What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-06-10 22:09:54 | Les systèmes d'acteurs de menace peuvent également être exposés et utilisés par d'autres acteurs de menace Threat Actors_ Systems Can Also Be Exposed and Used by Other Threat Actors (lien direct) |
## Instantané L'AHNLAB Security Intelligence Center (ASEC) discute de l'exposition des systèmes des acteurs de la menace aux cyberattaques, en particulier dans un cas où le serveur proxy d'un attaquant de Coinmineur \\ a été ciblé par un protocole de bureau à distance de Ransomware Kene) scanner l'attaque. ## Description L'attaquant Coinmin, a utilisé un serveur proxy pour accéder à un botnet infecté, qui a exposé par inadvertance son port à l'attaque de balayage RDP de l'acteur ransomware, entraînant le botnet infecté par un ransomware.L'infection à Coinmingir s'est produite via des attaques de scan ciblant les comptes d'administrateur MS-SQL Server, suivis du déploiement d'une porte dérobée et de Coinmin.De plus, il explore les hypothèses concernant la nature intentionnelle ou accidentelle de l'attaque, concluant que bien qu'il soit rare que les infrastructures des acteurs de menace soient ciblées, ces incidents présentent des défis dans l'analyse du comportement et des intentions des acteurs de menace impliqués. [En savoir plus surCoin Miners ICI.] (https://learn.microsoft.com/en-us/defender-endpoint/malware/coinmin-malware) ## RecommandationsLa documentation technique Microsoft SQL Server et les étapes pour sécuriser les serveurs SQL peuvent être trouvées ici: [Documentation de sécurité pour SQL Server & Azure SQL Base de données - SQL Server |Microsoft Learn] (https://learn.microsoft.com/en-us/sql/relationd-databases/security/security-center-for-sql-server-database-engine-and-azure-sql-database?view=SQL-Server-Ver16) Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces de ransomware. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus ou l'équivalent pour que votre produit antivirus couvre des outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une énorme majorité de variantes nouvelles et inconnues. - Allumez [Protection Tamper] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=Magicti_TA_LearnDoc).Empêcher les attaquants d'empêcher les services de sécurité. - Exécutez [Détection et réponse de point de terminaison (EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-lock-mode?ocid=Magicti_TA_Learndoc), de sorte que celaLe défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque l'antivirus Microsoft Defender fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants détectés après la lutte. - Activer [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?ocid=Magicti_TA_Learndoc) en mode automatisé complet pour permettre au défenseur de terminer l'action immédiatement sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate surAlertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - Les clients de Microsoft Defender peuvent activer [Règles de réduction de la surface d'attaque] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-reduction?ocid=Magicti_TA_LearnDoc) pour prévenir les techniques d'attaque communes utilisées utilisées utiliséDans les attaques de ransomwares.Les règles de réduction de la surface d'attaque sont des paramètres de balayage qui sont efficaces pour arrêter des classes ent | Ransomware Malware Tool Threat Technical | ||
 |
2024-06-10 14:30:57 | 10 juin & # 8211;Rapport de renseignement sur les menaces 10th June – Threat Intelligence Report (lien direct) |
> Pour les dernières découvertes de cyber-recherche pour la semaine du 10 juin, veuillez télécharger notre bulletin Threat_Intelligence.Les principales attaques et violations des services de pathologie Synnovis ont connu une attaque de ransomware qui a affecté les procédures et les opérations dans plusieurs grands hôpitaux de Londres, notamment le ministère de la Santé et des Coins sociaux, NHS Qilin (anciennement Agenda) Ransomware [& # 8230;]
>For the latest discoveries in cyber research for the week of 10th June, please download our Threat_Intelligence Bulletin. TOP ATTACKS AND BREACHES Pathology services provider Synnovis has experienced a ransomware attack that affected procedures and operations in several major hospitals in London, including the Department of Health and Social Care, NHS Qilin (formerly Agenda) ransomware […] |
Ransomware Threat | ||
|
2024-06-10 13:07:23 | Faits saillants hebdomadaires OSINT, 10 juin 2024 Weekly OSINT Highlights, 10 June 2024 (lien direct) |
## Instantané La semaine dernière, les rapports OSINT de \\ révèlent des cyber-menaces diverses et sophistiquées ciblant divers secteurs.L'ingénierie sociale et le phishing étaient des thèmes prominants, le kit de phishing V3B ciblant les clients de la banque européenne et la campagne sur le thème de Flyeti \\ contre les Ukrainiens.Les thèmes supplémentaires incluent l'évolution des attaques de ransomwares, illustrés par l'émergence de ransomwares et de ransomhub de brouillard, ainsi que des groupes et des groupes de cybercrimins exploitant les vulnérabilités logicielles, telles que les attaques de Water Sigbin \\ sur les serveurs Weblogic Oracle et la déshabitation contre les utilisateurs avancés du scanner IP.En outre, l'utilisation de logiciels malveillants de marchandises comme Chalubo pour perturber les routeurs Soho et les attaques en plusieurs étapes contre des entités ukrainiennes met en évidence la nature persistante et adaptative des acteurs de la menace moderne, soulignant la nécessité de mesures de sécurité robustes et dynamiques. ## Description 1. ** [Fausses mises à jour livrant BitRat et Lumma Stealer] (https://security.microsoft.com/intel-explorer/articles/aff8b8d5) **: ESENTRE a détecté de fausses mises à jour délivrant Bittrat et Lumma Stealer, lancé par des utilisateurs visitant une fausse mise à jourpage Web infectée.L'attaque a utilisé un code JavaScript malveillant, conduisant à une fausse page de mise à jour et en tirant parti des noms de confiance pour une large portée et un impact. 2. ** [Nouveau kit de phishing \\ 'v3b \' ciblant les banques européennes] (https://security.microsoft.com/intel-explorer/articles/5c05cdcd) **: les cybercriminaux utilisent le kit de phishing V3B, promusur Telegram, ciblant les clients des grandes institutions financières européennes.Le kit, offrant une obscurité avancée et un soutien à OTP / TAN / 2FA, facilite l'interaction en temps réel avec les victimes et vise à intercepter les références bancaires et les détails de la carte de crédit. 3. ** [TargetCompany Ransomware \'s New Linux Variant] (https://security.microsoft.com/intel-explorer/articles/dccc6ab3) **: Trend Micro Rapportsvariante, à l'aide d'un script de shell personnalisé pour la livraison de charge utile et l'exfiltration des données.Le ransomware cible les environnements VMware ESXi, visant à maximiser les perturbations et les paiements de rançon. 4. ** [Water Sigbin exploite Oracle Weblogic Vulnérabilités] (https://security.microsoft.com/intel-explorer/articles/d4ad1229) **: le gang 8220 basé en Chine, également connu sous le nom de Water Sigbin, exploite les vulnérabilités dans les vulnérabilités dans la Chine 8220, également connues sous le nom de Water Sigbin, exploite les vulnérabilités dans les vulnérabilités dans la Chine 8220, également connues sous le nom de Water Sigbin, exploite les vulnérabilités dans les vulnérabilités dans la Chine 8220, également connues sous le nom de Water Sigbin, exploite les vulnérabilités dans les vulnérabilités dans la Chine 8220, également connues sous le nom de Water Sigbin, exploite les vulnérabilités dans les vulnérabilités dans la Chine,Serveurs Oracle Weblogic pour déployer des logiciels malveillants d'exploration de crypto-monnaie.Le groupe utilise des techniques d'obscuscations sophistiquées et HTTP sur le port 443 pourLivraison de charge utile furtive. 5. ** [Ransomware de brouillard cible les organisations éducatives américaines] (https://security.microsoft.com/intel-Explorateur / articles / B474122C) **: Arctic Wolf Labs a découvert des ransomwares de brouillard ciblant les établissements d'enseignement américains via des informations d'identification VPN compromises.Les attaquants utilisent des tactiques à double extension, cryptant des fichiers et le vol de données pour contraindre les victimes dans le paiement des rançons. 6. **[FlyingYeti Targets Ukrainian Entities](https://security.microsoft.com/intel-explorer/articles/46bbe9fb)* | Ransomware Malware Tool Vulnerability Threat Prediction | ||
|
