勒索軟件組織通過(guò)偽造PuTTy和WinSCP惡意廣告針對(duì)Windows系統(tǒng)管理員發(fā)起攻擊
一種勒索軟件操作針對(duì)Windows系統(tǒng)管理員,通過(guò)投放Google廣告來(lái)推廣假的PuTTy和WinSCP下載網(wǎng)站。WinSCP和PuTTy是流行的Windows工具,WinSCP是一個(gè)SFTP客戶端和FTP客戶端,PuTTy是一個(gè)SSH客戶端。系統(tǒng)管理員在Windows網(wǎng)絡(luò)中通常擁有更高的權(quán)限,使他們成為威脅行為者的寶貴目標(biāo),這些行為者希望快速傳播網(wǎng)絡(luò),竊取數(shù)據(jù),并訪問(wèn)網(wǎng)絡(luò)的域控制器以部署勒索軟件。在搜索“download winscp”或“download putty”時(shí),一個(gè)搜索引擎廣告活動(dòng)顯示了假的PuTTy和WinSCP網(wǎng)站的廣告。目前尚不清楚該活動(dòng)是發(fā)生在Google還是Bing上。這些廣告使用了拼寫錯(cuò)誤的域名,如puutty.org、puutty[.]org、wnscp[.]net和vvinscp[.]net。
https://www.rapid7.com/blog/post/2024/05/13/ongoing-malvertising-campaign-leads-to-ransomware/
電子處方提供商MediSecure遭遇大規(guī)模勒索軟件導(dǎo)致數(shù)據(jù)泄露
澳大利亞的電子處方提供商MediSecure由于疑似來(lái)自第三方供應(yīng)商的勒索軟件攻擊,已經(jīng)關(guān)閉了其網(wǎng)站和電話線。該事件影響了個(gè)人和健康信息,但目前影響程度尚不清楚。MediSecure自2009年以來(lái)一直運(yùn)營(yíng),為醫(yī)療專業(yè)人士提供管理和分發(fā)藥物的數(shù)字工具。公司通過(guò)其私人和州支持的eRx系統(tǒng)發(fā)出了數(shù)百萬(wàn)份電子處方。直到2009年11月,它是澳大利亞僅有的兩個(gè)無(wú)紙化處方網(wǎng)絡(luò)之一。今天,該公司宣布其受到服務(wù)供應(yīng)商之一的網(wǎng)絡(luò)安全事件的間接影響,導(dǎo)致數(shù)據(jù)泄露?!癕ediSecure已確定一起網(wǎng)絡(luò)安全事件,影響了個(gè)人和健康信息。我們已采取緊急措施以減輕對(duì)我們系統(tǒng)的任何潛在影響,”公告中寫道。
參考鏈接:
https://www.medisecure.com.au/
Storm-1811組織利用Microsoft的快速協(xié)助功能進(jìn)行勒索軟件攻擊
研究人員表示,它發(fā)現(xiàn)一個(gè)名為Storm-1811的威脅行為者濫用客戶端管理工具Quick Assist來(lái)針對(duì)用戶進(jìn)行社會(huì)工程攻擊。Storm-1811是一個(gè)出于經(jīng)濟(jì)動(dòng)機(jī)的網(wǎng)絡(luò)犯罪組織,以部署B(yǎng)lack Basta勒索軟件而聞名。該攻擊鏈涉及通過(guò)語(yǔ)音網(wǎng)絡(luò)釣魚(yú)進(jìn)行模擬,誘騙毫無(wú)戒心的受害者安裝遠(yuǎn)程監(jiān)控和管理(RMM)工具,然后傳播QakBot、Cobalt Strike,最終傳播Black Basta勒索軟件。攻擊者濫用Quick Assist功能來(lái)執(zhí)行社會(huì)工程攻擊,例如,冒充微軟技術(shù)支持等可信聯(lián)系人或目標(biāo)用戶公司的IT專業(yè)人員,以獲得對(duì)目標(biāo)設(shè)備的初始訪問(wèn)權(quán)限。
