1. 戛纳医院因遭到网络攻击而关闭其医疗系统
4月22日,该医疗机构也被称为布鲁赛医院,决定完全切断计算机访问以遏制攻击,这迫使员工转向笔和纸继续为患者提供服务。CHC-SV 表示,正在尽一切努力确保能够在其活动领域提供全方位的护理,并补充说,它一直在与地区医疗机构合作,根据患者的需求调整患者的方向。虽然 CHC-SV 的紧急活动仍在继续,但上周取消了非紧急手术程序,但进行了不依赖计算机系统的手术以及针对已知慢性病患者的手术。该医院表示已通知有关当局,当局和网络安全专家正在分析该事件。CHC-SV 表示,迄今为止,尚未提出赎金要求,也没有发现数据被盗的证据。据医院称,康复操作将重点关注与患者护理直接相关的系统。不过,CHC-SV 估计需要很长时间才能恢复正常运营。CHC-SV 是法国戛纳的一家拥有 840 个床位的医院,拥有 2,000 多名员工,提供急诊、外科、产科、儿科、精神病学和其他医疗保健服务。https://www.securityweek.com/cannes-hospital-cancels-medical-procedures-following-cyberattack/
2. Windows Defender 可能会被欺骗删除数据库
4月22日,信息安全机构 SafeBreach 的研究人员上周五讨论了微软和卡巴斯基安全产品中可能允许远程删除文件的缺陷。而且,他们声称,即使两家供应商都声称已经修复了该问题,该漏洞仍然可以被利用。SafeBreach 安全研究副总裁 Tomer Bar 和安全研究员 Shmuel Cohen 在新加坡举行的 Black Hat Asia 会议上发表讲话时解释说,Microsoft Defender 和卡巴斯基的端点检测和响应 (EDR) 可以检测恶意文件的误报指标,然后删除它们。该攻击依赖于微软和卡巴斯基使用字节签名(文件头中独特的字节序列)来检测恶意软件的事实。Bar 和 Cohen 首先在 VirusTotal 平台上找到了与恶意软件相关的字节签名,然后将其插入数据库中,方法是创建一个名称包含该签名的新用户等。EDR 程序随后认为存储签名的数据库已被恶意软件感染。如果 EDR 设置为删除受感染的文件,它将执行此操作。两人认为,数据库或虚拟机因此可以被远程删除。https://www.theregister.com/2024/04/22/edr_attack_remote_data_deletion/
3. AKIRA从250多名受害者那里收到4200万赎金
4月21日,CISA、FBI、欧洲刑警组织和荷兰国家网络安全中心 (NCSC-NL) 发布的联合公告显示,自 2023 年初以来,Akira 勒索软件运营商从全球 250 多名受害者那里收到了 4200 万美元的赎金。Akira 勒索软件自 2023 年 3 月以来一直活跃,该恶意软件背后的威胁行为者声称已经入侵了多个行业的多个组织,包括教育、金融和房地产。与其他勒索软件团伙一样,该组织开发了一款针对 VMware ESXi 服务器的 Linux 加密器。Akira 勒索软件运营商通过在加密之前窃取受害者的数据来实施双重勒索模型。该勒索软件的早期版本是用 C++ 编写的,并且该恶意软件在加密文件中添加了 .akira 扩展名。然而,从 2023 年 8 月起,某些 Akira 攻击开始利用 Megazord,它采用基于 Rust 的代码并使用 .powerranges 扩展名加密文件。Akira 威胁行为者坚持交替使用 Megazord 和 Akira,包括独立调查确定的 Akira_v2。https://securityaffairs.com/162098/cyber-crime/akira-ransomware-report-fbi.html
4. 2024年第一季度勒索软件支付额降至28%的历史新低
4月21日,勒索软件攻击者今年的开局并不顺利,网络安全公司 Coveware 的统计数据显示,越来越多的公司拒绝支付勒索要求,导致 2024 年第一季度支付赎金的公司达到历史新低 28%。2023 年第四季度这一数字 为 29%,Coveware 的统计数据显示,自 2019 年初以来,支付金额的减少一直保持稳定。这种下降是由于组织实施了更先进的保护措施,不断加大的法律压力来满足骗子的财务要求,以及网络犯罪分子一再违反在支付赎金的情况下不会发布或转售被盗数据的承诺。从已确定的漏洞来看,远程访问和漏洞利用发挥了最大的作用,其中 CVE-2023-20269、CVE-2023-4966 和 CVE-2024-1708-9 缺陷在第一季度被勒索软件运营商利用得最为广泛。https://www.bleepingcomputer.com/news/security/ransomware-payments-drop-to-record-low-of-28-percent-in-q1-2024/
5. Veriti Research发现Androxgh0st的攻击活动激增
4月21日,Veriti Research 发现 Androxgh0st 恶意软件家族发起的攻击活动激增,发现 600 多台服务器受到威胁,主要分布在美国和印度。根据 Veriti 的博客文章,Androxgh0st 背后的对手的 C2 服务器被暴露,这可以通过暴露受影响的目标来进行反击。研究人员随后继续向受害者发出警报。进一步研究显示,Androxgh0st 运营者正在利用多个 CVE(包括CVE-2021-3129和CVE-2024-1709) 在易受攻击的服务器上部署 Web shell,从而授予远程控制功能。此外,有证据表明活跃的 Web shell 与CVE-2019-2725相关。自 2022 年 12 月首次被发现以来,Hackread.com 一直在跟踪 Androxgh0st 的操作。该恶意软件运营者以部署Adhublika 勒索软件而闻名,之前曾观察到与与 Adhublika 组织相关的 IP 地址进行通信。https://www.hackread.com/androxgh0st-malware-servers-botnets-attacks/
6. Hellokity 勒索软件的攻击者以HelloGookie回归
4月22日,网络犯罪组织(以前称为 Hellokity)以新别名“HelloGookie”重新出现。网络安全监管机构 MonThreat 通过其 Twitter 帐户报告了这一进展。Hellokity 以其备受瞩目的网络攻击而闻名,一直是数字勒索的重要参与者。该组织因部署勒索软件渗透企业网络、加密数据以及索要巨额赎金换取解密密钥而臭名昭著。他们的运营对各个行业造成了干扰,影响了业务运营和消费者数据隐私。根据 MonThreat 分享的详细信息,Hellokity 不仅更改了名称,而且似乎还升级了其勒索软件工具和策略。这种品牌重塑可能是为了逃避已适应其先前方法的执法和网络安全防御。Hellokity 以新名称“HelloGookie”回归,给网络安全专业人士带来了新的挑战。https://gbhackers.com/hellokity-ransomware-new-name/
还没有评论,来说两句吧...