What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-07-10 18:36:00 | Nouveau groupe de ransomwares exploitant la vulnérabilité du logiciel de sauvegarde Veeam New Ransomware Group Exploiting Veeam Backup Software Vulnerability (lien direct) |
Un défaut de sécurité maintenant par réglement dans Veeam Backup &Le logiciel de réplication est exploité par une opération de ransomware naissante connue sous le nom d'estateransomware.
Le groupe de Singapour, dont le siège social, a découvert l'acteur de menace début avril 2024, a déclaré que le modus operandi impliquait l'exploitation de CVE-2023-27532 (score CVSS: 7,5) pour mener les activités malveillantes.
Accès initial à la cible
A now-patched security flaw in Veeam Backup & Replication software is being exploited by a nascent ransomware operation known as EstateRansomware. Singapore-headquartered Group-IB, which discovered the threat actor in early April 2024, said the modus operandi involved the exploitation of CVE-2023-27532 (CVSS score: 7.5) to carry out the malicious activities. Initial access to the target |
Ransomware Vulnerability Threat | ||
 |
2024-07-10 18:00:02 | Arrêt de cybersécurité du mois: les attaques sous les logiciels malveillants de Darkgate depuis la plage Cybersecurity Stop of the Month: Reeling in DarkGate Malware Attacks from the Beach (lien direct) |
The Cybersecurity Stop of the Month blog series explores the ever-evolving tactics of today\'s cybercriminals. It also examines how Proofpoint helps businesses to fortify their email defenses to protect people against today\'s emerging threats. Proofpoint people protection: end-to-end, complete and continuous So far in this series, we have examined these types of attacks: Uncovering BEC and supply chain attacks (June 2023) Defending against EvilProxy phishing and cloud account takeover (July 2023) Detecting and analyzing a SocGholish Attack (August 2023) Preventing eSignature phishing (September 2023) QR code scams and phishing (October 2023) Telephone-oriented attack delivery sequence (November 2023) Using behavioral AI to squash payroll diversion (December 2023) Multifactor authentication manipulation (January 2024) Preventing supply chain compromise (February 2024) Detecting multilayered malicious QR code attacks (March 2024) Defeating malicious application creation attacks (April 2024) Stopping supply chain impersonation attacks (May 2024) CEO impersonation attacks (June 2024) Background Last year, the number of malware attacks worldwide reached 6.08 billion. That\'s a 10% increase compared with 2022. Why are cybercriminals developing so much malware? Because it is a vital tool to help them infiltrate businesses, networks or specific computers to steal or destroy sensitive data. or destroy sensitive data. There are many types of malware infections. Here are just three examples. RYUK (ransomware) Astaroth (fileless malware) DarkGate (multifunctional malware) DarkGate is a notable example. It\'s a sophisticated and adaptive piece of malware that\'s designed to perform various malicious activities. This includes data theft, unauthorized access and system compromise. What makes DarkGate unique are its key characteristics: Multifunctionality. This malware can execute a range of malicious functions, like keylogging, data exfiltration, remote access and more. Evasion techniques. To help avoid detection, it uses advanced evasion techniques, like code obfuscation, encryption and anti-debugging measures. Distribution methods. Bad actors can distribute DarkGate in a variety of ways to trick users into installing it. These methods include phishing emails, malicious attachments, compromised websites and social engineering tactics. Command and control. DarkGate has automatic connectivity to remote control servers. This allows it to receive instructions and exfiltrate data. Its adaptive flexibility is why DarkGate is favored by so many cybercriminals. The scenario In a recent attack, a threat actor (TA571) used DarkGate to try to infiltrate over 1,000 organizations worldwide. The attack spanned across 14,000 campaigns and contained more than 1,300 different malware variants. DarkGate acted as an initial access broker (IAB). The intent was to gain unauthorized access to an organization\'s networks, systems and users\' credentials to exfiltrate data or deploy ransomware. Once they gain remote access, threat actors have been observed selling this access to other bad actors who can then commit further attacks. In this scenario, the threat actor TA571 targeted a resort city on the U.S. East Coast known for its sandy beaches and 10 million tourist visitors annually. The threat: How did the attack happen? Here is how the recent attack unfolded. 1. The deceptive message. Attackers crafted a message that looked like a legitimate email from a known supplier. It detailed the purchase of health and safety supplies for the city\'s office. Instead of including an attachment, the threat actors added embedded URLs to avoid raising suspicion in an attempt to bypass the incumbent email | Ransomware Malware Tool Threat Cloud | ||
 |
2024-07-10 17:29:29 | Kematian-voleur: une plongée profonde dans un nouveau voleur d'informations Kematian-Stealer : A Deep Dive into a New Information Stealer (lien direct) |
## Snapshot The CYFIRMA research team has identified a new information stealer malware called Kematian-Stealer. Read Microsoft\'s write-up on information stealers [here](https://security.microsoft.com/intel-profiles/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d16d6). ## Description The malware is hosted on GitHub under the account, "Somali-Devs," and distributed as an open-source tool. Kematian-Stealer is able to extract and copy sensitive information from a number of applications including messaging apps, gaming platforms, VPN services, email clients, password managers, and cryptocurrency wallets. Further, the stealer can capture images using the webcam and from the victim\'s desktop. The stealer also employs a number of tactics to avoid detection. First, it checks for evidence of debugging tools and virtual machine environments. If one is detected, the process is terminated and the script is exited. Additionally, in-memory execution techniques are employed to covertly extract sensitive information from victim computers. ## Detections/Hunting Queries ### Microsoft Defender Antivirus Microsoft Defender Antivirus detects threat components as the following malware: *[PWS:Win32/Multiverze](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=PWS:Win32/Multiverze&threatId=-2147178658)* ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. Check the recommendations card for the deployment status of monitored mitigations. - Check your Office 365 email filtering settings to ensure you block spoofed emails, spam, and emails with malware. Use [Microsoft Defender for Office 365](https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-for-office-365?ocid=magicti_ta_learndoc) for enhanced phishing protection and coverage against new threats and polymorphic variants. Configure Microsoft Defender for Office 365 to [recheck links on click](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) and [delete sent mail](https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=magicti_ta_learndoc) in response to newly acquired threat intelligence. Turn on [safe attachments policies](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-policies-configure?ocid=magicti_ta_learndoc) to check attachments to inbound email. - Encourage users to use Microsoft Edge and other web browsers that support [SmartScreen](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-protection-overview?ocid=magicti_ta_learndoc), which identifies and blocks malicious websites, including phishing sites, scam sites, and sites that host malware. - Turn on [cloud-delivered protection](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-block-at-first-sight-microsoft-defender-antivirus?ocid=magicti_ta_learndoc) in Microsoft Defender Antivirus, or the equivalent for your antivirus product, to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown variants. - Enforce MFA on all accounts, remove users excluded from MFA, and strictly [require MFA](https://learn.microsoft.com/azure/active-directory/identity-protection/howto-identity-protection-configure-mfa-policy?ocid=magicti_ta_learndoc) from all devices, in all locations, at all times. - Enable passwordless authentication methods (for example, Windows Hello, FIDO keys, or Microsoft Authenticator) for accounts that support passwordless. For accounts that still require passwords, use authenticator apps like Microsoft Authenticator for MFA. [Refer to this article](https://learn.microsoft.com/azure/active-directory/authentication/concept-authentication-methods?ocid=magicti_ta_learndoc) for the different authentication methods and features. - For MFA that uses authenticator | Ransomware Spam Malware Tool Threat | ||
|
