚哪些勒索软件团伙正在利用 Paragon 漏洞，但 BYOVD 攻击在网络犯罪分子中越来越受欢迎，因为它允许他们轻松获得 Windows 设备的 SYSTEM 权限。 已知利用 BYOVD 攻击的威胁行为者包括 Scattered Spider、Lazarus、BlackByte 勒索软件、LockBit 勒索软件等。 因此，启用微软易受攻击驱动程序阻止列表功能非常重要，以防止易受攻击的驱动程序在您的 Windows 设备上被利用。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 白蚁勒索软件团伙声称对澳大利亚最大的生育服务提供商 Genea 近期的数据泄露事件负责，窃取了敏感的医疗保健数据。 这家体外受精（IVF）提供商自 1986 年开始运营（当时名为悉尼 IVF）。它在新南威尔士州、南澳大利亚州、西澳大利亚州、墨尔本、堪培拉和昆士兰的 22 家生育诊所提供广泛的服务，包括生育治疗、检查、遗传服务、保存选项和捐赠者计划。 据澳大利亚国家广播公司报道，Genea 和另外两家公司（Monash IVF 和 Virtus）占据了该国行业总收入的 80% 以上。 Genea 上周三首次披露，其正在调查一起 “网络事件”，此前在公司网络上检测到 “可疑活动”。在今天发布的一份更新声明中，这家生育服务巨头确认攻击者从其系统中窃取了数据，这些数据随后被发布在网上。 该公司表示，已获得法院命令，禁止他人分享泄露的数据，并且正在与澳大利亚网络安全中心合作调查这起事件。 这份经过删减的法院命令显示，威胁行为者于 2025 年 1 月 31 日通过 Citrix 服务器入侵了 Genea 的网络。随后，他们获得了对该公司主文件服务器、域控制器、备份程序和 BabySentry 主患者管理系统的访问权限。两周后，即 2 月 14 日，攻击者从 Genea 的被入侵系统中窃取了 940.7GB 的数据，并将其转移到了他们控制的一个 DigitalOcean 云服务器上。 正在进行的调查还发现，Genea 被入侵的患者管理系统中包含了以下类型的个人和健康数据，每个受影响个体暴露的信息各不相同： 全名、电子邮件、地址、电话号码、出生日期、紧急联系人和近亲信息， 医疗保险卡号码、私人健康保险详情、国防部门号码、医疗记录号码、患者号码， 病史、诊断和治疗、药物和处方、患者健康问卷、病理和诊断测试结果、医生和专家的记录、预约详情和时间表。 “目前没有证据表明任何财务信息（如信用卡详细信息或银行账户号码）受到此次事件的影响，”Genea 补充道。 “我们还通知了澳大利亚信息专员办公室（OAIC）这起事件的最新进展，”Genea 一位发言人告诉 BleepingComputer。 白蚁勒索软件声称对此负责 尽管 Genea 没有将此次攻击归咎于特定的威胁组织或网络犯罪团伙，但白蚁勒索软件团伙在周一声称对此负责。 在他们暗网泄露网站的新条目中，他们声称窃取了约 700GB 的数据，并泄露了据称从 Genea 网络中窃取的身份证明文件和患者文件的截图。 “我们从公司的服务器中获得了约 700GB 的数据，包括客户的机密和个人数据，”威胁行为者声称。 据威胁情报公司 Cyjax 称，白蚁勒索软件团伙于 2024 年 10 月中旬浮出水面，此后在其暗网门户上列出了来自世界各地和各个行业的 18 名受害者。 2024 年 12 月，该勒索软件团伙还声称入侵了总部位于亚利桑那州的服务（SaaS）提供商 Blue Yonder。这家全球供应链软件提供商拥有超过 3000 名客户，包括微软、雷诺、拜耳、乐购、联想、DHL、3M、Ace Hardware、宝洁、嘉士伯、都乐、沃尔格林、西部数据和 7-Eleven 等知名企业。 与其他勒索软件团伙一样，白蚁网络犯罪团伙也从事数据盗窃、勒索和加密攻击。据网络安全公司 Trend Micro 称，他们使用的是 2021 年 9 月泄露的 Babuk 加密器版本，并且已知会在受害者的加密系统上留下 “How To Restore Your Files.txt” 赎金便条。 Trend Micro 还补充道，白蚁的勒索软件加密器可能仍在开发中，因为它会因代码执行缺陷而提前终止。