近日，暗网里的口水战比较多，”Kirin博客“注意到最近比较活跃的新勒索软件团伙Ransomed.VC宣称与专注于共享数据的网站Breachforums达成合作协议，但BreachForums的负责人断然否认了与 Ransomed.VC合作的情况。 10月7日，暗网勒索软件团伙Ransomed.VC在其暗网网站发布一篇公告形式的博客文章”与Breachforums合作“，该文章公布了Breachforums的暗网与明网网址，并写道，其组织决定与一个他们最初并不相信的论坛（Breachforums）合作，他们曾以为这个项目已经死了，但结果它居然并没有死。 Partnership With Breachforums Our group has decided to partner with a forum we did not really believe into first. We had thoughts the project is dead, but wait, It ISNT. Our team has seen breachforums is keeping their operation way more serious than ever, this means our team will and would use their forum to share. We had a lot of issues finding a forum that wont ban us because the attention it can bring to us. Ransomed在文章里说，他们的团队看到，Breachforums比以往任何时候都更加认真地开展工作，这意味着Ransomed团队将使用Breachforums进行分享。 Ransomed称，他们在寻找一个不会禁止他们的论坛时遇到了很多问题，因为这会给他们带来很多关注。 但是，很快Breachforums网站的管理员Baphomet在网站上专门发布一个主题公告，名为”澄清与本论坛的伙伴关系“，其表示”我想发布这个消息，因为我认为有些媒体对RansomedVC最近发布的消息有误解“。 Baphomet在公告里说，RansomedVC宣布他们已与Breachforums合作，但事实并非如此，Breachforums目前没有与任何团体、论坛等合作。 Baphomet在公告里解释了RansomedVC发布这篇博客文章的背景：在他与RansomedVC的运营者进行了一些交流讨论之后，得知RansomedVC希望在Breachforums社区中活跃起来，但由于RansomedVC团体对Breachforums社区进行了持续的攻击，因此目前还未被允许这样做。Baphomet说，在他们的讨论中，他明确表示，如果要考虑让RansomedVC加入其论坛，RansomedVC就必须真正支持Breachforums，而不是一直攻击。作为回应，RansomedVC发表了一篇博客文章，宣布建立合作伙伴关系，以证明他们是真心实意地积极参与Breachforums的社区活动。背景就是这样的。从RansomedVC向其澄清的情况来看，他们发表博文是为了表明他们有兴趣积极参与Breachforums的社区活动，因为他们在其他几个社区（包括之前在Breachforums社区）都遭到了封禁。 Baphomet在公告里接着表示，他们的社区不是勒索软件社区，他们明确不允许RansomedVC利用他们的论坛进一步勒索/骚扰受害者。Breachforums社区是用来共享数据的，这样人们就可以了解哪些信息被泄露，并相应地使用这些信息。Baphomet称将继续与不同的团体进行交流，看看他们是否适合Breachforums社区，这就是他们应该从中得到的所有启示。他们一直在重新评估他们的论坛应该允许哪些人和哪些事，这类讨论只是其中的一部分。 Baphomet总结说，所以还是那句话，Breachforums与RansomedVC之间没有合作关系。只是讨论Breached是否会考虑允许RansomedVC成为其社区的一部分，尽管Breachforums曾与RansomedVC有过合作。 从Breachforums网站管理员Baphomet的回应看，Baphomet应是希望Breachforums社区能够长远的发展，而不想与勒索软件团伙发生太多的关系。近年来，活跃的勒索软件团伙一直是各国执法机构的眼中钉，并已经有数十人被FBI、国际刑警组织、欧洲刑警组织抓获。 更多暗网新闻动态，请关注“Kirin博客”。...