2024-07-10 16:30:00 | Vraie protection ou fausse promesse?Le guide ultime de présélection ITDR True Protection or False Promise? The Ultimate ITDR Shortlisting Guide (lien direct) |
C'est l'âge de la sécurité de l'identité.L'explosion des attaques de ransomwares motivées a fait réaliser que les CISO et les équipes de sécurité se rendent compte que la protection de l'identité est à la traîne de 20 ans par rapport à leurs paramètres et réseaux.Cette prise de conscience est principalement due à la transformation du mouvement latéral des beaux-arts, trouvée dans les groupes de cybercriminalité apt et supérieurs uniquement à une compétence de base utilisée dans presque toutes les attaques de ransomware.Le
It\'s the age of identity security. The explosion of driven ransomware attacks has made CISOs and security teams realize that identity protection lags 20 years behind their endpoints and networks. This realization is mainly due to the transformation of lateral movement from fine art, found in APT and top cybercrime groups only, to a commodity skill used in almost every ransomware attack. The |
Ransomware | ||
 |
2024-07-10 13:47:06 | Des logiciels malveillants qui ne sont pas des ransomwares \\ 'se frayent un chemin à travers les systèmes de Fujitsu Japan \\ Malware that is \\'not ransomware\\' wormed its way through Fujitsu Japan\\'s systems (lien direct) |
La société affirme que l'exfiltration des données était extrêmement difficile à détecter Fujitsu Japan dit qu'une tension malveillante "avancée" non spécifiée était à blâmer pour un vol de données de mars, insistant sur le fait que la souche n'était "pas un ransomware", mais il n'a pas eu\\ 'n'a pas révélé combien de personnes sont affectées…
Company says data exfiltration was extremely difficult to detect Fujitsu Japan says an unspecified "advanced" malware strain was to blame for a March data theft, insisting the strain was "not ransomware", yet it hasn\'t revealed how many individuals are affected.… |
Ransomware Malware | ||
 |
2024-07-10 13:00:05 | Juin 2024 \\’s Malingware le plus recherché: RansomHub prend la première place en tant que groupe de ransomwares le plus répandu à la suite de LockBit3 déclin June 2024\\'s Most Wanted Malware: RansomHub Takes Top Spot as Most Prevalent Ransomware Group in Wake of LockBit3 Decline (lien direct) |
> L'indice de menace de point de vérification \\ met en évidence un changement dans le paysage Ransomware-as-a-Service (RAAS), avec RansomHub dépassant Lockbit3 pour s'arrêter le haut comme le groupe le plus répandu.Pendant ce temps, les chercheurs ont identifié une campagne de porte dérobée Windows Badspace Windows via de fausses mises à jour du navigateur Notre dernier index mondial des menaces pour le juin 2024 a noté un changement dans le paysage Ransomware-As-A-Service (RAAS), avec le nouveau venu relatif RansomHub Lockbit3 pour devenir le plus répandugroupe selon des sites de honte publiés.Pendant ce temps, une porte dérobée Windows surnommée Badspace a été identifiée, impliquant des sites Web WordPress infectés et de fausses mises à jour du navigateur.Le mois dernier, RansomHub est devenu le groupe RAAS le plus répandu après des mesures d'application de la loi [& # 8230;]
>Check Point\'s Threat Index highlights a shift in the Ransomware-as-a-Service (RaaS) landscape, with RansomHub surpassing LockBit3 to take top stop as the most prevalent group. Meanwhile, researchers identified a BadSpace Windows backdoor campaign spread via fake browser updates Our latest Global Threat Index for June 2024 noted a shift in the Ransomware-as-a-Service (RaaS) landscape, with relative newcomer RansomHub unseating LockBit3 to become the most prevalent group according to publicized shame sites. Meanwhile, a Windows backdoor dubbed BadSpace was identified, involving infected WordPress websites and fake browser updates. Last month, RansomHub became the most prevalent RaaS group after law enforcement action […] |
Ransomware Malware Threat Legislation | ||
 |
2024-07-10 12:00:00 | Les groupes de ransomware hiérarchisent l'évasion de la défense pour l'exfiltration des données Ransomware Groups Prioritize Defense Evasion for Data Exfiltration (lien direct) |
Un rapport de Cisco a mis en évidence les TTP utilisés par les groupes de ransomwares les plus importants pour échapper à la détection, à établir la persistance et à exfiltrer des données sensibles
A Cisco report highlighted TTPs used by the most prominent ransomware groups to evade detection, establish persistence and exfiltrate sensitive data |
Ransomware | ||
 |
2024-07-10 11:49:48 | Pékin accusé d'avoir mal utilisé la recherche occidentale pour prétendre que Volt Typhoon est un groupe de ransomware Beijing accused of misusing Western research to claim Volt Typhoon is a ransomware group (lien direct) |
Pas de details / No more details | Ransomware | Guam | |
|
2024-07-10 10:00:15 | Des équipes de ransomware investissent dans des données personnalisées volant malware Ransomware crews investing in custom data stealing malware (lien direct) |
BlackByte, Lockbit parmi les criminels utilisant des outils sur mesure , car les équipes de ransomware déplacent de plus en plus au-delà de la simple cryptage des fichiers \\ 'et exigeant un paiement pour les déverrouiller, faisant glisser tout de suite des informations sensibles, une partie de laDes organisations criminelles plus matures développent des logiciels malveillants personnalisés pour leur vol de données…
BlackByte, LockBit among the criminals using bespoke tools As ransomware crews increasingly shift beyond just encrypting victims\' files and demanding a payment to unlock them, instead swiping sensitive info straight away, some of the more mature crime organizations are developing custom malware for their data theft.… |
Ransomware Malware | ||
 |
2024-07-10 10:00:00 | La législation numérique à l'ère de la crypto-monnaie: enquêter sur la blockchain et les crimes cryptographiques Digital Forensics in the Age of Cryptocurrency: Investigating Blockchain and Crypto Crimes (lien direct) |
The content of this post is solely the responsibility of the author. LevelBlue does not adopt or endorse any of the views, positions, or information provided by the author in this article. The rise of cryptocurrencies has introduced a new frontier for criminals, presenting unique challenges for investigators. Unlike traditional financial transactions, cryptocurrency transactions are pseudonymous, meaning identities are obscured by cryptographic addresses. This, coupled with the decentralized nature of blockchain technology, necessitates specialized techniques and tools for digital forensics in the age of cryptocurrency. Understanding Cryptocurrency and Blockchain Before diving into forensic techniques, let\'s establish some foundational knowledge: Blockchain: A decentralized, public ledger that records transactions across a network of computers. Each transaction is cryptographically linked to the previous one, forming a secure and tamper-proof chain. Cryptocurrency: A digital or virtual currency secured by cryptography. Bitcoin, Ethereum, and Litecoin are popular examples. The pseudonymous nature of blockchain transactions means that while all transactions are publicly visible, the identities of the parties involved are obscured by cryptographic addresses. Key Challenges in Crypto Forensics Pseudonymity: Unlike traditional bank accounts, cryptocurrency transactions do not directly link to real-world identities. Decentralization: The absence of a central authority complicates efforts to track and freeze illicit funds. Multiple Cryptocurrencies: The diverse landscape of cryptocurrencies, each with unique characteristics, requires adaptable forensic techniques. Forensic Techniques for Investigating Crypto Crimes Blockchain Analysis Transaction Tracing: By analyzing the flow of transactions on the blockchain, investigators can track the movement of funds. Tools like Chainalysis, Elliptic, and CipherTrace offer visualizations of transaction flows, highlighting suspicious patterns. Example Scenario: An investigator traces a series of Bitcoin transactions from a ransomware payment to multiple addresses. Using address clustering, they identify a cluster linked to a known exchange, leading to the suspect\'s identification. Address Clustering: Grouping addresses controlled by the same entity helps link pseudonymous transactions. Techniques like "co-spending" (using multiple addresses in one transaction) aid in clustering. Crypto Wallet Analysis Wallet Extraction: Digital wallets store private keys needed for cryptocurrency transactions. Extracting wallet data from devices involves locating wallet files or using memory forensics to recover private keys. Example Scenario: During a raid, law enforcement seizes a suspect\'s laptop. Forensic imaging and subsequent analysis reveal a Bitcoin wallet file. The extracted private keys allow investigators to access and trace illicit funds. Forensic Imaging Creating forensic images of suspect devices ensures data integrity and enables detailed analysis. Tools like FTK Imager and EnCase are used for imaging and analyzing digital evidence. Address Attribution KYC Data: Know Your Customer (KYC) regulations require exchanges to collect user identification information. By subpoenaing exchange records, investigators can link blockchain addresses to real-world identities. Example Sce | Ransomware Tool Studies Legislation | ||
|
2024-07-09 21:11:51 | (Déjà vu) Eldorado Ransomware: le nouvel empire doré de la cybercriminalité? Eldorado Ransomware: The New Golden Empire of Cybercrime? (lien direct) |
#### Géolocations ciblées - États-Unis - Italie - Croatie ## Instantané Des chercheurs de Group-IB ont publié un rapport sur Eldorado, un nouveau Ransomware-as-a-Service (RAAS) annoncé sur le forum Darkweb Rampware Ransomware. ## Description Eldorado propose des versions Windows et Linux du ransomware, qui est écrite en Golang.Le ransomware utilise Chacha20 pour le chiffrement des fichiers et le RSA-OAEP pour le cryptage clé.Eldorado possède également des fonctionnalités personnalisables qui permettent des attaques ciblées contre les organisations, y compris la possibilité de crypter des fichiers sur les réseaux Hared à l'aide du protocole SMB.De plus, les utilisateurs d'Eldorado peuvent personnaliser les notes de rançon et les informations d'identification d'administration. En juin 2024, 16 entreprises de divers pays et industries ont été ciblées par les ransomwares Eldorado.Les organisations aux États-Unis ont notamment été attaquées 13 fois, contribuant à plus de 80% du nombre total d'incidents.De plus, il y a eu deux attaques en Italie et une attaque supplémentaire en Croatie.Le groupe-IB rapporte également que l'industrie immobilière a été le plus ciblé (un total de trois fois) par les ransomwares d'Eldorado;Cependant, l'éducation, les services professionnels, les soins de santé, la fabrication, les télécommunications, les transports et les secteurs gouvernementaux ont également été affectés. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces RAAS. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus ou l'équivalent pour que votre produit antivirus couvre des outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une énorme majorité de variantes nouvelles et inconnues. - Allumez [Protection Tamper] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=Magicti_TA_LearnDoc).Empêcher les attaquants d'empêcher les services de sécurité. - Exécutez [Détection et réponse de point de terminaison (EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-lock-mode?ocid=Magicti_TA_Learndoc), de sorte que celaLe défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque l'antivirus Microsoft Defender fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants détectés après la lutte. - Activer [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?ocid=Magicti_TA_Learndoc) en mode automatisé complet pour permettre au défenseur de terminer l'action immédiatement sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate surAlertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - Les clients de Microsoft Defender peuvent activer [Règles de réduction de la surface d'attaque] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-reduction?ocid=Magicti_TA_LearnDoc) pour prévenir les techniques d'attaque communes utilisées utilisées utiliséDans les attaques de ransomwares.Les règles de réduction de la surface d'attaque sont des paramètres de balayage qui sont efficaces pour arrêter des classes entières de menaces. - Ransom et stade de mouvement latéral: - [Block Process | Ransomware Tool Threat | ★★★ | |
|
2024-07-09 20:11:45 | Décrit: ransomware Donex et ses prédécesseurs Decrypted: DoNex Ransomware and its Predecessors (lien direct) |
#### Géolocations ciblées - États-Unis - Italie - Belgique ## Instantané Les chercheurs AVAST ont identifié un défaut cryptographique dans le ransomware Donexet ses prédécesseurs, affectant les victimes ciblées aux États-Unis, en Italie et en Belgique. ## Description Le ransomware utilise un processus de chiffrement sophistiqué à l'aide de Chacha20, et Avast a fourni un décrypteur aux victimes touchées. Pendant l'exécution du ransomware, une clé de chiffrement est générée par la fonction cryptGenrandom ().Cette clé est ensuite utilisée pour initialiser la clé symétrique Chacha20 et par la suite pour chiffrer les fichiers.Une fois un fichier crypté, la clé de fichier symétrique est chiffrée par RSA-4096 et annexée à la fin du fichier.Les fichiers sont sélectionnés par leur extension et les extensions de fichiers sont répertoriées dans la configuration XML Ransomware. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces RAAS. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus ou l'équivalent pour que votre produit antivirus couvre des outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une énorme majorité de variantes nouvelles et inconnues. - Allumez [Protection Tamper] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=Magicti_TA_LearnDoc).Empêcher les attaquants d'empêcher les services de sécurité. - Exécutez [Détection et réponse de point de terminaison (EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-lock-mode?ocid=Magicti_TA_Learndoc), de sorte que celaLe défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque l'antivirus Microsoft Defender fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants détectés après la lutte. - Activer [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?ocid=Magicti_TA_Learndoc) en mode automatisé complet pour permettre au défenseur de terminer l'action immédiatement sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate surAlertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - Les clients de Microsoft Defender peuvent activer [Règles de réduction de la surface d'attaque] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-reduction?ocid=Magicti_TA_LearnDoc) pour prévenir les techniques d'attaque communes utilisées utilisées utiliséDans les attaques de ransomwares.Les règles de réduction de la surface d'attaque sont des paramètres de balayage qui sont efficaces pour arrêter des classes entières de menaces. - Ransom et stade de mouvement latéral: - [Block Process Creations provenant des commandes psexec et WMI] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-redulation-Rules-reference?ocid=Magicti_TA_LearnDoc#block-Process-Creations-Origining-From-Psexec-and-WMI-Commands).Certaines organisations peuvent rencontrer des problèmes de compatibilité avec cette règle sur certains systèmes de serveurs, mais devraient le déployer dans d'autres systèmes pour empêcher le mouvement latéral provenant du psexec et de l'OMM. - [Bloquez les fichiers exécutables d | Ransomware Tool Threat | ★★★ | |
 |
2024-07-09 17:11:08 | Ransomware Eldorado ciblant Windows et Linux avec de nouveaux logiciels malveillants Eldorado Ransomware Targeting Windows and Linux with New Malware (lien direct) |
Un autre jour, une autre menace contre les systèmes Windows et Linux!
Another day, another threat against Windows and Linux systems! |
Ransomware Malware Threat | ★★ | |
 |
2024-07-09 16:37:37 | Les ransomwares Eldorado naviguent sur la scène pour cibler VMware ESXi Eldorado Ransomware Cruises Onto the Scene to Target VMware ESXi (lien direct) |
La plate-forme Ransomware-as-a-Service vient de dépasser la chaîne de montage, cible également Windows et utilise Golang pour les capacités multiplateforme.
The ransomware-as-a-service platform just rolled off the assembly line, also targets Windows, and uses Golang for cross-platform capabilities. |
Ransomware | ★★★ | |
|
2024-07-09 15:30:00 | Les ransomwares Eldorado frappent les réseaux Windows et Linux Eldorado Ransomware Strikes Windows and Linux Networks (lien direct) |
Group-IB a également révélé que le ransomware utilise Chacha20 et RSA-OAEP pour le cryptage
Group-IB also revealed the ransomware uses Chacha20 and RSA-OAEP for encryption |
Ransomware | ★★★ | |
 |
2024-07-09 13:49:10 | À mesure que l'IA avance, les cyber-menaces augmentent.Les entreprises sont-elles prêtes à gérer la situation? As AI advances, cyber threats increase. Are businesses prepared to handle the situation? (lien direct) |
À mesure que l'IA avance, les cyber-menaces augmentent.Les entreprises sont-elles prêtes à gérer la situation?Kyocera avertit que les outils d'IA pourraient donner aux attaquants un avantage injuste dans le développement et la réalisation de campagnes de ransomwares
-
rapports spéciaux
As AI advances, cyber threats increase. Are businesses prepared to handle the situation? Kyocera warns that AI tools could give attackers an unfair advantage in developing and carrying out ransomware campaigns - Special Reports |
Ransomware Tool | ★★★ | |
 |
2024-07-09 12:47:42 | EVOVER La violation des données bancaires a un impact sur 7,6 millions de personnes Evolve Bank Data Breach Impacts 7.6 Million People (lien direct) |
> Evolve Bank indique que les informations personnelles de plus de 7,6 millions de personnes ont été compromises dans une attaque de ransomware.
