What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-05-06 11:46:15 | Le gouvernement de Wichita arrête les systèmes après un incident de ransomware Wichita government shuts down systems after ransomware incident (lien direct) |
Ransomware | ★★ | ||
 |
2024-05-06 10:34:36 | La ville de Wichita arrête le réseau informatique après une attaque de ransomware City of Wichita shuts down IT network after ransomware attack (lien direct) |
La ville de Wichita, Kansas, a révélé qu'elle avait été forcée de fermer des parties de son réseau après avoir subi une attaque de ransomware le week-end.[...]
The City of Wichita, Kansas, disclosed it was forced to shut down portions of its network after suffering a weekend ransomware attack. [...] |
Ransomware | ★★ | |
 |
2024-05-06 09:00:53 | La ville de Wichita arrête le réseau après une attaque de ransomware City of Wichita Shuts Down Network Following Ransomware Attack (lien direct) |
> La ville de Wichita, au Kansas, a fermé son réseau après avoir été victime d'une attaque de ransomware qui résidait au fichier.
>The City of Wichita, Kansas, has shut down its network after falling victim to a file-encrypting ransomware attack. |
Ransomware | ★★ | |
 |
2024-05-06 07:54:03 | Genai alimente la dernière vague des menaces de messagerie modernes GenAI Is Powering the Latest Surge in Modern Email Threats (lien direct) |
Generative artificial intelligence (GenAI) tools like ChatGPT have extensive business value. They can write content, clean up context, mimic writing styles and tone, and more. But what if bad actors abuse these capabilities to create highly convincing, targeted and automated phishing messages at scale? No need to wonder as it\'s already happening. Not long after the launch of ChatGPT, business email compromise (BEC) attacks, which are language-based, increased across the globe. According to the 2024 State of the Phish report from Proofpoint, BEC emails are now more personalized and convincing in multiple countries. In Japan, there was a 35% increase year-over-year for BEC attacks. Meanwhile, in Korea they jumped 31% and in the UAE 29%. It turns out that GenAI boosts productivity for cybercriminals, too. Bad actors are always on the lookout for low-effort, high-return modes of attack. And GenAI checks those boxes. Its speed and scalability enhance social engineering, making it faster and easier for attackers to mine large datasets of actionable data. As malicious email threats increase in sophistication and frequency, Proofpoint is innovating to stop these attacks before they reach users\' inboxes. In this blog, we\'ll take a closer look at GenAI email threats and how Proofpoint semantic analysis can help you stop them. Why GenAI email threats are so dangerous Verizon\'s 2023 Data Breach Investigations Report notes that three-quarters of data breaches (74%) involve the human element. If you were to analyze the root causes behind online scams, ransomware attacks, credential theft, MFA bypass, and other malicious activities, that number would probably be a lot higher. Cybercriminals also cost organizations over $50 billion in total losses between October 2013 and December 2022 using BEC scams. That represents only a tiny fraction of the social engineering fraud that\'s happening. Email is the number one threat vector, and these findings underscore why. Attackers find great success in using email to target people. As they expand their use of GenAI to power the next generation of email threats, they will no doubt become even better at it. We\'re all used to seeing suspicious messages that have obvious red flags like spelling errors, grammatical mistakes and generic salutations. But with GenAI, the game has changed. Bad actors can ask GenAI to write grammatically perfect messages that mimic someone\'s writing style-and do it in multiple languages. That\'s why businesses around the globe now see credible malicious email threats coming at their users on a massive scale. How can these threats be stopped? It all comes down to understanding a message\'s intent. Stop threats before they\'re delivered with semantic analysis Proofpoint has the industry\'s first predelivery threat detection engine that uses semantic analysis to understand message intent. Semantic analysis is a process that is used to understand the meaning of words, phrases and sentences within a given context. It aims to extract the underlying meaning and intent from text data. Proofpoint semantic analysis is powered by a large language model (LLM) engine to stop advanced email threats before they\'re delivered to users\' inboxes in both Microsoft 365 and Google Workspace. It doesn\'t matter what words are used or what language the email is written in. And the weaponized payload that\'s included in the email (e.g., URL, QR code, attached file or something else) doesn\'t matter, either. With Proofpoint semantic analysis, our threat detection engines can understand what a message means and what attackers are trying to achieve. An overview of how Proofpoint uses semantic analysis. How it works Proofpoint Threat Protection now includes semantic analysis as an extra layer of threat detection. Emails must pass through an ML-based threat detection engine, which analyzes them at a deeper level. And it does | Ransomware Data Breach Tool Vulnerability Threat | ChatGPT | ★★★ |
|
2024-05-06 07:06:12 | Le site saisi de Lockbit \\ prend vie pour taquiner de nouvelles annonces de police Lockbit\\'s seized site comes alive to tease new police announcements (lien direct) |
Le NCA, le FBI et Europol ont relancé un site de fuite de données de ransomware de verrouillage saisi pour faire allusion à de nouvelles informations révélées par les forces de l'ordre ce mardi.[...]
The NCA, FBI, and Europol have revived a seized LockBit ransomware data leak site to hint at new information being revealed by law enforcement this Tuesday. [...] |
Ransomware Legislation | ★★★ | |
|
2024-05-06 05:52:32 | La sécurité des e-mails est désormais redéfinie avec des capacités de protection des menaces adaptatives dans toute la chaîne de livraison Email Security is Now Redefined with Adaptive Threat Protection Capabilities Across the Entire Delivery Chain (lien direct) |
Another RSA Conference has arrived, and with it comes the gold standard report for our industry, the Verizon DBIR. And for yet another year, it concludes the same thing: the human element is central to the vast majority of breaches (76% this year), especially the ones that matter, from ransomware to BEC to data loss. The very first word of the 2024 DBIR is also not new; it\'s “phishing”. Email security has always been central to human risk: it\'s the #1 way users encounter threats, the #1 way users make mistakes, and the #1 way attackers get what they want, from credentials to wire transfers to malware infections. Proofpoint has a long history of stopping more human-targeted threats than anyone else. Our long history of firsts includes the first ML models to stop unwanted messages, the first rewriting of URLs for click-time protection, and the first connection of a malware sandbox to email. But attackers have continued to innovate and so have we – starting now, we\'re setting a new standard for protection across the entire email delivery chain. Building an Unmatched Detection Ensemble What organizations need in email security is simple to describe but hard to do: a single solution to protect against every type of threat, every time, every way a user may encounter it, using every form of detection. Our detection ensemble was already the industry\'s most effective, including threat intelligence, static analysis, sandboxing, click-time protection, and our unique set of Nexus AI models. I\'m thrilled to announce that we have now added the industry\'s first ever pre-delivery protections to stop social engineering and malicious URLs, as well as our newly integrated post-delivery behavioral AI, Proofpoint Adaptive Email Security. * New capability According to our data across more than 500,000 organizations, including 87 of the Fortune 100, attackers rely on two techniques more frequently than any others: text-based social engineering and malicious URLs. While we already detect both these threat types at the highest rates in the industry, we wanted to push the envelope – not just detecting them, but detecting them as early as possible. To make this a reality, we optimized the performance of our Nexus AI LLM-based detection model by 10X, enabling us to use semantic analysis to interpret a malicious message\'s intent (such as invoicing fraud), regardless of the words they use or even the language they write in. In parallel, we built the capability for our gateway to hold messages with suspicious URLs until they are sandboxed. The result is the most formidable set of defense in-depth measures available for organizations to prevent attacks from reaching their targets. Continuous End-to-End Detection with Proofpoint Adaptive Email Security Joining our pre-delivery enhancements is Proofpoint Adaptive Email Security, our API-based offering that integrates with Microsoft 365 and applies our broad detection ensemble to stop advanced threats, including BEC, social engineering and lateral phishing messages. Once deployed, Adaptive Email Security enriches all detections with easy-to-understand explanations about behavioral anomalies observed. Additionally, it automatically quarantines high confidence threats, while delivering real-time coaching using contextual warning banners to alert users to the risks in social engineering and BEC-type emails that don\'t contain an obvious malicious payload. Insight into a malicious message generated by Adaptive Email Security The Next Level While we\'re thrilled for you all to experience our latest set of innovations, we know we can still do more to help you protect your people. That takes two main forms: continuing to lead with Nexus AI, and deepening and strengthening our ecosystem partnerships. Nexus AI: The value of our proprietary data is enhanced by contextual insights and in-depth classification from our leading team of threat researchers and data scientists, who track adversaries, analyze evolving attacker tradecraft, profile data exfiltration pa | Ransomware Malware Threat Conference | ★★★ | |
 |
2024-05-05 06:13:39 | Une menace croissante de logiciels malveillants et de ransomwares continue de mettre en danger les environnements industriels Growing threat of malware and ransomware attacks continues to put industrial environments at risk (lien direct) |
> Les environnements industriels sont confrontés à une menace croissante des logiciels malveillants et des attaques de ransomwares, posant des risques importants à l'infrastructure critique, à la fabrication ...
