HackerNews 编译，转载请注明出处： 拥有超百万听众的西班牙知名广播电台KISS-FM近日遭遇网络攻击，与俄罗斯有关联的Rhysida勒索组织声称已窃取其内部数据，并在暗网以3比特币（约合30万美元）的价格公开拍卖。 该组织在其暗网泄密站点发布声明，给电台设下7天付款期限，威胁称若未收到赎金将公开或转卖所有数据。”抓住这次竞标独家、独特数据的机会！打开你们的钱包，准备好购买独家资料。我们只进行一次销售，您将成为唯一所有者！”攻击者在公告中如此宣称。 为证明攻击属实，黑客公布了据称是窃取数据的截图样本。经Cybernews核实，被盗资料可能包含： 潜在听众收视率日志 电台与西班牙数字转型部往来文件 财务发票凭证 研究人员指出：”虽然泄露文件的具体内容尚不明确，但此类数据曝光通常会导致公众信任崩塌，引发西班牙数据保护法及GDPR法规的合规审查，并破坏商业合作关系。” KISS-FM隶属于西班牙传媒集团Mediaset España，该集团去年营收达29.5亿欧元。值得注意的是，本次作案的黑客组织Rhysida正是上周袭击美国制造业巨头Gemini Group的元凶，该组织以”双重勒索”策略闻名——既对数据加密锁定，又威胁公开泄露。 根据美国国防部最新档案，该组织专攻”高价值目标”，已成功渗透教育、医疗、政府及制造业等多个领域。安全研究人员判断其基地可能位于俄罗斯或独联体国家。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与俄罗斯有关联的Rhysida勒索软件团伙近日在暗网泄露了美国制造业巨头Gemini Group近2TB的敏感数据，北美洲员工与客户记录因此面临曝光风险。 Gemini Group总部位于密歇根州巴德阿克市，是一级供应商，在美国和墨西哥设有 18 个分支机构。福特、丰田、通用汽车等主要汽车制造商均采用该集团的产品。公司现有员工 1400 余人，年营收达 3 亿美元。 该公司提供多种产品及服务，包括塑料挤出成型、吹塑成型，以及锻造和铝型材挤压用金属模具制造，其产品供应给汽车行业的主要企业。 10月底，该团伙在其暗网泄密网站发布声明，声称已窃取Gemini Group INC的重要数据。 勒索软件团伙常以泄露站点为施压手段，逼迫企业支付赎金。若谈判破裂，攻击者通常会将窃取的数据公之于众，供任何人下载。 Rhysida 团伙采用其常用策略，给予一周宽限期后，发布了一个 1.9TB 的数据集，据称包含该公司超过 170 万个文件。 暗网泄露数据详情： 实习生及其导师名单 员工薪资与休假余额文件，含全名、职位、入职日期、实发工资数额及休假天数 内部文件模板 客户名单，含公司名称、联系人全名及公司地址 各类发票 年度采购报告 健康保险文件，含供应商名称、服务内容、公司所用保险计划及相关费用 泄露的员工个人文件及照片，含个人身份信息（PII）、家庭住址、社会安全号码（SSNs）、出生日期及薪资详情   泄露敏感员工数据会使其面临身份盗窃、欺诈、社会工程学攻击风险，甚至可能遭遇人身安全威胁。 Cybernews 研究团队解释称：“此次泄露可能会破坏员工对公司的信任，尤其是在公司未就此事完全透明化的情况下。公司还可能面临法律后果，失去客户信任，而曝光的财务细节可能导致竞争劣势。” Rhysida勒索团伙背景： 美国国防部最新资料显示，该团伙以“伺机而动”为行动准则，已渗透教育、医疗、制造及地方政府等多个领域。安全机构Barracuda研究人员指出，该组织可能源自俄罗斯或独联体国家。 在近期攻击中，该团伙通过Microsoft Teams、Zoom和PutTy平台展开钓鱼攻击，利用恶意广告传播恶意软件，借员工账户渗透企业系统。据Cybernews暗网监测工具Ransomlooker统计，自2023年5月活跃以来，该团伙已累计声称侵破236个目标。 其罪行包括： 9 月：宣称入侵美国马里兰州交通部，该部门运营着美国最大港口之一。泄露的数据样本包括护照、身份证、背景调查文件及其他敏感材料。 8 月：攻击田纳西州和肯塔基州周边地区的库克维尔地区医疗中心，导致系统混乱。团伙发布了十余份含患者信息的数据样本，系统中断迫使 IT 团队全天候工作以恢复服务。 5 月：宣称攻击秘鲁政府系统，该国官方网站管理着全国身份证登记信息，涵盖护照、税务记录、健康保险、警方档案、劳工记录等。秘鲁政府否认了此次勒索软件攻击。 5月：宣称入侵巴西大型汽车经销商 Carrera，窃取的敏感数据包括护照和合同，团伙索要 100 万美元赎金。 1 月：宣称入侵加拿大魁北克省蒙特利尔北区服务器，索要 100 万美元赎金。 2024 年第四季度：以 100 枚比特币为赎金，攻击西雅图 – 塔科马国际机场，破坏关键系统并导致数周停运，使这一美国西海岸最繁忙的枢纽之一陷入瘫痪。达美航空、新加坡航空、阿拉斯加航空等被迫全面启用人工流程，开具手写登机牌。 2024 年：宣称美国主流新闻媒体《华盛顿时报》为攻击目标，声称以 5 枚比特币的价格在网上拍卖该媒体的 “独家” 数据。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 西雅图港口管理局（Port of Seattle）近日向约9万人发出通知，告知他们的个人信息在2024年8月的一次勒索软件攻击中遭到泄露。 西雅图港口管理局在2024年8月24日披露了此次攻击，称由此引发的IT故障扰乱了多项服务和系统，包括预订检查系统、乘客显示屏、西雅图港口网站、flySEA应用程序，并导致西雅图-塔科马国际机场的航班延误。 三周后，港口管理局确认此次攻击是由名为Rhysida的勒索软件操作发起的。 勒索软件攻击 在事件发生后，港口管理局决定不屈服于网络犯罪分子的要求，即使他们威胁要在暗网泄露网站上发布窃取的数据。 “我们拒绝支付所要求的赎金，因此，攻击者可能会在他们的暗网网站上发布他们声称窃取的数据，”西雅图港口管理局在2024年9月13日表示。 “我们对攻击者窃取的数据的调查仍在进行中，但似乎攻击者确实在8月中旬至下旬获取了一些港口数据。评估被窃数据的过程复杂且耗时。” 数据泄露影响 2025年4月3日，港口管理局宣布，他们现在正在向受影响的个人发送约9万封通知信。据该机构称，此次数据泄露中约有7.1万人来自华盛顿州。 根据泄露通知信的副本，攻击者窃取了员工、承包商和停车数据的多种组合，包括姓名、出生日期、社会安全号码（或社会安全号码的最后四位数字）、驾驶执照或其他政府身份证号码，以及一些医疗信息。 港口还表示，他们存储的“机场或海运乘客信息非常少”，并且其支付处理系统未受攻击影响。 “在任何时候，此次事件都没有影响到安全前往或离开西雅图机场或使用港口海运设施的能力，”港口管理局本周补充道。“主要航空公司和邮轮合作伙伴的专有系统未受影响，联邦合作伙伴（如联邦航空管理局、运输安全管理局和美国海关与边境保护局）的系统也未受影响。” Rhysida勒索软件 Rhysida是此次西雅图港口攻击背后的勒索软件即服务（RaaS）操作，于2023年5月浮出水面，并在入侵大英图书馆、智利军队（Ejército de Chile）、俄亥俄州哥伦布市、索尼子公司Insomniac Games和全球最大的休闲船只及游艇零售商MarineMax后迅速声名狼藉。 其附属机构还入侵了Singing River Health System，该系统警告近90万人，他们的个人和健康信息在2023年8月的一次Rhysida勒索软件攻击中被盗。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Abdali 医院是一家综合性医院，位于约旦安曼的现代化开发区 Abdali。Abdali 医院为众多专科患者提供医疗服务。除了一般外科部门外，医院还有骨科和风湿病、妇科、泌尿科、内分泌科、神经科、肾脏科、肺科、内科、肿瘤科、传染病科和麻醉科部门。医院还提供包括整形外科和皮肤科在内的美容专科服务。此外，医院设有妇女健康中心，专注于乳腺癌治疗。 Rhysida 勒索软件组织声称已经入侵了 Abdali 医院，并将其添加到该组织的 Tor 泄露站点的受害者名单中。 该团伙发布了窃取文件的图片作为黑客攻击的证据。泄露的图片包括身份证、合同等内容。 “只剩 7 天时间，准备好你的资金，把握这个机会来竞购独家数据。我们只向一方出售，不再转售，你将成为独家数据唯一的拥有者！”Rhysida 勒索软件团伙在其 Tor 泄露站点上发布的声明中这样写道。   勒索软件团伙声称窃取了大量“敏感数据”，并以 10 比特币的价格进行拍卖。与往常一样，Rhysida 勒索软件操作者计划将被盗数据售给单一买家。团伙将在公告后的七天内公开发布数据。 在 11 月底，该勒索软件团伙声称已经黑入伦敦的爱德华七世医院，以及大英图书馆和中国能源工程公司。 Rhysida 勒索软件团伙自 2023 年 5 月以来一直活跃。根据该团伙的 Tor 泄露网站显示，至少有 62 家公司成为了该团伙的受害者。该勒索软件团伙攻击了多个行业的组织，包括教育、医疗保健、制造业、信息技术和政府部门。 上周，FBI 和 CISA 发布了一份联合网络安全建议（CSA），警告 Rhysida 勒索软件攻击。该建议是持续的 StopRansomware 行动的一部分，旨在传播与勒索软件团伙相关的战略、技术和程序（TTPs）以及妥协指标（IOCs）的信息。该报告包括最近在 2023 年 9 月调查中确认的 IOCs 和 TTPs。 “利用 Rhysida 勒索软件的攻击对象包括教育、医疗保健、制造业、信息技术和政府部门。开源报告详细描述了 Vice Society (DEV-0832) 活动与部署 Rhysida 勒索软件的行为者之间的相似性。”联合建议中写道。 “此外，开源报告已确认观察到的 Rhysida 行为者以勒索软件即服务（RaaS）的形式运作，其中勒索软件工具和基础设施以分成模式出租。支付的赎金随后在团伙和合作伙伴之间分配。” Rhysida 行为者利用外部面向的远程服务（例如VPN、RDP）获得目标网络的初始访问权并保持持久性。该团伙依靠窃取的凭证来认证内部 VPN 访问点。根据该建议，黑客在网络钓鱼尝试中利用了 Microsoft 的 Netlogon 远程协议中的 Zerologon（CVE-2020-1472）漏洞。 该组织依靠本地（内置于操作系统中）网络管理工具等技术来执行恶意操作。   消息来源：securityaffairs，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Hackernews 编译，转载请注明出处： Rhysida 勒索软件组织声称入侵了伦敦爱德华七世国王医院，并将其添加到其Tor 泄露网站的受害者名单中。 爱德华七世国王医院是一家私立医院，位于伦敦市中心马里波恩区的博蒙特街。它是一家领先的急性和专科医疗保健提供商，专注于肌肉骨骼健康、泌尿科、女性健康和消化系统健康。该医院有着悠久的历史，可以追溯到1899年，当时由威尔士亲王(后来的爱德华七世国王)创建，为工人阶级提供高质量的医疗服务。 该组织声称窃取了包括王室在内的大量患者和员工的数据，并公布了被盗文件的图片作为黑客攻击的证据，泄露的图像包括医疗报告、登记表、X光片、医疗处方、医疗报告等等。 “独特的文件呈现在您的眼前! 来自王室的数据! 大量的病人和员工数据。 一次性出售!!” 泄露网站上的公告写道 该勒索软件组织声称窃取了大量“敏感数据”，并以10比特币的价格拍卖。像往常一样，Rhysida 计划将被盗数据出售给一个单一的买家。该团伙将在公告发布后的7天内公布相关数据。 最近，Rhysida勒索软件团伙还将大英图书馆和中国能源工程公司添加到其 Tor 泄露网站的受害者名单中。 Rhysida 勒索软件组织自2023年5月以来一直活跃。根据该团伙的 Tor 泄露网站，至少有 62 家公司是这次行动的受害者，他们袭击了多个行业的组织，包括教育、医疗、制造、信息技术和政府部门。 上周，FBI 和 CISA 发布了一份联合网络安全咨询，对 Rhysida 勒索软件攻击发出警告。该咨询是正在进行的#StopRansomware 工作的一部分，宣传有关与勒索软件组织相关的战术、技术和程序(TTPs)以及妥协指标(ioc)的信息。 有开源报告详细描述了 Vice Society (DEV-0832)活动与观察到的部署 Rhysida 勒索软件的黑客之间的相似之处。这份联合报告写道：“开源报告已经证实了观察到的 Rhysida 组织以勒索软件即服务(RaaS)的方式运作的实例，其中勒索软件工具和基础设施以利润分享模式出租，支付的赎金会在该组织和附属机构之间分配。” Rhysida 黑客利用面向外部的远程服务(例如 VPN、RDP)来获得对目标网络的初始访问并保持持久性。该组织依靠被破坏的凭据对内部 VPN 接入点进行身份验证。根据该报告，黑客利用微软 Netlogon 远程协议中的 Zerologon (CVE-2020-1472)进行网络钓鱼尝试。该组织依靠现有的技术，如本地(内置于操作系统中)网络管理工具来执行恶意操作。     Hackernews 编译，转载请注明出处 消息来源：securityaffairs，译者：Serene