据研究数据显示，今年第一季度勒索软件行为者陷入困境，因为越来越多的公司拒绝支付勒索金，导致 2024 年第一季度只有 28％ 的公司支付了赎金，这是有记录以来的最低点。这一数字在 2023 年第四季度是 29％ ，Coveware 的统计数据显示自 2019 年初开始支付额持续减少。这种减少是由于组织实施了更加先进的保护措施、不屈服于勒索者财务要求的法律压力日益增加，以及网络犯罪分子多次违背了赎金支付后不公开或转售被盗数据的承诺。 然而，需要注意的是，尽管支付率下降，给勒索软件行为者的支付金额却比以往任何时候都要高，根据 Chainalysis 的报告，去年达到了11 亿美元。 这是因为勒索软件团伙通过提高攻击频率和要求更高的金额来避免暴露被盗秘密并向受害者提供解密钥匙，从而影响了更多的组织。 关于 2024 年第一季度，Coveware 报告，平均赎金支付额环比下滑 32％ ，现在为 381,980 美元，而中位数赎金支付额环比上涨 25％ ，为 250,000 美元。 平均和中位数赎金支付额同时下降和上升表明高额支付的减少和适中金额的增加。这可能是由于勒索要求变得更加谦逊和/或少有高价值目标屈服于勒索。 关于最初的渗透方式，报告上半年几乎有一半的情况都是未知的。 在那些已确定的情况中，远程访问和漏洞利用起了最大的作用，其中 CVE-2023-20269，CVE-2023-4966 和 CVE-2024-1708-9 漏洞在第一季度被勒索软件操作者更广泛地利用。 执法效应 Coveware 报告显示，FBI 的 LockBit 干扰对这个曾经领先的操作产生了巨大影响，这反映在他们的攻击统计数据中。该行动也给其他主要团伙带来了动荡，导致支付纠纷和退出骗局，就像我们看到的 BlackCat/ALPHV 一样。 此外，这些执法行动削弱了其他勒索软件附属机构对 RaaS（勒索软件即服务）经营者的信心，许多人决定独立运营。 “我们已经看到了最近攻击中 Babuk 分支的增加，以及几个前 RaaS 附属机构使用无处不在且几乎免费的 Dharma / Phobos 服务，”  Coveware 在报告中解释。 根据安全公司的说法，附属机构在许多情况下决定完全退出网络犯罪。 “网络敲诈生态系统中的大多数参与者并不是顽固的犯罪分子，而是拥有 STEM 技能的个体，生活在缺乏引渡条约的司法管辖区内，与此同时缺乏足够合法的经济机会来使用他们的技能，” Coveware 继续说。 “这些人中的一些人可能会认为增加的陷入困境的风险以及被切断收入的风险足以让他们退出。” 在这个不稳定的领域中，Akira 以第一季度发起的攻击最为活跃的勒索软件位居榜首，现已连续九个月位于第一位。 FBI 本周报告称，Akira 至少对 250 个组织负有责任，勒索了 4200 万美元的赎金。   转自E安全，原文链接：https://mp.weixin.qq.com/s/cBmJ0AHEkU6TdEkyPXrABw 封面来源于网络，如有侵权请联系删除

4 月 23 日，国际医疗诊断和试验巨头 Synlab 的意大利分公司因遭受勒索软件攻击，被迫关闭其 IT 系统，目前所有医学诊断和试验服务均已暂停。 Synlab 集团总部位于德国慕尼黑，在全球 30 个国家开展业务。其意大利分公司的网络覆盖 380 个实验室和医疗中心，每年进行 3500 万次医疗分析，年营业额达 4.26 亿美元。 该公司在上周末宣布，在 4 月 18 日凌晨遭到安全入侵，为限制破坏活动，所有计算机不得不关闭。 公司在声明中表示：“在发现入侵事件后，IT 部门立即执行了公司的安全程序，从网络中隔离了公司的所有基础设施，并关闭了所有机器。” 尽管公司尚未确认，但一些敏感的医疗数据可能已经被攻击者获取。 “作为《通用数据保护条例》第28条规定的数据处理者，我们通知您，目前我们不能排除此次攻击可能影响到为您提供的服务或您的治疗方案中的个人数据。” ——Synlab意大利分公司 由于这一事件，所有的实验室分析和样本收集服务都已经暂停，直至另行通知。由于电子邮件服务已停止，客户被建议通过电话与 Synlab 联系。 Synlab 在遭受网络攻击之前收到但尚未进行分析的医学样本都已储存在每个案例所需的低温条件下。然而，如果系统恢复所需时间过长，客户可能需要重新提交样本。 该公司在周末发布更新，通知客户已开始逐步重新启动一些服务，包括专科门诊访问和物理治疗。 与此同时，公司正在努力确保 IT 基础设施上不再存在恶意软件，并从备份中恢复系统。 状态更新中写道：“目前，Synlab 特别工作组正在分析包括备份系统在内的所有IT基础设施的每个部分，以便尽快安全地恢复系统。” 该公司没有提供具体的恢复时间表，而是鼓励客户查看网站或关注 Synlab 的社交媒体渠道以获取最新信息。 截至本文撰写之时，尚无任何大型勒索软件团伙宣称对 Synlab 意大利分公司的网络攻击负责。   转自安全内参，原文链接：https://www.secrss.com/articles/65543 封面来源于网络，如有侵权请联系删除

一名暗网用户声称对印度著名文具产品制造商 Luxor International Private Limited 的数据泄露事件负责。 Luxor 数据泄露事件于 2024 年 4 月 19 日首次被发现， nuovo BreachForums 的邮箱管理员披露了据称属于 Luxor 数据库的泄露情况。 泄露的数据最初分享在 Telegram 频道 Leakbase ，包含了 692 MB 的 SQL  数据，涵盖大量敏感信息。暴露的数据包括名字、姓氏、出生日期、散列密码、账单和运输详细信息、税务信息等。 涉嫌 Luxor 数据泄露暴露敏感数据库 Luxor 数据泄露包括注册在 Luxor 网站上的个人信息，这意味着泄露的数据可能是真实的。如果被盗数据被证实是真实的，此次泄露可能导致信任丧失、财务损失、声誉受损、身份盗窃、运营中断和潜在的欺诈，不仅影响到公司本身，还包括其客户和利益相关者。 据称受到影响的 Luxorwriting Instruments Private Limited 和 Luxor International Private Limited 已被通知此次泄露事件。 Luxor 在印度次大陆开展业务，其泄露事件不仅对国内客户造成影响，还影响了其在亚太地区的客户和合作伙伴。 此外，邮政局的动机尚不清楚，因为黑客并未分享有关泄露的任何意图或动机，而且被盗的数据似乎仅限于客户，因为它仅包含来自 Gmail 帐户而不是组织的业务帐户的数据。 解读 Luxor 数据泄露 一篇归因于邮政局的公开帖子提供了对 Luxor 数据泄露的见解，将 Luxor 描述为“印度书写工具行业的领军品牌”。该帖子包括文件名（luxor.in.sql）和大小（未压缩的692 MB），为泄露的数据规模提供了参考。 泄露的数据似乎包括结算信息或交易记录，它们被分成不同条目，且包含各种字段。这些字段可能包括标识符、时间戳、数值和文本数据，这表明存在着一个管理结算相关活动的综合系统。   消息来源：thecyberexpress，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

