HackerNews 编译，转载请注明出处：  WorldLeaks团伙本周同时对洛杉矶及其地铁系统发动攻击，导致部分服务被迫中断；与此同时，旧金山湾区两座城市也因遭遇勒索软件攻击而宣布进入紧急状态。 洛杉矶地铁系统遭袭，服务受限 据当地媒体报道，本周洛杉矶地铁（Metro）内部系统检测到未授权活动，迫使该机构限制系统访问权限，车站到站显示屏也因此受到影响。 NBC洛杉矶报道称：”内部行政计算机系统出现未授权活动，促使Metro限制了对这些系统的访问，导致车站显示屏无法显示列车到达时间。” 目前乘客在通过网站或客服热线为TAP交通卡充值时遇到困难，Metro建议乘客改用站内售票机完成充值。铁路和公交服务仍在正常运行，且没有客户或员工的个人信息受到影响。Metro方面表示，正在进行全面的安全检查，并努力恢复系统的完全访问权限。 湾区城市相继沦陷，紧急状态接踵而至 另一起事件中，福斯特市（Foster City）官员表示，一场勒索软件攻击正在广泛破坏市政服务，迫使市领导宣布进入紧急状态，以便争取外部支持和资金援助。虽然911等紧急服务仍在正常运转，但许多依赖内部系统的市政服务已无法使用。市政厅虽保持开放，但仅能提供有限服务。 该市于周四早些时候发现攻击后，迅速将大部分系统下线以保护网络安全。目前 officials 正与独立网络安全专家合作，开展调查并努力恢复运营。 此次攻击主要影响了数字服务和信息获取渠道，核心的应急响应能力保持完好。当局表示，目前尚不清楚攻击者是否访问或复制了敏感数据，但警告公众信息可能已遭泄露。作为预防措施， officials 敦促所有曾与市政府有过业务往来的市民更改密码，并采取措施保护个人数据。 据《旧金山纪事报》报道，该市表示：”出于谨慎考虑，建议所有与福斯特市有过业务往来的市民更改个人密码，并采取措施保护自己的个人数据。” WorldLeaks认领洛杉矶市政府为受害者 2026年3月20日，WorldLeaks勒索软件团伙将其数据泄露网站上的受害者名单更新，加入了洛杉矶市政府。该团伙声称窃取了159.9GB数据，共计779份文件。 WorldLeaks是一个以勒索为目的的网络犯罪组织，通过窃取企业数据向受害者施压，威胁若不支付赎金就将数据公开泄露。该团伙于2025年更名自2023年起活跃的Hunters International勒索团伙。在面临日益严厉的执法压力后，该组织放弃了文件加密手段，全面转向数据窃取和勒索模式，至今已宣称对数百名受害者下手。 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自 1 月下旬起，“联锁”（Interlock）勒索软件团伙就在零日攻击中，利用思科安全防火墙管理中心（FMC）软件中一个极其严重的远程代码执行（RCE）漏洞。 “联锁” 勒索软件活动于 2024 年 9 月浮出水面，与 ClickFix 以及多起恶意软件攻击有关，在这些攻击中，他们在英国多所大学的网络中部署了一款名为 “NodeSnake” 的远程访问木马。 “联锁” 团伙还宣称对针对达维塔（DaVita）、凯特林健康（Kettering Health）、德克萨斯理工大学系统以及明尼苏达州圣保罗市的攻击负责。最近，IBM X – Force 研究人员报告称，“联锁” 团伙的操作者部署了一种名为 “Slopoly” 的新恶意软件变种，很可能是利用生成式人工智能工具创建的。 思科于 3 月 4 日修复了这个安全漏洞（CVE – 2026 – 20131），并警告称，该漏洞可能让未经身份验证的攻击者在未打补丁的设备上以 root 权限远程执行任意 Java 代码。 亚马逊威胁情报团队周三报告称，在该漏洞被修复前，“联锁” 勒索软件团伙已针对企业防火墙，利用这个安全防火墙管理中心的漏洞发动攻击长达一个多月。 亚马逊综合安全首席信息安全官 CJ・摩西表示：“在查找该漏洞当前或过往的利用情况时，我们的研究发现，‘联锁’团伙从 2026 年 1 月 26 日起就开始利用这个漏洞，比其公开披露时间早了 36 天。这可不是普通的漏洞利用，‘联锁’团伙掌握了一个零日漏洞，这让他们在防御者察觉之前，就有一周时间抢先入侵各机构。” 思科在 3 月 4 日发布了一份安全公告，披露了思科安全防火墙管理中心软件 Web 界面的一个漏洞。周三，思科在发布公告后通过电子邮件向 BleepingComputer 表示：“我们感谢亚马逊在这件事上的合作，并且已在安全公告中更新了最新信息。我们强烈敦促客户尽快升级，并参考我们的安全公告以获取更多详细信息和指导。” 