What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-07-22 15:43:33 | Rapport de l'IOCTA 2024: les forces de l'ordre s'occupent des coups majeurs contre les réseaux de ransomware de perturbation de l'UE, IOCTA 2024 report: Law enforcement deals major blows against EU cybercrime, disrupt ransomware networks (lien direct) |
Un nouveau rapport d'Internet Organized Crime Threat Assessment (IOCTA) souligne qu'en 2023, les organismes chargés de l'application des lois sont livrés ...
A new report by Internet Organised Crime Threat Assessment (IOCTA) highlights that in 2023, law enforcement agencies delivered... |
Ransomware Threat Legislation | ||
 |
2024-07-22 15:30:00 | Les groupes de ransomwares fragment au milieu des menaces de cybercriminalité croissantes Ransomware Groups Fragment Amid Rising Cybercrime Threats (lien direct) |
Europol a également déclaré que les tactiques d'extorsion multicouches dans les ransomwares deviennent plus courantes
Europol also said that multi-layered extortion tactics in ransomware are becoming more common |
Ransomware | ||
 |
2024-07-22 13:30:37 | L'attaque des ransomwares arrête les tribunaux du comté de LA, interrompt les transferts de détenus, les expulsions Ransomware Attack Shuts Down LA County Courts, Halts Inmate Transfers, Evictions (lien direct) |
La Cour supérieure du comté de Los Angeles, États-Unis & # 8217;Le plus grand tribunal de première instance, a subi un ransomware paralysant & # 8230;
The Superior Court of Los Angeles County, the United States’ largest trial court, has suffered a crippling ransomware… |
Ransomware | ||
 |
2024-07-22 13:02:14 | 22 juillet & # 8211;Rapport de renseignement sur les menaces 22nd July – Threat Intelligence Report (lien direct) |
> Pour les dernières découvertes en cyber recherche pour la semaine du 22 juillet, veuillez télécharger notre bulletin de renseignement sur les menaces.Les principales attaques et violation de l'American Bassett Furniture Industries ont été victimes d'une attaque de ransomware qui a entraîné le chiffrement des fichiers de données et la fermeture de ses installations de fabrication.L'attaque a considérablement perturbé [& # 8230;]
>For the latest discoveries in cyber research for the week of 22nd July, please download our Threat Intelligence Bulletin. TOP ATTACKS AND BREACHES American Bassett Furniture Industries has been a victim of a ransomware attack that resulted in the encryption of data files and the shutdown of its manufacturing facilities. The attack has significantly disrupted […] |
Ransomware Threat | ||
 |
2024-07-22 10:37:50 | La Cour supérieure de Los Angeles s'arrête après une attaque de ransomware Los Angeles Superior Court shuts down after ransomware attack (lien direct) |
Le plus grand tribunal de première instance des États-Unis, la Cour supérieure du comté de Los Angeles, a clôturé lundi les 36 emplacements du palais de justice pour restaurer les systèmes touchés par une attaque de ransomware de vendredi.[...]
The largest trial court in the United States, the Superior Court of Los Angeles County, closed all 36 courthouse locations on Monday to restore systems affected by a Friday ransomware attack. [...] |
Ransomware | ||
 |
2024-07-22 10:33:31 | Faits saillants hebdomadaires, 22 juillet 2024 Weekly OSINT Highlights, 22 July 2024 (lien direct) |
## Instantané La semaine dernière, le rapport OSINT de \\ présente des groupes APT alignés par l'État et des cybercriminels motivés par l'État, tels que les ransomwares APT41 et Akira, exploitant des vulnérabilités zéro-jour et tirant parti des campagnes de phishing pour accéder au premier accès.Les attaques ciblaient principalement des secteurs comme le gouvernement, le monde universitaire et les institutions financières, ainsi que des régions géographiques spécifiques, notamment le Moyen-Orient, l'Amérique du Nord et l'Asie du Sud-Est.De plus, les réseaux sociaux et les menaces basés sur le téléphone étaient proéminents, avec des attaquants utilisant des plates-formes comme WhatsApp et des services cloud, et en tirant parti du contenu généré par l'IA.Les tactiques utilisées par ces acteurs de menace comprenaient l'utilisation d'homoglyphes, de tissage IL, de vulnérabilités de jour zéro et de techniques d'évasion sophistiquées, mettant en évidence la nature en constante évolution des cyber-menaces et la nécessité de mesures de cybersécurité robustes. ## Description 1. [APT41 cible les organisations mondiales] (https://sip.security.microsoft.com/intel-explorer/articles/3ecd0e46): mandiant et google \'s tag ont rapporté des organisations ciblant APT41 en Italie, en Espagne, Taiwan, Thaïlande, Turquie et Royaume-Uni.Le groupe a utilisé des compromis de la chaîne d'approvisionnement, des certificats numériques volés et des outils sophistiqués comme Dustpan et Dusttrap pour exécuter des charges utiles et des données d'exfiltrat. 2. [Play Ransomware cible les environnements VMware ESXi] (https://sip.security.microsoft.com/intel-explorer/articles/2435682e): Trend Micro a découvert une variante lineux de Play Ransomware ciblant les environnements VMware ESXi, marquant la première instance de Playd'une telle attaque.Le ransomware utilise des commandes ESXi spécifiques pour arrêter les machines virtuelles avant le chiffrement, montrant un élargissement potentiel des cibles à traversPlates-formes Linux. 3. [Campagne de Nuget malveillante] (https://sip.security.microsoft.com/intel-explorer/articles/186ac750): REVERSINGLABSLes chercheurs ont trouvé une campagne de Nuget malveillante où les acteurs de la menace ont utilisé des homoglyphes et un tissage pour tromper les développeurs.Ils ont inséré les téléchargeurs obscurcis dans des fichiers binaires PE légitimes et exploité les intégrations MSBuild de NuGet \\ pour exécuter du code malveillant lors des builds de projet. 4. [Attaques DDOS par des groupes hacktivistes russes] (https://sip.security.microsoft.com/intel-explorer/articles/e9fbb909): Des chercheurs de Cyble ont été signalés sur les attaques DDOHacknet, ciblant les sites Web français avant les Jeux olympiques de Paris.Ces groupes d'opération d'influence se concentrent souvent surCibles des membres ukrainiens et de l'OTAN. 5. [AndroxGh0st Maleware cible les applications Laravel] (https://sip.security.microsoft.com/intel-explorer/articles/753Beb5a): les chercheurs de Centre d'orage Internet ont identifié AndroxGh0st, un malware python-scriptCiblage des fichiers .env dans les applications Web Laravel, exploitant les vulnérabilités RCE.Le malware effectue une numérisation de vulnérabilité, déploie des shells Web et exfiltre des données sensibles. 6. [TAG-100 Activités de cyber-espionage] (https://sip.security.microsoft.com/intel-explorer/articles/7df80747): le groupe insikt de Future \\ a enregistré Future \\ découvert TAG-100 \\ s \\ 's Cyber Future.Activités ciblant les organisations gouvernementales, intergouvernementales et du secteur privé dans le monde, probablement pour l'espionnage.Le groupe utilise des outils open source et exploite les vulnérabilités nouvellement publiées dans les appareils orientés Internet. 7. [Dragonbridge Influence Operations] (https://sip.security.microsoft.com/intel-explorer/articles/3e4f73d5): le groupe d'analyse des menaces de Google \\ a été rapporté sur Dragonbridge | Ransomware Malware Tool Vulnerability Threat Mobile Prediction Cloud | APT 41 | |
 |
2024-07-22 10:07:55 | Les responsables californiens affirment que le plus grand tribunal de première instance victime d'une attaque de ransomware California Officials Say Largest Trial Court in US Victim of Ransomware Attack (lien direct) |
> La Cour supérieure du comté de Los Angeles, le plus grand tribunal de première instance des États-Unis, a été victime d'une attaque de ransomware.
>The Superior Court of Los Angeles County, the largest trial court in the US, has been the victim of a ransomware attack. |
Ransomware | ||
 |
2024-07-22 09:26:00 | Nouvelle variante Linux de Play Ransomware ciblant les systèmes VMware ESXi New Linux Variant of Play Ransomware Targeting VMWare ESXi Systems (lien direct) |
Les chercheurs en cybersécurité ont découvert une nouvelle variante Linux d'une souche de ransomware connue sous le nom de Play (aka BalloonFly et PlayCrypt) qui est conçue pour cibler les environnements VMware ESXi.
"Cette évolution suggère que le groupe pourrait élargir ses attaques sur la plate-forme Linux, conduisant à un pool de victimes élargi et à des négociations de rançon plus réussies", ont déclaré les micro-chercheurs Trend
Cybersecurity researchers have discovered a new Linux variant of a ransomware strain known as Play (aka Balloonfly and PlayCrypt) that\'s designed to target VMWare ESXi environments. "This development suggests that the group could be broadening its attacks across the Linux platform, leading to an expanded victim pool and more successful ransom negotiations," Trend Micro researchers said in a |
Ransomware Prediction | ||
|
2024-07-22 08:15:00 | Deux Russes condamnés pour un rôle dans les attaques de verrouillage Two Russians Convicted for Role in LockBit Attacks (lien direct) |
Deux ressortissants russes ont plaidé coupable à des accusations relatives à leur participation au gang de ransomware de Lockbit
Two Russian nationals have pleaded guilty to charges relating to their participation in the LockBit ransomware gang |
Ransomware | ||
|
2024-07-20 15:05:35 | Le Royaume-Uni arredit un pirate Spider dispersé lié à l'attaque MGM UK arrests suspected Scattered Spider hacker linked to MGM attack (lien direct) |
La police britannique a arrêté un garçon de 17 ans soupçonné d'avoir été impliqué dans l'attaque de ransomware des stations MGM 2023 et un membre du Spandred Spider Hacking Collective.[...]
UK police have arrested a 17-year-old boy suspected of being involved in the 2023 MGM Resorts ransomware attack and a member of the Scattered Spider hacking collective. [...] |
Ransomware | ||
|
2024-07-20 09:58:00 | Linée de 17 ans liée au syndicat de cybercrimination araignée dispersée arrêté au Royaume-Uni. 17-Year-Old Linked to Scattered Spider Cybercrime Syndicate Arrested in U.K. (lien direct) |
Les responsables de l'application des lois du Royaume-Uni ont arrêté un garçon de 17 ans de Walsall qui est soupçonné d'être membre du célèbre syndicat de cybercrimination araignée dispersée.
L'arrestation a été effectuée "dans le cadre d'un groupe mondial de crimes en ligne qui cible les grandes organisations avec des ransomwares et a accès aux réseaux informatiques", a déclaré la police de West Midlands."L'arrestation fait partie de
Law enforcement officials in the U.K. have arrested a 17-year-old boy from Walsall who is suspected to be a member of the notorious Scattered Spider cybercrime syndicate. The arrest was made "in connection with a global cyber online crime group which has been targeting large organizations with ransomware and gaining access to computer networks," West Midlands police said. "The arrest is part of |
Ransomware Legislation | ||
|
2024-07-19 21:17:33 | Play Ransomware Group\'s New Linux Variant Targets ESXi, Shows Ties With Prolific Puma (lien direct) | ## Snapshot Trend Micro\'s Threat Hunting team discovered a Linux variant of [Play ransomware](https://security.microsoft.com/intel-profiles/5052c3d91b03a0996238bf01061afdd101c04f1afb7aeda1fc385a19b4f1b68e) that targets files only in VMWare ESXi environments. ## Description First detected in June 2022, Play ransomware is known for its double-extortion tactics and custom-built tools, impacting many organizations in Latin America. According to Trend Micro, this marks the first instance of Play ransomware attacking ESXi environments, indicating a potential broadening of targets across the Linux platform, which could increase their victim pool and ransom negotiation success. VMWare ESXi environments host multiple virtual machines (VMs) and critical applications, making them prime targets. Compromising these can disrupt business operations and encrypt backups, hindering data recovery efforts. The Play ransomware variant was found compressed with its Windows counterpart in a RAR file on a malicious URL, showing zero detections on VirusTotal. The infection chain involves several tools, including PsExec, NetScan, WinSCP, WinRAR, and the Coroxy backdoor. The ransomware runs ESXi-specific commands, turning off VMs before encrypting critical files, which are appended with the ".PLAY" extension. A ransom note is then displayed in the ESXi client login portal. The Linux variant of Play ransomware uses a command-and-control server hosting common tools for its attacks, potentially employing similar tactics to its Windows variant. The IP address associated with the ransomware is linked to another threat actor, Prolific Puma, known for generating domain names and providing link-shortening services to cybercriminals. The shared infrastructure between Play ransomware and Prolific Puma suggests a collaboration, enhancing Play ransomware\'s ability to evade detection and bolster its attack strategies. ## Microsoft Analysis Microsoft has been tracking deployment of Play ransomware since August 2022 and attributes all Play ransomware deployments to [Storm-0882](https://security.microsoft.com/intel-profiles/c04feb84dd2e6f360e482dc8a608da3b4e749cd651cab8d209326ae35522c6d5) (DEV-0882). The group primarily accesses targets through exploitation of internet-facing systems, including using compromised credentials to access exposed Remote Desktop Protocol (RDP) and [Microsoft Exchange Server](https://security.microsoft.com/intel-explorer/articles/692dd201) systems. ## Detections/Hunting Queries Microsoft Defender Antivirus detects threat components as the following malware: - *[Behavior:Win32/Play](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Behavior:Win32/Play.F&threatId=-2147130447)* - *[Behavior:Win32/Ransomware!Play](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Behavior:Win32/Ransomware!Play.A&threatId=-2147136108)* - *[Ransom:Win32/Play](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Ransom:Win32/Play.D&threatId=-2147130524)* - [*Ransom:Linux/Playde*](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Ransom:Linux/Playde!MTB) ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. Check the recommendations card for the deployment status of monitored mitigations. - Harden internet-facing assets and identify and secure perimeter systems that attackers might use to access the network. Public scanning interfaces, such as [Microsoft Defender External Attack Surface Management](https://www.microsoft.com/security/business/cloud-security/microsoft-defender-external-attack-surface-management), can be used to augment data. The Attack Surface Summary dashboard both surfaces assets such as Exchange servers which require security updates as well as provides recommended remediation steps. - Secure RDP or Windows Virtual Desktop endpoints with multifactor authenti | Ransomware Malware Tool Threat Prediction | ||
|
2024-07-19 18:00:00 | Deux ressortissants russes plaident coupables d'attaques de ransomware de verrouillage Two Russian Nationals Plead Guilty in LockBit Ransomware Attacks (lien direct) |
Deux ressortissants russes ont plaidé coupable devant un tribunal américain pour leur participation en tant qu'affiliés au régime de ransomware de Lockbit et aidant à faciliter les attaques de ransomwares à travers le monde.
Les défendeurs comprennent Ruslan Magomedovich Astamirov, 21 ans, de Tchétchène Republic, et Mikhail Vasiliev, 34 ans, un ressortissant canadien et russe de Bradford, en Ontario.
Astamirov a été arrêté en Arizona par la loi américaine
Two Russian nationals have pleaded guilty in a U.S. court for their participation as affiliates in the LockBit ransomware scheme and helping facilitate ransomware attacks across the world. The defendants include Ruslan Magomedovich Astamirov, 21, of Chechen Republic, and Mikhail Vasiliev, 34, a dual Canadian and Russian national of Bradford, Ontario. Astamirov was arrested in Arizona by U.S. law |
Ransomware | ||
|
2024-07-19 13:05:30 | MediseCure: un gang de ransomware a volé des données de 12,9 millions de personnes MediSecure: Ransomware gang stole data of 12.9 million people (lien direct) |
MediseCure, un fournisseur de services de livraison sur ordonnance australien, a révélé qu'environ 12,9 millions de personnes avaient leurs informations personnelles et en santé volées dans une attaque de ransomware d'avril.[...]
MediSecure, an Australian prescription delivery service provider, revealed that roughly 12.9 million people had their personal and health information stolen in an April ransomware attack. [...] |
Ransomware | ||
 |
2024-07-19 13:00:00 | Le ransomware a un impact démesuré sur le gaz, l'énergie et l'ampli;Entreprises de services publics Ransomware Has Outsized Impact on Gas, Energy & Utility Firms (lien direct) |
Les attaquants sont plus susceptibles de cibler les industries d'infrastructures critiques et, lorsqu'elles le font, ils provoquent plus de perturbations et demandent des rançon plus élevées, le paiement médian dépassant 2,5 millions de dollars.
Attackers are more likely to target critical infrastructure industries and, when they do, they cause more disruption and ask higher ransoms, with the median payment topping $2.5 million. |
Ransomware | ||
|
2024-07-19 11:50:05 | La violation de données médicale a un impact sur 12,9 millions d'individus MediSecure Data Breach Impacts 12.9 Million Individuals (lien direct) |
> Les informations personnelles et de santé de 12,9 millions ont été volées dans une attaque de ransomware chez le fournisseur de services de prescription numérique australienne Mediseecure.
>The personal and health information of 12.9 million was stolen in a ransomware attack at Australian digital prescription services provider MediSecure. |
Ransomware Data Breach | ||
 |
2024-07-19 00:00:00 | Play Ransomware Group \\'s New Linux Variant cible ESXi, montre des liens avec un PUMA prolifique Play Ransomware Group\\'s New Linux Variant Targets ESXi, Shows Ties With Prolific Puma (lien direct) |
Trend Micro Threat Hunters a découvert que le groupe de ransomwares de jeu a déployé une nouvelle variante Linux qui cible les environnements ESXi.Lisez notre entrée de blog pour en savoir plus.
Trend Micro threat hunters discovered that the Play ransomware group has been deploying a new Linux variant that targets ESXi environments. Read our blog entry to know more. |
Ransomware Threat Prediction | ★★★ | |
|
2024-07-18 19:31:44 | Utilisation de l'intelligence des menaces pour prédire les attaques potentielles des ransomwares Using Threat Intelligence to Predict Potential Ransomware Attacks (lien direct) |
> Le risque de subir une attaque de ransomware est élevé et les organisations doivent prendre des mesures proactives pour se protéger et minimiser l'impact d'une violation potentielle.
>The risk of suffering a ransomware attack is high and organizations must take proactive steps to protect themselves and minimize the impact of a potential breach. |
Ransomware Threat Prediction | ★★★ | |
 |
2024-07-18 15:30:10 | Changer l'attaque des ransomwares des soins de santé peut coûter près de 2,5 milliards de dollars Change Healthcare Ransomware Attack May Cost Nearly $2.5 Billion (lien direct) |
|
Ransomware Medical | ||
 |
2024-07-18 14:00:00 | Apt41 est né de la poussière APT41 Has Arisen From the DUST (lien direct) |
Written by: Mike Stokkel, Pierre Gerlings, Renato Fontana, Luis Rocha, Jared Wilson, Stephen Eckels, Jonathan Lepore
Executive Summary In collaboration with Google\'s Threat Analysis Group (TAG), Mandiant has observed a sustained campaign by the advanced persistent threat group APT41 targeting and successfully compromising multiple organizations operating within the global shipping and logistics, media and entertainment, technology, and automotive sectors. The majority of organizations were operating in Italy, Spain, Taiwan, Thailand, Turkey, and the United Kingdom. APT41 successfully infiltrated and maintained prolonged, unauthorized access to numerous victims\' networks since 2023, enabling them to extract sensitive data over an extended period. APT41 used a combination of ANTSWORD and BLUEBEAM web shells for the execution of DUSTPAN to execute BEACON backdoor for command-and-control communication. Later in the intrusion, APT41 leveraged DUSTTRAP, which would lead to hands-on keyboard activity. APT41 used publicly available tools SQLULDR2 for copying data from databases and PINEGROVE to exfiltrate data to Microsoft OneDrive. Overview Recently, Mandiant became aware of an APT41 intrusion where the malicious actor deployed a combination of ANTSWORD and BLUEBEAM web shells for persistence. These web shells were identified on a Tomcat Apache Manager server and active since at least 2023. APT41 utilized these web shells to execute certutil.exe to download the DUSTPAN dropper to stealthily load BEACON. As the APT41 intrusion progressed, the group escalated its tactics by deploying the DUSTTRAP dropper. Upon execution, DUSTTRAP would decrypt a malicious payload and execute it in memory, leaving minimal forensic traces. The decrypted payload was designed to establish communication channels with either APT41-controlled infrastructure for command and control or, in some instances, with a compromised Google Workspace account, further blending its malicious activities with legitimate traffic. The affected Google Workspace accounts have been successfully remediated to prevent further unauthorized access. Furthermore, APT41 leveraged SQLULDR2 to export data from Oracle Databases, and used PINEGROVE to systematically and efficiently exfiltrate large volumes of sensitive data from the compromised networks, transferring to OneDrive to enable exfiltration and subsequent analysis. |
Ransomware Malware Tool Threat Patching Medical Cloud | APT 41 | ★★ |
 |
2024-07-18 13:40:24 | La Fin7 de Russie \\ colporte ses logiciels malveillants en termes d'Edr aux gangs de ransomware Russia\\'s FIN7 is peddling its EDR-nerfing malware to ransomware gangs (lien direct) |
Les principaux fournisseurs \\ 'Produits scolatés de nouvelles techniques Prolific Russian Cybercrime Syndicate Fin7 utilise divers pseudonymes pour vendre sa solution de sécurité de sécurité personnalisée à différents gangs de rançongiciels.…
Major vendors\' products scuppered by novel techniques Prolific Russian cybercrime syndicate FIN7 is using various pseudonyms to sell its custom security solution-disabling malware to different ransomware gangs.… |
Ransomware Malware | ★★ | |
|
2024-07-18 13:13:00 | Fin7 Cybercrime Gang évolue avec des ransomwares et des outils de piratage FIN7 Cybercrime Gang Evolves with Ransomware and Hacking Tools (lien direct) |
Fin7, un gang de cybercriminalité notoire, est de retour avec un nouveau sac de trucs!Découvrez les tactiques évolutives de Fin7, & # 8230;
FIN7, a notorious cybercrime gang, is back with a new bag of tricks! Learn about FIN7’s evolving tactics,… |
Ransomware Tool | ★★★ | |
|
2024-07-18 12:40:07 | Marinemax en informer 123 000 de violation de données après une attaque de ransomware MarineMax Notifying 123,000 of Data Breach Following Ransomware Attack (lien direct) |
> Le concessionnaire de bateaux Marinemax a déclaré que la violation des données causée par une récente attaque de ransomware a un impact sur 123 000 personnes.
>Boat dealer MarineMax said the data breach caused by a recent ransomware attack impacts over 123,000 individuals. |
Ransomware Data Breach | ★★ | |
 |
2024-07-18 11:39:06 | Les stocks de sang nationaux britanniques dans l'État très fragile \\ 'suivant l'attaque des ransomwares UK national blood stocks in \\'very fragile\\' state following ransomware attack (lien direct) |
Pas de details / No more details | Ransomware | ★★ | |
|
2024-07-18 11:26:54 | Von der Leyen s'engage à lutter contre les attaques de ransomwares contre les hôpitaux de l'UE Von der Leyen pledges to tackle ransomware attacks against EU hospitals (lien direct) |
Pas de details / No more details | Ransomware | ★★ | |
 |
2024-07-18 09:18:44 | Sophos : Le coût de récupération moyen a quadruplé en un an dans les secteurs d\'infrastructures critiques de l\'énergie et de l\'eau pour atteindre 3 millions de dollars en un an (lien direct) | Le coût de récupération moyen a quadruplé en un an dans les secteurs d'infrastructures critiques de l'énergie et de l'eau pour atteindre 3 millions de dollars en un an, selon une étude Sophos Dans 49 % des cas, les attaques de ransomware lancées contre ces deux secteurs d'infrastructures critiques ont débuté par l'exploitation d'une vulnérabilité. - Investigations | Ransomware Studies | ★★★ | |
|
2024-07-18 08:09:17 | Les coûts médians de récupération de 2 secteurs d'infrastructure critiques, de l'énergie et de l'eau, quadruptent à 3 millions de dollars en 1 an, révèle le Sophos Survey The Median Recovery Costs for 2 Critical Infrastructure Sectors, Energy and Water, Quadruples to $3 Million in 1 Year, Sophos Survey Finds (lien direct) |
Les coûts médians de récupération pour 2 secteurs d'infrastructures critiques, l'énergie et l'eau, quadruptent à 3 millions de dollars en 1 an, le Sophos Survey trouve
49% des attaques de ransomwares contre ces 2 secteurs d'infrastructure critiques ont commencé avec une vulnérabilité exploitée
-
rapports spéciaux
/ /
affiche
The Median Recovery Costs for 2 Critical Infrastructure Sectors, Energy and Water, Quadruples to $3 Million in 1 Year, Sophos Survey Finds 49% of Ransomware Attacks Against These 2 Critical Infrastructure Sectors Started with an Exploited Vulnerability - Special Reports / affiche |
Ransomware | ★★ | |
|
2024-07-17 20:18:30 | Lookout découvre des logiciels de surveillance houthi ciblant les militaires du Moyen-Orient Lookout Discovers Houthi Surveillanceware Targeting Middle Eastern Militaries (lien direct) |
#### Géolocations ciblées - Yémen - Arabie Saoudite - Egypte - Oman - Qatar - t & uuml; rkiye - Emirats Arabes Unis - Moyen-Orient ## Instantané AttentionLes chercheurs ont identifié Guardzoo, un logiciel de surveillance Android utilisé pour cibler le personnel militaire dans les pays du Moyen-Orient, en particulier ceux alignés sur les intérêts houthis.La campagne, active depuis octobre 2019, cible principalement les victimes au Yémen, en Arabie saoudite, en Égypte, en Oman, aux EAU, au Qatar et en Turquie. ## Description Guardzoo, basé sur le logiciel espion Dendroid Rat, peut collecter divers types de données et est distribué via WhatsApp, WhatsApp Business et Direct Browser Downloads.Il peut également déployer des logiciels malveillants invasifs supplémentaires sur les appareils infectés.Le logiciel de surveillance utilise des thèmes militaires et autres comme leurres, et son infrastructure C2 est basée au Yémen, avec plus de 450 adresses IP appartenant aux victimes.Les journaux du serveur C2 ont révélé que les IP victimes sont dispersées dans les pays du Moyen-Orient, et la campagne est attribuée à un acteur de menace aligné par Houthi-Houth en fonction des leurres d'application, du ciblage et du lieu de l'infrastructure C2. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces d'information sur les voleurs. - Encourager les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [SmartScreen] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-overview?ocid=Magicti_TA_LearnDDoc), qui identifieet bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites qui hébergent des logiciels malveillants. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus, ou l'équivalent de votre produit antivirus, pour couvrir les outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une majorité de variantes nouvelles et inconnues. - Les clients de Microsoft Defender peuvent [activer les règles de réduction de la surface d'attaque] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-reduction?ocid=Magicti_TA_LearnDoc) pour prévenir les techniques d'attaque communes utilisées utilisées utilisédans les infections des infostèleurs.Les règles de réduction de la surface d'attaque sont des paramètres de balayage qui arrêtent des classes entières de menaces, notamment, les infostateurs, le vol d'identification et les ransomwares.Les bullets suivants offrent plus de conseils sur les conseils d'atténuation spécifiques: - [Allumez la protection PUA en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/detect-block-potentiale-unwanted-apps-microsoft-asvirus?ocid=Magicti_Ta_learndoctius) - [Bloquez les fichiers exécutables de l'exécution à moins qu'ils ne répondent à un critère de prévalence, d'âge ou de liste de confiance] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-redulation-Rules-reference? OCID = Magicti_TA_LearnDoc # Block-Execuable-Files-From-Running-Unbit-they-Met-A-Prevalence-Age-Or-Truted-List-Criterion) - [Block execution of potentially obfuscated scripts](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-reduction-rules-reference?ocid=magicti_ta_learndoc#block-execution-of-Script potentiellement obsédé) ## Les références [Lookout découvre des logiciels de surveillance houthi ciblant les militaires du Moyen-Orient.] (Https://www.lookout.com/thereat-intelligence/article/guardzoo-houthi-android-surveillanceware) Lookout (consulté en 2024-07-15) | Ransomware Malware Tool Threat Mobile | ★★★ | |
 |
2024-07-17 19:58:15 | Les attaques de ransomwares frappent les secteurs d'énergie, de pétrole et de gaz particulièrement difficiles, Ransomware attacks are hitting energy, oil and gas sectors especially hard, report finds (lien direct) |
Sophos Survey constate que les services publics semblent prêts à payer les demandes de rançon.
Sophos survey finds that utilities appear willing to pay ransom demands. |
Ransomware | ★★★ | |
|
2024-07-17 18:50:29 | Ransomware Shadowroot ciblant les entreprises turques ShadowRoot Ransomware Targeting Turkish Businesses (lien direct) |
#### Géolocations ciblées - t & uuml; rkiye ## Instantané Des chercheurs de Forcepoint \\ S-Labs ont identifié des ransomwares Shadowroot ciblant les entreprises turques, livrées par e-mails de phishing avec des pièces jointes PDF se faisant passer pour des factures. ## Description Le PDF contient un lien qui, lorsqu'il est cliqué, télécharge une charge utile malveillante à partir d'un compte GitHub compromis.La charge utile supprime des fichiers supplémentaires et initie les commandes PowerShell pour exécuter le ransomware Shadowroot en mode caché.Le ransomware crypte ensuite les fichiers avec une extension ".shadroot". Les billets de rançon écrits en turc sont envoyés à la victime, avec des instructions pour contacter l'acteur de menace par e-mail pour les outils de paiement et de décryptage.ForcePoint évalue que cette activité de ransomware Shadowroot est probablement attribuée à un acteur avec un faible niveau de sophistication car il présente une fonctionnalité de base. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Lisez notre [Ransomware en tant que blog de service] (https://www.microsoft.com/security/blog/2022/05/09/ransomware-as-a-service-udentSanding-the-cybercrim-gig-ecoony-and-Comment-protect-vous-soi / # défendant-against-ransomware) pour des conseils sur le développement d'une posture de sécurité holistique pour prévenir les ransomwares, y compris l'hygiène des informations d'identification et les recommandations de durcissement. - Allumez [Protection en cloud-étirement] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-astivirus) dans Microsoft Defender Antivirusou l'équivalent pour que votre produit antivirus couvre rapidement des outils et techniques d'attaquant en évolution.Les protections d'apprentissage automatique basées sur le cloud bloquent une énorme majorité de variantes nouvelles et inconnues. - Activer la protection contre la protection] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection)Services de sécurité. - Exécuter [Détection et réponse de point de terminaison (EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-modeBloquer des artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants détectés après la lutte. - Activer [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations) en mode automatisé complet pour permettre au défenseur de final de prendre des mesures immédiates sur des alertes pour résoudre les brèches, réduisant considérablement le volume d'alerte. Les clients de Microsoft Defender peuvent activer [les règles de réduction de la surface d'attaque] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-reduction) pour empêcher les techniques d'attaque courantes utilisées dans les attaques de ransomware.Les règles de réduction de la surface d'attaque sont des paramètres de balayage qui sont efficaces pour arrêter des classes entières de menaces. - Ransom et stade de mouvement latéral: - [Block Process Creations provenant des commandes psexec et WMI] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-redulation-Rules-reference?ocid=Magicti_TA_LearnDoc#block-Process-Creations-Origining-From-Psexec-and-WMI-Commands).Certaines organisations peuvent rencontrer des problèmes de compatibilité avec cette règle sur certains systèmes de serveurs, mais devraient le déplo | Ransomware Tool Threat | ★★★ | |
|
2024-07-17 17:50:47 | Le nouveau groupe de menaces de ransomware appelle les victimes d'attaque pour assurer les paiements New Ransomware Threat Group Calls Attack Victims to Ensure Payments (lien direct) |
|
Ransomware Threat | ★★★ | |
|
2024-07-17 16:03:00 | Le groupe Fin7 annonce l'outil de bypass de sécurité sur les forums Web Dark FIN7 Group Advertises Security-Bypassing Tool on Dark Web Forums (lien direct) |
L'acteur de menace financièrement motivé connu sous le nom de FIN7 a été observé en utilisant plusieurs pseudonymes sur plusieurs forums souterrains pour annoncer probablement un outil connu pour être utilisé par des groupes de ransomwares comme Black Basta.
"Avneutralizer (alias Aukill), un outil hautement spécialisé développé par FIN7 pour altérer les solutions de sécurité, a été commercialisé dans le criminaire souterrain et utilisé par plusieurs
The financially motivated threat actor known as FIN7 has been observed using multiple pseudonyms across several underground forums to likely advertise a tool known to be used by ransomware groups like Black Basta. "AvNeutralizer (aka AuKill), a highly specialized tool developed by FIN7 to tamper with security solutions, has been marketed in the criminal underground and used by multiple |
Ransomware Tool Threat | ★★★ | |
|
2024-07-17 15:30:00 | Tactiques sophistiquées de Qilin Ransomware \\ dévoilées par des experts Qilin Ransomware\\'s Sophisticated Tactics Unveiled By Experts (lien direct) |
L'attaque de Qilin \\ contre Synnovis a gravement eu un impact sur les hôpitaux clés du NHS à Londres plus tôt ce mois-ci
Qilin\'s attack on Synnovis severely impacted key NHS hospitals in London earlier this month |
Ransomware | ★★ | |
|
2024-07-17 14:00:00 | Comprendre Nullbulge, le nouveau groupe de combat \\ 'hacktiviste \\' Understanding NullBulge, the New AI-Fighting \\'Hacktivist\\' Group (lien direct) |
L'acteur de menace qui a affirmé que le récent Disney Hack ciblait auparavant des jeux et applications centrés sur l'IA avec des logiciels malveillants et des ransomwares de marchandises
The threat actor who claimed the recent Disney hack previously targeted AI-centric games and applications with commodity malware and ransomware |
Ransomware Malware Hack Threat | ★★ | |
 |
2024-07-17 13:05:00 | Le cyber-bill britannique taquine les rapports de ransomware obligatoires UK Cyber Bill teases mandatory ransomware reporting (lien direct) |
Pas de details / No more details | Ransomware | ★★★ | |
|
2024-07-17 13:04:00 | Royaume-Uni pour introduire une version édulcorée des rapports obligatoires pour les attaques de ransomwares UK to introduce watered-down version of mandatory reporting for ransomware attacks (lien direct) |
Pas de details / No more details | Ransomware | ★★ | |
|
2024-07-17 12:06:00 | Hackney Council a réprimandé plus de 2020 Ransomware Attack Hackney Council reprimanded over 2020 ransomware attack (lien direct) |
Pas de details / No more details | Ransomware | ★★★ | |
|
2024-07-17 12:00:00 | [Nouvel outil gratuit]: Révaluez les faiblesses cachées de votre réseau avec le simulateur d'expiltration des données BreachSim de KnowBe4 \\ [NEW FREE TOOL]: Reveal Your Network\\'s Hidden Weaknesses with KnowBe4\\'s BreachSim Data Exfiltration Simulator (lien direct) |
Ransomware Tool Vulnerability | ★★★ | ||
|
2024-07-17 11:50:54 | Hackney Council à Londres a réprimandé pour ne pas avoir empêché l'attaque des ransomwares Hackney Council in London reprimanded for failing to prevent ransomware attack (lien direct) |
Pas de details / No more details | Ransomware | ★★★ | |
|
2024-07-17 11:45:06 | Le London Council accuse le chien de garde de \\ 'exagérer \\' danger de 2020 Raid sur les résidents \\ 'Données London council accuses watchdog of \\'exaggerating\\' danger of 2020 raid on residents\\' data (lien direct) |
Vous avez échappé à une grosse graisse!Prenez la victoire et courez, gagnez-vous? Le district du centre-ville de London \\ de Hackney a déclaré que le chien de garde de la protection des données du Royaume-Uni a mal compris et "exagéré" des détails entourant un ransomwareAttaque de ses systèmes en 2020.…
You escaped a big fat fine! Take the win and run, won\'t you? London\'s inner city district of Hackney says the UK\'s data protection watchdog has misunderstood and "exaggerated" details surrounding a ransomware attack on its systems in 2020.… |
Ransomware | ★★★ | |
|
2024-07-17 11:42:44 | L'attaque de ransomware perturbe les installations de fabrication de meubles Bassett Ransomware Attack Disrupts Bassett Furniture Manufacturing Facilities (lien direct) |
> Le fabricant de meubles Bassett Furniture a récemment été ciblé dans une attaque de ransomware qui a entraîné une fermeture des installations de fabrication.
>Furniture manufacturer Bassett Furniture was recently targeted in a ransomware attack that resulted in a shutdown of manufacturing facilities. |
Ransomware | ★★★ | |
|
2024-07-17 11:20:00 | L'araignée dispersée adopte RansomHub et Ransomware Qilin pour les cyberattaques Scattered Spider Adopts RansomHub and Qilin Ransomware for Cyber Attacks (lien direct) |
Le tristement célèbre groupe de cybercrimes connu sous le nom d'araignée dispersée a incorporé des souches de ransomware telles que RansomHub et Qilin dans son arsenal, a révélé Microsoft.
Sporsed Spider est la désignation donnée à un acteur de menace qui est connu pour ses schémas d'ingénierie sociale sophistiqués pour violer les cibles et établir la persistance pour l'exploitation de suivi et le vol de données.Il a également une histoire de
The infamous cybercrime group known as Scattered Spider has incorporated ransomware strains such as RansomHub and Qilin into its arsenal, Microsoft has revealed. Scattered Spider is the designation given to a threat actor that\'s known for its sophisticated social engineering schemes to breach targets and establish persistence for follow-on exploitation and data theft. It also has a history of |
Ransomware Threat | ★★ | |
|
2024-07-17 10:37:39 | Le géant du yacht Marinemax, les violations des données sur 123 000 personnes Yacht giant MarineMax data breach impacts over 123,000 people (lien direct) |
Marinemax, qui se décrit comme le plus grand détaillant de bateaux de loisirs et de yachts du monde, a notifié plus de 123 000 clients dont les informations personnelles ont été volées dans une violation de sécurité de mars revendiquée par le gang de ransomware Rhysida.[...]
MarineMax, self-described as the world\'s largest recreational boat and yacht retailer, is notifying over 123,000 customers whose personal information was stolen in a March security breach claimed by the Rhysida ransomware gang. [...] |
Ransomware Data Breach | ★★ | |
 |
2024-07-17 10:06:37 | Ransomware du hardbit - ce que vous devez savoir HardBit Ransomware - What You Need to Know (lien direct) |
Ce qui s'est passé?Une nouvelle souche du ransomware du point dur est apparue dans la nature.Il contient un mécanisme de protection dans le but d'empêcher l'analyse des chercheurs en sécurité.Bit dur?Je pense que j'ai entendu parler de cela auparavant.Très probablement.Hardbit est apparu pour la première fois à la fin de 2022 et s'est rapidement fait un nom alors qu'il tentait d'extorquer les paiements de rançon de sociétés dont les données qu'elles avaient cryptées.Cela ne semble pas inhabituel.Qu'est-ce qui a rendu Hardbit différent ?, Et exiger que vous ayez raison.À bien des égards, Hardbit est comme d'autres ransomwares.Il s'agit d'une opération Ransomware-as-a-Service (RAAS) mise à disposition -...
What\'s happened? A new strain of the HardBit ransomware has emerged in the wild. It contains a protection mechanism in an attempt to prevent analysis from security researchers. HardBit? I think I\'ve heard of that before. Quite possibly. HardBit first emerged in late 2022, and quickly made a name for itself as it attempted to extort ransom payments from corporations whose data it had encrypted. That doesn\'t sound unusual. What made HardBit different?, and demand that You\'re right. In many ways, HardBit is like other ransomware. It is a ransomware-as-a-service (RaaS) operation made available -... |
Ransomware | ★★ | |
|
2024-07-17 10:00:00 | Sécurité Run-Run: \\ 'Aukill \\' arrête les processus EDR de Windows Reliant Security End-Run: \\'AuKill\\' Shuts Down Windows-Reliant EDR Processes (lien direct) |
L'acteur de la menace russe FIN17 a changé de vitesse plusieurs fois ces dernières années, se concentrant maintenant sur l'aide aux groupes de ransomwares encore plus secrètement efficaces.
Russian threat actor FIN17 has shifted gears multiple times in recent years, focusing now on helping ransomware groups be even more covertly effective. |
Ransomware Threat | ★★★ | |
|
2024-07-17 07:45:32 | Rite Aid dit que le piratage a un impact sur 2,2 millions de personnes alors que le gang de ransomware menace de divulguer des données Rite Aid Says Hack Impacts 2.2M People as Ransomware Gang Threatens to Leak Data (lien direct) |
> La chaîne de pharmacie Rite Aid indique que 2,2 millions de personnes sont touchées par une violation de données récente pour laquelle le groupe RansomHub a pris le crédit.
>Pharmacy chain Rite Aid says 2.2 million people are impacted by a recent data breach for which the RansomHub group has taken credit. |
Ransomware Data Breach Hack | ★★★ | |
|
2024-07-17 00:08:20 | Le géant des meubles ferme les installations de fabrication après une attaque de ransomware Furniture giant shuts down manufacturing facilities after ransomware attack (lien direct) |
Pas de details / No more details | Ransomware | ★★ | |
|
2024-07-16 19:32:40 | NullBulge | Threat Actor Masquerades as Hacktivist Group Rebelling Against AI (lien direct) | ## Instantané Sentinellabs a publié un rapport sur Nullbulge, un nouveau groupe cybercriminal ciblant l'IA et les entités axées sur le jeu, chargés de publier des données au prétendument volées aux communications internes de Disney \\. ## Description Le groupe prétend avoir une motivation pro-art et anti-AI, mais Sentinelabs évalue que les activités de Nullbulge \\ suggèrent une motivation plus financière. Nullbulge exploite la chaîne d'approvisionnement des logiciels en intégrant du code malveillant dans des référentiels accessibles au public sur Github, Hugging Face et Reddit, attirant les victimes d'importer des bibliothèques nocives ou des packs de mod utilisés par les logiciels de jeu et de modélisation.Le groupe publie leurs hacks via son propre site de blog et sporadiquement sur les fils 4chan. Un certain nombre de campagnes à null ont été observées par Sentinelabs.En mai et juin 2024, le groupe a utilisé le github et le visage étreint pour cibler les outils et les plates-formes d'IA en compromettant des extensions et des logiciels légitimes comme Comfyui \ _Llmvision et Beamng et créant de faux outils malveillants comme le "générateur de caractères idiot".Certaines de ces campagnes exfiltraient les données via Discord WebHook et d'autres ont déployé des logiciels malveillants supplémentaires comme [Async Access à distance Trojan (RAT)] (https://security.microsoft.com/intel-profiles/e9216610Feb409dfb620b2815ff et xworm.Nullbulge a également utilisé le rat asynchronisé et le tempête pour mener des activités de ransomware de suivi à l'aide de charges utiles de verrouillage personnalisées construites à l'aide de Lockbit 3.0. À ce jour, l'activité la plus connue de Nullbulge \\ est la libération d'environ 1,2 téraoctets d'informations provenant des communications de relâche internes de Disney.Selon le groupe, les informations d'identification du compte d'entreprise compromises ont servi de vecteur d'accès initial pour cette attaque.[Selon MSN] (https://www.msn.com/en-nz/news/other/hackers-hit-disney-leaking-unreled-projects-and-intern-messages/ar-bb1q2bsi), propriété de code informatique de propriété, Les informations sur les projets inédits et les évaluations des candidats à l'emploi font partie du contenu divulgué. ## Détections / requêtes de chasse ### Microsoft Defender Antivirus Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Trojan: Win32 / Lokibot] (https: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=trojan:win32/lokibot!msr) - [* Trojan: Bat / Starter *] (https: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=trojan:bat/starter!msr) - [* ransom: win32 / lockbit *] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=ransom:win32/lockbit.ha!mtb) - [* Trojan: Win32 / Leonem *] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/leonem) ## Recommandations Appliquez ces atténuations pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sighT-Microsoft-Defender-Antivirus? OCID = Magicti% 3cem% 3eta% 3C / EM% 3ELEARNDOC) dans Microsoft Defender AntivIrus ou l'équivalent pour que votre produit antivirus couvre les outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une énorme majorité de variantes nouvelles et inconnues. - Allumez [Protection Tamper] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=Magicti%3CEM%3ETA% 3C / EM% 3ELEARNDOC) Caractéristiques pour empêcher les attaquants d'empêcher les services de sécurité. - Exécuter [EDR en mode bloc] (https: //learn.microsoft.com/microsoft-365/se | Ransomware Malware Tool Threat | ★★★★ | |
|
2024-07-16 16:26:30 | Les amendes de la SEC ont coché publiquement la société 2,125 millions de dollars pour négligence avant, pendant et après une attaque de ransomware SEC Fines Publicly Traded Company $2.125 Million For Negligence Before, During, and After a Ransomware Attack (lien direct) |
|
Ransomware | ★★★ | |
|
2024-07-16 15:58:34 | Ransomware de Shadowroot attire les victimes turques via des attaques de phishing Shadowroot Ransomware Lures Turkish Victims via Phishing Attacks (lien direct) |
Le ransomware est rudimentaire avec les fonctionnalités de base, ayant probablement été créée par un développeur inexpérimenté - mais il est efficace pour verrouiller les fichiers et aspirer la capacité de mémoire.
The ransomware is rudimentary with basic functionalities, likely having been created by an inexperienced developer - but it\'s effective at locking up files and sucking up memory capacity. |
Ransomware | ★★★ |
To see everything:
Our RSS (filtrered)
