Akira勒索软件解密工具出炉，GitHub上已发布；LockBit核心开发者落网，Panev被引渡至美国受审 | 牛览

•《人工智能生成合成内容标识办法》发布，9月1日起施行

•2项网络安全国家标准获批发布

•LockBit核心开发者落网，Panev被引渡至美国受审

全球Wi-Fi网络安全告急，94%无法抵御解除认证攻击

•Akira勒索软件解密工具出炉，GitHub上已发布

•ClickFix钓鱼攻击新手法瞄准酒店业，冒充Booking.com实施精准诈骗

•假冒Clop勒索软件，新型诈骗试图敲诈勒索企业

•GitLab紧急修复严重身份验证漏洞，或致大规模账户接管风险

•第十八届全国大学生信息安全竞赛（创新实践能力赛）暨第二届“长城杯”铁人三项赛（防护赛）半决赛成功举办

近日，国家互联网信息办公室、工业和信息化部、公安部、国家广播电视总局联合发布《人工智能生成合成内容标识办法》（以下简称《标识办法》），自2025年9月1日起施行。

《标识办法》明确，人工智能生成合成内容标识主要包括显式标识和隐式标识两种形式。《标识办法》要求，服务提供者提供的生成合成服务属于《互联网信息服务深度合成管理规定》第十七条第一款情形的，应当按照要求对生成合成内容添加显式标识；服务提供者应当按照《互联网信息服务深度合成管理规定》第十六条的规定，在生成合成内容的文件元数据中添加隐式标识；提供网络信息内容传播服务的服务提供者应当采取技术措施，规范生成合成内容传播活动。

《标识办法》强调，任何组织和个人不得恶意删除、篡改、伪造、隐匿本办法规定的生成合成内容标识，不得为他人实施上述恶意行为提供工具或者服务，不得通过不正当标识手段损害他人合法权益。

配套《标识办法》，强制性国家标准《网络安全技术 人工智能生成合成内容标识方法》已正式批准发布，2025年9月1日与《标识办法》同步实施。

原文链接：
https://mp.weixin.qq.com/s/lqz7fy7TIF6PKCsrpWlZyg

根据2025年2月28日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告（2025年第4号），全国网络安全标准化技术委员会归口的2项国家标准正式发布。具体清单如下：

原文链接：

https://mp.weixin.qq.com/s/7SUkFsjqgJRMM6Hvq7tXbA

美国司法部（DOJ）近日宣布，涉嫌参与开发LockBit勒索软件的嫌疑人Rostislav Panev已被成功引渡至美国接受审判。

51岁的Panev拥有俄罗斯和以色列双重国籍，去年在以色列被捕。据法庭文件显示，Panev自2019年LockBit成立以来直至2024年2月一直担任该组织的开发者。在此期间，LockBit发展成为世界上最活跃和破坏性最强的勒索软件组织之一，声称在至少120个国家造成超过2500个受害者，其中1800个在美国。LockBit从受害者那里勒索了至少5亿美元的赎金，并造成了数十亿美元的其他损失。

执法部门在Panev的电脑上发现了多个版本LockBit构建器的源代码，以及用于数据窃取的StealBit工具的源代码。此外，还发现了LockBit控制面板的访问凭证。美国当局声称，在2022年6月至2024年2月期间，LockBit的主要管理员通过加密货币混合服务向Panev的加密货币钱包每月转账约1万美元，总计超过23万美元。Panev在被捕后承认为LockBit组织进行编码、开发和咨询工作，并定期收到加密货币付款。

目前，包括Panev在内的七名LockBit成员已在新泽西州被起诉。其中两名成员已认罪并等待判刑，另有四名成员仍然在逃。

原文链接：

https://thecyberexpress.com/lockbit-ransomware-developer-extradited-to-us/

Nozomi Networks Labs最新报告显示，在全球超过50万个无线网络中，仅有6%能够充分防御无线解除认证攻击。这一惊人发现凸显了包括关键基础设施在内的大多数无线网络面临的严重安全风险。

