首頁 > 安全研究 > 安全通報 > 安全簡訊

LockBit 勒索軟件團伙因國際執法行動而瓦解

發布時間 2024-02-21
1. LockBit 勒索軟件團伙因國際執法行動而瓦解


2月20日,來自 11 個國家的執法機構開展的代號為“克羅諾斯行動”的聯合執法行動,涉及LockBit勒索團伙,其網站已經被控制。自 2019 年底出現以來,該組織的規模遠遠超過其他勒索軟件團伙,Recorded Future 的研究人員將近 2,300 起攻擊歸因于該組織。Conti 是第二活躍的組織,僅公開與 883 起攻擊有關。自 2020 年 1 月以來,利用 LockBit 的附屬機構已將目標鎖定在金融服務、食品和農業、教育、能源等關鍵基礎設施領域的各種規模的組織。政府和緊急服務、醫療保健、制造和運輸。


https://therecord.media/lockbit-ransomware-disrupted-international-operation


2.Cactus 勒索軟件聲稱竊取 1.5TB 施耐德電氣數據


2月19日,Cactus 勒索軟件團伙聲稱,他們上個月入侵施耐德電氣網絡后竊取了 1.5TB 的數據。并在暗網泄露網站上還泄露了 25MB 的據稱被盜數據,作為威脅行為者聲稱的證據,此外還有顯示幾名美國公民護照和保密協議文件掃描的快照。該團伙目前正在勒索該公司,并威脅稱,如果不支付贖金,就會泄露所有據稱被盜的數據。目前尚不清楚具體的數據被盜,但施耐德電氣的可持續發展業務部門為全球許多知名公司提供可再生能源和監管合規咨詢服務,包括 Allegiant Travel Company、Clorox、DHL、杜邦、希爾頓、利盟、百事可樂和沃爾瑪。鑒于此,從其目標系統中竊取的數據可能包括有關客戶工業控制和自動化系統的敏感信息以及有關環境和能源法規合規性的信息。


https://www.bleepingcomputer.com/news/security/cactus-ransomware-claim-to-steal-15tb-of-schneider-electric-data/


3.Wyze 攝像頭故障導致超過 13000 用戶受影響


2月19日,Wyze 分享了影響數千名用戶的安全事件的更多細節,該公司將其歸咎于最近添加到其系統中的第三方緩存客戶端庫,該庫在處理周五大范圍停電后同時上線的大量攝像機時出現問題?!斑@次中斷是由我們的合作伙伴 AWS 造成的,周五凌晨 Wyze 設備停機了幾個小時。如果您在這段時間內嘗試查看實時攝像頭或活動,您可能無法觀看。對于給您帶來的挫敗感和困惑,我們深表歉意這導致了”該公司在發送給受影響用戶的電子郵件中表示。Wyze 表示,出現這種情況是因為需求突然增加,導致設備 ID 和用戶 ID 映射混合,導致某些數據與不正確的用戶帳戶錯誤連接。因此,客戶可以在點擊 Wyze 應用程序的“事件”選項卡中的相機縮略圖后看到其他人的視頻源縮略圖,在某些情況下甚至可以看到視頻片段。


https://www.bleepingcomputer.com/news/security/wyze-camera-glitch-gave-13-000-users-a-peek-into-other-homes/


4.Linux 內核缺陷 (CVE-2024-0646) 使系統面臨權限提升


2月19日,Linux 內核傳輸層安全性 (kTLS) 中的漏洞(CVE-2024-0646)可能被本地用戶利用來獲取提升的系統權限或中斷系統操作。幸運的是,現在已經提供了針對此漏洞的補丁。kTLS 將基本的 TLS 加密和身份驗證功能直接引入 Linux 內核。這簡化了基本互聯網協議的安全通信,例如 HTTPS(安全網頁瀏覽)、電子郵件和其他互聯網連接應用程序。該漏洞的本質在于調用splice() 時內存處理不當。KTLS 代碼無法正確更新明文分散收集緩沖區 ( struct sk_msg_sg ) 的內部記帳 ( curr/copybreak ) ,從而導致越界內存寫入缺陷。內存管理中的這種失誤可能會允許后續對套接字的寫入覆蓋拼接頁面的內容,從而危險地包括調用者不應具有寫訪問權限的文件中的頁面。攻擊者可能會利用此漏洞以非預期的系統權限導致代碼意外執行。


https://securityonline.info/linux-kernel-flaw-cve-2024-0646-exposes-systems-to-privilege-escalation/


5.Android 銀行木馬 Anatsa 卷土重來新增斯洛伐克、斯洛文尼亞和捷克


2月19日,ThreatFabric 的研究人員觀察到Anatsa銀行木馬(又名 TeaBot 和 Toddler)卷土重來。11 月至 2 月期間,專家們觀察到了五波不同的攻擊,每一波都集中在不同的地區。該惡意軟件此前主要針對英國、德國和西班牙進行活動,但最新的活動針對的是斯洛伐克、斯洛文尼亞和捷克,這表明其運營策略發生了轉變。研究人員將 Anatsa 的活動歸類為“有針對性”,觀察到威脅行為者一次集中于 3-5 個區域。據 ThreatFabric 稱,投放器應用程序已上傳到目標區域的 Google Play 上。攻擊者注意到這些應用程序經常進入“熱門新免費”類別中的前三名,試圖欺騙用戶相信該應用程序是合法的并有大量用戶下載。


https://securityaffairs.com/159344/malware/anatsa-banking-trojan-resurgence.html


6.超過 28500 臺 Exchange 服務器易受主動利用的漏洞攻擊


2月19日,Microsoft Exchange 服務器可能容易受到黑客正在積極利用的嚴重性權限升級漏洞(跟蹤為 CVE-2024-21410)的影響。微軟于 2 月 13 日解決了該問題,當時該問題已被用作零日漏洞。目前,已有 28500 臺服務器被確定存在漏洞。Exchange Server 廣泛應用于商業環境中,以促進用戶之間的通信和協作,提供電子郵件、日歷、聯系人管理和任務管理服務。該安全問題允許未經身份驗證的遠程攻擊者對 Microsoft Exchange Server 執行 NTLM 中繼攻擊并提升其在系統上的權限。目前,CVE-2024-21410 還沒有公開的概念驗證 (PoC) 漏洞,這在一定程度上限制了利用該缺陷進行攻擊的攻擊者數量。


https://www.bleepingcomputer.com/news/security/over-28-500-exchange-servers-vulnerable-to-actively-exploited-bug/

上一篇 下一篇