Young Consulting数据遭BlackSuit勒索软件窃取影响近百万用户
Young Consulting(现Connexure)于2024年4月10日遭遇BlackSuit勒索软件攻击,近日确认近百万名用户数据被窃取。受影响的数据包括全名、社会安全号码(SSN)、出生日期和保险索赔信息。公司发现这一数据泄露后,于4月13日启动调查,并于6月28日完成。BlackSuit已将泄露的数据上传至其暗网勒索门户,威胁者声称泄露了比公司披露的更多数据。Young Consulting为受影响用户提供了12个月免费的信用监控服务,用户应及时利用此服务并警惕诈骗信息。根据CISA和FBI报告,BlackSuit是Royal勒索软件的重品牌,近年来已通过勒索活动获得超过5亿美元。
https://www.maine.gov/agviewer/content/ag/985235c7-cb95-4be2-8792-a1252b4f8318/9cb5e8fe-3d04-48e5-a403-d478cdaf5c7f.html
研究人员对Mallox勒索软件的恶意攻击进行分析
研究人员受邀调查一起针对企业云环境的恶意攻击事件,发现了Mallox勒索软件的踪迹。由于系统配置错误,攻击者通过暴力破解公开的Microsoft SQL服务器,成功侵入并植入Mallox勒索软件。Mallox最初于2021年出现,主要针对Windows系统,如今已扩展至Linux和VMware ESXi等平台,并转变为勒索软件即服务(RaaS)模式,通过招募附属成员扩大攻击范围。Mallox利用双重勒索策略,不仅加密数据,还威胁公开被盗信息,进一步施压受害组织支付赎金。此外,攻击者通过暗网泄露站点公开不支付赎金者的数据,增加受害者的心理压力。此次攻击展示了Mallox团伙的复杂手段,包括利用脚本修改文件权限、清除日志文件以及规避安全防御,以确保其勒索软件的有效部署与隐藏。
参考链接:
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/exposed-and-encrypted-inside-a-mallox-ransomware-attack/
Patelco通知72.6万名客户关于勒索软件数据泄露事件
Patelco Credit union近日警告其72.6万名客户,其个人数据在今年早些时候的RansomHub勒索软件攻击中被盗取。尽管未公开攻击者身份,但RansomHub黑客组织于2024年8月15日在其勒索门户上发布了所有被盗数据。此次攻击发生于2024年6月29日,导致Patelco暂停客户银行系统以遏制损害,并在两周后恢复大部分IT系统功能。调查显示,攻击者于5月23日非法访问网络,并在6月29日进入数据库,窃取了包括全名、社会安全号码、驾照号码、出生日期和电子邮件地址在内的敏感信息。受影响的客户将获得为期两年的Experian身份保护和信用监控服务,但需在2024年11月19日前注册。此外,Patelco提醒客户警惕钓鱼和欺诈行为,避免泄露个人信息。
参考链接:
https://www.patelco.org/notification
Qilin勒索软件利用VPN凭证窃取Chrome数据
最近发现的Qilin勒索软件攻击通过盗取Google Chrome浏览器中的凭证来增强其威胁。根据研究人员的报告,攻击者于2024年7月通过一个未启用多因素认证(MFA)的VPN门户进入目标网络,并在初次访问后18天内执行了攻击。攻击者编辑了域控制器的默认域策略,创建了一个包含两个脚本的组策略对象(GPO):一个PowerShell脚本(“IPScanner.ps1”)用于窃取Chrome浏览器中的凭证数据,另一个批处理脚本(“logon.bat”)则用于执行前者。攻击者在网络上维持了这项GPO超过三天,期间用户每次登录时都会触发凭证窃取。随后,攻击者将窃取的凭证外泄并清除痕迹,然后加密文件并在系统的每个目录中放置赎金通知。
参考链接:
https://news.sophos.com/en-us/2024/08/22/qilin-ransomware-caught-stealing-credentials-stored-in-google-chrome/
PG_MEM恶意软件通过暴力破解攻击PostgreSQL数据库进行加密货币挖矿
研究人员发现了一种名为PG_MEM的新型恶意软件,它通过暴力破解PostgreSQL数据库实例来挖掘加密货币。攻击者通过反复猜测数据库凭据,利用弱密码获取访问权限,随后使用PostgreSQL的SQL命令在主机上执行任意Shell命令,从事数据盗窃或部署恶意软件等恶意活动。成功入侵后,攻击者创建管理员角色,剥夺“postgres”用户的超级用户权限,以防止其他威胁者利用同样的方法访问数据库。PG_MEM通过远程服务器下载恶意负载,终止竞争进程并设置持久化,最终部署Monero加密货币矿工,利用受害者的服务器资源进行挖矿。
参考链接:
https://www.aquasec.com/blog/pg_mem-a-malware-hidden-in-the-postgres-processes/
浙公网安备 33010502006954号 
