数据泄露

暗网勒索团伙REvil声称对市值数十亿美元的中国制造巨头美的集团进行了勒索软件攻击

中国暗网动态, 暗网动态
REvil勒索软件团伙声称对中国电器制造商美的集团发起了黑客攻击,并且已经在暗网里发布了据信是被盗的数据。 曾经占暗网勒索主导地位的REvil勒索软件团伙,有时被称为Sodinokibi,在2021年对Kaseya进行臭名昭著的黑客攻击后关闭了几个月,于2022年4月重新出现。 美的集团是REvil自今年早些时候重新出现以来首批备受瞩目的受害者之一,尽管尚未正式确认此次攻击的真实性。 美的集团几乎遍布全球,他们的空调,包括冰箱、洗衣机和微波炉在内的家用电器几乎可以在世界上每家商店找到。 这家价值数十亿美元的中国公司自称是世界第一大家电制造商,并与全球组织和体育俱乐部(如曼城足球俱乐部和科林蒂安)有广泛的商业合作。 该公司声称其年均收入为533亿美元,在《财富》全球500强排行榜上位列第245位。 REvil声称从美的集团窃取了各种不同的数据,包括其产品生命周期管理(PLM)系统——含有蓝图和固件源码,以及“其准备出售”的财务信息,它在一个公告帖子中说。 它还声称拥有“大量源代码”和来自Git和SVN版本控制系统的数据,“这些数据[它]将很快公布”。 从REvil的暗网博客中可以看到,其窃取了相当多的内部数据。根据该勒索软件团伙发布的屏幕截图,美的集团被盗的数据远多于3.09TB。 REvil已经在暗网上发布了大量据称取自美的集团的文件,其中包括对物理和数字身份文件的扫描、据称该公司VMwarev Sphere客户端内部的屏幕截图、大量压缩的7zip存档和SSH密钥。 REvil因采用双重勒索模式进行勒索行动而闻名,出售数据的威胁,虽然似乎已经解除了一些,但与该团伙的旧方法一致。虽然他们以一贯的方式威胁说,如果不支付赎金,就会出售数据,但数据已经在同一时间被公布。 在4月重新出现后,REvil表示,它的另一个受害者印度石油公司拒绝与其谈判,导致该公司的被盗数据被泄露。 勒索组织REvil来自俄罗斯,以对Kaseya和JBS Foods等大公司的历史性攻击而闻名,但作为2021年11月国际执法协调行动的一部分,该集团的部分成员被逮捕。 俄罗斯执法部门还在2022年1月逮捕了更多被指控的成员,尽管一些人认为这样做可能是为了作为反对美国的政治筹码。 俄罗斯执法部门FSB称,他们设法完全关闭了REvil活动并逮捕了所有14名剩余成员,FSB曾表示“犯罪组织不再存在,其用于犯罪目的的基础设施已被摧毁”。 但是知名恶意软件研究和安全分析专家VX-Underground(@vxunderground)在昨天发布的Twitter帖子中称: 较低级别的分支机构和附属成员被逮捕,而不是主要成员。被捕的人被指控犯有轻罪,处以小额罚款,然后被释放。 Lower-level affiliates and money mules were arrested, not key members. The individuals arrested were charged with minor crimes, issued small fines, and released. — vx-underground (@vxunderground) September 1, 2022 REvil在暗网博客上(http://blogxxu75w63ujqarv476otld7cyjkq4yoswzt4ijadkjwvg3vrvd5yd.onion/Blog)发布的公告内容如下: 美的集团是一家中国电器制造商,总部位于广东佛山顺德区北滘镇,在深圳证券交易所上市。截至2021年,该公司在中国和海外拥有约150,000名员工,拥有200个子公司和60多个海外分支机构。收入400亿以上,美的集团由五个战略业务支柱组成:智能家居、工业技术、建筑技术、机器人与自动化和数字创新。美的集团在200多个国家和地区拥有超过16万名员工,在2022年全球财富500强排行榜上排名第245位。 我们有来自plm系统的所有数据(蓝图、固件的来源等),也有我们准备出售的财务信息。 大量的源代码,git和svn,将很快发布。 并将入侵的部分截图、压缩包证据发布在:http://ttn4gqpgvyy6tuezexxhwiukmm2t6zzawj6p3w3jprve36f43zxr24qd.onion/Midea/