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据 Prodaft 上周内部发布并于昨天公开的一份报告显示，自 2024 年 6 月开始活动以来，被追踪为 “EncryptHub”（又称 Larva-208）的威胁行为者已针对全球各地的组织发起了鱼叉式网络钓鱼和社会工程攻击，以获取企业网络的访问权限。该报告显示，自 2024 年 6 月 EncryptHub 开始运营以来，已至少入侵了 618 家机构。 在获得访问权限后，这些威胁行为者会安装远程监控和管理（RMM）软件，随后部署诸如 Stealc 和 Rhadamanthys 之类的信息窃取木马。在许多被观察到的案例中，EncryptHub 还会在被入侵的系统上部署勒索软件。 Prodaft 告诉 BleepingComputer，该威胁组织与 RansomHub 和 BlackSuit 有关联，曾部署过这两种勒索软件加密器，可能作为它们的初始访问代理或直接附属机构。然而，在许多攻击中，研究人员观察到威胁行为者部署了自定义的 PowerShell 数据加密器，因此他们也有自己的变种。 Larva-208 的攻击手段包括短信钓鱼、语音钓鱼以及模仿 Cisco AnyConnect、Palo Alto GlobalProtect、Fortinet 和 Microsoft 365 等企业 VPN 产品的虚假登录页面。 攻击者通常在发给目标的消息中冒充 IT 支持人员，声称 VPN 访问出现问题或账户存在安全问题，引导他们登录钓鱼网站。 受害者会收到链接，这些链接会将他们重定向到钓鱼登录页面，其凭据和多因素认证（MFA）令牌（会话 cookie）会被实时捕获。 一旦钓鱼过程结束，受害者会被重定向到服务的真实域名，以避免引起怀疑。 EncryptHub 购买了 70 多个模仿上述产品的域名，如 “linkwebcisco.com” 和 “weblinkteams.com”，以增加钓鱼页面的可信度。 这些钓鱼网站托管在 Yalishanda 等不受监管的托管服务提供商上，ProDaft 表示，这些提供商通常不会响应合理的下架请求。 Prodaft 还发现另一个被追踪为 Larva-148 的子组，该子组帮助购买钓鱼活动中使用的域名、管理托管服务并设置基础设施。虽然 Larva-148 可能向 EncryptHub 出售域名和钓鱼工具包，但它们的确切关系尚未明确。 一旦 EncryptHub 入侵目标系统，它会部署各种 PowerShell 脚本和恶意软件，以获得持久性、远程访问、数据窃取和文件加密的能力。 首先，他们诱骗受害者安装 AnyDesk、TeamViewer、ScreenConnect、Atera 和 Splashtop 等 RMM 软件。这使他们能够远程控制被入侵的系统，保持长期访问权限，并实现横向移动。 接下来，他们使用不同的 PowerShell 脚本部署信息窃取木马，如 Stealc、Rhadamanthys 和 Fickle Stealer，以窃取存储在网页浏览器中的数据。这些数据包括保存的凭据、会话 cookie 和加密货币钱包助记词。 BleepingComputer 还看到了针对 Linux 和 Mac 设备执行类似操作的 Python 脚本。 在 BleepingComputer 看到的脚本样本中，威胁行为者试图从被入侵的系统中窃取大量数据，包括： 各种加密货币钱包的数据，包括 MetaMask、Ethereum Wallet、Coinbase Wallet、Trust Wallet、Opera Wallet、Brave Wallet、TronLink、Trezor Wallet 等。 各种 VPN 客户端的配置数据，包括 Cisco VPN Client、FortiClient、Palto Alto Networks GlobalProtect、OpenVPN 和 WireGuard。 各种流行密码管理器的数据，包括 Authenticator、1Password、NordPass、DashLane、Bitwarden、RoboForm、Keeper、MultiPassword、KeePassXC 和 LastPass。 与特定扩展名匹配或文件名包含某些关键词的文件，包括图片、RDP 连接文件、Word 文档、Excel 电子表格、CSV 文件和证书。