首頁 > 安全研究 > 安全通報 > 安全簡訊

Cl0p勒索軟件團伙再現,聲稱攻擊47家公司

發布時間 2025-02-19

1. Cl0p勒索軟件團伙再現,聲稱攻擊47家公司


2月13日,與俄羅斯有關的勒索軟件團伙Cl0p近期再次活躍,聲稱對包括DXC Technology和芝加哥公立學校在內的47家公司發動了攻擊。這些公司遍布美國、加拿大、墨西哥、英國和愛爾蘭。其中,DXC Technology是一家擁有130,000名員工的跨國IT服務和咨詢公司,而芝加哥公立學校則是美國第三大學區,服務330,000多名學生。Cl0p團伙采用獨特的溝通方式,不在暗網上直接聯系受害者,而是發布消息促使受害者主動聯系。該團伙采用勒索軟件即服務(RaaS)模式和“雙重勒索”策略,既加密數據又竊取數據,并在受害者不支付贖金時發布竊取的數據。據威脅情報平臺FalconFeeds分享,受害者名單中還包括卡爾森分銷公司、森堡匯集團等多家企業和組織。Cl0p團伙歷史上曾策劃過包括MOVEit和Fortra GoAnywhere文件管理軟件黑客攻擊在內的多起大規模黑客事件,并從中獲利豐厚。盡管2021年烏克蘭執法部門曾摧毀其IT基礎設施并逮捕多名嫌疑人,但該團伙仍在積極尋找新的受害者。


https://cybernews.com/cybercrime/chicago-schools-dxc-technology-cl0p-ransomware/


2. 新日鐵公司遭BianLian勒索軟件攻擊,敏感數據遭竊取


2月14日,全球第四大粗鋼生產商新日鐵公司(Nippon Steel)據稱遭到了BianLian勒索軟件集團的攻擊。該組織在其暗網網站上發布信息,聲稱從新日鐵美國分部網絡竊取了500GB的數據,包括會計數據、客戶財務和個人信息、生產數據等敏感資料,并向公司高管發布了個人聯系信息。此次襲擊對新日鐵來說時機糟糕,因為自美國總統拜登阻止其與美國鋼鐵公司的合并計劃以來,該公司一直備受關注。BianLian還在其暗網上發布了一個數據樣本,似乎描述了新日鐵與美國鋼鐵公司合并前后的細節。然而,當Cybernews訪問BianLian的洋蔥網站時,卻發現Nippon并未出現在受害者名單上,BianLian稱新日鐵的數據“很快就會公布”,猜測日本公司可能正在談判支付贖金。BianLian勒索軟件組織自2022年6月出現以來,已針對關鍵基礎設施部門、中小型企業以及醫療、專業和房地產行業發動了多次攻擊。據CISA和FBI的聯合公告,該團伙據稱來自俄羅斯,采用雙重勒索模式,首先竊取數據,然后加密受害者系統,以實現持久性命令和控制。


https://cybernews.com/news/nippon-steel-claimed-by-bianlian-ransomware-group/


3. StaryDobry惡意軟件活動:利用破解游戲傳播XMRig挖礦病毒


2月18日,StaryDobry是一個針對全球游戲玩家的大規模惡意軟件活動,它利用破解的游戲版本,如Garry's Mod、BeamNG.drive和Dyson Sphere Program等Steam上高評分的游戲,作為傳播惡意軟件的載體。據報道,該活動在2024年12月下旬至2025年1月27日期間活躍,主要影響德國、俄羅斯、巴西、白俄羅斯和哈薩克斯坦的用戶。威脅行為者提前數月上傳受感染的游戲安裝程序到種子網站,在假期期間觸發有效載荷以降低被發現的風險。StaryDobry采用多階段感染鏈,最終目的是在用戶系統中安裝XMRig加密礦工。用戶下載看似正常的游戲安裝程序后,惡意軟件植入程序會在后臺解壓并啟動,收集系統信息后發送到C2服務器。隨后,惡意軟件加載程序會偽裝成Windows系統文件,創建計劃任務以持續存在,并在滿足條件時下載并運行XMRig挖礦程序。XMRig礦工是Monero礦工的修改版本,它連接到私人挖礦服務器,使得收益更難追蹤??ò退够赋?,這些攻擊可能來自一名講俄語的攻擊者,且StaryDobry傾向于一次性活動,旨在通過瞄準強大的游戲機來最大化挖礦收益。


https://www.bleepingcomputer.com/news/security/cracked-garrys-mod-beamngdrive-games-infect-gamers-with-miners/


4. 風險投資巨頭 Insight Partners 遭遇網絡攻擊


2月18日,總部位于紐約的風險投資和私募股權公司Insight Partners,在其30年的業務運營期間已投資了全球800多家軟件和技術初創企業,管理著超過900億美元的監管資產。然而,該公司在1月份遭受了一次復雜的社會工程攻擊。據該公司周二發布的聲明,其部分信息系統于1月16日遭到攻擊。發現違規行為后,Insight Partners迅速采取行動,在幾小時內控制了局面并開始調查,同時通知了相關執法部門和利益相關者,并聘請了第三方網絡安全專家來評估影響。雖然該公司尚未分享有關攻擊性質的更多信息,以及數據是否在攻擊中被訪問或竊取,但表示沒有證據表明攻擊者在被發現后仍能訪問其網絡,且此次事件并未對公司的運營造成進一步的干擾。Insight Partners正在與第三方網絡安全專家、取證專家以及外部法律顧問合作,努力確定事件的范圍,并與利益相關者分享信息,預計這一過程將需要數周時間。目前,該公司認為此次攻擊不會對投資組合公司、Insight基金或其他利益相關者產生重大影響,并承諾在調查過程中獲得相關信息后,將向受影響的個人通報最新情況。


https://www.bleepingcomputer.com/news/security/venture-capital-giant-insight-partners-hit-by-cyberattack/


5. 報業巨頭Lee Enterprises遭勒索軟件攻擊致運營中斷


2月18日,報業出版巨頭Lee Enterprises確認,其遭遇的勒索軟件攻擊是導致集團運營持續中斷超過兩周的根本原因。該集團在26個州出版77份日報、350份周刊及專業刊物,擁有超過120萬的日報發行量和4400萬的數字版獨立訪客。此次攻擊導致2月3日系統中斷,影響了產品分銷、賬單、收款和供應商付款等運營,印刷出版物分銷延遲,在線運營受限。截至2月12日,所有核心產品已恢復正常分發,但周度和輔助產品尚未恢復,占公司總營業收入的5%。Lee正在調查敏感數據是否泄露,同時實施臨時措施維持關鍵業務功能。此次攻擊導致報業集團陷入混亂,記者和編輯無法訪問文件。此前,該集團曾在2020年美國總統大選前遭受伊朗黑客的網絡攻擊。


https://www.bleepingcomputer.com/news/security/lee-enterprises-newspaper-disruptions-caused-by-ransomware-attack/


6. Snake Keylogger新變種:隱身攻擊Windows用戶并竊取憑據


2月18日,New Snake Keylogger變種,也被稱為404 Keylogger,是一種針對Windows用戶的惡意軟件,主要通過網絡釣魚電子郵件傳播。它使用AutoIt腳本語言進行隱身攻擊,能夠繞過標準防病毒解決方案,增加檢測難度。該惡意軟件記錄擊鍵、捕獲憑據、監視剪貼板,并將被盜數據通過電子郵件和Telegram機器人泄露到命令和控制服務器。在攻擊過程中,它將自身副本隱藏在系統啟動文件夾中,并使用進程挖空技術將惡意負載注入合法的.NET進程,從而逃避檢測。此外,它還能檢索受害者地理位置,檢測對包含敏感數據的文件夾的訪問,并從瀏覽器自動填充系統中竊取數據。這是一種復雜且功能豐富的惡意軟件變體,對全球Windows用戶構成嚴重威脅,需要組織和個人采取高級威脅防護和主動安全措施來防御。


https://hackread.com/snake-keylogger-variant-windows-data-telegram-bots/

上一篇 下一篇