What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-07-22 21:24:18 | Police NAB, âgée de 17 ans, liée au groupe derrière MGM Resorts Cyberattack Police nab 17-year-old linked to group behind MGM Resorts cyberattack (lien direct) |
> Un jeune de 17 ans arrêté par la police britannique jeudi serait membre du gang cybercriminal derrière l'attaque des ransomwares de l'année dernière contre les stations MGM et un certain nombre d'autres grandes entreprises.Le garçon non identifié a été libéré sous caution alors que l'enquête, qui comprend l'examen d'un certain nombre d'appareils numériques, continue, a déclaré la police dans [& # 8230;]
>A 17-year-old arrested by British police Thursday is believed to be a member of the cybercriminal gang behind last year\'s ransomware attack on MGM Resorts and a number of other major companies. The unidentified boy was released on bail as the investigation, which includes examination of a number of digital devices, continues, police said in […] |
Ransomware Legislation | ||
 |
2024-07-22 20:50:59 | Deux ressortissants étrangers plaident coupables d'avoir participé à Lockbit Ransomware Group Two Foreign Nationals Plead Guilty to Participating in LockBit Ransomware Group (lien direct) |
Pas de details / No more details | Ransomware | ||
 |
2024-07-22 20:20:43 | Fin7 Reboot |Le gang de cybercriminaux améliore les OP avec de nouveaux contournements EDR et des attaques automatisées FIN7 Reboot | Cybercrime Gang Enhances Ops with New EDR Bypasses and Automated Attacks (lien direct) |
## Instantané Sentinélone a récemment découvert des développements importants concernant le célèbre gang de cybercriminalité FIN7.Le groupe, connu pour ses opérations sophistiquées, a amélioré ses capacités avec de nouvelles techniques de contournement de détection et de réponse (EDR) et de méthodes d'attaque automatisées.Cette évolution souligne la menace continue de Fin7 \\ pour la cybersécurité. Microsoft suit cet acteur de menace comme Sangria Tempest, [en savoir plus ici.] (Https://security.microsoft.com/intel-profiles/3e4a164ad64958b784649928499521808aea4d3565df70afc7c85eae69f74278) ## Description FIN7 est actif depuis au moins 2015, ciblant principalement les institutions financières par le biais de logiciels malveillants de point de vente (POS) et de campagnes de phisces de lance.Récemment, le groupe s'est concentré sur les ransomwares, liant à divers gangs de ransomware, notamment Maze, Ryuk et Darkside. Une révélation pivot de Sentinélone est la connexion entre Fin7 et le [Black Basta] (https://security.microsoft.com/intel-profiles/0146164ed5ffa131074fa7e985f79597d2522865baaa088f25cd80c3d8d726) Ransomware.Black Basta, qui a émergé en avril 2022, a déployé des outils d'évasion EDR personnalisés développés par FIN7.Cette connexion a été établie par la découverte d'adresses IP et de tactiques, de techniques et de procédures (TTP). Un outil notable identifié est «Windefcheck.exe», qui imite l'interface graphique de sécurité Windows, les utilisateurs trompeurs en pensant à leurs systèmes sont sécurisés tout en désactivant les défenses de sécurité en arrière-plan.Cet outil est exclusivement utilisé par Black Basta depuis la mi-2022, mettant en évidence le chevauchement opérationnel entre les deux groupes. De plus, Black Basta a utilisé des techniques sophistiquées telles que l'exploitation des vulnérabilités chez les moteurs légitimes pour échapper à la détection.Par exemple, ils ont utilisé l'exploit de printnightmare et des outils comme AdFind pour l'escalade des privilèges et le mouvement latéral dans les réseaux. Le lien entre Fin7 et Black Basta suggère une collaboration plus profonde ou des ressources partagées, en particulier dans le développement d'outils d'évasion.Ce partenariat améliore la menace posée par ces groupes, car ils peuvent combiner leur expertise pour lancer des cyberattaques plus efficaces et dommageables. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Trojan: win64 / diCeloader] (https://www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=trojan:win64/diceloader.km!mtb) - [BEhavior: Win32 / Basta] (https://www.microsoft.com/en-us/wdsi/terats/malware-encycopedia-description?name = comportement: win32 / basta.a) - [Hacktool: win64 / cobaltstrike] (https://www.microsoft.com/en-us/wdsi/therets/malware-senceclopedia-description? name = hacktool: win64 / cobaltstrike) - [Ransom: win32 / basta] (htTPS: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description? name = ransom: win32 / basta) - [Trojan: Win32 / Basta] (https: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=trojan:win32/basta!bv) - [Comportement: win32 / cobaltsstrike] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=behavior:win32/cobaltstrike) - [Backdoor: win64 / cobaltstrike] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=backDoor:win64/CobalTstrike) ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Encourager les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [Microsoft Defender SmartScreen] (HTTps: //learn.microsoft.com/en-us/deployedge/microsoft-edge-security-smartscreen? ocid = magicti_ta_learndoc), qui identifie et bloque des sites Web mal | Ransomware Malware Tool Vulnerability Threat | ||
 |
2024-07-22 20:09:03 | Le système judiciaire du comté de Los Angeles devrait rouvrir mardi après une attaque de ransomware Los Angeles County court system slated to reopen Tuesday after ransomware attack (lien direct) |
Pas de details / No more details | Ransomware | ||
|
2024-07-22 18:55:27 | Un suspect d'araignée dispersé pour adolescents arrêté dans la piqûre de cybercriminalité mondiale Teenage Scattered Spider Suspect Arrested in Global Cybercrime Sting (lien direct) |
Les autorités ont l'intention d'envoyer un message à ces groupes de cybercriminalité que leurs infractions criminelles et leurs attaques de ransomwares ne valent pas les retombées.
