What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-06-22 15:08:43 | CDK Global Putage causée par une attaque de ransomware de combinaison noire CDK Global outage caused by BlackSuit ransomware attack (lien direct) |
Le gang de ransomwares noirs est derrière la panne d'informatique massive de CDK Global \\ et les perturbations des concessionnaires automobiles en Amérique du Nord, selon plusieurs sources familières avec le problème.[...]
The BlackSuit ransomware gang is behind CDK Global\'s massive IT outage and disruption to car dealerships across North America, according to multiple sources familiar with the matter. [...] |
Ransomware | ||
|
2024-06-22 10:19:38 | Ratel Rat cible les téléphones Android obsolètes dans des attaques de ransomwares Ratel RAT targets outdated Android phones in ransomware attacks (lien direct) |
Un logiciel malveillant Android open-source nommé \\ 'Ratel Rat \' est largement déployé par plusieurs cybercriminels pour attaquer les appareils obsolètes, certains visant à les verrouiller avec un module de ransomware qui exige le paiement sur Telegram.[...]
An open-source Android malware named \'Ratel RAT\' is widely deployed by multiple cybercriminals to attack outdated devices, some aiming to lock them down with a ransomware module that demands payment on Telegram. [...] |
Ransomware Malware Mobile | ||
 |
2024-06-21 15:33:07 | Vente du code source du Ransomware INC (lien direct) | Depuis août 2023, le ransomware INC, fonctionnant sous le modèle Ransomware-as-a-Service (RaaS), fait parler de lui. Le code source a été mis en vente sur le darknet. | Ransomware | ||
 |
2024-06-21 15:26:59 | Avec une revue presque terminée, UnitedHealth dit \\ 'Aucune preuve \\' Doctors \\ 'graphiques volés en attaque de ransomware With review nearly finished, UnitedHealth says \\'no evidence\\' doctors\\' charts stolen in ransomware attack (lien direct) |
Pas de details / No more details | Ransomware | ||
|
2024-06-21 12:10:25 | Modifier les soins de santé répertorie les données médicales volées dans une attaque de ransomware Change Healthcare lists the medical data stolen in ransomware attack (lien direct) |
UnitedHealth a confirmé pour la première fois quels types de données médicales et des patients ont été volées lors de l'attaque de ransomware de soins de santé massive à changement, indiquant que les notifications de violation de données seront postées en juillet.[...]
UnitedHealth has confirmed for the first time what types of medical and patient data were stolen in the massive Change Healthcare ransomware attack, stating that data breach notifications will be mailed in July. [...] |
Ransomware Data Breach Medical | ||
 |
2024-06-21 12:07:13 | Ransomware Qilin fuit 400 Go de NHS et de données sur les patients sur le télégramme Qilin Ransomware Leaks 400GB of NHS and Patient Data on Telegram (lien direct) |
Découvrez l'impact de l'attaque des ransomwares de Qilin contre Synnovis et services de santé.Découvrez les conséquences de ce cyber-incident et ses implications pour les soins aux patients.
Learn about the impact of the Qilin ransomware attack on Synnovis and healthcare services. Discover the consequences of this cyber incident and its implications for patient care. |
Ransomware Medical | ||
|
2024-06-21 11:55:26 | Près de 200 opérations de cancer reportées alors que le groupe de ransomware publie des données de london Almost 200 cancer operations postponed as ransomware group publishes London hospitals data (lien direct) |
Pas de details / No more details | Ransomware | ||
 |
2024-06-21 11:15:07 | Qilin Cyber Scum Données de fuite qu'ils prétendent appartiennent à London Hospitals \\ 'Pathology Provider Qilin cyber scum leak data they claim belongs to London hospitals\\' pathology provider (lien direct) |
Au moins, ils n'ont pas été payés à leur demande de rançon de 50 millions de dollars Le gang de ransomware responsable du chaos dans les hôpitaux de Londres est resté fidèle à sa parole et a publié une mine de données qu'il prétend appartenirau fournisseur de services de pathologie Synnovis.…
At least they didn\'t get paid their $50 million ransom demand The ransomware gang responsible for the chaos at London hospitals kept true to its word and released a trove of data that it claims belongs to pathology services provider Synnovis.… |
Ransomware | ||
 |
2024-06-21 09:50:00 | Les attaquants de Synnovis publient les données des patients NHS en ligne Synnovis Attackers Publish NHS Patient Data Online (lien direct) |
Ransomware Group Qilin aurait publié près de 400 Go de données volées à la suite de l'attaque contre le fournisseur NHS Synnovis début juin
Ransomware group Qilin has reportedly published nearly 400GB of data stolen following the attack on NHS provider Synnovis in early June |
Ransomware | ★★ | |
 |
2024-06-20 15:00:36 | RAFEL RAT, Android Malware de l'espionnage aux opérations de ransomware Rafel RAT, Android Malware from Espionage to Ransomware Operations (lien direct) |
> En ce qui concerne les appareils mobiles, Android est le système d'exploitation le plus populaire et le plus utilisé avec plus de 3,9 milliards d'utilisateurs actifs dans plus de 190 pays.Les trois quarts de tous les appareils mobiles fonctionnent sur Android.Cependant, avec son adoption généralisée et son environnement ouvert vient le risque d'activité malveillante.Android Malware, un logiciel malveillant conçu pour cibler les appareils Android, constitue une menace importante pour les utilisateurs & # 8217;confidentialité, sécurité et intégrité des données.Ces programmes malveillants se présentent sous diverses formes, y compris les virus, les chevaux de Troie, les ransomwares, les logiciels espions et les logiciels publicitaires, et ils peuvent infiltrer des appareils via plusieurs vecteurs, tels que les téléchargements d'applications, les sites Web malveillants, les attaques de phishing et même [& # 8230;]
>When it comes to mobile devices, Android is the most popular and used operating system with over 3.9 billion active users in over 190 countries. Three-quarters of all mobile devices run on Android. However, with its widespread adoption and open environment comes the risk of malicious activity. Android malware, a malicious software designed to target Android devices, poses a significant threat to users’ privacy, security, and data integrity. These malicious programs come in various forms, including viruses, Trojans, ransomware, spyware, and adware, and they can infiltrate devices through multiple vectors, such as app downloads, malicious websites, phishing attacks, and even […] |
Ransomware Malware Threat Mobile | ★★ | |
|
2024-06-20 15:00:00 | Rafel RAT, Android Malware from Espionage to Ransomware Operations (lien direct) | > Recherche de: Antonis Terefos, Bohdan Melnykov Introduction Android, le système d'exploitation mobile le plus populaire de Google, alimente des milliards de smartphones et de tablettes à l'échelle mondiale.Connu pour sa nature open source et sa flexibilité, Android offre aux utilisateurs un large éventail de fonctionnalités, d'options de personnalisation et d'accès à un vaste écosystème d'applications via le Google Play Store et d'autres sources.Cependant, [& # 8230;]
>Research by: Antonis Terefos, Bohdan Melnykov Introduction Android, Google\'s most popular mobile operating system, powers billions of smartphones and tablets globally. Known for its open-source nature and flexibility, Android offers users a wide array of features, customization options, and access to a vast ecosystem of applications through the Google Play Store and other sources. However, […] |
Ransomware Malware Mobile | ★★ | |
 |
2024-06-20 13:33:38 | Lockbit Ransomware à nouveau le plus actif & # 8211;Une véritable poussée d'attaque ou un écran de fumée? LockBit Ransomware Again Most Active – Real Attack Surge or Smokescreen? (lien direct) |
> Lockbit semble être à nouveau le groupe de ransomware le plus actif, mais les experts pensent que les pirates peuvent simplement gonfler leurs chiffres.
