Hackernews 编译，转载请注明出处： 根据路透社消息，Lockbit 勒索软件团伙本周一在一份声明中称中国工商银行已支付了赎金。路透社无法独立证实该声明的真实性。 工行美国分支机构 11 月 9 日受到勒索软件攻击（中国工商银行美国子公司遭 LockBit 勒索软件攻击），导致美国国债市场交易中断。工行没有立即回应置评请求。 “他们支付了赎金，交易已完成，”Lockbit 的代表通过在线消息应用程序 Tox 告诉路透社。 工商银行美国经纪自营商的停牌使其暂时欠下纽约梅隆银行 90 亿美元的债务，这一数额是其净资本的数倍。 据路透社报道，这次黑客攻击的范围如此之广，以至于该公司的公司电子邮件都停止了运行，迫使员工改用谷歌邮件。 勒索软件攻击发生之际，正值人们对 26 万亿美元美国国债市场的弹性担忧加剧，美国国债市场对全球金融管道至关重要，可能会受到监管机构的密切关注。对此，美国财政部发言人周一没有立即发表评论。 金融行业网络安全组织金融服务信息共享和分析中心说，金融公司有完善的协议来共享此类事件的信息。一位发言人在一份声明中表示：“我们提醒会员保持所有保护措施的最新状态，并立即修补关键漏洞。”他补充说：“勒索软件仍然是金融业面临的最大威胁载体之一。” 为什么支付? 最近几个月，Lockbit 入侵了世界上一些最大的组织，在受害者拒绝支付赎金的情况下窃取和泄露敏感数据。 据美国官员称，在短短三年内，它已成为世界上最大的勒索软件威胁。 而美国遭受到了最广泛的打击，从金融服务、食品到学校、交通和政府部门，1700 多家美国组织都受到了影响，几乎涉及每个行业。 长期以来，官方一直建议不要向勒索软件团伙支付赎金，以打破犯罪分子的商业模式。赎金通常被要求以加密货币的形式支付，这种形式更难追踪，并且接收者为匿名。 一些公司已经悄悄支付了赎金，以求迅速恢复运营，避免敏感数据被公开泄露对公司声誉造成损害。如果受害者没有数字备份，必须使用解密密钥才能恢复系统，他们有时别无选择，只能付费。 上周，Lockbit 团伙公布了航空巨头波音公司的内部数据（勒索不成！LockBit 泄露 43GB 波音公司数据）。并在其网站上表示，他们已经感染了安理律师事务所的计算机系统。 另外值得注意的是，Lockbit 团伙对中国工商银行、DP World、Allen & Overy 和波音等多家公司的攻击，其共同点都是利用 Citrix Bleed (CVE-2023-4966) 的公开漏洞，以破坏大型组织的系统、窃取数据和加密文件。 尽管 Citrix 在一个多月前就修复了 CVE-2023-4966，但数千个暴露在互联网上的端点仍在运行易受攻击的设备。     Hackernews 编译，转载请注明出处 消息来源：Reuters，译者：Serene

Hackernews 编译，转载请注明出处： LockBit 勒索软件团伙公布了从波音公司窃取的数据，波音公司是为商用飞机和国防系统提供服务的最大航空航天公司之一。在泄露之前，LockBit 黑客表示，波音公司无视有关数据将被公开的警告，并威胁要公布约 4GB 的最新文件样本。 在波音公司拒绝支付赎金后，LockBit 勒索软件泄露了超过 43GB 的文件。 LockBit 网站上列出的大多数数据都是不同系统的备份，其中最近的时间戳是10月22日。 该勒索软件于10月27日在其网站上发布了波音公司的信息，并要求波音公司在11月2日的最后期限前与他们联系并进行谈判。 黑客当时表示，他们已经窃取了“大量敏感数据”，并准备公布这些数据。 波音在 LockBit 数据泄露网站的页面 波音公司从 LockBit 的受害者名单上消失了一段时间，但在11月7日再次被列入名单，当时黑客宣布他们的警告被忽视了。LockBit 勒索软件团伙决定表明他们有讨价还价的筹码，并威胁要公布“大约 4GB 的样本数据”。 黑客还威胁说，“如果我们看不到波音公司的积极合作”，他们将公布这些数据库。 LockBit 勒索软件威胁波音公司泄露被盗文件 11月10日，LockBit 在他们的网站上公布了他们从波音公司获得的所有数据。这些文件包括 IT 管理软件的配置备份，以及监控和审计工具的日志。 Citrix 设备的备份也被列出，这引发了人们对 LockBit 勒索软件使用最近披露的 Citrix Bleed 漏洞(CVE-2023-4966)的猜测，该漏洞的概念验证漏洞代码已于10月24日公布。 虽然波音公司证实了网络攻击，但该公司没有提供有关该事件的任何细节，也没有提供黑客是如何侵入其网络的。 