一月份美国德克萨斯州一小镇供水系统溢出遭黑客攻击，目前调查得出，该事件疑似与一个神秘的俄罗斯黑客组织有关。这是美国公用事业公司成为外国网络攻击目标的最新案例。 本次袭击是针对德克萨斯州狭长地带乡村小镇的三起袭击事件之一。当地官员表示，公众没有面临任何危险，这些企图已报告给联邦当局。 Hale 中心城市经理 Mike Cypert 表示：“在四天内，我们的防火墙遭受了 37,000 次登录尝试。由于该市采取了手动操作并关闭了系统，黑客攻击未能成功。” 他指出，被攻击小镇Muleshoe位于西部约60英里处，人口约5000人。黑客攻击导致供水系统溢出，但随后该系统被关闭，并由官员手动接管。目前事件已迅速处理解决，水消毒系统未受影响，公共供水系统和公众没有受到任何危险。 本周，美国网络安全公司 Mandiant 发起的至少一起攻击与一个神秘的俄罗斯黑客活动组织有关。猜测该组织可能与俄罗斯军事黑客组织有合作，或者其本身就是俄罗斯军事黑客组织的一部分。 该组织自称为“CyberArmyofRussia_Reborn”，声称对一月份美国和波兰供水设施遭受的袭击负责，这些袭击当时几乎没有受到关注。 网络安全研究人员表示，CyberArmyofRussia_Reborn 涉嫌与俄罗斯政府有联系。去年，这些组织对乌克兰及其盟友进行了攻击，其中包括导致网站暂时离线的拒绝服务数据攻击。 微软去年12月在报道中指出，有时这些组织声称对实际上由克里姆林宫军事情报黑客实施的攻击负责。 Hale 中心城市经理 Mike Cypert 表示，他已向联邦调查局（FBI）和国土安全部（DHS）转达了信息。 联邦调查局（FBI）拒绝就此发表评论，国土安全部（DHS）旗下的网络安全和基础设施安全局（CISA）将问题转交给了目标城市。 去年11月，伊朗国家集团对美国供水设施进行了黑客攻击。随后，CISA发布了一份咨询报告。伊朗国家集团表示，他们的目标是使用以色列设备的设施。 该国副国家安全顾问 Anne Neuberger 去年12月表示，针对伊朗黑客的攻击以及针对医疗保健行业的一系列勒索软件攻击，政府应该对公用事业和行业采取行动，以此加强网络安全。 今年三月，美国环境保护局局长Michael S. Regan和总统国家安全事务助理Jake Sullivan 致信各州州长，要求他们采取措施保护供水。 Regan和Sullivan 提出：“饮用水和废水系统作为生命线关键基础设施部门，由于往往缺乏采取严格的网络安全实践所需的资源和技术能力，因此成为网络攻击的吸引目标。”     消息来源：securityweek，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

据称，俄罗斯网络军对 Consol Energy 发起网络攻击。Consol Energy 是一家总部位于宾夕法尼亚州塞西尔镇的美国著名能源公司。据报道，Consol Energy 扰乱该公司网站的可访问性，给美国境外用户带来大量问题。该网站现已恢复上线并正常运行。 Consol Energy 涉足农业和采矿业，在国家能源供应链中发挥着至关重要的作用，贡献了超过 10 亿美元的收入，并为数千人提供了就业机会。此次网络攻击凸显出能源领域网络攻击的日益严重。 亲俄黑客声称 Consol Energy 遭受网络攻击 黑客的帖子暗示了他们的动机，指出 Consol Energy 是欧洲能源市场的竞争对手并从乌克兰冲突中获得利益。 然而这并不是 Consol Energy 第一次成为网络攻击的目标。 2023 年，Cl0p 勒索软件组织声称对该公司的类似攻击负责。尽管发生了这些事件，Consol Energy 仍继续在其社交媒体渠道上发帖，并为该国的电力供应做出贡献。 金融分析师观察在观察网络攻击对 Consol Energy 股票的影响。 Hedge_Your_Risk 首席交易员 Justin Spittler 表达了对煤炭股的见解，强调了 CONSOL Energy 尽管近期下跌，但仍具有韧性的特点。 然而，网络攻击导致的股价下降的影响程度仍不确定，有待该公司发表官方声明。 俄罗斯网络军重生并正在进行调查 针对 Consol Energy 的网络攻击是针对全球能源公司的网络攻击的一部分。就在上个月，“俄罗斯重生网络军”声称对斯洛文尼亚的政府机构和公共广播公司的网络攻击负责。 在视频中，该组织暗示袭击是由斯洛文尼亚对乌克兰的支持造成的。该信息是以斯洛文尼亚语发出的，并通过当地新闻传播，这一信息旨在提醒俄罗斯人和斯洛文尼亚人不要对此怀有敌意，因为这是他们共同的传统。   转自安全客，原文链接：https://www.anquanke.com/news 封面来源于网络，如有侵权请联系删除

最新微软报告显示，与朝鲜有关的黑客组织开始应用人工智能技术，提高其网络行动的效率和效果。 报告指出，这些黑客正在学习利用基于大语言模型（LLM）的 AI 工具，增强网络攻击活动的成效。 “他们利用这些工具来加强针对朝鲜半岛问题专家的鱼叉式网络钓鱼活动，这一手法不断明智且高效。” 微软在报告中指出。微软特别提到了一个名为 Emerald Sleet（亦称为Kimusky或TA427）的黑客组织，观察到其使用 LLM 技术帮助提升针对朝鲜半岛专家的网络钓鱼攻击力度。 该报告还提到，这些黑客利用 AI 技术的最新进展来研究安全漏洞，并对专注于研究朝鲜问题的组织和专家进行侦查。 此外，微软表示它们还运用了 LLMs 来解决技术难题、执行基础脚本任务和撰写网络钓鱼邮件内容，并和 OpenAI 合作封禁了相关的威胁账户和资产。 根据研究人员发布的报告显示，Kimusky 利用看似友好的对话开始方式，与目标展开长期的沟通，以获取重要信息。 Kimusky 的常见手法是使用与智库和非政府组织相关的身份来使其恶意邮件看起来更加合法，提高了攻击的成功率。 近月来，这个国家支持的黑客组织还开始滥用宽松的基于域的消息认证体系（DMARC），通过伪装各种身份和植入网页信标（即追踪像素），以便绘制目标人物的概况，显示出它们对策略调整具有的敏捷性。 “这些网页信标主要用于最初的侦察工作，验证目标邮箱是否有效，同时收集关于收件人网络环境的一些基本信息，比如外部可见的 IP 地址、用户的浏览器类型，以及他们打开邮件的时间。”报告中说。 这一事态发展正值朝鲜黑客组织继续从事加密货币抢劫和供应链攻击之际，一名被称为 Jade Sleet 的威胁者与2023 年 6 月从爱沙尼亚一家加密公司盗窃至少 3500 万美元以及从一家加密货币公司盗窃超过 1.25 亿美元有关。一个月后，新加坡的加密货币平台出现了。 Jade Sleet，与其他被跟踪的黑客团伙 TraderTraitor 和 UNC4899 有重叠，也在 2023 年 8 月对在线加密货币赌场发动攻击，并使用假冒的 GitHub 仓库和恶意 npm 包来选择性攻击加密货币和科技企业的员工。 在 2023 年 8 月，一个位于德国的 IT 公司遭到了名为 Diamond Sleet（别名Lazarus Group）的黑客组织的侵害，然后在 11 月通过对台湾一家 IT 公司的软件进行供应链攻击。 微软威胁分析中心（MTAC）的负责人Clint Watts表示：“这样做主要是为了为该国的武器计划筹集资金，同时也为了收集有关美国、韩国和日本的情报。”Lazarus Group 还以使用复杂方法而著称，比如在 Windows 系统中利用 Phantom DLL 劫持技巧以及在 macOS 系统中操纵透明度、许可和控制（TCC）数据库，这些手法进一步展示了其狡猾和难以捉摸的特性，据安全公司Interpres Security的分析。 这些发现发生在 Konni（又名Vedalia）组织使用 Windows 快捷方式（LNK）文件传播恶意软件的背景下。赛门铁克公司提到：“该黑客组织利用双重扩展名技巧隐藏真正的.lnk扩展名，并且在 LNK 文件中填充了大量的空白字符，以掩盖恶意指令行。在攻击过程中，这些命令行脚本会努力检测 PowerShell 以逃避侦测，并寻找潜藏在文件中的恶意载荷。”   转自E安全，原文链接：https://mp.weixin.qq.com/s/BCr2neSRqn6JIXJAcT72KA 封面来源于网络，如有侵权请联系删除

