ENISA发布了 ENISA DoS 攻击威胁态势报告，为 DoS 威胁态势带来了新的见解。 拒绝服务 (DoS) 攻击给组织带来了持续且重大的安全风险。在过去几年中，黑客越来越多地获得具有成本效益且高效的手段和服务来实施此类攻击。持续不断的全球冲突助长了 DoS 攻击浪潮，新兴威胁组织有选择地针对不同实体。 ENISA DoS 攻击威胁态势报告旨在提供有关 DoS 威胁态势的宝贵见解。它分析了 DoS 攻击的动机和影响，还旨在支持组织在发生攻击时增强防御能力。 本文提出的见解是对 2022 年 1 月至 2023 年 8 月期间 DoS 事件进行彻底映射和分析的结果。 DoS 攻击影响所有部门，其中政府服务始终是最有针对性的。这些部门似乎多次被选为 DoS 攻击的主要焦点，主要是出于对政治行动和言论的报复动机。 以下是该报告的主要亮点： 一种新颖的分类方案，可根据有关攻击和目标的信息对 DoS 攻击进行分类，从而实现更系统的分析方法。 作为拟议分类的一部分，对 DoS 攻击的动机和目标进行分析，不仅可以分析攻击的技术演变，还可以分析最初触发攻击的根源的变化。 对 2022 年 1 月至 2023 年 8 月期间总共 310 起经验证的 DoS 事件的分析。但这并不是该期间的事件总数。 受影响最严重的部门是公共管理部门，受到 46% 的攻击。 据估计，66% 的攻击是出于政治原因或激进议程。 总体而言，50%的事件被发现与俄罗斯侵略乌克兰的战争有关。 研究表明，56.8% 的攻击对目标造成了彻底破坏。 该报告还强调了网络作为战争中力量倍增器或支持载体的重要性、网络给形势带来的变化，以及组织制定预防和补救策略至关重要。此外，该报告还提高了人们对 DoS 攻击报告不够成熟的认识，DoS 攻击尚未达到与其他类型的网络安全威胁相同的水平。   转自安全客，原文链接：https://www.anquanke.com/post/id/291698 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站消息，IT 服务和商业咨询公司 HTC Global services 在 ALPPV 勒索软件团伙泄露被盗数据截图后，才证实了其遭到网络攻击。HTC Global Services 是一家管理服务提供商，主要为医疗保健、汽车、制造和金融行业提供技术和业务服务。 ALPPV 勒索软件团伙发布被盗数据截图后，HTC Global Services 没有立刻在公司网站上发布安全声明，但在其 X 上发布了一则简短公告，确认了自身遭到了网络攻击，推文如下： 我们的团队一直在积极调查和处理这一情况，以确保用户数据的安全性和完整性。目前，公司已经邀请了网络安全专家，正在努力解决安全问题，您的信任是公司的首要任务。 从 ALPHV (BlackCat) 勒索软件团伙在其数据泄露网站上列出的截图来看，被盗的数据包括护照、联系人名单、电子邮件和一些机密文件。 ALPHV 数据泄漏网站上列出的 HTC Global Services 被盗数据 目前来看，虽然有关 HTC Global Services 遭受网络攻击的详细信息很少，但网络安全专家凯文-博蒙特（Kevin Beaumont）认为，网络攻击者是利用 Citrix Bleed 漏洞入侵了该公司。博蒙特指出，HTC Global Services 的一个业务部门 CareTech 操作着一个易受攻击的 Citrix Netscaler 设备，该设备可能被网络攻击者利用，以此对公司网络进行初始访问。 数据被盗事件发生后，Bleeping Computer 联系了 HTC Global Services，以期询问有关此次攻击以及他们是否被 Citrix Bleed 入侵的问题，但没有立即得到回复。 ALPHV 勒索软件正在疯狂“收割”受害者 2021 年 11 月，ALPHV/BlackCat 勒索软件开始活跃在互联网空间，据信是 DarkSide 和 BlackMatter 勒索软件的“品牌重塑”。