伊朗银行客户都无法免受出于经济动机的网络犯罪分子的攻击，这些犯罪分子使用令人信服但虚假的移动应用程序。 近几个月来，针对伊朗银行业的大规模活动规模不断扩大，近 300 个恶意 Android 应用程序针对用户的账户凭据、信用卡和加密钱包发起攻击。 四个月前，Sophos 的研究人员详细介绍了一场漫长的活动，涉及 40 个恶意银行应用程序，旨在获取属于不知情客户的凭据。通过模仿伊斯兰共和国最重要的四家金融机构——梅拉特银行、萨德拉特银行、雷萨拉特银行和伊朗中央银行——黑客能够在受害者的手机上安装和隐藏他们的山寨应用程序，获取登录信息，拦截短信一次性密码，并窃取敏感的财务信息，包括信用卡。 显然，这只是开场。Zimperium 的一篇新博客文章披露了另外 245 个应用程序与同一明显正在进行的活动相关，其中 28 个应用程序之前未在 VirusTotal 上记录。 这个新宝库不仅更大，而且比前 40 个宝库更多样化、更复杂，具有新的目标类型以及隐秘和持久的战术。 285 虚假银行应用程序 自今年夏天以来发现的 245 个新应用程序超出了最初 40 个应用程序的范围，积极针对四家新的伊朗银行，有证据表明他们还瞄准了另外四家银行。 除了银行之外，攻击者还开始探测与 16 个加密货币平台相关的数据，包括 Metamask、KuCoin 和 Coinbase 等流行平台。 为了便于瞄准十几家银行和 16 个加密货币中心，攻击者还在他们的武器库中添加了一些新工具。例如，他们用来避免基础设施瘫痪的一个小技巧涉及命令和控制服务器，其唯一目的是分发网络钓鱼链接。正如研究人员解释的那样，这“允许在应用程序上对服务器 URL 进行硬编码，而不会有被删除的风险。” 然而，该组织最引人注目的新策略是其应用程序如何滥用无障碍服务。 “在使用辅助功能 API 时，他们获得了一种以编程方式访问 UI 元素的方法，”Zimperium 首席科学家 Nico Chiaraviglio 解释道。他解释说，攻击者可以通过某些与用户相同的方式与设备进行隐形交互，从而达到恶意效果。例如，“他们可以请求危险权限（例如阅读短信），当提示用户接受该权限时，他们甚至在用户看到通知之前就单击“接受”。或者，他们通过单击“取消”来阻止卸载’当用户尝试卸载应用程序时。” 到目前为止，假冒应用程序仅限于 Android 设备。但在攻击者的物品中，研究人员确实发现了模仿银行应用程序 Apple App Store 页面的网络钓鱼网站，这表明该活动可能会在不久的将来扩展到 iPhone。 早在这一切发生之前，该活动就已经影响了数千人。“根据从他们的 Telegram 频道之一获得的信息，我们知道有数千名受害者。但我们只能访问所使用的频道之一（因为其中一个频道是私人的），并且不能保证他们没有这样做过去使用其他渠道。”     转自安全客，原文链接：https://www.anquanke.com/post/id/291599 封面来源于网络，如有侵权请联系删除

Decoy Dog的新修改可以帮助黑客秘密攻击Linux系统。 Positive Technologies 专家中心发现了一个新的网络组织 Hellhounds，该组织已经攻击了至少 20 家俄罗斯公司和政府机构。分析人士注意到攻击者的高度专业性和他们使用的工具的复杂性。 今年 10 月，Positive Technologies 事件调查团队 发现了 一家俄罗斯能源公司使用诱饵狗木马的新修改版进行的攻击，该木马允许人们控制受感染的节点，并在受感染的基础设施中发起攻击。攻击者修改了恶意软件，使其更难以检测和分析，并通过新的遥测功能添加了与操作员（攻击者）交换数据的额外通道。 该公司指出，Decoy Dog 是一种复杂的木马，其最新的修改使其几乎不可见。它在数据流中有效地伪装自己，模仿合法流量，收集 APT 组织感兴趣的数据，并将其上传到一个基于开放 Mastodon 引擎的鲜为人知的社交网络。 黑客使用的工具和方法不允许将他们归类到任何已知的组中。除了公共部门和能源之外，他们还攻击了信息技术、太空、建筑、运输、电信等领域的公司。该组织的目标尚不清楚，但至少已知一例对受害公司造成严重损害的案例。 Positive Technologies 专家表示，该组织攻击成功的原因之一是公司很少在运行Linux 的服务器上使用额外的监控系统和防病毒软件。他们建议更加关注保护基于 Linux 的基础设施。发现的受感染节点再次证实了该操作系统无懈可击且对攻击的敏感性可忽略不计的方法的谬误。   转自安全客，原文链接：https://www.anquanke.com/post/id/291583 封面来源于网络，如有侵权请联系删除

不明身份人士袭击了该国最大的电力供应商。 上周，斯洛文尼亚最大的电力供应商能源公司HSE的IT系统遭到黑客攻击。据官方资料显示，此次事件的原因是加密病毒对公司网络上的文件进行了加密，同时也阻止了员工对内部服务的访问。 这次攻击的规模令人印象深刻 – 事实证明，攻击者能够渗透安全和过程控制系统。11 月 22 日星期三晚上，首次发现了攻入内网的迹象。 随后一切都在掌控之中，内部专家开始调查这起事件。 但到11月24日，情况变得更糟。恶意软件愈演愈烈，并开始在整个公司网络中迅速传播。此时，斯洛文尼亚政府已经介入消除网络攻击的后果。 HSE表示，尽管问题很严重，但包括火力发电站和水力发电站在内的生产设施仍继续正常运行。目前该国的能源供应不存在中断的威胁。 但感染源尚未确定。攻击者能够访问 HSE 机密数据这一事实表明，未来可能存在勒索和敲诈勒索行为。 正如专家指出的那样，网络犯罪分子通常不会一开始就提出赎金要求，而是等待最合适的时机。 HSE 控制着该国约 60% 的能源供应系统。该组织的资产包括共和国最大的火力发电厂Šoštanj 火力发电厂，以及德拉瓦河、萨瓦河和索查河上的水力发电站网络。 斯洛文尼亚政府信息安全中心主任Uroš Svete感谢专家们负责任的工作：“在我看来，整个过程，包括威胁检测、报告和所有参与者的参与——专家、IT工程师的水平、公司和政府机构——完全符合国家应对网络事件的计划。” 同时，斯维特强调，现在就此次袭击的规模和对 HSE 以及斯洛文尼亚整个能源系统的影响得出最终结论还为时过早。调查和恢复基础设施的工作仍在继续。 转自安全客原文链接：https://www.anquanke.com/post/id/291524 封面来源于网络，如有侵权请联系删除

以色列安全公司Check Point的研究人员揭示了一个名为SysJoker的跨平台后门的 Rust版本，据评估，该后门已被哈马斯相关的黑客组织用来针对以色列目标。 Check Point在分析报告中表示：“最显著的变化是转向 Rust 语言，这表明恶意软件代码被完全重写，同时仍然保持类似的功能。” “此外，攻击者转而使用 OneDrive 而不是 Google Drive 来存储动态 C2（命令和控制服务器）URL。” Intezer 于 2022 年 1 月公开记录了SysJoker ，将其描述为一个后门，能够收集系统信息，并通过访问 Google Drive 上托管的包含硬编码 URL 的文本文件来与攻击者控制的服务器建立联系。 VMware去年表示：“跨平台使恶意软件作者能够在所有主要平台上获得广泛感染的优势。” “SysJoker 能够远程执行命令以及在受害者计算机上下载和执行新的恶意软件。” SysJoker Rust 变体的发现表明跨平台威胁的演变，植入程序在其执行的各个阶段采用随机睡眠间隔，可能是为了逃避沙箱。 一个值得注意的转变是使用 OneDrive 检索加密和编码的 C2 服务器地址，随后解析该地址以提取要使用的 IP 地址和端口。 Check Point 表示：“使用 OneDrive 可以让攻击者轻松更改 C2 地址，从而使他们能够领先于不同的基于信誉的安全检测服务。” “这种行为在不同版本的 SysJoker 中保持一致。” 与服务器建立连接后，该工件会等待更多额外的有效负载，然后在受感染的主机上执行这些有效负载。 这家网络安全公司表示，它还发现了两个前所未见的为 Windows 设计的 SysJoker 样本，这些样本明显更加复杂，其中一个样本利用多阶段执行过程来启动恶意软件。 SysJoker 尚未被正式归咎于任何专业黑客组织。但新收集的证据显示，后门和与“Operation Electric Powder”行动相关的恶意软件样本之间存在重叠，“Operation Electric Powder”指的是 2016 年 4 月至 2017 年 2 月期间针对以色列组织的有针对性的网络攻击活动。 McAfee将这一活动与哈马斯附属威胁组织Molerats （又名Extreme Jackal、Gaza Cyber Gang 和 TA402）联系起来。 Check Point 指出，“这两个活动都使用了以 API 为主题的 URL，并以类似的方式实现了脚本命令”，这增加了“尽管两次攻击之间存在很大的时间间隔，但两次攻击都是由同一个攻击者负责的可能性”。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/ypWH5YY6saPZSHXRVkSYuw 封面来源于网络，如有侵权请联系删除

阿富汗的一个未指定的政府实体成为了先前未记录的名为HrServ的 Web shell 的目标，这被怀疑是高级持续威胁 (APT) 攻击。 卡巴斯基安全研究员 Mert Degirmenci在本周发布的分析中表示，Web shell 是一个名为“hrserv.dll”的动态链接库 (DLL)，具有“复杂的功能，例如用于客户端通信和内存执行的自定义编码方法” 。 这家俄罗斯网络安全公司表示，根据这些工件的编译时间戳，它发现了可以追溯到 2021 年初的恶意软件变种。 Web shell 通常是恶意工具，可对受感染的服务器提供远程控制。一旦上传，它就允许攻击者执行一系列利用后活动，包括数据盗窃、服务器监控和网络内的横向推进。 攻击链涉及PAExec远程管理工具，这是PsExec的替代品，用作启动板来创建伪装成 Microsoft 更新（“MicrosoftsUpdate”）的计划任务，随后将其配置为执行 Windows 批处理脚本（“JKNLA.蝙蝠”）。 批处理脚本接受 DLL 文件（“hrserv.dll”）的绝对路径作为参数，然后将其作为服务执行以启动能够解析传入 HTTP 请求以进行后续操作的 HTTP 服务器。 Degirmenci 表示：“根据 HTTP 请求中的类型和信息，会激活特定功能。”他补充道，“hrserv.dll 文件中使用的 GET 参数用于模仿 Google 服务。” 这很可能是攻击者试图将这些恶意请求混合到网络流量中，从而使区分恶意活动和良性事件变得更加困难。 这些 HTTP GET 和 POST 请求中嵌入了一个名为 cp 的参数，其值（范围从 0 到 7）决定了下一步的操作。这包括生成新线程、创建写入任意数据的文件、读取文件以及访问Outlook Web App HTML 数据。 如果POST请求中cp的值等于“6”，则会触发代码执行，解析编码数据并将其复制到内存中，然后创建一个新线程，进程进入睡眠状态。 Web shell 还能够激活内存中隐秘的“多功能植入物”的执行，该植入物负责通过删除“MicrosoftsUpdate”作业以及初始 DLL 和批处理文件来擦除取证痕迹。 目前尚不清楚该 Web shell 背后的威胁发起者归属，但源代码中存在多个拼写错误表明恶意软件作者的母语不是英语。 “值得注意的是，网络 shell 和内存植入针对特定条件使用不同的字符串。”Degirmenci 总结道。“此外，记忆植入物还具有精心制作的帮助信息。” “考虑到这些因素，该恶意软件的特征更符合出于经济动机的恶意活动。然而，其操作方法与 APT 行为有相似之处。”、   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/j0ZyDl74epEwNzBi3DvROQ 封面来源于网络，如有侵权请联系删除

近日，Malwarebytes发现有一种专门针对Mac操作系统（OS）的数据窃取程序正通过伪造的网页浏览器更新程序进行分发。Malwarebytes称这与其通常的技术、战术和程序大不相同，该恶意软件可以模仿 Safari 和谷歌 Chrome 浏览器。 网络安全公司表示：AMOS现在正通过利用假冒的Safari与Chrome浏览器更新包来向用户电脑植入恶意软件，这种方法被称为ClearFake。这很可能是该恶意软件第一次主要的社交工程活动之一。该软件之前的活动仅针对 Windows系统，如今不仅在地理位置方面有所变化，在操作系统方面也开始进行了扩展。 用于诱骗 ClearFake 活动受害者的虚假 Safari 浏览器更新 此次事件已经并非是 AMOS 第一次出现在 Malwarebytes 的雷达上。早在今年 9 月，Malwarebytes 就检测到该恶意软件通过虚假广告传播，以诱骗受害者下载。 如果该恶意软件未来传播越来越广泛，将意味着网络上会出现更多的网络犯罪，而幕后的犯罪分子可能从这样的滚雪球效应中获取高额利益。 Malwarebytes表示：随着可利用的被攻击网站列表数量在不断增加，威胁行为者也能够接触到更多受众，从而更大程度地窃取到更多凭证和文件，这些凭证和文件可以立即变现，也可被重新用于其他攻击。 网络安全研究员Randy McEoin于今年 8 月首次发现并命名了 ClearFake 恶意软件活动，此后该活动经历了多次升级，因此 Malwarebytes 认为它是 “最普遍、最危险的社会工程计划之一”。 Malwarebytes 的报告中再次强调，MacOS 如今和 Windows 一样容易受到网络攻击。 Malwarebytes表示：”多年来，Windows用户一直在应对虚假浏览器更新的类似问题。不过目前威胁行为者还并未完全将这个问题扩展到MacOS上。类似AMOS这样的恶意软件，未来只需稍作调整，就能轻易地瞄准其他受害者。   转自Freebuf，原文链接：https://www.freebuf.com/news/384754.html 封面来源于网络，如有侵权请联系删除

黑客利用谷歌的动态搜索广告（DSAs）技术，诱导希望下载WinSCP等合法软件的用户安装恶意软件。DSAs技术能够根据网站内容自动生成广告，黑客利用这一特性提供恶意广告，将用户引导至一个遭受入侵的WordPress网站gameeweb[.]com，该网站会将用户重定向至攻击者控制的钓鱼网站。 这一复杂的多阶段攻击链的最终目标是诱使用户点击伪装成WinSCP官方网站的winccp[.]net，并下载恶意软件。 从gaweeweb[.]com网站到假冒的winsccp[.]net网站的流量取决于正确设置的引用头。如果引用头不正确，用户将被”Rickrolled”，并被重定向到臭名昭著的Rick Astley YouTube视频。 最终的恶意载荷以ZIP文件（”WinSCP_v.6.1.zip”）的形式存在，其中包含一个安装可执行文件。当该文件启动时，它会利用DLL侧载功能加载并执行存档中名为python311.dll的DLL文件。 该DLL文件会下载并执行一个合法的WinSCP安装程序，以维持欺诈行为，并在后台偷偷运行Python脚本（”slv.py”和”wo15.py”）以触发恶意行为。 此次恶意事件的攻击目标仅限于需要下载WinSCP软件的人。根据托管恶意软件的网站上使用的地理阻断功能显示，美国用户是此次攻击的主要受害者。 这并不是谷歌的动态搜索广告首次被滥用来传播恶意软件。上个月，Malwarebytes揭露了一起恶意事件，该事件涉及的网站通过向搜索PyCharm的用户提供指向黑客网站的链接，为部署窃取信息的恶意软件铺平了道路。 另外，Malwarebytes还揭示了2023年10月信用卡盗刷活动的上升趋势。据估计，该活动已入侵数百个电子商务网站，其目的是通过注入逼真的虚假支付页面来窃取财务信息。   转自E安全，原文链接：https://mp.weixin.qq.com/s/AEB5giyQcSkXn1ioOq7ZHg 封面来源于网络，如有侵权请联系删除

微软表示，朝鲜背景的黑客组织入侵了中国台湾多媒体软件公司讯连科技，并对其一个安装程序进行木马化，以在针对全球潜在受害者的供应链攻击中推送恶意软件。 讯连科技自 1996 年以来一直致力于生产多媒体播放和编辑软件，该公司表示其应用程序已在全球销售了 4 亿份。大名鼎鼎的PowerDVD，就是迅连科技的产品。 根据 Microsoft 威胁情报，疑似与更改的讯连科技安装程序文件相关的活动早在 2023 年 10 月 20 日就已浮出水面。 该木马安装程序托管在讯连科技拥有的合法更新基础设施上，迄今为止已在全球 100 多台设备上检测到，包括日本、台湾、加拿大和美国。 在调查此攻击时观察到的第二阶段有效负载与同一组攻击者之前破坏的基础设施进行交互。 该公司表示：“Diamond Sleet 使用了向 CyberLink Corp. 颁发的合法代码签名证书来签署恶意可执行文件。” “该证书已添加到 Microsoft不允许信任的证书列表中，以保护客户免受未来恶意使用该证书的影响。” 使用合法证书签名的木马 Cyberlink 安装程序 微软将木马软件和相关有效负载跟踪为 LambLoad（恶意软件下载器和加载器）。 LambLoad 的目标系统不受 FireEye、CrowdStrike 或 Tanium 安全软件保护。如果不满足这些条件，恶意可执行文件将继续运行，而不执行捆绑的恶意代码。 但是，如果满足条件，恶意软件将与三个命令与控制 (C2) 服务器之一连接，以使用静态用户代理“Microsoft Internet Explorer”检索隐藏在伪装成 PNG 文件的文件中的第二阶段有效负载。 微软表示：“PNG 文件在假的外部 PNG 标头中包含嵌入的有效负载，该有效负载在内存中被提取、解密和启动。” 这是 Lazarus 黑客组织使用的常见攻击方法，他们以木马化合法加密货币软件来窃取加密资产而闻名。 尽管 Microsoft 尚未检测到 LambLoad 恶意软件漏洞后的键盘操作活动，但 Lazarus 黑客却以以下方式而闻名： 从受损系统中窃取敏感数据 渗透软件构建环境 向下游发展以利用更多受害者 建立对受害者环境的持久访问 在检测到供应链攻击后，Microsoft 通知了 CyberLink，并通知了受攻击影响的微软客户。 微软还向 GitHub 报告了这次攻击，GitHub 根据其可接受的使用政策删除了第二阶段的有效负载。 Lazarus Group 是有朝鲜官方背景的知名黑客组织，至少自 2009 年以来已经运营了十多年。Lazarus 以全球范围内的组织为目标而闻名，迄今为止的行动包括对金融机构、媒体和政府机构的攻击。 他们的活动还涉及针对安全研究人员、在开源加密货币平台中嵌入恶意代码、执行大规模加密货币抢劫以及利用虚假工作面试来传播恶意软件。 该组织被认为是许多备受瞩目的网络攻击的幕后黑手，包括 2014 年索尼影业黑客攻击、2017 年WannaCry 勒索软件攻击以及 2022 年有史以来最大规模的加密黑客攻击。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/LFOi5SRhuf2cop_3c2KeZQ 封面来源于网络，如有侵权请联系删除

加拿大政府表示，其两名承包商遭到黑客攻击，泄露了属于数量不详的政府雇员的敏感信息。 这些违规行为发生在上个月，影响了 Brookfield Global Relocation Services (BGRS) 和 SIRVA Worldwide Relocation & Moving Services，这两家公司都是为加拿大政府雇员提供搬迁服务的提供商。 受影响的 BGRS 和 SIRVA 加拿大系统中存储的与政府相关的信息可以追溯到 1999 年，这些信息属于广泛的受影响个人，包括加拿大皇家骑警 (RCMP) 成员、加拿大武装部队人员和加拿大政府雇员。 虽然加拿大政府尚未确定该事件的来源，但 LockBit 勒索软件团伙已声称对破坏 SIRVA 系统负责，并泄露了他们声称包含 1.5TB 被盗文件的档案。 LockBit 还公开了与所谓的 SIRVA 代表谈判失败的内容。 “Sirva.com 表示，他们的所有信息仅值 100 万美元。我们有超过 1.5TB 的文件被泄露，以及分支机构（欧盟、北美和澳大利亚）的 3 个 CRM 完整备份，”该勒索软件组织在其暗网的一个条目中表示。数据泄露网站。 Sirva 在 LockBit 泄露网站上 10 月 19 日获悉承包商的安全漏洞后，政府立即向加拿大网络安全中心和隐私专员办公室等相关当局报告了该漏洞。 虽然对大量受损数据的分析仍在继续，但有关受影响个人的具体细节（包括受影响员工的数量）仍未确定。然而，初步评估表明，自 1999 年以来使用搬迁服务的人可能已经暴露了个人和财务信息。 周五发表的一份声明称：“加拿大政府不会等待这项分析的结果，而是正在采取积极主动的预防措施来支持那些可能受到影响的人。  ” “将向过去 24 年来随 BGRS 或 SIRVA Canada 搬迁的现任和前任公务员、加拿大皇家骑警和加拿大武装部队成员提供信用监控或重新签发可能已被泄露的有效护照等服务。 “有关将提供的服务以及如何访问这些服务的更多详细信息将尽快提供。” 我们敦促可能受此数据泄露影响的个人采取预防措施，包括更新登录凭据、启用多因素身份验证以及监控在线财务和个人帐户是否存在异常活动。 那些怀疑其账户遭到未经授权的访问的人还必须立即联系其金融机构、当地执法部门和加拿大反欺诈中心 (CAFC)。     转自安全客，原文链接：https://www.anquanke.com/post/id/291424 封面来源于网络，如有侵权请联系删除

LockBit领导层对组织支付的低利率表示担忧，当受害者支付时，附属机构收取的赎金金额被认为太低。 为了应对LockBit组织内部日益增长的挫败感，其领导者彻底改变了与勒索软件受害者谈判的方式。LockBit领导层对组织支付的低利率表示担忧，当受害者支付时，附属机构收取的赎金金额被认为太低。谈判的不一致也是高层之间争论的焦点。LockBit内部认为，经验不足的附属机构无法从受害者那里获得预期的最低付款，并且过于频繁地提供未经批准的折扣。在十月份规则变更生效之前，几乎没有任何成文的规则或谈判指南。附属机构完全自行其是，而不一致的谈判导致拒绝支付赎金的受害者人数增加。这主要是因为该组织经验不足的附属机构提供的折扣与赎金金额相比太大。此外，跟踪该组织谈判的事件响应人员正在记录这些数据并将其用于对付他们。 据称新近达成共识的指南，是为了保证Lockbit及其附属机构的利益。LockBit为附属公司提供了需要遵循的指南，以及有关可以提供的最大折扣以及相对于初始赎金金额的谈判可以低到什么程度的规则。 Lockbit高层认为，当谈判者认为与更有经验的附属公司合作时可以获得更大的折扣时，因为之前的攻击表明他们可以提供这些折扣，这些谈判者就会停止谈判并拒绝付款。他们觉得自己做了一笔糟糕的交易，而犯罪分子最终却没有得到报酬。 LockBit表示，在某些情况下，他们发现附属机构提供高达90%的折扣，只是为了获得赎金，而不顾赎金的多少。这样做的得利影响表现为，一些更有经验的勒索犯罪分子同样在收取赎金，这显得他们提供的折扣不那么诱人，可以说是扰乱了勒索市场。Lockbit是勒索生态中的创新者，他们把赎金收取的权利下放到了附属机构。 根据安全商店Analyst1收集的情报，LockBit在9月份发布了一项调查，为附属公司提供了对潜在规则变更进行投票的机会，并指出了该组织的挫败感。 它为附属公司提供了六种选择： （1）让一切保持原样。附属公司一如既往地制定自己的规则，没有任何限制。 （2）根据公司的年收入确定最低赎金要求，例如赎金比例为年收入的3%，就禁止超过50%的折扣。因此，如果该公司的收入为1亿美元，则最初的赎金请求应从300万美元起步，最终支付不少于150万美元。 （3）不要对所需的最低金额施加任何限制，因为这取决于对受害者造成的损害。但是，最大折扣不应超过50%。例如，如果初始赎金设置为100万美元，则附属机构不能接受任何低于50万美元的付款。 （4）如果您能找到网络保险，则禁止支付低于受害者保险金额的任何款项。 （5）如果您能找到网络保险，则禁止支付低于受害者保险金额50%的款项。 （6）您想到的其他建议。 随后，LockBit确定了两项规则，这些规则将指导从10月1日开始的所有未来谈判。 第一个是赎金金额，以及附属机构应如何根据受害者的年收入比例设定起步金额。 收入不超过1亿美元的 -赎金应在3%到10%之间（编者注：要求赎金的最高金额为300万-1000万美元之间） 收入1-10亿美元之间的-赎金应在0.5%至5%之间（编者注：要求赎金的最高金额为500万-5000万美元之间） 收入超过10亿美元 –赎金应在0.1%至3%之间（编者注：以收入100亿为例，要求赎金的最高金额为1000万-3亿美元之间） LockBit表示，虽然赎金金额最终仍由附属机构自行决定，并且“无论金额多少看起来都是公平的”，但在教科书勒索软件部署场景中应遵循上述指导。 例如，如果附属公司未能销毁受害者的备份，他们可能会调整赎金。 第二条规则涉及附属公司提供的折扣。虽然赎金金额仍然可以由附属机构自行决定，但他们现在提供折扣的许可要少得多，硬性最高限额为50%。 LockBit在与Analyst1分享的发给关联公司的消息中表示：“从2023年10月1日起，在与受攻击公司的沟通过程中，严格禁止给予超过最初请求金额50%的折扣。” “对于那些性格钢铁般的人来说，知道如何确定公司大概率支付的赎金金额并且几乎从不做出大折扣的人，请牢记这条规则，并根据最大允许的大小调整赎金金额折扣。赎金金额仍由您自行决定，金额为您认为公平的金额。” “请严格遵守规则，并尽可能遵守建议。” Analyst1引用了LockBit和The Register之前的对话作为这些新政策正在实施的例子。 当经销商巨头CDW和LockBit之间的谈判于10月初破裂时，Windows勒索软件组织的发言人告诉我们，根据其计算，CDW的年收入为200亿美元，而其支付报价太低了。 LockBit发言人当时表示：“计时器一到，你就可以看到所有信息，谈判就结束了，不再进行。” “我们拒绝了这个荒谬的金额。” 根据LockBit的新赎金指南，估值为200亿美元时，所需的赎金将设定在2000万至60亿美元之间。 LockBit在其泄密博客上发帖称，CDW仅向其提供110万美元作为赎金，以回应其提出的8000万美元赎金 — —这一提议似乎被视为具有冒犯性。 勒索软件组织与其潜在受害者之间持续不断的斗争凸显了密切监控这一不断变化的形势的新发展的必要性。在勒索软件攻击的多个阶段中，对于受害者和攻击者来说，谈判都是至关重要的事件。然而，差异体现在结果上。当谈判失败时，攻击者遭受的后果相对较小，例如损失时间和资源。然而，这些事件的受害者面临着更重大的损失，并面临着巨大的财务和声誉损失。 在谈判中，受害者是唯一的决策者。虽然进入谈判并支付赎金通常被认为是最不利的选择，但在某些情况下，受害者可能会考虑这种选择，以挽救企业免受更严重的损害。公司和参与者都意识到了这种动态。参与者识别他们可以利用的漏洞并战略性地利用它们。 LockBit有着对知名实体进行多次攻击的历史，其内部结构和集团内部谈判规则的最新发展引入了另一层复杂性。了解这种转变对于仔细评估缓解勒索软件攻击（如果发生）的方法至关重要。 “此分析的关键要点是认识到每个LockBit案例本质上都是独一无二的，这主要是由于内部组织结构。最显着的因素之一是，对违规行为本身负责的关联公司也是谈判背后的关联公司。这意味着什么？每次谈判者处理一个新案件时，他们可能会与不同的人打交道。 “人为因素，包括心理细微差别和不同的经验水平，显着影响谈判过程。因此，受影响的实体必须有效地适应和驾驭这些变量，以提高在缓解LockBit攻击的复杂环境中成功解决问题的机会。”     转自网空闲话plus，原文链接：https://mp.weixin.qq.com/s/1JJDJMC6yRo766tAIa1DSg 封面来源于网络，如有侵权请联系删除