SEC News

What's new arround internet

Last one

Src	Date (GMT)	Titre	Description	Tags	Stories	Notes
	2024-07-25 21:14:36	Columbus rapporte le cyber-incident alors que plusieurs villes se remettent des attaques de ransomwares Columbus reports cyber incident as multiple cities recover from ransomware attacks (lien direct)	Pas de details / No more details	Ransomware
	2024-07-25 19:38:00	Les pirates nord-coréens passent du cyber-espionnage aux attaques de ransomwares North Korean Hackers Shift from Cyber Espionage to Ransomware Attacks (lien direct)	Un acteur de menace en Corée du Nord, connu pour ses opérations de cyber-espionnage, s'est progressivement étendu à des attaques motivées financièrement qui impliquent le déploiement de ransomwares, le distinguant des autres groupes de piratage de l'État-nation liés au pays. Mandiant appartenant à Google suit le cluster d'activités sous un nouveau surnom APT45, qui chevauche des noms tels que Andariel, Nickel Hyatt, A North Korea-linked threat actor known for its cyber espionage operations has gradually expanded into financially-motivated attacks that involve the deployment of ransomware, setting it apart from other nation-state hacking groups linked to the country. Google-owned Mandiant is tracking the activity cluster under a new moniker APT45, which overlaps with names such as Andariel, Nickel Hyatt,	Ransomware Threat	APT 15
	2024-07-25 19:18:34	Nord-Coréen chargé des attaques de ransomwares contre les hôpitaux américains North Korean Charged in Ransomware Attacks on American Hospitals (lien direct)	> Un homme qui aurait mené des attaques pour une agence de renseignement militaire nord-coréen a été inculpé de complot en vue de pirater les entreprises de soins de santé, la NASA, les bases militaires et d'autres entités. >A man who allegedly carried out attacks for a North Korean military intelligence agency has been indicted in a conspiracy to hack healthcare firms, NASA, military bases and other entities.	Ransomware Hack Medical
	2024-07-25 19:09:03	Le pirate nord-coréen a utilisé des attaques de ransomware hospitalières pour financer l'espionnage North Korean hacker used hospital ransomware attacks to fund espionage (lien direct)	> Les procureurs fédéraux ont annoncé jeudi l'acte d'accusation d'un pirate nord-coréen accusé d'avoir effectué des opérations de ransomware qui ciblaient les établissements de santé américains et ont utilisé le produit de ces opérations pour financer les efforts d'espionnage contre les entrepreneurs militaires et de défense américains. & # 160;Rim Jong Hyok est accusé d'utiliser des logiciels malveillants développés par le renseignement militaire de la Corée du Nord [& # 8230;] >Federal prosecutors announced the indictment Thursday of a North Korean hacker accused of carrying out ransomware operations that targeted American health care facilities and used the proceeds of those operations to fund espionage efforts against the U.S. military and defense contractors. Rim Jong Hyok is accused of using malware developed by North Korea\'s military intelligence […]	Ransomware Malware
	2024-07-25 18:45:30	Les États-Unis impliquent un hacker d'État nord-coréen présumé pour les attaques de ransomwares contre les hôpitaux US indicts alleged North Korean state hacker for ransomware attacks on hospitals (lien direct)	Pas de details / No more details	Ransomware
	2024-07-25 14:00:00	Ransomware et BEC représentent 60% des cyber-incidents Ransomware and BEC Make Up 60% of Cyber Incidents (lien direct)	Cisco Talos a constaté que les ransomwares et BEC représentaient 60% de tous les cyber incidents au T2 2024, avec un ransomware augmentant de 22% par rapport au premier trimestre Cisco Talos found that ransomware and BEC accounted for 60% of all cyber incidents in Q2 2024, with ransomware rising by 22% compared to Q1	Ransomware
	2024-07-25 14:00:00	APT45: Machine militaire numérique de la Corée du Nord APT45: North Korea\\'s Digital Military Machine (lien direct)	Written by: Taylor Long, Jeff Johnson, Alice Revelli, Fred Plan, Michael Barnhart Executive Summary APT45 is a long-running, moderately sophisticated North Korean cyber operator that has carried out espionage campaigns as early as 2009. APT45 has gradually expanded into financially-motivated operations, and the group\'s suspected development and deployment of ransomware sets it apart from other North Korean operators. APT45 and activity clusters suspected of being linked to the group are strongly associated with a distinct genealogy of malware families separate from peer North Korean operators like TEMP.Hermit and APT43. Among the groups assessed to operate from the Democratic People\'s Republic of Korea (DPRK), APT45 has been the most frequently observed targeting critical infrastructure. Overview Mandiant assesses with high confidence that APT45 is a moderately sophisticated cyber operator that supports the interests of the DPRK. Since at least 2009, APT45 has carried out a range of cyber operations aligned with the shifting geopolitical interests of the North Korean state. Although the group\'s earliest observed activities consisted of espionage campaigns against government agencies and defense industries, APT45 has expanded its remit to financially-motivated operations, including targeting of the financial vertical; we also assess with moderate confidence that APT45 has engaged in the development of ransomware. Additionally, while multiple DPRK-nexus groups focused on healthcare and pharmaceuticals during the initial stages of the COVID-19 pandemic, APT45 has continued to target this vertical longer than other groups, suggesting an ongoing mandate to collect related information. Separately, the group has conducted operations against nuclear-related entities, underscoring its role in supporting DPRK priorities. Shifts in Targeting and Expanding Operations Similar to other cyber threat activity attributed to North Korea-nexus groups, shifts in APT45 operations have reflected the DPRK\'s changing priorities. Malware samples indicate the group was active as early as 2009, although an observed focus on government agencies and the defense industry was observed beginning in 2017. Identified activity in 2019 aligned with Pyongyang\'s continued interest in nuclear issues and energy. Although it is not clear if financially-motivated operations are a focus of APT45\'s current mandate, the group is distinct from other North Korean operators in its suspected interest in ransomware. Given available information, it is possible that APT45 is carrying out financially-motivated cybercrime not only in support of its own operations but to generate funds for other North Korean state priorities. Financial Sector Like other North Korea	Ransomware Malware Tool Threat Medical	APT 37 APT 43
	2024-07-25 10:14:46	Ransomware sexi / apt Inc - ce que vous devez savoir SEXi / APT Inc Ransomware - What You Need To Know (lien direct)	Sexi?Sérieusement?De quoi parlez-vous cette fois?Ne t'inquiète pas, je n'essaie pas d'évoquer des images dans votre esprit de Rod Stewart dans son pantalon d'imprimé léopard emblématique.Au lieu de cela, je veux vous avertir d'un groupe de cybercriminalité qui a gagné en notoriété pour attaquer les serveurs VMware Esxi depuis février 2024. Excusez-moi de ne pas savoir, mais qu'est-ce que VMware exsi?EXSI est un hyperviseur - permettant aux entreprises qui souhaitent réduire les coûts et simplifier la gestion pour consolider plusieurs serveurs sur une seule machine physique.ESXi est un choix populaire avec les fournisseurs de cloud et les centres de données qui ont obligé d'héberger ... SEXi? Seriously? What are you talking about this time? Don\'t worry, I\'m not trying to conjure images in your mind of Rod Stewart in his iconic leopard print trousers. Instead, I want to warn you about a cybercrime group that has gained notoriety for attacking VMware ESXi servers since February 2024. Excuse me for not knowing, but what is VMWare EXSi? EXSi is a hypervisor - allowing businesses who want to reduce costs and simplify management to consolidate multiple servers onto a single physical machine. ESXi is a popular choice with cloud providers and data centres that have a require to host...	Ransomware Cloud