2024-06-10 13:00:31 | Mai 2024 \\'s Mostware le plus recherché: Phorpiex botnet se lâche la frénésie de phishing tandis que Lockbit3 domine une fois de plus May 2024\\'s Most Wanted Malware: Phorpiex Botnet Unleashes Phishing Frenzy While LockBit3 Dominates Once Again (lien direct) |
> Les chercheurs ont découvert une campagne avec un botnet Phorpiex utilisé pour répandre les ransomwares grâce à des millions de courriels de phishing.Pendant ce temps, le groupe Ransomware Lockbit3 a rebondi après une courte pause représentant un tiers des attaques de ransomware publiées, notre dernier indice de menace mondial pour mai 2024 a révélé que les chercheurs avaient découvert une campagne de Malspam orchestrée par le botnet Phorpiex.Les millions de courriels de phishing envoyés contenaient Lockbit Black & # 8211;basé sur LockBit3 mais non affilié au groupe Ransomware.Dans un développement non lié, le groupe réel de Lockbit3 Ransomware-as-a-Service (RAAS) a augmenté en prévalence après une courte interruption après un démontage mondial des forces de l'ordre, comptabilité [& # 8230;]
>Researchers uncovered a campaign with Phorpiex botnet being used to spread ransomware through millions of phishing emails. Meanwhile, the Lockbit3 Ransomware group has rebounded after a short hiatus accounting for one-third of published ransomware attacks Our latest Global Threat Index for May 2024 revealed that researchers had uncovered a malspam campaign orchestrated by the Phorpiex botnet. The millions of phishing emails sent contained LockBit Black – based on LockBit3 but unaffiliated with the Ransomware group. In an unrelated development, the actual LockBit3 ransomware-as-a-Service (RaaS) group surged in prevalence after a short hiatus following a global takedown by law enforcement, accounting […] |
Ransomware Malware Threat Legislation | ||
 |
2024-06-10 12:00:28 | Appel urgent pour les dons de sang de type O après une attaque de ransomware des hôpitaux londoniens Urgent call for O-type blood donations following London hospitals ransomware attack (lien direct) |
> Les chercheurs ont découvert une campagne avec un botnet Phorpiex utilisé pour répandre les ransomwares grâce à des millions de courriels de phishing.Pendant ce temps, le groupe Ransomware Lockbit3 a rebondi après une courte pause représentant un tiers des attaques de ransomware publiées, notre dernier indice de menace mondial pour mai 2024 a révélé que les chercheurs avaient découvert une campagne de Malspam orchestrée par le botnet Phorpiex.Les millions de courriels de phishing envoyés contenaient Lockbit Black & # 8211;basé sur LockBit3 mais non affilié au groupe Ransomware.Dans un développement non lié, le groupe réel de Lockbit3 Ransomware-as-a-Service (RAAS) a augmenté en prévalence après une courte interruption après un démontage mondial des forces de l'ordre, comptabilité [& # 8230;]
>Researchers uncovered a campaign with Phorpiex botnet being used to spread ransomware through millions of phishing emails. Meanwhile, the Lockbit3 Ransomware group has rebounded after a short hiatus accounting for one-third of published ransomware attacks Our latest Global Threat Index for May 2024 revealed that researchers had uncovered a malspam campaign orchestrated by the Phorpiex botnet. The millions of phishing emails sent contained LockBit Black – based on LockBit3 but unaffiliated with the Ransomware group. In an unrelated development, the actual LockBit3 ransomware-as-a-Service (RaaS) group surged in prevalence after a short hiatus following a global takedown by law enforcement, accounting […] |
Ransomware | ||
 |
2024-06-10 11:43:11 | Les hôpitaux de Londres font face à une pénurie de sang après l'attaque des ransomwares synnovis London hospitals face blood shortage after Synnovis ransomware attack (lien direct) |
Le NHS Blood and Transplant d'Angleterre (NHSBT) a lancé un appel urgent à O Positif et O négatif de donneurs de sang pour réserver des rendez-vous et faire un don après la semaine dernière, le fournisseur de cyberattaque de pathologie de la semaine dernière a eu un impact sur plusieurs hôpitaux à Londres.[...]
England\'s NHS Blood and Transplant (NHSBT) has issued an urgent call to O Positive and O Negative blood donors to book appointments and donate after last week\'s cyberattack on pathology provider Synnovis impacted multiple hospitals in London. [...] |
Ransomware | ||
 |
2024-06-10 11:15:00 | Les stocks de sang NHS sont basés après une attaque de ransomware NHS blood stocks running low after ransomware attack (lien direct) |
Le NHS Blood and Transplant d'Angleterre (NHSBT) a lancé un appel urgent à O Positif et O négatif de donneurs de sang pour réserver des rendez-vous et faire un don après la semaine dernière, le fournisseur de cyberattaque de pathologie de la semaine dernière a eu un impact sur plusieurs hôpitaux à Londres.[...]
England\'s NHS Blood and Transplant (NHSBT) has issued an urgent call to O Positive and O Negative blood donors to book appointments and donate after last week\'s cyberattack on pathology provider Synnovis impacted multiple hospitals in London. [...] |
Ransomware | ||
 |
2024-06-10 09:22:21 | Christie \\ dit que l'attaque des ransomwares a un impact sur 45 000 personnes Christie\\'s Says Ransomware Attack Impacts 45,000 People (lien direct) |
La maison de vente aux enchères Christie \\ est indique que la violation des données causée par la récente attaque de ransomware a un impact sur les informations de 45 000 personnes.
Auction house Christie\'s says the data breach caused by the recent ransomware attack impacts the information of 45,000 individuals. |
Ransomware Data Breach | ||
 |
2024-06-10 08:30:00 | Le NHS fait appel au sang et aux bénévoles après la cyber-attaque NHS Appeals For Blood and Volunteers After Cyber-Attack (lien direct) |
Les hôpitaux londoniens continuent de subir les effets d'une attaque majeure de ransomware la semaine dernière
London hospitals continue to suffer the after-effects of a major ransomware attack last week |
Ransomware | ||
 |
2024-06-08 10:30:00 | Apple vient pour votre gestionnaire de mots de passe Apple Is Coming for Your Password Manager (lien direct) |
Plus: Un dirigeant des médias est inculpé dans un prétendu programme de blanchiment d'argent, une attaque de ransomware perturbe les soins dans les hôpitaux de Londres, et l'ancien PDG de Google \\ a un projet de drone secret dans sa manche.
Plus: A media executive is charged in an alleged money-laundering scheme, a ransomware attack disrupts care at London hospitals, and Google\'s former CEO has a secretive drone project up his sleeve. |
Ransomware | ★★★ | |
 |
2024-06-07 21:27:00 | Guide Ultimate Cyber Hygiène: Apprenez à simplifier vos efforts de sécurité Ultimate Cyber Hygiene Guide: Learn How to Simplify Your Security Efforts (lien direct) |
2023 a été une année de cyberattaques sans précédent.Ransomware est paralysée des entreprises, les attaques du DDOS ont perturbé les services critiques et les violations de données ont exposé des millions d'enregistrements sensibles.Le coût de ces attaques?Astronomique.Les dommages à la réputation?Irréparable.
Mais ici, la vérité choquante: beaucoup de ces attaques auraient pu être empêchées par la cyber-hygiène de base.
Êtes-vous prêt à transformer votre
2023 was a year of unprecedented cyberattacks. Ransomware crippled businesses, DDoS attacks disrupted critical services, and data breaches exposed millions of sensitive records. The cost of these attacks? Astronomical. The damage to reputations? Irreparable. But here\'s the shocking truth: many of these attacks could have been prevented with basic cyber hygiene. Are you ready to transform your |
Ransomware | ★★★ | |
|
2024-06-07 21:10:07 | TargetCompany\'s Linux Variant Targets ESXi Environments (lien direct) | #### Géolocations ciblées - Taïwan - Inde - Thaïlande - Corée ## Instantané Trend Micro a indiqué que le groupe Ransomware TargetCompany a introduit une nouvelle variante Linux du malware en utilisant un script de shell personnalisé pour la livraison et l'exécution de la charge utile. Lire la rédaction de Microsoft \\ sur TargetCompany Ransomware [ici] (https://security.microsoft.com/intel-profiles/7fbe39c998c8a495a1652ac6f8bd34852c00f97dc61278cafc56dca1d443131e). ## Description Détectée pour la première fois en juin 2021, TargetCompany Ransomware est également suivi comme Mallox, Fargo et Tohnichi.Depuis sa création, le groupe de menaces TargetCompany a modifié les techniques de Ransomware \\ pour échapper aux détections.Récemment, le groupe a publié une nouvelle variante Linux qui a une CRIPT Shell personnalisée pour la livraison et l'exécution de la charge utile. Cette méthode est unique à cette variante, marquant une évolution significative des versions précédentes.Le script shell facilite non seulement le déploiement des ransomwares, mais exfiltre également les données de victime à deux serveurs, assurant la sauvegarde. Cette variante Linux cible spécifiquement les environnements VMware ESXi, visant à maximiser les perturbations et à augmenter les paiements de rançon car ceux-ci hébergent souvent une infrastructure virtualisée critique dans les organisations.Le ransomware vérifie les droits administratifs avant de procéder, supprimant un fichier nommé cibleInfo.txt pour recueillir et envoyer des informations de victime à un serveur de commande et de contrôle.Le binaire vérifie un environnement VMware et procède avec cryptage s'il est confirmé, ajoutant ".Rocked" aux fichiers cryptés et abandonnant une note de rançon nommée comment décrypter.txt. Le script de shell personnalisé, une nouvelle fonctionnalité, télécharge et exécute la charge utile des ransomwares à partir d'une URL spécifiée, en utilisant des commandes comme "wget" ou "curl".Après l'exécution, le script lit cibleInfo.txt et le télécharge sur un autre serveur, garantissant la redondance des données.Après la routine, le script supprime la charge utile, compliquant l'analyse médico-légale. Cette nouvelle technique, impliquant une exfiltration de données à double données et un ciblage des environnements de virtualisation, présente l'évolution et la sophistication continues du groupe.L'infrastructure de cette attaque comprend un IP hébergé par China Mobile Communications;Cependant, le certificat n'est valable que trois mois suggérant une utilisation à court terme pour les activités malveillantes.Au cours de cette année, Trendmicro a observé que l'activité cible de la composition était concentrée à Taïwan, en Inde, en Thaïlande et en Corée du Sud. ## Analyse Microsoft Les acteurs de menace libèrent souvent des variantes Linux en logiciels malveillants afin d'augmenter leur base cible et de contourner les mesures de sécurité.D'autres types de logiciels malveillants comme AbySS Locker, un puissant ransomware de cryptor et Nood Rat, une variante du rat malveillant malveillant de porte dérobée, ont tous deux des variantes Linux. En savoir plus sur les tendances récentes OSINT dans LinUX Malware [ici] (https://security.microsoft.com/intel-explorer/articles/ccbece59). ## Détections / requêtes de chasse ** microRosoft Defender pour Endpoint ** Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - * [Ransom: win32 / fargo] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=ransom:win32 / fargo.zz & menaceID = -2147130109) * - * [Ransom: win64 / mallox] (https://www.microsoft.com/en-us/wdsi/atheats/malware-encycopedia-desCription? Name = Ransom: Win64 / Mallox & menaceID = -2147061166) * ## Recommandations Microsoft recommande les atténuations suivantes pour rédu | Ransomware Malware Tool Threat Mobile Prediction | ★★ | |
|
2024-06-07 19:53:27 | Water Sigbin utilise des techniques d'obscurcissement avancées dans les dernières attaques exploitant les vulnérabilités Oracle Weblogic Water Sigbin Employs Advanced Obfuscation Techniques in Latest Attacks Exploiting Oracle WebLogic Vulnerabilities (lien direct) |
## Snapshot Trend Micro has discovered that Water Sigbin, a China-based threat actor also known as the 8220 Gang, has been exploiting vulnerabilities in Oracle WebLogic servers to deploy cryptocurrency-mining malware. The group has adopted new techniques to conceal its activities, such as hexadecimal encoding of URLs and using HTTP over port 443 for stealthy payload delivery. ## Description Water Sigbin has been actively exploiting vulnerabilities in Oracle WebLogic server, specifically [CVE-2017-3506](https://security.microsoft.com/vulnerabilities/vulnerability/CVE-2017-3506/overview) and [CVE-2023-21839](https://security.microsoft.com/vulnerabilities/vulnerability/CVE-2023-21839/overview), to deploy cryptocurrency-mining malware. The group employs fileless attacks using .NET reflection techniques in PowerShell scripts, allowing the malware code to run solely in memory, evading disk-based detection mechanisms. The threat actor\'s exploitation of CVE-2023-21839 involved the deployment of shell scripts in Linux and a PowerShell script in Windows, showcasing obfuscation techniques and the use of HTTP over port 443 for stealthy communication. The PowerShell script "bin.ps1" and the subsequent "microsoft\_office365.bat" script both contain obfuscated code and instructions for executing malicious activities, demonstrating the threat actor\'s sophisticated tactics to evade detection and execute their malicious payload. ### Additional Analysis Active since at least 2017, Water Sigbin focuses on cryptocurrency-mining malware in cloud-based environments and Linux servers. For example, in 2023, [Ahnlab Security Emergency response Center (ASEC) discovered that Water Sigbin was using the Log4Shell](https://security.microsoft.com/intel-explorer/articles/11512be5) vulnerability to install CoinMiner in VMware Horizon servers. Water Sigbin\'s malicious activity highlights several key trends Microsoft has been tracking in recent years, including cryptojacking, threats to Linux (GNU/Linux OS), and recent attack trends in the malicious use of Powershell. - Microsoft has tracked the growing risk that [cryptojacking](https://security.microsoft.com/intel-explorer/articles/6a3e5fd2)– a type of cyberattack that uses computing power to mine cryptocurrency – poses to targeted organizations. In cloud environments, cryptojacking takes the form of cloud compute resource abuse, which involves a threat actor compromising legitimate tenants. Cloud compute resource abuse could result in financial loss to targeted organizations due to the compute fees that can be incurred from the abuse. - [Threats to Linux (GNU/Linux OS) have made OSINT headlines](https://security.microsoft.com/intel-explorer/articles/ccbece59) in recent months as threat actors continue to evolve attack techniques and increasingly prioritize Linux-based targets. Microsoft has been tracking trends across recent reporting of Linux malware across the security community. These trends include: exploiting misconfigurations or previous service versions, targeting service 1-day vulnerabilities, and ransomware and cryptocurrency mining. - From cybercrime to nation-state groups, threat actors have long used Windows PowerShell to assist in their malicious activities. Read more here about Microsoft\'s most frequent observations and how to protect against the [Malicious use of Powershell.](https://security.microsoft.com/intel-explorer/articles/3973dbaa) ## Detections/Hunting Queries ### Microsoft Defender for Endpoint The following alerts might indicate threat activity associated with this threat. These alerts, however, can be triggered by unrelated threat activity and are not monitored in the status cards provided with this report - **PowerShell execution phase detections** - PowerShell created possible reverse TCP shell - Suspicious process executed PowerShell command - Suspicious PowerShell download or encoded command execution - Suspiciously named files launched u | Ransomware Malware Tool Vulnerability Threat Prediction Cloud | ★★ | |
|
2024-06-07 19:48:12 | Perdu dans le brouillard: une nouvelle menace de ransomware Lost in the Fog: A New Ransomware Threat (lien direct) |
## Instantané
Arctic Wolf Labs a découvert une nouvelle variante de ransomware appelée FOG, qui a été observée dans plusieurs cas de réponse aux incidents de Wolf Arctic.
## Description
L'opération de ransomware nouvellement découverte nommée \\ 'Fog \' a ciblé des organisations éducatives aux États-Unis en utilisant des informations d'identification VPN compromises pour obtenir l'accès initial aux réseaux de victimes.Bien que le gang de ransomwares n'ait pas encore mis en place un portail d'extorsion, ils ont été observés en volant des données pour les attaques à double expression, tirant parti des données volées pour intimider les victimes à payer.
Les acteurs de la menace derrière le brouillard ont accédé à des environnements de victimes grâce à des références VPN compromises d'au moins deux fournisseurs de passerelle VPN différents.Une fois à l'intérieur du réseau, ils utilisent des techniques telles que les attaques "pass-the-hash" contre les comptes administratrices, la farce des informations d'identification, le déploiement psexec sur plusieurs hôtes et la désactivation de Windows Defender sur les serveurs Windows pour éviter la détection.
Le ransomware chiffre les fichiers VMDK dans le stockage virtuel de la machine et supprime les sauvegardes du stockage d'objets dans les copies d'ombre Veeam et Windows pour entraver la restauration.Les fichiers cryptés sont donnés soit l'extension \\ '. Fog \' ou \\ '. Extension \' affluée, et une note de rançon est abandonnée dans les répertoires impactés, fournissant des instructions pour payer une clé de décryptage.
Arctic Wolf Labs a rapporté qu'il est actuellement clair si le FOG fonctionne comme un ransomware ouvert en tant que service (RAAS) qui accepte les affiliés ou s'il est géré par un petit cercle privé de cybercriminaux.Le gang de ransomware a exigé des sommes importantes d'argent pour le déchiffrement et la suppression des données volées, les grandes entreprises étant probablement ciblées pour des montants encore plus élevés.Le site de négociation pour les demandes de rançon est hébergé sur le Tor Dark Web et fournit une interface de chat de base pour que les victimes puissent communiquer avec les acteurs de la menace et recevoir une liste de fichiers volés.
## Les références
["Le nouveau ransomware de brouillard cible le secteur de l'éducation américaine via des VPN violés"] (https://www.bleepingcomputer.com/news/security/new-fog-ransomware-targets-us-education-sector-via-breached-vpns/)BleepingComputer (consulté en 2024-06-07)
["Lost in the Fog: une nouvelle menace de ransomware"] (https://arcticwolf.com/resources/blog/lost-in-the-fog-a-new-ransomware-threat/) Artic Wolf (consulté 2024-06-07)
## Snapshot Arctic Wolf Labs has discovered a new ransomware variant called Fog, which has been observed in several Arctic Wolf Incident Response cases. ## Description The newly discovered ransomware operation named \'Fog\' has been targeting educational organizations in the U.S. by using compromised VPN credentials to gain initial access to victim networks. Although the ransomware gang has not yet set up an extortion portal, they have been observed stealing data for double-extortion attacks, leveraging the stolen data to intimidate victims into paying. The threat actors behind Fog have been accessing victim environments through compromised VPN credentials from at least two different VPN gateway vendors. Once inside the network, they employ techniques such as "pass-the-hash" attacks on administrator accounts, credential stuffing, PsExec deployment on multiple hosts, and disabling Windows Defender on Windows servers to avoid detection. The ransomware encrypts VMDK files in Virtual Machine storage and deletes backups from object storage in Veeam and Windows volume shadow copies to hinder restoration. Encrypted files are given either the \'.FOG\' or \'.FLOCKED\' extension, and a ransom note is |
Ransomware Threat | ★★ | |
|
2024-06-07 15:04:33 | Christie \\ a commencé à informer les clients de la violation des données RansomHub Christie\\'s starts notifying clients of RansomHub data breach (lien direct) |
La maison de vente aux enchères britannique Christie \\ a informé les individus dont les données ont été volées par le gang de ransomware RansomHub dans une rétive violation de réseau.[...]
British auction house Christie\'s is notifying individuals whose data was stolen by the RansomHub ransomware gang in a recent network breach. [...] |
Ransomware Data Breach | ★★★ | |
|
2024-06-07 14:45:26 | Frontier warns 750,000 of a data breach after extortion threats (lien direct) | Frontier Communications avertit 750 000 clients que leurs informations ont été exposées dans une violation de données après une cyberattaque en avril réclamée par l'opération RansomHub Ransomware.[...]
Frontier Communications is warning 750,000 customers that their information was exposed in a data breach after an April cyberattack claimed by the RansomHub ransomware operation. [...] |
Ransomware Data Breach | ||
|
2024-06-07 14:45:26 | Frontier avertit 750 000 d'une violation de données après des menaces d'extorsion Frontier warns 750,000 of a data breach after extortion threats (lien direct) |
Frontier Communications avertit 750 000 clients que leurs informations ont été exposées dans une violation de données après une cyberattaque en avril revendiquée par l'opération RansomHub Ransomware.[...]
Frontier Communications is warning 750,000 customers that their information was exposed in a data breach after an April cyberattack claimed by the RansomHub ransomware operation. [...] |
Ransomware Data Breach | ★★★ | |
 |
2024-06-07 14:28:34 | Tendances du paysage des menaces: cybercriminels plus rapides, vulnérabilités non corrigées et moins de ransomwares Threat landscape trends: Faster cybercriminals, unpatched vulnerabilities and less ransomware (lien direct) |
Tendances du paysage de menace: cybercriminels plus rapides, vulnérabilités non corrigées et moins de ransomwares
Dave Spillane, directeur de l'ingénieur des systèmes chez Fortinet
-
opinion
Threat landscape trends: Faster cybercriminals, unpatched vulnerabilities and less ransomware Dave Spillane, Systems Engineer Director at Fortinet - Opinion |
Ransomware Vulnerability Threat | ★★★ | |
|
2024-06-07 13:18:00 | Le FBI distribue 7 000 clés de décryptage des ransomwares de verrouillage pour aider les victimes FBI Distributes 7,000 LockBit Ransomware Decryption Keys to Help Victims (lien direct) |
Le Federal Bureau of Investigation (FBI) des États-Unis a révélé qu'il est en possession de plus de 7 000 clés de décryptage associées à l'opération de ransomware de verrouillage pour aider les victimes à récupérer leurs données sans frais.
"Nous tenons la main à des victimes de lockbit connus et encourageons quiconque soupçonne qu'ils ont été victimes pour visiter notre centre de plaintes de crime Internet à IC3.gov", FBI Cyber Division
The U.S. Federal Bureau of Investigation (FBI) has disclosed that it\'s in possession of more than 7,000 decryption keys associated with the LockBit ransomware operation to help victims get their data back at no cost. "We are reaching out to known LockBit victims and encouraging anyone who suspects they were a victim to visit our Internet Crime Complaint Center at ic3.gov," FBI Cyber Division |
Ransomware | ★★ | |
 |
2024-06-06 19:09:16 | Le FBI obtient 7 000 clés de décryptage des ransomwares de verrouillage FBI obtains 7,000 LockBit ransomware decryption keys (lien direct) |
Le Federal Bureau of Investigation (FBI) des États-Unis a révélé qu'il est en possession de plus de 7 000 clés de décryptage associées à l'opération de ransomware de verrouillage pour aider les victimes à récupérer leurs données sans frais.
"Nous tenons la main à des victimes de lockbit connus et encourageons quiconque soupçonne qu'ils ont été victimes pour visiter notre centre de plaintes de crime Internet à IC3.gov", FBI Cyber Division
The U.S. Federal Bureau of Investigation (FBI) has disclosed that it\'s in possession of more than 7,000 decryption keys associated with the LockBit ransomware operation to help victims get their data back at no cost. "We are reaching out to known LockBit victims and encouraging anyone who suspects they were a victim to visit our Internet Crime Complaint Center at ic3.gov," FBI Cyber Division |
Ransomware | ★★★★ | |
 |
2024-06-06 17:33:22 | Variant de ransomware Mallox cible les environnements VMware privilégiés ESXi Mallox Ransomware Variant Targets Privileged VMWare ESXi Environments (lien direct) |
Le nouveau vecteur d'attaque utilise un shell personnalisé pour la livraison et l'exécution de la charge utile - et ne fait que les systèmes avec des privilèges administratifs.
Novel attack vector uses a custom shell for payload delivery and execution - and only goes after systems with administrative privileges. |
Ransomware | ★★ | |
|
2024-06-06 16:35:00 | # Infosec2024: écosystème de ransomware transformé, de nouveaux groupes «modifiant les règles» #Infosec2024: Ransomware Ecosystem Transformed, New Groups “Changing the Rules” (lien direct) |
Des modifications importantes de l'écosystème des ransomwares ont été discutées à InfoSecurity Europe 2024, avec de nouveaux groupes modifiant les règles du jeu
Significant changes to the ransomware ecosystem were discussed at Infosecurity Europe 2024, with new groups changing the rules of the game |
Ransomware | ★★ | |
|
2024-06-06 15:35:29 | BitDefender propose des solutions de cybersécurité gratuites aux hôpitaux du NHS de Londres après les services de santé d'attaque de ransomware paralysants Bitdefender Offers Free Cybersecurity Solutions to London NHS Hospitals After Ransomware Attack Paralyses Healthcare Services (lien direct) |
BitDefender propose des solutions de cybersécurité gratuites aux hôpitaux du NHS de Londres après que des ransomwares attaquent les paralysies de santé des services de santé
-
revues de produits
Bitdefender Offers Free Cybersecurity Solutions to London NHS Hospitals After Ransomware Attack Paralyses Healthcare Services - Product Reviews |
Ransomware Medical | ★★ | |
|
2024-06-06 14:29:10 | Le nouveau ransomware de brouillard cible le secteur de l'éducation américaine via des VPN violés New Fog ransomware targets US education sector via breached VPNs (lien direct) |
Une nouvelle opération de ransomware nommée \\ 'Fog \' a été lancée début mai 2024, en utilisant des informations d'identification VPN compromises pour vioder les réseaux d'organisations éducatives aux États-Unis [...]
A new ransomware operation named \'Fog\' launched in early May 2024, using compromised VPN credentials to breach the networks of educational organizations in the U.S. [...] |
Ransomware | ★★ | |
|
2024-06-06 12:40:20 | Un cyber gang russe serait derrière une attaque de ransomware qui a frappé les hôpitaux de Londres A Russian Cyber Gang Is Thought to Be Behind a Ransomware Attack That Hit London Hospitals (lien direct) |
> Un cyber gang russe serait à l'origine d'une attaque de ransomware qui a perturbé les hôpitaux de Londres et a conduit les opérations et les nominations annulées.
>A Russian cyber gang is believed to be behind a ransomware attack that disrupted London hospitals and led to operations and appointments being canceled. |
Ransomware | ★★ | |
|
2024-06-06 12:30:00 | # Infosec2024: les rapports obligatoires des ransomwares seraient une décision positive, disent les experts #Infosec2024: Mandatory Ransomware Reporting Would Be Positive Move, Say Experts (lien direct) |
Les experts de la police, des assurances et du secteur privé soutiennent que les propositions du gouvernement britannique sur les paiements des ransomwares pourraient bénéficier à la communauté
Police, insurance and private sector security experts argue UK government proposals on ransomware payments could benefit the community |
Ransomware Legislation | ★★ | |
 |
2024-06-06 10:10:20 | Frappé par Lockbit?Le FBI attend pour vous aider avec plus de 7 000 clés de décryptage Hit by LockBit? The FBI is waiting to help you with over 7,000 decryption keys (lien direct) |
Votre entreprise est-elle victime du ransomware de verrouillage?Les cybercriminels ont-ils laissé des gigaoctets de vos données cryptés, sans voie de récupération facile qui n'implique pas de payer une rançon?Eh bien, ne craignez pas.Le FBI a annoncé cette semaine qu'il avait obtenu plus de 7 000 clés de décryptage pour le ransomware de Lockbit et exhorte les victimes à se manifester pour une assistance gratuite.Dans un discours lors de la conférence de Boston de cette semaine \\ sur la cybersécurité, le directeur adjoint du cyber-adjoint Bryan Vorndran a détaillé certains des récents succès du FBI \\ dans la guerre contre la cybercriminalité, y compris son action contre le ransomware de Lockbit-AS-A...
Did your company fall victim to the LockBit ransomware? Have cybercriminals left gigabytes of your data encrypted, with no easy route for recovery that doesn\'t involve paying a ransom? Well, don\'t fear. The FBI announced this week that it had obtained over 7,000 decryption keys for the LockBit ransomware and is urging victims to come forward for free assistance. In a speech at this week\'s Boston Conference on Cyber Security, Cyber Assistant Director Bryan Vorndran detailed some of the FBI\'s recent successes in the war against cybercrime, including its action against the LockBit ransomware-as-a... |
Ransomware Conference | ★★ | |
|
2024-06-05 21:24:14 | Les acteurs de RansomHub exploitent Zerologon Vuln dans les récentes attaques de ransomwares RansomHub Actors Exploit ZeroLogon Vuln in Recent Ransomware Attacks (lien direct) |
Le CVE-2020-1472 est un défaut d'escalade de privilège qui permet à un attaquant de reprendre les contrôleurs de domaine d'une organisation.
CVE-2020-1472 is a privilege escalation flaw that allows an attacker to take over an organization\'s domain controllers. |
Ransomware Threat | ★★ | |
|
2024-06-05 21:10:50 | Les fausses mises à jour du navigateur offrent Bitrat et Lumma Stealer Fake Browser Updates Deliver BitRAT and Lumma Stealer (lien direct) |
## Instantané En mai 2024, l'unité de réponse aux menaces d'Esesentire (TRU) a détecté de fausses mises à jour fournissant Bitrat et Lumma Stealer.L'attaque a commencé avec les utilisateurs visitant une page Web infectée contenant du code JavaScript malveillant, les conduisant à une fausse page de mise à jour. ## Description Le fichier JavaScript dans l'archive Zip a agi comme téléchargeur initial pour les charges utiles, qui comprenait Bittrat et Lumma Stealer.Les deux logiciels malveillants ont des capacités avancées de reconnaissance, de vol de données et d'accès à distance.Le faux leurre de mise à jour du navigateur est devenu courant chez les attaquants comme moyen d'entrée sur un appareil ou un réseau. Il y avait quatre fichiers uniques identifiés dans cette attaque, qui servent tous des objectifs différents: s.png & # 8211;Charge utile de chargeur et du voleur Lumma;z.png & # 8211;Script PowerShell qui crée Runkey pour la persistance et télécharge le chargeur et la charge utile bitrat;a.png & # 8211;Charge utile du chargeur et bitrat;et 0x.png & # 8211;Fichier de persistance BitRat qui relève le relocage a.png et l'exécute.L'utilisation de fausses mises à jour pour fournir une variété de logiciels malveillants affiche la capacité de l'opérateur à tirer parti des noms de confiance pour maximiser la portée et l'impact. ## Recommandations # Recommandations pour protéger contre les voleurs d'informations Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces d'information sur les voleurs. - Vérifiez les paramètres de filtrage des e-mails Office 365 pour vous assurer de bloquer les e-mails, le spam et les e-mails avec des logiciels malveillants.Utilisez [Microsoft Defender pour Office 365] (https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-forzice-365?ocid=Magicti_TA_Learnddoc) pour une protection et une couverture de phishing améliorées contrenouvelles menaces et variantes polymorphes.Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) et [derete SenteMail] (https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=Magicti_ta_learndoc) en réponse à l'intelligence de menace nouvellement acquise.Allumez [les politiques de pièces jointes de sécurité] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-policies-configure?ocid=Magicti_TA_LearnDoc) pour vérifier les pièces jointes à l'e-mail entrant. - Encourager les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [SmartScreen] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-overview?ocid=Magicti_TA_LearnDDoc), qui identifieet bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites qui hébergent des logiciels malveillants. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus, ou l'équivalent de votre produit antivirus, pour couvrir les outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des variantes nouvelles et inconnues. - appliquer le MFA sur tous les comptes, supprimer les utilisateurs exclus du MFA et strictement [Exiger MFA] (https://learn.microsoft.com/azure/active-directory/identity-protection/howto-identity-protection-configure-mfa-policy?ocid=mAGICTI_TA_LELARNDOC) de tous les appareils, à tous les endroits, à tout moment. - Activer les méthodes d'authentification sans mot de passe (par exemple, Windows Hello, FIDO Keys ou Microsoft Authenticator) pour les comptes qui prennent en charge sans mot de passe.Pou | Ransomware Spam Malware Tool Threat | ★★ | |
|
2024-06-05 20:12:47 | RansomHub: le nouveau ransomware a des origines dans le chevalier plus âgé RansomHub: New Ransomware has Origins in Older Knight (lien direct) |
## Instantané RansomHub, un nouveau ransomware en tant que service (RAAS), est rapidement devenu une menace majeure de ransomware.L'analyse de Symantec \\ indique que RansomHub est probablement une version évoluée et rebaptisée de l'ancien [Knight Ransomware] (https://sip.security.microsoft.com/intel-explorer/articles/b0b59b62?tid=72f988bf-86f1-41AF-91AB-2D7CD011DB47).Les deux partagent un degré élevé de similitude, tous deux écrits en Go et en utilisant Gobfuscate pour l'obscurcissement, avec un chevauchement de code significatif, ce qui les rend difficiles à distinguer sans indicateurs spécifiques comme les liens intégrés. ## Description Le code source de Knight \\ a été vendu sur des forums souterrains au début de 2024 après que ses créateurs ont arrêté leur opération.Cette vente a probablement conduit au développement de RansomHub \\ par différents acteurs.Knight et RansomHub utilisent une méthode d'obscurcissement de cordes unique où les chaînes cruciales sont codées avec des clés uniques et décodées pendant l'exécution. Les notes de rançon des deux familles de ransomwares contiennent de nombreuses phrases identiques, suggérant des mises à jour minimales du texte d'origine.Une caractéristique clé partagée par les deux est la possibilité de redémarrer un point de terminaison en mode sûr avant de démarrer le chiffrement, une technique également utilisée par [Snatch] (https://security.microsoft.com/intel-explorer/articles/77d8ea16) ransomware.Cependant, Snatch n'a pas les commandes configurables et l'obscurcissement présents dans Knight et RansomHub. Les récentes attaques de RansomHub ont exploité la vulnérabilité de Zerologon ([CVE-2010-1472] (https://security.microsoft.com/intel-profiles/cve-2020-1472)) pour gagner les privilèges des administrateurs de domaine.Les attaquants ont utilisé des outils à double usage comme Atera et Splashtop pour un accès à distance et NetScan pour la reconnaissance du réseau.Ils ont utilisé des outils de ligne de commande IIS pour arrêter les services d'information Internet. La croissance rapide de RansomHub \\, bien qu'elle n'apparaît qu'en février 2024, peut être attribuée à son appel aux anciens affiliés d'autres groupes de ransomwares éminents, tels que Noberus.Selon Symantec, cet établissement rapide suggère que RansomHub est exploité par des cybercriminels expérimentés avec des connexions souterraines substantielles. Lisez la rédaction de Microsoft \\ sur la vulnérabilité Zerologon [ici] (https://security.microsoft.com/intel-profiles/cve-2020-1472). ## Détections / requêtes de chasse ** antivirus ** Microsoft Defender Antivirus détecte les composants et les activités de menace comme logiciels malveillants suivants: - [* ransom: win64 / ransomhub *] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=ransom:win64 / ransomhub.b & menaceID = -2147056321) - [* rançon: win64 / knight *] (https://www.microsoft.com/en-us/wdsi/Thereats/Malware-encyClopedia-DEscription? Name = ransom: win64 / knight.zc! Mtb & menaceID = -2147061874) - [* Trojan: Win64 / Splinter *] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=trojan:win64/splinter! - [* HackTool: Win32 / Sharpzerologon *] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=hacktool:win32/sharpzerologon& ;Theatid=-2147202813) - [* comportement: win32 / cve-2020-1472.a *] (https://www.microsoft.com/en-us/wdsi/atherets/malware-encycopedia-description?name=behavior:win32/cve-2020-1472.d & menaceID = -2147189839) ** Détection et réponse des points de terminaison (EDR) ** Les alertes avec les titres suivants dans le centre de sécurité peuvent indiquer une activité de menace sur votre réseau: - * Exploitation possible de CVE-2020-1472 * - * Exécution de l'outil de vol d'identification malveillant détecté * ** Microsoft Defender pour l'identité * | Ransomware Malware Tool Vulnerability Threat Patching | ★★ | |
|
2024-06-05 15:42:17 | L'attaque des ransomwares perturbe les opérations à travers les hôpitaux londoniens Ransomware Attack Disrupts Operations Across London Hospitals (lien direct) |
L'incident affectant le fournisseur de services de pathologie Synnovis démontre l'effet d'entraînement que les cyberattaques ont sur les systèmes de santé et exige une réponse de sécurité immédiate.
The incident affecting pathology-services provider Synnovis demonstrates the ripple effect that cyberattacks have on healthcare systems, and demands immediate security response. |
Ransomware Medical | ★★ | |
|
2024-06-05 15:40:00 | Ransomware de Knight rebaptisé ciblant les soins de santé et les entreprises du monde entier Rebranded Knight Ransomware Targeting Healthcare and Businesses Worldwide (lien direct) |
Une analyse d'une souche ransomware naissante appelée RansomHub a révélé qu'il s'agissait d'une version mise à jour et renommée de Knight Ransomware, elle-même une évolution d'un autre ransomware appelé cyclope.
Le ransomware de Knight (AKA Cyclops 2.0) est arrivé pour la première fois en mai 2023, utilisant des tactiques à double extorsion pour voler et crypter les données des victimes pour le gain financier.Il est opérationnel sur plusieurs plates-formes,
An analysis of a nascent ransomware strain called RansomHub has revealed it to be an updated and rebranded version of Knight ransomware, itself an evolution of another ransomware known as Cyclops. Knight (aka Cyclops 2.0) ransomware first arrived in May 2023, employing double extortion tactics to steal and encrypt victims\' data for financial gain. It\'s operational across multiple platforms, |
Ransomware Medical | ★★ | |
|
2024-06-05 14:47:32 | Le major NHS Ransomware Cyberattack met une fois de plus la menace de la chaîne d'approvisionnement Major NHS ransomware cyberattack once again highlights the threat from the supply chain (lien direct) |
La cyberattaque des ransomwares du NHS majeure met à nouveau en évidence la menace de la chaîne d'approvisionnement
-
mise à jour malveillant
Major NHS ransomware cyberattack once again highlights the threat from the supply chain - Malware Update |
Ransomware Threat | ★★ | |
|
2024-06-05 14:09:39 | Site Darknet pour Qilin Gang, soupçonné dans l'attaque des ransomwares des hôpitaux de Londres, tombe en panne Darknet site for Qilin gang, suspected in London hospitals ransomware attack, goes down (lien direct) |
La cyberattaque des ransomwares du NHS majeure met à nouveau en évidence la menace de la chaîne d'approvisionnement
-
mise à jour malveillant
Major NHS ransomware cyberattack once again highlights the threat from the supply chain - Malware Update |
Ransomware | ★★ | |
 |
2024-06-05 14:00:00 | Phishing pour l'or: cyber-menaces auxquelles sont confrontés les Jeux olympiques de Paris 2024 Phishing for Gold: Cyber Threats Facing the 2024 Paris Olympics (lien direct) |
Written by: Michelle Cantos, Jamie Collier
Executive Summary Mandiant assesses with high confidence that the Paris Olympics faces an elevated risk of cyber threat activity, including cyber espionage, disruptive and destructive operations, financially-motivated activity, hacktivism, and information operations. Olympics-related cyber threats could realistically impact various targets including event organizers and sponsors, ticketing systems, Paris infrastructure, and athletes and spectators traveling to the event. Mandiant assesses with high confidence that Russian threat groups pose the highest risk to the Olympics. While China, Iran, and North Korea state sponsored actors also pose a moderate to low risk. To reduce the risk of cyber threats associated with the Paris Olympics, organizations should update their threat profiles, conduct security awareness training, and consider travel-related cyber risks. The security community is better prepared for the cyber threats facing the Paris Olympics than it has been for previous Games, thanks to the insights gained from past events. While some entities may face unfamiliar state-sponsored threats, many of the cybercriminal threats will be familiar. While the technical disruption caused by hacktivism and information operations is often temporary, these operations can have an outsized impact during high-profile events with a global audience. Introduction The 2024 Summer Olympics taking place in Paris, France between July and August creates opportunities for a range of cyber threat actors to pursue profit, notoriety, and intelligence. For organizations involved in the event, understanding relevant threats is key to developing a resilient security posture. Defenders should prepare against a variety of threats that will likely be interested in targeting the Games for different reasons: Cyber espionage groups are likely to target the 2024 Olympics for information gathering purposes, due to the volume of government officials and senior decision makers attending. Disruptive and destructive operations could potentially target the Games to cause negative psychological effects and reputational damage. This type of activity could take the form of website defacements, distributed denial of service (DDoS) attacks, the deployment of wiper malware, and operational technology (OT) targeting. As a high profile, large-scale sporting event with a global audience, the Olympics represents an ideal stage for such operations given that the impact of any disruption would be significantly magnified. Information operations will likely leverage interest in the Olympics to spread narratives and disinformation to target audiences. In some cases, threat actors may leverage disruptive and destructive attacks to amplify the spread of particular narratives in hybrid operations. Financially-motivated actors are likely to target the Olympics in v |
Ransomware Malware Threat Studies Mobile Cloud Technical | APT 15 APT 31 APT 42 | ★★ |
|
2024-06-05 13:57:10 | Gang de ransomware Qilin lié à l'attaque des hôpitaux londoniens Qilin ransomware gang linked to attack on London hospitals (lien direct) |
Une attaque de ransomware qui a frappé le fournisseur de services de pathologie Synnovis lundi et a eu un impact sur plusieurs grands hôpitaux du NHS à Londres, a maintenant été lié à l'opération de Ransomware de Qilin.[...]
A ransomware attack that hit pathology services provider Synnovis on Monday and impacted several major NHS hospitals in London has now been linked to the Qilin ransomware operation. [...] |
Ransomware | ★★ | |
|
2024-06-05 12:18:54 | Le secteur des soins de santé domine le secteur le plus ciblé par ransomware en mai - Rapport de ransomware à l'état Blackfog Blackfog Healthcare sector dominates most targeted sector by ransomware in May - Blackfog State of Ransomware Report (lien direct) |
Le dernier rapport «State of Ransomware» de Blackfog \\ vient de publier, et le secteur des soins de santé continue de dominer le secteur le plus ciblé par ransomware, avec 57 attaques, une augmentation de 30% en avril!Avec un record de 562 attaques non signalées et un total de 65 attaques signalées, cela fait que le deuxième mois le plus élevé de l'année jusqu'à présent, selon Darren Williams, PDG et fondateur de Blackfog.
«Mai a vu notre deuxième mois le plus élevé de l'année avec un total de 65 attaques signalées et un record de 562 (...)
-
mise à jour malveillant
Blackfog\'s latest May “State of Ransomware” report has just been released, and the Healthcare sector continues to dominate the most targeted sector by ransomware, with 57 attacks, a 30% increase on April! With a record 562 unreported attacks, and total of 65 reported attacks, this makes May the second highest month of the year so far, according to Darren Williams, CEO and Founder of Blackfog. “May saw our second highest month of the year with a total of 65 reported attacks and a record 562 (...) - Malware Update |
Ransomware Medical | ★★ | |
|
2024-06-05 12:05:20 | Cyjax trouve plus de 5 nouveaux groupes de ransomwares émergeant par mois Cyjax finds over 5 new ransomware groups emerging per month (lien direct) |
Cyjax trouve plus de 5 nouveaux groupes de ransomwares émergeant par mois
-
mise à jour malveillant
Cyjax finds over 5 new ransomware groups emerging per month - Malware Update |
Ransomware | ★★ | |
|
2024-06-05 11:00:00 | Resurgence des ransomwares: Mandiant observe une forte augmentation des tactiques d'extorsion criminelles Resurgence of Ransomware: Mandiant Observes Sharp Rise in Criminal Extortion Tactics (lien direct) |
> Mandiant a vu une augmentation de l'activité des ransomwares en 2023 par rapport à 2022, y compris une augmentation de 75% des publications sur les sites de fuite de données.
>Mandiant saw an increase in ransomware activity in 2023 compared to 2022, including a 75% increase in posts on data leak sites. |
Ransomware | ★★ | |
|
2024-06-05 10:05:00 | Gang de ransomware de Qilin probablement derrière une attaque NHS paralysante Qilin ransomware gang likely behind crippling NHS attack (lien direct) |
> Mandiant a vu une augmentation de l'activité des ransomwares en 2023 par rapport à 2022, y compris une augmentation de 75% des publications sur les sites de fuite de données.
>Mandiant saw an increase in ransomware activity in 2023 compared to 2022, including a 75% increase in posts on data leak sites. |
Ransomware | ★★ | |
|
2024-06-05 09:28:03 | Les hôpitaux de Londres annulent les opérations et les rendez-vous après avoir été frappé dans l'attaque des ransomwares London Hospitals Cancel Operations and Appointments After Being Hit in Ransomware Attack (lien direct) |
Plusieurs hôpitaux de Londres ont annulé les opérations et les rendez-vous après avoir été frappé dans une attaque de ransomware.
Several hospitals in London have canceled operations and appointments after being hit in a ransomware attack. |
Ransomware | ★★ | |
 |
2024-06-05 04:33:42 | Les acteurs de la menace \\ 'peuvent également être exposés et utilisés par d'autres acteurs de menace Threat Actors\\' Systems Can Also Be Exposed and Used by Other Threat Actors (lien direct) |
Les types de cyberattaques incluent non seulement les attaques avancées de menace persistante (APT) ciblant quelques entreprises ou organisations spécifiques, mais maisAnalyse également des attaques ciblant plusieurs serveurs aléatoires connectés à Internet.Cela signifie que les infrastructures des acteurs de la menace peuvent devenir les cibles de la cyberattaque aux côtés des entreprises, des organisations et des utilisateurs personnels.AHNLAB Security Intelligence Center (ASEC) a confirmé un cas dans lequel un serveur proxy de l'attaquant de Coinming, est devenu la cible d'une attaque de numérisation de la menace de menace de ransomware.