>Evolve Bank says personal information of more than 7.6 million individuals was compromised in a ransomware attack. |
Ransomware Data Breach | ★★★ | |
|
2024-07-09 11:00:00 | Avast fournit un décrypteur de ransomwares Donex aux victimes Avast Provides DoNex Ransomware Decryptor to Victims (lien direct) |
Les chercheurs d'Avast ont trouvé une faille dans le schéma cryptographique du ransomware Donex et ont envoyé des clés de décrypteur aux victimes depuis mars 2024
Researchers at Avast found a flaw in the cryptographic schema of the DoNex ransomware and have been sending out decryptor keys to victims since March 2024 |
Ransomware | ★★★ | |
 |
2024-07-09 10:01:49 | Evolve Bank dit que la violation des données a un impact sur 7,6 millions d'Américains Evolve Bank says data breach impacts 7.6 million Americans (lien direct) |
Evolve Bank & Trust (Evolve) envoie des avis d'une violation de données à 7,6 millions d'Américains dont les données ont été volées lors d'une récente attaque de ransomware de verrouillage.[...]
Evolve Bank & Trust (Evolve) is sending notices of a data breach to 7.6 million Americans whose data was stolen during a recent LockBit ransomware attack. [...] |
Ransomware Data Breach | ★★★ | |
|
2024-07-09 10:00:00 | Construire une solide architecture de défense en profondeur pour la transformation numérique Building a Robust Defense-in-Depth Architecture for Digital Transformation (lien direct) |
The content of this post is solely the responsibility of the author. LevelBlue does not adopt or endorse any of the views, positions, or information provided by the author in this article. Exploring Defense-in-Depth Architecture security strategy for ICS in the digital transformation era. Today\'s businesses are transforming through integrating IT and OT environments, a shift that\'s enhancing efficiency and unlocking new operational capabilities. Key functionalities like remote access and telemetry collection are becoming increasingly central in this digitally integrated landscape. However, this merger also brings heightened cybersecurity risks, exposing sensitive systems to new threats. To address these vulnerabilities, a defense-in-depth architecture approach is vital. This method layers multiple security mechanisms, ensuring robust protection. Each layer is designed to intercept threats, providing a comprehensive shield against complex cyberattacks and fortifying the organization\'s digital backbone. What is Defense-in-Depth Architecture? Defense-in-Depth Architecture is a strategic approach to cybersecurity that employs multiple layers of defense to protect an organization\'s IT and OT environment. This architecture is designed to provide a comprehensive security solution by layering different types of controls and measures. Here are the five layers within this architecture: Layer 1 – Security Management This layer serves as the foundation of the defense-in-depth strategy. It involves the establishment of a cybersecurity program tailored to support the OT environment. This includes program and risk management considerations, guiding the cybersecurity strategy and influencing decisions across all other layers. It\'s essential for organizations to establish a strong security management layer before implementing other layers. Layer 2 – Physical Security Physical security measures aim to prevent accidental or deliberate damage to an organization\'s assets. This layer includes the protection of control systems, equipment, and intellectual property. It encompasses a range of measures like access control, surveillance systems, and physical barriers, ensuring the safety of both the assets and the surrounding environment. Layer 3 – Network Security Building on the foundation of physical security, this layer focuses on protecting network communications within the OT environment. It involves applying principles of network segmentation and isolation, centralizing logging, and implementing measures for malicious code protection. This layer also considers the adoption of zero trust architecture (ZTA), enhancing security by continuously evaluating authorization close to the requested resources. Layer 4 – Hardware Security Hardware security involves embedding protection mechanisms directly into the devices used within an organization. This layer establishes and maintains trust in these devices through technologies like Trusted Platform Modules (TPM) and hardware-based encryption. It ensures the integrity and security of the hardware, forming a crucial part of the overall defense strategy. Layer 5 – Software Security The final layer focuses on the security of software applications and services that support OT. It includes practices such as application allowlisting, regular patching, secure code development, and configuration management. This layer is vital for ensuring that the software used in the organization is resilient against security threats and vulnerabilities. How to Implement Defense-in-Depth Architecture | Ransomware Malware Tool Vulnerability Threat Patching Legislation Mobile Industrial | ★★ | |
 |
2024-07-09 09:50:31 | Le paysage des menaces évolutives & # 8211;Du ransomware à l'espionnage parrainé par l'État The Evolving Threat Landscape – From Ransomware to State-Sponsored Espionage (lien direct) |
> Bienvenue à notre prochain épisode sur la défense des infrastructures critiques des cyber-menaces.Cette semaine, nous nous attaquons à un ...
>Welcome back to our next installment on defending critical infrastructure from cyber threats. This week, we’re tackling an... |
Ransomware Threat | ★★★ | |
|
2024-07-09 08:46:30 | Rapport de ransomware Blackfog - Lockbit domine, le jeu fait des mouvements, le secteur de la santé le plus risque d'attaque le plus élevé Blackfog Ransomware Report - LockBit dominates, Play makes moves, Healthcare sector highest risk of attack (lien direct) |
Rapport de ransomware Blackfog - Lockbit domine, le jeu fait des mouvements, le secteur des soins de santé le plus risque d'attaque du secteur le plus élevé
-
mise à jour malveillant
Blackfog Ransomware Report - LockBit dominates, Play makes moves, Healthcare sector highest risk of attack - Malware Update |
Ransomware Medical | ★★★ | |
|
2024-07-08 19:54:54 | \\ 'Poseidon \\' Stealer Mac Distribué via Google Ads \\'Poseidon\\' Mac stealer distributed via Google ads (lien direct) |
## Instantané Les analystes de MalwareBytes ont observé une campagne distribuant un voleur Mac via des annonces Google malveillantes pour le navigateur ARC.Le voleur, nommé "Poseidon", est une évolution du [voleur atomique] (https://security.microsoft.com/intel-explorer/articles/38f0f5fa) et a été précédemment suivi comme OSX.RodStealer par MakwareBytes. ## Description Le nouveau voleur comprend des fonctionnalités telles que le pillage des configurations VPN de Fortinet et OpenVPN. Rodrigo4, un acteur de menace sur le Forum Underground XSS, a rebaptisé le projet et l'a annoncé le 23 juin 2024. Poséidon comprend des fonctionnalités comme l'attraction de fichiers, l'extraction de portefeuille crypto, le vol de gestion de mot de passe et la collecte de données du navigateur.L'exfiltration des données a été effectuée à l'aide d'une commande spécifique qui a envoyé des données à un serveur, qui avait un panneau de marque Poseidon. La méthode de distribution du voleur de Poseidon \\ a impliqué une annonce Google malveillante pour le navigateur Arc, redirigeant les utilisateurs vers un faux site, arc-download \ [. \] Com, où un fichier DMG a été téléchargé.Ce fichier avait une astuce pour contourner les protections de sécurité MAC. Il s'agit de la deuxième campagne ces derniers mois où le navigateur ARC est utilisé comme leurre dans les publicités Google malveillantes.La première [campagne a consisté à abandonner un rat Windows] (https://security.microsoft.com/intel-explorer/articles/9dd6578a) en utilisant des méthodes similaires. ## Analyse Microsoft Les menaces contre les macOS ont fait la une des journaux au cours des derniers mois alors que les acteurs de la menace continuent d'évoluer les techniques d'attaque et de s'adapter et d'élargir de plus en plus leur ciblage de cyber pour inclure les utilisateurs de Mac.Autrefois un paradis de logiciels malveillants, les utilisateurs de Mac sont désormais confrontés à un éventail croissant d'attaques sophistiquées. Microsoft a suivi les tendances des rapports récents des logiciels malveillants MacOS dans la communauté de la sécurité.Ces tendances comprennent: les publicités malveillantes et la distribution des logiciels, les campagnes d'ingénierie sociale et l'exploitation des vulnérabilités logicielles. [En savoir plus sur les tendances récentes des OSINT dans les menaces pour MacOS ici.] (Https://security.microsoft.com/intel-explorer/articles/3d13591e) ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de menacesuivant les logiciels malveillants: [Trojan: macOS / Poseidon] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dEscription? Name = Trojan: macOS / Poseidon & menaceID = -2147147527) ## Recommandations Recommandations pour protéger contre la malvertisation Appliquez ces atténuations pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Encouragez les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge SmartScreen, qui identifie et bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites qui contiennent des exploits et hôte des logiciels malveillants..microsoft.com / en-us / Microsoft-365 / Security / Defender-Endpoint / Activer-Network-Protection? OCID = Magicti% 3CEM% 3ETA% 3C / EM% 3ELEARNDOC) pour bloquer les connexions vers des domaines malveillants et des adresses IP. - Construire la résilience organisationnelle contre les menaces par e-mail en éduquant les utilisateurs sur l'identification des attaques d'ingénierie sociale et la prévention de l'infection des logiciels malveillants.Utilisez [Formation de simulation d'attaque] (https://learn.microsoft.com/microsoft-365/security/office-365-security/attack-simulation-training-get-started?ocid=Magicti%3CEM%3ETA%3C/EM% 3ElearnDo | Ransomware Malware Vulnerability Threat | ★★★ | |
|
2024-07-08 19:07:18 | Le laboratoire national de l'Afrique du Sud dit que la récupération des ransomwares durera jusqu'à la mi-juillet South Africa national lab says ransomware recovery to last until mid-July (lien direct) |
Pas de details / No more details | Ransomware | ★★★ | |
|
2024-07-08 18:45:00 | Nouveau Ransomware-as-a-Service \\ 'Eldorado \\' cible Windows et Linux Systems New Ransomware-as-a-Service \\'Eldorado\\' Targets Windows and Linux Systems (lien direct) |
Une opération émergente Ransomware-as-a-Service (RAAS) appelée Eldorado est livrée avec des variantes de casier pour chiffrer les fichiers sur les systèmes Windows et Linux.
Eldorado est apparu pour la première fois le 16 mars 2024, lorsqu'une publicité pour le programme d'affiliation a été publiée sur la rampe du forum Ransomware, a déclaré le groupe de Singapour.
La société de cybersécurité, qui a infiltré le groupe de ransomwares, a noté que son
An emerging ransomware-as-a-service (RaaS) operation called Eldorado comes with locker variants to encrypt files on Windows and Linux systems. Eldorado first appeared on March 16, 2024, when an advertisement for the affiliate program was posted on the ransomware forum RAMP, Singapore-headquartered Group-IB said. The cybersecurity firm, which infiltrated the ransomware group, noted that its |
Ransomware | ★★★ | |
|
2024-07-08 17:47:22 | Les prix de la cyber-assurance chutent à mesure que la concurrence sur le marché augmente Cyber-Insurance Prices Plummet as Market Competition Grows (lien direct) |
Le bon moment peut-être le bon moment pour trouver de bonnes affaires sur la couverture d'assurance pour les ransomwares et les incidents de sécurité.
Now may be a good time to find good deals on insurance coverage for ransomware and security incidents. |
Ransomware | ★★★ | |
|
2024-07-08 16:30:00 | 5 questions clés Les CISO doivent se poser des questions sur leur stratégie de cybersécurité 5 Key Questions CISOs Must Ask Themselves About Their Cybersecurity Strategy (lien direct) |
Des événements comme la récente attaque de ransomware CDK massive & # 8211;qui ont fermé des concessionnaires automobiles aux États-Unis fin juin 2024 & # 8211;soulever à peine les sourcils publics. & nbsp;
Pourtant, les entreprises et les personnes qui les dirigent, sont à juste titre nerveuses.Chaque CISO sait que la cybersécurité est un sujet de plus en plus chaud pour les dirigeants et les membres du conseil d'administration.Et quand l'inévitable briefing CISO / Board
Events like the recent massive CDK ransomware attack – which shuttered car dealerships across the U.S. in late June 2024 – barely raise public eyebrows anymore. Yet businesses, and the people that lead them, are justifiably jittery. Every CISO knows that cybersecurity is an increasingly hot topic for executives and board members alike. And when the inevitable CISO/Board briefing rolls |
Ransomware | ★★★ | |
 |
2024-07-08 15:02:49 | Les bases de la cybersécurité industrielle peuvent aider à protéger les opérateurs de technologie opérationnelle APAC: Dragos Industrial Cyber Security Basics Can Help Protect APAC Operational Technology Operators: Dragos (lien direct) |
Les utilisateurs de technologies opérationnels sont confrontés à des défis, notamment la communication entre l'ingénierie des processus et les équipes de cybersécurité, une croissance des logiciels malveillants et des ransomwares, et des initiés faisant des erreurs de technologie de base.
Operational technology users face challenges including communication between process engineering and cyber security teams, a growth in malware and ransomware, and insiders making basic technology mistakes. |
Ransomware Malware Industrial | ★★★ | |
 |
2024-07-08 14:00:00 | Enhardi et évolutif: un instantané des cyber-menaces auxquelles l'OTAN est confrontée à l'OTAN Emboldened and Evolving: A Snapshot of Cyber Threats Facing NATO (lien direct) |
Written by: John Hultquist
As North Atlantic Treaty Organization (NATO) members and partners gather for a historic summit, it is important to take stock of one of its most pressing challenges-the cyber threat. The Alliance faces a barrage of malicious cyber activity from all over the globe, carried out by emboldened state-sponsored actors, hacktivists, and criminals who are willing to cross lines and carry out activity that was previously considered unlikely or inconceivable. In addition to military targets, NATO must consider the risks that hybrid threats like malicious cyber activity pose to hospitals, civil society, and other targets, which could impact resilience in a contingency. The war in Ukraine is undoubtedly linked to escalating cyber threat activity, but many of these threats will continue to grow separately and in parallel. NATO must contend with covert, aggressive malicious cyber actors that are seeking to gather intelligence, preparing to or currently attacking critical infrastructure, and working to undermine the Alliance with elaborate disinformation schemes. In order to protect its customers and clients, Google is closely tracking cyber threats, including those highlighted in this report; however, this is just a glimpse at a much larger and evolving landscape. Cyber Espionage NATO\'s adversaries have long sought to leverage cyber espionage to develop insight into the political, diplomatic, and military disposition of the Alliance and to steal its defense technologies and economic secrets. However, intelligence on the Alliance in the coming months will be of heightened importance. This year\'s summit is a transition period, with the appointment of Mark Rutte as the new Secretary General and a number of adaptations expected to be rolled out to shore up the Alliance\'s defense posture and its long-term support for Ukraine. Successful cyber espionage from threat actors could potentially undermine the Alliance\'s strategic advantage and inform adversary leadership on how to anticipate and counteract NATO\'s initiatives and investments. NATO is targeted by cyber espionage activity from actors around the world with varying capabilities. Many still rely on technically simple but operationally effective methods, like social engineering. Others have evolved and elevated their tradecraft to levels that distinguish themselves as formidable adversaries for even the most experienced defenders. APT29 (ICECAP) Publicly attributed to the Russian Foreign Intelligence Services (SVR) by several governments, APT29 is heavily focused on diplomatic and political intelligence collection, principally targeting Europe and NATO member states. APT29 has been involved in multiple high-profile breaches of technology firms that were designed to provide access to the public sector. In the past year, Mandiant has observed APT29 targeting technology companies and IT service providers in NATO member countries to facilitate third-party and software supply chain compromises of government and poli |
Ransomware Malware Tool Vulnerability Threat Legislation Medical Cloud Technical | APT 29 APT 28 | ★★★ |
 |
2024-07-08 13:34:57 | Arrêter une attaque des ransomwares hospitaliers Halting a hospital ransomware attack (lien direct) |
Red Canary a empêché un hôpital d'être violé.Voyez comment nous avons empêché les ransomwares de permettre à un événement catastrophique.