	2024-07-25 08:28:21	Lignes téléphoniques dans plusieurs tribunaux en Californie après une attaque de ransomware Phone Lines Down in Multiple Courts Across California After Ransomware Attack (lien direct)	> Lignes téléphoniques dans plusieurs tribunaux à travers la Californie après l'attaque des ransomwares contre le plus grand tribunal de première instance de State \\ dans le comté de Los Angeles. >Phone lines down in multiple courts across California after ransomware attack on state\'s largest trial court in Los Angeles County.	Ransomware
	2024-07-25 06:04:58	3 Conseils pour créer un programme efficace de sensibilisation à la sécurité pour vos employés 3 Tips to Build an Effective Security Awareness Program for Your Employees (lien direct)	There are three cybersecurity truths that have stood the test of time (so far). Most breaches involve the human element. The latest Data Breach Investigations Report (DBIR) from Verizon notes that more than three-quarters (76%) of all breaches involve a human element. Phishing is one of the most common tactics for gaining initial access to a business. The DBIR says phishing was the second-most used tactic in 2023, right after stolen credentials. (Notably, credentials are often lost in phishing attacks first.) People are willing to take risks. That\'s why they often fall victim to attacks-because they take risky actions, like clicking on links and opening attachments from people they don\'t know. Research for our 2024 State of the Phish report shows that 68% of people do this. Given these truths, a human-centric security strategy is critical to protecting an organization. And mitigating human risk should be an important foundational pillar. This approach to cybersecurity recognizes that while technological solutions are essential, they are not sufficient on their own. Human behavior must be addressed directly. If you build an awareness program that is guided by threat intelligence and gives users the tools to respond to phishing attacks, you can attain quantifiable results. In this blog, we\'ll discuss three tips that you can use right now to build your security awareness training program in a way that empowers your employees to change their behavior. Tip 1: Prioritize high-risk user groups Human-centric cybersecurity starts with having visibility into who presents the greatest risk to your business. Often, the actions of a very small percentage of employees are the root cause of most security incidents. When you understand who presents the most risk, you can maximize your program\'s impact by improving the resilience of these individuals. For our 2024 State of the Phish report, we asked information security professionals who they believe represent the greatest risk to their organizations. The top group were the users who had access to critical data (privileged users). A chart that shows users who represent risk within companies. (Source: 2024 State of the Phish report from Proofpoint.) Privilege risk is one key factor in quantifying total human risk. It considers the amount of damage that could result from a successful attack. However, you must also consider: Attack risk, which demonstrates that the more a person has been attacked in the recent past, the higher the probability that they will be attacked in the near future. Vulnerability risk, which evaluates the probability that an attack would be successful if a person is attacked. For this risk factor, it is important to track both real and simulated user behaviors such as actual URL clicks within live email and performance against security awareness knowledge assessments and phishing simulations. Proofpoint makes it easy to quantify human risk and identify who represents the greatest risk to your business. Instead of manually tracking human risk across the three key risk factors of privilege, attack and vulnerability, our customers can use Proofpoint Nexus People Risk Explorer (NPRE). With NPRE, each person receives a user risk score based on their behavior and identity information. Users are automatically grouped based on their scores. With user risk insights from NPRE, you can easily prioritize which groups need the most attention and decide how to best deliver your training to maximize its impact. A view of the dashboard for Nexus People Risk Explorer. Tip 2: Keep your program agile The threat landscape impacts every business differently. Comparing a financial services company to a manufacturing company may show that the former is targeted more often with ransomware than supply-chained based BEC attacks. It is important to keep your program agile so that you can easily adjust	Ransomware Data Breach Tool Vulnerability Threat Cloud
	2024-07-24 23:34:10	Onyx Sleet utilise une gamme de logiciels malveillants pour recueillir l'intelligence pour la Corée du Nord Onyx Sleet uses array of malware to gather intelligence for North Korea (lien direct)	#### Targeted Geolocations - India - Korea - United States - Southeast Asia - North America #### Targeted Industries - Information Technology - Defense Industrial Base - Government Agencies & Services ## Snapshot On July 25, 2024, the United States Department of Justice (DOJ) indicted an individual linked to the North Korean threat actor that Microsoft tracks as Onyx Sleet. Microsoft Threat Intelligence collaborated with the Federal Bureau of Investigation (FBI) in tracking activity associated with Onyx Sleet. We will continue to closely monitor Onyx Sleet\'s activity to assess changes following the indictment. First observed by Microsoft in 2014, Onyx Sleet has conducted cyber espionage through numerous campaigns aimed at global targets with the goal of intelligence gathering. More recently, it has expanded its goals to include financial gain. This threat actor operates with an extensive set of custom tools and malware, and regularly evolves its toolset to add new functionality and to evade detection, while keeping a fairly uniform attack pattern. Onyx Sleet\'s ability to develop a spectrum of tools to launch its tried-and-true attack chain makes it a persistent threat, particularly to targets of interest to North Korean intelligence, like organizations in the defense, engineering, and energy sectors. Microsoft tracks campaigns related to Onyx Sleet and directly notifies customers who have been targeted or compromised, providing them with the necessary information to help secure their environments. ## Activity Overview ### Who is Onyx Sleet? Onyx Sleet conducts cyber espionage primarily targeting military, defense, and technology industries, predominately in India, South Korea, and the United States. This threat actor has historically leveraged spear-phishing as a means of compromising target environments; however, in recent campaigns, they have mostly exploited N-day vulnerabilities, leveraging publicly available and custom exploits to gain initial access. In October 2023, Onyx Sleet [exploited the TeamCity CVE-2023-42793 vulnerability](https://security.microsoft.com/intel-explorer/articles/b4f39b04) [as a part of a targeted attack](https://security.microsoft.com/vulnerabilities/vulnerability/CVE-2023-42793/overview). Exploiting this vulnerability enabled the threat actor to perform a remote code execution attack and gain administrative control of the server. Onyx Sleet develops and uses a spectrum of tools that range from custom to open source. They have built an extensive set of custom remote access trojans (RATs) that they use in campaigns, and routinely developed new variants of these RATs to add new functionality and implement new ways of evading detection. Onyx Sleet often uses leased virtual private servers (VPS) and compromised cloud infrastructure for command-and-control (C2). Onyx Sleet is tracked by other security companies as SILENT CHOLLIMA, Andariel, DarkSeoul, Stonefly, and TDrop2. Affiliations with other threat actors originating from North Korea Onyx Sleet has demonstrated affiliations with other North Korean actors, indicating its integration with a broader network of North Korean cyber operations. Microsoft has observed [an overlap](https://www.microsoft.com/en-us/security/blog/2022/07/14/north-korean-threat-actor-targets-small-and-midsize-businesses-with-h0lygh0st-ransomware/) between Onyx Sleet and [Storm-0530](https://www.microsoft.com/security/blog/2022/07/14/north-korean-threat-actor-targets-small-and-midsize-businesses-with-h0lygh0st-ransomware/). Both groups were observed operating within the same infrastructure and were involved in the development and use of ransomware in attacks in late 2021 and 2022. Onyx Sleet targets In pursuit of its primary goal of intelligence collection, Onyx Sleet has focused on targeting entities in the defense and energy industries, predominately in India, South Korea, and the United States. Recent att	Ransomware Malware Tool Vulnerability Threat Industrial Cloud Technical Commercial	APT 38
