首頁 > 安全研究 > 安全通報 > 安全簡訊

Akira勒索軟件團伙史無前例一日泄露35名受害者數據

發布時間 2024-11-20

1. Akira勒索軟件團伙史無前例一日泄露35名受害者數據


11月19日,勒索軟件團伙Akira在一天內泄露了大量受害者數據,數量創下了紀錄。該團伙是一個勒索軟件即服務團伙,在網絡犯罪界越來越知名。他們通過竊取和加密數據來勒索受害者,并在暗網泄密網站上公布受害者信息。周一,該團伙的泄密網站新增了35名受害者,其中32名為新受害者。網絡安全研究人員表示,這是前所未有的大量被盜資料。盡管有猜測認為這可能是Akira在關閉之前的最后一次大甩賣,但研究人員認為,Akira可能仍在網絡犯罪生態系統中積極擴張。新受害者大多來自商業服務行業,總部位于美國,但也有加拿大、德國、英國等地的公司受到影響。與LockBit不同,Akira此次公布的受害者信息都是新的,沒有舊受害者信息被重新發布。


https://therecord.media/akira-ransomware-group-publishes-unprecedented-leak-data


2. Finastra內部文件傳輸平臺疑遭大規模信息竊取


11月19日,金融科技公司Finastra正在調查其內部文件傳輸平臺發生的大規模信息竊取事件。該公司為全球近8,100家金融機構提供服務,包括45家頂級銀行。近日,一名網絡犯罪分子在暗網上聲稱已從Finastra竊取超過400GB的數據并開始出售。Finastra已向客戶通報了這一安全事件,并表示客戶運營、客戶系統或其為客戶提供服務的能力沒有受到直接影響。公司已實施替代的安全文件共享平臺以確保連續性,并正在調查事件原因。據初步證據表明,憑證已被泄露,但尚未確定被竊取文件中包含的數據的范圍和性質。一名使用昵稱“abyss0”的網絡犯罪分子在10月份就試圖出售據稱從Finastra竊取的數據,而Finastra在11月7日首次檢測到可疑活動。此次入侵可能是abyss0再次返回竊取更多數據。目前,abyss0的Telegram帳戶和BreachForums帳戶都已消失,其所有銷售帖子也已刪除。


https://krebsonsecurity.com/2024/11/fintech-giant-finastra-investigating-data-breach/


3. CISA新增三漏洞警示:Progress Kemp LoadMaster等系統面臨嚴重威脅


11月19日,美國網絡安全和基礎設施安全局(CISA)近期在其已知利用漏洞(KEV)目錄中新增了三個重要漏洞,其中之一是影響Progress Kemp LoadMaster的關鍵操作系統命令注入漏洞,編號為CVE-2024-1212,由Rhino Security Labs發現并于2月21日發布的更新中解決。該漏洞允許未經身份驗證的遠程攻擊者通過LoadMaster管理界面執行任意系統命令,對LoadMaster版本7.2.48.1、7.2.54.8和7.2.55.0之前的版本構成威脅。另外兩個被CISA添加到KEV的漏洞分別是影響Palo Alto Networks PAN-OS管理界面的身份驗證繞過漏洞(CVE-2024-0012)和OS命令注入漏洞(CVE-2024-9474)。此外,Progress Software還修復了LoadMaster中的另一個最高嚴重性漏洞CVE-2024-7591,該漏洞允許遠程攻擊者使用特制HTTP請求訪問管理界面并執行任意命令,影響LoadMaster版本7.2.60.0及之前版本和MT Hypervisor版本7.1.35.11及之前版本。


https://www.bleepingcomputer.com/news/security/cisa-tags-progress-kemp-loadmaster-flaw-as-exploited-in-attacks/


4. 福特汽車遭數據泄露指控,44000條客戶記錄疑被黑客論壇泄露


11月19日,一名黑客在黑客論壇BreachForums上聲稱泄露了福特汽車的44,000條客戶記錄,引起了廣泛關注。據稱,這些記錄包含客戶的全名、實際位置、購買詳情、經銷商信息和時間戳等個人身份信息,盡管并非極度敏感,但仍可能使被泄露的個人面臨網絡釣魚和社會工程攻擊的風險。泄露者“EnergyWeaponUser”并未試圖出售該數據集,而是僅以8個積分(約2美元)的價格提供給論壇注冊會員。福特公司對此事表示已經意識到并正在積極調查相關指控。同時,有指控稱另一名黑客“IntelBroker”也涉嫌參與了此次泄露事件,該黑客近期已確認入侵了多個知名機構,包括思科、諾基亞、歐洲刑警組織和T-Mobile等。鑒于數據泄露可能帶來的風險,專家建議公眾謹慎對待未經請求的通信,并拒絕任何要求披露更多信息的請求。


https://www.bleepingcomputer.com/news/security/ford-investgates-alleged-breach-following-customer-data-leak/


5. Helldown勒索軟件利用Zyxel防火墻漏洞攻擊企業


11月19日,新的“Helldown”勒索軟件行動針對Zyxel防火墻漏洞,通過侵入公司網絡竊取數據并加密設備。據法國網絡安全公司Sekoia觀察,自今年夏天推出以來,Helldown發展迅速,在其勒索門戶網站上列出了眾多受害者,主要是美國和歐洲的中小型公司。Helldown Windows版基于泄露的LockBit 3構建器,操作與Darkrace和Donex相似,但其加密器并不先進,使用批處理文件結束任務。Sekoia發現,至少8名Helldown受害者在使用Zyxel防火墻作為IPSec VPN接入點時遭到入侵,推測Helldown可能利用CVE-2024-42057漏洞,該漏洞已在9月3日發布的固件版本5.39中得到修復。此外,Sekoia還發現與Zyxel入侵相關的可疑用戶帳戶和配置文件,并推測有效載荷可能與該入侵有關。目前,Zyxel尚未對這些攻擊作出回應。


https://www.bleepingcomputer.com/news/security/helldown-ransomware-exploits-zyxel-vpn-flaw-to-breach-networks/


6. Ngioweb惡意軟件支撐NSOCKS等住宅代理服務,引發網絡安全擔憂


11月19日,Lumen Technologies的最新研究發現,名為Ngioweb的惡意軟件被用于支持臭名昭著的住宅代理服務NSOCKS以及其他類似服務。該惡意軟件主要利用小型辦公室/家庭辦公室路由器和物聯網設備進行攻擊,并在美國擁有大量代理。Ngioweb僵尸網絡每天維持約35,000個工作機器人,其中許多已活躍一個月或更長時間。該惡意軟件由Water Barghest威脅組織利用,他們通過自動腳本滲透易受攻擊的物聯網設備并部署Ngioweb,將其注冊為代理并在住宅代理市場上出售。整個貨幣化過程只需10分鐘,表明該操作高度高效和自動化。NSOCKS在世界各地銷售SOCKS5代理訪問權限,被用于憑證填充攻擊和其他惡意活動。受害設備還與由域生成算法創建的C2域建立長期連接,以確定是否將它們添加到代理網絡中。Lumen表示,NSOCKS用戶通過180多個反向連接C2節點路由流量,掩蓋其真實身份。


https://thehackernews.com/2024/11/ngioweb-botnet-fuels-nsocks-residential.html

上一篇 下一篇