据日本媒体报道，日本警察厅已成功解密由LockBit勒索软件组织加密的文件，帮助至少 3 家公司在没有支付赎金的情况下恢复了数据。 反恶意软件供应商 Malwarebytes 最近表示， LockBit 是2022 年最多产的勒索软件团伙，在全球范围内进行了数百次已确认的攻击，但现在日本警察厅似乎找到了消除威胁的方法。 这要归功于日本警察厅今年 4 月新成立的网络警察局和网络特别调查组，大约 2400 名调查人员和技术人员开始专注于网络犯罪领域。“我们因此能够避免丢失数据或需要付费才能取回数据。”今年9 月曾遭受 LockBit 攻击的汽车零部件制造商 Nittan 的一位代表告诉媒体。 据悉，日本警察厅已经开始着手与其他国家调查机构分享其解密方法。碰巧的是，国际反勒索软件特别工作组也可能会在2023年1月开始运作。该工作组包括美国、日本及澳大利亚，它们共同属于Counter Ransomware Initiative，该合作伙伴关系包括了欧盟在内的 36 个国家。 早在几年前，欧洲刑警组织和 IT 安全公司就开始提供免费的恢复工具，私营公司也开发了一些自己的工具。然而，这些大多适用于较旧的恶意软件，并没有对较新版本的勒索软件起到太大作用。 LockBit 自 2019年末出现以来，已迅速更跌至3.0版本，成为最流行的勒索软件系列之一，勒索目标涵盖了大型跨国公司及地方政府，权威人士认为 LockBit 的成功源于该组织成熟的RaaS（勒索软件及服务）运作能力。此外，由于LockBit 组织相对分散，局部的执法行动很难动其根基，因此研发解密工具无疑是现阶段一种比较有效的反制措施。   转自 Freebuf，原文链接：https://www.freebuf.com/articles/353927.html 封面来源于网络，如有侵权请联系删除

Therecord 网站披露，俄亥俄州芒特弗农市警察局、法院和其它政府办公室遭到勒索软件攻击。市政府官员表示，本市信息技术 IT 供应商使用的某个远程访问工具中存在一个安全漏洞，攻击者安装了名为 LockBit 的勒索软件，并要求支付赎金以获取某些文件。 攻击事件发生后，市政府安全专家和 IT 供应商 Dynamic Networks 一直在努力利用备份恢复所有受影响的系统。从发布的声明来看，易受勒索软件影响的软件已经从所有系统中移除了。 LockBit 勒索软件团伙 2022 年，勒索软件团伙针对新泽西、科罗拉多、俄勒冈、纽约和其他几个州的政府展开了网络攻击。 专家指出，这是针对地方、州和国家政府持续攻击趋势的一部分，今年发生了 175 起针对政府的网络攻击，相比 2021 年 196 起有所下降，但仍然是一个大问题。 LockBit 已迅速成为 2022 年最“活跃”的勒索软件团伙，今年对世界各地政府机构、公司和组织发动了数百次网络袭击。该团伙在 2020 年 1 月开始崭露头角，目前已经成为世界上最活跃和最具破坏性的勒索软件变种之一。 根据 Recorded Future 从勒索网站、政府机构、新闻报道、黑客论坛和其它来源收集到的数据来看，LockBit团伙 与 8 月份发生的 82 次网络攻击事件有关，受害者总数更是达到 1111 个。 法国警方也表示，LockBit 上个月对巴黎东南部一家医院进行破坏性的网络攻击，此次攻击破坏了医院的医疗影像、病人入院和其它服务。此外，据网络安全公司 Dragos 的数据，第二季度针对工业系统的勒索软件攻击中约有三分之一是由 LockBi t发起的。 截至 2022 年 12 月，勒索软件攻击的图表。 自 6 月以来，LockBit 组织的活动突然激增，值得一提的是，该组织还推出了新版本 LockBit 3.0”，据称该版本包括技术改进和漏洞赏金计划。     转自 Freebuf，原文链接：https://www.freebuf.com/news/353816.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，LockBit 黑客组织宣布从加州财政部盗取近 76GB 数据。目前，加州网络安全情报中心（Cal-CSIC）已着手调查此次网络攻击事件。 加州相关部门证实财政部数据泄露 据悉，加州州长紧急事务办公室已经证实了财政部遭受了网络攻击，并强调攻击事件发生不久后，通过与联邦安全合作伙伴协调，确定网络威胁后，迅速部署数字安全和在线威胁猎取专家，评估网络入侵的危害程度，以期控制、减轻网络攻击带来的影响。 