平安资讯报告
旋风口头对Clop勒索软件团伙造成打击
一项代号为“旋风口头”的为期30个月的国内执法口头以Clop勒索软件团伙为指标,导致此前报道的六名成员在乌克兰被捕。6月,BleepingComputer报道称,乌克兰执法部门拘捕了参加洗钱的Clop勒索软件团伙的成员。
名为“旋风口头”的跨大陆口头由国际刑警组织位于新加坡的网络交融核心协调,并失去乌克兰和美国执法当局的帮助。此次口头的指标是Clop勒索软件,该团伙对韩国公司和美国学术机构的屡次攻打,攻击者加密设施并勒索组织以领取赎金或泄露其被盗数据。
2020年12月,Clop对韩国企业团体和批发巨头E-Land Retail进行了大规模勒索软件攻打,导致50家NC百货公司和NewCore Outlet零售店中有23家临时敞开。他们起初宣称应用销售点恶意软件从该公司窃取了2,000,000张信用卡。最近,Clop利用Accellion平安文件传输网关中的破绽窃取了公司和大学的秘密和私人文件。当1000万美元以上的赎金要求没有领取时,威逼行为者公开公布了许多大学和学院的学生个人信息。
Accellion攻打的指标美国教育机构包含科罗拉多大学、迈阿密大学、斯坦福医学院、马里兰大学巴尔的摩分校(UMB)和加利福尼亚大学。通过执法机构和私人合作伙伴之间的情报共享,“旋风口头”在乌克兰拘捕了6名嫌疑人,搜查了20多间屋宇、企业和车辆,没收了计算机和185,000美元的现金资产。
此次口头还失去了私人合作伙伴的帮助,包含Trend Micro、CDI、卡巴斯基实验室、Palo Alto Networks、Fortinet和Group-IB。尽管被捕成员与Clop勒索软件团伙有关联,但他们次要参加了立功组织的洗钱流动。这家情报公司进一步示意,Clop口头的核心成员可能在俄罗斯。如果罪名成立,六名Clop嫌疑人将面临最高八年的监禁。
乌克兰SSU公布的一段视频显示,考察人员对嫌疑人的财产进行突袭,并没收了证据。
新闻来源:
https://www.bleepingcomputer….
勒索软件组织REvil被多国单干取缔
据报道,多国政府的致力导致臭名远扬的勒索软件组织REvil下线,据称其局部服务器被劫持。据说在2021年早些时候,黑客组织应答了一些备受瞩目的网络攻击,包含6月的JBSMeat攻打和7月的Kaseya攻打。
通过最近的口头,VMWare(VMW.N)网络安全策略负责人Tom Kellermann通知路透社,美国执法和情报人员阻止了该组织对其余公司的挫伤,对黑客组织采取重大破坏性口头。
Nominet的政府网络安全专家史蒂夫·福布斯(Steve Forbes)评论这项单干流动,认为最新倒退是反抗寰球黑客的重要一步。
福布斯通知Digital Journal:“在与勒索软件的奋斗中,多国打击勒索软件组织REvil的重要性再怎么强调也不为过。随着该组织被迫下线,其局部服务器据称被劫持,最臭名远扬的勒索软件运营商之一——往年早些时候对肉类加工商JBS和软件供应商Kaseya进行了攻打——曾经中断。”
新闻来源:
https://www.digitaljournal.co…
因被辞退,员工利用“爬虫”删除公司数据
因被公司辞退心生不满,编写“爬虫”程序植入管制平台网站后,对公司的相干数据代码进行删除,造成公司经济损失10余万元。近日,录某某因涉嫌毁坏计算机信息零碎罪,被上海市杨浦区检察院提起公诉。
往年3月,录某某应聘到北京某信息技术有限公司杨浦子公司工作,负责某网购平台优惠券、估算等零碎的代码研发。同年6月中旬,录某某因工作不符合要求被公司辞退。
于是,录某某利用自己账户还未登记的机会登录公司电脑系统代码管制平台,将本人编写的“爬虫”程序植入上述零碎中,造成原先存档在该平台上的优惠券、估算零碎和补贴规定等代码被删除。
6月下旬,公司将估算零碎上线时,才发现来历不明的“爬虫”程序已植入该零碎,造成很多数据和代码被删除。
公司随即组织研发人员对电脑系统进行筛查,发现服务器日志上显示删除工夫正是录某某到职当天,且过后录某某正在工位上操作计算机,于是认为录某某有重大作案嫌疑,立刻向公安机关报案。
办案检察官认为录某某利用“爬虫”程序删除代码,导致该公司优惠券等商业活动延期公布6天,第三方数据公司复原数据库破费2.2万余元,领取员工加班费2万余元,流动延期导致经济损失10万余元,应答录某某以毁坏计算机信息零碎罪查究刑事责任。
新闻来源:
http://news.china.com.cn/2021…
MediaMarkt受到Hive勒索软件的攻打,勒索赎金为2.4亿美元
电子批发巨头MediaMarkt遭逢了Hive勒索软件,最后的赎金要求为2.4亿美元,导致IT零碎敞开,荷兰和德国的商店经营中断。
MediaMarkt是欧洲最大的生产电子产品零售商,在13个国家/地区领有1,000多家商店。MediaMarkt领有约53,000名员工,总销售额为208亿欧元。
MediaMarkt在周日早晨至周一早上蒙受了勒索软件攻打,加密服务器和工作站并导致IT零碎敞开,以避免攻打蔓延。
BleepingComputer理解到,这次攻打影响了整个欧洲的泛滥零售店,次要是荷兰的零售店。
尽管在线销售持续按预期进行,但收银机无奈承受信用卡或受影响商店的打印收据。因为无奈查找以前的购买,零碎中断也阻止了退货。当地媒体报道称,MediaMarkt外部通信通知员工防止应用加密零碎并断开收银机与网络的连贯。
Twitter上公布的涉嫌外部通信的屏幕截图显示,此次攻打影响了3,100台服务器。然而,BleepingComputer目前无奈证实这些说法。BleepingComputer已确认HiveRansomware操作是这次攻打的幕后黑手,最后要求取得2.4亿美元的巨额赎金。
Hive勒索软件是2021年6月推出的一项绝对较新的操作,它会通过带有恶意软件的网络钓鱼流动毁坏组织。一旦他们取得对网络的拜访权限,威逼行为者将通过网络横向流传,同时窃取未加密的文件以用于巧取豪夺。当他们取得Windows域控制器的管理员拜访权限时,他们会在整个网络中部署勒索软件以加密所有设施。
新闻来源:
https://www.bleepingcomputer….
美国制裁Chatex加密货币交易所
美国财政部发表对Chatex加密货币交易所施行制裁,该机构帮忙勒索软件团伙回避制裁并促成赎金交易。财政部还在9月批准了与俄罗斯有关联的Suex加密货币交易所,因为它帮忙了至多八个勒索软件组织,其已知交易的40%以上与非法行为者无关。
“Chatex上已知的交易的分析表明,超过一半的被间接追踪到非法的或高风险的流动,如暗网市场,高风险交换,勒索”财政部称。通过制裁为勒索软件团伙提供物质反对的加密货币交易所,美国心愿耗尽他们的资金并毁坏他们的经营。
财政部补充说:“像Chatex这样无原则的虚构货币交易对勒索软件流动的盈利能力至关重要,尤其是通过洗钱和为犯罪分子兑现收益。财政部将持续应用所有可用的势力来毁坏歹意网络行为者,阻止不义之财,并阻止对美国人民采取更多口头。”
新闻来源:
https://www.bleepingcomputer….
欧洲刑警组织发表拘捕与REvil、GandCrab勒索软件无关的7人
欧洲刑警组织周一发表,多个国家的执法机构共拘捕了7名涉嫌与REvil和GandCrab勒索软件口头无关的人。
拘捕口头自2月以来始终在进行——三名嫌疑人在韩国被捕,一名在科威特,两名在罗马尼亚,一名在一个未具名的欧洲国家。据信,其中五名嫌疑人参加了利用REvil(又名Sodinokibi)勒索软件的网络攻击,而另外两人则与GandCrab攻打无关。
最近的拘捕口头是在11月4日进行的,他们的指标是位于罗马尼亚和科威特的三人。
在这个未具名的欧洲国家被捕的人可能是上个月在波兰被捕的乌克兰国民Yaroslav Vasinskyi。
据美国有线电视新闻网报道,美国已要求引渡Vasinskyi面临与应用REvil勒索软件无关的指控,包含针对IT公司Kaseya的攻打。预计司法部将于周一发表对Vasinskyi和俄罗斯国民Yevgeniy Polyanin的指控,后者依然在逃。
预计司法部还将发表没收Polyanin收到的600万美元勒索软件付款。
值得注意的是,2019年呈现的REvil被形容为GandCrab的继任者。这些勒索软件家族已被用于针对几家大公司的攻打,其运营商要求领取数百万甚至数千万美元的赎金。
最近产生的一系列攻打,包含对Kaseya和Colonial Pipeline的攻打,导致当局加大了打击勒索软件的力度,导致拘捕、网络犯罪分子发表敞开,以及执法部门中断经营。
新闻来源:
https://www.securityweek.com/…
安全漏洞威逼
Babuk勒索软件正在利用ProxyShell破绽
据Cisco Talos的平安钻研人员称,最近察看到的Babuk勒索软件流动针对的是Microsoft Exchange Server中的ProxyShell破绽。
钻研人员发现有迹象表明攻击者正在利用China Chopper web shell进行初始入侵,而后将其用于部署Babuk。
这些问题被追踪为CVE-2021-34473、CVE-2021-34523和CVE-2021-31207,在4月和5月失去解决,技术细节在8月公开。未经身份验证的攻击者能够将谬误链接到任意代码执行。
过来几个月来,利用平安谬误的攻打始终在继续,思科的钻研人员示意,自2021年7月以来始终沉闷的Tortilla威逼攻击者已开始针对Exchange Server破绽进行攻打。
所采纳的感化链具备一个两头解包模块,该模块从pastebin.pl(pastebin.com的克隆)下载,而后在解密和执行最终无效负载之前在内存中解码。
Cisco Talos发现针对ProxyShell和PetitPotam破绽的批改后的EfsPotato破绽被用于初始入侵。
一旦执行,Babuk勒索软件会尝试禁用受益服务器上的一系列过程,进行备份产品,并删除卷影服务(VSS)快照。接下来,它会加密服务器上的所有文件,并将文件扩展名.babyk附加到这些文件中。上周公布了Babuk的收费解密工具。
而后勒索软件会部署一张赎金票据,要求受害者领取10,000美元的赎金以换取解密密钥。
Babuk最后于2021年1月具体介绍,始终针对企业环境中的Windows和Linux零碎,并应用相当简单的密钥生成机制来避免文件复原。
新闻来源:
https://www.securityweek.com/…
发表回复