What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-10-28 11:27:40 | Faits saillants hebdomadaires, 28 octobre 2024 Weekly OSINT Highlights, 28 October 2024 (lien direct) |
## Instantané La semaine dernière, les rapports de \\ sont mettant en évidence un éventail de types d'attaques dirigés par des acteurs sophistiqués parrainés par l'État et des menaces criminelles, avec des attaques notables ciblant les secteurs de la crypto-monnaie, du gouvernement et des infrastructures critiques.Les principaux vecteurs d'attaque incluent des campagnes de phishing, l'exploitation des vulnérabilités logicielles et des logiciels malveillants avancés et des outils tels que la grève de Cobalt, le ransomware et les botnets, tirant parti des CVE connus et des défauts d'exécution spéculatifs.Des groupes APT alignés par l'État, tels que les acteurs de la menace alignés par Lazare et la Russie, ont mené des attaques contre les plateformes de crypto-monnaie et les entités politiques, tandis que les opérations d'influence liées à la Russie ont utilisé du contenu généré par l'IA pour amplifier les récits de division avant les élections américaines de 2024.Pendant ce temps, les botnets et les modèles de ransomwares en tant que service comme Beast Raas ont démontré des progrès techniques dans la persistance, le chiffrement et les techniques d'exfiltration des données. ## Description 1. [Campagne Heptax] (https://sip.security.microsoft.com/intel-explorer/articles/CE9F9A25): la recherche Cyble a découvert la campagne Heptax ciblant les organisations de soins de santé par le biais de fichiers LNK malveillants distribués par e-mails de phishing.Les attaquants utilisent des scripts PowerShell pour réduire les paramètres de sécurité, permettant un accès à distance, une extraction de mot de passe et une surveillance du système pour une exfiltration de données prolongée. 2. [Wrnrat Malware] (https://sip.security.microsoft.com/intel-explorer/articles/118a2c8f): AhnLab a identifié WRNRAT malware distribué via de faux sites de jeu de jeu, destiné à la thèse de données motivés financièrement et au contrôle des systèmes infectés infectés.Une fois téléchargé, le malware capture les écrans utilisateur, envoie des informations système et met fin aux processus spécifiques tout en se déguisant en un processus Internet Explorer. 3. [Fortimanager Exploit] (https://sip.security.microsoft.com/intel-explorer/articles/2f35a4ca): Mandiant a rapporté UNC5820 \\ 's Exploitation of a fortimanager vulnérabilité zéro-jour (CVE-2024-47575)Pour exécuter du code et voler des données de configuration.L'attaque a ciblé les dispositifs FortiGate dans plusieurs industries, posant un risque de mouvement latéral grâce à des informations d'identification récoltées et à des informations sur les appareils. 4. [Black Basta \'s Social Engineering] (https://sip.security.microsoft.com/intel-explorer/articles/b231776f): Reliaquest documenté Black Basta Ransomware \\ est une ingénierie sociale avancée, y comprisSpam par e-mail de masse et imitations des équipes Microsoft, pour inciter les utilisateurs à installer des outils RMM ou à scanner les codes QR.Ces tactiques facilitent le déploiement des ransomwares via AnyDesk, soulignant la nécessité d'un e-mail et d'un compte vigilantsécurité. 5. [Ransomware embargo] (https://sip.security.microsoft.com/intel-explorer/articles/b7f0fd7b): eset identifiéEmbargo, un groupe Ransomware-as-a-Service ciblant les sociétés américaines, utilisant des outils basés sur la rouille comme Mdeployer et Ms4killer.En utilisant des tactiques à double extorsion, l'embargo personnalise des outils pour désactiver les systèmes de sécurité, chiffrer les fichiers et obtenir de la persistance via des redémarrages en mode sûr et des tâches planifiées. 6. [Lazarus Chrome Exploit Campaign] (https://sip.security.microsoft.com/intel-explorer/articles/e831e4ae): les chercheurs de Kaspersky ont identifié une campagne de Lazarus APT et Bluenoroff (Diamond Sheet and Saphire Sleet), Exploriting A A et Bluenoroff.Vulnérabilité zéro-jour dans Google Chrome pour cibler les amateurs de crypto-monnaie.L'attaque utilise un fau | Ransomware Spam Malware Tool Vulnerability Threat Prediction Medical Cloud Technical | APT 38 Guam | ★★ |
 |
2024-10-28 09:58:49 | HC3 met en garde contre les pirates d'araignées dispersés tirant parti de l'IA, de l'ingénierie sociale pour infiltrer les soins de santé, d'autres secteurs HC3 warns of Scattered Spider hackers leveraging AI, social engineering to infiltrate healthcare, other sectors (lien direct) |
Le centre de coordination de la cybersécurité du secteur de la santé (HC3) du Département américain de la santé & # 38;Les services humains (HHS) sont publiés ...
The Health Sector Cybersecurity Coordination Center (HC3) of the U.S. Department of Health & Human Services (HHS) released... |
Medical | ★★ | |
 |
2024-10-25 19:59:08 | UnitedHealth révèle un 100 m compromis dans le changement de violation des soins de santé UnitedHealth Reveals 100M Compromised in Change Healthcare Breach (lien direct) |
Huit mois après la rupture, Change Healthcare a finalement envoyé des millions d'avis de données compromises aux personnes touchées.
Eight months after the breach occurred, Change Healthcare has finally sent out millions of notices of compromised data to affected individuals. |
Medical | ★★ | |
|
2024-10-25 19:15:07 | (Déjà vu) HEPTAX: Connexions RDP non autorisées pour les opérations de cyberespionnage HeptaX: Unauthorized RDP Connections for Cyberespionage Operations (lien direct) |
#### Industries ciblées - Santé et santé publique ## Instantané Cyble Research and Intelligence Labs (CRIL) a identifié une campagne de cyberattaque active, surnommée "Heptax", à l'aide de fichiers de raccourci malveillants (fichiers LNK) dans une chaîne d'attaque complexe et multi-étages.La campagne n'a pas été attribuée à un acteur de menace connu. ## Description L'attaque commence par un fichier zip contenant le fichier LNK malveillant, probablement distribué par phishing.Sur la base du titre du fichier LNK, Cril évalue les organisations de guérison des cibles Heptax.Lors de l'exécution, ce fichier LNK lance des commandes PowerShell qui téléchargent d'autres scripts PowerShell et fichiers BAT sur l'appareil de la victime \\, permettant aux attaquants de créer un compte administratif et d'ajuster les paramètres de bureau distant (RDP).Cet accès simplifie les sessions RDP non autorisées pour l'exploitation continue. La campagne utilise des outils supplémentaires, comme Chromepass, pour extraire les mots de passe enregistrés des navigateurs à base de chrome, mettant les comptes des victimes \\ 'à plus davantage.Les campagnes répétées de Heptax \\ au cours de la dernière année indiquent qu'il a réussi à tirer parti des mêmes tactiques de base malgré sa visibilité. Les scripts rassemblent également et renvoient systématiquement les informations système détaillées au serveur de commande et de contrôle, ce qui rend ces infections à la fois furtives et polyvalentes.En abaissant les commandes de sécurité, en désactivant le contrôle des comptes d'utilisateurs (UAC) et en obtenant des privilèges administratifs, les attaquants peuvent installer d'autres logiciels malveillants, exfilter les données et surveiller l'activité du système non détectée.La campagne met en évidence la nécessité d'une amélioration des capacités de détection contre les attaques basées sur des scripts, qui ont permis à ce groupe de rester largement inaperçu malgré son activité prolongée et ses techniques récurrentes. ## Analyse Microsoft et contexte OSINT supplémentaire ChromePass est un outil de récupération de mot de passe conçu pour récupérer et afficher les informations d'identification de connexion enregistrées stockées dans des navigateurs à base de chrome, tels que Chrome, Brave et Edge.Bien qu'il ait des utilisations légitimes pour la récupération de mot de passe, les acteurs malveillants exploitent ChromePass pour extraire secrètement les noms d'utilisateur et les mots de passe des appareils victimes de victimes.Une fois déployé sur un système compromis, ChromePass peut rapidement localiser et décrypter les mots de passe, qui sont souvent stockés dans la base de données cryptée d'un navigateur à des fins automatique.En exfiltrant ces informations d'identification, les attaquants obtiennent un accès non autorisé aux comptes sensibles des utilisateurs, y compris les e-mails, les services financiers et les systèmes d'entreprise.Ces données peuvent ensuite être exploitées pour d'autres activités malveillantes, telles que la farce des informations d'identification, le vol d'identité et le phishing de lance, permettant aux cybercriminels d'étendre leur portée et de compromettre des systèmes supplémentaires liés aux comptes de la victime. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécuter [EDR en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/ed | Malware Tool Threat Medical | ★★★ | |
 |
2024-10-25 18:37:49 | Modifier les données de cyberattaque des soins de santé exposés de plus de 100 millions de personnes Change Healthcare Cyberattack Exposed Data of Over 100 Million People (lien direct) |
Les informations personnelles d'un tiers des Américains auraient pu être affectées dans l'attaque des ransomwares de 22 millions de dollars, qui a été attribuée au gang Blackcat.
