What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-06-05 09:28:03 | Les hôpitaux de Londres annulent les opérations et les rendez-vous après avoir été frappé dans l'attaque des ransomwares London Hospitals Cancel Operations and Appointments After Being Hit in Ransomware Attack (lien direct) |
Plusieurs hôpitaux de Londres ont annulé les opérations et les rendez-vous après avoir été frappé dans une attaque de ransomware.
Several hospitals in London have canceled operations and appointments after being hit in a ransomware attack. |
Ransomware | ★★ | |
 |
2024-06-05 04:33:42 | Les acteurs de la menace \\ 'peuvent également être exposés et utilisés par d'autres acteurs de menace Threat Actors\\' Systems Can Also Be Exposed and Used by Other Threat Actors (lien direct) |
Les types de cyberattaques incluent non seulement les attaques avancées de menace persistante (APT) ciblant quelques entreprises ou organisations spécifiques, mais maisAnalyse également des attaques ciblant plusieurs serveurs aléatoires connectés à Internet.Cela signifie que les infrastructures des acteurs de la menace peuvent devenir les cibles de la cyberattaque aux côtés des entreprises, des organisations et des utilisateurs personnels.AHNLAB Security Intelligence Center (ASEC) a confirmé un cas dans lequel un serveur proxy de l'attaquant de Coinming, est devenu la cible d'une attaque de numérisation de la menace de menace de ransomware.
Types of cyberattack include not only Advanced Persistent Threat (APT) attacks targeting a few specific companies or organizations but also scan attacks targeting multiple random servers connected to the Internet. This means that the infrastructures of threat actors can become the targets of cyberattack alongside companies, organizations, and personal users. AhnLab SEcurity intelligence Center (ASEC) has confirmed a case in which a CoinMiner attacker’s proxy server became a target of a ransomware threat actor’s Remote Desktop Protocol (RDP) scan attack.... |
Ransomware Threat | ★★ | |
 |
2024-06-05 00:00:00 | Rapport cybersécurité WatchGuard : le volume de ransomwares poursuit sa baisse alors que les attaques endpoints explosent (lien direct) | Paris, le 5 juin 2024 – WatchGuard® Technologies, l'un des leaders mondiaux de la cybersécurité unifiée, livre les conclusions de son dernier rapport sur la sécurité Internet (ISR) détaillant les principales tendances en matière de logiciels malveillants et de cybermenaces ciblant les réseaux et endpoints, analysées par les chercheurs du WatchGuard Threat Lab au cours du 1er trimestre 2024. Le rapport révèle notamment que si les détections de malwares sur l'ensemble du réseau ont diminué de près de moitié au cours du trimestre par rapport au précédent, les détections de malwares ciblant les endpoints ont augmenté de 82 %. Deuxième observation importante : les détections de ransomware ont diminué de 23 % par rapport au 4ème trimestre 2023 ! alors qu'elles avaient déjà diminué de 20% entre le 3ème et le 4ème trimestre 2023. De la même manière, les détections de malwares de type " zero-day " ont enregistré une baisse de 36 %. Le rapport indique également que le malware Pandoraspear, qui cible les télévisions connectées fonctionnant sous un système d'exploitation Android open source, est entré dans le top 10 des logiciels malveillants les plus détectés, illustrant ainsi le risque des vulnérabilités des appareils IoT pour la sécurité des entreprises. Corey Nachreiner, Chief Security Officer chez WatchGuard analyse : " Les résultats du rapport sur la sécurité Internet du 1er trimestre 2024 démontrent l'importance pour les organisations de toutes tailles de sécuriser les appareils connectés à Internet, qu'ils soient utilisés à des fins professionnelles ou de divertissement. Comme le démontrent de nombreuses cyberattaques survenues récemment, les attaquants peuvent infiltrer le réseau d'une entreprise par le biais de n'importe quel appareil connecté puis se déplacer latéralement et ainsi causer des dommages considérables aux ressources critiques ou exfiltrer des données. Il est désormais impératif que les entreprises adoptent une approche de sécurité unifiée, qui peut être gérée par des fournisseurs de services managés, comprenant un monitoring étendu de l'ensemble des endpoints et des points d'accès ". Parmi les principales conclusions, le dernier rapport sur la sécurité Internet basé sur des données du 1er trimestre 2024 révèle les éléments suivants : Le volume moyen de détections de malwares par WatchGuard Firebox a chuté de près de moitié (49 %) au cours du premier trimestre, tandis que le nombre de malwares transmis par le biais d'une connexion chiffrée a augmenté de 14 points au cours du premier trimestre, pour atteindre 69 %. Une nouvelle variante de la famille de malware Mirai, qui cible les routeurs TP-Link Archer en utilisant un nouvel exploit (CVE-2023-1389) pour accéder aux systèmes compromis, s'est révélée être l'une des campagnes de logiciels malveillants les plus répandues du trimestre. La variante Mirai a été détectée par près de 9 % des WatchGuard Firebox dans le monde. Ce trimestre, les navigateurs basés sur Chromium ont été à l'origine de plus des trois quarts (78 %) du volume total de malwares provenant d'attaques contre des navigateurs web ou des plugins, ce qui représente une augmentation significative par rapport au trimestre précédent (25 %). Une vulnérabilité dans l'application très répandue | Ransomware Malware Threat Mobile | ★★ | |
 |
2024-06-05 00:00:00 | TargetCompany \\'s Linux Variant Targets Environnements ESXi TargetCompany\\'s Linux Variant Targets ESXi Environments (lien direct) |
Dans cette entrée de blog, nos chercheurs fournissent une analyse de la variante Linux de TargetCompany Ransomware \\ et de la façon dont il cible les environnements VMware ESXi en utilisant de nouvelles méthodes pour la livraison et l'exécution de la charge utile.
In this blog entry, our researchers provide an analysis of TargetCompany ransomware\'s Linux variant and how it targets VMware ESXi environments using new methods for payload delivery and execution. |
Ransomware | ★★ | |
 |
2024-06-04 21:16:20 | Les hôpitaux londoniens déclarent l'urgence après une attaque de ransomware London hospitals declare emergency following ransomware attack (lien direct) |
Attack élimine les tests de tests et de diagnostics tiers essentiels aux soins.
Attack takes out third-party testing and diagnostics provider critical to care. |
Ransomware | ★★ | |
 |
2024-06-04 19:42:47 | \\ 'brouillard \\' ransomware se déroule pour cibler les secteurs de l'éducation et des loisirs \\'Fog\\' Ransomware Rolls in to Target Education, Recreation Sectors (lien direct) |
Un nouveau groupe de pirates est de crypter des données dans des machines virtuelles, de laisser des notes de rançon et de l'appeler un jour.
