美国缅因州 130 万居民数据在勒索软件攻击中被盗

美国缅因州130万居民数据在勒索软件攻击中被盗据缅因州政府网站上发布的一份中，130万居民的数据在今年5月31日首次发现的勒索软件攻击中被盗。同样，有130万人受到此次数据泄露的影响。根据2022年美国人口普查，缅因州有超过130万居民。通报显示，此次勒索软件攻击发生在今年5月28日至5月29日期间。网络犯罪分子利用了第三方文件传输工具MOVEit中的一个“软件漏洞”，缅因州的官员在发现漏洞后立即关闭了对MOVEit的访问来处理该问题。但据缅因州确认，泄漏的数据可能包含的个人数据包括姓名、社会安全号码、出生日期、驾驶证或州身份证号码以及纳税人识别号码。医疗信息和医疗保险信息也可能受到影响。——

大英图书馆确认有数据在最近一次勒索软件攻击中被盗

大英图书馆确认有数据在最近一次勒索软件攻击中被盗两周过去了，大英图书馆的故障仍在持续。不过，该组织现已证实，此次中断是"由一个以此类犯罪活动著称的组织"发起的勒索软件攻击造成的。大英图书馆表示，一些内部数据已经泄露到网上，"这些数据似乎来自我们的内部人力资源文件"。这一确认是在大英图书馆被列入Rhysida勒索软件团伙的暗网泄露网站数小时后得到的。这份名单声称对此次网络攻击负责，并威胁称除非大英图书馆支付赎金，否则将公布从该馆窃取的数据。截至发稿时，该团伙索要价值超过74万美元的比特币。Rhysida勒索软件团伙还没有透露从大英图书馆窃取了多少数据或哪些类型的数据，但该团伙共享的数据样本似乎包括就业文件和护照扫描件。上周，Rhysida成为CISA和FBI联合警告的主题，警告称该团伙利用面向外部的远程服务（如VPN）来入侵教育、IT和政府部门的组织。咨询还警告说，今年5月首次发现的Rhysida与ViceSociety勒索软件团伙有相同之处，后者是一个以勒索医疗和教育机构的勒索软件攻击而闻名的黑客组织。Sophos的研究人员ColinCowie和MorganDemboski在最近一份关于Rhysida的分析报告中写道："值得注意的是，根据勒索软件团伙的数据泄露网站，ViceSociety自2023年7月以来就没有发布过受害者信息，而这正是Rhysida开始在其网站上报告受害者的时间。"勒索软件团伙解散、重塑品牌或创建新的恶意软件变种的情况并不少见，这通常是为了逃避政府制裁或避免被执法部门逮捕。大英图书馆周一在X（前Twitter）上发表声明称，"没有证据"表明其客户的数据受到了威胁，但建议用户更改密码，作为"预防措施"，尤其是如果用户在多个服务中使用相同的密码。目前还不知道大英图书馆是否有技术手段来确定客户数据是否被盗。大英图书馆尚未说明它是如何被入侵的，有多少员工数据被盗，或者是否收到了黑客的通信或赎金要求。大英图书馆没有回应相关问题，但目前还不清楚该机构是否可以访问电子邮件服务。截至发稿时，该图书馆的网站仍处于离线状态。大英图书馆在最新声明中表示，从勒索软件攻击中恢复过来可能需要数周甚至更长的时间。声明说："我们预计在未来几周内恢复许多服务，但有些中断可能会持续更长时间。""与此同时，我们已经采取了有针对性的保护措施，以确保我们系统的完整性，我们正在[国家网络安全中心]、伦敦警察局和网络安全专家的支持下继续调查这次攻击。"...PC版：https://www.cnbeta.com.tw/articles/soft/1398481.htm手机版：https://m.cnbeta.com.tw/view/1398481.htm

