0515-美国和加拿大合作在拉脱维亚开展前出狩猎行动-针对VMware ESXi的勒索软件爆发-推特终于推出了加密的直接信息

美国和加拿大合作在拉脱维亚开展“前出狩猎”行动；

标签：美国，加拿大，拉脱维亚

美国网络司令部网络国家任务部队（CNMF）于2月至4月期间向拉脱维亚派遣一支约12人的网络专家团队，并执行了为期3个月的“前出狩猎”任务。此次行动是CNMF第二次在拉脱维亚执行“前出狩猎”任务，也标志美国和加拿大首次在其他国家合作开展网络威胁搜索任务。

此次行动旨在加强拉脱维亚网络以抵御数字攻击，并发现恶意网络行为者的工具和技术。在行动期间，美国网络部队团队与拉脱维亚信息安全事件响应机构CERT.LV以及加拿大网络特别工作组合作，针对拉脱维亚关键基础设施开展了防御性网络威胁搜索，并彼此共享信息和威胁搜索指标。相关网络团队在任务期间发现了恶意软件并对其进行了分析，从而更深入地了解了对手的策略、技术和程序（TTP）。

拉脱维亚信息安全事件响应机构总干事拜巴·卡什金娜表示，此次行动通过防御性网络操作和协作使得拉脱维亚能够阻止网络威胁行为者，增加了恶意网络行为者攻击该国国家基础设施的难度，并加强了各国的集体防御。CNMF指挥官威廉·哈特曼表示，对手经常将美国以外的空间用作网络战术的试验台以及访问美国网络的潜在媒介；美国网络部队通过“前出狩猎”任务提前发现对手的恶意活动，并使合作伙伴能够加强关键系统的防御能力。迄今为止，CNMF已在22个国家执行47次“前出狩猎”任务，在全球70多个网络上开展了搜索行动。

信源：奇安网情局

欧盟拟要求云服务数据在欧盟存储和处理，亚马逊、谷歌、微软等受波及；

标签：欧盟，云服务数据

当地时间5月8日，欧洲网络安全认证小组（ECCG）宣称将对新的《欧盟云服务网络安全认证计划草案》（以下简称“草案”）展开审查。审查将于5月26日召开的ENISA网络安全认证会议上进行。

草案将根据欧盟网络安全法案创建新的认证子类别“high+”，要求云服务数据需在欧盟存储和处理，欧盟以外的任何实体不得直接或间接、单独或共同对申请云服务认证的CSP（云服务提供商）拥有有效控制。

草案内容：

1、亚马逊、谷歌、微软等非欧盟云服务提供商，只能通过与总部位于欧盟的企业进行合作，获得欧盟网络安全标签并处理敏感数据。这些公司的云服务必须在欧盟运营和维护，所有云服务的客户数据都必须在欧盟存储和处理，欧盟法律优先于有关云服务提供商的非欧盟法律。

2、参与该合资企业的美国科技巨头只能持有少数股权，且有权访问欧盟数据的员工必须位于欧盟，并根据特定标准进行筛选。

3、针对特别敏感的个人和非个人数据，如果违规行为可能对公共安全、人类生命健康或知识产权保护产生负面影响，将受到更严格的规制。

美国商会（U.S.Chamber of Commerce）此前曾表示，该计划将美国公司置于不平等的地位。而欧盟表示，这些举措对保护欧盟的数据权利和隐私十分必要。

信源：Euractiv、Reuters

针对VMware ESXi的勒索软件爆发！

标签：VMware ESXi，勒索软件

多个恶意黑客团伙利用2021年9月Babuk（又名Babk或Babyk）勒索软件泄露的源代码，构建了多达9个针对VMware ESXi系统的不同勒索软件家族。

美国安全厂商SentinelOne公司的研究员Alex Delamotte表示，“这些变体在2022年下半年至2023年上半年开始出现，表明对Babuk源代码的利用呈现出上升趋势。”

“在泄露源代码的帮助下，即使恶意黑客缺乏构建攻击程序的专业知识，也能对Linux系统构成威胁。”

许多大大小小的网络犯罪团伙都将目光投向ESXi管理程序。自今年年初以来，已经出现至少三种不同的勒索软件变种——Cylance、Rorschach（又名BabLock）和RTM Locker等，它们都以泄露的Babuk源代码为基础。

SentinelOne最新分析表明，如今这种现象已经愈发普遍，Conti和REvil（又名REvix）等黑客团伙也开始利用Babuk源代码开发更多ESXi勒索软件。

其他将Babuk功能移植进自身代码的勒索软件家族还包括LOCK4、DATAF、Mario、Play和Babuk 2023（又名XVGV）等。

尽管出现了明显的趋势，但SentinelOne公司表示，它没有观察到Babuk同ALPHV、Black Basta、Hive及LockBit的ESXi勒索软件间存在相似之处。该公司还发现，ESXiArgs和Babuk之间同样“几乎没有相似之处”，表明之前的归因可能有误。