卢森堡能源供应商Enovos集团旗下Creos公司遭受网络攻击,数据被BlackCat勒索团伙泄露在暗网上

其他国家动态, 暗网动态
7月22日至23日晚间,卢森堡能源供应商Enovos集团旗下电力与天然气供应商Creos公司遭到网络攻击。名为BlackCat的黑客组织已经承认了这一行为。数据保护委员会表示,对此类攻击没有100%的保护。 据Luxembourger Wort报道,Encevo此前被黑客组织勒索。如果该能源供应商不遵守赎金要求,被盗数据将被公布。在黑客组织窃取数据并进行勒索的其他案例中,这已经成为现实。但是,对于赎金的数额,人们一无所知。卢森堡的数据保护委员会CNPD尚未发现该国发生的任何涉及黑客组织BlackCat的案件。CNPD专员Alain Hermann说,这种方法并不陌生。 这是一种基于勒索软件的攻击,这是一种经常发生的攻击。Encevo也不是第一家受到此类攻击影响的公司,过去2到3年全球有过许多这样的攻击。 通过所谓的勒索软件攻击,黑客可以访问公司的网络并入侵计算机或窃取数据。为了不发布数据,需要赎金。 这样的数据盗窃事件发生在7月22日至23日晚上,勒索团伙BlackCat通过Encevo的网站盗取约18万条数据,容量为150GB。这将是关于Encevo集团子公司Creos的客户信息,包括发票、合同和电子邮件,可能还有身份证复印件。Alain Hermann说,如果客户面临风险,公司就必须传达这一点: GDPR(数据保护)规定,如果人们面临高风险,公司必须通知他们。她必须帮助人们保护自己免受黑客攻击。这些信息可以通过直接联系传递。如果无法做到这一点,公司必须进行公开沟通。 勒索团伙BlackCat是一个黑客组织,与俄罗斯有联系。但幕后黑手究竟是谁却不得而知。在互联网上,您可以找到BlackCat参与的各种网络攻击以及要求赎金的地方。 来自Encevo集团的被盗客户数据被发布在暗网上 从Encevo集团那里窃取的客户数据已发布在暗网上。这是由勒索团伙BlackCat在其网站上宣布的。 Encevo目前无法说出更多细节,这些数据可能包括姓名、名字、地址、电子邮件地址和电话号码,以及特定客户群的银行数据。 然而,该卢森堡能源供应商表示,他们已经建立一个网站页面: https://www.encevo.eu/en/encevo-cyberattack/ 在任何情况下,Encevo集团都会采取所有必要的步骤,它在网站上进一步表示。 Encevo集团通过信件联系网络攻击的受害者 正如宣布的那样,Encevo集团目前正在亲自登记受7月23日晚上网络攻击影响的客户。 相关人员将通过信件单独通知哪些个人和敏感数据在攻击期间被黑客窃取。例如,姓名、地址、电话号码甚至是帐号。除其他事项外,建议客户定期检查他们的银行账户并在出现可疑交易时立即联系他们的银行。由于安全规定,未经授权安装的风险很小。 此外,还有一个提醒,要求大家别通过电话或电子邮件分享敏感数据,不应该点击可疑的电子邮件。目前尚不清楚有多少人的数据落入坏人之手。 网络攻击发生后,被盗数据在暗网上发布。Encevo向客户保证,已采取一切措施尽可能限制网络攻击的影响。还将加强对系统的监测。 Creos和Enovos再次强调,电力和天然气的供应不受影响,并保证故障服务。 Encevo集团简介 Encevo集团是卢森堡和大地区领先的可持续能源公司。Encevo致力于确保能源的安全获取和有竞争力的供应,积极帮助塑造向可持续能源部门的过渡。它通过采用技术、部署创新解决方案和与当地社区合作来实现这一目标。 Encevo集团拥有非常广泛的地理足迹,为卢森堡、德国、法国、比利时和荷兰的客户提供服务。它贯穿整个能源价值链,从生产、储存、供应、运输到贸易、分销和服务。 Creos Luxembourg S.A. 是Encevo集团的子公司,在卢森堡拥有并管理电力和天然气网络。

克什米尔大学学生数据泄露在暗网上,包含电话号码、邮箱地址等,学校已经回应

其他国家动态, 暗网动态
克什米尔大学学生数据库泄露 克什米尔大学的一次数据泄露事件暴露了超过100万该校学生和员工的个人信息,并且个人数据在暗网上出售。 昵称为“ViktorLustig”的黑客在著名的数据泄露论坛“Breached Forums”上以250美元的价格出售了克什米尔大学的学生数据库。“ViktorLustig”这个名字的灵感来自臭名昭著的骗子,他“卖”了埃菲尔铁塔,不是一次而是两次。 “ViktorLustig”共享了一个数据库索引,以显示他拥有的数据。它声称包括学生信息、注册号、电话号码、电子邮箱地址、密码、员工数据等。但是,根据最新更新,该帖子已从黑客论坛中删除。但是威胁演员“VictorLustig”的个人资料仍然活跃在论坛上。 泄露行为是由Twitter用户Abhishek Verma发现的,他收到了Breached论坛管理员“pompompurin”的确认,该管理员说:所谓的数据库泄露是真实的。 Additionally, the admin of the forum goes by the name "pompompurin" replied and confirms that the alleged database is legitimate. (3/3) pic.twitter.com/yNLZMX2UH6 — Abhishek Verma (@w3Abhishek) August 6, 2022 该数据库被泄露在著名的数据泄露论坛“Breached Forums”上,该论坛本月早些时候因泄露中国居民数据事件而引起了国际关注。根据Abhishek的说法,他还分享了在平台上出售的被黑数据的屏幕截图,黑客分享了一个名为“dbs.txt”的txt文件,其中显示了被黑数据的索引。 克什米尔大学发表声明 克什米尔大学官员周三表示,该大学的数据库“未经修改”,正在对此事进行进一步分析。 “我们正在分析所谓的泄露行为。我们的初步分析表明,数据库没有被修改。进一步的分析正在进行中。大学将采取进一步的行动,并相应地采取适当的法律追溯。“ 大学发言人说:“正在深入分析任何违反数据读取(已经在公共领域可以访问)的行为,根据分析,大学将采取进一步的行动并采取适当的法律措施。” 泄露数据的索引 Database: UG3rdYear +————————————————————–+———+ | Table | Entries | +————————————————————–+———+ | dbo.T_UGFORMMASTER2NDSEMBATCH2020BRCHIN2021 | 61175 | | dbo.T_UGFORMMASTER2NDSEMBLOG2016_182020 | 58750 | | dbo.T_UGFORMMASTER_3RD2017 | 31429 | | dbo.T_UGFORMMASTER_REGBATCH2017_2019 | 31351 |