Types of cyberattack include not only Advanced Persistent Threat (APT) attacks targeting a few specific companies or organizations but also scan attacks targeting multiple random servers connected to the Internet. This means that the infrastructures of threat actors can become the targets of cyberattack alongside companies, organizations, and personal users. AhnLab SEcurity intelligence Center (ASEC) has confirmed a case in which a CoinMiner attacker’s proxy server became a target of a ransomware threat actor’s Remote Desktop Protocol (RDP) scan attack.... |
Ransomware Threat | ★★ | |
 |
2024-06-05 00:00:00 | Rapport cybersécurité WatchGuard : le volume de ransomwares poursuit sa baisse alors que les attaques endpoints explosent (lien direct) | Paris, le 5 juin 2024 – WatchGuard® Technologies, l'un des leaders mondiaux de la cybersécurité unifiée, livre les conclusions de son dernier rapport sur la sécurité Internet (ISR) détaillant les principales tendances en matière de logiciels malveillants et de cybermenaces ciblant les réseaux et endpoints, analysées par les chercheurs du WatchGuard Threat Lab au cours du 1er trimestre 2024. Le rapport révèle notamment que si les détections de malwares sur l'ensemble du réseau ont diminué de près de moitié au cours du trimestre par rapport au précédent, les détections de malwares ciblant les endpoints ont augmenté de 82 %. Deuxième observation importante : les détections de ransomware ont diminué de 23 % par rapport au 4ème trimestre 2023 ! alors qu'elles avaient déjà diminué de 20% entre le 3ème et le 4ème trimestre 2023. De la même manière, les détections de malwares de type " zero-day " ont enregistré une baisse de 36 %. Le rapport indique également que le malware Pandoraspear, qui cible les télévisions connectées fonctionnant sous un système d'exploitation Android open source, est entré dans le top 10 des logiciels malveillants les plus détectés, illustrant ainsi le risque des vulnérabilités des appareils IoT pour la sécurité des entreprises. Corey Nachreiner, Chief Security Officer chez WatchGuard analyse : " Les résultats du rapport sur la sécurité Internet du 1er trimestre 2024 démontrent l'importance pour les organisations de toutes tailles de sécuriser les appareils connectés à Internet, qu'ils soient utilisés à des fins professionnelles ou de divertissement. Comme le démontrent de nombreuses cyberattaques survenues récemment, les attaquants peuvent infiltrer le réseau d'une entreprise par le biais de n'importe quel appareil connecté puis se déplacer latéralement et ainsi causer des dommages considérables aux ressources critiques ou exfiltrer des données. Il est désormais impératif que les entreprises adoptent une approche de sécurité unifiée, qui peut être gérée par des fournisseurs de services managés, comprenant un monitoring étendu de l'ensemble des endpoints et des points d'accès ". Parmi les principales conclusions, le dernier rapport sur la sécurité Internet basé sur des données du 1er trimestre 2024 révèle les éléments suivants : Le volume moyen de détections de malwares par WatchGuard Firebox a chuté de près de moitié (49 %) au cours du premier trimestre, tandis que le nombre de malwares transmis par le biais d'une connexion chiffrée a augmenté de 14 points au cours du premier trimestre, pour atteindre 69 %. Une nouvelle variante de la famille de malware Mirai, qui cible les routeurs TP-Link Archer en utilisant un nouvel exploit (CVE-2023-1389) pour accéder aux systèmes compromis, s'est révélée être l'une des campagnes de logiciels malveillants les plus répandues du trimestre. La variante Mirai a été détectée par près de 9 % des WatchGuard Firebox dans le monde. Ce trimestre, les navigateurs basés sur Chromium ont été à l'origine de plus des trois quarts (78 %) du volume total de malwares provenant d'attaques contre des navigateurs web ou des plugins, ce qui représente une augmentation significative par rapport au trimestre précédent (25 %). Une vulnérabilité dans l'application très répandue | Ransomware Malware Threat Mobile | ★★ | |
 |
2024-06-05 00:00:00 | TargetCompany \\'s Linux Variant Targets Environnements ESXi TargetCompany\\'s Linux Variant Targets ESXi Environments (lien direct) |
Dans cette entrée de blog, nos chercheurs fournissent une analyse de la variante Linux de TargetCompany Ransomware \\ et de la façon dont il cible les environnements VMware ESXi en utilisant de nouvelles méthodes pour la livraison et l'exécution de la charge utile.
In this blog entry, our researchers provide an analysis of TargetCompany ransomware\'s Linux variant and how it targets VMware ESXi environments using new methods for payload delivery and execution. |
Ransomware | ★★ | |
 |
2024-06-04 21:16:20 | Les hôpitaux londoniens déclarent l'urgence après une attaque de ransomware London hospitals declare emergency following ransomware attack (lien direct) |
Attack élimine les tests de tests et de diagnostics tiers essentiels aux soins.
Attack takes out third-party testing and diagnostics provider critical to care. |
Ransomware | ★★ | |
|
2024-06-04 19:42:47 | \\ 'brouillard \\' ransomware se déroule pour cibler les secteurs de l'éducation et des loisirs \\'Fog\\' Ransomware Rolls in to Target Education, Recreation Sectors (lien direct) |
Un nouveau groupe de pirates est de crypter des données dans des machines virtuelles, de laisser des notes de rançon et de l'appeler un jour.
A new group of hackers is encrypting data in virtual machines, leaving ransom notes, and calling it a day. |
Ransomware | ★★★ | |
|
2024-06-04 17:21:50 | Londres NHS est paralysée par les ransomwares, plusieurs hôpitaux ciblés Modifier London NHS Crippled by Ransomware, Several Hospitals Targeted edit (lien direct) |
Les hôpitaux londoniens sont paralysés par la cyberattaque!Cet incident met en évidence la menace croissante de ransomwares sur les systèmes de santé dans le monde.Londres & # 8217; S & # 8230;
London hospitals crippled by cyberattack! This incident highlights the growing threat of ransomware on healthcare systems worldwide. London’s… |
Ransomware Threat Medical | ★★ | |
|
2024-06-04 16:41:00 | Les hôpitaux de Londres annulent les opérations après un incident de ransomware London Hospitals Cancel Operations Following Ransomware Incident (lien direct) |
Une attaque de ransomware contre un fournisseur de services de pathologie a forcé les dirigeants de London Hospitals à annuler les opérations et à détourner les patients d'urgence
A ransomware attack on a supplier of pathology services has forced leading London hospitals to cancel operations and divert emergency patients |
Ransomware | ★★★ | |
|
2024-06-04 16:30:00 | # Ransomware infosec2024: les mises à jour clés que vous devez connaître #Infosec2024 Ransomware: The Key Updates You Need to Know (lien direct) |
Les organisations doivent collaborer pour renforcer leurs défenses face à des menaces nouvelles et émergentes
Organizations need to collaborate to bolster their defenses in the face of new and emerging threats |
Ransomware | ★★ | |
 |
2024-06-04 15:53:31 | Les hôpitaux londoniens déclarent un incident critique après un partenaire de service Ransomware Attack London hospitals declare critical incident after service partner ransomware attack (lien direct) |
Proviseur de laboratoire de pathologie ciblé, affectant les transfusions sanguines et les chirurgies Les hôpitaux de Londres ont du mal à fournir des services de pathologie après qu'une attaque de ransomware chez un partenaire de service a abattu certains systèmes clés.…
Pathology lab provider targeted, affecting blood transfusions and surgeries Hospitals in London are struggling to deliver pathology services after a ransomware attack at a service partner downed some key systems.… |
Ransomware | ★★★ |
To see everything:
Our RSS (filtrered)