>Industrial environments face a growing threat from malware and ransomware attacks, posing significant risks to critical infrastructure, manufacturing... |
Ransomware Malware Threat Industrial | ★★★ | |
 |
2024-05-03 20:14:15 | Les acteurs menacés attaquent les serveurs MS-SQL pour déployer des ransomwares Threat Actors Attacking MS-SQL Servers to Deploy Ransomware (lien direct) |
## Instantané
Les professionnels de la cybersécurité de GBhackers ont découvert une série de cyberattaques ciblant les serveurs Microsoft SQL (MS-SQL) mal gérés pour installer les ransomwares de Mallox sur les systèmes.
** En savoir plus sur la couverture de Microsoft \\ pour [MalloxRansomware ici.] (Https://sip.security.microsoft.com/intel-profiles/7fbe39c998c8a495a1652ac6f8bd34852c00f97dc61278cafc56dca1d443131e) **
##Description
Le modus operandi du groupe des acteurs de la menace implique d'exploiter les vulnérabilités dans des serveurs MS-SQL mal gérés.En utilisant des attaques de force brute et du dictionnaire, les attaquants obtiennent un accès non autorisé, ciblant principalement le compte SA (administrateur système système).
Une fois à l'intérieur, ils déploient l'outil d'accès à distance REMCOS (RAT) pour prendre le contrôle du système infecté.Remcos Rat, initialement utilisé pour la violation et le contrôle du système, a été réutilisé par des attaquants pour des activités malveillantes, avec des capacités telles que le keylogging, la capture de capture d'écran et le contrôle sur les webcams et les microphones.De plus, un logiciel malveillant à télécommande sur mesure est déployé, permettant aux attaquants d'accéder au système infecté à l'aide de l'ID AnyDesk obtenu à partir du serveur de commande et de contrôle.
Le ransomware de Mallox, connu pour cibler les serveurs MS-SQL, a ensuite été installé pour crypter le système.Mallox Ransomware, utilise des algorithmes de cryptage AES-256 et SHA-256, ajoutant une extension ".rmallox" aux fichiers cryptés.
Les modèles d'attaque observés dans cette campagne ressemblent à une ressemblance frappante avec les incidents précédents impliquant le Coinmin Tor2mine et le ransomware Bluesky, suggérant le travail du même groupe de menaces.
## Recommandations
La documentation technique Microsoft SQL Server et les étapes pour sécuriser les serveurs SQL peuvent être trouvées ici:
[Documentation de sécurité pour SQL Server & Azure SQL Base de données - SQL Server |Microsoft Learn] (https://learn.microsoft.com/en-us/sql/relationd-databases/security/security-center-for-sql-server-database-engine-and-azure-sql-database?view=SQL-Server-Ver16)
## Les références
["Les acteurs de la menace attaquant les serveurs MS-SQL pour déployer les ransomwares"] (https://gbhackers.com/ms-sql-deploy-ransomware/) GBHACKERS (consulté en 2024-05-03).
## Snapshot Cybersecurity professionals at GBHackers have discovered a series of cyberattacks targeting poorly managed Microsoft SQL (MS-SQL) servers to install Mallox Ransomware on systems. **Read more about Microsoft\'s coverage for [Mallox Ransomware here.](https://sip.security.microsoft.com/intel-profiles/7fbe39c998c8a495a1652ac6f8bd34852c00f97dc61278cafc56dca1d443131e)** ## Description The threat actor group\'s modus operandi involves exploiting vulnerabilities in improperly managed MS-SQL servers. By employing brute force and dictionary attacks, the attackers gain unauthorized access, primarily targeting the SA (System Administrator) account. Once inside, they deploy the Remcos Remote Access Tool (RAT) to take control of the infected system. Remcos RAT, initially used for system breach and control, has been repurposed by attackers for malicious activities, featuring capabilities such as keylogging, screenshot capture, and control over webcams and microphones. Additionally, a custom-made remote screen control malware is deployed, allowing attackers to gain access to the infected system using the AnyDesk ID obtained from the command and control server. Mallox ransomware, known for targeting MS-SQL servers, was then installed to encrypt the system. Mallox ransomware, utilizes AES-256 and SHA-256 encryption algorithms, appending a ".rmallox" extension to encrypted files. The attack patterns observed in this campaign bear a striking resemblance to |
Ransomware Malware Tool Vulnerability Threat Technical | ★★★ | |
 |
2024-05-03 18:04:14 | Revil Affiliate Off to Prison pour un régime de ransomwares de plusieurs millions de dollars REvil Affiliate Off to Jail for Multimillion-Dollar Ransomware Scheme (lien direct) |
Les accusations contre le membre du gang ransomware ont inclus des dommages aux ordinateurs, le complot en vue de commettre une fraude et le complot en vue de commettre un blanchiment d'argent.
Charges against the ransomware gang member included damage to computers, conspiracy to commit fraud, and conspiracy to commit money laundering. |
Ransomware | ★★★ | |
 |
2024-05-03 14:59:04 | Payer, ou bien?& # 8211;Semaine en sécurité avec Tony Anscombe Pay up, or else? – Week in security with Tony Anscombe (lien direct) |
Les organisations qui sont victimes d'une attaque de ransomware sont souvent capturées entre un rocher et un endroit dur, aux prises avec le dilemme de payer ou non
Organizations that fall victim to a ransomware attack are often caught between a rock and a hard place, grappling with the dilemma of whether to pay up or not |
Ransomware | ★★ | |
|
2024-05-02 22:10:42 | Mimic lance avec une nouvelle plate-forme de défense des ransomwares Mimic Launches With New Ransomware Defense Platform (lien direct) |
La nouvelle plate-forme SaaS de la nouvelle startup \\ prétend aider les organisations à détecter les attaques de ransomwares plus rapidement que les méthodes «traditionnelles» et à récupérer dans les 24 heures.
