根据美国司法部的消息,一名乌克兰公民今天被判处13年零7个月监禁,并被责令支付超过1600万美元的赔偿金,原因是“他参与了2500多次勒索软件攻击,且要求支付超过7亿美元的赎金”。
美国司法部长梅里克·B·加兰(Merrick B. Garland)说:“正如本次判决所表明的那样,司法部正在与我们的国际合作伙伴合作,并利用我们掌握的所有工具来识别网络犯罪分子,扣押他们的非法利润,并追究他们的刑事犯罪责任。”
“被告通过部署REvil勒索软件变种,向全球各地的美国受害者索要了数亿美元,”司法部副部长丽莎·莫纳科 (Lisa Monaco) 表示, “但这起案件表明,美国司法部的影响力也是全球性的——通过与我们的国际合作伙伴合作,我们正在将那些以美国受害者为目标的人绳之以法,我们正在破坏更广泛的网络犯罪生态系统。”
联邦调查局局长克里斯托弗·雷 (Christopher Wray) 表示:“今天,联邦调查局与我们全球合作伙伴的密切合作,再次确保了一个自以为我们无法触及的网络犯罪分子面对他的行为所带来的后果。” “我们将继续不懈地追捕像 Vasinksyi 这样的网络犯罪分子,无论他们藏身何处,同时我们会破坏他们的犯罪计划,没收他们的资金和基础设施,并在法律的最大范围内打击他们的帮凶和犯罪同伙。”
根据法庭文件,24岁的雅罗斯拉夫·瓦辛斯基(Yaroslav Vasinskyi,又名Rabotnik)使用名为Sodinokibi/REvil的勒索软件变种进行了数千次勒索软件攻击。 勒索软件是一种恶意软件,旨在加密受害者计算机上的数据,使恶意行为者能够要求受害者支付赎金以换取解密密钥。 同谋者要求以加密货币支付赎金,并使用加密货币兑换商和混合服务来隐藏他们的不义之财。 为了提高赎金要求,Sodinokibi/REvil 的同谋还会在受害者不支付赎金要求时公开暴露受害者的数据。
“雅罗斯拉夫·瓦辛斯基(Yaroslav Vasinskyi)和他的同谋侵入了世界各地数千台计算机,并用勒索软件对它们进行了加密,”司法部刑事司司长、总检察长首席副助理妮可·M·阿根蒂耶里(Nicole M. Argentieri)说, “然后他们要求支付超过7亿美元的赎金,并威胁如果受害者拒绝支付,将公开披露受害者的数据。 尽管共谋者试图通过洗钱来掩盖自己的踪迹,但Vasinskyi无法逃避执法部门。 今天对Vasinskyi的判决应该提醒世界各地的勒索软件参与者:我们将追踪你并将你绳之以法。”
德克萨斯州北区联邦检察官莱格哈·西蒙顿(Leigha Simonton)表示:“使用勒索软件,来自世界各地的恶意行为者可以在几分钟内使美国公司陷入瘫痪。” “但是,当网络犯罪分子联手部署这些攻击时,美国各地的执法部门随时准备摧毁他们的犯罪团伙。来自得克萨斯州北区的尽职尽责的检察官和联邦调查局达拉斯分局技术娴熟的特工今天再次向世界各地的勒索软件行为者证明了这一点: 当你攻击美国境内的目标时,司法部及其合作伙伴将对你穷追不舍。”
Vasinskyi此前在德克萨斯州北区法院承认了一项11项罪名的起诉,指控他共谋实施欺诈和与计算机有关的相关活动、破坏受保护的计算机以及共谋实施洗钱。他此前被从波兰引渡到美国。
与此相关的是,2023年,美国司法部最终没收了通过两起相关民事没收案件获得的价值数百万美元的赎金,其中包括39.89138522比特币和610万美元的美元资金,可追溯到据称该阴谋的其他成员收到的赎金。
联邦调查局对此案进行了调查。
刑事部计算机犯罪和知识产权科高级顾问 Frank Lin 和德克萨斯州北区联邦助理检察官 Tiffany H. Eggers 起诉了此案。德克萨斯州北区联邦助理检察官迪米特里-罗查 (Dimitri N. Rocha) 协助处理了相关的民事没收案件。
去年,司法部国际事务办公室与波兰当局合作,确保了Vasinskyi的引渡。
自暗网交易市场诞生之初以来,按照最初丝绸之路的先例,“退出骗局”一直是一个持续存在的问题。
就在上周,“暗网下/AWX”综合多个消息来源报道了Incognito暗网市场实施了一次“退出骗局”,其背后的运营者Incognite团队(Incognite Team)卷走了大量客户与供应商的比特币(BTC)和门罗币(XMR)潜逃。一般的暗网市场在选择“退出骗局”之后,基本上都会关闭市场,如White House暗网市场。
然而,伤害不仅仅是被卷走的加密货币,许多该暗网市场的用户最近透露,在Incognito暗网市场进行了“退出骗局”后不久,其背后运营者现在已通知其客户和商家:“他们面临勒索”。Incognito暗网市场背后的团队声称拥有加密资产交易日志和存档的用户对话,并警告称,除非支付赎金,否则这些信息将泄露给执法部门。
Incognito暗网市场转向勒索,威胁泄露用户数据给警方 “退出骗局”通常只是暗网交易市场停止运营并携带托管的资金潜逃。然而,在这一事件中,Incognito暗网市场的管理员显然不满足只是拿走用户的加密货币,还想索取更多,于是转而向使用该平台的用户和供应商勒索资金。
Extortion is the new exit scam. The #1 darknet drug market took all of its users' money days ago. Now its admin Pharoah is demanding that each seller pay a ransom or he will turn their data over to the police.
