记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华勒索软件盯上“黑色星期五”,法国体育零售商Intersport遭攻击
近日,Hive勒索软组织对外公布了在11月份对法国体育零售商Intersport的攻击中获得的客户数据。这个臭名昭著的勒索组织周一在暗网发布了一批Intersport数据,并威胁说除非零售商支付勒索费,否则将泄露更多数据。据法国《世界报》报道,黑客攻击包括法国北部商店的Intersport员工的护照信息、工资单、其他商店的离职和在职员工名单以及社会保险号码。La Voix Du Nord报道说,黑客攻击发生在 "黑色星期五 "销售期间,使员工无法进入收银系统,迫使商店进行人工操作。
Vice Society 勒索软件太猖狂,一年内袭击 33 个教育机构
The Hacker News 网站披露,Vice Society 勒索软件组织增加了对教育机构的网络攻击,在 2022 年期间,该组织袭击了 33 个教育机构,超过 LockBit、BlackCat、BianLian 和 Hive 等其它勒索软件团伙。从 Palo Alto Networks Unit 42 分享的数据分析结果来看,除教育机构外,Vice Society 其它攻击目标主要涉及医疗保健、政府、制造业、零售业和法律服务业等领域。
勒索软件凶猛!比利时最大城市数字服务被迫中断
前情回顾·勒索软件大爆炸网灾降临!因遭遇网络攻击,这个国家政务网络瘫痪超三周因遭遇大规模网络攻击,这个国家政务网络被迫关闭加拿大最大城市遭勒索攻击,公共交通IT系统几乎全部瘫痪安全内参12月7日消息,由于合作的数字供应商日前遭受网络攻击,西欧国家比利时的安特卫普市的数字服务被迫中断,目前正努力恢复。服务中断影响到当地市民、学校、日托中心和警署所使用的服务。截至目前,各项服务仍处于时断时续的不稳定状态。资料显示,安特卫普市是比利时面积最大、人口最多的城市。电子邮件和电话系统均已中断针对这起事件的调查正在进行中。从已公布的少量信息来看,造成服务中断的应该是勒索软件攻击,但幕后黑手是谁尚不明确。
开源勒索软件工具包 Cryptonite 变成意外的擦除器恶意软件
Hackernews 编译,转载请注明出处:
一个名为Cryptonite的开源勒索软件工具包版本因其“架构和编程薄弱”而在野外被观察到具有擦除器功能。
与其他勒索软件不同,Cryptonite无法在地下网络犯罪网站上出售,而是直到最近才由名为CYBERDEVILZ的攻击者通过GitHub存储库免费提供。源代码及其分支已经被删除。
该恶意软件是用Python编写的,它利用加密包中的Fernet模块对扩展名为“.cryptn8”的文件进行加密。
但Fortinet FortiGuard实验室分析的一种新样本发现,它可以锁定文件,但无法重新解密,本质上就像一个破坏性数据擦除器。
勒索软件凶猛!法国巴黎又一医院暂停运营并转移患者
前情回顾·医院勒索软件大爆炸印度最大医院遭网络攻击:业务中断超4天 只能手动处理工作美国超级连锁医院因勒索攻击引发IT崩溃:救护车改道、病历失联法国首都一医院遭勒索软件攻击:急诊被迫停业 赎金1000万美元安全内参12月6日消息,上周末,法国巴黎一家综合性医院遭到勒索软件攻击,被迫叫停医疗手术并转移了6名患者。法国卫生部表示,凡尔赛医院中心目前已经陷入无计算机系统可用的困境,该医疗综合体旗下有两所医院与一家养老院。6名患者中,3名转移患者来自重症监护室,另外3名则来自新生儿病房。
俄罗斯政府机构遭CryWiper勒索软件攻击
外媒报道称,俄罗斯市长的办公室和法院遭到了一种新的加密病毒的攻击。该程序在计算机上对数据进行编码,要求支付赎金——超过50万卢布。但是,即使您将这笔金额转移给黑客,病毒也会将文件完全删除。卡巴斯基实验室的专家解释说,CryWiper会破坏所有格式文件的内容,它的主要用途是数据库、档案、个人用户文档,但不会自动销毁文件,它会向命令和控制服务器发送请求,只有在获得许可后才会开始工作。
