在把枪口瞄准TikTok之后，美国政府又开始努力封杀另一家公司。这次是俄罗斯网络安全公司卡巴斯基，一些人认为该公司是国际安全领域的主要参与者，另一些人则因其与俄罗斯官方的密切联系而闻名。 4 月 9 日，美国有线电视新闻网 (CNN) 报道称，出于国家安全考虑，拜登政府正在采取“不寻常的举措”，发布一项命令，禁止美国公司和公民使用卡巴斯基实验室开发的软件。该禁令预计将于四月通过新的商务部当局实施。 Techopedia 采访了国家安全和人权律师伊琳娜·祖克曼(Irina Tsukerman )，了解卡巴斯基的历史、禁令的重要性以及其中的利害关系。 卡巴斯基与俄罗斯 FSB 的关联 禁止卡巴斯基在美国运营的举措并不新鲜。2017年，美国禁止所有联邦机构使用卡巴斯基产品。2022 年 3 月，俄乌冲突爆发一天后，路透社报道称，美国政府私下警告美国公司，莫斯科可能会操纵俄罗斯网络安全公司卡巴斯基设计的软件造成伤害。 在美国和俄罗斯之间紧张局势加剧以及网络战和间谍活动升级的情况下，Tsukerman解释了卡巴斯基的作用。 “随着美俄关系恶化，俄罗斯被视为更大的威胁，网络战的作用呈指数级扩大，卡巴斯基等安全机构的作用[据称]被国家用来从事间谍活动。” 为什么美国要在全国范围内禁止卡巴斯基 虽然美国联邦机构已经被禁止使用卡巴斯基实验室软件，但禁止该国公民和公司这样做是许多人称之为历史性和前所未有的举措。 接近 CNN 的消息人士称，美国政府多年来一直相信俄罗斯政府可以强迫该公司交出数据或使用其防病毒软件来试图对美国人进行黑客攻击或监视——卡巴斯基实验室否认了这一指控。 Tsukerman表示，这一行动将禁止美国的私营公司参与卡巴斯基产品和服务，另一方面，也将禁止该公司向美国出口特定的产品和服务。 “值得注意的是，这还不是对卡巴斯基所有业务的全面禁止，尽管担心其产品和服务被滥用，但卡巴斯基尚未被添加到制裁黑名单中。” “正在考虑的一些风险包括对美国关键基础设施的潜在损害。”Tsukerman说。 “尤其是，焦点似乎是卡巴斯基的反病毒软件。” 虽然卡巴斯基尚未进入美国政府制裁黑名单，但在2017年和2022年，美国政府已对其运营采取了行动。 2022年3月25日，美国联邦通信委员会（FCC）将卡巴斯基与中国电信和中国移动一起列入黑名单。 Tsukerman解释了这一新行动与其他行动的不同之处。“最近的举动（可能）是在美国商务部确定可能的威胁之后采取的。” Tsukerman补充说，卡巴斯基实验室不仅是美国的问题，而且是更广泛的问题。 正如彭博社2017 年报道的那样，卡巴斯基与 FSB 合作的指控已经持续了好几年。这些指控在俄乌冲突爆发后重新浮出水面，现在势头更加强劲。 英国国家网络安全中心 (NCSC) 强调了使用俄罗斯网络安全和技术产品的威胁和风险，特别是卡巴斯基反病毒软件 (AV)。 NCSC 表示：“我们解释了风险，并建议政府国家安全部门确保他们不使用俄罗斯产品，例如卡巴斯基反病毒软件 (AV)。” 卡巴斯基的起源和早期历史 据《福布斯》报道，卡巴斯基“之父”是尤金·卡巴斯基，他毕业于克格勃资助的教育机构。尤金在 20 世纪 90 年代初对网络安全“产生了兴趣”，1997 年，尤金·卡巴斯基创立了卡巴斯基实验室并领导了公司的反病毒研究。 Tsukerman谈到了尤金·卡巴斯基，并质疑他与俄罗斯情报机构的联系。 “尤金·卡巴斯基之前在俄罗斯军方的工作经历以及他在克格勃资助的技术学院（密码学）接受的教育导致了他被俄罗斯雇佣来揭露美国网络武器的指控，尽管他否认了这一点。 “美国情报部门普遍认为，任何曾在俄罗斯军事或安全机构工作过的人，即使在转入私营部门后，仍会受到审查或隶属于这些机构。” 到 2016 年，尤金作为一名年轻工程师创立的公司已成为欧洲最大的网络安全软件供应商。如今，据信该公司拥有超过 4 亿个人客户和 24 万家企业客户公司。 “随着时间的推移，俄罗斯国家对私营部门的渗透显着增加。”Tsukerman说。 Tsukerman声称，卡巴斯基实验室在 2012 年改变了方向，当时“高层管理人员离职或被解雇，他们的工作通常由与俄罗斯军方或情报部门关系密切的人来填补”。 彭博社2015 年报道称，“其中一些人利用来自 4 亿客户中部分客户的数据，积极协助克格勃的继任者 FSB 进行刑事调查”。 卡巴斯基针对美国情报部门 2017年，美国政府禁止联邦机构使用卡巴斯基产品后，有指控称，为俄罗斯政府工作的黑客使用卡巴斯基反病毒软件从属于美国国家安全局承包商的家用电脑窃取机密材料。 Tsukerman谈到了这些指控，《华尔街日报》于 2017 年 10 月 5 日在题为“俄罗斯黑客窃取美国国家安全局有关美国网络防御的数据”的报告中首次报道了这些指控。 “根据该报告，该事件发生于 2015 年，直到 2016 年初才被发现。据报道，被盗材料包括“有关美国国家安全局如何渗透外国计算机网络、其用于此类间谍活动的计算机代码以及如何保护美国境内网络的详细信息”。 2017年10月10日，《纽约时报》报道称，这些黑客行为是由以色列情报人员发现的，他们自己侵入了卡巴斯基的网络，并实时记录了用户计算机上关键字的查询方式。 卡巴斯基在一篇博客文章中强烈否认了这些指控。 弹弓行动：卡巴斯基揭露美国针对伊斯兰国和基地组织的情报行动 2018年，前情报官员协会（AFIO）转发了Cyberscoop的一篇文章，声称卡巴斯基揭露了一场由美国主导的网络间谍活动。 现任和前任美国情报官员对媒体表示，此次行动是针对伊斯兰国和基地组织成员的，代表了美国联合特种作战司令部（JSOC）下属的一项军事计划，该司令部是特种作战司令部（SOCOM）的一个组成部分。）。 ”卡巴斯基曝光的技术报告，关于所谓的Slingshot 事件，并没有提及这些行动背后的参与者的名字。“ Tsukuerm 谈到了这起事件时说。 卡巴斯基公开披露了“弹弓”行动，该行动通过被破坏的路由器破坏了非洲和中东多个国家的数千台设备，其中包括阿富汗、伊拉克 、肯尼亚、苏丹、索马里、土耳其和也门。”Tsukuerm 说。 “卡巴斯基的问题不仅在于工具，还在于其运营背后的政治和情报议程。” 卡巴斯基与国家安全局的游戏再次上演 美国国家安全局和卡巴斯基之间的“情报博弈”仍在继续上演。 2015 年 2 月 17 日，路透社报道卡巴斯基曝光了 NSA 网络间谍计划，该计划将间谍软件隐藏在西部数据、希捷、东芝和其他顶级制造商生产的硬盘中。虽然卡巴斯基没有公开提及该活动背后的机构，但他们表示，该机构与美国国家安全局领导的网络武器“震网”密切相关。 卡巴斯基在报告中表示，它发现 30 个国家的个人电脑感染了一种或多种间谍程序，其中伊朗感染最多，其次是俄罗斯、巴基斯坦、阿富汗、中国、马里、叙利亚、也门和阿尔及利亚。卡巴斯基表示，这些目标包括政府和军事机构、电信公司、银行、能源公司、核研究人员、媒体和伊斯兰活动人士。 “这一爆料只是卡巴斯基无情揭露的一系列揭露西方间谍活动的独家新闻之一。”Tsukuerm 说。 爱德华·斯诺登-卡巴斯基链接？ 2015 年 6 月， The Intercept发布了爱德华·斯诺登的新文件后，国际媒体报道称，美国国家安全局和英国政府通信总部 (GCHQ) 一直在使用黑客技术瞄准卡巴斯基。 Tsukuerm 表示，这些文件为斯诺登最初的泄密事件增添了一个有趣的进展。 “他们透露，美国国家安全局与政府通讯总部一起针对卡巴斯基，显然卡巴斯基一直在与美国和英国安全机构进行某种情报游戏，尽管卡巴斯基声称自己是一家私营公司”。 ZDNet等科技媒体随后报道称，根据这些新泄露的文件，美国国家安全局和英国政府通讯总部“据报道自 2008 年以来一直在对卡巴斯基实验室和其他反病毒安全公司进行逆向工程。 “国家安全局和政府通信总部显然对卡巴斯基的一些软件进行了逆向工程。”Tsukuerm 说。 “这些事件证实了反病毒软件可以用作间谍软件工具的概念，并在间谍软件生产者和情报机构之间更复杂的行动和对峙中重新出现。” 当爱德华·斯诺登逃往香港和后来的俄罗斯时，许多人认为他不仅仅是一名举报人，事实上，他在逃离美国之前曾被外国情报机构招募。虽然没有具体证据证明这些指控，但情报界的一些人仍然有他们的发言权。 在中央情报局工作了 32 年的资深人士杰克·迪瓦恩 (Jack Devine) 2014 年告诉Politico，斯诺登是他在俄罗斯招募的“那种人”。 “俄罗斯人在寻找机密信息来源方面也毫不懈怠。他们也在寻找斯诺登一家。你不必回溯太远就能看到他们以独特的方式成功招募美国间谍。” 反恶意软件卡巴斯基技术的工作原理 与任何其他防病毒或反恶意软件一样，卡巴斯基安全解决方案会拦截对文件的每次访问，并扫描其中是否存在已知的恶意软件和病毒。Tsukuerm 解释了这项技术如何对国家安全构成威胁。 “该组件在操作系统启动时启动，持续保留在计算机的 RAM 中，并扫描在计算机和所有连接的驱动器上打开、保存或启动的所有文件。”Tskurman 说。 “但是，由于扫描可以访问计算机系统上最敏感的数据，因此它可以轻松收集私人数据，就像用于检测已知威胁一样。” 美国政府多次声称此类技术构成威胁，因为如果 FSB 要求提供这些数据，像卡巴斯基这样的俄罗斯公司将不得不遵守并共享客户数据。 此外，专家表示，通过定期软件更新，可以自动安装恶意负载、恶意软件、间谍软件和后门。 Tsukuerm 解释说，正如本报告中已经提到的，卡巴斯基还暴露了 NSA 的全球业务并对 NSA 工具进行了逆向工程。 “（卡巴斯基）反病毒软件并不是唯一已知的威胁。事实证明，卡巴斯基泄露美国情报运作和各种工具的逆向工程同样令人担忧。” 美国会继续禁止外国数字业务吗？ 针对卡巴斯基的行动——尽管采取了与TikTok 禁令（现已通过国会）不同的道路——似乎标志着美国控制国家数字空间的历史性新行动。 Techopedia 询问Tsukuerm ，美国政府的这一趋势是否会继续下去，以及在不久的将来是否会禁止更多组织。 “在有关据称针对美国官员的报道以及强烈的游说禁止这些软件之后，美国打击了几家以色列和与以色列有联系的商业间谍软件公司，例如NSOGroup、Cundiru和Intellexa Consortium 。”Tsukuerm 说。 “从大局来看，美国政府甚至会很容易干预私人网络安全领域，这取决于利害攸关的内容以及这些信息的呈现方式。” “毫无疑问，美国政府可能会在不久的将来继续进行干预。”Tsukuerm 补充道。 “在当前不断升级的气候下，对俄罗斯、某国和伊朗等彻底敌对国家的可疑公司的审查可能会稍微加快，但正如记录所示，可能与美国商业间谍软件行业竞争的友好公司仍然更多在当前框架下，与与敌对外国情报机构有联系的公司相比，这些公司更有可能成为彻底禁止的目标。” 底线 美国政府针对卡巴斯基产品采取的行动源于对该公司与俄罗斯情报机构的关系及其软件构成的潜在国家安全风险的长期担忧。 该创始人的克格勃背景和据称与俄罗斯联邦安全局的联系引发了对该公司中立性的怀疑。 此外，这家总部位于莫斯科的公司也曾饱受争议。卡巴斯基对美国情报活动的曝光以及其自身涉嫌参与网络间谍活动进一步削弱了信任。 这不是一个孤立的事件——它反映了美国更广泛的政策转变，政府对外国数字业务，尤其是那些被视为威胁的业务采取了更积极的立场。 卡巴斯基并不是第一家面临美国禁令的大公司，也可能不会是最后一家，特别是在与俄罗斯和其他国家的紧张关系持续升级的情况下。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/Sfp3HSiULiVN0NKvpmoBmQ 封面来源于网络，如有侵权请联系删除

有消息称：美国电话电报公司（AT&T）正在向5100万名新老客户发出通知，警告他们的个人信息已在一个黑客论坛上被泄露。但是，该公司尚未透露黑客如何获取了这些数据。 该通知与最近大量AT&T客户数据在Breach黑客论坛上被售卖有关。此前在2021年，就有黑客以100万美元的价格出售了这些数据。 2021年，威胁行为者ShinyHunters首次公开售卖这些AT&T数据。当时，AT&T告知媒体，这些数据不属于他们，而且他们的系统未受到入侵。 2024年3月，另一名代号“MajorNelson”的威胁行为者在黑客论坛上公开了整个数据集。AT&T再次告知媒体，这些数据并非源自他们，他们的系统没有受到入侵。 直到外媒BleepingComputer、TechCrunch报道确认这些数据属于AT&T和DirectTV帐号，且包含AT&T帐号密码后，AT&T终于承认这些数据属于他们。 受影响用户低于泄露数量，源于一人多帐号 AT&T目前确认受影响的客户数量只有51226382名，低于泄露数据集包含的超过7000万人信息。 官方通知中提到：“（泄露的）信息因个人和帐号而异，可能包括全名、电子邮件地址、邮寄地址、电话号码、社会安全号码、出生日期、AT&T帐号和密码。” “据我们了解，个人财务信息和通话记录未泄露。到目前为止的调查表明，泄露数据似乎不晚于2019年6月。” BleepingComputer联系AT&T，询问为何受影响客户数量与泄露人数存在如此大的差异，AT&T回应称数据集中部分人拥有多个帐号。 AT&T表示：“我们正在向每位敏感个人信息被泄露的人发送通知。部分人在数据集中有多个帐号，而其他人则没有敏感个人信息被泄露。” 泄露源头未知，将提供身份保护服务 AT&T至今未公开黑客如何窃取数据的细节，也未解释为何花费将近五年时间才确认数据来源并通知客户。 此外，AT&T向缅因州检察长办公室表示，他们最早是在2024年3月26日得知此次泄露事件，但媒体早在3月17日就已联系AT&T询问此事，且相关信息早在2021年就已经开始出售。 AT&T在通知中附有说明，表示将通过Experian提供为期一年的身份盗窃保护和信用监控服务。然而，这种保护措施可能来得太迟，因为这些数据已在私下流传了多年。服务申请截止日期为2024年8月30日，受影响的客户应尽快行动以保护自己。 AT&T敦促收件人保持警惕，监控他们的帐号和信用报告以寻找可疑活动，并更加小心地处理未经请求的通信。 由于承认在安全方面有疏忽，且在核实数据泄露消息和通知受影响客户方面存在严重延迟，AT&T在美国正面临多起集体诉讼。 考虑到数据在2021年即被窃取，网络犯罪分子有充足的机会利用这些数据针对性地攻击受影响的AT&T客户。 不幸的是，这些数据已被泄露给更广泛的网络犯罪社区，使得AT&T的新老客户面临的风险大大增加。   转自安全内参，原文链接：https://www.secrss.com/articles/65203 封面来源于网络，如有侵权请联系删除

美国网络安全机构 CISA 周四发布了一项紧急指令，要求所有联邦机构立即寻找已知的俄罗斯 APT 的迹象，该 APT 闯入微软公司网络并窃取美国政府机构的敏感信件。 该指令是在微软披露了令人尴尬的黑客攻击事件并确认“Midnight Blizzard（午夜暴雪）”攻击者还窃取了源代码并且可能仍在其内部计算机系统中进行攻击之后不到三个月的时候发布的。 根据CISA 指令，联邦机构必须立即“分析被窃取的电子邮件的内容，重置受损的凭据，并采取额外措施确保特权 Microsoft Azure 帐户的身份验证工具的安全。” CISA 表示：“Midnight Blizzard 成功入侵了 Microsoft 公司电子邮件帐户，并泄露了各机构与 Microsoft 之间的通信，这给各机构带来了严重且不可接受的风险。” 该机构警告说，俄罗斯政府支持的黑客正在利用最初从企业电子邮件系统窃取的信息（包括微软客户和微软通过电子邮件共享的身份验证详细信息）来获得或试图获得对微软客户系统的额外访问权限。 该机构表示，它与全球最大的软件制造商合作，通知所有与微软的电子邮件通信被确定被Midnight Blizzard黑客组织入侵的联邦机构。 CISA 表示：“此外，微软已向 CISA 表示，对于部分受影响的机构，其泄露的电子邮件包含凭据或密码等身份验证机密，微软将向这些机构提供此类电子邮件的元数据。” 该机构表示，微软还同意应国家网络调查联合工作组 (NCIJTF) 的要求，提供所有被窃取的联邦机构信件的元数据，无论是否存在身份验证秘密，该工作组是本次事件的单一联邦联络点。 今年早些时候，微软表示，专业黑客团队使用密码喷射攻击入侵了一个遗留的非生产测试租户帐户并获得立足点，然后利用该帐户的权限访问了极小比例的微软企业电子邮件帐户。 “他们窃取了一些电子邮件和附加文件，”微软在向美国证券交易委员会（SEC）提交的文件中表示。该公司表示，其安全团队于 2024 年 1 月 12 日检测到黑客对我们公司系统的攻击，并将感染追溯到 2023 年 11 月。 CSRB 报告称：“微软的安全文化不够充分，需要进行彻底改革，特别是考虑到该公司在技术生态系统中的中心地位以及客户对公司保护其数据和运营的信任程度。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/NvHSDzCgQiVS1clATCMt8A 封面来源于网络，如有侵权请联系删除

美国网络司令部（USCYBERCOM）去年派出工作人员前往十多个国家参加所谓的“hunt forward（向前狩猎）”行动，其中包括监视和威慑对手。 美国网络司令部司令兼国家安全局局长Timothy D. Haugh将军本周向参议院军事委员会分享了这一信息。 美国网络司令部的网络国家任务部队（CNMF）负责通过威慑、破坏和击败对手的行动在网络空间保卫美国。 网络部队的搜寻任务包括前往盟友和合作伙伴并帮助他们检查其网络是否存在入侵和漏洞。 去年，CNMF 人员参加了 17 个国家的 22 次前向搜寻行动，目标是限制对手、帮助合作伙伴加强网络防御，并为美国自身的防御提供见解。 Timothy D. Haugh在证词中说： “在司令部历史上，这是第一次在所有地理司令部责任区同时进行主动搜寻行动。” “这些任务导致公开发布了 90 多个恶意软件样本，供国家网络安全社区进行分析。此类披露可以使世界各地数十亿互联网用户的上网更加安全，并挫败对手的军事和情报行动。”他补充道。 关于前向搜寻操作的信息并未共享。 2022 年 5 月，美国网络司令部在帮助立陶宛保护政府网络后表示，自 2018 年以来已开展了 28 次搜寻行动。到 2023 年末，这一数字增加到 55 次，当时 CNMF 宣布对 27 个国家的超过 75 个网络开展行动。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/ewcINyzWMW9ohMIsPtVDUw 封面来源于网络，如有侵权请联系删除

据hackread报道，美国环境保护署(EPA)近日发生大规模数据泄露事件，超过850万用户数据遭泄露。化名“USDoD”的黑客上周日宣布对该事件负责，并声称泄露了EPA的客户和承包商的个人敏感信息。 泄露850万用户详细信息安全研究网站Hackread.com分析了泄露的数据库，发现其中包含三个压缩文件，总计500MB的数据，均为CSV格式。这三个文件的名称分别为“联系人”(包含3,726,130条记录)、“联系人交互”(包含9,952,374条记录)和“员工”(包含3,325,973条记录)。所有这些文件中都包含“邮政编码”、“全名”、“电话号码”、“电子邮件地址”和“县、市、州”等常见字段，但“联系人”文件中还包含“传真号码”和“邮寄地址”等额外字段，“联系人交互”文件中则包含“电子邮件域”和“公司名称和地址”等额外字段，而“员工”文件中则包含“营业地址”、“公司名称”和“相关行业”等额外详细信息。过滤重复记录后，泄露账户总数接近850万(具体为8,460,182)。社会工程是主要黑客攻击手法 这不是USDoD首次侵入美国联邦系统，此前该黑客在RaidForums上使用“NetSec”的别名，因针对美国陆军和国防承包商的“#RaidAgainstTheUS”攻击活动而名声鹊起。 根据USDoD的官方X账号信息，其黑客手法严重依赖社会工程学，尤其是冒充他人。该黑客还经常冒充重要人物来获取知名实体的访问权限。 2022年12月，USDoD发布了InfraGard的黑客数据。InfraGard是联邦调查局(FBI)与私营企业合作的伙伴关系项目，泄露的数据包含了InfraGard大约8.7万名成员的个人详细信息。随后，USDoD利用一名土耳其航空公司员工的被盗凭证，泄露了3200家空中客车供应商的数据。 安全公司SOCRadar透露，USDoD是一名30多岁的南美洲男子，早些时候的报道(2月份)将其描绘成亲俄的黑客，但该黑客后来否认了这一点，称其与俄罗斯的关联纯粹是商业行为，与政治无关。 USDoD在Telegram上维护着一个频道，专门用于向关注者通报其最近的黑客活动，并发布泄露数据的销售链接。4月7日，USDoD发布了两条关于EPA泄露事件的帖子。内容是“我获得了美国联邦司法管辖区的数据，这会让InfraGard看起来像业余黑客的把戏。”第二条帖子发布于当天晚些时候，内容是“晚上好，各位。Epagov的数据库已经共享，总共包含1500万行数据。” 灾难性的一季度，美国关键基础设施频遭攻击 2024年一季度美国政府和关键基础设施行业的网络安全记录可谓是灾难性的，重大攻击事件层出不穷，例如： 一月份，著名金融科技公司EquiLend成为大规模勒索软件攻击的受害者，该事件还导致了数据泄露，暴露了敏感的员工信息。 三月份，IntelBroker黑客组织对美国联邦承包商Acuity Inc.发起网络攻击，导致美国公民及移民服务局(USCIS)和美国移民及海关执法局(ICE)的关键记录被曝光。尽管Acuity Inc.最初否认，但最终承认了此次黑客攻击。 今年二月，同一黑客攻击了洛杉矶国际机场的安全系统，泄露了250万私人飞机所有者的个人数据。此后不久，三月份，美国运通也披露了一起涉及第三方承包商的重大数据泄露事件，影响了其持卡人。 最近一次重大数据泄露事件发生在2024年4月4日，当时黑客组织IntelBroker在BreachForums上泄露了超过2.2名家得宝（Home Depot）员工的个人数据。   转自GoUpsec，原文链接：https://mp.weixin.qq.com/s/P514pEMnb6aEHocqodrLog 封面来源于网络，如有侵权请联系删除

根据美国卫生与公众服务部（HHS）的报告，黑客正针对整个医疗保健和公共卫生（HPH）部门的IT服务台发起攻击。 最近，卫生部门网络安全协调中心（HC3）注意到黑客正在采用社会工程策略，针对卫生部门的IT服务台展开攻击，旨在获取目标组织的初步访问权限。 攻击者利用本地区号拨打电话联系目标组织的IT服务台，冒充担任财务职务的员工。他们提供了身份验证所需的敏感信息，包括目标员工的社会安全号码（SSN）和公司ID号码的最后四位数字，以及其他人口统计详细信息。 攻击者可能从专业网站和开源情报活动获取这些详细信息。他们声称由于手机损坏，无法登录或接收多重身份验证（MFA）令牌。接着，欺骗IT服务台注册新设备的多重身份验证中，以获取对公司资源的访问权限。 在获取对目标组织的初始访问权限后，黑客着重于获取付款人网站的登录凭据，以修改付款账户的ACH详细信息。随后，他们利用受损的员工电子邮件账户进行支付劫持。 根据HC3扇区警报，黑客在获得访问权限后，专门瞄准付款人网站的登录信息，并填写了一份表格以更改付款人账户的ACH详细信息。随后，他们利用所获取的员工电子邮件账户向支付处理商发送指令，将合法付款转移到受攻击者控制的美国银行账户，接着将资金转移到海外账户。 此外，黑客还注册了一个带有目标组织单字母变体的域名，并创建了一个冒充目标组织首席财务官（CFO）的账户。 根据警报，黑客在某些情况下尝试利用人工智能语音模拟技术作为其社会工程策略的一部分。其中引用的研究显示，25%的受访者表示曾经遭遇或了解某人成为人工智能语音克隆骗局的受害者。 该警报还指出，报告中描述的社会工程技术与2023年9月针对酒店和娱乐行业组织的攻击中使用的技术相似。这些攻击是由名为Scattered Spider（也称为UNC3944）的黑客发起的。 本次攻击旨在利用ALPHV（也称为BlackCat）勒索软件感染目标基础设施。然而，UNC3944尚未对针对卫生部门的攻击负责。 同时，该警报包含了医疗保健组织可能采取的缓解措施，以防止针对IT服务台的攻击。以下是一些建议的行动： 要求回拨员工记录的电话号码，并执行密码重置和新设备注册的验证流程。 监控任何可疑的 ACH 更改并重新验证所有访问付款人网站的用户。 实施政策，要求联系员工主管以核实这些请求。 培训服务台工作人员识别和报告社会工程技术和鱼叉式网络钓鱼尝试，并引导他们在怀疑并验证呼叫者身份时采取适当的措施。   消息来源：securityaffairs，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

美国癌症治疗和研究中心 City of Hope 本周开始通知超过 800,000 人，他们的个人和健康信息在数据泄露中受到损害。 City of Hope 是美国国家癌症研究所 (NCI) 指定的综合癌症中心，总部位于加利福尼亚州杜阿尔特，但在美国各地拥有临床实践地点和办事处网络。 该中心在给受影响个人的通知信中指出，数据泄露发生在 2023 年 9 月 19 日至 10 月 12 日期间，该通知信的副本已提交给缅因州总检察长办公室。 在此期间，未经授权的第三方访问了 City of Hope 系统的子集，并复制了一些包含受影响个人信息的文件。 该组织表示，被盗数据包括姓名、出生日期、电子邮件地址、电话号码、驾照号码、身份证号码、社会安全号码、银行账号、信用卡详细信息、健康保险信息和医疗信息。 希望之城的通知信中写道：“虽然没有迹象表明此事件导致任何身份盗窃或欺诈，但我们想让您知道发生了什么，以及我们采取的应对措施。” 发现这一事件后，癌症中心立即采取措施控制事件，通知执法和监管机构，并聘请网络安全公司来提高其系统的安全性。 受影响的个人将获得为期两年的身份监控服务。 City of Hope 告诉缅因州 AGO，超过 80 万人受到数据泄露的影响。该中心表示，其中一些人是在 2023 年 12 月收到有关该事件的通知，但直到 2024 年 3 月下旬才确认全部身份。   转自安全客，原文链接：https://www.anquanke.com/post/id/295325 封面来源于网络，如有侵权请联系删除

美国网络安全和基础设施安全局(CISA)本周四发布了关键基础设施企业如何向政府报告网络攻击的规定草案。 新规基于拜登2022年3月15日签署的美国《关键基础设施网络事件报告法案》(简称CIRCIA)。这是美国联邦政府首次提出一套跨关键基础设施部门的全面网络安全规则。CISA正在就规则草案征求公众意见，为期60天。 CISA估计，未来11年该规定的合规成本将达到26亿美元，即每年约2.3亿美元，其中行业成本为14亿美元，联邦政府成本为12亿美元。 白宫官员们希望该法案和执行规则能让各行业关键基础设施企业及时提交网络安全事件报告，从而更好地识别攻击模式，确定网络犯罪分子和国家黑客使用的攻击策略，改进防御手段。 “72小时新规”遭企业强烈反对 根据新规，拥有和运营关键基础设施的公司需要在72小时内报告重大网络攻击，并在24小时内报告勒索软件支付情况。 该规定一经发布就遭到大量公司反对，这些公司称早期评估攻击很困难。他们还担心披露太多细节可能会泄露事件响应过程和网络防御的细节，这有利于攻击者。 企业还指出，他们必须遵守各个联邦机构多如牛毛（数十个）报告要求，以及州数据泄露法律。 谁需要遵守新规？ CISA表示，该规定适用于任何拥有或运营美国政府归类为关键基础设施的系统的所有者，例如医疗、能源、制造业和金融服务业。该规定还将适用于那些不运营关键基础设施，但其系统可能对特定行业关键基础设施造成影响的企业，例如服务提供商。 CISA估计，将有超过31.6万个实体受到新规监管，“在未来十年内将总共提交约21万份CIRCIA报告”。 CISA在其长达447页的草案中表示：“来自广泛实体的报告对于提供关键基础设施领域网络环境的充分可见性至关重要，这也是CIRCIA旨在促进的。” 