十个最多产的 Android 手机银行木马针对 639 个金融应用程序，这些应用程序在 Google Play 商店的总下载量超过 10 亿次。

移动银行木马隐藏在生产力工具和游戏等看似良性的应用程序后面，并且通常潜入 Android 的官方应用程序商店 Google Play Store。

一旦他们感染了设备，他们就会将登录页面覆盖在合法的银行和金融应用程序之上，以窃取账户凭据、监控通知以获取 OTP，甚至通过滥用辅助功能服务以用户身份执行操作来进行设备上的金融欺诈。

根据 Zimperium 的一份报告，该报告 概述了 2021 年第一季度的 Android 生态系统，这些木马中的每一个都在市场上占据了独特的位置，因为它们针对的组织数量以及使它们与其他组织区分开来的功能。

这一发现非常令人担忧，因为根据 2021 年的调查，美国四分之三的受访者使用银行应用程序执行他们的日常银行活动，为这些木马提供了大量目标。

最有针对性
美国拥有 121 个目标应用程序，在目标最多的国家/地区中名列前茅。英国紧随其后，有 55 个应用程序，意大利有 43 个，土耳其有 34 个，澳大利亚有 33 个，法国有 31 个。

针对最多应用程序的木马是 Teabot，覆盖了 639 个跟踪的应用程序中的 410 个，而 Exobot 还针对一个相当大的 324 个应用程序池。

下载量最多的目标应用是 PhonePe，它在印度非常流行，从 Play 商店下载了 1 亿次。

流行的加密货币交易应用程序 Binance 的下载量为 5000 万次。Cash App 是一项覆盖美国和英国的移动支付服务，通过 Play 商店也有 5000 万次安装。这两者也是一些银行木马的目标，即使它们不提供传统的银行服务。

目标最广泛的应用程序是 BBVA，这是一个拥有数千万下载量的全球网上银行门户网站。十个最活跃的银行木马中有七个针对此应用程序。

最多产的木马
据 Zimperium 称，今年第一季度最多产的银行木马如下。

BianLian – 针对 Binance、BBVA 和一系列土耳其应用程序。2022 年 4 月发现的新版本木马具有绕过 photoTAN 的功能，这被认为是网上银行中一种强大的身份验证方法。
Cabassous – 目标是巴克莱、CommBank、哈利法克斯、劳埃斯和桑坦德银行。使用域生成算法 (DGA) 来逃避检测和删除。
Coper – 目标是 BBVA、Caixa Bank、CommBank 和 Santander。它主动监控设备电池优化“白名单”并对其进行修改以使其不受限制。
EventBot – 针对 Barclays、Intensa、BancoPosta 和其他各种意大利应用程序。它隐藏为 Microsoft Word 或 Adob​​e Flash，并且可以从远程源下载新的恶意软件模块。
Exobot – 针对 PayPal、Binance、Cash App、Barclays、BBVA 和 CaixaBank。它非常小巧轻便，因为它使用共享系统库并仅在需要时从 C2 获取覆盖。
FluBot – 针对 BBVA、Caixa、Santander 和其他各种西班牙应用程序。僵尸网络木马因其使用 SMS 和受感染设备的联系人列表进行快速传播而臭名昭著。
Medusa – 针对 BBVA、CaixaBank、Ziraat 和一系列土耳其银行应用程序。它可以通过滥用无障碍服务代表受害者充当普通用户来执行设备上的欺诈。
Sharkbot – 针对 Binance、BBVA 和 Coinbase。它具有丰富的检测规避和防删除功能，以及强大的 C2 通信加密。
Teabot – 针对 PhonePe、Binance、Barclays、Crypto.com、Postepay、美国银行、Capital One、Citi Mobile 和 Coinbase。它为每个应用程序提供了一个特殊的键盘记录器，并在用户启动它时加载它。
Xenomorph – 针对 BBVA 和各种基于欧盟的银行应用程序。它还可以用作释放器，以在受感染的设备上获取其他恶意软件。

从上面可以清楚地看出，十个最多产的银行木马中的每一个都保持着自己相对狭窄的目标范围，因此生态系统是平衡的，操作员可以选择与其目标受众相匹配的工具。

为了抵御所有这些威胁，请让您的设备保持最新状态，仅安装来自 Google Play 商店的应用程序，查看用户评论，访问开发者的网站，并将设备上安装的应用程序数量保持在最低限度。

微软已经发布了 Windows 10 版本 20H2、21H1 和 21H2 的可选累积更新预览，修复了由于 Direct3D 问题导致文件复制速度慢和应用程序崩溃的问题。

今天的 KB5014023 更新是微软计划于 2022 年 5 月每月更新的“C”更新的一部分，它允许 Windows 客户在 6 月 15 日补丁星期二的一般发布之前测试错误修复和性能改进。

与常规补丁星期二累积更新不同，这些预定的非安全预览更新是可选的。

要安装 KB5014023，您必须转到 “设置” > “ Windows 更新 ”并手动“检查更新”。因为它们是可选更新，所以在您单击“立即下载”按钮之前，Windows 不会安装它们。

您还可以从 Microsoft 更新目录手动下载和安装 KB5014023 累积更新预览。

修复应用程序崩溃、文件复制、内存泄漏问题
今天的可选更新修复了几个可能引发各种问题或导致某些 Windows 应用程序崩溃的问题。

此累积更新修复了影响特定 GPU 的已知问题，该问题可能“导致应用程序意外关闭或导致影响某些使用 Direct3D 9 的应用程序的间歇性问题”。

Microsoft 还修复了一个问题，该问题可能导致文件复制速度变慢，另外一个问题可能会阻止 BitLocker 在使用静默加密选项时进行加密。

KB5014023 解决了影响 24/7 全天候使用的 Windows 系统的其他已知问题，这些问题会导致内存泄漏并导致重复数据删除驱动程序耗尽所有物理内存并导致机器停止响应。

最后但同样重要的是，在应用今天的预览更新后，当用户在使用 Microsoft OneDrive 时注销时，Windows 系统将不再停止响应。

今天的 Windows 更新预览中的新增功能
安装 KB5014023 非安全累积更新预览版后，Windows 10 21H2 的内部版本号将更改为 19044.1741。

Windows 10 更新预览 包含更多质量改进和修复，包括：

解决了导致设备管理器中显示黄色感叹号的问题。当蓝牙远程设备通告高级音频分发配置文件 (A2DP) 源 (SRC) 时，会发生这种情况。
解决了阻止 Microsoft Excel 或 Microsoft Outlook 打开的罕见问题。
解决了使用“控制面板”中的“备份和还原”(Windows 7)应用程序创建恢复光盘（CD 或 DVD）时可能无法启动的已知问题 。安装 2022 年 1 月 11 日或之后发布的 Windows 更新后会出现此问题。

俄罗斯用户在连接流行的 Proton VPN 服务时遇到问题。与此同时，该公司本身否认拒绝访问俄罗斯客户，暗示国内互联网提供商引入了限制。

Proton VPN 由安全电子邮件 ProtonMail 的开发人员创建。该服务提供三个国家IP地址下的免费网络访问。公司总部位于日内瓦。开发人员声称他们不监视用户活动。

“本地 ISP 和当局很可能会干扰 VPN 连接，在这种情况下，我们将无法解决此类问题。一些服务器可能会继续工作。我们继续试图绕过锁，”消息说。

根据一些报道，并非所有俄罗斯用户都失去了通过安全连接连接 Proton VPN 客户端的能力 - 服务的可用性可能因提供商而异。

自乌克兰事件开始以来，俄罗斯对 VPN的需求一直在增长，而不仅仅是那些希望继续使用在俄罗斯被禁止的服务的人。一些外国资源限制了俄罗斯用户对其服务器的访问，范围从娱乐门户到带有免费图像的资源，如Pixabay。

根据RBC向国家杜马信息政策委员会负责人 Alexander Khinshtein 的说法，用于绕过封锁的 VPN 服务在俄罗斯被封锁，但没有计划在立法层面限制此类服务的使用。到目前为止，还没有计划对国内用户使用 VPN 承担责任。

更新：

俄罗斯用户也报告了 NordVPN 的崩溃。据 Globalcheck 称，Rostelecom、MTS、MegaFon、Tele2、Beeline 和 Yota 不提供 nordvpn.com 网站。

德国最高法院裁定，即使内容是由第三方发布的，也必须让 YouTube 和其他平台为侵犯知识产权的行为付出代价

但是，平台只有在得知非法下载后没有迅速做出反应并立即阻止访问的情况下才能承担责任。此外，根据法院命令，媒体平台运营商将被要求披露违法用户的身份以及他们的电子邮件地址。

该决定是在欧洲“创意产业”与在线平台之间长期持续存在的争议之际做出的，他们正试图从中收取非法分发内容的赔偿。该主题是关于平台和社交媒体应在多大程度上负责过滤不适当、非法或仇恨内容的更广泛辩论的一部分。

德国法院的裁决是基于欧洲法院去年作出的类似裁决。该案考虑了与该案相关的诉讼，当时一名音乐制作人的律师就其中一名音乐人的录音和录像非法放置而向 YouTube 提起诉讼，但内容未被及时删除。

法院没有根据案情审理案件，将其退回前审法院根据新的指示评估情况。YouTube 表示，它对该服务为打击侵犯知识产权而创建的系统充满信心。它们旨在为权利人提供“公平份额”。

这不是 YouTube 唯一的烦恼。最近有报道称，俄罗斯可能会阻止该服务或限制对其的访问，但Roskomnadzor 否认了这些谣言。

微软表示，它阻止了一个其追踪为 Polonium 的黎巴嫩黑客组织使用 OneDrive 云存储平台进行数据泄露和指挥和控制，同时瞄准和损害以色列组织。

该公司还暂停了 20 多个用于 Polonium 攻击的恶意 OneDrive 应用程序，通知目标组织并通过安全情报更新隔离威胁参与者的工具。

根据雷德蒙德的分析，自 2022 年 2 月以来，在主要针对以色列关键制造业、IT 和国防工业部门的攻击中，Polonium 运营商还可能与多个与伊朗有关的威胁参与者协调了他们的黑客攻击尝试。

微软表示：“我们还以适度的信心评估观察到的活动是与伊朗情报和安全部 (MOIS) 下属的其他参与者协调的，主要基于受害者的重叠和工具和技术的通用性。”

“德黑兰的这种合作或指示将与自 2020 年底以来伊朗政府正在利用第三方代表他们开展网络行动的一系列爆料相吻合，这可能会增强伊朗的合理推诿。”

在一些攻击中，微软观察到证据表明 MOIS 运营商可能为 Polonium 黑客提供了访问先前被破坏的网络的权限。

钋运营商还瞄准了受 MuddyWater APT 组织入侵的多名受害者，该组织被微软追踪为 Mercury，并 与 美国网络司令部与伊朗情报和安全部有联系。

威胁参与者在他们的攻击中使用了几种恶意软件，例如 CreepyDrive 和基于 PowerShell 的 CreepySnail 植入程序，用于命令和控制以及数据盗窃。

可能通过易受攻击的 Fortinet 设备进行初始访问
微软补充说，对于绝大多数受害者来说，初始访问向量似乎是未修补的 Fortinet FortiOS SSL VPN 设备，这些设备易受 CVE-2018-13379 攻击，该漏洞针对允许登录凭据被盗的关键路径遍历漏洞。

这是在黑客于 2020 年 11 月泄露了 近 50,000 个易受攻击的 Fortinet VPN的凭据之后，就在网上共享 了 CVE-2018-13379 单线漏洞列表的几天后 。

将近一年后，据称从可利用设备 中抓取的近 500,000 个 Fortinet VPN 凭据的列表再次在网上泄露。

美国、英国和澳大利亚的网络安全机构在 2021 年 11 月警告说，伊朗支持的黑客组织正在积极利用几个 Fortinet 漏洞（包括 CVE-2018-13379 路径遍历）。

“虽然我们继续确认 POLONIUM 如何获得对许多受害者的初始访问权限，但 MSTIC 指出，大约 80% 的观察到的向 graph.microsoft.com 发送信标的受害者正在运行 Fortinet 设备，”微软 补充道。

“这表明，但不能明确证明，POLONIUM 通过利用 CVE-2018-13379 漏洞来获取对受感染组织的访问权限，从而破坏了这些 Fortinet 设备。”

Microsoft 敦促客户确保 Microsoft Defender 防病毒软件使用最新的安全智能更新（1.365.40.0 或更高版本），并对所有远程连接强制执行多重身份验证 (MFA)，以阻止滥用可能受损的凭据。

威胁分析师发现了一种名为 Clipminer 的新型加密货币挖掘恶意软件的大规模操作，该恶意软件为其运营商带来了至少 170 万美元的交易劫持。

据博通公司赛门铁克的研究人员称，Clipminer 基于KryptoCibule恶意软件。这两种木马都专注于在受感染的机器上窃取钱包、劫持交易和挖掘加密货币。

这个新木马被安全研究人员命名为 Clipminer，他们绘制了它的操作图，在发现它时它的规模已经膨胀了。

在分析这项新操作时，赛门铁克发现 4375 个加密货币钱包地址据信已收到被盗资金。

Clipminer 的工作原理
Clipminer 以 WinRAR 压缩文件的形式放置在主机系统上，并自动解压缩以启动下载动态链接库 (.DLL) 的控制面板 (.CPL) 文件。

DLL 创建一个新的注册表值并将其自身放置在随机文件名下的“C:\Windows\Temp\”上。其目的是分析主机并从 Tor 网络下载和安装 Clipminer 有效负载。

系统 ID 通过 Tor 上的 HTTP GET 请求发送到命令和控制服务器 (C2)，并且 10MB 有效负载被接收到“C:\ProgramData\”或“C:\Program Files (x86)\”，或“[用户配置文件]\AppData\Local\”。

研究人员在今天的一份报告中指出，在执行后，恶意软件会创建计划任务以保持持久性，并创建一个空注册表项，可能作为感染标记，以防止再次感染同一主机。

接下来，有效负载启动具有唯一地址的 v3 Onion 服务并监控主机上的所有键盘和鼠标活动。它还检查正在运行的进程以识别任何分析工具。

当主机上没有活动时，表明用户不在，Clipminer 启动一个 XMRig Monero 矿工，配置为使用所有可用的 CPU 线程。由于机器是无人监督的，因此不存在系统性能下降导致感染的风险。

与此同时，该恶意软件不断监控剪贴板中复制的加密货币地址，并用属于攻击者的其他地址即时替换它们，从而转移付款。

Clipminer 如何更改受害者复制的钱包地址 （赛门铁克）
如何保持安全

赛门铁克表示，Clipminer 的第一批样本在 2021 年 1 月左右开始传播，而恶意活动在 2 月加快了步伐。

此后，该恶意软件通过游戏和盗版软件破解传播，并在 P2P 网络、torrent 索引器或 YouTube 视频上传播。

避免从不知名的来源下载软件，以尽量减少感染 Clipminer 或其他恶意软件的机会。

为了保护自己免受任何剪贴板劫持者的侵害，请在开始交易之前检查粘贴的加密货币钱包地址。

分析臭名昭著的 Conti 勒索软件操作泄露的聊天记录的研究人员发现，俄罗斯网络犯罪集团内部的团队正在积极开发固件黑客。

根据网络犯罪集团成员之间交换的消息，Conti 开发人员创建了概念验证 (PoC) 代码，利用英特尔的管理引擎 (ME) 覆盖闪存并获得 SMM（系统管理模式）执行。

ME 是英特尔芯片组中的嵌入式微控制器，运行微操作系统以提供带外服务。Conti 对该组件进行模糊测试，以找到它们可以利用的未记录功能和命令。

从那里，Conti 可以访问托管 UEFI/BIOS 固件的闪存，绕过写保护，并在受感染的系统上执行任意代码。

最终目标是删除一个 SMM 植入程序，该植入 程序将以可能的最高系统权限 (ring-0) 运行，但实际上无法从操作系统级安全工具中检测到。

泄露的聊天记录摘录（翻译） （Eclypsium）
值得注意的是，与针对 UEFI 固件缺陷、帮助 Conti 感染以及后来由勒索软件组织实施的TrickBot 模块相反，新发现表明恶意工程师正在努力在 ME 中发现新的未知漏洞。

勒索软件中的固件攻击
为了使固件攻击成为可能，勒索软件参与者首先需要通过网络钓鱼、利用漏洞或执行供应链攻击等公共途径访问系统。

在破坏 ME 之后，攻击者必须根据允许访问的“写外保护”区域来遵循攻击计划，具体取决于 ME 实施和各种限制/保护。

Eclypsium 表示，这些可能是访问以覆盖 SPI 描述符并将 UEFI/BIOS 移出受保护区域，也可能是直接访问 BIOS 区域。

使用 ME 访问未受保护的 BIOS 区域 （Eclypsium）
还有 ME 无法访问两者的情况，在这种情况下，威胁参与者可以利用英特尔的管理引擎强制从虚拟媒体启动并解锁支持 SPI 控制器的 PCH 保护。

Conti 可以使用这种攻击流永久地破坏系统，获得最终的持久性，逃避防病毒和 EDR 检测，并绕过操作系统层的所有安全控制。

Conti 走了，但代码还活着

虽然 Conti 行动似乎已经关闭，但它的许多成员已经转移到其他勒索软件行动，他们继续进行攻击。

这也意味着为开发像 Eclypsium 在泄露的聊天中发现的漏洞所做的所有工作将继续存在。

正如研究人员解释的那样，自去年夏天以来，Conti 就为这些攻击提供了一个有效的 PoC，因此他们很可能已经有机会在实际攻击中使用它。

RaaS 可能会以更名的形式回归，核心成员可能会加入其他勒索软件操作，总体而言，这些漏洞将继续使用。
为了防止威胁，请为您的硬件应用可用的固件更新，监控 ME 的配置更改，并定期验证 SPI 闪存的完整性。

马萨诸塞州尼德汉姆，2022 年 6 月 1 日——根据国际数据公司 ( IDC )最新的全球手机季度季度追踪预测，2022 年智能手机出货量将下降 3.5% 至 13.1 亿部。在连续三个季度下滑并面临越来越大的挑战之后在供需方面，IDC 已将其对 2022 年的预测从之前预测的 1.6% 增长大幅下调。然而，IDC 预计，随着市场反弹，到 2026 年实现 1.9% 的五年复合年增长率 (CAGR)，这将是一个短期的挫折。

“智能手机行业正面临来自多方面日益增长的逆风——需求疲软、通货膨胀、持续的地缘政治紧张局势以及持续的供应链限制。然而，中国封锁的影响——看不到明确的结局——要大得多， ” IDC全球移动和消费设备跟踪器研究总监Nabila Popal说. “封锁通过减少全球最大市场的需求并收紧已经受到挑战的供应链的瓶颈，同时打击了全球需求和供应。因此，许多原始设备制造商削减了今年的订单，包括苹果和三星。然而，苹果似乎成为受影响最小的供应商，因为对其供应链的控制力更强，而且高价部分的大多数客户受通货膨胀等宏观经济问题的影响较小。除非出现任何新的挫折，我们预计这些挑战最终会缓解今年和市场将在 2023 年以 5% 的增长复苏。”

“持续的半导体供应问题将在 2022 年下半年缓解。在 SoC 方面，4G SoC 供应一直紧张，但市场继续向 5G SoC 转移，” IDC 使能技术和研究总监Phil Solis表示半导体团队。“更大的问题是 PMIC、显示驱动器和分立 Wi-Fi 芯片等组件供应紧张。这些在更高工艺节点中制造的半导体的产能正在增加，并且正在制造更新版本的 Wi-Fi 芯片“随着更新的工艺节点。与此同时，需求正在下降。结合起来，这些供需变化将使市场更加平衡。”

从区域来看，预计 2022 年中欧和东欧 (CEE) 的降幅最大，出货量下降 22%。预计中国将下降 11.5% 或约 3800 万台，约占今年全球出货量下降的 80%。西欧预计将下降 1%，而大多数其他地区今年将出现正增长，包括亚太地区（不包括日本和中国）（APeJC）的增长 3%，是仅次于中国的第二大地区。

预计 2022 年 5G 设备将同比增长 25.5%，占新出货量的 53%，拥有近 7 亿台设备，平均售价 (ASP) 为 608 美元。受中国5G产品渠道库存增加和市场预测整体下调的影响，今年的出货量预期大幅下调。从长远来看，预计 2026 年 5G 的销量份额将达到 78%，平均售价为 440 美元。相比之下，4G ASP 预计在 2022 年为 170 美元，到预测期结束时降至 113 美元。由于短缺以及组件和物流成本的上升，所有设备的 ASP 在短期内略有增加。但是，从长远来看，趋势将保持向下。智能手机 ASP 将从 2022 年的 402 美元下降到 2026 年的 366 美元。

网络安全研究人员发现了一个新的以 RuneScape 为主题的网络钓鱼活动，它在各种操作中脱颖而出，制作精良。

RuneScape 是二十年前首次发布的免费在线 MMORPG 游戏，但仍继续在游戏社区中流行并受到数百万玩家的喜爱。

多年来，其“老派”版的活跃玩家数量一直在稳步增长，并在 2019 年开发者发布移动版时大幅飙升。

Malwarebytes 发现的最新网络钓鱼活动试图通过虚假的电子邮件更改通知针对 Old School 和标准 (RuneScape 3) 版本的玩家。

它从一封电子邮件开始
最初的电子邮件假装来自 Jagex 支持，即 RuneScape 系列的开发者和出版商，通知收件人两个版本的电子邮件更改成功。

该消息

发送给 RuneScape 用户的钓鱼邮件 (Malwarebytes)
建议不同意此更改的收件人单击嵌入在电子邮件正文中的“取消更改”按钮。或者，如果按钮不起作用，诈骗者会提供一个 URL 供受害者在浏览器上手动复制粘贴。

在这两种情况下，受害者都会被带到一个域名靠近真实门户的网络钓鱼站点，并使用合法的艺术品和风格使其看起来像真实的。

这种虚假登录会提示用户输入他们的登录凭据，以取消更改与该帐户关联的电子邮件地址。

窃取玩家凭据的网络钓鱼站点 (Malwarebytes)
由于帐户的凭据没有更改，因此受害者在网络钓鱼站点上输入了它们。之后，第二个网页加载，要求受害者提供他们的 RuneScape 游戏内银行 PIN。

请求受害者银行 PIN 码的网页
​​​​​​​（ Malwarebytes）
RuneScape 中的银行是玩家通过支付真钱或花费大量时间收集稀有游戏内物品来建立的虚拟游戏物品储藏室。

通过泄露他们的银行 PIN 和帐户凭据，受害玩家可以完全访问他们收集的所有物品给网络钓鱼骗子，然后他们可能会转移这些物品或接管帐户并将其出售给感兴趣的个人。
滥用 Discord 窃取帐户
根据 Malwarebytes 的说法， 在虚假登录页面上运行的 JavaScript 代码通过 Discord Webhook 将被盗数据发送给攻击者，该 Webhook 将其发布到攻击者控制的通道中。

代码中存在 Discord 引用 （Malwarebytes）
在那里，威胁参与者可能会坐下来等待新消息的到来，并在身份验证代码到期之前迅速采取行动控制受害者的帐户。

今天，Cyble 发布了一份关于新版本信息窃取恶意软件 Hazard Token Grabber 的报告，该恶意软件还使用 webhook 将被盗数据泄露到 Discord 频道。

自从恶意软件运营商发现其潜力以来，Discord Webhooks 的滥用一直很猖獗。该平台曾告诉 Bleeping Computer，它不久前正在积极检测并阻止此活动，但恶意操作的数量显然太高而无法控制。

如何保持安全
如果您是 RuneScape 玩家并且担心自己的帐户安全，请注意，在您确认操作之前，Jagex 支持人员永远不会更改您的电子邮件地址，因此所有这些“意外”电子邮件都是网络钓鱼。

该游戏还在论坛上维护了一个网络钓鱼报告中心，以帮助保护玩家免受这些诈骗企图的伤害，因此请确保在那里提交可疑消息。

最后，切勿单击电子邮件正文上的嵌入式按钮。如果您收到一封声称您的帐户的电子邮件，请手动访问游戏的官方网站并从那里登录以查看任何警报。

一些美国联邦机构今天警告组织不要支付 Karakurt 团伙提出的赎金要求，因为这不会阻止他们被盗的数据被出售给他人。

Karakurt 是 Conti 勒索软件团伙和网络犯罪集团的数据勒索部门，至少自 2021 年 6 月以来一直专注于从公司窃取数据，并以在线发布信息的威胁迫使他们支付赎金。

在 2021 年 9 月至 2021 年 11 月之间的短短两个月内，已有 40 多个组织成为 Karakurt 黑客攻击的受害者。

在窃取了受害者的数据后，Karakurt 要求在一周内支付价值 25,000 至 1300 万美元的比特币赎金。

勒索团伙通过电子邮件和电话骚扰他们的商业伙伴、客户和员工，促使他们要求谈判以防止数据泄露，从而迫使受害者支付数据勒索赎金。

FBI、CISA、美国财政部和FinCEN 在联合咨询中表示。

“美国政府强烈反对向 Karakurt 威胁参与者或任何承诺删除被盗文件以换取付款的网络犯罪分子支付任何赎金。”

也以夸大其词着称
联邦机构进一步透露，Conti 勒索部门还以经常夸大他们从受害者网络中窃取的数据的数量和价值而闻名。

在某些情况下，Karakurt 甚至声称窃取的数据超过了受害者的服务器可以存储的数据。

这些机构补充说：“卡拉库特演员还夸大了受害者受到损害的程度以及被盗数据的价值。”

“例如，在某些情况下，Karakurt 演员声称窃取的数据量远远超出受感染系统的存储容量，或者声称窃取不属于受害者的数据。”

今天的联合公告还详细介绍了 Karakurt 运营商在所有攻击阶段所使用的策略、妥协指标和缓解措施，以防止或阻止他们的黑客攻击。

美国联邦机构还分享了所有组织为减轻勒索软件威胁而应采取的行动的候选清单，包括优先针对在野外利用的安全漏洞的补丁、培训用户识别和报告网络钓鱼攻击以及执行多因素身份验证 (MFA)。