Delamotte解释道，“随着越来越多ESXi勒索软件采用Babuk源代码，恶意黑客们有可能会转向该组织基于Go语言开发的NAS勒索软件。在黑客群体之间，Go语言目前仍是个小众选项，但其接受程度正在不断增加。”

这一趋势始于Royal勒索软件的幕后团伙（疑似前Conti成员）扩展攻击工具库，他们曾将针对Linux和ESXi环境的ELF变体纳入自己的武器储备。

Palo Alto Networks旗下安全部门Unit 42发布文章也指出，“ELF变体与Windows变体非常相似，样本没有使用任何混淆技术。包括RSA公钥和赎金记录在内的所有字符串，均以明文形式存储。”

Royakl勒索软件攻击会从各种初始访问向量（如回调钓鱼、BATLOADER感染或窃取凭证等）起步，随后投放Cobalt Strike Beacon以预备执行勒索软件。

自2022年9月出现以来，Royal勒索软件已在其泄露网站上宣称对157家组织的事件负责，其中大多数攻击针对美国、加拿大和德国的制造、零售、法律服务、教育、建筑及医疗服务组织。

信源：https://thehackernews.com/2023/05/babuk-source-code-sparks-9-new.html

瑞士跨国科技公司 ABB 遭 Black Basta 勒索软件攻击，严重影响其业务运营；

标签：瑞士，ABB ，Black Basta，勒索软件

瑞士跨国公司ABB是一家行业领先的电气化和自动化技术提供商。据报道，该公司近日遭遇了Black Basta勒索软件攻击，影响到了其业务运营。

ABB总部位于瑞士苏黎世，拥有约105,000名员工，2022年的收入为294亿美元。作为其服务的一部分，该公司为制造业和能源供应商开发工业控制系统(ICS)和SCADA系统。该公司与很多客户和地方政府合作，包括沃尔沃、日立、DS Smith、纳什维尔市和萨拉戈萨市。

ABB在美国运营着40多家工程、制造、研究和服务设施，并拥有良好的业绩记录，为多种联邦机构提供服务，包括国防部，如美国陆军工程兵团，以及联邦民用机构，如内政部、交通部、能源部、美国海岸警卫队以及美国邮政服务。

5月7日，Black Basta勒索软件对ABB发起了攻击。有多名员工称，勒索软件攻击影响到了该公司的Windows Active Directory，并波及到了数百台设备。

遭到攻击后，ABB中断了与客户的VPN连接，以防止勒索软件传播到其他网络。这次袭击导致该公司的不少项目被推迟，扰乱了该公司的运营及工厂生产周期。

信源：https://www.bleepingcomputer.com/news/security/multinational-tech-firm-abb-hit-by-black-basta-ransomware-attack/

推特终于推出了加密的直接信息，仅限验证的用户；

标签：推特

在埃隆-马斯克（Elon Musk）于2022年11月确认该功能的计划后五个多月，Twitter正式开始在该平台上推出加密直接信息（DMs）的功能。

这一功能的 “第一阶段 “将作为单独对话出现在用户收件箱的旁边。加密的聊天记录会有一个锁定的图标，以便在视觉上加以区分。

选择加入功能目前仅限于经过验证的用户或经过验证的组织及附属机构。此外，发送方和接收方都必须使用Android、iOS和客户端最新版本的Twitter应用程序。

发送和接收加密信息的另一个标准是，收件人必须关注发件人，过去曾向发件人发送过信息，或者在某个时候接受过发件人的直接信息请求。

虽然Twitter没有透露它用来加密对话的确切方法，但该公司表示，它采用了 “强大的加密方案组合 “来加密用户的信息、链接。

Twitter进一步强调，加密的聊天内容储存在其基础设施上时仍然是加密的，只有在接收方的一端才会解密。该实施方案预计将在今年晚些时候开放源代码。

也就是说，目前该项目正在进一步开发中，现在并不支持加密的小组对话，也不允许交换媒体和其他文件附件。其他一些值得注意的限制如下：

• 用户最多只能注册10台设备来发送和接收加密信息。

• 新设备（重新安装Twitter应用程序）不能参与现有的加密对话

• 从Twitter注销将调用所有信息，包括加密的DMs，从当前设备上删除

Twitter还表示，当前的架构不能“提供针对中间人攻击的保护”，并且不保证前向保密，这是一项关键的安全措施，可确保单个会话密钥的泄露不会影响其他会话中共享的数据。

“如果注册设备的私钥被泄露，攻击者将能够解密该设备发送和接收的所有加密消息”。Twitter表示，并补充说它不打算修复限制，而是考虑更好的用户体验。

信源：https://thehackernews.com/2023/05/twitter-finally-rolling-out-encrypted.html