What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-07-02 17:55:38 | Attaque des ransomwares contre le laboratoire des services de santé au Royaume-Uni perturbe les principaux services hospitaliers de Londres Ransomware Attack on U.K. Health Service Laboratory Disrupts Major London Hospital Services (lien direct) |
|
Ransomware | ||
 |
2024-07-02 16:41:02 | Hemlock Unfurling: un nouveau groupe de menaces utilise une campagne de bombes en cluster pour distribuer des logiciels malveillants Unfurling Hemlock: New threat Group Uses Cluster Bomb Campaign to Distribute Malware (lien direct) |
#### Targeted Geolocations - United States - Germany ## Snapshot During a review of last year\'s malware campaigns, KrakenLabs discovered a campaign where hundreds of thousands of malicious files were distributed using a "malware cluster bomb" technique. ## Description These findings were based on reports about malware like Amadey and Redline, indicating a massive, multi-month campaign likely orchestrated by a single group. This group, dubbed \'Unfurling Hemlock,\' utilized a complex nesting strategy within compressed cabinet files to distribute malware. The infection method involved compressed files named “WEXTRACT.EXE.MUI,” with layers of nested compressed files each containing malware samples. This technique led to the distribution of over 50,000 files worldwide, primarily featuring stealers like Redline, RisePro, and Mystic Stealer, and loaders such as Amadey and SmokeLoader. Despite the samples appearing from various sources, many were traced back to Eastern European hosting services, suggesting a centralized origin. Unfurling Hemlock\'s campaign aimed to maximize infection rates and financial gain by employing utilities to obfuscate malware, disable defenses, and enhance infection success. The group\'s operations seemed financially motivated, leveraging widespread malware distribution and possible partnerships with other cybercriminals for pay-per-infection schemes. The malware execution followed a specific order, where nested files unpacked malware samples, which then executed sequentially to ensure maximum infection impact. This method resulted in multiple malware strains infecting a single victim, posing significant risks to organizations. KrakenLabs\' analysis included over 2,100 samples, revealing distinct patterns and operational structures, confirming the campaign\'s extensive reach and sophistication. They observed multiple distribution methods, including email and compromised websites, and identified numerous command and control (C2) servers linked to the malware. The primary targets of this campaign were companies and private institutions across various countries, with a significant number of uploaded samples originating from the United States and Germany. Interestingly, Russia was also a notable source, despite typical avoidance of CIS countries by regional cybercriminals. KrakenLabs emphasized that while the malware itself was not highly sophisticated, the extensive distribution and redundancy in infection strategies posed substantial threats. The team also noted the potential for similar techniques to gain popularity among other threat actors in the future. ## Additional Analysis Infostealers are commodity malware used to steal information from a target device and send it to the threat actor. Read Microsoft\'s write-up on information stealers [here](https://security.microsoft.com/intel-profiles/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d16d6). ### **Redline** First observed in 2020, threat actors using Redline have leveraged the information stealer because of its availability and flexibility. It allows attackers to collect credentials from web browsers, cryptocurrency wallets, and applications, including passwords, cookies, browser history, and credit card information. Additionally, attackers can gather location information, screenshots, usernames, operating system details, User Account Control (UAC) settings, anti-virus tools, and file information from compromised devices. Redline is often advertised as a Malware-as-a-Service (MaaS) on a number of cybercriminal platforms like the dark web and Telegram, increasing its availability to both sophisticated and unsophisticated threat actors. ### RisePro According to [Security Week](https://www.securityweek.com/new-risepro-infostealer-increasingly-popular-among-cybercriminals/), RisePro was first detected in December 2022 being sold on Russian Market, but a sharp increase of activity surroundin | Ransomware Spam Malware Tool Threat | ||
 |
2024-07-02 16:30:00 | How MFA Failures are Fueling a 500% Surge in Ransomware Losses (lien direct) | Le paysage des menaces de cybersécurité a connu une augmentation spectaculaire et alarmante du paiement moyen des ransomwares, une augmentation supérieure à 500%.Sophos, un leader mondial de la cybersécurité, a révélé dans son rapport annuel "State of Ransomware 2024" selon lequel le paiement de rançon moyen a augmenté de 500% au cours de la dernière année avec des organisations qui ont payé une rançon déclarant un paiement moyen de 2 millions de dollars, en hausse par rapport à
The cybersecurity threat landscape has witnessed a dramatic and alarming rise in the average ransomware payment, an increase exceeding 500%. Sophos, a global leader in cybersecurity, revealed in its annual "State of Ransomware 2024" report that the average ransom payment has increased 500% in the last year with organizations that paid a ransom reporting an average payment of $2 million, up from |
Ransomware Threat | ||
 |
2024-07-02 16:29:14 | Arrestation d\'un pirate informatique : création d\'un ransomware par IA (lien direct) | La police a arrêté un jeune homme de 25 ans pour avoir créé un logiciel malveillant utilisant l'intelligence artificielle (IA).... | Ransomware Legislation | ||
 |
2024-07-02 14:30:00 | Les demandes d'attaque par ransomware atteignent 5,2 millions de dollars en 2024 Ransomware Attack Demands Reach a Staggering $5.2m in 2024 (lien direct) |
Comparerch a calculé que la demande moyenne de rançon dépassait 5,2 millions de dollars au cours des six premiers mois de 2024, avec 421 incidents confirmés au cours de cette période
Comparitech calculated that the average ransom demand was over $5.2m in the first six months of 2024, with 421 confirmed incidents during this period |
Ransomware | ||
 |
2024-07-02 13:47:03 | Patelco arrête les systèmes bancaires après une attaque de ransomware Patelco shuts down banking systems following ransomware attack (lien direct) |
Patelco Credit Union a révélé qu'il a subi une attaque de ransomware qui a conduit à l'arrêt proactif de plusieurs de ses systèmes bancaires face à la clientèle pour contenir l'impact de l'incident.[...]
Patelco Credit Union has disclosed it experienced a ransomware attack that led to the proactive shutdown of several of its customer-facing banking systems to contain the incident\'s impact. [...] |
Ransomware | ||
 |
2024-07-02 13:21:09 | Affirm admet les informations client pwned en raid randine à Evolve Bank Affirm admits customer info pwned in ransomware raid at Evolve Bank (lien direct) |
Le nombre de partenaires reconnaissant le vol de données continue d'augmenter Le nombre d'institutions financières frappé par la violation de Evolve Bank &La confiance continue d'augmenter en tant qu'activité fintech sage et affirmez les deux confirment qu'elles ont été matériellement affectées.…
Number of partners acknowledging data theft continues to rise The number of financial institutions hit by the breach at Evolve Bank & Trust continues to rise as fintech businesses Wise and Affirm both confirm they have been materially affected.… |
Ransomware | ||
 |
2024-07-02 12:59:33 | EVOLVE Bank Shames Dontivations Détails Les entreprises fintech Signalent être frappé Evolve Bank Shares Data Breach Details as Fintech Firms Report Being Hit (lien direct) |
> Les sociétés fintech sages et affirmées sont affectées par la violation de données de Evolve Bank, qui a partagé des détails supplémentaires sur la récente attaque de ransomware.
