What's new arround internet
Last one

Src Date (GMT) Titre Description Tags Stories Notes
globalsecuritymag.webp 2024-05-08 21:24:46 Semperis élargit la collaboration avec Veritas
Semperis Expands Collaboration with Veritas (lien direct)		 Semperis élargit la collaboration avec Veritas pour réduire davantage le risque de réussite des ransomwares L'intégration améliorée de solutions identifie et ferme les voies d'attaque dangereuses vers des données critiques, faisant progresser la mission partagée pour fournir une cyber-résilience complète. - nouvelles commerciales
Semperis Expands Collaboration with Veritas to Further Reduce Risk of Successful Ransomware Extortion Enhanced solution integration identifies and closes dangerous attack paths to business-critical data, advancing the shared mission to provide comprehensive cyber resilience. - Business News		 Ransomware
bleepingcomputer.webp 2024-05-08 12:16:36 Ville de Wichita Breach revendiquée par Lockbit Ransomware Gang
City of Wichita breach claimed by LockBit ransomware gang (lien direct)		 Le Gang de ransomware de Lockbit a revendiqué la responsabilité d'une cyberattaque perturbatrice dans la ville de Wichita, qui a forcé les autorités de la ville à fermer les systèmes informatiques utilisés pour le paiement des factures en ligne, y compris les amendes, les factures d'eau et les transports publics.[...]
The LockBit ransomware gang has claimed responsibility for a disruptive cyberattack on the City of Wichita, which has forced the City\'s authorities to shut down IT systems used for online bill payment, including court fines, water bills, and public transportation. [...]		 Ransomware ★★★
SecurityWeek.webp 2024-05-08 11:40:39 Brandywine Realty Trust frappé par les ransomwares
Brandywine Realty Trust Hit by Ransomware (lien direct)		 > La société immobilière basée à Philadelphie, Brandywine Realty Trust, arrête les systèmes après une attaque de ransomware.
>Philadelphia-based real estate company Brandywine Realty Trust shuts down systems following a ransomware attack. 		Ransomware ★★★
SecureList.webp 2024-05-08 10:00:40 État des ransomwares en 2024
State of ransomware in 2024 (lien direct)		 À l'approche de la journée anti-ransomware, Kaspersky partage des informations sur le paysage et les tendances des menaces de ransomware en 2023, et les activités anti-ransomwares récentes par les gouvernements et les forces de l'ordre.
As Anti-Ransomware Day approaches, Kaspersky shares insights into the ransomware threat landscape and trends in 2023, and recent anti-ransomware activities by governments and law enforcement.		 Ransomware Threat Legislation ★★★
globalsecuritymag.webp 2024-05-08 08:19:06 97% des organisations frappées par des ransomwares ont travaillé avec les forces de l'ordre, le rapport Sophos State of Ransomware est constaté
97% of Organizations Hit by Ransomware Worked with Law Enforcement, Sophos State of Ransomware Report Finds (lien direct)		 97% des organisations frappées par les ransomwares ont travaillé avec les forces de l'ordre, les résultats du rapport de Ransomware de l'État de Sophos par Sophos - rapports spéciaux
97% of Organizations Hit by Ransomware Worked with Law Enforcement, Sophos State of Ransomware Report Finds by Sophos - Special Reports		 Ransomware Studies Legislation ★★★★
ProofPoint.webp 2024-05-08 06:00:27 Comment les attaquants utilisent-ils des e-mails usurpés pour détourner vos communications commerciales?4 scénarios de risque
How Do Attackers Use Spoofed Email to Hijack Your Business Communications? 4 Risk Scenarios (lien direct)		 When you hear the term “spoofed” email, does business email compromise (BEC) come to mind? It does for many people-especially security leaders. BEC is a form of email fraud, and it has been a top concern for chief information security officers for years.   BEC scams are a costly problem. The latest Internet Crime Report from the FBI\'s Internet Crime Complaint Center (IC3) notes that adjusted losses from BEC were $2.9 billion last year. Since 2013, accumulated financial losses due to BEC have reached nearly $53 billion.   Spoofing is impersonation, and it is the essence of email fraud. It is also one of the most common techniques used in other types of attacks like phishing and ransomware. Your business, like many, probably focuses on stopping spoofed emails before they can reach employees\' inboxes. However, there is more to worry about. Spoofed email has the potential to damage your brand reputation and jeopardize your business ecosystem, too.  In this post, we will explore various impersonation risk scenarios. But first, let\'s look at some common tactics.   Impersonation tactics  Here are some common methods bad actors use to impersonate others so they can further their attacks.  Display name spoofing. The display name appears in the “From:” field of an email. It is the easiest email identifier to manipulate. Attackers forge email headers so that client software displays the fraudulent sender, which most users take at face value.  Domain spoofing. Bad actors will use an exact match of an organization\'s domain to launch this type of fraud attack. Attackers who engage in domain spoofing will attempt to imitate the sending server or sending domain.   Lookalike domains. Third parties can register lookalike domains and send email that appears to have come from a trusted source.  Compromised supplier accounts. In some advanced attacks, attackers will compromise an account from a supplier that works with the business that they want to target. They will use the compromised supplier account to hijack the email communication between their target and its supplier. Eventually, attackers are in a position to launch an attack or solicit fraudulent payment or sensitive data.   Attack scenarios  Now, let\'s dive into how attackers can use spoofed emails to exploit the trusted relationships you have with your customers, business partners, suppliers and employees.   Scenario 1: Impersonate you to target your employees  You are probably most familiar with the first scenario, where attackers pretend to be someone within your company, like your CEO or manager. The scam often starts with a simple lure that seems to be a benign message like: How is your day? Are you at your desk? Can you help me with something urgent?   Once attackers get a victim to engage, the conversation evolves. The bad actor may request the victim to purchase gift cards for them, proceed with a fraudulent payment, or share confidential data.   Not only can attackers impersonate executives, but they can also pretend to be general employees asking human resources to redirect their payrolls. In short, it doesn\'t matter what a victim\'s role is. Anyone can be impersonated to target anyone within an organization.  An example of a simple lure where the attacker used display name spoofing to impersonate Ken, the CEO.  Another example of a BEC lure where an attacker used a lookalike domain of Watertronics (vs. waltertronics, in the example) to spoof their CEO.   Scenario 2: Exploit your suppliers or business partners to target your employees  The most common theme in this scenario is supplier invoicing fraud. Bad actors will exploit a company\'s suppliers using tactics such as malicious lookalike domains of suppliers or compromised supplier accounts to either send a fake invoice or request the victim to redirect the payment to a bank account that the attackers control. (Sometimes, we see multiple Ransomware Malware Tool Threat Cloud ★★★
Darktrace.webp 2024-05-08 04:03:25 OT CyberAttacks: l'impact des ransomwares d'Ekans
OT Cyber-Attacks: The Impact of EKANS Ransomware (lien direct)		 Découvrez l'impact de l'attaque des ransomwares Ekans contre les opérations mondiales de Honda \\ et l'importance d'une stratégie de sécurité cohésive dans le monde OT.En savoir plus.
Discover the impact of the EKANS ransomware attack on Honda\'s global operations & the importance of a cohesive security strategy in the OT world. Read more.		 Ransomware Industrial ★★★
News.webp 2024-05-08 02:58:12 UnitedHealth \\ 's \\' négligence flagrante \\ 'a conduit à un changement d'infection aux soins de santé
UnitedHealth\\'s \\'egregious negligence\\' led to Change Healthcare infection (lien direct)		 \\ 'i \' m est époustouflé par le fait qu'ils n'utilisaient pas MFA \\ ' interview les pratiques de cybersécurité qui ont conduit àSelon Tom Kellermann, SVP de Cyber STRATTEMAL, la société mère Unitedhealth, SVP de Cyber Stratey, est la superbe infection des ransomwares des soins de santé.
