HackerNews 编译，转载请注明出处： 法国科技巨头阿托斯（Atos）为该国军事和情报部门提供通信安全保障，近日否认了勒索软件团伙“太空熊”（Space Bears）关于其攻破阿托斯数据库的说法。 阿托斯拥有约8.2万名员工，年收入约100亿欧元，自称是欧洲领先的网络安全、云计算和高性能计算公司。 该公司在泛欧证券交易所巴黎分部上市，拥有来自70个国家的超过1200家客户。今年11月，法国政府提出以5亿欧元的企业价值（包括收益后最高可达6.25亿欧元）收购其高性能计算部门。 “太空熊”网络犯罪团伙于12月28日声称，其攻破了阿托斯网络并窃取了一家公司数据库，将于下周三在其暗网泄露网站上公布。 “太空熊”是一个于2024年4月出现的新兴组织。该团伙采用双重勒索战术，从受害者处窃取敏感数据以迫使其支付赎金，若受害者拒绝支付，则威胁将窃取的信息泄露到网上。 自4月5日以来，他们已在泄露博客上添加了来自世界各地及各行各业（包括医疗保健、科技、汽车、电信、航空航天）的45名受害者，以胁迫其支付赎金。 阿托斯在“太空熊”泄露博客上的条目（BleepingComputer截图） 12月29日，阿托斯表示，初步分析显示“没有任何证据表明任何阿托斯/埃维登（Eviden）系统在任何国家受到攻击或勒索软件的影响”，且公司未收到任何赎金要求。 当BleepingComputer询问有关“太空熊”说法的更多细节时，阿托斯发言人表示，将在阿托斯新闻室发布更新信息。今日，该发言人告诉BleepingComputer，“太空熊”勒索软件团伙关于“攻破阿托斯组织”的说法毫无根据。 阿托斯在周五发布的一份新声明中补充说，“阿托斯管理的任何基础设施均未遭到破坏，未访问任何源代码，也未泄露任何阿托斯知识产权或专有数据。” 阿托斯表示，“太空熊”团伙实际上攻破了与阿托斯无关的“外部第三方基础设施”，尽管其中存储的数据提到了阿托斯公司的名称，但该基础设施并非由阿托斯管理或保障安全。 阿托斯今日还补充说：“阿托斯拥有由6500多名专业专家和17个新一代安全运营中心（SOC）组成的全球网络，全天候运作，确保集团及其客户的安全。”   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

2024 年 12 月 23 日，匹兹堡区域交通运输公司 (PRT) 宣布正在积极应对于 12 月 19 日星期四首次发现的勒索软件攻击。 匹兹堡地区交通运输公司 (PRT) 是一家为美国宾夕法尼亚州匹兹堡大都会区提供服务的公共交通机构。 该公司运营各种交通服务，包括公交车、轻轨（“T”）和斜坡服务，为该地区的通勤者和居民提供交通选择。PRT 旨在提供安全、实惠且可靠的交通解决方案，以满足当地居民的需求。 勒索软件攻击导致匹兹堡当地交通服务严重中断。 该机构已通知执法部门，并在网络安全专家的协助下调查该安全漏洞。 周四早上铁路服务暂时中断，但公交服务已恢复正常运营。 “发现事件后，PRT 立即展开调查，启动了网络事件响应小组，通知了执法部门，并聘请了全国公认的第三方网络安全和数据取证专家。这些团队正在努力确定是否有任何信息遭到泄露。”该机构在其网站上发表的声明中写道。 “尽管周四早上铁路服务暂时中断，但公共交通服务目前仍正常运行。不过，其他一些乘客服务仍受到负面影响，包括 PRT 的客户服务中心，该中心暂时无法接受或处理老年人和儿童的 ConnectCard。” 目前尚不清楚威胁组织是否在侵入该机构系统后窃取了数据。 该机构没有提供有关此次网络攻击的更多细节，例如事件背后的勒索软件团伙。目前尚无勒索软件组织声称对此次网络攻击负责。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/gXGcpLR6Hk7Ydt-Gzw_bvQ 封面来源于网络，如有侵权请联系删除