參考鏈接:
https://www.microsoft.com/en-us/security/blog/2024/05/15/threat-actors-misusing-quick-assist-in-social-engineering-attacks-leading-to-ransomware/
horpiex僵尸網(wǎng)絡(luò)發(fā)送了數(shù)百萬(wàn)封釣魚(yú)電子郵件以開(kāi)展LockBit Black勒索軟件活動(dòng)
自4月份以來(lái),已通過(guò)Phorpiex僵尸網(wǎng)絡(luò)發(fā)送了數(shù)百萬(wàn)封釣魚(yú)電子郵件,以開(kāi)展大規(guī)模的LockBit Black勒索軟件活動(dòng)。攻擊者使用包含部署LockBit Black有效負(fù)載的可執(zhí)行文件的ZIP附件,該有效負(fù)載一旦啟動(dòng)就會(huì)對(duì)接收者的系統(tǒng)進(jìn)行加密。這些攻擊中部署的LockBit Black加密器很可能是使用一名心懷不滿的開(kāi)發(fā)人員于2022年9月在Twitter上泄露的LockBit 3.0構(gòu)建器構(gòu)建的。不過(guò),據(jù)信該活動(dòng)與實(shí)際的LockBit勒索軟件操作沒(méi)有任何關(guān)系。
參考鏈接:
https://www.bleepingcomputer.com/news/security/botnet-sent-millions-of-emails-in-lockbit-black-ransomware-campaign/
INC勒索軟件源代碼在黑客論壇上售價(jià)30萬(wàn)美元
一名名為“salfetka”的網(wǎng)絡(luò)犯罪分子聲稱正在出售INC Ransom的源代碼,INC Ransom是一項(xiàng)于2023年8月推出的勒索軟件即服務(wù)(RaaS)操作。INC此前的目標(biāo)是施樂(lè)商業(yè)解決方案公司(XBS)的美國(guó)分部、菲律賓雅馬哈汽車公司,以及最近的蘇格蘭國(guó)家醫(yī)療服務(wù)體系(NHS)。在涉嫌出售的同時(shí),INC贖金業(yè)務(wù)正在發(fā)生變化,這可能表明其核心團(tuán)隊(duì)成員之間存在裂痕,或者計(jì)劃進(jìn)入涉及使用新加密器的新篇章。威脅行為者宣布在Exploit和XSS黑客論壇上出售INC的Windows和Linux/ESXi版本,要價(jià)30萬(wàn)美元,并將潛在買家數(shù)量限制為三個(gè)。
參考鏈接:
https://www.bleepingcomputer.com/news/security/inc-ransomware-source-code-selling-on-hacking-forums-for-300-000/
美創(chuàng)科技第59號(hào)安全實(shí)驗(yàn)室,專注于數(shù)據(jù)安全技術(shù)領(lǐng)域研究,聚焦于安全防御理念、攻防技術(shù)、漏洞挖掘等專業(yè)研究,進(jìn)行知識(shí)產(chǎn)權(quán)轉(zhuǎn)化并賦能于產(chǎn)品。自2021年起,累計(jì)向CNVD、CNNVD等平臺(tái)提報(bào)數(shù)千個(gè)高質(zhì)量原創(chuàng)漏洞,并入選國(guó)家信息安全漏洞庫(kù)(CNNVD)技術(shù)支撐單位(二級(jí))、信創(chuàng)政務(wù)產(chǎn)品安全漏洞庫(kù)支撐單位,團(tuán)隊(duì)申請(qǐng)發(fā)明專利二十余項(xiàng),發(fā)表多篇科技論文,著有《數(shù)據(jù)安全實(shí)踐指南》、《內(nèi)網(wǎng)滲透實(shí)戰(zhàn)攻略》等。