LockBit 勒索软件已经活跃了四年多，在各个行业造成了数千名受害者。受害者包括大陆汽车巨头、英国皇家邮政、意大利国税局和奥克兰市。 美国政府 6 月表示，自 2020 年以来，该团伙对美国各组织进行了近1700次攻击，勒索了约 9100 万美元。 不仅如此，今年8月西班牙国家警察警告称，一场针对该国建筑公司的网络钓鱼活动，目的是用 LockBit 的 locker 恶意软件对系统进行加密。 而上周，LockBit 确认对中国工商银行美国子公司的勒索攻击负责 >>>中国工商银行美国子公司遭 LockBit 勒索软件攻击       Hackernews 编译，转载请注明出处 消息来源：bleepingcomputer，译者：Serene

Lockbit是最常见的勒索软件之一。它附带了一个联盟勒索软件即服务（RaaS）计划，向参与者提供高达80%的赎金要求，并为那些发现并报告导致文件可以无需支付赎金解密漏洞的人提供了漏洞赏金计划。根据Lockbit所有者、同名网络犯罪组织的说法，已经支付了多达5万美元的赏金。除了这些特点之外，Lockbit还提供了一个可搜索的门户网站，用于查询被勒索软件家族攻击过的公司的泄露信息，甚至向那些在身上纹有Lockbit标志的人提供支付。 Lockbit v3，也称为Lockbit Black，于2022年6月首次被发现，这对自动化分析系统及分析师来说是一个挑战。其中最具挑战性的特征包括： 它支持使用随机生成密码的加密可执行文件。这将会阻止执行并阻碍自动化分析，除非在命令行中提供适当的密码。 有效载荷包括针对逆向工程分析的强大保护技术。 它包括许多未记录的内核级Windows函数. 2022年9月，多名安全新闻专业人士报道并证实了Lockbit 3的一个生成器工具的泄露。该工具允许任何人创建自己定制版本的勒索软件。其中两个不同的用户发布了创建不同变种的勒索软件所需的文件 Lockbit builder上传到GitHub根据我们的分析，X（之前称为Twitter）用户@protonleaks和@ali_qushji发现了两个不同的变体。我们的时间戳分析证实，在两次泄露中builder.exe二进制文件略有不同。protonleaks版本的编译日期是2022年9月9日，而ali_qushji版本是的编译日期是2022年9月13日。在恶意软件的模板二进制文件（嵌入和不完整版本的恶意软件，用于构建最终可供分发的版本）中也发现了类似的编译时间差异。   更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/3018/ 消息来源：securelist，封面来自网络，译者：知道创宇404实验室翻译组。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Bleeping Computer 网站披露，在 LockBit 勒索软件联合咨询报告中，美国和国际网络安全机构表示自2020 年以来，该团伙对美国实体组织发动了约 1700 次攻击，成功勒索了约 9100 万美元。 近期，美国当局及其在澳大利亚、加拿大、英国、德国、法国和新西兰的国际合作伙伴表示，LockBit 勒索软件即服务（RaaS）行动是 2022 年全球“领先”的勒索软件威胁，受害目标数量最多。 根据 MS-ISAC 去年全年收到的报告，影响州、地方、部落和法庭（SLTT）政府的勒索软件事件中，约有 16% 是 LockBit 发起的。在这些事件中，LockBit 团伙攻击的目标主要是市政府、县政府、公共高等教育机构、K-12 学校以及执法部门等紧急服务机构。 此外，MS-ISAC 表示在 2022 年，LockBit 是全世界部署最多的勒索软件变种，并在 2023 年持续“高产”。自 2020 年 1 月以来，使用 LockBit 的分支机构对包括金融服务、食品和农业、教育、能源、政府和应急服务、医疗保健、制造业和运输等行业的关键基础设施部门，发动了大规模攻击。 网络安全机构分享了 LockBit 常利用的漏洞和暴露（CVE），以及自 2019 年 9 月首次出现以来对 LockBit RaaS 操作进化轨迹的深入探索。该联合咨询还提供了缓解措施，以帮助防御者挫败针对其组织的 LockBit 攻击活动。 联邦调查局（FBI）网络部助理主任 Bryan Vorndran 指出联邦调查局鼓励所有组织审查这项 CSA，实施缓解措施，以更好地抵御使用 LockBit 的网络攻击。如果遭受了网络攻击，请联系当地的联邦调查局外地办事处。 2019 年 9 月，LockBit 勒索软件于作为一种勒索软件即服务（RaaS）业务首次出现，并于 2021 年 6 月带着更新版本 LockBit 2.0 RaaS 重新“出道”。 2022 年 2 月的一次紧急警报中，联邦调查局分享了 LockBit 的妥协指标，并建议受害者紧急报告任何LockBit 攻击。 几个月后，LockBit 3.0 推出了 Zcash 加密货币支付选项、创新的勒索策略和第一个勒索软件漏洞奖励计划。 之后，LockBit 对汽车巨头、意大利国税局、英国皇家邮政和奥克兰市等实体组织，发动了网络攻击。       转自 Freebuf，原文链接：https://www.freebuf.com/news/369579.html 封面来源于网络，如有侵权请联系删除

LockBit 3.0勒索软件集团周一泄露了从印度贷款机构Fullerton India窃取的600GB关键数据，两周后该集团向该公司要求300万美元赎金。 Fullerton 印度公司4月24日表示，他们遭受了恶意软件的攻击，作为预防措施，被迫暂时脱机运营。该公司表示，目前已经恢复了客户服务，并与全球网络安全专家合作，使其安全环境更具弹性。 随后，LockBit 3.0 勒索软件集团很快在其数据泄漏网站上将富勒顿印度公司列为受害者，称其窃取了600GB的 “个人和合法公司的贷款协议”。 LockBit 3.0 勒索软件集团给出了4月29日的最后期限，要求其支付赎金否则将公布被盗数据。随后该组织还让该公司选择支付1000美元，将最后期限延长24小时。 Fullerton 印度公司在印度各地设有699个分支机构，为大约210万客户提供上门信贷服务。该公司在2022年管理着价值超过25亿美元的资产，雇用了13000多名员工。 著名的网络犯罪研究人员Ritesh Bhatia与信息安全媒体集团分享了关于LockBit集团在暗网上发布与Fullerton印度公司相关文件的证据。他说，数据泄漏是由于Fullerton印度公司拒绝勒索软件集团的要求，导致该集团启动了三重勒索手段，迫使该公司付款。 双重勒索是指勒索软件攻击者加密受害者的数据并将其渗出，以对受害者施加额外的压力，而三重勒索是指黑客联系受害者的客户、商业伙伴、供应商和客户，将漏洞公之于众，迫使受害者到谈判桌上来。     转自 Freebuf，原文链接：https://www.freebuf.com/news/366094.html 封面来源于网络，如有侵权请联系删除

当Windows系统正饱受各类勒索软件之苦时，苹果macOS似乎都拥有“免死金牌”，但最近，研究人员发现了可能首款针对该系统的勒索软件。 据BleepingComputer 4月16日消息，臭名昭著的勒索软件组织LockBit首次创建了针对Mac的加密器，研究人员在 VirusTotal 上发现了一个 ZIP 存档，其中包含了一个名为“locker_Apple_M1_64”的加密器，能够针对运行在 Apple Silicon 上的较新版Mac。进一步研究发现，针对苹果 M1 芯片的加密器已于 2022 年 12 月上传到了 VirusTotal  ，表明这些样本已经流传了一段时间。 尚处于测试阶段的加密器 BleepingComputer 分析了 针对M1芯片 的 LockBit 加密器中的字符串，发现并不适用，表明这些字符串很可能是在测试中随意拼凑的，比如有许多来自 VMware ESXi 的引用， 而VMare自从苹果采用自研芯片之后就宣布不再对其进行支持。此外，加密器中好包含大量只适用于Windows系统中的文件格式，这些格式在 macOS 设备上均不支持。 这似乎说明，针对macOS的加密器还没有从真正意义上完成部署，也还无法投入到实际的攻击行动中。思科的安全研究人员Azim Khodjibaev认为，该加密器目前仅作为测试使用，从未打算部署在网络攻击中。macOS 网络安全专家 Patrick Wardle进一步证实了这一观点，即该加密器还未完成，因为它缺少正确加密 Mac 所需的功能。 虽然 Windows 一直是勒索软件攻击中最具针对性的操作系统，但显而易见，针对macOS系统的勒索软件开发者早已跃跃欲试，尤其是像LockBit 这种拥有强大技术实力、在勒索软件开发上追求极致的勒索软件组织，未来某一天如果真正出现能够攻击苹果系统产品的加密器也不足为奇。 因此，包括 Mac用户在内的所有计算机用户都应养成良好的在线安全习惯，包括及时更新操作系统、避免打开未知附件和可执行文件，并在登录网站时使用强而复杂的密码。     转自 Freebuf，原文链接：https://www.freebuf.com/news/363777.html 封面来源于网络，如有侵权请联系删除

Check Point Research （CPR） 和 Check Point 事件响应团队 （CPIRT） 的研究人员检测到一种前所未见的勒索软件，被称为 Rorschach 勒索软件，主要用于用于攻击一家美国公司。 专家指出，Rorschach勒索软件是独一无二的。根据Check Point发布的报告，Rorschach是迄今为止观察到的最快的勒索软件之一。 与其他勒索软件不同的是，新发现的Rorschach勒索病毒没有与任何以前已知的勒索软件集团关联。 这款勒索软件能够执行在企业范围内勒索软件部署期间手动执行的任务。在谈到受害者文件加密的速度时，专家表示 Rorschach是目前观察到最快的勒索软件之一。 “Rorschach”勒索软件采用了一种高效且快速的混合加密方案，该方案混合了curve25519和eSTREAM密码hc-128算法用于加密。这个过程只对原始文件内容的一个特定部分进行加密，而不是整个文件。WinAPI CryptGenRandom被用来生成加密的随机字节，作为每个受害者的私钥。共享密钥是通过curve25519计算的，使用生成的私钥和硬编码的公钥。最后，计算出的共享密钥的SHA512哈希值被用来构建eSTREAM密码hc-128的KEY和IV。 （混合加密） 研究人员将Rorschach加密的速度与Lockbit v.3进行了比较，后者需要大约7分钟来加密受害者的文件，而Rorschach只需4分30秒就能完成。事实证明，一个新的恶魔诞生了。 （赎金票据） 更恐怖的是，Rorschach勒索软件是高度可定制的。也就是说，通过调整加密线程的数量，它可以实现更快的速度。 Rorschach虽然不隶属于其他任何勒索软件组织，但它与其他赎金软件集团也有相似之处。例如，一些赎金票据类似于Yanluowang和DarkSide赎金票据，混合加密方案与Babuk赎金软件集团类似。同时，Rorschach和LockBit之间也有一些相似之处。 “Rorschach “的代码是用其他勒索软件不常见的方式进行保护和混淆的，并且在编译时进行了编译器优化，以尽可能地提高速度和代码内联。就目前来看，Rorschach 从“久负盛誉”的勒索软件集团中汲取了精华，然后加入了一些自己的独特功能。 在最近的观察中安全研究人员表示，在亚洲、欧洲和中东的中小型企业和工业公司也出现了Rorschach 的攻击。     转自 Freebuf，原文链接：https://www.freebuf.com/news/362741.html 封面来源于网络，如有侵权请联系删除  

据BleepingComputer消息，在英国最大的邮政企业皇家邮政（Royal Mail） 遭遇网络攻击近1个月后，LockBit 勒索软件组织正式承认自己是这起网络勒索攻击事件的“始作俑者”。 1月初，英国皇家邮政因这次攻击导致国际邮政业务被迫中断。当时的勒索票据显示，它是由“LockBit Black Ransomware”创建，属于LockBit所采用的新版加密器，包含已被关闭的 BlackMatter 勒索软件的代码和功能。票据还包含多个指向 LockBit 勒索软件操作的 Tor 数据泄漏站点和协商站点的链接，这些线索无不指向攻击者就是 LockBit 。   但LockBit负责对外联络的 LockBitSupport曾在事后表示，他们没有攻击皇家邮政，并称是有其他攻击者使用了他们泄露的构建器实施了这次行动。LockBitSupport没有解释为什么皇家邮政的赎金票据包含指向 LockBit 的 Tor 协商和数据泄漏站点的链接，而不是其他据称使用构建器的攻击者的站点。 不久后，LockBit曾在一个俄罗斯黑客论坛的帖子中证实，旗下某附属组织发动了这次攻击，表示只会在支付赎金后提供解密器并删除从皇家邮政网络窃取的数据。 而随着2月6日（UTC），皇家邮政被列入LockBit数据泄露网站的攻击条目，表示该组织正式宣告对这起攻击事件负责。条目显示，如果不能在 2 月 9 日星期四凌晨 03:42分（UTC）之前缴纳赎金，被盗数据将会公开发布。 皇家邮政在 LockBit 数据泄露网站上的条目信息   在攻击发生后，皇家邮政仍将这起事件模糊地描述为“网络事件”，试图淡化勒索攻击带来的影响，并表示已经恢复了部分受影响的服务。 就在去年11月，皇家邮政也曾因网络故障，导致在线追踪服务中断超过24小时。     转自 Freebuf，原文链接：https://www.freebuf.com/news/356916.html 封面来源于网络，如有侵权请联系删除  

据BleepingComputer 2月1日消息，知名勒索软件组织LockBit 开始使用一种新型加密器，其源代码来自已经被解散的Conti 勒索软件。 据推特上多位知名安全博主表示，LockBit使用的这种新型加密器被称为“LockBit Green”，通过对样本进行逆向工程，发现它100% 基于 Conti泄露的源代码，但令人困惑的是，LockBit已经拥有属于自己的加密器，却还要选择基于 Conti 构建有效负载。 网络安全公司 PRODAFT 向BleepingComputer 分享了所发现的四个 LockBit Green 样本的 MD5 哈希值， 并透露至少有 5 名受害者受到了使用LockBit Green变体的攻击。BleepingComputer 测试了 PRODAFT 共享的其中一个样本，也发现使用了与Conti 加密器相同的命令行参数，但赎金票据已修改为 LockBit 3.0的样式，而不是 Conti 的格式。 LockBit Green 赎金票据 BleepingComputer 也注意到LockBit Green 使用的似乎是随机扩展名，而不是标准的 .lockbit扩展名。 LockBit Green 使用的不同加密文件扩展名 虽然目前并不清楚 LockBit在自有的加密器正常使用的情况下，还会使用基于 Conti 的新加密器，但PRODAFT观察到，一些前 Conti 成员似乎看好LockBit Green。自Conti 勒索软件组织解散后，已有一些黑客组织开始利用Conti的源代码，但稍显讽刺的是，这家有着俄罗斯背景的勒索软件组织的源代码现在却被一些组织用来攻击俄罗斯企业。       转自 Freebuf，原文链接：https://www.freebuf.com/news/356320.html 封面来源于网络，如有侵权请联系删除

LockBit勒索软件团伙就攻击儿童医院（SickKids）一事正式道歉，并为该医院发布了一个免费的解密软件。 据了解，LockBit有一个禁止攻击医疗机构的隶属角色。它的政策禁止对损害可能导致个人死亡的组织的系统进行加密。该团伙解释说，它的一个合作伙伴攻击了SickKids，违反了它的规则，为此它封锁了该分支机构。 “我们为攻击sikkids.ca正式道歉，并免费归还解密器，攻击这家医院的合作伙伴违反了我们的规则，被封锁，不再是我们的联盟计划之一。” BleepingComputer证实，该组织发布的解密器声称是一个Linux/VMware ESXi解密器。 针对多伦多儿童医院的攻击发生在2022年12月18日。该医院是加拿大最大的儿科保健中心，它位于加拿大安大略省多伦多市的大学大道上。 这次攻击影响了医院的多个网络系统，但根据该医疗机构的说法，它并没有影响到病人的治疗。儿童医院（SickKids）目前正在应对一起影响多个网络系统的网络安全事件，并已调用灰色代码–系统故障。该代码于12月18日星期日晚上9:30开始生效，并正在进行中。 据悉，医院花了几天时间来控制勒索软件的攻击。”儿童医院（SickKids）已经成功恢复了12月18日受网络安全事件影响的许多系统。截至12月29日，几乎50%的优先系统现在已经恢复并重新上线，包括许多会导致诊断和/或治疗延误的系统。患者和家属仍应做好准备，随着工作的继续进行，使所有系统恢复在线，可能会出现延误。” 12月23日，该医院透露，需要数周时间才能完全恢复其IT基础设施。Lockbit团伙的成员过去已经袭击过医疗机构，12月初，凡尔赛医院中心遭到了一次网络攻击，该攻击是由该团伙所为。凡尔赛医院中心，包括Andre-Mignot医院、Richaud医院和Despagne养老院，因网络攻击而取消了手术并转移了一些病人。 8月，该团伙攻击了巴黎东南的一家医院–南法中心医院（CHSF）。这次攻击扰乱了急救服务和手术，迫使医院将病人转到其他机构。据当地媒体报道，威胁者要求1000万美元的赎金，以提供解密密钥来恢复加密的数据。   转自 E安全，原文链接：https://mp.weixin.qq.com/s/NCaPGwCexJU-UGhrRLbTig 封面来源于网络，如有侵权请联系删除