Lotus擦除软件曝光:曾瘫痪委内瑞拉能源系统
发布时间 2026-04-221. Lotus擦除软件曝光:曾瘫痪委内瑞拉能源系统
4月21日,去年12月中旬,一种此前未被记录、名为Lotus的数据擦除恶意软件被用于针对委内瑞拉能源和公用事业组织的定向攻击。该恶意软件样本从委内瑞拉的一台机器上传至公开平台后,被卡巴斯基研究人员捕获并分析。Lotus擦除器的攻击过程分为两个阶段。在瘫痪阶段之前,攻击者首先执行两个批处理脚本为最终载荷铺路。第一阶段脚本(OhSyncNow.bat)会禁用Windows的“UI0Detect”服务,并执行XML文件检查以协调跨域系统的执行。当特定条件满足时,第二阶段脚本(notesreg.bat)被触发:它会枚举用户、通过更改密码禁用账户、注销活动会话、禁用所有网络接口,并停用缓存登录信息。随后,恶意代码枚举驱动器,使用“diskpart clean all”命令将磁盘全部覆写为零,并通过“robocopy”命令覆盖目录内容。它还会计算可用空间,用“fsutil”创建一个填满磁盘的文件,使擦除数据更难恢复。在准备好数据销毁环境并执行部分擦除操作后,批处理脚本解密并执行Lotus擦除器作为最终有效载荷。
https://www.bleepingcomputer.com/news/security/new-lotus-data-wiper-used-against-venezuelan-energy-utility-firms/
2. NGate变种攻击巴西:借HandyPay窃取NFC支付数据
4月21日,网络安全研究人员发现了一种名为NGate的Android恶意软件家族的新变种。与之前滥用开源工具NFCGate的做法不同,新版本通过木马化一款名为HandyPay的合法应用程序来实现NFC中继攻击。NGate(又名NFSkate)最早于2024年8月被公开记录,其核心能力是执行中继攻击以窃取非接触式支付数据。最新版NGate主要针对巴西用户,这是此类攻击首次专门瞄准这个南美国家。被植入木马的HandyPay应用通过两种渠道传播:一是伪装成里约热内卢州彩票机构运营的彩票网站,二是通过一款所谓的银行卡保护应用的Google Play页面。虚假彩票网站诱骗用户点击按钮发送WhatsApp消息以领取奖金,随后引导用户下载被植入恶意代码的HandyPay应用。该应用安装后会要求用户将其设置为默认支付应用,接着受害者会被要求输入支付卡PIN码并将卡片靠近支持NFC功能的手机。一旦完成,恶意软件即捕获NFC卡片数据并传输至攻击者设备,使其能够使用窃取的信息从ATM机取款。据评估,此次恶意活动大约始于2025年11月。
https://thehackernews.com/2026/04/ngate-campaign-targets-brazil.html
3. 墨西哥Be Prime被黑,黑客声称窃取监控与客户数据
4月21日,墨西哥IT基础设施与数字化转型公司Be Prime正在处理一起网络安全事件的善后工作。此前,一名化名“dylanmarly”的攻击者在网络犯罪论坛上发布消息,声称已入侵该公司,并公布了据称是Be Prime客户办公室视频监控录像的截图。总部位于蒙特雷的Be Prime证实,周四该公司遭遇了一起“网络安全事件”。攻击者发布的屏幕截图显示,其已获得Be Prime的Cisco Meraki Vision控制面板的访问权限,若属实,这将允许攻击者访问客户办公室的实时监控画面,包括俯瞰不同团队工作区的摄像头。此外,dylanmarly还泄露了据称价值12.6GB的数据,这些数据属于该公司及其一些知名客户,其中包括能源巨头、知名零售品牌及全国连锁药店。据攻击者叙述,其之所以能够访问管理员账户,是因为Be Prime没有实施双因素身份验证。攻击者还声称获取了Meraki API密钥,并利用这些密钥控制了数千台Be Prime网络设备,包括其客户的安全摄像头画面。Be Prime在公开声明中承认遭受网络攻击,并表示正在与思科Talos安全团队合作进行修复。
https://www.theregister.com/2026/04/21/be_prime_cctv_leak/
4. Bluesky遭亲伊朗黑客DDoS攻击,服务中断24小时
