安全威胁情报周报(07.05~07.11) – 作者:Threatbook-安全小百科

一周情报摘要

金融威胁情报

比特币网站 Bitcoin.org 遭到 DDoS 攻击

美国保险巨头 AJG 遭到勒索软件攻击，数据发生泄露

南非保险服务提供商 QSure 数据遭泄漏

政府威胁情报

新南威尔士州教育部遭到网络攻击

俄罗斯黑客组织入侵美国共和党全国委员会计算机系统

波兰多名国会议员电子邮件账户遭到黑客入侵

能源威胁情报

针对能源行业的全球网络钓鱼活动

石油公司bp发布2020年《bp世界能源统计年鉴》报告

电力合作社 WES 遭到勒索软件攻击

国家发改委、能源局联合发布关于做好新能源配套送出工程投资建设有关事项的通知

工控威胁情报

趋势科技发布《2020年ICS端点威胁报告》

流行威胁情报

拉丁美洲的间谍活动“Bandidos ”

谷歌商店下架多个窃取 FaceBook 密码的木马 App

高级威胁情报

SideCopy APT 组织武器库的演变

Lazarus 组织攻击活动中 TTP 的演变

俄罗斯威胁组织 APT28 发起暴力攻击活动

Confucius APT组织攻击活动分析

漏洞情报

QNAP 发布NAS 备份、灾难恢复应用程序中严重漏洞的补丁

勒索专题

美国水务公司 WSSC Water 遭到勒索软件攻击

美国化学品分销商遭到 DarkSide 勒索软件攻击

勒索软件攻击可能泄露了超过 16,000 名工人的信息

Diavol ：疑似归因于 Wizard Spider 犯罪集团的勒索软件

【金融威胁情报】

比特币网站 Bitcoin.org 遭到 DDoS 攻击

Tag：比特币，DDoS

事件概述：

近日，用户名为 Cøbra 在 Twitter 上发表推文称，比特币网站 Bitcoin.org 遭受到大规模的 DDoS 攻击并被要求支付数额不详的比特币赎金。截至推文发表之前，该网站仍可被访问。该网站在去年 12 月成为类似 DDoS 攻击的目标，攻击导致用户在几小时内无法访问 Bitcoin Core 客户端。

全球性的加密货币交易所 Binance 称其去年的 DDoS 攻击是由竞争对手发起的，其主要目的是损耗声誉而不是窃取资金。DDoS 攻击往常主要针对加密货币交易所，但此次针对 Bitcoin.org 网站的 DDoS 攻击似乎不同寻常，因为该网站不包含有关资金或用户的敏感信息，只包含有关 BTC 区块链和加密货币的开源信息。

来源：

https://t.co/OsFgRFRRZb getting hit with an absolutely massive DDoS attack and a ransom demand to send Bitcoin or they'll continue.

I don't think I've been this offended in a while. Ungrateful scum.

— Cøbra (@CobraBitcoin) July 5, 2021

美国保险巨头 AJG 遭到勒索软件攻击，数据发生泄露

Tag：保险，AJG，勒索软件，数据泄露

事件概述：

近日，美国保险巨头 AJG 发布了关于勒索事件造成数据泄露的安全通知。AJG 称在去年9月份的时候检测到勒索软件的攻击活动，随即下线了所有系统，启动应急响应协议，向执法部门报告事件，并展开调查。调查发现，此次攻击活动始于2020年6月3日，攻击者可能在此期间内访问或窃取了部分敏感数据，但无法确认具体泄露了哪些信息。由于受影响的系统中存在社会安全号码、税号、护照、出生日期、用户名、密码、金融账户、信用卡信息、电子签名、医疗诊断、索赔等信息，AJG 表示受影响系统中的这些信息可能因此泄露。AJG 在检测到攻击后，当即向美国证券交易所报告了此次事件。目前，AJG 已就此次数据泄露信息事件，紧急通知数据监管当局和所有可能受到影响的客户。

AJG（Arthur J. Gallagher）是一家致力于全球保险经纪和风险管理的公司，其总部位于美国，业务遍及 49 个国家/地区。AJG 在 6 月 30 日的安全事件通知中表示会对此次泄露事件受影响的客户提供免费身份和信用监控服务。

来源：

https://www.documentcloud.org/documents/7219617-AJG-BC-8-K.html

南非保险服务提供商 QSure 数据遭泄漏

Tag：数据泄露，南非，保险

事件概述：

外媒于近日称，南非保险服务提供商 QSure 于6月9日遭到黑客攻击，并因此发生数据泄露。QSure 是一家保险服务提供商，为南非保险行业提供收款和保费处理服务，其客户包括大型保险公司和保险经纪人。2021年6月9日，QSure 检测到了未经授权访问其IT基础设施的行为后，立即采取隔离网络、关闭系统等措施，并展开相关调查。

初步调查结果显示，此次攻击事件泄露了该公司客户保单持有人的相关信息，其中包括含有账户持有人姓名、银行账号、银行分行代码。6月17日，该公司向受影响的客户发送电子邮件告知此次数据泄露事件。Hollard (南非私营保险集团)是此次事件受影响的客户之一，Hollard 在接收到数据泄露通知信息后，向其客户表示存储在 QSure 数据库中的信息可能被泄露，并建议客户谨慎透露个人信息。据报道称，QSure 没有公开关于此次攻击活动的发起者和关于系统如何被破坏的详细信息。

来源：

https://techcentral.co.za/data-breach-hits-major-south-african-insurance-player/108637/

【政府威胁情报】

新南威尔士州教育部遭到网络攻击

Tag：教育部，网络攻击

事件概述：

澳大利亚新南威尔士州教育部门于7月8日发表声明称其遭到网络攻击。教育部长表示为保护学生和教职员工数据的安全，在调查期间会让一些内部系统下线。这些内部系统由于遭到网络攻击，自7月7日晚间起就无法正常使用。教育部长还表示团队正在努力重新启动服务，以确保系统在第3学期开始前及时恢复正常访问，并向老师和家长承诺学生下周在家学习不会受到影响。教育部门就此次攻击活动与新南威尔士州网络安全部门达成密切合作，并将此次攻击事件提交给了新南威尔士州警方和联邦机构。

来源：

https://education.nsw.gov.au/news/media-releases/nsw-department-of-education-networks-

俄罗斯黑客组织入侵美国共和党全国委员会计算机系统

Tag：APT29，RNC，拜登

事件概述：

据外媒披露，俄罗斯政府黑客组织于上周入侵了美国共和党全国委员会（RNC）的计算机系统，在同期，一个俄罗斯犯罪组织发起了大规模的勒索攻击。该政府黑客组织属于 APT29，并且与俄罗斯的外国情报机构有关联。APT29 此前被指控在2016年入侵了民主党全国委员会系统，参与 SolarWinds 公司的供应链网络攻击活动，渗透了9个美国政府机构等。RNC 表示并不清楚黑客窃取了哪些数据。随后在得知第三方供应商 Synnex 遭到破坏时，RNC 立即阻止了 Synnex 账户对云环境的访问，并表示 RNC 数据没有受到影响。

美国克里姆林宫随后否认了俄罗斯国家参与 RNC 的入侵说辞，但此次入侵事件和近期勒索软件攻击事件无疑是对拜登政府的挑战。白宫于这周二（7.6）发表声明称拜登在周三与各机构领导人闭门会面讨论打击勒索软件的方法，并将这种风险优先于国家安全和经济安全事项。

来源：

https://www.bloomberg.com/news/articles/2021-07-06/russian-state-hackers-breached-republican-national-committee

波兰多名国会议员电子邮件账户遭到黑客入侵

Tag：国会议员，电子邮件

事件概述：

据波兰情报部门于7月2日表示，十几名波兰国会议员的电子邮件账户近期遭到黑客入侵。并在周五的声明中表示，此次遭受攻击的议会成员绝大部分来自于议会反对派团体，受影响的成员已收到通知并接受了网络安全培训，但在声明中并未明确表示遭受攻击的国会议员信息。两周前，波兰当局表示网络攻击影响了100多个波兰现任和前任政府官员的电子邮件账户，泄露的账户信息中包括总理高级助手 Michal Dworczyk 的个人账户，这一入侵引发了一系列泄密事件，导致反对派批评官员使用私人账户交换机密文件的评论肆起。

来源：

https://www.reuters.com/world/europe/hackers-breached-several-mps-email-accounts-poland-says-2021-07-02/

【能源威胁情报】

针对能源行业的全球网络钓鱼活动

Tag：能源，网络钓鱼

事件概述：

近日，Intezer 团队研究发现了一项针对能源、石油、天然气以及电气行业的国际公司的全球网络钓鱼活动，这些攻击活动还针对石油和天然气供应商，宗教媒体业务公司（韩国基督教广播电台FEBC）。该活动至少从去年开始，主要目标为韩国，受害者主要集中于能源行业。攻击者向目标投递欺骗性或伪装的电子邮件，其附件包含信息窃取恶意软件的 IMG、ISO 和 CAB 文件。这些恶意软件通常可以窃取私人敏感信息、银行信息、记录键盘信息和窃取浏览器数据。

随着近年来无文件攻击大比例增加，无文件攻击越来越普遍，研究人员建议您不要点击可疑电子邮件，了解内存中无文件恶意软件的解决方案。

来源：

https://www.intezer.com/blog/research/global-phishing-campaign-targets-energy-sector-and-its-suppliers/

石油公司bp发布2020年《bp世界能源统计年鉴》报告

Tag：能源，bp，年鉴

事件概述：

当前全球能源转型发展成为主流趋势，清洁低碳转型发展也面临着挑战与机遇。《bp世界能源统计年鉴》将致力于对全球能源数据进行全面的汇总与分析，为当下能源转型的思考与判断提供客观可靠的数据支撑。《bp世界能源统计年鉴》自1951年首次出版至今，记录了过去70年来世界能源的重大事件以及格局变化的沧海桑田。2021年的《bp世界能源统计年鉴》在7月8日在 bp 主办的发布会上全球同步线上发步。该报告将围绕2020年全球能源史上发生的事件，能源转型和实现净零目标过程传递的信息，能源系统发挥作用过程中的经验教训等方面对全球能源数据进行分析。

bp集团是世界最大私营石油公司之一，也是世界前十大私营企业集团之一，业务范围覆盖全球能源体系，在欧洲、北美、南美、大洋洲、亚洲和非洲均设有经营机构。bp 自上个世纪70年代初开始在中国开展业务，是国内能源行业领先的外商投资企业之一。

来源：

https://www.bp.com/content/dam/bp/business-sites/en/global/corporate/pdfs/energy-economics/statistical-review/bp-stats-review-2020-full-report.pdf

电力合作社 WES 遭到勒索软件攻击

Tag：电力，勒索攻击

事件概述：

外媒于7月7日披露，阿拉巴马州的一家农村电力合作社 WES （Wiregrass Electric Cooperative）于上周遭到勒索软件攻击，导致客户暂时无法访问他们自己的账户。WES 运营负责人表示，此次勒索攻击只影响了一台服务器，合作社数据没有遭到泄露，电力服务提供也没有受到影响。WES 在检测到攻击行为后，对会员账户信息和支付系统进行离线维护。由于系统网站维护链接断开行为，客户可能会遇到间歇性断开服务的问题，但 WES 表示不会为余额为0的预付费账户断开服务。WES 还在通知消息中建议用户关注其社交媒体页面获取进一步更新的消息。

来源：

https://dothaneagle.com/news/no-data-compromised-in-weekend-wec-ransomware-attack/article_e6aa33ca-ddbe-11eb-a088-4fa88fe07349.html#tracking-source=home-top-story-1

国家发改委、能源局联合发布关于做好新能源配套送出工程投资建设有关事项的通知

Tag：碳达峰，碳中和，化石能源

事件概述：

在碳达峰、碳中和的目标背景下，风电、光伏发电装机将快速增长，为更好推动我国能源转型，满足新能源快速增长需求，避免风电、光伏发电等电源送出工程成为制约新能源发展的因素，国家发展改革委办公厅和国家能源局综合司，于6月1日联合发布关于做好新能源配套送出工程投资建设有关事项通知。通知主要围绕高度重视电源配套送出工程对新能源并网的影响，加强电网和电源规划统筹协调，允许新能源配套送出工程由发电企业建设，做好配套工程回购工作，确保新能源并网消纳安全这五方面展开，就风、光项目并网方面提出了有关指导意见。

来源：

https://baijiahao.baidu.com/s?id=1702686073365228912&wfr=spider&for=pc

【工控威胁情报】

趋势科技发布《2020年ICS端点威胁报告》

Tag：ICS，勒索软件攻击

事件概述：

随着工业控制系统防护挑战日益严峻，安全漏洞层出不穷，黑客攻击目标将更加清晰。鉴于美国政府将勒索软件攻击视为与恐怖主义同样严重的问题，趋势科技于6月30日发布《2020年ICS端点威胁报告》，致力于研究工控系统的威胁，协助工业企业调整安全措施。

报告内容主要讲述勒索软件仍是 ICS 终端的威胁，利用感染 ICS 端点攻击那些尚未修补 EternalBlue 漏洞的操作系统来从事虚拟加密货币挖矿，蠕虫利用漏洞作为攻击载体在 ICS 端点上传播，ICS 端点存在不同恶意软件威胁，不同国家 ICS 端面临的威胁不同。其中Ryuk（20%）、Nefilim（14.6%）、Sodinokibi（13.5%）和 LockBit（10.4%）的勒索软件攻击活动占了 2020 年所有 ICS 勒索软件感染案例的一半以上。勒索软件仍是 ICS 不可小觑的威胁，勒索软件一旦入侵工控系统，可能导致工厂无法运作，而且会增加企业敏感资料/数据泄露至暗网的风险。

来源：

https://documents.trendmicro.com/assets/white_papers/wp-2020-report-on-threats-affecting-critical-industrial-endpoints.pdf

【流行威胁情报】

拉丁美洲的间谍活动“Bandidos”

Tag：Bandook，间谍，木马

事件概述：

近日，ESET 研究人员发现了一起利用 Bandook 恶意软件针对西班牙国家企业的攻击活动，并将这次攻击活动命名为 “Bandidos”。此次攻击活动至少从2015年开始，目标集中于委内瑞拉的制造、建筑、医疗保健，以及零售业公司的企业网络，主要目的疑似为监视受害者。研究人员在攻击活动中发现攻击者更改和新增了恶意软件 Bandook 的功能。Bandook 是一种古老的远程访问木马，早在 Manul 活动中曾被用来针对欧洲记者和不同政见者，在2018 Dark Caracal 活动中被用来进行间谍活动，在2020年被用作针对各个国家的许多垂直行业的攻击活动。研究人员虽然在委内瑞拉发现了200多次恶意软件植入程序，但尚不能确定此恶意活动是针对特定垂直行业的攻击活动。

技术详情：

在此次攻击活动中，攻击者向目标投递含有 PDF 附件的电子邮件，邮件底部附有委内瑞拉的电话号码，疑似是为了降低受害者的防备心。诱使受害者点击 PDF 附件中的链接，将受害者重定向到云存储服务 PCloud 下载压缩文件，并解压缩释放一个注入恶意软件 Bandook 的 dropper。然后执行 dropper，通过进程挖空注入有效载荷，加载全局变量，在 C2上下载含有监视函数的 dec.dll 。最后从全局变量中域名获取 IP 地址，建立 TCP 通信连接，将从受害者主机收集到的计算机名称、用户名、操作系统版本等信息回传给 C2。

来源：

https://www.welivesecurity.com/2021/07/07/bandidos-at-large-spying-campaign-latin-america/

谷歌商店下架多个窃取 FaceBook 密码的木马 App

Tag：Android，窃密木马，APP

事件概述：

继谷歌商店下架了8个含有 JOKER 恶意软件的 App 后，谷歌商店再次下架了9个窃取 Facebook 凭据的木马 App。据称，这些恶意 App 已经被下载超过580万次。研究人员表示，虽然此次攻击活动目标锁定于 FaceBook 账户，但这种攻击活动很容易扩展到其他可以加载登录页面的合法网络平台，从各种服务器中窃取登录名和密码。谷歌随后宣布了谷歌商店的新措施，要求 App 开发者开启两步验证（2SA）和双因素身份验证（2FA），进一步加强账户和应用市场的安全管理措施。

技术详情：

这些 Android 木马程序伪装成照片编辑、健身、卜星术等功能齐全的 App，诱使受害者登录他们 FaceBook 账户。当受害者同意并单击登录按钮时，会将受害者重定向到一个看似真实的Facebook登录表单页面，这些木马在启动时从其中一台 C2 服务器收到命令后将合法的 Facebook 登录网页加载到恶意的网页视图中，然后将从 C2 服务器接收到的 JavaScript 加载到同一个网页视图中。该脚本直接用于劫持受害者输入的登录凭据。之后，这个 JavaScript 使用通过 JavascriptInterface 注释提供的方法，将窃取的登录名和密码传递给木马应用程序，然后将数据传输到攻击者的 C2 服务器。受害者登录其帐户后，木马还会从当前授权会话中窃取 cookie，这些 cookie 也会被发送给网络犯罪分子。

来源：

https://news.drweb.com/show/?i=14244&lng=en

【高级威胁情报】

SideCopy APT 组织武器库的演变

Tag：SideCopy，APT

事件概述：

思科于近日发表报告称，SideCopy APT 组织正在逐渐更新和发展其武器库。SideCopy APT 组织曾经使用恶意的 LNK 文件和文档分发基于C语言编写的 RAT，这种 RAT 被思科研究人员命名为“CetaRAT”。该APT 组织还依赖于一种基于 Delphi 开源的 RAT。在最近的攻击活动中，该 APT 组织感染链中出现了多个新的 RAT（DetaRAT、ReverseRAT、MargulasRAT 和 ActionRAT）和独立插件（文件枚举、浏览器密码窃取和键盘记录插件）。SideCopy APT 使用恶意的 LNK 文件作为入口点，然后使用包含多个 HTAs 和 DLL 加载程序的复杂感染链来交付最终的有效载荷。研究观察发现 SideCopy 组织正在使用与 APT36 组织相似的主题和策略针对印度政府人员开展攻击活动，其中包括使用伪装成军队和智囊团的诱饵文档和蜜罐感染行为等。

来源：

https://s3.amazonaws.com/talos-intelligence-site/production/document_files/files/000/095/591/original/062521_SideCopy_%281%29.pdf?1625657388

Lazarus 组织攻击活动中 TTP 的演变

Tag：Lazarus，APT，TTP

事件概述：

AT&T 观察到 Lazarus 组织疑似针对美国和欧洲的工程求职者或从事机密工程的员工开展的新攻击活动。该组织之前主要利用波音、贝宜系统公司的工作信息为诱饵展开攻击活动。从2021年5月到2021年6月，推特用户发现多个与 Lazarus 组织有关的恶意文件，这些恶意文件伪装成莱茵金属、通用汽车、空中巴士（Rheinmetall_job_requirements.doc、General_motors_cars.doc、Airbus_job_opportunity_confidential.doc）文档发起攻击。这三个恶意文档均包含恶意宏，其核心技术是相同的，部分功能是随着攻击目标变化而开发和改进的。

技术细节：

Lazarus APT 组织在上述这些攻击活动，均采用了含有宏且伪装成这些国防承包商和工程公司的恶意文档。在伪装成莱茵金属文档的攻击活动中，宏最显著的特征是拆分前两个字符和其余内容来逃避基于Base64 编码的 MZ 标头的检测，将微软合法执行文件 Certutil.exe 复制并重命名到创建的新文件 C:/Drives 中，然后使用 Mavinject（合法 Windows 组件）在任何正在运行的进程中执行任意代码注入。

在伪装成通用汽车文档的攻击活动中，该份文件的特点与伪装的莱茵金属文档非常相似，但C&C 通信进行了些许更新，活动中使用的域不再是受感染的域，而是之前注册的域名。恶意文档在尝试执行其所有代码后，宏会向 C2 服务器报告感染状态。根据对 C2 中不同文档的请求，C&C 能够跟踪其执行失败或遇到意外行为的位置。

在伪装成空中巴士文档的攻击活动中，C&C 通信方式与伪装成通用汽车文档的攻击活动相似，然而执行和注入过程却是不同的。文档中的宏使用更新的技术执行提到的有效载荷。攻击者不再使用 Mavinject，而是直接使用 explorer.exe 执行有效载荷。

来源：

https://cybersecurity.att.com/blogs/labs-research/lazarus-campaign-ttps-and-evolution

俄罗斯威胁组织 APT28 发起暴力攻击活动

Tag：APT28，GRU，俄罗斯

事件概述：

美国国家安全局（NSA）、美国网络安全和基础设施局（CISA）、美国联邦调查局（FBI）和英国国家网络安全中（NCSC）联合发布关于APT28 进行大规模暴力攻击活动的告警信息。在2019年中旬至2021年年初，俄罗斯威胁组织使用 Kubernetes 集群针对包括智囊团、国防承包商、能源公司在内的数百个全球政府组织和企业展开了大规模的匿名暴力攻击活动。部分专家将此次攻击活动归因于俄罗斯总参谋部主要情报局（GRU）第85主要特别服务中心（GTsSS）的26165 部队（也就是APT 28），并且表示此次活动仍在持续进行中。

技术详情：

APT28 在此次攻击活动中的攻击链：利用面向公众的应用（CVE-2020-0688、CVE-2020-17144和微软服务器远程执行代码漏洞）初步接入目标；利用合法的账户凭证提升在受害者内部的权限；通过受感染的 Office 365 云账户、Exchange 账户和 WebShell 在受害者内部实现长久驻留；利用密码喷洒、密码猜测、操作凭证转储获取受害者凭据；使用有效帐户与使用服务器消息块 (SMB) 的远程网络共享进行交互执行远程服务；然后在受害者内部收集本地系统信息、网络设备共享信息、信息存储库的信息、远程电子邮件信息；通过命令与控制通道与恶意 C2 通信；在受害者内部重命名应用程序、匹配合法名称和位置来隐藏威胁组织的踪迹；通过非对称加密协议和限制传输量将收集到的信息回传到 C2。

来源：https://media.defense.gov/2021/Jul/01/2002753896/-1/-1/0/CSA_GRU_GLOBAL_BRUTE_FORCE_CAMPAIGN_UOO158036-21.PDF

Confucius APT组织攻击活动分析

Tag：WARZONE ，RAT，Confucius，APT

事件概述：

Confucius APT组织主要以中国和其他南亚国家的政府部门为目标，在2021年1月左右非常活跃，Warzone RAT 是该组织攻击活动的一部分。Warzone RAT 于2018年首次作为恶意软件即服务 (MaaS) 出现，并以积极使用“.docx”文件作为其初始感染媒介而闻名。其最初的有效载荷被称为“Ave Maria Stealer”，它可以窃取凭据并收集键盘记录信息。Confucius APT 组织在近期的攻击活动中试图通过诱饵来规避攻击并操纵受害者，通过模板注入技术提供下一阶段的有效载荷。

技术详情：

Confucius APT 组织在此次攻击活动中向目标投递精心制作的诱饵文件（.doc）,执行诱饵文档时会使用模版注入技术加载下一阶段利用的 RTF 文件。RTF 文件的漏洞利用被触发后，释放并执行 muka.dll。muka.dll 会下载最终的有效载荷 Warzone RAT，该 RAT 被用作 Office文档中窃取信息的恶意软件。

来源：

WARZONE RAT – Beware Of The Trojan Malware Stealing Data Triggering From Various Office Documents

【漏洞情报】

QNAP 发布NAS 备份、灾难恢复应用程序中严重漏洞的补丁

Tag：QNAP，严重漏洞

事件概述：

继台湾附加存储制造商 QNAP 在4月修复了 HBS 3 Hybrid Backup Sync 备份和灾难恢复应用程序中的一个严重安全漏洞后，于7月6日修复了 NAS 备份、灾难恢复应用程序中的另一个严重漏洞CVE-2021-28809。CVE-2021-28809 是由于 NAS 设备没有正确限制获取系统资源的访问权限，从而允许恶意攻击者在未经授权的情况下提升权限、远程执行命令或读取敏感信息。据 QANP 称，受到影响的版本为“QTS 4.3.6：HBS 3 v3.0.210507 及更高版本” ，“QTS 4.3.4：HBS 3 v3.0.210506 及更高版本”，“QTS 4.3.3：HBS 3 v3.0.210506 及更高版本”。QNAP 已发布相关影响版本的补丁并建议将受影响的版本更新至最新版本，还表示运行 QTS 4.5.x 和 HBS 3 v16.x 的 QNAP NAS 设备不受此安全漏洞的影响，亦不会受到攻击。

来源：

https://www.bleepingcomputer.com/news/security/qnap-fixes-critical-bug-in-nas-backup-disaster-recovery-app/

【勒索专题】

美国水务公司 WSSC Water 遭到勒索软件攻击

外媒于7月5日报道称，美国水务公司 WSSC Water 于5月24日遭到了勒索软件攻击，主要系统业务网络并未受到影响，水质并未受到影响。WSSC Water 在检测到恶意病毒后立即删除了勒索软件病毒。勒索软件虽未攻击成功，但 WSSC Water 部分内部文件遭到了泄露。WSSC 表示将为受影响的客户提供为期五年的信用监控，并免费提供100万美元的身份盗窃保险。

来源：

https://securityaffairs.co/wordpress/119700/cyber-crime/wssc-water-ransomware-attack.html

美国化学品分销商遭到 DarkSide 勒索软件攻击

外媒于7月3日报道称，世界领先的化学品分销公司 Brenntag 公布了2021 年 4 月下旬北美分部泄露的数据信息。Brenntag 在 5 月 13 日称遭到 DarkSide 勒索软件攻击后，及时断开了所有受影响的系统与网络的连接，其社会安全号码、出生日期、驾照号码和医疗信息等数据遭到泄露。

来源：

https://www.bleepingcomputer.com/news/security/us-chemical-distributor-shares-info-on-darkside-ransomware-data-theft/

勒索软件攻击可能泄露了超过 16,000 名工人的信息

外媒于7月2日报道称，Pacific Market Research (PMR) 近期通知了‘华盛顿州劳工和工业部’客户关于 5 月 22 日攻击事件的消息。PMR 表示攻击者访问了 PMR 的网络并加密了他们的服务器，影响了包含敏感信息的 L&I 文件。L&I 文件中包含2019 年提出工伤赔偿索赔的 16,466 名工人的联系信息、索赔编号和出生日期等信息可能被泄露。

来源：

https://www.thenewstribune.com/news/state/washington/article252532918.html

Diavol ：疑似归因于 Wizard Spider 犯罪集团的勒索软件

FortiGuard 实验室在7月1日发表报告称他们阻止了一场勒索软件攻击，发现了两款恶意软件locker.exe 和 locker64.dll，其中 locker64.dll 识别归因为为 Conti (v3) 勒索软件家族，但 locker.exe 似乎完全不同。研究人员最后根据 Diavol 的内部运作及其可能属性将其归因于被称为 Wizard Spider 的犯罪集团。

来源：

https://www.fortinet.com/blog/threat-research/diavol-new-ransomware-used-by-wizard-spider