印度制药巨头Cipla成为了Akira勒索软件网络攻击的受害者。黑客声称从这家跨国公司窃取了70GB敏感数据，该公司在全球运营47家制造工厂，产品销往86个国家/地区。 据悉，这次攻击泄露在制药行业引发了震动，引发了行业对数据安全和患者隐私的严重担忧。 根据Akira勒索软件组织的说法，被盗信息包括广泛的敏感数据： 个人病历及处方药 内部财务信息 客户联系方式，包括电话号码和电子邮件地址 员工联系方式 据X消息，Akita在其暗网门户上分享了攻击信息，声称从Cipla窃取了70GB的数据。 这起事件发生在Akira勒索软件特别活跃的时期。上个月，该组织在一天内泄露了35个组织的信息，这是他们迄今为止最大的一次数据泄露。 这次前所未有的泄露规模，被认为是该集团在一段相对不活跃时期后，展示其正在扩大运营。 Akira自2023年第一季度首次出现以来，迅速成为最普遍的勒索软件之一，至今已影响超过350个组织。 该组织以其复杂的策略而闻名，包括使用ChaCha2008加密和各种分发方法，例如受感染的电子邮件附件和利用VPN漏洞。 Cipla泄露事件与Akira的典型作案手法一致。该组织经常采用双重勒索策略，不仅加密文件，还泄露数据以迫使受害者支付赎金。 Cipla拥有广泛的全球影响力，在药品供应链中发挥着关键作用，是网络犯罪分子的高价值目标。个人医疗记录和财务信息的潜在泄露可能对公司、员工和客户产生深远影响。 截至目前，Cipla尚未公开确认数据泄露或对勒索软件组织的说法发表评论。 如果事件得到证实，将突显出医疗和制药领域加强网络安全措施的迫切需要。 专家建议组织实施强有力的勒索软件预防策略，包括定期进行安全审计、员工培训和先进的终端保护解决方案。 随着勒索软件攻击不断演变并针对关键行业，积极的网络安全措施不容忽视。     转自E安全，原文链接：https://mp.weixin.qq.com/s/gSqEZObGeCptSz8aGciTJg 封面来源于网络，如有侵权请联系删除

领先的心脏外科医疗设备制造商 Artivion 披露了 11 月 21 日的勒索软件攻击，该攻击扰乱了其部分业务并迫使其关闭部分系统。 该公司总部位于亚特兰大，在全球拥有 1,250 多名员工，在 100 多个国家设有销售代表。该公司还在佐治亚州亚特兰大、德克萨斯州奥斯汀和德国黑欣根设有制造工厂。 该公司在周一向美国证券交易委员会 (SEC) 提交的 8-K 文件中透露：“Artivion 的应对措施包括关闭某些系统、启动调查以及聘请外部顾问（包括法律、网络安全和取证专业人士）来评估、控制和补救事件。” 虽然 Artivion 在其提交给美国证券交易委员会的文件中没有直接提到勒索软件，但它披露攻击者加密了其部分系统并从受感染的系统中窃取了数据。 该公司表示：“此次事件涉及文件的获取和加密。公司正在努力尽快安全地恢复系统，并评估任何通知义务。” 该公司补充说，公司运营、订单处理和运输中断问题已基本得到解决，保险将承担与事件响应相关的费用。然而，Artivion 认为，它将产生保险未涵盖的额外费用。 尽管尚无勒索软件组织声称对此次攻击负责，但如果威胁组织的赎金要求在未来几天或几周内得不到满足，这种情况就有可能发生。 最近几周，美国医疗保健行业的其他组织也遭遇了勒索软件攻击，BianLian 网络犯罪团伙声称波士顿儿童健康医生 (BCHP) 遭受了网络攻击，并威胁称如果不支付赎金，他们就会泄露被盗文件。勒索软件攻击还迫使 UMC 医疗系统在 9 月份转移了部分患者。 本月初，安娜雅克医院证实，去年圣诞节遭受的勒索软件攻击泄露了超过 310,000 名患者的敏感健康数据。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/JICJ216PuzgFOfw9BSpclw 封面来源于网络，如有侵权请联系删除