>LockBit appears to once again be the most active ransomware group, but experts believe the hackers may just be inflating their numbers. |
Ransomware | ★★★ | |
|
2024-06-20 13:30:00 | Lockbit le plus éminent acteur de ransomware en mai 2024 LockBit Most Prominent Ransomware Actor in May 2024 (lien direct) |
Le groupe Ransomware Lockbit a renvoyé le pli pour lancer 176 attaques en mai 2024 à la suite d'un démontage des forces de l'ordre, le groupe NCC a trouvé
The LockBit ransomware group returned the fold to launch 176 attacks in May 2024 following a law enforcement takedown, NCC Group found |
Ransomware Legislation | ★★ | |
|
2024-06-20 10:29:06 | Qilin: Nous savions que notre attaque Synnovis entraînerait une crise des soins de santé dans les hôpitaux de Londres Qilin: We knew our Synnovis attack would cause a healthcare crisis at London hospitals (lien direct) |
Les cybercriminels affirment qu'ils ont utilisé un jour zéro pour vioder les systèmes du fournisseur de pathologie \\ interview Le gang de ransomware responsable de la crise actuelle des soins de santé dans les hôpitaux de Londres dit qu'il aAucun regret sur l'attaque, qui était entièrement délibéré, il a dit à le registre dans une interview.…
Cybercriminals claim they used a zero-day to breach pathology provider\'s systems Interview The ransomware gang responsible for the current healthcare crisis at London hospitals says it has no regrets about the attack, which was entirely deliberate, it told The Register in an interview.… |
Ransomware Vulnerability Threat Medical | ★★★ | |
 |
2024-06-20 10:25:56 | Ransomware Qilin: ce que vous devez savoir Qilin Ransomware: What You Need To Know (lien direct) |
Qu'est-ce que Qilin?Qilin (également connu sous le nom d'agenda) est une opération criminelle ransomware en tant que service qui travaille avec des affiliés, cryptant et exfiltrant les données des organisations piratées, puis exigeant qu'une rançon soit payée.Qilin semble être un nom étrange.D'où est ce que ça vient?Le Qilin est une créature de la mythologie chinoise qui combine les caractéristiques d'un dragon et d'une bête à cornes.Parfois, il est comparé à une licorne.Le ransomware de Qilin vient donc de Chine?Euh, non.Désolé.Le groupe derrière l'opération Ransomware de Qilin semble être lié à la Russie.Hmmph.Alors, combien de temps le Qilin ...
What is Qilin? Qilin (also known as Agenda) is a ransomware-as-a-service criminal operation that works with affiliates, encrypting and exfiltrating the data of hacked organisations and then demanding a ransom be paid. Qilin seems like a strange name. Where does it come from? The Qilin is a creature from Chinese mythology that combines the features of a dragon and a horned beast. Sometimes, it is compared to a unicorn. So the Qilin ransomware comes from China? Err, no. Sorry. The group behind the Qilin ransomware operation appears to be linked to Russia. Hmmph. So how long has the Qilin... |
Ransomware | ★★ | |
 |
2024-06-18 20:33:27 | From Clipboard to Compromise: A PowerShell Self-Pwn (lien direct) | ## Instantané Les chercheurs de ProofPoint ont identifié une technique qui ordonne aux utilisateurs de copier et de coller des scripts PowerShell malveillants pour infecter leurs ordinateurs par des logiciels malveillants.Des acteurs de menace, dont TA571 et les acteurs derrière le cluster d'activités Clearfake, utilisent cette méthode pour fournir des logiciels malveillants, notamment Darkgate, Matanbuchus, Netsupport et divers voleurs d'informations. ## Description Proofpoint a observé cette technique dans plusieurs campagnes récentes impliquant plusieurs acteurs de menace, y compris ceux qui sont derrière Clearfake et l'acteur de menace TA571, connu pour la distribution des spams menant à des logiciels malveillants et à des infections au ransomware.La chaîne d'attaque nécessite une interaction importante des utilisateurs pour réussir, mais l'ingénierie sociale est suffisamment intelligente pour présenter à quelqu'un ce qui ressemble à un vrai problème et une solution simultanément, ce qui peut inciter un utilisateur à prendre des mesures sans considérer le risque. La campagne Clearfake est un faux cluster d'activités de mise à jour du navigateur qui compromet les sites Web légitimes avec un HTML et un JavaScript malveillants.Le script initial a ensuite chargé un deuxième script à partir d'un domaine qui a utilisé Keitaro TDS pour le filtrage.Si ce deuxième script se chargeait et passait divers chèques, et si la victime continuait de parcourir le site Web, il a été présenté avec une fausse superposition d'avertissement sur le site Web compromis.Cet avertissement leur a demandé d'installer un "certificat racine" pour afficher correctement le site Web. La campagne TA571 comprenait plus de 100 000 messages et ciblé des milliers d'organisations dans le monde.Les e-mails contenaient une pièce jointe HTML qui affichait une page ressemblant à Microsoft Word.La page a également affiché un message d'erreur qui disait l'extension «\\» word en ligne \\ 'n'est pas installée »et a présenté deux options pour continuer:« comment réparer »et« automatique ». Les charges utiles observées comprennent Darkgate, Matanbuchus, Netsupport, Amadey Loader, XMRIG et Lummma Stealer.Les acteurs de la menace expérimentent activement différentes méthodes pour améliorer l'efficacité et trouver plus de voies d'infection pour compromettre un plus grand nombre de systèmes. ## Analyse Microsoft Ces dernières années, Microsoft a suivi le risque croissant que les infostateurs présentent à la sécurité des entreprises.Les infostateurs sont des logiciels malveillants de marchandises utilisés pour voler des informations à un appareil cible et l'envoyer à l'acteur de menace.La popularité de cette classe de logiciels malveillants a conduit à l'émergence d'un écosystème d'infosteller et à une nouvelle classe d'acteurs de menace qui a exploité ces capacités pour mener leurs attaques.Les infostelleurs sont annoncés comme un logiciel malveillant en tant que service (MAAS) offrant & # 8211;Un modèle d'entreprise où les développeurs louent la charge utile de l'infostealer aux distributeurs moyennant des frais. Les voleurs d'informations sont polyvalents et peuvent être distribués sous diverses formes, notamment par le biais de campagnes par e-mail de phishing, de malvertising et de logiciels, de jeux et d'outils maladucs.En règle générale, une fois que l'utilisateur télécharge et lance la charge utile malveillante, il établit des connexions de commande et de contrôle (C2) avec des domaines suspects.Une fois infecté, l'infostaler tente de collecter et finalement exfilter les informations du système, y compris les fichiers, les navigateurs, les appareils et les applications orientés sur Internet aux serveurs C2.En savoir plus [ici sur l'analyse des infostelleurs de Microsoft \\] (https://security.microsoft.com/intel-profileS / 2296D491EA381B532B24F2575F9418D4B6723C17B8A1F507D20C2140A75D16D6). - [darkgate] (https://securit | Ransomware Spam Malware Tool Threat | ★★★★ | |
 |
2024-06-18 19:53:36 | Blackbaud a condamné à une amende de 6,75 millions de dollars après 2020 Ransomware Attack Blackbaud Fined $6.75M After 2020 Ransomware Attack (lien direct) |
Les acteurs de la menace ont pu violer les systèmes de Blackbaud et compromettre les données sensibles, en grande partie à cause des mauvaises pratiques de cybersécurité de l'entreprise et du manque de données cryptées, a déclaré l'AG.
