每日安全简讯(20230509)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 新的Cactus勒索软件通过自我加密来规避检测

一种名为Cactus的新型勒索软件一直在利用VPN设备中的漏洞对“大型商业实体”的网络进行初始访问。Cactus勒索软件行动至少从3月开始就一直活跃，并正在索求受害者的大笔赎金。虽然新的威胁行为者采用了勒索软件攻击中常见的策略——文件加密和数据盗窃，但它增加了自己的手段来避免被发现。Cactus与其他勒索软件的不同之处在于使用加密来保护勒索软件二进制文件。攻击者使用批处理脚本通过7-Zip获取加密器二进制文件。Cactus勒索软件存在三种主要的执行模式，每种模式都使用特定的命令行开关进行选择：设置(-s)、读取配置(-r)和加密(-i)。-s和-r参数允许威胁参与者设置持久化并将数据存储在C:\ProgramData\ntuser.dat文件中，加密器稍后在使用-r命令行参数运行时读取该文件。

https://www.bleepingcomputer.com/news/security/new-cactus-ransomware-encrypts-itself-to-evade-antivirus/

---

2 新的勒索软件Akira针对多家企业发起网络攻击

新的Akira勒索软件团伙慢慢地建立了一份受害者名单，因为他们破坏了全球的公司网络，加密文件，然后要求数百万美元的赎金。Akira于2023年3月推出，声称已经对16家公司进行了攻击。这些公司分布在各个行业，包括教育、金融、房地产、制造和商业咨询。与其他勒索软件操作一样，Akira会破坏公司网络并横向传播到其他设备。一旦威胁行为者获得Windows域管理员凭据，他们就会在整个网络中部署勒索软件。然而，在加密文件之前，威胁行为者会窃取公司数据以进行勒索，并警告受害者如果不支付赎金，这些数据将被公开。Akira团伙在他们的数据泄露站点上投入了大量精力，使其具有复古外观，访问者可以通过键入命令来浏览它。

https://www.bleepingcomputer.com/news/security/meet-akira-a-new-ransomware-operation-targeting-the-enterprise/

---

3 圣贝纳迪诺县治安部门支付了110万美元的赎金

圣贝纳迪诺县治安部门证实，在4月份的勒索软件攻击事件发生后，它已经支付了110万美元的赎金。勒索软件攻击迫使警察局暂时关闭了部分系统，以防止威胁蔓延。受影响的系统包括电子邮件、车载计算机和一些执法数据库。袭击发生在4月7日，执法部门立即对事件展开调查，以确定袭击的范围。据《洛杉矶时报》报道，圣贝纳迪诺县支付了赎金总额的一半（511852美元），其余部分由保险公司承担。支付赎金是为了“恢复系统的全部功能并保护与违规行为有关的任何数据。”尽管FBI和执法机构一直建议不要在这些攻击中支付赎金，但在这种情况下，该部门选择支付赎金的可能性很大，因为他们没有其他方法来恢复加密系统或避免泄露敏感数据。

https://securityaffairs.com/145892/cyber-crime/san-bernardino-county-sheriff-paid-ransom.html

---

4 西部数据称黑客在三月份的网络攻击中窃取了客户数据

在确认黑客在三月份的网络攻击中窃取了敏感的个人信息后，西部数据已将其商店下线并向客户发送数据泄露通知。该公司通过电子邮件发送了数据泄露通知，警告说客户的数据存储在攻击期间被盗的西部数据数据库中。西部数据表示：“根据调查，我们最近了解到，在2023年3月26日前后，未经授权的一方获得了西部数据数据库的副本，其中包含我们在线商店客户的有限个人信息。”这些信息包括客户姓名、账单和送货地址、电子邮件地址和电话号码。该公司预计将于2023年5月15日恢复对商店的访问。

https://www.bleepingcomputer.com/news/security/western-digital-says-hackers-stole-customer-data-in-march-cyberattack/

---

5 FBI没收盗版电子书网站Z-Library使用的多个域名

联邦调查局(FBI)没收了盗版电子书网站Z-Library使用的多个域。Z-Library是世界上最大的盗版电子书网站，并声称提供超过1100万本电子书供下载。该图书馆自2009年以来一直活跃，它提供各种文件格式的电子书文件，剥夺了版权保护。Z-Library作为一个由大约249个相互关联的Web域组成的复杂网络运行。 当局没收的域名列表包括singlelogin.me，用于为该服务注册新帐户。该库仍然可以通过TOR和I2P网络访问。

https://securityaffairs.com/145854/cyber-crime/z-library-domains-seized.html

---

6 芬兰媒体通过新的CS:GO地图传播俄乌消息

Helsingin Sanomat创建了一张定制的反恐精英：全球攻势(CS:GO)地图，明确用于绕过俄罗斯新闻审查并向俄罗斯玩家走私有关乌克兰战争的信息。CS:GO是世界上最受欢迎的第一人称射击游戏之一，是Steam上玩得最多的游戏。CS:GO尤其受到俄罗斯玩家的喜爱，据报道俄罗斯玩家约占该游戏玩家总数的十分之一。到目前为止，它还逃脱了俄罗斯的审查机制，允许来自该国的用户登录 CS:GO服务器并不受限制地享受他们的比赛。

https://www.bleepingcomputer.com/news/security/new-cs-go-map-bypasses-russias-censorship-of-ukraine-war-news/

---