>Fintech companies Wise and Affirm are impacted by the data breach at Evolve Bank, which has shared additional details on the recent ransomware attack. |
Ransomware Data Breach | ||
 |
2024-07-02 07:38:44 | NetApp reçoit de SE Labs la note AAA pour sa solution de détection de ransomware (lien direct) | NetApp reçoit de SE Labs la note AAA pour sa solution de détection de ransomware pilotée par IA, une première dans l'industrie NetApp établit un nouveau standard pour le stockage sécurisé avec une précision de détection de ransomware validée par un tiers de 99% - Business | Ransomware | ||
 |
2024-07-01 19:27:25 | Le géant japonais de l'anime et du jeu admet une fuite de données après une attaque de ransomware Japanese anime and gaming giant admits data leak following ransomware attack (lien direct) |
Pas de details / No more details | Ransomware | ||
|
2024-07-01 15:22:48 | CDK Global dit que tous les concessionnaires seront de retour en ligne d'ici jeudi CDK Global says all dealers will be back online by Thursday (lien direct) |
CDK Global dit que son système de gestion des concessionnaires (DMS), touché par une panne informatique massive après une attaque de ransomware du 18 juin, sera de retour en ligne jeudi pour tous les concessionnaires automobiles.[...]
CDK Global says that its dealer management system (DMS), impacted by a massive IT outage following a June 18th ransomware attack, will be back online by Thursday for all car dealerships. [...] |
Ransomware | ||
 |
2024-07-01 11:49:09 | 1er juillet & # 8211;Rapport de renseignement sur les menaces 1st July – Threat Intelligence Report (lien direct) |
> Pour les dernières découvertes en cyber recherche pour la semaine du 1er juillet, veuillez télécharger notre bulletin de renseignement sur les menaces.Les principales attaques et violation du BlackSuit Ransomware Group ont frappé le National Health Laboratory Service (NHLS) de l'Afrique du Sud (NHLS), perturbant la diffusion des résultats du laboratoire au milieu d'une épidémie MPOX.Les acteurs ont supprimé les sections du système, y compris les sauvegardes, le résultat manuel de forçage [& # 8230;]
>For the latest discoveries in cyber research for the week of 1st July, please download our Threat Intelligence Bulletin. TOP ATTACKS AND BREACHES The BlackSuit ransomware group has hit South Africa’s National Health Laboratory Service (NHLS), disrupting lab result dissemination amid a Mpox outbreak. The actors have deleted system sections, including backups, forcing manual result […] |
Ransomware Threat | ★★ | |
|
2024-07-01 10:57:31 | Faits saillants hebdomadaires, 1er juillet 2024 Weekly OSINT Highlights, 1 July 2024 (lien direct) |
## Snapshot Last week\'s OSINT reporting reveals a landscape of diverse cyber threats characterized by sophisticated attack tactics and adaptable threat actors. Key themes include the proliferation of Remote Access Trojans (RATs) like Remcos and XWorm, as well as the deployment of ransomware in espionage campaigns by groups such as ChamelGang. The use of phishing, malicious documents, and social engineering tactics are prevalent attack vectors, often leading to the installation of malware, as seen with Fickle Stealer and StrelaStealer. Threat actors range from nation-state groups, including Chinese and Russian espionage teams targeting government and critical infrastructure, to cybercriminals employing Phishing-as-a-Service platforms like ONNX Store to target financial institutions. The targets of these attacks are diverse, encompassing telecom operators, government entities, academic institutions, and private sector organizations across various regions, highlighting the global and multifaceted nature of current cyber threats. ## Description 1. **[Chinese Espionage Group Targets Telecom Operators](https://sip.security.microsoft.com/intel-explorer/articles/e2de6dd7):** Symantec\'s Threat Hunter Team identified a prolonged espionage campaign by Chinese groups targeting telecom operators in an Asian country using tools like Coolclient and Rainyday. The attackers aimed to steal credentials and implant backdoors, suggesting motives ranging from intelligence gathering to infrastructure disruption. 2. **[Remcos RAT Distributed via Malicious Word Documents](https://sip.security.microsoft.com/intel-explorer/articles/f5983b2e):** Forcepoint analysts discovered the distribution of Remcos RAT through Word documents with shortened URLs, exploiting the Equation Editor vulnerability. The malware enables full system control for espionage and data theft, highlighting the importance of recognizing evolving cybercriminal tactics. 3. **[WordPress Plugins Compromised with Malicious PHP Scripts](https://sip.security.microsoft.com/intel-explorer/articles/d443398b):** Wordfence identified a threat actor tampering with five WordPress plugins to create new admin accounts and inject SEO spam. This breach affected over 35,000 websites, emphasizing the need for robust security measures and vigilant monitoring of plugin updates. 4. **[SugarGh0st Malware Campaign by SneakyChef](https://sip.security.microsoft.com/intel-explorer/articles/f1334283):** Cisco Talos uncovered "SneakyChef" using SugarGh0st malware to target government agencies in EMEA and Asia, employing decoy documents from foreign ministries. The group\'s infection chain involves SFX RAR files, with tactics suggesting a Chinese-speaking origin. 5. **[ChamelGang Uses Ransomware for Cyberespionage](https://sip.security.microsoft.com/intel-explorer/articles/b24f9fda):** SentinelLabs and Recorded Future reported on ChamelGang\'s use of CatB ransomware to target global high-profile organizations. The group, likely Chinese, uses ransomware to mislead attribution efforts and facilitate data exfiltration. 6. **[P2Pinfect Rust-based Malware Evolution](https://sip.security.microsoft.com/intel-explorer/articles/2238375c):** Cado Security highlighted the evolution of P2Pinfect, a Rust-based malware spreading via Redis with a botnet for pushing updated binaries. The malware includes a worm, miner, and ransomware payloads, demonstrating ongoing development for profit and network expansion. 7. **[UAC-0184 Targets Ukraine with XWorm RAT](https://sip.security.microsoft.com/intel-explorer/articles/1d853438):** CRIL reported on UAC-0184\'s malware campaign using XWorm RAT to target Ukrainian entities. The attack employs malicious LNK files and DLL sideloading to establish remote access, reflecting the group\'s evolving tactics. 8. **[Xctdoor Malware Targets Korean Companies](https://sip.security.microsoft.com/intel-explorer/articles/df357951):** AhnLab identified attacks on Korean companies using Xctdoor malware, initially infiltrating systems via an ERP update server. | Ransomware Spam Malware Tool Vulnerability Threat | ★★★ | |
 |
2024-07-01 10:00:00 | Conformité réglementaire et préparation aux ransomwares Regulatory Compliance and Ransomware Preparedness (lien direct) |
Ransomware attacks are a huge problem: in the past five years alone, they have brought about a state of emergency across vast swathes of the United States, threatened to topple the Costa Rican government, and brought Portugal\'s largest media conglomerate to its knees. And ransomware attackers show no signs of slowing down: last year, roughly one-third of all data breaches involved ransomware or some other extortion technique. Preventing and protecting against ransomware attacks has become a global priority, with cybersecurity regulations and frameworks playing an essential role. By outlining, standardizing, and mandating preventative measures, cybersecurity regulations and frameworks ensure that organizations worldwide are prepared to deal with the ransomware threat. Let\'s examine them more closely. Understanding Cybersecurity Regulations First, we need to understand cybersecurity regulations and what they do. There are far too many cybersecurity regulations for us to cover in this article, so we\'ll focus on three of the most important: NIS2, DORA, and HIPAA. Broadly speaking, cybersecurity regulations are sets of laws, rules, or guidelines enacted by governments or regulatory bodies to protect information systems, networks, and data from cyber threats and attacks. These regulations ensure data and information systems\' confidentiality, integrity, and availability by enforcing specific security practices, controls, and procedures. But let\'s look at each of our examples a little more closely: NIS2 (Network and Information Security Directive 2) The Network and Information Security Directive 2 (NIS2) is a legislative framework established by the European Union (EU) to enhance member states\' cybersecurity resilience and response capabilities. It builds upon the original NIS Directive to strengthen cybersecurity measures in critical infrastructure sectors, promote cooperation among member states, and hold organizations accountable. DORA (Digital Operational Resilience Act) The Digital Operational Resilience Act (DORA) is a regulatory framework that came into force in January 2023. It aims to enhance the financial sector\'s digital operational resilience within the EU. DORA\'s primary goal is to ensure that financial institutions can withstand, respond to, and recover from all types of ICT (Information and Communication Technology) related disruptions and threats, including ransomware and cyberattacks. The Act complements the NIS2 regulation in the financial services domain. HIPAA (Health Insurance Portability and Accountability Act) The Health Insurance Portability and Accountability Act (HIPAA) is a US federal law enacted in 1996 to protect sensitive patient health information from being disclosed without the patient\'s consent or knowledge. HIPAA sets the standard for protecting sensitive patient data, and organizations dealing with protected health information (PHI) must ensure that they put in place and follow all necessary physical, network, and process security measures to comply. How do Regulations Improve Ransomware Readiness? Now that we better understand each regulation, we can explore how they improve ransomware readiness. Again, we won\'t have time to explore each regulation\'s provisions in their entirety, so we\'ll pick out some of the most important. NIS2 NIS2 has several provisions that improve relevant organizations\' resilience to ransomware attacks. For example: ● Risk Management: NIS2 mandates that organizations implement robust risk management practices, incl | Ransomware Vulnerability Threat Technical | ★★★ | |
|
2024-07-01 08:35:00 | Plus de six millions de personnes atteintes par une violation des ransomwares chez Infosys McCamish Systems Over Six Million Hit by Ransomware Breach at Infosys McCamish Systems (lien direct) |
L'externateur Infosys McCamish Systems a révélé que des millions de victimes ont été touchées par une attaque de ransomware l'année dernière
Outsourcer Infosys McCamish Systems has revealed millions of victims were impacted by a ransomware attack last year |
Ransomware | ★★★ | |
|
2024-06-29 10:14:28 | Rencontrez Brain Cipher - Le nouveau ransomware derrière l'attaque du centre de données de l'Indonésie Meet Brain Cipher - The new ransomware behind Indonesia\\'s data center attack (lien direct) |
La nouvelle opération de ransomware de chiffre d'affaires du cerveau a commencé à cibler les organisations du monde entier, attirant l'attention des médias pour une récente attaque contre le centre national temporaire de l'Indonésie.[...]
The new Brain Cipher ransomware operation has begun targeting organizations worldwide, gaining media attention for a recent attack on Indonesia\'s temporary National Data Center. [...] |
Ransomware | ★★ | |
|
2024-06-29 00:31:47 | L'hôpital de Chicago Children \\ dit près de 800 000 touchés par l'attaque de ransomware de janvier Chicago children\\'s hospital says nearly 800,000 affected by January ransomware attack (lien direct) |
Pas de details / No more details | Ransomware | ★★ | |
 |
2024-06-28 20:11:46 | CORNE CISO: Le NYSE & AMP;la seconde;Conseils de négociation des ransomwares CISO Corner: The NYSE & the SEC; Ransomware Negotiation Tips (lien direct) |
Notre collection des perspectives de rapport et de l'industrie les plus pertinentes pour ceux qui guident les stratégies de cybersécurité et se sont concentrées sur SECOPS.
Our collection of the most relevant reporting and industry perspectives for those guiding cybersecurity strategies and focused on SecOps. |
Ransomware | ★★★ | |
|
2024-06-28 17:55:19 | \\ 'Je ne vois pas que cela se passe \\': le chef de CISA rejette l'interdiction des paiements de ransomware \\'I don\\'t see it happening\\': CISA chief dismisses ban on ransomware payments (lien direct) |
Pas de details / No more details | Ransomware | ★★★ | |
|
2024-06-28 17:46:36 | Le raccourcissement d'URL dans un fichier Word Microsoft qui mène à Remcos Rat URL Shortener in a Microsoft Word File that Leads to Remcos RAT (lien direct) |
## Instantané Les analystes de ForcePoint ont identifié une nouvelle méthode de distribution des REMCO (télécommande et surveillance) à distance d'accès à distance (rat) via des documents de mots malveillants contenant des URL raccourcies. ## Description Le Remcos Rat malware accorde aux attaquants un contrôle total sur un système infecté, permettant le vol de données, l'espionnage et d'autres activités malveillantes.L'attaque commence lorsqu'un e-mail contenant une pièce jointe .docx est livré.L'attaque commence par un e-mail contenant une pièce jointe .Docx, qui conduit au téléchargement du Remcos Rat via une variante du malware d'éditeur d'équipement au format RTF.Le malware exploite la vulnérabilité de l'éditeur d'équation ([CVE-2017-11882] (https://security.microsoft.com/intel-explorer/cves/cve-2017-0199/)) pour télécharger un script VB, qui deobfuscats à PowerShellCode tentant de télécharger un binaire malveillant via l'image stéganographique et les chaînes encodées de base64 de base64.L'utilisation d'URL raccourcies dans des documents de mots pour distribuer le Remcos Rat met en évidence l'évolution des tactiques des cybercriminels, soulignant l'importance de comprendre la chaîne d'infection et de reconnaître les signes de telles attaques pour mieux protéger contre ces menaces. ## Analyse supplémentaire Remcos Rat est couramment déployé via le phishing en utilisant plusieurs types d'attachements malveillants.Par exemple, en 2023, [chercheurs de contrôle observés] (https://security.microsoft.com/intel-explorer/articles/12418076) Une campagne de phishing à grande échelle ciblant les organisations colombiennes utilisant des accessoires Zip, RAR ou TGZ pour distribuer les logiciels malveillants.[AhnLab Security Intelligence Center (ASEC) a également observé] (https://asec.ahnlab.com/ko/65790/) REMCOS RAT distribué via des fichiers Uue compressés. Remcos est un rat polyvalent car il fournit aux attaquants un contrôle étendu sur un système infectieux, facilitant une variété d'activités malveillantes.Les impacts clés d'une infection REMCOS peuvent inclure: - ** Takeover du compte: ** Remcos est apte à capturer les mots de passe et le keylogging à partir de systèmes compromis, permettant aux attaquants de contrôler Séeze des comptes en ligne et d'autres systèmes, de voler des informations sensibles, d'établir de la persistance et de dégénérer les privilèges. - ** Vol de données: ** Au-delà des touches de journalisation et des informations d'identification, les Remcos ont la capacité de collecter et de transmettre d'autres données d'une organisation, permettant aux attaquants de mener des violations de données. - ** Infections de suivi: ** REMCOS permet aux attaquants d'introduire des logiciels malveillants supplémentaires à un appareil infecté.Par conséquent, une infection par REMCOS pourrait entraîner des menaces plus réduites telles que des ransomwares ou une autre attaque de suivi. ## Détections / requêtes de chasse ** Microsoft Defender Antivirus ** Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - * [Backdoor: MSIL / REMCOS] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-dercription?name=backDoor:msil/remcos&Thereatid=-2147222251) * - * [BackDoor: Win32 / Remcos] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-dercription?name=backdoor:win32/remcos& ;theretid=-2147238996) * - * [Backdoor: JS / Remcos] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-dercription?name=backDoor:js/remcos&Thereatid=-214707070418) * * - * [Trojan: Win32 / Remcos] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/remccOS & menaceID = -2147239341) * - * [Trojan: MSIL / Remcos] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encyclopedia-dercription?name=trojan:msil/remcos.mbdk!mtb& ;troatid=-2147121620) * | Ransomware Malware Tool Vulnerability Threat | ★★★ | |
|
2024-06-28 15:09:15 | Les cibles d'attaque de verrouillage évoluent la banque, pas la Réserve fédérale LockBit Attack Targets Evolve Bank, Not Federal Reserve (lien direct) |
Le groupe Ransomware a affirmé qu'il avait violé la Réserve fédérale, mais l'objectif semble désormais avoir été une banque basée en Arkansas, Evolution.
The ransomware group claimed it had breached the Federal Reserve, but the target now appears to have been an Arkansas-based bank, Evolve. |
Ransomware | ★★★ | |
|
2024-06-28 14:08:59 | Infosys McCamish dit que Lockbit a volé des données de 6 millions de personnes Infosys McCamish says LockBit stole data of 6 million people (lien direct) |
Infosys McCamish Systems (IMS) a révélé que l'attaque de ransomware de verrouillage qu'elle avait subie plus tôt cette année a eu un impact sur les informations sensibles de plus de six millions de personnes.[...]
Infosys McCamish Systems (IMS) disclosed that the LockBit ransomware attack it suffered earlier this year impacted sensitive information of more than six million individuals. [...] |
Ransomware | ★★★ | |
|
2024-06-28 10:42:38 | L'hôpital de Chicago Children \\ a affirmé 791 000 impactés par l'attaque des ransomwares Chicago Children\\'s Hospital Says 791,000 Impacted by Ransomware Attack (lien direct) |
Ann & # 038;L'hôpital de Robert H. Lurie Children \'s de Chicago a déclaré que la récente violation des données causée par une attaque de ransomware a un impact sur 791 000 personnes.
Ann & Robert H. Lurie Children\'s Hospital of Chicago says the recent data breach caused by a ransomware attack impacts 791,000 people. |
Ransomware Data Breach | ★★ | |
 |
2024-06-28 03:18:00 | Une meilleure résilience voit plus d'entreprises extorquées refuser de payer leurs attaquants de ransomware Better Resilience Sees More Extorted Companies Refuse To Pay Their Ransomware Attackers (lien direct) |
Il y a des nouvelles peut-être de bonnes nouvelles sur le front des ransomwares.Les entreprises sont de plus en plus résilientes aux attaques, et les paiements de rançon extorqués par les entreprises par des pirates sont sur une tendance à la baisse.C'est l'une des conclusions du courtier d'assurance Marsh, qui a effectué une analyse des plus de 1800 cyber-réclamations qu'elle a reçues en 2023 de ses clients aux États-Unis et au Canada.Selon Marsh, les attaques de ransomwares étaient liées à moins de 20% de toutes les réclamations faites à l'entreprise au cours de la dernière année.Au lieu de cela, les revendications étaient souvent motivées par d'autres facteurs.Ces facteurs incluent "l'augmentation ...
There\'s some possibly good news on the ransomware front. Companies are becoming more resilient to attacks, and the ransom payments extorted from businesses by hackers are on a downward trend. That\'s one of the findings of insurance broker Marsh, which conducted an analysis of the more than 1800 cyber claims it received during 2023 from its clients in the United States and Canada. According to Marsh, ransomware attacks were linked to less than 20% of all claims made to the firm during the last year. Instead, claims were often driven by other factors. These factors include the "increased... |
Ransomware Prediction | ★★★ | |
 |
2024-06-27 22:14:30 | ALERTE NOUVELLES: Infinidat présente une solution avancée de résilience et de récupération pour les entreprises News Alert: Infinidat introduces advanced cyber resiliency and recovery solution for enterprises (lien direct) |
> Waltham, Mass., 27 juin 2024, CyberNewswire & # 8212; infinidat , l'un des principaux fournisseurs de solutions de stockage d'entreprise, a introduit une nouvelle solution de cyber-résilience et de récupération automatisée qui révolutionnera la façon dont les entreprises peuvent minimiser leImpact des ransomwares et des attaques de logiciels malveillants. & # 8230; (plus…)
Le message Alerte de nouvelles: Infinidat présente une solution de résilience et de récupération avancée pour les entreprises est apparue pour la première fois sur le dernier chien de garde .
>Waltham, Mass., June 27, 2024, CyberNewsWire — Infinidat, a leading provider of enterprise storage solutions, has introduced a new automated cyber resiliency and recovery solution that will revolutionize how enterprises can minimize the impact of ransomware and malware attacks.… (more…) The post News Alert: Infinidat introduces advanced cyber resiliency and recovery solution for enterprises first appeared on The Last Watchdog. |
Ransomware Malware | ★★ | |
|
2024-06-27 20:01:00 | Le botnet P2Pinfect basé sur la rouille évolue avec des charges utiles de mineur et de ransomwares Rust-Based P2PInfect Botnet Evolves with Miner and Ransomware Payloads (lien direct) |
Le botnet malware pair-to-peer connu sous le nom de p2pinfect a été trouvé ciblant les serveurs redis mal configurés avec des mineurs de ransomware et de crypto-monnaie.
Le développement marque la transition de la menace de ce qui semblait être un botnet dormant avec des motifs peu clairs d'une opération financièrement motivée.
"Avec ses dernières mises à jour du mineur crypto, de la charge utile des ransomwares et des éléments Rootkit, il démontre
The peer-to-peer malware botnet known as P2PInfect has been found targeting misconfigured Redis servers with ransomware and cryptocurrency miners. The development marks the threat\'s transition from what appeared to be a dormant botnet with unclear motives to a financially motivated operation. "With its latest updates to the crypto miner, ransomware payload, and rootkit elements, it demonstrates |
Ransomware Malware Threat | ★★★ | |
|
2024-06-27 20:00:39 | (Déjà vu) Sneakychef Espionage Group cible les agences gouvernementales avec Sugargh0st et plus de techniques d'infection SneakyChef espionage group targets government agencies with SugarGh0st and more infection techniques (lien direct) |
#### Géolocations ciblées - Asie centrale - Moyen-Orient - Asie du sud - Europe du Nord - Amérique du Nord - L'Europe de l'Est - Europe du Sud - Europe de l'Ouest #### Industries ciblées - agences et services gouvernementaux ## Instantané Cisco Talos a récemment identifié un nouvel acteur de menace, "sneakychef", utilisant des logiciels malveillants de Sugargh0st dans une campagne datant d'août 2023. ## Description [Ciblant initialement la Corée du Sud et l'Ouzbékistan] (https://security.microsoft.com/intel-explorer/articles/08b2afef), "sneakychef" a élargi son objectif pour inclure des pays en EMEA et en Asie.Le groupe utilise des documents gouvernementaux numérisés, en particulier des ministères des affaires étrangères et des ambassades, pour attirer les victimes. "Sneakychef" cible un large éventail d'agences gouvernementales et a utilisé des documents leurres imitant le ministère des Affaires étrangères de l'Angola, du Turkménistan, du Kazakhstan, de l'Inde et de la Lettonie, entre autres.La campagne usurpe également les documents de la conférence de recherche.Récemment, une campagne Sugargh0st a ciblé un [États-UnisOrganisation de l'IA] (https: // security.microsoft.com/intel-explorer/articles/a67a621d), indiquant la large adoption du malware \\. Malgré les divulgations, "sneakychef" continue to Utilisez des domaines C2 anciens et nouveaux.Leur chaîne d'infection implique des fichiers SFX RAR, qui déposent des composants malveillants sur les systèmes des victimes.Le processus implique un document de leurre, un chargeur de DLL, un SCRYPTED SUCARGH0ST et un script VB, similaire aux méthodes précédemment divulguées. Une chaîne d'infection supplémentaire utilisant des fichiers SFX RAR a été découverte, soutenant la théorie selon laquelle "sneakychef" est probablement chinois.Cette affirmation est basée sur la langue utilisée et l'utilisation du groupe Gh0st Rat, populaire parmi les pirates de langue chinois. ## Recommandations Recommandations pour protéger contre les attaques de phishing Implémentez l'authentification multifactrice (MFA) pour atténuer le vol d'identification des attaques de phishing.Le MFA peut être complété par les solutions et les meilleures pratiques suivantes pour protéger les organisations: - Activer les politiques d'accès conditionnel.[Accès conditionnel] (https://learn.microsoft.com/azure/active-directory/conditional-access/overview?ocid=magicti_ta_learndoc) sont évalués et appliqués chaque fois qu'un attaquant tente d'utiliser un cookie de session volé.Les organisations peuvent se protéger des attaques qui tirent parti des références volées en activant des politiques concernant les appareils conformes ou l'adresse IP de confiance nécessitentmens. - configurehttps: //learn.microsoft.com/azure/active-directory/conditional-access/concept-continuse-access-evaluation? Ocid = magicti_ta_learndoc [ConÉvaluation de l'accès en tinous] (https://learn.microsoft.com/azure/active-directory/conditional-access/concept-continuous-access-evaluation?ocid=Magicti_ta_learndoc) dans votre locataire. - Investissez dans des solutions anti-phishing avancées qui surveilleront les e-mails entrants et les sites Web visités.[Microsoft Defender for Office] (https://learn.microsoft.com/microsoft-365/security/defender/microsoft-365-security-center-mdo?ocid=Magicti_TA_LearnDoc) 365 rassemble des incidents et une gestion de l'alerte à travers l'e-mail, les dispositifset identités, centraliser les enquêtes pour les menaces par courrier électronique.Les organisations peuvent également tirer parti des navigateurs Web qui [identifient et bloquent automatiquement les sites Web malveillants] (https://learn.microsoft.com/deployedge/microsoft-edge-security-smartscreen?ocid=Magicti_TA_Learndoc), y compris ceux utilisés dans cette campagne de phishing. - Surveillez les activités suspectes ou anormales et recherchez | Ransomware Spam Malware Tool Threat Conference | ★★ | |
|
2024-06-27 19:05:45 | Groupes de cyberespionnage de Chamelgang & Friends attaquant une infrastructure critique avec ransomware ChamelGang & Friends Cyberespionage Groups Attacking Critical Infrastructure with Ransomware (lien direct) |
## Instantané Sentinellabs et enregistré Future ont publié un rapport sur les groupes de cyberespionnage à l'aide de ransomwares.Le rapport détaille les activités de Chamelgang, un acteur de menace chinois présumé, connu pour utiliser des ransomwares CATB pour cibler les organisations de haut niveau dans le monde.En outre, le rapport met en évidence un cluster d'activités séparé et non attribué à l'aide de BestCrypt et Microsoft Bitlocker qui a des objectifs similaires. ## Description Chamelgang, également appelée Camofei, a été observée ciblant les organisations gouvernementales et les entités d'infrastructures critiques de 2021 à 2023. Le groupe utilise des techniques sophistiquées pour l'accès initial, la reconnaissance, le mouvement latéral et l'exfiltration des données.Notamment, en novembre 2022, Chamelgang a compromis 192 ordinateurs à la présidence du Brésil, en utilisant des outils de reconnaissance standard pour cartographier le réseau et recueillir des informations sur les systèmes critiques.Ils ont ensuite déployé des ransomwares CATB, laissant des billets de rançon avec une adresse ProtonMail et une adresse de paiement Bitcoin. Les chercheurs ont également analysé un deuxième groupe d'activités, qui ressemble à des intrusions antérieures à l'aide d'artefacts qui ont été liés à d'autres groupes de menaces chinois et nord-coréens.Encore une fois, ces activités impliquaient souvent des ransomwares ou d'autres outils de chiffrement des données. La recherche souligne comment les acteurs du cyberespionnage utilisent stratégiquement les ransomwares pour les gains financiers, les perturbations ou pour induire les efforts d'attribution induit en erreur.En utilisant des ransomwares, ces acteurs peuvent entraîner une identification par erreur de leurs opérations comme liées à l'espionnage financièrement.De plus, les groupes APT pourraient acheter des ransomwares des cybercriminels pour induire une attribution insensée. Ransomware offre une couverture pour l'exfiltration des données, qui est au cœur des opérations de cyberespionnage.Cette mauvaise attribution permet aux pays contradictoires de refuser le parrainage de l'État, attribuant des actions à des criminels indépendants.La mauvaise hutte de ces activités en tant qu'opérations criminelles peut entraîner des conséquences stratégiques, en particulier dans les attaques contre le gouvernement ou les infrastructures critiques. Sur le plan opérationnel, le ransomware profite aux groupes APT en détruisant des artefacts liés à l'intrusion et à l'attribution, en compliquant les efforts de défense.Le besoin urgent de restaurer les données affectées et les systèmes peuvent détourner l'attention des activités malveillantes en cours. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - * [Ransom: win64 / catb] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-dercription?name=ransom:win64/catb.a& ;theretid=-2147057624) * - * [TrojandRopper: Win64 / Catb] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=tRojandRopper: Win64 / Catb & menaceID = -2147128826) * - * [Trojan: XML / COBALTSTRIKE] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=trojan:xml/CobaltStrike& ;thereatid=-2147191933) * - * [Trojan: win64 / cobaltstrike] (https: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-dercription?name=trojan:win64/cobaltstrike& ;theatid=-2147206144)* - * [Backdoor: Win32 / Cobaltsstrike] (https://www.microsoft.com/en-us/wdsi/terats/malware-encycopedia-d-dEscription? Name = Backdoor: Win32 / CobalTstrike & menaceID = -2147179418) * - * [Backdoor: win64 / cobaltstrike] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=backdoor:win64/cobaltstrike & menaceID = -2147180169) * - * [hacktool: win32 / cobaltstrike] | Ransomware Malware Tool Threat | ★★★ | |
|
2024-06-27 18:57:29 | Blacksuit Ransomware Gang affirme une attaque contre Kadokawa Corporation BlackSuit ransomware gang claims attack on KADOKAWA corporation (lien direct) |
Le gang de ransomwares noires a revendiqué une récente cyberattaque sur Kadokawa Corporation et menace désormais de publier des données volées si une rançon n'est pas payée.[...]
The BlackSuit ransomware gang claimed a recent cyberattack on KADOKAWA corporation and is now threatening to publish stolen data if a ransom is not paid. [...] |
Ransomware | ★★ | |
|
2024-06-27 17:54:17 | Dark Reading Confidential: Rencontrez les négociateurs de ransomwares Dark Reading Confidential: Meet the Ransomware Negotiators (lien direct) |
Épisode 2: Les experts de la réponse aux incidents devenus négociateurs de ransomwares Ed Dubrovsky, COO et associé directeur de Cypfer, et Joe Tarraf, directeur de la livraison de Surefire Cyber, expliquent comment ils interagissent avec les acteurs de cyber-menaces qui détiennent des organisations victimes \\ 'Systems and Datapour rançon.Parmi leurs histoires fascinantes: comment ils ont négocié avec les cybercriminels pour restaurer les opérations dans une USIN à l'hôpital où des vies étaient en jeu et comment ils ont aidé une église, où les attaquants eux-mêmes "ont obtenu un peu de religion".
Episode 2: Incident response experts-turned-ransomware negotiators Ed Dubrovsky, COO and managing partner of CYPFER, and Joe Tarraf, chief delivery officer of Surefire Cyber, explain how they interact with cyber threat actors who hold victim organizations\' systems and data for ransom. Among their fascinating stories: how they negotiated with cybercriminals to restore operations in a hospital NICU where lives were at stake, and how they helped a church, where the attackers themselves "got a little religion." |
Ransomware Threat | ★★★ | |
|
2024-06-27 17:17:13 | P2pinfect malware évolue, ajoute des capacités de ransomware et de cryptomiminage P2Pinfect Malware Evolves, Adds Ransomware and Cryptomining Capabilities (lien direct) |
## Snapshot Cado Security researchers report new versions of rust-based malware P2Pinfect. ## Description The malware initially spread via Redis and a limited SSH spreader, with no clear objective other than spreading. P2Pinfect gains initial access by exploiting the replication features in Redis, turning discovered open Redis nodes into follower nodes of the attacker server. It also abuses Redis config commands to write a cron job to the cron directory. The main payload of P2Pinfect is a worm that scans the internet for more servers to infect and features a basic SSH password sprayer. The botnet, a notable feature of P2Pinfect, acts as a peer-to-peer network for pushing out updated binaries. The main binary of P2Pinfect has undergone a rewrite, now entirely written using tokio, an async framework for rust, and packed with UPX. Additionally, the malware now drops a secondary binary at /tmp/bash for health checking. The miner payload embedded in P2Pinfect becomes active after approximately five minutes, and the ransomware payload, called rsagen, is downloaded and executed upon joining the botnet. The ransomware encrypts files and appends .encrypted to the end of the file name, with a ransom note titled "Your data has been locked!.txt". The attacker has made around 71 XMR, equivalent to roughly £9,660, but the mining pool only shows 1 worker active at 22 KH/s, suggesting another wallet address may be in use. The command to start the ransomware was issued directly by the malware operator, and the download server may be an attacker-controlled server used to host additional payloads. P2Pinfect also includes a usermode rootkit that hides specific information and bypasses checks when a specific environment variable is set. There is speculation that P2Pinfect may be a botnet for hire, as evidenced by the delivery of the ransomware payload from a fixed URL and the separation of the miner and ransomware wallet addresses. However, the distribution of rsagen could also be evidence of initial access brokerage. Overall, P2Pinfect continues to evolve with updated payloads and defensive features, demonstrating the malware author\'s ongoing efforts to profit from illicit access and further spread the network. The ransomware\'s impact is limited due to its initial access vector being Redis, which has restricted permissions and limited data storage capabilities. ## Recommendations # Recommendations to protect against RaaS Microsoft recommends the following mitigations to reduce the impact of RaaS threats. - Turn on [cloud-delivered protection](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-block-at-first-sight-microsoft-defender-antivirus?ocid=magicti_ta_learndoc) in Microsoft Defender Antivirus or the equivalent for your antivirus product to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a huge majority of new and unknown variants. - Turn on [tamper protection](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=magicti_ta_learndoc) features to prevent attackers from stopping security services. - Run [endpoint detection and response (EDR) in block mode](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?ocid=magicti_ta_learndoc) , so that Defender for Endpoint can block malicious artifacts, even when your non-Microsoft antivirus doesn\'t detect the threat or when Microsoft Defender Antivirus is running in passive mode. EDR in block mode works behind the scenes to remediate malicious artifacts detected post-breach. - Enable [investigation and remediation](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?ocid=magicti_ta_learndoc) in full automated mode to allow Defender for Endpoint to take immediate action on alerts to resolve breaches, significantly reducing alert volume. - Microsoft Defender customers | Ransomware Malware Tool Threat Cloud | ★★ | |
|
2024-06-27 16:34:21 | Les pirates suspects de gouvernement chinois ont utilisé des ransomwares comme couverture des attaques contre la présidence brésilienne, Indian Health Org Suspected Chinese gov\\'t hackers used ransomware as cover in attacks on Brazil presidency, Indian health org (lien direct) |
Pas de details / No more details | Ransomware | ★★★ | |
|
2024-06-27 12:00:04 | Infinidat introduit la protection contre le cyber stockage pour réduire les menaces de ransomware et de logiciels malveillants Infinidat Introduces Cyber Storage Protection to Reduce Ransomware and Malware Threats (lien direct) |
Waltham, Massachusetts, 27 juin 2024, CyberNewswire
Waltham, Massachusetts, 27th June 2024, CyberNewsWire |
Ransomware Malware | ★★★ | |
 |
2024-06-27 11:00:00 | Fiche de triche de ransomware: tout ce que vous devez savoir en 2024 Ransomware Cheat Sheet: Everything You Need To Know In 2024 (lien direct) |
Ce guide couvre diverses attaques de ransomwares, notamment Colonial Pipeline, Wannacry et Lockbit, les pirates de systèmes cibles et comment éviter de devenir une victime et de payer une rançon des cybercriminels.
This guide covers various ransomware attacks, including Colonial Pipeline, WannaCry and LockBit, the systems hackers target and how to avoid becoming a victim and paying cybercriminals a ransom. |
Ransomware | Wannacry | ★★★ |
|
2024-06-27 09:26:11 | Mois de sensibilisation à la sauvegarde: que faites-vous pour faire vos données sur vos données Backup Awareness Monat: Was Unternehmen tun müssen, um ihre Daten zu schützen (lien direct) |
le "Mois de sensibilisation à la sauvegarde" en juin R & uuml;Il y a de bons grands, car selon la gouvernance informatique, 9 478 & OUML; Les violations de la cinquième protection des données et les cyberattaques ont été enregistrées d'ici mai de cette année.Et plus de 35 milliards de données et AUML;Dans son rapport actuel des ransomwares, le partenaire ArcServine Sophos rapporte également que 59% des entreprises ont été affectées par les ransomwares l'année dernière.La situation de la menace est toujours critique.
-
rapports spéciaux
/ /
affiche
Der „Backup Awareness Month” im Juni rückt das Thema Backup in vielen Unternehmen in den Vordergrund. Dafür gibt es gute Gründe, denn laut IT Governance wurden bis Mai dieses Jahres 9.478 öffentlich bekannt gewordene Datenschutzverletzungen und Cyberangriffe verzeichnet. Dabei wurden über 35 Milliarden Datensätze geknackt. Auch der Arcserve-Partner Sophos berichtet in seinem aktuellen Ransomware-Report, dass 59 Prozent der Unternehmen im vergangenen Jahr von Ransomware betroffen waren. Die Bedrohungslage ist also nach wie vor kritisch. - Sonderberichte / affiche |
Ransomware | ★★ | |
|
2024-06-27 08:30:00 | Les acteurs de l'État chinois utilisent des ransomwares pour cacher une intention réelle Chinese State Actors Use Ransomware to Conceal Real Intent (lien direct) |
Un nouveau rapport avertit que les groupes de l'APT chinois utilisent des ransomwares pour cacher l'activité du cyber-espionnage
A new report warns that Chinese APT groups are using ransomware to conceal cyber-espionage activity |
Ransomware | ★★★ | |
|
2024-06-27 00:20:05 | Les cyberespaces chinoises utilisent des ransomwares dans les attaques pour le détournement Chinese Cyberspies Employ Ransomware in Attacks for Diversion (lien direct) |
Les groupes de cyberespionnage ont utilisé le ransomware comme tactique pour rendre l'attribution des attaques plus difficile, distraire les défenseurs ou pour une récompense financière comme objectif secondaire au vol de données.[...]
Cyberespionage groups have been using ransomware as a tactic to make attack attribution more challenging, distract defenders, or for a financial reward as a secondary goal to data theft. [...] |
Ransomware | ★★★ | |
 |
2024-06-26 22:00:00 | 378: Julian Assange, à l'intérieur d'une attaque DDOS et des traumatismes profonds 378: Julian Assange, inside a DDoS attack, and deepfake traumas (lien direct) |
Julian Assange de WikiLeaks est un homme libre, Deepfakes cause des ennuis dans le terrain de jeu, et nous entendons des prises chaudes sur les ransomwares et les contes de l'intérieur d'une attaque dévastatrice de déni de service.Tout cela et beaucoup plus sont discutés dans la dernière édition du & # 8220; Smashing Security & # 8221;Podcast par les vétérans de la cybersécurité Graham Cluley et Carole Theriault, ont rejoint ce ...
Wikileaks’s Julian Assange is a free man, deepfakes cause trouble in the playground, and we hear hot takes about ransomware and tales from inside a devastating denial-of-service attack. All this and much much more is discussed in the latest edition of the “Smashing Security” podcast by cybersecurity veterans Graham Cluley and Carole Theriault, joined this... |
Ransomware | ★★★ | |
|
2024-06-26 19:07:50 | (Déjà vu) Fickle Stealer Distributed via Multiple Attack Chain (lien direct) | ## Instantané Fortiguard Labs Menace Research a identifié un voleur basé sur la rouille appelée Sceneer Fickle, observé en mai 2024. ## Description Ce voleur est distribué à l'aide de diverses méthodes telles que le dropper VBA, le téléchargeur VBA, le téléchargeur de liens et le téléchargeur exécutable.La chaîne d'attaque est divisée en trois étapes: livraison, travail préparatoire et charge utile des emballeurs et du voleur. Le travail préparatoire consiste à contourner le contrôle des comptes d'utilisateurs (UAC) et à exécuter le voleur capricieux, à créer une nouvelle tâche pour exécuter le moteur.PS1 après 15 minutes, et à envoyer des messages au bot télégramme de l'attaquant \\.De plus, Fickle Stealer est protégé par un packer déguisé en exécutable légal, ce qui rend difficile la détection en utilisant certaines règles de détection.Le malware laisse tomber une copie de lui-même dans le dossier temporaire avec un nom aléatoire, exécute la copie et termine le voleur en cours d'exécution.Il communique ensuite avec le serveur pour envoyer des données volées, y compris les informations de victime, les applications cibles et les mots clés et le contenu de fichiers spécifique au format JSON.Le serveur répond par une liste cible cryptée à l'aide d'un algorithme RC4, et le malware traite diverses cibles telles que les portefeuilles crypto, les plugins, les extensions de fichiers, les chemins partiels, les applications, les navigateurs de moteur Gecko et les navigateurs à base de chrome.Enfin, le malware envoie une capture d'écran au serveur et se supprime.Fickle Stealer est conçu pour recevoir une liste cible du serveur, le rendant plus flexible, et est observé comme ayant mis à jour des variantes, indiquant un développement continu. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces d'information sur les voleurs. - Vérifiez les paramètres de filtrage des e-mails Office 365 pour vous assurer de bloquer les e-mails, le spam et les e-mails avec des logiciels malveillants.Utilisez [Microsoft Defender pour Office 365] (https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-forzice-365?ocid=Magicti_TA_Learnddoc) pour une protection et une couverture de phishing améliorées contrenouvelles menaces et variantes polymorphes.Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) et [delete SenteMail] (https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=Magicti_TA_Learndoc) en réponse à l'intelligence des menaces nouvellement acquise.Allumez [les politiques de pièces jointes de sécurité] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-polies-configure?ocid=Magicti_TA_LearnDoc) pour vérifier les pièces jointes à l'e-mail entrant. - Encourager les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [SmartScreen] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-overview?ocid=Magicti_TA_LearnDDoc), qui identifieet bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites qui hébergent des logiciels malveillants. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus, ou l'équivalent de votre produit antivirus, pour couvrir les outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une majorité de variantes nouvelles et inconnues. - appliquer le MFA sur tous les comptes, supprimer les utilisateurs exclus de la MFA et strictement [exiger MFA] (https://learn.microsoft.com/azur | Ransomware Spam Malware Tool Threat | ★★★ | |
|
2024-06-26 15:43:00 | Les pirates chinois et nord-coréens ciblent l'infrastructure mondiale avec ransomware Chinese and N. Korean Hackers Target Global Infrastructure with Ransomware (lien direct) |
Les acteurs de menaces soupçonnés de liens avec la Chine et la Corée du Nord ont été liés à des attaques de ransomwares et de chiffrement des données ciblant les secteurs du gouvernement et des infrastructures critiques à travers le monde entre 2021 et 2023.
Alors qu'un groupe d'activités a été associé au Chamelgang (alias camofei), le deuxième cluster chevauche une activité précédemment attribuée aux chinois et au nord-coréen
Threat actors with suspected ties to China and North Korea have been linked to ransomware and data encryption attacks targeting government and critical infrastructure sectors across the world between 2021 and 2023. While one cluster of activity has been associated with the ChamelGang (aka CamoFei), the second cluster overlaps with activity previously attributed to Chinese and North Korean |
Ransomware Threat | ★★★ | |
|
2024-06-26 11:21:48 | P2pinfect botnet cible désormais les serveurs avec ransomware, cryptominer P2Pinfect Botnet Now Targets Servers with Ransomware, Cryptominer (lien direct) |
Le botnet p2pinfect, une fois dormant, attaque désormais des serveurs avec des ransomwares et des logiciels malveillants de cryptomine.Padrez vos systèmes pour éviter le chiffrement des données et la perte financière.
The P2Pinfect botnet, once dormant, is now attacking servers with ransomware and cryptomining malware. Patch your systems to avoid data encryption and financial loss. |
Ransomware Malware | ★★★ | |
|
2024-06-26 10:40:11 | Chamelgang & Friends - Groupes de cyberespionnage attaquant une infrastructure critique avec ransomware Chamelgang & friends - Cyberespionage groups attacking critical infrastructure with ransomware (lien direct) |
Chamelgang & Friends - Groupes de cyberespionnage attaquant une infrastructure critique avec des ransomwares.En collaboration avec un avenir enregistré, Sentinelabs a suivi deux grappes d'activités distinctes ciblant le gouvernement et les secteurs d'infrastructures critiques dans le monde entre 2021 et 2023.
-
mise à jour malveillant
Chamelgang & friends - Cyberespionage groups attacking critical infrastructure with ransomware. In collaboration with Recorded Future, SentinelLabs has been tracking two distinct activity clusters targeting government and critical infrastructure sectors globally between 2021 and 2023. - Malware Update |
Ransomware | ★★ | |
 |
2024-06-26 10:00:00 | Les pirates chinois déploient de plus en plus des ransomwares, disent les chercheurs Chinese hackers are increasingly deploying ransomware, researchers say (lien direct) |
> Les pirates d'État d'élite adoptent l'utilisation de ransomwares pour obscurcir leurs opérations.
>Elite state-backed hackers are embracing the use of ransomware to obfuscate their operations. |
Ransomware | ★★★ | |
|
2024-06-26 10:00:00 | \\ 'Chamelgang \\' APT déguise les activités d'espionnage avec ransomware \\'ChamelGang\\' APT Disguises Espionage Activities With Ransomware (lien direct) |
L'acteur de cyberthètes China-Nexus fonctionne depuis au moins 2019 et a entendu des victimes dans plusieurs pays.
The China-nexus cyberthreat actor has been operating since at least 2019 and has notched victims in multiple countries. |
Ransomware | ★★ | |
 |
2024-06-26 09:55:48 | Chamelgang & Friends |Groupes de cyberespionnage attaquant une infrastructure critique avec un ransomware ChamelGang & Friends | Cyberespionage Groups Attacking Critical Infrastructure with Ransomware (lien direct) |
Les acteurs de la menace de l'écosystème du cyberespionnage utilisent des ransomwares pour le gain financier, la perturbation, la distraction, la mauvaise attribution et l'élimination des preuves.
Threat actors in the cyberespionage ecosystem are using ransomware for financial gain, disruption, distraction, misattribution, and the removal of evidence. |
Ransomware Threat | ★★★ | |
 |
2024-06-26 06:47:47 | Les données médicales infligent une tendance alarmante dans le piratage et les ransomwares ciblés par les soins de santé Medical data breaches-an alarming trend in healthcare-targeted hacking and ransomware (lien direct) |
[…] | Ransomware Prediction Medical | ★★★ | |
|
2024-06-26 03:09:26 | Les 5 industries les plus vulnérables aux violations de données en 2024 The 5 Industries Most Vulnerable to Data Breaches in 2024 (lien direct) |
Alors que nous passons à mi-chemin de 2024, des violations de données restent en augmentation.Les cybercriminels trouvent des moyens de plus en plus inventifs pour infiltrer les organisations, exploitant des vulnérabilités dans les réseaux, les logiciels et le comportement humain.Des schémas de phishing et des attaques de ransomwares aux menaces d'initiés et aux compromis de la chaîne d'approvisionnement, la menace des cyberattaques se poursuit.C'est une mauvaise nouvelle, en particulier pour certaines industries.Les conséquences de ces violations s'étendent bien au-delà des pertes financières.Les entreprises qui sont victimes peuvent être confrontées à des amendes réglementaires et à des problèmes juridiques civils.Plusieurs industries ont été ciblées ...
As we pass the halfway mark of 2024, data breaches remain on the rise. Cybercriminals are finding more and more inventive ways to infiltrate organizations, exploiting vulnerabilities in networks, software, and human behavior. From phishing schemes and ransomware attacks to insider threats and supply chain compromises, the threat of cyber attacks continues. This is bad news, especially for certain industries. The consequences of these breaches extend far beyond financial losses. Companies that fall victim can face regulatory fines and civil legal problems. Several industries have been targeted... |
Ransomware Vulnerability Threat | ★★★ | |
|
2024-06-25 21:14:40 | Resurgence de Strelastealer: suivi d'un voleur d'identification axé sur JavaScript ciblant l'Europe StrelaStealer Resurgence: Tracking a JavaScript-Driven Credential Stealer Targeting Europe (lien direct) |
#### Targeted Geolocations - Poland - Spain - Italy - Germany ## Snapshot The SonicWall Capture Labs threat research team has been monitoring an increase in the spread of StrelaStealer, an information stealer (infostealer) malware that first emerged in 2022. Read Microsoft\'s write-up on information stealers [here](https://security.microsoft.com/intel-profiles/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d16d6). ## Description In mid-June, there was a notable surge in JavaScript spreading StrelaStealer, which targets Outlook and Thunderbird email credentials. StrelaStealer\'s infection chain remains similar to previous versions but now includes checks to avoid infecting Russian systems. Its targets are primarily in Poland, Spain, Italy, and Germany. The initial infection vector is an obfuscated JavaScript file sent via email in archive files. This file drops a copy in the user\'s directory with a random name and then executes a batch file to check the system language, excluding Russian users by detecting the OSLanguage code "1049". If non-Russian, a base64-encoded PE file is dropped, decoded, and a DLL is created and executed using regsvr32.exe. The DLL\'s obfuscated code decrypts the actual PE file and injects it into the current process. The stealer dynamically loads necessary APIs and checks the keyboard layout to determine the system\'s geographic location. It targets languages such as Spanish, Basque, Polish, Catalan, Italian, and German. The malware starts its stealing functionality with Mozilla Thunderbird, looking for specific files and sending data to a designated IP address. It also targets Outlook by retrieving information from specific registry keys and sending this data to the same IP. ## Additional Analysis OSINT reporting about StrelaStealer indicates that its operators tend to initiate large-scale campaigns targeting organizations in specific geographic regions or countries. Initially, the malware primarily targeted Spanish-speaking users, but has since evolved to target users speaking English and other European languages. According to Palo Alto Network\'s 2024 [report](https://unit42.paloaltonetworks.com/strelastealer-campaign/) on StrelaStealer, the malware\'s main goal, to steal email login data from email clients, has not changed. However, the malware\'s infection chain and packer have been modified to evade detection and make analysis more difficult. ## Detections/Hunting Queries Microsoft Defender Antivirus detects threat components as the following malware: - *[Trojan:JS/StrelaStealer](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:JS/StrelaStealer!MSR&threatId=-2147061639)* - *[Trojan:Win64/StrelaStealer](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:Win64/StrelaStealer.GPAX!MTB&threatId=-2147056969)* - *[Trojan:Win32/StrelaStealer](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:Win32/StrelaStealer.ASS!MTB&threatId=-2147054947)* ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. Check the recommendations card for the deployment status of monitored mitigations. - Check your Office 365 email filtering settings to ensure you block spoofed emails, spam, and emails with malware. Use [Microsoft Defender for Office 365](https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-for-office-365?ocid=magicti_ta_learndoc) for enhanced phishing protection and coverage against new threats and polymorphic variants. Configure Microsoft Defender for Office 365 to [recheck links on click](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) and [delete sent mail](https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=magicti_ta_learndoc) in response to newly a | Ransomware Spam Malware Tool Threat | ★★★ | |
|
2024-06-25 20:57:31 | Le laboratoire national de la santé de l'Afrique du Sud a frappé des attaques de ransomwares au milieu de l'épidémie MPOX South Africa\\'s national health lab hit with ransomware attack amid mpox outbreak (lien direct) |
Pas de details / No more details | Ransomware | ★★★ | |
|
2024-06-25 20:19:54 | L'Indonésie refuse de payer une rançon de 8 millions de dollars après la cyberattaque Indonesia Refuses to Pay $8M Ransom After Cyberattack (lien direct) |
Plus de 200 agences gouvernementales régionales et nationales ont été touchées par l'attaque des ransomwares, et peu d'entre elles sont à nouveau opérationnelles.
More than 200 regional and national government agencies have been impacted by the ransomware attack, and few of them are once again operational. |
Ransomware | ★★★ |
To see everything:
