HackerNews 编译，转载请注明出处： 近期，执法部门遭受黑客攻击，LockBit团伙已在新基础设施上重新启动了勒索软件操作，并威胁将更多的攻击重点放在政府部门上。 根据联邦调查局泄密模型透露，该团伙发布了一份详细声明，指明他们的疏忽导致了此次泄露，并概述了未来的行动计划，旨在引起关注。 LockBit 勒索软件持续攻击 上周六，LockBit宣布恢复其勒索软件业务，并发布信息称，承认“个人疏忽和不负责任”扰乱了执法部门其在克罗诺斯行动中的活动。 该团伙保留了其品牌名称，并将数据泄露网站转移到了新的.onion地址。该网站列出了五名受害者，并附有发布被盗信息的倒计时器。   重新启动的 LockBit 数据泄露网站 2月19日，当局拆除了LockBit的基础设施，包括34台服务器，这些服务器托管了数据泄露网站及其镜像、从受害者窃取的数据、加密货币地址、解密密钥以及附属面板。 在攻击发生后，LockBit团队立即确认了泄露事件，称他们只丢失了运行PHP的服务器，并且未受影响的备份系统是基于PHP的。 五天后，LockBit团队重新启动了其业务，并提供了有关漏洞的详细信息，以及他们将如何运营业务以使其基础设施更难以遭受黑客攻击。 未更新的 PHP 服务器 LockBit 表示，执法部门入侵了两个主要服务器。 黑客指出，由于个人疏忽和不负责任，他们没有及时更新PHP，导致受害者管理和聊天面板服务器以及博客服务器运行的是PHP 8.1.2版本，其很可能受到了CVE-2023-3824漏洞的黑客攻击。 LockBit表示，他们已经更新了PHP服务器，并宣布将奖励在最新版本中发现漏洞的人。 网络犯罪分子猜测，执法部门入侵其基础设施的原因可能是因为一月份对富尔顿县的勒索软件攻击，这增加了泄露信息的风险。 黑客表示，执法部门获得了数据库、网络面板源以及一小部分未受保护的解密器”。 去中心化 在克罗诺斯行动期间，当局收集了1000多个解密密钥。LockBit声称警方从未受保护的解密器获得了密钥，服务器上有近20,000个解密器。 黑客将“不受保护的解密器”定义为未启用“最大解密保护”功能的文件加密恶意软件的构建，通常由低级别附属机构使用，这些附属机构收取2000美元的赎金。 LockBit计划升级其基础设施的安全性，并切换为手动发布解密器和试用文件解密，以及在多个服务器上托管附属面板，并根据信任级别为其合作伙伴提供对不同副本的访问权限。 该团伙遭受了沉重打击，即使它设法恢复了服务器，附属机构也有充分的理由不信任。LockBit表示，通过面板的分离和更大的去中心化，无需自动模式下的试解密，最大限度地保护每个公司的解密者，黑客入侵的机会将显著降低。 消息来源：bleepingcomputer，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

作为国际克罗诺斯行动的一部分 ，英国执法部门透露 ，尽管他们收到了删除受害者数据的赎金，但LockBit 勒索组织仍在保留受害者的数据。 英国国家犯罪局（NCA）局长格雷厄姆·比格（Graham Biggar）称LockBit是过去四年来“最活跃、最具危害性的勒索软件组织”，自成立以来，该组织已成功攻击了全球数千个组织。 该组织的行为包括对受害者网络上的设备进行加密，并窃取数据，随后要求赎金以提供解密密钥并删除数据。该组织在表态中声称，将严格遵守承诺。 然而，最近的情况表明，即使受害者支付了赎金，黑客仍然保留了被盗数据的备份副本。目前尚不清楚犯罪分子是否与第三方分享了这些信息，但这些数据保留在他们手中这一事实完全否定了勒索者的所有声明和承诺。 NCA计划稍后公布在行动中获得的更多信息，包括有关LockbitSupp管理员和该组织财务状况的数据。Graham Biggar在接受记者采访时强调了勒索软件威胁的严重性，并指出2023年是攻击次数和勒索资金量创纪录的一年。 LockBit有可能会试图恢复其犯罪活动，但执法机构打算继续打击该组织，特别是现在他们已经掌握了有关其参与者和行动方法的足够信息。 之前的报道指出，执法人员已经清理了LockBit的基础设施，并完全控制了他们在洋葱网络上的网站。   转自安全客，原文链接：https://www.anquanke.com/post/id/293401 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 美国国务院提供高达1500万美元的奖励，用于悬赏与LockBit勒索软件团伙成员及其同谋相关的信息。 奖励分为两部分：1000万美元用于获取可能导致定位或识别LockBit领导层的信息；另外，500万美元奖金用于提供可能导致逮捕LockBit勒索软件关联公司的线索。 美国司法部将LockBit勒索软件团伙与超过2000名受害者联系起来，指出该团伙索要数亿美元的赎金后，已获利超过1.2亿美元。 这些奖励是通过跨国有组织犯罪奖励计划（TOCRP）提供的。自1986年以来，美国政府已为有用线索支付超过1.35亿美元。 美国国务院设有专用的Tor SecureDrop服务器，可用于匿名提交与LockBit和其他通缉威胁行为者有关的线索。 美国国务院安全投递页面 此次，美国国务院宣布悬赏总额达1500万美元，以奖励提供有关LockBit勒索软件变体攻击的相关信息。 自2020年1月以来，LockBit攻击者对美国和全球范围内的2000多名受害者实施了攻击，导致了昂贵的业务中断以及敏感信息的破坏或泄露。已支付超过1.44亿美元的赎金，用于从LockBit勒索软件事件中进行恢复。 LockBit勒索软件团伙因国际执法行动而瓦解 在代号为“克罗诺斯行动”的全球执法行动中，LockBit勒索软件的暗网泄露网站在本周被关闭，该行动由英国国家犯罪局（NCA）领导。 警方官员在“ No More Ransom”门户网站上发布了免费的LockBit 3.0 Black勒索软件解密器，该解密器利用从LockBit被扣押的服务器中检索到的1,000多个解密密钥开发而成。 LockBit 泄露网站截图 两名LockBit组织成员被逮捕，针对其他LockBit黑客，法国和美国司法当局发出了三份国际逮捕令和五份起诉书。 美国司法部本周还公布了针对两名俄罗斯嫌疑人Artur Sungatov和Ivan Gennadievich Kondratiev（又名Bassterlord）的两份起诉书，指控他们涉嫌参与LockBit攻击。 全球警方共查获了34台LockBit服务器以及200多个加密钱包，这些钱包被该团伙用来收取赎金。 执法部门今天在该组织的暗网泄露网站上发布了更多信息，显示LockBit在一段时间内雇佣了188名成员。但具体的全部成员信息暂未公布。 LockBit勒索软件即服务（RaaS）于2019年9月开始运行，本周被关闭，是迄今为止运行时间最长的RaaS操作。 自曝光以来，LockBit声称对全球多个大型政府组织发起了攻击，包括波音公司、英国皇家邮政和意大利国税局等。 最近，美国银行向客户发出数据泄露警告，原因是其Infosys McCamish Systems（IMS）服务提供商遭到声称为LockBit的黑客攻击。   消息来源：bleeping computer，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

继昨天执法部门接管了 LockBit 的泄密网站后，英国国家犯罪局 (NCA) 和欧洲刑警组织分享了有关取缔范围的更多信息。 LockBit 下架 “今天，在渗透该组织的网络后，NCA 已经控制了允许 Lockbit 服务运行的基础设施，从而损害了他们的整个犯罪活动并损害了他们的信誉，”该机构表示。 他们控制了 LockBit 的管理环境，使附属机构能够构建和实施攻击，并控制了该组织在暗网上面向公众的泄密站点，该站点将显示暴露 LockBit 能力和操作的信息。 “该机构还获得了 LockBit 平台的源代码以及来自他们系统的大量情报，这些情报涉及他们的活动以及与他们合作并使用他们的服务损害世界各地组织的人。” 