每日安全简讯(20241113)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 研究人员发布Ymir勒索软件分析报告
在一起近期的事件响应案例中,研究人员发现了一种新型勒索软件家族,被命名为“Ymir”。该恶意软件在攻击中表现出显著的规避检测能力,其关键特点是通过调用malloc、memmove和memcmp函数在内存中执行大规模操作,以减少磁盘活动,从而避开传统防护措施。分析显示,攻击者首先通过PowerShell远程控制命令成功入侵系统,随后部署了Process Hacker和Advanced IP Scanner等工具,降低系统的安全防护能力。在完成初步准备后,攻击者最终运行Ymir勒索软件达成目的。研究人员在报告中详细解析了Ymir勒索软件的技术特性及其攻击者的战术、技术和程序(TTPs),揭示了从初始入侵到勒索软件部署的完整链条。
https://securelist.com/new-ymir-ransomware-found-in-colombia/114493/
2 Halliburton披露遭受勒索软件攻击造成3500万美元损失
全球能源行业服务巨头Halliburton披露,8月发生的一起勒索软件攻击导致公司损失高达3500万美元。此次攻击迫使公司关闭部分IT系统,并断开与客户的连接,尽管影响被控制在一定范围内,但对业务运营造成显著冲击。Halliburton在全球70个国家开展业务,拥有4.8万名员工,2023年营收超过230亿美元。2024年8月23日,公司向美国证券交易委员会(SEC)提交报告,证实一名未经授权的第三方侵入其系统。为了应对此次入侵,Halliburton采取了系统关闭和隔离措施。几天后,勒索软件团伙RansomHub被确认是此次攻击的幕后黑手。攻击者窃取了公司网络中的部分数据,但具体数据类型和泄露范围仍在调查中。尽管如此,Halliburton在其第三季度财报中指出,此次网络攻击对公司整体财务状况的影响有限。
https://www.securityweek.com/cyberattack-cost-oil-giant-halliburton-35-million/
3 苹果iOS 18.1新增“闲置重启”功能强化数据安全
苹果在上月发布的iOS 18.1更新中新增了一项名为“闲置重启”的安全功能。该功能旨在长时间闲置后自动重启设备,从而重新加密数据并提高提取难度。这一变化使设备从“首次解锁后”(AFU)状态切换为“首次解锁前”(BFU)状态。在BFU状态下,数据提取变得更为困难,因为解密所需的密钥不再保存在内存中,甚至连操作系统也无法访问。在iOS设备中,所有数据均使用在操作系统首次安装或设置时创建的加密密钥保护。当用户通过PIN码或生物识别解锁设备后,这些密钥会加载至内存中,用于实时解密需要访问的文件。然而,当设备重启进入“静止”状态后,密钥会被清除,数据无法解密,从而有效防止黑客或执法部门利用解锁工具获取设备数据。
https://www.bleepingcomputer.com/news/security/iphones-now-auto-restart-to-block-access-to-encrypted-data-after-long-idle-times/
4 亚马逊确认第三方供应商遭黑客攻击后泄露员工数据
亚马逊近日披露,员工数据因第三方物业管理供应商遭到攻击而被泄露,此次事件再次凸显了2023年MOVEit漏洞的长期危害。泄露事件由威胁行为者“Nam3L3ss”曝光,他们声称掌握了超过250TB的数据库文件,其中包括亚马逊和其他25家主要组织的数据。此次泄露与CVE-2023-34362漏洞相关,该漏洞是2023年5月首次被利用的严重SQL注入缺陷,攻击者可借此绕过身份验证并访问MOVEit Transfer数据库中的敏感信息。MOVEit Transfer是一种企业级安全文件传输解决方案,在企业数据管理中被广泛使用。Nam3L3ss通过利用暴露的网络资源,包括MySQL、PostgreSQL、SQL Server数据库以及Azure备份文件,从中下载完整数据集。他们近期在BreachForums发布了280万行亚马逊员工数据,并威胁将泄露更多信息。这些数据包括员工姓名、联系方式、办公地址,以及内部成本中心代码和组织架构等敏感细节。
https://www.forbes.com/sites/larsdaniel/2024/11/11/amazon-confirms-data-breach-exposed-2800000-lines-of-employee-data/
5 Embargo勒索软件组织威胁泄露医院数据
勒索软件组织Embargo近日威胁,将在未支付赎金的情况下公布1.15TB的数据,涉及美国乔治亚州一家小型社区医院和护理院。此次袭击发生在11月1日,Embargo在暗网公布了倒计时,声称即将泄露从Memorial Hospital and Manor和其附属的Willow Ridge个人护理机构窃取的文件。此次攻击导致该医院的IT系统瘫痪,影响了电子健康记录(EHR)和邮件等关键服务。Memorial Hospital and Manor尚未对事件的最新进展和Embargo的勒索威胁作出回应。该医院曾在社交媒体上发布警示称正在应对勒索攻击,但该声明现已被删除。此外,Embargo在其网站上列出了多个受害者,包括美国的另一家医疗机构Weiser Memorial Hospital及南卡罗来纳州Summerville警察局、密歇根州政府部门、德国供应链公司和澳大利亚一家非放贷银行等。
https://www.govinfosecurity.com/embargo-ransomware-gang-sets-deadline-to-leak-hospital-data-a-26784
6 HIBP声称5700万账户的个人信息遭到泄露
2024年10月21日,网络犯罪论坛BreachForums上,一个名为“Satanic”的威胁行为者声称盗取了Hot Topic及其关联品牌Box Lunch和Torrid的3.5亿条客户记录,并试图以2万美元出售该数据库,同时向Hot Topic勒索10万美元以撤销泄露信息。据Have I Been Pwned网站披露,泄露的信息包括客户的全名、电子邮件地址、出生日期、电话号码、住址、购买记录以及部分信用卡信息。数据分析公司Atlas Privacy报告称,该数据集约影响5400万客户,其中含有2500万张使用弱加密的信用卡号码,容易被现代计算设备破解。Atlas指出,尽管无法百分百确认数据归属,但几乎一半的电子邮件地址未曾在其他泄露事件中出现,进一步验证了数据的真实性。
https://www.bleepingcomputer.com/news/security/hibp-notifies-57-million-people-of-hot-topic-data-breach/
页:
[1]