自今年年初以来，思科还修复了其他几个在实际中被当作零日漏洞利用的安全漏洞。例如，1 月，它修复了一个严重级别的思科 AsyncOS 零日漏洞，自 11 月起，该漏洞就被用于入侵安全电子邮件设备；同时，思科还修复了一个关键的统一通信远程代码执行漏洞，这个漏洞也在零日攻击中被利用。 上个月，思科修复了另一个严重级别的漏洞，该漏洞被当作零日漏洞利用，用于绕过 Catalyst SD – WAN 身份验证，攻击者借此能够攻陷控制器，并在目标网络中添加恶意的非法对等节点。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Payload 勒索软件组织宣称已入侵巴林一家主要医疗机构 —— 巴林皇家医院（RBH）。 Payload 勒索软件组织声称侵入了巴林皇家医院，并窃取了 110GB 的数据。该勒索软件团伙将这家医疗机构列入其暗网数据泄露网站，并公布了疑似被攻击系统的图片，以此作为攻击证据。 该组织威胁称，如果在 3 月 23 日前未收到赎金，就会公开所窃取的数据。 巴林皇家医院成立于 2011 年，是一家拥有 70 张床位的医疗机构，提供住院和门诊服务，包括手术、产科护理和诊断等。其服务对象来自巴林及阿曼、卡塔尔、沙特阿拉伯和阿联酋等周边国家。 Payload 勒索软件是一个相对较新的网络犯罪活动，采用双重勒索模式，即结合数据窃取和文件加密手段向受害者施压。该组织主要针对新兴市场中房地产和物流等行业的大中型企业。从技术层面看，这款勒索软件使用 ChaCha20 算法进行文件加密，Curve25519 算法进行密钥交换，同时会删除卷影副本并禁用安全工具。 与许多现代犯罪团伙一样，Payload 很可能是以勒索软件即服务的模式运营，并设有一个暗网泄露网站，用于公布未支付赎金受害者的数据。 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 以 Velvet Tempest 为代号追踪的勒索软件威胁组织，正利用 ClickFix 技术与合法的 Windows 工具部署 DonutLoader 恶意软件与 CastleRAT 后门。 网络诱骗威胁情报公司 MalBeacon 的研究人员在一个模拟的组织环境中，对黑客的行为进行了为期 12 天的观测。 Velvet Tempest，同时也以 DEV‑0504 为代号进行追踪，是一个至少在五年内以附属机构身份参与勒索软件攻击的威胁组织。 该组织与部署多款破坏力极强的勒索软件家族相关联：Ryuk（2018‑2020）、REvil（2019‑2022）、Conti（2019‑2022）、BlackMatter、BlackCat/ALPHV（2021‑2024）、LockBit 以及 RansomHub。 Velvet Tempest 勒索软件部署时间线（来源：MalBeacon） 此次攻击由 MalBeacon 在 2 月 3 日至 16 日期间于一个美国非营利组织的复刻环境中监测到，该环境拥有超过 3000 个终端与 2500 多名用户。 在获取访问权限后，Velvet Tempest 操作者执行了手动操作，包括对 Active Directory 进行侦察、主机发现、环境信息收集，同时使用 PowerShell 脚本窃取存储在 Chrome 中的凭据。 该脚本托管在一个 IP 地址上，研究人员将该 IP 与 Termite 勒索软件入侵所用的工具部署服务器相关联。 据研究人员介绍，Velvet Tempest 通过恶意广告活动获取初始访问权限，该活动引导至一个结合 ClickFix 与验证码的页面，指示受害者将一段经过混淆的命令粘贴到 Windows 运行对话框中。 Velvet Tempest 使用的 ClickFix 诱饵（来源：MalBeacon） 粘贴的命令触发了嵌套的 cmd.exe 调用链，并利用 finger.exe 获取首批恶意软件加载器。其中一个载荷是一个伪装成 PDF 文件的压缩包。 在后续阶段中，Velvet Tempest 使用 PowerShell 下载并执行命令，以获取更多载荷、通过 csc.exe 在临时目录编译 .NET 组件，并在 C:\ProgramData 中部署基于 Python 的组件以实现持久化。 此次行动最终部署了 DonutLoader，并加载了 CastleRAT 后门。CastleRAT 是一款远程控制木马，与以分发多种 RAT 与信息窃取工具（如 LummaStealer）闻名的 CastleLoader 加载器相关联。 