	2024-07-24 21:28:53	(Déjà vu) Les acteurs de la menace ciblent les résultats des élections récentes Threat Actors Target Recent Election Results (lien direct)	#### Géolocations ciblées - Inde ## Instantané Les analystes de K7 Labs ont trouvé un document se faisant passer pour des «résultats des élections indiennes», qui s'est avéré livrer le malware de Troie (rat) à accès à distance cramoisi. ## Description Crimson Rat, couramment utilisé par le groupe Transparent Tribe APT, vole des informations d'identification et d'autres informations sensibles.La tribu transparente, censée opérer à partir du Pakistan, cible les entités diplomatiques, de défense et de recherche en Inde et en Afghanistan. Dans ce cas, l'appât a impliqué des résultats électoraux pour attirer les internautes indiens.Le vecteur d'attaque était un fichier .docm auprès de macros qui a intégré la charge utile de rat Crimson.Lors de l'exécution, le malware décode les fichiers intégrés et installe un fichier d'économiseur d'écran pour établir la persistance.Un autre dossier de leur, déguisé en programme universitaire, a également livré le même logiciel malveillant.Le rat Crimson échappe à la détection en retardant son activité et se connecte à un serveur de commande et de contrôle pour exécuter des commandes et voler des données. ## Analyse supplémentaire Transparent Tribe, également suivi sous le nom de Mythic Leopard et APT36, est un groupe de menaces basé au Pakistan actif depuis 2013. Le groupe cible principalement le gouvernement, la défense et l'éducation en Inde. Transparent Tribe a déjà été observée à l'aide de Crimsonrat pour cibler une variété d'entités indiennes, notamment [l'armée indienne] (https://www.seqrite.com/blog/transparent-tribe-apt-active-leures-indian-army-amidst-Augmentation du ciblage-de l'éducation-institutions /), [établissements d'éducation] (https://blog.talosintelligence.com/transparent-tribe-targets-education/), et [les fonctionnaires du gouvernement] (https: //blog.talosintelligence.com / Transparent-Tribe-New-Campaign /).Selon Cisco Talos, Crimsonrat est l'outil de choix du groupe depuis au moins 2020, en particulier lorsqu'il cherche à établir un accès persistant dans les réseaux cibles.L'outil est souvent déployé par une tribu transparente en utilisant des e-mails de espionnage. ## Détections / requêtes de chasse ### Microsoft Defender Antivirus Microsoft Defender Antivirus les composants de menace suivants comme malware: - [TrojandRopper: O97M / OBFUSE] (https: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-dercription?name=trojandropper:o97m/obfuse!mtb) ## Recommandations MIcrosoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécuter [EDR en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=Magicti_TA_LearnDoc)Le défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Autoriser [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?view=o365-worldwide?ocid=Magicti_TA_LearnDoc) en mode automatisé complet pour permettre à Microsoft DefenderPour que le point final prenne des mesures immédiates sur les alertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - [Activé] (https	Ransomware Malware Tool Threat	APT 36
	2024-07-24 21:16:52	Distribution of AsyncRAT Disguised as Ebook (lien direct)	## Instantané Les recherches à l'AHNLAB Security Intelligence Center (ASEC) ont identifié une nouvelle méthode de distribution de logiciels malveillants asyncrat à travers des livres électroniques armés. ## Description Ces livres électroniques, qui semblent inoffensifs, contiennent une icône frauduleuse qui indique un fichier LNK avec un code malveillant.De plus, il existe un fichier TXT avec un script PowerShell caché, des fichiers vidéo compressés et un ebook réel.Lorsque le fichier LNK est exécuté, il déclenche le script PowerShell caché dans le fichier RM.TXT, qui cache ensuite le dossier de logiciel malveillant du téléchargeur et exécute un script obscurci.Ce script peut lancer le vrai malware à partir de faux fichiers vidéo s'il détecte certains produits de sécurité.La charge utile asyncrat est conçue avec des mécanismes anti-détection, de la persistance et des capacités d'exfiltration des données.Il est distribué par diverses méthodes, y compris des fichiers déguisés sur les sites de partage et les e-mails de phishing, ce qui en fait une menace polyvalente et dangereuse.Le malware se précipita comme des processus légitimes et utilise des techniques d'obscurcissement pour échapper à la détection. L'asyncrat n'est pas le seul logiciel malveillant du voleur d'informations observé dans les livres électroniques.Comme asyncrat, [vipersoftx] (https://security.microsoft.com/intel-explorer/articles/8084ff7b) et [cve-2024-38112] (https://www.trendmicro.com/en_us/research/24/G / CVE-2024-38112-VOID-BANSHEE.HTML # NEW_TAB) Utilisez PowerShell pour exfiltrer les données et éviter la détection. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Trojan: win32 / winlnk] (https://www.microsoft.com/en-us/wdsi/Menaces / malware-senceclopedia-description? Name = Trojan: win32 / winlnk) - [Trojan: Msil / Agenttesla] (https://www.microsoft.com/en-us/wdsi/Therets/malware-secdcopedia-description? name = trojan: MSIL / AgentTesla) - [Backdoor: Msil / asyncrat.ad] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=backDoor:mil/asyncrat.ad) ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Vérifiez les paramètres de filtrage des e-mails Office 365 pour vous assurer de bloquer les e-mails, le spam et les e-mails avec des logiciels malveillants.Utilisez [Microsoft Defender pour Office 365] (https://learn.microsoft.com/en-us/defenderofice-365/mdo-about?ocid=Magicti_TA_LearnDoc) pour une protection et une couverture de phishing améliorées contre de nouvelles menaces et des variantes polymorphes.Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (https://learn.microsoft.com/en-us/defender-office-365/safe-links-about?ocid=magicti_ta_learndoc) et [supprimer le courrier envoyé] (https://learn.microsoft.com/en-us/defenderofice-365/zero-hour-auto-purge?ocid=Magicti_TA_LearnDoc) en réponse à l'intelligence de menace nouvellement acquise. - Allumez [les pièces jointes sûres] (https://learn.microsoft.com/en-us/defender-office-365/safe-attachments-policies-configure?ocid=Magicti_ta_learndoc) pour vérifier les pièces jointes vers le courrier électronique déstant. - Encouragez les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [SmartScreen] (https://learn.microsoft.com/en-us/defender-endpoint/web-protection-overview?ocid=Magicti_TA_LearnDoc), qui identifie et blocsDes sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites qui hébergent des logiciels malveillants. - Allumez [Protection en cloud-élivé] (https://learn.microsoft.com/en-us/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-antivirus?ocid=Magicti_ta_learndoc) dans MicrosoftLe dé	Ransomware Spam Malware Tool Vulnerability Threat Prediction
	2024-07-24 16:12:37	Exploiter la conformité: tactiques de gangs ransomwares Exploiting Compliance: Ransomware Gang Tactics (lien direct)	Comprendre les méthodes que les gangs ransomwares utilisent pour exploiter la conformité à la sécurité et comment DarkTrace \'s AI peut atténuer ces menaces. Understand the methods ransomware gangs use to exploit security compliance and how Darktrace\'s AI can mitigate these threats.	Ransomware Threat
	2024-07-24 11:00:16	La menace cachée des attaquants Phantom sur Github par Stargazers Ghost Network The Hidden Menace of Phantom Attackers on GitHub by Stargazers Ghost Network (lien direct)	> Résumé des clés jamais vu avant la découverte: Check Point Research a découvert le Stargazers Ghost Network, une opération sophistiquée des comptes fantômes sur GitHub distribuant des logiciels malveillants via des référentiels de phishing, marquant la première fois qu'une telle opération a été identifiée sur cette plate-forme.Impact significatif des utilisateurs: Les référentiels malveillants ciblent un large éventail d'utilisateurs, y compris les amateurs de médias sociaux, les joueurs et les détenteurs de crypto-monnaie, qui pourraient éventuellement être exploités dans des attaques de conséquences graves telles que les infections des ransomwares, les informations d'identification et les portefeuilles de crypto-monnaie compromis.Implications communautaires plus larges: le modèle de distribution en tant que service (DAAS) du réseau fournit une plate-forme pour d'autres acteurs de menace, impactant [& # 8230;] >Key Summary Never Seen Before Discovery: Check Point Research has uncovered the Stargazers Ghost Network, a sophisticated operation of ghost accounts on GitHub distributing malware through phishing repositories, marking the first time such an operation has been identified on this platform. Significant User Impact: The malicious repositories target a wide range of users, including social media enthusiasts, gamers, and cryptocurrency holders, which could possibly be leveraged in attacks of severe consequences such as ransomware infections, stolen credentials, and compromised cryptocurrency wallets. Broader Community Implications: The network’s Distribution as a Service (DaaS) model provides a platform for other threat actors, impacting […]	Ransomware Malware Threat
	2024-07-24 11:00:00	Un réseau de pirate \\ 'fantôme \\' propage tranquillement des logiciels malveillants sur github A Hacker \\'Ghost\\' Network Is Quietly Spreading Malware on GitHub (lien direct)	Les chercheurs en cybersécurité ont repéré un réseau de 3 000 comptes sur GitHub qui manipule la plate-forme et diffuse des ransomwares et des voleurs d'informations. Cybersecurity researchers have spotted a 3,000-account network on GitHub that is manipulating the platform and spreading ransomware and info stealers.	Ransomware Malware
	2024-07-24 10:00:00	Navigation du champ de mines: cybersécurité pour les organisations à but non lucratif Navigating the Minefield: Cybersecurity for Non-Profit Organizations (lien direct)	The content of this post is solely the responsibility of the author. LevelBlue does not adopt or endorse any of the views, positions, or information provided by the author in this article. Cybersecurity threats cast an ominous shadow over organizations across all sectors. While the world often associates these risks with profit-driven businesses, non-profit organizations are equally vulnerable targets. And the stakes are alarmingly high. Recent data shows that about 6 cyber-attacks happen every 4 minutes and attacks like the 2022 one on the International Committee of the Red Cross (ICRC) send shivers across non-profits. To make things even worse, limited resources and backup resources mean a successful breach could prove catastrophic. Hence, non-profit cybersecurity is a particularly important issue. Understanding the Cybersecurity Risks for Nonprofits Non-profit organizations face unique cybersecurity risks that stem from their distinct operational models and resource constraints. They frequently handle sensitive information, including donor and beneficiary details, which makes them attractive targets for cybercriminals. Another significant factor is the general lack of robust cybersecurity measures within many nonprofit organizations. In fact, data shows that more than 84% of nonprofit organizations don’t have a cybersecurity plan. This makes them a prime target for many malicious players. Additionally, many nonprofit organizations struggle to allocate sufficient resources to cybersecurity due to limited budgets and competing priorities. Much like the security of small business savings accounts suffers from lower budgets, non-profits are also prone to thinking reactively, instead of taking a proactive stance towards their own cyber fortress. For example, some non-profits don’t have the resources to invest in identity theft protection, cybersecurity consultancy, and even pen-testing tools to use in-house. Cybercriminals are well aware of this vulnerability and are increasingly targeting nonprofits. Some charity organizations also often underestimate their risk level, falsely believing they are unlikely targets for cyberattacks. This complacency can lead to a lack of preparedness and awareness, further increasing their vulnerability. Common Cybersecurity Risks for Nonprofits There are many types of cyber threats and attacks that affect non-profit organizations. Here are some of the most common: Data Breaches Nonprofits are goldmines when it comes to data. A data breach typically occurs when cybercriminals exploit vulnerabilities in an organization’s cybersecurity defenses. This could be through hacking efforts, phishing scams, or even physical access to insecure storage locations. There have even been cases of scammers presenting themselves as SAP consultants, requiring n	Ransomware Data Breach Malware Tool Vulnerability Threat
	2024-07-24 00:55:09	Intelbroker répertorie les données de crypto Europol présumées en ligne IntelBroker lists alleged Europol crypto data online (lien direct)	## Instantané Intelbroker, un infâme leaker et cyber-criminel, a énuméré des "documents liés à la crypto" appartenant à Europol sur BreachForums. ## Description L'acteur de menace prétend avoir divulgué une petite quantité de données de l'environnement EPE d'Europol \\, y compris les fichiers "pour un usage officiel" (FOUO), les PDF et les documents de reconnaissance et de directives.La violation peut avoir compromis des informations personnelles telles que les noms, les adresses e-mail et les données commerciales confidentielles de divers organismes d'application de la loi.Europol a confirmé l'incident et enquête, déclarant qu'aucune donnée opérationnelle d'Europol n'a été compromise.Cet incident suit la prétention précédente d'Intelbroker \\ pour voler des "fichiers et documents critiques" de la plate-forme EPE d'Europol \\ en mai, affectant diverses agences d'Europol, notamment CCSE, crypto-monnaies & # 8211;EC3, Space & # 8211;EC3, formulaire d'application de la loi et Sirius. ### Analyse supplémentaire Selon [les chercheurs en sécurité de Mphasis] (https://www.mphasis.com/content/dam/mphasis-com/global/en/home/services/cybersesecurity/june-21-12-the-intelbroker-data-leak-Arthat-Actor.pdf), Intelbroker est connu pour violer les organisations de haut niveau dans divers secteurs, notamment le gouvernement, les télécommunications, l'automobile et la technologie.Connu pour avoir fonctionné le ransomware d'endurance, Intelbroker a revendiqué la responsabilité de nombreuses attaques contre des entités telles que Autotrader, Volvo, AT&T et Verizon.En tant que courtier en renseignement, Intelbroker vend des données volées sur les forums souterrains et utilise souvent des ransomwares d'endurance, un malware C # conçu pour écraser et supprimer des fichiers.Selon [Socradar] (https://socradar.io/dark-web-profile-intelbroker/), Intelbroker a attiré une attention importante à la fin de 2022 et au début de 2023, avec des violations notables, notamment le service d'épicerie Weee, Europol et Hilton Hotels.En juin 2024, Intelbroker prétend avoir obtenu le code source interne de trois outils Apple couramment utilisés et publié les données d'AMD \\ à vendre, alléguant que le compromis comprenait les futurs produits AMD, les fiches de spécification et les informations sur les employés, selon [CyberNews] (https://cybernews.com/security/thereat-actor-intelbroker-claids-apple-amd/). Bien que toutes les violations ne puissent pas être vérifiées dans la même mesure, de nombreux incidents causés par Intelbroker ont été confirmés. ## Les références [Intelbroker énumère les données de crypto Europol présumées en ligne] (https://www.cyberdaily.au/security/10793-intelbroker-lists-alled-europol-crypto-data-online).Cyberdaily.au (consulté en 2024-07-23) ## Droits d'auteur &copie;Microsoft 2024 .Tous droits réservés.La reproduction ou la distribution du contenu de ce site, ou de toute partie de celle-ci, sans l'autorisation écrite de Microsoft est interdite. ## Snapshot IntelBroker, an infamous leaker and cyber criminal, has listed "crypto-related documents" belonging to Europol on BreachForums. ## Description The threat actor claims to have leaked a small amount of data from Europol\'s EPE environment, including "For Official Use Only" (FOUO) files, PDFs, and documents for reconnaissance and guidelines. The breach may have compromised personal information such as names, email addresses, and confidential business data from various law enforcement agencies. Europol has confirmed the incident and is investigating, stating that no operational data from Europol has been compromised. This incident follows IntelBroker\'s previous claim of stealing "critical files and documents" from Europol\'s EPE platform in May, affecting various Europol agencies including CCSE, cryptocurrencies – EC3, Space – EC3, Law Enforcement Form, and SIRIUS. ### Additional Analysis According	Ransomware Malware Tool Threat Legislation
