随着导弹和无人机在以色列和伊朗之间飞行,黑客组织Handala在其暗网泄密网站和Telegram频道上发布了一系列以色列受害者的更新,证明网络战已经打响,该黑客组织正在对以色列政府部门及企业发动一系列网络攻击,这似乎是为了回应以色列对伊朗的导弹袭击或者呼应伊朗对以色列的导弹袭击。
Handal是一个臭名昭著的亲巴勒斯坦黑客组织,以巴勒斯坦抵抗运动的流行象征命名,最后一次活跃是在2025年2月,但“暗网下/AWX”发现,自6月14日起,该黑客组织在其暗网泄密网站上列出了十多名以色列受害者。
仅在6月14日,Handala黑客组织就在暗网泄密网站发布了4个以色列相关的受害者信息。该组织的暗网泄密网站地址是:http://vmjfieomxhnfjba57sd6jjws2ogvowjgxhhfglsikqvvrnrajbmpxqqd[.]onion
石油集团Delek集团及其子公司Delkol是Handala最新的黑客攻击活动中的第一名受害者,黑客声称窃取了超过2TB的数据。Handala在暗网泄密网站发布帖子“以色列燃料供应系统遭黑客攻击”,内容是:“你们的燃料系统暴露了,你们的机密也暴露了。超过2TB的机密数据不再掌握在你们手中。你们的加油站不堪一击。如果你聪明的话,就应该立即行动。立即加满油,否则你们就只剩下空荡荡的道路和寂静无声的飞机了。时间不站在你们这边。”
阿根廷无人机制造商AeroDreams是Handala最新的黑客攻击活动中的第二名受害者,黑客声称窃取了超过400GB的内部数据。Handala在暗网泄密网站发布帖子“Aerodreams已被入侵”,内容是:“他们曾为空军飞行,如今却躲藏在Aerodreams背后。这是一个秘密的掩护机构,负责敏感的无人机项目、精英飞行员训练和秘密后勤工作。他们原本认为不可触碰的东西……如今已被攻破。400GB的内部数据落入我们手中,很快,也将落入所有人手中……“
以色列建筑公司YG New Idan是Handala最新的黑客攻击活动中的第三名受害者,黑客声称窃取了超过339GB的数据。Handala在暗网泄密网站发布帖子“YG New Idan已被入侵”,内容是:“以色列战争部秘密机构YG New Idan Ltd已被入侵。该机构负责设计和建造你们的军事基地,现在,你们隐藏的一切都归我们所有。我们掌握着339GB的机密数据,它们很快就会泄露,让所有人都能看到。你们以为的……“
ISP 099 Primo Telecommunications是Handala最新的黑客攻击活动中的第四名受害者,黑客声称窃取了超过339GB的数据。Handala在暗网泄密网站发布帖子“以色列 099 ISP已被入侵”,内容是:“099 Primo Telecomunications LTD 现已成功入侵099 ISP的内部基础设施,该网络是数字网格的中心节点。已通过其官方邮件服务器发出超过15万封公开警告邮件!我们本可以切断访问 我们本可以屏蔽屏幕,压制…“
6月15日至今,该黑客组织还列出了以色列TBN(TBN Israel)、魏兹曼科学研究院(Weizmann Institute of Science)、莫尔物流(Mor-logistics)、加密货币交易所软件开放公司Agura B.C、以色列监控基础设施公司萨班系统(Saban Systems)、以色列陆路运输公司豪尔重型运输(Haor Heavy Transport)和 城际客运公司YHD Group等受害者。
Handala的背后是什么人 黑客组织Handala主要针对与以色列及其军方有关联的以色列实体或企业。该勒索软件团伙以使用各种策略、技术和程序来获取受害者访问权限而闻名,其中包括鱼叉式网络钓鱼。尽管有人认为该黑客组织是暗网勒索软件团伙,且与其他勒索软件团伙操作类似,将受害者信息发布在暗网泄密网站里,但不同的是,是其动机完全是出于政治目的,从未提出过任何赎金要求。
2024年CrowdStrike发生大规模宕机事件后,有人观察到该黑客组织组织使用自称来自这家网络安全公司的电子邮件,声称提供了问题解决方案。然而,黑客伪装成一个名为CrowdStrike.exe的文件,部署了一个恶意擦除程序,该程序能够从受感染的机器中删除整个目录。
该黑客组织的互联网流量似乎源自伊朗的IP地址,伊朗国际网站的一份报告将Handala黑客组织与伊朗情报部门联系起来。
Handala乐于在其暗网泄密网站上将战果吹嘘的非常大,这是黑客行动主义组织的惯用伎俩。于是有Handala的一些受害者声称该黑客组织夸大了其攻击成果,尽管之前的某些攻击也确实证实了黑客的说法。例如在2025年1月,Handala入侵了以色列幼儿园的公共广播系统,用于广播红色警报和宣传,以色列国家网络局后来证实了这一黑客攻击。
臭名昭著的LockBit勒索软件团伙的暗网网站遭遇严重入侵。5月7日,攻击者破坏了其暗网基础设施,并泄露了包含敏感操作细节的综合数据库,曝光了其勒索细节的聊天记录。
此次黑客攻击对全球最猖獗的勒索软件团伙之一造成了重大打击。
首先发布该事件的是“Rey”:
https://twitter.com/ReyXBF/status/1920220381681418713 现在,访问LockBit暗网网站(http://lockbitapyx2kr5b7ma7qn6ziwqgbrij2czhcbojuxmgnwpkgv2yx2yd[.]onion)的访客会收到一条挑衅性的信息:“不要犯罪,犯罪是坏事,来自布拉格的xoxo”,同时还附上了一个下载链接,用于下载名为“paneldb_dump.zip”的文件,其中包含MySQL数据库存储文件。
Lockbit的暗网网站确系被黑客入侵 在与该事件发现者Rey的Tox对话中,被称为“LockBitSupp”的LockBit运营者证实了此次泄密事件,并表示没有私钥泄露或数据丢失。
安全研究人员已经确认泄露数据的真实性,其中包含有关勒索软件团伙操作的宝贵信息。其中“paneldb_dump.zip”压缩文档包含了从LockBit暗网网站管理后台的MySQL数据库转储的SQL文件。
该数据库包括59975个用于支付赎金的唯一比特币钱包地址、从去年12月到今年4月下旬LockBit勒索软件团伙背后的运营者与其受害者之间的4442条赎金谈判信息,以及为特定攻击创建的自定义勒索软件版本的详细信息。
分析该数据库,其中包含20个数据表,包括:
‘btc_addresses’表包含59,975个唯一的比特币地址。 “builds”表包含关联方为攻击创建的各个构建。表中的行包含公钥,但遗憾的是没有私钥。部分构建中还列出了目标公司的名称。 “builds_configurations”表包含每个构建使用的不同配置,例如要跳过哪些ESXi服务器或要加密的文件。 “chats”表非常有趣,因为它包含从12月19日到4月29日勒索软件操作与受害者之间的4442条谈判消息。 “users”表列出了75位有权访问联盟后台管理面板的管理员和联盟会员,Michael Gillespie发现这些密码以明文形式存储。一些明文密码的示例包括“Weekendlover69”、“MovingBricks69420”和“Lockbitproud231”。 后续泄露者又曝光了12张截图,其中包括LockBit的暗网服务器里多个shadow文件、PHP代码的截图以及其暗网网站后台管理的界面截图。通过以下截图可以管中窥豹,一览勒索软件内部的秘密:
比特币地址库与用户表都是执法部门的金矿 HudsonRock联合创始人兼首席技术官Alon Gal称此次泄密事件是“执法部门的金矿”,可以极大地帮助追踪加密货币支付并将攻击归咎于特定的威胁行为者。
也许最令人尴尬的是,此次泄密暴露了一个包含75名管理员和联盟附属人员的纯文本密码的用户表,这可能被执法部门用以识别发动勒索攻击的黑客。
泄露的SQL数据库显示LockBit的暗网服务器正在运行PHP 8.1.2,该版本存在严重的远程代码执行漏洞,编号是CVE-2024-4577,可用于在远程服务器上实现远程代码执行。网络安全研究人员推测,这次攻击可能与PHP 8.1.2存在的这个高危漏洞(CVE-2024-4577)有关。
LockBit试图淡化此事件 LockBit试图淡化此事,该团伙在其暗网泄密网站上用西里尔文发布的一条消息中声称:“5月7日,他们入侵了带有自动注册功能的精简版管理面板,窃取了数据库,没有一个解密器受到影响,也没有任何被盗的公司数据受到影响。”该团伙愿意支付报酬,以获取有关此次入侵事件的布拉格黑客“xoxo”相关的信息。
此次黑客攻击发生在名为“克洛诺斯“(Operation Cronos)的执法行动一年之后,克罗诺斯行动是一场国际联合执法行动。当时“暗网下/AWX”做了详细报道,执法机构于2024年2月暂时破坏了LockBit的基础设施,包括托管数据的暗网泄密网站及其34台镜像服务器、从受害者那里窃取的数据、加密货币地址、1000个解密密钥以及管理面板。
虽然该团伙在此次攻击后成功重建并恢复运营,但其声誉已遭受重创,随着这次最新的入侵事件的发生,这对LockBit本已受损的声誉又造成了进一步的打击。研究人员指出,该团伙近期的许多受害者索赔请求都来自之前的攻击或其他勒索软件团伙的索赔。
对于LockBit而言,此次泄密事件可能带来毁灭性的打击,可能会破坏其附属联盟的信任并进一步阻碍其运营。LockBit勒索软件团伙2023年初在全球造成了约44%的勒索软件事件。
澳大利亚一家妇女儿童医院的睡眠研究患者的姓名、地址和其他敏感数据在一次勒索软件攻击后遭到泄露。
南澳卫生部首席执行官罗宾·劳伦斯(Robyn Lawrence)表示,她的部门于 4 月 17 日收到了该医疗公司的通知,该公司在 3 月底遭遇了严重的数据泄露。
南澳大利亚卫生部周四证实,数据泄露事件影响了阿德莱德妇女儿童医院的患者。
技术提供商Compumedics发送的一封信显示,网络攻击发生在3月22日,早在2018年患者数据就被访问。
南澳卫生部表示,超过2200名患者“可能受到影响”。
南澳大利亚卫生部首席执行官罗宾·劳伦斯博士表示,此次漏洞“直接影响了康柏美迪(Compumedics)公司的软件,没有证据表明南澳大利亚卫生部运营的任何信息技术系统遭到了破坏”。
她说:“在康柏美迪公司披露了首次全国性勒索软件攻击后,我们立即采取行动,暂停从我们的网络访问康柏美迪公司的软件和相关设备。”
