SEC News

What's new arround internet

Last one

Src	Date (GMT)	Titre	Description	Tags	Stories	Notes
	2024-05-13 18:30:09	Oncle Sam demande l'action après le ransomware de Blasta Blasta infecte l'ascension Uncle Sam urges action after Black Basta ransomware infects Ascension (lien direct)	Les ambulances d'urgence détournées tandis que les experts restaurent les systèmes Plusieurs agences de sécurité américaines ont publié des avis sur Black Basta après que le gang de ransomware a revendiqué la responsabilité de la récente attaque contre le fournisseur de soins de santé américain Ascension.>	Ransomware Medical
	2024-05-13 18:26:25	Ransomware utilisés dans l'attaque qui a perturbé les hôpitaux américains Ransomware used in attack that disrupted US hospitals (lien direct)	> Les dossiers et systèmes électroniques de santé utilisés pour commander des tests, des procédures et des médicaments restent indisponibles dans certains hôpitaux touchés. >Electronic health records and systems used to order tests, procedures and medications remain unavailable at some affected hospitals.	Ransomware
	2024-05-13 15:31:00	Black Basta Ransomware frappe plus de 500 entités à travers l'Amérique du Nord, l'Europe et l'Australie Black Basta Ransomware Strikes 500+ Entities Across North America, Europe, and Australia (lien direct)	L'opération Black Basta Ransomware-as-a-Service (RAAS) a ciblé plus de 500 entités d'industrie privée et d'infrastructures critiques en Amérique du Nord, en Europe et en Australie depuis son émergence en avril 2022. Dans un avis conjoint publié par la Cybersecurity and Infrastructure Security Agency (CISA), le Federal Bureau of Investigation (FBI), le ministère de la Santé et des Services sociaux (HHS The Black Basta ransomware-as-a-service (RaaS) operation has targeted more than 500 private industry and critical infrastructure entities in North America, Europe, and Australia since its emergence in April 2022. In a joint advisory published by the Cybersecurity and Infrastructure Security Agency (CISA), the Federal Bureau of Investigation (FBI), the Department of Health and Human Services (HHS	Ransomware
	2024-05-13 15:30:00	Ransomware de Mallox déployé via l'attaque de la pot de miel MS-SQL Mallox Ransomware Deployed Via MS-SQL Honeypot Attack (lien direct)	Analysant des échantillons de Mallox, Sekoia a identifié deux affiliés distincts en utilisant différentes approches Analyzing Mallox samples, Sekoia identified two distinct affiliates using different approaches	Ransomware
	2024-05-13 12:30:00	Ascension Ransomware Attack détourne les ambulances, retarde les rendez-vous Ascension Ransomware Attack Diverts Ambulances, Delays Appointments (lien direct)	Une attaque de ransomware contre la prestation de soins de santé privée américaine Ascension a perturbé les soins aux patients, avec plusieurs hôpitaux actuellement sur le détournement A ransomware attack on US private healthcare provider Ascension has disrupted patient care, with several hospitals currently on diversion	Ransomware Medical
	2024-05-13 11:26:27	Comment les autorités ont-elles identifié le prétendu patron de Lockbit? How Did Authorities Identify the Alleged Lockbit Boss? (lien direct)	La semaine dernière, les États-Unis ont rejoint le Royaume-Uni et l'Australie pour sanctionner et inculper un homme russe nommé Dmitry Yuryevich Khoroshev en tant que chef du tristement célèbre groupe de ransomware de lockbit.Le chef de Lockbit \\ "Lockbitsupp" affirme que les autorités fédérales ont nommé le mauvais gars, affirmant que les accusations n'expliquent pas comment ils l'ont connecté à Khorosev.Cet article examine les activités des nombreux alternes de Khorosev \\ sur les forums de la cybercriminalité et suit la carrière d'un auteur de logiciel malveillant doué qui a écrit et vendu du code malveillant au cours des 14 dernières années. Last week, the United States joined the U.K. and Australia in sanctioning and charging a Russian man named Dmitry Yuryevich Khoroshev as the leader of the infamous LockBit ransomware group. LockBit\'s leader "LockBitSupp" claims the feds named the wrong guy, saying the charges don\'t explain how they connected him to Khoroshev. This post examines the activities of Khoroshev\'s many alter egos on the cybercrime forums, and tracks the career of a gifted malware author who has written and sold malicious code for the past 14 years.	Ransomware Malware
	2024-05-13 09:30:00	Black Basta Ransomware victime Count Tops 500 Black Basta Ransomware Victim Count Tops 500 (lien direct)	Les affiliés de Prolific Black Basta Ransomware Group ont violé plus de 500 organisations mondiales Affiliates of prolific Black Basta ransomware group have breached over 500 global organizations	Ransomware
	2024-05-13 07:18:13	Mémoire de sécurité: des millions de messages distribuent un ransomware noir Lockbit Security Brief: Millions of Messages Distribute LockBit Black Ransomware (lien direct)	Que s'est-il passé & nbsp; À partir du 24 avril 2024 et en continuant quotidiennement pendant environ une semaine, Proofpoint a observé des campagnes à volume élevé avec des millions de messages facilités par le botnet Phorpiex et la livraison de ransomware Black Lockbit.C'est la première fois que des chercheurs ont observé des échantillons de ransomwares noirs Lockbit (AKA Lockbit 3.0) livrés via Phorphiex dans des volumes aussi élevés.L'échantillon Black Lockbit de cette campagne a probablement été construit à partir du constructeur de lockbit qui a été divulgué au cours de l'été 2023. & nbsp; & nbsp; Les messages provenaient de «Jenny Green» avec l'adresse e-mail de Jenny @ GSD [.] Com.Les e-mails contenaient un fichier zip joint avec un exécutable (.exe).Cet exécutable a été observé en téléchargeant la charge utile Black Lockbit à partir de l'infrastructure de botnet Phorpiex.& nbsp; De: «Jenny Green» Jenny @ gsd [.] Com & nbsp; Sujet: Votre document et NBSP; Pièce jointe: document.zip & nbsp; Exemple de message de «Jenny Green». & Nbsp; Les e-mails ont ciblé les organisations dans plusieurs verticales à travers le monde et semblaient opportunistes par rapport à spécifiquement ciblé.Bien que la chaîne d'attaque de cette campagne n'était pas nécessairement complexe par rapport à ce qui a été observé sur le paysage de la cybercriminalité jusqu'à présent en 2024, la nature à volume élevé des messages et l'utilisation du ransomware comme charge utile de première étape sont notables.& nbsp; La chaîne d'attaque nécessite l'interaction de l'utilisateur et démarre lorsqu'un utilisateur final exécute l'exécutable compressé dans le fichier zip joint.Le binaire .exe initiera un appel de réseau à l'infrastructure de botnet Phorphiex.En cas de succès, l'échantillon Black Lockbit est téléchargé et fait exploser sur le système final de l'utilisateur \\ où il présente un comportement de vol de données et saisit le système, cryptant des fichiers et terminant les services.Dans une campagne antérieure, le ransomware a été directement exécuté et aucune activité de réseau n'a été observée, empêchant les détections ou les blocs de réseau. & NBSP; Note de rançon de l'échantillon noir Lockbit. & Nbsp; Attribution et NBSP; La recherche sur les menaces de preuves n'a pas attribué cette campagne à un acteur de menace connu.Phorpiex est un botnet de base conçu pour offrir des logiciels malveillants via des campagnes d'email à haut volume.Il fonctionne comme un logiciel malveillant en tant que service et a recueilli un grand portefeuille de clients d'acteurs de menace plus d'une décennie de fonctionnement (des versions antérieures ont été observées pour la première fois dans le paysage des menaces vers 2011).Depuis 2018, le botnet a été observé pour effectuer des activités d'exfiltration de données et de livraison de ransomwares.Malgré les efforts de perturbation au fil des ans, le botnet persiste. & Nbsp; & nbsp; ProofPoint a observé un groupe d'activités utilisant le même alias «Jenny Green» avec des leurres liés à «votre document» livrant des logiciels malveillants Phorpiex dans les campagnes de messagerie depuis au moins janvier 2023. & nbsp; & nbsp; Lockbit Black (AKA Lockbit 3.0) est une version de Lockbit Ransomware qui a été officiellement publié avec des capacités améliorées par les affiliés des ransomwares en juin 2022. En septembre 2022, le constructeur de ransomware confidentiel a été divulgué via Twitter.À l'époque, plusieurs parties ont revendiqué l'attribution, mais les affiliés de Lockbit ont affirmé que le constructeur avait été divulgué par un développeur mécontent.La fuite permet à quiconque d'adopter la configuration des versions personnalisées. & Nbsp; & nbsp; Pourquoi c'est important et NBSP; Le ransomware en tant que charge utile de première étape attachée aux campagnes de menace par e-mail n'est pas quelque chose que le point de preuve a observé en volumes élevé de	Ransomware Malware Threat
	2024-05-13 01:00:30	MALWORED DISTRIBUTÉE MATÉRIAUX liés à la violation du droit d'auteur (bête ransomware, Vidar Infostealer) Malware Distributed as Copyright Violation-Related Materials (Beast Ransomware, Vidar Infostealer) (lien direct)	Ahnlab Security Intelligence Center (ASEC) couvrait continuellement un malware déguisé en avertissements de violation en droit d'auteur et curricuMoyens de distribution de ransomwares et d'infostateurs.La distribution d'une nouvelle souche de logiciels malveillants a été identifiée sur la base d'un avertissement de violation du droit d'auteur récent, et il sera couvert ici.1. Présentation du contenu de l'e-mail reste largement inchangé, mais un changement dans la méthode de livraison de logiciels malveillants a été confirmé.Auparavant, des fichiers compressés avec les mots de passe définis ont été joints aux e-mails, ... AhnLab SEcurity Intelligence Center (ASEC) has been continuously covering malware disguised as copyright violation warnings and resumes as a means of distributing ransomware and Infostealers. The distribution of a new malware strain has been identified based on a recent copyright infringement warning, and it will be covered here. 1. Overview The content of the email remains largely unchanged, but a change in the method of delivering malware has been confirmed. Previously, compressed files with passwords set were attached to emails,...	Ransomware Malware
	2024-05-10 22:26:06	Après l'attaque des ransomwares de l'Ascension, Feds émet une alerte sur Black Basta Group After Ascension ransomware attack, feds issue alert on Black Basta group (lien direct)	Ahnlab Security Intelligence Center (ASEC) couvrait continuellement un malware déguisé en avertissements de violation en droit d'auteur et curricuMoyens de distribution de ransomwares et d'infostateurs.La distribution d'une nouvelle souche de logiciels malveillants a été identifiée sur la base d'un avertissement de violation du droit d'auteur récent, et il sera couvert ici.1. Présentation du contenu de l'e-mail reste largement inchangé, mais un changement dans la méthode de livraison de logiciels malveillants a été confirmé.Auparavant, des fichiers compressés avec les mots de passe définis ont été joints aux e-mails, ... AhnLab SEcurity Intelligence Center (ASEC) has been continuously covering malware disguised as copyright violation warnings and resumes as a means of distributing ransomware and Infostealers. The distribution of a new malware strain has been identified based on a recent copyright infringement warning, and it will be covered here. 1. Overview The content of the email remains largely unchanged, but a change in the method of delivering malware has been confirmed. Previously, compressed files with passwords set were attached to emails,...	Ransomware
	2024-05-10 14:51:56	Ascension redirige les ambulances après une attaque de ransomware suspectée Ascension redirects ambulances after suspected ransomware attack (lien direct)	Ascension, un grand réseau de soins de santé américain, détourne les ambulances de plusieurs hôpitaux en raison d'une attaque suspectée de ransomware qui a provoqué des perturbations de l'opération clinique et des pannes de système depuis mercredi.[...] Ascension, a major U.S. healthcare network, is diverting ambulances from several hospitals due to a suspected ransomware attack that has been causing clinical operation disruptions and system outages since Wednesday. [...]	Ransomware Medical
	2024-05-10 12:14:56	Royaume-Uni frappé par plus de ransomwares et de cyberattaques l'année dernière que jamais UK hit by more ransomware and cyberattacks last year than ever before (lien direct)	Ascension, un grand réseau de soins de santé américain, détourne les ambulances de plusieurs hôpitaux en raison d'une attaque suspectée de ransomware qui a provoqué des perturbations de l'opération clinique et des pannes de système depuis mercredi.[...] Ascension, a major U.S. healthcare network, is diverting ambulances from several hospitals due to a suspected ransomware attack that has been causing clinical operation disruptions and system outages since Wednesday. [...]	Ransomware		★★★
	2024-05-10 11:38:32	L'attaque des ransomwares de loterie de l'Ohio a un impact sur 538 000 personnes Ohio Lottery ransomware attack impacts over 538,000 individuals (lien direct)	La loterie de l'Ohio envoie des lettres de notification de violation de données à plus de 538 000 personnes touchées par une cyberattaque qui a frappé les systèmes de l'organisation la veille de Noël.[...] The Ohio Lottery is sending data breach notification letters to over 538,000 individuals affected by a cyberattack that hit the organization\'s systems on Christmas Eve. [...]	Ransomware
	2024-05-10 10:49:49	[Doit lire] Comment Boeing a lutté contre une énorme demande de ransomwares de 200 millions de dollars [Must Read] How Boeing Battled a Whopping $200M Ransomware Demand (lien direct)	Boeing récemmenta confirmé qu'en octobre 2023, il a été victime d'une attaque du Gang de ransomware de Lockbit, qui a perturbé certaines de ses parties et opérations de distribution.Les attaquants ont demandé à 200 millions de dollars de ne pas publier les données qu'ils avaient exfiltrées. Boeing recently confirmed that in October 2023, it fell victim to an attack by the LockBit ransomware gang, which disrupted some of its parts and distribution operations. The attackers demanded a whopping $200 million not to release the data they had exfiltrated.	Ransomware		★★★★★
	2024-05-10 09:37:40	500 000 touchés par l'Ohio Lottery Ransomware Attack 500,000 Impacted by Ohio Lottery Ransomware Attack (lien direct)	> La cyberattaque de loterie de l'Ohio menée par le groupe de ransomware Dragonforce a eu un impact sur plus de 500 000 personnes. >The Ohio Lottery cyberattack conducted by the DragonForce ransomware group has impacted more than 500,000 individuals.	Ransomware		★★★
	2024-05-09 18:11:54	Lockbit réclame Wichita comme sa victime 2 jours après l'attaque du ransomware LockBit Claims Wichita as Its Victim 2 Days After Ransomware Attack (lien direct)	La ville enquête toujours sur l'attaque, et ni le groupe ni les responsables de la ville n'ont proposé de détails sur les demandes de ransomware. The city is still investigating the attack, and neither the group nor city officials have offered details about the ransomware demands.	Ransomware		★★★
	2024-05-09 13:31:44	Lockbit prend le crédit pour la ville de Wichita Ransomware Attack LockBit Takes Credit for City of Wichita Ransomware Attack (lien direct)	> Le groupe de cybercrimes Lockbit a pris le crédit de la récente attaque de ransomwares qui a perturbé la ville de Wichita Systems. >The LockBit cybercrime group has taken credit for the recent ransomware attack that disrupted City of Wichita systems.	Ransomware		★★
	2024-05-09 13:00:21	Avril 2024 \\'s le plus recherché des logiciels malveillants: surtension dans les attaques AndroxGH0st et la baisse de Lockbit3 April 2024\\'s Most Wanted Malware: Surge in Androxgh0st Attacks and the Decline of LockBit3 (lien direct)	> Les chercheurs ont récemment identifié un pic dans les attaques AndroxGH0st, un Troie qui cible les plates-formes Windows, Mac et Linux, qui l'ont vu sauter directement à la deuxième place de la liste des logiciels malveillants.Pendant ce temps, Lockbit3 reste étroitement le premier groupe de ransomwares, malgré une réduction de sa prévalence, notre dernier indice de menace mondial pour avril 2024 SAW, les chercheurs ont révélé une augmentation significative de l'utilisation des attaques AndroxGH0st, le malware étant utilisé comme un outil pour voler des informations sensibles à l'aidebotnets.Parallèlement, Lockbit3 est resté le groupe de ransomware le plus répandu en avril, malgré une baisse de 55% de son taux de détection depuis le début [& # 8230;] >Researchers recently identified a spike in Androxgh0st attacks, a Trojan that targets Windows, Mac and Linux platforms, which saw it jump straight into second place in the top malware list. Meanwhile, LockBit3 narrowly remains the top ransomware group, despite a reduction in its prevalence Our latest Global Threat Index for April 2024 saw researchers revealed a significant increase in the use of Androxgh0st attacks, with the malware being used as a tool for stealing sensitive information using botnets. Meanwhile, LockBit3 remained the most prevalent ransomware group in April, despite a 55% drop in its rate of detection since the beginning […]	Ransomware Malware Tool Threat		★★★
	2024-05-09 08:19:57	Payer ou ne pas payer?Les entreprises ont besoin d'aide face aux attaques de ransomwares To pay or not to pay? Companies need help facing ransomware attacks (lien direct)	payer ou ne pas payer?Les entreprises ont besoin d'aide confrontées à des attaques de ransomwares.Par James Watts, directeur général de Databarracks - opinion To pay or not to pay? Companies need help facing ransomware attacks. By James Watts, Managing Director at Databarracks - Opinion	Ransomware		★★★
	2024-05-09 00:49:06	Les pirates abusent des annonces de recherche Google pour livrer des logiciels malveillants pleins de MSI Hackers Abuse Google Search Ads to Deliver MSI-Packed Malware (lien direct)	## Instantané Les chercheurs en sécurité ont identifié une nouvelle campagne dans laquelle les pirates exploitent des annonces de recherche Google pour distribuer des logiciels malveillants via des packages MSI (Microsoft Installer).Cette campagne, impliquant le chargeur de logiciels malveillants connue sous le nom de FakeBat, cible les utilisateurs sans méfiance en se faisant passer pour des téléchargements de logiciels légitimes. ## Description L'attaque commence par une annonce de recherche Google qui semble légitime, en utilisant l'adresse du site Web réel des logiciels populaires comme la notion.Cependant, l'annonce est une façade, achetée par des acteurs de la menace qui ont toujours utilisé des identités liées au Kazakhstan.Cliquez sur les redirections publicitaires vers un site d'apparence hébergé chez Notilion \ [. \] Co.Le site incite les utilisateurs à télécharger ce qui semble être un programme d'installation de logiciel standard au format MSIX, signé sous le nom apparemment crédible «Forth View Designs Ltd.» Lors de l'exécution du programme d'installation MSIX, un script PowerShell caché est activé.Les commandes PowerShell exécutées au cours de ce processus sont conçues pour contourner les mesures de sécurité locales et injecter les logiciels malveillants Zgrat directement dans les processus système, prenant efficacement le contrôle de la machine infectée.La campagne utilise un service Click Tracker pour gérer l'efficacité de l'annonce et filtrer le trafic indésirable.Cette étape implique un domaine intermédiaire qui sépare l'URL malveillante de la publicité Google, améliorant la furtivité de l'attaque.Une fois les logiciels malveillants installés, le script PowerShell atteint le serveur FakeBat C2, qui dicte les actions suivantes, y compris la livraison de la charge utile Zgrat.Cet incident met en évidence les risques en cours associés à la malvertisation et à la sophistication des cyber-menaces modernes. ## Analyse Microsoft Malvertising a fait les gros titres de l'OSINT ces derniers mois avec des nombres d'incidences et des acteurs de menace utilisant des techniques de plus en plus sophistiquées pour distribuer des logiciels malveillants et des systèmes de compromis.Microsoft a suivi les tendances à travers des incidents et des observations de malvertising récents de toute la communauté de la sécurité.Ces tendances incluent la diversification des charges utiles, l'émergence des logiciels malveillants MSIX et l'amélioration du clochard et de l'évasion. En savoir plus sur [les tendances récentes de l'osint en malvertising] (https://sip.security.microsoft.com/intel-explorer/articles/003295ff) et la tendance plus large des [acteurs de menace motivés financièrement l'installateur d'application] (https: //security.microsoft.com/intel-explorer/articles/74368091). Les groupes de cybercrimins sont probablement à l'origine de la majorité des activités de malvertisation, à en juger par un examen des rapports open-source.Dans l'économie souterraine, les forums criminels et les marchés facilitent l'échange de services et d'outils adaptés à la malvertisation.Cet écosystème rend ces tactiques accessibles et rentables pour un large éventail de cybercriminels. Les acteurs de la menace active dans ce domaine incluent les acteurs que Microsoft suit comme [Storm-0569] (https://security.microsoft.com/Thereatanalytics3/6d557f37-0952-4a05-bdc5-d40d6742fbaf/analystreport) et [Storm-1113] (HTTPS: //sip.security.microsoft.com/intel-profiles/4847b8382f24f3cd10d4cf3acdda5c59d5c48df64b042590436be6e92e1b232f). ## Détections Microsoft Defender Antivirus détecte les composants de la menace comme suitmalware: * Fakebat / Eugenloader * - [Trojandownloader: PowerShell / EugenLoader] (https://www.microsoft.com/en-us/wdsi/atherets/malwarE-SencyClopedia-Description? Name = Trojandownloader: PowerShell / Eugenloader.a & menaceID = -214706790) - [Trojan: Win32 / EugenlOader]	Ransomware Malware Tool Threat Prediction Cloud		★★★
	2024-05-08 23:22:22	Boeing confirme la tentative de tentative d'extorsion de ransomware de 200 millions de dollars Boeing confirms attempted $200 million ransomware extortion attempt (lien direct)	> Cette tentative a été l'une des multiples demandes de rançon «extrêmement importantes» faites par Lockbit au fil des ans, ont déclaré les autorités. >That attempt was one of multiple “extremely large” ransom demands made by LockBit over the years, authorities said.	Ransomware		★★★
	2024-05-08 21:24:46	Semperis élargit la collaboration avec Veritas Semperis Expands Collaboration with Veritas (lien direct)	Semperis élargit la collaboration avec Veritas pour réduire davantage le risque de réussite des ransomwares L'intégration améliorée de solutions identifie et ferme les voies d'attaque dangereuses vers des données critiques, faisant progresser la mission partagée pour fournir une cyber-résilience complète. - nouvelles commerciales Semperis Expands Collaboration with Veritas to Further Reduce Risk of Successful Ransomware Extortion Enhanced solution integration identifies and closes dangerous attack paths to business-critical data, advancing the shared mission to provide comprehensive cyber resilience. - Business News	Ransomware		★★★
	2024-05-08 12:16:36	Ville de Wichita Breach revendiquée par Lockbit Ransomware Gang City of Wichita breach claimed by LockBit ransomware gang (lien direct)	Le Gang de ransomware de Lockbit a revendiqué la responsabilité d'une cyberattaque perturbatrice dans la ville de Wichita, qui a forcé les autorités de la ville à fermer les systèmes informatiques utilisés pour le paiement des factures en ligne, y compris les amendes, les factures d'eau et les transports publics.[...] The LockBit ransomware gang has claimed responsibility for a disruptive cyberattack on the City of Wichita, which has forced the City\'s authorities to shut down IT systems used for online bill payment, including court fines, water bills, and public transportation. [...]	Ransomware		★★★
	2024-05-08 11:40:39	Brandywine Realty Trust frappé par les ransomwares Brandywine Realty Trust Hit by Ransomware (lien direct)	> La société immobilière basée à Philadelphie, Brandywine Realty Trust, arrête les systèmes après une attaque de ransomware. >Philadelphia-based real estate company Brandywine Realty Trust shuts down systems following a ransomware attack.	Ransomware		★★★
	2024-05-08 10:00:40	État des ransomwares en 2024 State of ransomware in 2024 (lien direct)	À l'approche de la journée anti-ransomware, Kaspersky partage des informations sur le paysage et les tendances des menaces de ransomware en 2023, et les activités anti-ransomwares récentes par les gouvernements et les forces de l'ordre. As Anti-Ransomware Day approaches, Kaspersky shares insights into the ransomware threat landscape and trends in 2023, and recent anti-ransomware activities by governments and law enforcement.	Ransomware Threat Legislation		★★★