值得一提的是，截至目前，尚不清楚此次攻击事件造成多大损失，也不清楚攻击者是采用何种技术侵入财政部。 LockBit 声称盗取近 76GB 数据 本周一，LockBit 黑客团伙在其泄密网站上发布消息称其攻破了加利福尼亚州财政部，盗取了数据库、机密数据、财务文件和 IT 文件。为了增加可信度，LockBit 组织还公布几张据称从加州财政部系统中渗出的文件截图。 （资料来源：BleepingComputer） 此外，LockBit 黑客团伙还发布了盗取数据的目录和存储文件数量截图。对话框显示超过 114000 个文件夹中有超过 246000 个文件，总计 75.3GB 的数据。 数据泄露网站上显示，数据“保护器”截止到 12月24 日前，一旦无法获得赎金，LockBit黑客团伙将公布所有被盗数据。 LockBit 黑客组织多次作案 10 月份，一名涉嫌与 LockBit 勒索软件团伙有关的 33 岁俄罗斯公民在加拿大安大略省被捕。据信，他在关键基础设施和大型工业组织上部署了勒索软件。欧洲刑警组织表示，该名男子参与许多高调的勒索软件案件”，共向受害者索要了 500 万至 7000 万欧元。 LockBit 黑客组织资金雄厚，是圈内第一个推出 bug 赏金计划的黑客团伙，为”寻找“漏洞，提供了高达 100 万美元的奖励，是勒索勒索软件领域目前最活跃的勒索软件之一。 此外，从以往案例来看，LockBit 黑客组织通常专注于勒索大公司，仅仅 2022 年，LockBit 受害者名单中就”囊括“了汽车巨头大陆集团（Continental）、安全公司 Entrust 和意大利国税局（L’Agenzia delle Entrate）。   转自 Freebuf，原文链接：https://www.freebuf.com/news/352448.html 封面来源于网络，如有侵权请联系删除

Lockbit勒索软件组织近来可谓是动作频频，据SecurityAffairs消息，该组织在前不久攻击全球高科技公司泰雷兹（Thales）后，已开始泄露所窃取的数据。 10月31日，泰雷兹被添加进Lockbit受害者名单中，要求在 2022 年 11 月 7 日之前支付赎金，否则将泄露被盗数据。就目前看来，Lockbit信守诺言并实施了威胁。 11月10日，他们开始公布泰雷兹的一些内部内部机密文件，其中一个文件夹显示有9.5GB大小。 Lockbit泄露的泰雷兹数据 但泰雷兹试图淡化这一事件，11月11日，泰雷兹解释称这些数据不会对其经营活动产生影响，安全专家正对数据泄露两个可能来源进行调查，努力将潜在影响降至最低。 此次数据泄露是Lockbit今年第二次针对泰雷兹发起的攻击。今年1月，在泰雷兹宣布拒绝支付赎金的情况下，Lockbit泄露了数百个 Zip文档，其中包含该公司的内部代码。 泰雷兹是全球高科技领先企业，在全球拥有 81,000 多名员工。集团投资于数字和深度技术创新，在国防、航空、太空、运输和数字安全方面拥有先进技术。 转自 Freebuf，原文链接：https://www.freebuf.com/articles/network/349702.html 封面来源于网络，如有侵权请联系删除

当地时间11月10日，欧洲刑警组织宣布在加拿大安大略省逮捕了一名LockBit勒索软件运营商，该勒索软件与俄罗斯相关，经常针对全球关键基础设施组织和知名公司。 在欧洲刑警组织欧洲网络犯罪中心（EC3）、联邦调查局（FBI）和加拿大皇家骑警（RCMP）的协助下，法国国家宪兵队领导了一项调查，嫌疑人于上月在加拿大安大略省被捕，目前正在等待被引渡到美国。 欧洲刑警组织表示：“10月26日，世界上最多产的勒索软件运营商之一在加拿大安大略省被捕。嫌疑人是一名33岁的俄罗斯人，据信他部署了LockBit勒索软件，对世界各地的关键基础设施和大型工业集团实施攻击。” 执法人员还从嫌疑人家中缴获了8台电脑和32个外挂硬盘、两支枪支和价值40万欧元的加密货币。 这名LockBit运营商“是欧洲刑警组织的高价值目标之一，他参与了许多重大勒索软件案件”，他通常开出500万至7000万欧元的赎金要求。欧洲刑警组织补充到。 虽然欧洲刑警组织将嫌疑人描述为LockBit勒索软件的“运营商”，但他很可能只是该网络犯罪行动的一个附属机构，而不是主理者。此外，LockBit代表“LockBitSupp”昨天还在黑客论坛上发帖。 因参与LockBit勒索软件攻击被起诉 美国司法部在10日发布的新闻稿中称，嫌疑人名叫米哈伊尔·瓦西里耶夫，来自加拿大安大略省布拉德福德，拥有俄罗斯和加拿大双重国籍。 根据刑事起诉书，加拿大执法部门在2022年8月对他的住处进行搜查时，还发现了Tox与“LockBitSupp”交换的截图、关于如何部署LockBit的Linux/ESXi锁和恶意软件源代码的说明，以及“一张照片，显示了加拿大一名LockBit受害者员工的各种平台的用户名和密码，该受害者在2022年1月左右遭受了确认的LockBit攻击。” 瓦西里耶夫被指控共谋勒索攻击和故意破坏电脑。如果罪名成立，他将面临最高5年的监禁。 美国司法部副部长Lisa O. Monaco当天表示：“此次逮捕是对LockBit勒索软件集团两年半多的调查的结果，该勒索软件集团伤害了美国和世界各地的受害者。” 若干勒索软件运营者被捕 在此之前，2021年10月，FBI、法国警方和乌克兰国家警察在乌克兰开展了一项联合国际执法行动，在基辅逮捕了瓦西里耶夫的两名同伙。 欧洲刑警组织和乌克兰警方在公告中称嫌犯是一个顶级勒索软件团伙的成员，但欧洲刑警组织曾向媒体，出于行动原因，他们必须对该团伙的名字保密。 欧洲刑警组织表示：“两人是同一组织的成员，他们不仅专注于勒索赎金，还涉嫌清洗犯罪资金。” 去年，乌克兰警方还逮捕了据信是Clop和Egregor勒索软件行动成员的其他嫌疑人。 欧洲刑警组织还于2021年10月宣布，执法机构在乌克兰和瑞士逮捕了12名据信与LockerGoga、MegaCortex和Dharma勒索软件攻击有关的嫌疑人，这些攻击影响了71个国家的1800多名受害者。   转自 Freebuf，原文链接：https://www.freebuf.com/articles/network/349468.html 封面来源于网络，如有侵权请联系删除

韩国网络安全公司AhnLab报告说，Lockbit勒索软件的附属公司正在通过被破坏的微软Exchange服务器分发其恶意软件。 据悉，2022年7月，该安全公司的一个客户经营的两台服务器被感染了LockBit 3.0勒索软件。威胁者最初在被破坏的Exchange服务器上部署了Web shell，然后只花了7天时间就将权限升级为活动目录管理员，并在加密网络中托管的系统之前窃取了大约1.3TB的数据。 根据研究人员的说法，攻击者据称利用了微软Exchange服务器的一个零日漏洞。查看微软Exchange服务器的漏洞历史，远程代码执行漏洞是在2021年12月16日披露的（CVE-2022-21969），特权升级漏洞是在2022年2月披露的，而最近的漏洞是在6月27日。信息泄露漏洞的漏洞。  也就是说，在5月之后披露的漏洞中，没有与远程命令或文件创建有关的漏洞报告。因此，考虑到WebShell是在7月21日创建的，预计攻击者使用了一个未公开的零日漏洞。 专家们认为，攻击者很可能没有利用最近披露的CVE-2022-41040和CVE-2022-41082漏洞。 在这份关于LockBit勒索软件的报告中，有很多内容，我不相信这是一个零日（报告中没有证据），但要注意一个问题。 – Kevin Beaumont (@GossiTheDog) 2022年10月11日 漏洞研究者Will Dormann指出，该报告没有包括利用一个新的零日漏洞的证据。 到目前为止，我只粗略浏览了该页面的翻译版本，但有什么证据表明这是一个不同的漏洞？ – Will Dormann (@wdormann) 2022年10月11日 Bleeping Computer指出，由Zero Day Initiative漏洞研究员Piotr Bazydlo发现的微软Exchange中至少有三个漏洞还没有被修补。这三个问题被ZDI追踪为ZDI-CAN-18881、ZDI-CAN-18882和ZDI-CAN-18932，于2022年9月20日报告。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/eXa5J_TZeTO41ynS9oA9ig 封面来源于网络，如有侵权请联系删除

近期活动极为频繁的Lockbit勒索软件团伙近日又攻击了两处地方政府的设备，分别是加拿大的圣玛丽镇和意大利的税务机构。 圣玛丽斯当地政府相关的说明中解释道，攻击发生在上周三，攻击者锁定了一台内部服务器并加密了其中的数据，在得知这一事件后，工作人员立即采取了措施，以确保任何敏感信息的安全，包括锁定该镇的IT系统和限制对电子邮件的访问。该镇还通知了其法律顾问、斯特拉特福警察局和加拿大网络安全中心，调查此次攻击的来源，并全力消弭此次攻击的影响。当地的关键服务，包括消防、警察、交通和水/污水处理系统并没有受到该攻击事件的影响，但目前还不清楚是否有敏感数据在攻击中被盗。 不过意大利的被害情况却不容乐观，据报道，意大利的税收机构遭到Lockbit勒索软件的攻击导致78GB的数据被盗。黑客的攻击目标是意大利当地税收机构，所以这些数据理论上有非常高的可能性是包含高度敏感的个人和财务信息。 据当地的安莎通讯社报道，税务局已经要求意大利的有关机构调查报告，据相关消息透露，攻击者要求当地税务局在5天内缴纳赎金，否则将有被盗文件内容被公开。 针对这两起公共部门攻击事件，Adarma公司的威胁顾问Mike Varley认为，公共部门的组织往往更容易成为攻击的目标，因为黑客认为他们更有可能付钱。Mike Varley补充说：“寻求提高其整体勒索软件弹性的组织应该主动问自己，我们在哪里最容易受到外部威胁？’我们在保护什么？以及这些资产放在哪里？安全团队需要积极寻找控制方面的差距，并通过调整现有的控制措施、技术收购、进行额外的监测等多种方式来弥补这些差距。” 转自 FreeBuf，原文链接：https://www.freebuf.com/news/340268.html 封面来源于网络，如有侵权请联系删除

近日，勒索软件团伙 Lockbit 声称已经从意大利税务局窃取了 78GB 的文件。另外，该团伙已经将税务局添加到其暗网泄密网站上展示的受害者名单中。 据悉，意大利税务局是在 1999 年第 300 号立法令对财政管理部门进行重组而诞生，自 2001 年 1 月 1 日开始运作，有自己的章程以及管理行政和会计的具体条例，该局的管理机构由局长、管理委员会和审计委员会组成。 意大利税务局主要负责执行意大利的财政法规，并征收税收和收入，并为意大利和非意大利的纳税人提供了若干在线服务 勒索软件团伙 Lockbit 声称已经窃取的意大利税务局 78GB 数据，其中主要包括公司文件、扫描、财务报告和合同，计划很快发布文件和样本的屏幕截图。如果消息属实，此次网络攻击将是意大利政府机构遭受的最严重事件之一。 目前，尚不清楚 Lockbit 勒索软件团伙是否已经与意大利政府取得联系，也不知道具体赎金数额。但是勒索软件团伙给了该机构 5 天时间来支付勒索赎金，以避免被盗数据泄露。 Lockbit 勒索软件团伙详情 研究人员披露 Lockbit 团伙至少从 2019 年就已经出现，是如今最活跃的勒索软件团伙之一。6 月底，Lockbit 勒索软件发布了 LockBit 3.0，其中包含漏洞赏金计划、Zcash 支付和新的勒索策略等重要创新。 新版本 3.0 已在最近的攻击中使用了，漏洞赏金计划的推出也成为了圈内的头条新闻，这是第一个勒索软件团伙要求网络安全专家提交其恶意勒索软件中的漏洞，以谋求持续改进。此外，该团伙还宣布提供 1000 美元至100万美元，奖励给提出 “出色的想法 ”，能够改善其运作的人。 值得注意的是，为了保护自身的隐匿性，Lockbit 勒索软件团伙接受 Zcash 付款，以及 Monero 和比特币。 LockBit 3.0 勒索软件操作还使用了一种新的勒索模式，允许攻击者购买攻击期间从受害者那里盗取的数据。此举意味着，部分网络犯罪分子可以购买意大利纳税人的数据，进行广泛的金融诈骗。 随着事件持续发酵，管理意大利税务局 IT 基础设施的政府组织 Sogei 发布声明表示，在进行了大量技术调查后，Sogei 排除了对税务局网络攻击已经发生的可能性。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/340126.html 封面来源于网络，如有侵权请联系删除