\'I\'m blown away by the fact that they weren\'t using MFA\' Interview  The cybersecurity practices that led up to the stunning Change Healthcare ransomware infection indicate "egregious negligence" on the part of parent company UnitedHealth, according to Tom Kellermann, SVP of cyber strategy at Contrast Security.…		 Ransomware Medical ★★★
TechWorm.webp 2024-05-07 23:33:17 Le visage de Ransomware Creator a révélé et sanctionné
LockBit Ransomware Creator’s Face Revealed and Sanctioned (lien direct)		 Les ransomwares notoires et tristement célèbres Lockbit a fait des ravages à travers le monde, entraînant près de 500 millions de dollars en rançon. Enfin, son créateur Dmitry Khoroshev, alias Lockbitsupp, est identifié par NCA, FBI et International Partners comme faisant partie de l'opération Cronos Taskforce. Khoroshev a apprécié l'anonymat mais il n'a pas duré longtemps.Le Créateur de Lockbit était si confiant de son secret qu'il a offert 10 millions de dollars à quiconque a révélé son identité. Ransomware Legislation Medical ★★★
The_Hackers_News.webp 2024-05-07 21:19:00 Hacker russe Dmitry Khoroshev démasqué en tant qu'administrateur de ransomware de verrouillage
Russian Hacker Dmitry Khoroshev Unmasked as LockBit Ransomware Administrator (lien direct)		 La National Crime Agency (NCA) du Royaume-Uni a démasqué l'administrateur et développeur de l'opération de ransomware de lockbit, le révélant comme un ressortissant russe de 31 ans nommé & nbsp; Dmitry Yuryevich Khorosev. En outre, Khoroshev a & nbsp; a été sanctionné & nbsp; par le Royaume-Uni Foreign, Commonwealth and Development Office (FCD), le Contrôle du Département américain du Trésor du Trésor des actifs étrangers (Contrôle des actifs étrangers (
The U.K. National Crime Agency (NCA) has unmasked the administrator and developer of the LockBit ransomware operation, revealing it to be a 31-year-old Russian national named Dmitry Yuryevich Khoroshev. In addition, Khoroshev has been sanctioned by the U.K. Foreign, Commonwealth and Development Office (FCD), the U.S. Department of the Treasury\'s Office of Foreign Assets Control (		 Ransomware ★★★★
ArsTechnica.webp 2024-05-07 19:34:00 Le cerveau du groupe de ransomware prolifique Lockbit a finalement été démasqué
The mastermind of the prolific ransomware group LockBit has finally been unmasked (lien direct)		 Les États-Unis placent une prime de 10 millions de dollars pour l'arrestation de Dmitry Yuryevich Khoroshev.
The US places a $10 million bounty for the arrest of Dmitry Yuryevich Khoroshev.		 Ransomware ★★★
Blog.webp 2024-05-07 18:05:03 Feds démasque le leader des ransomwares de verrouillage en tant que Dmitry Yuryevich Khoroshev
Feds Unmask LockBit Ransomware Leader as Dmitry Yuryevich Khoroshev (lien direct)		 > Par waqas Dans un coup dur pour les ransomwares, les forces de l'ordre internationales ont démasqué Dmitry Yuryevich Khoroshev, leader du ransomware de Lockbit.Découvrez le retrait, les sanctions imposées et l'avenir de Lockbit dans une époque post-Khoroshev. Ceci est un article de HackRead.com Lire le post original: Feds démasque le leader du ransomware de verrouillage comme dmitry yuryevich khorosev
>By Waqas In a major blow to ransomware, international law enforcement has unmasked Dmitry Yuryevich Khoroshev, the leader of LockBit ransomware. Learn about the takedown, sanctions imposed, and the future of LockBit in a post-Khoroshev era. This is a post from HackRead.com Read the original post: Feds Unmask LockBit Ransomware Leader as Dmitry Yuryevich Khoroshev		 Ransomware Legislation ★★★★
Chercheur.webp 2024-05-07 17:36:14 Les États-Unis facturent un homme russe en tant que patron de Lockbit Ransomware Group
U.S. Charges Russian Man as Boss of LockBit Ransomware Group (lien direct)		 Les États-Unis ont rejoint le Royaume-Uni et l'Australie aujourd'hui pour sanctionner le ressortissant russe de 31 ans, Dmitry Yuryevich Khoroshev, en tant que chef présumé du tristement célèbre groupe de ransomwares Lockbit.Le ministère américain de la Justice a également inculpé Khoroshev en tant que leader du gang \\ «Lockbitsupp» et l'a accusé d'utiliser Lockbit pour attaquer plus de 2 000 victimes et extenter au moins 100 millions de dollars en ransomwares.
The United States joined the United Kingdom and Australia today in sanctioning 31-year-old Russian national Dmitry Yuryevich Khoroshev as the alleged leader of the infamous ransomware group LockBit. The U.S. Department of Justice also indicted Khoroshev as the gang\'s leader "LockbitSupp," and charged him with using Lockbit to attack more than 2,000 victims and extort at least $100 million in ransomware payments.		 Ransomware ★★★
CS.webp 2024-05-07 16:02:27 Rapport de l'ONCD: \\ 'Transformation fondamentale \\' Dans Cyber, Tech a conduit 2023 Risques
ONCD report: \\'Fundamental transformation\\' in cyber, tech drove 2023 risks (lien direct)		 > Les risques d'infrastructure critique en évolution, les ransomwares, l'exploitation de la chaîne d'approvisionnement, les logiciels espions commerciaux et l'IA étaient les principales tendances, a rapporté le bureau.
>Evolving critical infrastructure risks, ransomware, supply chain exploitation, commercial spyware and AI were the top trends, the office reported. 		Ransomware Commercial ★★
CS.webp 2024-05-07 15:30:23 Les autorités américaines, britanniques, démasquent le ressortissant russe en tant qu'administrateur de Lockbit
US, UK authorities unmask Russian national as LockBit administrator (lien direct)		 > Dmitry Yuryevich Khoroshev est le moteur de l'un des syndicats de ransomware les plus virulents de ces dernières années, ont déclaré les autorités.
>Dmitry Yuryevich Khoroshev is the driving force behind one of the most virulent ransomware syndicates in recent years, authorities said. 		Ransomware ★★★
InfoSecurityMag.webp 2024-05-07 15:30:00 Ransomware frappe Wichita, services perturbés
Ransomware Strikes Wichita, Services Disrupted (lien direct)		 Les systèmes de paiement en ligne, tels que ceux des factures d'eau et des citations des tribunaux, sont toujours hors ligne
Online payment systems, such as those for water bills and court citations, are still offline		 Ransomware ★★★
DarkReading.webp 2024-05-07 15:24:12 Les services publics de la ville de Wichita ont perturbé l'attaque des ransomwares
City of Wichita Public Services Disrupted After Ransomware Attack (lien direct)		 La ville a été forcée de fermer ses réseaux informatiques et continue d'enquêter sur un cyber-incident majeur survenu au cours du week-end.