Termite 勒索软件此前已宣称对多家知名受害者发起攻击，包括 SaaS 提供商 Blue Yonder 与澳大利亚大型试管婴儿机构 Genea。 尽管 Velvet Tempest 通常实施双重勒索攻击 —— 即在窃取企业数据后对受害者系统进行加密，但 MalBeacon 的报告指出，在本次观测到的入侵事件中，该威胁组织并未部署 Termite 勒索软件。 多个勒索软件组织已在攻击中采用 ClickFix 技术。Sekoia 曾在 2025 年 4 月报告称，Interlock 勒索软件团伙使用该社会工程方法攻破企业网络。   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据观察，臭名昭著的网络犯罪集团 Scattered LAPSUS$ Hunters（SLH）正提供金钱奖励，招募女性实施社会工程学攻击。 Dataminr 在一份新的威胁简报中表示，该集团计划雇佣她们参与针对 IT 服务台的语音钓鱼活动。 据称该集团为每通电话预先支付 500 至 1000 美元不等的报酬，并为她们提供实施攻击所需的提前写好的话术脚本。 该威胁情报公司表示：“SLH 通过专门招募女性实施语音钓鱼攻击，使其社会工程学人员构成多元化，此举可能旨在提高冒充服务台人员的成功率。” SLH 是由 LAPSUS$、Scattered Spider 和 ShinyHunters 组成的知名网络犯罪超级集团，该组织有实施高级社会工程学攻击的记录，通过多因素认证弹窗轰炸、SIM 卡替换等技术绕过多因素认证（MFA）。 该集团的作案手法还包括瞄准服务台和呼叫中心，冒充员工说服相关人员重置密码或安装可授予其远程访问权限的远程监控与管理（RMM）工具，从而入侵企业。 据观察，Scattered Spider 在获取初始访问权限后，会横向渗透至虚拟化环境、提升权限，并窃取企业敏感数据。 部分此类攻击还会进一步部署勒索软件。 这类攻击的另一特点是使用合法服务和住宅代理网络（如 Luminati、OxyLabs）隐藏身份并规避检测。 Scattered Spider 成员使用过 Ngrok、Teleport、Pinggy 等各类隧道工具，以及 file.io、gofile.io、mega.nz、transfer.sh 等免费文件共享服务。 SLH 在 Telegram 上招募女性的帖子 帕洛阿尔托网络公司 Unit 42 团队在本月早些时候发布的一份报告中，将以 Muddled Libra 为代号追踪的 Scattered Spider 描述为 “高度擅长利用人类心理”，该组织通过冒充员工尝试重置密码和多因素认证（MFA）。 Scattered Spider 攻击链 在该网络安全公司 2025 年 9 月调查的至少一起案件中，Scattered Spider 通过致电 IT 服务台获取特权凭证后，创建并使用了虚拟机（VM），随后利用其进行侦察（如 Active Directory 枚举），并尝试窃取 Outlook 邮箱文件以及从目标 Snowflake 数据库下载的数据。 Unit 42 表示：“该威胁行为者在专注于身份入侵和社会工程学攻击的同时，利用合法工具和现有基础设施隐藏行踪。”“他们隐秘运作并维持持久化控制。” 该网络安全公司还指出，Scattered Spider 长期针对 Microsoft Azure 环境，利用 Graph API 获取 Azure 云资源访问权限。 该组织还使用 ADRecon 等云枚举工具进行 Active Directory 侦察。 由于社会工程学已成为该网络犯罪集团的主要入侵入口，建议企业保持警惕，对 IT 服务台及支持人员开展培训，警惕提前编写的话术和熟练的语音冒充行为；执行严格的身份验证；收紧 MFA 策略，不再使用基于短信的认证方式；并审计服务台交互后的新用户创建或管理员权限提升日志。 Dataminr 表示：“此次招募行动标志着 SLH 的战术经过精心策划后发生了演变。” “通过专门寻找女性声音，该集团可能旨在绕过 IT 服务台人员受训识别的‘传统’攻击者特征，从而提升其冒充行为的成功率。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Symantec 和 Carbon Black 威胁猎人团队的最新报告显示，与朝鲜相关的 Lazarus Group（又称 Diamond Sleet、Pompilus）在针对中东一家未具名机构的攻击中使用了 Medusa 勒索软件。 