What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-07-12 14:55:44 | Crystalray Hacker s'étend à 1 500 systèmes violés à l'aide de l'outil SSH-Snake CRYSTALRAY hacker expands to 1,500 breached systems using SSH-Snake tool (lien direct) |
## Instantané Les chercheurs de Sysdig ont identifié un nouvel acteur de menace, "Crystalray", qui a élargi leur portée de ciblage à plus de 1 500 victimes.Les chercheurs ont suivi l'acteur de menace depuis février.Initialement, l'utilisation du ver open-source SSH-Sake pour se déplacer latéralement sur les réseaux violés, Crystalray a maintenant augmenté ses opérations, utilisant un scanner de masse, exploitant plusieurs vulnérabilités et déploiement de déchets à l'aide de divers outils de sécurité OSS. ## Description Le principal outil principal de l'acteur de menace pour la propogande du réseau et l'exfiltration des données est le SSH-Sake, un ver open source qui vole les clés privées SSH sur les serveurs compromis et les utilise pour se déplacer latéralement vers d'autres serveurs tout en supprimant des charges utiles supplémentaires sur les systèmes infiltrés.Additionally, CRYSTALRAY uses modified proof-of-concept (PoC) exploits delivered to targets using the [Sliver post-exploitation toolkit](https://security.microsoft.com/intel-profiles/7b3299451d6740a9ce460a67156d8be84c0308fd6e5ccafccdb368da9f06c95c), and the Platypus web-basedGestionnaire pour gérer plusieurs séances de shell inverse.Avant de lancer les exploits, les attaquants effectuent des vérifications approfondies pour confirmer les défauts à travers les noyaux. Les vulnérabilités cibles de cristalray dans ses opérations actuelles sont: [CVE-2022-44877] (https://security.microsoft.com/intel-Explorer / cves / cve-2022-44877 /) (Arbitrary Command Exécution Flaw in Control Web Pannel), [CVE-2021-3129] (https://security.microsoft.com/intel-explorer/cves/cve-2021-3129 /) (Bogue d'exécution de code arbitraire impactant l'allumage,Laravel), et [CVE-2019-18394] (https://security.microsoft.com/intel-explorer/cves/cve-2019-18394/) (Forgeron de la demande de serveur (SSRF).Les motivations de Crystalray comprennent la collecte et la vente de références, le déploiement de cryptomineurs et le maintien de la persistance dans les environnements victimes. ## Recommandations Microsoft vous recommande de valider l'applicabilité avant de mettre en œuvre dans votre propre environnement. CVE-2022-44877 [Exécutez "Yum Update" sur votre système] (https://security.microsoft.com/intel-explorer/articles/aeca0c35) pour appliquer la mise à jour 0.9.8.1147 à votre système à l'aide du repo personnalisé ajouté par le vendeur \\ 'S script d'installation.Les OSO plus récentes peuvent utiliser "Update DNF" au lieu de la commande YUM. Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces d'information sur les voleurs. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus, ou l'équivalent de votre produit antivirus, pour couvrir les outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une majorité de variantes nouvelles et inconnues. - appliquer le MFA sur tous les comptes, supprimer les utilisateurs exclus de la MFA et strictement [exiger MFA] (https://learn.microsoft.com/azure/active-directory/identity-protection/howto-identity-protection-configure-mfa-Politique? OCID = magicti_ta_learndoc) de tous les appareils, à tous les endroits, à tout moment. - Activer les méthodes d'authentification sans mot de passe (par exemple, Windows Hello, FIDO Keys ou Microsoft Authenticator) pour les comptes qui prennent en charge sans mot de passe.Pour les comptes qui nécessitent toujours des mots de passe, utilisez des applications Authenticatrices comme Microsoft Authenticator pour MFA.[Reportez-vous à cet article] (https://learn.microsoft.com/azure/active-directory/authentication/concept-authentication-methods?ocid=Magicti_ta_learndoc) pour les différentes méthodes et fonctionnalités d'authentificatio | Ransomware Tool Vulnerability Threat | ||
 |
2024-07-12 14:49:07 | Rite Aid confirme la violation des données après l'attaque de ransomware de juin Rite Aid confirms data breach after June ransomware attack (lien direct) |
Le géant de la pharmacie Rite Aid a confirmé une violation de données après avoir subi une cyberattaque en juin, qui a été revendiqué par l'opération RansomHub Ransomware.[...]
Pharmacy giant Rite Aid confirmed a data breach after suffering a cyberattack in June, which was claimed by the RansomHub ransomware operation. [...] |
Ransomware Data Breach | ||
 |
2024-07-12 13:00:00 | Indiana County dépose la déclaration de catastrophe après une attaque de ransomware Indiana County Files Disaster Declaration Following Ransomware Attack (lien direct) |
Clay County, Indiana, a déclaré qu'une attaque de ransomware a empêché l'administration de services critiques, conduisant à une déclaration de catastrophe
Clay County, Indiana, said a ransomware attack has prevented the administration of critical services, leading to a disaster declaration being filed |
Ransomware | ||
 |
2024-07-12 04:12:30 | RansomHub Ransomware - ce que vous devez savoir RansomHub Ransomware - What You Need To Know (lien direct) |
Qu'est-ce que RansomHub de \\?Malgré son premier apparaître plus tôt cette année, RansomHub est déjà considéré comme l'un des groupes de ransomware les plus prolifiques qui existent.Il exploite une opération Ransomware-as-a-Service (RAAS), ce qui signifie qu'un noyau central du groupe crée et maintient le code et l'infrastructure des ransomwares, et le loue à d'autres cybercriminaux qui agissent comme affiliés.Comment RansomHub est-il devenu si grave si rapidement?RansomHub a sans aucun doute bénéficié de la perturbation causée au gang de Lockbit par les forces de l'ordre en février 2024. Une opération internationale contre Lockbit a non seulement vu ...
What\'s RansomHub? Despite first appearing earlier this year, RansomHub is already considered one of the most prolific ransomware groups in existence. It operates a ransomware-as-a-service (RaaS) operation, meaning that a central core of the group creates and maintains the ransomware code and infrastructure, and rents it out to other cybercriminals who act as affiliates. How has RansomHub become such a big deal so quickly? RansomHub undoubtedly benefited from the disruption caused to the LockBit gang by law enforcement in February 2024. An international operation against LockBit not only saw... |
Ransomware Legislation | ★★★ | |
 |
2024-07-11 21:38:43 | Ransomware Akira: Exfiltration de données rapide à la foudre en 2 heures Akira Ransomware: Lightning-Fast Data Exfiltration in 2-Ish Hours (lien direct) |
Le temps du gang \\ de l'accès initial à la drainage des données d'un serveur Veeam est choquant rapidement;après quoi les attaquants ont ensuite déployé des ransomwares réels en moins d'une journée.