Red Canary prevented a hospital from being breached. See how we stopped ransomware from enabling a catastrophic event. |
Ransomware | ★★ | |
|
2024-07-08 12:06:12 | Comment empêcher l'usurpation par e-mail avec DMARC How to Prevent Email Spoofing with DMARC (lien direct) |
Email-based attacks are the number one attack vector for cybercriminals. These attacks do not always require a high level of technical sophistication to carry out. And because the human factor is involved, there is almost no doubt they will endure as a favored tactic. One way bad actors can greatly increase their chances of a successful attack is when they can make a recipient believe that they are interacting with a person or a brand that they know or trust. “Email spoofing” plays a critical role in helping to create this illusion. In this blog post, we\'ll explain how email spoofing works, why it causes havoc, and how DMARC can protect your business. How bad actors use email spoofing When an attacker uses email spoofing, they are forging the sending address so that the message appears to come from a legitimate company, institution or person. Bad actors use spoofed domains to initiate attacks like phishing, malware and ransomware, and business email compromise (BEC). Here is a closer look at these strategies. Phishing attacks. A bad actor sends a spoofed email, pretending to be from a legitimate source like a bank, government agency or a known company. Their aim is to get the recipient to reveal sensitive information, like login credentials, financial information or personal data. Malware. Spoofed email can contain malicious attachments or links. When a user clicks on them, they trigger the delivery of viruses, ransomware, spyware or other types of malicious software. These tools help attackers to steal data, disrupt operations or take control of systems. Business email compromise (BEC). Many threat actors use spoofed email to trick employees, partners or customers into transferring money or giving up sensitive information. It can be a lucrative endeavor. Consider a recent report from the FBI\'s Internet Crime Complaint Center, which notes that losses from BEC attacks in 2023 alone were about $2.9 billion. Negative effects of email spoofing When an attacker spoofs legitimate domains and uses them in attacks, the negative repercussions for companies can be significant. Imagine if your best customer believed that they were communicating with you, but instead, they were interacting with an attacker and suffered a significant financial loss. Unfortunately, these scenarios play out daily. And they can lead to the following issues, among others. The loss of trust If attackers succeed in their efforts to spoof a company\'s domain and use it to send phishing emails or other malicious communications, recipients may lose trust in that business. When users receive spoofed emails that appear to come from a brand they trust, they may become wary of future communications from that brand. They will lose confidence in the company\'s ability to protect their information. Damage to brand image As noted earlier, a spoofed domain can tarnish a company\'s brand image and reputation. If recipients fall victim to phishing or other scams that involve spoofed domains, they may associate the business or brand with fraudulent or unethical behavior. Financial losses Spoofed domain attacks can result in financial losses for companies in two main ways. Direct financial losses. Such losses can occur when attackers use spoofed domains to carry out fraudulent activities like the theft of sensitive data or unauthorized transactions. Indirect financial losses. These losses take the form of costs associated with attack mitigation. They can stem from incident investigation, the implementation of security improvements, and efforts designed to help repair the company\'s damaged reputation. Customer dissatisfaction Customers who are victims of spoofed domain attacks may experience frustration and anger. They may be motivated to write negative reviews of a company or issue complaints. Certainly, their level of customer satisfaction will take a hit. Over time, repeated incidents of spoofing attacks | Ransomware Spam Malware Tool Threat Legislation Technical | ★★ | |
 |
2024-07-08 11:00:00 | Comprendre Rafel Rat et son rôle dans les attaques de ransomwares mobiles Understanding Rafel RAT and Its Role in Mobile Ransomware Attacks (lien direct) |
> Rafel Rat est un type de logiciels malveillants qui permet aux attaquants de prendre un contrôle total sur un appareil mobile victime.Une fois installé, Rafel Rat peut effectuer une variété d'activités malveillantes, telles que le vol d'informations sensibles, l'accès aux fonctions de caméra et de microphone, et, de plus en plus, le déploiement de ransomwares. & # 160;Le ransomware mobile est un type de [& # 8230;]
>Rafel RAT is a type of malware that allows attackers to gain complete control over a victim’s mobile device. Once installed, Rafel RAT can perform a variety of malicious activities, such as stealing sensitive information, accessing camera and microphone functions, and, increasingly, deploying ransomware. Mobile ransomware is a type of […] |
Ransomware Malware Mobile | ★★★ | |
|
2024-07-08 01:45:08 | Pas si-openai n'aurait jamais pris la peine de signaler une violation de données en 2023 Not-so-OpenAI allegedly never bothered to report 2023 data breach (lien direct) |
également: l'autorité F1 violée;Prudentiel victime Count Skyrocket;Un nouvel acteur de ransomware apparaît;Et plus Security in Brief Ceci a été une semaine de mauvaises révélations de cybersécurité pour OpenAI, après que la nouvelle a émergé que la startup n'a pas signalé une violation en 2023 de ses systèmesà quiconque en dehors de l'organisation, et que son application Chatgpt pour macOS a été codée sans aucun égard à la confidentialité des utilisateurs.…
Also: F1 authority breached; Prudential victim count skyrockets; a new ransomware actor appears; and more security in brief It\'s been a week of bad cyber security revelations for OpenAI, after news emerged that the startup failed to report a 2023 breach of its systems to anybody outside the organization, and that its ChatGPT app for macOS was coded without any regard for user privacy.… |
Ransomware Data Breach | ChatGPT | ★★★ |
|
2024-07-06 12:35:07 | Nouvelle variante de ransomware Mallox cible les systèmes Linux New Mallox Ransomware Variant Targets Linux Systems (lien direct) |
Nouvelle variante de Mallox Ransomware cible les systèmes Linux à l'aide du cryptage personnalisé et un panneau Web Builder.Rechercheurs de cybersécurité & # 8230;
New variant of Mallox ransomware targets Linux systems using custom encryption and a builder web panel. Cybersecurity researchers… |
Ransomware | ★★★ | |
|
2024-07-05 21:45:05 | New Orcinius Trojan utilise la piétinement VBA pour masquer l'infection New Orcinius Trojan Uses VBA Stomping to Mask Infection (lien direct) |
## Instantané L'équipe de recherche sur les menaces de sonicwall Capture Labs a découvert un cheval de Troie à plusieurs étapes nommé Orcinius qui utilise Dropbox et Google Docs pour télécharger et mettre à jour les charges utiles de deuxième étape. ## Description L'équipe de recherche sur les menaces de sonicwall Capture Labs a découvert un cheval de Troie à plusieurs étapes nommé Orcinius qui utilise Dropbox et Google Docs pour télécharger et mettre à jour les charges utiles de deuxième étape.La méthode d'infection initiale du malware est une feuille de calcul Excel qui apparaît comme un calendrier italien avec trois feuilles de calcul discutant des cycles de facturation dans diverses villes.La feuille de Spreasds, contenant une macro VBA modifiée via \\ 'vba piétinant \', détruit le code source d'origine et laisse uniquement le code P compilé.Cet obscurcissement signifie que la visualisation de la macro ne révèle rien ou une version inoffensive du code, qui s'active lorsque le fichier est ouvert ou fermé.Lors de l'exécution, la macro effectue plusieurs actions: il vérifie et écrit des clés de registre pour masquer les avertissements, énumére l'exécution de fenêtres à l'aide d'Enumthreadwindows, établit la persistance en écrivant une clé de HkeStaruPitems, contacts URL codés pour télécharger des charges utiles supplémentaires à l'aide de wscript.shell, et surveille l'entrée du clavier via SetWindowShooKex.Le malware fait référence \\ 'synaptics.exe \' et \\ 'cache1.exe, \' le liant à d'autres menaces comme Remcos, AgentTesla, Neshta et HtmldRopper, qui se masquait comme \\ 'synaptics.exe \'et peut être trouvé sur Virustotal.Pendant l'analyse, les pages des URL énumérées n'étaient pas disponibles.Sonicwall a publié des signatures pour protéger les clients de l'exploitation potentielle par Orcinius. ## Recommandations Recommandations pour protéger contre les voleurs d'informations Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces d'information sur les voleurs. - Vérifiez les paramètres de filtrage des e-mails Office 365 pour vous assurer de bloquer les e-mails, le spam et les e-mails avec des logiciels malveillants.Utilisez [Microsoft Defender pour Office 365] (https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-forzice-365?ocid=Magicti_TA_Learnddoc) pour une protection et une couverture de phishing améliorées contrenouvelles menaces et variantes polymorphes.Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) et [derete SenteMail] (https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=Magicti_ta_learndoc) en réponse à l'intelligence de menace nouvellement acquise.Allumez [les politiques de pièces jointes de sécurité] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-polies-configure?ocid=Magicti_TA_LearnDoc) pour vérifier les pièces jointes à l'e-mail entrant. - Encourager les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [SmartScreen] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-overview?ocid=Magicti_TA_LearnDDoc), qui identifieet bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites qui hébergent des logiciels malveillants. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus, ou l'équivalent de votre produit antivirus, pour couvrir les outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une majorité de variantes nouvelles et inconnues. | Ransomware Spam Malware Tool Threat | ★★★ | |
|
2024-07-05 18:00:00 | Alerte de webinaire: découvrez comment les solutions ITDR arrêtent des attaques d'identité sophistiquées Webinar Alert: Learn How ITDR Solutions Stop Sophisticated Identity Attacks (lien direct) |
Le vol d'identité n'est plus juste des cartes de crédit volées.Aujourd'hui, les cybercriminels utilisent des tactiques avancées pour infiltrer les organisations et causer des dommages majeurs avec des références compromises.
Les enjeux sont élevés: attaques de ransomwares, mouvement latéral et violations de données dévastatrices.
Ne soyez pas pris au dépourvu.Rejoignez-nous pour un webinaire révolutionnaire qui changera la façon dont vous abordez la cybersécurité.
Identity theft isn\'t just about stolen credit cards anymore. Today, cybercriminals are using advanced tactics to infiltrate organizations and cause major damage with compromised credentials. The stakes are high: ransomware attacks, lateral movement, and devastating data breaches. Don\'t be caught off guard. Join us for a groundbreaking webinar that will change the way you approach cybersecurity. |
Ransomware | ★★★ | |
|
2024-07-05 17:11:39 | L'Alabama Department of Education arrête une attaque de ransomwares mais confirme les données volées Alabama Department of Education stops ransomware attack but confirms data stolen (lien direct) |
Pas de details / No more details | Ransomware | ★★★ | |
|
2024-07-05 17:00:11 | Patien cancéreux contraint de prendre une décision terrible après l'attaque de Qilin contre les hôpitaux de Londres Cancer patient forced to make terrible decision after Qilin attack on London hospitals (lien direct) |
La mastectomie et la reconstruction mammaire épargnant la peau ont été abandonnées en conséquence de ransomwares chez le fournisseur exclusif Les derniers chiffres suggèrent qu'environ 1 500 procédures médicales ont été annulées dans certains des Londres \\Les plus grands hôpitaux des quatre semaines qui ont suivi le fournisseur de services de pathologie d'attaque de Ransomware de Qilin \\ Synnovis.Mais peut-être qu'aucune personne n'a été affectée aussi gravement que Johanna Groothuizen.…
Skin-sparing mastectomy and breast reconstruction scrapped as result of ransomware at supplier Exclusive The latest figures suggest that around 1,500 medical procedures have been canceled across some of London\'s biggest hospitals in the four weeks since Qilin\'s ransomware attack hit pathology services provider Synnovis. But perhaps no single person was affected as severely as Johanna Groothuizen.… |
Ransomware Medical | ★★★ | |
|
2024-07-04 19:43:19 | Volcano Demon Ransomware Gang fait des appels téléphoniques à la victime pour Ransom Volcano Demon Ransomware Gang Makes Phone Calls to Victim for Ransom (lien direct) |
Selon les chercheurs en cybersécurité de Halcyon AI, le nouveau gang de ransomware de démon du volcan appelle ses victimes & # 8220; très fréquemment, & # 8230;
According to cybersecurity researchers at Halcyon AI, the new Volcano Demon ransomware gang calls its victims “very frequently,… |
Ransomware | ★★★ | |
|
2024-07-04 15:51:48 | Opération Morpheus perturbe 593 serveurs de frappe de cobalt utilisés pour les ransomwares Operation Morpheus Disrupts 593 Cobalt Strike Servers Used for Ransomware (lien direct) |
L'opération mondiale Morpheus démantèle le réseau de grève de Cobalt: les forces de l'ordre suppriment l'infrastructure criminelle utilisée pour les ransomwares et les données & # 8230;
Global Operation Morpheus dismantles Cobalt Strike network: Law enforcement takes down criminal infrastructure used for ransomware and data… |
Ransomware Legislation | ★★★★ | |
|
2024-07-04 09:47:55 | Intel471 reconnaît que la lutte mondiale contre les attaques de ransomwares se poursuit, alors que l'opération Cronos recule Intel471 recognizes global fight against ransomware attacks continues, as Operation Cronos strikes back (lien direct) |
> La dernière recherche Intel471 & # 8217; sait que la lutte contre les ransomwares continue d'être une préoccupation primordiale pour les nations, ainsi que leur ...
>Intel471’s latest research highlights that combating ransomware continues to be a paramount concern for nations, along with their... |
Ransomware | ★★★ | |
|
2024-07-04 09:15:00 | Nouveaux téléphones de groupe de ransomware exécutives pour extorquer le paiement New Ransomware Group Phones Execs to Extort Payment (lien direct) |
Les chercheurs affirment que le groupe de ransomware de démon du volcan téléphonait personnellement aux victimes pour les faire pression sur le paiement
Researchers claim the Volcano Demon ransomware group personally phone victims to pressure them into paying |
Ransomware | ★★★ | |
 |
2024-07-04 09:05:33 | Le groupe de ransomwares de démon volcano sonne ses victimes pour extorquer de l'argent Volcano Demon Ransomware Group Rings Its Victims To Extort Money (lien direct) |
Ce qui se passe?Les chercheurs en sécurité ont averti qu'un nouveau groupe de ransomwares a pris une touche inhabituelle sur la méthode traditionnelle pour extorquer de l'argent à ses victimes d'entreprise.Alors, qu'est-ce qui est différent cette fois?Alors que de nombreuses attaques de ransomwares voient les données d'une entreprise \\ d'une entreprise exfiltrées par les attaquants, et la menace faite que les données volées seront vendues à d'autres cybercriminels ou libérées au public, le gang de démon du volcan ... Désolé, excusez-vousmoi?Démon du volcan?Oui, c'est le nom du gang de ransomware.Puis-je continuer?Bien sûr.Poursuivre.Que font-ils?Comme je le disais ... le groupe de démon volcano ...
What\'s happening? Security researchers have warned that a new ransomware group has taken an unusual twist on the traditional method of extorting money from its corporate victims. So what\'s different this time? Whereas many ransomware attacks see a company\'s company\'s data exfiltrated by attackers, and the threat made that stolen data will be sold to other cybercriminals or released to the public, the Volcano Demon gang... Sorry, excuse me? Volcano Demon? Yes, that\'s the name of the ransomware gang. Can I continue? Sure. Go ahead. What are they doing? As I was saying... the Volcano Demon group... |
Ransomware Threat | ★★★ | |
|
2024-07-04 01:16:40 | New Medusa malware variants target Android users in seven countries (lien direct) | #### Géolocations ciblées - Espagne - France - Italie - Canada - États-Unis - Royaume-Uni - t & uuml; rkiye ## Instantané L'équipe de renseignement sur les menaces de Cleafy a identifié la résurgence de la Méduse Banking Trojan pour Android, ciblant des pays, notamment la France, l'Italie, les États-Unis, le Canada, l'Espagne, le Royaume-Uni et la Turquie. ## Description La nouvelle campagne, observée depuis mai 2024, présente des variantes compactes nécessitant moins d'autorisations et l'introduction de nouvelles capacités pour lancer des transactions directement à partir d'appareils compromis.Ces variantes ont été distribuées à travers 24 campagnes en utilisant le phishing SMS pour charger les logiciels malveillants via des applications compte-gouttes, attribuées à cinq botnets distincts.Notamment, l'infrastructure centrale du malware \\ récupère dynamiquement les URL du serveur de commande et de contrôle (C2) à partir de profils publics de médias sociaux. Le malware de Medusa, découvert pour la première fois en 2020, est connu pour ses capacités de rat, notamment le keylogging, les contrôles d'écran et la manipulation du SMS, permettant une fraude à dispositive sophistiquée (ODF).Dans les campagnes récentes, l'équipe de Cleafy \\ a identifié un changement dans la stratégie de distribution du malware \\, avec des acteurs de menace expérimentant des "dropsiers" pour diffuser le malware via de fausses procédures de mise à jour.L'évolution du malware \\ comprend un ensemble d'autorisation réduit et rationalisé, améliorant sa furtivité et son efficacité tout en ciblant de nouvelles régions géographiques.La dernière variante Medusa réduit son empreinte sur les appareils compromis, conserve les services d'accessibilité d'Android et ajoute de nouvelles commandes, y compris la possibilité de capturer des captures d'écran et d'effectuer des actions trompeuses avec une superposition d'écran noir. Dans les dernières campagnes, cinq botnets distincts ont été identifiés, chacun avec des caractéristiques uniques et des cibles géographiques.Le malware utilise des techniques avancées telles que l'utilisation de VNC pour un contrôle en temps réel, la récupération dynamique des URL du serveur C2 à partir des médias sociaux et l'utilisation des canaux de communication de sauvegarde pour une résilience accrue.L'analyse de Cleafy \\ a également noté des changements significatifs dans la structure de commande de la variante MEDUSA, avec l'introduction de nouvelles commandes telles que la définition de superpositions d'écran noir et les applications désinstallées à distance, améliorant encore ses capacités malveillantes.Bien qu'il ne soit pas encore observé sur Google Play, le nombre croissant de cybercriminels impliqués dans l'opération de logiciels malveillants en tant que service (MAAS) suggère que les stratégies de distribution sont susceptibles de se diversifier et de devenir plus sophistiquées. ## Détections / requêtes de chasse ### Microsoft Defender Antivirus Microsoft Defender Antivirus détecte les composants de la menace comme le MA suivantlware: - [Ransom: win32 / medusa.pa] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name = rançon: win32 / medusa.pa! Mtb & menaceID = -2147079865) ### Microsoft Defender pour le point de terminaison Les alertes suivantes peuvent indiquer l'activité associée à cette menace.Ces alertes, cependant, peuvent être déclenchées par une activité de menace sans rapport et ne sont pas surveillées dans les cartes d'état fournies avec ce rapport. - Un ransomware actif \\ 'medusa \' a été détecté ## Recommandations Microsoft recommande que les développeurs et les analystes de sécurité se familiarisent avec les [excellentes directives de sécurité des applications Android] (https://developer.android.com/privacy-and-security/risks) fourn | Ransomware Malware Vulnerability Threat Mobile | ★★★ | |
|
2024-07-03 20:00:44 | L'attaque des ransomwares contre la Patelco Credit Union provoque une confusion avant le week-end de vacances Ransomware attack on Patelco Credit Union causes confusion ahead of holiday weekend (lien direct) |
Pas de details / No more details | Ransomware | ★★★ | |
|
2024-07-03 19:24:45 | Bay Area Credit Union a du mal à se remettre après une attaque de ransomware Bay Area Credit Union Struggles to Recover After Ransomware Attack (lien direct) |
Des dizaines de milliers de clients de Patelco restent sans accès à leurs comptes, sans estimation du moment où les systèmes seront restaurés.
Tens of thousands of Patelco customers remain without access to their accounts, with no estimates for when systems will be restored. |
Ransomware | ★★ | |
 |
2024-07-03 17:17:42 | «Tout ce qui est congelé»: Ransomware verrouille les utilisateurs de Credit Union hors des comptes bancaires “Everything\\'s frozen”: Ransomware locks credit union users out of bank accounts (lien direct) |
Patelco Credit Union en Californie.Arrêtez de nombreux services bancaires après l'attaque.
Patelco Credit Union in Calif. shut down numerous banking services after attack. |
Ransomware | ★★★ | |
 |
2024-07-03 16:41:34 | Le courtier d'accès au réseau pas si secret x999xx The Not-So-Secret Network Access Broker x999xx (lien direct) |
La plupart des cybercriminels accomplis font tout leur possible pour séparer leurs vrais noms de leurs poignées de pirate.Mais parmi certains pirates russes de la vieille école, il n'est pas rare de trouver des acteurs majeurs qui n'ont pas fait grand-chose pour empêcher les gens de comprendre qui ils sont dans la vraie vie.Une étude de cas dans ce phénomène est "X999XX", le surnom choisi par un pirate russe vénéré qui se spécialise dans la fourniture de l'accès initial du réseau à divers groupes de ransomwares.
Most accomplished cybercriminals go out of their way to separate their real names from their hacker handles. But among certain old-school Russian hackers it is not uncommon to find major players who have done little to prevent people from figuring out who they are in real life. A case study in this phenomenon is "x999xx," the nickname chosen by a venerated Russian hacker who specializes in providing the initial network access to various ransomware groups. |
Ransomware Studies | ★★★ | |
|
2024-07-03 16:41:09 | Ransomware Eruption: roman des logiciels malveillants de casier de \\ 'Volcano Demon \\' Ransomware Eruption: Novel Locker Malware Flows From \\'Volcano Demon\\' (lien direct) |
Les attaquants effacent les journaux avant l'exploitation et utilisent les nombres "pas d'identification de l'appelant" pour négocier les rançons, compliquant les efforts de détection et de criminalistique.
Attackers clear logs before exploitation and use "no caller ID" numbers to negotiate ransoms, complicating detection and forensics efforts. |
Ransomware Malware | ★★★ | |
|
2024-07-03 15:59:11 | Les demandes d'extorsion de ransomware montent à 5,2 millions de dollars par attaque Ransomware Extortion Demands Soar to $5.2M per Attack (lien direct) |
La rançon la plus élevée exigée par les acteurs de la menace cette année jusqu'à présent était de près de 20 fois la moyenne de l'année dernière.
The highest ransom demanded by threat actors this year so far was nearly 20 times last year\'s average. |
Ransomware Threat | ★★★ |
To see everything:
Our RSS (filtrered)