4月21日,去中心化开源社交媒体平台Bluesky于4月15日遭遇了一次复杂的分布式拒绝服务(DDoS)攻击,导致其服务中断约24小时。该平台类似于X(前身为Twitter),允许用户发布短消息、图片和视频,同时提供对算法、数据和内容审核的更多控制权。此次攻击扰乱了信息流、通知、话题和搜索功能,造成间歇性服务中断。一个名为“313团队”的亲伊朗黑客组织声称对此次攻击负责,凸显了社交媒体平台面临的日益增长的威胁以及协同攻击行动的影响。Bluesky公司发布公告称,其团队于2026年4月15日太平洋时间晚上11:40左右收到应用程序间歇性中断的报告,并连夜工作以缓解这次复杂的DDoS攻击,该攻击在白天愈演愈烈。公司强调,没有发现任何未经授权访问用户私人数据的证据,并确认已将攻击的影响降至最低,避免了长时间的停机。313团队是一个亲伊朗的黑客组织,其网络活动与政治驱动密切相关,包括DDoS攻击、网页篡改、网络钓鱼和数据泄露等。
https://securityaffairs.com/191059/security/bluesky-hit-by-24-hour-ddos-attack-as-pro-iran-group-claims-responsibility.html
5. DigitalMint前员工承认向BlackCat泄露谈判机密
4月21日,41岁的Angelo Martino,曾是网络安全事件响应公司DigitalMint的一名员工,近日承认在2023年利用BlackCat(ALPHV)勒索软件攻击美国公司。他与另外两名同为勒索软件谈判者的同伙33岁的Ryan Clifford Goldberg和28岁的Kevin Tyler Martin一同被指控犯有串谋敲诈勒索干扰州际贸易、敲诈勒索干扰州际贸易以及故意破坏受保护计算机等罪行。Martino最初在2025年10月的起诉书中仅被列为“同谋1”,但在3月份解封的法庭文件中被正式点名。Martin和Goldberg也承认了相关共谋罪行,每人将面临最高20年的监禁。根据法庭文件,Martino在担任五名受害者的谈判代表期间,向BlackCat勒索软件运营商泄露了有关受害者谈判立场和保险单限额的机密信息,帮助网络犯罪分子索取了尽可能高的赎金。2023年4月至2025年4月期间,他与同伙一起参与了多起BlackCat勒索软件攻击。三名被告在以BlackCat关联人员身份活动时,向受害者索要赎金,并威胁泄露在加密系统前窃取的数据。检方补充称,三人向BlackCat管理员支付了所有赎金收入的20%,以换取访问勒索软件和敲诈勒索门户网站的权限。
https://www.bleepingcomputer.com/news/security/former-ransomware-negotiator-pleads-guilty-to-blackcat-attacks/
6. 美国三家医疗机构数据泄露,影响近60万人
4月21日,美国三家医疗保健机构近期披露了数据泄露事件,共影响近60万人。其中,北德克萨斯州行为健康管理局披露的违规事件规模最大,影响了285,000人。该组织为心理健康和药物滥用问题提供资源,于2026年3月透露,其在2025年10月检测到网络入侵。调查显示,未经授权的人员可能访问并窃取了包含个人信息的文件。本周披露的第二家机构是南伊利诺伊皮肤病诊所,受影响人数达16万。这家总部位于伊利诺伊州塞勒姆的皮肤护理供应商在一份数据泄露通知中表示,公司于2025年11月下旬发现了一起网络安全事件。2026年3月初完成的调查显示,存储个人信息的文件遭到泄露。值得注意的是,今年2月,Insomnia勒索软件组织已在其网站上将该诊所列入攻击名单,声称窃取了15万名患者的信息,并泄露了据称从该医疗机构系统中窃取的数据。第三起重大数据泄露事件发生在圣安东尼医院,该医院向美国卫生与公众服务部报告称,一起电子邮件安全事件导致146,000人的信息泄露。这家位于伊利诺伊州芝加哥的医院表示,两名员工的电子邮件账户遭到入侵,导致患者的个人信息和健康信息泄露。入侵事件发生在2025年2月。
https://www.securityweek.com/data-breaches-at-healthcare-organizations-in-illinois-and-texas-affect-600000/
京公网安备11010802024551号