  香港科技中心数码港Cyberport透露，其员工、前雇员和求职者的一些被盗个人数据出现在暗网上。 数码港于8月中旬发现其系统遭到入侵，并向香港警务处（HKPF）和个人资料私隐专员公署（PCPD）报告。9月6日，数码港检测到暗网上提供的一些信息可能与该事件有关，并联系了可能受影响的人员。 一周后，即9月12日，数码港发布另一份声明，确认数码港现有员工、前雇员和求职者的个人数据，包括姓名、联系方式、人力资源相关数据以及少量信用卡记录，被发布在暗网上。 它还为其直到上周才披露这一事件的决定进行了辩护，因为没有证据表明存在任何滥用个人数据的情况，并且它不想引起任何“不必要的担忧”。 它补充道：“我们随后意识到，暗网上提供的一些信息可能与该事件有关，我们立即于[9月6日]发布公告，并联系了可能受到影响的人员。” 数码港网站上介绍显示，数码港拥有1900多名会员，其中包括800多家场内会员和近1100家场外初创企业和科技公司。该技术中心表示，它已经联系了可能受影响的人员，并将提供免费的身份监控服务。它还设立了专门的网站来提供更多信息。 数码港称，作为恶意入侵的受害者，数码港对于所有形式的网络犯罪行为予以严厉谴责。对于本次事件可能带来不便或关注，他们深表遗憾，并向公众保证，数码港已采取积极果断的措施来加强网络安全。如有疑问，可以与其专责团队联系。 香港警方表示，警方的网络安全和技术犯罪局正在进行调查。 与此同时，个人资料私隐专员公署（PCPD）表示，已收到一名受数据泄露影响的人士提出的询问。隐私监管机构表示已对该事件启动合规调查。 另一方面，创新科技及工业局局长孙东则敦促数码港全面提升对网络系统和敏感数据文件的保护，堵住漏洞，避免类似事件再次发生。孙补充说，过去几周数码港多次遭到攻击，但没有再发生数据泄露事件。 香港互联网协会开放数据工作组黄浩华在评论该事件时表示，数码港对数据泄露事件的反应相当的被动。 “虽然数码港为其不提前披露事件的举动进行了辩解，但它应该在发现网络攻击后立即通知所有潜在的受害者。数码港并不知道数据泄漏的范围和潜在受影响的区域，这是不可接受的。数码港有责任适当通知受害者，并进行根本原因分析。” 黄补充说，数码港被视为香港的旗舰科技中心，此次事件可能会影响本地创新科技行业的形象。 香港资讯科技商会名誉会长方宝侨同意他的观点，他表示，除了已知的事件受害者外，数码港还需要告知其合作单位，让他们采取预防措施。 数码港由香港特别行政区政府全资拥有的香港数码港管理有限公司管理。根据官网的介绍，数码港的愿景是成为数码科技枢纽，为香港缔造崭新经济动力。数码港透过培育科技人才、鼓励年轻人创业、扶植初创企业，致力创造蓬勃的创科生态圈；借着与本地及国际策略伙伴合作，促进科技产业发展；同时加快公私营机构采用数码科技，推动新经济与传统经济融合。 数码港受到的是勒索软件攻击 本月早些时候，网络安全信息平台FalconFeedsio首次披露了这起数据泄露事件，该平台在社交媒体上表示，勒索软件团伙Trigona已将数码港添加到其受害者名单中。 总部位于帕洛阿尔托（Palo Alto）的网络风险咨询公司Unit 42表示，Trigona勒索软件团伙相对较新，于2022年10月下旬首次由安全研究人员发现，涉及制造、金融、建筑、农业、营销和高科技行业的企业或组织受到其攻击影响。 据社交媒体帖子称，该勒索软件团伙表示，它已获得数码港超过400GB的内部数据。 黑客还提出以30万美元出售这些信息。网络专家此前估计，假设一个人的个人数据占用1GB，至少涉及400人的信息。 数码港谴责黑客攻击事件。 “我们正在与我们的法律顾问合作，并一直与执法部门充分合作。我们对这一事件可能造成的任何不便或担忧深表遗憾。” “我们想向公众保证，我们已采取积极果断的措施来加强我们网络的安全。” IT资深人士梁伟峰表示，对于作为高科技中心的数码港来说，此次数据泄露事件“有点尴尬”。 “但数码港其实和其他商业机构一样，他们只是以科技企业家为租户。”他说。 梁表示，这一事件给香港所有企业敲响了警钟，“勒索软件攻击可能随时随地发生”，而且“无法保证”可以避免。 数码港提供的一些问题解释说明 1.有哪些资料受到影响? 被存取的个人资料可能包括：一定数量的个人资料，只限于其名称及联络方法 (电话号码，电邮)员工、前员工及求职者的资料 (包括身份证号码、相片、出生日期、住址、受雇资料、社交媒体帐户、学历及银行户口资料)，以及少量员工及前员工的健康资料少量的信用咭资料2.我应如何确认自己是否受到影响? 如果我们认为您可能受到影响，我们会通知您。 若您认为自己可能受到影响，请与我们联系。 3.若我担心资料可能被盗用，我可如何防范？ 我们鼓励任何相关人士留意其帐户中的任何可疑活动或通知。为审慎起见，您可能希望采取一些额外措施，包括定期更改密码，并确保您不会在多个帐户中使用相同的密码。 4.若我受到影响，应该采取什么措施？ 如果我们认为您可能受到影响，我们会通知您。如果您并未收到通知但仍感担忧，您可以即时通知我们。我们将就个别情况，由专人处理。我们亦鼓励任何相关人士留意其帐户中的任何可疑活动或通知。为审慎起见，您可能希望采取一些额外措施，包括定期更改密码，并确保您不会在多个帐户中使用相同的密码。 5.为什么数码港没有在更早时间公布事件？ 数码港在8月中发现部分电脑档案被加密，已立刻采取措施减低任何潜在影响，包括关闭受影响的电脑设备和在独立的网络安全专家协助下迅速展开详细调查，报警处理及向执法部门寻求协助。数码港亦即时加强网络及系统的安全措施，进一步深化数据安全及保护。即使该事件调查需时，影响范围尚未确定，但我们征询了法律及不同专家的意见，经过多方面的考虑，为审慎起见，数码港决定于8月18日通报个人资料私隐专员公署。‍数码港随后了解到暗网上疑似与该事件有关的资料，随即于9月6日作出公布，并通知可能受到影响的人士。 6.您的运营有受影响吗？ 我们的运营并没有受影响。我们亦即时加强网络及系统的安全措施，进一步深化数据安全及保护。 7.您何时会完成调查？ 我们正非常严肃地处理此事，并聘请了独立的网络安全专家来调查和补救本次事件，并仍在进行中。期间，我们已即时加强网络及系统的安全措施，进一步深化数据安全及保护。 8.您对持分者有什么建议？ 尽管我们没有发现任何持分者受到任何伤害，但是我们鼓励您提高网络安全意识，包括留意网络中的任何可疑活动或通知。 9.身分监察服务供应商会为我提供什么服务？可否提供更多的详情？ 我们将委托第三方服务供应商，为受影响人士提供额外的专业身分监察服务，费用全免。服务详情将于稍后公布。 ...

据报道，西门子能源公司德国慕尼黑和施耐德电气公司法国吕埃尔-马尔迈松这两家关键基础设施行业的工业控制系统（ICS）供应商已被网络犯罪团伙CL0P列为勒索软件受害者，但是否有针对性的攻击尚未得到证实。 该勒索软件团伙（也称为TA505）从2023年5月27日开始利用MOVEit Transfer（一款面向互联网的自动文件传输Web应用程序）中的漏洞，据报道该团伙已经列出了全球数百家公司的名单。据威胁网络安全情报平台FalconFeeds6月27日在推文中称，CL0P勒索软件组织在其暗网泄密网站中将西门子能源、施耐德电气和其他一批实体列为新的受害者。 > CL0P [\#ransomware](https://twitter.com/hashtag/ransomware?src=hash&ref_src=twsrc%5Etfw) group has added five new victims: > > – > – Schneider Electric () > – Siemens Energy () > – UCLA () > – Abbie ()[\#MOVEIT](https://twitter.com/hashtag/MOVEIT?src=hash&ref_src=twsrc%5Etfw) [\#Cl0p](https://twitter.com/hashtag/Cl0p?src=hash&ref_src=twsrc%5Etfw) [\#DarkWeb](https://twitter.com/hashtag/DarkWeb?src=hash&ref_src=twsrc%5Etfw) [\#DeepWeb](https://twitter.com/hashtag/DeepWeb?src=hash&ref_src=twsrc%5Etfw) [\#CyberRisk](https://twitter.com/hashtag/CyberRisk?src=hash&ref_src=twsrc%5Etfw) [pic.twitter.com/mTpLZdCzbW](https://t.co/mTpLZdCzbW) > > — FalconFeedsio (@FalconFeedsio) [June 27, 2023](https://twitter.com/FalconFeedsio/status/1673604012460118016?ref_src=twsrc%5Etfw) 西门子能源公司在一份声明称，它已了解这一预警，并将继续与政府合作伙伴和客户密切合作，以确定这些说法是否属实。“我们拥有一支世界一流的事件响应团队，我们还有一个ProductCERT组织，负责在发生漏洞或攻击事件时进行披露。”一位公司官员指出。 CL0P的阴险手段 CL0P因其使用特定的恶意软件感染MOVEit Transfer的Web应用程序的能力，然后使用该恶意软件从MOVEit Transfer底层数据库窃取数据，而受到美国联邦政府的审查。美国网络安全和基础设施安全局（CISA）和联邦调查局（FBI）在6月7日发布的联合网络安全咨询（CSA）中建议采取行动和缓解措施，以防范先前未知的结构化查询语言（SQL）注入漏洞（CVE-2023-34362）。 CISA表示：“CL0P出现于2019年2月，由CryptoMix勒索软件变体演变而来，在大规模鱼叉式网络钓鱼活动中被用作勒索软件即服务（RaaS），这些活动使用经过验证和数字签名的二进制文件来绕过系统防御。”。 CISA建议采取的防止或减轻影响的步骤包括，统计实体资产和数据清单、仅授予特定的管理权限，以及激活防火墙和路由器等网络基础设施设备上的安全配置。 此外，美国国务院根据正义悬赏的任务，于6月16日悬赏高达1000万美元，奖励那些将CL0P勒索软件团伙或任何其他针对美国关键基础设施的恶意网络行为者与外国政府联系起来的线索。 > Advisory from [@CISAgov](https://twitter.com/CISAgov?ref_src=twsrc%5Etfw), [@FBI](https://twitter.com/FBI?ref_src=twsrc%5Etfw): > > Do you have info linking CL0P Ransomware Gang or any other malicious cyber actors targeting U.S. critical infrastructure to a foreign government? > > Send us a tip. You could be eligible for a reward.[\#StopRansomware](https://twitter.com/hashtag/StopRansomware?src=hash&ref_src=twsrc%5Etfw) [pic.twitter.com/fAAeBXgcWA](https://t.co/fAAeBXgcWA) > > — Rewards for Justice (@RFJ\_USA) [June 16, 2023](https://twitter.com/RFJ_USA/status/1669740545403437056?ref_src=twsrc%5Etfw) 西门子能源公司强调调查正在进行中 ---------------- 西门子能源公司一位官员表示，该公司在工业网络安全方面投入巨资，已立即采取行动，调查小组正在努力核实此次攻击。与大多数行业实体一样，该公司将其官方立场传达给电力信息共享和分析中心（E-ISAC）、北美电力可靠性公司（NERC）的威胁情报共享网络。这位官员表示，西门子能源客户还通过其ProductCERT团队共享信息，该团队管理西门子能源产品、解决方案和服务中所有与安全相关的问题。 这位官员补充道：“随着这些事情的实时发展，我们描述发生了什么以及如何发生的能力将变得更加准确。”“我们正在对CL0P勒索软件组织的帖子进行初步调查和回应。” 这位官员指出，最初的48小时通常涉及“从内部和外部各方收集大量信息，以确保我们如实报告正在发生的情况”。他说：“很可能，在接下来的几天和几周内，更多信息将继续出现，而在幕后，我们将继续直接与我们的行业合作伙伴和客户合作。” OT环境的勒索软件威胁 NERC在其新发布的《2023年可靠性状况》报告中强调了勒索软件对电力行业日益增长的威胁。2022年，虽然没有报告与网络攻击相关的客户或大型电力系统中断的报告，但指定的美国电力可靠性组织（ERO）表示收到了8份网络安全事件报告（CIP-008-6）或攻击尝试。 2022年，勒索软件并未影响大宗电力系统，但E-ISAC警告称，威胁继续针对关键基础设施。联邦实体正在特别关注针对信息技术（IT）和运营技术（OT）环境的勒索软件代码的开发。 NERC指出，勒索软件“继续影响行业和主要供应商”。“虽然经济利益往往是跨国勒索软件团伙的主要动机，但其中一些团伙也可能在俄罗斯等民族国家对手的默许支持下开展活动。” 与此同时，在2022年，联邦调查局收到了800多份来自关键基础设施运营商的勒索软件犯罪投诉。这包括15个来自能源部门的实体，如电力资产所有者和运营商。“顶级勒索软件变种包括LockBit、ALPHV/BlackCat和Hive。勒索软件团伙还针对值得信赖的第三方电力承包商，如工程公司、建筑服务和原始设备制造商。” 该实体表示，E-ISAC在通过全方位公告提高行业对这些事件的认识方面发挥了至关重要的作用。E-ISAC还特别与行业和政府专家合作，制定了“电力行业ICS’ShieldsUp’注意事项”，这是一份针对其成员的通知，旨在协助实体改进对OT恶意软件和勒索软件威胁的响应。此外，CISA最近启动了 #StopRansomware 活动，帮助各种规模的企业和基础设施运营商为此类攻击做好准备。...