We'll see how this plays out for him. pic.twitter.com/dJ28YqmypL
— dark.fail (@DarkDotFail) March 11, 2024 “还想听到我们最后的声音吗?” 来自Incognito暗网市场管理员“Pharoah”的消息详细信息。“我们给你们带来了最后一个令人讨厌的小惊喜。多年来我们积累了一份私人消息、交易信息和订单详细信息的列表。”
“Pharoah”补充道:
您会对依赖我们的“自动加密”功能的人数感到惊讶。顺便说一句,您的消息和交易ID在“到期”后从未真正被删除。
Incognito的运营者透露,面临执法风险的信息包括557,000个订单和862,000个加密货币交易ID的综合转储。勒索信中不祥地写道:“您和您客户的信息是否在该列表中完全取决于您。”
Incognito的运营者称,将为支付赎金的用户建立一个白名单门户,为他们提供删除记录的机会。讽刺的是,Incognito管理员对“与Incognito暗网市场开展业务”的客户和供应商表示感谢,并通过网页展示了支付或未支付赎金的用户。
“暗网下/AWX”获悉,新的暗网勒索软件团伙RansomedVC的所有者已将旗下所有的资源挂牌出售。RansomedVC发言人在其泄密网站上表示:“我不想继续受到联邦机构的监控,我希望将该项目出售给愿意继续该项目的人。” “我们正在出售一切。”
RansomedVC的所有者在该项目的官方Telegram频道中发布广告:
The project ransomedvc is up for sale.✅
I do not want to continue running the project due to personal reasons, none will be disclosed to journalist, dont even ask.
We are selling everything.
IN PACKAGE:
Domains(ransomed.vc, ransomed.biz f6….onion) & forum
1 Ransomware Builder = 100% FUD – Bypassing all AV’s and automatically infecting all LAN device’s inside network.. – automatically escalate privileges and planting.
Custom Builded – unique – Own custom code.
索尼可能再次成为数据泄露的受害者。一个名为Ransomed.vc的勒索软件团伙声称窃取了“所有索尼系统”的数据,并威胁要在暗网上出售所有数据。
尽管Ransomed.vc与以前的论坛和群组有一些链接,但它从9月份才开始运作。不过,在这段时间里,该组织已经积累了大量受害者,索尼就是其中之一。
Ransomed.vc在网上宣布:“我们已经成功入侵[原文如此]所有索尼系统。我们不会勒索他们的!我们将出售数据。因为索尼不想付钱。数据可供出售”。
最先报道涉嫌数据泄露事件的媒体Cyber Security Connect称该勒索软件团伙是“相对勒索软件的新人” ,该媒体今天首先报道了这一消息,并表示他们拥有“不到 6000 个文件”,Cyber Security Connect 指出,对于该团伙声称窃取的文件来说,这个数字只是一个很小的数字。 “索尼集团公司,前身为东京电信工程公司和索尼公司,是一家日本跨国集团公司,总部位于日本东京港区。”Ransomed.vc在其泄密网站(包括明网和暗网)上说,其描述直接来自维基百科。
暗网的泄密页面确实包含了一些黑客入侵的证据数据,但从表面上看,这些信息并不特别引人注目——其中似乎有一个内部登录页面的截图、一个概述测试细节的内部PowerPoint演示文稿和一些Java文件。
Ransomed.vc还发布了整个泄密事件的文件树,其中似乎只有不到6000个文件–对于“索尼所有系统”来说似乎很小。其中包括“构建日志文件”、大量Java资源和HTML文件。
Ransomed.vc没有公开出售索尼数据的价格,并表示如果在9月28日(周四)之前没有人购买这些数据,他们很可能会开始公布他们窃取到的信息。Ransomed.vc在网站上留下了Tox消息服务的详细联系方式,以及Telegram和电子邮件的详细资料。
Ransomed.vc似乎既是一个勒索软件运营商,也是一个勒索软件即服务组织——而且它目前正在招募”联盟成员“。
它对勒索软件的处理方式也很独特,不仅声称自己是”解决公司内部数据安全漏洞的安全解决方案“,还”严格遵守GDPR和数据隐私法“。
Ransomed.vc在其泄密网站上称:”如果没有收到付款,我们有义务向GDPR机构报告违反《数据隐私法》的行为!“。