The authorities intend to send a message to these cybercrime groups that their criminal offenses and ransomware attacks are not worth the fallout. |
Ransomware | ||
 |
2024-07-22 17:15:13 | La Cour supérieure du comté de LA ferme les portes pour redémarrer la justice après une attaque de ransomware LA County Superior Court closes doors to reboot justice after ransomware attack (lien direct) |
Certains repos pour les méchants? La Cour supérieure du comté de Los Angeles, le plus grand tribunal de première instance d'Amérique, a clôturé les 36 de ses palais de justice aujourd'hui à la suite d'une attaque de ransomware "sans précédent" vendredi.…
Some rest for the wicked? Los Angeles County Superior Court, the largest trial court in America, closed all 36 of its courthouses today following an "unprecedented" ransomware attack on Friday.… |
Ransomware | ||
 |
2024-07-22 16:15:00 | Jouer au ransomware se développe pour cibler les environnements VMware ESXi Play Ransomware Expands to Target VMWare ESXi Environments (lien direct) |
Trend Micro a également révélé une connexion entre le groupe de ransomware de jeu et l'acteur de menace prolifique Puma
Trend Micro also revealed a connection between the Play ransomware group and the threat actor Prolific Puma |
Ransomware Threat Prediction | ||
 |
2024-07-22 15:43:33 | Rapport de l'IOCTA 2024: les forces de l'ordre s'occupent des coups majeurs contre les réseaux de ransomware de perturbation de l'UE, IOCTA 2024 report: Law enforcement deals major blows against EU cybercrime, disrupt ransomware networks (lien direct) |
Un nouveau rapport d'Internet Organized Crime Threat Assessment (IOCTA) souligne qu'en 2023, les organismes chargés de l'application des lois sont livrés ...
A new report by Internet Organised Crime Threat Assessment (IOCTA) highlights that in 2023, law enforcement agencies delivered... |
Ransomware Threat Legislation | ||
|
2024-07-22 15:30:00 | Les groupes de ransomwares fragment au milieu des menaces de cybercriminalité croissantes Ransomware Groups Fragment Amid Rising Cybercrime Threats (lien direct) |
Europol a également déclaré que les tactiques d'extorsion multicouches dans les ransomwares deviennent plus courantes
Europol also said that multi-layered extortion tactics in ransomware are becoming more common |
Ransomware | ||
 |
2024-07-22 13:30:37 | L'attaque des ransomwares arrête les tribunaux du comté de LA, interrompt les transferts de détenus, les expulsions Ransomware Attack Shuts Down LA County Courts, Halts Inmate Transfers, Evictions (lien direct) |
La Cour supérieure du comté de Los Angeles, États-Unis & # 8217;Le plus grand tribunal de première instance, a subi un ransomware paralysant & # 8230;
The Superior Court of Los Angeles County, the United States’ largest trial court, has suffered a crippling ransomware… |
Ransomware | ||
 |
2024-07-22 13:02:14 | 22 juillet & # 8211;Rapport de renseignement sur les menaces 22nd July – Threat Intelligence Report (lien direct) |
> Pour les dernières découvertes en cyber recherche pour la semaine du 22 juillet, veuillez télécharger notre bulletin de renseignement sur les menaces.Les principales attaques et violation de l'American Bassett Furniture Industries ont été victimes d'une attaque de ransomware qui a entraîné le chiffrement des fichiers de données et la fermeture de ses installations de fabrication.L'attaque a considérablement perturbé [& # 8230;]
>For the latest discoveries in cyber research for the week of 22nd July, please download our Threat Intelligence Bulletin. TOP ATTACKS AND BREACHES American Bassett Furniture Industries has been a victim of a ransomware attack that resulted in the encryption of data files and the shutdown of its manufacturing facilities. The attack has significantly disrupted […] |
Ransomware Threat | ||
 |
2024-07-22 10:37:50 | La Cour supérieure de Los Angeles s'arrête après une attaque de ransomware Los Angeles Superior Court shuts down after ransomware attack (lien direct) |
Le plus grand tribunal de première instance des États-Unis, la Cour supérieure du comté de Los Angeles, a clôturé lundi les 36 emplacements du palais de justice pour restaurer les systèmes touchés par une attaque de ransomware de vendredi.[...]
The largest trial court in the United States, the Superior Court of Los Angeles County, closed all 36 courthouse locations on Monday to restore systems affected by a Friday ransomware attack. [...] |
Ransomware | ||
|
2024-07-22 10:33:31 | Faits saillants hebdomadaires, 22 juillet 2024 Weekly OSINT Highlights, 22 July 2024 (lien direct) |
## Instantané La semaine dernière, le rapport OSINT de \\ présente des groupes APT alignés par l'État et des cybercriminels motivés par l'État, tels que les ransomwares APT41 et Akira, exploitant des vulnérabilités zéro-jour et tirant parti des campagnes de phishing pour accéder au premier accès.Les attaques ciblaient principalement des secteurs comme le gouvernement, le monde universitaire et les institutions financières, ainsi que des régions géographiques spécifiques, notamment le Moyen-Orient, l'Amérique du Nord et l'Asie du Sud-Est.De plus, les réseaux sociaux et les menaces basés sur le téléphone étaient proéminents, avec des attaquants utilisant des plates-formes comme WhatsApp et des services cloud, et en tirant parti du contenu généré par l'IA.Les tactiques utilisées par ces acteurs de menace comprenaient l'utilisation d'homoglyphes, de tissage IL, de vulnérabilités de jour zéro et de techniques d'évasion sophistiquées, mettant en évidence la nature en constante évolution des cyber-menaces et la nécessité de mesures de cybersécurité robustes. ## Description 1. [APT41 cible les organisations mondiales] (https://sip.security.microsoft.com/intel-explorer/articles/3ecd0e46): mandiant et google \'s tag ont rapporté des organisations ciblant APT41 en Italie, en Espagne, Taiwan, Thaïlande, Turquie et Royaume-Uni.Le groupe a utilisé des compromis de la chaîne d'approvisionnement, des certificats numériques volés et des outils sophistiqués comme Dustpan et Dusttrap pour exécuter des charges utiles et des données d'exfiltrat. 2. [Play Ransomware cible les environnements VMware ESXi] (https://sip.security.microsoft.com/intel-explorer/articles/2435682e): Trend Micro a découvert une variante lineux de Play Ransomware ciblant les environnements VMware ESXi, marquant la première instance de Playd'une telle attaque.Le ransomware utilise des commandes ESXi spécifiques pour arrêter les machines virtuelles avant le chiffrement, montrant un élargissement potentiel des cibles à traversPlates-formes Linux. 3. [Campagne de Nuget malveillante] (https://sip.security.microsoft.com/intel-explorer/articles/186ac750): REVERSINGLABSLes chercheurs ont trouvé une campagne de Nuget malveillante où les acteurs de la menace ont utilisé des homoglyphes et un tissage pour tromper les développeurs.Ils ont inséré les téléchargeurs obscurcis dans des fichiers binaires PE légitimes et exploité les intégrations MSBuild de NuGet \\ pour exécuter du code malveillant lors des builds de projet. 4. [Attaques DDOS par des groupes hacktivistes russes] (https://sip.security.microsoft.com/intel-explorer/articles/e9fbb909): Des chercheurs de Cyble ont été signalés sur les attaques DDOHacknet, ciblant les sites Web français avant les Jeux olympiques de Paris.Ces groupes d'opération d'influence se concentrent souvent surCibles des membres ukrainiens et de l'OTAN. 5. [AndroxGh0st Maleware cible les applications Laravel] (https://sip.security.microsoft.com/intel-explorer/articles/753Beb5a): les chercheurs de Centre d'orage Internet ont identifié AndroxGh0st, un malware python-scriptCiblage des fichiers .env dans les applications Web Laravel, exploitant les vulnérabilités RCE.Le malware effectue une numérisation de vulnérabilité, déploie des shells Web et exfiltre des données sensibles. 6. [TAG-100 Activités de cyber-espionage] (https://sip.security.microsoft.com/intel-explorer/articles/7df80747): le groupe insikt de Future \\ a enregistré Future \\ découvert TAG-100 \\ s \\ 's Cyber Future.Activités ciblant les organisations gouvernementales, intergouvernementales et du secteur privé dans le monde, probablement pour l'espionnage.Le groupe utilise des outils open source et exploite les vulnérabilités nouvellement publiées dans les appareils orientés Internet. 7. [Dragonbridge Influence Operations] (https://sip.security.microsoft.com/intel-explorer/articles/3e4f73d5): le groupe d'analyse des menaces de Google \\ a été rapporté sur Dragonbridge | Ransomware Malware Tool Vulnerability Threat Mobile Prediction Cloud | APT 41 | |
 |
2024-07-22 10:07:55 | Les responsables californiens affirment que le plus grand tribunal de première instance victime d'une attaque de ransomware California Officials Say Largest Trial Court in US Victim of Ransomware Attack (lien direct) |
> La Cour supérieure du comté de Los Angeles, le plus grand tribunal de première instance des États-Unis, a été victime d'une attaque de ransomware.
>The Superior Court of Los Angeles County, the largest trial court in the US, has been the victim of a ransomware attack. |
Ransomware | ||
 |
2024-07-22 09:26:00 | Nouvelle variante Linux de Play Ransomware ciblant les systèmes VMware ESXi New Linux Variant of Play Ransomware Targeting VMWare ESXi Systems (lien direct) |
Les chercheurs en cybersécurité ont découvert une nouvelle variante Linux d'une souche de ransomware connue sous le nom de Play (aka BalloonFly et PlayCrypt) qui est conçue pour cibler les environnements VMware ESXi.
"Cette évolution suggère que le groupe pourrait élargir ses attaques sur la plate-forme Linux, conduisant à un pool de victimes élargi et à des négociations de rançon plus réussies", ont déclaré les micro-chercheurs Trend
Cybersecurity researchers have discovered a new Linux variant of a ransomware strain known as Play (aka Balloonfly and PlayCrypt) that\'s designed to target VMWare ESXi environments. "This development suggests that the group could be broadening its attacks across the Linux platform, leading to an expanded victim pool and more successful ransom negotiations," Trend Micro researchers said in a |
Ransomware Prediction | ||
|
2024-07-22 08:15:00 | Deux Russes condamnés pour un rôle dans les attaques de verrouillage Two Russians Convicted for Role in LockBit Attacks (lien direct) |
Deux ressortissants russes ont plaidé coupable à des accusations relatives à leur participation au gang de ransomware de Lockbit
Two Russian nationals have pleaded guilty to charges relating to their participation in the LockBit ransomware gang |
Ransomware | ||
|
2024-07-20 15:05:35 | Le Royaume-Uni arredit un pirate Spider dispersé lié à l'attaque MGM UK arrests suspected Scattered Spider hacker linked to MGM attack (lien direct) |
La police britannique a arrêté un garçon de 17 ans soupçonné d'avoir été impliqué dans l'attaque de ransomware des stations MGM 2023 et un membre du Spandred Spider Hacking Collective.[...]
UK police have arrested a 17-year-old boy suspected of being involved in the 2023 MGM Resorts ransomware attack and a member of the Scattered Spider hacking collective. [...] |
Ransomware | ||
|
2024-07-20 09:58:00 | Linée de 17 ans liée au syndicat de cybercrimination araignée dispersée arrêté au Royaume-Uni. 17-Year-Old Linked to Scattered Spider Cybercrime Syndicate Arrested in U.K. (lien direct) |
Les responsables de l'application des lois du Royaume-Uni ont arrêté un garçon de 17 ans de Walsall qui est soupçonné d'être membre du célèbre syndicat de cybercrimination araignée dispersée.