（DarkSide 勒索软件组织在遭到国际执法机构“打压”后，于 2021 年 7 月再次改名为 BlackMatter，但在 2021 年 11 月，执法当局查封了他们的服务器，安全公司 Emsisoft 利用勒索软件漏洞创建了解密程序，至此，这伙网络犯罪分子慢慢销声匿迹了） 最近一次网络攻击事件中，一个被追踪为 Scattered Spider 的“英语联盟”组织声称对美高梅娱乐平台的攻击负责，并称他们在攻击中加密了 100 多个 ESXi 虚拟机管理程序。 本周，一名 ALPHV 附属公司声称从 Tipalti 窃取了数据，并表示已开始对受影响的公司进行单独勒索。不仅如此，该组织最近还攻击了一家公有电力供应商和一家医院的网络，这两家公司在美国都被列为了关键基础设施。   转自Freebuf，原文链接：https://www.freebuf.com/news/385813.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 个人基因公司 23andMe 周二证实，黑客使用窃取的密码访问了约 690 万会员的个人信息。 23andMe 的一名发言人在回答法新社的询问时表示，虽然黑客只能进入大约1.4万个账户，占该公司客户的0.1%，但他们能够看到 23andMe 基因相关亲属共享的信息。 23andMe 正在通知受影响的客户，并通过要求用户重置密码和设置双重身份验证方法来加强账户安全。 该公司表示，10月初，他们发现数据窃贼已经进入了由从其他网站回收的登录信息保护的账户。这位发言人表示：“没有任何迹象表明我们的系统出现了漏洞或数据安全事件，也没有迹象表明 23andMe 是这些攻击中使用的账户凭证的来源。” 据 23andMe 称，在被黑的 690 万个账户中，有 550 万个包含基因匹配信息，如果用户提供的话，可能还包括出生日期和地点。另外 140 万个被黑客入侵的账户被限制访问一些 DNA 档案信息，作为“家谱”功能的一部分。 23andMe 公司成立于2006年，总部位于加州山景城，谷歌的总部也在这里。     Hackernews 编译，转载请注明出处 消息来源：securityweek，译者：Serene

美国网络安全和基础设施安全局 (CISA) 警告黑客积极利用 Adobe ColdFusion 中的一个关键漏洞（CVE-2023-26360）来获取对政府服务器的初始访问权限。 该安全问题允许在运行 Adobe ColdFusion 2018 Update 15 及更早版本以及 2021 Update 5 及更早版本的服务器上执行任意代码。在 Adobe 在 3 月中旬发布 ColdFusion 2018 Update 16 和 2021 Update 6 修复该问题之前，它曾被用作0day漏洞。 当时，CISA 发布了有关黑客组织利用该缺陷的通知，并敦促联邦组织和国家服务机构应用安全更新。 在今天的警报中，美国网络安全与基础设施安全局警告称，CVE-2023-26360 仍在攻击中被利用，并展示了 6 月份影响两个联邦机构系统的事件。 “在这两起事件中，Microsoft Defender for Endpoint (MDE) 都警告称，该机构的预生产环境中面向公众的 Web 服务器上可能存在 Adobe ColdFusion 漏洞被利用的情况” – CISA 该机构指出，“两台服务器都运行过时的软件版本，这些软件容易受到各种 CVE 的攻击。” CISA 表示，黑客组织利用该漏洞，使用 HTTP POST 命令将恶意软件投放到与 ColdFusion 关联的目录路径中。 第一起事件发生在 6 月 26 日，利用严重漏洞破坏了运行 Adobe ColdFusion v2016.0.0.3 的服务器。 攻击者进行进程枚举和网络检查，并安装了一个 Web shell ( config.jsp )，允许他们将代码插入 ColdFusion 配置文件并提取凭据。 