使用攻击者的工具抵御Hive勒索软件
最新版本的Hive有效载荷是用Rust编写的,之前是用Go编写的。它通常会在攻击者通过利用钓鱼邮件、暴露的RDP、利用未打补丁的软件(FortiOS漏洞CVE-2020-12812和微软Exchange的ProxyShell漏洞已经受到青睐;还会有其他漏洞)或泄露的VPN信条(即所有许多常见的机器和网络被破坏的方式)访问网络后进行投放。像大多数复杂的勒索软件的有效载荷一样,Hive勒索软件运行的进程会杀死一系列的防病毒/EDR工具,删除备份并阻止恢复。
勒索软件已冲击国家安全?英国议会启动专项调查
安全内参11月30日消息,英国议会国家安全战略联合委员会(JCNSS)周一举行首次证据介绍会,调查其国家安全战略能否有效应对勒索软件威胁。
联合委员会主席玛格丽特·贝克特(Margaret Beckett)议员表示,这次介绍会旨在确定“威胁的规模和性质”。
在此之前,由英国上、下议院议员组成的联合委员会已开放证据提交通道。
预计后续听证会将进一步引入应对勒索软件攻击的证人,包括受害者及执法机构。其中一部分由委员会传唤,另一些则根据书面证据进行选择。
勒索软件威胁规模有多大?
贝克特表示,“人们似乎普遍认为,近年来勒索软件威胁正持续恶化,但总体上仍缺少能够证明威胁规模的可靠数据。
十月勒索病毒态势 | 解密"锁得快、偷得快"的LockBit勒索软件
#安全报告 99 个 #勒索病毒态势 1 个 #LockBit 2 个 1概述近日,微步情报局对10月份勒索态势监测发现,自从今年俄乌冲突以来,占据榜首的Conti勒索软件公?
安全团队发现Crysis勒索软件变种Wiki在韩国活动
AhnLab于11月25日披露了勒索软件Wiki在韩国的活动。该勒索软件已被确定为Crysis的变种,伪装成正常程序。在执行实际加密之前,Wiki将自己复制到%AppData%或%windir% system32路径,并添加到注册表中注册为启动程序之一。此外,它还会解码要在内存中终止的与数据库相关的服务和进程名称,并查找当前正在运行的服务和进程并终止它们。由于Crysis类型的勒索软件通常通过RDP分发,研究人员建议注意RDP连接环境。
俄罗斯 RansomBoggs勒索软件“盯上”乌克兰实体
近日,The Hacker News 网站披露,乌克兰遭受新一轮勒索软件攻击,斯洛伐克网络安全公司 ESET 将新型勒索软件称为 RansomBoggs,并表示针对乌克兰实体的攻击于 2022 年 11 月 21 日首次发现。ESET 在上周一系列推文中强调:虽然用 .NET 编写的恶意软件是新型的,但其部署模式与之前的 Sandworm(沙虫)攻击非常相似。值得一提的是,被微软追踪为 Iridium 的 Sandworm 组织涉嫌于 2022 年 10 月使用另一种名为 Prestige 的勒索软件对乌克兰和波兰运输和物流部门发动一系列攻击。
RansomBoggs勒索软件攻击乌克兰实体
近日,ESET研究人员观察到针对乌克兰组织的多次攻击涉及一个新的勒索软件家族,被追踪为RansomBoggs勒索软件。该安全公司于11月21日首次检测到攻击,并立即向CERT US发出警报。该勒索软件是由.NET编写,经分析发现其部署类似于之前与俄罗斯相关的Sandworm APT组织发起的攻击。Sandworm(又名 BlackEnergy 和 TeleBots)自2000年以来一直活跃,该组织还是 NotPetya勒索软件的开发者,该勒索软件曾于2017年6月袭击了全球数百家公司,造成数十亿美元的损失。
俄罗斯 RansomBoggs 勒索软件瞄准乌克兰组织
Hackernews 编译,转载请注明出处:
乌克兰遭受了新一轮勒索软件攻击,类似于此前俄罗斯Sandworm民族国家组织的入侵。
斯洛伐克网络安全公司ESET将这种新型勒索软件称为RansomBoggs,该公司表示,针对多个乌克兰实体的攻击最早是在2022年11月21日被发现的。