台积电遭遇LockBit勒索软件攻击 黑客要求其支付7000万美元

台积电遭遇LockBit勒索软件攻击黑客要求其支付7000万美元台积电声称，最新的攻击并没有影响其业务运作或客户信息台积电在接受《安全周刊》采访时表示，其一个IT硬件供应商遭遇了安全漏洞，泄露了重要信息。在被盗的各种细节中，据透露，该公司的年收入估计为572亿美元，因此，黑客要求7000万美元的赎金，对台积电来说就像是小菜一碟。经过彻底调查，该公司在下文中表示，其业务运营没有受到影响，客户数据也很安全。台积电表示："在台积电，每一台硬件组件在安装到台积电的系统之前都要经过一系列广泛的检查和调整，包括安全配置。经审查，这次事件没有影响台积电的业务运营，也没有泄露台积电的任何客户信息。事件发生后，台积电已根据公司的安全协议和标准操作程序，立即终止了与该相关供应商的数据交换。台积公司将继续致力于提高其供应商的安全意识，确保他们遵守安全标准。这一网络安全事件目前正在调查中，涉及到一个执法机构。"至于哪家供应商在安全漏洞中受到影响，据了解是KinmaxTechnology，这是一家位于台湾的系统集成商公司，专门从事云计算、网络和安全，其部分客户包括微软和NVIDIA。Kinmax声称，被盗内容是提供给客户的系统安装默认配置的细节。Kinmax还公开向受影响的客户道歉，因为泄露的信息还包含他们的名字，但没有提到具体的公司。Kinmax承诺今后将加强其安全性，防止历史重演。LockBit勒索软件集团自2019年以来一直存在，自2022年以来频繁出现在新闻中，拥有超过1800个实体，成为其攻击的受害者。该集团的商业模式围绕着"勒索软件即服务战略"，即RaaS，它保留大部分利润，而其附属机构则是进行攻击的人，在这种情况下，是一个名为国家危险机构的子集团。或台积电是否会同意7000万美元的赎金条款尚未披露，但根据截止日期，我们需要在8月6日重新审视这一事件。...PC版：https://www.cnbeta.com.tw/articles/soft/1368329.htm手机版：https://m.cnbeta.com.tw/view/1368329.htm

思科遭遇Yanluowang勒索软件团伙攻击 泄露近2.8GB数据

思科遭遇Yanluowang勒索软件团伙攻击泄露近2.8GB数据思科（Cisco）周三证实：今年五月，Yanluowang勒索软件团伙入侵了该公司的网络，并试图利用线上泄露的被盗文件索取赎金。即便如此，思科还是坚称攻击者仅从与受感染员工账户相关联的Box文件夹中，获取并窃取了非敏感数据。思科发言人在接受BleepingComputer采访时称，该公司网络于2022年5月下旬经历了一起安全事件，但他们已迅速采取行动、将不良行为者遏制并清除。思科未发现此事件对公司的业务运营造成任何影响，包括思科产品与服务、敏感的客户数据/员工信息、知识产权、或供应链运营。8月10日，攻击者将本次安全事件中窃取的文件列表发布到暗网。不过我们已经采取额外措施来保护公司系统、同时分享了技术细节，以帮助保护更广泛的安全社区。据悉，Yanluowang攻击者在劫持了员工的个人Google账户（包含从起浏览器同步的凭据）后，使用被盗的身份验证信息获得了对思科网络的访问权限。接着攻击者利用多因素身份验证推送通知，来说服思科员工接受MFA，然后利用假冒受信任的支持组织，发起一系列复杂的语音网络钓鱼攻击。泄露文件列表（图viaBleepingComputer）威胁行为者最终诱骗受害者接受其中一个MFA通知，并在目标用户的上下文内容中获得了对虚拟专用网的访问权限。一在企业内网站稳脚跟，Yanluowang团伙就开始横向传播，继而染指思科的服务器和域控制器。思科旗下威胁情报组织Talos在调查后发现，攻击者进入了Citrix环境并破坏了一系列服务器，并最终获得了对域控制器的特权访问。在获得域管理员权限后，黑客又利用ntdsutil、adfind和secretsdump等枚举工具收集到了更多信息，从而将一系列有效负载安装到受感染的系统上（包括后门）。庆幸的是，思科很快检测到、并从内网环境中将攻击者驱逐了出去。然而不死心的Yanluowang团伙，还是在碰壁后的接下来几周时间里，不断尝试重新获取访问权限。Talos补充道：“在获得初始访问权限后，威胁参与者开展了各种活动来维持和提升其在系统中的访问权限，并尽最大限度地减少了取证伪影”。上周，幕后威胁参与者通过电子邮件，向BleepingComputer发送了一份据称在攻击期间被盗取的文件目录。该团伙声称掌握了2.75GB的数据，其中包括大约3100个文件，且不少与保密协议、数据转储和工程图纸有关。为证明数据泄露的真实性，它们还向外媒分享了一份经过编辑的NDA文件。即便如此，思科方面还是回应称——尽管Yanluowang团伙以加密受害者的文件而臭名昭著，但该公司并未在这轮攻击过程中发现有勒索软件得逞的证据。至于幕后黑手的真实身份，Talos比较肯定它们与先前被确定为UNC2447的网络犯罪团伙和Lapsus$等有关。此外Yanluowang最近声称入侵了美国零售巨头沃尔玛的系统，但相关报道并未发现勒索软件攻击的证据。PC版：https://www.cnbeta.com/articles/soft/1303265.htm手机版：https://m.cnbeta.com/view/1303265.htm

【意大利资管公司Azimut已成为勒索软件组织BlackCat的攻击目标】

【意大利资管公司Azimut已成为勒索软件组织BlackCat的攻击目标】2023年07月25日12点07分老不正经报道，意大利资产管理公司Azimut已成为国际勒索软件组织BlackCat的攻击目标。该公司披露了此次网络攻击事件，并补充说该公司已拒绝任何支付赎金的要求。该公司表示，这次攻击没有影响可能允许访问客户和财务顾问的个人立场或执行未经授权的交易的数据或信息。Azimut在例行监控期间检测到对其IT系统的未经授权的访问。它迅速通知有关当局并启动内部安全程序，成功限制了袭击的影响。以色列网络安全初创公司DarkFeed和总部位于加州的网络安全公司PaloAltoNetworks均认定BlackCat是此次攻击的组织。后者表示BlackCat从Azimut窃取了超过500GB的数据。众所周知，BlackCat使用加密货币，由于跟踪区块链交易相对困难，大多数勒索软件团体依赖加密货币进行支付，BlackCat也不例外。

美欧警方联合执法 捣毁向71个国家发起攻击的大型勒索软件团伙

美欧警方联合执法捣毁向71个国家发起攻击的大型勒索软件团伙该犯罪网络中的角色差异很大：一些成员破坏了IT网络，而另一些成员据报道帮助受害者支付加密货币以解密其文件。攻击者通过暴力破解和SQL注入攻击窃取用户凭据以及使用带有恶意附件的网络钓鱼电子邮件来访问目标网络。一旦进入，他们就会使用TrickBot恶意软件、CobaltStrike和PowerShellEmpire等工具横向移动并危害其他系统，然后触发之前部署的勒索软件有效负载。调查显示，这个有组织的勒索软件附属团体对大公司的250多台服务器进行了加密，导致损失超过数亿欧元。11月21日，在基辅、切尔卡瑟、罗夫诺和文尼察的30个地点进行协调袭击，逮捕了该组织32岁的主谋，并抓获了4名同谋。来自挪威、法国、德国和美国的20多名调查人员协助乌克兰国家警察在基辅进行调查。欧洲刑警组织还在荷兰设立了一个虚拟指挥中心，用于处理房屋搜查期间捕获的数据。在此行动之前，2021年警方还逮捕了12名与针对71个国家的1,800名受害者的勒索软件攻击有关的个人，这是同一执法行动的一部分。正如两年前的调查显示，攻击者部署了LockerGoga、MegaCortex和Dharma勒索软件。他们还在攻击中使用了Trickbot等恶意软件和CobaltStrike等后利用工具。欧洲刑警组织和挪威随后的工作重点是分析2021年在乌克兰缉获的设备数据，并帮助识别一周前在基辅被捕的其他嫌疑人。这项国际警察行动由法国当局于2019年9月发起，重点是在由挪威、法国、英国和乌克兰组成的联合调查组(JIT)的帮助下，寻找乌克兰境内的威胁行为者，并将他们绳之以法。欧洲司法组织的支持以及与荷兰、德国、瑞士和美国当局的合作。参与的执法机构名单包括：挪威：国家刑事调查局(Kripos)法国：巴黎检察官办公室、国家警察局（PoliceNationale-OCLCTIC）荷兰：国家警察局（Politie）、国家检察院（LandelijkParket、OpenbaarMinistryie）乌克兰：总检察长办公室(ОфісГенеральногопрокурора)、乌克兰国家警察(НаціональнаполіціяУкраїни)德国：斯图加特检察官办公室、罗伊特林根警察总部(PolizeipräsidiumReutlingen)CIDEsslingen瑞士：瑞士联邦警察局(fedpol)、巴塞尔州警察局、苏黎世州检察官办公室、苏黎世州警察局美国：美国特勤局(USSS)、联邦调查局(FBI)欧洲刑警组织：欧洲网络犯罪中心(EC3)欧洲正义组织...PC版：https://www.cnbeta.com.tw/articles/soft/1400395.htm手机版：https://m.cnbeta.com.tw/view/1400395.htm