咨询巨头埃森哲被盗6TB数据、CISA发布勒索攻击警报|10月19日全球网络安全热点

发布者:腾讯安全
发布于:2021-10-19 16:31

图片


安全资讯报告


美国网络安全和基础设施安全局(CISA)发布BlackMatter勒索软件攻击警报

 

网络安全和基础设施安全局(CISA)、联邦调查局(FBI)和国家安全局(NSA)今天发布了一份咨询报告,其中详细介绍了BlackMatter勒索软件团伙的运作方式。

 

BlackMatter于2021年7月首次出现,是勒索软件即服务(Raas)工具,允许勒索软件的开发人员从针对受害者部署它的网络犯罪附属机构(即BlackMatter参与者)中获利。BlackMatter可能是DarkSide的更名,DarkSide是一个从2020年9月到2021年5月活跃的RaaS。BlackMatter的参与者攻击了许多美国组织,并要求以比特币和门罗币支付80,000到15,000,000美元的赎金。

 

公告提供了从在沙盒环境中分析的BlackMatter勒索软件样本以及受信任的第三方报告中获得的有关网络攻击者的策略、技术和程序(TTP)的信息。

 

针对关键基础设施实体的勒索软件攻击,可能直接影响消费者对关键基础设施服务的访问;因此,CISA、FBI和NSA敦促所有组织(包括关键基础设施组织),实施本联合咨询的缓解部分中列出的建议。这些缓解措施将帮助组织降低BlackMatter勒索软件攻击的危害风险。

 

新闻来源:

https://www.bleepingcomputer.com/news/security/fbi-cisa-nsa-share-defense-tips-for-blackmatter-ransomware-attacks/


臭名昭著的REvil勒索软件团伙称其Tor网站遭到入侵

 

REvil是近年来发起一系列网络攻击的臭名昭著的勒索软件团伙,在该网络犯罪组织在中断两个月后突然卷土重来后一个多月,它似乎又一次脱离了人们的视线。

 

REvil攻击参与者在论坛发贴,称不明身份者可能获取了Tor支付门户网站和数据泄露网站的控制权。

 

“服务器受到威胁,他们正在寻找我。准确地说,他们删除了我在torrc文件中隐藏服务的路径,并提出了自己的路径,以便我去那里。”用户0_neday在帖子中说。

 

尚不清楚谁是REvil服务器入侵的幕后黑手,如果是执法机构在关闭域方面发挥了作用,也是有可能的。

 

这个与俄罗斯有关联的勒索软件组织在今年早些时候攻击JBS和Kaseya后受到了严格审查,促使其在2021年7月将其暗网站点下线。但在2021年9月9日,REvil意外回归,重新暴露了其数据泄漏网站以及支付和谈判门户重新上线。

 

上个月,《华盛顿邮报》报道称,美国联邦调查局(FBI)在近三周内阻止与Kaseya勒索软件攻击的受害者共享解密器,这是它通过访问该组织的服务器获得的,作为计划的一部分扰乱团伙的恶意活动。报告补充说:“计划中的删除从未发生,因为REvil的平台在7月中旬下线——没有美国政府干预——黑客在FBI有机会执行其计划之前就消失了。”


新闻来源: 

https://thehackernews.com/2021/10/revil-ransomware-gang-goes-underground.html

 

安全漏洞威胁

 

埃森哲确认其在勒索软件攻击中数据被盗

 

咨询巨头埃森哲已确认专有信息在2021年8月披露的勒索软件攻击中被盗。

 

当时,LockBit勒索软件运营商声称从埃森哲的系统中窃取了超过6TB的数据,要求支付5000万美元的赎金以换取数据保密。

 

鉴于埃森哲没有按时支付要求的金额,攻击者发布了据称在事件中被盗的2,000多个文件,并威胁要发布更多文件。

 

埃森哲还指出,未经授权访问其系统、数据盗窃和涉及公司启用或提供的客户系统的违规事件等事件并未对运营产生重大影响,但预计会产生财务影响。

 

目前尚不清楚攻击者能够从埃森哲窃取什么类型的数据。但是,该公司似乎并未发出违规通知,以提醒个人身份信息被泄露。


新闻来源: 

https://www.securityweek.com/accenture-confirms-data-stolen-ransomware-attack

 

Sinclair电视台周末因勒索软件攻击而瘫痪

 

Sinclair Broadcast Group已确认在周末遭受勒索软件攻击。辛克莱还表示,攻击者还从公司网络中窃取了数据。

 

2021年10月16日,公司确定并开始调查并采取措施遏制潜在的安全事件。2021年10月17日,公司发现其环境中的某些服务器和工作站被勒索软件加密,并且某些办公和运营网络中断。数据也取自公司的网络。公司正在努力确定数据包含哪些信息,并将根据其审查采取其他适当措施。

 

发现安全事件后,电视台及时通知高级管理层,公司实施事件响应计划,采取措施遏制事件,并展开调查。聘请了法律顾问、网络安全取证公司和其他事件响应专业人员。该公司还通知了执法部门和其他政府机构。由于正处于安全事件调查和评估的早期阶段,尚无法确定该事件是否对其业务、运营或财务业绩产生重大影响。

 

Sinclair Broadcast Group是财富500强媒体公司(2020年的年收入为59亿美元)和领先的本地体育和新闻提供商,拥有多个国家网络。其业务包括隶属于Fox、ABC、CBS、NBC和TheCW的185家电视台(包括21个区域体育网络品牌),在美国87个市场拥有约620个频道(占美国所有家庭的近40%)。

 

消息人士告诉BleepingComputer,勒索软件攻击导致了这些重大技术问题。攻击者已经能够通过Sinclair的企业Active Directory域影响许多电视台。


新闻来源:

https://www.bleepingcomputer.com/news/security/sinclair-tv-stations-crippled-by-weekend-ransomware-attack/

 

赛门铁克发布报告,披露了恶意破坏南亚电信公司系统的APT攻击活动

 

一个以前未知的国家赞助的行为者正在部署一种新的工具集,以针对南亚的电信提供商和IT公司进行攻击。该组织的目标——被发现它的赛门铁克研究人员追踪为Harvester——是在高度针对性的间谍活动中收集情报,重点是IT、电信和政府实体。

 

Harvester的恶意工具以前从未在野外遇到过,这表明这是一个与已知对手没有联系的威胁行为者。

 

研究人员表示:“Harvester组织在其攻击中同时使用了自定义恶意软件和公开可用的工具,该攻击始于2021年6月,最近一次活动发生在2021年10月。目标行业包括电信、政府和信息技术(IT)。”

 

以下是Harvester操作员在攻击中使用的工具的摘要:

 

  • Backdoor.Graphon:使用微软基础设施进行C&C活动的自定义后门

  • Custom Downloader(自定义下载器):使用Microsoft基础架构进行C&C活动

  • Custom Screenshotter(自定义屏幕截图器):定期将屏幕截图记录到文件中

  • Cobalt Strike Beacon:将CloudFront基础设施用于其C&C活动(Cobalt Strike是一个现成的工具,可用于执行命令、注入其他进程、提升当前进程或模拟其他进程,以及上传和下载文件)

  • Metasploit:一种现成的模块化框架,可用于受害机器上的各种恶意目的,包括权限提升、屏幕捕获、设置持久后门等。


新闻来源: 

https://www.bleepingcomputer.com/news/security/state-backed-hackers-breach-telcos-with-custom-malware/




声明:该文观点仅代表作者本人,转载请注明来自看雪