What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-09-25 19:01:00 | (Déjà vu) Poser des questions médicales via MyChart?Votre médecin peut laisser répondre à l'IA Asking medical questions through MyChart? Your doctor may let AI respond (lien direct) |
Un portail de patients populaire utilise désormais un bot d'IA que des milliers d'entre nous que les médecins utilisaient pour écrire des messages aux patients.La divulgation est facultative.
A popular patient portal now employs an AI bot that thousands of US doctors use to write messages to patients. Disclosure is optional. |
Medical | ★★ | |
 |
2024-09-24 12:45:00 | 14 millions de patients touchés par les violations des données sur les soins de santé américaines en 2024 14 Million Patients Impacted by US Healthcare Data Breaches in 2024 (lien direct) |
Sonicwall a constaté que les violations de données causées par les attaques de logiciels malveillantes contre les organisations de santé américaines ont affecté 14 millions de personnes jusqu'à présent en 2024
SonicWall found that data breaches caused by malware attacks on US healthcare organizations have affected 14 million people so far in 2024 |
Malware Medical | ★★ | |
 |
2024-09-23 16:06:09 | Dark Web Sales Fuel 32% Augmentation des cyberattaques mondiales des soins de santé Dark Web Sales Fuel 32% Increase in Global Healthcare Cyberattacks (lien direct) |
Les organisations de soins de santé sont confrontées à une augmentation de 32% des cyberattaques, les données sensibles des patients vendues sur le Web Dark. & # 8230;
Healthcare organizations face a 32% surge in cyberattacks, with sensitive patient data being sold on the Dark Web.… |
Medical | ★★ | |
 |
2024-09-23 10:00:00 | Computation quantique et cybersécurité - Préparation d'une nouvelle ère de menaces Quantum Computing and Cybersecurity - Preparing for a New Age of Threats (lien direct) |
The content of this post is solely the responsibility of the author. LevelBlue does not adopt or endorse any of the views, positions, or information provided by the author in this article. Quantum computing is no longer just a distant technological breakthrough confined to research labs. It is quickly becoming a reality that will transform the digital landscape as we know it. Quantum computers utilize the principles of quantum mechanics to perform complex computations at unprecedented speeds. While this revolutionary computing power has the potential to solve problems that traditional computers cannot handle, it also poses a significant threat to modern cybersecurity practices. Currently, most data encryption systems rely on algorithms that are effective against classical computers. However, quantum computers can break through these encryption methods with relative ease, leading to a new and unprecedented era of vulnerability. This makes quantum computing a double-edged sword—unlocking new possibilities while simultaneously disrupting the security foundations of the digital economy. Many companies that store and transmit sensitive information, such as financial data, health records, or intellectual property, are particularly at risk. Even though quantum computers are not widely accessible yet, the data encrypted today could be harvested and decrypted in the future using quantum technology. This is why businesses must act now to prepare for the quantum future, ensuring they are not caught off guard when this technology becomes mainstream. Being proactive will safeguard data and strengthen cybersecurity systems against emerging threats. Understanding Quantum Risks The advent of quantum computing introduces a series of unprecedented risks to the current landscape of cybersecurity. While traditional cryptographic algorithms such as RSA and elliptic curve cryptography (ECC) have long been trusted to protect sensitive data, they are now under threat from quantum computers\' immense processing power. Quantum computing can break the mathematical problems that these encryption methods rely on, making them obsolete. | Vulnerability Threat Medical | ★★ | |
 |
2024-09-19 20:36:34 | Vice Society Pivots to Inc Ransomware in Healthcare Attack (lien direct) | Inc Ransomware - l'un des plus populaires parmi les cybercriminels aujourd'hui - rencontre les soins de santé, le secteur industriel le plus ciblé par les RAAS.
Inc ransomware - one of the most popular among cybercriminals today - meets healthcare, the industry sector most targeted by RaaS. |
Ransomware Medical | ★★ | |
 |
2024-09-19 19:33:09 | UnitedHealth Group CISO: Nous avons dû commencer \\ 'après un changement d'attaque de soins de santé UnitedHealth Group CISO: We had to \\'start over\\' after Change Healthcare attack (lien direct) |
> Steven Martin a détaillé les travaux qui se sont retrouvés pour se remettre de l'attaque de ransomware de février, soulignant que le bilan mental était la partie la plus difficile de tous.
>Steven Martin detailed the work that went into recovering from February\'s ransomware attack, emphasizing that the mental toll was the toughest part of all. |
Ransomware Medical | ★★ | |
 |
2024-09-19 16:30:00 | Le diagnostic des soins de santé est essentiel: le remède est l'hygiène de la cybersécurité Healthcare\\'s Diagnosis is Critical: The Cure is Cybersecurity Hygiene (lien direct) |
La cybersécurité dans les soins de santé n'a jamais été aussi urgente.En tant qu'industrie la plus vulnérable et la plus grande cible pour les cybercriminels, les soins de santé sont confrontés à une vague croissante de cyberattaques.Lorsqu'un système d'hôpital est détenu en otage par ransomware, ce n'est pas seulement les données à risque - c'est le soin des patients qui dépendent de traitements vitaux.Imaginez une attaque qui oblige les soins d'urgence à s'arrêter, les chirurgies
Cybersecurity in healthcare has never been more urgent. As the most vulnerable industry and largest target for cybercriminals, healthcare is facing an increasing wave of cyberattacks. When a hospital\'s systems are held hostage by ransomware, it\'s not just data at risk - it\'s the care of patients who depend on life-saving treatments. Imagine an attack that forces emergency care to halt, surgeries |
Ransomware Medical | ★★ | |
|
2024-09-19 15:42:00 | Microsoft met en garde contre les nouveaux ransomwares Inc ciblant le secteur des soins de santé américains Microsoft Warns of New INC Ransomware Targeting U.S. Healthcare Sector (lien direct) |
Microsoft a révélé qu'un acteur de menace à motivation financière a été observé en utilisant une souche de ransomware appelée Inc pour la première fois pour cibler le secteur des soins de santé aux États-Unis.
L'équipe de renseignement sur les menaces du géant de la technologie suit l'activité sous le nom de Vanilla Tempest (anciennement Dev-0832).
"Vanilla Tempest reçoit des transferts des infections de Gootloader par l'acteur de menace Storm-0494,
Microsoft has revealed that a financially motivated threat actor has been observed using a ransomware strain called INC for the first time to target the healthcare sector in the U.S. The tech giant\'s threat intelligence team is tracking the activity under the name Vanilla Tempest (formerly DEV-0832). "Vanilla Tempest receives hand-offs from GootLoader infections by the threat actor Storm-0494, |
Ransomware Threat Medical | ★★ | |
 |
2024-09-17 17:34:31 | Les données de la RCR rapportent que 32% une augmentation cette année, car le secteur mondial des soins de santé fait face à une augmentation des cyberattaques CPR data reports 32% rise this year, as global healthcare sector faces surge in cyberattacks (lien direct) |
Selon les nouvelles données de Check Point Research (RCR) de janvier à septembre 2024, la moyenne hebdomadaire mondiale ...
According to new data from Check Point Research (CPR) for January to September 2024, the global weekly average... |
Studies Industrial Medical | ★★★ | |
 |
2024-09-17 13:00:31 | Les cyber-prédateurs ciblent les victimes vulnérables: les pirates hôpitaux chantage, échangez les données des patients et recherchent des partenaires via des annonces Darknet Cyber predators target vulnerable victims: Hackers blackmail hospitals, trade patient data and find partners through darknet ads (lien direct) |
> Dans un monde de criminalité, n'attendez aucune pitié.La cybercriminalité va dur après son objectif, ce qui est le plus souvent un gain financier.Les pirates choisissent leurs victimes en conséquence, où ils sont les plus susceptibles de réussir et où se trouvent les données les plus précieuses.Il n'est donc pas surprenant que la troisième cible la plus courante des cyberattaques soit les soins de santé.Selon les données de Check Point Research (RCR), à partir de janvier & # 8211;Septembre 2024, le nombre moyen mondial d'attaques par organisation dans l'industrie de la santé était de 2 018, ce qui représente une augmentation de 32%, par rapport à la même période de l'année dernière.Partout dans le monde, les organisations de soins de santé [& # 8230;]
>In a world of crime, expect no mercy. Cybercrime goes hard after its goal, which is most often financial gain. Hackers choose their victims accordingly, where they are most likely to succeed and where the most valuable data is located. It is therefore not surprising that the third most common target of cyber attacks is healthcare. According to data from Check Point Research (CPR), from January – September 2024, the global weekly average number of attacks per organization within the healthcare industry was 2,018, representing a 32% increase, compared to the same period last year. Around the world, healthcare organisations […] |
Medical | ★★ | |
|
2024-09-13 12:30:00 | Enregistrer 65 millions de dollars de règlement pour les photos des patients piratés Record $65m Settlement for Hacked Patient Photos (lien direct) |
Plus de 600 patients et employés de Lehigh Valley Health Network en Pennsylvanie ont fait pirater et publié leurs photos de dossiers médicaux sur Internet
Over 600 patients and employees of Lehigh Valley Health Network in Pennsylvania had their medical record photos hacked and posted on the internet |
Medical | ★★★ | |
|
2024-09-12 09:21:54 | La CISA prévient les vulnérabilités ICS dans Viessmann, ININET, Rockwell Automation, BPL Medical Technologies CISA warns of ICS vulnerabilities in Viessmann, iniNet, Rockwell Automation, BPL Medical Technologies (lien direct) |
> L'Agence américaine de sécurité de la cybersécurité et de l'infrastructure (CISA) a publié mardi quatre avis ICS (systèmes de contrôle industriel), fournissant ...
>The U.S. Cybersecurity and Infrastructure Security Agency (CISA) published four ICS (industrial control systems) advisories on Tuesday, providing... |
Vulnerability Industrial Medical | ★★★★ | |
 |
2024-09-12 08:45:36 | Fournisseur de soins de santé pour payer 65 millions de dollars de règlement après une attaque de ransomware Healthcare Provider to Pay $65M Settlement Following Ransomware Attack (lien direct) |
> Lehigh Valley Health Network a accepté de payer un règlement de 65 millions de dollars dans une recours collective déposée contre une violation de données de 2023.
>Lehigh Valley Health Network has agreed to pay a $65 million settlement in a class-action suit filed over a 2023 data breach. |
Ransomware Data Breach Medical | ★★★ | |
 |
2024-09-12 02:24:17 | Géant de la santé pour payer 65 millions de dollars de règlement après que Crooks a volé et divulgué des photos de patients nues Healthcare giant to pay $65M settlement after crooks stole and leaked nude patient pics (lien direct) |
Le paiement d'une rançon - ou d'une meilleure sécurité - aurait-il été moins cher et plus sûr? Un géant des soins de santé américain versera 65 millions de dollars pour régler un recours collectif intenté par ses propres patients après que des escrocs ransomwares aient volé des escrocsleurs données & # 8211;y compris leurs photographies nues & # 8211;et publié au moins certains d'entre eux en ligne.…
Would paying a ransom - or better security - have been cheaper and safer? A US healthcare giant will pay out $65 million to settle a class-action lawsuit brought by its own patients after ransomware crooks stole their data – including their nude photographs – and published at least some of them online.… |
Ransomware Medical | ★★★ | |
 |
2024-09-11 20:20:08 | NoName ransomware gang deploying RansomHub malware in recent attacks (lien direct) | ## Instantané Le gang de ransomware non-Aame, actif depuis au moins 2020, a récemment déployé un ransomware personnalisé appelé Scransom.Bien que relativement non sophistiqué, Scransom a été utilisé pour cibler les petites et moyennes entreprises (PME) dans le monde, les chercheurs ESET notant une connexion possible entre le non-AME et le groupe Ransomware-as-a-Service (RAAS). ## Description Noname utilise des outils personnalisés de la famille des logiciels malveillants SpaceColon, qui sont déployés après avoir accédé à l'accès au réseau via des attaques par force brute ou en exploitant des vulnérabilités plus anciennes comme Eternalblue ([CVE-2017-0144] (https://sip.security.microsoft.com/ https://sip.security.microsoft.com/Intel-Explorer / Cves / CVE-2017-0144 /)) et Zerologon ([CVE-2010-1472] (https://sip.security.microsoft.com/intel-profiles/cve-2020-1472)).CosmicBeetle a également usuré Lockbit en tirant parti du constructeur de verrouillage divulgué pour générer des ransomwares personnalisés et imiter sa marque.Dans des attaques plus récentes, NonAME a remplacé son Scarab Encryptor par Scransom. ESET a suivi le gang de non-Aame, également connu sous le nom de CosmicBeetle, depuis 2023, notant la montée en puissance de Scransom, un malware de cryptage de fichiers basé à Delphi.Malgré sa simplicité par rapport à d'autres ransomwares, Scransom continue d'évoluer, avec une interface utilisateur graphique structurée (GUI) et des modes de chiffrement partiels, dont un qui efface de façon irréversiblement des segments de fichiers.Son schéma de chiffrement est passé de AES-CTR-128 de base à une combinaison plus complexe de RSA-1024 et AES-CTR-128, et il tue également les processus pendant le chiffrement, avec un ajout récent d'un outil de tueurs de processus autonome, Sckill. Les chercheurs de l'ESET croient que Cosmicbeetle peut être devenu un affilié de RansomHub, citant des modèles d'attaque similaires et des ensembles d'outils partagés.La télémétrie ESET a révélé que CosmicBeetle a déployé EDR Killer de RansomHub \\ après que ses propres outils ne compromettent pas une cible, renforçant la connexion possible. Les attaques de non-AME \\ se concentrent en grande partie sur les PME dans divers secteurs, avec des victimes, notamment celles de la fabrication, des soins de santé et du gouvernement, en particulier dans des régions ayant des pratiques de gestion des patchs plus faibles. ### Analyse supplémentaire RansomHub, un nouveau ransomware en tant que service (RAAS), est rapidement devenu une menace majeure de ransomware.Selon Microsoft Threat Intelligence et O [Ther Security Researchers) (https://sip.security.microsoft.com/intel-explorer/articles/57d133ec), RansomHub Ransomware a évolué et renommé à partir de Ransomware de Knight, après que le gang de ransomware de Knight a vendu sonCode source en février 2024. En août 2024, [analystes Sophos identifiés] (https://sip.security.microsoft.com/intel-explorer/articles/f5878aee) une nouvelle utilité Edr-Killing associée à RansomHub.L'outil EDR-Killing est conçu pour résilier le logiciel de protection des points de terminaison et est un chargeur exécutable (également connu sous le nom de «Treat votre propre pilote vulnérable» ou outil BYOVD). ## Recommandations Pour un guide de sécurité holistique pour la défense contre les ransomwares, qui peuvent également limiter de nombreux autres attaquants motivés, reportez-vous au profil d'aperçu des menaces de Microsoft \\ sur [Ransomware à hume] (https://security.microsoft.com/thereatanalytics3/05658b6c-dc62-496d-ad3c-c6a795a33c27/analystreport). Microsoft recommande ce qui suitatténuations pour réduire l'impact des menaces de ransomware. - Appliquez immédiatement les mises à jour de sécurité pour [CVE-2020-1472] (https://msrc.microsoft.com/update-guide/vulnerabilité/CVE-2020-1472).Vérifiez le portail de gestion des menaces et de la vulnérabilité pour le statut de c | Ransomware Malware Tool Vulnerability Threat Patching Medical | ★★ | |
|
2024-09-10 00:52:06 | Les cyber-acteurs militaires russes ciblent les infrastructures critiques américaines et mondiales Russian Military Cyber Actors Target US and Global Critical Infrastructure (lien direct) |
## Snapshot The US Cybersecurity and Infrastructure Security Agency (CISA) published an advisory on Unit 29155, a Russian GRU military cyber unit, to provide updated information on the group\'s targeting priorities, tactics, techniques, and procedures (TTPs), mitigations, and IOCs. Unit 29155 overlaps with the group the Microsoft tracks as [Cadet Blizzard](https://sip.security.microsoft.com/intel-profiles/7980e315a8a86d56985f042666d1d48d8baa2d9db4ef3cacd3800591dd7500a5), also known as Ember Bear, Bleeding Bear, and Frozenvista. ## Description Unit 29155 has been conducting cyber operations since at least 2020, targeting sectors such as government services, financial services, transportation, energy, and healthcare in NATO members, EU countries, and nations in Latin America and Central Asia. The unit has deployed the [WhisperGate](https://www.microsoft.com/en-us/security/blog/2022/01/15/destructive-malware-targeting-ukrainian-organizations/) malware against Ukrainian organizations since January 2022, which is a two-stage attack that corrupts the master boot record and encrypts files, distributed via Discord accounts. Unit 29155\'s activities include espionage, sabotage, reputational harm through data leaks, and sabotage by data destruction. The unit\'s TTPs involve using publicly available tools like Acunetix, Amass, Nmap, and Shodan for reconnaissance and vulnerability exploitation, and they have exploited a range of vulnerabilities, including CVE-2020-1472, CVE-2021-26084, CVE-2021-3156, CVE-2021-4034, CVE-2022-27666, and others for initial access. For lateral movement, they have used techniques such as exploiting default credentials in IoT devices, Pass-the-Hash, and tools like Impacket. Their command and control infrastructure employs VPSs, DNS tunneling tools, and ProxyChains to maintain anonymity and route traffic through proxies. The unit has also been observed targeting victims\' Microsoft OWA infrastructure through password spraying, exploiting vulnerable IP cameras, and exfiltrating data using tools like Rclone to cloud storage services. ## Microsoft Analysis Microsoft has been tracking Cadet Blizzard alongside other Russian threat actors who employ destructive attacks to support Moscow\'s political and military objectives. Russian threat actors\' continued use of destructive attacks in both Ukraine and other countries over a span of several years demonstrate continual adaptation to an ever-changing landscape of defensive measures in security solutions, uniquely diverse target environments, and increased visibility and awareness by the greater security industry. The nature of these destructive attacks against Ukraine reached a peak in sophistication in 2022, as seen in the use of [WhisperGate](https://www.microsoft.com/en-us/security/blog/2022/01/15/destructive-malware-targeting-ukrainian-organizations/) ransomware-style destructive attacks conducted by [Cadet Blizzard](https://sip.security.microsoft.com/intel-profiles/7980e315a8a86d56985f042666d1d48d8baa2d9db4ef3cacd3800591dd7500a5), [Prestige](https://www.microsoft.com/en-us/security/blog/2022/10/14/new-prestige-ransomware-impacts-organizations-in-ukraine-and-poland/) ransomware-style destructive attacks conducted by Seashell Blizzard, and the use of [FoxBlade](https://blogs.microsoft.com/on-the-issues/2022/02/28/ukraine-russia-digital-war-cyberattacks/) (also known as HermeticWiper), AprilAxe/CaddyWiper, and Sullivan ransomware-style destructive attacks by Russian-aligned threat actors. Read more about Russia\'s destructive cyber attacks in Ukraine [here](https://sip.security.microsoft.com/intel-explorer/articles/6dd6a218). ## Recommendations Activities linked to Cadet Blizzard indicate that they are comprehensive in their approach and have demonstrated an ability to hold networks at risk of continued compromise for an extended period of time. A comprehensive approach to incident response may be required in order to fully remediate from Cadet Blizzard operations. Organizations can bolster | Malware Tool Vulnerability Threat Medical Cloud | ★★★ | |
|
2024-09-09 17:09:16 | La CISA émet des conseils ICS mettant en évidence les vulnérabilités dans les systèmes d'infrastructure critiques, les dispositifs médicaux CISA issues ICS advisories highlighting vulnerabilities in critical infrastructure systems, medical devices (lien direct) |
> L'Agence américaine de sécurité de cybersécurité et d'infrastructure (CISA) a publié quatre avis concernant les systèmes de contrôle industriel (ICS), y compris ...
>The U.S. Cybersecurity and Infrastructure Security Agency (CISA) has issued four advisories concerning industrial control systems (ICS), including... |
Vulnerability Industrial Medical | ★★★ | |
|
2024-09-09 16:00:00 | Pulse SaaS de sécurité des ailes: sécurité continue et aperçus exploitables - gratuitement Wing Security SaaS Pulse: Continuous Security & Actionable Insights - For Free (lien direct) |
Conçu pour être plus qu'une évaluation unique - la sécurité de Wing \'s SaaS Pulse fournit aux organisations des idées exploitables et une surveillance continue de leur posture de sécurité SaaS et elle est libre!
Présentation de SAAS Pulse: Gestion des risques SaaS continue gratuits et NBSP;
Tout comme attendre qu'un problème médical devienne critique avant de voir un médecin, les organisations ne peuvent se permettre de négliger constamment
Designed to be more than a one-time assessment- Wing Security\'s SaaS Pulse provides organizations with actionable insights and continuous oversight into their SaaS security posture-and it\'s free! Introducing SaaS Pulse: Free Continuous SaaS Risk Management Just like waiting for a medical issue to become critical before seeing a doctor, organizations can\'t afford to overlook the constantly |
Medical Cloud | ★★ | |
|
2024-09-09 11:04:46 | Faits saillants hebdomadaires OSINT, 9 septembre 2024 Weekly OSINT Highlights, 9 September 2024 (lien direct) |
## Snapshot Last week\'s OSINT reporting highlights a broad spectrum of cyber threats with notable trends in malware campaigns, espionage, and ransomware attacks. Phishing remains a dominant attack vector, delivering a variety of payloads like custom backdoors, infostealers, and ransomware. Nation-state actors such as Russia\'s APT29 (Midnight Blizzard) and China\'s Earth Lusca were prominent, focusing on espionage and targeting specific regions like East Asia and the Middle East. Other notable threats included the use of deepfakes for scam campaigns and the exploitation of unpatched vulnerabilities in widely used software like Microsoft Office and WPS Office. The targeting of organizations ranged from government entities to private sector businesses, with some attacks focusing on specific industries like finance, healthcare, and technology. ## Description 1. [Unique Malware Campaign \'Voldemort\'](https://sip.security.microsoft.com/intel-explorer/articles/3cc65ab7): Proofpoint researchers uncovered a phishing campaign distributing custom malware via emails impersonating tax authorities across multiple countries. The malware, likely motivated by espionage, uses advanced techniques like abusing Google Sheets for command-and-control (C2) to avoid detection. 2. [Python-Based Infostealer \'Emansrepo\'](https://sip.security.microsoft.com/intel-explorer/articles/94d41800): FortiGuard Labs identified Emansrepo, a Python-based infostealer targeting browser data and files via phishing emails. The malware has evolved into a sophisticated multi-stage tool, expanding its capabilities to steal sensitive data like cryptocurrency wallets. 3. [Deepfake Scams Using Public Figures](https://sip.security.microsoft.com/intel-explorer/articles/6c6367c7): Palo Alto Networks researchers discovered deepfake scams impersonating public figures to promote fake investment schemes. These scams, involving a single threat actor group, target global audiences with AI-generated videos hosted on domains with significant traffic. 4. [Zero-Day Vulnerabilities in WPS Office](https://sip.security.microsoft.com/intel-explorer/articles/f897577d): ESET researchers identified two zero-day vulnerabilities in Kingsoft WPS Office exploited by the APT-C-60 group. The vulnerabilities allowed attackers to execute arbitrary code in targeted East Asian countries, using malicious documents to deliver a custom backdoor. 5. [KTLVdoor Malware Campaign](https://sip.security.microsoft.com/intel-explorer/articles/222628fc): Trend Micro uncovered KTLVdoor, a highly obfuscated backdoor developed by Earth Lusca, targeting Windows and Linux systems. The malware allows attackers to fully control infected systems and is primarily linked to Chinese-speaking actors. 6. [Fake Palo Alto GlobalProtect Tool](https://sip.security.microsoft.com/intel-explorer/articles/22951902): Trend Micro identified a campaign targeting Middle Eastern organizations with a fake version of Palo Alto GlobalProtect. The malware executes remote PowerShell commands and exfiltrates files while masquerading as a legitimate security solution. 7. [APT29 Targets Mongolian Government Websites](https://sip.security.microsoft.com/intel-explorer/articles/12b5ac31): Google TAG discovered that Russian APT29 used iOS and Chrome exploits to target Mongolian government websites. The attack, linked to commercial surveillance vendors, involved watering hole attacks to steal authentication cookies from targeted users. 8. [MacroPack-Abused Malicious Documents](https://sip.security.microsoft.com/intel-explorer/articles/cd8dec3b): Cisco Talos found malicious documents leveraging MacroPack to deliver payloads like Havoc and PhantomCore RAT. These documents used obfuscated macros and lures in multiple languages, complicating attribution to any single threat actor. 9. [Underground Ransomware by RomCom Group](https://sip.security.microsoft.com/intel-explorer/articles/e2a44c7c): FortiGuard Labs identified the Underground ransomware targeting Windows systems, deployed by the Russia-based RomCom | Ransomware Malware Tool Vulnerability Threat Prediction Medical Commercial | APT 38 APT 29 | ★★ |
|
2024-09-06 19:44:38 | CISA Flags ICS Bugs in Baxter, Mitsubishi Products (lien direct) | Les vulnérabilités affectent la technologie de contrôle industriel utilisée dans les secteurs de la santé et de la fabrication critique.
