记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华透视 Phobos 勒索软件的组织架构与攻击行动
Phobos 勒索软件是 Dharma/Crysis 勒索软件的变种,自从 2019 年被发现后攻击活动一直很活跃,但样本的迭代升级并不多。研究人员根据 VirusTotal 中的样本量,确定了 Phobos 勒索软件家族中最多产的五个变种。区分样本文件的唯一特征是恶意软件构建工具的配置,不同变种的配置文件也存在差别。样本文件都使用相同的源码进行编译,并且会避免加密其他 Phobos 组织已加密的文件。如下所示,8Base 勒索软件团伙部署的 Phobos 样本文件中包含不加密其的其他 Phobos 变种列表。所有样本文件中的配置,都会将特定的组织名称添加到列表的开头。
2023年11月勒索软件流行态势分析
勒索软件传播至今,360反勒索服务已累计接收到数万勒索软件感染求助。随着新型勒索软件的快速蔓延,企业数据泄露风险不断上升,勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广,危害性也越来越大。360全网安全大脑针对勒索软件进行了全方位的监测与防御,为需要帮助的用户提供360反勒索服务。2023年11月,全球新增的活跃勒索软件家族有MEOW LEAKS和Lambda,其中MEOW LEAKS家族采用多重勒索方式运营,而Lambda则采用较为传统的加密勒索方式运营。
美国海军战斗舰项目承包商遭勒索软件攻击
美国造船公司Austal USA是美国国防部(DoD)和国土安全部(DHS)的承包商,近日证实遭受了网络攻击,目前正调查该事件的影响。Austal公司总部位于澳大利亚,专门生产高性能铝制容器。其美国子公司Austal USA签订了多个美国海军项目合同,其中包括为美国海军建造独立级濒海战斗舰,这些舰艇长127米,每艘造价3.6亿美元。奥斯塔还获得美国海军一份价值33亿美元的有效合同,为美国海岸警卫队建造11艘巡逻艇。本周三晚间,猎人国际(Hunters International)勒索软件和数据勒索组织声称入侵了AustalUSA,并泄露了一些信息作为入侵的证据。
Lockbit已成为2022—2023年全球最著名的勒索软件变种
发表于 勒索软件组织LockBit已承认他们是印度国有航空航天研究实验室遭受网络攻击的幕后黑手。此外,在今年七月份,印度制药公司Granules作为最新的网络攻击目标之一,LockBit就在其暗网泄露了Granules的相关数据。LockBit近日将国家航空航天实验室(NAL)的数据放到了其暗网泄漏网站上,勒索软件组织通常会从受害者那里骗取钱财。他们经常威胁说,除非受害者支付一笔巨额金额,否则他们将共享该组织被盗的信息。
Lockbit已成为2022年和2023年全球最著名的勒索软件变种
勒索软件组织LockBit已承认他们是印度国有航空航天研究实验室遭受网络攻击的幕后黑手。此外,在今年七月份,印度制药公司Granules作为最新的网络攻击目标之一,LockBit就在其暗网泄露了Granules的相关数据。LockBit近日将国家航空航天实验室(NAL)的数据放到了其暗网泄漏网站上,勒索软件组织通常会从受害者那里骗取钱财。他们经常威胁说,除非受害者支付一笔巨额金额,否则他们将共享该组织被盗的信息。
Black Basta勒索软件团伙感染300多个目标,赎金超过 1.07 亿美元!
根据Security Affairs网站的消息,自2022年初以来,Black Basta勒索软件团伙已成功感染了300多个目标,赎金累计超过1.07亿美元。Black Basta团伙于2022年4月首次亮相,并与其他勒索软件组织一样,主要通过实施双重勒索攻击来获取赎金。根据Elliptic和Corvus Insurance发布的联合研究结果,自Black Basta推出以来,通过比特币支付的赎金总额至少达到1.07亿美元,感染了329名受害者,其中包括ABB、Capita、Dish Network和Rheinmetall。
勒索软件 CACTUS 利用恶意广告布下陷阱
Twisted Spider 组织积极使用 DanaBot 木马作为危险恶意软件的传播渠道。
微软报告了新一波 CACTUS 勒索软件攻击,利用恶意广告部署DanaBot工具作为初始访问媒介。
就在几天前,Arctic Wolf专家已经研究了一次类似的活动,该活动利用Qlik Sense 商业智能平台中的漏洞渗透目标环境并用 CACTUS 勒索软件感染它们,但这些网络事件的差异比乍看起来要多。一眼。
勒索软件CACTUS利用恶意广告布下陷阱
Twisted Spider 组织积极使用 DanaBot 木马作为危险恶意软件的传播渠道。微软报告了新一波 CACTUS 勒索软件攻击,利用恶意广告部署DanaBot工具作为初始访问媒介。就在几天前,Arctic Wolf专家 已经研究了一次类似的活动,该活动利用Qlik Sense 商业智能平台中的漏洞渗透目标环境并用 CACTUS 勒索软件感染它们,但这些网络事件的差异比乍看起来要多。一眼。
金融云被勒索,超 60 家信用社服务中断
美国国家信用合作社管理局发言人称,由于技术提供商Ongoing Operations遭勒索软件攻击,大约有60家信用合作社面临各种程度的服务中断。
有消息称:大约60家信用合作社因行业技术提供商遭受勒索软件攻击面临服务中断。
美国国家信用合作社管理局(NCUA)是联邦层面监管信用合作社的机构。该机构发言人Joseph Adamoli表示,此次勒索软件攻击对象是云服务提供商Ongoing Operations,该公司隶属信用合作社技术公司Trellance。
对用户影响不大,针对苹果 Mac 用户的新勒索软件 Turtle 曝光
IT之家 12 月 5 日消息,网络安全公司 Objective-See 创始人帕特里克・沃德尔(Patrick Wardle)近日发布报告,表示近日发现了针对 Mac 用户的新型勒索病毒 Turtle,不过目前而言对消费者的影响并不大。这种新型勒索病毒 Turtle 源于该恶意软件代码中使用的“Turtlerans”和“TurmiRansom”,以及名为“TurtleRansom”为前缀的文件。对示例的 zip 文件的初步细分显示,该恶意软件已针对许多流行的平台和体系结构(包括 Windows、Linux 和 macOS)进行了编译。
Black Basta 勒索软件团伙出道以来至少“赚取”1.07 亿美元
Security Affairs 网站消息,Black Basta 勒索软件团伙自 2022 年初“出道”以来,成功“感染”了 300 多个受害目标,累计收获赎金超过 1.07 亿美元。
2022 年 4 月,一个名为 Black Basta 的勒索软件团伙开始活跃在互联网空间,与其它勒索软件组织一样,该组织主要通过实施双重勒索攻击,获取赎金。
恶意软件和威胁新“Turtle”macOS 勒索软件分析
专门研究 Apple 产品的著名网络安全研究员 Patrick Wardle 对一种名为 Turtle 的新 macOS 勒索软件进行了分析。Wardle 的分析表明,Turtle 勒索软件目前并不复杂,但该恶意软件的存在表明网络犯罪分子继续表现出针对 macOS 用户的兴趣。Turtle 勒索软件的版本似乎也是针对 Windows 和 Linux 系统创建的。VirusTotal 上的几家供应商已经将 Turtle 检测为潜在威胁,这对于针对 macOS 的新恶意软件来说并不常见,但可能可以通过与 Windows 版本的相似性来解释,Windows 版本存在众包 YARA 规则。
Cactus 勒索软件利用了 Qlik Sense 漏洞,自3月起攻击频繁
据安全运营公司Arctic Wolf称,商业分析公司Qlik的产品可能受到了三个漏洞的影响,这些漏洞可能已被黑客用于发起勒索软件攻击。Arctic Wolf的报告指出,攻击似乎利用了CVE-2023-41266、CVE-2023-41265和CVE-2023-48365进行初始访问,随后攻击者试图在受感染的系统上部署Cactus勒索软件。这些漏洞由Praetorian发现,详细信息在Qlik提供修补程序后的8月和9月进行了披露,这些被评为“严重”和“高严重性”的漏洞影响了数据分析解决方案Qlik Sense Enterprise for Windows。
ChatGPT编写勒索软件的能力
ChatGPT 已经从一个简单的聊天机器人发展成为一个病毒程序创建机器。Malwarebytes的一项新研究揭示了ChatGPT编写勒索软件的能力。研究发现ChatGPT能够创建一种基本的勒索软件,对目录内容进行加密并留下勒索字条。该程序的功能并不完整,但包含了勒索软件的基本功能。研究还发现,与之前的版本相比,ChatGPT功能有了显着改进。ChatGPT4.0处理了编写程序的任务,并帮助调试代码,没有任何异议。实验作者使用ChatGPT用C编写代码,并在出现编译错误时联系ChatGPT寻求帮助。ChatGPT提供了解释和故障排除提示,当原始解决方案不起作用时找到替代解决方案。
埃及电子支付巨头遭勒索软件攻击,花费近半个月恢复正常
有消息称LockBit 3.0勒索软件团伙对埃及最大的电子支付提供商Fawry发动攻击。他们不仅成功加密了文件,还声称窃取了数据。
11月8日,LockBit在其专用泄漏网站发布了Fawry相关数据样本,将这次入侵行动公之于众。次日,网络安全监控平台Hackmanac声称,此次LockBit 3.0勒索软件攻击窃取了Fawry客户的个人详细信息,导致多家银,行建议客户删除Fawry平台上的账户信息。
公司最初否认遭受攻击
阿拉伯非洲国际银行证实Fawry遭受了网络攻击,客户个人身份信息(PII)可能已经泄露。
该银行表示,已立即采取措施阻止访问,但入侵活动仍对客户数据的安全构成重大威胁。
警方摧毁了攻击 71个国家的勒索软件组织
发表于 Bleeping Computer 网站消息,七个国家的执法机构与欧洲刑警组织和欧洲司法组织共同发起了一次联合执法行动,成功在乌克兰境内逮捕了某勒索软件组织的核心成员。据悉,这些网络犯罪分子使用 LockerGoga、MegaCortex、HIVE 和 Dharma 等勒索软件发动网络攻击活动,导致大量企业运营瘫痪。欧洲司法组织称,在入侵受害目标系统后,该组织会偷偷潜伏起来(潜伏时间有时长达数月)部署不同类型的勒索软件,如 LockerGoga、MegaCortex、HIVE 或 Dharma,此后会向受害者“发送”一则赎金通知,要求受害者支付比特币,以换取解密密钥。
CACTUS 勒索软件利用 Qlik Sense 漏洞进行针对性攻击
CACTUS 勒索软件利用 Qlik Sense 漏洞进行针对性攻击 据观察,CACTUS 勒索软件活动利用最近披露的名为 Qlik Sense 的云分析和商业智能平台中的安全漏洞,在目标环境中获得立足点。Arctic Wolf 研究人员 Stefan Hostetler、Markus Neis 和 Kyle Pagelow表示:“此次活动标志着第一个有记录的实例,部署 CACTUS 勒索软件的威胁行为者利用 Qlik Sense 中的漏洞进行初始访问。
980 美元付诸东流:Xaro 勒索软件攻击免费软件用户的数据
如何保护您的计算机免受新威胁并保护自己免受后果影响?Cybereason 安全研究人员发现了 一种名为“DJVU”的新勒索软件变种,该变种以免费软件为幌子进行传播。根据安全专家 Ralph Villanueva 的说法,攻击者使用的是一种众所周知的攻击模式,但这次我们讨论的是 DJVU 的一种变体,它在加密文件中添加了“.xaro”扩展名,这就是为什么研究人员给恶意软件赋予了名字叫“扎罗”。DJVU 程序本身是一种 STOP 勒索软件,通常与 RedLine Stealer 和 Vidar 等信息窃取程序捆绑在一起,这使得 DJVU 攻击极具破坏性。
Black Basta 勒索软件集团从 90 名受害者处获得了超过 1 亿美元的赔偿
区块链分析公司 Elliptic 的一份新报告显示,自 2022 年初以来,受害者组织已向 Black Basta 勒索软件组织支付了超过 1 亿美元的赎金。Black Basta至少从 2022 年 4 月开始活跃,迄今为止已造成 300 多次感染,成为受害者数量第四大的活跃勒索软件。据信 Black Basta 与臭名昭著的 Conti 勒索软件组织有关,该组织于去年关闭了商店。Black Basta 在出现后的几个月内就成为了一个主要威胁,它与其他网络犯罪团伙合作并采用双重勒索策略:除了加密文件外,该组织还窃取受害者的数据,并威胁要在网络上发布数据,除非支付赎金。有薪酬的。
延锋汽车遭“麒麟”勒索软件攻击,致北美工厂生产中断
11月初,有报道称“延锋”遭到网络攻击。延锋是一家专注于内饰配的汽车零部件开发商和制造商,在全球240个地点拥有57000多名员工。该公司向通用汽车、大众集团、福特、Stellantis(菲亚特、克莱斯勒、吉普、道奇)、宝马、戴姆勒、丰田、本田、日产、上汽集团销售内饰零部件。对这家供应商的攻击对北美的汽车制造供应链产生了直接的连锁反应,导致几家北美工厂生产中断,其中包括全球汽车制造商Stellantis经营的工厂。昨天,麒麟勒索软件组织,也称为“Agenda”,通过将延锋添加到他们的Tor数据泄露勒索网站中,公开宣称对延锋进行了攻击。
勒索软件攻击中利用的 Qlik Sense 漏洞
据安全运营公司 Arctic Wolf 称,影响商业分析公司 Qlik 产品的三个漏洞可能已在勒索软件攻击中被利用。
该网络安全公司报告称,发现攻击似乎利用 CVE-2023-41266、CVE-2023-41265 和 CVE-2023-48365 进行初始访问,然后攻击者尝试在受感染的系统上部署 Cactus 勒索软件。
这些被利用的漏洞是由 Praetorian 发现的,并在 Qlik 宣布提供补丁后不久于 8 月和9 月披露了详细信息。
这些被评为“严重”和“高严重性”的安全漏洞影响了数据分析解决方案 Qlik Sense Enterprise for Windows。
“麒麟” 勒索软件攻击汽车零部件巨头,致北美工厂生产中断
发表于 11月初,有报道称“延锋”遭到网络攻击。延锋是一家专注于内饰配的汽车零部件开发商和制造商,在全球240个地点拥有57000多名员工。该公司向通用汽车、大众集团、福特、Stellantis(菲亚特、克莱斯勒、吉普、道奇)、宝马、戴姆勒、丰田、本田、日产、上汽集团销售内饰零部件。对这家供应商的攻击对北美的汽车制造供应链产生了直接的连锁反应,导致几家北美工厂生产中断,其中包括全球汽车制造商Stellantis经营的工厂。昨天,麒麟勒索软件组织,也称为“Agenda”,通过将延锋添加到他们的Tor数据泄露勒索网站中,公开宣称对延锋进行了攻击。
每周安全速递²⁸⁵|北德克萨斯州市政水务区遭受勒索软件攻击
发表于 #每周安全资讯 36个 第285期 本周热点事件威胁情报1北德克萨斯州市政水务区遭受勒索软件攻击Daixin Team勒索团伙声称攻击了北德克萨斯州市政水务区(NTMWD),将NTMWD添加到其Tor泄漏站点的受害者列表上中,并声称从该机构窃取了大量数据并威胁要发布它。该团伙声称共窃取了33844个文件,包括董事会会议纪要、内部项目文件、人员详细信息、审计报告等数据,并在其网站中发布了窃取文件的列表文件。目前,NTMWD称他们只是电话服务中断,未透露更多信息。
附IOC!奇安信产品组合成功挫败blackcat勒索软件分发商针对OT的攻击活动
发表于 #blackcat 1 个 #勒索攻击 1 个 概述奇安信威胁情报中心一直在跟踪众多勒索软件的分发商,我们在今年四月份曾详细披露过Conti勒索软件和Quantum勒索软件的运营商Karakurt Group[1]针对我国OT单位的攻击活动,报告发布后该团伙在国内的活动骤减,但仍然在使用exchange漏洞入侵一些金融公司并进行横向移动,我们已经给对应的客户发出了相应的通报。
Ethyria: Echoes of Yore 游戏的 17,000 名粉丝因勒索软件攻击而失去了账户
开发商拒绝支付赎金,但承诺给玩家专属宠物。11月24日上午,黑客使用勒索软件攻击了流行在线角色扮演游戏《 Ethyryal: Echoes of Yore》的服务器 。此次事件导致约17000个游戏账号数据丢失。 Ethyrial: Echoes of Yore 是一款由独立工作室 Gellyberry Studios 开发的免费大型多人在线角色扮演游戏。它在Steam平台上提供早期版本,也就是说,它正在积极开发中,并在社区支持的情况下创建。 攻击者对服务器和本地备份介质上的所有文件进行了完全加密,并要求支付比特币赎金以获得解密密钥。
DJVU 勒索软件的最新变种“Xaro”伪装成破解软件
DJVU 勒索软件的最新变种“Xaro”伪装成破解软件 据观察,一种名为 DJVU 的勒索软件变种以破解软件的形式进行传播。Cybereason 安全研究员 Ralph Villanueva 表示:“虽然这种攻击模式并不新鲜,但已观察到涉及 DJVU 变体的事件,该变体将 .xaro 扩展名附加到受影响的文件并要求解密器赎金,从而感染系统以及许多各种商品加载程序和信息窃取程序。”说。美国网络安全公司将新变种的代号命名为“Xaro”。DJVU 本身是STOP 勒索软件的变种,通常伪装成合法服务或应用程序到达现场。它还作为SmokeLoader的有效负载提供。
警方摧毁了攻击 71 个国家的勒索软件组织
Bleeping Computer 网站消息,七个国家的执法机构与欧洲刑警组织和欧洲司法组织共同发起了一次联合执法行动,成功在乌克兰境内逮捕了某勒索软件组织的核心成员。
据悉,这些网络犯罪分子使用 LockerGoga、MegaCortex、HIVE 和 Dharma 等勒索软件发动网络攻击活动,导致大量企业运营瘫痪。欧洲司法组织称,在入侵受害目标系统后,该组织会偷偷潜伏起来(潜伏时间有时长达数月)部署不同类型的勒索软件,如 LockerGoga、MegaCortex、HIVE 或 Dharma,此后会向受害者“发送”一则赎金通知,要求受害者支付比特币,以换取解密密钥。
麒麟勒索病毒声称攻击了汽车巨头延锋
麒麟勒索软件组织声称对全球最大的汽车零部件供应商之一延锋汽车内饰(延锋)的网络攻击负责。
延锋是一家专注于内饰零部件的中国汽车零部件开发商和制造商,在全球 240 个地点拥有超过 57,000 名员工。
该公司向通用汽车、大众集团、福特、Stellantis(菲亚特、克莱斯勒、吉普、道奇)、宝马、戴姆勒、丰田、本田、日产和上汽集团销售内饰零部件。该公司构成了这些汽车制造商供应链的重要组成部分。
本月早些时候,有 报道 称延锋汽车受到直接影响Stellantis的网络攻击,迫使该汽车公司停止其北美工厂的生产。
这家中国公司仍未回应有关此事的置评询问。
新型勒索软件“Enmity”——即使拥有密钥也无法解密
近日,瑞星威胁情报中心捕获到一个名为“Enmity”的勒索软件,其不仅使用了复杂的加密算法,并且让受害者在掌握了密钥的情况下,也无法解锁文件。一旦中招,该勒索软件就会加密电脑内文档、照片、档案、数据库、PDF等各类文件,因此广大用户要提高警惕,加强防范。组合加密方式让攻击效率更高瑞星安全专家介绍,“Enmity”勒索软件使用了AES和RSA组合加密的方式,这种方式不仅加密速度快、效率高,且难以破解。AES(对称加密)方式:只有一个私钥,加密和解密都是同一个密钥。优势在于加密速度快,但安全系数低。RSA(非对称加密)方式:有两个密钥,一个公钥,一个私钥,公钥用来加密,私钥用来解密。
斯洛文尼亚的能源供应受到勒索软件病毒的威胁
不明身份人士袭击了该国最大的电力供应商。上周,斯洛文尼亚最大的电力供应商能源公司HSE的IT系统遭到黑客攻击。据官方资料显示,此次事件的原因是加密病毒对公司网络上的文件进行了加密,同时也阻止了员工对内部服务的访问。这次攻击的规模令人印象深刻 – 事实证明,攻击者能够渗透安全和过程控制系统。11 月 22 日星期三晚上,首次发现了攻入内网的迹象。随后一切都在掌控之中,内部专家开始调查这起事件。但到11月24日,情况变得更糟。恶意软件愈演愈烈,并开始在整个公司网络中迅速传播。此时,斯洛文尼亚政府已经介入消除网络攻击的后果。
黑帝公告 📢
❤十年经营、持续更新、精选优质黑客技术文章的Hackdig,帮你成为掌握黑客技术的英雄❤
客黑业创的万千入年个一
❤用费0款退球星,年1期效有员会
🧠富财控掌,知认升提,长成起一💡