该公司在周五的推文中表示:“虽然用.NET编写的恶意软件是新的,但其部署与之前的Sandworm攻击类似。”
与此同时,被微软追踪为Iridium的Sandworm黑客涉嫌于2022年10月使用另一种名为Prestige的勒索软件,对乌克兰和波兰的运输和物流部门发动了一系列攻击。
ENISA 2022勒索软件攻击的威胁图景(下)
5. 分析勒索软件事件 在介绍和定义勒索软件之后,本节将提供2021年5月至2022年6月之间样本事件的分析,提供勒索软件的情况及其特征。 在展示结果之前,出于本次分析的目的,澄清什么被认定是勒索病毒事件很重要。勒索软件事件是一次成功的攻击,其中威胁行为者设法访问目标,在目标资产上执行任何一项LEDS动作(上锁,加密,删除,偷窃),并实施勒索。注意,不需要进行赎金谈判当然也不鼓励将攻击视为勒索软件事件。
新的RansomExx勒索软件用Rust编程语言重写
继BlackCat、Hive和Luna等勒索病毒之后,RansomExx勒索病毒的操作者已经成为最新开发完全用Rust编程语言重写的新版本。最新的版本,被称为Hive0091(又名DefrayX)的威胁者称为RansomExx2,主要设计在Linux操作系统上运行,尽管预计未来将发布Windows版本。 RansomExx,也被称为Defray777和Ransom X,是一个勒索病毒簇,自2018年以来一直活跃。自那以后,它被认为与多起针对政府机构、制造商和巴西航空工业公司(Embraer)和GIGABYTE等其他知名实体的攻击有关。
勒索软件团伙以比利时市政当局为目标,反而袭击了警察
Ragnar Locker 勒索软件团伙发布了他们认为是 Zwijndrecht 市的被盗数据,但结果证明是从 Zwijndrecht 警察局(比利时安特卫普的一个地方警察部门)窃取的。 Ragnar Locker 勒索软件团伙发布了他们认为是 Zwijndrecht 市的窃取数据,但结果证明是从 Zwijndrecht 警察局(比利时安特卫普的一个地方警察部门)窃取的。据报道,泄露的数据暴露了数千个车牌、罚款、犯罪报告文件、人员详细信息、调查报告等。
亚洲航空公司遭到勒索软件攻击,乘客及雇员的资料被窃取
亚洲航空集团承诺在收集个人信息时负责任,并“尽一切可能”保护隐私。请注意,这不是合同,而只是他们所表达的承诺。11月11日和12日,亚洲航空集团遭到了Daixin Team团伙的勒索软件攻击。CISA最近就这个团伙发出了警报;该团伙告诉DataBreaches网站,他们已获得了500万乘客和所有雇员的个人数据。DataBreaches看到了该团伙向亚洲航空集团出示的两个.csv文件。一个文件包含有名有姓的乘客的信息。第二个文件包含雇员信息,附有许多字段,包括姓名、出生日期、出生国家、位置、开始工作的日期、“秘密问题”、“答案”以及用来加密的随机字符串(salt)。
警惕!RansomExx勒索软件升级Rust语言
继Hive、Blackcat、Luna等勒索软件家族后,RansomExx勒索软件也在近期进行了Rust 编程语言的升级。RansomExx勒索软件,又名Defray777和Ransom X,其幕后运营商近期开发了一种新的恶意软件变体,跟踪为RansomExx2,并已升级为Rust编程语言。升级为Rust 编程语言,可以说是带来了更加复杂的加密方法,因为与用常见的语言编写的恶意软件相比,用 Rust 重写恶意软件具有较低的 AV 检测率。RansomExx 勒索软件自2018年发现以来一直活跃,其受害者名单包括政府机构、计算机制造商、奢侈品牌等等。
Black Basta勒索软件借道木马,大肆感染美国公司
GSOC团队的专家观察到Qakbot感染激增,持续且激进的Qakbot恶意软件活动,导致美国地区出现大批量Black Basta勒索软件感染。在过去的两周时间里,已发现有十余起针对美国目标的攻击活动。据悉,Black Basta勒索软件自2022年4月开始活跃,与其他勒索软件一样,也是进行双重勒索攻击。在新近发现的攻击活动中,Black Basta 勒索软件团伙使用 QakBot银行木马创建初始入口点并在组织网络内横向移动。一旦QakBot银行木马成功感染了一个环境,恶意软件就会安装一个后门,允许威胁者投放其他恶意软件——即勒索软件。
黑客声称窃取14TB数据!加拿大一市遭勒索软件攻击,市政务平台瘫痪
11月21日,加拿大一个名为Westmount的城市在其官网发布了一则通告,表示由于技术问题,该市的电子邮件服务暂不可用。随后不久,Westmount市政当局确认,其成为了网络攻击的目标,此次攻击影响政府的数台服务器,导致计算机故障,并致该市市政服务中断。在Westmount市政当局发布通告前一日,勒索软件团伙Lockbit3.0就已在其网站上宣布对此次攻击负责。并且,Lockbit团伙表示,他们已掌握了Westmount市政府的14TB数据。他们只给市政当局两天的时间(后来延长至14天)支付赎金,否则就将公布所有到手的Westmount数据。
勒索软件团伙瞄准东亚及太平洋地区依赖云服务企业
Quantum Locker黑客组织正使用一种特殊的作案手法,瞄准东亚及太平洋地区依赖云服务的大型企业,其目标是IT管理人员收集敏感的网络信息和凭据访问。在最新披露的信息中,还强调该黑客组织有能力对严重依赖云服务的公司进行破坏和勒索软件攻击。据悉,Quantum黑客组织在北欧开展活动时最喜欢的初始目标是 IT 管理员和网络人员。通过访问他们的个人资源和共享的 Dropbox 文件夹,威胁参与者能够收集敏感的管理凭据以扩展对云层面的攻击 (T1530)。
多方受害!Donut 勒索组织正对企业部署双重勒索
BleepingComputer在8月首次报道了Donut 勒索集团,将他们与对希腊天然气公司DESFA、英国建筑公司Sheppard Robson和跨国建筑公司Sando的袭击联系起来,证实Donut在对企业的双重勒索攻击中部署勒索软件。
而近期,BleepingComputer再次发现了用于Donut操作的加密器样本“VirusTotal”,进一步表明该组织正在使用自己定制的勒索软件进行双重勒索攻击。奇怪的是,Sando和DESFA的数据也被发布到几个勒索软件操作的网站上,Hive勒索软件声称发起了Sando攻击,Ragnar Locker则声称发起了DESFA攻击。
勒索软件组织控制加拿大城镇 Westmount 以索取赎金
邪恶的LockBit 3.0网络犯罪组织声称对加拿大魁北克小城Westmount(韦斯特芒特)的勒索软件攻击负责,该攻击导致Westmount的市政服务停止并关闭了员工电子邮件帐户,勒索者要求该市在12月4日之前支付一笔未公开数字的赎金。通过电话联Westmount市长,21日下午晚些时候,在得知袭击事件发生24小时后,仍然没有具体信息可以传达。市长和信息技术部门都无法确定黑客是否真的能够窃取公民或员工的信息。
Westmount是魁北克西南部一个拥有近21,000名居民的城市,周一(21日)最初报告称,由于不明原因的计算机中断,该市的电子邮件服务无法使用。
加拿大一市遭勒索软件攻击,市政务平台瘫痪
近日,LockBit 3.0网络犯罪团伙声称对加拿大韦斯特蒙市政服务平台瘫痪和关闭员工电子邮件账户的勒索软件攻击事件负责,并要求该市在12月4日前支付赎金。
根据韦斯特蒙市报道,该市的电子邮件服务因不明原因的计算机故障而无法使用,并且该故障也影响了其他市政服务。后经证实该次故障源于一次有针对性的网络攻击。
韦斯特蒙市长Christina Smith在一份声明中说:”网络攻击在我们的社会中变得越来越普遍和复杂,尽管我们采取了所有的措施,公共管理部门也不能完全避免这种恶意的攻击”。
甜甜圈勒索组织正对企业部署双重勒索
据BleepingComputer 11月22日消息称,名为甜甜圈(D0nut)的勒索软件组织正制定针对企业的双重勒索攻击策略。