成功取缔 LockBit 克罗诺斯行动涉及国家犯罪局、联邦调查局、欧洲刑警组织和其他执法机构的官员，已导致： 波兰和乌克兰两名 LockBit 成员被捕（他们已受到刑事指控，将被引渡到美国接受审判） 对两名俄罗斯公民的起诉（因密谋实施 LockBit 攻击） 与该组织相关的 200 多个加密货币账户被冻结 荷兰、德国、芬兰、法国、瑞士、澳大利亚、美国和英国的 34 台服务器被关闭（属于 LockBit 威胁行为者或其附属机构） “目前，执法部门掌握了整个调查过程中收集的大量数据。这些数据将用于支持正在进行的国际行动活动，重点针对该组织的领导人，以及与这些犯罪活动有关的开发商、附属机构、基础设施和犯罪资产，”欧洲刑警组织表示。 解密密钥已恢复 “这项由 NCA 主导的调查是对世界上危害最大的网络犯罪集团的突破性打击。这表明，任何犯罪活动，无论发生在何处，无论多么先进，都超出了该机构和我们的合作伙伴的能力范围，”NCA 主任格雷姆·比格 (Graeme Biggar) 评论道。 “通过我们的密切合作，我们已经攻击了黑客；控制他们的基础设施，获取他们的源代码，并获得有助于受害者解密其系统的密钥。截至今天，LockBit 已被锁定。我们损害了一个依赖保密和匿名的组织的能力。” NCA 拥有 1,000 多个解密密钥，并将联系英国受害者提供支持并帮助他们恢复加密数据。联邦调查局和欧洲刑警组织将对美国和其他国家的受害者采取同样的措施。 欧洲刑警组织表示：“在欧洲刑警组织的支持下，日本警方、国家犯罪局和联邦调查局集中了他们的技术专长来开发解密工具，旨在恢复由 LockBit 勒索软件加密的文件。” 美国司法部表示：“从今天开始，我们鼓励该恶意软件的受害者联系联邦调查局，以便执法部门确定受影响的系统是否可以成功解密。 ”   转自安全客，原文链接：https://www.anquanke.com/post/id/293345 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 近日，LockBit勒索软件团伙宣布对芝加哥社区医院发起网络攻击。该医院在发布的声明中承认了这一事件，指出该攻击于去年12月18日被首次发现。 这是该组织在今年1月份第二次针对医院的攻击，去年11月，发起的攻击导致新泽西州和宾夕法尼亚州多家医院不得不取消预约并在没有患者档案的情况下进行运营。 LockBit勒索软件团伙在本周二晚上将医院列入其泄密网站，并要求支付近90万美元的赎金，给予两天时间作出回应，截止目前LockBit 官网信相关信息已经下架。 受攻击的芝加哥社区医院表示：“已经采取行动确保患者护理不受影响。尽管已确认了包含患者信息的文件被黑客复制，但没有迹象表明电子病历（EMR）数据库或整个财务系统受到损害，目前尚不清楚受影响的具体信息类型”。 该医院目前已向联邦调查局、美国卫生与公众服务部以及其他监管机构报告了此次事件。医院承诺会尽快向可能受影响的患者直接邮寄通知信，提供免费的信用监控和身份保护服务。据报道，该医院在2021年和2022年接诊了超过34万名患者。 与此同时，该团伙因涉嫌拒绝向附属机构支付费用而面临内部骚乱。尽管该组织过去声称制定了禁止攻击医院的规定，但LockBit成员仍然继续对医疗机构发起攻击。在2022年圣诞节期间，该团伙曾对加拿大最大的儿科健康中心多伦多病童医院发起袭击，引起公愤。此后，他们继续袭击美国和国外多家医院和医疗机构。   消息来源：therecord，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国连锁快餐店Subway已经成为LockBit勒索软件的攻击目标。LockBit 称他们已经成功窃取了数百GB的数据，并要求该公司在接下来的两周内支付赎金。 1 月 21 日，LockBit 在其数据泄露网站上将Subway列为受害者。黑客称如果在 2 月 2 日之前要求没有得到满足，他们将公开窃取的数据。 “我们窃取了他们的 SUBS 内部系统，其中包括数百GB的数据和特许经营权的所有财务预期，包括员工工资、特许经营权使用费、主特许经营佣金支付、餐厅营业额等。我们给他们一些时间来保护这一点数据，否则我们愿意将其出售给竞争对手。” LockBit 表示。 LockBit 目前暂时没有提供任何数据样本作为证据，Subway 表示目前正在核实相关信息的真实性。 据有关数据显示，截止 2023 年，共识别出在数字环境中运行的 66 个活跃勒索软件组织，LockBit 连续两年保持榜首。 该组织声称对数量最多的受害者负有责任，截至2023年发生了1009起事件，约占所有勒索软件受害者的四分之一。该组织主要以建筑、制造/工业和零售行业为目标进行攻击。 该组织声称对受害者数量最多负责，2023 年发生了 1009 起事件，占所有勒索软件受害者的近四分之一。该组织主要针对建筑、制造/工业和零售等行业进行攻击，近期还曾对台湾最大导体厂发起了勒索攻击。 消息来源：cybernews，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 台湾最大的半导体制造商之一 Foxsemicon 遭 LockBit 勒索攻击，声称已获取了该公司 5 TB 的数据。 Foxsemicon公司遭到攻击，黑客声称已成功窃取5 TB的数据。威胁称如果公司不支付赎金，黑客将在暗网上公开这些数据。在本次Foxsemicon的攻击中，LockBit采用了非典型的策略，与其通常在勒索网站上公布受害者姓名的做法不同，此次主要是威胁公开数据。 台湾媒体周三报道称，Foxsemicon在向台湾证券交易所提交的声明中提及，在检测到此次攻击后，他们迅速恢复了公司的网站，并目前正在与安全专家合作，初步调查显示该事件“不会对公司的运营造成重大影响”。 然而，截至美国时间周三下午，该公司的网站仍无法访问，而谷歌搜索结果仍然显示黑客的信息，该公司的股价当天在台湾市场下跌了约3%。 Foxsemicon未透露黑客索要赎金的信息，也未确认客户或员工个人信息是否被泄露，母公司鸿海科技集团截至目前未回应子公司遭网络攻击的请求。   消息来源：therecord.media，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近日，LockBit勒索软件组织声称对 2023 年 11 月发生在 Capital Health 医院的网络攻击事件负责。 CAPITAL HEALTH医院网络在遭受攻击后经历了IT 系统中断。事件发生后，医院立即通报法务部门，并聘请了第三方数字取证和信息技术专家提供支持。与此同时，医院采取了额外的安全措施以保护其基础设施功能。 Capital Health区域医疗中心是Capital Health系统的成员，位于新泽西州特伦顿。该中心是一个区域性学术医疗中心，同时也是州指定的创伤中心，专门负责治疗相关病例。 目前，LockBit勒索软件组织已将Capital Health列入其Tor数据泄露网站的受害者名单，被盗的医疗机密数据总量超过 7 TB ，价值 25 万美元。截止发稿时，暂未找到相关信息。 同时，LockBit澄清其攻击仅限于医院数据的盗窃，不会对患者护理产生中断影响。 日前，LockBit勒索软件组织仍在持续对卫生保健组织进行攻击。最近，Katholische Hospitalvereinigung Ostwestfalen（KHO）宣布，其三家医院（Bielefeld、Rheda-Wiedenbrück和Herford）在LockBit勒索软件攻击后经历了服务中断，这一安全事件可能对当地居民产生严重影响。   Hackernews 编译，转载请注明出处 消息来源：securityaffairs，译者：dengdeng

Hackernews 编译，转载请注明出处： LockBit 勒索软件业务现在正在从BlackCat/ALPHV 和 NoEscape 中招募分支机构和开发人员。 上周，NoEscape 和 BlackCat/ALPHV 勒索软件的 Tor 网站突然无法访问，没有任何警告。与 NoEscape 相关的分支机构声称，该勒索组织实施了一场退出骗局，窃取了数百万美元的赎金，并关闭了该公司的网页和数据泄露网站。 NoEscape 被认为是 Avaddon 勒索软件的翻版，Avaddon 于2011年6月关闭，并向 BleepingComputer 发布了解密密钥。我们希望 NoEscape 将再次为他们的受害者释放解密密钥。 BlackCat/ALPHV 勒索软件上周也遭受了5天的中断，包括数据泄露和谈判站点在内的所有基础设施都处于离线状态。周一，该数据泄露网站恢复，但所有数据都被删除了。管理员声称他们的中断是由硬件故障引起的，然而，多方消息称，网站中断与执法行动有关（执法部门捣毁臭名昭著的 BlackCat 勒索软件网站）。 LockBit 从陷入困境的帮派中招募成员，据 LeMagIT 首次报道，LockBit 运营经理 LockBitSupp 已经开始从 BlackCat 和 NoEscape 勒索软件中招募分支机构。 在一个俄语的黑客论坛上，LockBitSupp 告诉附属机构，如果他们有被盗数据的备份，他们可以利用他的数据泄露网站和谈判小组继续勒索受害者。除了附属机构之外，LockBitSupp 还试图为 ALPHV 加密器招募编码员。 虽然目前还不清楚是否有任何 BlackCat/NoEscape 分支机构已经转移到LockBit，但在 LockBit 的数据泄露网站上已经发现了一个 BlackCat 的受害者。 FalconFeeds在推特上写道：“LockBit 勒索软件组织将德国能源署 dena (http://dena.de)添加到他们的受害者名单中，该机构之前是 BlackCat/ALPHV 勒索软件组织的受害者。” BlackCat/ALPHV是DarkSide和BlackMatter勒索软件操作的重新命名。BlackMatter 于2021年11月关闭后，其附属公司过渡到LockBit。 BlackMatter 转移受害者到 LockBit 网站 由于LockBit是目前最大的勒索软件，LockBitSupp告诉BleepingComputer，他将 BlackCat 的中断视为“圣诞礼物”。 现在判断分支机构和渗透测试人员是否已经对 BlackCat 或 NoEscape 失去了信任，并转向其他业务，现在还很难说。然而，如果我们很快看到另一个品牌组织的重塑，也就不足为奇了。     Hackernews 编译，转载请注明出处 消息来源：bleepingcomputer，译者：Serene

Hackernews 编译，转载请注明出处： 本月初，全球领先的自行车零部件制造商之一 Shimano 遭受勒索软件攻击，涉及 4.5TB 的敏感公司数据。 据《自行车新闻》报道，攻击者 LockBit 是一个网络犯罪组织，他们使用恶意软件来破坏公司的敏感数据、勒索金钱，以换取不公开发布这些数据。 网络安全公司 Flashpoint 称其为世界上“最活跃”的勒索软件组织，在所有已知的勒索软件攻击中，有27.93%是由该组织发起的。 本月早些时候，LockBit 组织威胁要公布 Shimano 公司的 4.5TB 机密数据，除非他们支付一笔数额不详的赎金。泄露的数据包括机密员工详细信息、财务文件、客户数据库和其他机密公司文件。 黑客将赎金的最后期限定为2023年11月5日，逾期未支付赎金，LockBit 网站上的通知就变为了“所有可用数据(已)公布”。但是没有相应的下载链接来访问这些数据。直到上周，Escape Collective 更新了他们的报告，Shimano 可能正在进行谈判。 但至少部分数据确实已经公布，Escape Collective 报告说，公开的是多个文件夹以及子文件夹，文件包含英文、中文和印尼语，涵盖了 Shimano 渔具和自行车部门不同机密性的广泛信息。目前还不清楚赎金是多少。 很明显，Shimano 公司没有支付赎金，因此泄露了敏感信息。但这并不意味着结束。在 Shimano 收到的勒索信中，黑客指出，“如果你不支付赎金，我们将来会再次攻击你的公司。”     Hackernews 编译，转载请注明出处 消息来源：bicycling.com，译者：Serene