近日，一个被全球主流银行和超过 300 个政府情报机构使用的“风控数据库”（又称恐怖分子数据库）发生数据泄露，530 万条高风险个人信息落入犯罪分子手中并在网上泄露。 全球最大的“黑名单”之一 泄露的数据库名为 World-Check，汇总了数以百万的非法分子（高风险人物）和实体信息，例如恐怖分子、洗钱者、不端政客等，供企业验证用户可信度（KYC），尤其是银行等金融机构用来验证其客户的身份，确定潜在客户是否可能与洗钱等金融犯罪有关，或是否受到政府制裁。 World-Check 从公开来源（例如官方制裁名单、监管执法名单、政府来源和值得信赖的媒体出版物）汇总数据，以订阅方式提供给全球主流银行和政府情报机构（需要通过严格的审核流程并签署保密协议）。其中包含大量敏感人物信息，例如皇室成员、国家黑客组织成员、宗教人士、受制裁的政府官员和实体等。 World-Check 数据库泄露可能会对全球金融业的安全审核程序产生重大影响。毕竟，没有一家银行愿意与洗钱者扯上关系。 被第三方泄露 据 The Register 报道，上周四黑客组织 GhostR 宣称对数据库泄露事件负责。负责维护 World-Check 数据库的伦敦证券交易所集团(LSEG)的发言人后来证实了这一说法。 LSEG 发言人表示，数据泄露事件确实发生，但是通过第三方泄露的。 “这不是针对 LSEG 或我们系统的安全漏洞，” LSEG 发言人说道：“此次事件涉及第三方的数据集，其中包含一份 World-Check 数据文件的副本。该副本是非法从第三方系统中获取的。我们正在与受影响的第三方联络，以确保我们的数据安全，并确保通知任何相关执法机构。” 根据 TechCrunch 的报道，GhostR 声称 3 月份入侵了一家能够访问 World-Check 数据库的新加坡公司，但并未透露公司名称及其与 World-Check 的关系。 1万条泄露数据样本流出 黑客组织 GhostR 并未透露窃取数据的动机，但在回复 The Register 的邮件中表示将很快开始泄露数据库。GhostR 声称第一次泄露将包含数千人的详细信息，其中包括“皇室成员”。 为验证其说法的真实性，GhostR 向 The Register 提供了1万条被盗数据的样本供查阅核验。据称整个数据库总共包含超过 500万条记录。 研究者快速浏览样本后发现，该名单上来自不同国家的大量个人和实体因各种原因被列入其中，包括政治人物、法官、外交官、恐怖分子嫌疑人、洗钱者、毒品大王、网站、企业等。 一些网络犯罪嫌犯也出现在名单上，其中包括本月才进入数据库的国家 APT 黑客组织成员，一家来自塞浦路斯的间谍软件公司也出现在样本中。 根据 GhostR 提供的泄露数据样本，World-Check 原始数据包括社会安全号码、银行账号、加密货币账户、护照、全名、个人类别（例如有组织犯罪成员或政治人物）、有时还包括具体职务、出生日期和地点（如果已知）、其他已知的别名、性别以及出现在名单上的原因简要说明。 八年前发生过一次泄露 这并不是 World-Check 数据库第一次发生重大泄露事故。在 World-Check 还属于汤森路透旗下资产时，其早期版本曾在 2016 年发生过泄露，当时仅泄露了220 万条记录（远远低于本次泄露的 530 万条）。该数据库当时在网上被公开贩卖，每份副本售价 6750 美元。汤森路透证实了这一泄密事件，指出泄露的记录“已经过时”，并报道称这些记录在发现后已被第三方删除。 值得注意的是，尽管 World-Check 数据声称是从可靠来源汇总而来，但过去曾有无辜人士被添加到 World-Check 名单上。在 2016 年第一次泄露时，调查发现其数据存在不准确之处，并且将许多人错误地列为恐怖分子。 如何检查个人信息是否在 World-Check 数据库中 2021 年，LSEG（伦敦证券交易集团）以 270 亿美元收购了金融数据公司Refinitiv，World-Check 归 LSEG 所有。 担心个人信息可能包含在（泄露）数据库中的人可以向 LSEG 提交查询（详情）。伦敦证券交易所网站指出，主体有权索取其所持有的任何个人信息的副本、要求更新个人信息并反对处理其个人信息，并且请求无需支付任何费用。 该网站还指出，LSEG可能并不总是能够满足请求，如无法满足请求将提供解释。   转自GoUpSec，原文链接：https://www.goupsec.com/news/16192.html 封面来源于网络，如有侵权请联系删除

