What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-11-11 18:57:29 | Déballage de l\\\\\\\\\\'attaque de ransomware de verrouillage de verrouillage (lien direct) | ## Instantané La réponse aux incidents de Cisco Talos a observé le groupe de ransomwares de verrouillage se livrant à des attaques de chasse au grand jeu et à une double extorsion, ciblant des secteurs tels que les soins de santé, la technologie, le gouvernement aux États-Unis et la fabrication en Europe depuis son émergence en septembre 2024. ## Description Le groupe emploie une chaîne de livraison multi-composants, lançant son attaque via un site Web légitime compromis qui incite les victimes à télécharger un faux parcours de mise à jour du navigateur. Cet exécutable est un outil d'accès à distance (RAT) qui établit la persistance, collecte les informations système et communique avec un serveur de commande et de contrôle (C2). Les attaquants utilisent également un voleur d'identification, Keylogger et des outils comme AnyDesk, Putty et Azure Storage Explorer pour le mouvement latéral et l'exfiltration des données. Le ransomware de verrouillage, qui a à la fois des variantes Windows et Linux, chiffre les fichiers et ajoute l'extension «.Interlock», tout en évitant le chiffrement de certains dossiers système et extensions de fichiers. La variante Windows utilise un cryptage de chaînage de blocs de chiffre d'affaires (CBC) et la variante Linux utilise le cryptage CBC ou RSA. Le ransomware établit la persistance en créant une tâche quotidienne et peut se supprimer après le cryptage. Une note de rançon est configurée pour s'afficher pendant la connexion interactive à l'aide d'objets de stratégie de groupe, exigeant une réponse dans les 96 heures pour éviter les fuites de données et la notification médiatique. Talos IR note que les ransomwares de verrouillage peuvent avoir des connexions avec les opérateurs ou développeurs de ransomwares Rhysida, suggérés par des similitudes de tactique, de techniques et de procédures (TTPS), ainsi que les comportements des binaires des encryptateurs de ransomware. Les deux groupes utilisent Azcopy pour l'exfiltration des données et fournissent des notes de rançon qui offrent de l'aide plutôt que des menaces, indiquant une tendance de diversification et de collaboration entre les groupes de ransomwares. ## Recommandations Microsoft recommande les atténuations suivantes pour se défendre contre cette menace: - Gardez le logiciel à jour. Appliquez de nouveaux correctifs de sécurité dès que possible. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc) dans Microsoft Defender Antivirus, ou l'équivalent de votre produit antivirus, pour couvrir Évolution rapide des outils et techniques d'attaquant. Les protections d'apprentissage automatique basées sur le cloud bloquent une majorité de variantes nouvelles et inconnues. - Activer [Protection réseau] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/enable-network-protection?view=o365-worldwide?ocid=Magicti_TA_LearnDoc) . - Exécutez la détection et la réponse des points de terminaison [(EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-lock-mode?ocid=Magicti_Ta_LearnDoc) pour que Microsoft Le défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou Lorsque Microsoft Defender Antivirus fonctionne en mode passif. EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Configurer [Investigation and remédiation] (https://learn.microsoff Sur les alertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - Lisez notre [Ransomware Menace Présentation] (https://security.microsoft.com/Thereatanalytics3/05658B6C-DC62-496D-AD3C-C6A795A33C27/analyStreport) pour le développement d'une posture de sécurité holistique pour éviter Ransomware, y compris l'hygiène de | Ransomware Malware Tool Threat Prediction Medical Cloud | APT 45 | ★★★ |
1
We have: 1 articles.
We have: 1 articles.
To see everything:
Our RSS (filtrered)
