One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8558803 |
| Date de publication | 2024-08-16 16:09:23 (vue: 2024-08-16 16:18:22) |
| Titre | Perturbation des paiements majeurs: les ransomwares frappent l'infrastructure bancaire indienne Major Payment Disruption: Ransomware Strikes Indian Banking Infrastructure |
| Texte | #### Géolocations ciblées - Inde #### Industries ciblées - Services financiers ## Instantané Les chercheurs de la Division de la recherche et de l'analyse des informations sur les menaces de CloudSek ont révélé une attaque de ransomware importante ciblant l'écosystème bancaire de l'Inde \\, un impact sur les banques et les fournisseurs de paiement. ## Description Cette attaque est liée au groupe Ransomexx, d'abord connu sous le nom de Defray777.Le groupe est apparu en 2018 et est connu pour cibler les grandes organisations dans une variété de secteurs, notamment la technologie, le gouvernement, la fabrication, les télécommunications et les soins de santé.Ransomxx a été actif entre les régions, mais les attaques ont été concentrées en Europe, en Asie et en Amérique du Nord. Ransomexx utilise généralement des e-mails et des vulnérabilités de phishing dans les protocoles de bureau à distance et les réseaux privés virtuels (VPN) pour l'accès initial.Cette attaque a été lancée via un serveur Jenkins mal configuré chez Brontoo Technology Solutions, en tirant parti du [CVE-2024-23897] (https://security.microsoft.com/intel-profiles/cve-2024-23897) pour accéder.Le groupe a utilisé la version V2.0 de leur ransomware qui utilise des algorithmes de chiffrement RSA-2048 et AES-256, ce qui rend presque impossible de récupérer des fichiers cryptés sans la clé de décryptage.Selon CloudSek, les négociations avec Ransomexx sont en cours et les données n'ont pas encore été publiées sur le site Web du groupe \\. ## Détections / requêtes de chasse ### Microsoft Defender Antivirus Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - * [ransom: win32 / filecoder] (https://www.microsoft.com/en-us/wdssi/therets/malware-encycopedia-dercription?name=ransom:win32/filecoder.tx!msr) * - * [Ransom: macOS / FileCcoder] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=ransom: macOS / filecoder) * - * [Ransom: Linux / FileCcoder] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=ransom:linux/filecoder.a!mtb) * - * [Trojan: win32 / cryptinject] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description? name = Trojan: win32 / cryptinject! ms) * - * [Trojan: Win32 / Trickbot] (https://www.microsoft.com/en-us/wdssi/Threats/Malware-encyClopedia-description?name=trojan:win32/trickbot.i) * - * [Trojan: win32 / emotet] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=trojan:win32/emotet) * - * [Trojan: Msil / Skeeyah] (https://www.microsoft.com/en-us/wdsi/therets/malware-enCyclopedia-Description? Name = Trojan: MSIL / SKEEYAH.A! MTB) * - * [Trojan: MSIL / CryptInject] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:mil/cryptinject!msr) * - * [Trojandownloader: o97m / iceDID] (https://www.microsoft.com/en-us/wdsi/atherets/malware-enCyclopedia-Description? Name = Trojandownloader: o97m / iceDID.jao! Mtb) * ## Recommandations - Jenkins Weekly doit être mis à jour / réinstallé au moins vers la version [2.442] (https://www.jenkins.io/doc/book/installing/ "https://www.jenkins.io/doc/book/installing/") - Jenkins LTS doit être mis à jour sur au moins la version [2.426.3] (https://www.jenkins.io/doc/upgrade-guide/ "https://www.jenkins.io/doc/upgrade-guide/") ** Solution: ** La désactivation de l'accès à la CLI devrait empêcher l'exploitation complètement.Cela est fortement recommandé aux administrateurs incapables de mettre à jour immédiatement à Jenkins 2.442, LTS 2.426.3.L'application de cette solution de contournement ne nécessite pas de redémarrage de Jenkins.Pour les instructions, consultez la [documentation de cette solution de contournement] (https://github.com/jenkinsci-cert/security-3314-3315/ "https://github.com/jenkinsci-cert/security-3314-3315/"). ## |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | ### #### **© **workaround:** 2018 2024 2024** 2048 23897 256 3314 3315/ 426 442 access accessed according across active administrators aes algorithms all america analytics antivirus antivirus any appeared applying are asia attack attacks banking banks been brontoo but cert/security cli cloudsek com/blog/major com/en com/intel com/jenkinsci completely components concentrated content copyright cve data decryption defender defray777 description desktop detections/hunting detects disabling disruption disruption: distribution division documentation does doing ecosystem emails encrypted encryption encyclopedia europe expected exploitation files financial first following gain geolocations government group guide/ has have healthcare https://github https://security https://www immediately impacting impossible including india indian industries information infrastructure initial initiated instructions io/doc/book/installing/ io/doc/upgrade jao jenkins key known large least leveraging linked lts major making malware: manufacturing microsoft misconfigured msr mtb name=ransom:linux/filecoder name=ransom:macos/filecoder name=ransom:win32/filecoder name=trojan:msil/cryptinject name=trojan:msil/skeeyah name=trojan:win32/cryptinject name=trojan:win32/emotet name=trojan:win32/trickbot name=trojandownloader:o97m/icedid nearly negotiations networks north not ongoing organizations part payment permission phishing prevent private profiles/cve prohibited protocols providers published queries ransom:linux/filecoder ransom:macos/filecoder ransom:win32/filecoder ransomexx ransomware ransomxx recommendations recommended recover references regions remote reproduction require research researchers reserved restart rights rsa sectors see server services should significant site snapshot solutions strikes strongly targeted targeting technology telecommunications thereof the threat through trojan:msil/cryptinject trojan:msil/skeeyah trojan:win32/cryptinject trojan:win32/emotet trojan:win32/trickbot trojandownloader:o97m/icedid typically unable uncovered update updated updated/reinstalled us/wdsi/threats/malware uses utilized variety version version virtual vpns vulnerabilities vulnerability website weekly which without workaround written yet |
| Tags | Ransomware Malware Vulnerability Threat Medical |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.