报告指出，工业无线环境面临的主要威胁包括：

1. 解除认证攻击：利用网络协议漏洞强制断开设备连接，干扰操作并为进一步攻击创造机会；

2. 恶意接入点：攻击者设置未经授权的设备模仿合法网络，诱骗设备连接；

3. 窃听：拦截未加密的无线通信，窃取凭证或敏感数据；

4. 干扰攻击：恶意行为者通过干扰无线信道来中断通信。

报告显示，在2024年下半年，48.4%观察到的网络威胁警报发生在网络杀伤链的影响阶段，特别是在制造、交通、能源、公用事业和水/废水处理行业。命令与控制（C&C）技术紧随其后，占所有观察到的警报的25%。这表明对手已经渗透到关键基础设施系统中，并试图保持对访问的控制。

在漏洞方面，研究人员发现2024年下半年公布的619个新漏洞中，71%被归类为严重级别。其中20个漏洞具有高漏洞利用预测评分系统（EPSS）分数，表明未来被利用的可能性很高。此外，已经观察到4个漏洞在野外被积极利用。

原文链接：

https://www.helpnetsecurity.com/2025/03/14/wi-fi-networks-deauthentication-attacks/

安全研究员Yohanes Nugroho近日发布了一款针对Linux版Akira勒索软件的解密工具，该工具利用GPU算力来检索解密密钥，免费解锁被加密文件。

这款解密工具的工作原理不同于传统解密工具。它通过暴力破解每个文件的唯一加密密钥，利用了Akira加密器基于当前时间（纳秒级）作为种子生成加密密钥的特点。Akira勒索软件使用四个不同的纳秒精度时间戳种子，通过1500轮SHA-256哈希动态生成每个文件的唯一加密密钥。由于时间戳精度高，每秒可能有超过10亿个可能值，使暴力破解变得困难。此外，Akira在Linux上使用多线程同时加密多个文件，增加了确定使用时间戳的难度。

Nugroho通过查看日志文件缩小了需要暴力破解的可能时间戳范围。他最终使用了RunPod和Vast.ai云GPU服务，利用16个RTX 4090 GPU在约10小时内暴力破解出解密密钥。

该解密工具已在GitHub上发布，附有使用说明。Nugroho表示，GPU专家可能还能进一步优化代码，提高性能。使用者在尝试解密文件时，应备份原始加密文件，以防使用错误的解密密钥导致文件损坏。

原文链接：

https://www.bleepingcomputer.com/news/security/gpu-powered-akira-ransomware-decryptor-released-on-github/

微软安全研究团队近日披露，威胁组织Storm-1865正在对酒店业发起一波新型钓鱼攻击。这次攻击模仿知名旅游网站Booking.com，主要针对在Booking.com注册的酒店企业。攻击者的最终目标似乎是窃取财务账户和登录凭证。

这次攻击最引人注目的是其使用了一种名为"ClickFix"的技术。受害者会看到一个伪造的错误消息弹窗或通知，指示用户访问某个网站或复制粘贴一条命令，从而导致漏洞利用或直接下载恶意软件包。这种攻击方式不仅能以看似来自操作系统的官方通知让用户措手不及，还能以一种可能绕过许多反恶意软件工具检测的方式执行攻击。

钓鱼邮件本身采取多种形式，但都伪装成来自Booking.com。诱饵包括不良评论通知和账户验证警报等。当目标点击邮件中的链接后，会被重定向到一个提供虚假弹窗的网站。在这个案例中，弹窗伪装成一个CAPTCHA测试。测试指示受害者复制一串文本并使用Windows运行命令执行。此时，恶意软件就会被下载并执行。

微软表示，虽然Storm-1865组织活跃了大约两年，但ClickFix技术是该网络犯罪团伙首次使用。这表明Storm-1865正在不断演进其攻击链，试图突破常规的钓鱼和恶意软件防御措施。

原文链接：

https://www.scworld.com/news/clickfix-campaign-targets-hospitality-firms-with-phishing-attacks

