勒索软件组织通过伪造PuTTy和WinSCP恶意广告针对Windows系统管理员发起攻击
一种勒索软件操作针对Windows系统管理员,通过投放Google广告来推广假的PuTTy和WinSCP下载网站。WinSCP和PuTTy是流行的Windows工具,WinSCP是一个SFTP客户端和FTP客户端,PuTTy是一个SSH客户端。系统管理员在Windows网络中通常拥有更高的权限,使他们成为威胁行为者的宝贵目标,这些行为者希望快速传播网络,窃取数据,并访问网络的域控制器以部署勒索软件。在搜索“download winscp”或“download putty”时,一个搜索引擎广告活动显示了假的PuTTy和WinSCP网站的广告。目前尚不清楚该活动是发生在Google还是Bing上。这些广告使用了拼写错误的域名,如puutty.org、puutty[.]org、wnscp[.]net和vvinscp[.]net。
https://www.rapid7.com/blog/post/2024/05/13/ongoing-malvertising-campaign-leads-to-ransomware/
电子处方提供商MediSecure遭遇大规模勒索软件导致数据泄露
澳大利亚的电子处方提供商MediSecure由于疑似来自第三方供应商的勒索软件攻击,已经关闭了其网站和电话线。该事件影响了个人和健康信息,但目前影响程度尚不清楚。MediSecure自2009年以来一直运营,为医疗专业人士提供管理和分发药物的数字工具。公司通过其私人和州支持的eRx系统发出了数百万份电子处方。直到2009年11月,它是澳大利亚仅有的两个无纸化处方网络之一。今天,该公司宣布其受到服务供应商之一的网络安全事件的间接影响,导致数据泄露。“MediSecure已确定一起网络安全事件,影响了个人和健康信息。我们已采取紧急措施以减轻对我们系统的任何潜在影响,”公告中写道。
参考链接:
https://www.medisecure.com.au/
Storm-1811组织利用Microsoft的快速协助功能进行勒索软件攻击
研究人员表示,它发现一个名为Storm-1811的威胁行为者滥用客户端管理工具Quick Assist来针对用户进行社会工程攻击。Storm-1811是一个出于经济动机的网络犯罪组织,以部署Black Basta勒索软件而闻名。该攻击链涉及通过语音网络钓鱼进行模拟,诱骗毫无戒心的受害者安装远程监控和管理(RMM)工具,然后传播QakBot、Cobalt Strike,最终传播Black Basta勒索软件。攻击者滥用Quick Assist功能来执行社会工程攻击,例如,冒充微软技术支持等可信联系人或目标用户公司的IT专业人员,以获得对目标设备的初始访问权限。
参考链接:
https://www.microsoft.com/en-us/security/blog/2024/05/15/threat-actors-misusing-quick-assist-in-social-engineering-attacks-leading-to-ransomware/
horpiex僵尸网络发送了数百万封钓鱼电子邮件以开展LockBit Black勒索软件活动
自4月份以来,已通过Phorpiex僵尸网络发送了数百万封钓鱼电子邮件,以开展大规模的LockBit Black勒索软件活动。攻击者使用包含部署LockBit Black有效负载的可执行文件的ZIP附件,该有效负载一旦启动就会对接收者的系统进行加密。这些攻击中部署的LockBit Black加密器很可能是使用一名心怀不满的开发人员于2022年9月在Twitter上泄露的LockBit 3.0构建器构建的。不过,据信该活动与实际的LockBit勒索软件操作没有任何关系。
参考链接:
https://www.bleepingcomputer.com/news/security/botnet-sent-millions-of-emails-in-lockbit-black-ransomware-campaign/
INC勒索软件源代码在黑客论坛上售价30万美元
一名名为“salfetka”的网络犯罪分子声称正在出售INC Ransom的源代码,INC Ransom是一项于2023年8月推出的勒索软件即服务(RaaS)操作。INC此前的目标是施乐商业解决方案公司(XBS)的美国分部、菲律宾雅马哈汽车公司,以及最近的苏格兰国家医疗服务体系(NHS)。在涉嫌出售的同时,INC赎金业务正在发生变化,这可能表明其核心团队成员之间存在裂痕,或者计划进入涉及使用新加密器的新篇章。威胁行为者宣布在Exploit和XSS黑客论坛上出售INC的Windows和Linux/ESXi版本,要价30万美元,并将潜在买家数量限制为三个。
参考链接:
https://www.bleepingcomputer.com/news/security/inc-ransomware-source-code-selling-on-hacking-forums-for-300-000/
美创科技第59号安全实验室,专注于数据安全技术领域研究,聚焦于安全防御理念、攻防技术、漏洞挖掘等专业研究,进行知识产权转化并赋能于产品。自2021年起,累计向CNVD、CNNVD等平台提报数千个高质量原创漏洞,并入选国家信息安全漏洞库(CNNVD)技术支撑单位(二级)、信创政务产品安全漏洞库支撑单位,团队申请发明专利二十余项,发表多篇科技论文,著有《数据安全实践指南》、《内网渗透实战攻略》等。
浙公网安备 33010502006954号 
