首頁 > 安全研究 > 安全通報 > 安全簡訊

INC RANSOM 從蘇格蘭 NHS 中竊取 3TB 的數據

發布時間 2024-03-29
1. INC RANSOM 從蘇格蘭 NHS 中竊取 3TB 的數據


3月27日,INC 勒索勒索團伙將蘇格蘭國家醫療服務體系 (NHS) 添加到其 Tor 泄露網站的受害者名單中。該網絡犯罪組織聲稱竊取了 3 TB 的數據,并威脅要泄露這些數據。蘇格蘭的 NHS(即國民醫療服務體系)是為蘇格蘭服務的公共資助的醫療保健系統。它提供廣泛的醫療保健服務,包括醫院、全科醫生 (GP)、心理健康服務和社區醫療保健。蘇格蘭政府負責監督蘇格蘭的 NHS,其運作與英格蘭、威爾士和北愛爾蘭的 NHS 系統分開。NHSScotland 目前擁有約 140000 名員工,分布在 14 個地區 NHS 委員會、7 個 NHS 特別委員會和 1 個公共衛生機構。每個 NHS 委員會都對蘇格蘭部長負責,并得到蘇格蘭政府衛生和社會保健理事會的支持。地區 NHS 委員會負責保護和改善其人民的健康并提供一線醫療保健服務。特別 NHS 委員會通過提供一系列重要的專家和國家服務來支持地區 NHS 委員會。


https://securityaffairs.com/161143/data-breach/inc-ransom-hacked-national-health-service-of-scotland.html


2. Stork 監控工具中的漏洞可能導致服務器被劫持


2月27日,安全研究人員在 Stork 中發現了一個嚴重漏洞(CVE-2024-28872),Stork 是 Kea DHCP 服務器的流行開源網絡監控工具。這個缺陷可能導致攻擊者可能會劫持 Stork 服務器、破壞敏感數據并破壞基本網絡服務。該漏洞存在于 Stork 驗證 TLS 證書的方式中。攻擊者可以通過從 Stork 服務器獲取有效的 TLS 證書并使用它連接到 Stork 代理(與受監控服務一起運行的軟件)來利用此缺陷。一旦建立連接,攻擊者就可以向受監控的服務(例如 Kea 或 BIND 9)發送具有提升權限的惡意命令。盡快將 Stork 更新到最新的修補版本(1.15.1 或更高版本)。


https://securityonline.info/cve-2024-28872-vulnerability-in-stork-monitoring-tool-could-enable-server-takeover/


3. WarzoneRAT 卷土重來,部署復雜的多階段攻擊


3月27日, WarzoneRAT(也稱為 Avemaria)在 2 月份 FBI 扣押其基礎設施導致短暫中斷后卷土重來。根據Cyble 研究與情報實驗室的一份新報告(CRIL),威脅行為者現在正在秘密、多階段攻擊中積極部署這種增強型 RAT。最新的 WarzoneRAT活動主要通過以稅收為主題的垃圾郵件來針對受害者,巧妙地利用及時且經常引起焦慮的主題來增加用戶打開惡意附件的可能性。WarzoneRAT 的卷土重來提醒人們,即使是中斷的惡意軟件操作也可能會迅速恢復,而且通常會以更復雜的形式恢復。主動警惕和分層防御策略對于個人和組織保護自己免受這種不斷變化的威脅至關重要。


https://securityonline.info/infamous-warzonerat-malware-returns-deploys-sophisticated-multi-stage-attacks/


4. 隱秘的新 Golang 木馬利用虛假證書進行逃避通信


3月27日,安全研究人員發現了一種用 Golang 編程語言編寫的狡猾的新木馬。這種陰險的惡意軟件采用一系列欺騙策略,包括地理檢查和安裝欺詐性根證書,以維持與其命令和控制 (C2) 服務器的隱藏通信通道。這種復雜的特洛伊木馬首先拍攝受感染系統的快照,可能會收集有針對性的攻擊的重要信息。然后,它會大膽地在 Windows 注冊表中安裝偽造的根證書。這一邪惡步驟使其能夠攔截并可能操縱加密的 HTTPS 流量,從而使用戶容易遭受數據盜竊。雖然沒有特定的惡意軟件家族與該木馬相關,但研究人員警告說,在之前與 PureLog Stealer、AgentTesla 和 GuLoader 等臭名昭著的威脅相關的活動中已經發現了所涉及的 IP 和 URL 地址。


https://securityonline.info/stealthy-new-golang-trojan-exploits-fake-certificates-for-evasive-communication/


5. CISA 發布網絡事件報告規則草案


3月28日,美國最高網絡安全機構公布了一項新規則的初稿,詳細說明了關鍵基礎設施組織需要如何向聯邦政府報告網絡攻擊。網絡安全和基礎設施安全局 (CISA)根據《關鍵基礎設施網絡事件報告法》向《聯邦公報》發布了447 頁的法規,允許公眾對其發表評論。國土安全部部長亞歷杭德羅·馬約卡斯表示,這些信息將使 CISA 和其他機構能夠更好地應對事件并找出美國關鍵基礎設施中的薄弱環節。CIRCIA 要求某些關鍵基礎設施組織在 72 小時內報告網絡事件,并在 24 小時內報告勒索軟件付款。該法律涵蓋的事件包括“對組織的運作能力或國家安全、公共健康或安全造成重大損害或構成重大威脅”的事件。


https://therecord.media/cisa-publishes-circia-rule-cyber-incident-reporting


6. 德克薩斯州和佐治亞州的市政服務遭到勒索攻擊


3月28日,美國各地的國家機構繼續面臨勒索軟件攻擊的干擾。佐治亞州吉爾默縣政府在其網站上發布通知,警告勒索軟件攻擊正在影響其向 30000 多名居民提供服務的能力?!凹獱柲h最近發現并響應了勒索軟件事件,并已使受影響的系統離線,同時我們致力于安全地保護和恢復服務。與此同時,公眾應該預料到縣政府會因此造成延誤?!蓖ㄖQ。吉爾默縣向聯邦執法部門發出了警報,并聘請了一家網絡安全公司來解決此次攻擊造成的中斷問題。富爾頓縣是亞特蘭大的所在地,在 1 月份遭受 LockBit 勒索軟件團伙攻擊后,該縣仍在恢復關鍵服務。  


https://therecord.media/texas-georgia-municipalities-face-disruptions-from-ransomware

上一篇 下一篇