Young Consulting數據遭BlackSuit勒索軟件竊取影響近百萬用戶
Young Consulting(現Connexure)于2024年4月10日遭遇BlackSuit勒索軟件攻擊,近日確認近百萬名用戶數據被竊取。受影響的數據包括全名、社會安全號碼(SSN)、出生日期和保險索賠信息。公司發現這一數據泄露后,于4月13日啟動調查,并于6月28日完成。BlackSuit已將泄露的數據上傳至其暗網勒索門戶,威脅者聲稱泄露了比公司披露的更多數據。Young Consulting為受影響用戶提供了12個月免費的信用監控服務,用戶應及時利用此服務并警惕詐騙信息。根據CISA和FBI報告,BlackSuit是Royal勒索軟件的重品牌,近年來已通過勒索活動獲得超過5億美元。
https://www.maine.gov/agviewer/content/ag/985235c7-cb95-4be2-8792-a1252b4f8318/9cb5e8fe-3d04-48e5-a403-d478cdaf5c7f.html
研究人員對Mallox勒索軟件的惡意攻擊進行分析
研究人員受邀調查一起針對企業云環境的惡意攻擊事件,發現了Mallox勒索軟件的蹤跡。由于系統配置錯誤,攻擊者通過暴力破解公開的Microsoft SQL服務器,成功侵入并植入Mallox勒索軟件。Mallox最初于2021年出現,主要針對Windows系統,如今已擴展至Linux和VMware ESXi等平臺,并轉變為勒索軟件即服務(RaaS)模式,通過招募附屬成員擴大攻擊范圍。Mallox利用雙重勒索策略,不僅加密數據,還威脅公開被盜信息,進一步施壓受害組織支付贖金。此外,攻擊者通過暗網泄露站點公開不支付贖金者的數據,增加受害者的心理壓力。此次攻擊展示了Mallox團伙的復雜手段,包括利用腳本修改文件權限、清除日志文件以及規避安全防御,以確保其勒索軟件的有效部署與隱藏。
參考鏈接:
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/exposed-and-encrypted-inside-a-mallox-ransomware-attack/
Patelco通知72.6萬名客戶關于勒索軟件數據泄露事件
Patelco Credit union近日警告其72.6萬名客戶,其個人數據在今年早些時候的RansomHub勒索軟件攻擊中被盜取。盡管未公開攻擊者身份,但RansomHub黑客組織于2024年8月15日在其勒索門戶上發布了所有被盜數據。此次攻擊發生于2024年6月29日,導致Patelco暫停客戶銀行系統以遏制損害,并在兩周后恢復大部分IT系統功能。調查顯示,攻擊者于5月23日非法訪問網絡,并在6月29日進入數據庫,竊取了包括全名、社會安全號碼、駕照號碼、出生日期和電子郵件地址在內的敏感信息。受影響的客戶將獲得為期兩年的Experian身份保護和信用監控服務,但需在2024年11月19日前注冊。此外,Patelco提醒客戶警惕釣魚和欺詐行為,避免泄露個人信息。
參考鏈接:
https://www.patelco.org/notification
Qilin勒索軟件利用VPN憑證竊取Chrome數據
最近發現的Qilin勒索軟件攻擊通過盜取Google Chrome瀏覽器中的憑證來增強其威脅。根據研究人員的報告,攻擊者于2024年7月通過一個未啟用多因素認證(MFA)的VPN門戶進入目標網絡,并在初次訪問后18天內執行了攻擊。攻擊者編輯了域控制器的默認域策略,創建了一個包含兩個腳本的組策略對象(GPO):一個PowerShell腳本(“IPScanner.ps1”)用于竊取Chrome瀏覽器中的憑證數據,另一個批處理腳本(“logon.bat”)則用于執行前者。攻擊者在網絡上維持了這項GPO超過三天,期間用戶每次登錄時都會觸發憑證竊取。隨后,攻擊者將竊取的憑證外泄并清除痕跡,然后加密文件并在系統的每個目錄中放置贖金通知。
參考鏈接:
https://news.sophos.com/en-us/2024/08/22/qilin-ransomware-caught-stealing-credentials-stored-in-google-chrome/
PG_MEM惡意軟件通過暴力破解攻擊PostgreSQL數據庫進行加密貨幣挖礦
研究人員發現了一種名為PG_MEM的新型惡意軟件,它通過暴力破解PostgreSQL數據庫實例來挖掘加密貨幣。攻擊者通過反復猜測數據庫憑據,利用弱密碼獲取訪問權限,隨后使用PostgreSQL的SQL命令在主機上執行任意Shell命令,從事數據盜竊或部署惡意軟件等惡意活動。成功入侵后,攻擊者創建管理員角色,剝奪“postgres”用戶的超級用戶權限,以防止其他威脅者利用同樣的方法訪問數據庫。PG_MEM通過遠程服務器下載惡意負載,終止競爭進程并設置持久化,最終部署Monero加密貨幣礦工,利用受害者的服務器資源進行挖礦。
參考鏈接:
https://www.aquasec.com/blog/pg_mem-a-malware-hidden-in-the-postgres-processes/
浙公網安備 33010502006954號 