暗网市场内部:业余网络犯罪分子与专业集团合作

暗网纵论
“即插即用”的兴起 这只是HP Wolf Security(惠普狼性安全团队)发现的蓬勃发展的网络犯罪经济中不计其数的例子之一。惠普公司的端点安全服务今天在《网络犯罪的演变》报告中发布了长达三个月的调查结果:“为什么暗网正在为威胁格局增压以及如何反击”。 该报告最严酷的结论是:网络犯罪分子正在以一种近乎专业的方式运作,以软件即服务的方式提供易于启动、即插即用的恶意软件和勒索软件攻击。这使得那些即使是最基本技能的人也能够发起网络攻击。 该报告的作者、惠普高级恶意软件分析师Alex Holland说:“不幸的是,成为一名网络犯罪分子从未如此简单。现在,只要花一加仑汽油的价格就能获得技术和培训。” 在黑暗的一面散步 HP Wolf Security威胁情报团队与暗网调查人员Forensic Pathways以及来自网络安全和学术界的众多专家合作,领导了这项研究。这些网络安全专家包括前黑帽子Michael “MafiaBoy” Calce(他在高中时就入侵了FBI)和萨里大学的犯罪学家和暗网专家Mike McGuire博士。 该调查涉及对3500多万个网络犯罪市场和论坛帖子的分析,包括33000个活跃的暗网网站、5502个论坛和6529个市场。它还研究了Conti勒索软件组织的泄露通信。 最值得注意的是,研究结果显示了廉价和容易获得的“即插即用”恶意软件工具包的爆炸式增长。供应商将恶意软件与恶意软件即服务、教程和指导服务捆绑在一起——76%的恶意软件和91%的此类漏洞的零售价格低于10美元。因此,当今网络犯罪分子中只有2-3%的人是高级程序员。 流行的软件也为网络犯罪分子提供了简单的入口。Windows操作系统、Microsoft Office和其他Web内容管理系统中的漏洞经常被讨论。 “令人惊讶的是,未经授权的访问是多么便宜和大量,”Holland说。“你不必成为一个有能力的威胁攻击者,你不必拥有许多可用的技能和资源。通过捆绑,您可以踏入网络犯罪世界的大门。” 该调查还发现了以下情况: 77%的网络犯罪市场需要供应商保证金(或销售许可证),费用可能高达3,000美元。 85%的市场平台使用托管支付,92%的市场平台有第三方争端解决服务,并且都提供某种形式的审查服务。 此外,由于暗网Tor网站的平均寿命只有55天,网络犯罪分子已经建立了在站点之间转移声誉的机制。一个这样的例子提供了网络犯罪分子的用户名、主要角色、他们最后一次活跃的时间、正面和负面的反馈以及星级评价。 正如Holland所指出的,这揭示了一种“盗贼之间的荣誉”心态,网络犯罪分子希望确保“公平交易”,因为他们没有其他法律追索权。勒索软件创建了一个“新的网络犯罪生态系统”,奖励较小的参与者,最终创建了一个“网络犯罪工厂线”,Holland说。 日益复杂的网络犯罪分子 自20世纪90年代初,业余爱好者开始聚集在互联网聊天室并通过互联网中继聊天(IRC)进行协作以来,网络犯罪领域已经发展到今天的DIY网络犯罪和恶意软件工具包的商品化。 今天,据联邦调查局估计,网络犯罪每年给世界造成数万亿美元的损失。仅在2021年,美国的网络犯罪损失就达到了大约69亿美元。 未来将带来更复杂的攻击,但网络犯罪也会变得越来越高效、程序化、可复制,并且“更无聊、更平凡”,Holland说。他预计,更具破坏性的数据拒绝攻击和越来越多的专业化,将推动更有针对性的攻击。攻击者还将专注于提高效率以提高投资回报率,而Web3等新兴技术将成为“武器和盾牌”。同样,物联网将成为更大的目标。 Holland表示:“网络犯罪分子越来越多地采用民族国家的攻击程序。”他指出,许多人已经放弃了“打砸抢”的方法。相反,他们会在侵入目标网络之前,对目标进行更多的侦察,从而最终将更多的时间花在受破坏的环境中。 掌握基础知识 毫无疑问,网络犯罪分子的速度往往超过企业自身的安全保护速度。网络攻击正在增加,工具和技术也在不断发展。 Holland称:“你必须接受,由于未经授权的访问如此便宜。你不能有这样的心态,即认为它永远不会发生在你身上。” 他强调说,尽管如此,企业仍有希望,也有很大的机会来准备和保护自己。关键攻击向量保持相对不变,这为防御者提供了“挑战各类威胁并增强弹性的机会”。 企业应该为破坏性的数据拒绝攻击、越来越有针对性的网络活动以及正在使用包括人工智能在内的新兴技术的网络犯罪分子做好准备,这些技术最终会挑战数据的完整性。 正如Holland所说,这归结为“掌握基础知识”: 采用多因素身份验证和补丁管理等最佳实践做法。 通过制定响应计划来减少来自电子邮件、Web浏览和文件下载等主要攻击媒介的攻击面。 优先考虑自我修复硬件,以提高弹性。 通过制定流程来审查供应商安全的程序和对员工进行社会工程教育,从而限制人员和合作伙伴带来的风险。 通过演练发现问题、进行改进并做好更充分的准备,为最坏的情况制定计划。 “把它想象成一次消防演习——你必须真正练习、练习、练习。”Holland说。 网络安全作为一项团队运动 企业之间也应该加强合作。Holland说,同行之间有机会“更实时地共享威胁情报”。 例如,企业可以利用威胁情报,通过监测地下暗网论坛的公开讨论,来主动进行水平扫描。他们还可以与第三方安全服务合作,发现需要解决的薄弱环节和关键风险。 惠普公司个人系统安全全球负责人Ian Pratt博士表示,由于大多数攻击都是“单击鼠标”开始的,因此每个人都必须在个人层面上提高“网络安全意识”。 他说,在企业层面,他强调了建立弹性和关闭尽可能多的常见攻击路线的重要性。例如,网络犯罪分子会在发布补丁时研究补丁,以对漏洞进行逆向工程,并在其他企业需要补丁之前快速创建漏洞利用。因此,加快补丁管理的速度是至关重要的。 同时,许多最常见的威胁类别——例如通过电子邮件和网络传递的威胁——可以通过威胁遏制和隔离等技术完全消除。无论是否修补漏洞,这都可以大大减少一个企业的受攻击面。 正如Pratt所说,“我们都需要做更多的工作来对抗不断增长的网络犯罪机器。” Holland表示同意,他说:“网络犯罪是一项团队运动,网络安全保护也必须如此。”