“现在,当我们得知南澳大利亚睡眠研究患者可能受到影响时,我们立即采取行动核实信息,通知患者和公众。”
康柏美迪公司(Compumedics)与南澳大利亚州卫生部(SA Health)签订了合同,提供睡眠、大脑和其他监测应用。
南澳大利亚州卫生部在一份声明中表示:“WCHN 已立即采取行动,从网络中移除 Compumedics 软件和相关设备。”
Compumedics 总监戴维·劳森(David Lawson)在给患者的一封信中表示,公司在数据泄露当天努力控制数据,但“我们的一些文件可能已被窃取,并可能被发布在暗网上”。
他写道:“我们对此次事件的发生以及给您带来的影响深表歉意,感谢您的理解,我们将继续努力做出回应。”
劳伦斯博士在新闻发布会上表示,“第三方提供商的安全系统不足以防止外界访问我们患者的数据,这令人非常失望”。
据称,医院保存的医疗记录和付款详细信息未被访问,但一些“临床研究笔记”被泄露。
目前还不清楚该事件是哪一个暗网勒索软件团伙所为,“暗网下/AWX”将继续保持追踪。
影响Compumedics Limited的网络安全事件 Compumedics Limited已确认其遭受勒索软件攻击,导致其IT网络近期检测到异常活动,并因此遭受网络安全事件的袭击。
Compumedics称已采取措施控制和修复事件,并加强网络安全。受影响的数据已每日备份。虽然目前业务运营未受影响,但出于安全考虑,所有服务器均已下线。Compumedics的澳大利亚服务器正在检查并恢复中。一些 Nexus360 客户仍然处于离线状态。Nexus360 是Compumedics基于 Web 的患者数据和实验室管理系统,为睡眠和神经科诊所提供集成的硬件和软件解决方案。
Compumedics正在对该事件进行独立取证调查,以了解事件发生的原因、其对客户数据(包括患者报告)的影响,并确保自身的系统安全,以便尽快恢复正常服务。
Compumedics已向澳大利亚网络安全中心(隶属于澳大利亚信号局)提交了报告。
关于 Compumedics Limited Compumedics Limited [ASX: CMP] 是一家医疗器械公司,致力于开发、生产和商业化用于睡眠、脑部和超声波血流监测应用的诊断技术。该公司旗下拥有总部位于美国的 Neuroscan 和总部位于德国的 DWL Elektronishe GmbH。凭借这两家子公司,Compumedics 的业务范围遍布全球,覆盖美洲、澳大利亚、亚太地区、欧洲和中东地区。
2025年1月30日,Tor项目官方的X(以前称为Twitter)帐户遭到入侵,并被用于推广欺诈性的加密货币计划。Tor项目迅速在其他社交媒体提醒用户对网络钓鱼和诈骗保持警惕,尤其是涉及加密货币的诈骗。截至目前,Tor项目已经重新获取账号控制权限,并删除了盗号者发布的诈骗推广推文。
发现X账户被入侵后,Tor项目迅速通过其包括BlueSky和Mastodon账户在内的其他官方社交媒体渠道发出了警告:
Our X (Twitter) account has been compromised. We are working to regain access.
Please do not trust or interact with any posts, DMs, or links from our account until further notice.
Tor项目在声明中确认其X帐户已被入侵,并敦促粉丝不要信任或与来自被黑帐户的任何帖子、直接消息或链接互动。他们向用户保证,正在努力重新控制该帐户(最新:账户已经恢复)。
Tor项目建议其社区通过其博客和Mastodon等经过验证的渠道获取最新信息,并敦促其粉丝在另行通知之前不要与受感染的X帐户分享的任何帖子或链接互动。
在评论中,有网友在评价中质疑这一切怎么发生的,称X账户是怎么被盗的,他们应该知道什么是安全密码和2FA?还有网友说Tor项目的X账户被黑了,本来可以走得更远,赚更多的钱,结果只发了一条推文?
盗号者利用Tor项目官方X账户推广是的一个基于Solana区块链的Meme币$TOR,地址为:Du24pykXZDNvpcJBRfDaXV8AtwoxN1UB6AGcjPvupump,盗号者精心设计了该Meme币,并盗取Tor项目官方X账户进行推广,已经成功销售(骗取)了超过340万美元。
这一事件凸显了网络犯罪分子瞄准知名账户、利用其信誉进行诈骗日益增多的趋势。此次X账户被盗事件也强调了加强数字平台安全措施的必要性。
“暗网下/AWX”强烈建议用户在进行任何在线加密货币投资交易之前核实来自官方来源的信息。如需了解Tor项目的真实最新情况,需同时访问Tor项目自己的博客或关注其在其他平台上的已验证帐户。
国家考试局(NTA,National Testing Agency)正面临着暗网威胁带来的挑战,考试的安全进行和教学日历都受到了影响。由于担心机构的凝聚力,工作人员不确定能否按时进行考试。NTA的信息技术(IT)部门的消息人士相信CUET-UG考试成绩可以在6月30日之前公布,但他们不确定是否重新安排已取消和推迟的考试。虽然对考试机构近期的运作提出了质疑,但内部人士坚称“比哈尔邦的试卷没有泄露”。
有报道称印度国家考试机构(NTA)网站遭到黑客攻击,其工作人员对考试的安全性感到担忧,该机构正面临重大危机。
印度国家考试局(NTA)正在经历彻底崩溃,由于“暗网”威胁,工作人员不确定任何考试是否安全交付。尽管面临这些挑战,但人们仍然期望按时进行考试并公布成绩,以防止教学日历出现延误,而在2020年Covid-19考试中断后,去年的教学日历已成功回到正轨。
另一个主要问题是,在有传言称代表团官员希望离职的情况下,如何让该机构保持团结。
资深工作人员认为,无论是基于计算机的考试还是离线的考试,在该机构的基本面重新整合之前,都很难恢复信心。NTA不得不取消三项国家级考试,其中包括两项——2024年全国普通入学考试(NCET),用于四年制综合教师教育计划(ITEP)的入学考试和大学资助委员会-国家资格考试(UGC-NET)——在考试结束后。CSIR-UGC-NET在考试前几天被推迟。
官员:需要对技术进行重大改革以确保考试顺利进行 “需要对技术和能力建设方面进行重大改革,”一位高级官员说。他指出,仅仅关注即将成立的高级委员会提出的考试模式是不够的。例如,尽管考生人数相对较少,但基于计算机的ITEP考试还是不得不取消。每个文件大约5GB,在中心下载时,他们收到的试卷是扭曲的。
ITEP是印度针对部分中央和州立大学、IIT、NIT、RIE和公立学院的综合师范教育课程的入学考试。
信息技术部门的消息人士相信,CUET-UG考试成绩可以在6月30日之前准备好,但他们不确定取消和推迟的考试是否会重新安排。NTA的一位消息人士以2004年全印度医学预科考试(AIPMT)试卷泄露事件(当时CBSE设法在一周内举行了考试)为例,该机构的保密部门、IT和行政人员“认为现在不可能了”,因为他们担心使用“暗网”的黑客组织已经完全侵入NTA的安全系统,并“决定在今年公开这些漏洞”。
“他们不会停止。黑客组织使用暗网。我们甚至不确定我们的黑盒子(存放试卷的地方)有多安全,”一位忧心忡忡的官员表示,这表明NTA没有能力阻止这种“有组织的网络攻击”。一位政府消息人士补充说:“需要一个国家级智库来努力应对此类威胁。”
在质疑该机构最近运作的同时,内部人士坚称没有发生过“比哈尔邦试卷泄露事件”。“两天前,比哈尔邦警方要求提供六名考生的详细信息,并告知他们考号。其中两名考生的考号不存在,另外两名考生的姓名和考号不匹配。有很多矛盾之处,包括查封的时间,当时考试结束后,所有试卷都已公开。”NTA计算机部门的一名官员说。
印度中央政府于6月22日表示,由印度空间研究组织前主席 K·拉达克里希南 (K Radhakrishnan) 领导的一个由七人组成的高级小组已经成立,负责调查国家考试管理局的考试运作情况和公平性,并将在 2 个月内提交报告。
面对竞争性考试中涉嫌存在不符点的批评,印度中央政府于周六撤换了国家考试机构 (NTA) 局长 Subodh Singh,并将对医学入学考试 NEET-UG 违规行为的调查移交给了印度中央调查局
在这个自治组织内部,有强烈的传言称,大量官员“大举出逃”,他们觉得自己的职业生涯岌岌可危。
国家考试局网站及其所有其他门户网站都是完全安全的 国家考试局(NTA)网站及其所有其他门户网站都是完全安全的,有关这些网站遭到入侵和黑客攻击的报道是错误和误导性的,官员周日表示。
此次澄清是在竞争性考试涉嫌违规行为引发激烈争论之际做出的,这些考试包括 NEET-UG 和 UGC-NET。教育部周六成立了一个小组来审查 NTA 的运作,提出考试改革建议并确保数据安全。
“NTA 网站及其所有门户网站都是完全安全的。任何有关它们被入侵和黑客攻击的信息都是错误和误导性的,”一位高级官员说。
“官员们称:NTA网站及其所有其他门户网站都是完全安全的;有关它们被入侵或黑客攻击的信息是错误的。”PTI在推特上写道。
NTA website, all its other web portals fully secure; information that they have been compromised or hacked wrong: Officials
— Press Trust of India (@PTI_News) June 23, 2024
AnyDesk于2024年2月2日在一份公开声明中证实,它最近遭受了一次网络攻击,黑客可以访问该公司的生产系统。 AnyDesk称:“作为预防措施,我们将撤销我们门户网站 my.anydesk.com 的所有密码,如果使用相同的凭据,我们建议用户更改密码。”据了解,AnyDesk的源代码和私有代码签名密钥在攻击期间被盗。
AnyDesk 是一种远程访问解决方案,允许用户通过网络或互联网远程访问计算机。该程序非常受企业欢迎,企业使用它来提供远程支持或访问托管服务器。
该软件在威胁行为者中也很受欢迎,他们使用它来持续访问受破坏的设备和网络。
该公司报告称拥有17万名客户,包括 7-11、康卡斯特、三星、麻省理工学院、英伟达、西门子和联合国。
AnyDesk被黑 AnyDesk表示,他们在检测到生产服务器上发生事件的迹象后首次得知此次攻击。
在进行安全审计后,他们确定自己的系统受到了损害,并在网络安全公司 CrowdStrike 的帮助下启动了响应计划。
AnyDesk 没有透露有关攻击期间数据是否被盗的详细信息。然而,BleepingComputer 了解到威胁行为者窃取了源代码和代码签名证书。
该公司还证实勒索软件并未参与其中,但除了表示他们的服务器遭到破坏之外,没有透露太多有关此次攻击的信息,该报告主要关注他们如何应对这一事件。
作为回应的一部分,AnyDesk 表示他们已吊销与安全相关的证书,并根据需要修复或更换系统。他们还向客户保证 AnyDesk 可以安全使用,并且没有证据表明最终用户设备受到该事件的影响。
AnyDesk在公开声明中表示:“我们可以确认情况已得到控制,使用 AnyDesk 是安全的。请确保您使用的是最新版本,并带有新的代码签名证书。”
虽然该公司表示没有身份验证令牌被盗,但出于谨慎考虑,AnyDesk 正在撤销其门户网站的所有密码,并建议在其他网站上使用密码时更改密码。
数据在暗网销售 根据Resecurity的博文,在俄罗斯背景的暗网论坛Exploit.in里,用户名为“Jobaaaaa”的账号,提供大量AnyDesk客户凭证出售,该账号注册于2021年。该账号强调——“这些数据非常适合技术支持诈骗和邮件(网络钓鱼)”。
攻击者提供的样本与属于不同消费者和企业的受损访问凭证有关,允许访问 AnyDesk 客户门户网站。该攻击者者提供了18317个账户,以15000美元的加密货币(比特币或者门罗币)支付。作为一项安全措施,攻击者使用*号对密码的部分内容进行了隐藏。他还同意在著名的地下论坛上通过托管方式进行交易。
获取此类数据的来源和方法可能会有所不同,并且取决于特定不良行为者的策略、技术和程序 (TTP),这种发展创造了一个新的关注领域。例如,暗网参与者可以利用信息窃取者来收集此类信息。在这种情况下,考虑到最新的事件披露,及时重置密码将成为所有客户的强制缓解措施。使用 AnyDesk 的受众包括 IT 管理员,他们经常成为威胁行为者的目标。确保恶意活动不会影响对他们可能拥有特权访问的任何其他关键系统的访问至关重要。
通过访问AnyDesk门户,威胁行为者可以了解有关客户的有意义的详细信息,包括但不限于使用的许可证密钥、活动连接数量、会话持续时间、客户 ID 和联系信息、与帐户关联的电子邮件以及激活远程访问管理软件的主机总数,及其在线或离线状态和 ID。
熟悉该事件的网络犯罪分子可能会急于通过从不同来源获得的暗网将可用的客户凭据货币化,因为他们知道 AnyDesk 可能会采取主动措施来重置其凭据。此类数据对于初始访问代理和熟悉 AnyDesk 的勒索软件团体来说可能非常有价值,AnyDesk 经常被滥用为成功网络入侵后的工具之一。值得注意的是,根据从攻击者处获得的额外上下文,暗网上大多数暴露的帐户都没有启用 2FA。
AnyDesk 根据维基解密,AnyDesk是由AnyDesk Software GmbH公司开发的远程桌面应用程序。该软件程序提供对个人计算机和运行主机应用程序的其他设备的独立于平台的远程访问。 它提供远程控制、文件传输和VPN功能。 但是AnyDesk通常也被恶意用于技术支持诈骗和其他远程访问诈骗。
AnyDesk Software GmbH公司于2014年在德国斯图加特成立,目前在美国、中国和香港设有子公司,并在乔治亚州设有创新中心。
9月21日,法国布列塔尼菲尼斯泰尔省莫尔莱 (Morlaix)当局在其Facebook账户上发布消息称,该镇成为计算机攻击的受害者。这次攻击完全中断了所有部门的电子邮件服务。不过,物理接待和电话服务未受影响。
该市的网站也仍然可以访问。“不过,处理时间可能会比平时长一些,”市政府表示,并补充说,“正在采取一切措施以迅速恢复正常”,但没有具体说明时间表。
两台服务器受到影响 莫尔莱市市长Jean-Paul Vermot在接受采访中透露 ,详细情况是,在发现入口点仍未知的网络入侵后,“两台受影响的服务器”立即被“停止” 。他说,他按照法律规定向法国国家计算机系统安全局(Anssi)发出了警报。他没有具体说明是否有任何数据被黑客窃取,以及是否会在暗网上发布。
莫尔莱是遭受网络攻击的众多法国城镇中新的一员。最近,雷恩大都会区的一个小镇贝顿(Betton)也遭到了勒索软件的攻击。黑客通过在暗网上发布了2%的被盗数以此来实施威胁。其他例子还包括舍维利-拉鲁埃(Chevilly-Larue)、昂古莱姆(Angoulême)、新莫尔森克斯(Morcenx-la-Nouvelle)和里尔(Lille)。
法国国家计算机系统安全局在其2022年威胁全景图中强调了这一现象,地方政府是继VSE、中小型企业和ETI之后受勒索软件影响最严重的第二类受害者。
重点关注需抵御网络攻击的地方城市 为了彰显地方政府对网络安全的承诺,国家宪兵队、数字信任联盟和公共利益团体Cybermalveillance已经推出了“Commune Cyber Dynamique”(原“Ville Cyber Responsable”)标签。
这个标签并不是为了审核政府当局的网络安全水平,而是为了表彰所有当选代表致力于采取负责任的网络措施的政府当局。
所有希望获得该标签的地方当局,无论其初始水平如何,只要致力于改善网络安全并解决其薄弱环节,都将获得这一称号。
获取“Commune Cyber Dynamique”的四项标准 首先,地方政府需要有自己的”网络卫士“,他是这方面的联络人,是行政部门与公众之间的纽带,尤其是在提高公众意识方面。但有一个条件:这个人不能是市长。
接下来,地方政府当局必须完成由法国国家宪兵队开发的”I.M.M.U.N.I.T.É.Cyber“测试,目的是找出需要解决的漏洞。根据测试结果,地方政府当局将能够正式制定一项行动计划,其中除宣传活动外,还包括针对测试中强调的至少两个”红色“标准的改进措施。
最后,地方政府当局必须缴纳会员费,居民少于499人的城市为100 欧元,居民超过12万人的城市为3000 欧元。然后,作为”持续改进“方法的一部分,标签的保持将取决于其政府所采取的措施。
对社会负责的态度 证书将由Isaia先生担任主席的协会颁发,该协会的董事会成员包括数字信任联盟总代表Yoann Kassianides和网络空间宪兵司令Marc Boget。主席强调说:”这是一项真正具有公民意识的倡议。地方政府掌握着大量公民数据,必须加以保护。”旺代省议会议员菲利普-拉通贝(Philippe Latombe)说:“这些奖项是地方政府致力于解决网络安全问题的积极信号。”
5月中旬,一个被盗的数据库出现在暗网上,内容是《瑞士评论》(Swiss Review)订阅者信息的外部下载链接。这是一份联邦政府杂志,可以让国外的瑞士公民了解本国的最新动态。
这个数据库很全面,它包含超过42.5万个地址,其中40%是邮政地址,60%是电子邮件地址。任何在瑞士注册为海外公民的人都会自动通过电子邮件或邮寄方式收到《瑞士评论》。据外交部称,80万海外瑞士人中只有33万没有选择接受《瑞士评论》——其中包括讲意大利语的瑞士人。
瑞士外交部在处理这些地址时遵守所有数据保护规则,因为这些数据不是自愿提交的,它来自瑞士驻外领事馆。
任何在瑞士注销身份登记的人都有义务向相关瑞士代表处申报其在国外的居住地。这创造了《瑞士评论》的订户基础。
任何人都不能访问 瑞士政府认为这些数据非常敏感,甚至连《瑞士评论》的出版商SwissCommunity都无法获得这些数据。
但是,现在正是这些数据库可以在暗网中找到——或者至少是其中的一部分,具体情况尚不清楚。暗网是互联网中普通计算机用户无法访问的部分。
“联邦外交部不知道实际上有多少数据被窃取。”外交部写道。
联邦数据保护和信息专员阿德里安·洛比格(Adrian Lobsiger)表示:“非自愿收集的数据以这种方式公开,这一事实令人非常遗憾。”他正在呼吁让受影响的人得到通知。
已经提交了一份刑事投诉,网络安全专家正在进行调查。
网络攻击的副产品 但是,这怎么可能发生呢?简单地说,海外瑞士人的425000个地址是对两家瑞士出版社(NZZ出版集团和CH Media)进行勒索攻击的副产品。这两家出版社的数字基础设施是相互联网的。
对这次攻击负责的犯罪组织自称“Play”。这是一个活跃于国际舞台的黑客组织,据说与俄罗斯有联系。2023年5月3日,“Play”在暗网上公布了从瑞士出版集团CH Media窃取的大量数据。
公布窃取的数据是勒索扑克游戏的一部分,这在黑客所谓的勒索软件攻击中很常见。他们的做法冷酷而奸诈。
首先,犯罪分子侵入公司的IT系统。然后他们经常加密受害者的数据。与此同时,他们威胁要公布敏感数据。如果被勒索的公司拒绝支付赎金,数据记录就会发布在暗网上。
受攻击的公司表示,他们尚未支付赎金。
NZZ和CH Media数字生态系统遭受的攻击发生在3月底。据编辑部主任马克·莱托(Marc Lettau)称,《瑞士评论》编辑部也因编辑系统中断而受到了此次攻击的影响。《瑞士评论》也通过其IT基础设施与受到攻击的环境相连。
2023年5月3日,即“Play”公布被盗数据的当天,CH Media通知其IT客户。合作伙伴公司了解到客户数据也受到了影响。此消息也被发送至《瑞士评论》。
到5月中旬,很明显,这些数据包括《瑞士评论》订阅者的详细地址信息。每年六次,当该杂志印刷时,瑞士外交部会将这些数据发送给负责发送《瑞士评论》的印刷公司。
工作流程中的数据保护? 此工作流程中是否有数据保护措施?外交部的回应是:“发送是通过加密的政府文件传输进行的。该流量没有受到影响,没有被黑客攻击,也不是数据被盗的对象。根据政府的数据保护规定,这些数据必须以加密的形式存储在印刷公司。”
目前尚不清楚相关数据库最终是否经过加密。CH Media写道:“我们不对个别客户关系发表评论。”
针对瑞士公司的勒索攻击 外交部上周才发表声明,即在泄密事件发生六周后。其中的核心要点是:除了地址之外,印刷公司不掌握任何个人数据。
显然,外交部几周来一直在努力做出正确的评估和正确的沟通。但专家们确信:“错误不在于政府,”《Inside-IT》杂志主编雷托·沃格特(Reto Vogt)表示。他说,政府以其对数据保护的敏感态度而闻名。“这一特殊案例可能只是运气不好。”
电子投票面临风险? 然而,这次攻击有可能引发有关瑞士电子投票系统的安全争论,该系统于2023年重新推出。新系统的首次试用伴随着瑞士发生的几起网络攻击,引起了人们的关注。
除了勒索出版商之外,“Play”还对瑞士IT公司Xplain发起了一次惊人的攻击。该公司为瑞士司法和警察当局提供软件。
这次勒索软件攻击也导致了敏感数据的发布。受影响的包括军队、联邦海关和边境安全局以及联邦警察。调查仍在进行中,损坏程度尚无法确定。
六月初,另一个黑客团体使瑞士重要网站瘫痪。这次袭击是由亲俄组织NoName发起的,是对乌克兰总统泽连斯基在瑞士议会的视频演示的回应。
许多州的网站以及联邦政府和瑞士证券交易所的网站都受到了攻击。这些攻击的原理是不同的。它们被称为DDoS攻击,包括精心策划的大规模调用流量访问网站,使其不堪重负,导致网站暂时瘫痪。
无论勒索软件攻击和DDoS攻击都与电子投票技术没有直接关系。然而,如果此类攻击频繁发生,就会产生后果。IT企业家格吕特(Franz Grüter)表示:“即使这一事件与电子投票系统没有直接联系,随着每一次额外的网络事件的发生,人们对国家IT系统安全性的信心也会下降。”
“可疑的安全思维” 对于格吕特来说,这些事件“让人们对政府的安全思维产生了怀疑”。格吕特是议会的人民党议员,对电子投票持怀疑态度。他认为这次事件很严重,并指出,在选举年,可购买的包含所有海外瑞士人地址的数据集特别有价值。“有人可以利用它来进行非常有针对性的选举广告。”
瑞士外交部写道,它“不知道这些数据目前是否在暗网上被提供”。
加拿大最大的电信供应商之一Telus正在调查其系统可能遭到的重大破坏,此前一名黑客在暗网论坛上发布了样本,该人声称这些样本是来自该公司的敏感数据。
泄露的数据包括对手声称的员工工资记录样本、该电信公司私有GitHub存储库的源代码以及其他信息。
据报道,在BreachForums上的一篇帖子中,自称为“Seize”的威胁行为者出售一个电子邮件数据库,声称包含Telus每位员工的电子邮件地址。该数据库的价格为7000美元。另一个数据库据称包含电信公司高层管理人员(包括其总裁)的工资单信息,售价为6000美元。
该威胁行为者还以50000美元的价格出售了一个数据集,该人声称该数据集包含属于Telus的1000多个私人GitHub存储库。可供出售的源代码显然包含一个API,该API允许恶意行为者进行SIM卡交换——在这个过程中,攻击者通过将号码转移到自己的SIM卡上来劫持另一个人的手机。
一次完全的泄露? “这是一次完全的泄露,”被指控的黑客在BreachForums的帖子中写道。“您将收到与Telus相关的所有内容”,包括完整的子域列表和活动站点的屏幕截图,该帖子继续说道。目前尚不清楚所谓的攻击者似乎拥有的任何数据是否真实或是否如所声称的那样属于Telus。
Telus发言人Richard Gilhooley称:“我们正在调查有关少量与Telus内部源代码相关的数据和选定的Telus团队成员的信息出现在暗网上的说法。”“我们可以确认,到目前为止,我们在得知该事件后立即展开的调查尚未发现任何公司或零售客户数据。”
暗网是指需要特定浏览器和其他配置才能访问的互联网子集。这个似乎不太受欢迎的网络不仅仅用于非法活动,而且通常被希望逃避监视或执法工作的个人使用。
针对电信运营商的网络攻击越来越多 如果Telus的漏洞如威胁行为者所声称的那样发生,这将是最近针对电信公司的一系列攻击中的最新一起。就在今年年初,攻击者已经攻破了多家大型电信公司,包括澳大利亚最大的三家公司:Optus、Telestra和Dialog。本月早些时候,SentinelOne的研究人员报告称,他们观察到一个以前未知的不良行为者针对中东地区的电信公司,似乎是一场网络间谍活动。
就在上个月,另一家运营商T-Mobile US承认了一起数据泄露事件,其中有人滥用API下载了属于3700万用户的个人信息。这是该网络运营商在五年内发生的第六次安全事故。
分析师认为有几个因素正在推动这一趋势。例如,用于多因素身份验证(MFA)的移动设备的广泛使用和不断增长,使电信公司及其网络成为目标。希望访问在线账户的出于经济动机的网络犯罪分子也开始越来越多地以电信提供商为目标,进行所谓的SIM交换攻击,以劫持手机并拦截用于双因素身份验证的SMS授权。
另一个使电信公司成为重要目标的因素——一个长期存在的因素——是它们为对监视感兴趣的人提供了机会。近年来发生了多起事件,伊朗、土耳其等国家支持的威胁行为者闯入电信网络,窃取通话数据记录以监控目标个人和团体的对话。
针对加拿大零售商的网络攻击越来越多 数据泄露已成为企业和公共部门领域的一个常见特征,近几个月来加拿大零售商遭受的网络攻击越来越多。
2020年,Telsus旗下的另一家公司Medisys Health Group成为勒索软件攻击的受害者,骗子在攻击中窃取了属于约6万名客户的个人信息。
该事件影响了该公司约5%的客户,其中包括姓名、联系信息、省级健康号码和测试结果。该公司当时说,财务信息和社会保险号码没有在这次攻击中被盗。
在Telus再次发起调查之际,连锁书店Indigo证实其在2月8日遭到勒索软件攻击,该攻击泄露了一些前任和现任员工的信息。
加拿大第二大连锁超市Sobeys的母公司Empire Co. Ltd.去年11月遭遇安全漏洞。该事件导致其连锁药店四天内无法配药,而自助结账机、礼品卡使用和忠诚度积分兑换等其他店内功能则关闭了大约一周。