Personal information from one-third of Americans could have been affected in the $22 million ransomware attack, which has been attributed to the BlackCat gang. |
Ransomware Medical | ★★ | |
|
2024-10-25 17:22:14 | (Déjà vu) Opération Cobalt Whisper: l'acteur de menace cible plusieurs industries à travers Hong Kong et le Pakistan Operation Cobalt Whisper: Threat Actor Targets Multiple Industries Across Hong Kong and Pakistan (lien direct) |
#### Targeted Geolocations - Pakistan - China #### Targeted Industries - Defense Industrial Base - Education - Higher Education - Energy - Information Technology - Healthcare & Public Health ## Snapshot SEQRITE Labs\' APT team has exposed an advanced cyber-espionage campaign known as Operation Cobalt Whisper, impacting multiple industries in Hong Kong and Pakistan. ## Description This operation extensively uses the Cobalt Strike post-exploitation tool, delivered via obfuscated VBScript in infected archives. SEQRITE identified over 20 infection chains, primarily affecting organizations in Hong Kong but also Pakistan, with decoy documents in RAR archives containing both PDF and LNK files. Industries impacted by the campaign include defense, education, enviornmental engineering, energy, cybersecurity, aviation, and healthcare. Technical analysis reveals a two-stage infection process, where an initial LNK executes a VBScript to achieve persistence and hide activity, followed by a Cobalt Strike beacon disguised as a legitimate executable that connects back to the attacker. SEQRITE\'s investigations found commonalities in naming conventions, particularly using the filename “ImeBroker.exe,” to deploy Cobalt Strike implants across multiple activity clusters. Through file path artifacts, machine IDs, and configuration similarities, SEQRITE linked clusters of activity to Operation Cobalt Whisperer, including those aimed at the Pakistani defense sector and electrotechnical researchers. These campaigns reveal sophisticated tactics designed to exploit high-value information from specific industry sectors across Asia, with consistent command-and-control patterns registered with Tencent\'s network infrastructure. ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. - Turn on [cloud-delivered protection](https://learn.microsoft.com/en-us/defender-endpoint/linux-preferences) in Microsoft Defender Antivirus or the equivalent for your antivirus product to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown threats. - Run [EDR in block mode](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=magicti_ta_learndoc) so that Microsoft Defender for Endpoint can block malicious artifacts, even when your non-Microsoft antivirus does not detect the threat or when Microsoft Defender Antivirus is running in passive mode. EDR in block mode works behind the scenes to remediate malicious artifacts that are detected post-breach. - Allow [investigation and remediation](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?view=o365-worldwide?ocid=magicti_ta_learndoc) in full automated mode to allow Microsoft Defender for Endpoint to take immediate action on alerts to resolve breaches, significantly reducing alert volume. - [Enable](https://learn.microsoft.com/en-us/defender-endpoint/enable-controlled-folders) controlled folder access. - Ensure that [tamper protection](https://learn.microsoft.com/en-us/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection#how-do-i-configure-or-manage-tamper-protection) is enabled in Microsoft Defender for Endpoint. - Enable [network protection](https://learn.microsoft.com/en-us/defender-endpoint/enable-network-protection) in Microsoft Defender for Endpoint. - Follow the credential hardening recommendations in the [on-premises credential theft overview](https://security.microsoft.com/threatanalytics3/9382203e-5155-4b5e-af74-21562b1004d5/analystreport) to defend against common credential theft techniques like LSASS access. - [Enable](https://learn.microsoft.com/en-us/defender-endpoint/attack-surface-reduction-rules-reference#block-credential-stealing-from-the-windows-local-security-authority-subsystem) LSA protection. - Microsoft | Ransomware Malware Tool Threat Industrial Medical | ★★ | |
 |
2024-10-25 16:28:43 | Le changement de violation des soins de santé a affecté 100 millions d'Américains, marquant un nouveau record Change Healthcare breach affected 100 million Americans, marking a new record (lien direct) |
> L'entreprise a informé le département de la santé et des services sociaux au sujet du chiffre cette semaine, le premier qu'elle a spécifié.
>The company notified the Health and Human Services Department about the figure this week, the first it has specified. |
Medical | ★★ | |
 |
2024-10-25 14:00:00 | Le changement de violation des soins de santé affecte 100 millions d'Américains Change Healthcare Breach Affects 100 Million Americans (lien direct) |
Les chiffres mis à jour du HHS ont révélé que 100 millions de patients ont été informés que leurs données ont été violées dans l'attaque du ransomware de soins de santé du changement
Updated figures from the HHS revealed that 100 million patients have been notified that their data was breached in the Change Healthcare ransomware attack |
Ransomware Medical | ★★★ | |
 |
2024-10-25 13:38:32 | Changer Healthcare dit que 100 millions de personnes touchées par l'attaque de ransomware de février Change Healthcare says 100 million people impacted by February ransomware attack (lien direct) |
Le bureau du ministère de la Santé et des Services sociaux (HHS) (HHS) a déclaré que Change Healthcare les avait informés le 22 octobre que «environ 100 millions d'avis individuels ont été envoyés concernant cette violation».
The Department of Health and Human Services\'s (HHS) Office for Civil Rights said Change Healthcare notified them on October 22 that “approximately 100 million individual notices have been sent regarding this breach.” |
Ransomware Medical | ★★ | |
 |
2024-10-25 11:10:31 | Changement d'attaque des ransomwares de soins de santé a un impact sur 100 millions de personnes Change Healthcare Ransomware Attack Impacts 100 Million People (lien direct) |
> UnitedHealth a déclaré au service de santé américain que les pirates ont volé les informations de 100 millions de personnes dans une attaque de ransomware de février.
>UnitedHealth told the US health department that hackers stole the information of 100 million people in a February ransomware attack. |
Ransomware Medical | ★★ | |
 |
2024-10-24 23:54:56 | UnitedHealth affirme que les données de 100 millions de personnes volées dans le changement de violation des soins de santé UnitedHealth says data of 100 million stolen in Change Healthcare breach (lien direct) |
UnitedHealth a confirmé pour la première fois que plus de 100 millions de personnes avaient leurs informations personnelles et leurs données sur les soins de santé volées dans l'attaque des ransomwares de soins de santé du changement, marquant cela comme la plus grande violation des données de santé ces dernières années.[...]
UnitedHealth has confirmed for the first time that over 100 million people had their personal information and healthcare data stolen in the Change Healthcare ransomware attack, marking this as the largest healthcare data breach in recent years. [...] |
Ransomware Data Breach Medical | ★★★ | |
|
2024-10-24 21:06:44 | Microsoft: Healthcare voit une augmentation de 300% des attaques de ransomwares Microsoft: Healthcare Sees 300% Surge in Ransomware Attacks (lien direct) |
Même après le paiement de la rançon, de telles attaques conduisent à des pointes dans les accidents vasculaires cérébraux et les crises cardiaques et les temps d'attente accrus pour les patients.
Even after the ransom is paid, such attacks lead to spikes in strokes and heart attacks and increased wait times for patients. |
Ransomware Medical | ★★★ | |
|
2024-10-22 10:40:00 | Latrodectus malware de plus en plus utilisé par les cybercriminels Latrodectus Malware Increasingly Used by Cybercriminals (lien direct) |
> Le malware de Latrodectus a été de plus en plus utilisé par les cybercriminels, avec des campagnes récentes ciblant les secteurs financiers, automobiles et de santé.