The city was forced to shut down its IT networks and continues to investigate a major cyber incident that happened over the weekend.		 Ransomware ★★★
globalsecuritymag.webp 2024-05-07 11:41:03 Cloudrerso sélectionne le nuage distribué DS3 hyper-résilient de Cubbit \\ pour obtenir la sécurité des données
CloudReso selects Cubbit\\'s hyper-resilient DS3 distributed cloud to achieve data security (lien direct)		 MSP Cloudrerso sélectionne le nuage distribué DS3 hyper-résilient de Cubbit \\ pour réaliser la sécurité des données et 30% d'économies sur les coûts de stockage Avec Cubbit DS3, le MSP Cloudrerso basé en français peut offrir une souveraineté de données sans précédent, une résilience géographique et une protection des ransomwares - actualités du marché
MSP CloudReso selects Cubbit\'s hyper-resilient DS3 distributed cloud to achieve data security and 30% savings on storage costs With Cubbit DS3, French-based MSP CloudReso can offer unprecedented data sovereignty, geographical resilience, and ransomware protection - Market News		 Ransomware Cloud ★★
News.webp 2024-05-07 02:10:30 Les ransomwares évoluent d'une simple extorsion aux attaques psychologiques \\ '\\'
Ransomware evolves from mere extortion to \\'psychological attacks\\' (lien direct)		 Crims Sim échange des cadres \\ 'pour faire paniquer leurs parents, le CTO mandiant dit RSAC Les infections et les attaques d'extorsion sont devenues "une attaque psychologique contre l'organisation victime"Comme les criminels utilisent des tactiques de plus en plus personnelles et agressives pour forcer les victimes à payer, selon le mandiant appartenant à Google.…
Crims SIM swap execs\' kids to freak out their parents, Mandiant CTO says RSAC  Ransomware infections and extortion attacks have become "a psychological attack against the victim organization," as criminals use increasingly personal and aggressive tactics to force victims to pay up, according to Google-owned Mandiant.…		 Ransomware ★★★
InfoSecurityMag.webp 2024-05-06 20:00:00 #RSAC: Les démontages des forces de l'ordre forcent les affiliés des ransomwares pour se diversifier
#RSAC: Law Enforcement Takedowns Force Ransomware Affiliates to Diversify (lien direct)		 Un nouveau rapport sur la chaîne de chaînes a montré que les récentes opérations d'application de la loi ont poussé les affiliés des ransomwares pour utiliser de plus en plus plusieurs souches afin de rester à flot
A new Chainalysis report showed that recent law enforcement operations have pushed ransomware affiliates to increasingly use multiple strains in order to stay afloat		 Ransomware Legislation ★★★
ProofPoint.webp 2024-05-06 17:05:52 Liens qui mentent: arrêtez les attaques basées sur une URL avant de commencer
Links That Lie: Stop URL-Based Attacks Before They Start (lien direct)		 Les cyber-menaces les plus dommageables n'ont pas aujourd'hui des machines cibles ou des systèmes, ils ciblent les humains.Aujourd'hui, 74% des violations de données reposent sur l'exploitation de l'élément humain.Des employés cliquant sur des liens malveillants à la tromperie par des courriels se faisant passer pour des dirigeants et des fournisseurs, les attaques ciblées humaines mettent en péril les entreprises dans le monde entier. & NBSP; En ce qui concerne les menaces de courrier électronique ciblées, Proofpoint a vu les attaquants éloigner des pièces jointes statiques vers des liens malveillants qui doivent être déclenchés par des clics humains pour initier une attaque plus large.Que leur objectif soit de lancer une attaque de phishing et de voler des informations d'identification ou des utilisateurs directs vers des sites Web chargés de logiciels malveillants et de libérer les ransomwares, les adversaires comptent désormais les URL malveillants comme l'une de leurs tactiques préférées pour poursuivre leurs attaques. Pour aider les organisations à arrêter les attaques basées sur une URL avant même de commencer, Proofpoint est d'introduire la première capacité de maintien et de sable préalable de l'industrie et de la capacité de sable dans le cadre de la protection des menaces de preuves.Lorsqu'il est combiné avec nos protections de clics, il crée l'ensemble le plus formidable de mesures de défense en profondeur disponibles pour les organisations afin d'empêcher les attaques d'atteindre leurs cibles humaines. & NBSP; Menaces basées sur une URL: une technique d'attaquant populaire Les données récentes de l'intelligence et de la recherche sur les menaces de preuves montrent que le nombre moyen de menaces basées sur URL quotidiennes a augmenté à plus de 4,5 millions.Il s'agit d'une augmentation alarmante de 119% au cours des trois dernières années. & NBSP; Infographie: 1 clics sur 7 sur les liens malveillants se produit en 60 secondes de livraison. & Nbsp; Ce qui est également préoccupant, c'est la vitesse à laquelle ces attaques peuvent causer des dommages.La recherche de Proofpoint montre que 1 clic sur 7 sur un lien dangereux se produit en moins de 60 secondes après la livraison d'un e-mail.Cette réponse à clic rapide démontre la nature critique d'une forte protection avant la livraison pour réduire le risque que les utilisateurs cliquent sur des liens malveillants. Amélioration de la protection de la prédivision pour les menaces basées sur l'URL Notre nouvelle capacité permet aux organisations de contenir des messages suspects avec des URL pour l'analyse du bac à sable, minimisant le risque qu'un utilisateur s'engage avec l'URL malveillante.Nous utilisons des signaux comportementaux et de l'intelligence des menaces pour déterminer si un message doit être détenu pour une inspection plus approfondie.Notre technologie de bac à sable effectue une analyse exhaustive de l'URL en utilisant une analyse statique et dynamique, ainsi qu'une exécution assistée par l'analyste pour maximiser la détection et l'extraction de l'intelligence. Maintenir et les messages de bac à sable avec des URL suspects arrêtent les menaces avant d'atteindre les utilisateurs. Défense continue avec protection contre le temps de clics Les URL ne sont pas toujours nées malveillantes.Ils peuvent devenir armées après la livraison.En tant que tels, les e-mails contenant des liens nécessitent un examen constant pour se protéger contre les menaces avancées.C'est pourquoi l'analyse continue de la pré-livraison à l'heure de clic est si importante pour arrêter les attaques basées sur l'URL.Avec notre nouvelle prise avant la livraison &Sandbox pour la capacité de l'URL suspecte, ProofPoint fournit de manière unique la protection de bout en bout la plus avancée contre les menaces URL. ProofPoint fournit de manière unique une défense continue pour les menaces basées sur l'URL. Détection de pré-livraison.ProofPoint identifie et bloque les attaques avant d'att Ransomware Threat ★★★
RiskIQ.webp 2024-05-06 16:26:54 Faits saillants hebdomadaires, 6 mai 2024
Weekly OSINT Highlights, 6 May 2024 (lien direct)		 ## Snapshot Last week\'s OSINT reporting reveals a spectrum of sophisticated cyber threats orchestrated by diverse threat actors targeting organizations globally. The articles highlight various attack vectors, including DNS manipulation techniques (Muddling Meerkat), social engineering tactics with Python-based RATs (DEV#POPPER), and ransomware campaigns exploiting legitimate files (Sophos ransomware). Threat actors range from nation-state affiliated groups like Muddling Meerkat to financially motivated actors leveraging ransomware like Dagon Locker. Several reports highlight the persistent nature of cyber threats as threat actors continue to exploit well-known vulnerabilities like [CVE-2015-2051](https://sip.security.microsoft.com/intel-explorer/cves/CVE-2015-2051/description) and evolve established tools such as the[ZLoader banking trojan](https://sip.security.microsoft.com/intel-profiles/cbcac2a1de4e52fa5fc4263829d11ba6f2851d6822569a3d3ba9669e72aff789)to launch successful attacks. These findings emphasize the ongoing need for organizations to prioritize patch management and remain vigilant against evolving tactics employed by threat actors leveraging both known and refined techniques to infiltrate systems and compromise networks. ## Description 1. [**Cyberattacks Targeting Poorly Managed MS-SQL Servers**](https://sip.security.microsoft.com/intel-explorer/articles/f5f3ecc6): Threat actors exploit vulnerabilities in improperly managed MS-SQL servers to install Mallox ransomware. The attack involves deploying Remcos RAT for system control and leveraging a custom remote screen control malware, highlighting the risk posed by insecure database management practices. 2. [**Sophos Ransomware Campaign Exploiting Legitimate Files**](https://security.microsoft.com/intel-explorer/articles/e27d7355): Sophisticated ransomware campaign exploits legitimate Sophos executables and DLLs by altering their content and inserting malicious payloads like Cobalt Strike and Brute Ratel. Attackers use JavaScript loaders via email for initial access, disguising malicious activity within seemingly legitimate files to evade detection. 3. [**Social Engineering Attack Targeting Developers**](https://security.microsoft.com/intel-explorer/articles/7ef7309c): North Korean threat actors use fake job interviews to deliver Python-based RATs to developers, exploiting their trust in the job application process. The attackers mimic real companies and interview processes to deceive developers into downloading and executing malicious software. 4. [**Detailed Account of Intrusion using IcedID and Cobalt Strike**](https://security.microsoft.com/intel-explorer/articles/55e96eb8): A comprehensive incident report details a sophisticated intrusion involving IcedID malware and Cobalt Strike beacons. The threat actors employed multiple evasion techniques, lateral movement tools, and exfiltration methods, culminating in the deployment of Dagon Locker ransomware. 5. [**Evolution of ZLoader Trojan with New Evasion Tactics**](https://sip.security.microsoft.com/intel-explorer/articles/0d7c21ec): ZLoader, a modular banking trojan derived from ZeuS source code, reappears with enhanced obfuscation methods and anti-analysis features. This malware\'s evolution demonstrates a strategic effort to evade detection and limit binary execution to infected systems. 6. [**Emergence of Goldoon Botnet Targeting D-Link Devices**](https://sip.security.microsoft.com/intel-explorer/articles/de08653e): The Goldoon botnet exploits CVE-2015-2051 vulnerability to compromise D-Link devices and launch denial-of-service attacks. The malware, once executed, establishes a persistent connection with a C2 server and contains 27 different attack methods, posing a significant threat to affected organizations. 7. [**Muddling Meerkat: DNS Manipulation by Nation-State Actors**](https://security.microsoft.com/intel-explorer/articles/b6049233): The threat actor group, suspected to be affiliated with China, employs DNS manipulation techniques to hijack internet traffic for strat Ransomware Malware Tool Vulnerability Threat ★★
RecordedFuture.webp 2024-05-06 11:46:15 Le gouvernement de Wichita arrête les systèmes après un incident de ransomware
Wichita government shuts down systems after ransomware incident (lien direct)		 ## Snapshot Last week\'s OSINT reporting reveals a spectrum of sophisticated cyber threats orchestrated by diverse threat actors targeting organizations globally. The articles highlight various attack vectors, including DNS manipulation techniques (Muddling Meerkat), social engineering tactics with Python-based RATs (DEV#POPPER), and ransomware campaigns exploiting legitimate files (Sophos ransomware). Threat actors range from nation-state affiliated groups like Muddling Meerkat to financially motivated actors leveraging ransomware like Dagon Locker. Several reports highlight the persistent nature of cyber threats as threat actors continue to exploit well-known vulnerabilities like [CVE-2015-2051](https://sip.security.microsoft.com/intel-explorer/cves/CVE-2015-2051/description) and evolve established tools such as the[ZLoader banking trojan](https://sip.security.microsoft.com/intel-profiles/cbcac2a1de4e52fa5fc4263829d11ba6f2851d6822569a3d3ba9669e72aff789)to launch successful attacks. These findings emphasize the ongoing need for organizations to prioritize patch management and remain vigilant against evolving tactics employed by threat actors leveraging both known and refined techniques to infiltrate systems and compromise networks. ## Description 1. [**Cyberattacks Targeting Poorly Managed MS-SQL Servers**](https://sip.security.microsoft.com/intel-explorer/articles/f5f3ecc6): Threat actors exploit vulnerabilities in improperly managed MS-SQL servers to install Mallox ransomware. The attack involves deploying Remcos RAT for system control and leveraging a custom remote screen control malware, highlighting the risk posed by insecure database management practices. 2. [**Sophos Ransomware Campaign Exploiting Legitimate Files**](https://security.microsoft.com/intel-explorer/articles/e27d7355): Sophisticated ransomware campaign exploits legitimate Sophos executables and DLLs by altering their content and inserting malicious payloads like Cobalt Strike and Brute Ratel. Attackers use JavaScript loaders via email for initial access, disguising malicious activity within seemingly legitimate files to evade detection. 3. [**Social Engineering Attack Targeting Developers**](https://security.microsoft.com/intel-explorer/articles/7ef7309c): North Korean threat actors use fake job interviews to deliver Python-based RATs to developers, exploiting their trust in the job application process. The attackers mimic real companies and interview processes to deceive developers into downloading and executing malicious software. 4. [**Detailed Account of Intrusion using IcedID and Cobalt Strike**](https://security.microsoft.com/intel-explorer/articles/55e96eb8): A comprehensive incident report details a sophisticated intrusion involving IcedID malware and Cobalt Strike beacons. The threat actors employed multiple evasion techniques, lateral movement tools, and exfiltration methods, culminating in the deployment of Dagon Locker ransomware. 5. [**Evolution of ZLoader Trojan with New Evasion Tactics**](https://sip.security.microsoft.com/intel-explorer/articles/0d7c21ec): ZLoader, a modular banking trojan derived from ZeuS source code, reappears with enhanced obfuscation methods and anti-analysis features. This malware\'s evolution demonstrates a strategic effort to evade detection and limit binary execution to infected systems. 6. [**Emergence of Goldoon Botnet Targeting D-Link Devices**](https://sip.security.microsoft.com/intel-explorer/articles/de08653e): The Goldoon botnet exploits CVE-2015-2051 vulnerability to compromise D-Link devices and launch denial-of-service attacks. The malware, once executed, establishes a persistent connection with a C2 server and contains 27 different attack methods, posing a significant threat to affected organizations. 7. [**Muddling Meerkat: DNS Manipulation by Nation-State Actors**](https://security.microsoft.com/intel-explorer/articles/b6049233): The threat actor group, suspected to be affiliated with China, employs DNS manipulation techniques to hijack internet traffic for strat Ransomware ★★
bleepingcomputer.webp 2024-05-06 10:34:36 La ville de Wichita arrête le réseau informatique après une attaque de ransomware
City of Wichita shuts down IT network after ransomware attack (lien direct)		 La ville de Wichita, Kansas, a révélé qu'elle avait été forcée de fermer des parties de son réseau après avoir subi une attaque de ransomware le week-end.[...]
The City of Wichita, Kansas, disclosed it was forced to shut down portions of its network after suffering a weekend ransomware attack. [...]		 Ransomware ★★
SecurityWeek.webp 2024-05-06 09:00:53 La ville de Wichita arrête le réseau après une attaque de ransomware
City of Wichita Shuts Down Network Following Ransomware Attack (lien direct)		 > La ville de Wichita, au Kansas, a fermé son réseau après avoir été victime d'une attaque de ransomware qui résidait au fichier.
>The City of Wichita, Kansas, has shut down its network after falling victim to a file-encrypting ransomware attack. 		Ransomware ★★
ProofPoint.webp 2024-05-06 07:54:03 Genai alimente la dernière vague des menaces de messagerie modernes
GenAI Is Powering the Latest Surge in Modern Email Threats (lien direct)		 Generative artificial intelligence (GenAI) tools like ChatGPT have extensive business value. They can write content, clean up context, mimic writing styles and tone, and more. But what if bad actors abuse these capabilities to create highly convincing, targeted and automated phishing messages at scale?   No need to wonder as it\'s already happening. Not long after the launch of ChatGPT, business email compromise (BEC) attacks, which are language-based, increased across the globe. According to the 2024 State of the Phish report from Proofpoint, BEC emails are now more personalized and convincing in multiple countries. In Japan, there was a 35% increase year-over-year for BEC attacks. Meanwhile, in Korea they jumped 31% and in the UAE 29%. It turns out that GenAI boosts productivity for cybercriminals, too. Bad actors are always on the lookout for low-effort, high-return modes of attack. And GenAI checks those boxes. Its speed and scalability enhance social engineering, making it faster and easier for attackers to mine large datasets of actionable data.  As malicious email threats increase in sophistication and frequency, Proofpoint is innovating to stop these attacks before they reach users\' inboxes. In this blog, we\'ll take a closer look at GenAI email threats and how Proofpoint semantic analysis can help you stop them.   Why GenAI email threats are so dangerous  Verizon\'s 2023 Data Breach Investigations Report notes that three-quarters of data breaches (74%) involve the human element. If you were to analyze the root causes behind online scams, ransomware attacks, credential theft, MFA bypass, and other malicious activities, that number would probably be a lot higher. Cybercriminals also cost organizations over $50 billion in total losses between October 2013 and December 2022 using BEC scams. That represents only a tiny fraction of the social engineering fraud that\'s happening. Email is the number one threat vector, and these findings underscore why. Attackers find great success in using email to target people. As they expand their use of GenAI to power the next generation of email threats, they will no doubt become even better at it.  We\'re all used to seeing suspicious messages that have obvious red flags like spelling errors, grammatical mistakes and generic salutations. But with GenAI, the game has changed. Bad actors can ask GenAI to write grammatically perfect messages that mimic someone\'s writing style-and do it in multiple languages. That\'s why businesses around the globe now see credible malicious email threats coming at their users on a massive scale.   How can these threats be stopped? It all comes down to understanding a message\'s intent.   Stop threats before they\'re delivered with semantic analysis  Proofpoint has the industry\'s first predelivery threat detection engine that uses semantic analysis to understand message intent. Semantic analysis is a process that is used to understand the meaning of words, phrases and sentences within a given context. It aims to extract the underlying meaning and intent from text data.  Proofpoint semantic analysis is powered by a large language model (LLM) engine to stop advanced email threats before they\'re delivered to users\' inboxes in both Microsoft 365 and Google Workspace.   It doesn\'t matter what words are used or what language the email is written in. And the weaponized payload that\'s included in the email (e.g., URL, QR code, attached file or something else) doesn\'t matter, either. With Proofpoint semantic analysis, our threat detection engines can understand what a message means and what attackers are trying to achieve.   An overview of how Proofpoint uses semantic analysis.  How it works   Proofpoint Threat Protection now includes semantic analysis as an extra layer of threat detection. Emails must pass through an ML-based threat detection engine, which analyzes them at a deeper level. And it does Ransomware Data Breach Tool Vulnerability Threat ChatGPT ★★★
bleepingcomputer.webp 2024-05-06 07:06:12 Le site saisi de Lockbit \\ prend vie pour taquiner de nouvelles annonces de police
Lockbit\\'s seized site comes alive to tease new police announcements (lien direct)		 Le NCA, le FBI et Europol ont relancé un site de fuite de données de ransomware de verrouillage saisi pour faire allusion à de nouvelles informations révélées par les forces de l'ordre ce mardi.[...]
The NCA, FBI, and Europol have revived a seized LockBit ransomware data leak site to hint at new information being revealed by law enforcement this Tuesday. [...]		 Ransomware Legislation ★★★
ProofPoint.webp 2024-05-06 05:52:32 La sécurité des e-mails est désormais redéfinie avec des capacités de protection des menaces adaptatives dans toute la chaîne de livraison
Email Security is Now Redefined with Adaptive Threat Protection Capabilities Across the Entire Delivery Chain (lien direct)		 Another RSA Conference has arrived, and with it comes the gold standard report for our industry, the Verizon DBIR. And for yet another year, it concludes the same thing: the human element is central to the vast majority of breaches (76% this year), especially the ones that matter, from ransomware to BEC to data loss. The very first word of the 2024 DBIR is also not new; it\'s “phishing”. Email security has always been central to human risk: it\'s the #1 way users encounter threats, the #1 way users make mistakes, and the #1 way attackers get what they want, from credentials to wire transfers to malware infections. Proofpoint has a long history of stopping more human-targeted threats than anyone else. Our long history of firsts includes the first ML models to stop unwanted messages, the first rewriting of URLs for click-time protection, and the first connection of a malware sandbox to email. But attackers have continued to innovate and so have we – starting now, we\'re setting a new standard for protection across the entire email delivery chain. Building an Unmatched Detection Ensemble What organizations need in email security is simple to describe but hard to do: a single solution to protect against every type of threat, every time, every way a user may encounter it, using every form of detection. Our detection ensemble was already the industry\'s most effective, including threat intelligence, static analysis, sandboxing, click-time protection, and our unique set of Nexus AI models. I\'m thrilled to announce that we have now added the industry\'s first ever pre-delivery protections to stop social engineering and malicious URLs, as well as our newly integrated post-delivery behavioral AI, Proofpoint Adaptive Email Security. * New capability According to our data across more than 500,000 organizations, including 87 of the Fortune 100, attackers rely on two techniques more frequently than any others: text-based social engineering and malicious URLs. While we already detect both these threat types at the highest rates in the industry, we wanted to push the envelope – not just detecting them, but detecting them as early as possible. To make this a reality, we optimized the performance of our Nexus AI LLM-based detection model by 10X, enabling us to use semantic analysis to interpret a malicious message\'s intent (such as invoicing fraud), regardless of the words they use or even the language they write in. In parallel, we built the capability for our gateway to hold messages with suspicious URLs until they are sandboxed. The result is the most formidable set of defense in-depth measures available for organizations to prevent attacks from reaching their targets. Continuous End-to-End Detection with Proofpoint Adaptive Email Security Joining our pre-delivery enhancements is Proofpoint Adaptive Email Security, our API-based offering that integrates with Microsoft 365 and applies our broad detection ensemble to stop advanced threats, including BEC, social engineering and lateral phishing messages. Once deployed, Adaptive Email Security enriches all detections with easy-to-understand explanations about behavioral anomalies observed. Additionally, it automatically quarantines high confidence threats, while delivering real-time coaching using contextual warning banners to alert users to the risks in social engineering and BEC-type emails that don\'t contain an obvious malicious payload.  Insight into a malicious message generated by Adaptive Email Security The Next Level While we\'re thrilled for you all to experience our latest set of innovations, we know we can still do more to help you protect your people. That takes two main forms: continuing to lead with Nexus AI, and deepening and strengthening our ecosystem partnerships. Nexus AI: The value of our proprietary data is enhanced by contextual insights and in-depth classification from our leading team of threat researchers and data scientists, who track adversaries, analyze evolving attacker tradecraft, profile data exfiltration pa Ransomware Malware Threat Conference ★★★
IndustrialCyber.webp 2024-05-05 06:13:39 Une menace croissante de logiciels malveillants et de ransomwares continue de mettre en danger les environnements industriels
Growing threat of malware and ransomware attacks continues to put industrial environments at risk (lien direct)		 > Les environnements industriels sont confrontés à une menace croissante des logiciels malveillants et des attaques de ransomwares, posant des risques importants à l'infrastructure critique, à la fabrication ...