The vulnerabilities affect industrial control tech used across the healthcare and critical manufacturing sectors. |
Vulnerability Industrial Medical | ★★ | |
|
2024-09-06 17:13:08 | Le serveur mal conçu de l'AI firme \\ a exposé 5,3 TB des dossiers de santé mentale AI Firm\\'s Misconfigured Server Exposed 5.3 TB of Mental Health Records (lien direct) |
Un serveur mal configuré d'une entreprise de santé d'IA basée aux États-Unis Confident Health a exposé 5,3 To de la santé mentale sensible & # 8230;
A misconfigured server from a US-based AI healthcare firm Confidant Health exposed 5.3 TB of sensitive mental health… |
Medical | ★★ | |
|
2024-09-06 14:59:38 | Tropic Trooper spies on government entities in the Middle East (lien direct) | #### Targeted Geolocations - Malaysia - Middle East #### Targeted Industries - Government Agencies & Services ## Snapshot Researchers at SecureList by Kapersky released a report on the recent activities of Tropic Trooper. ## Description Tropic Trooper, also known as KeyBoy and Pirate Panda, is an advanced persistent threat (APT) group that has been active since 2011. Historically, they have targeted sectors like government, healthcare, transportation, and high-tech industries in Taiwan, the Philippines, and Hong Kong. Recently, in 2024, the group shifted focus to a government entity in the Middle East, particularly targeting one involved in human rights studies, suggesting a new strategic direction. This intrusion was first noticed in June 2024 when a modified variant of the China Chopper web shell was detected on a public server running Umbraco CMS. This web shell was deployed as a .NET module within the CMS, allowing the group to execute commands and maintain persistence. SecureList observed exploitation attempts of several older CVEs in Microsoft Exchange ([CVE-2021-34473](https://security.microsoft.com/intel-profiles/CVE-2021-34473), [CVE-2021-34523](https://security.microsoft.com/intel-explorer/cves/CVE-2021-34523/), and [CVE-2021-31207](https://security.microsoft.com/intel-profiles/CVE-2021-31207)) and one in Adobe ColdFusion ([CVE-2023-26360](https://security.microsoft.com/intel-explorer/cves/CVE-2023-26360/)), making the company moderately confident that these webshells were delivered by exploiting unpatched vulnerabilities. Further investigation revealed multiple malware sets on the compromised server, including post-exploitation tools like Fscan, Swor, and Neo-reGeorg, which were likely used for network scanning, lateral movement, and evading security controls. Additionally, new DLL search-order hijacking techniques were identified, involving malicious DLLs such as Crowdoor loader. This loader was used to execute CobaltStrike payloads and maintain persistence. When the initial Crowdoor loader was blocked, the attackers deployed a new variant with similar capabilities. The activity was confidently attributed by SecureList to Tropic Trooper, based on overlaps with previous campaigns, including the use of specific tools and tactics. The tools and malware used were mainly open-source, maintained by Chinese-speaking developers, and consistent with Tropic Trooper\'s modus operandi. This campaign underscores Tropic Trooper\'s evolving tactics and their continued focus on espionage against government entities. ## Microsoft Analysis ProxyShell is a set of three Microsoft Exchange vulnerabilities discovered by security researcher Orange Tsai and disclosed at the BlackHat Security Conference and via the [Zero Day Initiative blog](https://www.zerodayinitiative.com/blog/2021/8/17/from-pwn2own-2021-a-new-attack-surface-on-microsoft-exchange-proxyshell). Chaining these vulnerabilities can result in unauthenticated arbitrary remote code execution on a device running Microsoft Exchange Server, and individual use of CVE-2021-31207 can lead to post authentication arbitrary code execution. ## Recommendations Apply these mitigations to reduce the impact of this threat. Check the recommendations card for the deployment status of monitored mitigations. - Apply the [latest Security Update](https://techcommunity.microsoft.com/t5/exchange-team-blog/bg-p/Exchange) for Microsoft Exchange Server. This update includes the fixes for all three vulnerabilities in this report. - Initiate containment and mitigation: Identify the credentials used on the affected endpoint and consider all associated accounts compromised. Reset passwords or decommission the accounts. Stop suspicious processes and isolate affected devices. Block communication with relevant URLs or IPs at the organizations perimeter. Investigate the device timeline for indications of lateral movement, credential access, and other attack activities. - Check for possible | Malware Tool Vulnerability Threat Studies Medical Conference | ★★★ | |
 |
2024-09-06 07:02:16 | Tropic Trooper développe le ciblage: entité du gouvernement du Moyen-Orient frappé en cyberattaque stratégique Tropic Trooper Expands Targeting: Middle East Government Entity Hit in Strategic Cyber Attack (lien direct) |
Kaspersky a découvert qu'un groupe avancé de menace persistante (APT), Tropic Trooper, également connu sous le nom de Keyboy et Pirate Panda, a été lié à une série d'attaques ciblées contre une entité gouvernementale au Moyen-Orient.Il s'agit d'une expansion stratégique pour le groupe, qui s'est toujours concentrée sur des secteurs comme le gouvernement, les soins de santé, les transports et [...]
Kaspersky has discovered that an advanced persistent threat (APT) group, Tropic Trooper, also known as KeyBoy and Pirate Panda, has been linked to a series of targeted attacks on a government entity in the Middle East. This is a strategic expansion for the group, which has historically focused on sectors like government, healthcare, transportation, and [...] |
Threat Medical | ★★ | |
|
2024-09-05 23:21:52 | RansomHub affirme Planned Parenthood Hack, vole 93 Go de données sensibles RansomHub Claims Planned Parenthood Hack, Steals 93GB of Sensitive Data (lien direct) |
RansomHub prétend avoir violé Intermountain Planned Parenthood, volant 93 Go de données.Le fournisseur de soins de santé enquête sur le & # 8230;
RansomHub claims to have breached Intermountain Planned Parenthood, stealing 93GB of data. The healthcare provider is investigating the… |
Hack Medical | ★★★ | |
 |
2024-09-05 17:23:20 | Comment la dépassement de l'EDR échoue les prestataires de soins de santé How Overreliance on EDR is Failing Healthcare Providers (lien direct) |
Les attaques de ransomwares ont un impact profond sur les organisations de soins de santé, s'étendant bien au-delà des pertes financières et du sommeil perturbé du personnel et des actionnaires.Une étude de l'école de santé publique de l'Université du Minnesota soulignée par la HIPAA ...
Ransomware attacks have a profound impact on healthcare organizations, extending well beyond financial losses and the disrupted sleep of staff and shareholders. A University of Minnesota School of Public Health study highlighted by The HIPAA... |
Ransomware Studies Medical | ★★★ | |
|
2024-09-03 13:33:53 | 2024-09-02 ABYSS Ransomware Windows et Linux Samples 2024-09-02 ABYSS Ransomware Windows and Linux Samples (lien direct) |
Ransomware Vulnerability Medical | ★★ | ||
|
2024-09-02 19:54:58 | Faits saillants hebdomadaires OSINT, 2 septembre 2024 Weekly OSINT Highlights, 2 September 2024 (lien direct) |
## Instantané La semaine dernière, les rapports OSINT de \\ ont mis en évidence un ensemble diversifié de cybermenaces et de méthodologies d'attaque dans plusieurs secteurs et géographies.Les principales tendances comprenaient la sophistication croissante des campagnes de phishing, telles que celles qui tirent parti des logiciels malveillants multiplateformes comme le voleur Cheana et des tactiques innovantes comme le quai via des codes QR.Le déploiement de balises de Cobaltsstrike, les techniques d'injection du gestionnaire de l'Appdomain et l'abus de services légitimes comme Microsoft Sway, les tunnels Cloudflare et les outils de gestion à distance ont également présenté en bonne place, soulignant l'évolution de la boîte à outils des cybercriminels et des acteurs parrainés par l'État.Les entités ciblées s'étendaient sur des industries, notamment les finances, le gouvernement, les soins de santé et les infrastructures critiques, les attaquants utilisant fréquemment des mécanismes de persistance avancés, exploitant des vulnérabilités zéro-jours et en utilisant des ransomwares dans des schémas à double extorsion. ## Description 1. [Utilisateurs coréens ciblés avec des logiciels malveillants à distance] (https://sip.security.microsoft.com/intel-explorer/articles/b920e285): Ahnlab Security Intelligence Center (ASEC) a découvert une cyberattaque ciblant les utilisateurs coréens, où un inconnu Intelligence Center (ASEC) a découvert une cyberattaque ciblant les utilisateurs coréens, où un inconnu Intelligence Center (ASEC) a découvert une cyberattaque ciblant les utilisateurs coréens, où un inconnu Intelligence Center (ASEC) a découvert une cyberattaque ciblant les utilisateurs coréens, lorsqu'un inconnuL'attaquant a déployé des logiciels malveillants à distance, y compris l'asyncrat, et des délais personnalisés comme FXFDOOR et NOMU.L'attaque, potentiellement liée au groupe nord-coréen Kimsuky, s'est concentrée sur le vol d'informations, avec un spearphishing et des vulnérabilités dans IIS et MS Exchange comme points d'entrée possibles. 2. [Campagne de phishing déguisée en sondage RH cible Office 365 Contaliens] (https://sip.security.microsoft.com/intel-explorer/articles/9431aa5a): les chercheurs de Cofense ont identifié une attaque de phishing qui s'est présentée comme un engagement en milieu d'annéeEnquête pour voler les informations d'identification Microsoft Office 365.L'attaque a utilisé un faux e-mail RH réalisant des destinataires vers une page hébergée par Wufoo, conduisant finalement à une page de connexion frauduleuse Microsoft conçue pour récolter les informations d'identification. 3. [Campagne de phishing multiplateforme avec Cheana Stealer] (https://sip.security.microsoft.com/intel-explorer/articles/69d7b49e): Cyble Research and Intelligence Lab (CRIL) a découvert une campagne de phishing ciblant les fenêtres, Linuxet les utilisateurs de macOS avec Cheana Stealer malware, distribué via un site imitant un fournisseur VPN.Les logiciels malveillants visaient à voler des portefeuilles de crypto-monnaie, des mots de passe du navigateur et des clés SSH, en tirant parti d'un canal télégramme pour une distribution généralisée, mettant en évidence les attaquants \\ 'se concentrer sur le compromis de divers systèmes. 4. [Vulnérabilité zéro-jour dans Versa Director exploité par APT] (https://sip.security.microsoft.com/intel-explorer/articles/1af984be): Versa Networks a identifié une vulnérabilité zéro-jour (CVE-2024-39717) Dans le directeur de l'interface graphique de Versa, exploité par un acteur apt pour télécharger des fichiers malveillants déguisés en images PNG.L'attaque a été facilitée par un mauvais durcissement du système et des ports de gestion exposés, ciblant les clients qui n'ont pas réussi à sécuriser correctement leur environnement. 5. [Mallox Ransomware Exploits Cloud Misconfiguration](https://sip.security.microsoft.com/intel-explorer/articles/d9af6464): Trustwave investigated a Mallox | Ransomware Malware Tool Vulnerability Threat Mobile Medical Cloud | APT 41 APT 32 | ★★ |
|
2024-09-02 19:03:00 | Le groupe RansomHub Ransomware cible 210 victimes dans les secteurs critiques RansomHub Ransomware Group Targets 210 Victims Across Critical Sectors (lien direct) |
Les acteurs de la menace liés au groupe RansomHub Ransomware ont crypté et exfiltré des données d'au moins 210 victimes depuis sa création en février 2024, a déclaré le gouvernement américain.
Les victimes couvrent divers secteurs, notamment l'eau et les eaux usées, les technologies de l'information, les services gouvernementaux et les installations, les soins de santé et la santé publique, les services d'urgence, l'alimentation et l'agriculture, les services financiers,
Threat actors linked to the RansomHub ransomware group encrypted and exfiltrated data from at least 210 victims since its inception in February 2024, the U.S. government said. The victims span various sectors, including water and wastewater, information technology, government services and facilities, healthcare and public health, emergency services, food and agriculture, financial services, |
Ransomware Threat Medical | ★★ | |
|
2024-08-29 14:25:55 | Le projet de loi du Sénat pour protéger les données sur les soins de santé obtient un partenaire de la Chambre Senate bill to protect health care data gets House partner (lien direct) |
> La loi sur la cybersécurité des soins de santé appelle à la CISA et au HHS à collaborer à la défense des établissements de santé des cyber-incidents.
>The Healthcare Cybersecurity Act calls on CISA and HHS to collaborate on defending health facilities from cyber incidents. |
Medical | ★★ | |
|
2024-08-28 21:59:39 | (Déjà vu) Peaufiner asyncrat: les attaquants utilisant Python et TryCloudflare pour déployer des logiciels malveillants Tweaking AsyncRAT: Attackers Using Python and TryCloudflare to Deploy Malware (lien direct) |
## Instantané Un [asyncrat] (https://security.microsoft.com/intel-profiles/e9216610feb409dfb620b28e510f2ae2582439dfc7c7e265815ff1a77601676))La campagne de logiciels malveillants observée par X-Labs de Forcepoint \\ utilise des techniques innovantes pour infiltrer les systèmes Windows et voler des données sensibles. ## Description Cette campagne offre des charges utiles malveillantes via le service de tunnel rapide TryCloudflare et les packages Python, exploitant une infrastructure de tunnel temporaire qui permet un accès à distance.Les attaquants distribuent les logiciels malveillants via des e-mails de phishing avec des pièces jointes HTML qui utilisent le protocole URI "Search-MS" pour déclencher des téléchargements de fichiers LNK malveillants à partir du serveur WebDAV TryCloudflare.Cliquez sur ces fichiers LNK initie une chaîne de téléchargements, en commençant par un fichier BAT exécuté par PowerShell, qui télécharge et exécute davantage des scripts obscurcis et des packages Python. Les scripts Python téléchargés utilisent des CTYPES pour injecter du code malveillant dans des processus légitimes comme Notepad.exe pour maintenir la persistance et se connecter à divers serveurs de commande et de contrôle (C2).Les scripts affichent également de fausses PDF de facture pour tromper les victimes et les activités malveillantes obscures.Les attaquants ont ciblé des industries telles que les soins de santé, les voyages et les services bancaires, exploitant la fonctionnalité "Search-MS" et tirant parti des infrastructures temporaires à faible coût pour leurs opérations. ## Analyse Microsoft Asyncrat est un outil d'accès à distance (RAT) qui permet à un utilisateur de contrôler un ordinateur distant.Il est conçu pour échapper à la détection et est souvent utilisé par les attaquants pour obtenir un accès non autorisé à un système de victime.Asyncrat est écrit en .NET et est capable d'exécuter sur les machines Windows.Il peut effectuer diverses activités malveillantes telles que le keylogging, le vol de fichiers et le déploiement des ransomwares.Son nom provient de son utilisation de techniques de programmation asynchrones, qui lui permettent d'effectuer plusieurs tâches simultanément sans bloquer le fil principal du programme \\. Lire Microsoft \'s [Profil d'outil sur asyncrat] (https: //security.microsoft.com/intel-profiles/E9216610FEB409DFB620B28E510F2AE2582439DFC7C7E265815FF1A776016776) Pour en savoir plus. ## Détections / requêtes de chasse ### Microsoft Defender Antivirus MiMicrosoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Trojan: html / phish! Mtb] (https://www.microsoft.com/en-us/wdsi / menaces / malware-secdcopedia-description? name = trojan: html / phish! mtb) - [Trojan: Python / Malgen! ## Recommandations MicroRosoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécuter [EDR en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=Magicti_TA_LearnDoc)Le défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Autoriser [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-in | Ransomware Malware Tool Threat Medical | ★★★ | |
|
2024-08-26 10:00:00 | Les risques cachés de l'Internet des corps (IOB): cybersécurité dans les appareils de santé The Hidden Risks of Internet of Bodies (IoB): Cybersecurity in Healthcare Devices (lien direct) |
The content of this post is solely the responsibility of the author. LevelBlue does not adopt or endorse any of the views, positions, or information provided by the author in this article. The Internet of Bodies, or IoB, represents a groundbreaking shift in the healthcare industry, connecting vital health management devices like pacemakers, insulin pumps, and health monitors to the Internet. While these advancements come with many remarkable benefits, they also expose these essential devices to new cybersecurity vulnerabilities. To help prepare for this remarkable shift, this article addresses the potential risks of IoB devices, highlighting the important intersection and interplay of healthcare and cybersecurity. An Introduction to the Internet of Bodies The Internet of Bodies, also known as the IoB, represents a significant leap in healthcare technology as we know it. It integrates connected devices that monitor and interact with the human body. Its relevance, however, is accentuated by its potential to revolutionize patient care, particularly through remote monitoring and timely medical interventions. Examples of IoB devices include pacemakers that transmit heart activity data to healthcare providers, insulin pumps that adjust dosage based on real-time glucose levels, and smart health monitors that track vital signs and alert users and doctors to irregularities. These innovations are important in managing chronic conditions, providing real-time data that enhances patient outcomes and reduces hospital readmissions. The topic of IoB is particularly timely as advancements in technology and data analytics continue to evolve, promising to improve healthcare delivery and patient experiences significantly. However, it also highlights important issues related to data privacy and security, requiring careful consideration of regulatory and ethical standards to protect patient information. The Benefits of Utilizing IoB Devices in Healthcare Utilizing IoB devices in healthcare brings numerous benefits, foremost among them being improved patient monitoring and personalized treatment. These devices help facilitate continuous and personalized patient care. Improved patient monitoring and personalized treatment are among the primary advantages of IoB devices. These technologies enable real-time tracking of vitals and health metrics so that healthcare providers can customize treatments based on up-to-date information. For instance, smartwatches used by Kaiser Permanente allow heart attack patients to share their health data continuously, leading to better monitoring and higher completion rates of rehabilitation programs. IoB devices also increase efficiency and accuracy in medical interventions. An example of this are digital pills equipped with sensors that provide precise medication management by transmitting data about ingestion to healthcare providers. These devices help reduce medication errors and improve adherence to prescribed treatment plans. The enhanced data collection and analysis that comes as a result of IoB devices contribute to better health outcomes. The vast amounts of data generated help better understand health patterns and predict potential issues. As an example, smart thermometers used in Shanghai\'s Public Health Clinical Center during the COVID-19 pandemic allowed for | Vulnerability Threat Prediction Medical | ★★★ | |
|
2024-08-21 11:00:00 | Les soins de santé frappés par un cinquième des incidents de ransomware Healthcare Hit by a Fifth of Ransomware Incidents (lien direct) |
Les soins de santé ont été le secteur le plus ciblé selon l'analyse de Barracuda de 200 incidents de ransomwares signalés d'août 2023 à juillet 2024
Healthcare has been the most targeted sector according to Barracuda analysis of 200 reported ransomware incidents from August 2023 to July 2024 |
Ransomware Medical | ★★★ | |
|
2024-08-20 10:00:00 | Sécuriser les réseaux: évaluation des pare-feu matériel Securing Networks: Evaluating Hardware Firewalls (lien direct) |