The gang\'s time from initial access to draining data out of a Veeam server is shockingly fast; after which the attackers went on to deploy actual ransomware in less than a day. |
Ransomware | ★★★★ | |
 |
2024-07-11 20:57:10 | Indiana County dépose la déclaration de catastrophe après une attaque de ransomware Indiana county files disaster declaration following ransomware attack (lien direct) |
Pas de details / No more details | Ransomware | ★★★ | |
|
2024-07-11 19:38:48 | (Déjà vu) La mécanique de Vipersoftx: exploiter AutOIT et CLR pour une exécution furtive PowerShell The Mechanics of ViperSoftX: Exploiting AutoIt and CLR for Stealthy PowerShell Execution (lien direct) |
## Instantané Des chercheurs de Trellix ont publié un rapport sur Vipersoftx, un malware sophistiqué d'informations qui se propage principalement via des logiciels fissurés, et récemment, en tant que livres électroniques sur des sites torrent.En savoir plus sur les voleurs d'informations [ici] (https://security.microsoft.com/intel-profiles/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d16d6). ## Description Détecté pour la première fois en 2020, Vipersoftx utilise le Language Runtime (CLR) Common pour charger et exécuter les commandes PowerShell dans AutOIT, éluant la détection en intégrant la fonctionnalité PowerShell.Les attaquants modifient les scripts de sécurité offensive existants pour s'aligner sur leurs objectifs malveillants, améliorant les tactiques d'évasion des logiciels malveillants. La chaîne d'infection commence lorsque les utilisateurs téléchargent un ebook à partir d'un lien torrent malveillant, contenant des menaces cachées telles que les fichiers de raccourci et les scripts PowerShell déguisés en fichiers JPG.Lorsque l'utilisateur exécute le raccourci, il initie des commandes qui informent un dossier, configurez le planificateur de tâches Windows et copiez des fichiers dans le répertoire système.Le code PowerShell, caché dans des espaces vides, effectue diverses actions malveillantes, y compris l'exfiltration des données et la manipulation du système. Vipersoftx exploite AutOIT pour exécuter les commandes PowerShell en interagissant avec le framework .NET CLR.Le malware corrige l'interface de balayage anti-logiciels (AMSI) pour échapper à la détection, ce qui lui permet de fonctionner non détecté.Il rassemble des informations système, analyse les portefeuilles de crypto-monnaie et envoie des données à son serveur de commande et de contrôle (C2).Le malware télécharge également dynamiquement des charges utiles et des commandes supplémentaires en fonction des réponses du serveur C2. ### Analyse supplémentaire Vipersoftx est un voleur d'informations malveillant connu pour ses capacités d'infiltration et d'exfiltration.L'utilisation principale du malware \\ a été en tant que voleur de crypto-monnaie, et il aurait ciblé 17 portefeuilles de crypto-monnaie différents, notamment Bitcoin, Binance, Delta, Electrum, Exodus, Ledger Live, Metamask, Atomic Wallet et Coinbase.In their April 2023 [report](https://www.trendmicro.com/en_us/research/23/d/vipersoftx-updates-encryption-steals-data.html) on ViperSoftX, Trend Micro noted that consumer and enterprise sectors inL'Australie, le Japon et les États-Unis ont été le plus victimes par les logiciels malveillants. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Vérifiez les paramètres de filtrage des e-mails Office 365 pour vous assurer de bloquer les e-mails, le spam et les e-mails avec des logiciels malveillants.Utilisez [Microsoft Defender pour Office 365] (https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-foro-office-365?ocid=Magicti_Ta_learnDoc) pour une protection et une couverture de phishing améliorées contrenouvelles menaces et variantes polymorphes.Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) et [derete SenteMail] (https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=Magicti_TA_Learndoc) en réponse à l'intelligence des menaces nouvellement acquise.Allumez [les politiques de pièces jointes de sécurité] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-polies-configure?ocid=Magicti_TA_LearnDoc) pour vérifier les pièces jointes à l'e-mail entrant. - Encourager les utilisateurs à utiliser Microsoft Edge et | Ransomware Spam Malware Tool Threat Prediction | ★★★ | |
 |
2024-07-11 18:01:48 | Les attaques de ransomwares contre les soins de santé coûtent des vies Ransomware Attacks on Healthcare Is Costing Lives (lien direct) |
ransomware est plus prolifique et coûteux que jamais.Selon la source que vous avez lue, le paiement moyen ou médian des ransomwares était d'au moins plusieurs centaines de milliers de dollars à bien plus de plusieurs millions en 2023. Marsh, un leader de l'assurance cybersécurité, a écrit que ses clients ont payé une moyenne de 6,5 millions de dollars de rançon en 2023 (après avoir simplement payé en moyenne 1,4 million de dollars en 2023).
Ransomware is more prolific and expensive than ever. Depending on the source you read, the average or median ransomware payment was at least several hundred thousand dollars to well over several million in 2023. Marsh, a leader in cybersecurity insurance, wrote that its customers paid an average of $6.5 million in ransom in 2023 (after just paying an average of $1.4 million in 2023). |
Ransomware Medical | ||
|
2024-07-11 17:32:34 | ARRL confirme enfin Ransomware Gang a volé des données dans Cyberattack ARRL finally confirms ransomware gang stole data in cyberattack (lien direct) |
L'American Radio Relay League (ARRL) a finalement confirmé que certaines de ses employés de données ont été volées lors d'une attaque de ransomware de mai initialement décrite comme un "incident sérieux".[...]
The American Radio Relay League (ARRL) finally confirmed that some of its employees\' data was stolen in a May ransomware attack initially described as a "serious incident." [...] |
Ransomware | ★★★ | |
|
2024-07-11 13:15:13 | Comté de Dallas: données de 200 000 exposées en 2023 Ransomware Attack Dallas County: Data of 200,000 exposed in 2023 ransomware attack (lien direct) |
Le comté de Dallas informe plus de 200 000 personnes que l'attaque de ransomware de jeu, survenue en octobre 2023, a exposé ses données personnelles aux cybercriminels.[...]
Dallas County is notifying over 200,000 people that the Play ransomware attack, which occurred in October 2023, exposed their personal data to cybercriminals. [...] |
Ransomware | ★★★ | |
 |
2024-07-11 13:00:00 | 2024 Cyber Resilience Research dévoile les défis du secteur des soins de santé 2024 Cyber Resilience Research Unveils Healthcare Sector Challenges (lien direct) |
Les nouvelles données éclairent la façon dont les chefs de santé peuvent hiérarchiser la résilience.
 Les organisations se retrouvent à l'intersection du progrès et du péril dans le paysage des soins de santé numérique en évolution rapide.Les dernières données soulignent que les compromis sont importants et présentent des risques substantiels pour les établissements de santé.
L'un des principaux obstacles est la déconnexion entre les cadres supérieurs et les priorités de cybersécurité.Malgré la reconnaissance de la cyber-résilience comme un impératif crucial, de nombreuses organisations de soins de santé ont du mal à obtenir le soutien et les ressources du leadership le plus élevé.Ce manque d'engagement entrave les progrès et laisse les institutions vulnérables aux violations potentielles.
Pendant ce temps, la technologie continue d'avancer à un rythme étonnamment rapide, tout comme les risques posés par les cyber-menaces.Le niveau de niveau et le commerce de niveau 2024;Le rapport révèle que ce délicat équilibre entre l'innovation et la sécurité au sein de l'industrie des soins de santé.Notre analyse complète identifie les opportunités d'alignement plus approfondi entre le leadership exécutif et les équipes techniques.
Rapport. & nbsp; & nbsp;
& nbsp;
La quête insaisissable de la cyber-résilience dans les soins de santé
 Imaginez un monde où les institutions de soins de santé sont imperméables aux cybermenaces & mdash; où chaque aspect d'une organisation est fortifié contre les perturbations.C'est l'idéal élevé de la cyber-résilience, mais il reste un objectif insaisissable pour de nombreuses organisations de soins de santé.L'évolution rapide de l'informatique a transformé le paysage informatique, brouillant les lignes entre les systèmes hérités, le cloud computing et les initiatives de transformation numérique.Bien que ces progrès apportent des avantages indéniables, ils introduisent également des risques sans précédent.
Nos recherches indiquent que 83% des leaders informatiques des soins de santé reconnaissent que l'innovation de l'innovation augmente l'exposition aux risques.Dans un monde où les cybercriminels deviennent de plus en plus sophistiqués, le besoin de cyber-résilience n'a jamais été aussi urgent.Des attaques de ransomwares aux incidents DDOS débilitants, les organisations de soins de santé opèrent dans un climat où une seule violation peut avoir des conséquences catastrophiques.
Exploration de la relation entre le leadership et la cyber-résilience
Notre enquête auprès de 1 050 C-suite et cadres supérieurs, dont 180 de l'industrie des soins de santé dans 18 pays, met en évidence le besoin urgent de cyber-résilience.Le rapport est conçu pour favoriser des discussions réfléchies sur les vulnérabilités et les opportunités d'amélioration.
Dans le rapport, vous & rsquo; ll:
- Découvrez pourquoi les chefs de santé et les équipes technologiques doivent hiérarchiser la cyber-résilience.
- Découvrez les obstacles critiques à la réalisation de la cyber-résilience.
- Découvrez l'importance du contexte commercial et des problèmes opérationnels pour hiérarchiser la résilience.