The new startup\'s SaaS platform claims to help organizations detect ransomware attacks faster than “traditional” methods and to recover within 24 hours. |
Ransomware Cloud | ★★ | |
 |
2024-05-02 19:13:15 | Les pirates peuvent réinitialiser votre mot de passe gitlab et le remettre sur leur e-mail Hackers Can Reset Your Gitlab Password and Get It On Their Email (lien direct) |
L'Agence américaine de sécurité de la cybersécurité et de l'infrastructure (CISA) a ajouté une nouvelle vulnérabilité à son catalogue de vulnérabilités exploité connu sur la base de preuves d'exploitation active trouvées dans la plate-forme DevOps Gitlab. La vulnérabilité a été suivie comme cve-2023-7028 (Score CVSS: 10) permet à un acteur de menace de déclencher des e-mails de réinitialisation du mot de passe à envoyer des adresses e-mail arbitraires et non vérifiées, en fin de compte de reprise du compte sans interaction utilisateur. De plus, l'exploitation réussie de la vulnérabilité pourrait également conduire à des attaques de chaîne d'approvisionnement en insérant du code malveillant dans des environnements CI / CD (intégration continue / déploiement continu). Bien que ceux qui ont l'authentification à deux facteurs (2FA) activé sont vulnérables à la réinitialisation du mot de passe, ils ne sont cependant pas vulnérables à la prise de contrôle des comptes, car leur deuxième facteur d'authentification est requis pour se connecter. Par conséquent, il est essentiel de patcher les systèmes où les comptes ne sont pas protégés par cette mesure de sécurité supplémentaire. Le bogue CVE-2023-7028 découvert dans Gitlab Community Edition (CE) et Enterprise Edition (EE) affectent toutes les versions de 16.1 avant 16.1.6, 16.2 avant 16.2.9, 16.3 avant 16.3.7, 16.4Avant 16.4.5, 16.5 avant 16.5.6, 16.6 avant 16.6.4 et 16.7 avant 16.7.2. La faille a été traitée dans les versions Gitlab 16.7.2, 16.6.4 et 16.5.6, et les correctifs ont été recouverts aux versions 16.1.6, 16.2.9 et 16.3.7. gitLab a a dit Il n'a détecté aucun abus de vulnérabilité CVE-2023-7028 sur les plateformes gérées parGitLab, y compris Gitlab.com et GitLab Dédié des instances. Cependant, le service de surveillance des menaces, la ShadowServer Foundation, a trouvé plus de 5 300 cas de serveurs Gitlab exposés à des attaques de rachat de compte zéro clique en janvier (les correctifs de sécurité de la semaine ont été publiés), un nombre qui n'a diminué que de 55 seulement 55% à partir de mardi. La CISA a confirmé que la vulnérabilité CVE-2023-7028 était activement exploitée dans les attaques et a demandé aux agences fédérales américaines de sécuriser leurs systèmes jusqu'au 22 mai 2024, ou de supprimer l'utilisation du produit si les atténuations ne sont pas disponibles. | Ransomware Vulnerability Threat | ★★★ | |
 |
2024-05-02 17:56:00 | Ukrainien Revil Hacker condamné à 13 ans et condamné à payer 16 millions de dollars Ukrainian REvil Hacker Sentenced to 13 Years and Ordered to Pay $16 Million (lien direct) |
Un ressortissant ukrainien a été condamné à plus de 13 ans de prison et condamné à payer 16 millions de dollars en restitution pour avoir effectué des milliers d'attaques de ransomwares et d'extorquer les victimes.
Yaroslav Vasinskyi (alias Rabotnik), 24 ans, ainsi que ses co-conspirateurs & nbsp; Part & nbsp; de la & nbsp; Revil Ransomware Group & NBSP; a orchestré plus de 2500 attaques de ransomware et exigé des paiements de déménage
A Ukrainian national has been sentenced to more than 13 years in prison and ordered to pay $16 million in restitution for carrying out thousands of ransomware attacks and extorting victims. Yaroslav Vasinskyi (aka Rabotnik), 24, along with his co-conspirators part of the REvil ransomware group orchestrated more than 2,500 ransomware attacks and demanded ransom payments in |
Ransomware Legislation | ★★ | |
|
2024-05-02 11:51:34 | Ukrainien condamné à près de 14 ans pour avoir infecté des milliers de personnes avec Revil Ransomware Ukrainian sentenced to almost 14 years for infecting thousands with REvil ransomware (lien direct) |
Un ressortissant ukrainien a été condamné à plus de 13 ans de prison et condamné à payer 16 millions de dollars en restitution pour avoir effectué des milliers d'attaques de ransomwares et d'extorquer les victimes.
Yaroslav Vasinskyi (alias Rabotnik), 24 ans, ainsi que ses co-conspirateurs & nbsp; Part & nbsp; de la & nbsp; Revil Ransomware Group & NBSP; a orchestré plus de 2500 attaques de ransomware et exigé des paiements de déménage
A Ukrainian national has been sentenced to more than 13 years in prison and ordered to pay $16 million in restitution for carrying out thousands of ransomware attacks and extorting victims. Yaroslav Vasinskyi (aka Rabotnik), 24, along with his co-conspirators part of the REvil ransomware group orchestrated more than 2,500 ransomware attacks and demanded ransom payments in |
Ransomware | ★★ | |
|
2024-05-02 10:44:23 | Revil Hacker derrière Kaseya Ransomware Attack obtient 13 ans de prison REvil hacker behind Kaseya ransomware attack gets 13 years in prison (lien direct) |
Yaroslav Vasinskyi, un ressortissant ukrainien, a été condamné à 13 ans et sept mois de prison et condamné à payer 16 millions de dollars en restitution pour son implication dans l'opération de ransomware Revil.[...]
Yaroslav Vasinskyi, a Ukrainian national, was sentenced to 13 years and seven months in prison and ordered to pay $16 million in restitution for his involvement in the REvil ransomware operation. [...] |
Ransomware Legislation | ★★ | |
 |
2024-05-02 10:00:00 | Revil Ransomware Affiliate condamné à plus de 13 ans de prison REvil Ransomware Affiliate Sentenced to Over 13 Years in Prison (lien direct) |
Un tribunal américain a condamné un ressortissant ukrainien à 13 ans et sept mois de prison pour son rôle dans plus de 2500 attaques de ransomwares en utilisant la souche Revil
A US court has sentenced a Ukrainian national to 13 years and seven months in prison for his role in over 2500 ransomware attacks using the REvil strain |
Ransomware Legislation | ★★ | |
 |
2024-05-02 00:15:52 | Analyse des attaques de TargetCompany \\ contre les serveurs MS-SQL (Mallox, Bluesky Ransomware) Analysis of TargetCompany\\'s Attacks Against MS-SQL Servers (Mallox, BlueSky Ransomware) (lien direct) |
While monitoring attacks targeting MS-SQL servers, AhnLab SEcurity intelligence Center (ASEC) recently identified cases of theTargetCompany Ransomware Group Installation du ransomware Mallox.Le groupe Ransomware TargetCompany cible principalement les serveurs MS-SQL mal gérés pour installer le ransomware Mallox.Bien que ces attaques soient en cours depuis plusieurs années, nous allons ici décrire la corrélation entre les logiciels malveillants nouvellement identifiés et les cas d'attaque antérieurs impliquant la distribution du Coinmin Tor2Mine et des ransomwares bluesky.Semblable aux cas précédents, cette attaque a ciblé mal ...