The content of this post is solely the responsibility of the author. LevelBlue does not adopt or endorse any of the views, positions, or information provided by the author in this article. In today\'s digital world, where digital threats loom large and data breaches are a constant concern, safeguarding your business network is vital. In the collection of cybersecurity tools at your disposal, hardware firewalls are a fundamental defense mechanism for organizations. This article delves into the pros and cons of hardware firewalls, examining their importance in network security, possible disadvantages, and factors to consider when implementing them. Advantages of Hardware Firewalls Enhanced Security At its core, the primary function of a hardware firewall is to filter incoming and outgoing network traffic based on preset security rules. This proactive filtering mechanism serves as a defense against unauthorized access attempts, malware, and other cyber threats. Unlike software firewalls that operate at the operating system or application level, hardware firewalls are positioned at the network level, providing a layer of protection for all devices connected to the network. Comprehensive Network Traffic Filtering Hardware firewalls offer traffic filtering capabilities beyond basic packet inspection. They can perform deep packet inspection (DPI), which examines the contents of data packets to identify and block malicious payloads and/or suspicious activities. DPI allows for more granular control over network traffic, enabling administrators to enforce strict security policies and detect sophisticated threats that may evade conventional cybersecurity measures. Scalability and Performance Designed to handle large volumes of network traffic, hardware firewalls are well-suited for large scale environments such as enterprise networks or data centers. Their robust processing capabilities and dedicated hardware components ensure minimal impact on network performance even under heavy load conditions. This scalability makes hardware firewalls an ideal choice for organizations experiencing rapid growth or operating in high-demand sectors where uninterrupted network availability is critical. Ease of Management Once configured, hardware firewalls typically require minimal ongoing maintenance and management. They operate independently of individual devices within the network, reducing the administrative burden on IT personnel. Centralized management dashboards provided by many firewall vendors assist in policy deployment, monitoring of security events, and updates to ensure the firewall remains up to date with the latest threat intelligence. Segmentation and Network Isolation Hardware firewalls aid in network segmentation by separating one network into several zones that each have their own unique security needs. This division assists in preventing security breaches and minimizing the effects of potential intrusions by separating critical assets or sensitive data from less secure parts of the network. It also enables organizations to apply access restrictions and establish customized security measures according to the specific requirements of individual network segments. Protection for IoT and BYOD Environments As the Internet of Things (IoT) and Bring Your Own Device (BYOD) trends continue to increase, hardware firewalls play a critical role in securing these endpoints. Organizations can reduce the likelihood of unauthorized access or vulnerability exploits by separating IoT and personal devices into different network zones. Hardware firewalls create a separation between these devices and the central network, guaranteeing that network security is not compromised by hacked IoT devices or | Malware Tool Vulnerability Threat Mobile Medical | ★★★ | |
|
2024-08-20 09:00:00 | Jewish Home LifeCare informe 100 000 victimes de violation des ransomwares Jewish Home Lifecare Notifies 100,000 Victims of Ransomware Breach (lien direct) |
Organisation des soins de santé Jewish Home Lifecare a révélé qu'une violation de données en 2024 a frappé plus de 100 000 clients
Healthcare organization Jewish Home Lifecare has revealed that a 2024 data breach hit over 100,000 customers |
Ransomware Data Breach Medical | ★★★ | |
|
2024-08-19 14:31:35 | La violation des données de la preuve expose les informations personnelles et médicales de près de 77 000 patients Carespring Data Breach Exposes Personal and Medical Information of Nearly 77,000 Patients (lien direct) |
> Les données comprennent les noms, les dates de naissance, les adresses physiques, les numéros de sécurité sociale, les informations médicales et de diagnostic et les détails de l'assurance maladie.
>Data includes names, dates of birth, physical addresses, Social Security Numbers, medical and diagnosis information, and health insurance details. |
Data Breach Medical | ★★★ | |
|
2024-08-16 16:09:23 | Perturbation des paiements majeurs: les ransomwares frappent l'infrastructure bancaire indienne Major Payment Disruption: Ransomware Strikes Indian Banking Infrastructure (lien direct) |
#### Géolocations ciblées - Inde #### Industries ciblées - Services financiers ## Instantané Les chercheurs de la Division de la recherche et de l'analyse des informations sur les menaces de CloudSek ont révélé une attaque de ransomware importante ciblant l'écosystème bancaire de l'Inde \\, un impact sur les banques et les fournisseurs de paiement. ## Description Cette attaque est liée au groupe Ransomexx, d'abord connu sous le nom de Defray777.Le groupe est apparu en 2018 et est connu pour cibler les grandes organisations dans une variété de secteurs, notamment la technologie, le gouvernement, la fabrication, les télécommunications et les soins de santé.Ransomxx a été actif entre les régions, mais les attaques ont été concentrées en Europe, en Asie et en Amérique du Nord. Ransomexx utilise généralement des e-mails et des vulnérabilités de phishing dans les protocoles de bureau à distance et les réseaux privés virtuels (VPN) pour l'accès initial.Cette attaque a été lancée via un serveur Jenkins mal configuré chez Brontoo Technology Solutions, en tirant parti du [CVE-2024-23897] (https://security.microsoft.com/intel-profiles/cve-2024-23897) pour accéder.Le groupe a utilisé la version V2.0 de leur ransomware qui utilise des algorithmes de chiffrement RSA-2048 et AES-256, ce qui rend presque impossible de récupérer des fichiers cryptés sans la clé de décryptage.Selon CloudSek, les négociations avec Ransomexx sont en cours et les données n'ont pas encore été publiées sur le site Web du groupe \\. ## Détections / requêtes de chasse ### Microsoft Defender Antivirus Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - * [ransom: win32 / filecoder] (https://www.microsoft.com/en-us/wdssi/therets/malware-encycopedia-dercription?name=ransom:win32/filecoder.tx!msr) * - * [Ransom: macOS / FileCcoder] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=ransom: macOS / filecoder) * - * [Ransom: Linux / FileCcoder] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=ransom:linux/filecoder.a!mtb) * - * [Trojan: win32 / cryptinject] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description? name = Trojan: win32 / cryptinject! ms) * - * [Trojan: Win32 / Trickbot] (https://www.microsoft.com/en-us/wdssi/Threats/Malware-encyClopedia-description?name=trojan:win32/trickbot.i) * - * [Trojan: win32 / emotet] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=trojan:win32/emotet) * - * [Trojan: Msil / Skeeyah] (https://www.microsoft.com/en-us/wdsi/therets/malware-enCyclopedia-Description? Name = Trojan: MSIL / SKEEYAH.A! MTB) * - * [Trojan: MSIL / CryptInject] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:mil/cryptinject!msr) * - * [Trojandownloader: o97m / iceDID] (https://www.microsoft.com/en-us/wdsi/atherets/malware-enCyclopedia-Description? Name = Trojandownloader: o97m / iceDID.jao! Mtb) * ## Recommandations - Jenkins Weekly doit être mis à jour / réinstallé au moins vers la version [2.442] (https://www.jenkins.io/doc/book/installing/ "https://www.jenkins.io/doc/book/installing/") - Jenkins LTS doit être mis à jour sur au moins la version [2.426.3] (https://www.jenkins.io/doc/upgrade-guide/ "https://www.jenkins.io/doc/upgrade-guide/") ** Solution: ** La désactivation de l'accès à la CLI devrait empêcher l'exploitation complètement.Cela est fortement recommandé aux administrateurs incapables de mettre à jour immédiatement à Jenkins 2.442, LTS 2.426.3.L'application de cette solution de contournement ne nécessite pas de redémarrage de Jenkins.Pour les instructions, consultez la [documentation de cette solution de contournement] (https://github.com/jenkinsci-cert/security-3314-3315/ "https://github.com/jenkinsci-cert/security-3314-3315/"). ## | Ransomware Malware Vulnerability Threat Medical | ★★★ | |
|
2024-08-16 07:07:14 | Cybersécurité dans les soins de santé: une nouvelle ère de réglementation, d'incitations et de sécurité des patients Cybersecurity in Healthcare: A New Era of Regulation, Incentives, and Patient Safety (lien direct) |
Au cours des dernières années, les attaques contre le secteur des soins de santé ont été sévères et répandues, ciblant les données sensibles des patients et les opérations médicales critiques.L'attaque des ransomwares 2020 contre les services de santé universels, qui a conduit à la fermeture des systèmes dans 400 installations aux États-Unis, a considérablement affecté les soins et les opérations des patients.En 2021, le service de santé de l'Irlande [...]
Over the last few years, attacks against the healthcare sector have been severe and widespread, targeting sensitive patient data and critical medical operations. The 2020 ransomware attack on Universal Health Services, which led to the shutdown of systems across 400 facilities in the U.S., significantly affected patient care and operations. In 2021, Ireland’s Health Service [...] |
Ransomware Medical | ★★★ | |
|
2024-08-15 22:25:24 | Darpa annonce les finalistes de l'IA Cyber Challenge DARPA Announces AI Cyber Challenge Finalists (lien direct) |
Les équipes ont conçu des systèmes d'IA pour sécuriser les logiciels d'infrastructure open source à utiliser dans des secteurs industriels tels que les services financiers, les services publics et les soins de santé.Chaque finaliste a reçu un prix de 2 millions de dollars.
Teams designed AI systems to secure open-source infrastructure software to be used in industry sectors such as financial services, utilities, and healthcare. Each finalist was awarded a $2 million prize. |
Medical | ★★★ | |
|
2024-08-14 11:15:00 | Vulnérabilité critique trouvée dans le chatbot de soins de santé de Microsoft \\ Critical Vulnerability Found in Microsoft\\'s AI Healthcare Chatbot (lien direct) |
Tenable a détaillé deux vulnérabilités d'escalade des privilèges dans le service de bot Azure Health, dont l'un a été évalué critique
Tenable detailed two privilege escalation vulnerabilities in the Azure Health Bot Service, one of which has been rated critical |
Vulnerability Medical | ★★★ | |
|
2024-08-14 10:00:00 | Inc Ransomware Encryptor contient des clés à la récupération des données des victimes Inc Ransomware Encryptor Contains Keys to Victim Data Recovery (lien direct) |
Le groupe de menaces perturbe les organisations de soins de santé.Les victimes peuvent s'aider elles-mêmes, même après compromis, en faisant attention au processus de décryptage.
The threat group is disrupting healthcare organizations. Victims can help themselves, though, even after compromise, by being careful in the decryption process. |
Ransomware Threat Medical | ★★★ | |
|
2024-08-13 19:36:37 | FBI: Ransomware noire a fait plus de 500 millions de dollars en exigences de rançon FBI: BlackSuit ransomware made over $500 million in ransom demands (lien direct) |
## Instantané Les chercheurs de CISA et du FBI ont confirmé que le Royal Ransomware était rebaptisé à [BlackSuit] (https://security.microsoft.com/intel-profiles/C369785022e6b4726c23f206e47b5253b45f3bff8d17f68a0461f8398) et landing ombres millions de victimes depuis son émergence il y a plus de deux ans. ## Description Alors que les ransomwares ont initialement utilisé d'autres gangs \\ 'encryptors, ils ont déployé leur propre encryptor Zeon et marqué au Royal Ransomware en septembre 2022. Après [attaquer la ville de Dallas, Texas, en juin 2023] (https: //www.bleepingCompuler.Com / News / Security / Dallas-Says-Royal-Ransomware-Freched-its-Network-Using-Stolen-Account /), l'opération Royal Ransomware a commencé à tester un nouvel encrypteur appelé BlackSuit au milieu de rumeurs de rebranding.Depuis lors, ils fonctionnent sous le nom de la combinaison noire, et les attaques de ransomwares royales se sont complètement arrêtées.Le gang noire est lié à des attaques contre plus de 350 organisations depuis septembre 2022 et au moins 275 millions de dollars de demandes de rançon.Le FBI et la CISA ont partagé des indicateurs de compromis et une liste de tactiques, techniques et procédures (TTPS) pour aider les défenseurs à bloquer les tentatives du gang \\ de déployer des ransomwares sur leurs réseaux. Le 7 août 2024, le [CISA Advisory] (https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-061a) des informations mises à jour sur le ransomware de la combinaison noire, qui utilise des tactiques similaires à Royal avec des capacités améliorées.Les acteurs de la combinaison noire exfiltrent les données et menacent de publier les données si les demandes de rançon, allant de 1 million à 10 millions de dollars, ne sont pas remplies.L'accès initial est généralement obtenu par des e-mails de phishing (répertoriés comme le vecteur le plus réussi pour l'accès initial), avec des vecteurs supplémentaires, y compris le compromis de protocole de bureau à distance (RDP), l'exploitation des applications accessibles au public et les courtiers d'accès initiaux.Une fois à l'intérieur d'un réseau, les acteurs menacés désactivent les logiciels antivirus, exfiltrent les données, déploient des ransomwares et cryptent le système compromis.Pour la persistance et la commande et le contrôle, les acteurs noirs utilisent des outils tels que Chisel, Secure Shell (SSH) Client, Putty, OpenSSH, Mobaxter, [SystemBC] (https: //security.microsoft.com/intel-profiles/530f5cd2221c4bfcf67ea158a1e674ec5a210dbbd611dfe9db652c9adf97292b), et [gootloader] (htttps://security.microsoft.com/intel-profiles/6b880aaaa.Microsoft.com/intel-profiles/6b880aaaa.Microsoft.com/intel-profiles/6b880aaaa. DD9132708F02CB383688C12A6B2B1986CF92CA87B4).La découverte et l'exfiltration impliquent des outils comme SharpShares, Softperfect Networx, [Mimikatz] (https://security.microsoft.com/intel-profiles/2dffdfcf7478886ee7de79237e5aeb52b0ab0cd350f1003a12064c7da2a4 Clone] (https: //security.microsoft.com/intel-profiles/3c39892a30f3909119605d9f7810d693e5099aae03abbd80f34d6c70d42d165), et [Brute Ratel] (https:///Secure D2DEAD66C1B277C92AC586D9791E60B3B284EF303439A18D91786).Pendant le chiffrement, ils utilisent le gestionnaire de redémarrage de Windows pour vérifier si les fichiers sont utilisés, le service de copie d'ombre de volume Windows pour supprimer des copies de l'ombre pour empêcher la récupération et déployer des fichiers batch.Les fichiers malveillants se trouvent souvent dans des répertoires comme C: \ Temp, C: \ Users \ AppData \ Roaming, C: \ Users , C: \ ProgramData et Root C: \. L'avis conjoint a été émis pour la première fois après que l'équipe de sécurité du ministère de la Santé et des Services sociaux (HHS) ait révélé en décembre 2022 que l'opération de ransomware était à l'origine de plusieurs attaques ciblant les organisations de soins de santé à travers les États-Unis.Plus récemment, des sources de Bleeping Computer ont identifié le gan | Ransomware Malware Tool Threat Medical | ★★★ | |
|
2024-08-13 18:36:28 | Microsoft Azure AI Health Bot infecté par des vulnérabilités critiques Microsoft Azure AI Health Bot Infected With Critical Vulnerabilities (lien direct) |
Les défauts d'escalade des privilèges dans la plate-forme de chatbot de soins de santé auraient pu permettre un accès et une gestion croisés non autorisés des autres clients.
Privilege escalation flaws in the healthcare chatbot platform could have allowed unauthorized cross-tenant access and management of other customers\' resources. |
Vulnerability Medical | ★★★ | |
|
2024-08-13 04:18:01 | Six raisons pour lesquelles les organisations de soins de santé ont besoin de cybersécurité robuste Six Reasons Healthcare Organizations Need Robust Cybersecurity (lien direct) |
Les organisations médicales doivent mettre en œuvre des solutions de cybersécurité robustes en raison de la sensibilité des données qu'elles traitent et de la fréquence croissante des cyberattaques.Comme ces organisations s'appuient davantage sur la technologie pour stocker et gérer les données des patients à l'ère numérique, leur vulnérabilité aux cyber-menaces, telles que le ransomware, les attaques DDOS et la manipulation de l'adresse IP, également [...]
Medical organizations must implement robust cybersecurity solutions due to the sensitivity of the data they handle and the increasing frequency of cyberattacks. As these organizations rely more heavily on technology for storing and managing patient data in the digital era, their vulnerability to cyber threats, such as ransomware, DDoS attacks, and IP address manipulation, also [...] |
Ransomware Vulnerability Medical | ★★★ | |
|
2024-08-12 21:01:31 | Groupe nord-coréen Kimusky attaquant des professeurs d'université North Korean Kimusky Group Attacking University Professors (lien direct) |
#### Géolocations ciblées - Corée ## Instantané Le groupe nord-coréen de l'APT Kimsuky a été observé par les analystes de la résilience pour cibler le personnel de l'université, les chercheurs et les professeurs pour mener un espionnage.Kimsuky est spécialisée dans les campagnes de phishing ciblées, tirant parti des pièces jointes malveillantes dans les e-mails de suivi après avoir établi la confiance par la correspondance par e-mail.Le groupe est actif depuis au moins 2012 et présente un intérêt particulier pour les groupes de réflexion sud-coréens et les entités gouvernementales;Cependant, il cible également les États-Unis, le Royaume-Uni et d'autres pays européens. Le groupe nord-coréen APT Kimsuky est suivi par Microsoft comme [Emerald Sleet] (https://security.microsoft.com/intel-profiles/f1e2144222dcaf4fb337dc703ee4ed596d8ae16f942f442b895752ad9f41dd58e). ## Description Au printemps 2024, la NSA et le FBI ont publié un avis reliant le groupe Kimsuky de la Corée du Nord à l'exploitation des politiques DMARC erronées pour masquer les tentatives d'ingénierie sociale.L'avis a mis en évidence la stratégie de Kimsuky \\ d'identiter les universitaires et les experts pour cibler des entités en Corée du Sud, aux États-Unis et en Europe.En juillet 2024, les analystes de Resilience ont découvert la campagne de phishing de Kimsuky \\ destinée au personnel et aux chercheurs de l'université, volant des recherches précieuses pour North KOrea \'s Reconnaissance General Bureau (RVB).Kimsuky a ciblé le nucléaire, les soins de santé et le r pharmaceutiqueEsearch, se livrant également à la cybercriminalité motivée par la finance pour financer leurs opérations. Kimsuky met en scène ses attaques en utilisant des hôtes Internet compromis.Après avoir accédé, ils déploient une volet en ligne appelée «Green Dinosaur», basée sur l'ancien Indrajith Mini Shell 2.0.Cette webshell permet la manipulation des fichiers et la configuration des sites Web de phishing tout en obtenant son code pour échapper à la détection.Kimsuky télécharge ensuite des pages de phishing imitant des portails de connexion universitaires légitimes, tels que ceux de l'Université Dongduk et de l'Université Korea, pour capturer des informations d'identification.Ils utilisent également une boîte à outils de phishing pour voler les informations d'identification du compte Naver. Il a été observé que Kimsuky utilise une implémentation PHPMailer personnalisée appelée «Sendmail» pour obtenir des cibles pour visiter leurs sites de phishing.Ce Phpmailer a utilisé le compte de messagerie compromis d'un professeur à l'Université nationale de Séoul pour accéder à un serveur SMTP hébergé en Corée du Sud pour le CRM App Dooray.Plusieurs comptes Gmail et Daum ont également été utilisés comme adresses source.Dans un fichier texte de notes écrites par les opérateurs, plusieurs comptes Gmail et DAUM ont été répertoriés avec leur mot de passe, leur e-mail de récupération et les codes de sauvegarde 2FA.Ces comptes de messagerie ont été utilisés pour envoyer des e-mails de phishing aux employés de l'Université Dongduk, de l'Université de Corée, de l'Université Yonsei et d'autres cibles. ## Détections / requêtes de chasse Microsoft Defender pour le point de terminaison détecte l'activité attribuée au grésil émeraude avec l'alerte suivante: - Activité de l'acteur de grésil émeraude détecté Microsoft Defender Antivirus détecte les composants de la menace comme le suivantmalware: - [Trojan: html / kimsuky.da! Mtb] (https://www.microsoft.com/en-us/wdssi/therets/malware-encycopedia-description?name=trojan:html/kimsuky.da!mtb) - [Trojan: win64 / kimsuky! Mclg] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=trojan:win64/kimsuky!mclg) - [Trojan: x97m / kimsuky! Ic] (https://www.microsoft.com/en-us/wdsi/atherets/malware-enCyclopedia-Description? Name = Trojan: x97 | Malware Threat Mobile Medical | ★★★ | |
|
