安全内参8月30日消息，马来西亚公共交通运营商国家基建公司（Prasarana Malaysia Bhd）确认，社交媒体上关于其内部系统部分被未经授权访问的网络安全事件的报道属实。 国家基建公司在一份声明中表示，此次事件并未影响其日常运营，公司正与网络安全专家合作，调查并缓解这一情况。 该公司还表示，正在与国家网络安全局（Nacsa）和马来西亚网络安全机构（CyberSecurity Malaysia）协调，以提供全面的应对措施并保护其系统免受任何威胁。 声明称：“我们的重点仍然是迅速解决问题，同时确保我们的服务继续满足公众的需求。我们将继续在适当的时候提供更新。” 这份声明意在回应社交媒体关于其网站可能因勒索软件攻击而导致316GB数据泄露的报道。 8月25日夜间，网络安全平台Falcon Feeds.io在推特上发帖称，一家名为RansomHub的勒索软件组织还威胁将在6到7天内公布国家基建公司的数据。 勒索软件是一种恶意软件，其设计目的是通过加密数据来阻止对计算机系统或文件的访问，直到向攻击者支付赎金为止。 国家基建公司拥有并运营广泛的交通服务，涵盖RapidKL旗下的轻轨、捷运和巴士快速交通系统，以及吉隆坡单轨列车和一支公交车队。   转自安全内参，原文链接：https://www.secrss.com/articles/69702 封面来源于网络，如有侵权请联系删除

美国四机构联合报告指出，自2024年2月问世以来，RansomHub勒索软件已经入侵至少210个目标，涉及美国多个关键基础设施领域。 8月29日，美国联邦调查局（FBI）、网络安全和基础设施安全局（CISA）、多州信息共享和分析中心（MS-ISAC）以及卫生与公众服务部（HHS）共同发布了一份咨询报告，指出RansomHub对受害者进行”双重勒索攻击”。 报告指出：“自2024年2月成立以来，ansomHub通过加密和泄露数据的方式对至少210个目标进行了攻击。” 这些目标来自多个关键基础设施领域，包括水和废水、信息技术、政府服务和设施、医疗保健和公共卫生、紧急服务、食品和农业、金融服务、商业设施、关键制造、运输和通信行业。 联邦机构表示，RansomHub（前身为Cyclops和Knight）已经将自己确立为一种高效且成功的服务模式。（它最近吸引了来自LockBit和ALPHV等其他知名勒索软件变体的附属成员）。 E安全了解到，Check Point发布的2024年6月《全球威胁指数》报告，揭示了勒索软件即服务 (RaaS) 领域发生的变化，RansomHub跃居榜首，取代LockBit3成为最猖獗的勒索软件团伙。这种新型的勒索软件即服务（RaaS）运作模式，勒索者获取赎金以保证不泄露被盗文件，若谈判失败就将文件出售给出价最高的人。这个勒索组织主要通过数据盗窃进行敲诈，而不是加密受害者的文件。此外他们也被认为可能是Knight勒索软件源代码的潜在买家。 自今年年初以来，RansomHub组织公开承认对以下几家美国机构的网络入侵行为负责：美国非营利性信用合作社Patelco、Rite Aid连锁药店、佳士得拍卖行和美国电信提供商Frontier Communications 。Frontier Communications后来向超过750,000名客户发出警告，他们的个人信息被泄露。 四家机构在报告中给出了建议：网络防御者应该修补已经被利用的漏洞，并对 webmail、VPN和链接到关键系统的账户使用强密码和多因素身份验证（MFA）。此外，还建议将软件更新并执行漏洞评估作为安全协议的标准部分。这四个机构还提供RansomHub感染指标（IOC），以及2024年8月FBI发现的其关联方的策略、技术和程序（TTP）信息。 “不鼓励支付赎金，因为支付赎金并不能保证受害者文件被恢复。”联邦机构补充说。“此外，付款还可能使攻击者变本加厉组织实施犯罪行为。”   转自E安全，原文链接：https://mp.weixin.qq.com/s/YG2muhIvnrX6VQW0jsA7aw 封面来源于网络，如有侵权请联系删除

多伦多教育局 （TDSB） 本周证实， 6 月发现的勒索软件盗取了学生信息。 TDSB 是加拿大最大、最多元化的教育机构，管理着 582 所学校，约有 235,000 名学生。 最初 TDSB 表示，网络犯罪分子攻击的是一个独立于教育局官方网络的技术测试环境。 但近期，TDSB 证实，2023/2024学年部分学生的个人数据确实在受影响的测试环境中。这些数据包括学生姓名、学校名称、年级、学校邮箱、学生ID及出生日期。 TDSB 的网络安全团队和外部专家认为，学生面临的风险“较低”，且在其调查过程中（包括对暗网及其他网络平台的监控）未发现任何数据泄露或公开曝光。 近期，LockBit勒索软件团伙宣称对此次数据泄露事件负责。该团伙发布的公告未具体说明被盗数据的数量，但设定了13天的期限要求TDSB支付相应的赎金。但TDSB 没有回应 LockBit 的公告的要求。 学校董事会在近期致家长的一封信中为其应对攻击的措施辩护，称已采取多项安全增强措施，并与执法部门协作进行调查。 LockBit近期发布了包括TDSB在内的多个受害者名单，专家指出，该名单中的许多信息都是虚假的，涉及很多不存在的受害者，并且名单中的很多受害者都是遭到了其他团伙的攻击，而非LockBit。   消息来源：The Record，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Hackread报道，近期Cisco Talos（思科威胁情报团队）发现，BlackByte勒索软件正在对全球企业发起新一轮攻击。BlackByte组织利用VMware ESXi虚拟机监控程序中最近被修补的漏洞，通过VPN访问发动攻击。 思科建议各组织实施多因素认证（MFA）并加强安全措施以降低风险。 被利用的漏洞为CVE-2024-37085，它允许攻击者绕过身份验证并控制易受攻击的系统。除了这个漏洞之外，还观察到BlackByte组织使用受害者授权的远程访问机制，例如VPN。这种策略使得BlackByte在可见性较低的情况下运营，并逃避安全监控系统。 另一个令人担忧的事态发展是该组织使用被盗的Active Directory凭据来传播其勒索软件。这意味着他们可以更快、更有效地在网络内传播感染，从而增加潜在的损害。 思科团队研在8月28日星期三研究结果发布前，与Hackread分享了他们的发现。研究人员认为，BlackByte实际活动比公共数据泄露网站上显示的更活跃。网站只显示了他们成功发起攻击的一小部分，可能掩盖了他们行动的真实范围。 BlackByte针对的5个最主要目标行业：制造业；运输/仓储；专业人士、科学和技术服务；信息技术；公共行政。 研究人员建议各个组织优先考虑修补系统，包括VMware ESXi虚拟机管理程序，为所有远程访问和云连接实施多因素身份验证（MFA），应审核VPN配置，并限制对关键网段的访问。 限制或禁用NTLM的使用，并选择更安全的身份验证方法也非常重要。部署可靠的端点检测和响应（EDR）解决方案可以大大提高安全性。 此外，全面的安全策略应包括主动威胁情报和事件响应能力，以有效保护系统免受BlackByte和类似攻击等威胁。   转自E安全，原文链接：https://mp.weixin.qq.com/s/Ep_KcP3AmAOSGjzs3IZU3w 封面来源于网络，如有侵权请联系删除

多个勒索软件团伙用来关闭端点检测和响应 (EDR) 解决方案的恶意 PoorTry 内核模式 Windows 驱动程序已演变为 EDR 擦除器，它会删除对安全解决方案运行至关重要的文件，并使恢复变得更加困难。 趋势科技自 2023 年 5 月起就已警告过 Poortry 驱动程序添加了此功能，Sophos 现已确认在野外看到了 EDR 擦除攻击。 PoorTry 从 EDR 停用器演变为 EDR 擦除器，代表了勒索软件参与者在策略上非常激进的转变，他们现在优先考虑更具破坏性的设置阶段，以确保在加密阶段获得更好的结果。 PoorTry，也称为“BurntCigar”，于 2021 年开发，作为内核模式驱动程序，用于禁用 EDR 和其他安全软件。 该工具包被 BlackCat、Cuba 和 LockBit 等多个勒索软件团伙使用，最初引起人们关注是因为其开发人员找到了通过 Microsoft 的认证签名流程对其恶意驱动程序进行签名的方法。其他网络犯罪团伙（如 Scattered Spider）也被发现使用该工具实施以凭证盗窃和 SIM 卡交换攻击为重点的入侵活动。 在 2022 年和 2023 年期间，Poortry不断发展，优化其代码并使用 VMProtect、Themida 和 ASMGuard 等混淆工具来打包驱动程序及其加载器（Stonestop）以进行逃避检测。 擦除器的进化 Sophos 的最新报告基于2024 年 7 月的 RansomHub 攻击，该攻击利用 Poortry 删除关键的可执行文件 (EXE)、动态链接库 (DLL) 和安全软件的其他重要组件。 这确保了 EDR 软件无法被防御者恢复或重新启动，从而使系统在攻击的后续加密阶段完全不受保护。 该过程从 PoorTry 的用户模式组件开始，识别安全软件的安装目录和这些目录中的关键文件。 然后，它向内核模式组件发送请求，系统地终止与安全相关的进程，然后删除其关键文件。 这些文件的路径被硬编码到 PoorTry 上，而用户模式组件支持按文件名或类型删除，从而赋予它一定的操作灵活性，以覆盖更广泛的 EDR 产品。 按文件类型删除功能 该恶意软件可以进行微调，仅删除对 EDR 操作至关重要的文件，从而避免在攻击危险的初始阶段产生不必要的告警从而引发关注。 Sophos 还指出，最新的 Poortry 变种采用签名时间戳操作来绕过 Windows 上的安全检查，并使用来自其他软件（如 Tonec Inc. 的 Internet Download Manager）的元数据。 驱动程序属性 攻击者采用了一种被称为“证书轮盘”的策略，他们部署使用不同证书签名的相同有效载荷的多个变体，以增加至少一个成功执行的机会。 用于签署 Poortry 驱动程序的各种证书 尽管人们努力追踪 PoorTry 的演变并阻止其生效，但该工具的开发人员已经表现出了适应新防御措施的非凡能力。 EDR 擦除功能使该工具在应对攻击方面比防御者更具优势，但也可能为在加密前阶段检测攻击提供新的机会。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/aHdlIjodAAYxsQCg6HNDPQ 封面来源于网络，如有侵权请联系删除

软件解决方案提供商 Young Consulting 披露了一起影响了950000人的数据泄露事件，并声称此次泄露是由于BlackSuit勒索软件攻击导致的。 4 月 13 日，软件解决方案供应商 Young Consulting“意识到其基础设施出现了技术困难”，调查发现有黑客在 2024 年 4 月 10 日至 2024 年 4 月 13 日期间侵入了该公司网络，并窃取了一些文件。 “2024年4月13日，公司检测到内部计算环境出现技术故障。我们迅速将受影响系统下线并启动调查，委托网络安全取证公司协助，以确定事件的性质和范围。”该公司发布的一份数据泄露通知写道，“调查发现，一名未经授权的黑客在 2024 年 4 月 10 日至 2024 年 4 月 13 日期间访问了 Young Consulting 的网络，并下载了某些文件的副本。” 泄露的数据因人而异，可能包括某些个人的姓名、社会保险号、出生日期、保险单或索赔信息等。 该公司制造商未公开此次攻击的详细信息。根据该公司与缅因州总检察长办公室共享的数据泄露通知显示此次事件影响了 954,177 人。 Young Consulting 开展的调查显示，在一次安全漏洞中，未经授权的行为者访问了包括Blue Shield在内的某些数据持有者的信息。公司仍在审查受影响的文件，并确定具体受影响的个人。2024年6月28日，Young Consulting已向Blue Shield确认了此次漏洞，并开始通知可能信息已被泄露的个人。 Blue Shield发布的事件通知中写道：“Blue Shield收到了其软件解决方案供应商Young Consulting的通知，该供应商报告称经历了一次数据安全事件，可能会影响健康计划成员的信息。” 该软件制造商已为受影响的个人提供了一年的免费信用监控服务。 5 月份，BlackSuit 勒索软件组织将 Young Consulting 添加到其 Tor 泄漏网站的受害者名单中。该勒索软件团伙声称窃取了以下信息： 业务数据（合同、联系人、计划、演示文稿等） 员工数据（护照、合同、联系方式、家庭详细信息、体检等） 财务数据（审计、报告、付款、合同等） 从共享和个人文件夹中获取的其他数据 BlackSuit 补充说，Young Consulting 高层管理人员完全拒绝谈判，认为他们是在虚张声势。 被盗数据现已可供下载。   消息来源：securityaffairs，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Halliburton于周三确认其系统正遭受网络攻击。报告显示，该攻击已迫使公司实施了全面的网络隔离措施，要求员工断开所有与内部网络的连接。 该公司发言人表示：“我们已意识到部分公司系统受到影响，目前正在进行原因分析和潜在影响评估。”发言人补充道：“公司已启动既定应对措施，IT团队正在与外部安全专家协作，积极处理和缓解此次安全事件。” X 用户@MzBlckSheep发文称，“从休斯顿的一位朋友那里得知，Halliburton 目前正遭受大规模的基于云的网络安全攻击”，这是社交媒体上关于这一事件的较早评论之一。 用户 @MzBlckSheep 还写道：“他们让每个人都断开与内部网络的连接，这正是将所有数据托付给云计算所带来的问题。” 此外，一位知情人士向路透社证实，Halliburton已要求部分员工暂时断开与内部网络的连接。此次攻击似乎已影响到公司位于休斯顿北带园区的业务运营以及一些全球网络连接。 截至周三，尚无任何网络犯罪组织声明对Halliburton遭受的袭击负责。 根据公司网站的信息，Halliburton是全球第二大油田服务公司，总部设在美国德克萨斯州休斯顿和迪拜，业务覆盖70个国家，拥有超过40000名国际员工。 针对能源部门的袭击 安全专家指出，针对能源部门的网络攻击构成了对关键基础设施构成了严重威胁，过去类似攻击曾造成重大后果。 2021 年，美国燃料供应商 Colonial Pipeline 遭遇了 DarkSide 勒索软件团伙的攻击，导致其网络系统关闭了近一周。Colonial Pipeline 的首席执行官承认，公司向该组织支付了440万美元的赎金。 这一臭名昭著的攻击发生在新冠疫情结束之际，对燃料供应链造成了严重冲击，导致价格飙升、燃料短缺，并引发了美国东南部各地加油站的恐慌性囤积。   消息来源：cybernews，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

本周二，据FalconFeeds、Ransomlook等多家威胁情报平台报道，某A股上市建筑公司某集团疑似发生大规模数据泄漏，勒索软件组织The Ransom House Group在数据泄漏论坛发帖称窃取了该公司2.3TB数据，并宣称如果未来2-3天内不支付赎金将撕票（公布数据）。 此次针对某集团的攻击事件未得到官方确认，也未公布具体被窃数据的种类和数量，但报道该事件的威胁情报平台预计可能涉及公司内部敏感信息。 RansomHouse勒索软件组织发布的勒索通知 曾勒索荷兰建筑巨头和AMD RansomHouse是近年来新兴的数据勒索团伙之一，自2021年末开始活跃。通过与其他网络犯罪团伙合作，利用企业系统的漏洞发动攻击，RansomHouse逐步形成了复杂的勒索网络。RansomHouse勒索软件组织并不像传统勒索软件团伙那样对文件进行加密，而是专注于数据窃取与勒索。RansomHouse主要通过复杂的网络渗透手段和钓鱼攻击来进入目标公司的网络。成功攻破后，他们会迅速下载并窃取公司数据，随后勒索赎金。 RansomHouse强调自己并非“勒索软件组织”，而是“专业调解者”，帮助受害者以最小损失解决数据泄露问题。 据报告，RansomHouse已经针对各行各业的多家知名大型企业发起攻击（上图），不断扩大其全球影响力。此前，RansomHouse曾成功攻击过包括半导体巨头AMD、非洲零售巨头Shoprite在内的多家大型公司，通过数据窃取与勒索手段获取赎金。值得注意的是，RansomHouse此前曾攻击过荷兰建筑巨头KuiperCompagnons。 勒索软件防御的关键措施 此次网络攻击凸显了在“网络攻击全球化”大潮中，中国企业的威胁态势正迅速恶化，面对RansomHouse及类似的网络勒索威胁，企业应采取多层次的防御措施，以防止数据泄露和勒索攻击。以下是GoUpSec安全顾问提供的关键防御策略： 漏洞管理与补丁更新。RansomHouse通常利用未修复的系统漏洞进行攻击，因此企业必须确保及时安装系统和软件更新，修复已知的安全漏洞。 强化访问控制与身份验证。使用强密码策略并启用多因素身份验证（MFA）可以大幅减少攻击者利用弱密码获取系统访问权限的机会。 数据加密与备份。定期备份重要数据并确保备份文件离线存储。同时，对敏感数据进行加密，以减少数据泄露后的影响。 网络钓鱼培训与防护。钓鱼攻击是网络犯罪分子常用的手段之一。企业应定期对员工进行网络安全培训，提高对钓鱼邮件的识别能力，同时部署电子邮件过滤系统。 引入威胁检测与响应平台。采用安全信息和事件管理系统（SIEM）和威胁检测平台，可以帮助企业及时识别和响应潜在的网络威胁，降低攻击造成的损害。 与专业网络安全供应商合作。企业可以考虑与专业的网络安全公司合作，进行定期的安全审计和渗透测试，以确保其安全防护体系的有效性。 通过这些策略，企业可以显著提升其网络防御能力，抵御RansomHouse等依赖数据窃取进行勒索的新兴勒索组织的威胁。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/-e-uFQGGQ0h1Uz79YtLPXQ 封面来源于网络，如有侵权请联系删除

据观察，一个与 RansomHub 勒索软件有关联的网络犯罪团伙使用了一种新工具，该工具能够终止受攻击主机上的端点检测和响应（EDR）软件，并加入了 AuKill（又名 AvNeutralizer）和 Terminator 等其他类似程序。 网络安全公司Sophos将这种工具命名为EDRKillShifter，该公司是在今年5月的一次勒索软件攻击事件中注意到该工具的。 安全研究员 Andreas Klopsch 称EDRKillShifter 工具是一个‘加载器’可执行文件，一种合法驱动程序的交付机制，容易被滥用（也被称为‘自带易受攻击驱动程序’或 BYOVD 工具）。根据威胁行为者的要求，它可以提供各种不同的驱动程序有效载荷。 RansomHub看起来似乎是 Knight 勒索软件的改良版，最早被发现于2024年2月。它利用已知的安全漏洞获取初始访问权限，并将Atera和Splashtop等合法远程桌面软件丢弃以实现持久访问。 上个月，微软披露， Scattered Spider 电子犯罪集团 已将 RansomHub 和 Qilin 等勒索软件纳入其武器库。 该可执行文件通过命令行和密码字符串输入执行，解密名为 BIN 的嵌入式资源并在内存中执行。BIN 资源解包并运行基于 Go 的最终混淆有效载荷，然后利用不同的易受攻击的合法驱动程序来获得更高的权限并解除 EDR 软件。 二进制文件的语言属性是俄语，这表明恶意软件作者是在具有俄语本地化设置的计算机上编译可执行文件的。Klopsch 表示，所有解压缩的 EDR 杀手都在 .data 部分嵌入了一个易受攻击的驱动程序。 为减轻威胁，研究人员建议保持系统处于最新状态，并启用 EDR 软件中的篡改保护功能，对 Windows 安全角色采取严格措施。 Klopsch 认为：只有当攻击者升级了他们所控制的权限，或者当他们可以获得管理员权限时，这种攻击才有可能发生。因此，将用户和管理员权限加以区分有助于防止攻击事件的发生。   转自FreeBuf，原文链接：https://www.freebuf.com/news/408777.html 封面来源于网络，如有侵权请联系删除

根据一份新报告，2024 年上半年，勒索软件攻击的受害者被勒索了超过 4.59 亿美元，凸显日益严重的危机，这场危机已经影响了从大公司到地方政府和医院的所有组织。 区块链研究公司 Chainalysis 追踪了向勒索软件攻击者控制的钱包进行的加密货币支付，发现从这些犯罪分子那里赚取的金额增加了 1000 万美元，而去年的数字为 4.491 亿美元。 研究人员表示，支付的速度使世界“坚定地走上了有记录以来最糟糕的一年”。其他几项统计数据表明，勒索软件问题只会越来越严重。除了创纪录的支付赎金7500万美元外——其他区块链分析师也证实了这一点——支付的中位数也有所增长。 对于最具威胁性的群体——今年收到最高金额超过 100 万美元的群体——赎金中位数从 2023 年第一周的 198,939 美元增加到 2024 年 6 月中旬的 150 万美元。 研究人员说：“这种模式可能表明，勒索软件新变种针对大型企业和关键基础设施提供商，由于这些目标的雄厚财力和系统重要性，这些企业和关键基础设施提供商更有可能支付巨额赎金。” 这些数字与包括 Sophos 在内的其他网络安全公司追踪的数据相符，该公司最近释放的一份报告显示，2024 年支付赎金的 49 个州和地方政府的勒索中位数为 220 万美元。 跟踪支付还显示，勒索软件攻击变得越来越频繁，今年记录的攻击至少增加了 10%。 但是，尽管攻击频率和支付规模有所增加，但支付赎金的受害者数量似乎减少了。 研究人员表示，与去年相比，“勒索软件支付事件”的数量下降了27%，这表明更多的受害者可能准备得更充分，并选择自己从攻击中恢复过来。 事件响应公司Kiva Consulting的总法律顾问安德鲁·戴维斯（Andrew Davis）表示，他们受雇协助的攻击事件中有65%在没有支付赎金的情况下得到解决。 戴维斯补充说，取缔 ALPHV/BlackCat 和 LockBit 勒索软件组织的执法行动已经分裂了网络犯罪格局，迫使附属公司迁移到效果较差的其他勒索软件团伙。 “无论是这些知名攻击者行动的前附属机构，还是勒索行业新贵，大量新的勒索软件组织都加入了这场争夺战，展示了新的方法和技术来实施他们的攻击，扩大他们的初始访问手段和横向移动方法。”他说。 虽然政府官员最近几周质疑勒索软件基础设施拆除质疑有效性，但一些研究人员表示，这些数据说明了这些操作的重要性。执法部门的联合行动“对于遏制勒索软件犯罪至关重要”。 2023 年支付了创纪录的 10亿美元的赎金，部分来自几起备受瞩目的攻击，包括 Clop 利用流行的文件传输工具和 ALPHV/BlackCat 对凯撒酒店物业的攻击。 Chainalysis 通常会每年修改赎金支付数字，因为他们发现犯罪分子使用的加密钱包更多。 加密货币盗窃 勒索软件并不是 Chainalysis 警告的唯一网络安全威胁——研究人员表示，加密货币抢劫案也在增加。2024 年上半年，网络犯罪分子从此类攻击中净赚了近 16 亿美元，高于 2023 年同期的 8.57 亿美元。 对加密货币平台的攻击数量基本保持稳定，但与去年相比，黑客在每次攻击中都窃取了更多的钱。与去年上半年的590万美元相比，今年盗窃案的平均价值增长到1060万美元。 Chainalysis将这在很大程度上归因于加密货币（尤其是比特币）的价值增加，与去年相比，去年市场在几个主要平台关闭后崩溃。 今年最大的攻击是针对DMM，被盗3.05亿美元被盗。 根据 Chainalysis 的说法，提供去中心化金融 （DeFi） 服务的公司提高了安全性，将大多数黑客拒之门外，迫使他们“回归本源，并在四年后再次瞄准中心化交易所，这些交易所通常不交易比特币”。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/vdOE6L3MFUbO9EqENqtV2g 封面来源于网络，如有侵权请联系删除