What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-05-08 02:58:12 | UnitedHealth \\ 's \\' négligence flagrante \\ 'a conduit à un changement d'infection aux soins de santé UnitedHealth\\'s \\'egregious negligence\\' led to Change Healthcare infection (lien direct) |
\\ 'i \' m est époustouflé par le fait qu'ils n'utilisaient pas MFA \\ ' interview les pratiques de cybersécurité qui ont conduit àSelon Tom Kellermann, SVP de Cyber STRATTEMAL, la société mère Unitedhealth, SVP de Cyber Stratey, est la superbe infection des ransomwares des soins de santé.
\'I\'m blown away by the fact that they weren\'t using MFA\' Interview The cybersecurity practices that led up to the stunning Change Healthcare ransomware infection indicate "egregious negligence" on the part of parent company UnitedHealth, according to Tom Kellermann, SVP of cyber strategy at Contrast Security.… |
Ransomware Medical | ★★★ | |
 |
2024-05-07 23:33:17 | Le visage de Ransomware Creator a révélé et sanctionné LockBit Ransomware Creator’s Face Revealed and Sanctioned (lien direct) |
Les ransomwares notoires et tristement célèbres Lockbit a fait des ravages à travers le monde, entraînant près de 500 millions de dollars en rançon. Enfin, son créateur Dmitry Khoroshev, alias Lockbitsupp, est identifié par NCA, FBI et International Partners comme faisant partie de l'opération Cronos Taskforce. Khoroshev a apprécié l'anonymat mais il n'a pas duré longtemps.Le Créateur de Lockbit était si confiant de son secret qu'il a offert 10 millions de dollars à quiconque a révélé son identité. | Ransomware Legislation Medical | ★★★ | |
 |
2024-05-07 21:19:00 | Hacker russe Dmitry Khoroshev démasqué en tant qu'administrateur de ransomware de verrouillage Russian Hacker Dmitry Khoroshev Unmasked as LockBit Ransomware Administrator (lien direct) |
La National Crime Agency (NCA) du Royaume-Uni a démasqué l'administrateur et développeur de l'opération de ransomware de lockbit, le révélant comme un ressortissant russe de 31 ans nommé & nbsp; Dmitry Yuryevich Khorosev.
En outre, Khoroshev a & nbsp; a été sanctionné & nbsp; par le Royaume-Uni Foreign, Commonwealth and Development Office (FCD), le Contrôle du Département américain du Trésor du Trésor des actifs étrangers (Contrôle des actifs étrangers (
The U.K. National Crime Agency (NCA) has unmasked the administrator and developer of the LockBit ransomware operation, revealing it to be a 31-year-old Russian national named Dmitry Yuryevich Khoroshev. In addition, Khoroshev has been sanctioned by the U.K. Foreign, Commonwealth and Development Office (FCD), the U.S. Department of the Treasury\'s Office of Foreign Assets Control ( |
Ransomware | ★★★★ | |
 |
2024-05-07 19:34:00 | Le cerveau du groupe de ransomware prolifique Lockbit a finalement été démasqué The mastermind of the prolific ransomware group LockBit has finally been unmasked (lien direct) |
Les États-Unis placent une prime de 10 millions de dollars pour l'arrestation de Dmitry Yuryevich Khoroshev.
The US places a $10 million bounty for the arrest of Dmitry Yuryevich Khoroshev. |
Ransomware | ★★★ | |
 |
2024-05-07 18:05:03 | Feds démasque le leader des ransomwares de verrouillage en tant que Dmitry Yuryevich Khoroshev Feds Unmask LockBit Ransomware Leader as Dmitry Yuryevich Khoroshev (lien direct) |
> Par waqas
Dans un coup dur pour les ransomwares, les forces de l'ordre internationales ont démasqué Dmitry Yuryevich Khoroshev, leader du ransomware de Lockbit.Découvrez le retrait, les sanctions imposées et l'avenir de Lockbit dans une époque post-Khoroshev.
Ceci est un article de HackRead.com Lire le post original: Feds démasque le leader du ransomware de verrouillage comme dmitry yuryevich khorosev
>By Waqas In a major blow to ransomware, international law enforcement has unmasked Dmitry Yuryevich Khoroshev, the leader of LockBit ransomware. Learn about the takedown, sanctions imposed, and the future of LockBit in a post-Khoroshev era. This is a post from HackRead.com Read the original post: Feds Unmask LockBit Ransomware Leader as Dmitry Yuryevich Khoroshev |
Ransomware Legislation | ★★★★ | |
 |
2024-05-07 17:36:14 | Les États-Unis facturent un homme russe en tant que patron de Lockbit Ransomware Group U.S. Charges Russian Man as Boss of LockBit Ransomware Group (lien direct) |
Les États-Unis ont rejoint le Royaume-Uni et l'Australie aujourd'hui pour sanctionner le ressortissant russe de 31 ans, Dmitry Yuryevich Khoroshev, en tant que chef présumé du tristement célèbre groupe de ransomwares Lockbit.Le ministère américain de la Justice a également inculpé Khoroshev en tant que leader du gang \\ «Lockbitsupp» et l'a accusé d'utiliser Lockbit pour attaquer plus de 2 000 victimes et extenter au moins 100 millions de dollars en ransomwares.
The United States joined the United Kingdom and Australia today in sanctioning 31-year-old Russian national Dmitry Yuryevich Khoroshev as the alleged leader of the infamous ransomware group LockBit. The U.S. Department of Justice also indicted Khoroshev as the gang\'s leader "LockbitSupp," and charged him with using Lockbit to attack more than 2,000 victims and extort at least $100 million in ransomware payments. |
Ransomware | ★★★ | |
 |
2024-05-07 16:02:27 | Rapport de l'ONCD: \\ 'Transformation fondamentale \\' Dans Cyber, Tech a conduit 2023 Risques ONCD report: \\'Fundamental transformation\\' in cyber, tech drove 2023 risks (lien direct) |
> Les risques d'infrastructure critique en évolution, les ransomwares, l'exploitation de la chaîne d'approvisionnement, les logiciels espions commerciaux et l'IA étaient les principales tendances, a rapporté le bureau.
>Evolving critical infrastructure risks, ransomware, supply chain exploitation, commercial spyware and AI were the top trends, the office reported. |
Ransomware Commercial | ★★ | |
|
2024-05-07 15:30:23 | Les autorités américaines, britanniques, démasquent le ressortissant russe en tant qu'administrateur de Lockbit US, UK authorities unmask Russian national as LockBit administrator (lien direct) |
> Dmitry Yuryevich Khoroshev est le moteur de l'un des syndicats de ransomware les plus virulents de ces dernières années, ont déclaré les autorités.
>Dmitry Yuryevich Khoroshev is the driving force behind one of the most virulent ransomware syndicates in recent years, authorities said. |
Ransomware | ★★★ | |
 |
2024-05-07 15:30:00 | Ransomware frappe Wichita, services perturbés Ransomware Strikes Wichita, Services Disrupted (lien direct) |
Les systèmes de paiement en ligne, tels que ceux des factures d'eau et des citations des tribunaux, sont toujours hors ligne
Online payment systems, such as those for water bills and court citations, are still offline |
Ransomware | ★★★ | |
 |
2024-05-07 15:24:12 | Les services publics de la ville de Wichita ont perturbé l'attaque des ransomwares City of Wichita Public Services Disrupted After Ransomware Attack (lien direct) |
La ville a été forcée de fermer ses réseaux informatiques et continue d'enquêter sur un cyber-incident majeur survenu au cours du week-end.
The city was forced to shut down its IT networks and continues to investigate a major cyber incident that happened over the weekend. |
Ransomware | ★★★ | |
 |
2024-05-07 12:05:00 | 2024 Cyber Resilience Research révèle un terrain complexe 2024 Cyber Resilience Research Reveals a Complex Terrain (lien direct) |
Les nouvelles données aident les chefs d'entreprise à comprendre comment et pourquoi prioriser la résilience.