游戏公司数据被盗的问题并不新鲜,今年早些时候,Riot Games经历了一次“社会工程攻击”,影响了其即将发布的游戏。Riot证实攻击者的目标是《英雄联盟》和《云顶之弈》(Teamfight Tactics)等游戏并成功获得了源代码,但他们明确表示不会支付黑客索要的赎金。
索尼尚未对所谓的数据黑客攻击和Ransomed.vc的明显要求发表评论,也不知道到底采取了什么以及索尼将采取什么行动来保护消费者。
索尼公司以前曾是黑客攻击的目标,2011 年 4 月 20 日,在一次“外部入侵”导致数百万账户的个人信息泄露后,索尼不得不关闭PlayStation Network的服务器,这在当时是影响很大的。
索尼当时因“严重违反”《数据保护法》而被英国监管机构处以250000英镑(396,100 美元)的罚款,监管机构称这种情况“本来是可以避免的”。
香港科技中心数码港(Cyberport)透露,其员工、前雇员和求职者的一些被盗个人数据出现在暗网上。
数码港于8月中旬发现其系统遭到入侵,并向香港警务处(HKPF)和个人资料私隐专员公署(PCPD)报告。9月6日,数码港检测到暗网上提供的一些信息可能与该事件有关,并联系了可能受影响的人员。
一周后,即9月12日,数码港发布另一份声明,确认数码港现有员工、前雇员和求职者的个人数据,包括姓名、联系方式、人力资源相关数据以及少量信用卡记录,被发布在暗网上。
它还为其直到上周才披露这一事件的决定进行了辩护,因为没有证据表明存在任何滥用个人数据的情况,并且它不想引起任何“不必要的担忧”。
它补充道:“我们随后意识到,暗网上提供的一些信息可能与该事件有关,我们立即于[9月6日]发布公告,并联系了可能受到影响的人员。”
数码港网站上介绍显示,数码港拥有1900多名会员,其中包括800多家场内会员和近1100家场外初创企业和科技公司。该技术中心表示,它已经联系了可能受影响的人员,并将提供免费的身份监控服务。它还设立了专门的网站(https://www.cyberport.hk/infosecurity)来提供更多信息。
数码港称,作为恶意入侵的受害者,数码港对于所有形式的网络犯罪行为予以严厉谴责。对于本次事件可能带来不便或关注,他们深表遗憾,并向公众保证,数码港已采取积极果断的措施来加强网络安全。如有疑问,可以与其专责团队联系([email protected])。
香港警方表示,警方的网络安全和技术犯罪局正在进行调查。
与此同时,个人资料私隐专员公署(PCPD)表示,已收到一名受数据泄露影响的人士提出的询问。隐私监管机构表示已对该事件启动合规调查。
另一方面,创新科技及工业局局长孙东则敦促数码港全面提升对网络系统和敏感数据文件的保护,堵住漏洞,避免类似事件再次发生。孙补充说,过去几周数码港多次遭到攻击,但没有再发生数据泄露事件。
香港互联网协会开放数据工作组黄浩华在评论该事件时表示,数码港对数据泄露事件的反应相当的被动。
“虽然数码港为其不提前披露事件的举动进行了辩解,但它应该在发现网络攻击后立即通知所有潜在的受害者。数码港并不知道数据泄漏的范围和潜在受影响的区域,这是不可接受的。数码港有责任适当通知受害者,并进行根本原因分析。”
黄补充说,数码港被视为香港的旗舰科技中心,此次事件可能会影响本地创新科技行业的形象。
香港资讯科技商会名誉会长方宝侨同意他的观点,他表示,除了已知的事件受害者外,数码港还需要告知其合作单位,让他们采取预防措施。
数码港由香港特别行政区政府全资拥有的香港数码港管理有限公司管理。根据官网的介绍,数码港的愿景是成为数码科技枢纽,为香港缔造崭新经济动力。数码港透过培育科技人才、鼓励年轻人创业、扶植初创企业,致力创造蓬勃的创科生态圈;借着与本地及国际策略伙伴合作,促进科技产业发展;同时加快公私营机构采用数码科技,推动新经济与传统经济融合。
数码港受到的是勒索软件攻击 本月早些时候,网络安全信息平台FalconFeedsio首次披露了这起数据泄露事件,该平台在社交媒体上表示,勒索软件团伙Trigona已将数码港添加到其受害者名单中。
总部位于帕洛阿尔托(Palo Alto)的网络风险咨询公司Unit 42表示,Trigona勒索软件团伙相对较新,于2022年10月下旬首次由安全研究人员发现,涉及制造、金融、建筑、农业、营销和高科技行业的企业或组织受到其攻击影响。
据社交媒体帖子称,该勒索软件团伙表示,它已获得数码港超过400GB的内部数据。
黑客还提出以30万美元出售这些信息。网络专家此前估计,假设一个人的个人数据占用1GB,至少涉及400人的信息。
数码港谴责黑客攻击事件。
“我们正在与我们的法律顾问合作,并一直与执法部门充分合作。我们对这一事件可能造成的任何不便或担忧深表遗憾。”
“我们想向公众保证,我们已采取积极果断的措施来加强我们网络的安全。”
IT资深人士梁伟峰表示,对于作为高科技中心的数码港来说,此次数据泄露事件“有点尴尬”。
“但数码港其实和其他商业机构一样,他们只是以科技企业家为租户。”他说。
梁表示,这一事件给香港所有企业敲响了警钟,“勒索软件攻击可能随时随地发生”,而且“无法保证”可以避免。
数码港提供的一些问题解释说明 1.有哪些资料受到影响?
