1. Bitdefender发布ShrinkLocker勒索软件解密器
11月13日,Bitdefender发布了针对ShrinkLocker勒索软件的解密器,并发表了一篇详细解释其工作原理的研究博客。ShrinkLocker利用Windows的合法功能BitLocker,快速加密包括系统驱动器在内的整个驱动器,然后删除恢复选项。该勒索软件首次在中东一家医疗保健公司的事件中被发现,攻击者通过横向移动在系统内部署ShrinkLocker。它针对墨西哥、印度尼西亚和约旦的组织,影响了钢铁、疫苗制造等行业及政府实体。与依赖复杂加密算法的现代勒索软件不同,ShrinkLocker采用更简单的方法,先检查BitLocker是否启用,若未启用则安装,并使用随机生成的密码重新加密系统。重启后,用户需输入密码解锁驱动器,支付赎金以换取解密密钥。该勒索软件的简单性使其对低级网络犯罪分子具有吸引力,且已被多个威胁行为者改编用于更简单的攻击。ShrinkLocker可在旧版Windows和Server系统上执行。微软曾表示,伊朗政府支持的威胁组织滥用BitLocker功能进行攻击,其他网络犯罪分子也使用类似技术。
https://therecord.media/bitdefender-releases-decryptor-shrinklocker
2. 1.22亿商业联系信息遭B2B平台DemandScience数据泄露
11月13日,现已确认,自2024年2月以来,B2B需求生成平台DemandScience(前身为Pure Incubation)的1.22亿人的商业联系信息被窃取并在网络犯罪论坛上出售。这些数据包括全名、地址、电子邮件、电话号码、职位和社交媒体链接等,是从公共来源和第三方收集的。2024年2月,名为“KryptonZambie”的威胁行为者在BreachForums上声称这些数据是从Pure Incubation的暴露系统中窃取的。DemandScience当时否认存在泄露,并表示其系统未受攻击。然而,到2024年8月15日,KryptonZambie免费泄露了数据集。特洛伊·亨特在博客文章中确认数据真实可靠,并指出泄露的数据来自DemandScience两年前已退役的系统。亨特还确认泄露的数据中包括他自己的记录。被盗数据集中的所有1.22亿个唯一电子邮件地址已添加到“Have I Been Pwned”中,受影响的订阅者将收到通知。
/news/security/leaked-info-of-122-million-linked-to-b2b-data-aggregator-breach/
3. 伊朗黑客组织TA455针对航空航天行业发起网络钓鱼攻击
11月14日,自去年9月起,一项针对LinkedIn等平台用户的网络钓鱼活动开始活跃,该活动由与伊朗相关的威胁行为者TA455发起。TA455采用鱼叉式网络钓鱼方法,冒充航空航天行业的招聘人员与受害者建立联系,并诱导他们下载名为“SIgnedConnection.zip”的压缩文件。同时,威胁行为者还提供PDF指南,指导受害者如何安全下载和打开该文件。然而,该压缩文件实际上包含一个可执行文件,通过DLL侧载将名为“secure32.dll”的恶意DLL文件加载到受害者系统中,使攻击者能够运行未被检测到的代码。随后,恶意软件启动感染链,最终部署由另一个伊朗威胁行为者Charming Kitten开发的Snail Resin恶意软件,并打开名为“SlugResin”的后门。TA455使用多种逃避检测的方法,包括在GitHub上对命令和控制(C2)通信进行编码,以及模仿Lazarus Group的策略,使得归因变得复杂。由于TA455主要针对航空航天专业人士,因此该领域的LinkedIn等平台用户应警惕来自未知来源的消息和联系。
/cyberattacks-data-breaches/iranian-cybercriminals-aerospace-workers-linkedin
4. 美国药房联合会(AAP)遭Embargo勒索软件攻击
11月13日,美国药房联合会(AAP)成为最新一家数据遭到网络犯罪分子窃取和加密的美国医疗保健组织。AAP成立于2009年,管理着全美2000多家独立药房。Embargo勒索软件行动的犯罪分子声称对此次袭击负责,他们窃取了AAP的1.469TB数据并要求付款才能恢复信息。Embargo是一个相对较新的勒索软件组织,于今年6月首次被研究人员注意到。尽管AAP尚未正式确认遭到攻击,但其网站已警告所有用户密码最近均被强制重置,但未解释原因或提及网络攻击。同时,Embargo声称AAP已支付130万美元来解密系统,并要求再支付130万美元来掩盖被盗文件。如果该说法属实,那么Embargo提出的要求将超过美国联邦调查局今年早些时候公布的平均水平。目前尚不清楚勒索软件组织从AAP窃取了哪些数据,但该药房网络必须在11月20日之前支付剩余的“余额”,否则其数据将被泄露到网上。
/2024/11/13/embargo_ransomware_breach_aap/
5. D-Link停产NAS设备遭CVE-2024-10914漏洞攻击
11月13日,安全研究员Netsecfish发现了一个严重漏洞(CVE-2024-10914),该漏洞影响多种已停产的D-Link网络附加存储(NAS)设备。攻击者可通过发送恶意HTTP GET请求,向在线暴露的易受攻击设备注入任意shell命令。D-Link在上周五表示不会修复此漏洞,并建议客户淘汰受影响的设备或升级到较新的产品。然而,Shadowserver威胁监控服务发现,从11月12日开始,已有威胁行为者开始瞄准该漏洞。Shadowserver警告称,应将从互联网上移除易受攻击的EOL/EOS设备。Netsecfish在互联网扫描中发现了超过41,000个易受攻击设备的唯一IP地址。此外,今年4月,Netsecfish还报告了另一个影响几乎相同D-Link NAS型号的漏洞(CVE-2024-3273)。由于这些设备没有自动更新功能或客户外联功能来推送警报,因此建议那些使用报废设备的人尽快限制互联网访问,以避免成为勒索软件攻击的目标。D-Link强调,继续使用这些设备可能会对连接的设备造成风险,并警告消费者确保设备具有最新的固件。
/news/security/critical-bug-in-eol-d-link-nas-devices-now-exploited-in-attacks/
6. 希博伊根市遭网络攻击,黑客索要赎金并致技术故障
11月13日,威斯康星州希博伊根市本周遭遇了网络攻击,导致技术故障,并收到了黑客的赎金要求。自10月下旬以来,该市一直在应对这些问题,并在周日证实了黑客未经授权访问了该市的网络。尽管该市没有透露赎金数额或提出要求的组织名称,但他们已向执法部门报告了此事件,并与网络安全专家合作解决攻击引起的问题。同时,他们隔离了部分网络以保护其他网络并阻止黑客入侵。此次攻击对公共安全服务造成了一定影响,但基于云的服务仍在运行,员工可以进行在线交流。希博伊根市位于密尔沃基以北约一小时车程处,过去两年中,威斯康星州政府机构曾多次遭受勒索软件攻击,因此该州对此类攻击保持高度警惕。
https://therecord.media/sheboygan-wisconsin-hackers-demand-ransom
[来源: 启明星辰]