Threat actors were able to breach Blackbaud\'s systems and compromise sensitive data, largely because of the company\'s poor cybersecurity practices and lack of encrypted data, the AG said. |
Ransomware Threat | ★★ | |
|
2024-06-18 18:22:59 | Ransomware Roundup _ Shinra et Limpopo Ransomware Ransomware Roundup _ Shinra and Limpopo Ransomware (lien direct) |
#### Géolocations ciblées - Israël - Pologne - Russie - Royaume-Uni - États-Unis ## Instantané Fortiguard Labs Researcha identifié le ransomware Shinra et Limpopo dans leur rapport Ransomware Roundup.Les souches de ransomware de Shinra et Limpopo, émergeant au début de 2024, présentent des techniques avancées et ont ciblé plusieurs pays, provoquant des perturbations importantes en cryptant des fichiers et en exigeant des rançons. ## Description Le ransomware de Shinra, vu pour la première fois en avril 2024, exfiltre les données de la victime avant de chiffrer les fichiers et de supprimer des copies fantômes de volume.Il affecte les victimes en Israël, en Pologne, en Russie, au Royaume-Uni et aux États-Unis, met fin aux processus et aux services, modifie le papier peint de bureau et évite de crypter des fichiers et des répertoires spécifiques. Les ransomwares limpopo, liés aux ransomwares Socotra, ciblent les environnements ESXi et ont été soumis pour scanning en février 2024. Le vecteur d'infection pour les ransomwares limpopo est inconnu, mais il affecte plusieurs pays et crypte des fichiers avec des extensions spécifiques, ajoutant une prolongation ".limpopo" ".aux fichiers de liste blanche.Il laisse tomber une note de rançon exigeant la coopération et fournit un lien pour d'autres instructions. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de la menaceComme les logiciels malveillants suivants: - Ransom: Linux / Babuk - Ransom: win64 / akira - rançon: win32 / conti - Trojan: Linux / Filecoder ## ReCommensions Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces de ransomware. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus ou l'équivalent pour que votre produit antivirus couvre des outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une énorme majorité de variantes nouvelles et inconnues. - Allumez [Protection Tamper] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=Magicti_TA_LearnDoc).Empêcher les attaquants d'empêcher les services de sécurité. - Exécutez [Détection et réponse de point de terminaison (EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-lock-mode?ocid=Magicti_TA_Learndoc), de sorte que celaLe défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque l'antivirus Microsoft Defender fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants détectés après la lutte. - Activer [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?ocid=Magicti_TA_Learndoc) en mode automatisé complet pour permettre au défenseur de terminer l'action immédiatement sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate surAlertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - Les clients de Microsoft Defender peuvent activer [Règles de réduction de la surface d'attaque] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-reduction?ocid=Magicti_TA_LearnDoc) pour prévenir les techniques d'attaque communes utilisées utilisées utiliséDans les attaques de ransomwares.Les règles de réduction de la surface d'attaque sont des pa | Ransomware Malware Tool Threat | ★★★ | |
|
2024-06-18 16:41:56 | Le ransomware de la combinaison noire divulgue les données de la police de Kansas City dans un tracé de rançon raté BlackSuit Ransomware Leaks Kansas City Police Data in Failed Ransom Plot (lien direct) |
Le ransomware de la combinaison noire, connu sous le nom de changement de marque du gang de ransomwares continu, a divulgué une mine de données de la police de Kansas City, y compris des dossiers de preuves, des dossiers d'enquête, des téléphones de scène de crime et bien plus encore, après que le ministère a refusé de payer la rançon.
BlackSuit Ransomware, known as the rebrand of the Conti ransomware gang, has leaked a trove of Kansas City Police data, including evidence records, investigation files, crime scene phones, and much more, after the department refused to pay the ransom. |
Ransomware Legislation | ★★★ | |
|
2024-06-18 13:15:15 | Oncle Sam met fin au soutien financier aux organisations blessées par le changement d'attaque de soins de santé Uncle Sam ends financial support to orgs hurt by Change Healthcare attack (lien direct) |
milliards de dollars à la disposition, mais le pire semble être terminé Le gouvernement américain termine son soutien financier aux fournisseurs de soins de santé initialement introduits à la suite de l'attaque de ransomware chez Change Healthcare en février.…
Billions of dollars made available but worst appears to be over The US government is winding down its financial support for healthcare providers originally introduced following the ransomware attack at Change Healthcare in February.… |
Ransomware Medical | ★★★ | |
 |
2024-06-18 13:00:02 | Mises à jour du NHS sur les perturbations, violation de données potentielle après l'attaque des ransomwares de laboratoire de Londres NHS updates on disruptions, potential data breach following London lab ransomware attack (lien direct) |
Le National Health Service (NHS) du Royaume-Uni a publié une mise à jour concernant la cyberattaque ransomware le 3 juin contre ...
The U.K. National Health Service (NHS) released an update regarding the ransomware cyber attack on June 3rd against... |
Ransomware Data Breach | ★★ | |
|
2024-06-17 21:08:04 | Cleveland confirme l'attaque des ransomwares alors que l'hôtel de ville reste fermé Cleveland confirms ransomware attack as City Hall remains closed (lien direct) |
Pas de details / No more details | Ransomware | ★★ | |
|
2024-06-17 20:40:46 | CVE-2024-4577: exploitation continue d'une vulnérabilité de PHP critique CVE-2024-4577: Ongoing Exploitation of a Critical PHP Vulnerability (lien direct) |
## Instantané
Cyble Global Sensor Intelligence (CGSI) a détecté plusieurs tentatives de balayage liées à [CVE-2024-4577] (https://security.microsoft.com/intel-explorer/cves/cve-2024-4577/) provenant de divers emplacements.La vulnérabilité découle des erreurs dans les conversions de codage des caractères, affectant en particulier la fonction «la meilleure ajustement» sur les systèmes d'exploitation Windows.L'exploitation de cette faille pourrait potentiellement permettre aux acteurs de menace d'exécuter à distance du code arbitraire, posant des risques de sécurité importants aux installations PHP sur toutes les versions exécutées sur les plates-formes Windows.
## Description
Le 7 juin, PHP a publié un patch officiel pour aborder la vulnérabilité.Le lendemain, Watchtowr Labs a publié un code d'exploitation de preuve de concept (POC) pour le CVE-2024-4577 et les acteurs de la menace ont ensuite utilisé la vulnérabilité au déploiement du ransomware sur les systèmes vulnérables.CGSI rapporte plusieurs campagnes de logiciels malveillants associées à cette nouvelle vulnérabilité, inculant la campagne Ransomware de TellyouthPass et Muhstik malware.