2024-08-12 19:53:21 | A Dive into Earth Baku\'s Latest Campaign (lien direct) | #### Géolocations ciblées - Inde - Thaïlande - Allemagne - Italie - Roumanie - Géorgie - Qatar - Émirats arabes unis - Vietnam - Philippines -Malaisie - Europe de l'Est - Europe du Nord - Europe du Sud - Europe occidentale - Moyen-Orient - Afrique du Nord - Afrique subsaharienne #### Industries ciblées - GouvernementAgences et services - Infrastructure de communication - Informatique - Santé et santé publique - Éducation ## Instantané Trendmicro a publié un rapport sur les activités élargies de la Terre Baku, un groupe avancé de menace persistante (APT) associé à l'APT41.APT41 est suivi par Microsoft comme [Typhoon en laiton] (https://security.microsoft.com/intel-profiles/f0aaa62bfbaf3739bb92106688e6a00fc05af0d4158b0e389b4078112d37c6). ## Description Le groupe a considérablement élargi ses opérations au-delà de la région indo-pacifique, ciblant désormais des pays en Europe, au Moyen-Orient et en Afrique, notamment l'Italie, l'Allemagne, les EAU et le Qatar.Ce groupe exploite des applications publiques telles que les serveurs IIS pour obtenir un accès initial, en déploiement des outils de logiciels malveillants sophistiqués tels que le Godzilla webshell et les chargeurs personnalisés Stealthvector et Stealthreacher.Ces chargeurs facilitent le déploiement de composants de porte dérobée tout en utilisant des techniques avancées comme le cryptage AES et l'obscuscation du code pour échapper à la détection. Le dernier outil de Earth Baku \\, Sneakcross, est une porte dérobée modulaire qui utilise les services Google pour les activités de commande et de contrôle (C2), permettant des mises à jour faciles et une furtivité améliorée.Les tactiques post-exploitation comprennent le maintien de la persistance à travers des outils comme Rakshasa et TailScale, et en utilisant MEGACMD pour l'exfiltration de données.L'évolution du groupe dans les tactiques, les techniques et les procédures (TTPS) met en évidence sa sophistication croissante et constitue une menace significative pour les secteurs ciblés, y compris le gouvernement, les télécommunications et la technologie dans plusieurs régions. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - [Activer la protection de l'application potentiellement indésirable (PUA)] (https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/detect-lock-Potentiellement inconnu-apps-microsoft-defender-anvirus? View = o365 worldwide? ocid = magicti_ta_learndoc).La protection PUA peut nécessiter une activité séparément des autres protection contre les logiciels malveillants.Dans les environnements d'entreprise, la protection PUA peut arrêter les logiciels publicitaires, les téléchargeurs torrent, les mineurs de pièces et de nombreuses variantes de logiciels malveillants qui peuvent être regroupés avec d'autres logiciels.Les services de gestion à distance (RMS) ou les logiciels de chevaux de Troie (RAT) d'accès à distance peuvent également être classés occasionnellement comme PUA. - Allumez [Protection en cloud-élieur] (https://docs.microsoft.com/en-us/windows/security/thereat-protection/windows-defender-antivirus/enable-cloud-protection-windows-defender-astivirus?ocid = magicti_ta_learndoc) et une soumission automatique de l'échantillon sur Microsoft Defender Antivirus.Ces capacités utilisent l'intelligence artificielle et l'apprentissage automatique pour identifier et arrêter rapidement les menaces nouvelles et inconnues. - Éduquer les utilisateurs finaux sur [Prévenir les infections des logiciels malveillants] (https://docs.microsoft.com/en-us/microsoft-365/security/intelligence/prevent-malware-infection?view=o365-worldwide?ocid=magicti_ta_learndoc).Encouragez les utilisateurs finaux à pratiquer un bon nombre d'hygiène des informations d'identification de l'utilisation des compt | Malware Tool Threat Medical | APT 41 | ★★★ |
|
2024-08-10 01:59:25 | Les prestataires de soins de santé doivent planifier des attaques de ransomwares contre des fournisseurs tiers Healthcare Providers Must Plan for Ransomware Attacks on Third-Party Suppliers (lien direct) |
L'American Hospital Association et la santé-ISAC ont publié un bulletin de menace conjoint avertissant les fournisseurs informatiques de soins de santé selon lesquels leurs plans de ransomware doivent prendre en compte les risques tiers.
The American Hospital Association and the Health-ISAC issued a joint threat bulletin warning healthcare IT providers that their ransomware plans need to consider third-party risk. |
Ransomware Threat Medical | ★★★ | |
|
2024-08-08 14:45:00 | #Bhusa: Ransomware Dring cible les soins de santé en fonctionnement 911 #BHUSA: Ransomware Drill Targets Healthcare in Operation 911 (lien direct) |
Un exercice de table ransomware a été mené contre un hôpital fictif, visant à informer les participants de la façon de lutter contre de telles menaces
A ransomware tabletop exercise was conducted against a fictious hospital, aiming to educate attendees of how to fight against such threats |
Ransomware Medical | ★★★ | |
 |
2024-08-08 14:00:20 | Replay: Revisiting Play Ransomware Anti-Analysy Techniques REPLAY: Revisiting Play Ransomware Anti-Analysis Techniques (lien direct) |
> Résumé Le ransomware de jeu, également connu sous le nom de PlayCrypt, est un ransomware qui a émergé pour la première fois en juin 2022. Le ransomware cible des industries telles que les soins de santé et les télécommunications ainsi qu'un large éventail de régions telles que l'Amérique latine, l'Europe et l'Amérique du Nord.Les ransomwares de lecture sont connus pour avoir accès aux réseaux via un compromis [& # 8230;]
>Summary The Play Ransomware, also known as PlayCrypt, is a ransomware that first emerged in June 2022. The ransomware has been targeting industries such as healthcare and telecommunication as well as a wide range of regions such as Latin America, Europe, and North America. Play Ransomware is known for gaining access to networks through compromised […] |
Ransomware Medical | ★★★ | |
 |
2024-08-08 11:14:03 | Attaque des ransomwares contre le fournisseur de sang One Flood perturbe le système de santé Ransomware Attack on Blood Supplier OneBlood Disrupts Healthcare System (lien direct) |
> Une récente attaque de ransomware contre One Llood, un grand fournisseur de sang, a gravement perturbé la chaîne d'approvisionnement en sang en Floride, ce qui a provoqué des avertissements urgents et un appel à des dons.Cette cyberattaque souligne la vulnérabilité critique des infrastructures de santé et les implications de grande envergure de ces violations.Oneblood est un fournisseur de sang de premier plan dans le sud-est des États-Unis, & # 8230;
>A recent ransomware attack on OneBlood, a major blood supplier, has severely disrupted the blood supply chain in Florida, prompting urgent health warnings and a call for donations. This cyberattack underscores the critical vulnerability of healthcare infrastructures and the far-reaching implications of such breaches. OneBlood is a leading blood supplier in the southeastern United States, … |
Ransomware Vulnerability Medical | ★★ | |
 |
2024-08-08 01:54:03 | Le système hospitalier du Michigan a du mal avec la cyberattaque alors que l'industrie des soins de santé diminue \\ 'russe \\' ransomware Michigan hospital system struggles with cyberattack as healthcare industry decries \\'Russian\\' ransomware (lien direct) |
Pas de details / No more details | Ransomware Medical | ★★ |
To see everything:
Our RSS (filtrered)
