佳士得拍卖行确认遭遇数据泄露攻击，原因是一个勒索软件组织周一威胁要泄露从该公司窃取的数据。 本月初，佳士得网站下线，该公司当时称这是“技术安全事件”。此次网络攻击发生时，佳士得拍卖行正准备拍卖价值约 8.4 亿美元的收藏品。虽然此次事件导致潜在买家无法在佳士得网站上查看拍卖品，但人们仍然可以进行竞标。 佳士得是一家拥有250年历史的英国艺术品及奢侈品拍卖行，是全球最富有的拍卖行之一。佳士得去年通过销售艺术品和奢侈品赚取了超过 60 亿美元，此前该公司曾以创世界纪录的 4.5 亿美元价格将列奥纳多·达芬奇的画作《救世主》卖给了一位沙特王子。 佳士得数据泄露事件是RansomHub这一相对较新的勒索软件组织所发起攻击的结果。 该网络犯罪组织于 2024 年 2 月出现，并因开始泄露据称从医疗保健交易处理商 Change Healthcare 窃取的数据而成为最近几周的新闻头条。 RansomHub 于周一在其基于 Tor 的泄密网站上列出了佳士得以及其他一些组织的名单。 该网络犯罪分子声称从拍卖行窃取了 2 GB 的数据，并威胁说如果不支付赎金，他们将在一周内公开这些数据。 RansomHub 勒索软件组织声称窃取了“全球至少 50 万名佳士得拍卖行私人客户”的“敏感个人信息”。 黑客发布的截图显示，他们已经获得一个包含姓名、出生日期、地址、国籍等个人信息以及护照等身份证明文件数据的数据库。 “我们试图与他们达成合理的解决方案，但他们中途停止了沟通。”RansomHub勒索软件组织表示。“很明显，如果发布这些信息，他们将受到 GDPR 的巨额罚款，同时也会毁掉他们在客户心目中的声誉，他们根本不关心客户的隐私。” 佳士得发表声明称，公司本月初遭遇了一起技术安全事故，并迅速采取行动保护系统，包括关闭其网站。 “我们的调查发现，第三方未经授权访问了佳士得的部分网络。他们还发现，事件背后的组织窃取了我们部分客户的少量个人数据。没有证据表明任何财务或交易记录遭到泄露。”佳士得的一位发言人表示。 佳士得发言人补充道：“佳士得目前正在通知隐私监管机构、政府机构，并且正在与受影响的客户进行沟通。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/9L_y-acjS_QOvPqSX3BFCA 封面来源于网络，如有侵权请联系删除

近日，在美国颇为流行的商业间谍软件工具pcTattletale登上了美国科技媒体头条，因为该工具的安全漏洞导致17TB用户敏感数据在互联网上公开泄露。 “一键跟踪”的爆款商业间谍软件 pcTattletale是一款公开销售的商业间谍软件，可安装在Windows和Android操作系统设备上，用于远程截取屏幕信息取证，广泛用于跟踪个人（例如夫妻互相监控、父母监控子女）。许多美国酒店入住系统、公司和律师事务所的电脑也安装了该软件，用于监控员工、客户或开展“个性化营销”。pcTattletale最大卖点是易用性，把高端复杂的间谍软件做成了老幼妇孺皆可轻松上手的爆款产品。用户只需在其官网上注册，就可获得定制.exe或.apk跟踪文件，然后在目标设备上安装即可实施持续跟踪（实时屏幕截图）。 该定制文件与用户凭证绑定，从而将安装过程简化为只需两次点击，把易用性做到了极致。安装完成后，间谍软件用户只需登录网站帐户即可触发或访问监控对象的屏幕截图/录屏视频。但pcTattletale提供的所谓录屏视频记录并非视频文件，而是相隔几秒钟拍摄的静态屏幕截图，这些屏幕截图被拼接在一起并以.GIF文件的形式播放，以生成目标所需的（视频）记录。 