Le CVE-2024-4577 a un impact explicitement sur le mode CGI de PHP \\, où le serveur Web interprète HTTP demande et les transmet à un script PHP pour le traitement.Si un personnage comme un trait d'union doux (0xad) est utilisé dans un paramètre URL, le gestionnaire CGI sur Windows, après sa cartographie de la meilleure ajustement, peut interpréter ce caractère différemment que prévu.Cette mauvaise interprétation permet à un attaquant d'exécuter du code arbitraire sur le serveur PHP vulnérable.
CGSI rapporte que l'exposition des instances de PHP potentiellement vulnérables est alarmante.Les organisations devraient donner la priorité aux mises à niveau vers les dernières versions PHP: 8.3.8, 8.2.20 et 8.1.29.
## Les références
[CVE-2024-4577: Exploitation continue d'une vulnérabilité de PHP critique] (https://cyble.com/blog/cve-2024-4577-ongoing-exploitation-of-a-critical-php-vulnerabilité/).Cyble Global Sensor Intelligence (consulté en 2024-06-17)
## Snapshot Cyble Global Sensor Intelligence (CGSI) has detected multiple scanning attempts related to [CVE-2024-4577](https://security.microsoft.com/intel-explorer/cves/CVE-2024-4577/) originating from various locations. The vulnerability stems from errors in character encoding conversions, particularly affecting the “Best Fit” feature on Windows operating systems. Exploiting this flaw could potentially enable threat actors to remotely execute arbitrary code, posing significant security risks to PHP installations across all versions running on Windows platforms. ## Description On June 7th, PHP released an official patch to address the vulnerability. The following day, WatchTowr Labs published a proof-of-concept (PoC) exploit code for CVE-2024-4577 and threat actors subsequently utilized the vulnerability to deploy ransomware on vulnerable systems. CGSI reports several malware campaigns associated with this new vulnerability, inculding the TellYouThePass ransomware campaign and Muhstik malware. CVE-2024-4577 explicitly impacts PHP\'s CGI mode, where the web server interprets HTTP requests and forwards them to a PHP script for processing. If a character like a soft hyphen (0xAD) is used in a URL parameter, the CGI handler on Windows, following its Best Fit mapping, may interpret this character differently than intended. This misinterpretation allows an attacker to execute arbitrary code on the vulnerable PHP server. CGSI reports that the exposure of potentially vulnerable PHP instances is alarmingly high. Organizations should prioritze upgrades to the latest PHP versions: 8.3.8, 8.2.20, and 8.1.29. ## References [CVE-2024-4577: Ongoing Exploitation of a Critical PHP Vulnerability](https://cyble.com/blog/cve-2024-4577-ongoing-exploitation-of-a-critical-php-vulnerability/). Cyble Glob |
Ransomware Malware Vulnerability Threat | ★★★ | |
|
2024-06-17 17:45:10 | Blackbaud doit cracher quelques millions de dollars de plus à 2020 Ransomware Attack Blackbaud has to cough up a few million dollars more over 2020 ransomware attack (lien direct) |
Quatre ans plus tard et il paie toujours ce que le procureur général de Californie appelle \\ 'inacceptable \' pratique mois après s'être échappé sans une amende de la Federal Trade Commission américaine (FTC), la chance du logiciel Cloud Biz Blackbaud s'est épuisée quand il s'agissait d'atteindre un règlement avec le procureur général de Californie.…
Four years on and it\'s still paying for what California attorney general calls \'unacceptable\' practice Months after escaping without a fine from the US Federal Trade Commission (FTC), the luck of cloud software biz Blackbaud ran out when it came to reaching a settlement with California\'s attorney general.… |
Ransomware Cloud | ★★★ | |
|
2024-06-17 15:55:40 | Panera Bread a probablement payé une rançon lors de l'attaque de ransomware de mars Panera Bread likely paid a ransom in March ransomware attack (lien direct) |
Panera Bread, une chaîne américaine de restaurants de restauration rapide, a probablement payé une rançon après avoir été frappé par une attaque de ransomware, suggère que le langage a utilisé un e-mail interne envoyé aux employés.[...]
Panera Bread, an American chain of fast food restaurants, most likely paid a ransom after being hit by a ransomware attack, suggests language used an internal email sent to employees. [...] |
Ransomware | ★★★ | |
|
2024-06-17 14:10:41 | Smalltiger Maleware utilisés dans les attaques contre les entreprises sud-coréennes (Kimsuky et Andariel) SmallTiger Malware Used in Attacks Against South Korean Businesses (Kimsuky and Andariel) (lien direct) |
#### Targeted Geolocations - Korea ## Snapshot The AhnLab Security Intelligence Center (ASEC) has reported on a series of cyberattacks targeting South Korean businesses utilizing the SmallTiger malware. ## Description While the initial access method remains unidentified, SmallTiger is introduced during the lateral movement phase within the affected companies\' systems. Notably, the targets include South Korean defense contractors, automobile part manufacturers, and semiconductor manufacturers. Initially discovered in November 2023, the attacks showed characteristics of the "Kimsuky" group\'s tactics, but deviated by leveraging software updater programs for internal propagation. Moreover, the presence of DurianBeacon, previously associated with Andariel group attacks, was detected in the compromised systems. Subsequent attacks in February 2024 continued to employ SmallTiger, with variations observed in the malware\'s distribution methods and payloads. ASEC mentions additonal cases which include DurianBeacon attack utalizing MultiRDP Malware and Meterpreter in Novemner 2023, and another SmallTiger attack where the threat actor installed Mimikatz and ProcDump to hijack system credentials. ## Detections/Hunting Queries Microsoft Defender for Endpoint Alerts with the following titles in the security center can indicate threat activity on your network: - Mimikatz credential theft tool The following alerts might also indicate threat activity associated with this threat. These alerts, however, can be triggered by unrelated threat activity and are not monitored in the status cards provided with this report. - Malicious credential theft tool execution detected - Suspicious access to LSASS service ## Recommendations Microsoft recommends the following mitigations to reduce the impact of Information Stealer threats. - Check your Office 365 email filtering settings to ensure you block spoofed emails, spam, and emails with malware. Use [Microsoft Defender for Office 365](https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-for-office-365?ocid=magicti_ta_learndoc) for enhanced phishing protection and coverage against new threats and polymorphic variants. Configure Microsoft Defender for Office 365 to [recheck links on click](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) and [delete sent mail](https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=magicti_ta_learndoc) in response to newly acquired threat intelligence. Turn on [safe attachments policies](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-policies-configure?ocid=magicti_ta_learndoc) to check attachments to inbound email. - Encourage users to use Microsoft Edge and other web browsers that support [SmartScreen](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-protection-overview?ocid=magicti_ta_learndoc), which identifies and blocks malicious websites, including phishing sites, scam sites, and sites that host malware. - Turn on [cloud-delivered protection](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-block-at-first-sight-microsoft-defender-antivirus?ocid=magicti_ta_learndoc) in Microsoft Defender Antivirus, or the equivalent for your antivirus product, to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown variants. - Enforce MFA on all accounts, remove users excluded from MFA, and strictly [require MFA](https://learn.microsoft.com/azure/active-directory/identity-protection/howto-identity-protection-configure-mfa-policy?ocid=magicti_ta_learndoc) from all devices, in all locations, at all times. - Enable passwordless authentication methods (for example, Windows Hello, FIDO keys, or Microsoft Authenticator) for accounts that support passwordle | Ransomware Spam Malware Tool Threat | ★★★ | |
|
2024-06-17 12:36:31 | KeyTronic dit des informations personnelles volées dans une attaque de ransomware Keytronic Says Personal Information Stolen in Ransomware Attack (lien direct) |
> KeyTronic confirme que les informations personnelles ont été compromises après qu'un groupe de ransomwares a divulgué des données prétendument volées.
>Keytronic confirms that personal information was compromised after a ransomware group leaked allegedly stolen data. |
Ransomware | ★★ | |
|
2024-06-17 11:42:19 | Faits saillants hebdomadaires, 17 juin 2024 Weekly OSINT Highlights, 17 June 2024 (lien direct) |
## Snapshot Last week\'s OSINT reporting reveals a landscape of cyber threats involving diverse and sophisticated attack strategies by state-sponsored actors and cybercrime organizations. The reports showcase various attack vectors, including phishing campaigns, exploitation of cloud services, and use of malware such as RATs, ransomware, and infostealers. Key threat actors like UNC5537, Kimsuky, and Cosmic Leopard are targeting sectors ranging from cloud computing and aviation to military and government entities, often leveraging stolen credentials and exploiting software vulnerabilities. These incidents underscore the critical need for robust security practices, such as multi-factor authentication and regular credential updates, to defend against increasingly complex and targeted cyber threats. ## Description 1. **[Warmcookie Malware Campaign](https://sip.security.microsoft.com/intel-explorer/articles/d5d815ce)**: Elastic Security Labs identified Warmcookie, a Windows malware distributed via fake job offer phishing campaigns. The malware establishes C2 communication to gather victim information, execute commands, and drop files, with the campaign ongoing and targeting users globally. 2. **[Snowflake Data Theft](https://sip.security.microsoft.com/intel-explorer/articles/3cb4b4ee)**: Mandiant uncovered UNC5537 targeting Snowflake customers to steal data and extort victims using stolen credentials from infostealer malware. The campaign highlights poor credential management and the absence of MFA, prompting Snowflake to issue security guidance. 3. **[IcedID, Cobalt Strike, and ALPHV Ransomware](https://sip.security.microsoft.com/intel-explorer/articles/b74a41ff)**: DFIR Report analyzed a cyber intrusion deploying IcedID via malicious emails, followed by Cobalt Strike for remote control and ALPHV ransomware for encryption. Attackers used various tools for persistence, reconnaissance, and data exfiltration, showcasing a complex multi-stage attack. 4. **[ValleyRAT Multi-Stage Campaign](https://sip.security.microsoft.com/intel-explorer/articles/c599ee92)**: Zscaler ThreatLabz identified a campaign deploying an updated ValleyRAT by China-based threat actors, using phishing emails and HTTP File Server for malware delivery. The RAT includes advanced evasion techniques and enhanced data collection capabilities. 5. **[APT Attacks Using Cloud Services](https://sip.security.microsoft.com/intel-explorer/articles/bebf8696)**: AhnLab Security Intelligence Center reported APT attacks leveraging Google Drive, OneDrive, and Dropbox to distribute malware. Attackers use malicious scripts and RAT strains to collect user information and perform various malicious activities. 6. **[CoinMiner vs. Ransomware Conflict](https://sip.security.microsoft.com/intel-explorer/articles/58dd52ff)**: ASEC described an incident where a CoinMiner attacker\'s proxy server was compromised by a ransomware actor\'s RDP scan attack. The CoinMiner botnet infection through MS-SQL server vulnerabilities was disrupted by the ransomware attack, illustrating inter-threat actor conflicts. 7. **[Sticky Werewolf Campaign](https://sip.security.microsoft.com/intel-explorer/articles/e3b51ad8)**: Morphisec Labs discovered Sticky Werewolf targeting the aviation industry with phishing campaigns using LNK files. The group, with suspected geopolitical ties, employs CypherIT Loader/Crypter for payload delivery and anti-analysis measures. 8. **[Kimsuky\'s Espionage Campaign](https://sip.security.microsoft.com/intel-explorer/articles/ab73cf6f)**: BlackBerry identified North Korea\'s Kimsuky group targeting a Western European weapons manufacturer with spear-phishing emails containing malicious JavaScript. The campaign underscores the growing threat of cyber espionage in the military sector. 9. **[Operation Celestial Force](https://sip.security.microsoft.com/intel-explorer/articles/0dccc722)**: Cisco Talos reported Cosmic Leopard\'s espionage campaign using GravityRAT and HeavyLift, targeting Indian defense and government sectors. The campaign em | Ransomware Malware Tool Vulnerability Threat Mobile Cloud | ★★ | |
|
2024-06-17 08:45:00 | L'attaque des ransomwares de Londres a conduit à 1500 rendez-vous et opérations annulées London Ransomware Attack Led to 1500 Cancelled Appointments and Operations (lien direct) |
L'attaque de ransomware contre un fournisseur du NHS a forcé le service de santé à réorganiser plus de 1000 opérations et rendez-vous
Ransomware attack on an NHS supplier forced the health service to rearrange 1000+ operations and appointments |
Ransomware | ★★ | |
|
2024-06-17 06:34:14 | Notorious Cyber Gang UNC3944 attaque vsphere et Azure pour faire fonctionner les VM à l'intérieur des victimes \\ 'infrastructure Notorious cyber gang UNC3944 attacks vSphere and Azure to run VMs inside victims\\' infrastructure (lien direct) |
Qui a besoin de ransomwares lorsque vous pouvez effrayer les techniciens pour cracher leurs informations d'identification? Notorious Cyber Gang UNC3944 & # 8211;L'équipage soupçonné de participer aux récentes attaques contre Snowflake et MGM Entertainment, et bien plus encore & # 8211;a changé sa tactique et cible désormais les applications SaaS…
Who needs ransomware when you can scare techies into coughing up their credentials? Notorious cyber gang UNC3944 – the crew suspected of involvement in the recent attacks on Snowflake and MGM Entertainment, and plenty more besides – has changed its tactics and is now targeting SaaS applications… |
Ransomware Cloud | ★★★ | |
 |
2024-06-17 05:00:43 | Du presse-papiers au compromis: un PowerShell Self-PWN From Clipboard to Compromise: A PowerShell Self-Pwn (lien direct) |
Key findings Proofpoint researchers identified an increasingly popular technique leveraging unique social engineering to run PowerShell and install malware. Researchers observed TA571 and the ClearFake activity cluster use this technique. Although the attack chain requires significant user interaction to be successful, the social engineering is clever enough to present someone with what looks like a real problem and solution simultaneously, which may prompt a user to take action without considering the risk. Overview Proofpoint has observed an increase in a technique leveraging unique social engineering that directs users to copy and paste malicious PowerShell scripts to infect their computers with malware. Threat actors including initial access broker TA571 and at least one fake update activity set are using this method to deliver malware including DarkGate, Matanbuchus, NetSupport, and various information stealers. Whether the initial campaign begins via malspam or delivered via web browser injects, the technique is similar. Users are shown a popup textbox that suggests an error occurred when trying to open the document or webpage, and instructions are provided to copy and paste a malicious script into the PowerShell terminal, or the Windows Run dialog box to eventually run the script via PowerShell. Proofpoint has observed this technique as early as 1 March 2024 by TA571, and in early April by the ClearFake cluster, as well as in early June by both clusters. Campaign Details ClearFake example Our researchers first observed this technique with the ClearFake campaign in early April and we have observed it used in every ClearFake campaign since then. ClearFake is a fake browser update activity cluster that compromises legitimate websites with malicious HTML and JavaScript. In observed campaigns, when a user visited a compromised website, the injection caused the website to load a malicious script hosted on the blockchain via Binance\'s Smart Chain contracts, a technique known as "EtherHiding". The initial script then loaded a second script from a domain that used Keitaro TDS for filtering. If this second script loaded and passed various checks, and if the victim continued to browse the website, they were presented with a fake warning overlay on the compromised website. This warning instructed them to install a "root certificate" to view the website correctly. Malicious fake warning instructing recipients to copy a PowerShell script and run it in the PowerShell Terminal. The message included instructions to click a button to copy a PowerShell script and then provided steps on how to manually run this script on the victim\'s computer. If the instructions were followed, the user executed the PowerShell by pasting it into the PowerShell command line interface window. In campaigns in May, we observed the following chain: The script performed various functions including flushing the DNS cache, removing clipboard content, displaying a decoy message to the user, and downloading a remote PowerShell script and execute it in-memory. The second PowerShell script was essentially used to download yet another PowerShell script. This third PowerShell script obtained system temperatures via WMI and, if no temperature was returned as in the case of many virtual environments and sandboxes, exited the script. However, if it continued, it led to a fourth AES-encrypted PowerShell script that downloaded a file named “data.zip” and extracted the contents to find and execute any .exe files, and then reported back to the ClearFake C2 that the installation was completed. The threat actor used ZIP\'s ability to contain any executable and bundled various legitimate, signed executables that side-loaded a trojanized DLL. This DLL used DOILoader (also known as IDAT Loader or HijackLoader) to load Lumma Stealer from an encrypted file, also included in the downloaded ZIP file. Lumma Stealer then, in addition to p | Ransomware Spam Malware Threat Prediction | ★★★ | |
|
2024-06-15 20:49:27 | Les attaquants de ransomwares peuvent avoir utilisé la vulnérabilité d'escalade des privilèges comme zéro jour Ransomware Attackers May Have Used Privilege Escalation Vulnerability as Zero-day (lien direct) |
## Instantané L'équipe Hunter de Symantec \\ a identifié des preuves suggérant que le groupe de cybercriminalité cardinal (suivi parMicrosoft as [Storm-1811] (https://security.microsoft.com/intel-profiles/0a78394b205d9b9d6cbcbd5f34053d7fc1912c3fa7418ffd0eabf1d00f677a2b)) peut avoira exploité la vulnérabilité du service de rapports d'erreur Windows récemment corrigé ([CVE-2024-26169] (https://security.microsoft.com/intel-explorer/cves/cve-2024-26169/)) en tant que zéro jour. ## Description L'outil d'exploit, déployé dans une récente tentative d'attaque de ransomware étudiée par Symantec, profite d'une vulnérabilité d'escalade de privilèges (CVE-2024-26169) pour créer une clé de registre permettant à l'exploit de démarrer un shell avec des privilèges administratifs.La variante de l'outil utilisé dans cette attaque avait un horodatage de compilation du 27 février 2024, plusieurs semaines avant le correctif de la vulnérabilité.Cela suggère qu'au moins un groupe a peut-être exploité la vulnérabilité comme un jour zéro. Les attaquants \\ 'tactiques, techniques et procédures (TTPS) ressemblaient étroitement à celles décrites dans un récent rapport Microsoft sur l'activité Black Basta] (https://www.microsoft.com/en-us/security/blog/2024/05/15 / ACCORTS D'ACCUPTEURS-MISSUSING-QUICK-ASSIST-IN-Social-Ingenering-Attacks-leading-to-ransomware /), indiquant un potentiel échoué [Black Basta] (https: //security.microsoft.com/intel-profiles/0146164ed5ffa131074fa7e985f779597d2522865baa088f25cd80c3d8d726) Attaque. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte ThrMangez les composants comme logiciels malveillants suivants: - Trojan: Win32 / Cerber - Trojan: win64 / cryptinject - [comportement: win32 / basta] (https://www.microsoft.com/wdsi/therets/malware-encyclopedia-description?name=behavior:win32/basta.b&Thereatid=-2147132479) - [ransom: win32 / basta] (https://www.microsoft.com/wdsi/therets/malware-encycopedia-dercription?name=ransom:win32/basta.aa& ;thereatid = -2147149077) - [Trojan: Win32 / Basta] (https://www.microsoft.com/wdsi/thereats/malware-encycopedia-dercription?name=trojan:win32/basta!bv& ;thereatid = -2147142676) ## Recommandations Appliquez ces atténuations pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Allumez [Protection en cloud-élivé] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=Magicti%3CEM% 3ETA% 3C / EM% 3ELEARNDOC) dans Microsoft Defender Antivirus ou l'équivalent pour que votre produit antivirus couvre rapidement les outils et techniques d'attaquant en évolution.Les protections d'apprentissage automatique basées sur le cloud bloquent une énorme majorité de variantes nouvelles et inconnues. - Allumez [Protection Tamper] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=Magicti%3CEM%3ETA% 3C / EM% 3ELEARNDOC) Caractéristiques pour empêcher les attaquants d'empêcher les services de sécurité. - Exécuter [EDR en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/EDR-in-bloc-mode? OCID = magicti% 3cem% 3eta% 3c / em% 3elearndoc) pour que Microsoft Defender Fou un point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Activer [Protection réseau] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/enable-network-protection?ocid=Magicti%3CEM%3ETA%3C/EM%3ElearnDoc) pour prévenir les applications pour prévenir les applications pour prévenir les applications pour prévenir les applications pour | Ransomware Malware Tool Vulnerability Threat | ★★★ | |
|
2024-06-14 17:20:52 | KeyTronic confirme la violation des données après les fuites de gangs ransomwares des fichiers volés Keytronic confirms data breach after ransomware gang leaks stolen files (lien direct) |
Le géant de la fabrication de PCBA KeyTronic avertit qu'il a subi une violation de données après que le gang de ransomware Black Basta a divulgué 530 Go des données volées de la société il y a deux semaines.[...]
PCBA manufacturing giant Keytronic is warning it suffered a data breach after the Black Basta ransomware gang leaked 530GB of the company\'s stolen data two weeks ago. [...] |
Ransomware Data Breach | ★★ | |
 |
2024-06-14 17:00:00 | Ransomware Roundup & # 8211;Ransomware de shinra et limpopo Ransomware Roundup – Shinra and Limpopo Ransomware (lien direct) |
Shinra et Limpopo sont des ransomwares récents conçus pour chiffrer les fichiers dans les environnements Windows et VMware ESXi respectivement, et ils exigent le paiement des victimes pour décrypter les fichiers.
Shinra and Limpopo are recent ransomware designed to encrypt files in Windows and VMWare ESXi environments respectively, and they demand payment from victims to decrypt the files. |
Ransomware | ★★ | |
|
2024-06-14 14:05:51 | Les hôpitaux de Londres annulent plus de 800 opérations après une attaque de ransomware London hospitals cancel over 800 operations after ransomware attack (lien direct) |
Le NHS en Angleterre a révélé aujourd'hui que plusieurs hôpitaux de Londres touchés par l'attaque des ransomwares de Synnovis de la semaine dernière ont été contraints d'annuler des centaines d'opérations et de nominations prévues.[...]
NHS England revealed today that multiple London hospitals impacted by last week\'s Synnovis ransomware attack were forced to cancel hundreds of planned operations and appointments. [...] |
Ransomware | ★★★ | |
|
2024-06-14 11:52:43 | Ascension dit personnelle, les informations sur la santé volées dans l'attaque des ransomwares Ascension Says Personal, Health Information Stolen in Ransomware Attack (lien direct) |
> Ascension indique que les informations sur les patients ont été volées dans une attaque de ransomware en début de mai qui a impliqué un employé téléchargeant des logiciels malveillants.
>Ascension says patient information was stolen in an early-May ransomware attack that involved an employee downloading malware. |
Ransomware Malware | ★★★ | |
|
2024-06-13 18:36:17 | Les gouvernements municipaux du Michigan, New York, font face à des fermetures après des attaques de ransomwares City governments in Michigan, New York face shutdowns after ransomware attacks (lien direct) |
Pas de details / No more details | Ransomware | ★★ | |
|
2024-06-13 17:52:51 | Ascension piratée après le téléchargement de fichier malveillant de l'employé Ascension hacked after employee downloaded malicious file (lien direct) |
Ascension, l'un des plus grands systèmes de santé américains, a révélé qu'une attaque de ransomware de mai 2024 était causée par un employé qui a téléchargé un fichier malveillant sur un appareil de l'entreprise.[...]
Ascension, one of the largest U.S. healthcare systems, revealed that a May 2024 ransomware attack was caused by an employee who downloaded a malicious file onto a company device. [...] |
Ransomware Medical | ★★ | |
|
2024-06-13 15:00:00 | Attaque en ascension causée par le téléchargement des employés au fichier malveillant Ascension Attack Caused by Employee Downloading Malicious File (lien direct) |
La société de santé Ascension a déclaré que les attaquants de ransomware ont eu accès à ses systèmes après qu'un employé ait accidentellement téléchargé un fichier malveillant
Healthcare firm Ascension said that ransomware attackers gained access to its systems after an employee accidently downloaded a malicious file |
Ransomware Medical | ★★★ | |
|
2024-06-13 14:43:23 | La commission scolaire du district de Toronto a frappé par une attaque de ransomware Toronto District School Board hit by a ransomware attack (lien direct) |
Le conseil scolaire de Toronto District (TDSB) avertit qu'il a subi une attaque de ransomware contre son environnement de test de logiciels et examine maintenant si des informations personnelles ont été exposées.[...]
The Toronto District School Board (TDSB) is warning that it suffered a ransomware attack on its software testing environment and is now investigating whether any personal information was exposed. [...] |
Ransomware | ★★ | |
|
2024-06-13 14:32:14 | Panera met en garde contre la violation des données des employés après l'attaque des ransomwares de mars Panera warns of employee data breach after March ransomware attack (lien direct) |
Le géant de la chaîne alimentaire américaine Panera Bread informe les employés d'une violation de données après que des acteurs de menace inconnus ont volé leurs informations personnelles sensibles dans une attaque de ransomware de mars.[...]
U.S. food chain giant Panera Bread is notifying employees of a data breach after unknown threat actors stole their sensitive personal information in a March ransomware attack. [...] |
Ransomware Data Breach Threat | ★★ | |
 |
2024-06-13 14:00:00 | UNC3944 cible les applications SaaS UNC3944 Targets SaaS Applications (lien direct) |
Introduction
UNC3944 is a financially motivated threat group that carries significant overlap with public reporting of "0ktapus," "Octo Tempest," "Scatter Swine," and "Scattered Spider," and has been observed adapting its tactics to include data theft from software-as-a-service (SaaS) applications to attacker-owned cloud storage objects (using cloud synchronization tools), persistence mechanisms against virtualization platforms, and lateral movement via SaaS permissions abuse. Active since at least May 2022, UNC3944 has leveraged underground communities like Telegram to acquire tools, services, and support to enhance their operations.
Initially, UNC3944 focused on credential harvesting and SIM swapping attacks in their operations, eventually migrating to ransomware and data theft extortion. However, recently, UNC3944 has shifted to primarily data theft extortion without the use of ransomware. This change in objectives has precipitated an expansion of targeted industries and organizations as evidenced by Mandiant investigations.
Evidence also suggests UNC3944 has occasionally resorted to fearmongering tactics to gain access to victim credentials. These tactics include threats of doxxing personal information, physical harm to victims and their families, and the distribution of compromising material.
This blog post aims to spotlight UNC3944\'s attacks against SaaS applications, providing insights into the group\'s evolving TTPs in line with its shifting mission objectives.
Tactics, Techniques, and Procedures (TTPs)
Figure 1: UNC3944 attack lifecycle
Mandiant has observed UNC3944 in multiple engagements leveraging social engineering techniques against corporate help desks to gain initial access to existing privileged accounts. Mandiant has analyzed several forensic recordings of these call center attacks, and of the observed r |
Ransomware Tool Threat Cloud | ★★★ | |
 |
2024-06-13 13:35:00 | L'arrêt de la police ukrainienne suspecte lié à des groupes de ransomware de verrouillage et de continu Ukraine Police Arrest Suspect Linked to LockBit and Conti Ransomware Groups (lien direct) |
La Cyber Police of Ukraine a annoncé l'arrestation d'un homme local soupçonné d'avoir offert ses services aux groupes de ransomware de verrouillage et de continu.
Le natif de 28 ans sans nom de la région de Kharkiv se serait spécialisé dans le développement de Crypters pour crypter et obscurcir les charges utiles malveillantes afin d'échapper à la détection par des programmes de sécurité.
Le produit aurait été
The Cyber Police of Ukraine has announced the arrest of a local man who is suspected to have offered their services to LockBit and Conti ransomware groups. The unnamed 28-year-old native of the Kharkiv region allegedly specialized in the development of crypters to encrypt and obfuscate malicious payloads in order to evade detection by security programs. The product is believed to have been |
Ransomware Legislation | ★★ | |
|
2024-06-13 09:15:00 | La cyber-police ukrainien identifie le verrouillage présumé et le membre de Conti Ukrainian Cyber Police Identify Suspected LockBit and Conti Member (lien direct) |
La police ukrainienne semble avoir arrêté un spécialiste du cryptor avec des liens vers des groupes de ransomwares majeurs
Ukrainian police appear to have arrested a cryptor specialist with links to major ransomware groups |
Ransomware Legislation | ★★★ | |
|
2024-06-13 08:53:20 | Symantec rapporte Black Basta Ransomware Group soupçonné d'exploiter le zéro-jour en attaque probable échouée Symantec reports Black Basta ransomware group suspected of exploiting zero-day in likely failed attack (lien direct) |
Les chercheurs de Symantec ont des attaques de ransomware détaillées par le groupe Black Basta, qui peut avoir utilisé une escalade de privilège ...
Symantec researchers have detailed ransomware attacks by the Black Basta group, which may have utilized a privilege escalation... |
Ransomware Vulnerability Threat | ★★ | |
|
2024-06-12 20:22:36 | IceDID apporte ScreenConnect et CSHARP Streamer au déploiement des ransomwares Alphv IcedID Brings ScreenConnect and CSharp Streamer to ALPHV Ransomware Deployment (lien direct) |
## Instantané Les chercheurs du rapport DFIR ont publié une analyse approfondie d'une cyber-intrusion d'octobre 2023 impliquant le déploiement de [icedid] (https://security.microsoft.com/intel-profiles/ee69395aeeea2b2322d5941be0ec497a22d106f671EF84D35418EC2810FADDB), [Strike Cobalt] (https://security.microsoft.com/intel-profiles/fd8511c1d61e93d39411acf36a31130a6795fe //security.microsoft.com/intel-profiles/5e2d288cf697eb7a6cadf420da45bbf540ff71f76d9b0b21792f3ca9668068b). ## Description ÈmeLes acteurs de la menace ont acquis un accès initial via un e-mail malveillant distribuant une archive zip contenant un script de base visuel (VBS) et un fichier de lecture bénin, qui fait partie d'une campagne de spam offrant une variante de glace.Ce chargeur, priorisant la livraison de charge utile sur ses fonctions bancaires d'origine, a créé une tâche planifiée de persistance et communiqué avec un serveur de commande et de contrôle, supprimant une autre DLL icedid. L'attaquant a ensuite utilisé ScreenConnect pour la télécommande, exécuté des commandes de reconnaissance et déployé des balises de frappe de cobalt.En utilisant des outils tels que CSHARP Streamer pour l'accès des informations d'identification et RCLONE pour l'exfiltration des données, l'attaquant a maintenu la persistance et a mené la découverte de réseau.Les acteurs de la menace ont également exploité les utilitaires Windows natifs, RDP, et un outil personnalisé appelé Confucius \ _cpp.exe pour des actions malveillantes.Finalement, ils ont mis en scène et exécuté des ransomwares AlphV, supprimant les sauvegardes et laissant des notes de ransomne sur les hôtes compromis. ## Analyse Microsoft Les logiciels malveillants icedid, parfois appelés Bokbot, est un troyen bancaire modulaire observé pour la première fois en 2017. Bien qu'il ait des capacités similaires à d'autres troyens bancaires plus anciens et prolifiques, y compris Zeus et Gozi-It ne semble pas partager du code avec eux.Depuis 2017, Icedid a évolué de ses origines en tant que Troie bancaire ordinaire pour devenir un point d'entrée pour des attaques plus sophistiquées, y compris des ransomwares à hume. En savoir plus ici sur la couverture de [IceDID] (https://security.microsoft.com/intel-profiles/ee69395aeea23222d5941elec4997a22d106f671ef84d3541810faddb) et [cobalt.crosoft.com/intel-profiles/fd8511c1d61e93d39411acf36a31130a6795efe186497098fe0c6f2ccfb920fc).Microsoft suit Alphv comme [Blackcat Ransomware] (https://security.microsoft.com/intel-profiles/5e2d288cf697eb7a6cadf420da45bbf540ff71f76d9b0b21792f3ca9668068b). ## Détections / requêtes de chasse #### Microsoft Defender Antivirus Microsoft Defender anLe tivirus détecte les composants de la menace comme le malware suivant: - [Trojandownloader: o97m / iceDID] (https://www.microsoft.com/en-us/wdssi/Threats/Malware-encyClopedia-Description?name=trojandownOader:o97m/iceD& ;thereatid=-2147100260)) - [Trojan: Win64 / IceDID] (HTtps: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-dercription? name = trojan: win64 / icedid & menaceID = -2147150333) - [Trojan: Win32 / IceDID] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/iced) - [Trojan: win64 / cryptinject] (https: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-dercription? name = trojan: win64 / cryptinject & menaceID = -2147239683) - [Trojan: Win32 / Seheq] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/seheq& ;theretid=-2147126551) - [Ransom: win32 / blackcat] (https://www.microsoft.com/en-us/wdsi/terats/malware-encycopedia-description?name = rançon: win32 / blackcat & menaceid = -2147158032) - [Trojan: win32 / znyonm] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encycopedia-description? name = trojan: win32 / znyonm & menaceid = -2147076851) #### Détection et réponse des points de terminaison (EDR) Les alertes avec | Ransomware Spam Malware Tool Threat | ★★ | |
|
2024-06-12 20:01:11 | L'Ukraine arrête le spécialiste du cryptor qui aide les ransomwares de Conti et Lockbit Ukraine Arrests Cryptor Specialist Aiding Conti and LockBit Ransomware (lien direct) |
La police ukrainienne a arrêté un développeur de cryptor ransomware dans le cadre des notoires de groupes Conti et de verrouillage.Cette arrestation est le résultat de l'opération Endgame, une opération majeure qui vise à démanteler les éléments clés de ces organisations cybercriminales.
Ukrainian Police have arrested a ransomware cryptor developer in connection with the notorious Conti and LockBit groups. This arrest was the result of Operation Endgame, a major operation that aims to dismantle key elements of these cybercriminal organizations. |
Ransomware Legislation | ★★★ | |
|
2024-06-12 19:11:45 | L'hôtel de ville de Cleveland s'arrête après le cyber-incident Cleveland City Hall Shuts Down After Cyber Incident (lien direct) |
Alors que les responsables de la ville continuent d'enquêter, il n'est pas clair quels systèmes ont été affectés et s'il s'agissait d'une attaque de ransomware.
As city officials continue to investigate, it\'s unclear which systems were affected and whether it was a ransomware attack. |
Ransomware | ★★★ | |
|
2024-06-12 18:05:23 | Lockbit &Conti ransomware hacker éclaté en Ukraine LockBit & Conti Ransomware Hacker Busted in Ukraine (lien direct) |
L'accusé Cybercriminal possède des compétences spéciales qui ont contribué à la détection des ransomwares de Conti et de verrouillage, selon les forces de l'ordre.
Accused cybercriminal has special skills that helped Conti and LockBit ransomware evade detection, according to law enforcement. |
Ransomware Legislation | ★★ | |
|
2024-06-12 17:48:53 | Ransomware Black Basta soupçonné d'exploiter Windows 0-jour avant le correctif Black Basta Ransomware Suspected of Exploiting Windows 0-day Before Patch (lien direct) |
Les chercheurs en cybersécurité de Symantec ont trouvé des "preuves solides" suggérant que le gang de ransomware Black Basta a exploité une vulnérabilité critique de Windows (CVE-2024-26169) avant d'être corrigé par Microsoft le 12 mars 2024, grâce à ses mises à jour régulières de patch mardi.
The cybersecurity researchers at Symantec have found "strong evidence" suggesting that the Black Basta ransomware gang exploited a critical Windows vulnerability (CVE-2024-26169) before it was patched by Microsoft on March 12, 2024, through its regular Patch Tuesday updates. |
Ransomware Vulnerability | ★★ |
To see everything:
