每周安全速递³⁰⁸|Young Consulting数据遭BlackSuit勒索软件窃取影响近百万用户

Young Consulting（现Connexure）于2024年4月10日遭遇BlackSuit勒索软件攻击，近日确认近百万名用户数据被窃取。受影响的数据包括全名、社会安全号码（SSN）、出生日期和保险索赔信息。公司发现这一数据泄露后，于4月13日启动调查，并于6月28日完成。BlackSuit已将泄露的数据上传至其暗网勒索门户，威胁者声称泄露了比公司披露的更多数据。Young Consulting为受影响用户提供了12个月免费的信用监控服务，用户应及时利用此服务并警惕诈骗信息。根据CISA和FBI报告，BlackSuit是Royal勒索软件的重品牌，近年来已通过勒索活动获得超过5亿美元。

https://www.maine.gov/agviewer/content/ag/985235c7-cb95-4be2-8792-a1252b4f8318/9cb5e8fe-3d04-48e5-a403-d478cdaf5c7f.html

研究人员对Mallox勒索软件的恶意攻击进行分析

参考链接：

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/exposed-and-encrypted-inside-a-mallox-ransomware-attack/

Patelco通知72.6万名客户关于勒索软件数据泄露事件

参考链接：

https://www.patelco.org/notification

Qilin勒索软件利用VPN凭证窃取Chrome数据

最近发现的Qilin勒索软件攻击通过盗取Google Chrome浏览器中的凭证来增强其威胁。根据研究人员的报告，攻击者于2024年7月通过一个未启用多因素认证（MFA）的VPN门户进入目标网络，并在初次访问后18天内执行了攻击。攻击者编辑了域控制器的默认域策略，创建了一个包含两个脚本的组策略对象（GPO）：一个PowerShell脚本（“IPScanner.ps1”）用于窃取Chrome浏览器中的凭证数据，另一个批处理脚本（“logon.bat”）则用于执行前者。攻击者在网络上维持了这项GPO超过三天，期间用户每次登录时都会触发凭证窃取。随后，攻击者将窃取的凭证外泄并清除痕迹，然后加密文件并在系统的每个目录中放置赎金通知。

参考链接：

https://news.sophos.com/en-us/2024/08/22/qilin-ransomware-caught-stealing-credentials-stored-in-google-chrome/

PG_MEM恶意软件通过暴力破解攻击PostgreSQL数据库进行加密货币挖矿

研究人员发现了一种名为PG_MEM的新型恶意软件，它通过暴力破解PostgreSQL数据库实例来挖掘加密货币。攻击者通过反复猜测数据库凭据，利用弱密码获取访问权限，随后使用PostgreSQL的SQL命令在主机上执行任意Shell命令，从事数据盗窃或部署恶意软件等恶意活动。成功入侵后，攻击者创建管理员角色，剥夺“postgres”用户的超级用户权限，以防止其他威胁者利用同样的方法访问数据库。PG_MEM通过远程服务器下载恶意负载，终止竞争进程并设置持久化，最终部署Monero加密货币矿工，利用受害者的服务器资源进行挖矿。

参考链接：

https://www.aquasec.com/blog/pg_mem-a-malware-hidden-in-the-postgres-processes/