>Latrodectus malware has been increasingly used by cybercriminals, with recent campaigns targeting the financial, automotive and healthcare sectors. |
Malware Medical | ★★★ | |
|
2024-10-21 17:57:04 | La newsletter Horns & HOOVES livre le rat Netsupport et Burnsrat Horns&Hooves Newsletter Delivers NetSupport RAT and BurnsRAT (lien direct) |
#### Targeted Geolocations - Russia ## Snapshot In recent months, SecureList has detected a surge in phishing campaigns using malicious ZIP archives containing JScript files disguised as business requests. ## Description These emails, which began around March 2023, primarily target private users, retailers, and service companies primarily in Russia. The campaign, dubbed “Horns&Hooves,” cleverly mimics legitimate correspondence from real companies, using convincing file names like "Purchase Request" or "Request for Quotation." Attackers have modified their tactics multiple times, with early versions of the malware using HTA files and later versions transitioning to JS scripts. The malware often includes a decoy document, such as a PNG image or text file, designed to make the attack seem legitimate. The primary payload is a remote administration tool called NetSupport RAT, which allows the attackers to control infected systems remotely. A few instances from this campaign also distributed BurnsRAT. NetSupport RAT is distributed through fraudulent websites and fake updates. Once installed, the malware communicates with the attackers\' servers to download additional malicious files. Over time, the attackers have refined their techniques, embedding the malware directly into scripts to avoid detection. According to SecureList, the campaign appears to be linked to the TA569 group, tracked by Microsoft as [Mustard Tempest](https://security.microsoft.com/intel-profiles/79a9547522d81fe6c1f5e42d828009656892f3976c547360db52c33f0ba16db9), a group known for selling access to compromised systems on the darknet. Depending on the buyer, the stolen data could lead to anything from theft to ransomware attacks. The campaign\'s evolution and the shift towards more self-contained malware delivery show a focus on evading detection and maximizing the attack\'s impact. ## Microsoft Analysis and Additional OSINT Context The actor that Microsoft tracks as [Mustard Tempest](https://security.microsoft.com/intel-profiles/79a9547522d81fe6c1f5e42d828009656892f3976c547360db52c33f0ba16db9) is a financially motivated cybercriminal group that provides initial access to ransomware operators, such as [Manatee Tempest](https://security.microsoft.com/threatanalytics3/31b81fc3-8c9b-4439-b954-2c374a2458b3/analystreport?ocid=magicti_ta_ta2) . Mustard Tempest infects its targets through drive-by scenarios using FakeUpdates (also known as SocGholish) malware. Targets are from a wide range of industry sectors including manufacturing, information technology, critical infrastructure, consulting, finance, education, healthcare, and engineering. Opportunistically targeted geographies include, but are not limited to, the United States, Canada, Europe, and South Africa. ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. - Turn on [cloud-delivered protection](https://learn.microsoft.com/en-us/defender-endpoint/linux-preferences) in Microsoft Defender Antivirus or the equivalent for your antivirus product to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown threats. - Run [EDR in block mode](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=magicti_ta_learndoc) so that Microsoft Defender for Endpoint can block malicious artifacts, even when your non-Microsoft antivirus does not detect the threat or when Microsoft Defender Antivirus is running in passive mode. EDR in block mode works behind the scenes to remediate malicious artifacts that are detected post-breach. - Allow [investigation and remediation](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?view=o365-worldwide?ocid=magicti_ta_learndoc) in full automated mode to allow Microsoft Defender for Endpoint to take immediate action on alerts to resolve breaches, significantly reducing alert vol | Ransomware Malware Tool Threat Medical | ★★ | |
 |
2024-10-21 10:13:48 | 21 octobre & # 8211;Rapport de renseignement sur les menaces 21st October – Threat Intelligence Report (lien direct) |
> Pour les dernières découvertes en cyber recherche pour la semaine du 21 octobre, veuillez télécharger notre bulletin de renseignement sur les menaces.Les principales attaques et violations des médecins de la santé des enfants de Boston, qui font partie du réseau hospitalier de Boston Children \\, ont subi une violation de données en septembre, exposant des informations sensibles aux patients, y compris les numéros de sécurité sociale, les dossiers médicaux et les détails de l'assurance maladie.Le [& # 8230;]
>For the latest discoveries in cyber research for the week of 21st October, please download our Threat Intelligence Bulletin. TOP ATTACKS AND BREACHES Boston Children\'s Health Physicians, part of the Boston Children\'s Hospital network, suffered a data breach in September, exposing sensitive patient information, including Social Security numbers, medical records, and health insurance details. The […] |
Data Breach Threat Medical | ★★ | |
 |
2024-10-18 16:30:00 | Les États-Unis et les alliés mettent en garde contre les cyberattaques iraniennes sur les infrastructures critiques dans la campagne d'un an U.S. and Allies Warn of Iranian Cyberattacks on Critical Infrastructure in Year-Long Campaign (lien direct) |
Les agences de cybersécurité et de renseignement d'Australie, du Canada et des États-Unis ont mis en garde contre une campagne d'un an entreprise par les cyber-acteurs iraniens pour infiltrer les organisations d'infrastructures critiques via des attaques à force brute.
"Depuis octobre 2023, les acteurs iraniens ont utilisé la pulvérisation de force brute et de mot de passe pour compromettre les comptes d'utilisateurs et obtenir l'accès aux organisations des soins de santé et
Cybersecurity and intelligence agencies from Australia, Canada, and the U.S. have warned about a year-long campaign undertaken by Iranian cyber actors to infiltrate critical infrastructure organizations via brute-force attacks. "Since October 2023, Iranian actors have used brute force and password spraying to compromise user accounts and obtain access to organizations in the healthcare and |
Medical | ★★★ | |
|
2024-10-18 13:00:23 | Un examen plus approfondi du troisième trimestre 2024: 75% des cyberattaques dans le monde A Closer Look at Q3 2024: 75% Surge in Cyber Attacks Worldwide (lien direct) |
> Un pic d'enregistrement dans les attaques: au troisième trimestre 2024, une moyenne de 1 876 cyberattaques par organisation a été enregistrée, marquant une augmentation de 75% par rapport à la même période en 2023 et une augmentation de 15% par rapport au trimestre précédent.Déchange sur le plan de l'industrie: Le secteur de l'éducation / de la recherche a été le plus ciblé avec 3 828 attaques hebdomadaires, suivie des secteurs gouvernementaux / militaires et de soins de santé, avec 2 553 et 2 434 attaques, respectivement.Faits saillants régionaux: L'Afrique a dû faire face à la moyenne la plus élevée des attaques à 3 370 par semaine (+ 90% en glissement annuel), tandis que l'Europe et l'Amérique latine ont également connu des augmentations significatives.Ransomware: une menace persistante: plus de 1 230 incidents de ransomware ont été signalés, avec l'Amérique du Nord [& # 8230;]
>A Record Spike in Attacks: In Q3 2024, an average of 1,876 cyber attacks per organization was recorded, marking a 75% increase compared to the same period in 2023 and a 15% rise from the previous quarter. Industry-wise Breakdown: The Education/Research sector was the most targeted with 3,828 weekly attacks, followed by the Government/Military and Healthcare sectors, with 2,553 and 2,434 attacks, respectively. Regional Highlights: Africa faced the highest average of attacks at 3,370 per week (+90% YoY), while Europe and Latin America also saw significant increases. Ransomware: A Persistent Threat: Over 1,230 ransomware incidents were reported, with North America […] |
Ransomware Threat Medical | ★★★ | |
|
2024-10-17 21:12:38 | Les cyber-acteurs iraniens \\ 'Force brute et l'activité d'accès aux informations d'identification compromettent les organisations d'infrastructures critiques Iranian Cyber Actors\\' Brute Force and Credential Access Activity Compromises Critical Infrastructure Organizations (lien direct) |
## Snapshot The FBI, CISA, NSA, CSE, AFP, and ASD\'s ACSC released a joint cybersecurity advisory regarding Iranian cyber actors that have been actively targeting organizations across various critical infrastructure sectors, including healthcare, public health, government, IT, engineering, and energy, since October 2023. They have gained unauthorized access to networks by employing brute force attacks, such as password spraying, and exploiting multifactor authentication (MFA) through tactics like \'push bombing\' and \'MFA fatigue.\' ## Description These actors initially infiltrate networks using valid user and group email accounts, often targeting Microsoft 365, Azure, Citrix, and Okta systems, and sometimes exploiting external-facing remote services. Once inside, they maintain persistence by registering their devices for MFA and manipulating accounts and authentication processes. For lateral movement within networks, the actors use Remote Desktop Protocol (RDP) and employ open-source tools for credential access, including Kerberos ticket enumeration and password spraying. They attempt privilege escalation by exploiting vulnerabilities such as Zerologon (CVE-2020-1472) and impersonating domain controllers. The actors also perform discovery using living-off-the-land (LOTL) techniques and PowerShell to gather information about domain controllers, trusted domains, administrator accounts, and system information. Command and control activities are conducted using web protocols, with tools like Cobalt Strike Beacon C2 infrastructure, and they frequently use VPNs, such as Private Internet Access, to mask their activities. The advisory notes that some of the tactics, techniques, and procedures (TTPs) and indicators of compromise (IOCs) may be tied to third-party actors who purchased access from the Iranian group, cautioning against attributing all activity to the Iranian actors based solely on TTPs and IOCs. Specific hashes and a range of IP addresses have been associated with this malicious activity, with the understanding that these IPs may host valid domains and are often changed by cyber actors. Devices such as the Samsung Galaxy A71 (SM-A715F), Samsung SM-G998B, and Samsung SM-M205F have been registered with MFA in relation to these activities. ## Recommendations Recommendations to help prevent Kerberoasting from succeeding Microsoft recommends that IT administrators take the following steps to help harden their environments against Kerberoasting: - Use Group Managed Service Accounts (gMSA) or Delegated Managed Service Accounts (dMSA) wherever possible: - These accounts are ideal for multi-server applications that require centralized credential management and enhanced security against credential-based attacks, such as IIS, SQL Server, or other Windows services running in a domain-joined environment. - [Group Managed Service Account (gMSA)](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/group-managed-service-accounts/group-managed-service-accounts/group-managed-service-accounts-overview) is an Active Directory account type that allows multiple servers or services to use the same account with automatic password management and simplified SPN handling. Passwords for gMSAs are 120 characters long, complex, and randomly generated, making them highly resistant to brute-force cyberattacks using currently known methods. - [Delegated Managed Service Accounts (dMSA)](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/delegated-managed-service-accounts/delegated-managed-service-accounts-overview) are the newest iteration of managed service accounts available on Windows Server 2025. Like gMSAs, they restrict which machines can make use of the accounts and they provide the same password mitigations against Keberoasting. However, unlike gMSAs, dMSAs have the added benefit of supporting seamless migration of standalone service accounts with passwords to the dMSA account type. They can also be optionally integrat | Tool Vulnerability Medical | ★★★ | |
|
2024-10-17 15:00:00 | Les pirates iraniens ciblent les infrastructures critiques avec des attaques de force brute Iranian Hackers Target Critical Infrastructure with Brute Force Attacks (lien direct) |
La campagne en cours cible plusieurs secteurs d'infrastructures critiques, y compris les soins de santé, le gouvernement, les technologies de l'information, l'ingénierie et l'énergie
The ongoing campaign targets multiple critical infrastructure sectors, including healthcare, government, information technology, engineering, and energy |
Medical | ★★★ | |
 |
2024-10-17 11:17:28 | Lueur de bonnes nouvelles sur le front des ransomwares à mesure que les taux de chiffrement chutent Glimmer Of Good News On The Ransomware Front As Encryption Rates Plummet (lien direct) |
Personne ne serait assez audacieux pour dire que le problème des ransomwares est en contrebande, mais un rapport nouvellement publié par Microsoft fournit un glissement de nouvelles encourageantes parmi l'obscurité.Et garçon, nous avons besoin de bonnes nouvelles - au milieu des rapports selon lesquels 389 établissements de santé basés aux États-Unis ont été touchés par les ransomwares l'année dernière - plus d'un chaque jour.Le Microsoft Digital Defence Report (MMDR) de 114 pages examine plusieurs aspects du paysage de la cybersécurité, notamment la sécurité de l'IA, les attaques de déni de service, le phishing, l'ingénierie sociale et les menaces de l'État-nation.Mais pour moi l'une des conclusions les plus positives ...
No-one would be bold enough to say that the ransomware problem is receding, but a newly-published report by Microsoft does deliver a slither of encouraging news amongst the gloom. And boy do we need some good news - amid reports that 389 US-based healthcare institutions were hit by ransomware last year - more than one every single day. The 114-page Microsoft Digital Defense Report (MMDR) looks at multiple aspects of the cybersecurity landscape, including AI security, denial-of-service attacks, phishing, social engineering, and nation-state threats. But for me one of the most positive findings... |
Ransomware Medical | ★★★ | |
 |
2024-10-17 09:43:13 | Les cyber-acteurs iraniens compromettent les infrastructures critiques utilisant la force brute et les tactiques d'accès aux informations d'identification Iranian Cyber Actors Compromise Critical Infrastructure Using Brute Force and Credential Access Tactics (lien direct) |
Les cyber-acteurs iraniens ciblent les organisations dans des secteurs critiques des infrastructures, en utilisant des techniques de force brute pour obtenir des informations d'identification des utilisateurs et vendre des informations sensibles sur les forums cybercriminaux.Les attaques ont affecté les secteurs de la santé, du gouvernement, des technologies de l'information, de l'ingénierie et de l'énergie.Cela a été annoncé dans une alerte coordonnée par le Federal Bureau of Investigation (FBI), la sécurité de la cybersécurité et des infrastructures [...]
Iranian cyber actors are targeting organizations across critical infrastructure sectors, using brute force techniques to obtain user credentials and sell sensitive information on cybercriminal forums. The attacks have affected healthcare, government, information technology, engineering, and energy sectors. This was announced in a coordinated alert by the Federal Bureau of Investigation (FBI), Cybersecurity and Infrastructure Security [...] |
Medical | ★★★ | |
|
2024-10-15 20:37:04 | Près de 400 établissements de santé américains ont frappé des ransomwares par rapport à l'année dernière, dit Microsoft Nearly 400 US healthcare institutions hit with ransomware over last year, Microsoft says (lien direct) |
Au cours du dernier exercice, 389 établissements de santé basés aux États-Unis ont été frappés avec succès de ransomwares, provoquant des «fermetures de réseaux, des systèmes hors ligne, des opérations médicales critiques retardées et des rendez-vous reprogrammés», a déclaré Microsoft.
In the last fiscal year, 389 U.S.-based healthcare institutions were successfully hit with ransomware, causing “network closures, systems offline, critical medical operations delayed, and appointments rescheduled,” Microsoft said. |
Ransomware Medical | ★★ | |
|
2024-10-14 21:26:20 | Faits saillants hebdomadaires, 14 octobre 2024 Weekly OSINT Highlights, 14 October 2024 (lien direct) |
## Snapshot Last week\'s OSINT reporting highlights a complex landscape of cyber threats with a focus on APT groups, sophisticated malware, and exploitation of vulnerabilities. Many attacks are espionage-focused, with China-aligned groups like CeranaKeeper, Iran\'s Hazel Sandstorm, and Russia\'s Midnight Blizzard (SVR) leveraging spearphishing and vulnerability exploitation for intelligence gathering. Ransomware also remains a dominant attack type, with threat actors leveraging double extortion tactics to maximize pressure on victims. A surge in reporting on malware distribution was also observed, including Lua-based malware in the education sector and Pronsis Loader delivering Lumma Stealer. Additionally, multiple reports detail widespread campaigns leveraging phishing, malvertising, and cryptomining, with key targets being government institutions, financial services, and critical infrastructure. Attackers employ diverse techniques such as DNS tunneling, USB-based malware, and exploit known vulnerabilities like EternalBlue (CVE-2017-0144) and FortiOS (CVE-2024-23113). ## Description Last week\'s OSINT reporting highlights a complex landscape of cyber threats with a focus on APT groups, sophisticated malware, and exploitation of vulnerabilities. Many attacks are espionage-focused, with China-aligned groups like CeranaKeeper, Iran\'s Hazel Sandstorm, and Russia\'s Midnight Blizzard (SVR) leveraging spearphishing and vulnerability exploitation for intelligence gathering. Ransomware also remains a dominant attack type, with threat actors leveraging double extortion tactics to maximize pressure on victims. A surge in reporting on malware distribution was also observed, including Lua-based malware in the education sector and Pronsis Loader delivering Lumma Stealer. Additionally, multiple reports detail widespread campaigns leveraging phishing, malvertising, and cryptomining, with key targets being government institutions, financial services, and critical infrastructure. Attackers employ diverse techniques such as DNS tunneling, USB-based malware, and exploit known vulnerabilities like EternalBlue (CVE-2017-0144) and FortiOS (CVE-2024-23113). 1. [CeranaKeeper Targets Thai Government](https://sip.security.microsoft.com/intel-explorer/articles/b3aa72ef): ESET uncovered a new China-aligned APT, CeranaKeeper, targeting government institutions in Thailand, using unique tools for data exfiltration via cloud services. The group adapts its malware for stealth and has been mistakenly linked to Mustang Panda due to some shared methods. 2. [Largest DDoS Attack Mitigated](https://sip.security.microsoft.com/intel-explorer/articles/74f06d55): Cloudflare mitigated the largest publicly disclosed DDoS attack, peaking at 3.8 Tbps, which targeted financial services, internet, and telecom organizations globally. Akamai also identified a critical vulnerability in CUPS servers, potentially creating a new vector for DDoS amplification. 3. [Cuckoo Spear\'s Sophisticated Tools](https://sip.security.microsoft.com/intel-explorer/articles/d47fc595): Cybereason exposed the Cuckoo Spear campaign by APT10, using NOOPLDR and NOOPDOOR to conduct espionage against Japanese industries and governments. These advanced tools employ anti-detection techniques and facilitate network pivoting for exfiltration. 4. [Mamba 2FA Phishing Campaign](https://sip.security.microsoft.com/intel-explorer/articles/bfcb80ed): Sekoia identified a phishing campaign using Mamba 2FA, a PhaaS platform, to steal credentials and session cookies from Microsoft services. Attackers exploited MFA weaknesses and used Telegram bots for data exfiltration. 5. [Golden Jackal\'s Air-Gapped System Attacks](https://sip.security.microsoft.com/intel-explorer/articles/f0234a25): ESET researchers discovered Golden Jackal targeting European government organizations with tools designed to breach air-gapped systems. The group uses USB-based malware for espionage and data exfiltration. 6. [Awaken Likho Targets Russian Agencies](https://sip.security.microsoft.com/in | Ransomware Malware Tool Vulnerability Threat Patching Industrial Medical Cloud | APT 29 APT 10 GoldenJackal | ★★ |
|
2024-10-14 12:41:07 | 14 octobre & # 8211;Rapport de renseignement sur les menaces 14th October – Threat Intelligence Report (lien direct) |
> Pour les dernières découvertes en cyberLes principales attaques et violations de l'organisation de soins de santé à but non lucratif Axis Health System ont été frappées par une attaque de ransomware par le gang de Rhysida, conduisant au vol de données sensibles, notamment les dossiers de santé mentale et de toxicomanie.Rhysida [& # 8230;]
>For the latest discoveries in cyber research for the week of 14th October, please download our Threat Intelligence Bulletin. TOP ATTACKS AND BREACHES Nonprofit healthcare organization Axis Health System has been hit by a ransomware attack by the Rhysida gang, leading to the theft of sensitive data, including mental health and substance abuse records. Rhysida […] |
Ransomware Threat Medical | ★★ | |
 |
2024-10-14 09:42:47 | Piratage des soins de santé: trois façons importantes d'arrêter les cybercriminels ciblant les données des patients Healthcare hacked: three important ways to stop cybercriminals targeting patient data (lien direct) |
Santé piratée: Trois façons importantes d'arrêter les cybercriminels ciblant les données des patients
Alors que les groupes de ransomwares continuent de cibler les hôpitaux et les prestataires de soins, les organisations ont le devoir de protéger les données des patients adéquatement
-
Mise à jour malware
/ /
affiche
Healthcare hacked: three important ways to stop cybercriminals targeting patient data As ransomware groups continue to target hospitals and care providers, organizations have a duty to protect patient data adequately - Malware Update / affiche |
Ransomware Medical | ★★★ | |
|
2024-10-11 13:17:09 | Cyberattack cible les soins de santé à but non lucratif supervisant 13 installations du Colorado Cyberattack targets healthcare nonprofit overseeing 13 Colorado facilities (lien direct) |
Axis Health System exploite 13 installations desservant des milliers de personnes dans le sud-ouest et l'ouest du Colorado.L'organisme à but non lucratif a publié cette semaine un message sur son site Web confirmant qu'il connaît un cyber-incident.
Axis Health System operates 13 facilities serving thousands of people across southwest and western Colorado. The nonprofit posted a message on its website this week confirming it is experiencing a cyber incident. |
Medical | ★★ | |
 |
2024-10-11 02:57:43 | Les attaques de soins de santé se propagent au-delà de nous & # 8211;Il suffit de demander à la santé des étoiles de l'Inde \\ Healthcare attacks spread beyond US – just ask India\\'s Star Health (lien direct) |
reconnaît la fuite des données des clients en vrac des semaines après que les canaux de télégramme l'ont suspendu en ligne le premier fournisseur d'assurance maladie indienne Star Health a admis avoir été victime d'une cyberattaque après que les criminels ont affirmé avoir affiché des dossiers de 30 millions-plus les clients en ligne.…
Acknowledges bulk customer data leak weeks after Telegram channels dangled it online Leading Indian health insurance provider Star Health has admitted to being the victim of a cyber attack after criminals claimed they had posted records of 30-milion-plus clients online.… |
Medical | ★★★ | |
|
2024-10-10 17:23:14 | 14 000 appareils médicaux sont en ligne, non garantis et vulnérables 14,000 medical devices are online, unsecured and vulnerable (lien direct) |
> Censys Les chercheurs en cybersécurité trouvent des dispositifs médicaux, des portails de connexion et des dossiers de santé flottant en ligne.
>Censys cybersecurity researchers find medical devices, login portals, and health records floating online. |
Medical | ★★★ | |
|
2024-10-10 13:17:28 | Groupe anti-avortement accusé d'intercepter électroniquement les patients \\ 'échanges avec la clinique Anti-abortion group accused of electronically intercepting patients\\' exchanges with clinic (lien direct) |
Une clinique de santé reproductive du Massachusetts a déclaré dans les documents judiciaires que le bureau à proximité d'un groupe anti-avortement semblait intercepter les messages aux patients, puis les contacter dans le but de les rediriger loin des services de la clinique.
A Massachusetts reproductive healthcare clinic said in court filings that the nearby office of an anti-abortion group appeared to be intercepting messages to patients and then contacting them with the goal of redirecting them away from the clinic\'s services. |
Medical | ★★ | |
|
2024-10-10 03:26:34 | CIS Control 18: tests de pénétration CIS Control 18: Penetration Testing (lien direct) |
Les tests de pénétration sont quelque chose que davantage d'entreprises et d'organisations devraient considérer comme une dépense nécessaire.Je dis cela parce que, au fil des ans, le coût des violations de données et d'autres formes d'intrusions et de perturbations malveillantes deviennent plus coûteuses.Selon IBM Security \\, «Coût d'un rapport de violation de données 2024», le coût moyen d'une violation a augmenté de 10% d'une année à l'autre, le secteur des soins de santé ayant les violations les plus élevées des coûts pendant 14 années consécutives.L'une des statistiques les plus importantes qui se démarque du rapport est le nombre moyen de jours pour identifier et contenir une violation de données ...
Penetration testing is something that more companies and organizations should be considering as a necessary expense. I say this because, over the years, the cost of data breaches and other forms of malicious intrusions and disruptions are getting costlier. Per IBM Security\'s “Cost of a Data Breach Report 2024,” the average cost of a breach has increased 10% year over year, with the healthcare sector having the highest cost breaches for 14 consecutive years. One of the most important statistics that stands out from the report is the average number of days to identify and contain a data breach... |
Data Breach Medical | ★★★ | |
|
2024-10-09 22:06:48 | Palo Alto Networks découvre quatre nouvelles campagnes de tunneling DNS Palo Alto Networks Uncovers Four New DNS Tunneling Campaigns (lien direct) |
## Instantané
Des chercheurs de Palo Alto Networks ont identifié quatre campagnes de tunneling DNS non conçues, surnommées Finhealthxds, Russians, 8NS et NSFinder.
## Description
La première campagne, FinhealthXDS, cible les industries financières et de la santé avec 12 domaines utilisant un format DNS personnalisé pour Cobalt Strike C2 Communications, indiqué par un préfixe à trois lettres.La deuxième campagne, la RussieSite, implique plus de 100 domaines avec une IP de servante partagée partagée de la Russie, ayant un impact sur l'enseignement supérieur, le gouvernement et les entités de santé.
La troisième campagne, 8NS, comprend six domaines avec huit enregistrements NS chacun.Cette campagne utilise des logiciels malveillants, y compris certains de la famille Hiloti, pour tirer parti des requêtes DNS pour la communication C2.Enfin, la campagne NSFinder se compose de plus de 50 domaines et attire des victimes de sites Web pour adultes pour voler des informations sur les cartes de crédit.Ce Campign est lié à des chevaux de Troie comme Icedid et Redline Stealer et a eu un impact sur les victimes dans les secteurs de haute technologie, d'éducation et de fabrication.
## Recommandations
Azure Defender pour DNS offre une couche supplémentaire de protection pour vos ressources cloud en surveillant en continu toutes les requêtes DNS à partir de vos ressources Azure et exécute des analyses de sécurité avancées pour vous alerter lorsque l'activité suspecte est détectée.
Azure Defender pour DNS protège contre les questions, notamment:
- Exfiltration de données à partir de vos ressources Azure à l'aide de tunneling DNS.
- Communication malveillante avec le serveur de commande et de contrôle.
- Communication avec des domaines malveillants comme le phishing et l'extraction de crypto.
- DNS attaque la communication avec des résolveurs DNS malveillants.
[En savoir plus sur Azure Defender pour DNS] (http://aka.ms/defenderfordns).
## Détections / requêtes de chasse
### Microsoft Defender Antivirus
Microsoft Defender Antivirus détecte les composants de menace comme le FMALWOWIRS DE SOWNING:
- [Trojan: MSIL / AgentTesla] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=trojan:mil/agenttesla.dt!mtb)
- [Trojan: Win32 / Hiloti] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=trojan:win32/hiloti.gen!d)
- [Trojan: Win64 / IceDID] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-DEscription? Name = Trojan: Win64 / IceDID)
## références
[Palo Alto Networks découvre quatre nouvelles campagnes de tunneling DNS] (https://unit42.paloaltonetworks.com/Detecting-dns-Tunneling-Campaignes/#new_tab).Palo Alto Networks (consulté en 2024-10-08)
## Copyright
**&copie;Microsoft 2024 **.Tous droits réservés.La reproduction ou la distribution du contenu de ce site, ou de toute partie de celle-ci, sans l'autorisation écrite de Microsoft est interdite.
## Snapshot Researchers at Palo Alto Networks have identified four previously unrepored DNS tunneling campaigns dubbed FinHealthXDS, RussianSite, 8NS, and NSfinder. ## Description The first campaign, FinHealthXDS, targets the finance and healthcare industries with 12 domains using a customized DNS beaconing format for Cobalt Strike C2 communications, indicated by a three-letter prefix. The second campaign, RussianSite, involves over 100 domains with a shared nameserver IP from Russia, impacting higher education, government, and health entities. The third campaign, 8NS, features six domains with eight NS records each. This campaign uses malware, including some from the Hiloti family, to leverage DNS queries for C2 communication. Finally, the NSfinder campaign consists of over 50 domains and lures victims to adult websites to steal credit card information. This campiagn is linked to Trojans like IcedID and RedLine stealer and ha |
Malware Threat Medical Cloud | ★★★ | |
|
2024-10-09 11:02:40 | Trinity Ransomware émergeant la menace pour les soins de santé américains, utilise des tactiques sophistiquées à double extorsion Trinity ransomware emerging threat to US healthcare, uses sophisticated double extortion tactics (lien direct) |
> Le centre de coordination de la cybersécurité du secteur de la santé (HC3) au sein du département américain de la santé & # 38;Les services humains (HHS) ont averti ...
>The Health Sector Cybersecurity Coordination Center (HC3) within the U.S. Department of Health & Human Services (HHS) warned... |
Ransomware Threat Medical | ★★★ | |
 |
2024-10-08 20:53:50 | Troisième rapport annuel du Ponemon Institute: près de sept organisations de soins de santé sur 10 ont connu une perturbation des soins aux patients en raison des cyberattaques Third Annual Ponemon Institute Report: Nearly Seven in 10 Healthcare Organizations Experienced Disruption to Patient Care Due to Cyber Attacks (lien direct) |
Pas de details / No more details | Medical | ★★★ | |
|
2024-10-08 20:43:58 | Le nouveau rapport Ponemon montre que la conscience des cyber-risques pour les organisations de soins de santé ne se traduit pas toujours par des protections adéquates New Ponemon Report Shows Awareness of Cyber Risks to Healthcare Organizations is not Always Translating to Adequate Protections (lien direct) |
Despite growing awareness and widespread acknowledgment of the impact of cyber threats facing the healthcare industry, many within it are still struggling to keep them at bay. Recent years have seen providers and other healthcare institutions at the mercy of nation-state hackers and opportunistic cyber criminals. As well as hammering bottom lines, such attacks have eroded trust and, at times, put lives at risk. The third annual Ponemon Institute Report, commissioned by Proofpoint, found that 92% of US healthcare organizations surveyed experienced at least one cyber attack in the past 12 month, with almost 70% reporting disruption to patient care due to cyber attacks. Among the organizations that suffered the four most common types of attacks, cloud compromise, ransomware, supply chain, and business email compromise (BEC): 56% reported poor patient outcomes due to delays in procedures and tests 53% saw an increase in medical procedure complications 28% say patient mortality rates increased Unfortunately, this year\'s report confirms an inconvenient truth for the healthcare sector: awareness does not always translate into preparedness. It\'s clearer than ever: cyber risk is patient risk… While any attack that impedes a healthcare provider\'s ability to deliver care is clearly harmful to patients, several threats stand out as causing the most disruption. Supply chain attacks lead the way. Among the 648 information technology and security practitioners surveyed, 68% of respondents said their organizations had an attack against their supply chains in the past two years. A concerning 82% said it disrupted patient care, an increase from 77% in 2023. Meanwhile, BEC is most likely to result in poor patient outcomes due to delayed procedures, closely followed by ransomware. The latter is also most likely to lead to longer stays in healthcare centers as well as an increase in patients diverted to other facilities. Despite the severe impact of ransomware on healthcare institutions, just over half (54%) believe they are vulnerable or highly vulnerable to ransomware attacks, down from 64% last year. While this confidence may be due, in part, to a decline in the number of organizations paying ransoms, security teams should take note that payment values are on the up. In 2024, the average ransom payment was $1,099,200 compared to $995,450 the previous year. Another difficult consideration for the healthcare industry is that its people, whether intentionally or not, are putting patients at risk. Some 92% of organizations suffered a data loss incident at least twice in the past two years. Around half impacted patient care, and of those, 50% experienced increased mortality rates and 37% saw poorer outcomes due to delays to procedures or tests. On average, surveyed organizations experienced 20 data loss and exfiltration incidents in the past two years with employees the root cause. Not following security policies (31%), accidental data loss (26%), staff sending sensitive information to unintended recipients (21%) were the top three culprits. …so cyber safety is patient safety It may once have been dismissed or diminished as hyperbole. But the stats speak for themselves – the behavior of your people can put your patients at risk. The upside, however, is that good security habits go a long way to keeping them safe. Even simple behaviors like setting strong passwords, adhering to device policies and avoiding malicious links and attachments can protect healthcare organizations, and those they care for, from significant disruption. Or worse. Unfortunately, while increasing numbers of organizations say they are educating their staff on security risks, many programs are falling short. Over two-thirds (71%) say they take steps to address the risk of employees\' lack of awareness about cybersecurity threats (up from 65% in 202 | Ransomware Tool Medical Cloud | ★★★ | |
|
2024-10-08 18:36:25 | Le cyber-pronostic sombre des soins de santé nécessite un booster de sécurité Healthcare\\'s Grim Cyber Prognosis Requires Security Booster (lien direct) |
Alors que les organisations de soins de santé luttent contre les problèmes opérationnels, les deux tiers de l'industrie ont subi des attaques de ransomwares au cours de la dernière année, et un nombre croissant se lance à l'extorsion et à payer.
