勒索软件团伙开始公开部分 Change Healthcare 的数据
发布时间 2024-04-174月15日,RansomHub 勒索团伙已开始公开他们声称从 United Health 子公司 Change Healthcare 窃取的公司和患者数据,这对该公司来说是一个漫长而复杂的勒索过程。今年 2 月, Change Healthcare 遭受了网络攻击 ,对美国医疗保健系统造成了严重破坏,导致药房和医生无法向保险公司开具账单或提出索赔。这次攻击最终 与 BlackCat/ALPHV 勒索软件操作有关,该勒索软件后来说他们 在攻击期间窃取了 6 TB 数据。威胁行为者开始公开他们声称在 2 月份勒索软件攻击期间从 Change Healthcare 窃取的文件的屏幕截图。屏幕截图包括 Change Healthcare 与保险提供商(包括 CVS Caremark、Health Net 和 Loomis)之间的数据共享协议。其他文件包含会计数据,包括账龄报告、保险付款报告和其他财务信息。
https://www.bleepingcomputer.com/news/security/ransomware-gang-starts-leaking-alleged-stolen-change-healthcare-data/
2. CISCO DUO 警告电话供应商数据泄露导致 MFA 短信日志暴露
4月15日,Cisco Duo 警告其一家电话供应商发生数据泄露事件,导致通过 SMS 和 VOIP 发送给客户的多因素身份验证 (MFA) 消息受到损害。该安全漏洞发生于 2024 年 4 月 1 日,威胁行为者使用了通过网络钓鱼攻击非法获得的提供商员工的凭据。然后,他们使用该访问权限下载了一组属于客户 Duo 帐户的 MFA 短信日志。更具体地说,威胁行为者下载了 2024 年 3 月 1 日至 2024 年 3 月 31 日期间发送给您 Duo 帐户下的某些用户的 SMS 消息的消息日志。消息日志不包含任何消息内容,但包含电话号码,每条消息发送到的电话运营商、国家和州,以及其他元数据(例如消息的日期和时间、消息类型等)。阅读发送给受影响个人的数据泄露通知。攻击者可以访问每条消息发送到的电话号码、电话运营商、国家和州。攻击者还获得了其他元数据,包括消息的日期和时间、消息类型等。发现此事后,供应商立即展开调查并采取缓解措施。
https://securityaffairs.com/161880/cyber-crime/cisco-duo-data-breach.html
3. SteganoAmor 攻击使用隐写术攻击全球 320 个组织
4月16日,TA558 黑客组织开展的一项新活动正在使用隐写术将恶意代码隐藏在图像内,从而将各种恶意软件工具传递到目标系统上。隐写术是一种将数据隐藏在看似无害的文件中的技术,使用户和安全产品无法检测到它们。TA558 是一个自 2018 年以来一直活跃的威胁组织,以 针对全球酒店和旅游组织(尤其是拉丁美洲)而闻名。Positive Technologies 发现了该组织的最新活动,由于广泛使用隐写术,被称为“SteganoAmor”。研究人员在此次活动中发现了 320 多次攻击,影响了各个部门和国家。这些攻击从包含看似无害的文档附件(Excel 和 Word 文件)的恶意电子邮件开始,这些附件利用了 CVE-2017-11882 ,这是 2017 年修复的一个常见目标 Microsoft Office 公式编辑器漏洞。
https://www.bleepingcomputer.com/news/security/new-steganoamor-attacks-use-steganography-to-target-320-orgs-globally/
4. BLACKJACK使用ICS恶意软件FUXNET攻击俄罗斯的目标
4月15日,工业和企业物联网网络安全公司 Claroty 报告称,乌克兰 Blackjack 黑客组织声称使用名为 Fuxnet 的破坏性 ICS 恶意软件破坏了莫斯科及俄罗斯首都以外地区的紧急检测和响应能力。据信, Blackjack 组织与乌克兰情报机构有关联,该机构对俄罗斯目标进行了其他攻击,包括 互联网提供商 和 军事基础设施。该组织声称袭击了总部位于莫斯科的 Moscollector 公司,该公司负责地下水、污水和通信基础设施的建设和监测。ruexfil.com网站提供了有关 Moscollector 攻击的详细信息,黑客还发布了他们声称受到损害的监控系统、服务器和数据库的屏幕截图。
https://securityaffairs.com/161865/hacking/blackjack-ics-malware-fuxnet.html
5. 黑客定制 LockBit 3.0 勒索软件来攻击全球组织
4月16日,卡巴斯基实验室的网络安全研究人员发现了证据,表明网络犯罪团伙正在定制恶意的 LockBit 3.0 勒索软件,以针对全球组织进行有针对性的攻击。这使得威胁行为者能够定制恶意软件,以针对特定目标产生最大的影响和有效性。这些发现来自研究人员对泄露的LockBit 3.0构建器的分析,该构建器于 2022 年首次出现在地下论坛上。该构建器使犯罪分子能够通过配置网络传播功能和禁用防御等选项来生成勒索软件的定制版本。调查人员发现攻击者已成功窃取纯文本管理员凭据。然后,他们使用 LockBit 构建器生成定制的勒索软件变体,能够利用这些被盗的权限在网络上快速传播。定制的恶意软件在对受感染系统中的数据进行加密之前,会破坏 Windows Defender 保护并删除事件日志以掩盖其踪迹。
https://gbhackers.com/hacker-customize-lockbit-3-0-ransomware-to-attack-orgs-worldwide/
6. 混乱的 Libra 将重点转向SaaS和云以进行勒索攻击
4月15日,据观察,被称为Muddled Libra的攻击者积极针对软件即服务 (SaaS) 应用程序和云服务提供商 (CSP) 环境,以窃取敏感数据。威胁行为者已经开始尝试利用其中一些数据来协助他们的攻击进展,并在试图通过他们的工作获利时用于勒索。Muddled Libra,也称为 Starfraud、UNC3944、Scatter Swine 和 Scattered Spider,是一个臭名昭著的网络犯罪组织,利用复杂的社会工程技术来获得对目标网络的初始访问权限。攻击者还曾以多种方式通过访问受害者网络来获利,包括通过勒索软件和数据盗窃进行勒索。威胁行为者战术演变的一个关键方面是,在冒充帮助台工作人员通过电话获取密码时,使用侦察技术来识别目标管理用户。侦察阶段还延伸到 Muddled Libra 进行广泛的研究,以查找有关目标组织使用的应用程序和云服务提供商的信息。
https://thehackernews.com/2024/04/muddled-libra-shifts-focus-to-saas-and.html?&web_view=true
京公网安备11010802024551号