暗网勒索集团RansomHouse称AMD已经入侵,并在暗网上发布了数据样本

其他国家动态, 暗网动态
今年早些时候,英伟达(Nvidia)成为其网络攻击的受害者。后果并非微不足道,因为该组织发布了许多内部信息。它泄露了DLSS源代码、有关即将推出的GPU的信息,并为其反挖矿LHR技术创建了解决方法。 根据暗网勒索集团RansomHouse在其暗网网站发布的信息,现在轮到AMD(Advanced Micro Devices Inc.)了。据称AMD已被黑客入侵,黑客窃取了超过50GB的数据。目前尚不清楚数据是否直接来自AMD或其合作伙伴之一。 据称实际的黑客攻击发生在今年1月,但我们现在才刚刚了解它。目前尚不清楚哪个组织负责,因为谈论它的机构要么是中间人,要么是从其他人那里购买了数据。这个被称为RansomHouse的暗网勒索组织在他们的网站上表示,他们不进行黑客攻击,也不使用恶意软件。然而,据称他们正试图与AMD谈判索取赎金。该组织最近在其网站上将AMD列入了一份不祥的公司名单。它说,名单中的公司“要么认为他们的经济利益高于他们的合作伙伴/个人的利益,因为他们把自己的数据托付给他们,要么选择隐瞒他们已经被破坏的事实。”这听起来应该翻译为“他们没有支付赎金”。 据称,被盗数据包括网络文件、系统信息和一些属于AMD的密码。RansomHouse勒索组织发布了其拥有的数据样本,并声称,由于AMD使用了通用密码,因此很容易获取数据。其中包括单词“password”,以及“123456”和“AMD!23”等。该组织称其拥有“超过450GB”的AMD数据。这次黑客攻击本应在去年发生,但黑客将日期定在今年1月5日。在这一天,他们将失去与AMD网络的连接。 “一个高端技术、进步和顶级安全的时代……这些词对众人来说有太多的意义。但是,当像AMD这样的技术巨头也使用简单的密码来保护他们的网络不被入侵时,似乎这些仍然只是美丽的字眼。”RansomHouse写道。“很遗憾,这些是AMD员工使用的真实密码,但对AMD安全部门来说更大的耻辱。根据我们得到的文件,AMD安全部门获得了大量资金——这一切都归功于这些密码。” RansomHouse声称它是一个“专业调解员社区”,而不是一个黑客组织。它声称它不会创建或部署恶意软件,也不会加密任何受害者的数据。到目前为止,它在其暗网网站上列出了六名受害者,包括ShopRite和萨斯喀彻温省酒类和游戏管理局(SLGA)。 AMD通过官方声明回应了有关数据泄露行为的问题。“AMD知道有不法分子声称拥有AMD窃取的数据。目前正在进行调查。”AMD发言人表示。 样本包括一个包含70,000多个属于AMD内部网络的设备的CSV列表。黑客们还掌握了一份来自芯片制造商的商业登录信息和密码清单,其中许多是弱口令。AMD在回应中表示,它会认真对待此事。这家芯片巨头现已展开调查。RansomHouse的黑客为窃取数据而对系统进行更频繁的攻击,自2021年12月以来一直很活跃。 安全意识培训公司KnowBe4 Inc的数据驱动防御布道者Roger Grimes表示:“AMD和任何高科技公司都应该要求对所有登录进行抗网络钓鱼的多因素认证,或者如果不能使用MFA,则要求强大和独特的密码。任何没有足够抵消控制措施的较小的做法都会被大多数计算机安全专家认为是疏忽。” 统一安全和风险分析公司Gurucul Solutions Pvt Ltd A.G.的创始人兼首席执行官Saryu Nayyar指出,AMD在COVID-19疫情流行期间在全球芯片供应链危机中幸存下来,但却被一个新的数据勒索集团的勒索软件所害。 “更加讽刺的是,AMD员工使用’password’作为关键网络访问的密码,”Gurucul补充道。“在拥有精通安全工程师的公司中,这种情况如何仍然发生?坦率地说,这是无法理解的。是时候更改所有密码并清理安全控制了。说真的,是时候了。”

暗网市场上有超过246亿个用户登录凭证可供抢购

暗网纵论
据风险管理和威胁情报公司Digital Shadows报道,暗网上有超过240亿个被盗的凭证,其中一些凭证非常薄弱,只需一秒钟就能破解它们和它们所保护的账户。 尽管暗网充斥着被盗凭据,但上传新凭据的速度令人担忧。根据Digital Shadows最近的一项研究分析,消费者仍继续使用容易猜到的密码,互联网黑暗角落的欺诈者可以获得大约246亿个登录名和密码组合。 根据这家威胁情报公司的计算,自2020年以来,暗网中可获得的被泄露的凭证数量增加了65%。这些被盗凭证中约有67亿个具有唯一的用户名和密码配对,比2020年增加了17亿个。独特的凭证意味着该凭证组合在其他数据库中没有重复。 2019年,网上被泄露的凭证数量达到顶峰,当时Digital Shadows整理了超过103亿个凭证。自那时起,该数字在随后的两年里一直徘徊在50亿大关左右,该公司预计2022年这一数字将继续保持。 PerimeterX公司的首席营销官Kim DeCarlis称:“Web 应用程序的访问前提是有效的用户名和密码,了解暗网上可用的凭证对的数量,令人大开眼界。” 这些发现来自Digital Shadows的《2022年账户接管报告》,这项研究考察了标题攻击类型的原因。ATO攻击需要目标疏忽基本的网络安全,无论是通过系统错误配置、成为网络钓鱼的牺牲品,还是简单地设置一个弱口令。 例如,重复使用或创建易于猜测的密码类似于晚上不锁家门。它可能并且可能会导致账户被接管,进而导致身份盗窃、金融盗窃、社交媒体垃圾邮件等。 “一旦找到有效的用户名和密码对,网络犯罪分子就可以使用这些凭据登录,并接管合法帐户,通常在许多网站上,因为密码重复使用很常见。”DeCarlis补充道。 “因为凭证是准确的,罪犯很有可能顺利进入账户。由于大多数网站在登录后没有安全检查,他们可以自由地浏览和滥用账户,没有任何问题。这种滥用可能包括转账、兑现积分或购买易于转售的产品。” 使用凭据也是建立初始访问权限的首选方法。Digital Shadows估计,近50%的ATO攻击将凭证作为初始访问媒介,其次是网络钓鱼(近18%)、漏洞利用(近6%)和僵尸网络(不到1%)。 强密码应该是避免大多数ATO攻击的基本规则,这是不言而喻的。然而,123456是最常见的密码,占67亿个唯一泄露密码中的0.46%或30,679,190个。这意味着每200个密码中几乎有一个是123456。诸如“qwerty”或“1q2w3e”之类的键盘组合也很常用。 名次 密码出现的次数112345630,679,190212345678917,087,7823qwerty10,589,34041234510,368,6185password8,987,7536qwerty1235,722,54771q2w3e5,306,4218123456785,207,7499DEFAULT4,507,715101111113,766,387 此外,前50个最常用的密码中有49个可以在不到一秒的时间内被破解。 这些被泄露的凭证大多在暗网市场上被交易,交易价格取决于账户的年龄、买方的信誉和提供的数据文件的大小。密码文件是否加密或以纯文本形式存在也会影响价格。接下来是凭证填充和其他入侵工作。 DeCarlis进一步称:“网络威胁格局已经改变。曾经独立且截然不同的Web攻击在网络犯罪的持续和综合循环中聚集在一起。一种攻击助长另一种攻击,传播和延长了攻击生命周期,在消费者的数字之旅中无处不在——而网络应用程序是主要目标。” “在这种情况下,由于凭据被盗已经发生,数字企业应该寻找一种方法来阻止下一步:网络犯罪分子试图验证用户名和密码的凭据填充攻击。对在线企业来说,明智的做法是寻找解决方案,在已知的受损凭证被使用时进行标记,并强制采取诸如简单的密码重置等行动。” “超越”密码似乎才是未来的明智选择。用户可以利用密码管理器、多因素身份验证和身份验证器应用程序,直到无密码成为全球主流。 DeCarlis总结道:“企业需要考虑连续的登录后验证。现在是时候把目光投向登录以外的地方,以确保用户事实上是他们所说的人,并且正在做他们在账户中应该做的事情。” “这种全面的账户保护方法将以减少扣款、降低呼叫客户服务、减少IT资源的压力、保护品牌声誉和收入的形式得到回报。” 易于使用的工具通常可通过犯罪市场以最低成本或免费获得,即使是不熟练的脚本小子也可以轻松破解弱密码。 简单地在10个字符的基本密码中添加一个“特殊字符”(例如 @# 或 _)会使破解密码变得更加困难,因此使一个人成为攻击受害者的可能性大大降低,而犯罪分子则进行攻击更容易被破坏的帐户。 Digital Shadows的高级网络威胁情报分析师Chris Morgan表示,尽管行业试图超越密码作为身份验证机制,但凭据泄露的问题仍然很紧迫,并且随着时间的推移变得越来越严重。 Morgan说:“犯罪分子有无穷无尽的被破坏凭据清单,他们可以尝试,但使这个问题更加严重的是薄弱的密码,这意味着许多账户可以在短短几秒钟内使用自动工具猜出来。“ Morgan补充说:“在过去的18个月里,我们Digital Shadows已经提醒我们的客户注意670万个暴露的凭证。这包括其员工、客户、服务器和物联网设备的用户名和密码。”

德国施里斯海姆市政府向数百名市民通报暗网数据的情况

其他国家动态, 暗网动态
施里斯海姆(Schriesheim)是德国海德堡市的一个小镇,在施里斯海姆(Schriesheim)市莱茵-内卡区(Rhein-Neckar 区)的IT服务器遭到黑客攻击后,几百人被告知他们的数据被公布在暗网中。 “我们想从本周开始,根据数据的敏感性,受影响的人会收到电话或信件的通知。”该市的一位女发言人告诉德国新闻社。“这些数据仍然可以在暗网中查看,我们在那里没有抓手。”女发言人说。 大约一个月前,身份不明的人入侵了该市的IT系统,这些网络犯罪分子使用恶意软件(“勒索软件”)加密了该市的服务器。他们没有要求赎金,但威胁要在暗网上发布数据。 在与曼海姆刑事调查局和巴登符腾堡州网络安全局(CSBW)协商后,该市没有与袭击者取得联系。警察和IT专家不得不暂时关闭并重新安装该市的服务器,以提高安全标准。 在截止日期过后,其内部文件被张贴在暗网上。然而,其中也有个人名单和文件,比如莱茵-内卡区约有15,000名居民信息。 政府办公室主任多米尼克-莫拉斯特(Dominik Morast)周一表示,这主要是来自市政行政部门的信息,只在内部使用。根据第一次分析,身份证和护照数据以及登记处的数据没有受到影响。然而,他承认,在暗网中可以看到带有姓名的文件。 女发言人说:“市政当局的行政业务仍然受到限制,目前登记处和公民局等部门大多已经可以通过电子邮件进行访问,但还不是所有的工作人员都可以。“我们正在全力以赴地工作,以确保每个人都能再次得到他们的个人邮箱。” 警方和国家数据保护专员正在就如何进行协商。他估计需要几个星期的时间,直到市政厅当局再次全面运作。目前还不能提供有关费用的信息。 据称,犯罪分子披露的数据在民众中造成了不确定性。然而,大多数人对由此造成的行政运作的中断表示理解。

欧洲多国遭受勒索组织攻击,数据泄露在暗网上

其他国家动态, 暗网动态
近期,欧洲多国遭受勒索组织的黑客攻击,市政机构,医疗机构、民生类公司均有波及。目前,勒索软件已成为一种不断升级的全球安全威胁,无论是对政府部门、大中企业还是具体个人,都可能造成严重的安全和经济风险,如何有效防范勒索软件攻击已成为网络安全领域的焦点问题。 意大利政府机构遭受勒索攻击,拒绝支付赎金后,大约100GB的个人数据在暗网上公布 3月中旬,黑客以勒索为目的攻击意大利维罗纳市的公共机构。要求的赎金未支付后,黑客在暗网公开了大约100GB的个人信息。 维拉弗兰卡-迪-维罗纳市政府(Villafranca di Verona)尽管采取了信息安全措施,但2022年3月14日该公共机构还是遭到了以勒索为目的的网络攻击,造成了严重的数据泄露。这次攻击导致了服务器的暂时瘫痪,从而导致了服务提供的延迟。不过,基本服务在48小时内得到了恢复。 昨天,也就是4月6日,维拉弗兰卡市政府发布了这一消息,该市在最近几周已经通报了黑客实施的攻击。 正如市政府解释的那样,黑客入侵了该市的网站,并提出勒索。所造成的损害是使该市的主要服务器上的数据无法读取。此外,如果攻击者没有收到要求的赎金,他们就会在暗网公布他们入侵后盗取的所有机密信息。 市政府报告说:“危机小组已经协调行动以安全地恢复和重新启动计算机系统,并能够恢复几乎所有受到攻击的数据。市政府已迅速启动所有设想的程序,并正在使用内部专业人员和外部专业公司重置其IT系统,以保证其结构的更高水平的安全性。” 然而,这并没有阻止黑客。黑客们要求在3月30日之前支付赎金,由于尚未付款,因此约有100GB的机密个人数据已在所谓的暗网中公布。暗网是互联网中不被索引的一部分,一般用于非法活动。 市政府称:“这基本上是政府有关某些部门(商业、合同、人口、财政、青年政策、人事、秘书工作人员、工作人员技术领域)的办公室之间共享的工作文件夹中的数据,主要涉及行政和管理性质的文件(例如程序、会议记录、法规、内部规定)也包含个人数据。数据可能被非法交换,许多已发布的数据已经公开。“ 维拉弗兰卡市政府已将此事通知了隐私担保人,并与之保持联系,以监督违规行为,更好地保护相关人员。此外,还向警察提出了投诉。“危机小组完全按照正在进行的调查,正在努力评估所发布数据的确切实体和类型。”,市政府总结道,这提醒:“在暗网公布的信息是非法活动的结果,因此,任何希望查阅或使用这些信息的人都是在犯法。我们希望正在进行的调查能够查明这一犯罪行为的肇事者。在任何情况下,我们都要指出,尽管暗网的数据是公布的,但只有具有特定和特殊技术能力的计算机操作员才能访问它们。” 最后,维拉弗兰卡-迪-维罗纳市政府对造成的不便表示歉意,并保证将尽最大努力处理和解决直接或间接与数据泄露有关的所有不便。 荷兰房屋公司遭受勒索攻击,拒绝支付赎金后,客户的个人资料在暗网上曝光 网络犯罪分子在对多家住房公司进行黑客攻击后,将部分被盗信息公布在暗网上,这是互联网中无法访问的部分。 网络攻击后被盗的200GB数据中,暗网上已经发布了大约8GB的个人信息,这涉及到数以千计的包含敏感客户数据的文件,如身份文件的副本和银行详细信息的副本。 此外,客户的全名、住址、电话号码、电子邮件地址以及在某些情况下的社会安全号码也被放到暗网上。此类数据可用于身份欺诈。 上周,勒索软件攻击事件被曝光。八家荷兰住房公司成为目标,包括布雷达、罗森达尔、瓦赫宁根和弗利辛根等地的房屋公司。 网络攻击导致住房公司Laurentius、Alwel和Zayaz的系统在很大程度上陷入瘫痪。这些公司总共掌握了75000个家庭的数据和客户的私人详细信息。 多家媒体报道称,臭名昭著的勒索组织Conti是这次攻击的幕后黑手。据当地报纸BNdeStem报道,该团伙要求1500万欧元的赎金。这八家公司拒绝支付这笔费用。

瑞士纳沙泰尔两家医疗机构遭受黑客攻击,数以千计的医疗数据被公布在暗网上

其他国家动态, 暗网动态
尽管瑞士纳沙泰尔国务委员会曾向议会保证,解释说它在电脑安全方面取得了进展,但这个事件却是一记耳光:勒索软件组织LockBit针对瑞士纳沙泰尔州两家医疗机构进行了网络攻击,并提出勒索赎金,否则在暗网公布其窃取的数据。 在暗网泄露医疗数据 在发出最后通牒后,周二,勒索软件组织LockBit在纳沙泰尔州采取了行动:在暗网上泄露了数千名纳沙泰尔患者的数据。然而,他们在周三被撤回。 黑客曾威胁这些公司,如果不支付赎金,将在3月29日星期二公布被黑客拖取的数据。根据Le Temps的说法,黑客兑现了他们的威胁,43,651份医疗文件最终进入了暗网(互联网的一个隐藏部分),包含地址、电话号码或职业。 泄露的文件中有医疗档案,有关于患者的病症或医疗检查的各种数据,在那里可以找到病历和治疗方法,例如:某位患者是艾滋病毒阳性,另一位患者正在服药,第三位患者患有抑郁症。其中一些档案可以追溯到1998年。 下午删除数据 然而,周三下午,这些数据在暗网上已经无法访问,它们在发布后不久被删除。有如下可能性:黑客攻击的受害者最终决定付款,或者黑客意识到文件的价值并决定尝试提高勒索赎金。网络安全专家也提出了暗网技术问题的假设。 在黑客的暗网页面上,更新了一个倒计时,即星期四下午1:30左右会有新动作,应是LockBit组织设置了新的24小时最后通牒。 警方调查 纳沙泰尔警方已经对这起案件开展了调查。“调查正在进行中,警方不希望提供有关这两家医疗机构的更多信息。”警方发言人Georges-André Lozouet周三告诉Keystone-ATS,证实了Le Temps的信息,这两个受害医疗机构的办公室位于纳沙泰尔山区。 一场“灾难” 纳沙泰尔医学会(SNM)主席多米尼克-邦兹利(Dominique Bünzli)在12时30分表示,发生的事情是“一场灾难”。他还没有详细信息,但他说,如果确实确认这些数据已被盗,他们将必须以完全透明的方式通知他们的患者。 本月早些时候,在同事告知他医学会是网络攻击的受害者后,SNM主席发出了一封警告信,呼吁成员立即采取行动。 网络安全加固 Dominique Bünzli解释说,目前正在开展工作,以加强医疗实践中的信息技术安全。瑞士医学协会(FMH)也发布了几项针对网络安全加固做法的建议。

暗网中泄露了敏感数据:全球最大的机场地面服务公司Swissport遭受的黑客攻击可能比该公司所说的更糟糕

其他国家动态, 暗网动态
2月初,针对瑞士国际空港服务有限公司(Swissport)的黑客攻击成为全球头条新闻。由于某些系统暂时无法使用,空中交通出现延误。 Swissport是全球最大的航空公司和机场服务提供商,总部位于苏黎世州的Opfikon。Swissport发言人Stefan Hartung上周四称:“初步分析表明,没有敏感数据泄露的可能性极高。”但这应该是一个错误。 攻击的背后是勒索软件团伙BlackCat,在现场也被称为ALPHVM。自周二以来,勒索黑客一直在他们的暗网网站上出售他们所有窃取的数据。根据他们自己的说法,1.6TB的内部数据落入了他们的手中。 作为数据泄露的证据并强调他们的威胁,他们公布了一小部分数据:包括不同国籍的护照副本、申请文件和机密审计报告的摘录。例如,在一个表格中,可以看到姓名、国籍、宗教、电话号码和工作面试时的评估。这些数据究竟是来自Swissport(这似乎很有可能),还是来自其他黑客,目前还不能确定。 黑客们威胁说,他们将很快公布更多的样本数据,以便对被黑公司施加进一步压力。该公司最新声明写道: “对于Swissport,我们系统的数据安全性具有最高优先级。Swissport已对影响我们多个系统的网络攻击做出响应。作为我们分析的一部分,我们发现未经授权的人将据称从Swissport窃取的数据放到网上。我们认真对待这些说法,并正在分析已发布的数据,作为我们对该事件正在进行的调查的一部分。 得知事件后,我们立即关闭了受影响的系统,展开了调查,通知了执法当局,并请来了领先的网络安全专家来评估攻击的程度。目前,我们无法提供进一步的细节。 我们正在与客户、合作伙伴和员工进行对话。Swissport对这一事件给我们的客户、合作伙伴和员工造成的情况感到遗憾。” Swissport 上周,Swissport表示:“尚未通知FDPIC(编者注:联邦数据保护和信息专员),因为IT安全事件没有导致数据外流,从而产生相应的告知义务。” 对行李处理商IT基础设施的勒索软件攻击始于两周前的星期四早上,据有关公司称,立即被发现。“我们的IT安全系统很早就发现了这一事件,因此我们能够立即采取有效且成功的防御措施。”一位媒体发言人说。 用于规划人员、飞机和货运的IT系统受到影响。Swissport能够相对较快地(部分)恢复系统,但与最初的假设相反,数据泄漏显然无法防止或无法完全防止。 2021年,Swissport负责约9700万乘客的地勤服务,并提供登机、货运服务和飞机加油等服务。 这个网络犯罪团伙是黑客的幕后黑手 Swissport正在与一个极其危险的勒索软件团伙打交道。BlackCat目前针对来自美国、乌克兰和瑞士等国的公司,并正在攻击广泛使用的Windows和Linux系统的公司。 例如,在德国,勒索软件组织在年初引起了轰动,当时黑客瘫痪了全国的Oiltank-ing油库,该油库为大型公司壳牌等公司供货。 BlackCat只活跃了很短的时间,并以一种显然非常复杂和先进的加密软件引起了轰动。BlackCat会加密和窃取数据,以便在受害者可以从备份中恢复数据时获得额外的优势。 BlackCat,以前也称为BlackMatter或DarkSide,很可能是以前与特别活跃的勒索软件组织REvil合作的同一批犯罪分子。2021年,REvil参与了迄今为止最大的勒索黑客攻击之一,渗透了全球800至1500家公司并窃取了宝贵的数据。2021年6月上旬,REvil用勒索软件攻击了全球最大的肉类公司JBS,使北美和澳大利亚的大部分生产瘫痪。 简而言之:Swissport黑客很可能是勒索工作中经验丰富的专业攻击者。 为什么受害者不应支付赎金? 国家网络安全中心NCSC建议不要支付赎金,并警告说:“无法保证犯罪分子在支付赎金后不会公布数据或从中获取其他利益。此外,每一次成功的勒索都会激励攻击者继续下去,为攻击的进一步发展提供资金,并促进其蔓延。” 如果受害者仍在考虑支付赎金,NCSC强烈建议与各州警方讨论这些步骤。 该网站https://www.nomoreransom.org/,提供了识别恶意软件的提示和下载已经知道的密钥的选项。Nomoreransom.org是荷兰警方和欧洲刑警组织的一个联合项目,瑞士联邦也参与其中。