Reconnaissant l'impératif de la cyber-résilience, les chefs de soins de santé sont appelés |
Ransomware Vulnerability Medical Cloud Technical | ★★ | |
 |
2024-07-11 09:50:31 | (Déjà vu) June 2024\'s Most Wanted Malware: RansomHub Takes Top Spot as Most Prevalent Ransomware Group in Wake of LockBit3 Decline (lien direct) | Recherche |Cybersécurité |Rapport sur les menaces mondiales
Juin 2024 \'s Mostware le plus recherché: RansomHub prend la première place en tant que groupe de ransomware le plus répandu à la sillage de Lockbit3 Decline
L'indice de menace de Check Point \\ met en évidence un changement dans le paysage Ransomware-as-a-Service (RAAS), avec RansomHub dépassant Lockbit3 pour s'arrêter le haut comme le groupe le plus répandu.Pendant ce temps, les chercheurs ont identifié une campagne de porte dérobée de Badspace Windows via de fausses mises à jour du navigateur
-
mise à jour malveillant
Research | Cyber Security | Global Threat Report June 2024\'s Most Wanted Malware: RansomHub Takes Top Spot as Most Prevalent Ransomware Group in Wake of LockBit3 Decline Check Point\'s Threat Index highlights a shift in the Ransomware-as-a-Service (RaaS) landscape, with RansomHub surpassing LockBit3 to take top stop as the most prevalent group. Meanwhile, researchers identified a BadSpace Windows backdoor campaign spread via fake browser updates - Malware Update |
Ransomware Malware Threat | ★★★ | |
|
2024-07-11 09:45:00 | Les ransomwares augmentent chaque année malgré les démontages des forces de l'ordre Ransomware Surges Annually Despite Law Enforcement Takedowns (lien direct) |
Les chiffres de Symantec suggèrent une augmentation annuelle de 9% des attaques de ransomwares réclamés
Symantec figures suggest a 9% annual increase claimed ransomware attacks |
Ransomware Legislation | CCleaner | ★★★ |
 |
2024-07-11 07:28:13 | Vous avez eu un an pour corriger cette faille de veille et maintenant ça va faire mal You had a year to patch this Veeam flaw and now it\\'s going to hurt (lien direct) |
Lockbit Variant Ciblers Software de sauvegarde - dont vous vous souvenez peut-être est censé vous aider récupérer du ransomware Encore un nouveau gang de ransomware, celui-ci surnommé estateransomware, exploite une veeamLa vulnérabilité qui a été corrigée il y a plus d'un an pour abandonner les logiciels malveillants, une variante de verrouillage et d'exporter des victimes.…
LockBit variant targets backup software - which you may remember is supposed to help you recover from ransomware Yet another new ransomware gang, this one dubbed EstateRansomware, is exploiting a Veeam vulnerability that was patched more than a year ago to drop file-encrypting malware, a LockBit variant, and extort payments from victims.… |
Ransomware Malware Vulnerability | ★★★ | |
 |
2024-07-11 01:00:00 | Akira Ransomware cible l'industrie du compagnie aérienne LATAM Akira Ransomware Targets the LATAM Airline Industry (lien direct) |
En juin 2024, un groupe de menaces utilisant un ransomware Akira a été découvert ciblant une compagnie aérienne latino-américaine.Akira est le ransomware associé au groupe Ransomware-as-a-Service (RAAS) appelé Storm-1567.Dans ce blog, nous examinerons la chaîne d'attaque d'Akira \\.
In June 2024, a threat group utilizing Akira ransomware was discovered targeting a Latin American airline. Akira is the ransomware associated with the Ransomware-as-a-Service (RaaS) group referred to as Storm-1567. In this blog, we\'ll examine Akira\'s attack chain. |
Ransomware Threat | ★★★ | |
 |
2024-07-11 00:00:00 | Un aperçu approfondi de la crypto-crime en 2023 partie 2 An In-Depth Look at Crypto-Crime in 2023 Part 2 (lien direct) |
En 2023, l'industrie de la crypto-monnaie a été confrontée à une augmentation significative des activités illicites, notamment le blanchiment d'argent, la fraude et les attaques de ransomwares.Les attaques de ransomwares étaient particulièrement répandues et rentables pour les attaquants.Cependant, d'autres formes d'activités criminelles ont également vu une augmentation.
In 2023, the cryptocurrency industry faced a significant increase in illicit activities, including money laundering, fraud, and ransomware attacks. Ransomware attacks were especially prevalent and profitable for attackers. However, other forms of criminal activity also saw a rise. |
Ransomware | ★★★ | |
|
2024-07-11 00:00:00 | Fujitsu subit une attaque de type ver de quelque chose qui n'était pas un ransomware Fujitsu Suffers Worm-Like Attack From Something That Wasn\\'t Ransomware (lien direct) |
Le géant du CE a publié ses résultats d'investigation concernant une cyberattaque de mars qui a entraîné une exfiltration des données affectant ses opérations japonaises.
The CE giant released its investigative findings regarding a March cyberattack that resulted in data exfiltration affecting its Japanese operations. |
Ransomware | ★★★ | |
 |
2024-07-10 21:21:26 | Cisco Talos: TTPS Ransomware TOP exposé Cisco Talos: Top Ransomware TTPs Exposed (lien direct) |
Découvrez le nouveau rapport Cisco Talos sur les techniques des groupes de ransomware supérieurs et apprenez à atténuer ce risque de cybersécurité.Cisco Talos a observé les TTP utilisés par 14 des groupes de ransomwares les plus répandus en fonction de leur volume d'attaque, de l'impact sur les clients et du comportement atypique.
Read about the new Cisco Talos report on the top ransomware groups\' techniques and learn how to mitigate this cybersecurity risk. Cisco Talos observed the TTPs used by 14 of the most prevalent ransomware groups based on their volume of attack, impact to customers and atypical behavior. |
Ransomware Studies | ★★★★ | |
 |
2024-07-10 18:36:00 | Nouveau groupe de ransomwares exploitant la vulnérabilité du logiciel de sauvegarde Veeam New Ransomware Group Exploiting Veeam Backup Software Vulnerability (lien direct) |
Un défaut de sécurité maintenant par réglement dans Veeam Backup &Le logiciel de réplication est exploité par une opération de ransomware naissante connue sous le nom d'estateransomware.
Le groupe de Singapour, dont le siège social, a découvert l'acteur de menace début avril 2024, a déclaré que le modus operandi impliquait l'exploitation de CVE-2023-27532 (score CVSS: 7,5) pour mener les activités malveillantes.
Accès initial à la cible
A now-patched security flaw in Veeam Backup & Replication software is being exploited by a nascent ransomware operation known as EstateRansomware. Singapore-headquartered Group-IB, which discovered the threat actor in early April 2024, said the modus operandi involved the exploitation of CVE-2023-27532 (CVSS score: 7.5) to carry out the malicious activities. Initial access to the target |
Ransomware Vulnerability Threat | ★★★ | |
 |
2024-07-10 18:00:02 | Arrêt de cybersécurité du mois: les attaques sous les logiciels malveillants de Darkgate depuis la plage Cybersecurity Stop of the Month: Reeling in DarkGate Malware Attacks from the Beach (lien direct) |
The Cybersecurity Stop of the Month blog series explores the ever-evolving tactics of today\'s cybercriminals. It also examines how Proofpoint helps businesses to fortify their email defenses to protect people against today\'s emerging threats. Proofpoint people protection: end-to-end, complete and continuous So far in this series, we have examined these types of attacks: Uncovering BEC and supply chain attacks (June 2023) Defending against EvilProxy phishing and cloud account takeover (July 2023) Detecting and analyzing a SocGholish Attack (August 2023) Preventing eSignature phishing (September 2023) QR code scams and phishing (October 2023) Telephone-oriented attack delivery sequence (November 2023) Using behavioral AI to squash payroll diversion (December 2023) Multifactor authentication manipulation (January 2024) Preventing supply chain compromise (February 2024) Detecting multilayered malicious QR code attacks (March 2024) Defeating malicious application creation attacks (April 2024) Stopping supply chain impersonation attacks (May 2024) CEO impersonation attacks (June 2024) Background Last year, the number of malware attacks worldwide reached 6.08 billion. That\'s a 10% increase compared with 2022. Why are cybercriminals developing so much malware? Because it is a vital tool to help them infiltrate businesses, networks or specific computers to steal or destroy sensitive data. or destroy sensitive data. There are many types of malware infections. Here are just three examples. RYUK (ransomware) Astaroth (fileless malware) DarkGate (multifunctional malware) DarkGate is a notable example. It\'s a sophisticated and adaptive piece of malware that\'s designed to perform various malicious activities. This includes data theft, unauthorized access and system compromise. What makes DarkGate unique are its key characteristics: Multifunctionality. This malware can execute a range of malicious functions, like keylogging, data exfiltration, remote access and more. Evasion techniques. To help avoid detection, it uses advanced evasion techniques, like code obfuscation, encryption and anti-debugging measures. Distribution methods. Bad actors can distribute DarkGate in a variety of ways to trick users into installing it. These methods include phishing emails, malicious attachments, compromised websites and social engineering tactics. Command and control. DarkGate has automatic connectivity to remote control servers. This allows it to receive instructions and exfiltrate data. Its adaptive flexibility is why DarkGate is favored by so many cybercriminals. The scenario In a recent attack, a threat actor (TA571) used DarkGate to try to infiltrate over 1,000 organizations worldwide. The attack spanned across 14,000 campaigns and contained more than 1,300 different malware variants. DarkGate acted as an initial access broker (IAB). The intent was to gain unauthorized access to an organization\'s networks, systems and users\' credentials to exfiltrate data or deploy ransomware. Once they gain remote access, threat actors have been observed selling this access to other bad actors who can then commit further attacks. In this scenario, the threat actor TA571 targeted a resort city on the U.S. East Coast known for its sandy beaches and 10 million tourist visitors annually. The threat: How did the attack happen? Here is how the recent attack unfolded. 1. The deceptive message. Attackers crafted a message that looked like a legitimate email from a known supplier. It detailed the purchase of health and safety supplies for the city\'s office. Instead of including an attachment, the threat actors added embedded URLs to avoid raising suspicion in an attempt to bypass the incumbent email | Ransomware Malware Tool Threat Cloud | ★★★ | |
|
2024-07-10 17:29:29 | Kematian-voleur: une plongée profonde dans un nouveau voleur d'informations Kematian-Stealer : A Deep Dive into a New Information Stealer (lien direct) |
## Snapshot The CYFIRMA research team has identified a new information stealer malware called Kematian-Stealer. Read Microsoft\'s write-up on information stealers [here](https://security.microsoft.com/intel-profiles/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d16d6). ## Description The malware is hosted on GitHub under the account, "Somali-Devs," and distributed as an open-source tool. Kematian-Stealer is able to extract and copy sensitive information from a number of applications including messaging apps, gaming platforms, VPN services, email clients, password managers, and cryptocurrency wallets. Further, the stealer can capture images using the webcam and from the victim\'s desktop. The stealer also employs a number of tactics to avoid detection. First, it checks for evidence of debugging tools and virtual machine environments. If one is detected, the process is terminated and the script is exited. Additionally, in-memory execution techniques are employed to covertly extract sensitive information from victim computers. ## Detections/Hunting Queries ### Microsoft Defender Antivirus Microsoft Defender Antivirus detects threat components as the following malware: *[PWS:Win32/Multiverze](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=PWS:Win32/Multiverze&threatId=-2147178658)* ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. Check the recommendations card for the deployment status of monitored mitigations. - Check your Office 365 email filtering settings to ensure you block spoofed emails, spam, and emails with malware. Use [Microsoft Defender for Office 365](https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-for-office-365?ocid=magicti_ta_learndoc) for enhanced phishing protection and coverage against new threats and polymorphic variants. Configure Microsoft Defender for Office 365 to [recheck links on click](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) and [delete sent mail](https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=magicti_ta_learndoc) in response to newly acquired threat intelligence. Turn on [safe attachments policies](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-policies-configure?ocid=magicti_ta_learndoc) to check attachments to inbound email. - Encourage users to use Microsoft Edge and other web browsers that support [SmartScreen](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-protection-overview?ocid=magicti_ta_learndoc), which identifies and blocks malicious websites, including phishing sites, scam sites, and sites that host malware. - Turn on [cloud-delivered protection](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-block-at-first-sight-microsoft-defender-antivirus?ocid=magicti_ta_learndoc) in Microsoft Defender Antivirus, or the equivalent for your antivirus product, to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown variants. - Enforce MFA on all accounts, remove users excluded from MFA, and strictly [require MFA](https://learn.microsoft.com/azure/active-directory/identity-protection/howto-identity-protection-configure-mfa-policy?ocid=magicti_ta_learndoc) from all devices, in all locations, at all times. - Enable passwordless authentication methods (for example, Windows Hello, FIDO keys, or Microsoft Authenticator) for accounts that support passwordless. For accounts that still require passwords, use authenticator apps like Microsoft Authenticator for MFA. [Refer to this article](https://learn.microsoft.com/azure/active-directory/authentication/concept-authentication-methods?ocid=magicti_ta_learndoc) for the different authentication methods and features. - For MFA that uses authenticator | Ransomware Spam Malware Tool Threat | ★★★ | |
|
2024-07-10 16:30:00 | Vraie protection ou fausse promesse?Le guide ultime de présélection ITDR True Protection or False Promise? The Ultimate ITDR Shortlisting Guide (lien direct) |
C'est l'âge de la sécurité de l'identité.L'explosion des attaques de ransomwares motivées a fait réaliser que les CISO et les équipes de sécurité se rendent compte que la protection de l'identité est à la traîne de 20 ans par rapport à leurs paramètres et réseaux.Cette prise de conscience est principalement due à la transformation du mouvement latéral des beaux-arts, trouvée dans les groupes de cybercriminalité apt et supérieurs uniquement à une compétence de base utilisée dans presque toutes les attaques de ransomware.Le
It\'s the age of identity security. The explosion of driven ransomware attacks has made CISOs and security teams realize that identity protection lags 20 years behind their endpoints and networks. This realization is mainly due to the transformation of lateral movement from fine art, found in APT and top cybercrime groups only, to a commodity skill used in almost every ransomware attack. The |
Ransomware | ★★★ | |
|
2024-07-10 13:47:06 | Des logiciels malveillants qui ne sont pas des ransomwares \\ 'se frayent un chemin à travers les systèmes de Fujitsu Japan \\ Malware that is \\'not ransomware\\' wormed its way through Fujitsu Japan\\'s systems (lien direct) |
La société affirme que l'exfiltration des données était extrêmement difficile à détecter Fujitsu Japan dit qu'une tension malveillante "avancée" non spécifiée était à blâmer pour un vol de données de mars, insistant sur le fait que la souche n'était "pas un ransomware", mais il n'a pas eu\\ 'n'a pas révélé combien de personnes sont affectées…
Company says data exfiltration was extremely difficult to detect Fujitsu Japan says an unspecified "advanced" malware strain was to blame for a March data theft, insisting the strain was "not ransomware", yet it hasn\'t revealed how many individuals are affected.… |
Ransomware Malware | ★★★ | |
 |
2024-07-10 13:00:05 | Juin 2024 \\’s Malingware le plus recherché: RansomHub prend la première place en tant que groupe de ransomwares le plus répandu à la suite de LockBit3 déclin June 2024\\'s Most Wanted Malware: RansomHub Takes Top Spot as Most Prevalent Ransomware Group in Wake of LockBit3 Decline (lien direct) |
> L'indice de menace de point de vérification \\ met en évidence un changement dans le paysage Ransomware-as-a-Service (RAAS), avec RansomHub dépassant Lockbit3 pour s'arrêter le haut comme le groupe le plus répandu.Pendant ce temps, les chercheurs ont identifié une campagne de porte dérobée Windows Badspace Windows via de fausses mises à jour du navigateur Notre dernier index mondial des menaces pour le juin 2024 a noté un changement dans le paysage Ransomware-As-A-Service (RAAS), avec le nouveau venu relatif RansomHub Lockbit3 pour devenir le plus répandugroupe selon des sites de honte publiés.Pendant ce temps, une porte dérobée Windows surnommée Badspace a été identifiée, impliquant des sites Web WordPress infectés et de fausses mises à jour du navigateur.Le mois dernier, RansomHub est devenu le groupe RAAS le plus répandu après des mesures d'application de la loi [& # 8230;]
>Check Point\'s Threat Index highlights a shift in the Ransomware-as-a-Service (RaaS) landscape, with RansomHub surpassing LockBit3 to take top stop as the most prevalent group. Meanwhile, researchers identified a BadSpace Windows backdoor campaign spread via fake browser updates Our latest Global Threat Index for June 2024 noted a shift in the Ransomware-as-a-Service (RaaS) landscape, with relative newcomer RansomHub unseating LockBit3 to become the most prevalent group according to publicized shame sites. Meanwhile, a Windows backdoor dubbed BadSpace was identified, involving infected WordPress websites and fake browser updates. Last month, RansomHub became the most prevalent RaaS group after law enforcement action […] |
Ransomware Malware Threat Legislation | ★★★ | |
|
2024-07-10 12:00:00 | Les groupes de ransomware hiérarchisent l'évasion de la défense pour l'exfiltration des données Ransomware Groups Prioritize Defense Evasion for Data Exfiltration (lien direct) |
Un rapport de Cisco a mis en évidence les TTP utilisés par les groupes de ransomwares les plus importants pour échapper à la détection, à établir la persistance et à exfiltrer des données sensibles
A Cisco report highlighted TTPs used by the most prominent ransomware groups to evade detection, establish persistence and exfiltrate sensitive data |
Ransomware | ★★★ | |
|
2024-07-10 11:49:48 | Pékin accusé d'avoir mal utilisé la recherche occidentale pour prétendre que Volt Typhoon est un groupe de ransomware Beijing accused of misusing Western research to claim Volt Typhoon is a ransomware group (lien direct) |
Pas de details / No more details | Ransomware | Guam | ★★★ |
|
2024-07-10 10:00:15 | Des équipes de ransomware investissent dans des données personnalisées volant malware Ransomware crews investing in custom data stealing malware (lien direct) |
BlackByte, Lockbit parmi les criminels utilisant des outils sur mesure , car les équipes de ransomware déplacent de plus en plus au-delà de la simple cryptage des fichiers \\ 'et exigeant un paiement pour les déverrouiller, faisant glisser tout de suite des informations sensibles, une partie de laDes organisations criminelles plus matures développent des logiciels malveillants personnalisés pour leur vol de données…
BlackByte, LockBit among the criminals using bespoke tools As ransomware crews increasingly shift beyond just encrypting victims\' files and demanding a payment to unlock them, instead swiping sensitive info straight away, some of the more mature crime organizations are developing custom malware for their data theft.… |
Ransomware Malware Medical | ★★★ | |
|
2024-07-10 10:00:00 | La législation numérique à l'ère de la crypto-monnaie: enquêter sur la blockchain et les crimes cryptographiques Digital Forensics in the Age of Cryptocurrency: Investigating Blockchain and Crypto Crimes (lien direct) |
The content of this post is solely the responsibility of the author. LevelBlue does not adopt or endorse any of the views, positions, or information provided by the author in this article. The rise of cryptocurrencies has introduced a new frontier for criminals, presenting unique challenges for investigators. Unlike traditional financial transactions, cryptocurrency transactions are pseudonymous, meaning identities are obscured by cryptographic addresses. This, coupled with the decentralized nature of blockchain technology, necessitates specialized techniques and tools for digital forensics in the age of cryptocurrency. Understanding Cryptocurrency and Blockchain Before diving into forensic techniques, let\'s establish some foundational knowledge: Blockchain: A decentralized, public ledger that records transactions across a network of computers. Each transaction is cryptographically linked to the previous one, forming a secure and tamper-proof chain. Cryptocurrency: A digital or virtual currency secured by cryptography. Bitcoin, Ethereum, and Litecoin are popular examples. The pseudonymous nature of blockchain transactions means that while all transactions are publicly visible, the identities of the parties involved are obscured by cryptographic addresses. Key Challenges in Crypto Forensics Pseudonymity: Unlike traditional bank accounts, cryptocurrency transactions do not directly link to real-world identities. Decentralization: The absence of a central authority complicates efforts to track and freeze illicit funds. Multiple Cryptocurrencies: The diverse landscape of cryptocurrencies, each with unique characteristics, requires adaptable forensic techniques. Forensic Techniques for Investigating Crypto Crimes Blockchain Analysis Transaction Tracing: By analyzing the flow of transactions on the blockchain, investigators can track the movement of funds. Tools like Chainalysis, Elliptic, and CipherTrace offer visualizations of transaction flows, highlighting suspicious patterns. Example Scenario: An investigator traces a series of Bitcoin transactions from a ransomware payment to multiple addresses. Using address clustering, they identify a cluster linked to a known exchange, leading to the suspect\'s identification. Address Clustering: Grouping addresses controlled by the same entity helps link pseudonymous transactions. Techniques like "co-spending" (using multiple addresses in one transaction) aid in clustering. Crypto Wallet Analysis Wallet Extraction: Digital wallets store private keys needed for cryptocurrency transactions. Extracting wallet data from devices involves locating wallet files or using memory forensics to recover private keys. Example Scenario: During a raid, law enforcement seizes a suspect\'s laptop. Forensic imaging and subsequent analysis reveal a Bitcoin wallet file. The extracted private keys allow investigators to access and trace illicit funds. Forensic Imaging Creating forensic images of suspect devices ensures data integrity and enables detailed analysis. Tools like FTK Imager and EnCase are used for imaging and analyzing digital evidence. Address Attribution KYC Data: Know Your Customer (KYC) regulations require exchanges to collect user identification information. By subpoenaing exchange records, investigators can link blockchain addresses to real-world identities. Example Sce | Ransomware Tool Studies Legislation | ★★★ | |
|
2024-07-09 21:11:51 | (Déjà vu) Eldorado Ransomware: le nouvel empire doré de la cybercriminalité? Eldorado Ransomware: The New Golden Empire of Cybercrime? (lien direct) |
#### Géolocations ciblées - États-Unis - Italie - Croatie ## Instantané Des chercheurs de Group-IB ont publié un rapport sur Eldorado, un nouveau Ransomware-as-a-Service (RAAS) annoncé sur le forum Darkweb Rampware Ransomware. ## Description Eldorado propose des versions Windows et Linux du ransomware, qui est écrite en Golang.Le ransomware utilise Chacha20 pour le chiffrement des fichiers et le RSA-OAEP pour le cryptage clé.Eldorado possède également des fonctionnalités personnalisables qui permettent des attaques ciblées contre les organisations, y compris la possibilité de crypter des fichiers sur les réseaux Hared à l'aide du protocole SMB.De plus, les utilisateurs d'Eldorado peuvent personnaliser les notes de rançon et les informations d'identification d'administration. En juin 2024, 16 entreprises de divers pays et industries ont été ciblées par les ransomwares Eldorado.Les organisations aux États-Unis ont notamment été attaquées 13 fois, contribuant à plus de 80% du nombre total d'incidents.De plus, il y a eu deux attaques en Italie et une attaque supplémentaire en Croatie.Le groupe-IB rapporte également que l'industrie immobilière a été le plus ciblé (un total de trois fois) par les ransomwares d'Eldorado;Cependant, l'éducation, les services professionnels, les soins de santé, la fabrication, les télécommunications, les transports et les secteurs gouvernementaux ont également été affectés. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces RAAS. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus ou l'équivalent pour que votre produit antivirus couvre des outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une énorme majorité de variantes nouvelles et inconnues. - Allumez [Protection Tamper] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=Magicti_TA_LearnDoc).Empêcher les attaquants d'empêcher les services de sécurité. - Exécutez [Détection et réponse de point de terminaison (EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-lock-mode?ocid=Magicti_TA_Learndoc), de sorte que celaLe défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque l'antivirus Microsoft Defender fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants détectés après la lutte. - Activer [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?ocid=Magicti_TA_Learndoc) en mode automatisé complet pour permettre au défenseur de terminer l'action immédiatement sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate surAlertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - Les clients de Microsoft Defender peuvent activer [Règles de réduction de la surface d'attaque] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-reduction?ocid=Magicti_TA_LearnDoc) pour prévenir les techniques d'attaque communes utilisées utilisées utiliséDans les attaques de ransomwares.Les règles de réduction de la surface d'attaque sont des paramètres de balayage qui sont efficaces pour arrêter des classes entières de menaces. - Ransom et stade de mouvement latéral: - [Block Process | Ransomware Tool Threat | ★★★ | |
|
2024-07-09 20:11:45 | Décrit: ransomware Donex et ses prédécesseurs Decrypted: DoNex Ransomware and its Predecessors (lien direct) |
#### Géolocations ciblées - États-Unis - Italie - Belgique ## Instantané Les chercheurs AVAST ont identifié un défaut cryptographique dans le ransomware Donexet ses prédécesseurs, affectant les victimes ciblées aux États-Unis, en Italie et en Belgique. ## Description Le ransomware utilise un processus de chiffrement sophistiqué à l'aide de Chacha20, et Avast a fourni un décrypteur aux victimes touchées. Pendant l'exécution du ransomware, une clé de chiffrement est générée par la fonction cryptGenrandom ().Cette clé est ensuite utilisée pour initialiser la clé symétrique Chacha20 et par la suite pour chiffrer les fichiers.Une fois un fichier crypté, la clé de fichier symétrique est chiffrée par RSA-4096 et annexée à la fin du fichier.Les fichiers sont sélectionnés par leur extension et les extensions de fichiers sont répertoriées dans la configuration XML Ransomware. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces RAAS. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus ou l'équivalent pour que votre produit antivirus couvre des outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une énorme majorité de variantes nouvelles et inconnues. - Allumez [Protection Tamper] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=Magicti_TA_LearnDoc).Empêcher les attaquants d'empêcher les services de sécurité. - Exécutez [Détection et réponse de point de terminaison (EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-lock-mode?ocid=Magicti_TA_Learndoc), de sorte que celaLe défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque l'antivirus Microsoft Defender fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants détectés après la lutte. - Activer [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?ocid=Magicti_TA_Learndoc) en mode automatisé complet pour permettre au défenseur de terminer l'action immédiatement sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate surAlertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - Les clients de Microsoft Defender peuvent activer [Règles de réduction de la surface d'attaque] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-reduction?ocid=Magicti_TA_LearnDoc) pour prévenir les techniques d'attaque communes utilisées utilisées utiliséDans les attaques de ransomwares.Les règles de réduction de la surface d'attaque sont des paramètres de balayage qui sont efficaces pour arrêter des classes entières de menaces. - Ransom et stade de mouvement latéral: - [Block Process Creations provenant des commandes psexec et WMI] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-redulation-Rules-reference?ocid=Magicti_TA_LearnDoc#block-Process-Creations-Origining-From-Psexec-and-WMI-Commands).Certaines organisations peuvent rencontrer des problèmes de compatibilité avec cette règle sur certains systèmes de serveurs, mais devraient le déployer dans d'autres systèmes pour empêcher le mouvement latéral provenant du psexec et de l'OMM. - [Bloquez les fichiers exécutables d | Ransomware Tool Threat | ★★★ | |
 |
2024-07-09 17:11:08 | Ransomware Eldorado ciblant Windows et Linux avec de nouveaux logiciels malveillants Eldorado Ransomware Targeting Windows and Linux with New Malware (lien direct) |
Un autre jour, une autre menace contre les systèmes Windows et Linux!
Another day, another threat against Windows and Linux systems! |
Ransomware Malware Threat | ★★ | |
|
2024-07-09 16:37:37 | Les ransomwares Eldorado naviguent sur la scène pour cibler VMware ESXi Eldorado Ransomware Cruises Onto the Scene to Target VMware ESXi (lien direct) |
La plate-forme Ransomware-as-a-Service vient de dépasser la chaîne de montage, cible également Windows et utilise Golang pour les capacités multiplateforme.
The ransomware-as-a-service platform just rolled off the assembly line, also targets Windows, and uses Golang for cross-platform capabilities. |
Ransomware | ★★★ | |
|
2024-07-09 15:30:00 | Les ransomwares Eldorado frappent les réseaux Windows et Linux Eldorado Ransomware Strikes Windows and Linux Networks (lien direct) |
Group-IB a également révélé que le ransomware utilise Chacha20 et RSA-OAEP pour le cryptage
Group-IB also revealed the ransomware uses Chacha20 and RSA-OAEP for encryption |
Ransomware | ★★★ | |
|
2024-07-09 13:49:10 | À mesure que l'IA avance, les cyber-menaces augmentent.Les entreprises sont-elles prêtes à gérer la situation? As AI advances, cyber threats increase. Are businesses prepared to handle the situation? (lien direct) |
À mesure que l'IA avance, les cyber-menaces augmentent.Les entreprises sont-elles prêtes à gérer la situation?Kyocera avertit que les outils d'IA pourraient donner aux attaquants un avantage injuste dans le développement et la réalisation de campagnes de ransomwares
-
rapports spéciaux
As AI advances, cyber threats increase. Are businesses prepared to handle the situation? Kyocera warns that AI tools could give attackers an unfair advantage in developing and carrying out ransomware campaigns - Special Reports |
Ransomware Tool | ★★★ | |
 |
2024-07-09 12:47:42 | EVOVER La violation des données bancaires a un impact sur 7,6 millions de personnes Evolve Bank Data Breach Impacts 7.6 Million People (lien direct) |
> Evolve Bank indique que les informations personnelles de plus de 7,6 millions de personnes ont été compromises dans une attaque de ransomware.
>Evolve Bank says personal information of more than 7.6 million individuals was compromised in a ransomware attack. |
Ransomware Data Breach | ★★★ | |
|
2024-07-09 11:00:00 | Avast fournit un décrypteur de ransomwares Donex aux victimes Avast Provides DoNex Ransomware Decryptor to Victims (lien direct) |
Les chercheurs d'Avast ont trouvé une faille dans le schéma cryptographique du ransomware Donex et ont envoyé des clés de décrypteur aux victimes depuis mars 2024
Researchers at Avast found a flaw in the cryptographic schema of the DoNex ransomware and have been sending out decryptor keys to victims since March 2024 |
Ransomware | ★★★ | |
|
2024-07-09 10:01:49 | Evolve Bank dit que la violation des données a un impact sur 7,6 millions d'Américains Evolve Bank says data breach impacts 7.6 million Americans (lien direct) |
Evolve Bank & Trust (Evolve) envoie des avis d'une violation de données à 7,6 millions d'Américains dont les données ont été volées lors d'une récente attaque de ransomware de verrouillage.[...]
Evolve Bank & Trust (Evolve) is sending notices of a data breach to 7.6 million Americans whose data was stolen during a recent LockBit ransomware attack. [...] |
Ransomware Data Breach | ★★★ | |
|
2024-07-09 10:00:00 | Construire une solide architecture de défense en profondeur pour la transformation numérique Building a Robust Defense-in-Depth Architecture for Digital Transformation (lien direct) |
The content of this post is solely the responsibility of the author. LevelBlue does not adopt or endorse any of the views, positions, or information provided by the author in this article. Exploring Defense-in-Depth Architecture security strategy for ICS in the digital transformation era. Today\'s businesses are transforming through integrating IT and OT environments, a shift that\'s enhancing efficiency and unlocking new operational capabilities. Key functionalities like remote access and telemetry collection are becoming increasingly central in this digitally integrated landscape. However, this merger also brings heightened cybersecurity risks, exposing sensitive systems to new threats. To address these vulnerabilities, a defense-in-depth architecture approach is vital. This method layers multiple security mechanisms, ensuring robust protection. Each layer is designed to intercept threats, providing a comprehensive shield against complex cyberattacks and fortifying the organization\'s digital backbone. What is Defense-in-Depth Architecture? Defense-in-Depth Architecture is a strategic approach to cybersecurity that employs multiple layers of defense to protect an organization\'s IT and OT environment. This architecture is designed to provide a comprehensive security solution by layering different types of controls and measures. Here are the five layers within this architecture: Layer 1 – Security Management This layer serves as the foundation of the defense-in-depth strategy. It involves the establishment of a cybersecurity program tailored to support the OT environment. This includes program and risk management considerations, guiding the cybersecurity strategy and influencing decisions across all other layers. It\'s essential for organizations to establish a strong security management layer before implementing other layers. Layer 2 – Physical Security Physical security measures aim to prevent accidental or deliberate damage to an organization\'s assets. This layer includes the protection of control systems, equipment, and intellectual property. It encompasses a range of measures like access control, surveillance systems, and physical barriers, ensuring the safety of both the assets and the surrounding environment. Layer 3 – Network Security Building on the foundation of physical security, this layer focuses on protecting network communications within the OT environment. It involves applying principles of network segmentation and isolation, centralizing logging, and implementing measures for malicious code protection. This layer also considers the adoption of zero trust architecture (ZTA), enhancing security by continuously evaluating authorization close to the requested resources. Layer 4 – Hardware Security Hardware security involves embedding protection mechanisms directly into the devices used within an organization. This layer establishes and maintains trust in these devices through technologies like Trusted Platform Modules (TPM) and hardware-based encryption. It ensures the integrity and security of the hardware, forming a crucial part of the overall defense strategy. Layer 5 – Software Security The final layer focuses on the security of software applications and services that support OT. It includes practices such as application allowlisting, regular patching, secure code development, and configuration management. This layer is vital for ensuring that the software used in the organization is resilient against security threats and vulnerabilities. How to Implement Defense-in-Depth Architecture | Ransomware Malware Tool Vulnerability Threat Patching Legislation Mobile Industrial | ★★ | |
 |
2024-07-09 09:50:31 | Le paysage des menaces évolutives & # 8211;Du ransomware à l'espionnage parrainé par l'État The Evolving Threat Landscape – From Ransomware to State-Sponsored Espionage (lien direct) |
> Bienvenue à notre prochain épisode sur la défense des infrastructures critiques des cyber-menaces.Cette semaine, nous nous attaquons à un ...