While monitoring attacks targeting MS-SQL servers, AhnLab SEcurity intelligence Center (ASEC) recently identified cases of the TargetCompany ransomware group installing the Mallox ransomware. The TargetCompany ransomware group primarily targets improperly managed MS-SQL servers to install the Mallox ransomware. While these attacks have been ongoing for several years, here we will outline the correlation between the newly identified malware and previous attack cases involving the distribution of the Tor2Mine CoinMiner and BlueSky ransomware. Similar to previous cases, this attack targeted improperly... |
Ransomware Malware | ★★ | |
|
2024-05-01 20:56:45 | La campagne de logiciels malveillants tente la maltraitance des binaires de sophos Malware Campaign Attempts Abuse of Sophos Binaries (lien direct) |
## Instantané Sophos discute d'une campagne de ransomwares qui exploite des exécutables et des DLL légitimes de Sophos en modifiant leur contenu d'origine, en écrasant le code de point d'entrée et en insérant la charge utile déchiffrée comme ressource. ## Description Cette usurpation d'identité des fichiers légitimes vise à infiltrer les systèmes.L'enquête a révélé plusieurs charges utiles, telles que Cobalt Strike, Brute Ratel, Qakbot et Latrodectus, indiquant l'implication de plus d'un groupe criminel. L'accès initial aux systèmes des victimes \\ 'impliquait l'utilisation de chargeurs JavaScript envoyés par e-mail.Le comportement malveillant vise à confondre les analystes en se déguisant en fichiers légitimes, en évitant potentiellement la détection.Les attaquants ont ciblé plusieurs exécutables Sophos And dlls, y compris sophosleanup.exe, sophosfstelemetry.exe, sophosfx.exe, sophosintelixpackager.exe, sophosntpuninstall.eXE, Healthapi.dll et Sophosuninstall.exe.Ces fichiers se sont révélés malveillants et ont été associés à diverses charges utiles et connexions C2. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces de ransomware. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus ou l'équivalent pour que votre produit antivirus couvre des outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une énorme majorité de variantes nouvelles et inconnues. - Allumez [Protection Tamper] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=Magicti_TA_LearnDoc).Empêcher les attaquants d'empêcher les services de sécurité. - Exécutez [Détection et réponse de point de terminaison (EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-lock-mode?ocid=Magicti_TA_Learndoc), de sorte que celaLe défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants détectés après la durée. - Activer [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?ocid=Magicti_TA_Learndoc) en mode automatisé complet pour permettre au défenseur de prendre une action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate surAlertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - Les clients de Microsoft Defender peuvent activer [Règles de réduction de la surface d'attaque] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-reduction?ocid=Magicti_TA_LearnDoc) pour prévenir les techniques d'attaque communes utilisées utilisées | Ransomware Malware Tool Threat | ★★ | |
|
2024-05-01 16:00:00 | Lockbit, Black Basta, Play Domine Ransomware au T1 2024 LockBit, Black Basta, Play Dominate Ransomware in Q1 2024 (lien direct) |
Les données de Reliaquest suggèrent également que Lockbit a été confronté à un revers important en raison de l'action en matière d'application de la loi
The data from ReliaQuest also suggests LockBit faced a significant setback due to law enforcement action |
Ransomware Legislation | ★★ | |
 |
2024-05-01 13:40:29 | Activité des ransomwares en baisse de 18% Q1 2024 vs Q4 2023 - Nouveau rapport de rediaquest Ransomware activity down 18% Q1 2024 vs Q4 2023 - new ReliaQuest report (lien direct) |
Activité des ransomwares en baisse de 18% Q1 2024 vs Q4 2023 - Nouveau rapport de rediaquest
-
rapports spéciaux
Ransomware activity down 18% Q1 2024 vs Q4 2023 - new ReliaQuest report - Special Reports |
Ransomware | ★★ | |
|
2024-05-01 13:14:15 | Se remettre des attaques de ransomwares pourrait coûter au conseil écossais éloigné & Pound; 500 000 Recovering from ransomware attack could cost remote Scottish council £500,000 (lien direct) |
Activité des ransomwares en baisse de 18% Q1 2024 vs Q4 2023 - Nouveau rapport de rediaquest
-
rapports spéciaux
Ransomware activity down 18% Q1 2024 vs Q4 2023 - new ReliaQuest report - Special Reports |
Ransomware | ★★ | |
|
2024-05-01 13:00:00 | 1 sur 5 US Ransomware Attacks déclenche un procès 1 in 5 US Ransomware Attacks Triggers Lawsuit (lien direct) |
Comparerch a constaté que 18% des incidents de ransomware aux États-Unis ont conduit à un procès en 2023, avec 59% des poursuites terminées depuis 2018 prouvant de succès
Comparitech found that 18% of ransomware incidents in the US led to a lawsuit in 2023, with 59% of completed lawsuits since 2018 proving successful |
Ransomware | ★★ | |
|
2024-05-01 12:38:04 | French hospital CHC-SV refuses to pay LockBit extortion demand (lien direct) | The Hôpital de Cannes - Simone Veil (CHC-SV) in France announced it received a ransom demand from the Lockbit 3.0 ransomware gang, saying they refuse to pay the ransom. [...]
The Hôpital de Cannes - Simone Veil (CHC-SV) in France announced it received a ransom demand from the Lockbit 3.0 ransomware gang, saying they refuse to pay the ransom. [...] |
Ransomware | ★★ | |
|
2024-05-01 09:15:10 | Les paiements de ransomwares augmentent de 500% au cours de la dernière année, trouve le rapport Sophos State of Ransomware Ransomware Payments Increase 500% In the Last Year, Finds Sophos State of Ransomware Report (lien direct) |
Les paiements de ransomware augmentent de 500% au cours de la dernière année, trouve le rapport Sophos State of Ransomware
Le taux des attaques de ransomwares baisse légèrement, mais les coûts de récupération ont atteint 2,73 millions de dollars
-
rapports spéciaux
Ransomware Payments Increase 500% In the Last Year, Finds Sophos State of Ransomware Report Rate of Ransomware Attacks Falls Slightly, But Recovery Costs Hit $2.73 million - Special Reports |
Ransomware | ★★★ | |
 |
2024-04-30 20:44:58 | Le géant des soins de santé est propre au sujet du hack récent et de la rançon payée Health care giant comes clean about recent hack and paid ransom (lien direct) |
Attaque des ransomwares contre le marché des prescriptions américaines à 371 milliards de dollars.
Ransomware attack on the $371 billion company hamstrung US prescription market. |
Ransomware Hack | ★★ | |
 |
2024-04-30 20:02:59 | PDG de UnitedHealth: \\ 'La décision de payer la rançon était la mine \\' UnitedHealth CEO: \\'Decision to pay ransom was mine\\' (lien direct) |
Congress to hear how Citrix MFA snafu led to data theft, $870M+ loss UnitedHealth CEO Andrew Witty will tell US lawmakers Wednesday the cybercriminals who hit Change Healthcare with ransomware used stolen credentials to remotely access a Citrixle portail qui n'a pas été activé par l'authentification multi-facteurs.…
Congress to hear how Citrix MFA snafu led to data theft, $870M+ loss UnitedHealth CEO Andrew Witty will tell US lawmakers Wednesday the cybercriminals who hit Change Healthcare with ransomware used stolen credentials to remotely access a Citrix portal that didn\'t have multi-factor authentication enabled.… |
Ransomware Medical | ★★★ | |
|
2024-04-30 17:37:51 | Le Congrès cercles UnitedHealth comme les effets de l'attaque des ransomwares continue Congress circles UnitedHealth as effects of ransomware attack continue (lien direct) |
Congress to hear how Citrix MFA snafu led to data theft, $870M+ loss UnitedHealth CEO Andrew Witty will tell US lawmakers Wednesday the cybercriminals who hit Change Healthcare with ransomware used stolen credentials to remotely access a Citrixle portail qui n'a pas été activé par l'authentification multi-facteurs.…
Congress to hear how Citrix MFA snafu led to data theft, $870M+ loss UnitedHealth CEO Andrew Witty will tell US lawmakers Wednesday the cybercriminals who hit Change Healthcare with ransomware used stolen credentials to remotely access a Citrix portal that didn\'t have multi-factor authentication enabled.… |
Ransomware Legislation | ★★ | |
|
2024-04-30 16:00:00 | Ransomware augmente malgré les retraits, explique Corvus Report Ransomware Rising Despite Takedowns, Says Corvus Report (lien direct) |
Le premier trimestre de 2024 a vu l'activité la plus ransomware jamais enregistrée, Corvus Insurance trouvée dans une nouvelle analyse
The first quarter of 2024 saw the most ransomware activity ever recorded, Corvus Insurance found in a new analysis |
Ransomware | ★★ | |
 |
2024-04-30 14:00:00 | Protection des ransomwares et stratégies de confinement: conseils pratiques pour le durcissement et la protection des infrastructures, des identités et des points de terminaison Ransomware Protection and Containment Strategies: Practical Guidance for Hardening and Protecting Infrastructure, Identities and Endpoints (lien direct) |
Written by: Matthew McWhirt, Omar ElAhdan, Glenn Staniforth, Brian Meyer
Multi-faceted extortion via ransomware and/or data theft is a popular end goal for attackers, representing a global threat targeting organizations in all industries. The impact of a successful ransomware event can be material to an organization, including the loss of access to data, systems, and prolonged operational outages. The potential downtime, coupled with unforeseen expenses for restoration, recovery, and implementation of new security processes and controls can be overwhelming.Since the initial launch of our report in 2019, data theft and ransomware deployment tactics have continued to evolve and escalate. This evolution marks a shift from manual or script-based ransomware deployment to sophisticated, large-scale operations, including:
Weaponizing Trusted Service Infrastructure (TSI): Adversaries are increasingly abusing legitimate infrastructure and security tools (TSI) to rapidly propagate malware or ransomware across entire networks.
Targeting Virtualization Platforms: Attackers are actively focusing on the virtualization layer, aiming to mass-encrypt virtual machines (VMs) and other critical systems at scale.
Targeting Backup Data / Platforms: Threat actors are exploiting misconfigurations or security gaps in backup systems to either erase or corrupt data backups, severely hindering recovery efforts.
Based upon these newer techniques, it is critical that organizations identify the span of the attack surface, and align proper security controls and visibility that includes coverage for protecting:
Identities
Endpoints
Network Architectures
Remote Access Platforms
Trusted Service Infrastructure (TSI)
Cascading weaknesses across these layers create opportunities for attackers to breach an organization\'s perimeter, gain initial access, and maintain a persistent foothold within the compromised network.
In our updated report, |
Ransomware Malware Tool Threat | ★★★ | |
 |
2024-04-30 13:00:00 | Les solutions de cybersécurité AI détectent les ransomwares en moins de 60 secondes AI cybersecurity solutions detect ransomware in under 60 seconds (lien direct) |
> Vous vous inquiétez des ransomwares?Si c'est le cas, ce n'est pas surprenant.Selon le Forum économique mondial, pour les cyber-pertes importantes (& # 8364; 1 million +), le nombre de cas dans lesquels les données sont exfiltrées augmentent, double de 40% en 2019 à près de 80% en 2022. Et une activité plus récente estsuivi encore plus haut.Pendant ce temps, d'autres dangers apparaissent sur [& # 8230;]
>Worried about ransomware? If so, it’s not surprising. According to the World Economic Forum, for large cyber losses (€1 million+), the number of cases in which data is exfiltrated is increasing, doubling from 40% in 2019 to almost 80% in 2022. And more recent activity is tracking even higher. Meanwhile, other dangers are appearing on […] |
Ransomware | ★★ | |
|
2024-04-30 11:50:17 | La France fait état du plus fort taux d\'attaques par ransomware en 2024, selon le rapport de Sophos sur l\'état des ransomwares (lien direct) | La cause première la plus répandue d'une attaque par ransomware réside dans l'exploitation d'une faille non corrigée. Le taux d'attaques par ransomware diminue légèrement, alors que 59 % des entreprises interrogées déclarent avoir été victimes d'une attaque par ransomware, contre 66 % en 2023 Sophos, l'un des premiers éditeurs mondiaux de solutions de sécurité à innovantes conçues pour neutraliser les cyberattaques, a publié aujourd'hui son rapport d'enquête annuel sur l'état des ransomwares 2024, qui met (...) - Investigations | Ransomware | ★★★ | |
|
2024-04-29 20:07:15 | De ransomware icedid à Dagon Locker en 29 jours From IcedID to Dagon Locker Ransomware in 29 Days (lien direct) |
## Instantané
Le rapport DFIR fournit un compte rendu détaillé d'une intrusion sophistiquée qui a commencé avec une campagne de phishing utilisant PromEthEustDS pour distribuer des logiciels malveillants icedid en août 2023.
## Description
Le malware icedid a établi la persistance, communiqué avec les serveurs C2 et a abandonné une balise de frappe de cobalt, qui a été utilisée pour le mouvement latéral, l'exfiltration des données et le déploiement des ransomwares.L'acteur de menace a également utilisé une suite d'outils tels que Rclone, NetScan, NBTScan, Anydesk, Seatt Libt, Sharefinder et Adfinind.L'intrusion a abouti au déploiement de ransomwares Dagon Locker après 29 jours.
Les acteurs de la menace ont utilisé diverses techniques pour obscurcir le fichier JavaScript et le coquille de cobalt grève, échapper à la détection, maintenir la persistance et effectuer des activités d'énumération du réseau.Les activités de l'acteur de menace comprenaient l'abus de fonctionnalités de mouvement latérale telles que le psexec et le protocole de bureau à distance (RDP), l'exfiltration des fichiers, le dumping et l'exfiltration des journaux d'événements de sécurité Windows et l'utilisation des commandes PowerShell exécutées à partir de la grève de Cobaltbalise.
De plus, l'acteur de menace a utilisé plusieurs techniques d'exfiltration, y compris l'utilisation de RClone et AWS CLI pour exfiltrer les données de l'infrastructure compromise.Le déploiement du ransomware Dagon Locker a été facilité par l'utilisation d'un script PowerShell personnalisé, AWScollector et un module Locker, avec une commande PowerShell spécifique exécutée à partir d'un contrôleur de domaine pour déployer le ransomware à différents systèmes.L'impact de cet incident a permis à tous les systèmes d'être affectés par les ransomwares Dagon Locker.
## Les références
[https://thedfirreport.com/2024/04/29/from-iced-to-dagon-locker-ransomware-in-29 days/-IDIDID-to-dagon-locker-ransomware en 29 jours /)
## Snapshot The DFIR report provides a detailed account of a sophisticated intrusion that began with a phishing campaign using PrometheusTDS to distribute IcedID malware in August 2023. ## Description The IcedID malware established persistence, communicated with C2 servers, and dropped a Cobalt Strike beacon, which was used for lateral movement, data exfiltration, and ransomware deployment. The threat actor also utilized a suite of tools such as Rclone, Netscan, Nbtscan, AnyDesk, Seatbelt, Sharefinder, and AdFind. The intrusion culminated in the deployment of Dagon Locker ransomware after 29 days. The threat actors employed various techniques to obfuscate the JavaScript file and the Cobalt Strike shellcode, evade detection, maintain persistence, and perform network enumeration activities. The threat actor\'s activities included the abuse of lateral movement functionalities such as PsExec and Remote Desktop Protocol (RDP), exfiltration of files, dumping and exfiltration of Windows Security event logs, and the use of PowerShell commands executed from the Cobalt Strike beacon. Additionally, the threat actor employed multiple exfiltration techniques, including the use of Rclone and AWS CLI to exfiltrate data from the compromised infrastructure. The deployment of the Dagon Locker ransomware was facilitated through the use of a custom PowerShell script, AWScollector, and a locker module, with a specific PowerShell command run from a domain controller to deploy the ransomware to different systems. The impact of this incident resulted in all systems being affected by the Dagon Locker ransomware. ## References [https://thedfirreport.com/2024/04/29/from-icedid-to-dagon-locker-ransomware-in-29-days/](https://thedfirreport.com/2024/04/29/from-icedid-to-dagon-locker-ransomware-in-29-days/) |
Ransomware Malware Tool Threat Technical | ★★★ | |
|
2024-04-29 16:05:58 | Faits saillants hebdomadaires, 29 avril 2024 Weekly OSINT Highlights, 29 April 2024 (lien direct) |
## Snapshot Last week\'s OSINT reporting reveals a diverse range of cyber threats targeting organizations globally. The articles highlight various attack vectors, including phishing emails with malware payloads (SSLoad, [Cobalt Strike](https://security.microsoft.com/intel-profiles/fd8511c1d61e93d39411acf36a31130a6795efe186497098fe0c6f2ccfb920fc)), ransomware variants (KageNoHitobito, DoNex), and mobile banking malware (Brokewell) distributed through fake domain schemes and overlay attacks. Threat actors behind these campaigns range from financially motivated ransomware groups to sophisticated state-sponsored actors like Sandworm ([Seashell Blizzard](https://sip.security.microsoft.com/intel-profiles/cf1e406a16835d56cf614430aea3962d7ed99f01ee3d9ee3048078288e5201bb)) and UAT4356 ([Storm-1849](https://sip.security.microsoft.com/intel-profiles/f3676211c9f06910f7f1f233d81347c1b837bddd93292c2e8f2eb860a27ad8d5)). Targetted organizations span Europe, Asia, and the Americas and targetted industries include critical infrastructure and IT. ## Description 1. **[Ongoing FROZEN#SHADOW Phishing Campaign](https://security.microsoft.com/intel-explorer/articles/e39d9bb3)**: The FROZEN#SHADOW campaign utilizes phishing emails to distribute SSLoad malware, alongside [Cobalt Strike](https://security.microsoft.com/intel-profiles/fd8511c1d61e93d39411acf36a31130a6795efe186497098fe0c6f2ccfb920fc) and ConnectWise ScreenConnect for extensive persistence and remote access. The victim organizations, predominantly in Europe, Asia, and the Americas, are targeted via JavaScript file downloads and MSI installers connecting to attacker-controlled domains. 2. **[Insights on KageNoHitobito and DoNex Ransomware](https://security.microsoft.com/intel-explorer/articles/ff848e92)**: KageNoHitobito and DoNex are ransomware variants with distinct encryption methods and ransom note presentations. While KageNoHitobito prompts victims to negotiate through a TOR site, DoNex terminates specific services and processes, deletes shadow copies, and may be linked to DarkRace ransomware. 3. **[Brokewell Mobile Banking Malware](https://security.microsoft.com/intel-explorer/articles/99a5deee)**: Brokewell poses a significant threat to the banking industry, utilizing overlay attacks, spyware functionalities, and remote control capabilities to steal credentials and device information. The malware\'s active development and promotion on underground channels indicate a growing interest among cybercriminals targeting different regions. 4. **[Malvertising Campaign Targeting IT Teams with MadMxShell](https://security.microsoft.com/intel-explorer/articles/ffa6ca10)**: A sophisticated threat actor distributes the MadMxShell backdoor through fake domains, using Google Ads to push them to the top of search results. MadMxShell employs complex evasion techniques, including multi-stage injection and DNS tunneling for C2 communication, indicating an interest in targeting IT professionals for unauthorized access. 5. **[ArcaneDoor Campaign by UAT4356 (Storm-1849)](https://security.microsoft.com/intel-explorer/articles/a0cf0328)**: UAT4356 (tracked by Microsoft as [Storm-1949](https://sip.security.microsoft.com/intel-profiles/f3676211c9f06910f7f1f233d81347c1b837bddd93292c2e8f2eb860a27ad8d5)) targets perimeter network devices like Cisco Adaptive Security Appliances (ASA) with backdoors "Line Runner" and "Line Dancer" for reconnaissance and malicious actions. The campaign showcases a state-sponsored actor\'s advanced tradecraft, with deliberate efforts to evade forensics and exploit 0-day vulnerabilities. The initial access vector used in this campaign remains unidentified, but two vulnerabilities ([CVE-2024-20353](https://security.microsoft.com/intel-explorer/cves/CVE-2024-20353/description) and[CVE-2024-20359](https://security.microsoft.com/intel-explorer/cves/CVE-2024-20359/description)) were exploited. 6. **[Kapeka Backdoor Linked to Sandworm (Seashell Blizzard)](https://security.microsoft.com/intel-explorer/articles/364efa92)**: Kapeka (tracked by Microsoft as K | Ransomware Malware Tool Vulnerability Threat Mobile Industrial | ★★★ | |
 |
2024-04-29 12:08:40 | Comment protéger Active Directory des attaques par ransomware (lien direct) | Les attaques par ransomware sont en hausse, avec une croissance annuelle de 80 % en fréquence. Les cybercriminels exploitent de plus en plus souvent les vulnérabilités des composants clés du réseau comme Active Directory (AD).... | Ransomware | ★★ | |
|
2024-04-26 20:55:10 | Des milliers de serveurs Sense Qlik ouverts aux ransomwares du cactus Thousands of Qlik Sense Servers Open to Cactus Ransomware (lien direct) |
Les serveurs de Business Intelligence contiennent des vulnérabilités que Qlik corrigées l'année dernière, mais que les acteurs de cactus exploitent depuis novembre.Les étendues d'organisations n'ont pas encore été corrigées.
The business intelligence servers contain vulnerabilities that Qlik patched last year, but which Cactus actors have been exploiting since November. Swathes of organizations have not yet been patched. |
Ransomware Vulnerability | ★★ | |
|
2024-04-26 19:12:08 | Todckat APT Group Honne les tactiques d'expiltration des données, exploite les outils légitimes ToddyCat APT Group Hones Data Exfiltration Tactics, Exploits Legitimate Tools (lien direct) |
#### Targeted Geolocations - Oceania - Southeast Asia - South Asia - East Asia - Central Asia #### Targeted Industries - Government Agencies & Services - Defense ## Snapshot Kaspersky reports the APT group ToddyCat has been observed targeting governmental organizations, particularly defense-related ones in the Asia-Pacific region, with the goal of stealing sensitive information on an industrial scale. ## Description They employ various tools and techniques, including traffic tunneling and the creation of reverse SSH tunnels, to maintain constant access to compromised infrastructure. The attackers utilize disguised OpenSSH private key files, execute scripts to modify folder permissions, create SSH tunnels to redirect network traffic, and employ the SoftEther VPN package to potentially facilitate unauthorized access and data exfiltration. Additionally, they use various files and techniques, such as concealing file purposes, copying files through shared resources, and tunneling to legitimate cloud providers, to gain access to victim hosts and evade detection. The threat actors initially gain access to systems by installing servers, modifying server settings, and utilizing tools like Ngrok and Krong to redirect C2 traffic and create tunnels for unauthorized access. They also employ the FRP client, a data collection tool named "cuthead", and a tool called "WAExp" to search for and collect browser local storage files containing data from the web version of WhatsApp. The attackers demonstrate a sophisticated and evolving approach to data collection and exfiltration, utilizing multiple tools and techniques to achieve their objectives. ## Recommendations Microsoft recommends the following mitigations to reduce the impact of Information stealer threats. - Check your Office 365 email filtering settings to ensure you block spoofed emails, spam, and emails with malware. Use [Microsoft Defender for Office 365](https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-for-office-365?ocid=magicti_ta_learndoc) for enhanced phishing protection and coverage against new threats and polymorphic variants. Configure Microsoft Defender for Office 365 to [recheck links on click](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) and [delete sent mail](https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=magicti_ta_learndoc) in response to newly acquired threat intelligence. Turn on [safe attachments policies](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-policies-configure?ocid=magicti_ta_learndoc) to check attachments to inbound email. - Encourage users to use Microsoft Edge and other web browsers that support SmartScreen, which identifies and blocks malicious websites, including phishing sites, scam sites, and sites that host malware. - Turn on [cloud-delivered protection](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-block-at-first-sight-microsoft-defender-antivirus?ocid=magicti_ta_learndoc) in Microsoft Defender Antivirus, or the equivalent for your antivirus product, to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown variants. - Enforce MFA on all accounts, remove users excluded from MFA, and strictly [require MFA](https://learn.microsoft.com/azure/active-directory/identity-protection/howto-identity-protection-configure-mfa-policy?ocid=magicti_ta_learndoc) from all devices, in all locations, at all times. - Enable passwordless authentication methods (for example, Windows Hello, FIDO keys, or Microsoft Authenticator) for accounts that support passwordless. For accounts that still require passwords, use authenticator apps like Microsoft Authenticator for MFA. [Refer to this article](https://learn.microsoft.com/azure/active-directory/authentic | Ransomware Spam Malware Tool Threat Industrial Cloud | ★★ | |
|
2024-04-26 17:23:14 | Ransomware Roundup - KageNoHitobito and DoNex (lien direct) | #### Géolocations ciblées - Chili - Chine - Cuba - Allemagne - L'Iran - Lituanie - Pérou - Roumanie - Royaume-Uni - États-Unis - Taïwan - Suède - Belgique - Tchéchie - Italie - Pays-Bas ## Instantané La recherche sur les menaces Fortiguard Labs fournit un aperçu des variantes de ransomware Kagenohitobito et Donex.Kagenohitobito a émergé fin mars 2024 et chiffre les fichiers victimes de victimes, tandis que Donex est un groupe de ransomware à motivation financière qui crypte les fichiers sur les lecteurs locaux et les parts de réseau.Les méthodes d'infiltration initiales utilisées par les acteurs de la menace ne sont pas spécifiées. ## Description Kagenohitobito affiche une note de rançon sur le bureau de la victime et demande aux victimes de visiter un site Tor pour les négociations de rançon, tandis que Donex ajoute un identifiant de victime comme extension de fichier aux fichiers affectés, modifie leurs icônes et met fin aux processus et services spécifiques en tant que services en tant que services spécifiques en tant que servicesSelon le fichier de configuration défini par l'acteur de menace.L'article suggère également une connexion possible entre les ransomwares Donex et DarkRace, car ils partagent des similitudes dans les notes de rançon et les fichiers de configuration.DOTYX est configuré pour supprimer des copies d'ombre, ce qui rend la récupération du fichier difficile. ## Recommandations Étant donné que la majorité des ransomwares sont livrés via le phishing, Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Pilot et déploiement [méthodes d'authentification résistantes au phishing] (https://learn.microsoft.com/en-us/entra/identity/authentication/concept-authentication-methods?ocid=Magicti_TA_Learndoc) pour les utilisateurs. - Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (ReCHECK% 20LINKS% 20ON% 20CLICK).Safe Links fournit une analyse et une réécriture des URL des e-mails entrants dans le flux de messagerie et une vérification du temps de clic des URL et des liens dans les e-mails, d'autres applications Microsoft 365 telles que des équipes et d'autres emplacements tels que SharePoint Online.La numérisation des liens sûrs se produit en plus de la [anti-spam] régulière (https://learn.microsoft.com/en-us/defenderofice-365/anti-spam-protection-about?ocid=Magicti_ta_learndoc) et [anti-Malware] (https://learn.microsoft.com/en-us/defender-office-365/anti-malware-protection-about?ocid=magicti_ta_learndoc) Protection dans les messages e-mail entrants dans Microsoft Exchange en ligne Protection en ligne (EOP).La numérisation des liens sûrs peut aider à protéger votre organisation contre les liens malveillants utilisés dans le phishing et d'autres attaques. - Encouragez les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [Microsoft Defender SmartScreen] (https://learn.microsoft.com/en-us/deployedge/microsoft-edge-security-smartscreen?ocid=magicti_ta_learndoc), qui s'identifie, qui identifie)et bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites qui hébergent des logiciels malveillants. - Allumez [protection en livraison du cloud] (https://learn.miqueCouvrir les outils et techniques d'attaque en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une majorité de variantes nouvelles et inconnues. - Exécuter [Détection et réponse Endpoint (EDR)] (https://learn.microsoft.com/en-us/defender-endpoint/edr-in-lock-mode?ocid=Magicti_TA_LearnDoc) en mode bloc, de sorte que le défenseur MicrosoftPour le point final, peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctio | Ransomware Malware Tool Threat | ★★ | |
|
2024-04-26 14:00:00 | Plus de 850 appareils vulnérables sécurisés via le programme de ransomware CISA Over 850 Vulnerable Devices Secured Through CISA Ransomware Program (lien direct) |
Le programme RVWP de CISA \\ a envoyé 1754 notifications de vulnérabilité des ransomwares au gouvernement et aux entités d'infrastructure critiques en 2023, conduisant à 852 appareils sécurisés
CISA\'s RVWP program sent 1754 ransomware vulnerability notifications to government and critical infrastructure entities in 2023, leading to 852 devices being secured |
Ransomware Vulnerability | ★★ | |
|
2024-04-26 13:59:31 | Dragos rapporte que la baisse des attaques de ransomwares contre le secteur industriel au milieu des mesures d'application de la loi Dragos reports decline in ransomware attacks on industrial sector amid law enforcement measures (lien direct) |
> La société de cybersécurité industrielle Dragos a identifié que les pirates ont ciblé des équipements de systèmes de contrôle industriel (ICS), avec l'ingénierie ...
>Industrial cybersecurity firm Dragos has identified that hackers have targeted industrial control systems (ICS) equipment, with the engineering... |
Ransomware Legislation Industrial | ★★★★ | |
|
2024-04-25 21:21:01 | Plus de 800 vulnérabilités résolues par le biais du pilote de notification des ransomwares CISA More than 800 vulnerabilities resolved through CISA ransomware notification pilot (lien direct) |
> La société de cybersécurité industrielle Dragos a identifié que les pirates ont ciblé des équipements de systèmes de contrôle industriel (ICS), avec l'ingénierie ...
>Industrial cybersecurity firm Dragos has identified that hackers have targeted industrial control systems (ICS) equipment, with the engineering... |
Ransomware Vulnerability | ★★ | |
 |
2024-04-25 15:00:00 | Ransomware Roundup - Kagenohitobito et Donex Ransomware Roundup - KageNoHitobito and DoNex (lien direct) |
Les Kagenohitobito et Donex sont des ransomwares récents qui sont financièrement motivés, exigeant le paiement des victimes à décrypter les dossiers.Apprendre encore plus.
The KageNoHitobito and DoNex are recent ransomware that are financially motivated, demanding payment from victims to decrypt files. Learn more. |
Ransomware | ★★ | |
 |
2024-04-25 13:00:00 | Analyse des ransomwares industriels de Dragos: T1 2024 Dragos Industrial Ransomware Analysis: Q1 2024 (lien direct) |
> Les informations fournies ici proviennent de chasseurs d'adversaires et d'analystes de la cyber-menace de l'intelligence et des analystes qui effectuent des recherches sur l'adversaire ...
Le post Dragos Industrial Ransomware Analysis: T1 2024 = "https://www.dragos.com"> dragos .
>Information provided here is sourced from Dragos OT Cyber Threat Intelligence adversary hunters and analysts who conduct research on adversary... The post Dragos Industrial Ransomware Analysis: Q1 2024 first appeared on Dragos. |
Ransomware Threat Industrial | ★★★ | |
|
2024-04-25 11:49:30 | Nouvelle menace Intelligence: 8Base Ransomware Gang \\ 'Enseigner Pme une leçon \\' - tendance micro New threat Intelligence: 8Base Ransomware gang \\'teaching SMBs a lesson\\' - Trend Micro (lien direct) |
Trend Micro publie de nouvelles recherches sur les menaces sur 8Base, un groupe de ransomwares actif qui cible les PME pour leur enseigner une leçon \\ '.L'Europe est la deuxième région attaquée la plus.
-
mise à jour malveillant
Trend Micro is releasing new threat research into 8Base, an active ransomware group that has been targeting SMBs to \'teach them a lesson\'. Europe is the second-most attacked region. - Malware Update |
Ransomware Threat Prediction | ★★ | |
|
2024-04-25 11:00:00 | DragonForce Ransomware Group utilise le constructeur divulgué de Lockbit \\ DragonForce Ransomware Group Uses LockBit\\'s Leaked Builder (lien direct) |
Cyber Threat Intelligence Provider Cyble a constaté que Dragonforce utilisait un binaire de ransomware basé sur le constructeur de Lockbit Black \\
Cyber threat intelligence provider Cyble found that DragonForce was using a ransomware binary based on LockBit Black\'s builder |
Ransomware Threat | ★★ | |
 |
2024-04-25 10:03:58 | Ransomware "pistolet indésirable": la nouvelle menace bon marché pour les petites entreprises "Junk gun" ransomware: the cheap new threat to small businesses (lien direct) |
Que se passe-t-il?Une vague de ransomwares bon marché, brut et amateur a été repérée sur la toile sombre - et bien qu'elle ne fasse pas autant de gros titres que Lockbit, Rhysida et BlackSuit, il présente toujours une menace sérieuse pour les organisations.Qu'est-ce que le ransomware "pistolet indésirable" de \\?C'est un nom inventé par des chercheurs de Sophos pour des ransomwares non sophistiqués qui sont souvent vendus à moindre coût comme achat unique.Le ransomware "pistolet indésirable" fait appel à un criminel qui veut fonctionner de manière indépendante mais manque de compétences techniques.Peux-tu donner quelques exemples?Bien sûr.Le ransomware de Kryptina a été mis à disposition à la vente en décembre ...
What\'s going on? A wave of cheap, crude, amateurish ransomware has been spotted on the dark web - and although it may not make as many headlines as LockBit , Rhysida , and BlackSuit , it still presents a serious threat to organizations. What\'s "junk gun" ransomware? It\'s a name coined by Sophos researchers for unsophisticated ransomware that is often sold cheaply as a one-time purchase. "Junk gun" ransomware is appealing to a criminal who wants to operate independently but lacks technical skills. Can you give some examples? Sure. The Kryptina ransomware was made available for sale in December... |
Ransomware Threat Technical | ★★ | |
|
2024-04-25 10:00:00 | Pole Voûte: cyber-menaces aux élections mondiales Poll Vaulting: Cyber Threats to Global Elections (lien direct) |
Written by: Kelli Vanderlee, Jamie Collier
Executive Summary The election cybersecurity landscape globally is characterized by a diversity of targets, tactics, and threats. Elections attract threat activity from a variety of threat actors including: state-sponsored actors, cyber criminals, hacktivists, insiders, and information operations as-a-service entities. Mandiant assesses with high confidence that state-sponsored actors pose the most serious cybersecurity risk to elections. Operations targeting election-related infrastructure can combine cyber intrusion activity, disruptive and destructive capabilities, and information operations, which include elements of public-facing advertisement and amplification of threat activity claims. Successful targeting does not automatically translate to high impact. Many threat actors have struggled to influence or achieve significant effects, despite their best efforts. When we look across the globe we find that the attack surface of an election involves a wide variety of entities beyond voting machines and voter registries. In fact, our observations of past cycles indicate that cyber operations target the major players involved in campaigning, political parties, news and social media more frequently than actual election infrastructure. Securing elections requires a comprehensive understanding of many types of threats and tactics, from distributed denial of service (DDoS) to data theft to deepfakes, that are likely to impact elections in 2024. It is vital to understand the variety of relevant threat vectors and how they relate, and to ensure mitigation strategies are in place to address the full scope of potential activity. Election organizations should consider steps to harden infrastructure against common attacks, and utilize account security tools such as Google\'s Advanced Protection Program to protect high-risk accounts. Introduction The 2024 global election cybersecurity landscape is characterized by a diversity of targets, tactics, and threats. An expansive ecosystem of systems, administrators, campaign infrastructure, and public communications venues must be secured against a diverse array of operators and methods. Any election cybersecurity strategy should begin with a survey of the threat landscape to build a more proactive and tailored security posture. The cybersecurity community must keep pace as more than two billion voters are expected to head to the polls in 2024. With elections in more than an estimated 50 countries, there is an opportunity to dynamically track how threats to democracy evolve. Understanding how threats are targeting one country will enable us to better anticipate and prepare for upcoming elections globally. At the same time, we must also appreciate the unique context of different countries. Election threats to South Africa, India, and the United States will inevitably differ in some regard. In either case, there is an opportunity for us to prepare with the advantage of intelligence. |
Ransomware Malware Hack Tool Vulnerability Threat Legislation Cloud Technical | APT 40 APT 29 APT 28 APT 43 APT 31 APT 42 | ★★★ |
 |
2024-04-24 22:15:35 | CISA Ransomware Warning Program réglé entièrement le lancement d'ici la fin de 2024 CISA ransomware warning program set to fully launch by end of 2024 (lien direct) |
> Le programme avertirait les organisations exécutant des logiciels ou du matériel avec des vulnérabilités exploitées par les gangs de ransomware.
>The program would warn organizations running software or hardware with vulnerabilities being exploited by ransomware gangs. |
Ransomware Vulnerability | ★★ | |
 |
2024-04-24 14:09:31 | Un MSSP partage les derniers ransomwares: ce qui est en place, et que faire à ce sujet An MSSP Shares the Latest in Ransomware: What\\'s Up, and What to Do About It (lien direct) |
> Quelles sont les principales tendances des ransomwares aujourd'hui?& # 8211;Stephen Salinas, responsable du marketing de produit, stellaire Cyber San Jose, Californie & # 8211;24 avril 2024 Tout le monde se préoccupe des ransomwares depuis des années maintenant, mais le paysage change toujours, il est donc important de rester debout
>What are the major trends in ransomware today? – Stephen Salinas, Head of Product Marketing, Stellar Cyber San Jose, Calif. – Apr. 24, 2024 Everyone has been concerned with ransomware for years now, but the landscape is always changing, so it\'s important to stay up |
Ransomware | ★★ | |
 |
2024-04-24 14:04:41 | The RSA Conference talks we\'re looking forward to most (lien direct) | De la réponse des ransomwares et des incidents aux primes de bogues et aux bornes et aux brèches, nous lisons l'intégralité de l'agenda RSA afin que vous n'ayez pas à le faire.
From ransomware and incident response to bug bounties and Backdoors & Breaches, we read the entire RSA agenda so you don\'t have to. |
Ransomware Conference | ★★ | |
|
2024-04-24 14:04:41 | La conférence RSA parle que nous attendons avec impatience la plupart The RSA Conference talks we\\'re looking forward to most (lien direct) |
De la réponse des ransomwares et des incidents aux primes de bogues et aux bornes et aux brèches, nous lisons l'intégralité de l'agenda RSA afin que vous n'ayez pas à le faire.
From ransomware and incident response to bug bounties and Backdoors & Breaches, we read the entire RSA agenda so you don\'t have to. |
Ransomware Conference | ★★ |
To see everything:
Our RSS (filtrered)
