Aggregator

近期，美国、澳大利亚和英国制裁了俄罗斯防弹主机（BPH）服务提供商Zservers，原因是该公司为LockBit勒索软件团伙提供必要的攻击基础设施。

该公司的两名主要管理人员是俄罗斯公民，他们也因指导Lockbit虚拟货币交易和支持该团伙的攻击而被指控。

美国外国资产控制办公室（OFAC）表示，加拿大当局在2022年对一家已知的LockBit附属公司的突袭中发现了一台运行虚拟机的笔记本电脑，该虚拟机与Zservers转租的IP地址相连，并运行LockBit恶意软件控制面板。

2022年，一名俄罗斯黑客从Zservers获得了IP地址，这些地址可能与LockBit聊天服务器一起用于协调勒索软件活动，而在2023年，Zservers向LockBit附属公司提供了包括俄罗斯IP地址在内的基础设施。

美国财政部负责恐怖主义和金融情报的代理副部长表示：“勒索软件攻击者和其他网络犯罪分子依靠第三方网络服务提供商（如Zservers）来攻击美国和国际关键基础设施。”并称这些托管服务提供商‘刀枪不入’是一种虚假的营销噱头。网络犯罪分子认为他们有这些服务提供商的保护，然而，一次大规模行动打开并破坏了基础设施。

像ZSERVERS这样的BPH提供商提供一系列可购买的工具来掩盖网络犯罪分子的位置、身份和活动，从而保护和支持网络犯罪分子。以这些供应商为目标可以同时挫败数百或数千名罪犯。

英国外交、联邦和发展办公室还制裁了Zservers在英国的幌子公司XHOST Internet Solutions LP和四名员工，同样因为他们支持LockBit勒索软件攻击。

在这些制裁之后，这三个国家的公民被禁止与被指认的个人和公司进行交易。与他们有关的所有资产也将被冻结，与他们有交易的金融机构和外国实体也可能面临处罚。

在制裁之前，美国国务院为LockBit勒索软件管理员提供了高达1000万美元的奖赏，并为LockBit勒索软件所有者、运营商、管理员和附属机构提供了高达1500万美元的悬赏。

LockBit被逮捕和指控

去年12月，美国司法部还指控一名俄罗斯-以色列双重国籍人士涉嫌开发恶意软件并管理LockBit勒索软件的基础设施。

此前与Lockbit勒索软件有关的网络罪犯的指控和逮捕包括：2023年5月的Mikhail Pavlovich Matveev（又名Wazawaka）， 2024年2月的Artur Sungatov和Ivan Gennadievich Kondratiev（又名Bassterlord），以及2024年5月的Dmitry Yuryevich Khoroshev（又名LockBitSupp和putinkrab）。

今年7月，一俄罗斯公民和加拿大公民也承认，他们作为LockBit的附属机构参与了至少12起勒索软件攻击。

LockBit于2019年9月浮出水面，此后声称与针对全球许多知名实体的攻击有关，包括美国银行、波音公司、大陆汽车巨头、英国皇家邮政和意大利国税局等。

2024年2月，Cronos行动关闭了LockBit的基础设施，并查封了34台服务器，其中包含2500多个解密密钥，后来用于创建免费的LockBit 3.0黑色勒索软件解密器。

Here’s a look at the most interesting products from the past week, featuring releases from Armor, EchoMark, Netwrix, Palo Alto Networks, and Socure. Palo Alto Networks Cortex Cloud applies AI-driven insights to reduce risk and prevent threats Palo Alto Networks introduced Cortex Cloud, the next version of Prisma Cloud, that brings together new releases of its cloud detection and response (CDR) and cloud native application protection platform (CNAPP) capabilities on the unified Cortex platform. Cortex … More →

The post New infosec products of the week: February 14, 2025 appeared first on Help Net Security.

暴力破解攻击是指威胁者尝试使用大量用户名和密码反复登录一个账户或设备，直到找到正确的组合。一旦他们获取到正确的凭证，就可以利用这些凭证劫持设备或访问网络。

据悉，一场动用了近 280 万个 IP 地址的大规模暴力破解密码攻击正在进行，该攻击试图验证包括Palo Alto Networks，Ivanti和Sonicwall在内的众多网络设备的登录凭证。

根据威胁监控平台Shadowserver基金会的说法，自上个月以来，一直有暴力破解攻击在进行，每天使用近 280 万个源 IP 地址来实施这些攻击。这 110 万人中，大多数来自巴西，其次是土耳其、俄罗斯、阿根廷、摩洛哥和墨西哥，但参与该活动的原籍国数量总体上非常多。

这些边缘安全设备，如防火墙、vpn、网关和其他安全设备，通常暴露在互联网上以方便远程访问。进行这些攻击的设备主要是MikroTik、Cisco、Boa的路由器和物联网，这些设备通常会受到大型恶意软件僵尸网络的攻击。

据Shadowserver基金会证实，该活动已经持续了一段时间，但最近捕捉到数量大幅增加。据了解，攻击IP地址分布在许多网络和自治系统中，可能是僵尸网络或与住宅代理网络相关的某些操作。

住宅代理是分配给互联网服务提供商（isp）的消费者的IP地址，这使得它们在网络犯罪、抓取、绕过地理限制、广告验证、倒卖球鞋或门票等方面受到高度追捧。

这些代理通过住宅网络路由互联网流量，使用户看起来像是普通的家庭用户，而不是机器人、数据抓取器或黑客。

网关设备（例如那些被此活动作为目标的设备）可以用作住宅代理操作中的代理出口节点，通过企业网络路由恶意流量。这些节点被认为是“高质量的”，因为有良好的声誉，攻击更难以检测和阻止。

保护边缘设备免受强制攻击的步骤包括将默认管理密码更改为强大且唯一的密码，实施多因素身份验证（MFA），使用受信任ip的允许列表，以及禁用不需要的web管理界面。

最后，在这些设备上应用最新的固件和安全更新对于消除漏洞至关重要，威胁者可以利用这些漏洞获得初始访问权限。

去年4月，Cisco就针对Cisco、CheckPoint、Fortinet、SonicWall和Ubiquiti等全球设备的大规模凭证强制破解活动发出了警告。12月，Citrix还警告了针对Citrix NetScaler设备的密码喷雾攻击。

Overview Recently, NSFOCUS CERT detected that Palo Alto Networks issued a security announcement and fixed the identity bypass vulnerability in PAN-OS (CVE-2025-0108). Due to the problem of path processing by Nginx/Apache in PAN-OS, unauthenticated attackers can bypass authentication to access the management web interface of PAN-OS device and call some PHP scripts, thus obtaining sensitive […]

The post Palo Alto Networks PAN-OS Authentication Bypass Vulnerability (CVE-2025-0108) appeared first on NSFOCUS, Inc., a global network and cyber security leader, protects enterprises and carriers from advanced cyber attacks..

The post Palo Alto Networks PAN-OS Authentication Bypass Vulnerability (CVE-2025-0108) appeared first on Security Boulevard.