点击上方蓝色文字关注我们

黑客劫持美国自来水公司的工业控制系统

‍

标签：网络攻击，工控安全

据报道，宾夕法尼亚州的一个自来水公司遭受了网络攻击，官员向该地区人民保证饮用水没有受到该事件的影响。

该公司为 Aliquippa 以及 Hopewell、Raccoon 和 Potter 镇部分地区的6600多名客户提供供水和污水处理服务。自来水公司的一名代表表示，受损的系统与一个增压站有关，该增压站监测和调节 Raccoon 镇和 Potter 镇的水压。

警报很快就向 Aliquippa 实用程序发出了入侵警报，并禁用了受感染的系统。供水设施的代表说，目前还没有发现供水和饮用水存在风险。

一个自称为“Cyber Av3ngers”与伊朗有关联的黑客组织，声称对此次袭击负责。反以色列黑客的目标似乎是以色列公司 Unitronics 生产的工业控制系统(ICS)。黑客控制了 Unitronics Vision 系统，该系统是一个可编程逻辑控制器(PLC)，带有集成的人机界面(HMI)。据了解，Unitronics Vision 产品受到严重漏洞的影响，这些漏洞可能会使设备遭受攻击。

另一方面，HMI经常暴露在互联网上，无需身份验证就可以访问，即使是低技能的黑客也很容易将其作为攻击目标。

Cyber Av3ngers组织声称，自10月7日以色列和哈马斯冲突升级以来，他们已经入侵了以色列许多水处理厂的系统。

然而，众所周知，黑客会夸大攻击的影响，甚至会发布虚假数据，并声称这些数据是从目标组织窃取的。

黑客组织经常以ICS为目标，他们很清楚攻击这类设备的潜在影响，这有助于他们吸引更多的注意力。在许多情况下，黑客并不需要成为工业系统专家才能进行攻击。由于HMI通常不受保护，黑客可以很容易地访问它们并更改可能对物理过程产生重大影响的参数。

这类黑客组织的说法往往被夸大了，但安全专家警告称，不应忽视它们。

据 KDKA-TV 报道，宾夕法尼亚州警方已被告知 Aliquippa 自来水公司发生的这起事件，但目前尚不清楚联邦当局是否也参与了调查。针对水务部门的网络攻击并不罕见，美国政府机构 CISA 最近开始向该行业的组织提供免费的漏洞扫描服务。

信源：https://hackernews.cc/archives/47314

GE疑遭黑客攻击，大量军事机密泄漏

标签：信息泄露‍‍‍

信源：https://www.secrss.com/articles/61126

赎金100万$!斯洛文尼亚最大的电力集团公司HSE遭勒索软件攻击

标签：勒索软件攻击

斯洛文尼亚电力公司Holding Slovenske Elektrarne (HSE)遭受勒索软件攻击，其系统和加密文件遭到破坏，该事件并未影响电力生产。该事件于11月22日晚开始，并于11月25日夜间升级，并未危及生产或电力供应。HSE是斯洛文尼亚最大的发电公司，约占国内产量的60%，被认为是该国的关键基础设施。该公司由斯洛文尼亚政府于2001年成立，由国家所有，在全国各地经营着几座水力发电厂、热能发电厂和太阳能发电厂以及煤矿，同时在意大利、塞尔维亚和匈牙利也拥有子公司。该集团还在20多个欧洲国家担任能源贸易商，在国家和欧洲批发市场上向客户出售其生产的电力，并在欧洲各地的各个能源交易所进行电力和衍生品及相关产品的交易。最新消息称赎金100万$，HSE已拒绝。

上周六（11月25日），当地新闻媒体24ur.com首先报道了HSE上周三遭受的勒索软件攻击，该公司最终在11月24日(周五)控制住了攻击。

26日，国家办公厅通报了信息安全办公室，信息安全办公室随后将信息转交给国家安全委员会秘书处业务组。总理内阁也已获悉此事。信息安全办公室主任乌罗什·斯维特告诉媒体，所有发电业务都没有受到大规模网络攻击的影响。尽管如此，IT系统和文件还是被“加密病毒”“锁定”了。

该组织立即通知了Si-CERT的国家网络事件办公室和卢布尔雅那警察局，并与外部专家合作，以减轻攻击并防止病毒传播到斯洛文尼亚的其他系统。

到目前为止，该组织还没有收到赎金要求，但表示现在可能还为时过早，因此他们保持高度警惕，因为系统清理仍在进行中。

HSE于27日表示：“主要电站运营和交易系统已投入运行，与国家电网运营商的连接已恢复，整个通信和IT基础设施将恢复平稳运行，不会产生重大负面后果，前景良好。”

27日，Uroš Svete与HSE总经理tomazov Štokelj发表了一份联合声明，向公众保证情况已得到控制，预计不会因此次事件造成运营中断或重大经济损失。但Uroš Svete强调指出，每次网络攻击都会产生巨大的财务影响。“即使攻击者不索要赎金，一支外包 IT专业人员队伍的成本也不菲，而且该公司没有专注于其核心业务，而是忙于应对攻击并寻找可能被渗透的漏洞。”‍

据发言人说，受损仅限于Šoštanj热电厂和Velenje煤矿的网站。与当地媒体共享的非官方信息将这次攻击归因于Rhysida勒索软件团伙，该团伙最近一直很活跃，促使联邦调查局和CISA发布警告，强调该组织的TTPs(技术，战术和程序)。

如果Rhysida是幕后主使，这也解释了为什么HSE说他们没有收到赎金要求，因为Rhysida的赎金记录中只有一个联系威胁行为者的电子邮件地址，而没有具体说明任何金钱要求。

据报道，勒索软件运营商通过从未受保护的云存储实例中窃取HSE系统的密码来破坏HSE。BleepingComputer无法核实这一信息，并已联系HSE就指控发表声明，仍在等待回应。

另当地媒体24ur于27日的最新报道称，HSE将密码存储在“云”中，攻击者从那里收集密码并锁定访问权限。根据最新的信息，此次攻击的幕后黑手是与外国有联系的攻击者，并使用了Rhysida勒索软件病毒。

信源：http://www.hackdig.com/11/hack-1152234.htm

BlackCat 再次攻击，医疗保健巨头 Henry Schein 35TB 数据被窃

标签：数据泄露，勒索攻击‍‍‍‍‍‍‍‍‍‍‍‍

美国医疗保健公司Henry Schein近日报告称，他们遭到了BlackCat/ALPHV勒索软件团伙的第二次网络攻击，而该团伙在十月份也曾侵入他们的网络。

Henry Schein是一家财富500强的医疗产品和服务提供商，在32个国家拥有运营和关联机构，并且据2022年报告，其收入超过120亿美元。

10月15日，该公司首次报告称其遭遇了攻击，为了避免二次攻击，他们立即关闭了系统，此次攻击对他们的业务产生了影响。

上周三（11月22日），该公司表示又一次遭遇了BlackCat勒索软件的攻击，此次攻击导致公司的应用程序和电子商务平台再次被关闭。

Henry Schein公司方面表示：公司旗下的电子商务平台等应用程序目前无法使用。但订单并未受到影响，该公司将通过其他方式接受订单，并确保继续为客户发货。

昨天（11月27日），该公司透露其美国电子商务平台已恢复正常，并且预计其加拿大和欧洲的平台也将很快恢复在线。

据报道，在受影响的地区，这家医疗服务提供商仍然通过其他渠道接收订单并向客户发货。

BlackCat已连续三次入侵Henry Schein

BlackCat勒索组织将Henry Schein添加到了其暗网泄露网站上，声称已侵入该公司的网络，并窃取了35TB的敏感数据。

BlackCat勒索组织的说法是：由于与Henry Schein的谈判陷入僵局，所以他们在十月底快要恢复系统时重新对公司的设备进行了加密。

自10月15日的入侵事件后，这已经是BlackCat第三次加密Henry Schein的系统并侵入其网络。

BlackCat方面表示：尽管与Henry团队进行了多轮谈判，但他们并未表现出愿意优先考虑客户、合作伙伴和员工的安全的意愿，更不用说保护自己的网络了。

BlackCat决定在其收藏博客上发布该公司的部分的内部工资数据和股东文件，以及其他更多相关机密数据。

BlackCat于2021年11月首次出现，该组织被认为是臭名昭著的DarkSide/BlackMatter团伙的重组。该团伙最初被称为DarkSide，在对Colonial Pipeline实施攻击后引起了全球关注，并引发了广泛的执法调查。

FBI认定BlackCat勒索组织与2021年11月至2022年3月期间全球范围内影响组织的60多起入侵事件都有所关联。

信源：‍https://hackernews.cc/archives/47309

声 明

一键四连

原文始发于微信公众号（网络盾牌）：1129-黑客劫持美国自来水公司的工业控制系统