A new group of hackers is encrypting data in virtual machines, leaving ransom notes, and calling it a day. |
Ransomware | ★★★ | |
|
2024-06-04 17:21:50 | Londres NHS est paralysée par les ransomwares, plusieurs hôpitaux ciblés Modifier London NHS Crippled by Ransomware, Several Hospitals Targeted edit (lien direct) |
Les hôpitaux londoniens sont paralysés par la cyberattaque!Cet incident met en évidence la menace croissante de ransomwares sur les systèmes de santé dans le monde.Londres & # 8217; S & # 8230;
London hospitals crippled by cyberattack! This incident highlights the growing threat of ransomware on healthcare systems worldwide. London’s… |
Ransomware Threat Medical | ★★ | |
 |
2024-06-04 16:41:00 | Les hôpitaux de Londres annulent les opérations après un incident de ransomware London Hospitals Cancel Operations Following Ransomware Incident (lien direct) |
Une attaque de ransomware contre un fournisseur de services de pathologie a forcé les dirigeants de London Hospitals à annuler les opérations et à détourner les patients d'urgence
A ransomware attack on a supplier of pathology services has forced leading London hospitals to cancel operations and divert emergency patients |
Ransomware | ★★★ | |
|
2024-06-04 16:30:00 | # Ransomware infosec2024: les mises à jour clés que vous devez connaître #Infosec2024 Ransomware: The Key Updates You Need to Know (lien direct) |
Les organisations doivent collaborer pour renforcer leurs défenses face à des menaces nouvelles et émergentes
Organizations need to collaborate to bolster their defenses in the face of new and emerging threats |
Ransomware | ★★ | |
 |
2024-06-04 15:53:31 | Les hôpitaux londoniens déclarent un incident critique après un partenaire de service Ransomware Attack London hospitals declare critical incident after service partner ransomware attack (lien direct) |
Proviseur de laboratoire de pathologie ciblé, affectant les transfusions sanguines et les chirurgies Les hôpitaux de Londres ont du mal à fournir des services de pathologie après qu'une attaque de ransomware chez un partenaire de service a abattu certains systèmes clés.…
Pathology lab provider targeted, affecting blood transfusions and surgeries Hospitals in London are struggling to deliver pathology services after a ransomware attack at a service partner downed some key systems.… |
Ransomware | ★★★ | |
|
2024-06-04 15:30:00 | Les prises de compte dépassent les ransomwares en tant que préoccupation de sécurité supérieure Account Takeovers Outpace Ransomware as Top Security Concern (lien direct) |
Le dernier rapport de sécurité anormale montre que 83% des entreprises ont été confrontées au moins une prise de contrôle de compte au cours de la dernière année
The latest Abnormal Security report shows 83% of firms faced at least one account takeover in the past year |
Ransomware Studies | ★★★★ | |
 |
2024-06-04 13:45:17 | Les ransomwares continuent d\'être une source de problèmes, empêchant les victimes de restaurer 43% des données affectées (lien direct) | Les ransomwares continuent d'être une source de problèmes, empêchant les victimes de restaurer 43% des données affectées Les conclusions de l'étude Veeam 2024 Ransomware Trends Report indiquent que les cyberattaques impactent non seulement les entreprises, mais aussi les individus : en effet, 45 % des personnes interrogées font état d'une augmentation de leur charge de travail et 40 % d'une intensification de leur niveau de stress à la suite d'une cyberattaque - Investigations | Ransomware | ★★★ | |
 |
2024-06-04 12:29:55 | L'incident critique déclaré comme une attaque de ransomware perturbe plusieurs hôpitaux de Londres Critical incident declared as ransomware attack disrupts multiple London hospitals (lien direct) |
Pas de details / No more details | Ransomware | ★★ | |
 |
2024-06-04 12:05:21 | Les principaux hôpitaux de Londres perturbés par l'attaque des ransomwares de Synnovis Major London hospitals disrupted by Synnovis ransomware attack (lien direct) |
Une attaque de ransomwares affectant les fournisseurs de services de pathologie et de diagnostic Synnovis a eu un impact sur les services de santé dans plusieurs grands hôpitaux du NHS à Londres.[...]
A ransomware attack affecting pathology and diagnostic services provider Synnovis has impacted healthcare services at multiple major NHS hospitals in London. [...] |
Ransomware Medical | ★★★ | |
 |
2024-06-04 10:00:00 | Les hôpitaux ruraux sont particulièrement vulnérables aux ransomwares, les résultats du rapport Rural hospitals are particularly vulnerable to ransomware, report finds (lien direct) |
> Les hôpitaux les plus vulnérables ne sont pas préparés à faire face à l'impact de l'extorsion numérique, car les attaques de ransomware ciblent les établissements de soins de santé.
>The most vulnerable hospitals are unprepared to deal with the impact of digital extortion as ransomware attacks target health care facilities. |
Ransomware | ★★★ | |
|
2024-06-04 07:11:17 | ManageEngine a annoncé le lancement de son authentification FIDO2 sans mot de passe et résistant au phishing pour les applications d'entreprise ManageEngine has announced the launch of its passwordless, phishing resistant FIDO2 authentication for enterprise applications (lien direct) |
RGPD, le
Cadre de cybersécurité NIST, la
PCI DSS, le
ManageEngine renforce ses offres de sécurité d'abord d'identité avec une authentification sans mot de passe et résistante au phishing
Gérer les combats de ransomwares et le vol d'identité avec son dernier lancement de l'authentification FIDO2 dans sa solution de sécurité d'identité sur site
La société renforce et protège également les points de terminaison du réseau contre les actions du système non autorisé en lançant le point de terminaison MFA dans sa plate-forme d'identité-native du cloud
Essayez gratuitement l'authentification et le point final de FIDO2 à https://mnge.it/ Fido2-auth et https://mnge.it/id-360-emfa , respectivement
CCPA et la
.En plus de répondre aux exigences réglementaires, l'adoption d'une assurance sécuritaire d'identité axée sur un marché farouchement concurrentiel.