近日，黑客组织 FIN7 针对美国一家大型汽车制造商的 IT 部门的员工发送了鱼叉式钓鱼邮件，并利用 Anunak 后门感染了该系统。 据黑莓公司的研究人员称，该攻击发生在去年年底，依赖于二进制文件、脚本和库（LoLBas）。黑客重点攻击了那些具有高级权限的员工，并通过链接到冒充合法的高级 IP 扫描器工具的恶意 URL 引诱他们“上钩”。 黑莓公司根据使用独特 PowerShell 脚本的情况，确信这些攻击是 FIN7 所为，这些脚本使用了对方标志性的 “PowerTrash “混淆 shellcode 调用器，这种方式最早曾在 2022 年的一次攻击活动中出现过。 之前FIN7 的目的是暴露 Veeam 备份和 Microsoft Exchange 服务器，同时在该企业的网络中部署 Black Basta 和 Clop 勒索软件。 FIN7使用鱼叉式网络钓鱼电子邮件发起攻击 FIN7 向美国某大型汽车制造商 IT 部门的多位高权限员工发送了鱼叉式网络钓鱼电子邮件。邮件中包含 “advanced-ip-sccanner[.]com”链接，但事实上这其实是个虚假的 “advanced-ip-scanner.com “合法扫描仪项目。 研究人员发现，假冒网站会重定向到 “myipscanner[.]com”（现已下线）。访问者接下来会被带到一个提供恶意可执行文件（’WsTaskLoad.exe’）的 Dropbox 页面，该文件伪装成 Advanced IP Scanner 的合法安装程序。 该文件一旦被执行，就会触发一个涉及 DLL、WAV 文件和 shellcode 执行的多阶段进程，从而加载并解密一个名为 “dmxl.bin “的文件，其中包含 Anunak 后门有效载荷。 Anunak/Carbanak 是 FIN7 常用的恶意软件工具，其他常用的还有 Loadout、Griffon、PowerPlant 和 Diceloader。 同时，WsTaskLoad.exe 安装了 OpenSSH 以实现持久访问，并创建了一个计划任务。FIN7 以前也曾使用 OpenSSH 进行横向移动，但黑莓公司称在他们分析的活动中没有发现这种情况。 研究人员没有透露受害组织的名称，他们仅将其描述为 “一家位于美国的大型跨国汽车制造商”。FIN7 自 2013 年开始出现，但只是在过去几年才转向更大的目标，典型的最终有效载荷是勒索软件。在勒索软件的背景下，转而攻击更大的组织是合理的，因为它们可以支付更大的赎金。 黑莓公司表示，FIN7 的攻击未能扩散到最初感染的系统之外，而是进入了横向移动阶段。建议该企业适当给员工提供有关网络钓鱼的安全培训，降低安全风险。 同时，应在所有用户账户上实施多因素身份验证（MFA），即使攻击者成功窃取了访问凭证，也很难访问员工的账户。此外，使用强大、唯一的密码，保持所有软件更新，监控网络可疑行为，添加高级电子邮件过滤解决方案等基础防御措施也有助于防范各类攻击。 网络钓鱼数量激增且花样百出 Egress 的最新报告提到，在众多网络安全问题中，网络钓鱼攻击正大行其道。尤其是冒充攻击普遍存在，其中有 77% 会伪装成知名平台进行诈骗攻击，特别是 DocuSign 和 Microsoft 。社会工程策略愈演愈烈，占网络钓鱼攻击的 16.8%，而网络钓鱼电子邮件的长度自 2021 年以来增长了三倍，这可能归因于生成式 AI 的使用。 多渠道攻击利用了工作消息传递应用程序的流行，特别是Microsoft Teams和Slack。总的来说，这些应用程序占此类攻击第二步的一半。与上一季度相比，仅 Microsoft Teams 在 2024 年就大幅增长了 104.4%。 如今快速发展的人工智能也成为网络犯罪的有力工具，渗透到攻击的各个阶段。该报告预测，在视频和音频格式中使用深度伪造将激增，从而放大了网络攻击的复杂性。 尽管技术取得了进步，但安全电子邮件网关 （SEG） 仍然落后，到 2024 年初，逃避检测的攻击增加了 52.2%。这凸显了在面对不断变化的威胁时采取适应性网络安全措施的必要性。 据统计，千禧一代成为了网络犯罪分子的主要目标，37.5%的网络钓鱼电子邮件将他们视为了攻击目标。这种情况在金融、法律和医疗保健等领域尤为明显。同时，社工攻击策略也在不断变化，比如围绕情人节等事件的个性化定制攻击，这也进一步凸显了网络威胁的演变。   转自FreeBuf，原文链接：https://www.freebuf.com/news/398441.html 封面来源于网络，如有侵权请联系删除

供一次性使用的廉价勒索软件正在暗网论坛上出售，这让缺乏经验的自由职业者无需与附属机构进行任何互动即可参与网络犯罪。 网络安全公司 Sophos 情报部门的研究人员发现，2023 年 6 月至 2024 年 2 月期间，四个论坛上共有 19 种勒索软件可出售或正在开发。 他们将网络犯罪工具比作“垃圾枪”——20 世纪 60 年代和 1970 年代充斥美国的廉价进口手枪。虽然这些武器往往不可靠，但它们仍具有一些优势，例如门槛低和可追溯性低。 这些相同的优势也适用于勒索软件入门套件市场上的潜在网络犯罪分子。研究人员观察到的比特币品种范围从 20 美元到 0.5 美元不等，在发布时约为 13,000 美元。平均价格中位数为 375 美元。 因为不存在希望从中分一杯羹的附属机构，一次性网络犯罪工具与勒索软件即服务模式并不同。 研究人员表示：“不同于现代勒索软件复杂的基础设施，垃圾枪勒索软件让犯罪分子能够以廉价、轻松且独立的方式参与行动。” “他们可以针对小公司和个人，因为他们不太可能有资源来保护自己或者能有效应对事件，所以不会给其他任何人带来影响。” 虽然这种自由听起来很有吸引力，但与廉价的无证手枪的情况一样，也存在风险：即工具本身要么有缺陷，要么“作为骗局的一部分存在后门”。 然而，在潜在的犯罪分子看来，“这些大概是可以接受的风险——尤其是因为使用垃圾枪勒索软件最终可能会为著名的勒索软件团伙带来更有利可图的就业机会，”他们写道。 这些工具在野外的功效尚不清楚。可供调查人员监控的基础设施很少，而且攻击者的目标很可能是小型企业或个人，导致宣传很少。此外，攻击者没有被盗数据的泄露站点。 据观察，去年美国和欧洲受到的攻击中至少使用了一种出售的工具 EvilExtractor ，且论坛上声称其他三种变体也已被使用。 Sophos X-Ops 总监 Christopher Budd 强调了这些工具给防御者带来的挑战。 “由于攻击者用这些变体针对中小型企业，且赎金要求很小，因此大多数攻击可能不会被发现并上报。这也给防御者留下了情报空白，而安全界必须填补这一空白，”他说。 出售勒索软件的暗网论坛上的讨论显示出操作的业余性质。与知名度较高的暗网网站不同，这些论坛上似乎没有愚蠢的问题，“对于那些渴望发展自己能力的人来说，他们可以为自己分一杯羹。” 研究人员观察到用户请求分享操作指南的副本，其中包括著名勒索软件运营商 Bassterlord 编写的勒索软件手册。 一名用户在论坛上发帖称，他们正在尝试一些新的东西：“用有针对性的网络钓鱼获得立足点，接着收集尽可能多的有价值的数据并运行勒索软件。” 他们写道：“从潜在的收益、缺乏后援和立足的机会来看，谁又知道哪些是可能好一些目标。” “我们非常感谢关于此类操作建议的提出，因为这是我第一次实施勒索。”   转自安全客，原文链接：https://www.anquanke.com/post/id/295738 封面来源于网络，如有侵权请联系删除

随着 2024 年巴黎奥运会倒计时的开始，组织者围绕备受期待的盛大开幕式，正在做好准备应对潜在的网络安全威胁和迫在眉睫的恐怖主义幽灵。尽管面临着这些挑战，但人们对于组织者应对 2024 年巴黎奥运会的任何网络攻击充满信心。 定于 7 月 26 日至 8 月 11 日在巴黎举行的第三十二届夏季奥运会将受到当局和网络安全组织的密切监控，严密排查任何网络攻击和安全漏洞的迹象。 今年巴黎夏季奥运会负责防御网络威胁的团队负责人弗兰兹·雷古尔 (Franz Regul) 十分清楚其中的风险。雷古尔在巴黎奥组委总部的办公室发表讲话，预计未来会发生一些不可避免的事情：“我们将受到攻击。” 2024 年巴黎奥运会网络攻击风险及预防措施 在配备服务器和监控屏幕的高科技房间里，很多像雷古尔这样的团队时刻警惕着 2024 年巴黎奥运会期间的任何网络攻击。巴黎运营中心甚至拥有红色警报系统，可以发出最严重的危险信号。 到目前为止，网络攻击仍没有中断。随着奥运会的临近，黑客攻击的频率和严重程度预计将急剧升级。与其他组织在没有具体时间表的情况下为 2024 年巴黎奥运会做好可能遭受网络攻击的准备不同，雷古尔的团队明确知道要应对影响的时间节点：7 月和 8 月。 虽然传统上重大赛事的安全问题主要围绕恐怖主义等物理威胁，但数字入侵的出现让网络攻击成为奥运会组织者首要关注的问题。 为了了解有关 2024 年巴黎奥运会网络攻击风险的更多信息，《网络快报》已联系该组织。 2024 年巴黎奥运会回复称，诈骗者会冒充 2024 年巴黎奥运会代表，瞄准毫无戒心的受害者实施行动。 2024 年巴黎奥运会的诈骗和网络攻击 2024 年巴黎奥运会发言人进一步解释了针对该赛事的网络攻击和诈骗的全部范围。在这些案件中，诈骗者冒充巴黎2024或On Location代表，采用虚假电子邮件、销售材料和法律文件等欺骗手段，引诱企业参与所谓的奥运场馆交易。 发言人表示，对奥运会和残奥会的呼吁正引发一些公司冒充巴黎 2024 年奥运会或巴黎 2024 年独家接待供应商 On Location ，用提供与奥运会相关的虚假服务进行诈骗。 这些诈骗者以餐馆、店主等人为目标，承诺在奥运会期间提供虚假的奥运会场馆的席位并索要押金。巴黎 2024 和 On Location 已采取法律行动，对进行欺诈、身份盗用和伪造等犯罪行为人提出刑事诉讼。 网络安全专家面临的最大挑战 即将举行的 2024 年巴黎奥运会预计将吸引超过 40 亿观众，这将带来巨大的网络安全挑战。来自 206 个国家的 1000 万观众、20,000 名记者和 15,000 名运动员齐聚巴黎，赛事的规模无疑放大了风险。 包括网络犯罪分子、黑客活动分子，甚至是国家资助黑客在内的一系列潜在网络威胁，都旨在破坏奥运会。他们的目标范围从支持新闻发布室和票务的 IT 系统到体育场入口系统、电视广播，甚至包括活动场地的电力供应。 据《纽约时报》引用的专家说法，俄罗斯、中国、朝鲜和伊朗等黑客组织和国家拥有先进的能力，不仅能够瘫痪计算机网络，还能瘫痪数字票务系统和活动计时系统。 2018 年韩国平昌冬奥会警醒了人们网络攻击对重大体育赛事的现实影响。开幕式期间的一次成功攻击造成了广泛的破坏：Wi-Fi 网络出现故障，奥运会官方手机应用程序出现故障，转播无人机也被停飞。 随着 2024 年巴黎奥运会的临近，网络安全成为人们关注的焦点。网络威胁有可能破坏这一全球盛事的完整性，让其无法顺利运作，这也突显了对潜在网络威胁进行强有力防御的迫切需要。   转自安全客，原文链接：https://www.anquanke.com/post/id/295746 封面来源于网络，如有侵权请联系删除