新西兰《先驱报》最新的头条新闻称,新西兰一家主要初级医疗机构遭受网络攻击后,被盗的敏感病人文件和高级数据,已被一个与俄罗斯有联系的勒索软件集团发布到暗网上。
在昨晚的一份声明中,经营数十家北岛全科医生诊所的Pinnacle Midlands健康网络证实,在上周发生“网络事件”后,被盗材料已被上传至暗网网络。
虽然受影响的患者人数尚未公开,但初步报告显示,黑客可能已经获得了多达45万人的信息。
Pinnacle公司首席执行官贾斯汀·布彻(Justin Butcher)告诉《先驱报》,非法获得的信息是由“恶意行为者”上传到暗网上的。
这些信息和数据涉及到Pinnacle集团在怀卡托、湖区、塔拉纳基和泰拉维提地区过去和现在的病人和客户。它还包括塔拉纳基、罗托鲁瓦、陶波-图兰吉、泰晤士-科罗曼德和怀卡托地区的初级保健有限公司(PHCL)的做法。
漏洞中的信息包括与使用医院服务有关的高级数据,与Pinnacle提供的服务有关的索赔信息,以及围绕个别病人的免疫和筛查状态发送给诊所的信息。
Butcher证实:“在过去的24小时里,我们的安全专家通知我们,从我们的IT平台上获取的数据已被恶意行为者发布。”
“我们承认,这将涉及到我们的病人和他们的家族,我们正在认真对待这个问题,我们当前的重点是支持那些可能受到影响的人,并与当局合作,以确保我们正在做我们需要做的一切。”
虽然Pinnacle没有持有全科医生的笔记和咨询记录,但Butcher说公司“现在对被盗数据的广度有了更清楚的了解”。
“这是非常不幸的,我们很伤心,因为这也影响了我们的家庭。像这样的网络事件是一个持续的威胁,虽然它们是恶意行为者的行为,但我们对可能受到影响的每个人都感到同情。”
Pinnacle一直在与警方和隐私专员办公室联系。警方昨天不愿发表评论。
消息人士告诉《先驱报》,一个名为ALPHV的勒索软件团伙,也被称为黑猫,发布了Pinnacle集团旗下一家诊所的病人评估,标有“机密”字样。它还发布了关于预算目标的财务备忘录、电子表格和护照扫描件,以及其他文件,这些文件似乎取自Pinnacle的内部系统。
《先驱报》没有访问ALPHV在暗网上发布的Pinnacle文件,但网络安全行业的一位人士向其展示了屏幕截图。
总部设在新西兰的网络安全公司Emisoft的威胁分析师Brett Callow告诉《先驱报》:“与其他勒索软件操作一样,ALPHV使用发布数据的威胁作为敲诈勒索的额外手段。”
“近年来,世界各地的医疗保健行业越来越成为营利性网络犯罪分子的目标。”
像ALPHV这样的组织经常在暗网上提供数据样本的“尝鲜”,要么迫使受害者支付网络赎金,要么在某些情况下征求数据的投标价格。在其他国家,曾有黑客试图勒索个别病人,以及向医疗机构勒索款项的案例。
ALPHV在8月因其对能源公司的攻击而成为头条新闻,并开创了可搜索的被盗数据在线数据库,以此作为打击受害者的一种方法。
Unit 42是纳斯达克上市的网络安全巨头Palo Alto Networks的一个部门,其董事会包括前总理约翰·基爵士,该部门已将ALPHV成员与俄罗斯联系起来,称该组织使用俄语与其成员或附属机构进行沟通,并且以运营着称在俄罗斯网络犯罪论坛上。
5月,GCSB总干事安德鲁·汉普顿(Andrew Hampton)警告说,新西兰可能成为支持普京的黑客的目标。
如果第一次泄密没有得到回应,通常会有更多敏感数据被泄露到暗网上。这些信息被提供给知情的网络犯罪分子。Pinnacle文件被发布到暗网,谷歌无法搜索,甚至无法通过普通网络浏览器访问,需要特殊的软件Tor浏览器。
该网络攻击发生在9月28日。在10月4日的新闻发布会上,Pinnacle不愿透露它是否正在与黑客进行谈判。
Butcher随后表示,他相信被盗信息可能包括商业和个人的详细信息。同一天晚些时候,他告诉RNZ的Checkpoint,被黑的系统并不包含临床记录。
ALPHV发布的患者档案被标记为“机密神经心理学报告”。它来自Pinnacle集团以外的一个供应商,并详细说明了与一个人的ACC索赔有关的评估。它是为怀卡托的一个病人准备的,是ALPHV所说的来自Pinnacle的文件集的一部分。
Aura信息安全公司的网络安全专家Alastair Millar告诉RNZ,身份被盗的可能性让受影响的人很担心,但Pinnacle对此持开放态度,并指出人们可以使用ID Care支持服务和工具来保护他们的身份。
但Millar表示,黑客可能会寻求大笔资金作为交换,或者在暗网上出售数据,就像去年对怀卡托地区卫生委员会的一次黑客攻击中所做的那样。
他说,通过人们的国家健康保险(NHI)号码和联系信息,黑客可以获得信用卡、贷款或购买礼品卡。
警方建议不要支付网络赎金。他们说,不能保证被盗数据会被销毁或归还(或冻结的系统被解锁),并且付款既资助又激励了此类犯罪。
然而,在新西兰,支付网络赎金并不违法。但政府表示,采取这样的措施会将受害者定为刑事犯罪。
Butcher说,Pinnacle还与司法部支持的ID Care合作,该机构为那些担心自己是身份盗窃受害者的人提供帮助,并可以指导人们完成冻结信用记录的过程。
ID Care已经建立了一个专门针对Pinnacle网络漏洞的页面。人们还可以拨打ID Care的个案管理中心的电话0800 121 068。