文件名中的一些目标关键词包括 “pass”、“account”、“auth”、“2fa”、“wallet”、“seedphrase”、“recovery”、“keepass”、“secret” 等。 Larva-208 的最终威胁是勒索软件，其形式为自定义的基于 PowerShell 的加密器，该加密器使用 AES 加密文件并附加 “.crypted” 扩展名，同时删除原始文件。 会为受害者生成一张赎金条，要求通过 Telegram 以 USDT 支付赎金。 Prodaft 表示，EncryptHub 是一个复杂的威胁行为者，会根据目标定制攻击以提高效果，成功入侵了大型组织的高价值目标。 “本报告中考察的 LARVA-208 鱼叉式网络钓鱼行为者体现了针对性网络攻击日益增长的复杂性，”Prodaft 警告说。“通过采用高度定制的社会工程手段、先进的混淆方法和精心制作的诱饵，该威胁行为者展示了强大的能力，能够规避检测并入侵高价值目标。”   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 超过一年的 Black Basta 勒索软件团伙的内部聊天记录被泄露，提供了前所未有的视角，揭示了他们的策略和成员之间的内部冲突。 这些俄语聊天记录在 2023 年 9 月 18 日至 2024 年 9 月 28 日期间于 Matrix 消息平台进行，于 2025 年 2 月 11 日被一位名为 ExploitWhispers 的人士泄露，该人士声称泄露数据是因为该团伙针对俄罗斯银行。泄露者的身份仍然是个谜。 Black Basta 最初在 2022 年 4 月受到关注，当时他们使用现已基本停用的 QakBot（又名 QBot）作为传播工具。根据美国政府在 2024 年 5 月发布的一份公告，这个双重勒索团伙估计已针对北美、欧洲和澳大利亚的 500 多个私营行业和关键基础设施实体。 据 Elliptic 和 Corvus Insurance 估计，到 2023 年底，这个活跃的勒索软件团伙已从 90 多个受害者那里获得了至少 1.07 亿美元的比特币赎金。 瑞士网络安全公司 PRODAFT 表示，这个以经济利益为动机的威胁行为者（也被称为 Vengeful Mantis）由于内部纷争，自今年年初以来基本处于不活跃状态，其中一些运营商通过收取赎金但不提供有效的解密工具来诈骗受害者。 更糟糕的是，与俄罗斯有关联的网络犯罪集团的关键成员据说已经跳槽到 CACTUS（又名 Nurturing Mantis）和 Akira 勒索软件行动。 “内部冲突是由‘Tramp’（LARVA-18）驱动的，他是一名已知的威胁行为者，运营一个负责传播 QBot 的垃圾邮件网络，”PRODAFT 在 X 上的一篇帖子中表示。“作为 BLACKBASTA 内的关键人物，他的行为在该团伙的不稳定中起到了重要作用。” 泄露的聊天记录包含近 200,000 条消息，其中一些关键内容如下： Lapa 是 Black Basta 的主要管理员之一，负责管理任务。 Cortes 与 QakBot 团伙有关联，该团伙在 Black Basta 针对俄罗斯银行的攻击后试图与之划清界限。 YY 是 Black Basta 的另一名管理员，负责支持任务。 Trump 是“该团伙主要头目”Oleg Nefedov 的一个别名，他还使用 GG 和 AA 这两个名字。 Trump 和另一名成员 Bio 曾在现已解散的 Conti 勒索软件团伙中合作。 据信，Black Basta 的一名成员是一名 17 岁的未成年人。 在 Scattered Spider 成功后，Black Basta 开始积极将社会工程学纳入其攻击手段。 据 Qualys 称，Black Basta 团伙利用已知漏洞、配置错误和安全控制不足来获取对目标网络的初始访问权限。讨论显示，SMB 配置错误、暴露的 RDP 服务器和弱身份验证机制经常被利用，通常依赖默认的 VPN 凭证或暴力破解被盗凭证。 目前，Black Basta 尚未发布这些漏洞的补丁。在此期间，使用受影响系统的组织应采取以下防御措施： 限制对敏感日志文件和目录的访问。 对日志和备份文件应用严格的文件权限。 避免记录敏感的会话相关数据。 在存储前加密敏感数据。 在生产环境中禁用调试模式。 实施更强的身份验证和会话管理。 定期对系统及其文件处理过程进行安全审计。 强烈建议使用受影响系统的组织立即采取行动，保护其关键基础设施免受潜在攻击。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2024年，勒索软件攻击使网络犯罪团伙共获得8.135亿美元的非法收入，相较于2023年的12.5亿美元有所下降。 区块链情报公司Chainalysis指出，2024年上半年的敲诈总金额为4.598亿美元，并表示自2024年7月之后，支付活动减少了约3.94%。 “2024年下半年勒索软件事件数量有所增加，但链上支付却减少了，这表明虽然更多受害者被盯上，但实际支付赎金的人变少了。”该公司说道。 另一个挑战是勒索软件生态系统的日益碎片化。在LockBit和BlackCat倒台之后，许多新入局者涌现，他们放弃了针对大型企业的“狩猎”，转而将目标对准小型至中型企业，这也导致赎金数额要求较低。 根据Coveware公司收集的数据，2024年第四季度的平均勒索软件支付金额为553,959美元，相较于第三季度的479,237美元有所上升。然而，中位数赎金支付金额却从200,000美元降至110,890美元，环比下降了45%。 “支付赎金仍然是那些没有其他办法恢复关键数据的人的最后选择。”该公司表示。 “新旧勒索软件变种的故障解密工具以及对威胁行为者履行承诺能力的日益不信任，都促使受害者除非万不得已，否则不会选择支付赎金。” 赎金支付的减少也与执法部门在打击网络犯罪团伙和加密货币洗钱服务方面取得的越来越多的成功相呼应，这破坏了犯罪行为的经济动机，并提高了进入这一领域的门槛。 尽管如此，2024年也见证了自2021年以来年度勒索软件事件数量的最高值，达到了惊人的5,263次攻击，同比增加了15%。 “工业领域在全球经济中扮演着关键角色，2024年遭受了所有勒索软件攻击的27%（1,424次），比2023年增加了15%。”NCC集团表示。“2024年，超过一半的攻击（55%）发生在北美地区。” 2024年最常见的勒索软件变种包括Akira（11%）、Fog（11%）、RansomHub（8%）、Medusa（5%）、BlackSuit（5%）、BianLian（4%）和Black Basta（4%）。在此期间，独狼行动者占据了8%的市场份额。 最近几个月出现的一些新入局者包括Arcus Media、Cloak、HellCat、Nnice、NotLockBit、WantToCry和Windows Locker。特别是HellCat，被发现采用心理战术来羞辱受害者，迫使他们支付赎金。 “Akira和Fog使用了相同的洗钱方法，这与其他勒索软件变种不同，进一步支持了它们之间存在关联的观点。”Chainalysis说道。 “这两个组织主要专注于利用VPN漏洞，这使他们能够未经授权访问网络，进而部署勒索软件。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员详细披露了一起攻击事件，攻击者利用基于Python的后门程序持续访问受感染终端，随后利用这一访问权限在整个目标网络中部署RansomHub勒索软件。 据GuidePoint Security称，攻击者最初通过一款名为SocGholish（又称FakeUpdates）的JavaScript恶意软件获得访问权限，该软件通过诱骗用户下载假冒的网页浏览器更新进行传播。 此类攻击通常涉及利用黑帽搜索引擎优化（SEO）技术，将受害者重定向到看似合法但已被感染的网站。SocGholish执行后，会与攻击者控制的服务器建立联系，以获取其他有效载荷。 网络安全 去年，SocGholish攻击活动针对依赖过时版本SEO插件（如Yoast（CVE-2024-4984，CVSS评分：6.4）和Rank Math PRO（CVE-2024-3665，CVSS评分：6.4））的WordPress网站进行初步渗透。 在GuidePoint Security调查的事件中，SocGholish感染约20分钟后，基于Python的后门程序被植入。攻击者随后通过RDP会话在局域网内横向移动，将该后门程序传播至同一网络中的其他计算机。 安全研究员Andrew Nelson表示：“该脚本作为反向代理，连接到硬编码的IP地址。