As healthcare organizations struggle against operational issues, two-thirds of the industry suffered ransomware attacks in the past year, and an increasing number are caving to extortion and paying up. |
Ransomware Medical | ★★★ | |
|
2024-10-08 15:44:59 | Étude: 92% des entreprises de santé frappées par les cyberattaques cette année Study: 92% of Healthcare Firms Hit by Cyberattacks This Year (lien direct) |
Pas de details / No more details | Studies Medical | ★★★ | |
|
2024-10-07 19:44:07 | Ransomware Trinity récemment repéré suscite l'avertissement fédéral à l'industrie des soins de santé Recently spotted Trinity ransomware spurs federal warning to healthcare industry (lien direct) |
Trinity Ransomware, qui présente des similitudes avec des souches précédemment tachetées connues sous le nom de 2023lock et Vénus, semble être une menace immédiate pour les entités de santé, selon le bureau du ministère de la Santé et des Services sociaux \\ 'Cyber Coordination Office.
Trinity ransomware, which bears similarities to previously spotted strains known as 2023Lock and Venus, appears to be an immediate threat to healthcare entities, according to the Department of Health and Human Services\' cyber coordination office. |
Ransomware Threat Medical | ★★ | |
|
2024-10-03 15:14:06 | Cybersecurity Stop of the Month Blog: Scroked by Socgholish: Lorsque les logiciels malveillants hantent l'industrie des soins de santé Cybersecurity Stop of the Month Blog: Spooked by SocGholish: When Malware Haunts the Healthcare Industry (lien direct) |
The Cybersecurity Stop of the Month blog series explores the ever-evolving tactics of today\'s cybercriminals. It also examines how Proofpoint helps businesses to fortify their email defenses to protect people against today\'s emerging threats. Proofpoint people protection: end-to-end, complete and continuous. So far in this series, we have examined these types of attacks: Uncovering BEC and supply chain attacks (June 2023) Defending against EvilProxy phishing and cloud account takeover (July 2023) Detecting and analyzing a SocGholish Attack (August 2023) Preventing eSignature phishing (September 2023) QR code scams and phishing (October 2023) Telephone-oriented attack delivery sequence (November 2023) Using behavioral AI to squash payroll diversion (December 2023) Multifactor authentication manipulation (January 2024) Preventing supply chain compromise (February 2024) Detecting multilayered malicious QR code attacks (March 2024) Defeating malicious application creation attacks (April 2024) Stopping supply chain impersonation attacks (May 2024) CEO impersonation attacks (June 2024) DarkGate malware (July 2024) Credential Phishing Attack Targeting User Location Data (August 2024) Preventing Vendor Impersonation Scams (September 2024) Background According to The Center for Internet Security, Inc., SocGholish remains the top malware downloader, responsible for 60% of all these types of attacks. Why do cybercriminals favor SocGholish? Because it\'s a highly effective social engineering tool to distribute malware through malicious or compromised websites. It uses fake software updates, most often masquerading as browser updates, to trick users into downloading malware. Once the malware is installed, it uses different methods to redirect traffic and deliver harmful payloads. This allows it to steal sensitive data from a user\'s system. SocGholish can also be used for further attacks, like installing remote access tools or even ransomware. SocGholish stands out because of several key features: Social engineering. SocGholish tricks users into downloading malware by mimicking software updates, usually for browsers. These familiar prompts make users more likely to trust them and fall for the scam. Wide attack surface. SocGholish often spreads through legitimate websites that have been compromised. When users visit these sites, they are presented with a prompt to download a fake update. Since legitimate websites are used as the delivery mechanism, users are more likely to believe the prompt and download the malware. Easy customization. Threat actors can modify SocGholish code to avoid detection by antivirus and email security tools. This flexibility helps it stay ahead of cybersecurity defenses. Targeted and broad campaigns. SocGholish can be used in both wide-reaching and targeted attacks, which makes it versatile. Threat actors can tailor fake updates to target specific groups, which makes it effective for general malware distribution or more focused phishing campaigns. Persistent and hard to detect. SocGholish often delivers its malware in stages using obfuscated scripts, making it difficult for security systems to detect. This stealthy behavior allows the malware to remain in a system longer without raising alarms. It\'s easy to see why SocGholish is a favored tool for cybercriminals. It combines social engineering with malware that\'s not only easy to distribute but also easy to tweak to avoid detection. SocGholish attack sequence: Typical SocGholish attack sequence. Initial compromise. Threat actors first compromise legitimate websites by injecting malicious JavaScript into them. Fake update notification. When a user visits the site, a pop-up or redirect appears that claims their bro | Ransomware Malware Tool Vulnerability Threat Medical Cloud Conference | ★★ | |
 |
2024-10-03 13:00:00 | L'épidémie silencieuse: découvrir les dangers de la fatigue alerte et comment le surmonter The Silent Epidemic: Uncovering the Dangers of Alert Fatigue and How to Overcome It (lien direct) |
À l'ère numérique d'aujourd'hui, les cyberattaques sont devenues une menace commune et constante pour les individus et les organisations.Des escroqueries à phishing aux attaques de logiciels malveillants, les cybercriminels trouvent constamment de nouvelles façons d'exploiter les vulnérabilités et de voler des informations sensibles.Les ransomwares sont de plus en plus répandus, avec des attaques de haut niveau ciblant les grandes organisations, les agences gouvernementales et les systèmes de santé.Les conséquences d'une attaque de ransomware peuvent être dévastatrices, entraînant une perte financière, des dommages de réputation et même le compromis de données sensibles.
In today\'s digital age, cyberattacks have become a common and constant threat to individuals and organizations alike. From phishing scams to malware attacks, cybercriminals are constantly finding new ways to exploit vulnerabilities and steal sensitive information. Ransomware is increasingly prevalent, with high-profile attacks targeting large organizations, government agencies, and healthcare systems. The consequences of a ransomware attack can be devastating, resulting in financial loss, reputational damage, and even the compromise of sensitive data. |
Ransomware Malware Vulnerability Threat Medical | ★★ | |
|
2024-10-02 23:11:05 | Miaou, fuite de miaule et le chaos de l'attribution des ransomwares Meow, Meow Leaks, and the Chaos of Ransomware Attribution (lien direct) |
## Snapshot Bitdefender released an overview of Meow, a group that first emerged in 2022, and Meow Leaks -- two likely related ransomware groups. ## Description Meow is classified as a ransomware group linked to the Conti malware family and operates under the Ransomware as a Service (RaaS) model. Meow primarily targets organizations in the U.S., U.K., Nigeria, and Italy, leveraging vulnerabilities and zero-days to deploy ransomware that appends the ".meow" extension to encrypted files. Though its operations were hampered by the release of a decryptor in 2023, Meow continues to pose a risk to organizations. There is ongoing debate over whether Meow is distinct from Meow Leaks, a group that surfaced in 2023. While Meow focuses on ransomware and encryption, Meow Leaks is primarily involved in data exfiltration, selling stolen information on the dark web. Meow Leaks\' victims are spread across multiple countries and sectors, including government, healthcare, education, and finance. Bitdefender assesses this shift in operational focus from encryption to pure data theft reflects a broader trend among ransomware groups, as exfiltration-only attacks offer reduced operational costs and increased profit potential. Meow Leaks denies any connection to Meow Corp or the Conti family, yet its tactics involve unauthorized data access and extortion without encryption. Researchers are still investigating the extent of collaboration between these groups, given the similarities in their extortion methods and goals. ## Microsoft Analysis Ransomware attackers often profit simply by cutting off access to critical systems and causing system downtime. Although that simple technique often motivates victims to pay, it is not the only way attackers can monetize their access to compromised networks. Exfiltration of data and “double extortion,” which refers to attackers threatening to leak data if a ransom has not been paid, has also become a common tactic among many RaaS affiliate programs-many of them offering a unified leak site for their affiliates. Attackers can also exfiltrate data and demand ransom without deploying a payload in extortion-only attacks. With double extortion, attackers do not need to deploy ransomware and cause downtime to extort money. Some attackers have moved beyond the need to deploy ransomware payloads and are shifting to extortion models or performing the destructive objectives of their attacks by directly deleting cloud resources. To learn more, read Microsoft\'s threat overview on [human-operated ransomware](https://security.microsoft.com/intel-explorer/articles/952e5e3d). ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. Check the recommendations card for the deployment status of monitored mitigations. - Read our [ransomware as a service blog](https://www.microsoft.com/security/blog/2022/05/09/ransomware-as-a-service-understanding-the-cybercrime-gig-economy-and-how-to-protect-yourself/#defending-against-ransomware) for advice on developing a holistic security posture to prevent ransomware, including credential hygiene and hardening recommendations. - Turn on [cloud-delivered protection](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-block-at-first-sight-microsoft-defender-antivirus) in Microsoft Defender Antivirus or the equivalent for your antivirus product to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a huge majority of new and unknown variants. - Turn on [tamper protection](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection) features to prevent attackers from stopping security services. - Run [endpoint detection and response (EDR) in block mode](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode) , so that Defender for Endpoint can block malicious artifacts, even when | Ransomware Malware Tool Vulnerability Threat Prediction Medical Cloud | ★★ | |
|
2024-10-01 21:12:53 | Gov \\ 't, systèmes informatiques judiciaires assaillis par des bogues de contrôle d'accès Gov\\'t, Judicial IT Systems Beset by Access Control Bugs (lien direct) |
Les mauvais contrôles de l'autorisation et la validation des entrées des utilisateurs sont endémiques pour les plateformes qui protègent les données légales, médicales et électorales des Américains.
Poor permission controls and user input validation is endemic to the platforms that protect Americans\' legal, medical, and voter data. |
Medical | ★★ | |
|
2024-10-01 13:29:09 | Ransomware Attack oblige le système de santé UMC pour détourner certains patients Ransomware attack forces UMC Health System to divert some patients (lien direct) |
Le fournisseur de soins de santé du Texas UMC Health System a été contraint de détourner certains patients vers d'autres endroits après qu'une attaque de ransomware a eu un impact sur ses opérations.[...]
Texas healthcare provider UMC Health System was forced to divert some patients to other locations after a ransomware attack impacted its operations. [...] |
Ransomware Medical | ★★ | |
|
2024-10-01 05:58:17 | Les ambulances sont toujours détournées alors que l'UMC fait face à l'incident de cybersécurité en cours Ambulances Still Diverted as UMC Faces Ongoing Cybersecurity Incident (lien direct) |
University Medical Center (UMC) est toujours aux prises avec les conséquences d'une attaque de ransomware qui s'est produite jeudi dernier.L'attaque a provoqué une panne informatique généralisée et a forcé le détournement de patients d'urgence et non urgente dans les installations voisines.Bien que certains services aient été rétablis, le plein impact de l'attaque reste incertain au fur et à mesure que l'hôpital travaille [...]
University Medical Center (UMC) is still grappling with the aftermath of a ransomware attack that occurred last Thursday. The attack caused a widespread IT outage and forced the diversion of emergency and non-emergency patients to nearby facilities. While some services have been restored, the full impact of the attack remains uncertain as the hospital works [...] |
Ransomware Medical | ★★ | |
|
2024-09-30 21:03:20 | Système hospitalier crucial du Texas éloignant les ambulances après une attaque de ransomware Crucial Texas hospital system turning ambulances away after ransomware attack (lien direct) |
Le système de santé du Centre médical universitaire à Lubbock, au Texas, a confirmé vendredi que des pannes sont causées par un incident de ransomware.
The University Medical Center Health System in Lubbock, Texas, confirmed on Friday that outages are being caused by a ransomware incident. |
Ransomware Medical | ★★ | |
|
2024-09-30 06:59:31 | Les deux tiers des organisations de soins de santé frappées par les ransomwares & # 8211;Une enquête Sophos de quatre ans révèle Two-Thirds of Healthcare Organizations Hit by Ransomware – A Four-Year High, Sophos Survey Finds (lien direct) |
Les deux tiers des organisations de soins de santé frappées par les ransomwares & # 8211;Un niveau supérieur de quatre ans, le Sophos Survey trouve
Près de 80% des organisations frappées par des ransomwares ont pris plus d'une semaine pour récupérer
-
Rapports spéciaux
/ /
affiche
Two-Thirds of Healthcare Organizations Hit by Ransomware – A Four-Year High, Sophos Survey Finds Nearly 80% of Organizations Hit by Ransomware Took More than a Week to Recover - Special Reports / affiche |
Ransomware Medical | ★★ | |
|
2024-09-26 21:19:39 | Systèmes de restauration du ministère de la Santé du Koweïai Kuwait Health Ministry restoring systems after cyberattack takes down hospitals, healthcare app (lien direct) |
Les pirates ont été empêchés d'atteindre des "bases de données essentielles", selon le ministère, mais il a fermé certains systèmes afin d'installer les mises à jour nécessaires.
The hackers were stopped from reaching "essential databases," according to ministry, but it shut down certain systems in order to install needed updates. |
Medical | ★★ | |
|
2024-09-26 20:57:40 | Le projet de loi du Sénat pousse les cyber mandats de l'industrie médicale dans le sillage du changement de la débâcle des soins de santé Senate bill pushes cyber mandates for medical industry in wake of Change Healthcare debacle (lien direct) |
Les hôpitaux et autres activités de santé seraient tenus d'adopter des normes de cybersécurité minimales et de faire face à des audits annuels en vertu d'une nouvelle législation introduite par deux sénateurs éminents.
Hospitals and other healthcare businesses would be required to adopt minimum cybersecurity standards and face annual audits under new legislation introduced by two prominent senators. |
Legislation Medical | ★★★ | |
|
2024-09-26 18:50:34 | Le projet de loi du Sénat regarde les normes minimales de cybersécurité pour l'industrie des soins de santé Senate bill eyes minimum cybersecurity standards for health care industry (lien direct) |
> La législation de Sens. Wyden et Warner se présentent à la suite de l'attaque de ransomware de février contre les soins de santé du changement.
>The legislation from Sens. Wyden and Warner comes in the aftermath of the February ransomware attack on Change Healthcare. |
Ransomware Legislation Medical | ★★ | |
 |
2024-09-26 13:00:00 | Ransomware en augmentation: les tendances d'attaque de l'industrie des soins de santé 2024 Ransomware on the rise: Healthcare industry attack trends 2024 (lien direct) |
> Selon le coût IBM d'un rapport de violation de données 2024, le coût moyen mondial d'une violation de données a atteint 4,88 millions de dollars cette année, une augmentation de 10% par rapport à 2023. Pour l'industrie des soins de santé, le rapport offre à la fois de bonnes et de mauvaises nouvelles.La bonne nouvelle est que les coûts moyens de violation de données ont chuté de 10,6% cette année.[& # 8230;]
>According to the IBM Cost of a Data Breach Report 2024, the global average cost of a data breach reached $4.88 million this year, a 10% increase over 2023. For the healthcare industry, the report offers both good and bad news. The good news is that average data breach costs fell by 10.6% this year. […] |
Ransomware Data Breach Medical | ★★ | |
|
2024-09-25 19:38:05 | 2024-09-23 Échantillons de rat à plusieurs étapes Snipbot RomCom 2024-09-23 SNIPBOT RomCom Multi-Stage RAT Samples (lien direct) |
Image gracieuseté de Palo Alto & nbsp; & nbsp; 2024-09-23 Palo Alto Unit42: Inside Snipbot: La dernière variante de logiciels malveillants RomCom & nbsp; Cette dernière version intègre de nouvelles techniques d'obscuscation et présente un post distinct-Activités d'infection non observées dans les variantes précédentes (RomCom 3.0 et Peapod / RomCom 4.0). Points clés: Capacités: Snipbot permet aux attaquants d'exécuter des commandes et de télécharger des modules supplémentaires sur le système de la victime. livré par e-mail contenant des liens qui redirigent vers le téléchargeur Snipbot.Clé de registre.explorateur.exe en utilisant le détournement com.Plus précisément, il enregistre la DLL malveillante ( keyprov.dll ) en tant que bibliothèque de caches de vigne> La charge utile principale, single.dll , écoute le port 1342 pour des commandes telles que la suppression des clés de registre, l'exécution( hkcu \ logiciel \ appdatasoft \ logiciel ) pour stocker les charges utiles cryptées et garder une trace des mises à jour. Command &Contrôle: contacte ses domaines C2 (par exemple, xeontime [.] Com ) pour télécharger les charges utiles.Cryptes les chaînes, y compris les noms de fonction du domaine C2 et de l'API, pour échapper à la détection. & nbsp; Télécharger.Envoyez-moi un e-mail si vous avez besoin du schéma de mot de passe. Informations sur le fichier ├sé 327087b063e89c376fd84d48af7b855E686936765876DA2433485D496CB3A4 P; ├── 57e59b156a3ff2a333075baef684f49c63069d296b3b0 | Data Breach Malware Medical | ★★ |
To see everything:
Our RSS (filtrered)