Broadcom 威胁情报部门表示，其还发现同一威胁行为者对美国一家医疗机构发起了攻击，但未成功。Medusa 是由网络犯罪组织 Spearwing 于 2023 年推出的勒索软件即服务（RaaS）项目。该组织迄今已宣称实施超过 366 起攻击。 该公司在提交给 The Hacker News 的报告中称：“对 Medusa 数据泄露站点的分析显示，自 2025 年 11 月初以来，美国有四家医疗和非营利机构遭到攻击。” “受害者包括一家心理健康领域非营利机构和一家自闭症儿童教育机构。”目前尚不清楚这些受害者是否全部由朝鲜相关人员攻击，还是部分攻击由其他 Medusa 合作方实施。该期间的平均勒索金额为 260,000 美元。 朝鲜黑客组织使用勒索软件并非没有先例。早在 2021 年，Lazarus 旗下名为 Andariel（又称 Stonefly）的分支就被发现使用 SHATTEREDGLASS、Maui、H0lyGh0st 等定制勒索软件攻击韩国、日本和美国的机构。 随后在 2024 年 10 月，该黑客组织还与 Play 勒索软件攻击相关联，标志着其转向使用现成的加密工具加密受害者系统并索要赎金。 不过，并非只有 Andariel 从定制勒索软件转向使用现成版本。去年，Bitdefender 披露，另一个被追踪为 Moonstone Sleet 的朝鲜威胁行为者此前曾使用名为 FakePenny 的定制勒索软件，而现在可能使用 Qilin 勒索软件攻击了多家韩国金融公司。 该公司向 The Hacker News 表示，这些变化可能标志着朝鲜黑客组织的战术转变：他们开始作为成熟 RaaS 组织的合作方运作，而非自行开发工具。 Symantec 和 Carbon Black 威胁猎人团队首席情报分析师 Dick O’Brien 表示：“其动机很可能是实用主义。”“既然可以使用 Medusa 或 Qilin 这类经过验证的威胁，何必费力开发自己的勒索软件有效载荷？”“他们可能认为，扣除合作方费用后，收益仍大于成本。” Lazarus Group 的 Medusa 勒索软件行动中使用了多种工具： ·     RP_Proxy，一款定制代理工具 ·     Mimikatz，一款公开可用的凭证窃取程序 ·     Comebacker，该威胁行为者专用的定制后门 ·     InfoHook，一款此前被发现与 Comebacker 配合使用的信息窃取工具 ·     BLINDINGCAN（又称 AIRDRY、ZetaNile），一款远程访问木马 ·     ChromeStealer，一款用于从 Chrome 浏览器提取存储密码的工具 尽管此类勒索攻击与 Andariel 以往的攻击模式相似，但该活动尚未与 Lazarus 旗下任何具体分支关联。 该公司表示：“转向使用 Medusa 表明，朝鲜在网络犯罪中的疯狂参与丝毫未减。”“朝鲜相关行为者在攻击美国机构时似乎毫无顾忌。”尽管部分网络犯罪组织因可能引发声誉风险而声称避开医疗机构，但 Lazarus 似乎不受任何此类约束。   消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络犯罪分子越来越多地利用合法的管理软件发起攻击，这使得他们的恶意活动更难被发现。 这些行为者不再仅仅依赖定制的计算机病毒，而是滥用合法的员工监控工具来隐藏在企业网络中。 通过使用旨在跟踪员工生产力的软件，他们可以控制系统并窃取敏感数据，而不会触发标准的安全警报。 这种策略使他们能够融入正常的日常流量中，绕过通常用于拦截已知恶意程序的防御措施。 在最近的攻击活动中，主要使用的工具是“Net Monitor for Employees Professional”和“SimpleHelp”。 尽管这些应用程序是为提供有用的 IT 支持和员工监督而设计的，但黑客已经将其用于恶意目的。 Net Monitor for Employees Professional 控制台界面（来源：Huntress） 他们利用这些软件的强大功能（例如查看屏幕、管理文件和运行命令）来控制计算机。这实际上将一款标准的办公工具变成了远程控制网络的危险武器。 Huntress 分析师在 2026 年初发现了这种特定活动，并指出攻击者利用这些工具维持长期访问权限。 研究人员观察到，入侵者不仅监视用户，还积极地为更具破坏性的攻击做准备。 通过建立这种隐蔽的立足点，攻击者可以在 IT 团队不知情的情况下执行技术命令并禁用安全措施。 这种静默访问通常会导致尝试部署“Crazy”勒索软件（一种文件锁定病毒）以及窃取加密货币。 规避技术和持久性 攻击者竭力伪装其在受感染机器上的存在，以避免被清除。他们经常将恶意文件重命名，使其看起来像重要的 Microsoft 服务。 例如，监控代理通常注册为“OneDriveSvc”和“OneDriver.exe”之类的名称，试图欺骗用户，让他们误以为这是一个无害的云存储进程。 图片 时间线（来源：Huntress） 这个简单的技巧帮助恶意软件在不引起怀疑的情况下保持活跃。 为了进一步确保能够留在网络中，攻击者安装了 SimpleHelp 作为备用入口点。这种冗余机制意味着，即使其中一个工具被发现并移除，另一个工具也能让他们再次入侵。 他们还配置了该软件，使其监视屏幕上的特定词语，例如“钱包”或“币安”。这样，当用户打开银行应用程序时，他们就能立即收到警报，从而确保在最佳时机窃取资金。 为了防止此类攻击，企业必须严格限制哪些用户可以安装软件，并应在所有远程账户上强制执行多因素身份验证 (MFA)。 安全团队还应定期审核系统，查找未经授权的远程管理工具，并监控禁用防病毒程序的尝试。 最后，检查模仿合法服务的异常程序名称对于及早发现此类入侵至关重要。     消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）警告称，勒索软件攻击者正利用 SmarterMail 中的高危漏洞 CVE-2026-24423，该漏洞可实现无认证远程代码执行。 SmarterMail 是 SmarterTools 公司推出的一款基于 Windows 系统的自托管邮件服务器与协作平台。该产品提供 SMTP/IMAP/POP 邮件服务，同时搭载网页邮箱、日历、通讯录及基础群件功能。 该产品普遍部署于托管服务提供商（MSP）、中小企业及提供邮件服务的托管公司。据 SmarterTools 公司数据，其产品在全球 120 个国家拥有约 1500 万用户。 CVE-2026-24423漏洞影响SmarterTools SmarterMail版本9511之前的构建版本，成功利用可通过ConnectToHub API导致远程代码执行（RCE）。 该漏洞由watchTowr、CODE WHITE和VulnCheck网络安全公司的安全研究人员发现并负责任地披露给了SmarterTools。 供应商于1月15日在SmarterMail Build 9511中修复了该漏洞。 CISA现已将该漏洞纳入已知被利用漏洞（KEV）目录，并标记其在勒索软件攻击活动中遭积极利用。 该联邦机构警示称：“SmarterTools SmarterMail 的 ConnectToHub 接口方法存在关键功能未做身份认证的漏洞。” “该漏洞可使攻击者将 SmarterMail 实例指向搭载恶意操作系统指令的恶意 HTTP 服务器，进而引发指令执行风险。” CISA要求受 22-01 号强制性运营指令约束的联邦机构及实体，需在 2026 年 2 月 26 日前完成安全更新部署、落实厂商建议的缓解措施，或停止使用该产品。 就在 SmarterTools 公司修复 CVE-2026-24423 漏洞同期，watchTowr 研究人员发现另一处身份认证绕过漏洞，内部编号为 WT-2026-0001。 该未分配公开编号的漏洞可实现无验证重置管理员密码，且在厂商发布补丁后不久便遭黑客利用。 研究人员依据匿名线索、受攻陷系统日志中的特定调用记录，以及与漏洞代码路径完全匹配的端点得出该结论。 此后，SmarterMail 又修复了多项标注为 “高危” 的安全漏洞，建议系统管理员将产品升级至最新版本，即 1 月 30 日发布的 9526 版本。 消息来源:bleepingcomputer.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国一家主要的支付网关与解决方案服务商BridgePay表示，勒索软件攻击导致其核心系统下线，引发大范围服务中断并波及多项业务。 该事件始于上周五，并迅速升级为 BridgePay 平台全国性服务瘫痪。 服务中断数小时后确认遭勒索软件攻击 BridgePay Network Solutions于周五晚间证实，导致其支付网关业务中断的事件系勒索软件攻击引发。 该公司在 2 月 6 日发布的更新公告中称，已联络联邦执法机构（包括美国联邦调查局及美国特勤局），并协同外部溯源与系统恢复团队开展处置工作。 公司表示：“初步溯源调查结果显示，支付卡数据未发生泄露”，并补充称所有被访问文件均已被加密，目前 “无证据表明可用数据存在外泄情况”。 科技媒体BleepingComputer已就攻击涉及的具体勒索软件团伙联系BridgePay，该公司尚未披露其具体信息。 商户被迫转为只收现金 就在 BridgePay 披露该事件的同期，美国部分商户及机构告知客户，因全国性银行卡支付处理业务中断，目前仅支持现金付款。 一家餐馆表示，其“信用卡处理公司遭遇网络安全漏洞”，导致全国范围内的刷卡支付无法使用。 佛罗里达州棕榈湾市政府发布公告称： “我方的第三方信用卡处理供应商BridgePay Network Solutions正遭遇全国性服务中断。因此，本市的在线账单支付门户目前无法使用。我们暂时无法提供预计恢复时间。” 为此，市政府建议市民可现场通过现金、银行卡或支票缴纳公共事业费用，特殊情况下可致电市政办公部门办理。 包括 Lightspeed Commerce、ThriftTrac 及德克萨斯州弗里斯科市在内的其他机构均反馈，其业务受到 BridgePay 此次事件的影响。 支付网关服务遭重创 BridgePay的状态页面显示，其核心生产系统出现大面积中断，受影响部分包括： BridgePay网关API（BridgeComm） PayGuardian 云应用程序接口 MyBridgePay虚拟终端及报表系统 托管支付页面 PathwayLink 网关及入驻门户 当日凌晨 3 时 29 分左右已出现预警信号，监控系统检测到多项服务性能下降，首当其冲的是 “Gateway.Itstgate.com—— 虚拟终端、报表系统、应用程序接口” 相关模块。 这种间歇性服务性能下降最终演变为全面系统中断。 几小时内，该公司便披露事件与网络安全相关，随后证实为勒索软件攻击。 受影响系统范围之广，意味着依赖该平台进行卡交易的众多商户和支付集成商将面临大面积的业务中断。 根据最新公告，BridgePay 表示系统恢复工作尚需时日，相关处置正以 “安全、负责的方式” 推进，同时公司的溯源调查仍在持续。 此次事件进一步加剧了针对支付基础设施的勒索软件攻击浪潮，一旦交易通道中断，影响将迅速传导至线下实体商业领域。 消息来源:bleepingcomputer.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 意大利罗马大学（La Sapienza）近日成为网络攻击目标，其IT系统遭受影响，导致该教育机构内部运营大面积瘫痪。 校方于本周早些时候首次通过社交媒体披露了此次事件，称其IT基础设施“已成为网络攻击的目标”。作为预防性措施并确保数据完整与安全，学校已下令立即关闭所有网络系统。 罗马大学是欧洲在校学生规模最大的高校，在册学生超 11.25 万名；目前已就该事件报备有关部门，并成立技术专项小组，启动漏洞修复与系统恢复工作 截至撰稿时，该校官方网站仍无法访问。其Instagram官方账号持续更新状态，显示恢复工作仍在进行中。根据昨日发布的公告，校方已设立临时“信息服务点”，为学生们提供因当前数字系统与数据库无法访问而难以获取的各类信息。 尽管校方未透露攻击具体类型及实施者详情，但意大利《晚邮报》援引内部消息称，此次事件系名为Femwar02的亲俄黑客组织发起的勒索软件攻击，已造成数据被加密。 该媒体依据恶意软件特征与攻击模式分析指出，此次攻击与Bablock/Rorschach勒索软件高度相似。该勒索软件变种于2023年首次出现，以加密速度快、定制化程度高为特点。网络安全公司Check Point分析认为，该勒索软件整合了Babuk、LockBit v2.0、DarkSide三款勒索软件的泄露源代码开发而成。 据《晚邮报》消息源透露，攻击者已索要赎金，但校方工作人员未打开赎金通知，以避免触发 72 小时倒计时机制，因此赎金金额尚未明确。目前，该校技术人员正联合意大利计算机安全事件响应小组（CSIRT）、国家网络安全局（ACN）及邮政警察部门专家开展工作，通过未受影响的备份数据推进系统恢复。 需注意的是，尽管Rorschach勒索软件未在暗网设立专门的勒索数据泄露站点，但被窃数据仍可能被传播或转售给其他数据勒索集团，因此数据泄露至公网的风险仍极高。 基于当前情况，罗马大学全体师生需高度警惕钓鱼攻击，切勿点击陌生信息中的链接，并持续监控个人账户是否存在可疑活动。 消息来源:bleepingcomputer.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文