Dans le paysage en constante évolution de l'innovation numérique, les entreprises se retrouvent à l'intersection du progrès et du péril.Les données révèlent que les compromis ne sont pas seulement dramatiques, mais ils mettent également l'organisation à risque significatif.
L'un des principaux obstacles est la déconnexion entre les cadres supérieurs et les priorités de cybersécurité.Alors que la cyber-résilience est reconnue comme un impératif critique, de nombreuses organisations ont du mal à recueillir le soutien et les ressources nécessaires du leadership supérieur.Ce manque d'engagement entrave non seulement les progrès, mais laisse également les entreprises vulnérables aux violations potentielles.
Pendant ce temps, la technologie progresse à un rythme effréné, tout comme les risques posés par les cybermenaces.Le rapport FUTURESTM de niveau 2024 révèle cet acte d'équilibrage délicat entre l'innovation et la sécurité.Nous avons examiné l'ensemble des problèmes commerciaux impliqués dans la résilience cyber et de cybersécurité et découvert le leadership exécutif et le leadership technique ont des opportunités pour un alignement beaucoup plus profond.
Obtenez votre copie gratuite du rapport. & nbsp;
La quête insaisissable de la cyber-résilience.
Imaginez un monde où les entreprises sont imperméables aux cybermenaces & mdash; un monde où chaque aspect d'une organisation est sauvegardé contre les perturbations potentielles.C'est l'idéal élevé de la cyber-résilience, mais pour de nombreuses entreprises, elle reste un objectif insaisissable.L'évolution rapide de l'informatique a transformé le paysage informatique, brouillant les lignes entre les logiciels propriétaires et open-source, les systèmes hérités, les initiatives de transformation numérique du cloud computing.Bien que ces progrès apportent des avantages indéniables, ils introduisent également des risques sans précédent.
Selon nos recherches, 85% des leaders informatiques reconnaissent que l'innovation informatique a le prix d'un risque accru.Dans un monde où les cybercriminels deviennent de plus en plus sophistiqués, le besoin de cyber-résilience n'a jamais été aussi urgent.Des attaques de ransomwares massives aux incidents DDOS débilitants, les entreprises opèrent dans un climat où une seule cyber violation peut avoir des conséquences catastrophiques.
Exploration de la relation entre le leadership exécutif et la cyber-résilience.
Notre enquête auprès de 1 050 C-suite et cadres supérieurs comprenait 18 pays et sept industries: énergie et services publics, services financiers, soins de santé, fabrication, commerce de détail, transport et SLED américain (État, gouvernement local et enseignement supérieur).Dans les prochains mois, nous publierons un rapport vertical pour chaque marché.Ce rapport Landmark a été conçu pour aider les organisations à commencer à parler plus de manière réfléchie des vulnérabilités et des opportunités d'amélioration.
Dans le rapport, vous & rsquo; ll:
Découvrez pourquoi les chefs d'entreprise et les chefs de technologie ont besoin de hiérarchiser la cyber-résilience.
découvrez les obstacles critiques à la cyber-résilience.
Découvrez les défis concernant la résilience de la cybersécurité.
|
Ransomware Vulnerability Medical Cloud Technical | ★★★ | |
 |
2024-05-07 11:41:03 | Cloudrerso sélectionne le nuage distribué DS3 hyper-résilient de Cubbit \\ pour obtenir la sécurité des données CloudReso selects Cubbit\\'s hyper-resilient DS3 distributed cloud to achieve data security (lien direct) |
MSP Cloudrerso sélectionne le nuage distribué DS3 hyper-résilient de Cubbit \\ pour réaliser la sécurité des données et 30% d'économies sur les coûts de stockage
Avec Cubbit DS3, le MSP Cloudrerso basé en français peut offrir une souveraineté de données sans précédent, une résilience géographique et une protection des ransomwares
-
actualités du marché
MSP CloudReso selects Cubbit\'s hyper-resilient DS3 distributed cloud to achieve data security and 30% savings on storage costs With Cubbit DS3, French-based MSP CloudReso can offer unprecedented data sovereignty, geographical resilience, and ransomware protection - Market News |
Ransomware Cloud | ★★ | |
|
2024-05-07 02:10:30 | Les ransomwares évoluent d'une simple extorsion aux attaques psychologiques \\ '\\' Ransomware evolves from mere extortion to \\'psychological attacks\\' (lien direct) |
Crims Sim échange des cadres \\ 'pour faire paniquer leurs parents, le CTO mandiant dit RSAC Les infections et les attaques d'extorsion sont devenues "une attaque psychologique contre l'organisation victime"Comme les criminels utilisent des tactiques de plus en plus personnelles et agressives pour forcer les victimes à payer, selon le mandiant appartenant à Google.…
Crims SIM swap execs\' kids to freak out their parents, Mandiant CTO says RSAC Ransomware infections and extortion attacks have become "a psychological attack against the victim organization," as criminals use increasingly personal and aggressive tactics to force victims to pay up, according to Google-owned Mandiant.… |
Ransomware | ★★★ | |
|
2024-05-06 20:00:00 | #RSAC: Les démontages des forces de l'ordre forcent les affiliés des ransomwares pour se diversifier #RSAC: Law Enforcement Takedowns Force Ransomware Affiliates to Diversify (lien direct) |
Un nouveau rapport sur la chaîne de chaînes a montré que les récentes opérations d'application de la loi ont poussé les affiliés des ransomwares pour utiliser de plus en plus plusieurs souches afin de rester à flot
A new Chainalysis report showed that recent law enforcement operations have pushed ransomware affiliates to increasingly use multiple strains in order to stay afloat |
Ransomware Legislation | ★★★ | |
 |
2024-05-06 17:05:52 | Liens qui mentent: arrêtez les attaques basées sur une URL avant de commencer Links That Lie: Stop URL-Based Attacks Before They Start (lien direct) |
Les cyber-menaces les plus dommageables n'ont pas aujourd'hui des machines cibles ou des systèmes, ils ciblent les humains.Aujourd'hui, 74% des violations de données reposent sur l'exploitation de l'élément humain.Des employés cliquant sur des liens malveillants à la tromperie par des courriels se faisant passer pour des dirigeants et des fournisseurs, les attaques ciblées humaines mettent en péril les entreprises dans le monde entier. & NBSP; En ce qui concerne les menaces de courrier électronique ciblées, Proofpoint a vu les attaquants éloigner des pièces jointes statiques vers des liens malveillants qui doivent être déclenchés par des clics humains pour initier une attaque plus large.Que leur objectif soit de lancer une attaque de phishing et de voler des informations d'identification ou des utilisateurs directs vers des sites Web chargés de logiciels malveillants et de libérer les ransomwares, les adversaires comptent désormais les URL malveillants comme l'une de leurs tactiques préférées pour poursuivre leurs attaques. Pour aider les organisations à arrêter les attaques basées sur une URL avant même de commencer, Proofpoint est d'introduire la première capacité de maintien et de sable préalable de l'industrie et de la capacité de sable dans le cadre de la protection des menaces de preuves.Lorsqu'il est combiné avec nos protections de clics, il crée l'ensemble le plus formidable de mesures de défense en profondeur disponibles pour les organisations afin d'empêcher les attaques d'atteindre leurs cibles humaines. & NBSP; Menaces basées sur une URL: une technique d'attaquant populaire Les données récentes de l'intelligence et de la recherche sur les menaces de preuves montrent que le nombre moyen de menaces basées sur URL quotidiennes a augmenté à plus de 4,5 millions.Il s'agit d'une augmentation alarmante de 119% au cours des trois dernières années. & NBSP; Infographie: 1 clics sur 7 sur les liens malveillants se produit en 60 secondes de livraison. & Nbsp; Ce qui est également préoccupant, c'est la vitesse à laquelle ces attaques peuvent causer des dommages.La recherche de Proofpoint montre que 1 clic sur 7 sur un lien dangereux se produit en moins de 60 secondes après la livraison d'un e-mail.Cette réponse à clic rapide démontre la nature critique d'une forte protection avant la livraison pour réduire le risque que les utilisateurs cliquent sur des liens malveillants. Amélioration de la protection de la prédivision pour les menaces basées sur l'URL Notre nouvelle capacité permet aux organisations de contenir des messages suspects avec des URL pour l'analyse du bac à sable, minimisant le risque qu'un utilisateur s'engage avec l'URL malveillante.Nous utilisons des signaux comportementaux et de l'intelligence des menaces pour déterminer si un message doit être détenu pour une inspection plus approfondie.Notre technologie de bac à sable effectue une analyse exhaustive de l'URL en utilisant une analyse statique et dynamique, ainsi qu'une exécution assistée par l'analyste pour maximiser la détection et l'extraction de l'intelligence. Maintenir et les messages de bac à sable avec des URL suspects arrêtent les menaces avant d'atteindre les utilisateurs. Défense continue avec protection contre le temps de clics Les URL ne sont pas toujours nées malveillantes.Ils peuvent devenir armées après la livraison.En tant que tels, les e-mails contenant des liens nécessitent un examen constant pour se protéger contre les menaces avancées.C'est pourquoi l'analyse continue de la pré-livraison à l'heure de clic est si importante pour arrêter les attaques basées sur l'URL.Avec notre nouvelle prise avant la livraison &Sandbox pour la capacité de l'URL suspecte, ProofPoint fournit de manière unique la protection de bout en bout la plus avancée contre les menaces URL. ProofPoint fournit de manière unique une défense continue pour les menaces basées sur l'URL. Détection de pré-livraison.ProofPoint identifie et bloque les attaques avant d'att | Ransomware Threat | ★★★ | |
 |
2024-05-06 16:26:54 | Faits saillants hebdomadaires, 6 mai 2024 Weekly OSINT Highlights, 6 May 2024 (lien direct) |
## Snapshot Last week\'s OSINT reporting reveals a spectrum of sophisticated cyber threats orchestrated by diverse threat actors targeting organizations globally. The articles highlight various attack vectors, including DNS manipulation techniques (Muddling Meerkat), social engineering tactics with Python-based RATs (DEV#POPPER), and ransomware campaigns exploiting legitimate files (Sophos ransomware). Threat actors range from nation-state affiliated groups like Muddling Meerkat to financially motivated actors leveraging ransomware like Dagon Locker. Several reports highlight the persistent nature of cyber threats as threat actors continue to exploit well-known vulnerabilities like [CVE-2015-2051](https://sip.security.microsoft.com/intel-explorer/cves/CVE-2015-2051/description) and evolve established tools such as the[ZLoader banking trojan](https://sip.security.microsoft.com/intel-profiles/cbcac2a1de4e52fa5fc4263829d11ba6f2851d6822569a3d3ba9669e72aff789)to launch successful attacks. These findings emphasize the ongoing need for organizations to prioritize patch management and remain vigilant against evolving tactics employed by threat actors leveraging both known and refined techniques to infiltrate systems and compromise networks. ## Description 1. [**Cyberattacks Targeting Poorly Managed MS-SQL Servers**](https://sip.security.microsoft.com/intel-explorer/articles/f5f3ecc6): Threat actors exploit vulnerabilities in improperly managed MS-SQL servers to install Mallox ransomware. The attack involves deploying Remcos RAT for system control and leveraging a custom remote screen control malware, highlighting the risk posed by insecure database management practices. 2. [**Sophos Ransomware Campaign Exploiting Legitimate Files**](https://security.microsoft.com/intel-explorer/articles/e27d7355): Sophisticated ransomware campaign exploits legitimate Sophos executables and DLLs by altering their content and inserting malicious payloads like Cobalt Strike and Brute Ratel. Attackers use JavaScript loaders via email for initial access, disguising malicious activity within seemingly legitimate files to evade detection. 3. [**Social Engineering Attack Targeting Developers**](https://security.microsoft.com/intel-explorer/articles/7ef7309c): North Korean threat actors use fake job interviews to deliver Python-based RATs to developers, exploiting their trust in the job application process. The attackers mimic real companies and interview processes to deceive developers into downloading and executing malicious software. 4. [**Detailed Account of Intrusion using IcedID and Cobalt Strike**](https://security.microsoft.com/intel-explorer/articles/55e96eb8): A comprehensive incident report details a sophisticated intrusion involving IcedID malware and Cobalt Strike beacons. The threat actors employed multiple evasion techniques, lateral movement tools, and exfiltration methods, culminating in the deployment of Dagon Locker ransomware. 5. [**Evolution of ZLoader Trojan with New Evasion Tactics**](https://sip.security.microsoft.com/intel-explorer/articles/0d7c21ec): ZLoader, a modular banking trojan derived from ZeuS source code, reappears with enhanced obfuscation methods and anti-analysis features. This malware\'s evolution demonstrates a strategic effort to evade detection and limit binary execution to infected systems. 6. [**Emergence of Goldoon Botnet Targeting D-Link Devices**](https://sip.security.microsoft.com/intel-explorer/articles/de08653e): The Goldoon botnet exploits CVE-2015-2051 vulnerability to compromise D-Link devices and launch denial-of-service attacks. The malware, once executed, establishes a persistent connection with a C2 server and contains 27 different attack methods, posing a significant threat to affected organizations. 7. [**Muddling Meerkat: DNS Manipulation by Nation-State Actors**](https://security.microsoft.com/intel-explorer/articles/b6049233): The threat actor group, suspected to be affiliated with China, employs DNS manipulation techniques to hijack internet traffic for strat | Ransomware Malware Tool Vulnerability Threat | ★★ | |
 |
2024-05-06 11:46:15 | Le gouvernement de Wichita arrête les systèmes après un incident de ransomware Wichita government shuts down systems after ransomware incident (lien direct) |
Pas de details / No more details | Ransomware | ★★ | |
 |
2024-05-06 10:34:36 | La ville de Wichita arrête le réseau informatique après une attaque de ransomware City of Wichita shuts down IT network after ransomware attack (lien direct) |
La ville de Wichita, Kansas, a révélé qu'elle avait été forcée de fermer des parties de son réseau après avoir subi une attaque de ransomware le week-end.[...]
The City of Wichita, Kansas, disclosed it was forced to shut down portions of its network after suffering a weekend ransomware attack. [...] |
Ransomware | ★★ | |
 |
2024-05-06 09:00:53 | La ville de Wichita arrête le réseau après une attaque de ransomware City of Wichita Shuts Down Network Following Ransomware Attack (lien direct) |
> La ville de Wichita, au Kansas, a fermé son réseau après avoir été victime d'une attaque de ransomware qui résidait au fichier.
>The City of Wichita, Kansas, has shut down its network after falling victim to a file-encrypting ransomware attack. |
Ransomware | ★★ | |
|
2024-05-06 07:54:03 | Genai alimente la dernière vague des menaces de messagerie modernes GenAI Is Powering the Latest Surge in Modern Email Threats (lien direct) |
Generative artificial intelligence (GenAI) tools like ChatGPT have extensive business value. They can write content, clean up context, mimic writing styles and tone, and more. But what if bad actors abuse these capabilities to create highly convincing, targeted and automated phishing messages at scale? No need to wonder as it\'s already happening. Not long after the launch of ChatGPT, business email compromise (BEC) attacks, which are language-based, increased across the globe. According to the 2024 State of the Phish report from Proofpoint, BEC emails are now more personalized and convincing in multiple countries. In Japan, there was a 35% increase year-over-year for BEC attacks. Meanwhile, in Korea they jumped 31% and in the UAE 29%. It turns out that GenAI boosts productivity for cybercriminals, too. Bad actors are always on the lookout for low-effort, high-return modes of attack. And GenAI checks those boxes. Its speed and scalability enhance social engineering, making it faster and easier for attackers to mine large datasets of actionable data. As malicious email threats increase in sophistication and frequency, Proofpoint is innovating to stop these attacks before they reach users\' inboxes. In this blog, we\'ll take a closer look at GenAI email threats and how Proofpoint semantic analysis can help you stop them. Why GenAI email threats are so dangerous Verizon\'s 2023 Data Breach Investigations Report notes that three-quarters of data breaches (74%) involve the human element. If you were to analyze the root causes behind online scams, ransomware attacks, credential theft, MFA bypass, and other malicious activities, that number would probably be a lot higher. Cybercriminals also cost organizations over $50 billion in total losses between October 2013 and December 2022 using BEC scams. That represents only a tiny fraction of the social engineering fraud that\'s happening. Email is the number one threat vector, and these findings underscore why. Attackers find great success in using email to target people. As they expand their use of GenAI to power the next generation of email threats, they will no doubt become even better at it. We\'re all used to seeing suspicious messages that have obvious red flags like spelling errors, grammatical mistakes and generic salutations. But with GenAI, the game has changed. Bad actors can ask GenAI to write grammatically perfect messages that mimic someone\'s writing style-and do it in multiple languages. That\'s why businesses around the globe now see credible malicious email threats coming at their users on a massive scale. How can these threats be stopped? It all comes down to understanding a message\'s intent. Stop threats before they\'re delivered with semantic analysis Proofpoint has the industry\'s first predelivery threat detection engine that uses semantic analysis to understand message intent. Semantic analysis is a process that is used to understand the meaning of words, phrases and sentences within a given context. It aims to extract the underlying meaning and intent from text data. Proofpoint semantic analysis is powered by a large language model (LLM) engine to stop advanced email threats before they\'re delivered to users\' inboxes in both Microsoft 365 and Google Workspace. It doesn\'t matter what words are used or what language the email is written in. And the weaponized payload that\'s included in the email (e.g., URL, QR code, attached file or something else) doesn\'t matter, either. With Proofpoint semantic analysis, our threat detection engines can understand what a message means and what attackers are trying to achieve. An overview of how Proofpoint uses semantic analysis. How it works Proofpoint Threat Protection now includes semantic analysis as an extra layer of threat detection. Emails must pass through an ML-based threat detection engine, which analyzes them at a deeper level. And it does | Ransomware Data Breach Tool Vulnerability Threat | ChatGPT | ★★★ |
|
2024-05-06 07:06:12 | Le site saisi de Lockbit \\ prend vie pour taquiner de nouvelles annonces de police Lockbit\\'s seized site comes alive to tease new police announcements (lien direct) |
Le NCA, le FBI et Europol ont relancé un site de fuite de données de ransomware de verrouillage saisi pour faire allusion à de nouvelles informations révélées par les forces de l'ordre ce mardi.[...]
The NCA, FBI, and Europol have revived a seized LockBit ransomware data leak site to hint at new information being revealed by law enforcement this Tuesday. [...] |
Ransomware Legislation | ★★★ | |
|
2024-05-06 05:52:32 | La sécurité des e-mails est désormais redéfinie avec des capacités de protection des menaces adaptatives dans toute la chaîne de livraison Email Security is Now Redefined with Adaptive Threat Protection Capabilities Across the Entire Delivery Chain (lien direct) |
Another RSA Conference has arrived, and with it comes the gold standard report for our industry, the Verizon DBIR. And for yet another year, it concludes the same thing: the human element is central to the vast majority of breaches (76% this year), especially the ones that matter, from ransomware to BEC to data loss. The very first word of the 2024 DBIR is also not new; it\'s “phishing”. Email security has always been central to human risk: it\'s the #1 way users encounter threats, the #1 way users make mistakes, and the #1 way attackers get what they want, from credentials to wire transfers to malware infections. Proofpoint has a long history of stopping more human-targeted threats than anyone else. Our long history of firsts includes the first ML models to stop unwanted messages, the first rewriting of URLs for click-time protection, and the first connection of a malware sandbox to email. But attackers have continued to innovate and so have we – starting now, we\'re setting a new standard for protection across the entire email delivery chain. Building an Unmatched Detection Ensemble What organizations need in email security is simple to describe but hard to do: a single solution to protect against every type of threat, every time, every way a user may encounter it, using every form of detection. Our detection ensemble was already the industry\'s most effective, including threat intelligence, static analysis, sandboxing, click-time protection, and our unique set of Nexus AI models. I\'m thrilled to announce that we have now added the industry\'s first ever pre-delivery protections to stop social engineering and malicious URLs, as well as our newly integrated post-delivery behavioral AI, Proofpoint Adaptive Email Security. * New capability According to our data across more than 500,000 organizations, including 87 of the Fortune 100, attackers rely on two techniques more frequently than any others: text-based social engineering and malicious URLs. While we already detect both these threat types at the highest rates in the industry, we wanted to push the envelope – not just detecting them, but detecting them as early as possible. To make this a reality, we optimized the performance of our Nexus AI LLM-based detection model by 10X, enabling us to use semantic analysis to interpret a malicious message\'s intent (such as invoicing fraud), regardless of the words they use or even the language they write in. In parallel, we built the capability for our gateway to hold messages with suspicious URLs until they are sandboxed. The result is the most formidable set of defense in-depth measures available for organizations to prevent attacks from reaching their targets. Continuous End-to-End Detection with Proofpoint Adaptive Email Security Joining our pre-delivery enhancements is Proofpoint Adaptive Email Security, our API-based offering that integrates with Microsoft 365 and applies our broad detection ensemble to stop advanced threats, including BEC, social engineering and lateral phishing messages. Once deployed, Adaptive Email Security enriches all detections with easy-to-understand explanations about behavioral anomalies observed. Additionally, it automatically quarantines high confidence threats, while delivering real-time coaching using contextual warning banners to alert users to the risks in social engineering and BEC-type emails that don\'t contain an obvious malicious payload. Insight into a malicious message generated by Adaptive Email Security The Next Level While we\'re thrilled for you all to experience our latest set of innovations, we know we can still do more to help you protect your people. That takes two main forms: continuing to lead with Nexus AI, and deepening and strengthening our ecosystem partnerships. Nexus AI: The value of our proprietary data is enhanced by contextual insights and in-depth classification from our leading team of threat researchers and data scientists, who track adversaries, analyze evolving attacker tradecraft, profile data exfiltration pa | Ransomware Malware Threat Conference | ★★★ | |
 |
2024-05-05 06:13:39 | Une menace croissante de logiciels malveillants et de ransomwares continue de mettre en danger les environnements industriels Growing threat of malware and ransomware attacks continues to put industrial environments at risk (lien direct) |
> Les environnements industriels sont confrontés à une menace croissante des logiciels malveillants et des attaques de ransomwares, posant des risques importants à l'infrastructure critique, à la fabrication ...
>Industrial environments face a growing threat from malware and ransomware attacks, posing significant risks to critical infrastructure, manufacturing... |
Ransomware Malware Threat Industrial | ★★★ | |
|
2024-05-03 20:14:15 | Les acteurs menacés attaquent les serveurs MS-SQL pour déployer des ransomwares Threat Actors Attacking MS-SQL Servers to Deploy Ransomware (lien direct) |
## Instantané
Les professionnels de la cybersécurité de GBhackers ont découvert une série de cyberattaques ciblant les serveurs Microsoft SQL (MS-SQL) mal gérés pour installer les ransomwares de Mallox sur les systèmes.
** En savoir plus sur la couverture de Microsoft \\ pour [MalloxRansomware ici.] (Https://sip.security.microsoft.com/intel-profiles/7fbe39c998c8a495a1652ac6f8bd34852c00f97dc61278cafc56dca1d443131e) **
##Description
Le modus operandi du groupe des acteurs de la menace implique d'exploiter les vulnérabilités dans des serveurs MS-SQL mal gérés.En utilisant des attaques de force brute et du dictionnaire, les attaquants obtiennent un accès non autorisé, ciblant principalement le compte SA (administrateur système système).
Une fois à l'intérieur, ils déploient l'outil d'accès à distance REMCOS (RAT) pour prendre le contrôle du système infecté.Remcos Rat, initialement utilisé pour la violation et le contrôle du système, a été réutilisé par des attaquants pour des activités malveillantes, avec des capacités telles que le keylogging, la capture de capture d'écran et le contrôle sur les webcams et les microphones.De plus, un logiciel malveillant à télécommande sur mesure est déployé, permettant aux attaquants d'accéder au système infecté à l'aide de l'ID AnyDesk obtenu à partir du serveur de commande et de contrôle.
Le ransomware de Mallox, connu pour cibler les serveurs MS-SQL, a ensuite été installé pour crypter le système.Mallox Ransomware, utilise des algorithmes de cryptage AES-256 et SHA-256, ajoutant une extension ".rmallox" aux fichiers cryptés.
Les modèles d'attaque observés dans cette campagne ressemblent à une ressemblance frappante avec les incidents précédents impliquant le Coinmin Tor2mine et le ransomware Bluesky, suggérant le travail du même groupe de menaces.
## Recommandations
La documentation technique Microsoft SQL Server et les étapes pour sécuriser les serveurs SQL peuvent être trouvées ici:
[Documentation de sécurité pour SQL Server & Azure SQL Base de données - SQL Server |Microsoft Learn] (https://learn.microsoft.com/en-us/sql/relationd-databases/security/security-center-for-sql-server-database-engine-and-azure-sql-database?view=SQL-Server-Ver16)
## Les références
["Les acteurs de la menace attaquant les serveurs MS-SQL pour déployer les ransomwares"] (https://gbhackers.com/ms-sql-deploy-ransomware/) GBHACKERS (consulté en 2024-05-03).
## Snapshot Cybersecurity professionals at GBHackers have discovered a series of cyberattacks targeting poorly managed Microsoft SQL (MS-SQL) servers to install Mallox Ransomware on systems. **Read more about Microsoft\'s coverage for [Mallox Ransomware here.](https://sip.security.microsoft.com/intel-profiles/7fbe39c998c8a495a1652ac6f8bd34852c00f97dc61278cafc56dca1d443131e)** ## Description The threat actor group\'s modus operandi involves exploiting vulnerabilities in improperly managed MS-SQL servers. By employing brute force and dictionary attacks, the attackers gain unauthorized access, primarily targeting the SA (System Administrator) account. Once inside, they deploy the Remcos Remote Access Tool (RAT) to take control of the infected system. Remcos RAT, initially used for system breach and control, has been repurposed by attackers for malicious activities, featuring capabilities such as keylogging, screenshot capture, and control over webcams and microphones. Additionally, a custom-made remote screen control malware is deployed, allowing attackers to gain access to the infected system using the AnyDesk ID obtained from the command and control server. Mallox ransomware, known for targeting MS-SQL servers, was then installed to encrypt the system. Mallox ransomware, utilizes AES-256 and SHA-256 encryption algorithms, appending a ".rmallox" extension to encrypted files. The attack patterns observed in this campaign bear a striking resemblance to |
Ransomware Malware Tool Vulnerability Threat Technical | ★★★ | |
|
2024-05-03 18:04:14 | Revil Affiliate Off to Prison pour un régime de ransomwares de plusieurs millions de dollars REvil Affiliate Off to Jail for Multimillion-Dollar Ransomware Scheme (lien direct) |
Les accusations contre le membre du gang ransomware ont inclus des dommages aux ordinateurs, le complot en vue de commettre une fraude et le complot en vue de commettre un blanchiment d'argent.
Charges against the ransomware gang member included damage to computers, conspiracy to commit fraud, and conspiracy to commit money laundering. |
Ransomware | ★★★ | |
 |
2024-05-03 14:59:04 | Payer, ou bien?& # 8211;Semaine en sécurité avec Tony Anscombe Pay up, or else? – Week in security with Tony Anscombe (lien direct) |
Les organisations qui sont victimes d'une attaque de ransomware sont souvent capturées entre un rocher et un endroit dur, aux prises avec le dilemme de payer ou non
Organizations that fall victim to a ransomware attack are often caught between a rock and a hard place, grappling with the dilemma of whether to pay up or not |
Ransomware | ★★ | |
|
2024-05-02 22:10:42 | Mimic lance avec une nouvelle plate-forme de défense des ransomwares Mimic Launches With New Ransomware Defense Platform (lien direct) |
La nouvelle plate-forme SaaS de la nouvelle startup \\ prétend aider les organisations à détecter les attaques de ransomwares plus rapidement que les méthodes «traditionnelles» et à récupérer dans les 24 heures.
The new startup\'s SaaS platform claims to help organizations detect ransomware attacks faster than “traditional” methods and to recover within 24 hours. |
Ransomware Cloud | ★★ | |
|
2024-05-02 19:13:15 | Les pirates peuvent réinitialiser votre mot de passe gitlab et le remettre sur leur e-mail Hackers Can Reset Your Gitlab Password and Get It On Their Email (lien direct) |
L'Agence américaine de sécurité de la cybersécurité et de l'infrastructure (CISA) a ajouté une nouvelle vulnérabilité à son catalogue de vulnérabilités exploité connu sur la base de preuves d'exploitation active trouvées dans la plate-forme DevOps Gitlab. La vulnérabilité a été suivie comme cve-2023-7028 (Score CVSS: 10) permet à un acteur de menace de déclencher des e-mails de réinitialisation du mot de passe à envoyer des adresses e-mail arbitraires et non vérifiées, en fin de compte de reprise du compte sans interaction utilisateur. De plus, l'exploitation réussie de la vulnérabilité pourrait également conduire à des attaques de chaîne d'approvisionnement en insérant du code malveillant dans des environnements CI / CD (intégration continue / déploiement continu). Bien que ceux qui ont l'authentification à deux facteurs (2FA) activé sont vulnérables à la réinitialisation du mot de passe, ils ne sont cependant pas vulnérables à la prise de contrôle des comptes, car leur deuxième facteur d'authentification est requis pour se connecter. Par conséquent, il est essentiel de patcher les systèmes où les comptes ne sont pas protégés par cette mesure de sécurité supplémentaire. Le bogue CVE-2023-7028 découvert dans Gitlab Community Edition (CE) et Enterprise Edition (EE) affectent toutes les versions de 16.1 avant 16.1.6, 16.2 avant 16.2.9, 16.3 avant 16.3.7, 16.4Avant 16.4.5, 16.5 avant 16.5.6, 16.6 avant 16.6.4 et 16.7 avant 16.7.2. La faille a été traitée dans les versions Gitlab 16.7.2, 16.6.4 et 16.5.6, et les correctifs ont été recouverts aux versions 16.1.6, 16.2.9 et 16.3.7. gitLab a a dit Il n'a détecté aucun abus de vulnérabilité CVE-2023-7028 sur les plateformes gérées parGitLab, y compris Gitlab.com et GitLab Dédié des instances. Cependant, le service de surveillance des menaces, la ShadowServer Foundation, a trouvé plus de 5 300 cas de serveurs Gitlab exposés à des attaques de rachat de compte zéro clique en janvier (les correctifs de sécurité de la semaine ont été publiés), un nombre qui n'a diminué que de 55 seulement 55% à partir de mardi. La CISA a confirmé que la vulnérabilité CVE-2023-7028 était activement exploitée dans les attaques et a demandé aux agences fédérales américaines de sécuriser leurs systèmes jusqu'au 22 mai 2024, ou de supprimer l'utilisation du produit si les atténuations ne sont pas disponibles. | Ransomware Vulnerability Threat | ★★★ | |
|
2024-05-02 17:56:00 | Ukrainien Revil Hacker condamné à 13 ans et condamné à payer 16 millions de dollars Ukrainian REvil Hacker Sentenced to 13 Years and Ordered to Pay $16 Million (lien direct) |
Un ressortissant ukrainien a été condamné à plus de 13 ans de prison et condamné à payer 16 millions de dollars en restitution pour avoir effectué des milliers d'attaques de ransomwares et d'extorquer les victimes.
Yaroslav Vasinskyi (alias Rabotnik), 24 ans, ainsi que ses co-conspirateurs & nbsp; Part & nbsp; de la & nbsp; Revil Ransomware Group & NBSP; a orchestré plus de 2500 attaques de ransomware et exigé des paiements de déménage
A Ukrainian national has been sentenced to more than 13 years in prison and ordered to pay $16 million in restitution for carrying out thousands of ransomware attacks and extorting victims. Yaroslav Vasinskyi (aka Rabotnik), 24, along with his co-conspirators part of the REvil ransomware group orchestrated more than 2,500 ransomware attacks and demanded ransom payments in |
Ransomware Legislation | ★★ | |
|
2024-05-02 11:51:34 | Ukrainien condamné à près de 14 ans pour avoir infecté des milliers de personnes avec Revil Ransomware Ukrainian sentenced to almost 14 years for infecting thousands with REvil ransomware (lien direct) |
Pas de details / No more details | Ransomware | ★★ | |
|
2024-05-02 10:44:23 | Revil Hacker derrière Kaseya Ransomware Attack obtient 13 ans de prison REvil hacker behind Kaseya ransomware attack gets 13 years in prison (lien direct) |
Yaroslav Vasinskyi, un ressortissant ukrainien, a été condamné à 13 ans et sept mois de prison et condamné à payer 16 millions de dollars en restitution pour son implication dans l'opération de ransomware Revil.[...]
Yaroslav Vasinskyi, a Ukrainian national, was sentenced to 13 years and seven months in prison and ordered to pay $16 million in restitution for his involvement in the REvil ransomware operation. [...] |
Ransomware Legislation | ★★ | |
|
2024-05-02 10:00:00 | Revil Ransomware Affiliate condamné à plus de 13 ans de prison REvil Ransomware Affiliate Sentenced to Over 13 Years in Prison (lien direct) |
Un tribunal américain a condamné un ressortissant ukrainien à 13 ans et sept mois de prison pour son rôle dans plus de 2500 attaques de ransomwares en utilisant la souche Revil
A US court has sentenced a Ukrainian national to 13 years and seven months in prison for his role in over 2500 ransomware attacks using the REvil strain |
Ransomware Legislation | ★★ | |
|
2024-05-02 00:15:52 | Analyse des attaques de TargetCompany \\ contre les serveurs MS-SQL (Mallox, Bluesky Ransomware) Analysis of TargetCompany\\'s Attacks Against MS-SQL Servers (Mallox, BlueSky Ransomware) (lien direct) |
While monitoring attacks targeting MS-SQL servers, AhnLab SEcurity intelligence Center (ASEC) recently identified cases of theTargetCompany Ransomware Group Installation du ransomware Mallox.Le groupe Ransomware TargetCompany cible principalement les serveurs MS-SQL mal gérés pour installer le ransomware Mallox.Bien que ces attaques soient en cours depuis plusieurs années, nous allons ici décrire la corrélation entre les logiciels malveillants nouvellement identifiés et les cas d'attaque antérieurs impliquant la distribution du Coinmin Tor2Mine et des ransomwares bluesky.Semblable aux cas précédents, cette attaque a ciblé mal ...
While monitoring attacks targeting MS-SQL servers, AhnLab SEcurity intelligence Center (ASEC) recently identified cases of the TargetCompany ransomware group installing the Mallox ransomware. The TargetCompany ransomware group primarily targets improperly managed MS-SQL servers to install the Mallox ransomware. While these attacks have been ongoing for several years, here we will outline the correlation between the newly identified malware and previous attack cases involving the distribution of the Tor2Mine CoinMiner and BlueSky ransomware. Similar to previous cases, this attack targeted improperly... |
Ransomware Malware | ★★ | |
|
2024-05-01 20:56:45 | La campagne de logiciels malveillants tente la maltraitance des binaires de sophos Malware Campaign Attempts Abuse of Sophos Binaries (lien direct) |
## Instantané Sophos discute d'une campagne de ransomwares qui exploite des exécutables et des DLL légitimes de Sophos en modifiant leur contenu d'origine, en écrasant le code de point d'entrée et en insérant la charge utile déchiffrée comme ressource. ## Description Cette usurpation d'identité des fichiers légitimes vise à infiltrer les systèmes.L'enquête a révélé plusieurs charges utiles, telles que Cobalt Strike, Brute Ratel, Qakbot et Latrodectus, indiquant l'implication de plus d'un groupe criminel. L'accès initial aux systèmes des victimes \\ 'impliquait l'utilisation de chargeurs JavaScript envoyés par e-mail.Le comportement malveillant vise à confondre les analystes en se déguisant en fichiers légitimes, en évitant potentiellement la détection.Les attaquants ont ciblé plusieurs exécutables Sophos And dlls, y compris sophosleanup.exe, sophosfstelemetry.exe, sophosfx.exe, sophosintelixpackager.exe, sophosntpuninstall.eXE, Healthapi.dll et Sophosuninstall.exe.Ces fichiers se sont révélés malveillants et ont été associés à diverses charges utiles et connexions C2. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces de ransomware. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus ou l'équivalent pour que votre produit antivirus couvre des outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une énorme majorité de variantes nouvelles et inconnues. - Allumez [Protection Tamper] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=Magicti_TA_LearnDoc).Empêcher les attaquants d'empêcher les services de sécurité. - Exécutez [Détection et réponse de point de terminaison (EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-lock-mode?ocid=Magicti_TA_Learndoc), de sorte que celaLe défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants détectés après la durée. - Activer [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?ocid=Magicti_TA_Learndoc) en mode automatisé complet pour permettre au défenseur de prendre une action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate surAlertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - Les clients de Microsoft Defender peuvent activer [Règles de réduction de la surface d'attaque] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-reduction?ocid=Magicti_TA_LearnDoc) pour prévenir les techniques d'attaque communes utilisées utilisées | Ransomware Malware Tool Threat | ★★ | |
|
2024-05-01 16:00:00 | Lockbit, Black Basta, Play Domine Ransomware au T1 2024 LockBit, Black Basta, Play Dominate Ransomware in Q1 2024 (lien direct) |
Les données de Reliaquest suggèrent également que Lockbit a été confronté à un revers important en raison de l'action en matière d'application de la loi
The data from ReliaQuest also suggests LockBit faced a significant setback due to law enforcement action |
Ransomware Legislation | ★★ | |
|
2024-05-01 13:40:29 | Activité des ransomwares en baisse de 18% Q1 2024 vs Q4 2023 - Nouveau rapport de rediaquest Ransomware activity down 18% Q1 2024 vs Q4 2023 - new ReliaQuest report (lien direct) |
Activité des ransomwares en baisse de 18% Q1 2024 vs Q4 2023 - Nouveau rapport de rediaquest
-
rapports spéciaux
Ransomware activity down 18% Q1 2024 vs Q4 2023 - new ReliaQuest report - Special Reports |
Ransomware | ★★ | |
|
2024-05-01 13:14:15 | Se remettre des attaques de ransomwares pourrait coûter au conseil écossais éloigné & Pound; 500 000 Recovering from ransomware attack could cost remote Scottish council £500,000 (lien direct) |
Pas de details / No more details | Ransomware | ★★ | |
|
2024-05-01 13:00:00 | 1 sur 5 US Ransomware Attacks déclenche un procès 1 in 5 US Ransomware Attacks Triggers Lawsuit (lien direct) |
Comparerch a constaté que 18% des incidents de ransomware aux États-Unis ont conduit à un procès en 2023, avec 59% des poursuites terminées depuis 2018 prouvant de succès
Comparitech found that 18% of ransomware incidents in the US led to a lawsuit in 2023, with 59% of completed lawsuits since 2018 proving successful |
Ransomware | ★★ | |
|
2024-05-01 12:38:04 | French hospital CHC-SV refuses to pay LockBit extortion demand (lien direct) | The Hôpital de Cannes - Simone Veil (CHC-SV) in France announced it received a ransom demand from the Lockbit 3.0 ransomware gang, saying they refuse to pay the ransom. [...]
The Hôpital de Cannes - Simone Veil (CHC-SV) in France announced it received a ransom demand from the Lockbit 3.0 ransomware gang, saying they refuse to pay the ransom. [...] |
Ransomware | ★★ | |
|
2024-05-01 09:15:10 | Les paiements de ransomwares augmentent de 500% au cours de la dernière année, trouve le rapport Sophos State of Ransomware Ransomware Payments Increase 500% In the Last Year, Finds Sophos State of Ransomware Report (lien direct) |
Les paiements de ransomware augmentent de 500% au cours de la dernière année, trouve le rapport Sophos State of Ransomware
Le taux des attaques de ransomwares baisse légèrement, mais les coûts de récupération ont atteint 2,73 millions de dollars
-
rapports spéciaux
Ransomware Payments Increase 500% In the Last Year, Finds Sophos State of Ransomware Report Rate of Ransomware Attacks Falls Slightly, But Recovery Costs Hit $2.73 million - Special Reports |
Ransomware | ★★★ | |
|
2024-04-30 20:44:58 | Le géant des soins de santé est propre au sujet du hack récent et de la rançon payée Health care giant comes clean about recent hack and paid ransom (lien direct) |
Attaque des ransomwares contre le marché des prescriptions américaines à 371 milliards de dollars.
Ransomware attack on the $371 billion company hamstrung US prescription market. |
Ransomware Hack | ★★ | |
|
2024-04-30 20:02:59 | PDG de UnitedHealth: \\ 'La décision de payer la rançon était la mine \\' UnitedHealth CEO: \\'Decision to pay ransom was mine\\' (lien direct) |
Congress to hear how Citrix MFA snafu led to data theft, $870M+ loss UnitedHealth CEO Andrew Witty will tell US lawmakers Wednesday the cybercriminals who hit Change Healthcare with ransomware used stolen credentials to remotely access a Citrixle portail qui n'a pas été activé par l'authentification multi-facteurs.…
Congress to hear how Citrix MFA snafu led to data theft, $870M+ loss UnitedHealth CEO Andrew Witty will tell US lawmakers Wednesday the cybercriminals who hit Change Healthcare with ransomware used stolen credentials to remotely access a Citrix portal that didn\'t have multi-factor authentication enabled.… |
Ransomware Medical | ★★★ | |
|
2024-04-30 17:37:51 | Le Congrès cercles UnitedHealth comme les effets de l'attaque des ransomwares continue Congress circles UnitedHealth as effects of ransomware attack continue (lien direct) |
Pas de details / No more details | Ransomware Legislation | ★★ | |
|
2024-04-30 16:00:00 | Ransomware augmente malgré les retraits, explique Corvus Report Ransomware Rising Despite Takedowns, Says Corvus Report (lien direct) |
Le premier trimestre de 2024 a vu l'activité la plus ransomware jamais enregistrée, Corvus Insurance trouvée dans une nouvelle analyse
The first quarter of 2024 saw the most ransomware activity ever recorded, Corvus Insurance found in a new analysis |
Ransomware | ★★ | |
 |
2024-04-30 14:00:00 | Protection des ransomwares et stratégies de confinement: conseils pratiques pour le durcissement et la protection des infrastructures, des identités et des points de terminaison Ransomware Protection and Containment Strategies: Practical Guidance for Hardening and Protecting Infrastructure, Identities and Endpoints (lien direct) |
Written by: Matthew McWhirt, Omar ElAhdan, Glenn Staniforth, Brian Meyer
Multi-faceted extortion via ransomware and/or data theft is a popular end goal for attackers, representing a global threat targeting organizations in all industries. The impact of a successful ransomware event can be material to an organization, including the loss of access to data, systems, and prolonged operational outages. The potential downtime, coupled with unforeseen expenses for restoration, recovery, and implementation of new security processes and controls can be overwhelming.Since the initial launch of our report in 2019, data theft and ransomware deployment tactics have continued to evolve and escalate. This evolution marks a shift from manual or script-based ransomware deployment to sophisticated, large-scale operations, including:
Weaponizing Trusted Service Infrastructure (TSI): Adversaries are increasingly abusing legitimate infrastructure and security tools (TSI) to rapidly propagate malware or ransomware across entire networks.
Targeting Virtualization Platforms: Attackers are actively focusing on the virtualization layer, aiming to mass-encrypt virtual machines (VMs) and other critical systems at scale.
Targeting Backup Data / Platforms: Threat actors are exploiting misconfigurations or security gaps in backup systems to either erase or corrupt data backups, severely hindering recovery efforts.
Based upon these newer techniques, it is critical that organizations identify the span of the attack surface, and align proper security controls and visibility that includes coverage for protecting:
Identities
Endpoints
Network Architectures
Remote Access Platforms
Trusted Service Infrastructure (TSI)
Cascading weaknesses across these layers create opportunities for attackers to breach an organization\'s perimeter, gain initial access, and maintain a persistent foothold within the compromised network.
In our updated report, |
Ransomware Malware Tool Threat | ★★★ | |
 |
2024-04-30 13:00:00 | Les solutions de cybersécurité AI détectent les ransomwares en moins de 60 secondes AI cybersecurity solutions detect ransomware in under 60 seconds (lien direct) |
> Vous vous inquiétez des ransomwares?Si c'est le cas, ce n'est pas surprenant.Selon le Forum économique mondial, pour les cyber-pertes importantes (& # 8364; 1 million +), le nombre de cas dans lesquels les données sont exfiltrées augmentent, double de 40% en 2019 à près de 80% en 2022. Et une activité plus récente estsuivi encore plus haut.Pendant ce temps, d'autres dangers apparaissent sur [& # 8230;]
>Worried about ransomware? If so, it’s not surprising. According to the World Economic Forum, for large cyber losses (€1 million+), the number of cases in which data is exfiltrated is increasing, doubling from 40% in 2019 to almost 80% in 2022. And more recent activity is tracking even higher. Meanwhile, other dangers are appearing on […] |
Ransomware | ★★ | |
|
2024-04-30 11:50:17 | La France fait état du plus fort taux d\'attaques par ransomware en 2024, selon le rapport de Sophos sur l\'état des ransomwares (lien direct) | La cause première la plus répandue d'une attaque par ransomware réside dans l'exploitation d'une faille non corrigée. Le taux d'attaques par ransomware diminue légèrement, alors que 59 % des entreprises interrogées déclarent avoir été victimes d'une attaque par ransomware, contre 66 % en 2023 Sophos, l'un des premiers éditeurs mondiaux de solutions de sécurité à innovantes conçues pour neutraliser les cyberattaques, a publié aujourd'hui son rapport d'enquête annuel sur l'état des ransomwares 2024, qui met (...) - Investigations | Ransomware | ★★★ | |
|
2024-04-29 20:07:15 | De ransomware icedid à Dagon Locker en 29 jours From IcedID to Dagon Locker Ransomware in 29 Days (lien direct) |
## Instantané
Le rapport DFIR fournit un compte rendu détaillé d'une intrusion sophistiquée qui a commencé avec une campagne de phishing utilisant PromEthEustDS pour distribuer des logiciels malveillants icedid en août 2023.
## Description
Le malware icedid a établi la persistance, communiqué avec les serveurs C2 et a abandonné une balise de frappe de cobalt, qui a été utilisée pour le mouvement latéral, l'exfiltration des données et le déploiement des ransomwares.L'acteur de menace a également utilisé une suite d'outils tels que Rclone, NetScan, NBTScan, Anydesk, Seatt Libt, Sharefinder et Adfinind.L'intrusion a abouti au déploiement de ransomwares Dagon Locker après 29 jours.
Les acteurs de la menace ont utilisé diverses techniques pour obscurcir le fichier JavaScript et le coquille de cobalt grève, échapper à la détection, maintenir la persistance et effectuer des activités d'énumération du réseau.Les activités de l'acteur de menace comprenaient l'abus de fonctionnalités de mouvement latérale telles que le psexec et le protocole de bureau à distance (RDP), l'exfiltration des fichiers, le dumping et l'exfiltration des journaux d'événements de sécurité Windows et l'utilisation des commandes PowerShell exécutées à partir de la grève de Cobaltbalise.
De plus, l'acteur de menace a utilisé plusieurs techniques d'exfiltration, y compris l'utilisation de RClone et AWS CLI pour exfiltrer les données de l'infrastructure compromise.Le déploiement du ransomware Dagon Locker a été facilité par l'utilisation d'un script PowerShell personnalisé, AWScollector et un module Locker, avec une commande PowerShell spécifique exécutée à partir d'un contrôleur de domaine pour déployer le ransomware à différents systèmes.L'impact de cet incident a permis à tous les systèmes d'être affectés par les ransomwares Dagon Locker.
## Les références
[https://thedfirreport.com/2024/04/29/from-iced-to-dagon-locker-ransomware-in-29 days/-IDIDID-to-dagon-locker-ransomware en 29 jours /)
## Snapshot The DFIR report provides a detailed account of a sophisticated intrusion that began with a phishing campaign using PrometheusTDS to distribute IcedID malware in August 2023. ## Description The IcedID malware established persistence, communicated with C2 servers, and dropped a Cobalt Strike beacon, which was used for lateral movement, data exfiltration, and ransomware deployment. The threat actor also utilized a suite of tools such as Rclone, Netscan, Nbtscan, AnyDesk, Seatbelt, Sharefinder, and AdFind. The intrusion culminated in the deployment of Dagon Locker ransomware after 29 days. The threat actors employed various techniques to obfuscate the JavaScript file and the Cobalt Strike shellcode, evade detection, maintain persistence, and perform network enumeration activities. The threat actor\'s activities included the abuse of lateral movement functionalities such as PsExec and Remote Desktop Protocol (RDP), exfiltration of files, dumping and exfiltration of Windows Security event logs, and the use of PowerShell commands executed from the Cobalt Strike beacon. Additionally, the threat actor employed multiple exfiltration techniques, including the use of Rclone and AWS CLI to exfiltrate data from the compromised infrastructure. The deployment of the Dagon Locker ransomware was facilitated through the use of a custom PowerShell script, AWScollector, and a locker module, with a specific PowerShell command run from a domain controller to deploy the ransomware to different systems. The impact of this incident resulted in all systems being affected by the Dagon Locker ransomware. ## References [https://thedfirreport.com/2024/04/29/from-icedid-to-dagon-locker-ransomware-in-29-days/](https://thedfirreport.com/2024/04/29/from-icedid-to-dagon-locker-ransomware-in-29-days/) |
Ransomware Malware Tool Threat Technical | ★★★ | |
|
2024-04-29 16:05:58 | Faits saillants hebdomadaires, 29 avril 2024 Weekly OSINT Highlights, 29 April 2024 (lien direct) |
## Snapshot Last week\'s OSINT reporting reveals a diverse range of cyber threats targeting organizations globally. The articles highlight various attack vectors, including phishing emails with malware payloads (SSLoad, [Cobalt Strike](https://security.microsoft.com/intel-profiles/fd8511c1d61e93d39411acf36a31130a6795efe186497098fe0c6f2ccfb920fc)), ransomware variants (KageNoHitobito, DoNex), and mobile banking malware (Brokewell) distributed through fake domain schemes and overlay attacks. Threat actors behind these campaigns range from financially motivated ransomware groups to sophisticated state-sponsored actors like Sandworm ([Seashell Blizzard](https://sip.security.microsoft.com/intel-profiles/cf1e406a16835d56cf614430aea3962d7ed99f01ee3d9ee3048078288e5201bb)) and UAT4356 ([Storm-1849](https://sip.security.microsoft.com/intel-profiles/f3676211c9f06910f7f1f233d81347c1b837bddd93292c2e8f2eb860a27ad8d5)). Targetted organizations span Europe, Asia, and the Americas and targetted industries include critical infrastructure and IT. ## Description 1. **[Ongoing FROZEN#SHADOW Phishing Campaign](https://security.microsoft.com/intel-explorer/articles/e39d9bb3)**: The FROZEN#SHADOW campaign utilizes phishing emails to distribute SSLoad malware, alongside [Cobalt Strike](https://security.microsoft.com/intel-profiles/fd8511c1d61e93d39411acf36a31130a6795efe186497098fe0c6f2ccfb920fc) and ConnectWise ScreenConnect for extensive persistence and remote access. The victim organizations, predominantly in Europe, Asia, and the Americas, are targeted via JavaScript file downloads and MSI installers connecting to attacker-controlled domains. 2. **[Insights on KageNoHitobito and DoNex Ransomware](https://security.microsoft.com/intel-explorer/articles/ff848e92)**: KageNoHitobito and DoNex are ransomware variants with distinct encryption methods and ransom note presentations. While KageNoHitobito prompts victims to negotiate through a TOR site, DoNex terminates specific services and processes, deletes shadow copies, and may be linked to DarkRace ransomware. 3. **[Brokewell Mobile Banking Malware](https://security.microsoft.com/intel-explorer/articles/99a5deee)**: Brokewell poses a significant threat to the banking industry, utilizing overlay attacks, spyware functionalities, and remote control capabilities to steal credentials and device information. The malware\'s active development and promotion on underground channels indicate a growing interest among cybercriminals targeting different regions. 4. **[Malvertising Campaign Targeting IT Teams with MadMxShell](https://security.microsoft.com/intel-explorer/articles/ffa6ca10)**: A sophisticated threat actor distributes the MadMxShell backdoor through fake domains, using Google Ads to push them to the top of search results. MadMxShell employs complex evasion techniques, including multi-stage injection and DNS tunneling for C2 communication, indicating an interest in targeting IT professionals for unauthorized access. 5. **[ArcaneDoor Campaign by UAT4356 (Storm-1849)](https://security.microsoft.com/intel-explorer/articles/a0cf0328)**: UAT4356 (tracked by Microsoft as [Storm-1949](https://sip.security.microsoft.com/intel-profiles/f3676211c9f06910f7f1f233d81347c1b837bddd93292c2e8f2eb860a27ad8d5)) targets perimeter network devices like Cisco Adaptive Security Appliances (ASA) with backdoors "Line Runner" and "Line Dancer" for reconnaissance and malicious actions. The campaign showcases a state-sponsored actor\'s advanced tradecraft, with deliberate efforts to evade forensics and exploit 0-day vulnerabilities. The initial access vector used in this campaign remains unidentified, but two vulnerabilities ([CVE-2024-20353](https://security.microsoft.com/intel-explorer/cves/CVE-2024-20353/description) and[CVE-2024-20359](https://security.microsoft.com/intel-explorer/cves/CVE-2024-20359/description)) were exploited. 6. **[Kapeka Backdoor Linked to Sandworm (Seashell Blizzard)](https://security.microsoft.com/intel-explorer/articles/364efa92)**: Kapeka (tracked by Microsoft as K | Ransomware Malware Tool Vulnerability Threat Mobile Industrial | ★★★ | |
 |
2024-04-29 12:08:40 | Comment protéger Active Directory des attaques par ransomware (lien direct) | Les attaques par ransomware sont en hausse, avec une croissance annuelle de 80 % en fréquence. Les cybercriminels exploitent de plus en plus souvent les vulnérabilités des composants clés du réseau comme Active Directory (AD).... | Ransomware | ★★ |
To see everything:
Our RSS (filtrered)