暗藏后门泄露17TB敏感数据 上周，安全研究人员Eric Daigle发现pcTattletale的API中存在一个严重的低级漏洞：该间谍软件附带了硬编码的AWS凭证，可通过隐藏的Webshell后门访问其亚马逊存储桶（用于存储用户的截屏数据），这意味着攻击者可轻易获取安装了该间谍软件的设备的屏幕截图数据。漏洞披露不久后，pcTattletale遭遇了黑客攻击，黑客从pcTattletale的亚马逊S3存储桶中窃取了高达17TB敏感数据（主要为屏幕截图）被黑客在互联网上公开泄露（下图），任何人都可获取，其中一些截图可追溯到2018年。 黑客公布的数据泄露清单包括数据库转储、stalkerware服务的完整webroot文件以及其他S3存储桶内容，暴露了多年的用户敏感信息。Daigle指出，根据泄露数据样本，大量美国酒店、公司电脑以及至少两家律师事务所似乎都受到了该漏洞的攻击。 虽然pcTattletale花了足足20个小时将入侵的官网关闭，但其客户端软件仍然在源源不断将屏幕截图上传到S3存储桶，直到亚马逊出手锁定了pcTattletale的AWS账户（下图）： 值得注意的是，黑客在攻击中发现的Webshell后门至少从2011年12月起就隐藏在间谍软件的后端代码中，允许通过使用cookie执行任意PHP代码，这引发了人们对其来源的疑问——它是pcTattletale自己放置的后门，还是其他黑客放置的？安全人员buran77指出，这表明pcTattletale基本上一直被后门程序控制，并且多年来可能一直有外部行为者窃取数据。 “受害者”遍布全美各行各业 pcTattletale间谍软件数据泄露事件可谓一石激起千层浪，受影响的受害者（间谍软件用户及其监控目标）遍布全美各个行业。根据安全研究人员maia crimew对泄露数据的初步分析，大量企业和机构都是该工具的忠实用户，其中包括银行、律师事务所、教育机构、医疗机构甚至政府机构等。研究人员分享的一些数据泄露样本/用例如下： 酒店泄露客人信息，例如个人数据和信用卡详细信息。 律师事务所曝光律师与客户之间的沟通以及客户银行路由信息。 一家银行泄露机密客户数据。 学校、托儿所等教育机构监视员工或学生，泄露个人数据。 医疗机构泄露患者信息。 巴勒斯坦政府机构雇员受到监控。 波音公司供应商的人力资源部门泄露员工个人信息。 科技公司在涉嫌不法行为的员工设备上秘密安装pcTattletale，暴露内部系统和源代码。 一名漏洞赏金猎人安装了该软件进行渗透测试，然后立即试图卸载它。 从曝光的泄露数据来看，pcTattletale的应用场景极为广泛，不仅被父母用于监视孩子，配偶相互监视，而且还被大量酒店、律师事务所、学校、科技公司（甚至包括波音公司）用于跟踪员工、客户。这意味着pcTattletale数据泄露事件不仅会泄露大量政企机密信息，同时可能引发大规模的隐私、商业伦理和社会问题。 鉴于受影响的公司范围广泛且存在重大安全漏洞，安全研究员maia crimew指出，pcTattletale可能面临被停业的严重后果，因为美国联邦贸易委员会(FTC)此前已下令其他美国跟踪软件开发商在发生数据泄露事件后停止运营，而pcTattletale的案件也将面临类似的结果。 无论最终结果如何，pcTattletale数据泄露/后门事件都暴露了美国数据安全治理的严重漏洞，很多专业人士质疑该商业间谍软件如何绕过各种数据和隐私安全法规得以公开销售，并担忧同样主打“屏幕截图”的微软Windows的“回忆功能”会引发另一场更大规模的隐私灾难。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/M9Lba-eAaspdXB3ipuTcPg 封面来源于网络，如有侵权请联系删除

处方药管理服务公司 Sav-Rx 警告称超过 280 万美国公民的个人数据在 2023 年的网络攻击中被盗。 A&A Services 是一家以 Sav-RX 的名义经营的药房福利管理 （PBM） 公司，主要为美国各地的雇主、工会和其他组织提供处方药管理服务。 上周五，该公司向缅因州总检察长办公室通报了 2023 年 10 月发生的一起网络安全事件，该事件暴露了 2812336 人的数据。 “2023年10月8日，我们发现计算机网络出现中断。与此同时，我们立即采取了系统保护措施，并聘请了第三方网络安全专家。IT系统在下一工作日就会恢复，处方药按时发货，不会出现延误。”公司发给受影响个人的通知中写道。 尽管此次事件对该公司业务运营的影响已被降到最低，处方药发货和药房理赔都没有出现延误，但公司仍耗费了大量时间来调查数据是否被盗。 根据发布数据泄露通知的日期，该公司的调查历时近八个月，在第三方专家的协助下于2024年4月30日完成。 调查显示，黑客首次访问客户数据是在2023年10月3日。 “调查过程中，我们发现未经授权的第三方能够访问某些非临床系统，并获取包含个人信息的文件，”Sav-Rx表示。 此次事件中暴露的数据类型包括： 全名 出生日期 社会保障号码（SSN） 电子邮件地址 住址 电话号码 医疗资格数据 保险识别号码 在其网站的常见问题访问页面中，Sav-Rx解释道，之所以在数据泄露发生八个月后才向受影响客户发送通知，是因为公司优先将对患者护理的干扰尽量降到最低，然后才着手调查事件的影响程度。 Sav-Rx还指出，其健康计划客户（受影响的组织）在2024年4月30日至5月2日期间已提前收到通知。 随后，Sav-Rx与其商业客户达成通知受影响个人的协议，在上周末发出了通知信件。 公司指出，在很多情况下，由于缺乏足够的联系信息，他们无法通知某些个人，建议拨打888-326-0815确认自己是否受到影响。 Sav-Rx在此次事件后采取的安全措施包括设立全天候24/7安全运营中心、在关键账户上实施多因素认证、网络分段、加强地理位置阻断、升级防火墙和交换机、增强Linux安全性以及BitLocker加密。 尽管目前没有证据表明该公司被盗信息被滥用或在暗网上传播，但他们在信中附上了注册两年信用监控和身份盗窃保护服务的操作说明。 由于被盗数据包含可用于身份盗窃的敏感信息，强烈建议受影响者监控其信用报告，以预防潜在的欺诈活动。   消息来源：bleepingcomputer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

一家著名的数字权利倡导组织和哈佛网络法律诊所正在起诉联邦当局未能提供文件概述他们如何与一些拉丁美洲政府共享生物特征和其他非公民数据。 原告上周四表示，他们在 17 个月前向移民和海关执法局（ICE）以及海关和边境保护局（CBP）提交了信息自由法（FOIA）请求。 倡导组织Access Now 和网络法律诊所表示，美国海关及边境保护局尚未提供任何所要求的文件。ICE告诉Access Now 和哈佛大学，它没有所控制的生物特征数据库所要求的任何文件。 针对 ICE的诉讼重点是其执法和遣返行动 (ERO) 计划，该机构的网站称该计划是一项“显著的协调与合作”努力，重点是“对被关押在联邦、州和地方监狱内的优先无证人员进行生物特征和传记识别”，诉讼称。 ERO负责管理已在美国境内的外国人的逮捕、拘捕、拘留和遣返。 据 ICE网站介绍，通过 ERO，ICE 自 2010 年以来已与墨西哥、危地马拉和其他外国政府签署了合作协议。Access Now 的 FOIA 请求要求获得 ICE 与墨西哥、危地马拉、洪都拉斯和萨尔瓦多之间达成的数据共享协议全文。 美国海关及边境保卫局的诉讼同样集中在其拒绝移交《信息自由法》所要求的文件上，但重点是该机构备受争议的 CBP One 应用程序。该门户网站是移民与该机构预约和获得其他服务的唯一途径，但它需要他们的生物识别信息。 目前，美国国土安全部监察长办公室和公民权利与公民自由办公室正在对 CBP One 进行调查。根据诉讼中引用的 CBP One 内部隐私影响评估，该应用可以收集个人资料、图像和地理位置信息。 今年 2 月，美国海关及边境保护局在《联邦公报》上披露，该应用还将开始收集离境非移民的生物特征信息。他们将被要求提供带有地理位置数据的照片，以证明他们已经离境。 Access Now 声称，CBP One 可以使用其收集的数据进行自动决策、分析和“登记流动人口”。该公司正在寻求各种相关记录，以记录该应用程序的运作方式，以及墨西哥、危地马拉、洪都拉斯和萨尔瓦多政府中访问 CBP One 以获取移民数据的人数。 美国海关及边境保护局 (CBP) 和移民及海关执法局 (ICE) 尚未回应置评请求。 真实案例的教训 Access Now 表示，现实世界移民的经历为其收集更多有关 ICE 和 CBP 与拉丁美洲政府数据共享安排的信息以及他们维护的生物特征数据库的详细信息提供了帮助。 该倡导组织深入研究了萨尔瓦多人的经历，据称由于政府收集的数据不准确，这些人在进入美国时被错误拘留并被宣布为罪犯。去年6月，该组织呼吁民权和公民自由办公室进行调查。国土安全部下属有美国海关和边境保护局和移民与海关执法局。 据 Access Now 报道，2022 年 3 月，萨尔瓦多颁布了一项旨在控制黑帮的紧急措施，赋予其国家警察前所未有的权力，可以不承担任何责任地逮捕人员。 该倡导组织关注的是那些被美国移民机构抓捕和定罪的萨尔瓦多人的个人故事，该组织发现了多起因萨尔瓦多政府提供不准确数据而导致非犯罪分子被美国政府逮捕和无限期拘留的案件。 Access Now 关于萨尔瓦多的报告指出，美国国务院2022 年人权报告发现了萨尔瓦多国家警察严重侵犯人权的可信指控。这些侵权行为据称包括强迫失踪和经常因个人原因而进行的任意逮捕。 Access Now 称，美国和萨尔瓦多政府之间的数据交换协议导致美国错误地将萨尔瓦多移民定罪。 Access Now 在其呼吁调查的摘要中指出：“国土安全部从越来越多的外国来源获取信息，包括通过与有暴力侵害本国公民历史的政府签订数据共享协议，例如萨尔瓦多。” 该公司还补充称，其向国土安全部提出的投诉针对的是美国与萨尔瓦多之间的协议，“强调他们如何允许大量未经证实的信息进入用于美国移民程序的数据库。”   转自E安全，原文链接：https://mp.weixin.qq.com/s/nooGwHNONdLFnZgjqnb3ow 封面来源于网络，如有侵权请联系删除

Gipy 是一种新发现的信息窃取恶意软件，它以德国、俄罗斯、西班牙和台湾的用户为目标，通过钓鱼诱饵承诺提供人工智能语音更改应用程序。 卡巴斯基的研究人员表示，Gipy 恶意软件最早出现于 2023 年初，一旦成功部署，威胁行为者就可以窃取数据、挖掘加密货币，并在受害者的系统中安装其他恶意软件。 研究人员解释说，在这种情况下，威胁行为者以合法的人工智能语音更改应用程序为诱饵。卡斯帕克团队补充说，一旦用户安装了它，应用程序就会按照承诺开始工作，与此同时，Gipy 恶意软件也会在后台运行。 研究人员注意到，当 Gipy 被执行时，恶意软件会从 GitHub 启动受密码保护的恶意软件。在对该活动的调查过程中，专家们分析了其中的 200 多个档案。 卡巴斯基在一封电子邮件声明中说：”GitHub 上的大多数档案都包含臭名昭著的 Lumma 密码窃取程序。“另外，专家们还发现了 Apocalypse ClipBanker、一个修改过的 Corona 密码窃取程序、几个 RAT（包括 DCRat 和 RADXRat）、一个名为 Loli 的基于 Golang 的窃取程序、RedLine 和 RisePro 等密码窃取程序，以及一个名为 TrueClient 的基于 Golang 的后门程序。 研究人员表示，威胁行为者热衷于利用人工智能工具的日益普及来进行此类恶意利用，用户需要多加注意。   转自Freebuf，原文链接：https://www.freebuf.com/news/401931.html 封面来源于网络，如有侵权请联系删除

印度大选之际，一个涉及生物识别数据泄露的安全事件暴露了数百万人的生物识别信息，彻底打乱了印度公民的选举”步伐“。 据悉，安全研究人员发现一个包含警察、军事人员和民众指纹和面部扫描信息的数据库遭到泄露，彻底引发了印度民众对身份信息泄露以及选举安全的担忧。 目前，研究人员已经报告了针对大选的网络攻击和数据泄露事件，并表示此次数据泄露事件可能会引发了印度民众对境内网络安全脆弱状况的质疑。 数据库泄露了大量印度国民数据信息 网络安全研究员 Jeremiah Fowler 在日常巡检中发现了一个配置错误的非密码保护数据库，其中包含 160 多万份文件，随后便向 Website Planet 报告了这一情况。 经过详细审核，被曝光的文件共约 166159 个文件（496.4 GB），包含面部扫描图像、指纹、签名、警察、出生证明、图像、电子邮件地址、就业申请、文凭、证书和其他教育相关文件军人、教师甚至铁路工人的识别标志等敏感的生物识别信息。 更糟糕的是，数据库泄露的信息还有大约 284535 份文件被归类为印度警察和执法人员的物理效率测试 （PET），其中一些以压缩.zip格式存储，包含了大量签名图像、PDF 文档、移动应用程序和安装数据等印度军警的敏感信息。 经过进一步深入分析，研究人员甚至在被泄露的数据库中发现了一个名为 “面部软件安装 “的文件夹，里面不仅存有大量通过应用程序捕获和传输的图像和文件，还存储了纯文本形式的内部数据库名称、登录名和密码信息。 泄露的文件 被盗数据在 Telegram 上被出售 数据库泄露事件披露后，Jeremiah Fowler 向部分媒体透露，指纹等生物识别数据是与个人身份绑定的唯一标识符，几乎无法更改，这些数据可被用于多种恶意目的，包括冒名顶替和身份盗窃。 目前，被盗数据可能已经在 Telegram 群组中出售了，或导致数百万人面临各种威胁。 此次数据库泄露事件表明，围绕生物识别数据的收集、使用和存储存在道德和监管方面的挑战，政府和私营企业必须时刻警惕，持续加强数据安全实践和法律法规完善，以期能够最大程度上保护公民数据隐私安全。   转自Freebuf，原文链接：https://www.freebuf.com/news/401925.html 封面来源于网络，如有侵权请联系删除

威尔士橄榄球管理机构威尔士橄榄球联盟（WRU）泄露了含近7万名成员个人信息的数据集。 橄榄球和网络安全至少有一个共同点——防御不力会导致失败。Cybernews研究团队的最新发现表明，该组织泄露了成千上万名成员的信息，WRU应该弥补其网络安全漏洞。 根据团队的报告，WRU公开了一个亚马逊网络服务（AWS）简单存储服务（S3）桶。该暴露的实例包含1419个文本文件，涉及69,317名WRU成员的详细信息。 WRU会员资格赋予成员优先购票权、独家内容和其他会员专属权益。同时，WRU是威尔士的橄榄球管理机构。尽管威尔士是英国的一部分，但在橄榄球和足球等其他体育比赛中作为独立实体参赛。 泄露数据的样本截图 WRU成员被泄露的数据 研究人员称，泄露的实例包含数万名WRU成员的大量数据，包括： 姓名 出生日期 家庭住址 电话号码 电子邮件地址 会员购买日期 会员付款方式 购买的会员类型 对于受影响的个人来说，这些被泄露的个人信息具有严重的信息安全影响。研究团队指出，黑客可以利用这些数据进行社会工程攻击。 “通过利用这些数据，攻击者可以使用操纵策略，诱使毫无戒心的人透露更多敏感信息或者采取危及其安全的行动，”我们的研究人员表示。 此外，泄露的电子邮件地址和电话号码为鱼叉式网络钓鱼或其他针对性社会工程攻击提供了大量基础。黑客可以利用泄露的详细信息，伪造合法来源的欺诈通讯，包括电子邮件、消息或电话。 “由于这种骗局看起来很真实，受害者可能会在不经意间上当，包括下载感染的附件、点击危险链接或泄露登录信息，”研究团队表示。 另一种滥用泄露信息的手段是网络安全专家所称的“人肉搜索”（doxxing），即曝光家庭住址。黑客可能会利用泄露的详细信息进行盗窃、入室抢劫或实体入侵。 减轻泄露影响的方法 为了减轻AWS S3桶中数据被泄露的危险，研究人员建议对访问日志进行回顾性监控，并评估是否有未经授权的用户访问该桶。 管理员还应利用AWS的服务器端加密工具，如KMS或AWS S3管理的密钥，对敏感数据进行加密，并修改桶的访问设置。 WRU并非第一个泄露用户数据的体育管理机构。今年早些时候，研究人员发现澳大利亚的足球管理机构——澳大利亚足球协会（Football Australia）泄露了秘密密钥，这可能导致127个数据桶被访问，其中包括购票者的个人数据和球员的合同及文件。 体育相关组织是网络犯罪分子的理想目标。例如，法国足球管理机构——法国足球联合会（FFF）称其数据库被盗，泄露了超过一千万名职业和非职业足球运动员的详细信息。   消息来源：cybernews，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

近日，数十万个可能存在漏洞的 Atlassian Confluence Data Center 和 Confluence Server 实例暴露在互联网山，黑客能够在这些实例上远程运行任意代码。 Atlassian 是一家澳大利亚裔美国软件巨头，为开发人员和管理人员提供产品，该公司拥有 10000 多名员工，2023 年报告的收入超过 35 亿美元。研究人员在两款 Atlassian 产品中发现了一个安全漏洞 CVE-2024-21683（ CVSS 得分为 8.3），经过仔细分析得出，黑客可以对受影响的系统实施远程代码执行 (RCE) 攻击。 Cyber news 安全研究小组表示，鉴于很多企业正在使用 Atlassian Confluence Data Center 和 Confluence Server 服务，以帮助其团队协同工作和共享信息。这样的话，黑客就可以利用 CVE-2024-21683 安全漏洞侵入受影响的系统，并盗取受害者大量数据信息。 更为糟糕的是，CVE-2024-21683 安全漏洞不仅允许未经验证的黑客执行任意代码，而且不需要用户交互。 大量 Atlassian 实例暴露在互联网上 值得一提的是，虽然 Atlassian 收到 根据 Cybernews 的勒索软件监控工具 Ransomlooker 的数据，平均赎金要求为 530 万美元，因此尽快修复任何具有 RCE 功能的漏洞至关重要。报告后，便立刻针对两个受影响的服务发布了修复程序。然而，其安全团队还是发现数十万个易受攻击的实例暴露在互联网上，不断”诱惑“威胁攻击者发动网络攻击活动。 Cyber news 的安全研究人员指出，共有多达 224962 个数据中心和服务器实例暴露在互联网上，威胁攻击者可以利用 CVE-2024-21683 安全漏洞侵入受害者的网络系统中，一旦有了“立足点”，就可以轻松获得对系统的完全控制，随意安装恶意软件、访问敏感数据以及操纵系统配置。 此外， Atlassian 暴露的实例还危及到很多普通用户。研究人员认为，黑客可以窃取受害者登录凭证，从而侵入 Atlassian 账户和其他重复使用相同凭证的账户。 对此，研究人员强调，RCE 漏洞是高级勒索软件团伙经常使用的一种攻击载体，可以获得进入目标系统的初始入口，帮助勒索软件团伙开展攻击活动，（ Cyber news 勒索软件监控工具 Ransomlooker 的数据显示，勒索攻击事件平均赎金为 530 万美元）因此尽快修复任何具有 RCE 功能的安全漏洞非常重要。 以著名勒索软件 Cl0p 为例， 该组织曾经利用 Progress 软件公司 MOVEit Transfer 软件中一个零日漏洞（现已修复），入侵了受害者的内部系统，非法访问、盗取大量敏感数据，数千家机构和数千万人受到影响，造成数千万美元的损失。 最后，安全研究人员深入分析后发现，Atlassian Confluence Data Center 和 Confluence Server 出现安全漏洞后，仍旧有五个国家/地区托管了一半易受攻击的实例。其中，美国拥有最多的可能易受攻击的实例，为53195个，另有22007个易受攻击的实例被追踪到日本。 与此同时，南非、法国和德国各自托管了超过 11000 个暴露的未打补丁的 Confluence 服务。   转自FreeBuf，原文链接：https://www.freebuf.com/news/401663.html 封面来源于网络，如有侵权请联系删除

5月21日，LockBit 勒索软件团伙声称他们是四月份针对加拿大药房连锁店伦敦药房网络攻击的幕后黑手，并威胁将在谈判失败后公开被盗数据。 伦敦药房在加拿大阿尔伯塔省、萨斯喀彻温省、曼尼托巴省和不列颠哥伦比亚省的80多家门店中拥有超过9000名员工，主要提供医疗保健和药房服务。 4月28日的一次网络攻击迫使伦敦药房关闭了在加拿大西部的所有零售店。该公司表示，没有发现客户或员工数据受到影响的证据。 “如果我们的调查表明有任何一个人的信息被泄露，我们会根据隐私法通知受影响的人和相关隐私专员，”该药房连锁店表示。 5月9日，伦敦药房的总裁兼首席运营官（COO）Clint Mahlman再次确认，受雇进行取证调查的第三方网络安全专家未发现“含健康数据和LDExtras数据的客户数据库”被泄露的证据。 虽然伦敦药房已经重新开放了此前关闭的门店，但公司网站仍然无法访问，且显示错误信息：“服务器遇到内部错误，无法完成请求。” 昨天早些时候，LockBit 勒索软件组织将伦敦药房添加到其勒索门户网站，声称对4月份的网络攻击负责，并威胁要公开据称从该公司系统中窃取的数据。 伦敦药房被列入 LockBit 勒索网站 该勒索软件团伙尚未提供任何证据来证明从伦敦药房的服务器中窃取了文件，只声称与伦敦药房关于支付2500万美元赎金的谈判失败。 尽管伦敦药房并未确认 LockBit 的说法，但在它与 BleepingComputer 分享的一份声明中表示，伦敦药房知道该勒索软件团伙声称窃取了“可能包含员工信息的公司总部文件”——如上图所示，LockBit 仅提到“被盗数据”。 伦敦药房补充道，他们不会也无法支付 LockBit 要求的赎金，但承认该团伙“可能会在暗网上泄露窃取的伦敦药房公司文件，其中一些文件可能包含员工信息”。 “在目前的调查阶段，我们无法提供可能受影响员的工个人信息性质或受影响程度的具体信息。我们的审查正在进行中，但由于这次网络事件造成了系统损坏，我们预计这项审查将需要一些时间，”伦敦药房表示。 “出于极度谨慎的考虑，我们已主动通知所有现任员工。无论最终是否发现他们的数据被泄露，我们都提供了24个月的免费信用监控和身份盗用保护服务。” LockBit勒索软件的兴起与衰落 该勒索软件即服务（RaaS）运营于2019年9月以ABCD的身份首次出现，后来改名为LockBit。 自从它出现以来，LockBit声称对全球许多政府和知名组织发动了攻击，包括波音、大陆汽车巨头、意大利国家税务局、美国银行和英国皇家邮政。 2024年2月美国悬赏 1500 万美元寻找 LockBit 勒索软件团伙的信息 ，同时执法部门发布了”克罗诺斯行动”，摧毁了LockBit的基础设施，没收了34台服务器，其中包含超过2500个解密密钥，这些密钥有助于创建一个免费的LockBit 3.0黑色勒索软件解密工具。 根据扣押的数据，美国司法部和英国国家犯罪局估算道，在2022年6月至2024年2月期间，LockBit在全球范围内发动了7000次攻击，勒索金额在5亿至10亿美元之间。 LockBit域名被扣押的截图 然而，LockBit目前仍然保持活跃，并已迁移到新的服务器和暗网域名。它以报复最近被美国和英国当局摧毁的基础设施为由，持续对全球范围内的受害者发动攻击，并释放大量新旧数据。 LockBit声称他们是伦敦药房网络攻击的幕后黑手，此前，另一次国际执法行动将该勒索软件团伙的领导人公之于众，该领导人为使用“LockBitSupp”化名的31岁俄罗斯国籍人士Dmitry Yuryevich Khoroshev。 目前，美国国务院提供了一笔高达1000万美元的奖金，用于奖励提供有助于LockBit领导人被捕或定罪的信息，同时额外提供了500万美元的奖金，用于奖励任何可能导致LockBit勒索软件成员被捕的线索。   消息来源：bleepingcomputer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Atlas 是美国大陆 49 个州最大的全国燃料分销商之一，每年销售超过 10 亿加仑。 据研究员 Dominic Alvieri 报道， Blackbasta 勒索组织将该公司添加到其 Tor 泄露网站的受害者名单中。 该团伙声称从 ATLAS 窃取了 730GB 的数据，包括：会计、人力资源、财务、行政、部门数据以及用户和员工数据。 该团伙发布了一系列文件作为黑客攻击的证据，包括人们的身份证、数据表、工资支付请求者以及从受害者系统中窃取的文件夹的图片。 该石油公司尚未披露这起涉嫌事件。 Black Basta 自 2022 年 4 月以来一直活跃，与其他勒索软件操作一样，它实施了双重勒索攻击模型。 2022 年 11 月，Sentinel Labs 研究人员报告称 ，他们发现了 Black Basta 勒索软件团伙与出于经济动机的黑客组织 FIN7 之间的联系的证据。 2022 年 11 月，Cybereason Global SOC (GSOC) 团队的专家观察到Qakbot感染激增，  这是持续的激进 Qakbot 恶意软件活动的一部分，该活动导致  美国出现Black Basta 勒索软件感染。 攻击链从 QBot 感染开始，操作员使用后利用工具 Cobalt Strike 接管机器并最终部署 Black Basta 勒索软件。攻击始于包含恶意 URL 链接的垃圾邮件/网络钓鱼电子邮件。 研究人员注意到，一旦获得网络访问权限，攻击者就会行动极快。在 Cybereason 观察到的一些案例中，攻击者在不到两小时内就获得了域管理员权限，并在不到 12 小时内开始部署勒索软件。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/_xQCSTQQxxy7vZr061CHUQ 封面来源于网络，如有侵权请联系删除