	2024-07-23 17:58:57	Daggerfly: Espionage Group fait une mise à jour majeure de l'ensemble d'outils Daggerfly: Espionage Group Makes Major Update to Toolset (lien direct)	#### Géolocations ciblées - Taïwan ## Instantané Le groupe d'espionnage poignardé, également connu sous le nom de panda évasif ou de bronze, a considérablement amélioré son ensemble d'outils, introduisant de nouvelles versions de logiciels malveillants probablement en réponse à l'exposition de variantes plus anciennes. ## Description Cette boîte à outils mise à jour a été récemment déployée dans des attaques contre des organisations à Taïwan et une ONG américaine basée en Chine, suggérant des activités d'espionnage internes.Dans ces attaques, Daggerfly a exploité une vulnérabilité dans un serveur HTTP Apache pour livrer leur malware MGBOT. Arsenal mis à jour de Daggerfly \\ comprend une nouvelle famille de logiciels malveillants basée sur leur framework MGBOT et une nouvelle version de la porte arrière MacMA MacOS.La recherche de Symantec \\ relie Macma, précédemment d'une paternité inconnue, à Daggerfly.[MACMA] (https://security.microsoft.com/intel-explorer/articles/4b21b84f) est une porte dérobée modulaire avec des fonctionnalités comme l'empreinte digitale de l'appareil, l'exécution de la commande et le keylogging.Les variantes récentes affichent un développement continu avec des mises à jour telles que la nouvelle logique pour la liste des systèmes de fichiers et la journalisation de débogage supplémentaire. Symantec a également découvert une nouvelle porte dérobée Windows nommée Suzafk (également connue sous le nom de nuit), développée en utilisant la même bibliothèque partagée que MGBOT et MACMA.Suzafk peut utiliser TCP ou OneDrive pour la commande et le contrôle et comprend des fonctionnalités telles que le réglage de la persistance via des tâches planifiées et la détection des machines virtuelles. Les vastes mises à jour et nouveaux outils mettent en évidence la capacité de Daggerfly \\ pour cibler plusieurs systèmes d'exploitation, y compris Windows, MacOS, Linux, Android et Solaris.La capacité du groupe \\ à s'adapter et à améliorer rapidement son ensemble d'outils après l'exposition souligne leurs ressources sophistiquées et leurs efforts d'espionnage persistants. ## Détections / requêtes de chasse ### Microsoft Defender Antivirus Microsoft Defender Antivirus les composants de menace suivants comme malware: - [Trojan: macOS / macma] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=trojan:macos/macma.b) - [Backdoor: macOS / MacMA] (https://www.microsoft.com/en-us/wdsi/Thereats/Malware-encyClopedia-Description?name=backdoor:MacOS / macma) - [Trojan: Linux / Multiverze] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=trojan:linux/Multiverze) - [Trojan: macOS / Multiverze] (https://www.microsoft.com/en-us/wdsi/terats/malware-encycopedia-Description? Name = Trojan: macOS / Multiverze) ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécuter [EDR en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=Magicti_TA_LearnDoc)Le défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Autoriser [Investigation and Remediation] (https://learn.m	Ransomware Malware Tool Vulnerability Threat Mobile
	2024-07-23 17:28:44	Jouer des variantes de ransomware ciblant les environnements linux esxi Play Ransomware Variant Targeting Linux ESXi Environments (lien direct)	Jouer à Ransomware Targets Linux!De nouvelles variantes attaquent ESXi avec des liens PUMA prolifiques.Apprenez à protéger votre organisation & # 8230; Play Ransomware Targets Linux! New Variant Attacks ESXi with Prolific Puma Ties. Learn how to protect your organization…	Ransomware
	2024-07-23 16:00:33	Écosystème des ransomwares fragmentant sous pression et méfiance Ransomware ecosystem fragmenting under law enforcement pressure and distrust (lien direct)	Pas de details / No more details	Ransomware Legislation
	2024-07-23 12:00:07	La suite de protection des utilisateurs sécurise contre les tendances d'attaque des ransomwares TALOS TOP TALOS User Protection Suite Secures Against Talos Top Ransomware Attack Trends (lien direct)	Découvrez le premier épisode de Talo \\ de Talos Threat Perspective et comment la suite de protection des utilisateurs de Cisco \\ peut fournir une approche en couches de la sécurité. Discover Talo\'s first episode of Talos Threat Perspective and how Cisco\'s User Protection Suite can provide a layered approach to security.	Ransomware Threat
	2024-07-22 21:24:18	Police NAB, âgée de 17 ans, liée au groupe derrière MGM Resorts Cyberattack Police nab 17-year-old linked to group behind MGM Resorts cyberattack (lien direct)	> Un jeune de 17 ans arrêté par la police britannique jeudi serait membre du gang cybercriminal derrière l'attaque des ransomwares de l'année dernière contre les stations MGM et un certain nombre d'autres grandes entreprises.Le garçon non identifié a été libéré sous caution alors que l'enquête, qui comprend l'examen d'un certain nombre d'appareils numériques, continue, a déclaré la police dans [& # 8230;] >A 17-year-old arrested by British police Thursday is believed to be a member of the cybercriminal gang behind last year\'s ransomware attack on MGM Resorts and a number of other major companies. The unidentified boy was released on bail as the investigation, which includes examination of a number of digital devices, continues, police said in […]	Ransomware Legislation
	2024-07-22 20:50:59	Deux ressortissants étrangers plaident coupables d'avoir participé à Lockbit Ransomware Group Two Foreign Nationals Plead Guilty to Participating in LockBit Ransomware Group (lien direct)	Pas de details / No more details	Ransomware
	2024-07-22 20:20:43	Fin7 Reboot \|Le gang de cybercriminaux améliore les OP avec de nouveaux contournements EDR et des attaques automatisées FIN7 Reboot \| Cybercrime Gang Enhances Ops with New EDR Bypasses and Automated Attacks (lien direct)	## Instantané Sentinélone a récemment découvert des développements importants concernant le célèbre gang de cybercriminalité FIN7.Le groupe, connu pour ses opérations sophistiquées, a amélioré ses capacités avec de nouvelles techniques de contournement de détection et de réponse (EDR) et de méthodes d'attaque automatisées.Cette évolution souligne la menace continue de Fin7 \\ pour la cybersécurité. Microsoft suit cet acteur de menace comme Sangria Tempest, [en savoir plus ici.] (Https://security.microsoft.com/intel-profiles/3e4a164ad64958b784649928499521808aea4d3565df70afc7c85eae69f74278) ## Description FIN7 est actif depuis au moins 2015, ciblant principalement les institutions financières par le biais de logiciels malveillants de point de vente (POS) et de campagnes de phisces de lance.Récemment, le groupe s'est concentré sur les ransomwares, liant à divers gangs de ransomware, notamment Maze, Ryuk et Darkside. Une révélation pivot de Sentinélone est la connexion entre Fin7 et le [Black Basta] (https://security.microsoft.com/intel-profiles/0146164ed5ffa131074fa7e985f79597d2522865baaa088f25cd80c3d8d726) Ransomware.Black Basta, qui a émergé en avril 2022, a déployé des outils d'évasion EDR personnalisés développés par FIN7.Cette connexion a été établie par la découverte d'adresses IP et de tactiques, de techniques et de procédures (TTP). Un outil notable identifié est «Windefcheck.exe», qui imite l'interface graphique de sécurité Windows, les utilisateurs trompeurs en pensant à leurs systèmes sont sécurisés tout en désactivant les défenses de sécurité en arrière-plan.Cet outil est exclusivement utilisé par Black Basta depuis la mi-2022, mettant en évidence le chevauchement opérationnel entre les deux groupes. De plus, Black Basta a utilisé des techniques sophistiquées telles que l'exploitation des vulnérabilités chez les moteurs légitimes pour échapper à la détection.Par exemple, ils ont utilisé l'exploit de printnightmare et des outils comme AdFind pour l'escalade des privilèges et le mouvement latéral dans les réseaux. Le lien entre Fin7 et Black Basta suggère une collaboration plus profonde ou des ressources partagées, en particulier dans le développement d'outils d'évasion.Ce partenariat améliore la menace posée par ces groupes, car ils peuvent combiner leur expertise pour lancer des cyberattaques plus efficaces et dommageables. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Trojan: win64 / diCeloader] (https://www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=trojan:win64/diceloader.km!mtb) - [BEhavior: Win32 / Basta] (https://www.microsoft.com/en-us/wdsi/terats/malware-encycopedia-description?name = comportement: win32 / basta.a) - [Hacktool: win64 / cobaltstrike] (https://www.microsoft.com/en-us/wdsi/therets/malware-senceclopedia-description? name = hacktool: win64 / cobaltstrike) - [Ransom: win32 / basta] (htTPS: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description? name = ransom: win32 / basta) - [Trojan: Win32 / Basta] (https: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=trojan:win32/basta!bv) - [Comportement: win32 / cobaltsstrike] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=behavior:win32/cobaltstrike) - [Backdoor: win64 / cobaltstrike] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=backDoor:win64/CobalTstrike) ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Encourager les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [Microsoft Defender SmartScreen] (HTTps: //learn.microsoft.com/en-us/deployedge/microsoft-edge-security-smartscreen? ocid = magicti_ta_learndoc), qui identifie et bloque des sites Web mal	Ransomware Malware Tool Vulnerability Threat
