HackerNews 编译，转载请注明出处： 10 月中旬，CLOP 勒索软件团伙首次宣称入侵《华盛顿邮报》，并将其列入 Tor 数据泄露网站。 CLOP（又称 Cl0p）是一个活跃的俄语勒索软件即服务（RaaS）团伙，专注于 “大型目标狩猎” 和 “双重勒索” 攻击。 该团伙于 2019 年 2 月左右首次出现在威胁格局中，脱胎于 TA505 网络犯罪集团 —— 这是一个至少自 2014 年起就活跃的以获利为目的的犯罪团伙。 与其他俄罗斯背景的威胁行为者一样，CLOP 会避开前苏联国家的目标，其恶意软件无法在主要使用俄语的计算机上激活。 团伙操作者及关联人员会锁定高价值目标，窃取敏感数据、加密网络，随后将被盗文件发布到数据泄露网站，向受害者施压以迫使其支付赎金。CLOP 会利用零日漏洞和存在漏洞的第三方软件（如 MOVEit、GoAnywhere、甲骨文 EBS 系统），借助初始访问中介和自动化工具，还会使用复杂的规避技术和横向移动技术，以最大化攻击影响和获利。 CLOP 的受害者包括Shell、英国航空公司、Bombardier、科罗拉多大学、普华永道以及BBC等。 该团伙发起的重大攻击活动包括： GoAnywhere MFT 攻击（2023 年）：利用漏洞 CVE-2023-0669 入侵了超过 130 家机构。 MOVEit Transfer 攻击（2023 年）：通过 SQL 注入零日漏洞 CVE-2023-34362 实施，是历史上规模最大的勒索软件攻击活动之一，影响了全球数百家公司，包括美国和欧洲企业。 Accellion FTA 攻击（2020-2021 年）：利用文件传输设备中的零日漏洞，从约 100 家机构窃取数据。     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国零售巨头沃尔玛旗下的仓储超市连锁品牌Sam’s Club正在调查Clop勒索软件团伙声称的网络攻击事件。 Sam’s Club在美国和波多黎各运营着600多家仓储式超市，并在墨西哥和中国拥有近200家门店。该公司拥有超过230万名员工，截至2023年1月31日的财年，总收入达到843亿美元。 “我们注意到有关潜在安全事件的报告，正在积极调查此事，”Sam’s Club的发言人向BleepingComputer表示，”保护会员信息的隐私和安全是我们的首要任务。我们高度重视这些问题，并将在适当时候进一步通报情况。” 尽管Sam’s Club并未透露更多调查细节，Clop勒索软件团伙已在其暗网泄密网站上新增了Sam’s Club的条目。该团伙尚未公布任何与此次攻击相关的证据，只是在网站上声称这家总部位于阿肯色州的批发商”无视客户安全，不关心客户权益”。 此次指控发生在Clop团伙自今年1月以来针对全球多家企业发起大规模数据盗窃攻击之后。据悉，这些攻击利用了Cleo安全文件传输软件中的零日漏洞（CVE-2024-50623）。尽管目前尚不清楚有多少企业受影响，Cleo公司表示其产品被全球4000多家机构使用。 今年1月，Clop将总部位于亚利桑那州的Western Alliance Bank列入其泄密网站，并在上周通知近2.2万名客户，他们的个人信息在去年10月的攻击中被盗。此次攻击同样是利用第三方安全文件传输软件中的漏洞。 Clop勒索软件团伙此前还曾利用Accellion FTA、MOVEit Transfer和GoAnywhere MFT等安全文件传输软件中的零日漏洞，实施数据盗窃活动。 值得注意的是，这并非Sam’s Club近年来首次遭遇安全事件。2020年10月，Sam’s Club曾通知部分客户，他们的账户在凭证填充攻击中遭到入侵。随后，Sam’s Club自动重置了这些账户的密码。 当时，Sam’s Club的发言人表示：”此次事件并非我们的系统被攻破，而是攻击者通过网络钓鱼、恶意软件植入或其他企业的数据泄露获取了用户名和密码。我们已重置这些账户的密码，并采取了额外措施以防范欺诈行为。”   消息来源：Bleeping Computer 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Rubrik 上个月披露，其一台托管日志文件的服务器遭到入侵，导致公司更换了可能泄露的认证密钥。 该公司已向 BleepingComputer 确认，此次入侵并非勒索软件事件，且公司未收到任何来自威胁行为者的通信。 Rubrik 是一家专注于数据保护、备份和恢复的网络安全公司，在全球 22 个办公室拥有超过 3000 名员工。该公司在全球拥有超过 6000 名客户，包括 AMD、Adobe、Pepsico、Home Depot、Allstate、Sephora、GSK、Honda、Harvard University 和 TrelliX 等知名企业。 在 2 月 2 日发布的一份安全公告中，Rubrik 表示检测到其托管日志文件的服务器上存在异常活动，Kevin Beaumont 首先发现了这一公告。 “Rubrik 信息安全团队最近发现一台包含日志文件的服务器上存在异常活动。我们立即将该服务器下线以降低风险，” Rubrik 的安全公告中写道。 “在第三方法医合作伙伴支持下进行的调查确认，此次事件仅限于这一台服务器，我们未发现任何未经授权访问我们代表客户保护的数据或我们内部代码的证据。” 然而，Rubrik 表示，少量日志文件中包含访问信息，出于谨慎考虑，公司决定更换认证密钥。 该公司表示，没有迹象表明这些信息被滥用。 此外，Rubrik 表示，他们的调查未发现威胁行为者获取客户数据或内部源代码的证据。 Rubrik 此前曾在 2023 年遭受数据泄露，当时公司的数据在 Clop 勒索软件团伙发起的大规模 Fortra GoAnywhere 数据盗窃攻击中被盗。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

勒索软体黑客组织Clop发起MFT档案共享系统MOVEit Transfer零时差漏洞攻击，近六百家企业机构遭殃，亦有部分组织因IT服务供应商遭受攻击而受害，且规模持续扩大。 这起事故发生迄今快2个月，从当初指出攻击者的身份，到黑客组织坦诚犯案、公布受害组织名单，后来则有部分企业与公家机关证实遭遇相关攻击。但相较于先前的事故，这次有许多不同的地方。 事件的首度揭露源自零时差漏洞公告 这起事件的曝光，主要与5月底Progress发布的漏洞公告有关。黑客针对Progress公司旗下MFT档案共享系统MOVEit Transfer的零时差漏洞，发动攻击，窃取组织存放的档案，且已有许多组织受害。 黑客利用的漏洞与Progress在5月31日公布的SQL注入漏洞有关──此漏洞能允许未经身分验证的攻击者取得数据库权限，而能截取MOVEit所采用的数据库内容。 而对于攻击者的身份，微软威胁情报团队于5日表示，根据他们的调查，很有可能就是勒索软体黑客组织Clop所为，理由是该组织也曾利用类似的漏洞来窃取资料，并向受害组织勒索。 受害企业与组织不断浮出台面，表明受到攻击 在微软怀疑攻击者的身份后，黑客组织Clop开始有所行动，同时也有企业与政府单位表明受害。在这些组织当中，有不少MOVEit Transfer，是IT服务业者维护的系统。 最早证实遭到攻击的组织约于6月5日出现，包含了英国航空、英国广播公司（BBC）、薪资系统服务供应商Zellis、加拿大新斯科舍省政府等。 而对于微软的指控，Clop透露，这起攻击行动就是他们所为，并宣称开始发动攻击的时间是5月27日，但不愿透露入侵此种档案共享系统服务器的数量，仅表示他们即将向受害组织进行勒索，要求这些组织于6月14日前进行谈判。 黑客多次公布受害组织名单 值得留意的是，虽然黑客声称有数百个组织受害，但他们分成多次公布部分名单，且初期每次的数量都不多，而使得遭到公布的组织都受到相当程度的关注。 勒索软件Clop于6月14日公布1份受害组织名单，总共列出13个对象，其中包含了石油公司壳牌、保险公司、格鲁吉亚大学、乔治亚大学系统等。 6月15日，这些黑客又公布14个受害组织。这些单位大部分来自美国，其中有3个为欧洲组织，分别是位于法国、瑞士、卢林堡的组织，而且，主要是金融服务业、但也有医疗保健、制药厂，以及科技产业。 6月16日美国东部时间上午，又有10个受害组织被黑客列入名单，值得留意的是，这次开始有亚洲的组织出现。截至目前为止，有58个组织被列于黑客的网站上。 从事件发生之后，Progress总共修补了6个CVE漏洞，不同程度的MOVEit Transfer修补层级，IT人员需要采取的更新步骤也不同，使得修补工作变得更为复杂。     转自E安全，原文链接:https://mp.weixin.qq.com/s/O8vxe2pwYhiZ3jWHTYFxNA 封面来源于网络，如有侵权请联系删除