Barracuda Networks的研究人员近日发现，一些诈骗者正在冒充臭名昭著的Clop勒索软件团伙，试图敲诈勒索企业。

在这次冒充Clop的勒索邮件中，攻击者声称他们利用了文件传输公司Cleo的一个漏洞，获得了未经授权的网络访问权限，并从服务器上下载和窃取了数据。为增加可信度，他们还附上了一篇媒体博客文章的链接，报道称Clop使用这种方法从66个Cleo客户那里窃取了数据。然而，这封邮件明显缺少真正的Clop勒索要求中常见的元素，如48小时付款期限、用于赎金谈判的安全聊天频道链接，以及部分被泄露数据的公司名称等。这些细节的缺失表明，这很可能是一个骗局。

除了冒充Clop的诈骗活动，Barracuda的3月份电子邮件威胁雷达报告还发现了其他旨在逃避传统安全防御的钓鱼活动。其中包括使用LogoKit钓鱼即服务平台分发的恶意邮件，这些邮件声称需要紧急重置密码。研究人员还报告，可缩放矢量图形（SVG）附件在钓鱼攻击中的使用持续增加。SVG文件因其能够包含嵌入式脚本而不被安全工具视为可疑，正成为传递恶意负载的流行方法。

这些新型攻击手法的出现，再次提醒企业和个人需要提高警惕，加强安全意识培训，并采取更先进的安全措施来应对不断演变的网络威胁。

原文链接：

https://www.infosecurity-magazine.com/news/fraudsters-clop-ransomware-extort/

GitLab近日发布安全更新，修复了社区版（CE）和企业版（EE）中的多个漏洞，其中包括两个被评为严重级别的ruby-saml身份验证绕过漏洞，分别被追踪为CVE-2025-25291和CVE-2025-25292。这两个漏洞已在GitLab CE/EE版本17.7.7、17.8.5和17.9.2中得到修复，GitLab.com也已完成修补。

根据GitLab发布的安全公告，这两个漏洞存在于GitLab使用的ruby-saml库中，当启用SAML SSO身份验证时可能被利用。在某些情况下，拥有来自IdP的有效签名SAML文档的攻击者可以冒充环境SAML IdP中的其他有效用户进行身份验证。这意味着攻击者可以利用单个有效签名构造SAML断言，从而以任何用户的身份登录，potentially leading to账户接管攻击。

GitLab Dedicated客户将自动收到更新，而自管理用户需要手动应用更新。GitLab强烈建议所有受影响版本的用户尽快升级到最新版本。

除了这两个严重漏洞外，GitLab还修复了其他七个中低危漏洞，涉及拒绝服务、凭证泄露和权限提升等问题。对于无法立即更新的用户，GitLab建议启用双因素身份验证、禁用SAML双因素绕过，并要求管理员批准新用户。

原文链接：

https://securityaffairs.com/175370/security/gitlab-addressed-critical-flaws-in-ce-and-ee.html

3月16日，由中央网络安全和信息化委员会办公室、教育部、国家市场监督管理总局、国家数据局指导，中国信息安全测评中心和北京师范大学、中国电信集团有限公司、中国移动通信集团有限公司联合主办的第十八届全国大学生信息安全竞赛（创新实践能力赛）暨第二届“长城杯”铁人三项赛（防护赛）半决赛，在天津、浙江、广东、四川和陕西五大赛区同步举办。

本届大赛以“智能防护，开启数字安全新时代”为主题，面向高等院校全日制在校学生开展，共有326所高校、500支队伍的1943名学生参赛。半决赛采取实战化的攻防对抗（AWDP）与综合渗透（ISW）双赛道设计，共有80支队伍晋级第十八届全国大学生信息安全竞赛（创新实践能力赛）总决赛。同时，根据半决赛各赛区的成绩排名，各赛区前20支队伍（全国共100支队伍）晋级第二届“长城杯”铁人三项赛（防护赛）决赛。

原文链接：

https://mp.weixin.qq.com/s/jy3c472Qc_JT3q48fuxP5A