Stoli集团在美国的子公司因8月份遭受的勒索软件攻击，以及俄罗斯当局没收其在俄剩余酿酒厂而不得不申请破产保护。 Stoli美国公司及其子公司肯塔基猫头鹰公司的总裁兼全球首席执行官克里斯·考德威尔在上周五提交的文件中指出，这一决定是在8月的网络攻击严重破坏了公司的IT系统，包括企业资源规划（ERP）平台之后作出的。 这场网络攻击迫使整个集团不得不依赖手动操作，严重影响了会计等关键业务流程，预计要到2025年初才能完全恢复正常。 考德威尔表示：“2024年8月，Stoli集团的IT基础设施在数据泄露和勒索软件攻击后遭受了严重破坏。” 他进一步解释说：“这次攻击导致Stoli集团内的所有公司都遭遇了重大的运营挑战，包括Stoli美国公司和KO，因为ERP系统被禁用，导致大多数内部流程（包括会计职能）被迫转为手动操作。” 此外，这一事件还阻止了Stoli美国子公司向贷款人提供财务报告，后者声称这两家公司拖欠了7800万美元的债务。 就在一个月前的2024年7月，Stoli集团在俄罗斯的最后两家价值1亿美元的酿酒厂也被没收，这一行动与Stoli集团及其创始人尤里·谢夫勒被俄罗斯政府标记为“极端分子”有关。这一标记与他们在乌克兰战争期间对乌克兰难民提供的人道主义援助和营销活动的支持有关。 Stoli集团还与俄罗斯国有企业FKP Sojuzplodoimport就Stolichnaya和Moskovskaya伏特加商标的权益进行了长达23年的法律斗争，这场斗争跨越了多个司法管辖区，包括美国。这场法律战始于2000年3月，当时普京总统发布了一项行政命令，旨在“恢复和保护国家在1990年代被私人公司购买的伏特加商标的权利”。 Stoli集团的创始人谢夫勒因对普京政权的批评和所谓的“捏造”指控，于2002年被迫逃离俄罗斯。在2010年代，俄罗斯的引渡请求被拒绝后，谢夫勒获得了瑞士的庇护和英国公民身份。     转自Freebuf，原文链接：https://www.freebuf.com/news/416924.html 封面来源于网络，如有侵权请联系删除

虽然网络安全行业裁员降薪一片哀嚎，但是网络犯罪组织却“求贤若渴”。 根据Cato Networks发布的《2024年第三季度SASE威胁报告》，网络犯罪趋于“专业化”，开始积极招募渗透测试员来优化勒索软件性能。同时，未授权的人工智能（影子AI）的流行正威胁企业数据安全和合规性。 报告总结了2024年网络安全领域的四大新趋势，如下： 1 勒索软件“研发升级”：积极招募渗透测试员 Cato Networks的报告揭示，勒索软件团伙正在积极招募渗透测试员，以测试和提高其勒索软件的可靠性。通过模拟攻击，渗透测试员可以大大提高勒索软件在企业环境中部署的成功率。 “勒索软件是当今网络安全领域最普遍的威胁之一，几乎所有企业和消费者都可能受到影响，”Cato Networks首席安全策略师Etay Maor指出，“我们观察到这些团伙正在努力通过招募渗透测试员来优化他们的攻击手段，为未来的攻击做好准备。” 这一趋势反映出勒索软件正在走向“企业化”和“专业化”，试图通过技术手段提升攻击成功率，这对企业网络安全防御提出了更高的要求。 2 数据隐私的头号威胁：影子AI 所谓影子AI，是指未经IT部门或安全团队批准的AI工具和应用程序在企业内部的私自使用。这种行为通常绕过正式的审查流程，给企业的安全合规性带来隐患。 Cato Networks监控的数百种AI应用中，有10款被企业用户广泛采用（如Bodygram、Craiyon、Otter.ai、Writesonic等）存在数据泄漏风险。报告指出，这些应用最主要的风险在于数据隐私问题。员工通过影子AI工具处理敏感信息，可能无意间导致信息泄露。 “影子AI是2024年浮现的一大安全威胁，”Maor表示，“企业必须警惕未授权AI工具的使用，并教育员工避免无意中暴露敏感数据。” 3 打击隐蔽威胁的关键：TLS流量检视 传输层安全（TLS）流量的加密使得恶意活动更难被检测到，但许多企业由于担心影响正常业务，选择不启用TLS流量的检视或只对部分流量进行检查。据Cato Networks的研究，只有45%的企业启用了TLS检视，其中仅有3%的企业对所有TLS加密会话进行全面检测。 报告显示，在启用TLS检视的企业中，阻止的恶意流量比未启用TLS检视的企业高出52%。此外，企业在TLS流量中成功拦截了60%的已知漏洞利用行为（包括Log4j、SolarWinds和ConnectWise相关的CVE漏洞）。 4 网络犯罪分子的首选策略：品牌滥用 网络犯罪分子也在积极利用知名品牌的影响力实施网络攻击。通过域名抢注（Cybersquatting），他们冒用知名品牌的域名，进行网络钓鱼、传播恶意软件、托管盗版软件，甚至实施欺诈。 攻击者冒充知名品牌不仅能增强攻击的可信度，还能绕过许多传统的安全检测手段，给企业和消费者带来巨大风险。企业需要加强品牌保护策略，同时通过安全教育提高用户对域名和网络钓鱼攻击的警惕性。       转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/_pNLKfPKFQDvWFfUzYePPg 封面来源于网络，如有侵权请联系删除

供应链管理公司 Blue Yonder 警告称，勒索软件攻击对其服务造成了严重破坏，并影响了英国的杂货店连锁店。 Blue Yonder（前身为 JDA Software）是松下的子公司，年收入超过 10 亿美元，全球拥有 6,000 名员工。 该公司为零售商、制造商和物流供应商提供人工智能驱动的供应链解决方案，包括需求预测、库存优化和运输管理。 其 3,000 名客户中包括 DHL、雷诺、拜耳、莫里森、雀巢、3M、特易购、星巴克、Ace Hardware、宝洁、桑斯伯里和 7-Eleven 等知名组织。 勒索软件攻击破坏供应链 周五，该公司警告称，由于前一天（11 月 21 日）发生的勒索软件事件，其托管服务托管环境正在遭遇中断。 公告中写道：“2024 年 11 月 21 日，Blue Yonder 的托管服务托管环境出现中断，经确定是勒索软件事件导致的。” “自从得知这一事件以来，Blue Yonder 团队一直在与外部网络安全公司密切合作，以在恢复过程中取得进展。我们已经实施了多项防御和取证。” lue Yonder 声称在其公共云环境中未检测到任何可疑活动，并且仍在处理多种恢复策略。 托管服务环境是指 Blue Yonder 代表其客户运营的基础设施和系统，通常包括 SaaS 平台和用于供应链运营的云托管解决方案。 正如预期的那样，这直接影响到了客户，英国连锁杂货店 Morrisons 的一位发言人向媒体证实，他们已经恢复了较慢的备份流程。 Sainsbury 告诉 CNN，他们已经制定了应急计划来克服这一中断。 周六的更新通知客户，受影响的服务仍在继续恢复，但目前还不能透露全面恢复的具体时间表。 周日发布的另一条更新消息重申了同样的观点，敦促客户在未来几天内关注 Blue Yonder 网站上的客户更新页面。 截至发稿时，该公司尚未发布有关情况的最新消息，因此推测托管服务环境仍然受到影响。 尚未看到任何勒索软件团伙宣布对 Blue Yonder 攻击事件负责。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/wfhGm_pYJ1EjyddcmPJAiA 封面来源于网络，如有侵权请联系删除

近日，美国司法部宣布，涉嫌担任勒索软件组织Phobos软件管理员的俄罗斯男子Evgenii Ptitsyn已被从韩国引渡至美国。他被控利用该勒索软件组织策划和实施了涉及全球逾千名受害者的网络攻击，勒索金额超过1600万美元。 这次引渡行动得到了多个国家的协助，包括韩国、日本和欧洲国家的执法机构。美国司法部副部长丽莎·摩纳哥对此表示：“通过全球执法机构的合作，我们向世界证明，无论网络犯罪分子身在何处，都无法逃避正义。” Ptitsyn目前面临13项指控，包括电信欺诈、电信欺诈共谋、计算机欺诈与滥用共谋，以及与黑客和勒索相关的四项敲诈勒索罪和四项故意损害受保护计算机的罪名。 首创“薄利多销”模式的勒索软件组织 Phobos勒索软件首次被发现于2017年末，其名称来源于希腊神话中的恐惧之神。该勒索软件的运行机制与其他勒索软件家族相似：加密受害者的文件，随后要求支付赎金以换取解密密钥。然而，与一些动辄要求数百万美元的高级勒索软件不同，Phobos的赎金金额相对较小，通常在数千美元至数万美元之间。这种“薄利多销”的商业模式使其对中小型组织尤为具有威胁性。 Phobos的受害者覆盖全球，包括医院、学校、地方政府和企业等关键部门。该勒索软件的攻击通常通过以下方式展开： 远程桌面协议（RDP）漏洞利用：攻击者通过扫描互联网中的RDP端口，利用弱密码或未修复的漏洞获得初始访问权限。 钓鱼攻击：通过精心设计的电子邮件欺骗用户点击恶意链接或附件。 内部人员协助：利用企业内部的安全漏洞或合作人员进行渗透。 一旦攻击成功，Phobos会加密受害者的文件并在每个受感染的目录中放置赎金通知，通常包含攻击者的联系信息和支付比特币的说明。 Ptitsyn被捕对Phobos的影响 Ptitsyn以“derxan”和“zimmermanx”等网名活动，据信是Phobos组织的重要管理员之一。他不仅负责开发和维护Phobos，还向其他犯罪分子提供技术支持和指导。其活动范围广泛，直接参与了多起针对政府和企业的勒索攻击。 根据美国网络安全与基础设施安全局（CISA）和联邦调查局（FBI）的警告，Phobos自2020年以来，频繁针对美国的州和地方政府服务发动攻击，对社会基础设施构成了严重威胁。 近年来，Phobos活动频率有所下降。根据网络威胁情报公司Recorded Future的数据显示，与Phobos相关的攻击在最近几个月大幅减少，同时另一个使用Phobos变种的勒索软件组织8Base上个月完全停止了活动。这种变化可能与Ptitsyn的落网直接相关。 然而，网络安全专家警告，不排除Phobos组织在调整策略，或以新身份重返网络犯罪的可能性。勒索软件生态系统的复杂性使得犯罪分子可以迅速更换品牌或加入其他组织，继续其非法活动。 国际合作对抗勒索软件 此次引渡俄罗斯勒索软件组织管理员的行动凸显了国际合作在打击跨国网络犯罪中的重要性。近年来，美国及其盟国通过共享情报和联合执法成功抓捕了多个勒索软件组织的核心成员。例如： 2021年，REvil勒索软件组织的一名主要成员在波兰被捕。 2023年，Hive勒索软件组织的服务器被国际联合行动摧毁。 这表明，全球执法机构正在以更加协同的方式应对勒索软件这一日益增长的威胁，国际合作与技术创新才是打击跨国网络犯罪的关键。       转自Freebuf，原文链接：https://www.freebuf.com/news/415580.html 封面来源于网络，如有侵权请联系删除

Sekoia的威胁检测与研究（TDR）团队发现了Helldown勒索软件的Linux变种，扩大了威胁范围。 Helldown 勒索软件组织以前以针对 Windows 系统而闻名，现在已将其活动范围扩大到 Linux 机器。Sekoia的威胁检测与研究（TDR）团队发现了这一新情况，他们在一条推特上提到了针对Linux系统的Helldown勒索软件的Linux变种。 Helldown 是勒索软件领域的一个相对较新的成员，于 2024 年 8 月首次出现，目前已在美国和欧洲造成 31 名受害者，其中包括 Zyxel 的欧洲子公司。该组织采用双重勒索策略，在加密文件之前先渗出敏感数据，并威胁说如果不支付赎金，就会公布窃取的信息。 Sekoia 已将几起 Helldown 攻击与 Zyxel 防火墙的漏洞联系起来。一个名为 CVE-2024-42057 的关键漏洞允许未经身份验证的代码执行，已被确定为该组织的一个可能入口点。值得注意的是 受攻击的防火墙被发现带有恶意用户账户和有效载荷，如从俄罗斯 IP 上传的 zzz1.conf 文件。 利用漏洞，攻击者可以进一步进入网络，使用高级端口扫描器等工具和命令来瘫痪防御系统 Helldown 的勒索软件以 Windows 和 Linux 系统为目标，具有独特的有效载荷： Windows 勒索软件： 采用阴影副本删除、进程终止和加密。被攻击的系统上会留下一份赎金说明 ReadMe.[encrypt_extension].txt。 Linux 勒索软件： 主要针对 VMware ESX 服务器。它会杀死虚拟机，用 RSA 加密密钥加密文件，并将密钥附加到加密文件中，只能用攻击者的私人密钥解密。 Helldown 通过渗出大量数据进行双重勒索–每个受害者的数据量从 22GB 到 431GB。被盗数据通常包括 PDF 和扫描文档，可能来自网络文件共享驱动器或 NAS 系统。 Helldown 的行为和工具与 Darkrace 和 Donex 有相似之处，两者都源自泄露的 LockBit 3 代码库。不过，这些组织之间尚未建立明确的联系。     转自安全客，原文链接：https://www.anquanke.com/post/id/302006 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，Code White 安全研究员最近披露了一个关键的Veeam备份和复制（VBR）安全漏洞，并被用来部署Frag勒索软件。 Veeam是一家知名的数据管理供应商，官方表示全球有55万名客户使用其产品，其中包括全球 2000 强名单中约 74% 的公司。在早前，Veeam VBR已先后成为Akira和Fog勒索软件的目标。 研究员发现，该漏洞（跟踪为 CVE-2024-40711）是由不受信任的数据弱点反序列化引起，未经身份验证的威胁行为者可以利用这些数据弱点在 Veeam VBR 服务器上获得远程代码执行 （RCE）。 Frag勒索软件赎金票据 watchTowr Labs 于 9 月 9 日发布了对 CVE-2024-40711 的技术分析，并将概念验证漏洞的发布时间推迟到 9 月 15 日，以便管理员有足够的时间应用 Veeam 于 9 月 4 日发布的安全更新。 由于存在可能会立即被勒索软件团伙滥用的风险，Code White 在披露该漏洞时也推迟了分享更多细节。Veeam VBR 软件是攻击者寻求快速访问公司备份数据的热门目标，许多企业将其用作灾难恢复和数据保护解决方案，以备份、恢复和复制虚拟机、物理机和云计算机。 然而，Sophos X-Ops 事件响应人员发现，这对延缓 Akira 和 Fog 勒索软件攻击的作用微乎其微。 威胁者利用 RCE 漏洞和窃取的 VPN 网关凭据，在未打补丁和已暴露于互联网的服务器上向本地管理员和远程桌面用户组添加恶意账户。 最近，Sophos 还发现同一威胁活动集群（跟踪为 “STAC 5881″）在攻击中使用了 CVE-2024-40711 漏洞，导致 Frag 勒索软件被部署到被入侵的网络上。 2023 年 3 月，Veeam 修补了另一个高严重性 VBR 漏洞 (CVE-2023-27532)，该漏洞可让恶意行为者攻破备份基础设施。       转自Freebuf，原文链接：https://www.freebuf.com/news/414973.html 封面来源于网络，如有侵权请联系删除