L'arrestation a été effectuée "dans le cadre d'un groupe mondial de crimes en ligne qui cible les grandes organisations avec des ransomwares et a accès aux réseaux informatiques", a déclaré la police de West Midlands."L'arrestation fait partie de
Law enforcement officials in the U.K. have arrested a 17-year-old boy from Walsall who is suspected to be a member of the notorious Scattered Spider cybercrime syndicate. The arrest was made "in connection with a global cyber online crime group which has been targeting large organizations with ransomware and gaining access to computer networks," West Midlands police said. "The arrest is part of |
Ransomware Legislation | ||
|
2024-07-19 21:17:33 | Play Ransomware Group\'s New Linux Variant Targets ESXi, Shows Ties With Prolific Puma (lien direct) | ## Snapshot Trend Micro\'s Threat Hunting team discovered a Linux variant of [Play ransomware](https://security.microsoft.com/intel-profiles/5052c3d91b03a0996238bf01061afdd101c04f1afb7aeda1fc385a19b4f1b68e) that targets files only in VMWare ESXi environments. ## Description First detected in June 2022, Play ransomware is known for its double-extortion tactics and custom-built tools, impacting many organizations in Latin America. According to Trend Micro, this marks the first instance of Play ransomware attacking ESXi environments, indicating a potential broadening of targets across the Linux platform, which could increase their victim pool and ransom negotiation success. VMWare ESXi environments host multiple virtual machines (VMs) and critical applications, making them prime targets. Compromising these can disrupt business operations and encrypt backups, hindering data recovery efforts. The Play ransomware variant was found compressed with its Windows counterpart in a RAR file on a malicious URL, showing zero detections on VirusTotal. The infection chain involves several tools, including PsExec, NetScan, WinSCP, WinRAR, and the Coroxy backdoor. The ransomware runs ESXi-specific commands, turning off VMs before encrypting critical files, which are appended with the ".PLAY" extension. A ransom note is then displayed in the ESXi client login portal. The Linux variant of Play ransomware uses a command-and-control server hosting common tools for its attacks, potentially employing similar tactics to its Windows variant. The IP address associated with the ransomware is linked to another threat actor, Prolific Puma, known for generating domain names and providing link-shortening services to cybercriminals. The shared infrastructure between Play ransomware and Prolific Puma suggests a collaboration, enhancing Play ransomware\'s ability to evade detection and bolster its attack strategies. ## Microsoft Analysis Microsoft has been tracking deployment of Play ransomware since August 2022 and attributes all Play ransomware deployments to [Storm-0882](https://security.microsoft.com/intel-profiles/c04feb84dd2e6f360e482dc8a608da3b4e749cd651cab8d209326ae35522c6d5) (DEV-0882). The group primarily accesses targets through exploitation of internet-facing systems, including using compromised credentials to access exposed Remote Desktop Protocol (RDP) and [Microsoft Exchange Server](https://security.microsoft.com/intel-explorer/articles/692dd201) systems. ## Detections/Hunting Queries Microsoft Defender Antivirus detects threat components as the following malware: - *[Behavior:Win32/Play](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Behavior:Win32/Play.F&threatId=-2147130447)* - *[Behavior:Win32/Ransomware!Play](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Behavior:Win32/Ransomware!Play.A&threatId=-2147136108)* - *[Ransom:Win32/Play](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Ransom:Win32/Play.D&threatId=-2147130524)* - [*Ransom:Linux/Playde*](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Ransom:Linux/Playde!MTB) ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. Check the recommendations card for the deployment status of monitored mitigations. - Harden internet-facing assets and identify and secure perimeter systems that attackers might use to access the network. Public scanning interfaces, such as [Microsoft Defender External Attack Surface Management](https://www.microsoft.com/security/business/cloud-security/microsoft-defender-external-attack-surface-management), can be used to augment data. The Attack Surface Summary dashboard both surfaces assets such as Exchange servers which require security updates as well as provides recommended remediation steps. - Secure RDP or Windows Virtual Desktop endpoints with multifactor authenti | Ransomware Malware Tool Threat Prediction | ||
|
2024-07-19 18:00:00 | Deux ressortissants russes plaident coupables d'attaques de ransomware de verrouillage Two Russian Nationals Plead Guilty in LockBit Ransomware Attacks (lien direct) |
Deux ressortissants russes ont plaidé coupable devant un tribunal américain pour leur participation en tant qu'affiliés au régime de ransomware de Lockbit et aidant à faciliter les attaques de ransomwares à travers le monde.
Les défendeurs comprennent Ruslan Magomedovich Astamirov, 21 ans, de Tchétchène Republic, et Mikhail Vasiliev, 34 ans, un ressortissant canadien et russe de Bradford, en Ontario.
Astamirov a été arrêté en Arizona par la loi américaine
Two Russian nationals have pleaded guilty in a U.S. court for their participation as affiliates in the LockBit ransomware scheme and helping facilitate ransomware attacks across the world. The defendants include Ruslan Magomedovich Astamirov, 21, of Chechen Republic, and Mikhail Vasiliev, 34, a dual Canadian and Russian national of Bradford, Ontario. Astamirov was arrested in Arizona by U.S. law |
Ransomware | ||
|
2024-07-19 13:05:30 | MediseCure: un gang de ransomware a volé des données de 12,9 millions de personnes MediSecure: Ransomware gang stole data of 12.9 million people (lien direct) |
MediseCure, un fournisseur de services de livraison sur ordonnance australien, a révélé qu'environ 12,9 millions de personnes avaient leurs informations personnelles et en santé volées dans une attaque de ransomware d'avril.[...]
MediSecure, an Australian prescription delivery service provider, revealed that roughly 12.9 million people had their personal and health information stolen in an April ransomware attack. [...] |
Ransomware | ||
|
2024-07-19 13:00:00 | Le ransomware a un impact démesuré sur le gaz, l'énergie et l'ampli;Entreprises de services publics Ransomware Has Outsized Impact on Gas, Energy & Utility Firms (lien direct) |
Les attaquants sont plus susceptibles de cibler les industries d'infrastructures critiques et, lorsqu'elles le font, ils provoquent plus de perturbations et demandent des rançon plus élevées, le paiement médian dépassant 2,5 millions de dollars.
Attackers are more likely to target critical infrastructure industries and, when they do, they cause more disruption and ask higher ransoms, with the median payment topping $2.5 million. |
Ransomware | ||
|
2024-07-19 11:50:05 | La violation de données médicale a un impact sur 12,9 millions d'individus MediSecure Data Breach Impacts 12.9 Million Individuals (lien direct) |
> Les informations personnelles et de santé de 12,9 millions ont été volées dans une attaque de ransomware chez le fournisseur de services de prescription numérique australienne Mediseecure.
>The personal and health information of 12.9 million was stolen in a ransomware attack at Australian digital prescription services provider MediSecure. |
Ransomware Data Breach | ||
 |
2024-07-19 00:00:00 | Play Ransomware Group \\'s New Linux Variant cible ESXi, montre des liens avec un PUMA prolifique Play Ransomware Group\\'s New Linux Variant Targets ESXi, Shows Ties With Prolific Puma (lien direct) |
Trend Micro Threat Hunters a découvert que le groupe de ransomwares de jeu a déployé une nouvelle variante Linux qui cible les environnements ESXi.Lisez notre entrée de blog pour en savoir plus.
Trend Micro threat hunters discovered that the Play ransomware group has been deploying a new Linux variant that targets ESXi environments. Read our blog entry to know more. |
Ransomware Threat Prediction | ★★★ | |
|
2024-07-18 19:31:44 | Utilisation de l'intelligence des menaces pour prédire les attaques potentielles des ransomwares Using Threat Intelligence to Predict Potential Ransomware Attacks (lien direct) |
> Le risque de subir une attaque de ransomware est élevé et les organisations doivent prendre des mesures proactives pour se protéger et minimiser l'impact d'une violation potentielle.
>The risk of suffering a ransomware attack is high and organizations must take proactive steps to protect themselves and minimize the impact of a potential breach. |
Ransomware Threat Prediction | ★★★ | |
 |
2024-07-18 15:30:10 | Changer l'attaque des ransomwares des soins de santé peut coûter près de 2,5 milliards de dollars Change Healthcare Ransomware Attack May Cost Nearly $2.5 Billion (lien direct) |
|
Ransomware Medical | ||
 |
2024-07-18 14:00:00 | Apt41 est né de la poussière APT41 Has Arisen From the DUST (lien direct) |
Written by: Mike Stokkel, Pierre Gerlings, Renato Fontana, Luis Rocha, Jared Wilson, Stephen Eckels, Jonathan Lepore
Executive Summary In collaboration with Google\'s Threat Analysis Group (TAG), Mandiant has observed a sustained campaign by the advanced persistent threat group APT41 targeting and successfully compromising multiple organizations operating within the global shipping and logistics, media and entertainment, technology, and automotive sectors. The majority of organizations were operating in Italy, Spain, Taiwan, Thailand, Turkey, and the United Kingdom. APT41 successfully infiltrated and maintained prolonged, unauthorized access to numerous victims\' networks since 2023, enabling them to extract sensitive data over an extended period. APT41 used a combination of ANTSWORD and BLUEBEAM web shells for the execution of DUSTPAN to execute BEACON backdoor for command-and-control communication. Later in the intrusion, APT41 leveraged DUSTTRAP, which would lead to hands-on keyboard activity. APT41 used publicly available tools SQLULDR2 for copying data from databases and PINEGROVE to exfiltrate data to Microsoft OneDrive. Overview Recently, Mandiant became aware of an APT41 intrusion where the malicious actor deployed a combination of ANTSWORD and BLUEBEAM web shells for persistence. These web shells were identified on a Tomcat Apache Manager server and active since at least 2023. APT41 utilized these web shells to execute certutil.exe to download the DUSTPAN dropper to stealthily load BEACON. As the APT41 intrusion progressed, the group escalated its tactics by deploying the DUSTTRAP dropper. Upon execution, DUSTTRAP would decrypt a malicious payload and execute it in memory, leaving minimal forensic traces. The decrypted payload was designed to establish communication channels with either APT41-controlled infrastructure for command and control or, in some instances, with a compromised Google Workspace account, further blending its malicious activities with legitimate traffic. The affected Google Workspace accounts have been successfully remediated to prevent further unauthorized access. Furthermore, APT41 leveraged SQLULDR2 to export data from Oracle Databases, and used PINEGROVE to systematically and efficiently exfiltrate large volumes of sensitive data from the compromised networks, transferring to OneDrive to enable exfiltration and subsequent analysis. |
Ransomware Malware Tool Threat Patching Medical Cloud | APT 41 | ★★ |
|
2024-07-18 13:40:24 | La Fin7 de Russie \\ colporte ses logiciels malveillants en termes d'Edr aux gangs de ransomware Russia\\'s FIN7 is peddling its EDR-nerfing malware to ransomware gangs (lien direct) |
Les principaux fournisseurs \\ 'Produits scolatés de nouvelles techniques Prolific Russian Cybercrime Syndicate Fin7 utilise divers pseudonymes pour vendre sa solution de sécurité de sécurité personnalisée à différents gangs de rançongiciels.…
Major vendors\' products scuppered by novel techniques Prolific Russian cybercrime syndicate FIN7 is using various pseudonyms to sell its custom security solution-disabling malware to different ransomware gangs.… |
Ransomware Malware | ★★ | |
|
2024-07-18 13:13:00 | Fin7 Cybercrime Gang évolue avec des ransomwares et des outils de piratage FIN7 Cybercrime Gang Evolves with Ransomware and Hacking Tools (lien direct) |
Fin7, un gang de cybercriminalité notoire, est de retour avec un nouveau sac de trucs!Découvrez les tactiques évolutives de Fin7, & # 8230;
FIN7, a notorious cybercrime gang, is back with a new bag of tricks! Learn about FIN7’s evolving tactics,… |
Ransomware Tool | ★★★ | |
|
2024-07-18 12:40:07 | Marinemax en informer 123 000 de violation de données après une attaque de ransomware MarineMax Notifying 123,000 of Data Breach Following Ransomware Attack (lien direct) |
> Le concessionnaire de bateaux Marinemax a déclaré que la violation des données causée par une récente attaque de ransomware a un impact sur 123 000 personnes.
>Boat dealer MarineMax said the data breach caused by a recent ransomware attack impacts over 123,000 individuals. |
Ransomware Data Breach | ★★ | |
|
2024-07-18 11:39:06 | Les stocks de sang nationaux britanniques dans l'État très fragile \\ 'suivant l'attaque des ransomwares UK national blood stocks in \\'very fragile\\' state following ransomware attack (lien direct) |
Pas de details / No more details | Ransomware | ★★ | |
|
2024-07-18 11:26:54 | Von der Leyen s'engage à lutter contre les attaques de ransomwares contre les hôpitaux de l'UE Von der Leyen pledges to tackle ransomware attacks against EU hospitals (lien direct) |
Pas de details / No more details | Ransomware | ★★ | |
 |
2024-07-18 09:18:44 | Sophos : Le coût de récupération moyen a quadruplé en un an dans les secteurs d\'infrastructures critiques de l\'énergie et de l\'eau pour atteindre 3 millions de dollars en un an (lien direct) | Le coût de récupération moyen a quadruplé en un an dans les secteurs d'infrastructures critiques de l'énergie et de l'eau pour atteindre 3 millions de dollars en un an, selon une étude Sophos Dans 49 % des cas, les attaques de ransomware lancées contre ces deux secteurs d'infrastructures critiques ont débuté par l'exploitation d'une vulnérabilité. - Investigations | Ransomware Studies | ★★★ | |
|
2024-07-18 08:09:17 | Les coûts médians de récupération de 2 secteurs d'infrastructure critiques, de l'énergie et de l'eau, quadruptent à 3 millions de dollars en 1 an, révèle le Sophos Survey The Median Recovery Costs for 2 Critical Infrastructure Sectors, Energy and Water, Quadruples to $3 Million in 1 Year, Sophos Survey Finds (lien direct) |
Les coûts médians de récupération pour 2 secteurs d'infrastructures critiques, l'énergie et l'eau, quadruptent à 3 millions de dollars en 1 an, le Sophos Survey trouve
49% des attaques de ransomwares contre ces 2 secteurs d'infrastructure critiques ont commencé avec une vulnérabilité exploitée
-
rapports spéciaux
/ /
affiche
The Median Recovery Costs for 2 Critical Infrastructure Sectors, Energy and Water, Quadruples to $3 Million in 1 Year, Sophos Survey Finds 49% of Ransomware Attacks Against These 2 Critical Infrastructure Sectors Started with an Exploited Vulnerability - Special Reports / affiche |
Ransomware | ★★ | |
|
2024-07-17 20:18:30 | Lookout découvre des logiciels de surveillance houthi ciblant les militaires du Moyen-Orient Lookout Discovers Houthi Surveillanceware Targeting Middle Eastern Militaries (lien direct) |
#### Géolocations ciblées - Yémen - Arabie Saoudite - Egypte - Oman - Qatar - t & uuml; rkiye - Emirats Arabes Unis - Moyen-Orient ## Instantané AttentionLes chercheurs ont identifié Guardzoo, un logiciel de surveillance Android utilisé pour cibler le personnel militaire dans les pays du Moyen-Orient, en particulier ceux alignés sur les intérêts houthis.La campagne, active depuis octobre 2019, cible principalement les victimes au Yémen, en Arabie saoudite, en Égypte, en Oman, aux EAU, au Qatar et en Turquie. ## Description Guardzoo, basé sur le logiciel espion Dendroid Rat, peut collecter divers types de données et est distribué via WhatsApp, WhatsApp Business et Direct Browser Downloads.Il peut également déployer des logiciels malveillants invasifs supplémentaires sur les appareils infectés.Le logiciel de surveillance utilise des thèmes militaires et autres comme leurres, et son infrastructure C2 est basée au Yémen, avec plus de 450 adresses IP appartenant aux victimes.Les journaux du serveur C2 ont révélé que les IP victimes sont dispersées dans les pays du Moyen-Orient, et la campagne est attribuée à un acteur de menace aligné par Houthi-Houth en fonction des leurres d'application, du ciblage et du lieu de l'infrastructure C2. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces d'information sur les voleurs. - Encourager les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [SmartScreen] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-overview?ocid=Magicti_TA_LearnDDoc), qui identifieet bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites qui hébergent des logiciels malveillants. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus, ou l'équivalent de votre produit antivirus, pour couvrir les outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une majorité de variantes nouvelles et inconnues. - Les clients de Microsoft Defender peuvent [activer les règles de réduction de la surface d'attaque] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-reduction?ocid=Magicti_TA_LearnDoc) pour prévenir les techniques d'attaque communes utilisées utilisées utilisédans les infections des infostèleurs.Les règles de réduction de la surface d'attaque sont des paramètres de balayage qui arrêtent des classes entières de menaces, notamment, les infostateurs, le vol d'identification et les ransomwares.Les bullets suivants offrent plus de conseils sur les conseils d'atténuation spécifiques: - [Allumez la protection PUA en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/detect-block-potentiale-unwanted-apps-microsoft-asvirus?ocid=Magicti_Ta_learndoctius) - [Bloquez les fichiers exécutables de l'exécution à moins qu'ils ne répondent à un critère de prévalence, d'âge ou de liste de confiance] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-redulation-Rules-reference? OCID = Magicti_TA_LearnDoc # Block-Execuable-Files-From-Running-Unbit-they-Met-A-Prevalence-Age-Or-Truted-List-Criterion) - [Block execution of potentially obfuscated scripts](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-reduction-rules-reference?ocid=magicti_ta_learndoc#block-execution-of-Script potentiellement obsédé) ## Les références [Lookout découvre des logiciels de surveillance houthi ciblant les militaires du Moyen-Orient.] (Https://www.lookout.com/thereat-intelligence/article/guardzoo-houthi-android-surveillanceware) Lookout (consulté en 2024-07-15) | Ransomware Malware Tool Threat Mobile | ★★★ | |
|
2024-07-17 19:58:15 | Les attaques de ransomwares frappent les secteurs d'énergie, de pétrole et de gaz particulièrement difficiles, Ransomware attacks are hitting energy, oil and gas sectors especially hard, report finds (lien direct) |
Sophos Survey constate que les services publics semblent prêts à payer les demandes de rançon.
Sophos survey finds that utilities appear willing to pay ransom demands. |
Ransomware | ★★★ | |
|
2024-07-17 18:50:29 | Ransomware Shadowroot ciblant les entreprises turques ShadowRoot Ransomware Targeting Turkish Businesses (lien direct) |
#### Géolocations ciblées - t & uuml; rkiye ## Instantané Des chercheurs de Forcepoint \\ S-Labs ont identifié des ransomwares Shadowroot ciblant les entreprises turques, livrées par e-mails de phishing avec des pièces jointes PDF se faisant passer pour des factures. ## Description Le PDF contient un lien qui, lorsqu'il est cliqué, télécharge une charge utile malveillante à partir d'un compte GitHub compromis.La charge utile supprime des fichiers supplémentaires et initie les commandes PowerShell pour exécuter le ransomware Shadowroot en mode caché.Le ransomware crypte ensuite les fichiers avec une extension ".shadroot". Les billets de rançon écrits en turc sont envoyés à la victime, avec des instructions pour contacter l'acteur de menace par e-mail pour les outils de paiement et de décryptage.ForcePoint évalue que cette activité de ransomware Shadowroot est probablement attribuée à un acteur avec un faible niveau de sophistication car il présente une fonctionnalité de base. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Lisez notre [Ransomware en tant que blog de service] (https://www.microsoft.com/security/blog/2022/05/09/ransomware-as-a-service-udentSanding-the-cybercrim-gig-ecoony-and-Comment-protect-vous-soi / # défendant-against-ransomware) pour des conseils sur le développement d'une posture de sécurité holistique pour prévenir les ransomwares, y compris l'hygiène des informations d'identification et les recommandations de durcissement. - Allumez [Protection en cloud-étirement] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-astivirus) dans Microsoft Defender Antivirusou l'équivalent pour que votre produit antivirus couvre rapidement des outils et techniques d'attaquant en évolution.Les protections d'apprentissage automatique basées sur le cloud bloquent une énorme majorité de variantes nouvelles et inconnues. - Activer la protection contre la protection] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection)Services de sécurité. - Exécuter [Détection et réponse de point de terminaison (EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-modeBloquer des artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants détectés après la lutte. - Activer [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations) en mode automatisé complet pour permettre au défenseur de final de prendre des mesures immédiates sur des alertes pour résoudre les brèches, réduisant considérablement le volume d'alerte. Les clients de Microsoft Defender peuvent activer [les règles de réduction de la surface d'attaque] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-reduction) pour empêcher les techniques d'attaque courantes utilisées dans les attaques de ransomware.Les règles de réduction de la surface d'attaque sont des paramètres de balayage qui sont efficaces pour arrêter des classes entières de menaces. - Ransom et stade de mouvement latéral: - [Block Process Creations provenant des commandes psexec et WMI] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-redulation-Rules-reference?ocid=Magicti_TA_LearnDoc#block-Process-Creations-Origining-From-Psexec-and-WMI-Commands).Certaines organisations peuvent rencontrer des problèmes de compatibilité avec cette règle sur certains systèmes de serveurs, mais devraient le déplo | Ransomware Tool Threat | ★★★ | |
|
2024-07-17 17:50:47 | Le nouveau groupe de menaces de ransomware appelle les victimes d'attaque pour assurer les paiements New Ransomware Threat Group Calls Attack Victims to Ensure Payments (lien direct) |
|
Ransomware Threat | ★★★ | |
|
2024-07-17 16:03:00 | Le groupe Fin7 annonce l'outil de bypass de sécurité sur les forums Web Dark FIN7 Group Advertises Security-Bypassing Tool on Dark Web Forums (lien direct) |
L'acteur de menace financièrement motivé connu sous le nom de FIN7 a été observé en utilisant plusieurs pseudonymes sur plusieurs forums souterrains pour annoncer probablement un outil connu pour être utilisé par des groupes de ransomwares comme Black Basta.
"Avneutralizer (alias Aukill), un outil hautement spécialisé développé par FIN7 pour altérer les solutions de sécurité, a été commercialisé dans le criminaire souterrain et utilisé par plusieurs
The financially motivated threat actor known as FIN7 has been observed using multiple pseudonyms across several underground forums to likely advertise a tool known to be used by ransomware groups like Black Basta. "AvNeutralizer (aka AuKill), a highly specialized tool developed by FIN7 to tamper with security solutions, has been marketed in the criminal underground and used by multiple |
Ransomware Tool Threat | ★★★ | |
|
2024-07-17 15:30:00 | Tactiques sophistiquées de Qilin Ransomware \\ dévoilées par des experts Qilin Ransomware\\'s Sophisticated Tactics Unveiled By Experts (lien direct) |
L'attaque de Qilin \\ contre Synnovis a gravement eu un impact sur les hôpitaux clés du NHS à Londres plus tôt ce mois-ci
Qilin\'s attack on Synnovis severely impacted key NHS hospitals in London earlier this month |
Ransomware | ★★ | |
|
2024-07-17 14:00:00 | Comprendre Nullbulge, le nouveau groupe de combat \\ 'hacktiviste \\' Understanding NullBulge, the New AI-Fighting \\'Hacktivist\\' Group (lien direct) |
L'acteur de menace qui a affirmé que le récent Disney Hack ciblait auparavant des jeux et applications centrés sur l'IA avec des logiciels malveillants et des ransomwares de marchandises
The threat actor who claimed the recent Disney hack previously targeted AI-centric games and applications with commodity malware and ransomware |
Ransomware Malware Hack Threat | ★★ | |
 |
2024-07-17 13:05:00 | Le cyber-bill britannique taquine les rapports de ransomware obligatoires UK Cyber Bill teases mandatory ransomware reporting (lien direct) |
Pas de details / No more details | Ransomware | ★★★ | |
|
2024-07-17 13:04:00 | Royaume-Uni pour introduire une version édulcorée des rapports obligatoires pour les attaques de ransomwares UK to introduce watered-down version of mandatory reporting for ransomware attacks (lien direct) |
Pas de details / No more details | Ransomware | ★★ | |
|
2024-07-17 12:06:00 | Hackney Council a réprimandé plus de 2020 Ransomware Attack Hackney Council reprimanded over 2020 ransomware attack (lien direct) |
Pas de details / No more details | Ransomware | ★★★ | |
|
2024-07-17 12:00:00 | [Nouvel outil gratuit]: Révaluez les faiblesses cachées de votre réseau avec le simulateur d'expiltration des données BreachSim de KnowBe4 \\ [NEW FREE TOOL]: Reveal Your Network\\'s Hidden Weaknesses with KnowBe4\\'s BreachSim Data Exfiltration Simulator (lien direct) |
Ransomware Tool Vulnerability | ★★★ | ||
|
2024-07-17 11:50:54 | Hackney Council à Londres a réprimandé pour ne pas avoir empêché l'attaque des ransomwares Hackney Council in London reprimanded for failing to prevent ransomware attack (lien direct) |
Pas de details / No more details | Ransomware | ★★★ | |
|
2024-07-17 11:45:06 | Le London Council accuse le chien de garde de \\ 'exagérer \\' danger de 2020 Raid sur les résidents \\ 'Données London council accuses watchdog of \\'exaggerating\\' danger of 2020 raid on residents\\' data (lien direct) |
Vous avez échappé à une grosse graisse!Prenez la victoire et courez, gagnez-vous? Le district du centre-ville de London \\ de Hackney a déclaré que le chien de garde de la protection des données du Royaume-Uni a mal compris et "exagéré" des détails entourant un ransomwareAttaque de ses systèmes en 2020.…
You escaped a big fat fine! Take the win and run, won\'t you? London\'s inner city district of Hackney says the UK\'s data protection watchdog has misunderstood and "exaggerated" details surrounding a ransomware attack on its systems in 2020.… |
Ransomware | ★★★ | |
|
2024-07-17 11:42:44 | L'attaque de ransomware perturbe les installations de fabrication de meubles Bassett Ransomware Attack Disrupts Bassett Furniture Manufacturing Facilities (lien direct) |
> Le fabricant de meubles Bassett Furniture a récemment été ciblé dans une attaque de ransomware qui a entraîné une fermeture des installations de fabrication.
>Furniture manufacturer Bassett Furniture was recently targeted in a ransomware attack that resulted in a shutdown of manufacturing facilities. |
Ransomware | ★★★ | |
|
2024-07-17 11:20:00 | L'araignée dispersée adopte RansomHub et Ransomware Qilin pour les cyberattaques Scattered Spider Adopts RansomHub and Qilin Ransomware for Cyber Attacks (lien direct) |
Le tristement célèbre groupe de cybercrimes connu sous le nom d'araignée dispersée a incorporé des souches de ransomware telles que RansomHub et Qilin dans son arsenal, a révélé Microsoft.
Sporsed Spider est la désignation donnée à un acteur de menace qui est connu pour ses schémas d'ingénierie sociale sophistiqués pour violer les cibles et établir la persistance pour l'exploitation de suivi et le vol de données.Il a également une histoire de
The infamous cybercrime group known as Scattered Spider has incorporated ransomware strains such as RansomHub and Qilin into its arsenal, Microsoft has revealed. Scattered Spider is the designation given to a threat actor that\'s known for its sophisticated social engineering schemes to breach targets and establish persistence for follow-on exploitation and data theft. It also has a history of |
Ransomware Threat | ★★ | |
|
2024-07-17 10:37:39 | Le géant du yacht Marinemax, les violations des données sur 123 000 personnes Yacht giant MarineMax data breach impacts over 123,000 people (lien direct) |
Marinemax, qui se décrit comme le plus grand détaillant de bateaux de loisirs et de yachts du monde, a notifié plus de 123 000 clients dont les informations personnelles ont été volées dans une violation de sécurité de mars revendiquée par le gang de ransomware Rhysida.[...]
MarineMax, self-described as the world\'s largest recreational boat and yacht retailer, is notifying over 123,000 customers whose personal information was stolen in a March security breach claimed by the Rhysida ransomware gang. [...] |
Ransomware Data Breach | ★★ |
To see everything:
Our RSS (filtrered)
