假冒Clop勒索软件，新型诈骗试图敲诈勒索企业

美国司法部（DOJ）近日宣布，涉嫌参与开发LockBit勒索软件的嫌疑人Rostislav Panev已被成功引渡至美国接受审判。

51岁的Panev拥有俄罗斯和以色列双重国籍，去年在以色列被捕。据法庭文件显示，Panev自2019年LockBit成立以来直至2024年2月一直担任该组织的开发者。在此期间，LockBit发展成为世界上最活跃和破坏性最强的勒索软件组织之一，声称在至少120个国家造成超过2500个受害者，其中1800个在美国。LockBit从受害者那里勒索了至少5亿美元的赎金，并造成了数十亿美元的其他损失。

执法部门在Panev的电脑上发现了多个版本LockBit构建器的源代码，以及用于数据窃取的StealBit工具的源代码。此外，还发现了LockBit控制面板的访问凭证。美国当局声称，在2022年6月至2024年2月期间，LockBit的主要管理员通过加密货币混合服务向Panev的加密货币钱包每月转账约1万美元，总计超过23万美元。Panev在被捕后承认为LockBit组织进行编码、开发和咨询工作，并定期收到加密货币付款。

安全研究员Yohanes Nugroho近日发布了一款针对Linux版Akira勒索软件的解密工具，该工具利用GPU算力来检索解密密钥，免费解锁被加密文件。

这款解密工具的工作原理不同于传统解密工具。它通过暴力破解每个文件的唯一加密密钥，利用了Akira加密器基于当前时间（纳秒级）作为种子生成加密密钥的特点。Akira勒索软件使用四个不同的纳秒精度时间戳种子，通过1500轮SHA-256哈希动态生成每个文件的唯一加密密钥。由于时间戳精度高，每秒可能有超过10亿个可能值，使暴力破解变得困难。此外，Akira在Linux上使用多线程同时加密多个文件，增加了确定使用时间戳的难度。

Nugroho通过查看日志文件缩小了需要暴力破解的可能时间戳范围。他最终使用了RunPod和Vast.ai云GPU服务，利用16个RTX 4090 GPU在约10小时内暴力破解出解密密钥。

该解密工具已在GitHub上发布，附有使用说明。Nugroho表示，GPU专家可能还能进一步优化代码，提高性能。使用者在尝试解密文件时，应备份原始加密文件，以防使用错误的解密密钥导致文件损坏。

网络安全公司 Tenable Research 的一项新分析显示，DeepSeek R1可以被操纵来生成恶意软件，包括键盘记录器和勒索软件。

Tenable 的研究团队着手评估 DeepSeek 创建有害代码的能力。他们重点研究了两种常见的恶意软件：键盘记录器（秘密记录键盘输入）和勒索软件（加密文件并要求付费才能释放）。Tenable 的研究人员采用了一种“越狱”技术，通过将请求框定为“教育目的”来欺骗人工智能，以绕过这些限制。

研究人员利用了 DeepSeek 功能的一个关键部分：其“思维链”（CoT）能力。此功能允许人工智能逐步解释其推理过程，就像有人在解决问题时大声思考一样。通过观察 DeepSeek 的 CoT，研究人员深入了解了人工智能如何进行恶意软件开发，甚至认识到需要使用隐身技术来避免被发现。

Tenable 在周四发布之前与 Hackread.com 分享的技术报告解释道：“DeepSeek 可以创建恶意软件的基本结构。但是，如果没有额外的快速工程以及手动代码编辑来实现更高级的功能，它就无法做到这一点。”

3月15日晚间，3·15晚会曝光了“大数据获客软件”窃取消费者隐私信息的行业乱象。

据央视财经报道，一家名为云企智能科技的公司负责人展示了他们销售的“云客引流”获客软件，其中消费者常用的短视频、综合信息、导航、购物等App一应俱全。

一位姓樊的业务经理表示，这个获客软件能够将商家想要的关键词设为标签，设定后，软件就会自动在刚才选择的短视频平台上扫描评论区。一旦发现与设定标签词相关的评论，这款软件就会在短视频平台和用户不知情的情况下，强行抓取这个用户的电话、微信账号等联系方式。不仅如此，使用这款获客软件，还能监控和偷取自己同行的直播带货数据。

被曝光的另一家绿信科技有限公司旗下的“点点蚁”获客软件，也是通过短视频平台，偷偷强行抓取用户个人信息。现场演示可以看到，不到1分钟就轻松抓取了6个客户信息。这6位客户的信息且都独立以txt格式存在手机上，不仅有联系电话，还显示有微信号码。

据报道，云企智能和绿信科技这两家公司销售的获客软件，名字虽然不同，但都是使用了爬虫技术，嵌入到各大知名互联网平台上，偷取消费者个人信息的。

据外媒 TechCrunch 本周二报道，勒索软件团伙 Hunters International 近日发布了其声称从塔塔技术公司（Tata Technologies）窃取的部分数据，时隔一个多月后，塔塔确认了去年发生的勒索软件攻击，该攻击曾导致部分服务中断。