>Industrial environments face a growing threat from malware and ransomware attacks, posing significant risks to critical infrastructure, manufacturing... 		Ransomware Malware Threat Industrial ★★★
RiskIQ.webp 2024-05-03 20:14:15 Les acteurs menacés attaquent les serveurs MS-SQL pour déployer des ransomwares
Threat Actors Attacking MS-SQL Servers to Deploy Ransomware (lien direct)		 ## Instantané Les professionnels de la cybersécurité de GBhackers ont découvert une série de cyberattaques ciblant les serveurs Microsoft SQL (MS-SQL) mal gérés pour installer les ransomwares de Mallox sur les systèmes. ** En savoir plus sur la couverture de Microsoft \\ pour [MalloxRansomware ici.] (Https://sip.security.microsoft.com/intel-profiles/7fbe39c998c8a495a1652ac6f8bd34852c00f97dc61278cafc56dca1d443131e) ** ##Description Le modus operandi du groupe des acteurs de la menace implique d'exploiter les vulnérabilités dans des serveurs MS-SQL mal gérés.En utilisant des attaques de force brute et du dictionnaire, les attaquants obtiennent un accès non autorisé, ciblant principalement le compte SA (administrateur système système). Une fois à l'intérieur, ils déploient l'outil d'accès à distance REMCOS (RAT) pour prendre le contrôle du système infecté.Remcos Rat, initialement utilisé pour la violation et le contrôle du système, a été réutilisé par des attaquants pour des activités malveillantes, avec des capacités telles que le keylogging, la capture de capture d'écran et le contrôle sur les webcams et les microphones.De plus, un logiciel malveillant à télécommande sur mesure est déployé, permettant aux attaquants d'accéder au système infecté à l'aide de l'ID AnyDesk obtenu à partir du serveur de commande et de contrôle. Le ransomware de Mallox, connu pour cibler les serveurs MS-SQL, a ensuite été installé pour crypter le système.Mallox Ransomware, utilise des algorithmes de cryptage AES-256 et SHA-256, ajoutant une extension ".rmallox" aux fichiers cryptés. Les modèles d'attaque observés dans cette campagne ressemblent à une ressemblance frappante avec les incidents précédents impliquant le Coinmin Tor2mine et le ransomware Bluesky, suggérant le travail du même groupe de menaces. ## Recommandations La documentation technique Microsoft SQL Server et les étapes pour sécuriser les serveurs SQL peuvent être trouvées ici: [Documentation de sécurité pour SQL Server & Azure SQL Base de données - SQL Server |Microsoft Learn] (https://learn.microsoft.com/en-us/sql/relationd-databases/security/security-center-for-sql-server-database-engine-and-azure-sql-database?view=SQL-Server-Ver16) ## Les références ["Les acteurs de la menace attaquant les serveurs MS-SQL pour déployer les ransomwares"] (https://gbhackers.com/ms-sql-deploy-ransomware/) GBHACKERS (consulté en 2024-05-03).
## Snapshot Cybersecurity professionals at GBHackers have discovered a series of cyberattacks targeting poorly managed Microsoft SQL (MS-SQL) servers to install Mallox Ransomware on systems. **Read more about Microsoft\'s coverage for [Mallox Ransomware here.](https://sip.security.microsoft.com/intel-profiles/7fbe39c998c8a495a1652ac6f8bd34852c00f97dc61278cafc56dca1d443131e)** ## Description The threat actor group\'s modus operandi involves exploiting vulnerabilities in improperly managed MS-SQL servers. By employing brute force and dictionary attacks, the attackers gain unauthorized access, primarily targeting the SA (System Administrator) account.  Once inside, they deploy the Remcos Remote Access Tool (RAT) to take control of the infected system. Remcos RAT, initially used for system breach and control, has been repurposed by attackers for malicious activities, featuring capabilities such as keylogging, screenshot capture, and control over webcams and microphones.  Additionally, a custom-made remote screen control malware is deployed, allowing attackers to gain access to the infected system using the AnyDesk ID obtained from the command and control server. Mallox ransomware, known for targeting MS-SQL servers, was then installed to encrypt the system.  Mallox ransomware, utilizes AES-256 and SHA-256 encryption algorithms, appending a ".rmallox" extension to encrypted files. The attack patterns observed in this campaign bear a striking resemblance to 		Ransomware Malware Tool Vulnerability Threat Technical ★★★
DarkReading.webp 2024-05-03 18:04:14 Revil Affiliate Off to Prison pour un régime de ransomwares de plusieurs millions de dollars
REvil Affiliate Off to Jail for Multimillion-Dollar Ransomware Scheme (lien direct)		 Les accusations contre le membre du gang ransomware ont inclus des dommages aux ordinateurs, le complot en vue de commettre une fraude et le complot en vue de commettre un blanchiment d'argent.
Charges against the ransomware gang member included damage to computers, conspiracy to commit fraud, and conspiracy to commit money laundering.		 Ransomware ★★★
ESET.webp 2024-05-03 14:59:04 Payer, ou bien?& # 8211;Semaine en sécurité avec Tony Anscombe
Pay up, or else? – Week in security with Tony Anscombe (lien direct)		 Les organisations qui sont victimes d'une attaque de ransomware sont souvent capturées entre un rocher et un endroit dur, aux prises avec le dilemme de payer ou non
Organizations that fall victim to a ransomware attack are often caught between a rock and a hard place, grappling with the dilemma of whether to pay up or not		 Ransomware ★★
DarkReading.webp 2024-05-02 22:10:42 Mimic lance avec une nouvelle plate-forme de défense des ransomwares
Mimic Launches With New Ransomware Defense Platform (lien direct)		 La nouvelle plate-forme SaaS de la nouvelle startup \\ prétend aider les organisations à détecter les attaques de ransomwares plus rapidement que les méthodes «traditionnelles» et à récupérer dans les 24 heures.