	2024-05-08 08:19:06	97% des organisations frappées par des ransomwares ont travaillé avec les forces de l'ordre, le rapport Sophos State of Ransomware est constaté 97% of Organizations Hit by Ransomware Worked with Law Enforcement, Sophos State of Ransomware Report Finds (lien direct)	97% des organisations frappées par les ransomwares ont travaillé avec les forces de l'ordre, les résultats du rapport de Ransomware de l'État de Sophos par Sophos - rapports spéciaux 97% of Organizations Hit by Ransomware Worked with Law Enforcement, Sophos State of Ransomware Report Finds by Sophos - Special Reports	Ransomware Studies Legislation		★★★★
	2024-05-08 06:00:27	Comment les attaquants utilisent-ils des e-mails usurpés pour détourner vos communications commerciales?4 scénarios de risque How Do Attackers Use Spoofed Email to Hijack Your Business Communications? 4 Risk Scenarios (lien direct)	When you hear the term “spoofed” email, does business email compromise (BEC) come to mind? It does for many people-especially security leaders. BEC is a form of email fraud, and it has been a top concern for chief information security officers for years. BEC scams are a costly problem. The latest Internet Crime Report from the FBI\'s Internet Crime Complaint Center (IC3) notes that adjusted losses from BEC were $2.9 billion last year. Since 2013, accumulated financial losses due to BEC have reached nearly $53 billion. Spoofing is impersonation, and it is the essence of email fraud. It is also one of the most common techniques used in other types of attacks like phishing and ransomware. Your business, like many, probably focuses on stopping spoofed emails before they can reach employees\' inboxes. However, there is more to worry about. Spoofed email has the potential to damage your brand reputation and jeopardize your business ecosystem, too. In this post, we will explore various impersonation risk scenarios. But first, let\'s look at some common tactics. Impersonation tactics Here are some common methods bad actors use to impersonate others so they can further their attacks. Display name spoofing. The display name appears in the “From:” field of an email. It is the easiest email identifier to manipulate. Attackers forge email headers so that client software displays the fraudulent sender, which most users take at face value. Domain spoofing. Bad actors will use an exact match of an organization\'s domain to launch this type of fraud attack. Attackers who engage in domain spoofing will attempt to imitate the sending server or sending domain.  Lookalike domains. Third parties can register lookalike domains and send email that appears to have come from a trusted source. Compromised supplier accounts. In some advanced attacks, attackers will compromise an account from a supplier that works with the business that they want to target. They will use the compromised supplier account to hijack the email communication between their target and its supplier. Eventually, attackers are in a position to launch an attack or solicit fraudulent payment or sensitive data. Attack scenarios Now, let\'s dive into how attackers can use spoofed emails to exploit the trusted relationships you have with your customers, business partners, suppliers and employees. Scenario 1: Impersonate you to target your employees You are probably most familiar with the first scenario, where attackers pretend to be someone within your company, like your CEO or manager. The scam often starts with a simple lure that seems to be a benign message like: How is your day? Are you at your desk? Can you help me with something urgent? Once attackers get a victim to engage, the conversation evolves. The bad actor may request the victim to purchase gift cards for them, proceed with a fraudulent payment, or share confidential data. Not only can attackers impersonate executives, but they can also pretend to be general employees asking human resources to redirect their payrolls. In short, it doesn\'t matter what a victim\'s role is. Anyone can be impersonated to target anyone within an organization. An example of a simple lure where the attacker used display name spoofing to impersonate Ken, the CEO. Another example of a BEC lure where an attacker used a lookalike domain of Watertronics (vs. waltertronics, in the example) to spoof their CEO.  Scenario 2: Exploit your suppliers or business partners to target your employees The most common theme in this scenario is supplier invoicing fraud. Bad actors will exploit a company\'s suppliers using tactics such as malicious lookalike domains of suppliers or compromised supplier accounts to either send a fake invoice or request the victim to redirect the payment to a bank account that the attackers control. (Sometimes, we see multiple	Ransomware Malware Tool Threat Cloud		★★★
	2024-05-08 04:03:25	OT CyberAttacks: l'impact des ransomwares d'Ekans OT Cyber-Attacks: The Impact of EKANS Ransomware (lien direct)	Découvrez l'impact de l'attaque des ransomwares Ekans contre les opérations mondiales de Honda \\ et l'importance d'une stratégie de sécurité cohésive dans le monde OT.En savoir plus. Discover the impact of the EKANS ransomware attack on Honda\'s global operations & the importance of a cohesive security strategy in the OT world. Read more.	Ransomware Industrial		★★★
	2024-05-08 02:58:12	UnitedHealth \\ 's \\' négligence flagrante \\ 'a conduit à un changement d'infection aux soins de santé UnitedHealth\\'s \\'egregious negligence\\' led to Change Healthcare infection (lien direct)	\\ 'i \' m est époustouflé par le fait qu'ils n'utilisaient pas MFA \\ ' interview les pratiques de cybersécurité qui ont conduit àSelon Tom Kellermann, SVP de Cyber STRATTEMAL, la société mère Unitedhealth, SVP de Cyber Stratey, est la superbe infection des ransomwares des soins de santé. \'I\'m blown away by the fact that they weren\'t using MFA\' Interview The cybersecurity practices that led up to the stunning Change Healthcare ransomware infection indicate "egregious negligence" on the part of parent company UnitedHealth, according to Tom Kellermann, SVP of cyber strategy at Contrast Security.…	Ransomware Medical		★★★
	2024-05-07 23:33:17	Le visage de Ransomware Creator a révélé et sanctionné LockBit Ransomware Creator’s Face Revealed and Sanctioned (lien direct)	Les ransomwares notoires et tristement célèbres Lockbit a fait des ravages à travers le monde, entraînant près de 500 millions de dollars en rançon. Enfin, son créateur Dmitry Khoroshev, alias Lockbitsupp, est identifié par NCA, FBI et International Partners comme faisant partie de l'opération Cronos Taskforce. Khoroshev a apprécié l'anonymat mais il n'a pas duré longtemps.Le Créateur de Lockbit était si confiant de son secret qu'il a offert 10 millions de dollars à quiconque a révélé son identité.	Ransomware Legislation Medical		★★★
	2024-05-07 21:19:00	Hacker russe Dmitry Khoroshev démasqué en tant qu'administrateur de ransomware de verrouillage Russian Hacker Dmitry Khoroshev Unmasked as LockBit Ransomware Administrator (lien direct)	La National Crime Agency (NCA) du Royaume-Uni a démasqué l'administrateur et développeur de l'opération de ransomware de lockbit, le révélant comme un ressortissant russe de 31 ans nommé & nbsp; Dmitry Yuryevich Khorosev. En outre, Khoroshev a & nbsp; a été sanctionné & nbsp; par le Royaume-Uni Foreign, Commonwealth and Development Office (FCD), le Contrôle du Département américain du Trésor du Trésor des actifs étrangers (Contrôle des actifs étrangers ( The U.K. National Crime Agency (NCA) has unmasked the administrator and developer of the LockBit ransomware operation, revealing it to be a 31-year-old Russian national named Dmitry Yuryevich Khoroshev. In addition, Khoroshev has been sanctioned by the U.K. Foreign, Commonwealth and Development Office (FCD), the U.S. Department of the Treasury\'s Office of Foreign Assets Control (	Ransomware		★★★★
	2024-05-07 19:34:00	Le cerveau du groupe de ransomware prolifique Lockbit a finalement été démasqué The mastermind of the prolific ransomware group LockBit has finally been unmasked (lien direct)	Les États-Unis placent une prime de 10 millions de dollars pour l'arrestation de Dmitry Yuryevich Khoroshev. The US places a $10 million bounty for the arrest of Dmitry Yuryevich Khoroshev.	Ransomware		★★★
	2024-05-07 18:05:03	Feds démasque le leader des ransomwares de verrouillage en tant que Dmitry Yuryevich Khoroshev Feds Unmask LockBit Ransomware Leader as Dmitry Yuryevich Khoroshev (lien direct)	> Par waqas Dans un coup dur pour les ransomwares, les forces de l'ordre internationales ont démasqué Dmitry Yuryevich Khoroshev, leader du ransomware de Lockbit.Découvrez le retrait, les sanctions imposées et l'avenir de Lockbit dans une époque post-Khoroshev. Ceci est un article de HackRead.com Lire le post original: Feds démasque le leader du ransomware de verrouillage comme dmitry yuryevich khorosev >By Waqas In a major blow to ransomware, international law enforcement has unmasked Dmitry Yuryevich Khoroshev, the leader of LockBit ransomware. Learn about the takedown, sanctions imposed, and the future of LockBit in a post-Khoroshev era. This is a post from HackRead.com Read the original post: Feds Unmask LockBit Ransomware Leader as Dmitry Yuryevich Khoroshev	Ransomware Legislation		★★★★
	2024-05-07 17:36:14	Les États-Unis facturent un homme russe en tant que patron de Lockbit Ransomware Group U.S. Charges Russian Man as Boss of LockBit Ransomware Group (lien direct)	Les États-Unis ont rejoint le Royaume-Uni et l'Australie aujourd'hui pour sanctionner le ressortissant russe de 31 ans, Dmitry Yuryevich Khoroshev, en tant que chef présumé du tristement célèbre groupe de ransomwares Lockbit.Le ministère américain de la Justice a également inculpé Khoroshev en tant que leader du gang \\ «Lockbitsupp» et l'a accusé d'utiliser Lockbit pour attaquer plus de 2 000 victimes et extenter au moins 100 millions de dollars en ransomwares. The United States joined the United Kingdom and Australia today in sanctioning 31-year-old Russian national Dmitry Yuryevich Khoroshev as the alleged leader of the infamous ransomware group LockBit. The U.S. Department of Justice also indicted Khoroshev as the gang\'s leader "LockbitSupp," and charged him with using Lockbit to attack more than 2,000 victims and extort at least $100 million in ransomware payments.	Ransomware		★★★
	2024-05-07 16:02:27	Rapport de l'ONCD: \\ 'Transformation fondamentale \\' Dans Cyber, Tech a conduit 2023 Risques ONCD report: \\'Fundamental transformation\\' in cyber, tech drove 2023 risks (lien direct)	> Les risques d'infrastructure critique en évolution, les ransomwares, l'exploitation de la chaîne d'approvisionnement, les logiciels espions commerciaux et l'IA étaient les principales tendances, a rapporté le bureau. >Evolving critical infrastructure risks, ransomware, supply chain exploitation, commercial spyware and AI were the top trends, the office reported.	Ransomware Commercial		★★
	2024-05-07 15:30:23	Les autorités américaines, britanniques, démasquent le ressortissant russe en tant qu'administrateur de Lockbit US, UK authorities unmask Russian national as LockBit administrator (lien direct)	> Dmitry Yuryevich Khoroshev est le moteur de l'un des syndicats de ransomware les plus virulents de ces dernières années, ont déclaré les autorités. >Dmitry Yuryevich Khoroshev is the driving force behind one of the most virulent ransomware syndicates in recent years, authorities said.	Ransomware		★★★
	2024-05-07 15:30:00	Ransomware frappe Wichita, services perturbés Ransomware Strikes Wichita, Services Disrupted (lien direct)	Les systèmes de paiement en ligne, tels que ceux des factures d'eau et des citations des tribunaux, sont toujours hors ligne Online payment systems, such as those for water bills and court citations, are still offline	Ransomware		★★★
	2024-05-07 15:24:12	Les services publics de la ville de Wichita ont perturbé l'attaque des ransomwares City of Wichita Public Services Disrupted After Ransomware Attack (lien direct)	La ville a été forcée de fermer ses réseaux informatiques et continue d'enquêter sur un cyber-incident majeur survenu au cours du week-end. The city was forced to shut down its IT networks and continues to investigate a major cyber incident that happened over the weekend.	Ransomware		★★★
	2024-05-07 12:05:00	2024 Cyber Resilience Research révèle un terrain complexe 2024 Cyber Resilience Research Reveals a Complex Terrain (lien direct)	Les nouvelles données aident les chefs d'entreprise à comprendre comment et pourquoi prioriser la résilience. Dans le paysage en constante évolution de l'innovation numérique, les entreprises se retrouvent à l'intersection du progrès et du péril.Les données révèlent que les compromis ne sont pas seulement dramatiques, mais ils mettent également l'organisation à risque significatif. L'un des principaux obstacles est la déconnexion entre les cadres supérieurs et les priorités de cybersécurité.Alors que la cyber-résilience est reconnue comme un impératif critique, de nombreuses organisations ont du mal à recueillir le soutien et les ressources nécessaires du leadership supérieur.Ce manque d'engagement entrave non seulement les progrès, mais laisse également les entreprises vulnérables aux violations potentielles. Pendant ce temps, la technologie progresse à un rythme effréné, tout comme les risques posés par les cybermenaces.Le rapport FUTURESTM de niveau 2024 révèle cet acte d'équilibrage délicat entre l'innovation et la sécurité.Nous avons examiné l'ensemble des problèmes commerciaux impliqués dans la résilience cyber et de cybersécurité et découvert le leadership exécutif et le leadership technique ont des opportunités pour un alignement beaucoup plus profond. Obtenez votre copie gratuite du rapport. & nbsp; La quête insaisissable de la cyber-résilience. Imaginez un monde où les entreprises sont imperméables aux cybermenaces & mdash; un monde où chaque aspect d'une organisation est sauvegardé contre les perturbations potentielles.C'est l'idéal élevé de la cyber-résilience, mais pour de nombreuses entreprises, elle reste un objectif insaisissable.L'évolution rapide de l'informatique a transformé le paysage informatique, brouillant les lignes entre les logiciels propriétaires et open-source, les systèmes hérités, les initiatives de transformation numérique du cloud computing.Bien que ces progrès apportent des avantages indéniables, ils introduisent également des risques sans précédent. Selon nos recherches, 85% des leaders informatiques reconnaissent que l'innovation informatique a le prix d'un risque accru.Dans un monde où les cybercriminels deviennent de plus en plus sophistiqués, le besoin de cyber-résilience n'a jamais été aussi urgent.Des attaques de ransomwares massives aux incidents DDOS débilitants, les entreprises opèrent dans un climat où une seule cyber violation peut avoir des conséquences catastrophiques. Exploration de la relation entre le leadership exécutif et la cyber-résilience. Notre enquête auprès de 1 050 C-suite et cadres supérieurs comprenait 18 pays et sept industries: énergie et services publics, services financiers, soins de santé, fabrication, commerce de détail, transport et SLED américain (État, gouvernement local et enseignement supérieur).Dans les prochains mois, nous publierons un rapport vertical pour chaque marché.Ce rapport Landmark a été conçu pour aider les organisations à commencer à parler plus de manière réfléchie des vulnérabilités et des opportunités d'amélioration. Dans le rapport, vous & rsquo; ll: Découvrez pourquoi les chefs d'entreprise et les chefs de technologie ont besoin de hiérarchiser la cyber-résilience. découvrez les obstacles critiques à la cyber-résilience. Découvrez les défis concernant la résilience de la cybersécurité.	Ransomware Vulnerability Medical Cloud Technical		★★★
	2024-05-07 11:41:03	Cloudrerso sélectionne le nuage distribué DS3 hyper-résilient de Cubbit \\ pour obtenir la sécurité des données CloudReso selects Cubbit\\'s hyper-resilient DS3 distributed cloud to achieve data security (lien direct)	MSP Cloudrerso sélectionne le nuage distribué DS3 hyper-résilient de Cubbit \\ pour réaliser la sécurité des données et 30% d'économies sur les coûts de stockage Avec Cubbit DS3, le MSP Cloudrerso basé en français peut offrir une souveraineté de données sans précédent, une résilience géographique et une protection des ransomwares - actualités du marché MSP CloudReso selects Cubbit\'s hyper-resilient DS3 distributed cloud to achieve data security and 30% savings on storage costs With Cubbit DS3, French-based MSP CloudReso can offer unprecedented data sovereignty, geographical resilience, and ransomware protection - Market News	Ransomware Cloud		★★
	2024-05-07 02:10:30	Les ransomwares évoluent d'une simple extorsion aux attaques psychologiques \\ '\\' Ransomware evolves from mere extortion to \\'psychological attacks\\' (lien direct)	Crims Sim échange des cadres \\ 'pour faire paniquer leurs parents, le CTO mandiant dit RSAC Les infections et les attaques d'extorsion sont devenues "une attaque psychologique contre l'organisation victime"Comme les criminels utilisent des tactiques de plus en plus personnelles et agressives pour forcer les victimes à payer, selon le mandiant appartenant à Google.… Crims SIM swap execs\' kids to freak out their parents, Mandiant CTO says RSAC Ransomware infections and extortion attacks have become "a psychological attack against the victim organization," as criminals use increasingly personal and aggressive tactics to force victims to pay up, according to Google-owned Mandiant.…	Ransomware		★★★
	2024-05-06 20:00:00	#RSAC: Les démontages des forces de l'ordre forcent les affiliés des ransomwares pour se diversifier #RSAC: Law Enforcement Takedowns Force Ransomware Affiliates to Diversify (lien direct)	Un nouveau rapport sur la chaîne de chaînes a montré que les récentes opérations d'application de la loi ont poussé les affiliés des ransomwares pour utiliser de plus en plus plusieurs souches afin de rester à flot A new Chainalysis report showed that recent law enforcement operations have pushed ransomware affiliates to increasingly use multiple strains in order to stay afloat	Ransomware Legislation		★★★
	2024-05-06 17:05:52	Liens qui mentent: arrêtez les attaques basées sur une URL avant de commencer Links That Lie: Stop URL-Based Attacks Before They Start (lien direct)	Les cyber-menaces les plus dommageables n'ont pas aujourd'hui des machines cibles ou des systèmes, ils ciblent les humains.Aujourd'hui, 74% des violations de données reposent sur l'exploitation de l'élément humain.Des employés cliquant sur des liens malveillants à la tromperie par des courriels se faisant passer pour des dirigeants et des fournisseurs, les attaques ciblées humaines mettent en péril les entreprises dans le monde entier. & NBSP; En ce qui concerne les menaces de courrier électronique ciblées, Proofpoint a vu les attaquants éloigner des pièces jointes statiques vers des liens malveillants qui doivent être déclenchés par des clics humains pour initier une attaque plus large.Que leur objectif soit de lancer une attaque de phishing et de voler des informations d'identification ou des utilisateurs directs vers des sites Web chargés de logiciels malveillants et de libérer les ransomwares, les adversaires comptent désormais les URL malveillants comme l'une de leurs tactiques préférées pour poursuivre leurs attaques. Pour aider les organisations à arrêter les attaques basées sur une URL avant même de commencer, Proofpoint est d'introduire la première capacité de maintien et de sable préalable de l'industrie et de la capacité de sable dans le cadre de la protection des menaces de preuves.Lorsqu'il est combiné avec nos protections de clics, il crée l'ensemble le plus formidable de mesures de défense en profondeur disponibles pour les organisations afin d'empêcher les attaques d'atteindre leurs cibles humaines. & NBSP; Menaces basées sur une URL: une technique d'attaquant populaire Les données récentes de l'intelligence et de la recherche sur les menaces de preuves montrent que le nombre moyen de menaces basées sur URL quotidiennes a augmenté à plus de 4,5 millions.Il s'agit d'une augmentation alarmante de 119% au cours des trois dernières années. & NBSP; Infographie: 1 clics sur 7 sur les liens malveillants se produit en 60 secondes de livraison. & Nbsp; Ce qui est également préoccupant, c'est la vitesse à laquelle ces attaques peuvent causer des dommages.La recherche de Proofpoint montre que 1 clic sur 7 sur un lien dangereux se produit en moins de 60 secondes après la livraison d'un e-mail.Cette réponse à clic rapide démontre la nature critique d'une forte protection avant la livraison pour réduire le risque que les utilisateurs cliquent sur des liens malveillants. Amélioration de la protection de la prédivision pour les menaces basées sur l'URL Notre nouvelle capacité permet aux organisations de contenir des messages suspects avec des URL pour l'analyse du bac à sable, minimisant le risque qu'un utilisateur s'engage avec l'URL malveillante.Nous utilisons des signaux comportementaux et de l'intelligence des menaces pour déterminer si un message doit être détenu pour une inspection plus approfondie.Notre technologie de bac à sable effectue une analyse exhaustive de l'URL en utilisant une analyse statique et dynamique, ainsi qu'une exécution assistée par l'analyste pour maximiser la détection et l'extraction de l'intelligence. Maintenir et les messages de bac à sable avec des URL suspects arrêtent les menaces avant d'atteindre les utilisateurs. Défense continue avec protection contre le temps de clics Les URL ne sont pas toujours nées malveillantes.Ils peuvent devenir armées après la livraison.En tant que tels, les e-mails contenant des liens nécessitent un examen constant pour se protéger contre les menaces avancées.C'est pourquoi l'analyse continue de la pré-livraison à l'heure de clic est si importante pour arrêter les attaques basées sur l'URL.Avec notre nouvelle prise avant la livraison &Sandbox pour la capacité de l'URL suspecte, ProofPoint fournit de manière unique la protection de bout en bout la plus avancée contre les menaces URL. ProofPoint fournit de manière unique une défense continue pour les menaces basées sur l'URL. Détection de pré-livraison.ProofPoint identifie et bloque les attaques avant d'att	Ransomware Threat		★★★
	2024-05-06 16:26:54	Faits saillants hebdomadaires, 6 mai 2024 Weekly OSINT Highlights, 6 May 2024 (lien direct)	## Snapshot Last week\'s OSINT reporting reveals a spectrum of sophisticated cyber threats orchestrated by diverse threat actors targeting organizations globally. The articles highlight various attack vectors, including DNS manipulation techniques (Muddling Meerkat), social engineering tactics with Python-based RATs (DEV#POPPER), and ransomware campaigns exploiting legitimate files (Sophos ransomware). Threat actors range from nation-state affiliated groups like Muddling Meerkat to financially motivated actors leveraging ransomware like Dagon Locker. Several reports highlight the persistent nature of cyber threats as threat actors continue to exploit well-known vulnerabilities like [CVE-2015-2051](https://sip.security.microsoft.com/intel-explorer/cves/CVE-2015-2051/description) and evolve established tools such as the[ZLoader banking trojan](https://sip.security.microsoft.com/intel-profiles/cbcac2a1de4e52fa5fc4263829d11ba6f2851d6822569a3d3ba9669e72aff789)to launch successful attacks. These findings emphasize the ongoing need for organizations to prioritize patch management and remain vigilant against evolving tactics employed by threat actors leveraging both known and refined techniques to infiltrate systems and compromise networks. ## Description 1. [Cyberattacks Targeting Poorly Managed MS-SQL Servers](https://sip.security.microsoft.com/intel-explorer/articles/f5f3ecc6): Threat actors exploit vulnerabilities in improperly managed MS-SQL servers to install Mallox ransomware. The attack involves deploying Remcos RAT for system control and leveraging a custom remote screen control malware, highlighting the risk posed by insecure database management practices. 2. [Sophos Ransomware Campaign Exploiting Legitimate Files](https://security.microsoft.com/intel-explorer/articles/e27d7355): Sophisticated ransomware campaign exploits legitimate Sophos executables and DLLs by altering their content and inserting malicious payloads like Cobalt Strike and Brute Ratel. Attackers use JavaScript loaders via email for initial access, disguising malicious activity within seemingly legitimate files to evade detection. 3. [Social Engineering Attack Targeting Developers](https://security.microsoft.com/intel-explorer/articles/7ef7309c): North Korean threat actors use fake job interviews to deliver Python-based RATs to developers, exploiting their trust in the job application process. The attackers mimic real companies and interview processes to deceive developers into downloading and executing malicious software. 4. [Detailed Account of Intrusion using IcedID and Cobalt Strike](https://security.microsoft.com/intel-explorer/articles/55e96eb8): A comprehensive incident report details a sophisticated intrusion involving IcedID malware and Cobalt Strike beacons. The threat actors employed multiple evasion techniques, lateral movement tools, and exfiltration methods, culminating in the deployment of Dagon Locker ransomware. 5. [Evolution of ZLoader Trojan with New Evasion Tactics](https://sip.security.microsoft.com/intel-explorer/articles/0d7c21ec): ZLoader, a modular banking trojan derived from ZeuS source code, reappears with enhanced obfuscation methods and anti-analysis features. This malware\'s evolution demonstrates a strategic effort to evade detection and limit binary execution to infected systems. 6. [Emergence of Goldoon Botnet Targeting D-Link Devices](https://sip.security.microsoft.com/intel-explorer/articles/de08653e): The Goldoon botnet exploits CVE-2015-2051 vulnerability to compromise D-Link devices and launch denial-of-service attacks. The malware, once executed, establishes a persistent connection with a C2 server and contains 27 different attack methods, posing a significant threat to affected organizations. 7. [Muddling Meerkat: DNS Manipulation by Nation-State Actors](https://security.microsoft.com/intel-explorer/articles/b6049233): The threat actor group, suspected to be affiliated with China, employs DNS manipulation techniques to hijack internet traffic for strat	Ransomware Malware Tool Vulnerability Threat		★★
	2024-05-06 11:46:15	Le gouvernement de Wichita arrête les systèmes après un incident de ransomware Wichita government shuts down systems after ransomware incident (lien direct)	## Snapshot Last week\'s OSINT reporting reveals a spectrum of sophisticated cyber threats orchestrated by diverse threat actors targeting organizations globally. The articles highlight various attack vectors, including DNS manipulation techniques (Muddling Meerkat), social engineering tactics with Python-based RATs (DEV#POPPER), and ransomware campaigns exploiting legitimate files (Sophos ransomware). Threat actors range from nation-state affiliated groups like Muddling Meerkat to financially motivated actors leveraging ransomware like Dagon Locker. Several reports highlight the persistent nature of cyber threats as threat actors continue to exploit well-known vulnerabilities like [CVE-2015-2051](https://sip.security.microsoft.com/intel-explorer/cves/CVE-2015-2051/description) and evolve established tools such as the[ZLoader banking trojan](https://sip.security.microsoft.com/intel-profiles/cbcac2a1de4e52fa5fc4263829d11ba6f2851d6822569a3d3ba9669e72aff789)to launch successful attacks. These findings emphasize the ongoing need for organizations to prioritize patch management and remain vigilant against evolving tactics employed by threat actors leveraging both known and refined techniques to infiltrate systems and compromise networks. ## Description 1. [Cyberattacks Targeting Poorly Managed MS-SQL Servers](https://sip.security.microsoft.com/intel-explorer/articles/f5f3ecc6): Threat actors exploit vulnerabilities in improperly managed MS-SQL servers to install Mallox ransomware. The attack involves deploying Remcos RAT for system control and leveraging a custom remote screen control malware, highlighting the risk posed by insecure database management practices. 2. [Sophos Ransomware Campaign Exploiting Legitimate Files](https://security.microsoft.com/intel-explorer/articles/e27d7355): Sophisticated ransomware campaign exploits legitimate Sophos executables and DLLs by altering their content and inserting malicious payloads like Cobalt Strike and Brute Ratel. Attackers use JavaScript loaders via email for initial access, disguising malicious activity within seemingly legitimate files to evade detection. 3. [Social Engineering Attack Targeting Developers](https://security.microsoft.com/intel-explorer/articles/7ef7309c): North Korean threat actors use fake job interviews to deliver Python-based RATs to developers, exploiting their trust in the job application process. The attackers mimic real companies and interview processes to deceive developers into downloading and executing malicious software. 4. [Detailed Account of Intrusion using IcedID and Cobalt Strike](https://security.microsoft.com/intel-explorer/articles/55e96eb8): A comprehensive incident report details a sophisticated intrusion involving IcedID malware and Cobalt Strike beacons. The threat actors employed multiple evasion techniques, lateral movement tools, and exfiltration methods, culminating in the deployment of Dagon Locker ransomware. 5. [Evolution of ZLoader Trojan with New Evasion Tactics](https://sip.security.microsoft.com/intel-explorer/articles/0d7c21ec): ZLoader, a modular banking trojan derived from ZeuS source code, reappears with enhanced obfuscation methods and anti-analysis features. This malware\'s evolution demonstrates a strategic effort to evade detection and limit binary execution to infected systems. 6. [Emergence of Goldoon Botnet Targeting D-Link Devices](https://sip.security.microsoft.com/intel-explorer/articles/de08653e): The Goldoon botnet exploits CVE-2015-2051 vulnerability to compromise D-Link devices and launch denial-of-service attacks. The malware, once executed, establishes a persistent connection with a C2 server and contains 27 different attack methods, posing a significant threat to affected organizations. 7. [Muddling Meerkat: DNS Manipulation by Nation-State Actors](https://security.microsoft.com/intel-explorer/articles/b6049233): The threat actor group, suspected to be affiliated with China, employs DNS manipulation techniques to hijack internet traffic for strat	Ransomware		★★
	2024-05-06 10:34:36	La ville de Wichita arrête le réseau informatique après une attaque de ransomware City of Wichita shuts down IT network after ransomware attack (lien direct)	La ville de Wichita, Kansas, a révélé qu'elle avait été forcée de fermer des parties de son réseau après avoir subi une attaque de ransomware le week-end.[...] The City of Wichita, Kansas, disclosed it was forced to shut down portions of its network after suffering a weekend ransomware attack. [...]	Ransomware		★★
	2024-05-06 09:00:53	La ville de Wichita arrête le réseau après une attaque de ransomware City of Wichita Shuts Down Network Following Ransomware Attack (lien direct)	> La ville de Wichita, au Kansas, a fermé son réseau après avoir été victime d'une attaque de ransomware qui résidait au fichier. >The City of Wichita, Kansas, has shut down its network after falling victim to a file-encrypting ransomware attack.	Ransomware		★★
	2024-05-06 07:54:03	Genai alimente la dernière vague des menaces de messagerie modernes GenAI Is Powering the Latest Surge in Modern Email Threats (lien direct)	Generative artificial intelligence (GenAI) tools like ChatGPT have extensive business value. They can write content, clean up context, mimic writing styles and tone, and more. But what if bad actors abuse these capabilities to create highly convincing, targeted and automated phishing messages at scale? No need to wonder as it\'s already happening. Not long after the launch of ChatGPT, business email compromise (BEC) attacks, which are language-based, increased across the globe. According to the 2024 State of the Phish report from Proofpoint, BEC emails are now more personalized and convincing in multiple countries. In Japan, there was a 35% increase year-over-year for BEC attacks. Meanwhile, in Korea they jumped 31% and in the UAE 29%. It turns out that GenAI boosts productivity for cybercriminals, too. Bad actors are always on the lookout for low-effort, high-return modes of attack. And GenAI checks those boxes. Its speed and scalability enhance social engineering, making it faster and easier for attackers to mine large datasets of actionable data. As malicious email threats increase in sophistication and frequency, Proofpoint is innovating to stop these attacks before they reach users\' inboxes. In this blog, we\'ll take a closer look at GenAI email threats and how Proofpoint semantic analysis can help you stop them. Why GenAI email threats are so dangerous Verizon\'s 2023 Data Breach Investigations Report notes that three-quarters of data breaches (74%) involve the human element. If you were to analyze the root causes behind online scams, ransomware attacks, credential theft, MFA bypass, and other malicious activities, that number would probably be a lot higher. Cybercriminals also cost organizations over $50 billion in total losses between October 2013 and December 2022 using BEC scams. That represents only a tiny fraction of the social engineering fraud that\'s happening. Email is the number one threat vector, and these findings underscore why. Attackers find great success in using email to target people. As they expand their use of GenAI to power the next generation of email threats, they will no doubt become even better at it. We\'re all used to seeing suspicious messages that have obvious red flags like spelling errors, grammatical mistakes and generic salutations. But with GenAI, the game has changed. Bad actors can ask GenAI to write grammatically perfect messages that mimic someone\'s writing style-and do it in multiple languages. That\'s why businesses around the globe now see credible malicious email threats coming at their users on a massive scale. How can these threats be stopped? It all comes down to understanding a message\'s intent. Stop threats before they\'re delivered with semantic analysis Proofpoint has the industry\'s first predelivery threat detection engine that uses semantic analysis to understand message intent. Semantic analysis is a process that is used to understand the meaning of words, phrases and sentences within a given context. It aims to extract the underlying meaning and intent from text data. Proofpoint semantic analysis is powered by a large language model (LLM) engine to stop advanced email threats before they\'re delivered to users\' inboxes in both Microsoft 365 and Google Workspace. It doesn\'t matter what words are used or what language the email is written in. And the weaponized payload that\'s included in the email (e.g., URL, QR code, attached file or something else) doesn\'t matter, either. With Proofpoint semantic analysis, our threat detection engines can understand what a message means and what attackers are trying to achieve. An overview of how Proofpoint uses semantic analysis. How it works Proofpoint Threat Protection now includes semantic analysis as an extra layer of threat detection. Emails must pass through an ML-based threat detection engine, which analyzes them at a deeper level. And it does	Ransomware Data Breach Tool Vulnerability Threat	ChatGPT	★★★
	2024-05-06 07:06:12	Le site saisi de Lockbit \\ prend vie pour taquiner de nouvelles annonces de police Lockbit\\'s seized site comes alive to tease new police announcements (lien direct)	Le NCA, le FBI et Europol ont relancé un site de fuite de données de ransomware de verrouillage saisi pour faire allusion à de nouvelles informations révélées par les forces de l'ordre ce mardi.[...] The NCA, FBI, and Europol have revived a seized LockBit ransomware data leak site to hint at new information being revealed by law enforcement this Tuesday. [...]	Ransomware Legislation		★★★
	2024-05-06 05:52:32	La sécurité des e-mails est désormais redéfinie avec des capacités de protection des menaces adaptatives dans toute la chaîne de livraison Email Security is Now Redefined with Adaptive Threat Protection Capabilities Across the Entire Delivery Chain (lien direct)	Another RSA Conference has arrived, and with it comes the gold standard report for our industry, the Verizon DBIR. And for yet another year, it concludes the same thing: the human element is central to the vast majority of breaches (76% this year), especially the ones that matter, from ransomware to BEC to data loss. The very first word of the 2024 DBIR is also not new; it\'s “phishing”. Email security has always been central to human risk: it\'s the #1 way users encounter threats, the #1 way users make mistakes, and the #1 way attackers get what they want, from credentials to wire transfers to malware infections. Proofpoint has a long history of stopping more human-targeted threats than anyone else. Our long history of firsts includes the first ML models to stop unwanted messages, the first rewriting of URLs for click-time protection, and the first connection of a malware sandbox to email. But attackers have continued to innovate and so have we – starting now, we\'re setting a new standard for protection across the entire email delivery chain. Building an Unmatched Detection Ensemble What organizations need in email security is simple to describe but hard to do: a single solution to protect against every type of threat, every time, every way a user may encounter it, using every form of detection. Our detection ensemble was already the industry\'s most effective, including threat intelligence, static analysis, sandboxing, click-time protection, and our unique set of Nexus AI models. I\'m thrilled to announce that we have now added the industry\'s first ever pre-delivery protections to stop social engineering and malicious URLs, as well as our newly integrated post-delivery behavioral AI, Proofpoint Adaptive Email Security. * New capability According to our data across more than 500,000 organizations, including 87 of the Fortune 100, attackers rely on two techniques more frequently than any others: text-based social engineering and malicious URLs. While we already detect both these threat types at the highest rates in the industry, we wanted to push the envelope – not just detecting them, but detecting them as early as possible. To make this a reality, we optimized the performance of our Nexus AI LLM-based detection model by 10X, enabling us to use semantic analysis to interpret a malicious message\'s intent (such as invoicing fraud), regardless of the words they use or even the language they write in. In parallel, we built the capability for our gateway to hold messages with suspicious URLs until they are sandboxed. The result is the most formidable set of defense in-depth measures available for organizations to prevent attacks from reaching their targets. Continuous End-to-End Detection with Proofpoint Adaptive Email Security Joining our pre-delivery enhancements is Proofpoint Adaptive Email Security, our API-based offering that integrates with Microsoft 365 and applies our broad detection ensemble to stop advanced threats, including BEC, social engineering and lateral phishing messages. Once deployed, Adaptive Email Security enriches all detections with easy-to-understand explanations about behavioral anomalies observed. Additionally, it automatically quarantines high confidence threats, while delivering real-time coaching using contextual warning banners to alert users to the risks in social engineering and BEC-type emails that don\'t contain an obvious malicious payload. Insight into a malicious message generated by Adaptive Email Security The Next Level While we\'re thrilled for you all to experience our latest set of innovations, we know we can still do more to help you protect your people. That takes two main forms: continuing to lead with Nexus AI, and deepening and strengthening our ecosystem partnerships. Nexus AI: The value of our proprietary data is enhanced by contextual insights and in-depth classification from our leading team of threat researchers and data scientists, who track adversaries, analyze evolving attacker tradecraft, profile data exfiltration pa	Ransomware Malware Threat Conference		★★★

Last update at: 2024-05-13 19:07:57
See our sources.

To see everything: Our RSS (filtrered)