脚本通过初始命令与控制（C2）握手后，将建立一个主要基于SOCKS5协议的隧道。” “该隧道允许攻击者利用受害系统作为代理，在受感染网络中横向移动。” 自2023年12月初以来，该Python脚本（ReliaQuest于2024年2月记录了其早期版本）已在野外被检测到，并进行了旨在改进隐匿技术的“表面级更改”。 GuidePoint还指出，解码后的脚本既精致又编写良好，这表明恶意软件作者要么对维护高度可读和可测试的Python代码一丝不苟，要么依赖于人工智能（AI）工具来辅助编码。 Nelson补充道：“除了局部变量隐匿外，代码被分解为具有高度描述性方法名称和变量的不同类。每个方法还具有高度错误处理和详细的调试信息。” 基于Python的后门程序远非勒索软件攻击中检测到的唯一前驱程序。本月早些时候，Halcyon指出，在勒索软件部署之前部署的其他工具包括： 使用EDRSilencer和Backstab禁用端点检测和响应（EDR）解决方案 使用LaZagne窃取凭据 ——使用MailBruter暴力破解凭据以攻击电子邮件账户 ——使用Sirefef和Mediyes维持隐蔽访问并传递其他有效载荷 此外，勒索软件攻击活动还瞄准了亚马逊S3存储桶，利用亚马逊网络服务（AWS）的服务器端加密（客户提供的密钥）（SSE-C）对受害者的数据进行加密。这一活动被归因于名为Codefinger的攻击者。 除了在没有其生成的密钥的情况下阻止恢复外，这些攻击还采用紧急勒索策略，通过S3对象生命周期管理API将文件标记为在七天内删除，以迫使受害者付款。 网络安全 Halcyon表示：“Codefinger滥用已公开的具有S3对象读写权限的AWS密钥。通过利用AWS原生服务，他们在无需合作的情况下实现了既安全又无法恢复的加密。” 与此同时，SlashNext表示，其见证了模仿Black Basta勒索软件团伙电子邮件轰炸技术的“快速”钓鱼活动激增，向受害者收件箱发送超过1100封与新闻通讯或付款通知相关的合法邮件。 该公司称：“当人们感到不知所措时，攻击者会通过电话或Microsoft Teams消息乘虚而入，冒充公司技术支持人员提供简单解决方案。” “他们自信地交谈以获得信任，指示用户安装TeamViewer或AnyDesk等远程访问软件。一旦软件安装在设备上，攻击者便悄然潜入。从那里，他们可以传播有害程序或潜入网络的其他区域，为直接访问敏感数据铺平道路。”

HackerNews 编译，转载请注明出处： 非营利性献血机构OneBlood证实，去年夏天的一次勒索软件攻击中，捐赠者的个人信息被盗。 OneBlood于2024年7月31日首次向公众通报此次攻击，指出勒索软件攻击者对其虚拟机进行了加密，迫使这家医疗机构回退到使用手动流程。 OneBlood为美国250多家医院提供血液，此次攻击导致血液采集、检测和分发工作延误，一些诊所启动了“严重血液短缺”预案。 当时，这家非营利机构紧急呼吁民众捐赠O型阳性、O型阴性和血小板，这些血型普遍适用，可用于紧急输血。 上周，OneBlood开始向受影响的个人发送数据泄露通知，告知他们针对此事件的调查已于2024年12月12日完成，并确定泄露的确切日期为2024年7月14日。 威胁者在OneBlood发现泄露后的一天，即7月29日之前，一直可以访问其网络。 “我们的调查显示，2024年7月14日至7月29日期间，我们的网络中某些文件和文件夹被未经授权地复制。”OneBlood的数据泄露通知中写道。 “调查确定，您的姓名和社保号码包含在相关文件和文件夹中。”同一份文件指出。 虽然采血中心通常会收集更多信息，如电话号码、电子邮件和实体地址、人口统计数据和病史，但此次泄露的数据仅限于姓名和社保号码。 姓名和社保号码可能会被用于身份盗窃和金融欺诈，由于这些信息不易更改，相关风险将持续多年。 为减轻这一风险，OneBlood在信中附上了免费一年期信用监测服务的激活码，通知收件人需在2025年4月9日前使用。 此外，受影响个人应考虑对其账户进行信用冻结和欺诈警报设置，以防止遭受经济损失。 虽然OneBlood确实遵守了其最初承诺，即告知受影响个人可能存在的数据泄露风险，但六个月的延迟通知仍使这些人处于风险之中。 OneBlood在勒索软件攻击中受影响的人数尚未披露。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一种新的勒索软件活动正在利用亚马逊AWS的客户提供的密钥服务器端加密（SSE-C）功能加密S3存储桶，只有威胁行为者才知道解密密钥，并要求支付赎金以获取该密钥。 这一活动由Halcyon发现，据其报告，名为“Codefinger”的威胁行为者已至少对两名受害者进行了加密。然而，该行动可能会升级，或者很快会有更多威胁行为者采用这一战术。 亚马逊简单存储服务（S3）是亚马逊云服务（AWS）提供的一种可扩展、安全且高速的对象存储服务，而S3存储桶是用于存储文件、数据备份、媒体、日志等的云存储容器。 SSE-C是一种加密选项，用于确保S3静态数据的安全，允许客户使用自己的加密密钥，通过AES-256算法对数据进行加密和解密。AWS不存储该密钥，客户负责生成、管理和保护密钥。 在Codefinger的攻击中，威胁行为者使用被破解的AWS凭证，利用具有“s3:GetObject”和“s3:PutObject”权限的受害者密钥，定位到S3存储桶中的对象进行SSE-C加密。 然后，攻击者在本地生成一个加密密钥，对目标数据进行加密。 由于AWS不存储这些加密密钥，因此即使受害者向亚马逊报告了未经授权的活动，也无法在没有攻击者密钥的情况下恢复数据。 Halcyon解释道：“通过利用AWS原生服务，他们在不合作的情况下实现了既安全又无法恢复数据的加密。” 接下来，攻击者使用S3对象生命周期管理API设置了一个七天的文件删除策略，并在所有受影响的目录中放置了勒索信，指示受害者在给定的比特币地址上支付赎金以换取自定义的AES-256密钥。 勒索信还警告受害者，如果他们尝试更改账户权限或修改存储桶中的文件，攻击者将单方面终止谈判，使受害者无法恢复其数据。 Halcyon已将其发现报告给亚马逊，云服务提供商表示，他们会尽力及时通知密钥已泄露的客户，以便他们立即采取行动。 亚马逊还鼓励人们实施严格的安全协议，并按照以下步骤快速解决未经授权的AWS账户活动问题。 Halcyon还建议AWS客户设置限制性策略，以防止在其S3存储桶中使用SSE-C。 关于AWS密钥，应禁用未使用的密钥，频繁轮换活跃的密钥，并将账户权限保持在所需的最低级别。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员揭示了一个新兴的人工智能（AI）辅助勒索软件家族——FunkSec，该家族于2024年末崭露头角，至今已造成85名以上受害者。 Check Point Research在与The Hacker News分享的最新报告中指出：“该团伙采用双重勒索战术，结合数据窃取与加密手段，向受害者施压以索取赎金。值得注意的是，FunkSec要求的赎金异常低廉，有时低至1万美元，并以折扣价将窃取的数据出售给第三方。” 2024年12月，FunkSec推出了数据泄露网站（DLS），以“集中化”其勒索软件运营，发布泄露公告，提供分布式拒绝服务（DDoS）攻击定制工具，并作为勒索软件即服务（RaaS）模式的一部分，推出定制勒索软件。 受害者主要分布在美国、印度、意大利、巴西、以色列、西班牙和蒙古国。Check Point对该团伙活动的分析显示，这可能是由寻求通过再利用先前黑客活动相关泄露信息来吸引名声的新手所为。 据Halcyon称，FunkSec的特点在于，它既是勒索软件团伙，又是数据掮客，以1000至5000美元的价格向感兴趣的买家兜售窃取的数据。 已确定该RaaS团伙中的部分成员从事黑客活动，这凸显了黑客主义与网络犯罪之间界限的持续模糊，正如国家行为体和有组织网络犯罪分子日益展现出“战术、技术和甚至目标方面令人不安的趋同”一样。 他们还声称以印度和美国为目标，与“自由巴勒斯坦”运动保持一致，并试图与现已不存在的黑客实体如Ghost Algeria和Cyb3r Fl00d建立联系。以下是与FunkSec相关的一些显著人物： Scorpion（又名DesertStorm），一名疑似来自阿尔及利亚的参与者，曾在地下论坛如Breached Forum上宣传该团伙。 El_farado，在DesertStorm被Breached Forum封禁后，成为宣传FunkSec的主要人物。 XTN，一名可能的同伙，参与了一项尚不清楚的“数据分类”服务。 Blako，被DesertStorm与El_farado一同标记。 