1月2日,星期四,您好!中科汇能与您分享信息安全快讯:
01
以色列Planet时尚手表分销商遭RansomHub团伙渗透
2024年12月18日,RansomHub勒索团伙在其暗网Tor数据泄露站点上声称以色列Planet(planetgroup.co.il)时尚手表分销商成为其受害者,表示窃取了125GB的数据,并将于2024年12月26日公开所有信息。目前,受影响公司信息已被公开。
时间:2024/12/18
是否存在数据样例:是
影响行业:批发零售
涉及地区:以色列
02
Cactus勒索团伙窃取美国AWI物业管理公司数据
2024年12月23日,Cactus勒索团伙在其暗网Tor数据泄露站点上公布美国AWI(awimc.com)物业管理公司成为其受害者,声称窃取了高达440GB的数据,涉及个人身份信息(员工和租户)、财务文件、高管和员工个人数据、客户个人信息、公司机密数据和信件等,并发布了相关样例以证明其攻击事实。
时间:2024/12/23
是否存在数据样例:是
影响行业:建筑与地产
涉及地区:美国
03
Bashe勒索团伙入侵巴西N4 Telecom电信公司
2024年12月23日,Bashe勒索团伙在其暗网Tor数据泄露站点上公布巴西的N4 Telecom(n4telecom.com.br)电信公司成为其受害者,并将于2024年12月30日公开所有信息。
时间:2024/12/23
是否存在数据样例:否
影响行业:通信及软件信息技术服务
涉及地区:巴西
04
印度尼西亚SIPKD系统遭到Hellcat组织攻击
Hellcat勒索团伙近日在其暗网Tor数据泄露站点上以1.5比特币的价格售卖印度尼西亚SIPKD区域财务管理信息系统(bppkad.blora.go.id)的82GB数据,涉及用户和访问控制数据(用户名、哈希密码、电子邮件地址)、财务和预算数据(详细的财务交易、预算分配和支出)、税务数据(纳税人姓名、税号、金额和类别)、计划和项目管理数据(政府计划及其预算的详细信息)、行政和组织数据(政府雇员的姓名和角色、行政单位详细信息)、交易和收款(日常财务交易和收款人)、法律和监管数据(管理金融活动的法律法规)、个人身份信息(姓名、地址、纳税人ID和联系方式)等内容,并表示将于2025年1月1日公开所有信息。
时间:2024/12/25
是否存在数据样例:否
影响行业:通信及软件信息技术服务
涉及地区:印度尼西亚
05
勒索组织号称攻破Altos数据库,官方声明
近日,Space Bears勒索软件组织声称已攻破法国科技公司Atos的数据库。当地时间2024年12月29日,Atos发表在其官网发表声明称,该公司经过初步分析证明,目前没有证据表明Atos/Eviden在任何国家的系统受到勒索软件攻击影响,也未收到任何赎金要求。
Space Bears采用双重勒索策略,即先封锁系统访问,然后要求赎金,并威胁公开被盗数据。Atos表示,其网络安全团队正在积极调查此事,并将及时更新信息。
06
美国财政部遭黑客攻击
美国财政部近日遭遇了一起“重大”安全事件。报道称黑客通过其使用的第三方远程管理软件入侵了该部门的系统。
根据《纽约时报》的报道,美国财政部在一封致立法者的信中透露,负责其远程管理软件的公司BeyondTrust于12月8日通知该部门发生了数据泄露。黑客盗取BeyondTrust用于保护其云服务的一个密钥,绕过安全措施,远程访问财政部办公用户工作站以及他们所维护的一些未分类文件。
美国财政部表示,攻击发生后与美国网络安全和基础设施安全局(CISA)及联邦调查局(FBI)展开了合作。该部门发言人透露,受影响的BeyondTrust服务已被下线,目前没有证据表明黑客仍然能够访问财政部的系统或信息。
此次攻击可能与BeyondTrust本月早些时候披露的一个安全事件有关,该事件影响了使用其远程支持软件的客户。当时,BeyondTrust表示攻击源于其远程支持软件的API密钥被泄露,并立即撤销了该密钥,通知了已知受影响的客户,并在同一天暂停了相关实例。
07
黑客组织对意大利基础设施发起系列DDoS攻击
黑客组织NoName057在圣诞节期间针对意大利基础设施发起了一系列DDoS攻击,目标包括马尔彭萨机场和利纳特机场等多个网站,造成访问问题。这些攻击并未对机场的运营造成影响。
NoName057自2022年3月以来活跃,针对全球的政府和关键基础设施组织展开攻击。该组织使用多种工具实施攻击,2022年9月,Avast研究人员观察到他们利用Bobik僵尸网络发起DDoS攻击。他们通常在地缘政治紧张时期加大攻击力度,例如其他国家对乌克兰的军事或外交支持增加。
此次攻击恰逢圣诞假期,具有战略意义。网络威胁者往往会选择在组织人员减少、响应时间较慢的假期或周末进行攻击,此时IT支持、网络安全和事件响应等关键团队的运作能力可能处于最低水平,使得及时发现、减轻和恢复攻击变得更加困难。
08
工信部CSTIS提醒防范SafePay勒索病毒
2024年12月30日,工业和信息化部网络安全威胁和漏洞信息共享平台(CSTIS)发布《关于防范SafePay勒索病毒的风险提示》。根据风险提示,SafePay新型勒索病毒通过数据窃取和文件加密双重勒索机制开展攻击,可能导致数据泄露、业务中断等安全风险。
SafePay勒索病毒与LockBit勒索病毒密切相关,并深度借鉴INC和ALPHV/BlackCat等勒索病毒攻击策略。在数据窃取阶段,SafePay利用已知漏洞或弱口令实施攻击入侵,成功感染目标终端后,通过WinRAR、FileZilla等工具归档、盗取目标文件。在加密部署阶段,SafePay通过远程桌面协议(RDP)访问目标终端,利用PowerShell脚本实施文件加密、禁用恢复和删除卷影副本,对加密文件添加“.safepay”扩展名,并留下名为“readme_safepay.txt”的勒索文件。在攻击过程中,SafePay会通过COM对象技术绕过用户账户控制(UAC)和提升权限,采用禁用Windows Defender、字符串混淆、线程创建、重复安装卸载工具等机制规避检测。
CSTIS建议相关单位及用户立即组织排查,加强RDP等远程访问的安全管理,使用强密码和多因素身份验证,实施全盘病毒查杀,及时修复已知安全漏洞,谨慎警惕来源不明的文件,定期备份重要数据,防范网络攻击风险。
信息来源:人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮 卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外 天际友盟
本文版权归原作者所有,如有侵权请联系我们及时删除
原文始发于微信公众号(汇能云安全):以色列Planet时尚手表分销商遭RansomHub团伙渗透
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论