泄露的数据已发布在该团伙的暗网泄密网站上，内容包括塔塔技术公司部分员工的个人信息和机密数据，如采购订单和公司与印度及美国客户的合同。

团伙称，这一数据集包含超过 73 万个文档，涵盖 Excel 表格、PowerPoint 文件和 PDF 文件，文件总大小约为 1.4TB。

塔塔技术公司曾在 1 月底向印度证券交易所通报，表示此次勒索软件攻击影响了公司的部分 IT 资产，但声明称其客户服务并未受到影响，保持正常运营。

一次复杂的供应链攻击已经危及全国 100 多家汽车经销店，无数访客面临恶意软件感染的风险。

此次攻击利用了汽车经销商专门使用的共享视频服务，注入恶意代码，将毫无戒心的用户重定向到欺诈性网页，旨在在其系统上安装危险的 SectopRAT 远程访问木马。

最初的入侵并非发生在经销商自己的网站上，而是通过汽车行业常用的第三方视频服务发生。

受影响经销商网站的访问者在不知不觉中接触到了恶意 JavaScript，这些恶意 JavaScript 可能会将访问者重定向到诱骗页面并促使其进行交互。

具体被感染的文件被标识为“les_video_srp.js”，其中包含用于加载其他恶意内容的混淆代码。此次攻击显示出其社会工程方法的复杂性，让受害者相信他们只是在完成标准验证过程，而实际上他们正在安装危险的恶意软件。

微软安全研究团队近日披露，威胁组织Storm-1865正在对酒店业发起一波新型钓鱼攻击。这次攻击模仿知名旅游网站Booking.com，主要针对在Booking.com注册的酒店企业。攻击者的最终目标似乎是窃取财务账户和登录凭证。

这次攻击最引人注目的是其使用了一种名为"ClickFix"的技术。受害者会看到一个伪造的错误消息弹窗或通知，指示用户访问某个网站或复制粘贴一条命令，从而导致漏洞利用或直接下载恶意软件包。这种攻击方式不仅能以看似来自操作系统的官方通知让用户措手不及，还能以一种可能绕过许多反恶意软件工具检测的方式执行攻击。

钓鱼邮件本身采取多种形式，但都伪装成来自Booking.com。诱饵包括不良评论通知和账户验证警报等。当目标点击邮件中的链接后，会被重定向到一个提供虚假弹窗的网站。在这个案例中，弹窗伪装成一个CAPTCHA测试。测试指示受害者复制一串文本并使用Windows运行命令执行。此时，恶意软件就会被下载并执行。

Barracuda Networks的研究人员近日发现，一些诈骗者正在冒充臭名昭著的Clop勒索软件团伙，试图敲诈勒索企业。

在这次冒充Clop的勒索邮件中，攻击者声称他们利用了文件传输公司Cleo的一个漏洞，获得了未经授权的网络访问权限，并从服务器上下载和窃取了数据。为增加可信度，他们还附上了一篇媒体博客文章的链接，报道称Clop使用这种方法从66个Cleo客户那里窃取了数据。然而，这封邮件明显缺少真正的Clop勒索要求中常见的元素，如48小时付款期限、用于赎金谈判的安全聊天频道链接，以及部分被泄露数据的公司名称等。这些细节的缺失表明，这很可能是一个骗局。

除了冒充Clop的诈骗活动，Barracuda的3月份电子邮件威胁雷达报告还发现了其他旨在逃避传统安全防御的钓鱼活动。其中包括使用LogoKit钓鱼即服务平台分发的恶意邮件，这些邮件声称需要紧急重置密码。研究人员还报告，可缩放矢量图形（SVG）附件在钓鱼攻击中的使用持续增加。SVG文件因其能够包含嵌入式脚本而不被安全工具视为可疑，正成为传递恶意负载的流行方法。

GitLab近日发布安全更新，修复了社区版（CE）和企业版（EE）中的多个漏洞，其中包括两个被评为严重级别的ruby-saml身份验证绕过漏洞，分别被追踪为CVE-2025-25291和CVE-2025-25292。这两个漏洞已在GitLab CE/EE版本17.7.7、17.8.5和17.9.2中得到修复，GitLab.com也已完成修补。

根据GitLab发布的安全公告，这两个漏洞存在于GitLab使用的ruby-saml库中，当启用SAML SSO身份验证时可能被利用。在某些情况下，拥有来自IdP的有效签名SAML文档的攻击者可以冒充环境SAML IdP中的其他有效用户进行身份验证。这意味着攻击者可以利用单个有效签名构造SAML断言，从而以任何用户的身份登录，potentially leading to账户接管攻击。

GitLab Dedicated客户将自动收到更新，而自管理用户需要手动应用更新。GitLab强烈建议所有受影响版本的用户尽快升级到最新版本。

近日，国家互联网信息办公室、工业和信息化部、公安部、国家广播电视总局联合发布《人工智能生成合成内容标识办法》（以下简称《标识办法》），自2025年9月1日起施行。

《标识办法》明确，人工智能生成合成内容标识主要包括显式标识和隐式标识两种形式。《标识办法》要求，服务提供者提供的生成合成服务属于《互联网信息服务深度合成管理规定》第十七条第一款情形的，应当按照要求对生成合成内容添加显式标识；服务提供者应当按照《互联网信息服务深度合成管理规定》第十六条的规定，在生成合成内容的文件元数据中添加隐式标识；提供网络信息内容传播服务的服务提供者应当采取技术措施，规范生成合成内容传播活动。

《标识办法》强调，任何组织和个人不得恶意删除、篡改、伪造、隐匿本办法规定的生成合成内容标识，不得为他人实施上述恶意行为提供工具或者服务，不得通过不正当标识手段损害他人合法权益。

配套《标识办法》，强制性国家标准《网络安全技术 人工智能生成合成内容标识方法》已正式批准发布，2025年9月1日与《标识办法》同步实施。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外 天际友盟

本文版权归原作者所有，如有侵权请联系我们及时删除