5月21日，LockBit 勒索软件团伙声称他们是四月份针对加拿大药房连锁店伦敦药房网络攻击的幕后黑手，并威胁将在谈判失败后公开被盗数据。 伦敦药房在加拿大阿尔伯塔省、萨斯喀彻温省、曼尼托巴省和不列颠哥伦比亚省的80多家门店中拥有超过9000名员工，主要提供医疗保健和药房服务。 4月28日的一次网络攻击迫使伦敦药房关闭了在加拿大西部的所有零售店。该公司表示，没有发现客户或员工数据受到影响的证据。 “如果我们的调查表明有任何一个人的信息被泄露，我们会根据隐私法通知受影响的人和相关隐私专员，”该药房连锁店表示。 5月9日，伦敦药房的总裁兼首席运营官（COO）Clint Mahlman再次确认，受雇进行取证调查的第三方网络安全专家未发现“含健康数据和LDExtras数据的客户数据库”被泄露的证据。 虽然伦敦药房已经重新开放了此前关闭的门店，但公司网站仍然无法访问，且显示错误信息：“服务器遇到内部错误，无法完成请求。” 昨天早些时候，LockBit 勒索软件组织将伦敦药房添加到其勒索门户网站，声称对4月份的网络攻击负责，并威胁要公开据称从该公司系统中窃取的数据。 伦敦药房被列入 LockBit 勒索网站 该勒索软件团伙尚未提供任何证据来证明从伦敦药房的服务器中窃取了文件，只声称与伦敦药房关于支付2500万美元赎金的谈判失败。 尽管伦敦药房并未确认 LockBit 的说法，但在它与 BleepingComputer 分享的一份声明中表示，伦敦药房知道该勒索软件团伙声称窃取了“可能包含员工信息的公司总部文件”——如上图所示，LockBit 仅提到“被盗数据”。 伦敦药房补充道，他们不会也无法支付 LockBit 要求的赎金，但承认该团伙“可能会在暗网上泄露窃取的伦敦药房公司文件，其中一些文件可能包含员工信息”。 “在目前的调查阶段，我们无法提供可能受影响员的工个人信息性质或受影响程度的具体信息。我们的审查正在进行中，但由于这次网络事件造成了系统损坏，我们预计这项审查将需要一些时间，”伦敦药房表示。 “出于极度谨慎的考虑，我们已主动通知所有现任员工。无论最终是否发现他们的数据被泄露，我们都提供了24个月的免费信用监控和身份盗用保护服务。” LockBit勒索软件的兴起与衰落 该勒索软件即服务（RaaS）运营于2019年9月以ABCD的身份首次出现，后来改名为LockBit。 自从它出现以来，LockBit声称对全球许多政府和知名组织发动了攻击，包括波音、大陆汽车巨头、意大利国家税务局、美国银行和英国皇家邮政。 2024年2月美国悬赏 1500 万美元寻找 LockBit 勒索软件团伙的信息 ，同时执法部门发布了”克罗诺斯行动”，摧毁了LockBit的基础设施，没收了34台服务器，其中包含超过2500个解密密钥，这些密钥有助于创建一个免费的LockBit 3.0黑色勒索软件解密工具。 根据扣押的数据，美国司法部和英国国家犯罪局估算道，在2022年6月至2024年2月期间，LockBit在全球范围内发动了7000次攻击，勒索金额在5亿至10亿美元之间。 LockBit域名被扣押的截图 然而，LockBit目前仍然保持活跃，并已迁移到新的服务器和暗网域名。它以报复最近被美国和英国当局摧毁的基础设施为由，持续对全球范围内的受害者发动攻击，并释放大量新旧数据。 LockBit声称他们是伦敦药房网络攻击的幕后黑手，此前，另一次国际执法行动将该勒索软件团伙的领导人公之于众，该领导人为使用“LockBitSupp”化名的31岁俄罗斯国籍人士Dmitry Yuryevich Khoroshev。 目前，美国国务院提供了一笔高达1000万美元的奖金，用于奖励提供有助于LockBit领导人被捕或定罪的信息，同时额外提供了500万美元的奖金，用于奖励任何可能导致LockBit勒索软件成员被捕的线索。   消息来源：bleepingcomputer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Atlas 是美国大陆 49 个州最大的全国燃料分销商之一，每年销售超过 10 亿加仑。 据研究员 Dominic Alvieri 报道， Blackbasta 勒索组织将该公司添加到其 Tor 泄露网站的受害者名单中。 该团伙声称从 ATLAS 窃取了 730GB 的数据，包括：会计、人力资源、财务、行政、部门数据以及用户和员工数据。 该团伙发布了一系列文件作为黑客攻击的证据，包括人们的身份证、数据表、工资支付请求者以及从受害者系统中窃取的文件夹的图片。 该石油公司尚未披露这起涉嫌事件。 Black Basta 自 2022 年 4 月以来一直活跃，与其他勒索软件操作一样，它实施了双重勒索攻击模型。 2022 年 11 月，Sentinel Labs 研究人员报告称 ，他们发现了 Black Basta 勒索软件团伙与出于经济动机的黑客组织 FIN7 之间的联系的证据。 2022 年 11 月，Cybereason Global SOC (GSOC) 团队的专家观察到Qakbot感染激增，  这是持续的激进 Qakbot 恶意软件活动的一部分，该活动导致  美国出现Black Basta 勒索软件感染。 攻击链从 QBot 感染开始，操作员使用后利用工具 Cobalt Strike 接管机器并最终部署 Black Basta 勒索软件。攻击始于包含恶意 URL 链接的垃圾邮件/网络钓鱼电子邮件。 研究人员注意到，一旦获得网络访问权限，攻击者就会行动极快。在 Cybereason 观察到的一些案例中，攻击者在不到两小时内就获得了域管理员权限，并在不到 12 小时内开始部署勒索软件。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/_xQCSTQQxxy7vZr061CHUQ 封面来源于网络，如有侵权请联系删除

总部位于加利福尼亚的成像传感器制造商OmniVision在去年遭遇Cactus勒索软件攻击后，发布警告称公司存在数据泄露风险。 OmniVision是中国韦尔半导体的子公司，主要设计并开发智能手机、笔记本电脑、网络摄像头、汽车、医疗成像系统等设备的成像传感器。2023年该公司拥有2200名员工，年收入达到14亿美元。 周五，OmniVision向加利福尼亚州当局报告了一起安全漏洞事件，据称该公司系统于2023年9月4日至9月30日期间被勒索软件加密。 “2023年9月30日，OVT发现一起安全事件，该制造商系统被未经授权的第三方加密。针对该事件，我们在第三方网络安全专家的协助下迅速展开全面调查，同时通知了执法部门。经过深入调查确定，未经授权方在2023年9月4日至9月30日期间从公司系统中获取了一些个人信息。”通知中写道。 OmniVision表示，其内部调查于2024年4月3日结束，调查结果显示攻击者窃取了公司的个人信息。 被盗数据在通知样本中已被屏蔽，同时被泄露的人员数量仍不明确。 然而，Cactus勒索软件团伙在2023年10月17日发布了一则公告，声称对OmniVision发动了攻击，并泄露了以下数据样本： 护照扫描件 保密协议 合同 机密文件 黑客最终免费提供此次攻击中持有的所有数据，该数据以ZIP档案的形式下载。 OmniVision被列入Cactus博客的截图 截至目前，OmniVision已从Cactus勒索软件分站（在暗网上）上移除。 Cactus是约一年前出现的勒索软件团伙，其目标是利用VPN设备的漏洞获取对企业网络的访问权限，同时采用特殊的加密方式来规避检测。 该团体曾攻击过一些大型公司，比如冷藏和物流巨头Americold以及能源和自动化制造企业Schneider Electric。 作为对此次数据泄露的回应，OmniVision积极采取措施来加强环境安全，同时能够更加快速地检测到可疑活动。他们还向通知接收者提供了为期24个月的信用监控和身份盗用恢复服务。 我们建议受影响的人注册OmniVision提供的服务，同时保持警惕，拒绝未经任何邀请和可疑的通信，定期审核信用报告和账户对账单，并将异常活动报告给所属金融机构。   消息来源：bleepingcomputer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

攻击者声称，美国国防部发生一起重大数据泄露事件，泄露了包含数百万美国人犯罪记录的庞大数据库。 数据库详细信息：据称遭到破坏的数据库包含惊人的 7000 万行数据 格式：CSV 文件大小：压缩时约为 3 GB，未压缩时扩展至 22 GB 涵盖年份：数据跨度为 2020 年至 2024 年 归因：此次违规行为归咎于名为 SXUL 的实体 数据库字段：包括ID、姓氏、名字、出生地、年龄、身高、体重、头发、眼睛、种族、肤色、犯罪日期及描述、定罪时间地点、逮捕日期、案件号等   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/UjY-9yWz09IQATyfUbUMsA 封面来源于网络，如有侵权请联系删除

近日，接上级网信部门通报，南昌某集团有限公司所属IP疑似被黑客远程控制，频繁与境外通联，向境外传输大量数据。 经过立案调查、现场勘验、远程勘验（采样技术分析）、笔录问询等工作，查明：1.该公司未履行数据安全保护义务，未采取相应的技术措施和其他必要措施保障数据安全，所属的服务器遭境外黑客攻击并植入可获取服务器文件管理权限和命令执行权限的木马程序，大量数据疑似泄露或被窃取，相关行为违反了《中华人民共和国数据安全法》第二十七条规定；2.该公司开展数据处理活动未加强风险监测，在发现数据安全漏洞风险和事件时未采取补救措施，未履行风险监测、补救处置等义务，相关行为违反了《中华人民共和国数据安全法》第二十九条规定。 2024年5月15日，南昌市网信办依据《中华人民共和国数据安全法》第四十五条的规定，对南昌某集团有限公司处以警告、罚款10万元，对直接负责的主管人员处以罚款2万元的行政处罚。 涉案公司表示，已充分认识到问题的严重性及造成的不良影响，诚恳接受处罚，今后将严格落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法规要求，切实履行好网络安全和数据安全保护义务。 下一步，南昌市网信办将持续依法加大网络安全、数据安全、个人信息保护等领域执法力度，依法打击危害网络安全、数据安全、侵害公民个人信息等违法行为，切实维护网络安全、数据安全和社会公共利益，进一步营造安全稳定的网络环境。 转自安全内参，原文链接：https://mp.weixin.qq.com/s/2OmOBQDXcyGgMrCJgxGEsg 封面来源于网络，如有侵权请联系删除

桑坦德银行表示，集团所有现任员工、部分前任员工、西班牙等多国客户的信息遭到泄露。 安全内参5月16日消息，桑坦德银行（Banco Santander SA）宣布，遭遇一起数据泄露事件，客户受到影响。事件起因是一名未经授权的人员访问了该银行某个第三方服务提供商托管的数据库。 桑坦德银行是全球范围内最大、最重要的银行之一，业务遍布西班牙、英国、巴西、墨西哥和美国。该银行以其多样化的金融产品和服务而闻名，为超过1.4亿客户提供服务。 在本周发布的一份声明中，桑坦德银行披露了这起数据泄露事件，该事件影响了西班牙、智利和乌拉圭的客户和员工。 声明写道：“我们最近发现了一起未经授权访问桑坦德银行数据库的事件，该数据库由一家第三方提供商托管。” 桑坦德银行表示，已迅速采取行动，遏制事件蔓延，并阻止对数据库的违规访问。为了保护受影响的客户，该银行还实施了额外的欺诈预防控制措施。 “经过调查，我们现在确认，某些涉及桑坦德银行智利、西班牙和乌拉圭客户，以及该集团的现任和部分前任员工的信息已被访问。” ——桑坦德银行 桑坦德银行没有透露具体受影响的数据类型，但指出交易信息以及网络银行账户凭据未受影响。 这家金融机构表示，桑坦德银行在其他市场的业务没有受到这次事件影响。 此外，已确认该银行在上述国家的系统和运营未受影响，因此客户无需担心，可以继续使用所有服务。 桑坦德银行将直接通知受数据泄露影响的客户和员工，以及执法部门。 外媒BleepingComputer已联系桑坦德银行，要求提供有关第三方服务提供商、受影响客户人数和泄露数据类型的信息，但目前尚未收到回复。   转自安全内参，原文链接：https://www.secrss.com/articles/66184 封面来源于网络，如有侵权请联系删除

据称，2023 年 6 月发生的泄露事件导致约 50 万用户数据库泄露，其中包含个人隐私信息等。 据知道创宇暗网雷达监测，2023 年 6 月发生的泄露事件导致 DITP.go.th 域的各种用户数据库泄露。 泰国对外贸易促进委员会（Department of International Trade Promotion）泄露的数据包括个人身份信息 (PII)，例如名字、姓氏、用户名、身份证号码、DITP ID、单点登录 (SSO) ID、电话号码、电子邮件地址、公司名称、出口商详细信息、地址、密码等。上述内容皆已被黑客公开。 知道创宇暗网雷达信息截图 黑客发布的相关文件信息截图 据公告称，该数据集包含大约 500,000 行数据，但具体数量暂时无法确定。   Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达

一名为“salfetka”的网络犯罪分子声称正在出售INC Ransom的源代码，INC Ransom是一种于2023年8月推出的勒索软件即服务（RaaS）操作。 INC此前的目标包括施乐商业解决方案公司（XBS）的美国分部、菲律宾雅马哈发动机公司，以及最近的苏格兰国家卫生服务（NHS）。 在涉嫌出售同时，INC Ransom的运营也在发生变化，这可能表明其核心团队成员之间出现裂痕，或者计划进入一个涉及使用新的加密器的阶段。 源代码出售 该黑客在Exploit和XSS黑客论坛上宣布出售INC的Windows和Linux/ESXi版本，售价30万美元，并将潜在买家的数量限制为三人。 根据威胁情报专家KELA提供给BleepingComputer的信息，他们发现该出售公告中提到的技术细节，如使用CTR模式的AES-128和Curve25519 Donna算法，与公众分析的INC Ransom样本一致。 KELA还告诉BleepingComputer，“salfetka”自2024年3月以来一直活跃在黑客论坛上。该黑客曾经希望以高达7000美元的价格购买网络访问权限，并且表示愿意从勒索软件攻击收益中向初始访问经纪人提供分成。 另一个给此次出售增加可信度的行为是“salfetka”在其签名中包含了INC Ransom旧页面和新页面的URL，表明这与该勒索软件操作有关联。 尽管如此，此次出售也可能是骗局，该黑客可能在过去几个月里精心打理“salfetka”账户，宣称对购买网络访问感兴趣，并出示高价来提高交易的可信度。 目前，INC的新旧网站上都没有关于出售项目源代码的公开声明。 INC Ransom迁移到新网站 2024年5月1日，INC Ransom在其旧的泄露网站上宣布他们将迁移到一个新的数据泄露勒索“博客”，并共享了一个新的TOR地址，称旧网站将在两到三个月内关闭。 新网站已经上线，受害者名单与旧门户网站有部分重叠，且新增了十二个在旧网站上未出现的受害者。 新网站共列出了64个受害者（其中12个是新增的），而旧网站有91个受害者，因此过去受害者中约有一半没有在新网站上出现。 KELA的分析师评论道：“两个网站之间的差异表明该操作可能是领导层更换或分裂成不同团体后进行的。” “然而，‘salfetka’引用了这两个网站作为其所谓项目的一部分，这表明该行为者与两个部分都有关联。” “在这种情况下，创建新博客可能是为了从出售中获取更多利润。” 值得注意的是，INC新的勒索页面设计在视觉上类似于Hunters International，这表明该操作还可能与其他勒索软件有关。 与允许安全分析人员破解加密的公开泄露不同，出售没有现成解密器的勒索软件源代码可能会给全球的组织带来更多麻烦。 这些勒索软件生成器通常被刚刚进入这一领域的高度动机黑客、希望通过使用更强大和通过测试的加密器来提升实力的半成熟团体购买。 尤其是提供Linux/ESXi版本时，这种情况尤为严重，因为开发这些版本通常更具挑战性且成本更高。 当勒索软件团伙重塑品牌时，他们通常会重复使用旧加密器的大部分源代码，从而让研究人员能将旧团伙与新操作联系起来。 使用其他勒索软件操作的加密器还可以帮助其重塑品牌，因为这会让执法部门和研究人员的追踪变得更加困难。   消息来源：bleepingcomputer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

据BleepingComputer消息，澳大利亚最主要的非银行类贷款机构Firstmac日前遭遇了一起由网络攻击导致的数据泄露事件，被称为Embargo的勒索软件团伙从该公司窃取了超过500G的数据。 Firstmac是澳大利亚金融服务行业的重要参与者，主要专注于抵押贷款、投资管理和证券化服务。该公司总部位于昆士兰州布里斯班，拥有 460 名员工，已发放10万笔住房贷款，目前管理着 150 亿澳元的抵押贷款。 5月11日，Have I Been Pwned 的创建者 Troy Hunt 在 X 上公开了由Firstmac发送给客户的通知信样本，告知他们发生了严重的数据泄露事件，并称在外部网络安全专家的协助下确定泄露的信息包括了客户姓名、住址、电子邮箱、电话号码、出生日期、外部银行账户信息和驾照信息。 尽管如此，Firstmac 向客户保证，他们的账户和资金是安全的，该公司的系统现在已经得到了适当的支持。 为此，Firstmac已将所有帐户更改都必须使用双因素身份验证或生物识别技术来确认用户的身份。IDCare也将为收到通知的客户提供免费的身份盗窃保护服务，并建议对未经请求的通信保持谨慎，并定期检查其帐户对帐单是否有异常活动。 据澳大利亚新闻媒体报道，这一数据泄露事件发生在2024年4月，Embargo勒索软件组织在其数据泄露网站上宣布了这一消息。 Embargo在数据泄露网站上公开的勒索信息 该组织被认为是一个新兴的网络犯罪团伙，其勒索页面上只列出了两名受害者，目前尚未找到该组织的加密器的样本，不清楚他们是自己主导了勒索攻击，还是从其他人手中购买了被盗数据进行勒索。   转自Freebuf，原文链接：https://www.freebuf.com/news/400745.html 封面来源于网络，如有侵权请联系删除 

俄亥俄州彩票公司正在给圣诞前夕遭受网络攻击影响的约538,000人发送数据泄露通知函。 缅因州总检察长办公室的文件显示，此次攻击共影响了538,959人。攻击者获取了受影响者的姓名、社会安全号码和其他个人信息。 “在2023年12月24日，一次网络安全事件导致我们所维护的数据被曝光，由此公司检测到内部办公网络存在未经授权的访问。但这一事件并未影响游戏网络，”俄亥俄州彩票公司表示。 “在经过全面的法证调查和手动文件审查后，我们于2024年4月5日得知，某些包含个人信息的文件遭到了未经授权的访问。” 俄亥俄州彩票公司表示，尚未发现被盗信息被用于欺诈的证据。尽管如此，出于谨慎起见，该公司向所有可能受影响的个人提供免费的信用监控和身份盗用保护服务。 DragonForce 勒索软件声称的数据泄露 尽管俄亥俄州彩票公司并未透露此次受影响事件的性质，但几天后，DragonForce勒索软件团伙声称对此次攻击负责。 黑客声称他们加密了设备，并窃取了俄亥俄州彩票公司客户和员工的文件。 12月27日，勒索软件组织的暗网上增加了一个条目，称攻击者窃取了超过300万条记录。在谈判失败后，该团伙于1月22日泄露了四个 .bak 档案和多个CSV文件，据称这些文件是从俄亥俄州彩票公司的系统中窃取的。 DragonForce声称泄露的94GB数据仅包含150万条俄亥俄州彩票客户的姓名、社会安全号码和出生日期。 虽然DragonForce勒索软件是一个相对较新的组织，于2023年12月首次曝光第一个受害者，但其战术、谈判风格和数据泄露网站表明这是一个经验丰富的勒索团伙。 他们的泄露网站现在列出了将近四十个受害者，而执法部门最近几个月一直在破坏许多勒索软件的行动，如果他们是一个先前已知团伙的重组，那也不足为奇。 DragonForce勒索软件还声称对去年12月中旬日本益生菌饮料制造商Yakult在澳大利亚和新西兰的IT系统的网络攻击负责。 在勒索软件团伙泄露了据称从公司服务器窃取的95GB数据后，Yakult披露了这次攻击。   消息来源：bleepingcomputer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文