-
revues de produits
GDPR, the NIST Cybersecurity Framework, the PCI DSS, the ManageEngine Strengthens Its Identity-First Security Offerings With Passwordless, Phishing-Resistant Authentication ManageEngine combats ransomware attacks and identity theft with its latest launch of FIDO2 authentication in its on-premises identity security solution The company also strengthens and protects network endpoints against unauthorized system actions by launching endpoint MFA in its cloud-native identity platform Try FIDO2 authentication and endpoint MFA for free at https://mnge.it/Fido2-auth and https://mnge.it/id-360-emfa, respectively CCPA and the . In addition to meeting regulatory requirements, the adoption of identity-first security insurance in a fiercely competitive market. - Product Reviews |
Ransomware | ★★★ | |
 |
2024-06-04 06:11:15 | Mois de la sécurité Internet & # 8211;Renforcement des défenses numériques en 2024 Internet Safety Month – Strengthening Digital Defenses in 2024 (lien direct) |
> Nos vies sont de plus en plus tissées dans le tissu numérique.Des services bancaires en ligne aux travaux à distance, les interactions sur les réseaux sociaux au commerce électronique, Internet a révolutionné notre façon de vivre, de travailler et de jouer.Cependant, cette dépendance numérique comporte également des risques accrus.Les cyber-menaces, allant des logiciels malveillants et des attaques de phishing au vol d'identité et aux ransomwares, sont en constante évolution, ciblant & # 8230;
>Our lives are increasingly woven into the digital fabric. From online banking to remote work, social media interactions to e-commerce, the internet has revolutionized how we live, work, and play. However, this digital dependency also comes with heightened risks. Cyber threats, ranging from malware and phishing attacks to identity theft and ransomware, are ever-evolving, targeting … |
Ransomware Malware | ★★ | |
 |
2024-06-04 01:40:42 | Menace Unleashed: Excel File Deploys Cobalt Strike at Ukraine (lien direct) | #### Géolocations ciblées - Ukraine ## Instantané La recherche sur les menaces Fortiguard Labs a révélé une cyberattaque sophistiquée ciblant l'Ukraine, en utilisant une stratégie de logiciels malveillants à plusieurs étapes.L'attaque utilise des techniques d'évasion et culmine dans le déploiement de la grève de cobalt, en utilisant diverses API pour exécuter la charge utile et établir la communication avec un serveur de commande et de contrôle (C2). ## Description L'attaque commence par un document Excel malveillant sur le thème de l'armée ukrainienne, conçue pour inciter les utilisateurs à permettre à ses macros VBA.Une fois activé, la macro déploie un téléchargeur de DLL encodé en Hex, qui crée ensuite un raccourci et exécute le fichier DLL.Le téléchargeur, obscurci avec Confuserex, effectue divers processus pour télécharger le fichier requis, établir la persistance et injecter la charge utile finale "Cobalt Strike" à l'aide d'un injecteur DLL. Fortiguard Labs a identifié que l'Ukraine a été une cible significative en raison de sa situation géopolitique ces dernières années.Cette dernière attaque en plusieurs étapes fait partie d'un modèle de complexité et de fréquence croissantes des cyberattaques ciblant l'Ukraine. ## Détections / requêtes de chasse ### ** Microsoft Defender Antivirus ** Microsoft Defender Antivirus détecte les composants de menacesuivant les logiciels malveillants: - [Comportement: win32 / cobaltsstrike] (https://www.microsoft.com/en-us/wdsi/atherets/malware-Encyclopedia-Description? Name = comportement: win32 / cobaltstrike & menaceID = -2147077533) - [Backdoor: win64 / cobaltstrike] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?Nom = Backdoor: Win32 / Cobaltsstrike & menaceID = -2147179418) - [Hacktool: win64 / cobaltstrike] (https: // www.Microsoft.com/en-us/wdsi/therets/malware-encyclopedia-dercription?name=hacktool:win64/cobaltstrike& ;theatid=-2147190828) Des composants de frappe de cobalt supplémentaires sont détectés avec les signatures suivantes: - [TrojandRopper: PowerShell / Cobacis] (https://www.microsoft.com/en-us/wdsi/atherets/malware-encycopedia-description?name=Trojandropper: PowerShell / Cobacis.a & menaceID = -2147200375) - [Trojan: Win64 / Turtleloader.cs] (https://www.microsoft.com/en-us/wdsi/atherets/malware-Encyclopedia-Description? Name = Trojan: Win64 / Turtleloader & menaceID = -2147116338) - [Exploit: win32 / shellcode.bn] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=Exploit:win32/shellcode.bn& ;theatid=-2147237640)) ** Microsoft Defender pour le point de terminaison ** Les alertes avec le titre suivant dans le centre de sécurité peuvent indiquer une activité de menace sur votre réseau: - * Activité pratique des babillard-bornes en cours détectée (grève de Cobalt) * - * Strike de Cobalt nommé Pipes * - * Attaque opérée par l'homme en utilisant une frappe de cobalt * ## Recommandations Il est important de noter que Cobalt Strike est un outil de compromis post-compromis.Il n'est pas utilisé pour obtenir un accès initial et doit plutôt être compris comme une méthodologie pour maintenir et manipuler l'accès qu'un attaquant a déjà acquis.La mise en œuvre du principe des moindres privilèges, empêchant les fichiers inconnus de se lancer sur un système à travers des règles de réduction de la surface d'attaque et la protection des voies de mouvement latérale sera les meilleurs moyens d'atténuer une menace de frappe de cobalt. Si un attaquant a été identifié dans l'environnement, réinitialisez les mots de passe pour les comptes touchés.Si l'attaquant a exploité Kerberos, les mots de passe ont besoin d'une double réinitialisation au cours de 10 heures pour réinitialiser et invalider les billets existants. Microsoft recommande les atténuations suivantes pour réduire l'imp | Ransomware Malware Tool Threat | ★★★ | |
|
2024-06-03 14:45:00 | Les ransomwares augmentent malgré les démontages des forces de l'ordre Ransomware Rises Despite Law Enforcement Takedowns (lien direct) |
L'activité des ransomwares a augmenté en 2023, en partie alimentée par de nouveaux groupes et des partenariats entre les groupes, Mandiant a observé
Ransomware activity rose in 2023, partly fueled by new groups and partnerships between groups, Mandiant has observed |
Ransomware Legislation | ★★★ | |
 |
2024-06-03 14:00:00 | Ransomwares rebonds: la menace d'extorsion augmente en 2023, les attaquants s'appuient sur les outils accessibles au public et légitimes Ransomware Rebounds: Extortion Threat Surges in 2023, Attackers Rely on Publicly Available and Legitimate Tools (lien direct) |
Written by: Bavi Sadayappan, Zach Riddle, Jordan Nuce, Joshua Shilko, Jeremy Kennelly
A version of this blog post was published to the Mandiant Advantage portal on April 18, 2024. Executive Summary In 2023, Mandiant observed an increase in ransomware activity as compared to 2022, based on a significant rise in posts on data leak sites and a moderate increase in Mandiant-led ransomware investigations. Mandiant observed an increase in the proportion of new ransomware variants compared to new families, with around one third of new families observed in 2023 being variants of previously identified ransomware families. Actors engaged in the post-compromise deployment of ransomware continue to predominately rely on commercially available and legitimate tools to facilitate their intrusion operations. Notably, we continue to observe a decline in the use of Cobalt Strike BEACON, and a corresponding increase in the use of legitimate remote access tools. In almost one third of incidents, ransomware was deployed within 48 hours of initial attacker access. Seventy-six percent (76%) of ransomware deployments took place outside of work hours, with the majority occurring in the early morning. Mandiant\'s recommendations to assist in addressing the threat posed by ransomware are captured in our Ransomware Protection and Containment Strategies: Practical Guidance for Hardening and Protecting Infrastructure, Identities and Endpoints white paper. Introduction Threat actors have remained driven to conduct ransomware operations due to their profitability, particularly in comparison to other types of cyber crime. Mandiant observed an increase in ransomware activity in 2023 compared to 2022, including a 75% increase in posts on data leak sites (DLS), and an over 20% increase in Mandiant-led investigations involving ransomware from 2022 to 2023 (Figure 1). These observations are consistent with other reporting, which shows a record-breaking more than $1 billion USD paid to ransomware attackers in 2023. This illustrates that the slight dip in extortion activity observed in 2022 was an anomaly, potentially due to factors such as the invasion of Ukraine and the leaked CONTI chats. The current resurgence in extortion activity is likely driven by various factors, including the resettling of the cyber criminal ecosystem following a tumultuous year in 2022, new entrants, and new partnerships and ransomware service offerings by actors previously associated with prolific groups that had been disrupted. This blog post provides an overview of the ransomware landscape and common tactics, techniques, and procedures (TTPs) directly observed by Mandiant in 2023 ransomware incidents. Our analysis of TTPs relies primarily on data from Mandiant incident response engagements and therefore represe |
Ransomware Data Breach Spam Malware Tool Vulnerability Threat Legislation Prediction Medical Cloud Commercial | ★★★ | |
|
2024-06-03 11:00:00 | Ransomware a vu une résurgence en 2023, rapporte Mandiant Ransomware saw a resurgence in 2023, Mandiant reports (lien direct) |
> La société de cybersécurité a déclaré avoir vu une augmentation de l'activité des gangs de ransomware l'année dernière après une «légère baisse» de l'activité en 2022.
>The cybersecurity firm said it saw an increase in activity from ransomware gangs last year after a “slight dip” in activity in 2022. |
Ransomware | ★★★ | |
 |
2024-06-03 10:00:46 | Il est de menace l'évolution au premier trimestre 2024. Statistiques mobiles IT threat evolution in Q1 2024. Mobile statistics (lien direct) |
Statistiques de logiciels malveillants mobiles pour le premier trimestre 2024: menaces les plus courantes pour Android, les chevaux de Troie des banques mobiles et les chevaux de Troie ransomwares.
Mobile malware statistics for Q1 2024: most common threats for Android, mobile banking Trojans, and ransomware Trojans. |
Ransomware Malware Threat Mobile | ★★ | |
|
2024-06-03 10:00:08 | Il menace l'évolution au premier trimestre 2024. Statistiques non mobiles IT threat evolution in Q1 2024. Non-mobile statistics (lien direct) |
Dans ce rapport, Kaspersky partage des statistiques de logiciels malveillants non mobiles pour le premier trimestre 2024, y compris les statistiques de ransomware, de mineurs et de malware macOS.
In this report, Kaspersky shares non-mobile malware statistics for Q1 2024, including ransomware, miner and macOS malware statistics. |
Ransomware Malware Threat | ★★ | |
 |
2024-06-03 05:00:00 | Les autorités locales de Sellafield ont critiqué la réponse à l'attaque des ransomwares nord-coréens Sellafield local authority slammed over response to North Korean ransomware attack (lien direct) |
Pas de details / No more details | Ransomware | ★★ | |
 |
2024-05-31 23:21:30 | Comprendre le phishing d'identification Understanding Credential Phishing (lien direct) |
> Le phishing d'identification est un type de cyberattaque où les attaquants tentent de tromper vos employés pour fournir leurs informations sensibles, telles que leurs noms d'utilisateur Microsoft et leurs mots de passe.Ce qui n'est pas évident, c'est le phishing des diplômes, c'est la cause profonde de nombreuses violations, y compris la récente violation des ransomwares chez UnitedHealth Filial Change Healthcare.Selon le PDG de UnitedHealth Group [& # 8230;]
Le post Comprendre le phishing des informations d'identification .
>Credential phishing is a type of cyberattack where attackers attempt to deceive your employees into providing their sensitive information, such as their Microsoft usernames and passwords. What is not obvious is credential phishing is the root cause of many breaches, including the recent ransomware breach at UnitedHealth subsidiary Change Healthcare. According to UnitedHealth Group CEO […] The post Understanding Credential Phishing first appeared on SlashNext. |
Ransomware Medical | ★★ | |
|
2024-05-31 21:10:13 | THREAT ALERT: The XZ Backdoor - Supply Chaining Into Your SSH (lien direct) | ## Instantané La cyberéasie a émis une alerte de menace sur une porte dérobée découverte dans les versions XZ Utils 5.6.0 et 5.6.1, affectant les systèmes d'exploitation Linux.XZ Utils, une bibliothèque de compression utilisée dans diverses distributions Linux, a été compromise dans une attaque de chaîne d'approvisionnement ciblant l'intégrité du protocole SSH. ## Description Cette vulnérabilité, identifiée comme [CVE-2024-3094] (https://security.microsoft.com/intel-profiles/cve-2024-3094), a un score CVSS de 10 et permetMachines.La question affecte principalement les branches de développement de distributions comme Fedora, Debian, Alpine, Kali, OpenSuse et Arch Linux. La porte dérobée a été introduite par un contributeur nommé "Jiat75", qui a établi la crédibilité avant d'introduire des scripts malveillants et des fichiers de test au référentiel.Cet utilisateur a réduit les vérifications de sécurité dans des projets comme Oss-Fuzz dans le but de cacher la porte dérobée.La porte dérobée utilise des fonctions indirectes GNU et des crochets d'audit pour modifier le comportement SSH et est déclenché par un échange de certificat SSH malveillant, permettant l'exécution du code distant. Les modifications malveillantes comprenaient des modifications d'un tarball sur Github, non présentes dans le référentiel Git principal, facilitant l'installation de la porte dérobée.Un script M4 modifié, "M4 / build-to-host.m4", a été utilisé pour initier le chargement de la charge utile malveillante pendant le processus de construction. ## Analyse Microsoft Les menaces contre Linux (GNU / Linux OS) ont fait la une des journaux de SOINT ces derniers mois alors que les acteurs de la menace continuent d'évoluer les techniques d'attaque et de prioriser de plus en plus les cibles basées sur Linux.Bien que Linux OS ait longtemps été félicité pour son architecture de sécurité robuste par rapport à ses homologues à source fermée, les dernières années ont connu une augmentation significative des logiciels malveillants ciblant Linux, ce qui remet en question la notion de sa sécurité inhérente. Microsoft a suivi les tendances à travers les rapports récents de logiciels malveillants Linux dans la communauté de la sécurité.Ces tendances comprennent: l'exploitation des erreurs de configuration ou des versions de services précédentes, ciblant les vulnérabilités du service à 1 jour et l'exploitation des ransomwares et des crypto-monnaies. [En savoir plus sur les tendances récentes OSINT en LLinux malware ici.] (https://security.microsoft.com/intel-explorer/articles/ccbece59) ## Détections / requêtes de chasse ### mIcrosoft Defender Antivirus Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Comportement: Linux / CVE-2024-3094] (https://www.microsoft.com/en-us/wdsi/atherets/malware-encycopedia-description?name=bEhavior: Linux / CVE-2024-3094.c & menaceID = -2147061068) - [Exploit: Linux / CVE-2024-3094] (https://www.microsoft.com/en-us/wdsi/Therets/Malware-encyClopedia-Description?name=Exploit:linux/CVE-2024-3094.a& menaced = -2147061017) - [Trojan: Linux / Multiverze] (https://www.microsoft.com/en-us/wdsi/Thereats/MAlware-SencyClopedia-Description? Name = Trojan: Linux / Multiverze & menaceID = -2147183877) - Backdoor: Linux / XzBackdoorbuild ### Microsoft Defender pour le point de terminaison Les alertes avec les titres suivants dans le centre de sécurité peuvent indiquer une activité de menace sur votre réseau: - Exploitation possible CVE-2024-3094 ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Détrrader XZ utilise une version sans compromis comme 5.4.6 Stable. - Utilisez Defender pour des recommandations cloud pour détecter les ressources vuln | Ransomware Malware Tool Vulnerability Threat Cloud | ★★ | |
|
2024-05-31 19:56:27 | CORNE CISO: les délais fédéraux du cyberline;Danger de chatbot privé CISO Corner: Federal Cyber Deadlines Loom; Private Chatbot Danger (lien direct) |
Notre collection des perspectives de rapport et de l'industrie les plus pertinentes pour ceux qui guident les stratégies de cybersécurité et se sont concentrées sur SECOPS.Également inclus: lutter contre le burnout de cybersécurité;Ransomware de la combinaison noire;Les règles de violation de la SEC et la gestion des risques.
Our collection of the most relevant reporting and industry perspectives for those guiding cybersecurity strategies and focused on SecOps. Also included: fighting cybersecurity burnout; BlackSuit ransomware; the SEC breach rules and risk management. |
Ransomware | ★★ | |
 |
2024-05-31 17:43:03 | 91% de chaque attaque de ransomware aujourd'hui comprend l'exfiltration de vos données 91% of Every Ransomware Attack Today Includes Exfiltrating Your Data (lien direct) |
New insight into ransomware attacks show that cyber attacks are a top concern for organizations – with many not aware they were a victim until after the attack. |
Ransomware Studies | ★★★ | |
|
2024-05-31 07:52:05 | La violation des données de la BBC a un impact sur 25 000 employés BBC Data Breach Impacts 25,000 Employees (lien direct) |
> La BBC a divulgué une violation de données impactant plus de 25 000 employés actuels et anciens, mais l'incident n'a pas impliqué de ransomwares.
>The BBC has disclosed a data breach impacting over 25,000 current and former employees, but the incident did not involve ransomware. |
Ransomware Data Breach | ★★★ | |
|
2024-05-30 20:28:18 | Lilacsquid: La trilogie furtive de Purpleink, Inkbox et Inkloader LilacSquid: The stealthy trilogy of PurpleInk, InkBox and InkLoader (lien direct) |
## Snapshot Cisco Talos has disclosed a new suspected data theft campaign, active since at least 2021, attributed to an advanced persistent threat actor (APT) called "LilacSquid". ## Description The campaign uses MeshAgent, an open-source remote management tool, and a customized version of QuasarRAT called "PurpleInk" to serve as the primary implants after successfully compromising vulnerable application servers exposed to the internet. The campaign leverages vulnerabilities in public-facing application servers and compromised remote desktop protocol (RDP) credentials to orchestrate the deployment of a variety of open-source tools, such as MeshAgent and SSF, alongside customized malware, such as "PurpleInk," and two malware loaders called "InkBox" and "InkLoader." The campaign is geared toward establishing long-term access to compromised victim organizations to enable LilacSquid to siphon data of interest to attacker-controlled servers. LilacSquid\'s victimology includes a diverse set of victims consisting of information technology organizations building software for the research and industrial sectors in the United States, organizations in the energy sector in Europe, and the pharmaceutical sector in Asia, indicating that the threat actor may be agnostic of industry verticals and trying to steal data from a variety of sources. ## Detections/Hunting Queries # Recommendations to protect against Information Stealers Microsoft recommends the following mitigations to reduce the impact of Information stealer threats. - Check your Office 365 email filtering settings to ensure you block spoofed emails, spam, and emails with malware. Use [Microsoft Defender for Office 365](https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-for-office-365?ocid=magicti_ta_learndoc) for enhanced phishing protection and coverage against new threats and polymorphic variants. Configure Microsoft Defender for Office 365 to [recheck links on click](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) and [delete sent mail](https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=magicti_ta_learndoc) in response to newly acquired threat intelligence. Turn on [safe attachments policies](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-policies-configure?ocid=magicti_ta_learndoc) to check attachments to inbound email. - Encourage users to use Microsoft Edge and other web browsers that support [SmartScreen](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-protection-overview?ocid=magicti_ta_learndoc), which identifies and blocks malicious websites, including phishing sites, scam sites, and sites that host malware. - Turn on [cloud-delivered protection](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-block-at-first-sight-microsoft-defender-antivirus?ocid=magicti_ta_learndoc) in Microsoft Defender Antivirus, or the equivalent for your antivirus product, to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown variants. - Enforce MFA on all accounts, remove users excluded from MFA, and strictly [require MFA](https://learn.microsoft.com/azure/active-directory/identity-protection/howto-identity-protection-configure-mfa-policy?ocid=magicti_ta_learndoc) from all devices, in all locations, at all times. - Enable passwordless authentication methods (for example, Windows Hello, FIDO keys, or Microsoft Authenticator) for accounts that support passwordless. For accounts that still require passwords, use authenticator apps like Microsoft Authenticator for MFA. [Refer to this article](https://learn.microsoft.com/azure/active-directory/authentication/concept-authentication-methods?ocid=magicti_ta_learndoc) for the different authentication methods and features. - For MFA that uses authenticator apps, ensure that the | Ransomware Spam Malware Tool Vulnerability Threat Industrial | ★★★ | |
|
2024-05-30 16:42:15 | L'opération de police mondiale frappe contre les infrastructures de logiciels malveillants Global police operation strikes against malware infrastructure (lien direct) |
> \\ 'Opération Endgame \' Variants de logiciels malveillants bien connus ciblés utilisés pour faciliter les ransomwares et autres cybercriminaux graves.
>\'Operation Endgame\' targeted well-known malware variants used to facilitate ransomware and other serious cybercrime. |
Ransomware Malware Legislation | ★★★★ | |
|
2024-05-30 16:28:11 | 4 arrêté comme opération Endgame perturbe les botnets ransomwares 4 Arrested as Operation Endgame Disrupts Ransomware Botnets (lien direct) |
> Par waqas
Europol a dirigé l'opération Endgame, la plus grande opération contre les botnets à ce jour, a concentré le démantèlement de l'infrastructure de malveillant & # 8230;
Ceci est un article de HackRead.com Lire le post original: 4 arrêté comme opération Endgame perturbe les botnets ransomwares
>By Waqas Europol led Operation Endgame, the largest operation against botnets to date, focused on dismantling the infrastructure of malicious… This is a post from HackRead.com Read the original post: 4 Arrested as Operation Endgame Disrupts Ransomware Botnets |
Ransomware | ★★★ | |
|
2024-05-30 16:15:00 | Endgame Operation Opération dirigée par Europol frappe le botnet, les réseaux de ransomwares Europol-Led Operation Endgame Hits Botnet, Ransomware Networks (lien direct) |
L'opération a ciblé plusieurs gouttes de logiciels malveillants importants, notamment Icedid, SystemBC, Pikabot, SmokeLoader et Bumblebee
The operation targeted several significant malware droppers, including IcedID, SystemBC, Pikabot, Smokeloader and Bumblebee |
Ransomware Malware | ★★★ | |
 |
2024-05-30 16:00:00 | Détails importants sur les rapports de ransomwares Circia Important details about CIRCIA ransomware reporting (lien direct) |
> En mars 2022, l'administration Biden a signé la loi sur la Cyber Incident Reportation for Critical Infrastructure Act of 2022 (Circia).Cette législation historique tâche l'agence de sécurité de cybersécurité et d'infrastructure (CISA) pour élaborer et mettre en œuvre des réglementations obligeant les entités couvertes à signaler les cyber-incidents couverts et les paiements de ransomwares.Les rapports d'incident Circia sont destinés à permettre [& # 8230;]
>In March 2022, the Biden Administration signed into law the Cyber Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA). This landmark legislation tasks the Cybersecurity and Infrastructure Security Agency (CISA) to develop and implement regulations requiring covered entities to report covered cyber incidents and ransomware payments. The CIRCIA incident reports are meant to enable […] |
Ransomware Legislation | ★★★ | |
 |
2024-05-30 15:19:44 | \\ 'Opération Endgame \\' frappe les plates-formes de livraison de logiciels malveillants \\'Operation Endgame\\' Hits Malware Delivery Platforms (lien direct) |
Les organismes d'application de la loi aux États-Unis et en Europe ont annoncé aujourd'hui l'opération Endgame, une action coordonnée contre certaines des plates-formes de cybercriminalité les plus populaires pour fournir des ransomwares et des logiciels malveillants de volume de données.Surnommé "la plus grande opération de tous les temps contre les botnets", l'effort international est présenté comme la salve d'ouverture dans une campagne en cours ciblant les "droppers" ou les "chargeurs" de logiciels malveillants avancés comme Icedid, Smokeloader et Trickbot.
Law enforcement agencies in the United States and Europe today announced Operation Endgame, a coordinated action against some of the most popular cybercrime platforms for delivering ransomware and data-stealing malware. Dubbed "the largest ever operation against botnets," the international effort is being billed as the opening salvo in an ongoing campaign targeting advanced malware "droppers" or "loaders" like IcedID, Smokeloader and Trickbot. |
Ransomware Malware Legislation | ★★★★ | |
 |
2024-05-30 15:19:33 | Les dangers des attaques de ransomware à double extorsion The Dangers of Double Extortion Ransomware Attacks (lien direct) |
Renseignez-vous sur la dernière tendance des attaques de ransomwares appelées double extorsion.Découvrez comment DarkTrace peut aider à protéger votre organisation de cette menace.
Learn about the latest trend in ransomware attacks known as double extortion. Discover how Darktrace can help protect your organization from this threat. |
Ransomware Threat Prediction | ★★★ | |
 |
2024-05-30 14:21:12 | Qu'est-ce que Shrinklocker?New Ransomware cible la fonction de chiffrement Microsoft Bitlocker What Is ShrinkLocker? New Ransomware Targets Microsoft BitLocker Encryption Feature (lien direct) |
Le malware exploite Windows BitLocker pour chiffrer les fichiers d'entreprise.
The malware exploits Windows BitLocker to encrypt corporate files. |
Ransomware Malware | ★★★ | |
|
2024-05-30 09:39:06 | L'attaque de ransomware perturbe les services de bibliothèque publique de Seattle Ransomware Attack Disrupts Seattle Public Library Services (lien direct) |
> La bibliothèque publique de Seattle se précipite pour mettre les systèmes en ligne après les avoir fermés pour contenir une attaque de ransomware.
>The Seattle Public Library is scrambling to bring systems online after shutting them down to contain a ransomware attack. |
Ransomware | ★★★ | |
 |
2024-05-30 08:26:14 | Les principaux botnets perturbés par le retrait mondial des forces de l'ordre Major Botnets Disrupted via Global Law Enforcement Takedown (lien direct) |
Global law enforcement recently announced Operation Endgame, a widespread effort to disrupt malware and botnet infrastructure and identify the alleged individuals associated with the activity. In a press release, Europol called it the “largest ever operation against botnets, which play a major role in the deployment of ransomware.” In collaboration with private sector partners including Proofpoint, the efforts disrupted the infrastructure of IcedID, SystemBC, Pikabot, SmokeLoader, Bumblebee, and Trickbot. Per Europol, in conjunction with the malware disruption, the coordinated action led to four arrests, over 100 servers taken down across 10 countries, over 2,000 domains brought under the control of law enforcement, and illegal assets frozen. Malware Details SmokeLoader SmokeLoader is a downloader that first appeared in 2011 and is popular among threat actors. It is a modular malware with various stealer and remote access capabilities, and its main function is to install follow-on payloads. Proofpoint observed SmokeLoader in hundreds of campaigns since 2015, and it was historically used by major initial access brokers including briefly by TA577 and TA511 in 2020. Many SmokeLoader campaigns are not attributed to tracked threat actors, as the malware is broadly available for purchase on various forums. Its author claims to only sell to Russian-speaking users. Proofpoint has observed approximately a dozen SmokeLoader campaigns in 2024, with the malware leading to the installation of Rhadamanthys, Amadey, and various ransomware. Many SmokeLoader campaigns from 2023 through 2024 are attributed to an actor known as UAC-0006 that targets Ukrainian organizations with phishing lures related to “accounts” or “payments.” Example macro-enabled document delivering SmokeLoader in a May 2024 campaign. CERT-UA attributes this activity to UAC-0006. SystemBC SystemBC is a proxy malware and backdoor leveraging SOCKS5 first identified by Proofpoint in 2019. Initially observed being delivered by exploit kits, it eventually became a popular malware used in ransomware-as-a-service operations. Proofpoint rarely observes SystemBC in email threat