Bjorka，一名印尼知名黑客活动分子，其别名被用于在DarkForums上声称与FunkSec相关的泄露，这可能指向松散的隶属关系或他们试图冒充FunkSec。 该团伙可能也涉足黑客活动的迹象体现在存在DDoS攻击工具以及与远程桌面管理（JQRAXY_HVNC）和密码生成（funkgenerate）相关的工具。 Check Point指出：“包括加密器在内的该团伙工具的开发可能得到了AI的辅助，这有助于他们快速迭代，尽管开发者显然缺乏技术专长。” 名为FunkSec V1.5的最新勒索软件版本用Rust编写，相关文件是从阿尔及利亚上传到VirusTotal平台的。对旧版本恶意软件的检查发现，勒索软件说明中提到了FunkLocker和Ghost Algeria。这些样本大多是从阿尔及利亚上传的，可能是开发者本人所为，这表明威胁行为者来自该国。 勒索软件二进制文件被配置为递归遍历所有目录并加密目标文件，但在提升权限、采取措施禁用安全控制、删除卷影复制备份以及终止硬编码的进程和服务列表之前不会这样做。 Check Point Research威胁情报小组经理Sergey Shykevich在一份声明中表示：“2024年是勒索软件团伙非常成功的一年，与此同时，全球冲突也助长了不同黑客团体的活动。FunkSec是最近涌现的一个新团伙，在12月成为最活跃的勒索软件团伙，模糊了黑客主义与网络犯罪之间的界限。受政治议程和财务激励的双重驱使，FunkSec利用AI并重新利用旧的数据泄露来建立一个新的勒索软件品牌，尽管其活动的真正成功性仍高度可疑。” 与此同时，Forescout详细描述了Hunters International的一次攻击，该攻击可能利用Oracle WebLogic Server作为初始入口点，投放China Chopper web shell，然后用于执行一系列后利用活动，最终导致勒索软件的部署。 Forescout表示：“在获得访问权限后，攻击者进行了侦察和横向移动，以绘制网络地图并提升权限。攻击者使用了多种常见的行政和红队工具进行横向移动。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 日本电子产品制造商卡西欧表示，2024年10月发生的勒索软件事件导致约8500人的个人信息被泄露。 受影响人员主要为卡西欧员工和商业合作伙伴，但泄露数据中还包括一小部分客户个人信息。 此次网络攻击发生在10月5日，勒索软件团伙利用钓鱼战术攻破了公司网络，导致IT系统瘫痪。 10月10日，地下勒索软件团伙声称对此次攻击负责，并威胁称，除非支付赎金，否则将披露机密文件、财务文件、项目信息及员工数据。 不久后，卡西欧确认地下团伙已窃取员工、合作伙伴和客户的个人数据，但当时未透露受影响人数。 随着调查结束，卡西欧现已公布数据泄露范围的全部细节。 公司最新公告列出以下泄露数据： 员工（6456人）：姓名、员工编号、电子邮件地址、所属部门、性别、出生日期、家庭信息、地址、电话号码、纳税人识别号及总部系统账户信息。 商业合作伙伴（1931人）：姓名、电子邮件地址、电话号码、公司名称、公司地址及部分人的身份证件信息。 客户（91人）：需要送货及安装的商品的送货地址、姓名、电话号码、购买日期及产品名称。 其他泄露数据：包括发票、合同及会议材料等在内的内部文件。 一旦确定受影响人员，卡西欧将向他们发送关于此次事件的个性化通知。 尽管一些员工收到疑似与勒索软件事件及敏感数据泄露相关的垃圾邮件，但公司表示，截至目前，他们、合作伙伴及客户均未遭受二次损害。 卡西欧特别指出，客户数据或信用卡信息未遭地下勒索软件团伙泄露，因为存储客户信息的数据库未受此次事件影响。 这家日本公司还明确表示，他们未与网络犯罪分子进行谈判。 卡西欧解释说：“在与执法机构、外部律师和安全专家协商后，卡西欧未对实施非法访问的勒索软件团伙提出的任何无理要求作出回应。” 至于受影响的服务，卡西欧表示，尽管部分服务尚未恢复，但大部分已恢复正常运行状态。 与此同时，虽然卡西欧的CASIO ID和ClassPad.net平台未被标记为勒索软件攻击的影响对象，但这两个服务在2024年10月也遭遇了另一起泄露事件。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文