每周安全速递³¹⁰|RansomHub组织利用TDSSKiller安全工具进行攻击
发布时间:2024-09-14
阅读次数: 720 次
本周热点事件威胁情报
RansomHub组织利用TDSSKiller安全工具进行攻击
卡巴斯基创建了一种名为TDSSKiller的工具,该工具可以扫描系统中是否存在rootkit和bootkit。研究人员最近发现RansomHub勒索组织滥用TDSSKiller工具,通过命令行脚本或批处理文件与内核级服务进行交互,从而禁用运行在机器上的Malwarebytes反恶意软件服务(MBAMService)。然后,RansomHub组织部署LaZagne凭证收集工具,从各种应用程序数据库中提取登录信息,用于在网络中进行横向移动。
https://www.threatdown.com/blog/new-ransomhub-attack-uses-tdskiller-and-lazagne-disables-edr/
Akira勒索组织利用SonicWall设备中的漏洞进行攻击活动
近期,SonicWall披露了SonicOS中的一个安全漏洞CVE-2024-40766,该漏洞影响了一些SonicWall防火墙设备,并会影响防火墙的SSLVPN功能。研究人员发现,Akira勒索组织通过入侵SonicWall设备上的SSLVPN用户账号进行勒索软件攻击。在发现的每起案例中,被盗用的账号都是设备本身的本地账号,并且这些账号均未开启多因素认证(MFA)。强烈建议运行受影响SonicWall产品的组织尽快升级到最新支持的SonicOS固件版本。此外,按照SonicWall的建议,应为所有本地管理的SSLVPN账号启用多因素认证(MFA)。https://arcticwolf.com/resources/blog/arctic-wolf-observes-akira-ransomware-campaign-targeting-sonicwall-sslvpn-accounts/Mallox勒索软件背后的攻击组织于2021年上半年开始运作,首个已知的加密样本被发现于2021年5月。该勒索软件是根据特定受害者定制的,目标公司的名称被硬编码在勒索信中并作为加密文件的扩展名。2023年,与Mallox勒索软件相关的攻击活动有所增加,发现的样本总数超过700个。2024年上半年,该恶意软件仍在积极开发中,每月发布多个新版本,同时,其背后的攻击组织也在暗网论坛中招募新的攻击者。
https://securelist.com/mallox-ransomware/113529/
攻击者使用Fog勒索软件针对金融行业进行攻击
Fog勒索软件是STOP/DJVU勒索软件家族的一个变种,首次发现于2021年,其背后的攻击者主要以教育和娱乐行业进行攻击,现在开始针对金融行业进行攻击。研究人员在2024年8月发现一起针对金融行业客户的勒索软件攻击活动,攻击者在Windows及Linux操作系统上部署了一种名为“Fog”(又名“Lost in the Fog”)的勒索软件变种。被Fog勒索软件加密的文件通常含有“.FOG”或“.FLOCKED”的扩展名,并附有名为“readme.txt”的勒索信。
https://adlumin.com/post/fog-ransomware-now-targeting-the-financial-sector
研究人员披露CyberVolk勒索软件
CyberVolk勒索软件于2024年7月首次被发现。CyberVolk勒索软件最初使用AES加密算法对受害者的文件进行加密。后来,攻击者发布了该勒索软件的新变种,该变种结合了更强的加密算法,包括ChaCha20-Poly1305、AES加密算法,甚至是抗量子技术。研究人员表示,该攻击组织已通过勒索软件攻击赚取了超过20000美元。
https://securityonline.info/cybervolk-ransomware-a-new-and-evolving-threat-to-global-cybersecurity