https://www.aquasec.com/blog/gafgyt-malware-variant-exploits-gpu-power-and-cloud-native-environments/
Black Basta有關聯的攻擊者利用SystemBC惡意軟件進行憑證盜竊
研究人員發現,一個與Black Basta勒索軟件組織有關的社會工程攻擊活動,旨在進行憑證盜竊并部署名為SystemBC的惡意軟件。這一攻擊鏈涉及多次入侵嘗試,目標是用戶的敏感數據。攻擊者使用一個名為“AntiSpam.exe”的可執行文件,聲稱下載電子郵件垃圾過濾器,并要求用戶輸入Windows憑證以完成更新。接下來執行多個二進制文件、DLL文件和PowerShell腳本,包括一個基于Golang的HTTP信標,與遠程服務器建立聯系,一個SOCKS代理和SystemBC。這些攻擊活動只是最近幾周內發現的大量釣魚和社會工程攻擊中的最新一波,威脅行為者還越來越多地利用假二維碼進行惡意活動。
參考鏈接:
https://www.rapid7.com/blog/post/2024/08/12/ongoing-social-engineering-campaign-refreshes-payloads/
RansomHub勒索軟件攻擊者武器庫新增“EDRKillShifter”破壞工具
研究人員近日發現,一名犯罪團伙在對一組織發起名為RansomHub的勒索軟件攻擊時,嘗試部署了一款新型的EDR(端點檢測和響應)破壞工具“EDRKillShifter”。雖然這次勒索軟件攻擊沒有成功,但事后分析揭露了這一專為終止端點保護軟件而設計的工具。EDRKillShifter工作原理是通過一個“加載器”可執行文件,它是一個合法驅動程序的傳遞機制,該驅動程序容易被濫用。攻擊者必須執行帶有密碼字符串的命令行來運行EDRKillShifter。使用正確的密碼運行時,該可執行文件會解密嵌入的名為BIN的資源,并在內存中執行它。BIN代碼解壓并執行最終的有效載荷。這最終的有效載荷,用Go編程語言編寫,會放置并利用多種不同的易受攻擊、合法的驅動程序以獲取足夠權限以取消EDR工具的保護。該工具的樣本分析顯示,所有樣本共享相同的版本數據,原始文件名為Loader.exe,產品名為ARK-Game,二進制文件的語言屬性是俄語。這些樣本都需要傳遞給命令行的唯一64字符密碼。如果密碼錯誤(或未提供),它將不會執行。當執行時,EDRKillShifter將一個名為BIN的加密資源加載到內存中,還會將該數據復制到一個新文件Config.ini中,并將該文件寫入執行二進制文件的同一文件系統位置。
參考鏈接:
https://news.sophos.com/en-us/2024/08/14/edr-kill-shifter/
FBI關閉了攻擊數十家公司勒索軟件團伙的服務器
FBI克利夫蘭分局宣布成功破獲了由網名“Brain”領導的勒索軟件組織“Radar/Dispossessor”,并拆除了三臺美國服務器、三臺英國服務器、十八臺德國服務器、八個美國域名和一個德國域名。自2023年8月成立以來,Radar/Dispossessor迅速發展成為一個國際性影響力的勒索軟件組織,專門針對中小型企業及組織,涉及生產、開發、教育、醫療、金融服務和運輸等多個行業。調查發現,該組織在美國及阿根廷、澳大利亞、比利時、巴西、洪都拉斯、印度、加拿大、克羅地亞、秘魯、波蘭、英國、阿聯酋和德國等國家攻擊了43家公司。FBI在調查期間識別出了多個與Brain及其團隊相關的網站。盡管目前受影響的企業和組織總數尚未確定,FBI鼓勵任何有關于Brain或Radar Ransomware的信息,或其業務或組織曾成為勒索軟件目標或受害者的人,聯系互聯網犯罪投訴中心或撥打1-800-call-FBI,身份可以保持匿名。
參考鏈接:
https://www.fbi.gov/contact-us/field-offices/cleveland/news/international-investigation-leads-to-shutdown-of-ransomware-group?7194ef805fa2d04b0f7e8c9521f97343
勒索軟件組織Rhysida聲稱竊取兩家醫療系統數據
勒索軟件組織Rhysida宣稱對兩家新的醫療系統——Bayhealth和Community Care Alliance(CCA)進行了大規模數據盜竊。Rhysida威脅將患者的敏感健康和個人信息在暗網上出售或公開。位于特拉華州的非營利醫療系統Bayhealth擁有多家醫院、4000名員工和650名醫生及其他臨床醫護人員。Rhysida聲稱竊取了Bayhealth患者的個人信息,并要求支付25個比特幣(約150萬美元)作為贖金。同時,位于羅德島的Community Care Alliance提供心理健康、成癮、住房和創傷相關問題的服務。Rhysida聲稱竊取了一個包含超過2.5 TB數據的SQL數據庫,內含地址、社會安全號碼、電話號碼和信用卡號碼等個人信息。CCA尚未對此作出公開回應或在其網站上發布相關聲明。
參考鏈接:
https://www.govinfosecurity.com/rhysida-claims-major-data-theft-from-2-more-health-systems-a-25997
浙公網安備 33010502006954號 