>Welcome back to our next installment on defending critical infrastructure from cyber threats. This week, we’re tackling an... |
Ransomware Threat | ★★★ | |
|
2024-07-09 08:46:30 | Rapport de ransomware Blackfog - Lockbit domine, le jeu fait des mouvements, le secteur de la santé le plus risque d'attaque le plus élevé Blackfog Ransomware Report - LockBit dominates, Play makes moves, Healthcare sector highest risk of attack (lien direct) |
Rapport de ransomware Blackfog - Lockbit domine, le jeu fait des mouvements, le secteur des soins de santé le plus risque d'attaque du secteur le plus élevé
-
mise à jour malveillant
Blackfog Ransomware Report - LockBit dominates, Play makes moves, Healthcare sector highest risk of attack - Malware Update |
Ransomware Medical | ★★★ | |
|
2024-07-08 19:54:54 | \\ 'Poseidon \\' Stealer Mac Distribué via Google Ads \\'Poseidon\\' Mac stealer distributed via Google ads (lien direct) |
## Instantané Les analystes de MalwareBytes ont observé une campagne distribuant un voleur Mac via des annonces Google malveillantes pour le navigateur ARC.Le voleur, nommé "Poseidon", est une évolution du [voleur atomique] (https://security.microsoft.com/intel-explorer/articles/38f0f5fa) et a été précédemment suivi comme OSX.RodStealer par MakwareBytes. ## Description Le nouveau voleur comprend des fonctionnalités telles que le pillage des configurations VPN de Fortinet et OpenVPN. Rodrigo4, un acteur de menace sur le Forum Underground XSS, a rebaptisé le projet et l'a annoncé le 23 juin 2024. Poséidon comprend des fonctionnalités comme l'attraction de fichiers, l'extraction de portefeuille crypto, le vol de gestion de mot de passe et la collecte de données du navigateur.L'exfiltration des données a été effectuée à l'aide d'une commande spécifique qui a envoyé des données à un serveur, qui avait un panneau de marque Poseidon. La méthode de distribution du voleur de Poseidon \\ a impliqué une annonce Google malveillante pour le navigateur Arc, redirigeant les utilisateurs vers un faux site, arc-download \ [. \] Com, où un fichier DMG a été téléchargé.Ce fichier avait une astuce pour contourner les protections de sécurité MAC. Il s'agit de la deuxième campagne ces derniers mois où le navigateur ARC est utilisé comme leurre dans les publicités Google malveillantes.La première [campagne a consisté à abandonner un rat Windows] (https://security.microsoft.com/intel-explorer/articles/9dd6578a) en utilisant des méthodes similaires. ## Analyse Microsoft Les menaces contre les macOS ont fait la une des journaux au cours des derniers mois alors que les acteurs de la menace continuent d'évoluer les techniques d'attaque et de s'adapter et d'élargir de plus en plus leur ciblage de cyber pour inclure les utilisateurs de Mac.Autrefois un paradis de logiciels malveillants, les utilisateurs de Mac sont désormais confrontés à un éventail croissant d'attaques sophistiquées. Microsoft a suivi les tendances des rapports récents des logiciels malveillants MacOS dans la communauté de la sécurité.Ces tendances comprennent: les publicités malveillantes et la distribution des logiciels, les campagnes d'ingénierie sociale et l'exploitation des vulnérabilités logicielles. [En savoir plus sur les tendances récentes des OSINT dans les menaces pour MacOS ici.] (Https://security.microsoft.com/intel-explorer/articles/3d13591e) ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de menacesuivant les logiciels malveillants: [Trojan: macOS / Poseidon] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dEscription? Name = Trojan: macOS / Poseidon & menaceID = -2147147527) ## Recommandations Recommandations pour protéger contre la malvertisation Appliquez ces atténuations pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Encouragez les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge SmartScreen, qui identifie et bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites qui contiennent des exploits et hôte des logiciels malveillants..microsoft.com / en-us / Microsoft-365 / Security / Defender-Endpoint / Activer-Network-Protection? OCID = Magicti% 3CEM% 3ETA% 3C / EM% 3ELEARNDOC) pour bloquer les connexions vers des domaines malveillants et des adresses IP. - Construire la résilience organisationnelle contre les menaces par e-mail en éduquant les utilisateurs sur l'identification des attaques d'ingénierie sociale et la prévention de l'infection des logiciels malveillants.Utilisez [Formation de simulation d'attaque] (https://learn.microsoft.com/microsoft-365/security/office-365-security/attack-simulation-training-get-started?ocid=Magicti%3CEM%3ETA%3C/EM% 3ElearnDo | Ransomware Malware Vulnerability Threat | ★★★ | |
|
2024-07-08 19:07:18 | Le laboratoire national de l'Afrique du Sud dit que la récupération des ransomwares durera jusqu'à la mi-juillet South Africa national lab says ransomware recovery to last until mid-July (lien direct) |
Pas de details / No more details | Ransomware | ★★★ | |
|
2024-07-08 18:45:00 | Nouveau Ransomware-as-a-Service \\ 'Eldorado \\' cible Windows et Linux Systems New Ransomware-as-a-Service \\'Eldorado\\' Targets Windows and Linux Systems (lien direct) |
Une opération émergente Ransomware-as-a-Service (RAAS) appelée Eldorado est livrée avec des variantes de casier pour chiffrer les fichiers sur les systèmes Windows et Linux.
Eldorado est apparu pour la première fois le 16 mars 2024, lorsqu'une publicité pour le programme d'affiliation a été publiée sur la rampe du forum Ransomware, a déclaré le groupe de Singapour.
La société de cybersécurité, qui a infiltré le groupe de ransomwares, a noté que son
An emerging ransomware-as-a-service (RaaS) operation called Eldorado comes with locker variants to encrypt files on Windows and Linux systems. Eldorado first appeared on March 16, 2024, when an advertisement for the affiliate program was posted on the ransomware forum RAMP, Singapore-headquartered Group-IB said. The cybersecurity firm, which infiltrated the ransomware group, noted that its |
Ransomware | ★★★ | |
|
2024-07-08 17:47:22 | Les prix de la cyber-assurance chutent à mesure que la concurrence sur le marché augmente Cyber-Insurance Prices Plummet as Market Competition Grows (lien direct) |
Le bon moment peut-être le bon moment pour trouver de bonnes affaires sur la couverture d'assurance pour les ransomwares et les incidents de sécurité.
Now may be a good time to find good deals on insurance coverage for ransomware and security incidents. |
Ransomware | ★★★ | |
|
2024-07-08 16:30:00 | 5 questions clés Les CISO doivent se poser des questions sur leur stratégie de cybersécurité 5 Key Questions CISOs Must Ask Themselves About Their Cybersecurity Strategy (lien direct) |
Des événements comme la récente attaque de ransomware CDK massive & # 8211;qui ont fermé des concessionnaires automobiles aux États-Unis fin juin 2024 & # 8211;soulever à peine les sourcils publics. & nbsp;
Pourtant, les entreprises et les personnes qui les dirigent, sont à juste titre nerveuses.Chaque CISO sait que la cybersécurité est un sujet de plus en plus chaud pour les dirigeants et les membres du conseil d'administration.Et quand l'inévitable briefing CISO / Board
Events like the recent massive CDK ransomware attack – which shuttered car dealerships across the U.S. in late June 2024 – barely raise public eyebrows anymore. Yet businesses, and the people that lead them, are justifiably jittery. Every CISO knows that cybersecurity is an increasingly hot topic for executives and board members alike. And when the inevitable CISO/Board briefing rolls |
Ransomware | ★★★ | |
|
2024-07-08 15:02:49 | Les bases de la cybersécurité industrielle peuvent aider à protéger les opérateurs de technologie opérationnelle APAC: Dragos Industrial Cyber Security Basics Can Help Protect APAC Operational Technology Operators: Dragos (lien direct) |
Les utilisateurs de technologies opérationnels sont confrontés à des défis, notamment la communication entre l'ingénierie des processus et les équipes de cybersécurité, une croissance des logiciels malveillants et des ransomwares, et des initiés faisant des erreurs de technologie de base.
Operational technology users face challenges including communication between process engineering and cyber security teams, a growth in malware and ransomware, and insiders making basic technology mistakes. |
Ransomware Malware Industrial | ★★★ | |
 |
2024-07-08 14:00:00 | Enhardi et évolutif: un instantané des cyber-menaces auxquelles l'OTAN est confrontée à l'OTAN Emboldened and Evolving: A Snapshot of Cyber Threats Facing NATO (lien direct) |
Written by: John Hultquist
As North Atlantic Treaty Organization (NATO) members and partners gather for a historic summit, it is important to take stock of one of its most pressing challenges-the cyber threat. The Alliance faces a barrage of malicious cyber activity from all over the globe, carried out by emboldened state-sponsored actors, hacktivists, and criminals who are willing to cross lines and carry out activity that was previously considered unlikely or inconceivable. In addition to military targets, NATO must consider the risks that hybrid threats like malicious cyber activity pose to hospitals, civil society, and other targets, which could impact resilience in a contingency. The war in Ukraine is undoubtedly linked to escalating cyber threat activity, but many of these threats will continue to grow separately and in parallel. NATO must contend with covert, aggressive malicious cyber actors that are seeking to gather intelligence, preparing to or currently attacking critical infrastructure, and working to undermine the Alliance with elaborate disinformation schemes. In order to protect its customers and clients, Google is closely tracking cyber threats, including those highlighted in this report; however, this is just a glimpse at a much larger and evolving landscape. Cyber Espionage NATO\'s adversaries have long sought to leverage cyber espionage to develop insight into the political, diplomatic, and military disposition of the Alliance and to steal its defense technologies and economic secrets. However, intelligence on the Alliance in the coming months will be of heightened importance. This year\'s summit is a transition period, with the appointment of Mark Rutte as the new Secretary General and a number of adaptations expected to be rolled out to shore up the Alliance\'s defense posture and its long-term support for Ukraine. Successful cyber espionage from threat actors could potentially undermine the Alliance\'s strategic advantage and inform adversary leadership on how to anticipate and counteract NATO\'s initiatives and investments. NATO is targeted by cyber espionage activity from actors around the world with varying capabilities. Many still rely on technically simple but operationally effective methods, like social engineering. Others have evolved and elevated their tradecraft to levels that distinguish themselves as formidable adversaries for even the most experienced defenders. APT29 (ICECAP) Publicly attributed to the Russian Foreign Intelligence Services (SVR) by several governments, APT29 is heavily focused on diplomatic and political intelligence collection, principally targeting Europe and NATO member states. APT29 has been involved in multiple high-profile breaches of technology firms that were designed to provide access to the public sector. In the past year, Mandiant has observed APT29 targeting technology companies and IT service providers in NATO member countries to facilitate third-party and software supply chain compromises of government and poli |
Ransomware Malware Tool Vulnerability Threat Legislation Medical Cloud Technical | APT 29 APT 28 | ★★★ |
 |
2024-07-08 13:34:57 | Arrêter une attaque des ransomwares hospitaliers Halting a hospital ransomware attack (lien direct) |
Red Canary a empêché un hôpital d'être violé.Voyez comment nous avons empêché les ransomwares de permettre à un événement catastrophique.
Red Canary prevented a hospital from being breached. See how we stopped ransomware from enabling a catastrophic event. |
Ransomware | ★★ | |
|
2024-07-08 12:06:12 | Comment empêcher l'usurpation par e-mail avec DMARC How to Prevent Email Spoofing with DMARC (lien direct) |
Email-based attacks are the number one attack vector for cybercriminals. These attacks do not always require a high level of technical sophistication to carry out. And because the human factor is involved, there is almost no doubt they will endure as a favored tactic. One way bad actors can greatly increase their chances of a successful attack is when they can make a recipient believe that they are interacting with a person or a brand that they know or trust. “Email spoofing” plays a critical role in helping to create this illusion. In this blog post, we\'ll explain how email spoofing works, why it causes havoc, and how DMARC can protect your business. How bad actors use email spoofing When an attacker uses email spoofing, they are forging the sending address so that the message appears to come from a legitimate company, institution or person. Bad actors use spoofed domains to initiate attacks like phishing, malware and ransomware, and business email compromise (BEC). Here is a closer look at these strategies. Phishing attacks. A bad actor sends a spoofed email, pretending to be from a legitimate source like a bank, government agency or a known company. Their aim is to get the recipient to reveal sensitive information, like login credentials, financial information or personal data. Malware. Spoofed email can contain malicious attachments or links. When a user clicks on them, they trigger the delivery of viruses, ransomware, spyware or other types of malicious software. These tools help attackers to steal data, disrupt operations or take control of systems. Business email compromise (BEC). Many threat actors use spoofed email to trick employees, partners or customers into transferring money or giving up sensitive information. It can be a lucrative endeavor. Consider a recent report from the FBI\'s Internet Crime Complaint Center, which notes that losses from BEC attacks in 2023 alone were about $2.9 billion. Negative effects of email spoofing When an attacker spoofs legitimate domains and uses them in attacks, the negative repercussions for companies can be significant. Imagine if your best customer believed that they were communicating with you, but instead, they were interacting with an attacker and suffered a significant financial loss. Unfortunately, these scenarios play out daily. And they can lead to the following issues, among others. The loss of trust If attackers succeed in their efforts to spoof a company\'s domain and use it to send phishing emails or other malicious communications, recipients may lose trust in that business. When users receive spoofed emails that appear to come from a brand they trust, they may become wary of future communications from that brand. They will lose confidence in the company\'s ability to protect their information. Damage to brand image As noted earlier, a spoofed domain can tarnish a company\'s brand image and reputation. If recipients fall victim to phishing or other scams that involve spoofed domains, they may associate the business or brand with fraudulent or unethical behavior. Financial losses Spoofed domain attacks can result in financial losses for companies in two main ways. Direct financial losses. Such losses can occur when attackers use spoofed domains to carry out fraudulent activities like the theft of sensitive data or unauthorized transactions. Indirect financial losses. These losses take the form of costs associated with attack mitigation. They can stem from incident investigation, the implementation of security improvements, and efforts designed to help repair the company\'s damaged reputation. Customer dissatisfaction Customers who are victims of spoofed domain attacks may experience frustration and anger. They may be motivated to write negative reviews of a company or issue complaints. Certainly, their level of customer satisfaction will take a hit. Over time, repeated incidents of spoofing attacks | Ransomware Spam Malware Tool Threat Legislation Technical | ★★ | |
 |
2024-07-08 11:00:00 | Comprendre Rafel Rat et son rôle dans les attaques de ransomwares mobiles Understanding Rafel RAT and Its Role in Mobile Ransomware Attacks (lien direct) |
> Rafel Rat est un type de logiciels malveillants qui permet aux attaquants de prendre un contrôle total sur un appareil mobile victime.Une fois installé, Rafel Rat peut effectuer une variété d'activités malveillantes, telles que le vol d'informations sensibles, l'accès aux fonctions de caméra et de microphone, et, de plus en plus, le déploiement de ransomwares. & # 160;Le ransomware mobile est un type de [& # 8230;]
>Rafel RAT is a type of malware that allows attackers to gain complete control over a victim’s mobile device. Once installed, Rafel RAT can perform a variety of malicious activities, such as stealing sensitive information, accessing camera and microphone functions, and, increasingly, deploying ransomware. Mobile ransomware is a type of […] |
Ransomware Malware Mobile | ★★★ |
To see everything:
