近日，黑客组织“匿名苏丹”声称对导致Cloudflare网站瘫痪的大规模分布式拒绝服务（DDoS）攻击负责。后经Cloudflare证实，DDoS攻击使其网站瘫痪了几分钟，并表明它不会影响其他产品或服务。 “需要明确的是Cloudflare没有漏洞。此次DDoS攻击没有影响Cloudflare提供的任何服务或产品功能，也没有客户受到此事件的影响。Cloudflare的网站有意托管在单独的基础设施上，不会影响Cloudflare服务。我们的网站功能齐全，运行良好。”该公司向媒体发布了一份声明。 匿名苏丹在其Telegram频道上取笑Cloudflare，并报道称攻击持续时间为1小时。 该组织Telegram频道上发布的消息写道：“使用cloudflare的公司，他们甚至无法保护自己的主网站，你认为他们可以保护你吗？没有任何保护措施可以阻挡我们的攻击。” “匿名苏丹”组织自2023年1月以来一直很活跃，它声称针对任何反对苏丹的国家。然而，一些安全研究人员认为，匿名苏丹是亲俄威胁组织Killnet的一个子组织。 威胁行为者依赖于访问多个虚拟专用服务器（VPS）以及租用的云基础设施、开放代理和DDoS工具。 6月初，微软的一些服务严重中断，包括Outlook电子邮件、OneDrive文件共享应用程序和云计算基础设施Azure。匿名苏丹声称对袭击该公司服务的DDoS攻击负责。 7月，匿名苏丹公司宣布，它窃取了3000万客户账户的凭据。 9月，匿名苏丹在Telegram暂停了该组织的账户后，对其发起了DDoS攻击。 本周，该组织对OpenAI进行了攻击，证实ChatGPT及其API周三遭受的中断是由分布式拒绝服务（DDoS）攻击造成的。 匿名苏丹声称最近通过天网和哥斯拉僵尸网络发起了DDoS攻击。 天网于2012年首次被发现，此后发展成为世界上最大的僵尸网络之一。据估计，天网已在全球范围内感染了100多万台设备。 哥斯拉僵尸网络至少自2021年以来一直活跃，它被用来发动大规模分布式拒绝服务（DDoS）攻击，以及窃取登录凭据和挖掘加密货币。 据估计，哥斯拉僵尸网络已在全球感染了超过100000台设备，每秒能够产生超过100千兆比特的DDoS流量。       转自E安全，原文链接：https://mp.weixin.qq.com/s/sYcBTRanUUySB0wjUO49IQ 封面来源于网络，如有侵权请联系删除

2016年是“伊斯兰国”组织占领伊拉克第二大城市摩苏尔的第二年。他们盘踞于此，通过互联网筹集资金、招幕人员、传播信仰，擅长对战场通信进行伪装的高等级黑客以及狡猾的网络犯罪分子成为其中的骨干成员。 当以美国为首的联军部队和伊拉克安全部队准备解放摩苏尔时，削弱甚至剥夺“伊斯兰国”组织对互联网的使用就面为重中之重的核心任务。 “我们很迅速地做出判断，认为‘伊斯兰国’组织拥有的巨大优势之一是能够随心所欲地对全球网络进行使用，同时，使用互联网也是他们的重要战略内容。所以我们很坚定地认为，应该剥夺他们对互联网的使用，应该阻止他们。” 澳国安制定断网战术 负责互联网情报的澳大利亚信号局（ASD）挑起了破坏、阻止或限制“伊斯兰国”组织使用互联网的重担。 2016年6月，当伊拉克安全部队和联军部队发起“山谷之狼”行动（Operation Valley Wolf），沿底格里斯河河谷向摩苏尔推进时，澳大利亚信号局承担起为他们开辟和保障安全通道的任务。 行动发起前，澳大利亚信号局在伊拉克沙漠地区进行了仔细的信号搜索，以确定在巴格达和摩苏尔之间活动的“伊斯兰国”组织武装分子。随后，该局负责网络攻击行动的操作员对武装分子使用的电子设备进行了分析，发现他们使用的加密应用软件类型多样，其中既包括相对小众的Surespot和 Wickr，也包括比较大众的WhatsApp和Telegram。 针对这种情况，澳大利亚信号局制定了一套“釜底抽薪”的网络战术，即不再针对武装分子正在使用的某个具体APP进行封堵或限制，而是要破坏或干扰这些APP对互联网的使用。同时，信号局还派遣一位化名“萨拉”的网络行动策划员前往美国马里兰州的美军网络司令部，帮助协调美国、澳大利亚和伊拉克三方的行动。 特制木马实现混合战效果 澳大利亚信号局用来破坏或干扰恐怖分子互联网使用权的工具被称为“光明之箭”（Light Bolt），即一组被植入“伊斯兰国”组织武装分子手机或电脑的秘密代码。 信号局植入这些代码的手段相当高明——既不需要目标点击文本信息，也不需要他们对钓鱼邮件进行回复。“一切都是在神不知鬼不觉的过程中完成的，”萨拉说。“‘光明之箭’是一种‘特洛伊木马’式的技术，代表着一种攻击型网络能力，或者说黑客能力，可以剥夺‘伊斯兰国’组织对互联网的连接。” 当伊拉克安全部队和联军部队沿底格里斯河谷推进时，澳大利亚信号局就会激活“光明之箭”，关闭或瘫痪“伊斯兰国”组织使用的各种电子系统。 根据需要，“光明之箭”可以调用不同网络工具对目标造成不同程度的破坏，其中最简单、破坏程度最轻工具被称为“瑞克摇滚”（Rickrolling）。这个名字来源于一种网络恶作剧，指目标会定向打开一个视频，内容是英国男歌手瑞克·阿斯特雷（Rick Astley）正在演唱流行单曲《永远不会放弃你》。 从本质上说，“瑞克摇滚”是一种制造麻烦的工具，不能对目标的通信造成永久损伤或破坏。解决这种麻烦的方法也很简单——只需要将电子设备关机再开机就行了。然而这种简单的动作对战场上的“伊斯兰国”武装分子是致命的。 “为了重启电子设备而离开阵地的恐怖分子，肯定就会暴露在我方士兵的枪口之下，”澳大利亚信号局高级网络操作员丹·贝克（Dan Baker）说。“所以，即便‘瑞克摇滚’只能造成很简单的网络效果，但如果和友军的作战行动配合默契，也能在某些场合带来意想不到的战果。” “山谷之狼”行动期间，网络操作员在澳大利亚信号局总部的地下室内24小时待命，随时准备激活“瑞克摇滚”或其他网络武器为伊拉克战场上的作战部队提供保护。前信号局局长迈克·伯吉斯（Mike Burgess）对此大为赞赏，称这很可能这是有史以来第一次常规武装力量网络操作人员进行远程实时协作。“用一种熟练、精确和及时的方式，通过网络空间与战场上的军队配合，很显然对澳大利亚来说是第一次，我想在世界范围内也是第一次，”他说。 持续对抗升级奠定作战效果 “伊斯兰国”组织想出解决“瑞克摇滚”的办法后，澳大利亚信号局也迅速推出升级方案，启用了一种需要更高技术水平才能破解的网络武器，即“爱心熊”；“爱心熊”被破解后，“暗黑之墙”紧接着登场。这件网络武器非比寻常，可以造成目标电子设备无法工作，让手机或电脑无法连接互联网。 接二连三的网络让“伊斯兰国”组织武装分子的手机几乎无法使用，不得不靠容易被侦测定位的无线电进行通信联络。这在无形中加速了他们的灭亡——无线电信号就像灯塔，明明白白地向联军的空中和地面打击火力标示了自己的位置。 到“山谷之狼”行动结束时，澳大利亚信号局共锁定47部手机或其他电子设备，并针对目标发动了81次网络打击，配合地面作战部队收复了卡亚拉赫西部空军基地（机场），为2017年1月最终收复摩苏尔建立了集结阵地。     转自 安全内参，原文链接：https://www.secrss.com/articles/55674 封面来源于网络，如有侵权请联系删除

据报道，斯堪的纳维亚航空公司今年第二次被亲俄罗斯的黑客组织 “匿名苏丹 “攻破，导致SAS网站和其航空公司的应用程序瘫痪数小时。 美国东部时间周三早上6:30左右，SAS的客户开始在Twitter上抱怨无法进入该航空公司的网站。 大约在同一时间，匿名苏丹黑客团伙将这条信息置顶在他们加密的Telegram频道。 随后，该组织提出3500美元的赎金来停止攻击。 该组织告诉SAS，他们有一个小时的时间与他们在Telegram上的匿名苏丹机器人进行谈判，否则他们可能会遭到一整天的连环攻击，以及泄露一些用户信息等。 在攻击期间，SAS在推特上对客户说，该航空公司的官方丹麦版网站仍在运行，用户可以登录使用。 令人哭笑不得的是，随后匿名苏丹组织发帖道，“谢谢你给我们你的另一个网站，让我们去破坏”。 根据SAS公司的网站，丹麦、挪威和瑞典的旗舰航空公司通常拥有每天800多个定期航班，飞往世界各地的130多个目的地。 今年2月，匿名苏丹黑客组织声称对该航空公司的攻击是针对瑞典的情人节攻击的一部分，使SAS网站瘫痪了几个小时，并泄露了敏感的乘客数据。 情人节的攻击还包括几个瑞典媒体机构。 该组织声称，攻击瑞典公司是为了报复一位知名的瑞典/丹麦政治家在1月份在斯德哥尔摩举行的支持瑞典加入北约的抗议活动中焚烧古兰经的行为。 最后可以确认，SAS网站和应用程序在整个周三的不同时段都处于离线状态，直到下午晚些时候仍处于离线状态。 匿名苏丹组织将持续存在 这个以苏丹为基地的黑客组织在今年1月首次出现，除了一些民族活动以外，似乎主要以宗教原因为目标。 众所周知，匿名苏丹组织与其他与俄罗斯有关的组织密切合作，如KillNet和一个新兴的黑客组织，被称为UserSec。 这三个团伙通常使用分布式拒绝服务（DDoS）攻击来攻击受害者，这些攻击通常会用流量请求淹没网站的服务器，导致网络过载并关闭。 除了在瑞典的攻击，最近该团伙还加入了针对北约和欧盟成员国的KillNet活动。 上个月，匿名者苏丹组织对以色列的关键基础设施发起了持续攻击。 在短短的一天内，以色列的四十多个组织遭到了网络攻击，包括以色列总理本雅明-内塔尼亚胡的个人网站和以色列臭名昭著的秘密间谍机构摩萨德。       转自 Freebuf，原文链接：https://www.freebuf.com/news/367508.html 封面来源于网络，如有侵权请联系删除

近日，美国、英国和思科警告由俄罗斯政府资助的 APT28 黑客在 Cisco IOS 路由器上部署名为“Jaguar Tooth”的自定义恶意软件，允许未经身份验证的设备访问。 APT28，也称为 Fancy Bear、STRONTIUM、Sednit 和 Sofacy，是一个与俄罗斯总参谋部情报总局 (GRU) 有联系的国家资助的黑客组织。这个黑客组织由于对欧洲和美国利益的广泛攻击，并且以滥用零日漏洞进行网络间谍活动而闻名。 在英国国家网络安全中心 (NCSC)、美国网络安全和基础设施安全局 (CISA)、美国国家安全局和联邦调查局发布的一份联合报告详细介绍了 APT28 黑客如何利用Cisco IOS路由器上的旧SNMP 漏洞部署名为“Jaguar Tooth”的自定义恶意软件。 自定义 Cisco IOS 路由器恶意软件 Jaguar Tooth 是一种恶意软件，直接注入到运行较旧固件版本的 Cisco 路由器的内存中。安装后，恶意软件会从路由器中泄露信息，并提供对设备的未经身份验证的后门访问。 NCSC公告警告说：“Jaguar Tooth是一种非持久性恶意软件，其目标是运行固件的 Cisco IOS 路由器：C5350-ISM，版本 12.3(6)。它包括收集设备信息的功能，通过 TFTP 泄露这些信息，并启用未经身份验证的后门访问。据观察，它是通过利用已修补的 SNMP 漏洞 CVE-2017-6742 进行部署和执行的。” 为了安装恶意软件，威胁参与者使用弱 SNMP 社区字符串（例如常用的“公共”字符串）扫描公共 Cisco 路由器。SNMP 社区字符串就像凭据，允许知道配置字符串的任何人查询设备上的 SNMP 数据。 如果发现有效的 SNMP 社区字符串，威胁参与者就会利用2017年6月修复的CVE-2017-6742 SNMP 漏洞。此漏洞是一个未经身份验证的远程代码执行漏洞，具有公开可用的利用代码。 一旦攻击者访问Cisco路由器，他们就会修补其内存以安装自定义的非持久性Jaguar Tooth恶意软件。 NCSC 恶意软件分析报告解释说：“当通过Telnet或物理会话连接时，这将授予对现有本地帐户的访问权限，而无需检查提供的密码。” 此外，该恶意软件创建了一个名为“Service Policy Lock”的新进程，该进程收集以下命令行界面(CLI)命令的输出并使用TFTP将其泄露： 显示运行配置 显示版本 显示 ip 界面简介 显示arp 显示 cdp 邻居 演出开始 显示 ip 路由 显示闪光 所有思科管理员都应该将他们的路由器升级到最新的固件以减轻这些攻击。 Cisco建议在公共路由器上从 SNMP切换到 NETCONF/RESTCONF 以进行远程管理，因为它提供更强大的安全性和功能。 如果需SNMP，管理员应配置允许和拒绝列表以限制谁可以访问公开路由器上的SNMP 接口，并且社区字符串应更改为足够强的随机字符串。 CISA 还建议在 Cisco 路由器上禁用 SNMP v2 或 Telnet，因为这些协议可能允许从未加密的流量中窃取凭据。 最后，如果怀疑某台设备遭到入侵，CISA 建议使用 Cisco 的建议来验证 IOS 映像的完整性，撤销与该设备关联的所有密钥，不要重复使用旧密钥，并使用直接来自 Cisco 的映像替换映像。 目标的转变 公告强调了国家资助的威胁行为者为网络设备创建自定义恶意软件以进行网络间谍和监视的趋势。 由于边缘网络设备不支持端点检测和响应 (EDR) 解决方案，因此它们正成为威胁参与者的热门目标。 此外，由于它们位于边缘，几乎所有企业网络流量都流经它们，因此它们是监视网络流量和收集凭据以进一步访问网络的有吸引力的目标。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/0SbA7wXgGuDajkAMoOxqZA 封面来源于网络，如有侵权请联系删除  

根据Check Point（全球顶尖Internet 安全解决方案供应商）研究表明，自俄乌冲突爆发以来，网络间谍组织Cloud Atlas加大了针对俄罗斯、白俄罗斯以及乌克兰和摩尔多瓦争议地区的活动。 该组织自2014年以来一直活跃，但自俄乌冲突爆发以来，它主要袭击了俄罗斯、白俄罗斯、德涅斯特河沿岸（摩尔多瓦的一个亲克里姆林宫的分离地区）以及俄罗斯占领的乌克兰领土，包括克里米亚、卢甘斯克和顿涅茨克。 据Positive Technologies（俄罗斯网络安全公司）的研究人员称，该组织的目标是间谍活动和窃取机密信息。目前暂不清楚谁是该组织的幕后黑手。 Check Point称，Cloud Atlas一直坚持其“简单但有效”的方法，这些方法并没有随着时间的推移而改变。该组织使用所谓的模板注入攻击，滥用Microsoft Word中的功能，向受害者发送恶意负载。这些文档通常是为特定目标而制作的，这使得它们几乎无法检测。 有证据表明，该组织在6月份对俄语组织进行了多次成功的入侵，而这些入侵是在攻击者已经完全访问了整个网络（包括域控制器）之后才被发现的。 根据Check Point的说法，在俄乌冲突之前，Cloud Atlas主要针对亚洲和欧洲的部委、外交实体和工业设施。Positive Technologies发现，其目标还包括阿塞拜疆、土耳其和斯洛文尼亚的政府机构。 Cloud Atlas通常使用带有恶意附件的网络钓鱼电子邮件来获得对受害者计算机的初始访问。这些文件精心制作，以模仿政府声明、媒体文章、商业建议或广告。 Positive Technologies称，.DOC格式可能不会被防病毒软件标记为恶意，因为文档本身只包含一个带有漏洞的模板链接。打开文档时，将自动从远程服务器下载此模板。   黑客大多使用Yandex、Mail.ru、Outlook.com等公共电子邮件服务，但有时他们会欺骗受害者可能信任的其他组织的现有域。例如，在最近的一次攻击中，黑客伪装成代表俄罗斯著名新闻媒体Lenta.ru写作。 大多数钓鱼信都与目标国家当前的地缘政治问题有关。例如，今年3月和4月，Cloud Atlas将目标对准了德涅斯特河沿岸地区，因为担心俄罗斯会试图扩大对该地区的控制，从西方袭击乌克兰。 在白俄罗斯，Cloud Atlas主要针对交通和军用无线电电子行业，在俄罗斯，它专注于政府部门和能源设施。 攻击者通过将目标列入白名单来严密控制谁可以访问他们的恶意附件。根据Check Point的说法，为了收集受害者的IP信息，Cloud Atlas首先向他们发送了侦察文件，其中除了对受害者进行指纹识别外，不包含任何恶意文件。 Positive Technologies的研究人员注意到，没有任何关于接受者的公开信息，“这可能表明袭击准备充分。” 研究人员说：“我们预测，该小组将继续运作，因为它再次引起了关注，从而增加了其工具和攻击技术的复杂性。” 转自 E安全，原文链接：https://mp.weixin.qq.com/s/1aXrndqQe2hqQc0slfMwhw 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，LockBit 黑客组织宣布从加州财政部盗取近 76GB 数据。目前，加州网络安全情报中心（Cal-CSIC）已着手调查此次网络攻击事件。 加州相关部门证实财政部数据泄露 据悉，加州州长紧急事务办公室已经证实了财政部遭受了网络攻击，并强调攻击事件发生不久后，通过与联邦安全合作伙伴协调，确定网络威胁后，迅速部署数字安全和在线威胁猎取专家，评估网络入侵的危害程度，以期控制、减轻网络攻击带来的影响。 值得一提的是，截至目前，尚不清楚此次攻击事件造成多大损失，也不清楚攻击者是采用何种技术侵入财政部。 LockBit 声称盗取近 76GB 数据 本周一，LockBit 黑客团伙在其泄密网站上发布消息称其攻破了加利福尼亚州财政部，盗取了数据库、机密数据、财务文件和 IT 文件。为了增加可信度，LockBit 组织还公布几张据称从加州财政部系统中渗出的文件截图。 （资料来源：BleepingComputer） 此外，LockBit 黑客团伙还发布了盗取数据的目录和存储文件数量截图。对话框显示超过 114000 个文件夹中有超过 246000 个文件，总计 75.3GB 的数据。 数据泄露网站上显示，数据“保护器”截止到 12月24 日前，一旦无法获得赎金，LockBit黑客团伙将公布所有被盗数据。 LockBit 黑客组织多次作案 10 月份，一名涉嫌与 LockBit 勒索软件团伙有关的 33 岁俄罗斯公民在加拿大安大略省被捕。据信，他在关键基础设施和大型工业组织上部署了勒索软件。欧洲刑警组织表示，该名男子参与许多高调的勒索软件案件”，共向受害者索要了 500 万至 7000 万欧元。 LockBit 黑客组织资金雄厚，是圈内第一个推出 bug 赏金计划的黑客团伙，为”寻找“漏洞，提供了高达 100 万美元的奖励，是勒索勒索软件领域目前最活跃的勒索软件之一。 此外，从以往案例来看，LockBit 黑客组织通常专注于勒索大公司，仅仅 2022 年，LockBit 受害者名单中就”囊括“了汽车巨头大陆集团（Continental）、安全公司 Entrust 和意大利国税局（L’Agenzia delle Entrate）。   转自 Freebuf，原文链接：https://www.freebuf.com/news/352448.html 封面来源于网络，如有侵权请联系删除

Deep Instinct的威胁研究团队发现了MuddyWater APT(又名SeedWorm、TEMP.Zagros和Static Kitten)进行的一项新活动，目标是亚美尼亚、阿塞拜疆、埃及、伊拉克、以色列、约旦、阿曼、卡塔尔、塔吉克斯坦和阿拉伯联合酋长国。 专家们指出，该运动展示了最新的TTP。 第一次MuddyWater攻击发生在2017年底，目标是中东地区的实体。 多年来，该组织不断发展，不断增加新的攻击技术。而后，该组织还将欧洲和北美国家作为攻击目标。今年1月，美国网络司令部(USCYBERCOM)正式将MuddyWater APT与伊朗情报与安全部(MOIS)联系起来。 Deep Instinct观察到，9月份开始的这次活动与过去的活动不同，它使用了一种名为“Syncro”的新远程管理工具。MuddyWater并不是唯一一个滥用Syncro的威胁者，该工具也被用于BatLoader和Luna Moth活动 APT小组使用HTML附件作为诱饵，并使用其他提供者托管包含远程管理工具安装程序的档案。 HTML附件通常被发送给收件人，而不会被防病毒和电子邮件安全解决方案阻止。 今年7月，威胁参与者被发现使用名为“promotion.msi”的安装程序提供的ScreenConnect远程管理工具。名字是“促销”。Msi也用于当前活动中雇用的安装人员。 此实例正在与另一个MuddyWater MSI安装程序进行通信，该安装程序名为Ertiqa.msi，这是一个以沙特人的名字命名的组织。在当前的浪潮中，MuddyWater使用了相同的名称。Ertiqa.msi，但与Syncro安装程序。”Deep Instinct的分析，“目标地理位置和部门也与MuddyWater之前的目标一致。综合来看，这些指标为我们提供了足够的证据，证实这就是MuddyWater。” Syncro提供了一个21天的试用，提供了一个功能齐全的web GUI来完全控制计算机。 “您选择MSP要使用的子域。”报告继续说道，“在调查MuddyWater使用的一些安装程序时，我们发现每封独特的邮件都使用了一个新的MSI。在大多数情况下，MuddyWater使用单个MSI安装程序的单个子域。” 专家们还分享了最近活动的妥协指标(ioc)。   转自 E安全，原文链接：https://mp.weixin.qq.com/s/Jt5MMngfkam7Xm53DWwB-A 封面来源于网络，如有侵权请联系删除

近期，一个名为8220组织的加密采矿团伙利用Linux和云应用程序漏洞将其僵尸网络扩大至30,000多台受感染的主机。该组织的技术并不高，但经济动机强，他们针对运行Docker、Redis、Confluence和Apache漏洞版本的公开系统，感染AWS、Azure、GCP、Alitun和QCloud等主机。该团伙以前的攻击依赖于公开可用的漏洞利用来破坏 Confluence 服务器。 在获得访问权限后，攻击者使用SSH暴力破解进一步传播并劫持可用的计算资源来运行指向无法追踪的加密矿工。 8220组织至少从2017年开始就活跃起来，起先其并没有获得多大的关注，但在一系列的大量感染案例之后，人们才发现忽视这些级别较低的威胁参与者是多么不明智，并且他们同样能给网络安全带来较大的威胁。 在SentinelLabs研究人员观察和分析的最新活动中， 8220组织在用于扩展其僵尸网络的脚本中添加了新内容，尽管缺乏专门的检测规避机制，但这段代码仍具有足够的隐蔽性。从上月底开始，该组织开始使用专用文件来管理SSH暴力破解步骤，其中包含450个硬编码凭证，对应于广泛的Linux设备和应用程序。另一个更新是在脚本中使用阻止列表来排除特定主机的感染，主要涉及安全研究人员设置的蜜罐。最后，8220组织现在使用其自定义加密矿工PwnRig的新版本，它基于开源门罗矿工XMRig。 在最新版本的PwnRig中，矿工使用伪造的FBI子域，其IP地址指向巴西联邦政府域，以创建伪造的矿池请求并掩盖所产生资金的真实目的地。加密货币价格的下跌迫使加密劫持者扩大其业务规模，以便他们能够保持相同的利润。尤其是门罗币，在过去六个月中已经损失了超过 20% 的价值。预计不断下降的加密货币价格将使加密劫持对威胁参与者的吸引力降低。但是，它将继续成为许多威胁参与者的收入来源。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/339622.html 封面来源于网络，如有侵权请联系删除

在多个政府机构遭到Conti勒索组织的网络攻击后，哥斯达黎加总统罗德里戈·查韦斯（Rodrigo Chaves）宣布全国进入紧急状态。该国上一次宣布进入紧急状态，还是在2020年应对新冠肺炎肆虐的时候。 据国外媒体报道，Conti勒索组织已经发布了所窃取的672 GB数据中的绝大部分内容，其中有很多都来自于哥斯达黎加各个政府机构。基于勒索攻击带来的严重影响，2022年5月8日，哥斯达黎加查韦斯签署了该命令，也正是这一天，查韦斯刚刚当选为第49任总统。 查韦斯表示，“哥斯达黎加遭受网络犯罪分子、网络恐怖分子的攻击，被迫宣布国家紧急状态。我们正在签署这项法令，宣布整个公共部门进入国家紧急状态。国家授权我们的社会将这些攻击作为犯罪行为来应对。” 哥斯达黎加社会保障基金 (CCSS) 发言人此前也表示，正在加大力度对Conti勒索软件的进行边界安全审查，防止CSS机构因此遭受勒索攻击。 截至5月9日，Conti勒索组织已经在其网站上泄露了97%的数据，其中有大量从哥斯达黎加政府机构窃取的数据： 在本次勒索攻击中，最先遭受Conti勒索组织攻击的机构是财政部，截止到目前尚未完整评估出此次事件的影响范围，以及纳税人信息、支付信息和海关系统的影响程度。早些时候，Conti勒索组织曾向哥斯达黎加索要1000万美元赎金，但是被政府拒绝了。 受到Conti勒索组织攻击影响的部门包括： 财政部 科学、创新、技术与电信部 劳动与社会保障部 社会发展与家庭津贴基金 国家气象研究所 哥斯达黎加社会保障基金 阿拉胡埃拉市各大学主校 目前有安全专家已经对一小部分泄露数据进行初步分析，结果显示源代码和SQL数据库确实来自政府网站。Conti攻击者“UNC1756”及其附属机构并未将此网络攻击归咎于民族国家黑客，而是单独声称对此负责并威胁要在未来进行“更严重的”攻击。 事实上，自4月18日以来，哥斯达黎加的政府程序、签名和邮票系统就已经被破坏，财政部的数字服务一直无法使用，这影响了整个“生产部门”。 查韦斯总统补充说：“我们签署了该法令，以便更好地保护自己，免受勒索组织攻击带来的伤害，这也是以此对国土的攻击。” 很难想象，一个国家会因为一个勒索组织的攻击就宣布进入紧急状态，同时也从侧面反映出Conti勒索组织是多么的丧心病狂，竟然敢公然挑衅政府部门，并对整个国家都造成了严重的影响。 目前，勒索攻击已经成为全球的威胁，无数国家和经济都有可能因此遭受巨大损失。对于Conti勒索组织的猖獗，美国也发布了高达1500万美元的巨额奖金，奖励那些提供关于Conti勒索组织领导层和运营商关键信息的人。 其中，1000万美元奖励给提供Conti勒索组织的攻击者身份和位置信息的人，另外500万美元则奖励给帮助警方逮捕的个人。 公开信息显示，Conti勒索组织发布了勒索即服务，与讲俄语的 Wizard Spider 网络犯罪组织（也以其他臭名昭著的恶意软件，包括 Ryuk、TrickBot 和 BazarLoader 等）存在关联性。 这已经不是该组织第一次入侵政府部门，此前他们还曾入侵爱尔兰卫生部 (DoH)，并索要2000万美元的赎金。2021年5月，FBI发出警告，Conti勒索组织正试图破坏美国十几个医疗保健和急救组织。 2021年8月，Conti勒索组织内部人员反水，泄露了其核心的培训材料、运营商的信息、部署各种恶意工具的手册等。但是经过几个月的时间，Conti勒索组织勒似乎并未因此元气大伤，而是继续发起各种网络攻击。 随着全球勒索攻击形势进一步加剧，我们也应该思考，如何建设好网络防护体系，并做好遭受勒索攻击之后的应急响应措施，以免因此而蒙受损失。 转自 Freebuf，原文链接：https://www.freebuf.com/news/332661.html 封面来源于网络，如有侵权请联系删除

俄罗斯关联的黑客组织 Stormous 声称已成功入侵可口可乐公司，并公开售卖大量数据。Stormous 表示窃取了 161GB 的财务数据、密码和账户，然后以 644 万美元或 1600 万个比特币的价格出售这些数据。 Stormous 在宣布成功入侵之前，曾在 Telegram 上发起投票，询问它应该针对哪家公司，而可口可乐公司获得了最多的选票。据 CISO Advisor 报道，被盗文件中包括金融数据、密码和商业账户。 Stormous 是黑客世界中的一个相对新成员，但在今年年初获得了关注。他们说他们从Epic Games 窃取了 200GB 的数据，后来当它宣布支持俄罗斯入侵乌克兰时成为头条。目前仍不清楚该组织的总部在哪里，The Record 报道说它的大部分信息都是用阿拉伯语。   转自cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1263867.htm 封面来源于网络，如有侵权请联系删除