他们的活动包括删除攻击中使用的文件以隐藏其存在，以及在 C:\IBM 目录中创建文件以避免恶意操作不被发现。 攻击者在第一次攻击中使用的工具 （CISA） 第二起事件发生在 6 月 2 日，当时黑客在运行 Adobe ColdFusion v2021.0.0.2 的服务器上利用了 CVE-2023-26360。 在这种情况下，攻击者在删除解码为远程访问木马 ( d.jsp ) 的文本文件之前收集了用户帐户信息。 接下来，他们试图窃取注册表文件和安全帐户管理器（SAM）信息。攻击者滥用可用的安全工具来访问 SYSVOL，这是域中每个域控制器上都存在的特殊目录。 在这两起事件中，安全人员都在入侵者能够窃取数据或横向移动之前检测到并阻止了攻击，并在 24 小时内将受感染的资产从关键网络中删除。 CISA 的分析将这些攻击归类为侦察活动。然而，尚不清楚这两次入侵是否是同一攻击者所为。 为了降低风险，CISA 建议将 ColdFusion 升级到最新可用版本，应用网络分段，设置防火墙或 WAF，并强制执行签名的软件执行策略。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/9nd08sOf8ZKd5lZTb67NqQ 封面来源于网络，如有侵权请联系删除

欧盟立法者就《网络弹性法案》在技术和政治层面均达成一致，下一步欧洲议会和欧盟理事会通过后将成为法律。 有消息称：欧盟政策制定者于11月30日达成了关于《网络弹性法案》的政治协议，弥合了在最后几个悬而未决问题上的分歧。 《网络弹性法案》是一项立法提案，为从智能玩具到工业机械等各类联网设备引入安全要求。欧盟委员会、欧洲议会和欧盟理事会通过“三方对话”会议最终敲定这一法案。下一步需要欧洲议会和欧盟理事会正式通过，才能成为法律。 该协议此前在技术层面上已经基本敲定，提案的许多方面在政治会议期间得到认可。欧盟谈判代表经过激烈讨论之后解决了最后的政治障碍。 牵头此事的欧洲议会议员Nicola Danti表示，“《网络弹性法案》将加强联网产品的网络安全，解决硬件和软件中的漏洞问题，让欧洲大陆更安全、更有弹性。欧洲议会已经立法保护供应链，并将保护路由器、杀毒软件等关键产品列为网络安全优先事项。” 漏洞处理机制 法案规定，如果制造商知道联网设备存在可能被黑客利用的重大漏洞，不得将此类产品投放市场。一旦发现这些潜在入口，在产品公开的支持期限内，他们必须处理这些问题。 一旦发现安全事件或被积极利用漏洞，制造商必须向有关当局报告，并告知他们采取了哪些行动减轻安全风险。 被积极利用漏洞是一类极其敏感的网络威胁情报，表明黑客入口仍然没有被修补。因此，谁应该负责处理这些敏感信息成为谈判的焦点。 欧盟部长理事会将这项任务从欧盟网络安全局（ENISA）移交给各国计算机安全事件响应团队（CSIRTs）。根据修订的《网络和信息系统指令》（NIS2），这些团队本就担负类似的任务。 然而，欧洲议会坚持让ENISA参与，避免国家机构在保留这些高度敏感信息方面拥有过多自主权。 后来，双方达成妥协，决定要求制造商通过单一报告平台同时向有关CSIRT和ENISA发送通知。但是，欧盟成员国认为，考虑网络安全事宜，他们应该有权利对发送给ENISA的信息加以限制。 各方对这些限制的条件进行激烈讨论，达成的条件十分“狭窄”。具体而言，如涉及产品主要存在于国内市场且不对其他欧盟国家构成风险，所在国CSIRT有权限制向ENISA发送通知。 其次，成员国当局不会被强制要求，向ENISA披露他们认为与保护基本安全利益相关的任何信息。这一限制性条款符合欧盟条约。 第三，如制造商自认为信息进一步传播会立即带来风险，并在提交给CSIRT的通知中加以说明，所在国也有权对发送给ENISA的信息加以限制。 另一方面，欧洲议会议员争取到如下权利：ENISA仍将获得部分信息，用以监测欧盟单一市场的任何系统性风险。ENISA将了解相关制造商和产品信息，以及有关漏洞利用的一般信息。 欧洲议会议员们还推动在法案中明确，ENISA应获得足够的资源应对新任务。虽然这未能成为法案的一部分，但它将纳入欧盟主要机构发布的联合声明。 开源软件 谈判的另一大焦点是如何处理集成到商业产品中的开源软件。就此，各方已在技术层面达成一项协议，并在政治层面得到认可。 法案仅涵盖在商业活动背景下开发的软件，并专门针对开源软件管理者在文档编制和漏洞处理方面制定规则。 根据外媒Euractiv看到的最终文本，法案排除了那些在市场上销售开源软件但将所有收入重新投资于非营利活动的非营利组织。 其他热点话题 法案还包括其他热点话题的条目，如国家安全豁免、次级立法、罚款收入分配等。 成员国专门为国家安全或国防目的开发或修改的任何产品不受法案限制。 欧盟立法阶段反复讨论次级立法类型。如果是委托法规（delegated acts），需要欧洲议会参与，而执行法规（implementing acts）无需欧洲议会参与。支持期限将在委托法规下详细定义，而特殊产品类别将在执行法规下定义。 欧洲议会推动加入措辞，要求《网络弹性法案》的罚没款项用于增强网络安全能力的活动。这一点没有写入法案文本，但将在法案总则中提及。   转自安全内参，原文链接：https://www.secrss.com/articles/61414 封面来源于网络，如有侵权请联系删除

Twisted Spider 组织积极使用 DanaBot 木马作为危险恶意软件的传播渠道。 微软报告了新一波 CACTUS 勒索软件攻击，利用恶意广告部署DanaBot工具作为初始访问媒介。 就在几天前，Arctic Wolf专家已经研究了一次类似的活动，该活动利用Qlik Sense 商业智能平台中的漏洞渗透目标环境并用 CACTUS 勒索软件感染它们，但这些网络事件的差异比乍看起来要多。一眼。 Microsoft 威胁情报专家指出，DanaBot 恶意软件是一种多功能工具，可以充当信息窃取程序和后门，其感染导致了黑客 Storm-0216（Twisted Spider，UNC2198）的积极行动。结果，这导致了 CACTUS 勒索软件的传播，该公司在 禁止平台上的 一系列出版物中报告了该勒索软件。 DanaBot 在很多方面与 Emotet、TrickBot、 QakBot和 IcedID 等工具相似。此外，正如Mandiant在 2021 年 2 月详细介绍 的那样，Storm-0216 组织此前曾被观察到使用 IcedID 部署 Maze 和 Egregor 等勒索软件系列 。 据微软称，在审查的活动中，攻击者最初还使用了 QakBot 提供的初始访问权限。向 DanaBot 的运营过渡可能与 2023 年 8 月的协调执法行动有关，该行动 导致 QakBot 基础设施被拆除。 使用 DanaBot 收集的凭据通常会传输到攻击者的服务器，然后通过RDP进行横向移动，最后进行数据加密。 新一波 Storm-0216 网络攻击展示了攻击者在规避安全措施和使用 DanaBot 等新工具方面的持续创造力。公司需要定期更新其安全系统并掌握最新威胁以保护其数据。 保持警惕并采取积极主动的网络安全方法是应对日益复杂的网络犯罪分子攻击的唯一可靠方法。   转自安全客，原文链接：https://www.anquanke.com/post/id/291647 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 微软周一表示，与俄罗斯军事情报部门有关的黑客仍在积极利用微软软件的一个漏洞，获取受害者的电子邮件。 研究人员在3月份的一份报告的更新中表示，被微软追踪为 Forest Blizzard，同时也被称为 Fancy Bear 及 APT28 的黑客，早在2022年4月就试图利用该漏洞未经授权访问微软 Exchange 服务器内的电子邮件帐户。 该漏洞被追踪为 CVE-2023-23397，它影响 Windows 设备上所有版本的 Microsoft Outlook 软件。 今年春天，俄罗斯黑客利用该漏洞攻击了“欧洲政府、交通、能源和军事部门的部分组织”，微软对此进行了修补。 研究人员说:“用户应该确保微软的 Outlook 安装了补丁，并保持更新，以减轻这种威胁。” 波兰网络司令部与微软合作调查了这些攻击，该司令部表示，成功的攻击可以让黑客访问受害者的电子邮件通信。在波兰网络安全机构调查的案件中，黑客利用 Outlook 的漏洞进入了包含“高价值信息”的邮箱。 根据微软的说法，当攻击者向用户发送特制的消息时，攻击就开始了。如果 Windows 设备上的 Outlook 打开，用户甚至不需要与此消息交互。利用该漏洞几乎不会留下痕迹，因此很难检测到黑客活动。 Fancy Bear 被网络安全研究人员称为高级持续威胁(APT)组织，主要针对美国、欧洲和中东的政府、能源、交通和非政府组织。该组织与俄罗斯军事情报机构(GRU)有关。 去年10月，法国指责该组织以大学、企业、智库和政府机构为目标。今年9月，该组织曾试图袭击乌克兰的一个重要能源设施。 黑客通常利用公开可用的漏洞。除了微软的 Outlook 漏洞，他们还瞄准了 WinRAR 的工具，以进行鱼叉式网络钓鱼操作，主要针对乌克兰政府目标。 微软表示，该组织“资源充足，训练有素”，这对“归因和追踪其活动构成了长期挑战”。波兰网络司令部表示，该组织对微软 Exchange 邮件系统的架构和机制有着高度的复杂性和深入的了解。     Hackernews 编译，转载请注明出处 消息来源：therecord，译者：Serene

近日，一个名为 “AeroBlade “的全新网络间谍黑客组织“浮出水面”。 BlackBerry公司发现该黑客组织以美国航空航天领域的组织为目标，陆续发起了两次攻击：第一次是在2022年9月的一次测试浪潮，第二次是今年7月发起的一次更高级别的攻击。 攻击利用了鱼叉式网络钓鱼和武器化文件实现对企业网络的初始访问，并投放能够列出文件和窃取数据的反向外壳有效载荷。 BlackBerry公司评估后认为，该黑客组织的攻击目标是商业网络间谍活动，旨在收集有价值的信息，可信度为中高。 攻击活动详情 AeroBlade 的首次攻击发生在 2022 年 9 月，它使用带有文档 (docx) 附件的钓鱼电子邮件，利用远程模板注入下载第二阶段的 DOTM 文件。 第二阶段执行恶意宏，在目标系统上创建反向shell，并连接到攻击者的命令和控制（C2）服务器。 向受害者展示的诱饵文件 BlackBerry方面表示，一旦受害者通过手动点击 “启用内容 “引诱信息打开并执行该文件，[redacted].dotm 文件就会谨慎地向系统投放一个新文件并打开它。用户新下载的文件是可读的，这就能够让受害者相信最初通过电子邮件收到的文件是合法的。 AeroBlade的攻击链 反向外壳有效载荷是一个严重混淆的 DLL 文件，它会列出被入侵计算机上的所有目录，以帮助操作员计划下一步的数据盗窃行动。 DLL 文件具有反分析机制，包括沙箱检测、自定义字符串编码、通过死代码和控制流混淆提供反汇编保护，以及通过 API 散列掩盖 Windows 功能滥用。 该有效荷载还通过Windows任务调度程序在系统上建立持久性，添加一个名为“WinUpdate2”的任务，因此在被破坏设备上的立足点在系统重新启动后仍然存在。 早期的DLL有效载荷样本遗漏了2023样本中看到的大多数规避机制，以及列出目录和窃取数据的能力。 这表明黑客在继续改进其工具，以实施更复杂的攻击，而 2022 年的尝试则更侧重于测试入侵和感染链。 在这两次攻击中，最终有效载荷都是连接到相同 C2 IP 地址的反向shell，黑客在网络钓鱼阶段使用了相同的引诱文件。 BlackBerry公司无法确定 AeroBlade 的来源或攻击的确切目的。 但据研究人员推测，其目的是窃取数据进行出售，将其提供给国际航空航天竞争对手，或利用这些信息对受害者进行敲诈勒索。   转自Freebuf，原文链接：https://www.freebuf.com/news/385667.html 封面来源于网络，如有侵权请联系删除

美国国家信用合作社管理局发言人称，由于技术提供商Ongoing Operations遭勒索软件攻击，大约有60家信用合作社面临各种程度的服务中断。 有消息称：大约60家信用合作社因行业技术提供商遭受勒索软件攻击面临服务中断。 美国国家信用合作社管理局（NCUA）是联邦层面监管信用合作社的机构。该机构发言人Joseph Adamoli表示，此次勒索软件攻击对象是云服务提供商Ongoing Operations，该公司隶属信用合作社技术公司Trellance。 大量信用社出现不同程度服务中断 NCUA收到的事故报告表明，Ongoing Operations于11月26日向多家信用合作社发送消息，称公司遭到勒索软件攻击。 Ongoing Operations告知受影响的信用合作社，“发现此情况后，我们立即采取行动处理和调查此事件，包括聘请第三方专家协助确定事件的性质和范围。我们还通知了联邦执法部门。” “目前，我们仍在展开调查，我们将继续提供必要的更新。请注意，目前我们没有掌握任何信息被滥用的证据。经过极其深重的考虑，我们决定发布通知，保持对此事件的关注。” Adamoli确认，由于第三方服务提供商遭勒索软件攻击，目前大约有60家信用合作社面临各种程度的服务中断。 他说，“NCUA正在与受影响的信用合作社进行协调。受影响的联邦保险信用合作社的会员存款由国家信用合作社股份保险基金承保，金额最高可达25万美元。” 他补充说，NCUA已经向美国财政部、联邦调查局和网络安全与基础设施安全局通报此事件。Trellance未回应置评请求。 事件影响外溢到更大范围 此次攻击影响较大，外溢到其他信用合作社技术提供商，包括为信用合作社提供数据处理解决方案的公司FedComp。 FedComp未回应置评请求，但其网站上的通知显示，“FedComp数据中心遇到技术困难，全国性服务中断。” 声明提到，“我们无法提供服务，恢复时间未知。Trellance仍在努力解决问题。我们暂不提供电子邮件支持，技术支持电话依旧保持畅通。” 山谷联邦信用合作社（MVFCU）也受到影响。这家信用合作社发布通知，警告客户他们正在应对严重的服务中断。 这家位于纽约州佩鲁的信用合作社为克林顿县/埃塞克斯县数千人提供服务。该合作社表示，他们的数据处理商FedComp已转达Trellance遭受勒索软件攻击的消息。 山谷联邦信用合作社首席执行官Maggie Pope给会员致信，写道，“Trellance表示我们的会员信息并未受到此次事件影响。” “由于此次攻击事件，Trellance必须迁移到新的服务器系统。这一过程涉及多个步骤，需要一些时间。这不仅仅是山谷联邦信用合作社的问题，而是全国性问题。Trellance和FedComp一直在全天候工作，帮助我们以及其他遇到同样问题的美国信用合作社重新上线系统。” 山谷联邦信用合作社表示，计划承担与此事件相关的任何费用。 针对信用社等攻击数量激增 今年8月，NCUA警告称，他们注意到针对信用合作社、信用合作社服务组织以及其他金融服务产品第三方供应商的网络攻击正在增加。 今年早些时候，多家信用合作社受到了针对MOVEit文件传输软件的网络攻击。过去三年，数十家组织向缅因州监管机构提交了数据泄露报告。 2022年，RansomHouse勒索团伙将Jefferson信用合作社列入受害者名单，而Envision信用合作社在去年宣布遭到LockBit勒索软件团伙的网络攻击。Ardent信用合作社在2020年也遭遇了一起事件。 今年2月，NCUA批准了新规定，要求联邦保险信用合作社在网络攻击发生后72小时内通知该机构。新规定于9月1日生效。 10月，NCUA主席Todd Harper表示，规定生效后30天内，NCUA收到了146份事故报告——达到了该机构过去一年内才能收到的报告数量。 他称赞信用合作社积极努力寻求政府机构帮助，提升网络安全。但是，他也指出NCUA对“整个信用合作社系统的分析能力仍然有限”。 他说，“这是因为信用合作社服务组织和信用合作社第三方服务提供商的监管水平不如银行供应商。毕竟，NCUA没有直接检查或监督这些实体的法定权限。” “利益相关者必须认识到，由于NCUA没有对供应商的监管权限，带来了切实风险，风险在不断扩大，影响我们所有人。” 他补充说，向NCUA报告的网络事件中超过60%涉及第三方服务提供商和信用合作社服务组织。 他表示，“这个监管盲点在不断扩大。在它被解决之前，数千家联邦保险信用合作社、数以千万计信用合作社消费者以及数万亿美元的资产都面临极高风险。”   转自安全内参，原文链接：https://www.secrss.com/articles/61388 封面来源于网络，如有侵权请联系删除

Security Affairs 网站消息，Black Basta 勒索软件团伙自 2022 年初“出道”以来，成功“感染”了 300 多个受害目标，累计收获赎金超过 1.07 亿美元。 2022 年 4 月，一个名为 Black Basta 的勒索软件团伙开始活跃在互联网空间，与其它勒索软件组织一样，该组织主要通过实施双重勒索攻击，获取赎金。从 Elliptic 和 Corvus Insurance 发布的联合研究结果来看， Black Basta 自推出以来，累计“获取”的支付比特币赎金至少达到 1.07 亿美元，感染了超过 329 名受害者，其中包括 ABB、Capita、Dish Network 和 Rheinmetall。 值得注意的是，网络安全研究人员通过分析区块链交易，发现 Black Basta 与 Conti 勒索软件团伙之间貌似存在着明显的联系。2022 年，Conti 勒索软件团伙停止了攻击活动，差不多同一时间 Black Basta 组织开始活跃。 网络安全专家还透露 Black Basta 主要通过俄罗斯加密货币交易所 Garantex 洗白非法资金。Elliptic 报告中还指出， Black Basta 勒索软件团伙成功攻击了全球 329 多个组织机构，并在 2022-2023 年成为受害者数量第四多的勒索软件，分析表明，自 2022 年初以来， Black Basta 已经收到了至少 1.07 亿美元的赎金，涉及 90 多名受害者。其中，收到的最大赎金为 900 万美元，其中至少有 18 笔赎金超过了 100 万美元，平均赎金为 120 万美元。 从报告来看， Black Basta 勒索软件团伙的大多数受害者从事制造业、工程建筑业和零售业。区域分布方面，61.9% 的受害者在美国，15.8% 在德国，5.9% 在加拿大。 值得一提的是，部分受害者支付的赎金由 Conti 和 Black Basta 团伙发送给了 Qakbot 恶意软件幕后团伙。 Black Basta 与其它恶意软件存在联系 今年 8 月，美国联邦调查局宣布，在一次名为 “猎鸭行动 “的国际执法行动中，捣毁 了Qakbot 僵尸网络。（Qakbot 也被称为 QBot、QuackBot 和 Pinkslipbot，是一种自 2008 年以来一直活跃的信息窃取恶意软件，该恶意软件通过恶意垃圾邮件活动进行传播。） Cisco Talos 警告称，尽管采取了执法行动，但 QakBot 背后的威胁攻击者仍然十分活跃。研究人员表示，自 2023 年 8 月初以来，Qakbot 机器人背后的威胁攻击者一直在开展网络攻击活动，旨在传播 Knight 勒索软件和 Remcos RAT。 Black Basta 勒索软件团伙大约有 10% 的赎金被转给了 Qakbot，这表明，在 Qakbot 参与向受害者提供访问权限的情况下，大约 10% 的赎金被转给了 Qakbot。Black Basta 背后的威胁攻击者则平均拿走了 14% 的赎金。Elliptic 表示，这种分赃模式也是勒索软件即服务操作中常见的典型分账方式。   转自Freebuf，原文链接：https://www.freebuf.com/news/385580.html 封面来源于网络，如有侵权请联系删除