根据美国小企业管理局(SBA)标准，收入和员工人数达标的小型组织将获得豁免。 曾领导CISA的新冠病毒特别工作组两年的网络安全专家JoshCorman对CISA的监管范围划分提出质疑。他指出，新规仅关注大型组织，忽视了小公司在许多行业中发挥的关键作用。例如，美国许多医院和医疗器械公司的规模都低于CIRCIA规定的规模。按照新规，只有100张以上床位的医院才需要遵守新规，这将排除绝大多数医疗机构。 什么是“重大”网络安全事件？ 新规要求企业在72小时内报告“重大”网络攻击，并在24小时内报告勒索软件支付情况。 对于“重大”网络安全事件的界定，CISA认为，涉及非法访问系统并导致停机或运营严重受损的攻击将触发报告要求的门槛。 例如，暂时阻止客户访问公司公共网站的分布式拒绝服务(DDoS)攻击不会被视为重大攻击，成功但被迅速阻止且未造成影响的网络钓鱼攻击也不会被视为重大攻击。然而，针对关键功能/业务造成重大停机的DDoS攻击，或者通过第三方提供商凭证未经授权访问公司系统的情况将符合标准。 但CISA表示，并非所有网络安全事件都会触发报告义务。这包括由第三方服务提供商在服务器配置中出现的一些错误，如果没有造成严重停机，则无需报告。另一个例外是公司明确批准的外部承包商（例如渗透测试人员）对网络防御进行的测试。 最后，CISA鼓励企业报告所有网络安全事件，无论是否达到监管标准。 新规与其他报告要求有何不同？ CISA新规的72小时的报告时限要求远高于美国证券交易委员会(SEC)的“四日新规”。SEC要求公司在确定网络攻击将对其运营产生重大影响后，最迟在四个工作日内进行报告，并且这些报告将通过监管文件公开。 CISA给出的时间窗口窄很多，但与SEC的公开流程不同，CISA将对安全事件报告进行保密处理，并按季度发布汇总的匿名统计数据。 CISA表示正在采取措施使其监管要求与其他要求保持一致，并且在某些情况下允许企业用CIRCIA报告替代其他报告。其他规定在实质上必须相似，CISA必须执行跨机构协议才能做到这一点。 不遵守规定会受到处罚吗？ CISA可以追究行政处罚。如果CISA认为一家公司遭受了网络攻击或支付了赎金却没有报告，它可以发出信息请求，然后在必要时发出传票强制披露。如果一家公司无视传票，CISA还可将此事提交给司法部长进行民事诉讼。 故意向联邦政府提供虚假陈述可能会导致罚款和监禁。CISA表示，他们不会将网络攻击开始时出于善意提供的，此后被证明不准确的信息视为虚假陈述。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/w5sbRM60YpEkEFP0dZq8DA 封面来源于网络，如有侵权请联系删除

彼得森健康保险公司经营本就陷入严重困境，但去年10月自身遭受勒索软件攻击、今年2月重要供应商Change Healthcare也遭受勒索软件攻击，两起事件让公司更是雪上加霜，最终向法院提出破产申请。 安全内参消息称：美国最大的养老院运营商之一彼得森健康保险公司（Petersen Health Care），因遭受网络攻击和政府支持贷款违约，正式向特拉华州破产法院提出破产申请。这一决定进一步凸显了该公司长期存在的财务困境。 这家健康保险公司请求根据《美国破产法》进行破产保护。截至目前，该公司的负债总额超过2.95亿美元，其中包括由美国住房和城市发展部（HUD）担保的4500万美元医疗设施贷款。 公司经营陷入严重困境 法庭文件显示，彼得森健康保险公司未能按时偿还HUD保险贷款，导致贷款机构将其部分物业置于托管状态。这一情况进一步扰乱了公司的日常运营。 该公司表示，将在破产期间正常运营，并寻求重组债务。 首席重组官David Campbell在一份声明中表示：“我们将致力于重组为一个资本结构更加灵活、更为强大的公司，继续提供最优质的护理服务，成为员工心中的可靠雇主。” 彼得森健康保险公司在伊利诺伊州、密苏里州和艾奥瓦州运营90多家养老院，拥有近4000名员工，可为6796名居民提供服务。在2023年，该公司的收入超过了3.397亿美元。 该公司提供的老年护理服务包括助理居住、技术性护理、临时护理、记忆护理、临终关怀、当地医疗运输、放射学和药店服务，并在两处设施为智力和发展障碍人群提供护理。 在网络攻击和HUD贷款违约之前，该公司本就面临多项长期挑战，如农村地区养老院需求长期下降、新冠疫情后合格护理人员的竞争加剧，以及因2015-2017年伊利诺伊州预算困难导致的未报销医疗补助计划（Medicaid）成本积压。 彼得森健康保险公司表示，自新冠疫情爆发以来，农村地区老年人转向家庭护理的趋势尤为明显。 根据2023年8月美国医疗保健协会的数据，全美已有579家养老设施关闭，导致45217张床位消失。 网络攻击让公司运营雪上加霜 彼得森健康保险公司曾尝试重组债务，但2023年10月遭受的勒索软件攻击对重组进程造成了影响。攻击后，公司不得不更换服务器、电子邮件地址和软件，导致大量业务记录丢失，给客户和保险公司的开票带来了“难以想象的困难和延迟”。 不久之后，作为彼得森健康保险公司主要付款方的美国联合健康集团（UnitedHealth Group）旗下的Change Healthcare也遭受了勒索软件攻击，进一步加剧了该公司的财务困境。彼得森健康保险公司表示，Change Healthcare在调查此次攻击期间，对包括该公司在内的提供商的付款进行了推迟或暂停。 网络攻击部分导致彼得森健康保险公司未能按时支付HUD贷款，随后贷款机构将该公司19处设施置于托管状态。该公司已努力将这些地点转交给托管人控制，但在同时处理更大的债务问题时，难以满足“托管人一次又一次提出新要求”。 目前，彼得森健康保险公司已获得4500万美元的破产贷款，用于支付其在第11章破产案件期间的运营费用。   转自安全内参，原文链接：https://www.secrss.com/articles/64699 封面来源于网络，如有侵权请联系删除

安全内参消息称，美国民主党参议员Mark R. Warner日前提出《2024年医疗保健网络安全改进法案》，建议针对满足最低网络安全标准的医疗提供商，在网络事件后提供预付款和加急付款。 这项立法是对Change Healthcare遭受勒索软件攻击做出的回应。此次攻击导致美国全国医疗提供商结算服务中断，使许多提供商面临财务破产风险。据美国医院协会报告统计，几乎所有医院都感受到了此次事件对其财务或患者护理服务的影响。 这项法案提出者Mark R. Warner是参议院财政委员会成员，也是参议院网络安全小组的共同主席。法案提出，修改现有的《医疗保险医院加急付款计划》和《医疗保险B部分预付款计划》，要求卫生与公众服务部长确定付款需求是否由网络事件导致。   该法案提出，如果付款需求确为网络事件导致，接收付款的医疗提供商必须满足部长确立的最低网络安全标准，才有资格收到付款；如果提供商的中介是事件目标，中介也必须满足部长确立的最低网络安全标准，提供商才能收到付款。这些规定将在方案生效后两年内实施。该法案规定：“自2024年《医疗保健网络安全改进法案》生效之日起两年后，如果部长确定网络事件导致医院中介的运营中断或医院运营出现异常情况，造成严重的现金流问题，只有医院满足部长确立的最低网络安全标准，方可向该医院提供加急付款；如果受影响的是医院中介的运营，只有中介满足部长确立的最低网络安全标准，提供商才能获得付款。”法案进一步规定：“自本法案生效之日起两年后，如果卫生与公共服务部长确定网络事件导致根据第742号联邦法规的421.214节（或任何后续法规）描述的计划付款，只有服务提供商或供应商满足部长确立的最低网络安全标准，方可向服务提供商或供应商提供这些付款；如果提供商或供应商的中介是此类事件的目标，只有中介满足部长确立的最低网络安全标准，方可向服务提供商或供应商提供这些付款。” 医疗行业极为脆弱，需要针对性保护措施 参议员Warner在媒体声明中说：“我一直在警告医疗保健领域的网络安全问题。能够中断全国范围内患者护理能力的重大攻击早晚会发生。最近Change Healthcare黑客攻击事件提醒我们，整个医疗行业都很脆弱，需要提高防御水平。这项法案将为提供商和供应商提供一些重要的财务激励，帮助他们采取行动。” 他还强调，在极少数情况下，某些无法控制的事件（比如新冠疫情）会给医疗保险A部分的提供商（如急诊医院、康复护理机构和其他住院护理设施）和B部分的供应商（包括医生、非医生从业者、耐用医疗设备供应商和其他提供门诊服务的人员）带来现金流困难。 自20世纪80年代以来，美国医疗保险与医疗补助服务中心（CMS）通过加急付款和预付款（AAP）计划为这些计划参与者提供临时财务救济。救济期间，这些提供商和供应商从联邦政府获得预付款，后续政府会通过扣留后续索赔的付款的形式收回资金。 2022年，Warner参议员撰写了一份政策选择文件《网络安全即患者安全》，概述了当前医疗提供商和系统面临的网络安全威胁，并提供了一系列政策解决方案供讨论，以改进整个行业的网络安全。自发布以来，Warner参议员与跨党派同僚成立了医疗保健网络安全工作组，负责审查并提出潜在的立法解决方案，从而加强医疗和公共卫生领域的网络安全。   转自安全内参，原文链接：https://www.secrss.com/articles/64725 封面来源于网络，如有侵权请联系删除