	2024-07-22 20:09:03	Le système judiciaire du comté de Los Angeles devrait rouvrir mardi après une attaque de ransomware Los Angeles County court system slated to reopen Tuesday after ransomware attack (lien direct)	Pas de details / No more details	Ransomware
	2024-07-22 18:55:27	Un suspect d'araignée dispersé pour adolescents arrêté dans la piqûre de cybercriminalité mondiale Teenage Scattered Spider Suspect Arrested in Global Cybercrime Sting (lien direct)	Les autorités ont l'intention d'envoyer un message à ces groupes de cybercriminalité que leurs infractions criminelles et leurs attaques de ransomwares ne valent pas les retombées. The authorities intend to send a message to these cybercrime groups that their criminal offenses and ransomware attacks are not worth the fallout.	Ransomware
	2024-07-22 17:15:13	La Cour supérieure du comté de LA ferme les portes pour redémarrer la justice après une attaque de ransomware LA County Superior Court closes doors to reboot justice after ransomware attack (lien direct)	Certains repos pour les méchants? La Cour supérieure du comté de Los Angeles, le plus grand tribunal de première instance d'Amérique, a clôturé les 36 de ses palais de justice aujourd'hui à la suite d'une attaque de ransomware "sans précédent" vendredi.… Some rest for the wicked? Los Angeles County Superior Court, the largest trial court in America, closed all 36 of its courthouses today following an "unprecedented" ransomware attack on Friday.…	Ransomware
	2024-07-22 16:15:00	Jouer au ransomware se développe pour cibler les environnements VMware ESXi Play Ransomware Expands to Target VMWare ESXi Environments (lien direct)	Trend Micro a également révélé une connexion entre le groupe de ransomware de jeu et l'acteur de menace prolifique Puma Trend Micro also revealed a connection between the Play ransomware group and the threat actor Prolific Puma	Ransomware Threat Prediction
	2024-07-22 15:43:33	Rapport de l'IOCTA 2024: les forces de l'ordre s'occupent des coups majeurs contre les réseaux de ransomware de perturbation de l'UE, IOCTA 2024 report: Law enforcement deals major blows against EU cybercrime, disrupt ransomware networks (lien direct)	Un nouveau rapport d'Internet Organized Crime Threat Assessment (IOCTA) souligne qu'en 2023, les organismes chargés de l'application des lois sont livrés ... A new report by Internet Organised Crime Threat Assessment (IOCTA) highlights that in 2023, law enforcement agencies delivered...	Ransomware Threat Legislation
	2024-07-22 15:30:00	Les groupes de ransomwares fragment au milieu des menaces de cybercriminalité croissantes Ransomware Groups Fragment Amid Rising Cybercrime Threats (lien direct)	Europol a également déclaré que les tactiques d'extorsion multicouches dans les ransomwares deviennent plus courantes Europol also said that multi-layered extortion tactics in ransomware are becoming more common	Ransomware
	2024-07-22 13:30:37	L'attaque des ransomwares arrête les tribunaux du comté de LA, interrompt les transferts de détenus, les expulsions Ransomware Attack Shuts Down LA County Courts, Halts Inmate Transfers, Evictions (lien direct)	La Cour supérieure du comté de Los Angeles, États-Unis & # 8217;Le plus grand tribunal de première instance, a subi un ransomware paralysant & # 8230; The Superior Court of Los Angeles County, the United States’ largest trial court, has suffered a crippling ransomware…	Ransomware
	2024-07-22 13:02:14	22 juillet & # 8211;Rapport de renseignement sur les menaces 22nd July – Threat Intelligence Report (lien direct)	> Pour les dernières découvertes en cyber recherche pour la semaine du 22 juillet, veuillez télécharger notre bulletin de renseignement sur les menaces.Les principales attaques et violation de l'American Bassett Furniture Industries ont été victimes d'une attaque de ransomware qui a entraîné le chiffrement des fichiers de données et la fermeture de ses installations de fabrication.L'attaque a considérablement perturbé [& # 8230;] >For the latest discoveries in cyber research for the week of 22nd July, please download our Threat Intelligence Bulletin. TOP ATTACKS AND BREACHES American Bassett Furniture Industries has been a victim of a ransomware attack that resulted in the encryption of data files and the shutdown of its manufacturing facilities. The attack has significantly disrupted […]	Ransomware Threat
	2024-07-22 10:37:50	La Cour supérieure de Los Angeles s'arrête après une attaque de ransomware Los Angeles Superior Court shuts down after ransomware attack (lien direct)	Le plus grand tribunal de première instance des États-Unis, la Cour supérieure du comté de Los Angeles, a clôturé lundi les 36 emplacements du palais de justice pour restaurer les systèmes touchés par une attaque de ransomware de vendredi.[...] The largest trial court in the United States, the Superior Court of Los Angeles County, closed all 36 courthouse locations on Monday to restore systems affected by a Friday ransomware attack. [...]	Ransomware
	2024-07-22 10:33:31	Faits saillants hebdomadaires, 22 juillet 2024 Weekly OSINT Highlights, 22 July 2024 (lien direct)	## Instantané La semaine dernière, le rapport OSINT de \\ présente des groupes APT alignés par l'État et des cybercriminels motivés par l'État, tels que les ransomwares APT41 et Akira, exploitant des vulnérabilités zéro-jour et tirant parti des campagnes de phishing pour accéder au premier accès.Les attaques ciblaient principalement des secteurs comme le gouvernement, le monde universitaire et les institutions financières, ainsi que des régions géographiques spécifiques, notamment le Moyen-Orient, l'Amérique du Nord et l'Asie du Sud-Est.De plus, les réseaux sociaux et les menaces basés sur le téléphone étaient proéminents, avec des attaquants utilisant des plates-formes comme WhatsApp et des services cloud, et en tirant parti du contenu généré par l'IA.Les tactiques utilisées par ces acteurs de menace comprenaient l'utilisation d'homoglyphes, de tissage IL, de vulnérabilités de jour zéro et de techniques d'évasion sophistiquées, mettant en évidence la nature en constante évolution des cyber-menaces et la nécessité de mesures de cybersécurité robustes. ## Description 1. [APT41 cible les organisations mondiales] (https://sip.security.microsoft.com/intel-explorer/articles/3ecd0e46): mandiant et google \'s tag ont rapporté des organisations ciblant APT41 en Italie, en Espagne, Taiwan, Thaïlande, Turquie et Royaume-Uni.Le groupe a utilisé des compromis de la chaîne d'approvisionnement, des certificats numériques volés et des outils sophistiqués comme Dustpan et Dusttrap pour exécuter des charges utiles et des données d'exfiltrat. 2. [Play Ransomware cible les environnements VMware ESXi] (https://sip.security.microsoft.com/intel-explorer/articles/2435682e): Trend Micro a découvert une variante lineux de Play Ransomware ciblant les environnements VMware ESXi, marquant la première instance de Playd'une telle attaque.Le ransomware utilise des commandes ESXi spécifiques pour arrêter les machines virtuelles avant le chiffrement, montrant un élargissement potentiel des cibles à traversPlates-formes Linux. 