The new startup\'s SaaS platform claims to help organizations detect ransomware attacks faster than “traditional” methods and to recover within 24 hours.		 Ransomware Cloud ★★
TechWorm.webp 2024-05-02 19:13:15 Les pirates peuvent réinitialiser votre mot de passe gitlab et le remettre sur leur e-mail
Hackers Can Reset Your Gitlab Password and Get It On Their Email (lien direct)		 L'Agence américaine de sécurité de la cybersécurité et de l'infrastructure (CISA) a ajouté une nouvelle vulnérabilité à son catalogue de vulnérabilités exploité connu sur la base de preuves d'exploitation active trouvées dans la plate-forme DevOps Gitlab. La vulnérabilité a été suivie comme cve-2023-7028 (Score CVSS: 10) permet à un acteur de menace de déclencher des e-mails de réinitialisation du mot de passe à envoyer des adresses e-mail arbitraires et non vérifiées, en fin de compte de reprise du compte sans interaction utilisateur. De plus, l'exploitation réussie de la vulnérabilité pourrait également conduire à des attaques de chaîne d'approvisionnement en insérant du code malveillant dans des environnements CI / CD (intégration continue / déploiement continu). Bien que ceux qui ont l'authentification à deux facteurs (2FA) activé sont vulnérables à la réinitialisation du mot de passe, ils ne sont cependant pas vulnérables à la prise de contrôle des comptes, car leur deuxième facteur d'authentification est requis pour se connecter. Par conséquent, il est essentiel de patcher les systèmes où les comptes ne sont pas protégés par cette mesure de sécurité supplémentaire. Le bogue CVE-2023-7028 découvert dans Gitlab Community Edition (CE) et Enterprise Edition (EE) affectent toutes les versions de 16.1 avant 16.1.6, 16.2 avant 16.2.9, 16.3 avant 16.3.7, 16.4Avant 16.4.5, 16.5 avant 16.5.6, 16.6 avant 16.6.4 et 16.7 avant 16.7.2. La faille a été traitée dans les versions Gitlab 16.7.2, 16.6.4 et 16.5.6, et les correctifs ont été recouverts aux versions 16.1.6, 16.2.9 et 16.3.7. gitLab a a dit Il n'a détecté aucun abus de vulnérabilité CVE-2023-7028 sur les plateformes gérées parGitLab, y compris Gitlab.com et GitLab Dédié des instances. Cependant, le service de surveillance des menaces, la ShadowServer Foundation, a trouvé plus de 5 300 cas de serveurs Gitlab exposés à des attaques de rachat de compte zéro clique en janvier (les correctifs de sécurité de la semaine ont été publiés), un nombre qui n'a diminué que de 55 seulement 55% à partir de mardi. La CISA a confirmé que la vulnérabilité CVE-2023-7028 était activement exploitée dans les attaques et a demandé aux agences fédérales américaines de sécuriser leurs systèmes jusqu'au 22 mai 2024, ou de supprimer l'utilisation du produit si les atténuations ne sont pas disponibles. Ransomware Vulnerability Threat ★★★
The_Hackers_News.webp 2024-05-02 17:56:00 Ukrainien Revil Hacker condamné à 13 ans et condamné à payer 16 millions de dollars
Ukrainian REvil Hacker Sentenced to 13 Years and Ordered to Pay $16 Million (lien direct)		 Un ressortissant ukrainien a été condamné à plus de 13 ans de prison et condamné à payer 16 millions de dollars en restitution pour avoir effectué des milliers d'attaques de ransomwares et d'extorquer les victimes. Yaroslav Vasinskyi (alias Rabotnik), 24 ans, ainsi que ses co-conspirateurs & nbsp; Part & nbsp; de la & nbsp; Revil Ransomware Group & NBSP; a orchestré plus de 2500 attaques de ransomware et exigé des paiements de déménage
A Ukrainian national has been sentenced to more than 13 years in prison and ordered to pay $16 million in restitution for carrying out thousands of ransomware attacks and extorting victims. Yaroslav Vasinskyi (aka Rabotnik), 24, along with his co-conspirators part of the REvil ransomware group orchestrated more than 2,500 ransomware attacks and demanded ransom payments in		 Ransomware Legislation ★★
RecordedFuture.webp 2024-05-02 11:51:34 Ukrainien condamné à près de 14 ans pour avoir infecté des milliers de personnes avec Revil Ransomware
Ukrainian sentenced to almost 14 years for infecting thousands with REvil ransomware (lien direct)		 Un ressortissant ukrainien a été condamné à plus de 13 ans de prison et condamné à payer 16 millions de dollars en restitution pour avoir effectué des milliers d'attaques de ransomwares et d'extorquer les victimes. Yaroslav Vasinskyi (alias Rabotnik), 24 ans, ainsi que ses co-conspirateurs & nbsp; Part & nbsp; de la & nbsp; Revil Ransomware Group & NBSP; a orchestré plus de 2500 attaques de ransomware et exigé des paiements de déménage
A Ukrainian national has been sentenced to more than 13 years in prison and ordered to pay $16 million in restitution for carrying out thousands of ransomware attacks and extorting victims. Yaroslav Vasinskyi (aka Rabotnik), 24, along with his co-conspirators part of the REvil ransomware group orchestrated more than 2,500 ransomware attacks and demanded ransom payments in		 Ransomware ★★
bleepingcomputer.webp 2024-05-02 10:44:23 Revil Hacker derrière Kaseya Ransomware Attack obtient 13 ans de prison
REvil hacker behind Kaseya ransomware attack gets 13 years in prison (lien direct)		 Yaroslav Vasinskyi, un ressortissant ukrainien, a été condamné à 13 ans et sept mois de prison et condamné à payer 16 millions de dollars en restitution pour son implication dans l'opération de ransomware Revil.[...]
Yaroslav Vasinskyi, a Ukrainian national, was sentenced to 13 years and seven months in prison and ordered to pay $16 million in restitution for his involvement in the REvil ransomware operation. [...]		 Ransomware Legislation ★★
InfoSecurityMag.webp 2024-05-02 10:00:00 Revil Ransomware Affiliate condamné à plus de 13 ans de prison
REvil Ransomware Affiliate Sentenced to Over 13 Years in Prison (lien direct)		 Un tribunal américain a condamné un ressortissant ukrainien à 13 ans et sept mois de prison pour son rôle dans plus de 2500 attaques de ransomwares en utilisant la souche Revil
A US court has sentenced a Ukrainian national to 13 years and seven months in prison for his role in over 2500 ransomware attacks using the REvil strain		 Ransomware Legislation ★★
Blog.webp 2024-05-02 00:15:52 Analyse des attaques de TargetCompany \\ contre les serveurs MS-SQL (Mallox, Bluesky Ransomware)
Analysis of TargetCompany\\'s Attacks Against MS-SQL Servers (Mallox, BlueSky Ransomware) (lien direct)		 While monitoring attacks targeting MS-SQL servers, AhnLab SEcurity intelligence Center (ASEC) recently identified cases of theTargetCompany Ransomware Group Installation du ransomware Mallox.Le groupe Ransomware TargetCompany cible principalement les serveurs MS-SQL mal gérés pour installer le ransomware Mallox.Bien que ces attaques soient en cours depuis plusieurs années, nous allons ici décrire la corrélation entre les logiciels malveillants nouvellement identifiés et les cas d'attaque antérieurs impliquant la distribution du Coinmin Tor2Mine et des ransomwares bluesky.Semblable aux cas précédents, cette attaque a ciblé mal ...
