据报道，总共有3943个Roblox开发者账户被泄露，但更令人担忧的是，除了成年人，13岁及以上的儿童也可以加入Roblox开发计划。 早在2021年，Roblox就遭遇了数据泄露，但该公司将这些信息隐瞒了至少两年。此次入侵主要影响了2017-2020年间为Roblox开发者举行的以往会议的与会者，他们现在面临着骚扰和身份盗窃等网络诈骗的风险。 7月18日，网站Have I Been Pwned的创建者特洛伊·亨特将数据曝光引起了公众的关注。根据亨特的推文，有几个人在网上向他透露了他们的私人信息。然而，亨特也表示，该漏洞的影响并没有超出Roblox的利基作弊社区。 该漏洞最初发生在2020年12月18日，大约3943个账户被泄露。暴露的数据包括姓名、用户名、电话号码、电子邮件ID、IP地址、家庭地址、出生日期和T恤尺寸等敏感细节。Roblox表示他们已经联系了所有受影响的个人。受影响较小的用户收到一封表达歉意的电子邮件；受影响更严重的用户，他们收到道歉的同时得到了一年的身份保护。 Roblox承认，第三方安全问题导致未经授权访问其创建者的个人数据子集。该公司已经与独立专家合作，展开调查，以确定这起事件的原因和影响。他们将向所有受影响的创作者发送一封电子邮件，告知补偿措施，并将警惕地监控和审查其网络安全系统和附属的第三方供应商。 必须注意的是，根据Roblox指南，除成年人外，13岁及以上的儿童也可以加入Roblox开发者计划。然而，这个平台并不是为未成年人设计的。这就是为什么数据泄露会产生深远影响的原因，因为根据2023年第一季度的盈利报告，Roblox的6600多万日活跃用户中约有43%是未成年人。 暴露电子邮件ID可能会使用户面临网络钓鱼或垃圾邮件活动。此外，有针对性的诈骗可以利用其他细节轻松发起。 在对Roblox漏洞的评论中，EMEA安全战略主管Samantha Humphries认为：“实施攻击的黑客可能不是在攻击Roblox，而是参加会议的人的个人账户和工作场所。与其单独攻击每个组织，对手可能认为攻破Roblox会更容易，特别是这不是该公司的第一次数据泄露事件。”她建议到：“为了减少未经授权的第三方访问的机会，应鼓励各组织制定供应商风险管理计划，彻底审查第三方，并要求追究责任，以保持警惕，并与强密码管理等最佳网络安全做法保持一致。” Roblox是一个广泛使用的平台，拥有大量的用户基础和开发者社区。但是，该平台因安全性差而受到批评。该公司声称要保护用户隐私和数据，但其试图将违规行为隐瞒这么长时间，损害了用户的信任。 用户在使用这些服务时应采取预防措施。始终定期更改密码并启用2FA身份验证。持续监控金融账户，及时发现可疑活动。     转自E安全，原文链接:https://mp.weixin.qq.com/s/-0E3kJH3LX-mTYGrCTD_2A 封面来源于网络，如有侵权请联系删除

黑客组织 Lazarus 正在攻击区块链、密币、在线赌博和网络安全行业中的开发人员账号，通过恶意软件感染设备。 GitHub 提醒称，朝鲜国家黑客组织 Lazarus 正在攻击区块链、密币、在线赌博和网络安全行业中的开发人员账号，通过恶意软件感染设备。 Lazarus 组织又被微软威胁情报部门称为 Jade Sleet，被CISA 称为 TraderTraitor。美国政府机构在2022年发布报告详述了威胁行动者所使用的技术。 Lazarus 黑客组织长久以来攻击密币公司和网络安全研究人员，实施网络间谍活动并窃取密币。 以恶意软件攻击开发人员 GitHub 发布安全警报称，Lazarus 黑客组织正在攻陷合法账户或虚假人设，在GitHub 和社交媒体上假冒开发人员和招聘人员。 GitHub 在安全警报中提到，“GitHub 发现一个小规模社工活动，组合利用仓库邀请和恶意 npm 程序包依赖，攻击技术企业员工的个人账户。” 这些人设用于和密币、在线赌博和网络安全行业中的开发人员和员工联系并启动会话。这些会话常常会导向另一个平台，而在以往这个平台是 WhatsApp。与目标建立信任后，威胁行动者邀请目标协作项目并克隆一个主题为媒体播放器和密币交易工具的 GitHub 仓库。然而，GitHub 指出，这些项目利用恶意 NPM 依赖将更多恶意软件下载到目标设备上。 虽然 GitHub 仅提到，这些恶意 NPM 包作为第一阶段的恶意软件下载器，但他们引用 Phylum 在6月份发布的报告详细说明了与这些恶意 NPM 相关的详情。Phylum 公司提到，这些 NPM 作为恶意软件下载器，与远程站点连接，在受感染机器上执行的更多 payload。遗憾的是，Phylum 公司的研究员并未收到第二阶段的 payload 来查看交付给设备的最终恶意软件并分析被执行的恶意行为。Phylum 公司的研究人员提到，“不管原因是什么，很肯定这是复杂的供应链威胁行动者。该攻击引人注意的原因在于它独特的执行链要求：同样机器上需要以特定顺序安装两个不同的程序包。另外，这些恶意组件存储在服务器上，会在执行时动态分配。” GitHub 表示，他们已暂停使用所有的NPM和GitHub 账户并发布了与该活动相关的域名、GitHub 账户以及NPM包的完整指标清单。GitHub 公司还强调称这起攻击活动并未攻陷任何 GitHub 或 npm 系统。 这起活动类似于2021年1月Lazarus 组织发动的另一起攻击活动，当时攻击者利用详细的虚假“安全研究员”社交媒体人设对研究员发动社工攻击，以恶意软件感染目标。攻击者说服研究员协作开发漏洞，为安装自定义后门的漏洞利用分发恶意 Visual Studio 项目。2021年3月还发生类似攻击，黑客为虚假公司 SecureElite 创建网站，以恶意软件感染研究人员。 Lazarus 组织发动的其它攻击 Lazarus 黑客组织被指一直以来攻击密币企业和开发人员，窃取资产以支持朝鲜的计划。该组织传播木马化的密币钱包和交易应用窃取用户的密币钱包及其资金。2022年4月，美国财政部和 FBI 认为 Lazarus 组织盗取基于区块链的游戏公司 Axie价值6.17亿美元的以太坊和 USDC令牌。之后发现该组织将恶意 PDF 文件伪装成诱人的工作机会，发送给该公司的一名工程师。利用虚假工作机会传播恶意软件的情况也发生在2020年的“梦想工作行动”攻击中，位于美国的国防企业和航天企业员工遭攻击。     转自安全内参，原文链接:https://www.secrss.com/articles/56948 封面来源于网络，如有侵权请联系删除

据BleepingComputer 7月21日消息，随着近期Clop 勒索软件组织利用 MOVEit Transfer 文件传输工具漏洞进行大规模攻击，Coveware发布报告称，Clop将从中获得7500万美元至1亿美元的赎金收入。 报告解释称，虽然支付赎金的受害者比例已降至 34% 的历史新低，但也促使勒索软件团伙改变策略，使他们的攻击更有利可图。下图反映了攻击对受害者的影响大小与攻击者的攻击成本之间的关系图。 该图表显示，复杂性和自动化程度最低的勒索攻击成本最低，但对受害者造成的影响也最小，平均单次攻击的赎金要求通常在几百美元到数千美元之间，攻击者通常希望以”走量“的方式获得不俗的赎金收入；而更复杂、更耗时、影响更大的攻击单次会产生更高的赎金要求，通常为数百万美元。 赎金下降迫使Clop改变策略 5 月 27 日，Clop 勒索软件开始利用 MOVEit漏洞进行大范围的数据窃取攻击，这些攻击预计将影响全球数百家公司，其中许多公司已经在过去两个月内通知了受影响的客户。 Coveware 表示，随着时间的推移，赎金额度开始走低，受害者宁愿被攻击并泄露数据，也不愿向攻击者支付费赎金。究其原因，Coveware的报告解释称，DXF 攻击不会像加密影响那样造成实质性业务中断，但会造成品牌损害并产生通知义务。 Coveware 认为Clop 已经改变了勒索策略，提高了在攻击中的赎金要求，希望通过几笔大额付款来克服赎金整体下降的情况。虽然Coveware预测Clop 能从这一系列攻击活动中获得7500万至1亿美元赎金，但主要依靠的还是少数支付高额款项的受害者。 Coveware首席执行官 Bill Siegel向BleepingComputer 透露，Clop之所以能在2021年利用Accellion FTA勒索100多家企业的攻击中大获成功，是因为当时的受害者普遍还不清楚支付赎金所带来的弊端，而在两年后，受害者对此普遍有了更深刻的认识，普遍不再支付赎金，从而造成今年年初Clop利用GoAnywhere攻击130家企业后仅获得了少量赎金。在此次Clop利用 MOVEit的攻击中，受害者规模将超上述两次攻击至少10倍，Clop将专注于那些最有可能支付高额赎金的受害者，因为超过 90% 的受害者甚至都懒得参与赎金谈判，更不用说付款了。     转自Freebuf，原文链接:https://www.freebuf.com/news/372887.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 一种名为HotRat的新型AsyncRAT恶意软件正在通过流行软件和实用程序的免费盗版版本传播，如视频游戏、图像、声音编辑软件以及微软Office。 Avast安全研究员Martin a Milánek表示:“HotRat恶意软件为攻击者提供了广泛的权限，例如窃取登录凭据、加密货币钱包、屏幕捕获、键盘记录、安装更多恶意软件以及获取或修改剪贴板数据等。” 这家捷克网络安全公司表示，至少从2022年10月开始，该木马就一直在全球流行，大多数感染集中在泰国、圭亚那、利比亚、苏里南、马里、巴基斯坦、柬埔寨、南非和印度。 黑客将torrent网站提供的破解软件与恶意的AutoHotkey (AHK)脚本捆绑在一起来实现攻击。该脚本会启动一个感染链，让受感染主机上的反病毒解决方案失效，并使用Visual Basic Script加载器启动HotRat有效载荷。 HotRat是一种全面的RAT恶意软件，带有近20个命令。每个命令都执行从远程服务器检索的.NET模块，这使得攻击者在需要时能够扩展其功能。 也就是说，攻击者需要管理员权限才能成功实现其目标。 “尽管存在巨大的风险，但免费获取高质量软件的诱惑仍然存在，导致许多人下载非法软件，”Milánek说，“因此，分发此类软件仍然是广泛传播恶意软件的有效方法。”     消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

美国Progress Software公司旗下产品MOVEit的零日漏洞曝光近两月，目前已公开的受害机构逼近400家，其中有多家属于服务商，又向大量下游机构提供服务，或将放大攻击影响。 安全内参7月21日消息，利用MOVEit文件传输软件漏洞实施的大规模软件供应链攻击已经进入第七周，受害者数量和损失持续攀升。 今年5月下旬，俄罗斯勒索软件组织Clop利用美国Progress Software公司旗下产品MOVEit的一个安全漏洞，从易受攻击网络中窃取大批文件。截至目前，已有近400家组织受到影响，其中不乏美国能源部等联邦机构、能源巨头壳牌、德意志银行、普华永道、零售巨头TJX等知名公司机构。 零日漏洞曝光近两月，受害机构逼近400家 零售巨头TJX在7月19日确认：“在Progress通知我们该漏洞之前，一些文件已被未经授权的第三方下载。”TJX拥有TJ Maxx、Marshalls、HomeGoods、HomeSense和Sierra等多个零售品牌。 虽然公司遭到攻击影响，TJX发言人强调：“我们认为TJX系统中没有任何客户或员工个人信息被未经授权用户访问，攻击未对TJX造成任何重大影响。” 拥有20多个美容品牌的雅诗兰黛公司也可能是受害者。Clop团伙在其泄露网站上列出该公司信息。雅诗兰黛也于同一天披露了“网络安全事件”。 据网络安全厂商Emsisoft统计，截至7月19日，共有383家组织和超过2千万个人遭受这次攻击。该统计的数据来源包括泄露通知、美国证券交易委员会（SEC）公告、其他公开数据及Clop团伙的泄露网站。 Emsisoft团队指出，一些受到MOVEit漏洞影响的公司为许多其他组织提供服务。 例如，Clop利用了英国薪资服务提供商Zellis部署的MOVEit工具。该公司客户众多，包括英国航空公司、英国广播公司（BBC）和英国博姿连锁药店。结果，俄罗斯黑客团伙利用MOVEit软件漏洞窃取了这些公司的员工记录。据Emsisoft报道，另一家MOVEit用户美国学生信息中心，与美国3500多所学校合作，处理1710万名学生的信息。因此，受害者的总数很可能会继续增长。 Emsisoft威胁分析师Brett Callow表示：“虽然严重性不及SolarWinds事件，这依然是近年来规模最大的黑客事件之一。后续需对数百万人进行信用监控、引发无数诉讼，损失将极其巨大。” Progress Software公司目前面临多起指控，控方认为MOVEit漏洞是安全性不足所致。据《华尔街日报》消息，相关诉讼至少有13起。 Emsisoft补充道：“更糟糕的是，被窃取信息有极大可能遭到滥用。不单单是Cl0p团伙可能滥用这些信息。一旦信息在网上公开，全球的网络犯罪分子都可以将这些信息用于商业电子邮件欺诈、身份欺诈。” Progress Software公司拒绝回答有多少组织受到MOVEit漏洞影响。 该公司一位发言人表示：“我们会继续专注于客户支持。Emsisoft报告表明，频繁和透明的更新有助于鼓励客户迅速应用我们发布的漏洞补丁。我们将继续与行业领先的网络安全专家合作，调查攻击事件，确保采取适当的应对措施。据我们目前所知，5月31日漏洞之后发现的漏洞没有被大幅滥用。” 自5月底以来，其他漏洞陆续被发现。 漏洞曝光时间线 5月31日披露的首个漏洞是SQL注入漏洞。次日，Progress Software修补该漏洞，标记为CVE-2023-34362。 6月9日，第二个漏洞CVE-2023-35036被发现，并于次日被修复。 6月15日，Progress Software披露了第三个漏洞CVE-2023-35708。 最后（我们希望是），7月5日，又有三个漏洞CVE-2023-36934、CVE-2023-36932、CVE-2023-36933被发现并得到修复。 网络安全评级公司Bitsight表示，虽然受害者数量不断增加，但是易受攻击的组织在修补MOVEit漏洞方面表现相当不错。 本周四，Bitsight研究员Noah Stone在博客写道：5月31日漏洞披露以来，“易受CVE-2023-34362攻击的组织数量已经减少，至少77%最初受影响的组织现在不再易受攻击，而最初受影响的组织中至多还有23%仍然存在漏洞。后续披露的CVE漏洞，易受攻击的组织比率更高。” 更多组织仍然容易受到本月早些时候披露的三个最新漏洞的攻击，这并不令人意外。Noah Stone表示：“最初受到较新CVE漏洞攻击的组织中，至多有56%仍然容易受到攻击。” Huntress公司的威胁猎人发现了第2个MOVEit漏洞。该公司高级安全研究员John Hammond表示，这类供应链攻击对犯罪分子越来越具有吸引力，因为它们可以为攻击者带来更多利益。 John Hammond表示：“不论是像MOVEit Transfer这样的攻击，还是过去的重大入侵案例，比如Kaseya VSA勒索软件事件、SolarWinds漏洞利用事件，所有攻击都对软件供应链有影响。这大幅提高了潜在受害者数量，影响了下游组织和供应商/消费者关系。对黑客来说，这种一对多的影响非常有吸引力。这也是供应链威胁如此阴险的原因。” 当然，John Hammond指出，这类入侵意味着“威胁行为者发起的每次攻击都是一次性的。下游受害者遭受损失后，机会就不复存在，攻击者必须重新发动攻击。”     转自安全内参，原文链接:https://www.secrss.com/articles/56932 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： “匿名苏丹”再次进入公众视野，这一次，他们声称已经关闭了名为“Only Fans”的在线成人内容订阅网站的服务。 这些与俄罗斯有关的黑客在周三下午发布了关于“中断Only Fans网站”的帖子。该组织曾在6月份导致微软Outlook和其他Office 365服务离线数天，引起了人们的注意。 匿名苏丹首先声称，他们于美东时间下午3点左右在其加密的Telegram频道上关闭了Only Fans网站。 黑客们发布了加载失败的Only Fans网站截图、公司简介以及Check-Host链接。此行为大概是为了证明该网站的服务器IP地址已在超过41个国家发生了连接超时。 匿名苏丹的Telegram 匿名苏丹的Telegram 匿名苏丹最常使用分布式拒绝服务(DDoS)攻击作为攻击目标受害者的方法。 DDoS攻击会向受害者的服务器发送大量流量请求，导致其网站离线，从而使该组织能够控制攻击持续的时间。 “匿名苏丹”的攻击时间通常持续一到两个小时，Only Fans也不例外。该组织声称将继续对该订阅平台进行1小时的攻击。 匿名苏丹的Telegram 接着，他们发布了网站已被下线以及关于宕机的评论的截图。 具有讽刺意味的是，一名用户写道：“该组织发布的社交媒体消息指出，Only Fans网站几乎每周都宕机。” 总部位于伦敦的OnlyFans平台诞生于2016年夏天。 OnlyFans的内容创作者从订阅他们内容的用户那里赚钱，他们中的大多数是发布自己色情视频的性工作者。 据Business Insider报道，顶级OnlyFans创作者的收入可以达到10万美元到500多万美元不等。       消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

国外媒体披露，美国网络安全咨询师、第一个被美国联邦调查局（FBI)通缉的天才黑客凯文・米特尼克（Kevin David Mitnick）于 2023 年 7 月16 日去世，享年 60 岁。 1963 年 8 月 6 日，Mitnick 出生于美国，很小的时候就表现出在计算机方面的天分，还在上小学的 Mitnick 就用社区学校里的一台计算机计成功入侵了其它学校的网络系统，最后不得不因此退学了。退学后的 Mitnick 并没有中断学习技术，随着能力的提升， 在16 岁时又因进行社交工程破解太平洋电信公司的密码，在付费电话系统中修改上万美国家庭的电话号码，而被电脑信息跟踪机跟踪逮捕，成为了全球第一名网络少年犯。 出狱后，他又修改了不少公司的财务账单，导致又被逮捕入狱一年。 此后，Mitnick  不断“作案”，先后成功入侵了诺基亚、摩托罗拉、升阳以及富士通等公司计算机，盗取企业重要资料，FBI 曾统计他给这些公司带来的损失高达 4 亿美元。 几番经历后，Mitnick 决定金盆洗手，开始在世界各地进行有关于网络安全方面的演讲，最终成了业内享有盛名地网络安全咨询师，还出版了《反欺骗的艺术》、《反入侵的艺术》、《线上幽灵：世界头号黑客米特尼克自传》等书籍。     转自Freebuf，原文链接:https://www.freebuf.com/articles/372624.html 封面来源于网络，如有侵权请联系删除

人工智能技术“出圈”后，越来越多网络攻击者对生成人工智能工具表现出极大“兴趣”。从 Bleeping Computer 网站披露的信息来看，暗网市场目前有数十万个 OpenAI 证书待售。 据悉，技术不熟练和经验丰富的网络犯罪分子都可以使用这些工具，创建更具诱惑力的钓鱼电子邮件（电子邮件可以为目标专门定制），以增加网络攻击成功的机会。 黑客大面积入侵 GPT AI Flare 的安全研究人员在分析暗网论坛和市场时注意到，OpenAI 证书是最新待售的商品之一， 目前可以确定了约有 20 多万个 OpenAI 证书以窃取日志的形式在暗网上出售。 虽然这一数字与 OpenAI 1 月份 1 亿活跃用户相比，似乎微不足道，但也能说明网络攻击者“看到”了生成式人工智能工具蕴藏的破坏力。 2023 年 6 月，网络安全公司 Group IB 在一份报告中指出超过101100个被泄露的 OpenAI ChatGPT 账户凭证在非法的暗网市场上待售。 可见许多网络犯罪分子都盯上了人工智能，甚至有一网络攻击者还开发了一个名为 WormGPT 的盗版 ChatGPT，并对其进行了针对恶意软件的数据训练， 该工具也被被宣传为“黑帽的最佳 GPT 替代品”。 网络犯罪论坛上推广 WormGPT 工具 WormGPT 主要依赖 2021 年推出的 GPT-J 开源大型语言模型，以此来生成类人文本，其开发人员表示在不同的数据集上训练了该工具，重点是恶意软件相关数据，但没有提供有关具体数据集的提示。 WormGPT 显示了 BEC 攻击的潜力 电子邮件安全提供商 SlashNext 访问了 WormGPT，并进行了一些测试以确定其潜在危险。研究人员指出在一项实验中，指示 WormGPT 生成一封电子邮件，旨在向毫无戒心的客户经理施压，迫使其支付欺诈发票。 结果，WormGPT 生成的电子邮件不仅极具说服力，而且在战略上非常狡猾，完美展示了其在复杂的网络钓鱼和 BEC 攻击中的潜力。 WormGPT 为 BEC 攻击生成的内容 来源：SlashNext 通过分析生成的信息，SlashNext 的研究人员发现了生成式人工智能工具 WormGPT 除了能够生成 “无懈可击的语法 “的信息外，还能够使技术水平较低的攻击者实施超出其水平的攻击。 最后，研究人员指出尽管抵御这种威胁可能比较困难，但是并非不能防御。企业可以通过培训员工如何验证要求紧急关注的邮件（尤其是含有金融内容的邮件）、改进电子邮件验证流程，或标记出通常与 BEC 攻击相关的关键字。     转自Freebuf，原文链接:https://www.freebuf.com/news/372594.html 封面来源于网络，如有侵权请联系删除

据报道，VirusTotal遭受了数据泄露，暴露了其5600名注册用户的姓名和电子邮件地址，其中包括美国和德国情报机构雇员的信息。 数据泄露暴露了可利用的信息 谷歌拥有的VirusTotal是当下流行的在线服务，用于分析可疑文件和网址，通过防病毒引擎和网站扫描程序检测恶意软件和恶意内容。 谷歌向德国《明镜周刊》证实，6月底，一名员工无意中在VirusTotal上上传了包含VirusTotal客户姓名和电子邮件地址的文件。尽管该公司在上传后一小时内删除了该文件，但这期间还是被用户下载了。 记者核实了这份名单的真实性，并指出“政府雇员的名字出现在其中，一些人还可以在LinkedIn上找到。”该列表包含注册该帐户的5600 名用户的姓名和公司电子邮件地址。这些用户包括： 美国网络司令部（美国军方的黑客部队）、美国司法部、联邦调查局和美国国家安全局 荷兰、台湾和英国的官方机构 德国组织，包括联邦警察，联邦刑警局，军事反情报局（MAD）和联邦电信统计局。 德国大公司（德国铁路、德国央行、安联、宝马、梅赛德斯-奔驰、德国电信） 虽然用户名和电子邮件地址已泄露，但密码尚未泄露。尽管如此，这些信息足以让黑客对用户进行网络钓鱼，而这些用户显然是负责其组织内的IT安全和恶意软件。 文件上传到VirusTotal的风险性 虽然任何想要通过基于Web的用户界面检查特定文件或URL的人都可以免费使用VirusTotal，但该服务的付费版本仅适用于公司和公共部门组织，他们能够更深入地了解上传的样本。并且上传的文件也会与安全公司、专业人士和研究人员（VirusTotal客户或合作伙伴）共享。用户在VirusTotal上上传的一些文件可能包含敏感数据，正如SafeBreach研究人员所证明的那样，他们收集到了信息窃取者和密钥记录者使用的文件中的凭据，其中超过1，000，000个凭据已上传到VirusTotal。 德国联邦信息安全办公室此前曾警告各组织不要擅自将文件上传到VirusTotal，以免机密性的组织数据落入第三方手中。     转自E安全，原文链接:https://mp.weixin.qq.com/s/v9YvFrKU_jESoyowhnXBzw 封面来源于网络，如有侵权请联系删除

  近日，市面上出现了一款名为SophosEncrypt的新型勒索软件，该软件与网络安全厂商Sophos同名，因此有一些威胁行为者专门冒用该公司名称进行一些非法行动。 MalwareHunterTeam在本周一（7月17日）首次发现了这款勒索软件，起初还以为它是 Sophos 红队演习的一部分。 但很快Sophos X-Ops团队就在推特上表明，他们并没有创建该加密程序，且正在对此次事件进行调查。 Sophos X-Ops团队表示，他们早些时候在VT上发现了这个勒索软件并且一直在调查。但据初步调查结果显示，Sophos InterceptX可以抵御这些勒索软件样本。 此外，ID勒索软件显示了一份受害者提交的报告，表明此勒索软件目前仍处于活动状态。虽然对RaaS操作及其推广方式知之甚少，但MalwareHunterTeam还是发现了一个加密器的样本。 SophosEncrypt 勒索软件 据悉，该勒索软件的加密程序是用 Rust 编写的，并使用了 “C:\Users\Dubinin\”路径作为其原型。 在内部，该勒索软件被命名为 “sophos_encrypt”，因此被称为SophosEncrypt，检测结果已添加到ID Ransomware中。 执行时，加密程序会提示联盟成员输入一个与受害者相关的令牌，该令牌可能首先从勒索软件管理面板中获取。 输入令牌后，加密程序将连接到 179.43.154.137:21119 并验证令牌是否有效。 勒索软件专家Michael Gillespie发现可以通过禁用网卡绕过这一验证，从而有效地离线运行加密程序。输入有效令牌后，加密器会提示勒索软件联盟在加密设备时使用其他信息，包括联系人电子邮件、jabber 地址和 32 个字符的密码，Gillespie称这也是加密算法的一部分。 然后，加密器会提示联盟成员加密一个文件或加密整个设备，如下图所示。 加密器在加密前提示信息，来源：BleepingComputer BleepingComputer 在加密文件时，Gillespie告诉BleepingComputer，它使用了AES256-CBC加密和PKCS#7填充。每个加密文件都会在文件名后附加输入的令牌、输入的电子邮件和sophos扩展名，格式为：.[[[]].[[[]].sophos。下面是 BleepingComputer 的加密测试示例。 被SophosEncrypt加密的文件，来源：BleepingComputer BleepingComputer 在每个文件被加密的文件夹中，勒索软件都会创建一个名为 information.hta 的赎金说明，加密完成后会自动启动。该赎金说明包含有关受害者文件遭遇情况的信息，以及关联方在加密设备前输入的联系信息。 SophosEncrypt 勒索信，来源：BleepingComputer BleepingComputer 该勒索软件还能更改 Windows 桌面壁纸，壁纸会直接显示为它所冒充的 “Sophos “品牌。 SophosEncrypt 壁纸，来源：BleepingComputer BleepingComputer 加密程序中多次提到位于 http://xnfz2jv5fk6dbvrsxxf3dloi6by3agwtur2fauydd3hwdk4vmm27k7ad.onion 的 Tor 网站。这个 Tor 网站不是一个谈判或数据泄漏网站，而似乎是勒索软件即服务操作的附属面板。 勒索软件面板，来源：BleepingComputer BleepingComputer Sophos研究人员对 SophosEncrypt 恶意软件进行分析后发布了一份关于新的 SophosEncrypt 勒索软件的报告。 该报告显示，该勒索软件团伙位于 179.43.154.137 的命令和控制服务器与之前攻击中使用的 Cobalt Strike C2 服务器有所关联。 此外，两个样本都包含一个硬编码 IP 地址，该地址在近一年多的时间内一直与 Cobalt Strike 命令控制和自动攻击有关，这些攻击还曾试图用加密采矿软件感染其他计算机。     转自Freebuf，原文链接:https://www.freebuf.com/news/372446.html 封面来源于网络，如有侵权请联系删除