知名的勒索软件团伙LockBit 2.0当地时间6月6日声称它拥有来自谷歌子公司Mandiant的数据，该公司是威胁情报和事件响应领域的明星企业。 据多家新闻网站报道，LockBit团伙的数据泄露网站现在将Mandiant.com列为受害者之一，并附有“所有可用数据将被公布”的通知。该勒索软件组织当天早些时候在其数据泄露网站上发布了一个新页面，称他们据称从Mandiant 窃取的356,841个文件将在网上泄露。 该团伙的暗网泄密网站在计时器显示距离倒计时结束仅剩不到三个小时的时间。 由于泄漏页面上的文件列表为空，LockBit尚未透露它声称从Mandiant的系统中窃取了哪些文件。但是，该页面显示一个名为“mandiantyellowpress.com.7z”的 0 字节文件，该文件似乎与 mandiantyellowpress[.]com 域（6日当天注册）有关。访问此页面会重定向到 ninjaflex[.]com 站点。BleepingComputer 联系LockBit索赔的更多细节时，这家威胁情报公司表示尚未找到违规的证据。 Mandiant通过发表声明迅速回应了记者的置评请求：“Mandiant 知道这些与LockBit相关的声明。在这一点上，我们没有任何证据支持他们的说法。我们将继续关注事态的发展。”Mandiant 营销传播高级经理Mark Karayan向 BleepingComputer做了如上表态。 巧合的是，LockBit声明发布之际，全球最大的网络安全会议之一 RSA会议在旧金山开幕。 这也是在Mandiant表示有证据表明它命名为UNC2165的威胁组织已经不再使用Hades勒索软件而转而支持LockBit之后的四天。报告认为，这是因为美国已经制裁了名为Evil Corp的团伙。Mandiant说，UNC2165似乎是Evil Corp的附属机构，因此勒索软件压力的转变可能是试图将该团伙与受制裁实体拉开距离， Mandiant最初是一家独立公司，2013年12月被FireEye以10亿美元收购。2021年6月FireEye被 Symphony Technology Group以12亿美元收购后，谷歌以 54亿美元收购Mandiant，目标是将其整合到它的谷歌云部门。 Emsisoft的威胁分析师Brett Callow警告不要从表面上接受LockBit的说法。“LockBit过去曾做出虚假声明，我怀疑这是其中的另一个。事实上，对于 Mandiant最近的报道声称Evil Corp正在使用LockBit的附属计划试图逃避 [美国] 制裁，这很可能只不过是一个巨魔。LockBit将宣布的时间安排在RSAC的开始这一事实也可能表明它是一个旨在引起尴尬的巨魔。” 移动应用和网站安全提供商The Media Trust的首席执行官Chris Olson表示同意。“由于Mandiant声称‘我们没有任何证据’来支持LockBit的说法，这是一个发展中的故事，我们应该持保留态度。过去，LockBit在其网站上发布了名称， 只是在没有解释的情况下删除了它们 ——它还通过第三方供应商窃取了组织的数据，同时错误地声称直接破坏了受害者。在更多信息出现之前，Mandiant的故事可能会朝着这两个方向发展。 LockBit勒索软件团伙自 2019年9月以来一直作为勒索软件即服务 (RaaS) 活跃，并在勒索软件参与者被禁止在网络犯罪论坛上发帖后于2021年6月重新启动为LockBit 2.0 RaaS。“LockBit采用勒索软件即服务 (RaaS) 模型，这意味着无法直接识别可能发起此漏洞的行为者。自从Mandiant开始在全球网络战的前线行动以来，这对于 Mandiant所获得的敌人来说可能是一种有用的策略。2013年，它牵连中国参与者参与网络间谍活动——2020年，它帮助调查了应对SolarWinds黑客事件负责的俄罗斯组织。最近，它一直在追踪总部位于俄罗斯的网络犯罪组织“Evil Corp”，该组织已开始与LockBit合作以逃避美国的制裁。 “目前，我们不知道LockBit的说法是否属实。但如果是这样，它们可能会对网络安全研究公司产生严重影响，这些公司越来越多地成为全球网络参与者的目标。” 过去遭受LockBit 2.0变种攻击的勒索软件受害者包括保加利亚国家难民署、法国司法部和埃森哲。   转自 网空闲话，原文链接：https://mp.weixin.qq.com/s/dLZLVvQVAzCYNYFLV5zOow 封面来源于网络，如有侵权请联系删除