While monitoring attacks targeting MS-SQL servers, AhnLab SEcurity intelligence Center (ASEC) recently identified cases of the TargetCompany ransomware group installing the Mallox ransomware. The TargetCompany ransomware group primarily targets improperly managed MS-SQL servers to install the Mallox ransomware. While these attacks have been ongoing for several years, here we will outline the correlation between the newly identified malware and previous attack cases involving the distribution of the Tor2Mine CoinMiner and BlueSky ransomware. Similar to previous cases, this attack targeted improperly... 		Ransomware Malware ★★
RiskIQ.webp 2024-05-01 20:56:45 La campagne de logiciels malveillants tente la maltraitance des binaires de sophos
Malware Campaign Attempts Abuse of Sophos Binaries (lien direct)		 ## Instantané Sophos discute d'une campagne de ransomwares qui exploite des exécutables et des DLL légitimes de Sophos en modifiant leur contenu d'origine, en écrasant le code de point d'entrée et en insérant la charge utile déchiffrée comme ressource. ## Description Cette usurpation d'identité des fichiers légitimes vise à infiltrer les systèmes.L'enquête a révélé plusieurs charges utiles, telles que Cobalt Strike, Brute Ratel, Qakbot et Latrodectus, indiquant l'implication de plus d'un groupe criminel. L'accès initial aux systèmes des victimes \\ 'impliquait l'utilisation de chargeurs JavaScript envoyés par e-mail.Le comportement malveillant vise à confondre les analystes en se déguisant en fichiers légitimes, en évitant potentiellement la détection.Les attaquants ont ciblé plusieurs exécutables Sophos And dlls, y compris sophosleanup.exe, sophosfstelemetry.exe, sophosfx.exe, sophosintelixpackager.exe, sophosntpuninstall.eXE, Healthapi.dll et Sophosuninstall.exe.Ces fichiers se sont révélés malveillants et ont été associés à diverses charges utiles et connexions C2. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces de ransomware. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus ou l'équivalent pour que votre produit antivirus couvre des outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une énorme majorité de variantes nouvelles et inconnues. - Allumez [Protection Tamper] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=Magicti_TA_LearnDoc).Empêcher les attaquants d'empêcher les services de sécurité. - Exécutez [Détection et réponse de point de terminaison (EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-lock-mode?ocid=Magicti_TA_Learndoc), de sorte que celaLe défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants détectés après la durée. - Activer [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?ocid=Magicti_TA_Learndoc) en mode automatisé complet pour permettre au défenseur de prendre une action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate surAlertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - Les clients de Microsoft Defender peuvent activer [Règles de réduction de la surface d'attaque] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-reduction?ocid=Magicti_TA_LearnDoc) pour prévenir les techniques d'attaque communes utilisées utilisées Ransomware Malware Tool Threat ★★
InfoSecurityMag.webp 2024-05-01 16:00:00 Lockbit, Black Basta, Play Domine Ransomware au T1 2024
LockBit, Black Basta, Play Dominate Ransomware in Q1 2024 (lien direct)		 Les données de Reliaquest suggèrent également que Lockbit a été confronté à un revers important en raison de l'action en matière d'application de la loi
The data from ReliaQuest also suggests LockBit faced a significant setback due to law enforcement action		 Ransomware Legislation ★★
globalsecuritymag.webp 2024-05-01 13:40:29 Activité des ransomwares en baisse de 18% Q1 2024 vs Q4 2023 - Nouveau rapport de rediaquest
Ransomware activity down 18% Q1 2024 vs Q4 2023 - new ReliaQuest report (lien direct)		 Activité des ransomwares en baisse de 18% Q1 2024 vs Q4 2023 - Nouveau rapport de rediaquest - rapports spéciaux
Ransomware activity down 18% Q1 2024 vs Q4 2023 - new ReliaQuest report - Special Reports		 Ransomware ★★
RecordedFuture.webp 2024-05-01 13:14:15 Se remettre des attaques de ransomwares pourrait coûter au conseil écossais éloigné & Pound; 500 000
Recovering from ransomware attack could cost remote Scottish council £500,000 (lien direct)		 Activité des ransomwares en baisse de 18% Q1 2024 vs Q4 2023 - Nouveau rapport de rediaquest - rapports spéciaux
Ransomware activity down 18% Q1 2024 vs Q4 2023 - new ReliaQuest report - Special Reports		 Ransomware ★★
InfoSecurityMag.webp 2024-05-01 13:00:00 1 sur 5 US Ransomware Attacks déclenche un procès
1 in 5 US Ransomware Attacks Triggers Lawsuit (lien direct)		 Comparerch a constaté que 18% des incidents de ransomware aux États-Unis ont conduit à un procès en 2023, avec 59% des poursuites terminées depuis 2018 prouvant de succès
Comparitech found that 18% of ransomware incidents in the US led to a lawsuit in 2023, with 59% of completed lawsuits since 2018 proving successful		 Ransomware ★★
bleepingcomputer.webp 2024-05-01 12:38:04 French hospital CHC-SV refuses to pay LockBit extortion demand (lien direct) The Hôpital de Cannes - Simone Veil (CHC-SV) in France announced it received a ransom demand from the Lockbit 3.0 ransomware gang, saying they refuse to pay the ransom. [...]
The Hôpital de Cannes - Simone Veil (CHC-SV) in France announced it received a ransom demand from the Lockbit 3.0 ransomware gang, saying they refuse to pay the ransom. [...]		 Ransomware ★★
globalsecuritymag.webp 2024-05-01 09:15:10 Les paiements de ransomwares augmentent de 500% au cours de la dernière année, trouve le rapport Sophos State of Ransomware
Ransomware Payments Increase 500% In the Last Year, Finds Sophos State of Ransomware Report (lien direct)		 Les paiements de ransomware augmentent de 500% au cours de la dernière année, trouve le rapport Sophos State of Ransomware Le taux des attaques de ransomwares baisse légèrement, mais les coûts de récupération ont atteint 2,73 millions de dollars - rapports spéciaux
Ransomware Payments Increase 500% In the Last Year, Finds Sophos State of Ransomware Report Rate of Ransomware Attacks Falls Slightly, But Recovery Costs Hit $2.73 million - Special Reports		 Ransomware ★★★
ArsTechnica.webp 2024-04-30 20:44:58 Le géant des soins de santé est propre au sujet du hack récent et de la rançon payée
Health care giant comes clean about recent hack and paid ransom (lien direct)		 Attaque des ransomwares contre le marché des prescriptions américaines à 371 milliards de dollars.
Ransomware attack on the $371 billion company hamstrung US prescription market.		 Ransomware Hack ★★
News.webp 2024-04-30 20:02:59 PDG de UnitedHealth: \\ 'La décision de payer la rançon était la mine \\'
UnitedHealth CEO: \\'Decision to pay ransom was mine\\' (lien direct)		 Congress to hear how Citrix MFA snafu led to data theft, $870M+ loss UnitedHealth CEO Andrew Witty will tell US lawmakers Wednesday the cybercriminals who hit Change Healthcare with ransomware used stolen credentials to remotely access a Citrixle portail qui n'a pas été activé par l'authentification multi-facteurs.…
Congress to hear how Citrix MFA snafu led to data theft, $870M+ loss UnitedHealth CEO Andrew Witty will tell US lawmakers Wednesday the cybercriminals who hit Change Healthcare with ransomware used stolen credentials to remotely access a Citrix portal that didn\'t have multi-factor authentication enabled.…		 Ransomware Medical ★★★
RecordedFuture.webp 2024-04-30 17:37:51 Le Congrès cercles UnitedHealth comme les effets de l'attaque des ransomwares continue
Congress circles UnitedHealth as effects of ransomware attack continue (lien direct)		 Congress to hear how Citrix MFA snafu led to data theft, $870M+ loss UnitedHealth CEO Andrew Witty will tell US lawmakers Wednesday the cybercriminals who hit Change Healthcare with ransomware used stolen credentials to remotely access a Citrixle portail qui n'a pas été activé par l'authentification multi-facteurs.…
Congress to hear how Citrix MFA snafu led to data theft, $870M+ loss UnitedHealth CEO Andrew Witty will tell US lawmakers Wednesday the cybercriminals who hit Change Healthcare with ransomware used stolen credentials to remotely access a Citrix portal that didn\'t have multi-factor authentication enabled.…		 Ransomware Legislation ★★
InfoSecurityMag.webp 2024-04-30 16:00:00 Ransomware augmente malgré les retraits, explique Corvus Report
Ransomware Rising Despite Takedowns, Says Corvus Report (lien direct)		 Le premier trimestre de 2024 a vu l'activité la plus ransomware jamais enregistrée, Corvus Insurance trouvée dans une nouvelle analyse
The first quarter of 2024 saw the most ransomware activity ever recorded, Corvus Insurance found in a new analysis		 Ransomware ★★
Last update at: 2024-05-08 22:08:15
See our sources.
My email:

To see everything: Our RSS (filtrered) Twitter