每周安全速遞31?|RansomHub組織利用TDSSKiller安全工具進行攻擊
發布時間:2024-09-14
閱讀次數: 1974 次
本周熱點事件威脅情報
RansomHub組織利用TDSSKiller安全工具進行攻擊
卡巴斯基創建了一種名為TDSSKiller的工具,該工具可以掃描系統中是否存在rootkit和bootkit。研究人員最近發現RansomHub勒索組織濫用TDSSKiller工具,通過命令行腳本或批處理文件與內核級服務進行交互,從而禁用運行在機器上的Malwarebytes反惡意軟件服務(MBAMService)。然后,RansomHub組織部署LaZagne憑證收集工具,從各種應用程序數據庫中提取登錄信息,用于在網絡中進行橫向移動。
https://www.threatdown.com/blog/new-ransomhub-attack-uses-tdskiller-and-lazagne-disables-edr/
Akira勒索組織利用SonicWall設備中的漏洞進行攻擊活動
近期,SonicWall披露了SonicOS中的一個安全漏洞CVE-2024-40766,該漏洞影響了一些SonicWall防火墻設備,并會影響防火墻的SSLVPN功能。研究人員發現,Akira勒索組織通過入侵SonicWall設備上的SSLVPN用戶賬號進行勒索軟件攻擊。在發現的每起案例中,被盜用的賬號都是設備本身的本地賬號,并且這些賬號均未開啟多因素認證(MFA)。強烈建議運行受影響SonicWall產品的組織盡快升級到最新支持的SonicOS固件版本。此外,按照SonicWall的建議,應為所有本地管理的SSLVPN賬號啟用多因素認證(MFA)。https://arcticwolf.com/resources/blog/arctic-wolf-observes-akira-ransomware-campaign-targeting-sonicwall-sslvpn-accounts/Mallox勒索軟件背后的攻擊組織于2021年上半年開始運作,首個已知的加密樣本被發現于2021年5月。該勒索軟件是根據特定受害者定制的,目標公司的名稱被硬編碼在勒索信中并作為加密文件的擴展名。2023年,與Mallox勒索軟件相關的攻擊活動有所增加,發現的樣本總數超過700個。2024年上半年,該惡意軟件仍在積極開發中,每月發布多個新版本,同時,其背后的攻擊組織也在暗網論壇中招募新的攻擊者。
https://securelist.com/mallox-ransomware/113529/
攻擊者使用Fog勒索軟件針對金融行業進行攻擊
Fog勒索軟件是STOP/DJVU勒索軟件家族的一個變種,首次發現于2021年,其背后的攻擊者主要以教育和娛樂行業進行攻擊,現在開始針對金融行業進行攻擊。研究人員在2024年8月發現一起針對金融行業客戶的勒索軟件攻擊活動,攻擊者在Windows及Linux操作系統上部署了一種名為“Fog”(又名“Lost in the Fog”)的勒索軟件變種。被Fog勒索軟件加密的文件通常含有“.FOG”或“.FLOCKED”的擴展名,并附有名為“readme.txt”的勒索信。
https://adlumin.com/post/fog-ransomware-now-targeting-the-financial-sector
研究人員披露CyberVolk勒索軟件
CyberVolk勒索軟件于2024年7月首次被發現。CyberVolk勒索軟件最初使用AES加密算法對受害者的文件進行加密。后來,攻擊者發布了該勒索軟件的新變種,該變種結合了更強的加密算法,包括ChaCha20-Poly1305、AES加密算法,甚至是抗量子技術。研究人員表示,該攻擊組織已通過勒索軟件攻擊賺取了超過20000美元。
https://securityonline.info/cybervolk-ransomware-a-new-and-evolving-threat-to-global-cybersecurity
浙公網安備 33010502006954號 