3. [Campagne de Nuget malveillante] (https://sip.security.microsoft.com/intel-explorer/articles/186ac750): REVERSINGLABSLes chercheurs ont trouvé une campagne de Nuget malveillante où les acteurs de la menace ont utilisé des homoglyphes et un tissage pour tromper les développeurs.Ils ont inséré les téléchargeurs obscurcis dans des fichiers binaires PE légitimes et exploité les intégrations MSBuild de NuGet \\ pour exécuter du code malveillant lors des builds de projet. 4. [Attaques DDOS par des groupes hacktivistes russes] (https://sip.security.microsoft.com/intel-explorer/articles/e9fbb909): Des chercheurs de Cyble ont été signalés sur les attaques DDOHacknet, ciblant les sites Web français avant les Jeux olympiques de Paris.Ces groupes d'opération d'influence se concentrent souvent surCibles des membres ukrainiens et de l'OTAN. 5. [AndroxGh0st Maleware cible les applications Laravel] (https://sip.security.microsoft.com/intel-explorer/articles/753Beb5a): les chercheurs de Centre d'orage Internet ont identifié AndroxGh0st, un malware python-scriptCiblage des fichiers .env dans les applications Web Laravel, exploitant les vulnérabilités RCE.Le malware effectue une numérisation de vulnérabilité, déploie des shells Web et exfiltre des données sensibles. 6. [TAG-100 Activités de cyber-espionage] (https://sip.security.microsoft.com/intel-explorer/articles/7df80747): le groupe insikt de Future \\ a enregistré Future \\ découvert TAG-100 \\ s \\ 's Cyber Future.Activités ciblant les organisations gouvernementales, intergouvernementales et du secteur privé dans le monde, probablement pour l'espionnage.Le groupe utilise des outils open source et exploite les vulnérabilités nouvellement publiées dans les appareils orientés Internet. 7. [Dragonbridge Influence Operations] (https://sip.security.microsoft.com/intel-explorer/articles/3e4f73d5): le groupe d'analyse des menaces de Google \\ a été rapporté sur Dragonbridge	Ransomware Malware Tool Vulnerability Threat Mobile Prediction Cloud	APT 41
	2024-07-22 10:07:55	Les responsables californiens affirment que le plus grand tribunal de première instance victime d'une attaque de ransomware California Officials Say Largest Trial Court in US Victim of Ransomware Attack (lien direct)	> La Cour supérieure du comté de Los Angeles, le plus grand tribunal de première instance des États-Unis, a été victime d'une attaque de ransomware. >The Superior Court of Los Angeles County, the largest trial court in the US, has been the victim of a ransomware attack.	Ransomware
	2024-07-22 09:26:00	Nouvelle variante Linux de Play Ransomware ciblant les systèmes VMware ESXi New Linux Variant of Play Ransomware Targeting VMWare ESXi Systems (lien direct)	Les chercheurs en cybersécurité ont découvert une nouvelle variante Linux d'une souche de ransomware connue sous le nom de Play (aka BalloonFly et PlayCrypt) qui est conçue pour cibler les environnements VMware ESXi. "Cette évolution suggère que le groupe pourrait élargir ses attaques sur la plate-forme Linux, conduisant à un pool de victimes élargi et à des négociations de rançon plus réussies", ont déclaré les micro-chercheurs Trend Cybersecurity researchers have discovered a new Linux variant of a ransomware strain known as Play (aka Balloonfly and PlayCrypt) that\'s designed to target VMWare ESXi environments. "This development suggests that the group could be broadening its attacks across the Linux platform, leading to an expanded victim pool and more successful ransom negotiations," Trend Micro researchers said in a	Ransomware Prediction
	2024-07-22 08:15:00	Deux Russes condamnés pour un rôle dans les attaques de verrouillage Two Russians Convicted for Role in LockBit Attacks (lien direct)	Deux ressortissants russes ont plaidé coupable à des accusations relatives à leur participation au gang de ransomware de Lockbit Two Russian nationals have pleaded guilty to charges relating to their participation in the LockBit ransomware gang	Ransomware
	2024-07-20 15:05:35	Le Royaume-Uni arredit un pirate Spider dispersé lié à l'attaque MGM UK arrests suspected Scattered Spider hacker linked to MGM attack (lien direct)	La police britannique a arrêté un garçon de 17 ans soupçonné d'avoir été impliqué dans l'attaque de ransomware des stations MGM 2023 et un membre du Spandred Spider Hacking Collective.[...] UK police have arrested a 17-year-old boy suspected of being involved in the 2023 MGM Resorts ransomware attack and a member of the Scattered Spider hacking collective. [...]	Ransomware
	2024-07-20 09:58:00	Linée de 17 ans liée au syndicat de cybercrimination araignée dispersée arrêté au Royaume-Uni. 17-Year-Old Linked to Scattered Spider Cybercrime Syndicate Arrested in U.K. (lien direct)	Les responsables de l'application des lois du Royaume-Uni ont arrêté un garçon de 17 ans de Walsall qui est soupçonné d'être membre du célèbre syndicat de cybercrimination araignée dispersée. L'arrestation a été effectuée "dans le cadre d'un groupe mondial de crimes en ligne qui cible les grandes organisations avec des ransomwares et a accès aux réseaux informatiques", a déclaré la police de West Midlands."L'arrestation fait partie de Law enforcement officials in the U.K. have arrested a 17-year-old boy from Walsall who is suspected to be a member of the notorious Scattered Spider cybercrime syndicate. The arrest was made "in connection with a global cyber online crime group which has been targeting large organizations with ransomware and gaining access to computer networks," West Midlands police said. "The arrest is part of	Ransomware Legislation
	2024-07-19 21:17:33	Play Ransomware Group\'s New Linux Variant Targets ESXi, Shows Ties With Prolific Puma (lien direct)	## Snapshot Trend Micro\'s Threat Hunting team discovered a Linux variant of [Play ransomware](https://security.microsoft.com/intel-profiles/5052c3d91b03a0996238bf01061afdd101c04f1afb7aeda1fc385a19b4f1b68e) that targets files only in VMWare ESXi environments. ## Description First detected in June 2022, Play ransomware is known for its double-extortion tactics and custom-built tools, impacting many organizations in Latin America. According to Trend Micro, this marks the first instance of Play ransomware attacking ESXi environments, indicating a potential broadening of targets across the Linux platform, which could increase their victim pool and ransom negotiation success. VMWare ESXi environments host multiple virtual machines (VMs) and critical applications, making them prime targets. Compromising these can disrupt business operations and encrypt backups, hindering data recovery efforts. The Play ransomware variant was found compressed with its Windows counterpart in a RAR file on a malicious URL, showing zero detections on VirusTotal. The infection chain involves several tools, including PsExec, NetScan, WinSCP, WinRAR, and the Coroxy backdoor. The ransomware runs ESXi-specific commands, turning off VMs before encrypting critical files, which are appended with the ".PLAY" extension. A ransom note is then displayed in the ESXi client login portal. The Linux variant of Play ransomware uses a command-and-control server hosting common tools for its attacks, potentially employing similar tactics to its Windows variant. The IP address associated with the ransomware is linked to another threat actor, Prolific Puma, known for generating domain names and providing link-shortening services to cybercriminals. The shared infrastructure between Play ransomware and Prolific Puma suggests a collaboration, enhancing Play ransomware\'s ability to evade detection and bolster its attack strategies. ## Microsoft Analysis Microsoft has been tracking deployment of Play ransomware since August 2022 and attributes all Play ransomware deployments to [Storm-0882](https://security.microsoft.com/intel-profiles/c04feb84dd2e6f360e482dc8a608da3b4e749cd651cab8d209326ae35522c6d5) (DEV-0882). The group primarily accesses targets through exploitation of internet-facing systems, including using compromised credentials to access exposed Remote Desktop Protocol (RDP) and [Microsoft Exchange Server](https://security.microsoft.com/intel-explorer/articles/692dd201) systems. ## Detections/Hunting Queries Microsoft Defender Antivirus detects threat components as the following malware: - [Behavior:Win32/Play](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Behavior:Win32/Play.F&threatId=-2147130447) - [Behavior:Win32/Ransomware!Play](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Behavior:Win32/Ransomware!Play.A&threatId=-2147136108) - [Ransom:Win32/Play](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Ransom:Win32/Play.D&threatId=-2147130524) - [Ransom:Linux/Playde](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Ransom:Linux/Playde!MTB) ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. Check the recommendations card for the deployment status of monitored mitigations. - Harden internet-facing assets and identify and secure perimeter systems that attackers might use to access the network. Public scanning interfaces, such as [Microsoft Defender External Attack Surface Management](https://www.microsoft.com/security/business/cloud-security/microsoft-defender-external-attack-surface-management), can be used to augment data. The Attack Surface Summary dashboard both surfaces assets such as Exchange servers which require security updates as well as provides recommended remediation steps. - Secure RDP or Windows Virtual Desktop endpoints with multifactor authenti	Ransomware Malware Tool Threat Prediction
	2024-07-19 18:00:00	Deux ressortissants russes plaident coupables d'attaques de ransomware de verrouillage Two Russian Nationals Plead Guilty in LockBit Ransomware Attacks (lien direct)	Deux ressortissants russes ont plaidé coupable devant un tribunal américain pour leur participation en tant qu'affiliés au régime de ransomware de Lockbit et aidant à faciliter les attaques de ransomwares à travers le monde. Les défendeurs comprennent Ruslan Magomedovich Astamirov, 21 ans, de Tchétchène Republic, et Mikhail Vasiliev, 34 ans, un ressortissant canadien et russe de Bradford, en Ontario. Astamirov a été arrêté en Arizona par la loi américaine Two Russian nationals have pleaded guilty in a U.S. court for their participation as affiliates in the LockBit ransomware scheme and helping facilitate ransomware attacks across the world. The defendants include Ruslan Magomedovich Astamirov, 21, of Chechen Republic, and Mikhail Vasiliev, 34, a dual Canadian and Russian national of Bradford, Ontario. Astamirov was arrested in Arizona by U.S. law	Ransomware
	2024-07-19 13:05:30	MediseCure: un gang de ransomware a volé des données de 12,9 millions de personnes MediSecure: Ransomware gang stole data of 12.9 million people (lien direct)	MediseCure, un fournisseur de services de livraison sur ordonnance australien, a révélé qu'environ 12,9 millions de personnes avaient leurs informations personnelles et en santé volées dans une attaque de ransomware d'avril.[...] MediSecure, an Australian prescription delivery service provider, revealed that roughly 12.9 million people had their personal and health information stolen in an April ransomware attack. [...]	Ransomware
	2024-07-19 13:00:00	Le ransomware a un impact démesuré sur le gaz, l'énergie et l'ampli;Entreprises de services publics Ransomware Has Outsized Impact on Gas, Energy & Utility Firms (lien direct)	Les attaquants sont plus susceptibles de cibler les industries d'infrastructures critiques et, lorsqu'elles le font, ils provoquent plus de perturbations et demandent des rançon plus élevées, le paiement médian dépassant 2,5 millions de dollars. Attackers are more likely to target critical infrastructure industries and, when they do, they cause more disruption and ask higher ransoms, with the median payment topping $2.5 million.	Ransomware
	2024-07-19 11:50:05	La violation de données médicale a un impact sur 12,9 millions d'individus MediSecure Data Breach Impacts 12.9 Million Individuals (lien direct)	> Les informations personnelles et de santé de 12,9 millions ont été volées dans une attaque de ransomware chez le fournisseur de services de prescription numérique australienne Mediseecure. >The personal and health information of 12.9 million was stolen in a ransomware attack at Australian digital prescription services provider MediSecure.	Ransomware Data Breach
	2024-07-19 00:00:00	Play Ransomware Group \\'s New Linux Variant cible ESXi, montre des liens avec un PUMA prolifique Play Ransomware Group\\'s New Linux Variant Targets ESXi, Shows Ties With Prolific Puma (lien direct)	Trend Micro Threat Hunters a découvert que le groupe de ransomwares de jeu a déployé une nouvelle variante Linux qui cible les environnements ESXi.Lisez notre entrée de blog pour en savoir plus. Trend Micro threat hunters discovered that the Play ransomware group has been deploying a new Linux variant that targets ESXi environments. Read our blog entry to know more.	Ransomware Threat Prediction		★★★
	2024-07-18 19:31:44	Utilisation de l'intelligence des menaces pour prédire les attaques potentielles des ransomwares Using Threat Intelligence to Predict Potential Ransomware Attacks (lien direct)	> Le risque de subir une attaque de ransomware est élevé et les organisations doivent prendre des mesures proactives pour se protéger et minimiser l'impact d'une violation potentielle. >The risk of suffering a ransomware attack is high and organizations must take proactive steps to protect themselves and minimize the impact of a potential breach.	Ransomware Threat Prediction		★★★
	2024-07-18 15:30:10	Changer l'attaque des ransomwares des soins de santé peut coûter près de 2,5 milliards de dollars Change Healthcare Ransomware Attack May Cost Nearly $2.5 Billion (lien direct)		Ransomware Medical
	2024-07-18 14:00:00	Apt41 est né de la poussière APT41 Has Arisen From the DUST (lien direct)	Written by: Mike Stokkel, Pierre Gerlings, Renato Fontana, Luis Rocha, Jared Wilson, Stephen Eckels, Jonathan Lepore Executive Summary In collaboration with Google\'s Threat Analysis Group (TAG), Mandiant has observed a sustained campaign by the advanced persistent threat group APT41 targeting and successfully compromising multiple organizations operating within the global shipping and logistics, media and entertainment, technology, and automotive sectors. The majority of organizations were operating in Italy, Spain, Taiwan, Thailand, Turkey, and the United Kingdom. APT41 successfully infiltrated and maintained prolonged, unauthorized access to numerous victims\' networks since 2023, enabling them to extract sensitive data over an extended period. APT41 used a combination of ANTSWORD and BLUEBEAM web shells for the execution of DUSTPAN to execute BEACON backdoor for command-and-control communication. Later in the intrusion, APT41 leveraged DUSTTRAP, which would lead to hands-on keyboard activity. APT41 used publicly available tools SQLULDR2 for copying data from databases and PINEGROVE to exfiltrate data to Microsoft OneDrive. Overview Recently, Mandiant became aware of an APT41 intrusion where the malicious actor deployed a combination of ANTSWORD and BLUEBEAM web shells for persistence. These web shells were identified on a Tomcat Apache Manager server and active since at least 2023. APT41 utilized these web shells to execute certutil.exe to download the DUSTPAN dropper to stealthily load BEACON. As the APT41 intrusion progressed, the group escalated its tactics by deploying the DUSTTRAP dropper. Upon execution, DUSTTRAP would decrypt a malicious payload and execute it in memory, leaving minimal forensic traces. The decrypted payload was designed to establish communication channels with either APT41-controlled infrastructure for command and control or, in some instances, with a compromised Google Workspace account, further blending its malicious activities with legitimate traffic. The affected Google Workspace accounts have been successfully remediated to prevent further unauthorized access. Furthermore, APT41 leveraged SQLULDR2 to export data from Oracle Databases, and used PINEGROVE to systematically and efficiently exfiltrate large volumes of sensitive data from the compromised networks, transferring to OneDrive to enable exfiltration and subsequent analysis.	Ransomware Malware Tool Threat Patching Medical Cloud	APT 41	★★
	2024-07-18 13:40:24	La Fin7 de Russie \\ colporte ses logiciels malveillants en termes d'Edr aux gangs de ransomware Russia\\'s FIN7 is peddling its EDR-nerfing malware to ransomware gangs (lien direct)	Les principaux fournisseurs \\ 'Produits scolatés de nouvelles techniques Prolific Russian Cybercrime Syndicate Fin7 utilise divers pseudonymes pour vendre sa solution de sécurité de sécurité personnalisée à différents gangs de rançongiciels.… Major vendors\' products scuppered by novel techniques Prolific Russian cybercrime syndicate FIN7 is using various pseudonyms to sell its custom security solution-disabling malware to different ransomware gangs.…	Ransomware Malware		★★

Last update at: 2024-07-25 23:19:09
See our sources.

To see everything: Our RSS (filtrered)