data, as it is typically deployed post-compromise. However, our researchers observed it used in a handful of campaigns from TA577 and TA544, as well as dropped by TA542 following Emotet infections. IcedID IcedID is a malware originally classified as a banking trojan and first detected by Proofpoint in 2017. It also acted as a loader for other malware, including ransomware. The well-known IcedID version consists of an initial loader which contacts a Loader C2 server, downloads the standard DLL Loader, which then delivers the standard IcedID Bot. Proofpoint has observed nearly 1,000 IcedID campaigns since 2017. This malware was a favored payload by numerous initial access brokers including TA511, TA551, TA578, and occasionally TA577 and TA544, as well as numerous unattributed threats It was also observed dropped by TA542, the Emotet threat actor, which was the only actor observed using the “IcedID Lite” variant Proofpoint identified in 2022. IcedID was often the first step to ransomware, with the malware being observed as a first-stage payload in campaigns leading to ransomware including Egregor, Sodinokibi, Maze, Dragon Locker, and Nokoyawa. Proofpoint has not observed IcedID in campaign data since November 2023, after which researchers observed campaigns leveraging the new Latrodectus malware. It is likely the IcedID developers are also behind Latrodectus malware. IcedID\'s widespread use by advanced cybercriminal threats made it a formidable malware on the ecrime landscape. Its disruption is great news for defenders. Pikabot Pikabot is a malware that has two components, a loader and a core module, designed to execute arbitrary commands and load additional payloads. Pikabot\'s main objective is to download follow-on malware. Pikabot first appeared in campaign data in March 2023 used by TA577 and has since been almost exclusively used by this actor. Pikab | Ransomware Malware Threat Legislation Technical | ★★★ | |
|
2024-05-30 07:08:11 | Les organismes de santé perdent 20 % de leurs données sensibles lors de chaque attaque de ransomware, selon Rubrik Zero Labs (lien direct) | Les organismes de santé perdent 20 % de leurs données sensibles lors de chaque attaque de ransomware, selon Rubrik Zero Labs Les organismes de santé ont connu 50 % d'événements de cryptage de plus que la moyenne mondiale en 2023. - Malwares | Ransomware Studies | ★★★★ | |
|
2024-05-29 20:44:01 | Corée du Nord \\ 'S \\' Moonstone Sheet \\ 'Using Fake Tank Game, Ransomware personnalisé dans les attaques North Korea\\'s \\'Moonstone Sleet\\' using fake tank game, custom ransomware in attacks (lien direct) |
Pas de details / No more details | Ransomware | ★★ | |
|
2024-05-29 17:46:06 | Les infirmières de l'Ascension Hospital du Michigan ont des alarmes sur la sécurité après une attaque de ransomware Nurses at Ascension hospital in Michigan raise alarms about safety following ransomware attack (lien direct) |
Pas de details / No more details | Ransomware | ★★★ | |
 |
2024-05-29 16:05:00 | Microsoft Uncovers \\ 'Moonstone Sheet \\' - Nouveau groupe de pirates nord Microsoft Uncovers \\'Moonstone Sleet\\' - New North Korean Hacker Group (lien direct) |
Un acteur de menace nord-coréen jamais vu auparavant, le nom de manche de Moonstone Sleet a été attribué comme derrière les cyberattaques ciblant les individus et les organisations dans les secteurs de base industrielle des technologies et des technologies de l'information, de l'éducation et de la défense avec un ransomware et un malware sur mesure auparavant associé au célèbre groupe Lazarus Lazare.
"On observe que le grésil de la pierre de lune installe de fausses entreprises et
A never-before-seen North Korean threat actor codenamed Moonstone Sleet has been attributed as behind cyber attacks targeting individuals and organizations in the software and information technology, education, and defense industrial base sectors with ransomware and bespoke malware previously associated with the infamous Lazarus Group. "Moonstone Sleet is observed to set up fake companies and |
Ransomware Malware Threat Industrial | APT 38 | ★★ |
|
2024-05-29 14:43:22 | BlackSuit affirme que des dizaines de victimes avec un ransomware soigneusement organisé BlackSuit Claims Dozens of Victims With Carefully Curated Ransomware (lien direct) |
Les chercheurs sont en profondeur sur une attaque du groupe de menaces, qui cible principalement les entreprises américaines dans les secteurs de l'éducation et des biens industriels, en particulier pour maximiser le gain financier.
Researchers went in-depth on an attack by the threat group, which mainly targets US companies in the education and industrial goods sectors, specifically to maximize financial gain. |
Ransomware Threat Industrial | ★★ | |
|
2024-05-29 13:00:09 | Corée du Nord pour construire des réserves de trésorerie utilisant des ransomwares, jeux vidéo North Korea building cash reserves using ransomware, video games (lien direct) |
Microsoft dit que l'hermite de Kim \\ pivote les derniers outils à mesure qu'il évolue dans le cyberespace un tout nouveau groupe de cybercriminalité que Microsoft lie avec la Corée du Nord trompe des cibles en utilisant de fausses opportunités d'emploi à lancermalware et ransomware, le tout pour un gain financier…
Microsoft says Kim\'s hermit nation is pivoting to latest tools as it evolves in cyberspace A brand-new cybercrime group that Microsoft ties to North Korea is tricking targets using fake job opportunities to launch malware and ransomware, all for financial gain.… |
Ransomware Malware Tool | APT 37 | ★★ |
|
2024-05-29 12:04:44 | Scality lance Core5 avec ARTESCA 3.0 (lien direct) | Face aux attaques ransomware sur les données de sauvegarde , Scality publie son offre de cyber-résilience Core5 avec ARTESCA 3.0. Avec ARTESCA pour Veeam, la protection des données franchit une étape supplémentaire au-delà de l'immutabilité pour faire face aux attaques ransomware pilotées par l'intelligence artificielle : 5 niveaux de défense avec Core5. - Produits | Ransomware | ★★ | |
|
2024-05-29 09:52:18 | Informations personnelles de 44 000 compromis dans la première cyberattaque américaine Personal Information of 44,000 Compromised in First American Cyberattack (lien direct) |
> First American informera 44 000 personnes que leurs informations personnelles ont été volées lors d'une attaque de ransomware de décembre 2023.
>First American will notify 44,000 individuals that their personal information was stolen in a December 2023 ransomware attack. |
Ransomware | ★★ | |
 |
2024-05-29 02:47:14 | L'UE resserre la cybersécurité pour les fournisseurs d'énergie EU Is Tightening Cybersecurity for Energy Providers (lien direct) |
Le secteur de l'énergie a une décennie tumultueuse.Pendant la pandémie covide, le prix du pétrole a chuté.En 2021, une attaque de ransomware a forcé l'un des pipelines pétroliers les plus importants des États-Unis pour cesser les opérations pendant cinq jours, provoquant un état d'urgence dans dix-sept États.La guerre de Poutine en Ukraine a perturbé l'approvisionnement en gaz naturel à travers l'Europe.Et maintenant, semble-t-il, ce sont les fournisseurs d'électricité \\ 'se tourner pour subir un coup.Le 11 mars 2024, la Commission européenne a adopté de nouvelles règles de cybersécurité - Le Code du réseau de l'UE sur la cybersécurité pour le secteur de l'électricité (c / 2024/1383) - pour «établir un récurrent ...
The energy sector is having a tumultuous decade. During the COVID pandemic, the price of oil plummeted. In 2021, a ransomware attack forced one of the US\'s most significant oil pipelines to cease operations for five days, causing a state of emergency in seventeen states. Putin\'s war in Ukraine has disrupted natural gas supplies across Europe. And now, it seems, it is the electricity providers\' turn to suffer a blow. On March 11th, 2024, the European Commission adopted new cybersecurity rules-the EU network code on cybersecurity for the electricity sector (C/2024/1383)-to “establish a recurrent... |
Ransomware | ★★ | |
|
2024-05-28 20:51:27 | Arc Browsers Windows Lancez ciblé par Google Ads Malvertising Arc Browsers Windows Launch Targeted by Google Ads Malvertising (lien direct) |
## Instantané Le navigateur ARC, un nouveau navigateur Web qui a récemment été publié, a été la cible d'une campagne de malvertising. ## Description Les cybercriminels ont créé une fausse campagne publicitaire qui imite le navigateur Arc, en utilisant des logos et des sites Web officiels pour inciter les utilisateurs à télécharger des logiciels malveillants.Le malware est emballé de manière unique, le programme d'installation principal contenant deux autres exécutables.L'un de ces exécutables récupère un installateur Windows pour le logiciel Arc légitime, tandis que l'autre contacte la plate-forme cloud méga via l'API de son développeur \\.En raison de l'installation du navigateur ARC comme prévu sur la machine de la victime et des fichiers malveillants exécutés furtivement en arrière-plan, il est peu probable que la victime se rendait à la victime qu'elles sont maintenant infectées par des logiciels malveillants. Les acteurs de la menace capitalisent sur le battage médiatique entourant les nouveaux lancements logiciels / jeux ne sont pas nouveaux, mais continue d'être une méthode efficace pour distribuer des logiciels malveillants. Les utilisateurs qui cherchent à télécharger des logiciels devraient ignorer tous les résultats promus sur Google Search, utiliser des bloqueurs d'annonces qui masquent ces résultats et mettant en signet les sites Web officiels du projet pour une utilisation future. ## Recommandations # Recommandations pour protéger contre la malvertising Appliquez ces atténuations pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Encouragez les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge SmartScreen, qui identifie et bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites contenant des exploits et hébergent des logiciels malveillants.[Allumez la protection du réseau] (https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/enable-network-protection?ocid=Magicti%3CEM%3ETA%3C/em%3ElearnDoc) pour bloquer les connexions aux domaines malveillants et aux adresses IP. - Construire la résilience organisationnelle contre les menaces par e-mail en éduquant les utilisateurs sur l'identification des attaques d'ingénierie sociale et la prévention de l'infection par les logiciels malveillants.Utilisez [Formation de la simulation d'attaque] (https://learn.microsoft.com/microsoft-365/security/office-365-security/attack-simulation-training-get-started?ocid=Magicti%3CEM%3ETA%3C/EM% 3ElearnDoc) dans Microsoft Defender pour Office 365 pour exécuter des scénarios d'attaque, accroître la sensibilisation des utilisateurs et permettre aux employés de reconnaître et de signaler ces attaques. - Pratiquez le principe du moindre privile et maintenez l'hygiène des références.Évitez l'utilisation des comptes de service au niveau de l'administration à l'échelle du domaine.La restriction des privilèges administratifs locaux peut aider à limiter l'installation de rats et d'autres applications indésirables. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/enable-cloud-protection-Microsoft-Defender-Antivirus? OCID = magicti% 3cem% 3eta% 3c / em% 3elearndoc) et échantillon automatiqueSoumission sur Microsoft Defender Antivirus.Ces capacités utilisent l'intelligence artificielle et l'apprentissage automatique pour identifier et arrêter rapidement les menaces nouvelles et inconnues. - Allumez [Fonctionnalités de protection contre les alcool% 3eta% 3C / EM% 3ELEARNDOC) Pour empêcher les attaquants d'empêcher les services de sécurité. Les clients de Microsoft Defender peuvent activer [Règles de réduction de la surface d'attaque] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-reduction?ocid=Magicti%3CEM%3ETA%3C/EM% | Ransomware Malware Threat Cloud | ★★ | |
|
2024-05-28 19:40:48 | ShrinkLocker: transformer le bitlocker en ransomware ShrinkLocker: Turning BitLocker into Ransomware (lien direct) |
#### Géolocations ciblées
- Mexique
- Indonésie
- Jordan
## Instantané
Des chercheurs de Kapersky ont identifié un incident dans lequel les attaquants se sont déployés et un script de base visuel avancé (VBScript) qui a profité du bitlocker pour le cryptage de fichiers non autorisé.
## Description
Bitlocker a été initialement conçu pour protéger les données contre le vol ou l'exposition lorsque les appareils sont perdus, volés ou mal éliminés.Cependant, les attaquants ont découvert comment exploiter cette fonctionnalité à des fins malveillantes.Les chercheurs de Kapersky ont détecté ce script et ses versions modifiées au Mexique, en Indonésie et en Jordanie.
Initialement, le script utilise Windows Management Instrumentation (WMI) pour collecter des informations sur le système d'exploitation (OS).Il vérifie le domaine et la version du système d'exploitation actuels, se terminant s'il rencontre certaines conditions, telles que les anciennes versions Windows comme XP ou Vista.
Le script effectue des opérations de redimensionnement du disque uniquement sur des disques fixes pour éviter les outils de détection sur les lecteurs de réseau.Pour Windows Server 2008 et 2012, il rétrécit les partitions non-Boot, crée de nouvelles partitions, les formats et réinstalle les fichiers de démarrage à l'aide de DiskPart et BCDBoot.Pour d'autres versions Windows, des opérations similaires sont exécutées avec du code adapté à la compatibilité.
Les entrées de registre sont ajoutées par le script, qui vérifie si les outils de chiffrement BitLocker Drive sont actifs et démarre le service de cryptage BitLocker Drive s'il ne s'exécute pas déjà.Le script désactive et supprime ensuite les protecteurs de bitlocker par défaut, les remplaçant par un mot de passe numérique pour éviter la récupération des clés.
Une clé de chiffrement unique à 64 caractères est générée à l'aide d'éléments aléatoires et de données spécifiques au système, converti en une chaîne sécurisée et utilisé pour activer BitLocker sur les disques.Les attaquants utilisent le domaine trycloudflare.com pour envoyer des demandes de publication chiffrées avec des informations système et la clé de chiffrement de leur serveur.
Pour couvrir ses pistes, le script se supprime, efface les journaux et modifie les paramètres du système avant de forcer un arrêt.Lors du redémarrage, la victime est confrontée à un écran Bitlocker sans options de récupération, les verrouillant efficacement de leurs données.
## Les références
[ShrinkLocker: transformer Bitlocker en ransomware] (https://securelist.com/ransomware-abuses-bitlocker/112643/).Kapersky (consulté en 2024-05-28)
#### Targeted Geolocations - Mexico - Indonesia - Jordan ## Snapshot Researchers at Kapersky identified an incident where attackers deployed and an advanced Visual Basic Script (VBScript) that took advantage of BitLocker for unauthorized file encryption. ## Description BitLocker was originally designed to protect data from being stolen or exposed when devices are lost, stolen, or improperly disposed of. However, attackers have discovered how to exploit this feature for malicious purposes. Kapersky researchers have detected this script and its modified versions in Mexico, Indonesia, and Jordan. Initially, the script uses Windows Management Instrumentation (WMI) to gather operating system (OS) information. It checks the current domain and OS version, terminating itself if it encounters certain conditions, such as older Windows versions like XP or Vista. The script performs disk resizing operations only on fixed drives to avoid detection tools on network drives. For Windows Server 2008 and 2012, it shrinks non-boot partitions, creates new partitions, formats them, and reinstalls boot files using diskpart and bcdboot. For other Windows versions, similar operations are executed wit |
Ransomware Tool Threat | ★★★ |
To see everything:
Our RSS (filtrered)