被存取的个人资料可能包括:
一定数量的个人资料,只限于其名称及联络方法 (电话号码,电邮)
员工、前员工及求职者的资料 (包括身份证号码、相片、出生日期、住址、受雇资料、社交媒体帐户、学历及银行户口资料),以及少量员工及前员工的健康资料
少量的信用咭资料
2.我应如何确认自己是否受到影响?
如果我们认为您可能受到影响,我们会通知您。
若您认为自己可能受到影响,请与我们联系([email protected])。
3.若我担心资料可能被盗用,我可如何防范?
我们鼓励任何相关人士留意其帐户中的任何可疑活动或通知。为审慎起见,您可能希望采取一些额外措施,包括定期更改密码,并确保您不会在多个帐户中使用相同的密码。
4.若我受到影响,应该采取什么措施?
如果我们认为您可能受到影响,我们会通知您。如果您并未收到通知但仍感担忧,您可以即时通知我们([email protected])。我们将就个别情况,由专人处理。我们亦鼓励任何相关人士留意其帐户中的任何可疑活动或通知。为审慎起见,您可能希望采取一些额外措施,包括定期更改密码,并确保您不会在多个帐户中使用相同的密码。
5.为什么数码港没有在更早时间公布事件?
数码港在8月中发现部分电脑档案被加密,已立刻采取措施减低任何潜在影响,包括关闭受影响的电脑设备和在独立的网络安全专家协助下迅速展开详细调查,报警处理及向执法部门寻求协助。数码港亦即时加强网络及系统的安全措施,进一步深化数据安全及保护。即使该事件调查需时,影响范围尚未确定,但我们征询了法律及不同专家的意见,经过多方面的考虑,为审慎起见,数码港决定于8月18日通报个人资料私隐专员公署。
数码港随后了解到暗网上疑似与该事件有关的资料,随即于9月6日作出公布,并通知可能受到影响的人士。
6.您的运营有受影响吗?
我们的运营并没有受影响。我们亦即时加强网络及系统的安全措施,进一步深化数据安全及保护。
7.您何时会完成调查?
我们正非常严肃地处理此事,并聘请了独立的网络安全专家来调查和补救本次事件,并仍在进行中。期间,我们已即时加强网络及系统的安全措施,进一步深化数据安全及保护。
8.您对持分者有什么建议?
尽管我们没有发现任何持分者受到任何伤害,但是我们鼓励您提高网络安全意识,包括留意网络中的任何可疑活动或通知。
9.身分监察服务供应商会为我提供什么服务?可否提供更多的详情?
我们将委托第三方服务供应商,为受影响人士提供额外的专业身分监察服务,费用全免。服务详情将于稍后公布。
黑客攻击的目标是一家公司的数据库,该公司负责英国一些最机密场所的安全,其中包括一个核潜艇基地和一个化学武器实验室。
与俄罗斯有关联的黑客在暗网上泄露了英国军事和情报机构的绝密安全信息。
他们发布了数千页数据,这些数据可以帮助犯罪分子进入英国皇家海军克莱德核潜艇基地、波顿唐化学武器实验室和英国政府通信总部的一个监听站。
在暗网勒索软件团伙LockBit的网络攻击中,有关高安全级别监狱和对英国网络防御至关重要的军事网站的信息也被窃取。黑客瞄准了Zaun公司的数据库,Zaun公司是一家为最高安全级别网站制造围栏的公司。然后,这些信息被发布到暗网上,可以使用特殊软件Tor浏览器进行访问。
英国下议院国防特别委员会成员、工党议员凯文·琼斯(Kevan Jones)警告说:“这可能对我们一些最敏感网站的安全造成严重破坏。”
“政府需要解释为什么这家公司的计算机系统如此脆弱。任何为潜在敌人提供安全安排的信息都是令人极为担忧的。”
上个月,总部位于西米德兰兹的Zaun公司在一次重大攻击中被攻破,该公司为高风险场所制造围栏和周边安全措施,并为2012年伦敦奥运会提供安全屏障。
勒索软件团伙LockBit被描述为世界上最危险的黑客团伙,主要嫌疑人米哈伊尔·马特维耶夫(Mikhail Matveev)在攻击了1400个全球目标后而被联邦调查局列入通缉名单。其中包括企图勒索英国皇家邮政(RoyalMail)6600万英镑,但该公司拒绝支付。
在美国和加拿大,有几名俄罗斯人被指控参与了网络攻击。据说勒索软件团伙LockBit与俄罗斯黑帮有财务联系。
在一份泄露的文件中,Zaun公司描述了为保护威尔茨的波顿唐(Porton Down)而购买的特定设备,并称其在那里的工作“非常隐秘”,波顿唐是英国的化学武器实验室。同时公布的还有一份销售订单,详细说明了为英国皇家海军克莱德海军基地(HMNB Clyde)购买的货物,该基地被称为法斯兰(Faslane),是三叉戟核潜艇的所在地。
泄露的文件还包括康沃尔郡布德政府通讯总部通信中心设备的销售订单报告。英国政府通信总部(GCHQ)形容布德在我们的安全中发挥着“关键作用”。此次泄露的信息还包括“死神”无人机攻击中队所在的林茨瓦丁顿皇家空军基地和第14信号团从事电子战的考德军营的安全设备。
彭布罗克郡考多尔周边围栏的详细图纸附在公司电子邮件中。还有一张地图重点标明了该地点的安装情况。与一连串监狱有关的文件也被泄露,其中包括A级监狱–沃尔克斯的朗拉廷监狱(Long Lartin)和卡姆布斯的怀特穆尔监狱(Whitemoor)。
Zaun公司不愿讨论赎金要求,一名安全专家将此事件称为“对我们国家安全基础设施的毁灭性打击”。
国防委员会主席、保守党议员托比亚斯·埃尔伍德(Tobias Ellwood)表示:“这将如何影响我们的国防机构在不受攻击威胁的情况下继续运作?“
“我们如何更好地保护自己防御俄罗斯的干扰,这无疑与我们支持乌克兰的立场有关?最后,这是冲突不再局限于传统战场的另一个例子,它现在包括数字领域,并对安全机构提出了越来越高的要求。”
据称,LockBit已向全球发出8000万英镑的赎金要求。自2020年以来,它一直受到FBI的关注。俄罗斯国民鲁斯兰·马戈梅多维奇·阿斯塔米罗夫(Ruslan Magomedovich Astamirov)在美国被指控“参与在美国、亚洲、欧洲和非洲部署大量LockBit勒索软件和其他攻击”。
美国司法部表示:“LockBit勒索软件变种于2020年1月左右首次出现。LockBit参与者已执行了1400多次攻击,发出了超过1亿美元的要求,并收到了数千万美元的比特币。”
2022年,美国宣布对拥有俄罗斯和加拿大双重国籍的米哈伊尔·瓦西里耶夫(Mikhail Vasiliev)提出指控。他目前被关押在加拿大,等待被引渡到美国。第二位俄罗斯人米哈伊尔·帕夫洛维奇·马特维耶夫(Mikhail Pavlovich Matveev)因“涉嫌参与”不同的LockBit阴谋而被通缉。
Zaun公司已向警方报警,其最新账目中的税前利润接近70万英镑。该公司表示:“LockBit有可能获得一些历史电子邮件、订单、图纸和项目文件。我们不认为系统中存储了机密文件,也不认为机密文件已被泄露。”
“我们已经联系了国家网络安全中心,并正在接受建议。Zaun是复杂网络攻击的受害者,并已采取一切合理措施来减轻对我们系统的任何攻击。”
“每一个细节都有助于敌人突破我们的防御”
安全与情报专家AnthonyGlees教授写道,这家公司的名字在德语中可能是“栅栏”的疑似,但英国公司Zaun的安全屏障似乎已经轰然倒塌。
包括英国核威慑力量所在地在内的敏感地点的安全设备的详细信息在暗网上泄露,这对英国的国家安全基础设施是毁灭性的打击。它显示了与俄罗斯有关的黑客可以轻松地随意破坏高强度计算机系统。
这批文件涉及高度安全的围栏专家 Zaun 公司为许多场所提供的设备。其中包括英国核潜艇基地法斯兰(Faslane)、最高机密的政府实验室波顿唐(Porton Down)和 GCHQ 的布德前哨基地。
任何敌对的情报机构都会不惜一切代价获取这些细节。
一位退休的英国情报官员曾经表示,情报就像腌鱼的骨头。就其本身而言,骨头似乎无关紧要——但是,将它们组合在一起,就构成了腌鱼。
换句话说,如果能接触到敏感地点的特定安全设备,敌对分子就能对那里的实际情况了如指掌。
敌人对英国国防资产的每一个细节都非常感兴趣。此前,苏格兰场和北爱尔兰警察局还发生过其他严重数据泄露事件。
国家安全是政府的核心职责。必须在黑客入侵之前将其阻止。草率的协议,尤其是供应商的协议,似乎是盔甲上的一个大的弱点。
讽刺的是,这家公司制造安全围栏以防止人们进入,却无意中让敌人进来了。
据报道,西门子能源公司(德国慕尼黑;www.siemens-energy.com)和施耐德电气公司(法国吕埃尔-马尔迈松;www.se.com)这两家关键基础设施行业的工业控制系统(ICS)供应商已被网络犯罪团伙CL0P列为勒索软件受害者,但是否有针对性的攻击尚未得到证实。
该勒索软件团伙(也称为TA505)从2023年5月27日开始利用MOVEit Transfer(一款面向互联网的自动文件传输Web应用程序)中的漏洞,据报道该团伙已经列出了全球数百家公司的名单。据威胁网络安全情报平台FalconFeeds6月27日在推文中称,CL0P勒索软件组织在其暗网泄密网站中将西门子能源、施耐德电气和其他一批实体列为新的受害者。
CL0P #ransomware group has added five new victims:
– https://t.co/b5TXXSO3oi
– Schneider Electric (https://t.co/icrsZ9CAwB)
– Siemens Energy (https://t.co/89TbkQ3YMn)
– UCLA (https://t.co/hoy9JuoHTT)
– Abbie (https://t.co/AtFS3GFSGi)#MOVEIT #Cl0p #DarkWeb #DeepWeb #CyberRisk pic.twitter.com/mTpLZdCzbW
— FalconFeedsio (@FalconFeedsio) June 27, 2023 西门子能源公司在一份声明称,它已了解这一预警,并将继续与政府合作伙伴和客户密切合作,以确定这些说法是否属实。“我们拥有一支世界一流的事件响应团队,我们还有一个ProductCERT组织,负责在发生漏洞或攻击事件时进行披露。”一位公司官员指出。
CL0P的阴险手段 CL0P因其使用特定的恶意软件感染MOVEit Transfer的Web应用程序的能力,然后使用该恶意软件从MOVEit Transfer底层数据库窃取数据,而受到美国联邦政府的审查。美国网络安全和基础设施安全局(CISA)和联邦调查局(FBI)在6月7日发布的联合网络安全咨询(CSA)中建议采取行动和缓解措施,以防范先前未知的结构化查询语言(SQL)注入漏洞(CVE-2023-34362)。
CISA表示:“CL0P出现于2019年2月,由CryptoMix勒索软件变体演变而来,在大规模鱼叉式网络钓鱼活动中被用作勒索软件即服务(RaaS),这些活动使用经过验证和数字签名的二进制文件来绕过系统防御。”。
CISA建议采取的防止或减轻影响的步骤包括,统计实体资产和数据清单、仅授予特定的管理权限,以及激活防火墙和路由器等网络基础设施设备上的安全配置。
此外,美国国务院根据正义悬赏的任务,于6月16日悬赏高达1000万美元,奖励那些将CL0P勒索软件团伙或任何其他针对美国关键基础设施的恶意网络行为者与外国政府联系起来的线索。
Advisory from @CISAgov, @FBI: https://t.co/jenKUZRZwt
Do you have info linking CL0P Ransomware Gang or any other malicious cyber actors targeting U.S. critical infrastructure to a foreign government?
“暗网下/AWX”发现,在暗网威胁情报公司DarkTracer质疑LockBit勒索软件团伙运营的Raas服务(勒索即服务)的可靠性有所下降后,紧接着,LockBit勒索软件团伙竟然在其暗网博客发布了针对网络安全公司DarkTrace的勒索信息,似乎该勒索团伙搞混了DarkTracer与DarkTrace。
The reliability of the RaaS service operated by LockBit ransomware gang seems to have declined. They appear to have become negligent in managing the service, as fake victims and meaningless data have begun to fill the list, which is being left unattended. pic.twitter.com/mfGhH93oYh
— Fusion Intelligence Center @ DarkTracer (@darktracer_int) April 12, 2023 4月12日,位于新加坡的暗网情报公司DarkTracer在其推特质疑了LockBit勒索软件团伙勒索信息的可靠性,该推文称,由LockBit勒索软件团伙运营的RaaS服务的可靠性似乎已经下降了,该团伙在管理该服务方面似乎变得疏忽了,因为虚假的受害者和无意义的数据已经开始充斥在勒索名单中,而这一勒索名单是无人管理的。
该推文附的截图可以看出,勒索名单中出现了1.com、123.com等虚假名单,内容也是重复这些域名,也就意味着,勒索名单里出现了假数据,却没有管理人员维护。
搞笑的是,4月13日,该勒索团伙在其暗网博客的勒索名单里添加了网络安全公司DarkTrace,附上了该公司的Logo,并在详情中表示:
darktrace.com
我喜欢黑暗追踪,谢谢你关注我的更新测试。如果你非常感兴趣的话,你所看到的是对服务器与服务器之间通信的测试改进。
所有可用的数据已经发布。
根据维基百科,Darktrace是一家英美的信息技术公司,专门从事网络防御工作。该公司成立于2013年,总部设在英国剑桥和美国加州的旧金山。它在伦敦证券交易所上市,是富时250指数的成分股之一。
Darktrace在LockBit勒索软件团伙的泄密网站上被点名后,于周四发表了一份声明。
“今天早上早些时候,我们了解到来自网络犯罪团伙LockBit的帖子,声称他们已经破坏了Darktrace的内部安全系统并访问了我们的数据。我们的安全团队对我们的内部系统进行了全面审查,没有发现任何证据。”Darktrace说。
“所有LockBit社交媒体帖子都没有链接到任何受损的Darktrace数据。我们将继续密切关注这一情况,但根据我们目前的调查,我们相信我们的系统仍然是安全的,所有的客户数据都受到充分保护。”它补充道。
该声明是在LockBit的泄密网站上的一个帖子似乎表明该勒索软件集团已经瞄准了Darktrace之后发表的。该帖子显示,Darktrace的数据被盗,网络犯罪分子要求100万美元的赎金。
DarkTracer与DarkTrace是两家不同的公司,很显然LockBit勒索软件团伙搞混了!!!Darktrace公司似乎并没有被LockBit入侵——甚至没有成为目标。相反,LockBit泄密网站上的新增条目显然是对新加坡暗网威胁情报公司DarkTracer最近发布的推文的回应,该推文与Darktrace公司没有任何关系。
其实,LockBit勒索软件团伙已经伪造假数据很久了,比如在知名网络安全巨头Mandiant发布报告称“美国政府于2019年制裁的长期网络犯罪集团Evil Corp.的附属机构已转向使用LockBit 2.0现成的勒索软件来逃避制裁”后,LockBit勒索软件团伙在其勒索名单里添加了Mandiant,然而到最后也没有释出Mandiant的文件,证明是在造假。
Hive勒索软件团伙声称对塔塔电力公司(Tata Power)本月披露的一次网络攻击负责。
作为跨国企业集团塔塔集团的子公司,塔塔电力是印度最大的综合电力公司,总部设在孟买。
在Hive勒索软件团伙通过暗网搭建的泄密网站上,可以看到Hive勒索软件团伙已经发布了他们声称从塔塔电力窃取的数据,也就表明与塔塔电力进行的赎金谈判宣告失败。
Hive开始泄露据称从塔塔电力窃取的数据 Hive勒索软件组织声称,他们在10月3日加密了塔塔电力的数据。
目前,Hive勒索软件团伙背后的运营者已经在他们的暗网泄密网站上泄露了据称从塔塔电力窃取的内部数据。
Hive勒索软件团伙在其暗网泄密网站发布了塔塔电力的介绍、网址以及年收入。Hive勒索软件团伙称:
印度最大的综合电力公司
塔塔电力公司以前隶属于三个共同被称为塔塔电气公司的实体,是技术采用的先驱,拥有许多首创,支持该国的能源独立。
塔塔电力及其子公司和联合实体的发电量为 13,735 兆瓦,其中 35% 来自清洁能源。 该公司在包括太阳能屋顶和增值服务在内的价值链的每个领域都位居顶级私营企业之列。
塔塔电力是在技术、流程和平台方面引领能源行业的先驱。塔塔电力最新的业务集成解决方案专注于移动和生活方式,为“智能”客户提供新兴技术支持,有望实现多倍增长。
自 1915 年成立以来,塔塔电力现在在技术领先、卓越项目执行、世界级安全流程、客户服务和推动绿色倡议方面拥有超过一个世纪的专业知识,塔塔电力致力于为子孙后代“点亮生活” 。
并通过公开的暗网链接公布了塔塔电力员工相关数据(电子邮件、地址、护照、电话号码、付款、工作时间、纳税人信息等)、塔塔电力签订的合同、NDA和其他协议文件:
http://u237r6z6axkagn6t2qiwx2rrvmq7pvz53tph7hl64geg3ee55gw66kad.onion/TATAPower/
数据泄露后塔塔电力发布声明 网络安全分析师和研究员Dominic Alvieri在推特上介绍了这一事件进展。
Hive breaches Tata Power of India.https://t.co/xwPxnpRWmj @TataCompanies #cybersecurity #infosec @campuscodi @LawrenceAbrams pic.twitter.com/VpXNVmapwZ
— Dominic Alvieri (@AlvieriD) October 25, 2022 另一位研究人员Rakesh Krishnan分享了被盗数据的屏幕截图,其中似乎包括塔塔电力员工的个人身份信息(PII)、国民身份证(Aadhar)卡号、PAN(税号)号码、工资信息等。
此外,数据转储还包含工程图纸、财务和银行记录以及客户信息,Krishnan建议道:
What TATA POWER leak contains?
PII Employees: #Aadhaar, PAN,Graduation, DL, Salary
Engineering Drawings
Financial Records – 20 Bank Records
Client Contracts#hive #ransomware #databreach #OSINT #hack #phishing #security #cybersecurity #netsec #cyber #malware #dataleak #TATAPower pic.
新西兰《先驱报》最新的头条新闻称,新西兰一家主要初级医疗机构遭受网络攻击后,被盗的敏感病人文件和高级数据,已被一个与俄罗斯有联系的勒索软件集团发布到暗网上。
在昨晚的一份声明中,经营数十家北岛全科医生诊所的Pinnacle Midlands健康网络证实,在上周发生“网络事件”后,被盗材料已被上传至暗网网络。
虽然受影响的患者人数尚未公开,但初步报告显示,黑客可能已经获得了多达45万人的信息。
Pinnacle公司首席执行官贾斯汀·布彻(Justin Butcher)告诉《先驱报》,非法获得的信息是由“恶意行为者”上传到暗网上的。
这些信息和数据涉及到Pinnacle集团在怀卡托、湖区、塔拉纳基和泰拉维提地区过去和现在的病人和客户。它还包括塔拉纳基、罗托鲁瓦、陶波-图兰吉、泰晤士-科罗曼德和怀卡托地区的初级保健有限公司(PHCL)的做法。
漏洞中的信息包括与使用医院服务有关的高级数据,与Pinnacle提供的服务有关的索赔信息,以及围绕个别病人的免疫和筛查状态发送给诊所的信息。
Butcher证实:“在过去的24小时里,我们的安全专家通知我们,从我们的IT平台上获取的数据已被恶意行为者发布。”
“我们承认,这将涉及到我们的病人和他们的家族,我们正在认真对待这个问题,我们当前的重点是支持那些可能受到影响的人,并与当局合作,以确保我们正在做我们需要做的一切。”
虽然Pinnacle没有持有全科医生的笔记和咨询记录,但Butcher说公司“现在对被盗数据的广度有了更清楚的了解”。
“这是非常不幸的,我们很伤心,因为这也影响了我们的家庭。像这样的网络事件是一个持续的威胁,虽然它们是恶意行为者的行为,但我们对可能受到影响的每个人都感到同情。”
Pinnacle一直在与警方和隐私专员办公室联系。警方昨天不愿发表评论。
消息人士告诉《先驱报》,一个名为ALPHV的勒索软件团伙,也被称为黑猫,发布了Pinnacle集团旗下一家诊所的病人评估,标有“机密”字样。它还发布了关于预算目标的财务备忘录、电子表格和护照扫描件,以及其他文件,这些文件似乎取自Pinnacle的内部系统。
《先驱报》没有访问ALPHV在暗网上发布的Pinnacle文件,但网络安全行业的一位人士向其展示了屏幕截图。
总部设在新西兰的网络安全公司Emisoft的威胁分析师Brett Callow告诉《先驱报》:“与其他勒索软件操作一样,ALPHV使用发布数据的威胁作为敲诈勒索的额外手段。”
“近年来,世界各地的医疗保健行业越来越成为营利性网络犯罪分子的目标。”
像ALPHV这样的组织经常在暗网上提供数据样本的“尝鲜”,要么迫使受害者支付网络赎金,要么在某些情况下征求数据的投标价格。在其他国家,曾有黑客试图勒索个别病人,以及向医疗机构勒索款项的案例。
ALPHV在8月因其对能源公司的攻击而成为头条新闻,并开创了可搜索的被盗数据在线数据库,以此作为打击受害者的一种方法。
Unit 42是纳斯达克上市的网络安全巨头Palo Alto Networks的一个部门,其董事会包括前总理约翰·基爵士,该部门已将ALPHV成员与俄罗斯联系起来,称该组织使用俄语与其成员或附属机构进行沟通,并且以运营着称在俄罗斯网络犯罪论坛上。
5月,GCSB总干事安德鲁·汉普顿(Andrew Hampton)警告说,新西兰可能成为支持普京的黑客的目标。
如果第一次泄密没有得到回应,通常会有更多敏感数据被泄露到暗网上。这些信息被提供给知情的网络犯罪分子。Pinnacle文件被发布到暗网,谷歌无法搜索,甚至无法通过普通网络浏览器访问,需要特殊的软件Tor浏览器。
该网络攻击发生在9月28日。在10月4日的新闻发布会上,Pinnacle不愿透露它是否正在与黑客进行谈判。
Butcher随后表示,他相信被盗信息可能包括商业和个人的详细信息。同一天晚些时候,他告诉RNZ的Checkpoint,被黑的系统并不包含临床记录。
ALPHV发布的患者档案被标记为“机密神经心理学报告”。它来自Pinnacle集团以外的一个供应商,并详细说明了与一个人的ACC索赔有关的评估。它是为怀卡托的一个病人准备的,是ALPHV所说的来自Pinnacle的文件集的一部分。
Aura信息安全公司的网络安全专家Alastair Millar告诉RNZ,身份被盗的可能性让受影响的人很担心,但Pinnacle对此持开放态度,并指出人们可以使用ID Care支持服务和工具来保护他们的身份。
但Millar表示,黑客可能会寻求大笔资金作为交换,或者在暗网上出售数据,就像去年对怀卡托地区卫生委员会的一次黑客攻击中所做的那样。
他说,通过人们的国家健康保险(NHI)号码和联系信息,黑客可以获得信用卡、贷款或购买礼品卡。
警方建议不要支付网络赎金。他们说,不能保证被盗数据会被销毁或归还(或冻结的系统被解锁),并且付款既资助又激励了此类犯罪。
然而,在新西兰,支付网络赎金并不违法。但政府表示,采取这样的措施会将受害者定为刑事犯罪。
Butcher说,Pinnacle还与司法部支持的ID Care合作,该机构为那些担心自己是身份盗窃受害者的人提供帮助,并可以指导人们完成冻结信用记录的过程。
ID Care已经建立了一个专门针对Pinnacle网络漏洞的页面。人们还可以拨打ID Care的个案管理中心的电话0800 121 068。