INC RANSOM 从苏格兰 NHS 中窃取 3TB 的数据
发布时间 2024-03-293月27日,INC 勒索勒索团伙将苏格兰国家医疗服务体系 (NHS) 添加到其 Tor 泄露网站的受害者名单中。该网络犯罪组织声称窃取了 3 TB 的数据,并威胁要泄露这些数据。苏格兰的 NHS(即国民医疗服务体系)是为苏格兰服务的公共资助的医疗保健系统。它提供广泛的医疗保健服务,包括医院、全科医生 (GP)、心理健康服务和社区医疗保健。苏格兰政府负责监督苏格兰的 NHS,其运作与英格兰、威尔士和北爱尔兰的 NHS 系统分开。NHSScotland 目前拥有约 140000 名员工,分布在 14 个地区 NHS 委员会、7 个 NHS 特别委员会和 1 个公共卫生机构。每个 NHS 委员会都对苏格兰部长负责,并得到苏格兰政府卫生和社会保健理事会的支持。地区 NHS 委员会负责保护和改善其人民的健康并提供一线医疗保健服务。特别 NHS 委员会通过提供一系列重要的专家和国家服务来支持地区 NHS 委员会。
https://securityaffairs.com/161143/data-breach/inc-ransom-hacked-national-health-service-of-scotland.html
2. Stork 监控工具中的漏洞可能导致服务器被劫持
2月27日,安全研究人员在 Stork 中发现了一个严重漏洞(CVE-2024-28872),Stork 是 Kea DHCP 服务器的流行开源网络监控工具。这个缺陷可能导致攻击者可能会劫持 Stork 服务器、破坏敏感数据并破坏基本网络服务。该漏洞存在于 Stork 验证 TLS 证书的方式中。攻击者可以通过从 Stork 服务器获取有效的 TLS 证书并使用它连接到 Stork 代理(与受监控服务一起运行的软件)来利用此缺陷。一旦建立连接,攻击者就可以向受监控的服务(例如 Kea 或 BIND 9)发送具有提升权限的恶意命令。尽快将 Stork 更新到最新的修补版本(1.15.1 或更高版本)。
https://securityonline.info/cve-2024-28872-vulnerability-in-stork-monitoring-tool-could-enable-server-takeover/
3. WarzoneRAT 卷土重来,部署复杂的多阶段攻击
3月27日, WarzoneRAT(也称为 Avemaria)在 2 月份 FBI 扣押其基础设施导致短暂中断后卷土重来。根据Cyble 研究与情报实验室的一份新报告(CRIL),威胁行为者现在正在秘密、多阶段攻击中积极部署这种增强型 RAT。最新的 WarzoneRAT活动主要通过以税收为主题的垃圾邮件来针对受害者,巧妙地利用及时且经常引起焦虑的主题来增加用户打开恶意附件的可能性。WarzoneRAT 的卷土重来提醒人们,即使是中断的恶意软件操作也可能会迅速恢复,而且通常会以更复杂的形式恢复。主动警惕和分层防御策略对于个人和组织保护自己免受这种不断变化的威胁至关重要。
https://securityonline.info/infamous-warzonerat-malware-returns-deploys-sophisticated-multi-stage-attacks/
4. 隐秘的新 Golang 木马利用虚假证书进行逃避通信
3月27日,安全研究人员发现了一种用 Golang 编程语言编写的狡猾的新木马。这种阴险的恶意软件采用一系列欺骗策略,包括地理检查和安装欺诈性根证书,以维持与其命令和控制 (C2) 服务器的隐藏通信通道。这种复杂的特洛伊木马首先拍摄受感染系统的快照,可能会收集有针对性的攻击的重要信息。然后,它会大胆地在 Windows 注册表中安装伪造的根证书。这一邪恶步骤使其能够拦截并可能操纵加密的 HTTPS 流量,从而使用户容易遭受数据盗窃。虽然没有特定的恶意软件家族与该木马相关,但研究人员警告说,在之前与 PureLog Stealer、AgentTesla 和 GuLoader 等臭名昭著的威胁相关的活动中已经发现了所涉及的 IP 和 URL 地址。
https://securityonline.info/stealthy-new-golang-trojan-exploits-fake-certificates-for-evasive-communication/
5. CISA 发布网络事件报告规则草案
3月28日,美国最高网络安全机构公布了一项新规则的初稿,详细说明了关键基础设施组织需要如何向联邦政府报告网络攻击。网络安全和基础设施安全局 (CISA)根据《关键基础设施网络事件报告法》向《联邦公报》发布了447 页的法规,允许公众对其发表评论。国土安全部部长亚历杭德罗·马约卡斯表示,这些信息将使 CISA 和其他机构能够更好地应对事件并找出美国关键基础设施中的薄弱环节。CIRCIA 要求某些关键基础设施组织在 72 小时内报告网络事件,并在 24 小时内报告勒索软件付款。该法律涵盖的事件包括“对组织的运作能力或国家安全、公共健康或安全造成重大损害或构成重大威胁”的事件。
https://therecord.media/cisa-publishes-circia-rule-cyber-incident-reporting
6. 德克萨斯州和佐治亚州的市政服务遭到勒索攻击
3月28日,美国各地的国家机构继续面临勒索软件攻击的干扰。佐治亚州吉尔默县政府在其网站上发布通知,警告勒索软件攻击正在影响其向 30000 多名居民提供服务的能力。“吉尔默县最近发现并响应了勒索软件事件,并已使受影响的系统离线,同时我们致力于安全地保护和恢复服务。与此同时,公众应该预料到县政府会因此造成延误。”通知称。吉尔默县向联邦执法部门发出了警报,并聘请了一家网络安全公司来解决此次攻击造成的中断问题。富尔顿县是亚特兰大的所在地,在 1 月份遭受 LockBit 勒索软件团伙攻击后,该县仍在恢复关键服务。
https://therecord.media/texas-georgia-municipalities-face-disruptions-from-ransomware
京公网安备11010802024551号