今年8月,BleepingComputer首次报道了甜甜圈勒索软件组织,它们分别参与了对希腊天然气公司 DESFA、英国建筑公司 Sheppard Robson 和跨国建筑公司 Sando 的网络勒索攻击。
最近,BleepingComputer 发现了用于甜甜圈的加密器样本,表明该组织正在使用自己定制的勒索软件进行双重勒索攻击。
AXLocker、Octocrypt和Alice,三大新型勒索软件来袭
日前,威胁情报公司Cyble披露称,发现三个新型勒索病毒,分别名为AXLocker、Octocrypt和Alice。其中,AXLocker 勒索软件在加密数据文件后,还会从受感染的设备上窃取Discord令牌。从代码分析来看,startencryption() 函数通过枚举 C: 驱动器上的可用目录来实现搜索文件的功能。不过,该恶意软件仅针对特定的文件扩展名,并从加密过程中排除目录列表。而名为Octocrypt的勒索病毒,则是一种Golang勒索软件,其运营商正在通过勒索软件即服务 (RaaS) 商业模式活跃,售价为400美元。
Bluesky勒索软件深度技术分析
01.背景介绍勒索软件作为一种流行的木马,近年来已成为最为常见的安全威胁之一。与其他威胁不同,勒索软件先向受害者表明自己的身份,再通过加密的方式使用户数据资产或计算资源无法正常使用,而恢复数据资产的方法通常只能是支付高昂的费用。BlueSky作为近期发现的一种勒索软件变种,在今年3月份首次出现,在6月末开始爆发。它的一些勒索软件样本以“MarketShere.exe”和“SecurityUpdate.exe”的形式在线分发,在入侵目标之后,BlueSky会加密受感染机器上的文件,然后添加“.bluesky”文件扩展名。
FBI:Hive勒索软件团伙向1300多个受害者勒索了1亿美元
美国联邦调查局(FBI)今天表示,自2021年6月以来,臭名昭著的Hive勒索软件团伙已成功向1000多家公司勒索了约1亿美元。FBI表示,雪上加霜的是,Hive团伙将在拒绝支付赎金的受害者的网络上部署额外的勒索软件攻击载荷。FBI透露:“据我们获得的信息显示,截至2022年11月,Hive勒索软件团伙已经攻击了全球1300多家公司,收到了约1亿美元的赎金。”“众所周知,如果受害者组织在不支付赎金的情况下恢复了网络,Hive团伙会用Hive勒索软件或另一个勒索软件变种重新感染受害者组织的网络。
专家发现了三个新的勒索软件:AXLocker、Octocrypt 和 Alice
Hackernews 编译,转载请注明出处:
Cyble研究和情报实验室(CRIL)的专家发现了三个新的勒索软件:AXLocker、Octocrypt和Alice勒索软件。
AXLocker勒索软件会加密受害者的文件,并从受感染的机器上窃取Discord令牌。对代码的分析表明,startencryption()函数通过枚举C:驱动器上的可用目录来实现搜索文件的功能。该恶意软件只针对特定的文件扩展名,并从加密过程中排除目录列表。
AXLocker勒索软件使用AES加密算法加密文件,与其他勒索软件不同,它不会更改加密文件的名称或扩展名。
新勒索软件加密文件,然后窃取您的 Discord 帐户
新的“AXLocker”勒索软件家族不仅会加密受害者的文件并要求支付赎金,还会窃取受感染用户的 Discord 帐户。 新的“AXLocker”勒索软件家族不仅会加密受害者的文件并要求支付赎金,还会窃取受感染用户的 Discord 帐户。当用户使用他们的凭据登录 Discord 时,平台会发回保存在计算机上的用户身份验证令牌。然后可以使用此令牌以用户身份登录或发出 API 请求以检索有关关联帐户的信息。威胁行为者通常试图窃取这些令牌,因为这使他们能够接管帐户,或者更糟糕的是,滥用它们进行进一步的恶意攻击。
黑帝公告 📢
❤十年经营、持续更新、精选优质黑客技术文章的Hackdig,帮你成为掌握黑客技术的英雄❤