首頁 > 安全研究 > 安全通報 > 安全簡訊

VanHelsing多平臺勒索軟件隱身攻擊威脅升級

發布時間 2025-03-25

1. VanHelsing多平臺勒索軟件隱身攻擊威脅升級


3月24日,新型跨平臺勒索軟件VanHelsing RaaS于3月初在暗網犯罪論壇浮出水面,其多平臺攻擊能力覆蓋Windows、Linux、BSD、ARM及ESXi虛擬化系統。該俄羅斯犯罪集團采用分級加盟制,向新手勒索5000美元"入門費",同時承諾老手免押金加入,體現出精密的經濟激勵模型。運營商抽取20%贖金作為傭金,通過雙區塊鏈確認的自動托管系統完成交易結算。技術分析顯示,VanHelsing采用C++開發,運用ChaCha20流密碼配合Curve25519非對稱加密構建雙重加密層。其創新性地采用"部分加密"策略:對大于1GB文件僅加密關鍵數據塊,而對小文件實施全盤加密,在攻擊效率與效果間取得平衡。該勒索軟件支持豐富的命令行定制選項,允許攻擊者指定加密路徑、限制攻擊范圍,甚至通過SMB協議實施橫向滲透。特別值得關注的是其"隱身模式"攻擊鏈:第一階段僅執行文件重命名操作,通過模擬正常系統I/O行為規避檢測;待安全工具響應間隙,第二階段再完成實際加密操作。這種雙階段攻擊模式顯著提升了繞過EDR/AV解決方案的概率。


https://www.bleepingcomputer.com/news/security/new-vanhelsing-ransomware-targets-windows-arm-esxi-systems/


2. 烏克蘭鐵路遭網絡攻擊致購票中斷,應急措施保運營穩定


3月24日,烏克蘭關鍵基礎設施再遭網絡攻擊,國家鐵路運營商Ukrzaliznytsia的票務系統成為最新目標。此次大規模網絡攻擊導致移動應用及官網售票服務全面癱瘓,迫使乘客涌向實體售票亭,引發全國性購票擁堵。作為烏克蘭境內最主要的交通方式,鐵路服務的中斷對民眾出行造成重大沖擊,車站出現長隊聚集現象,出行效率顯著下降。鐵路公司迅速啟動應急預案,通過多平臺發布官方聲明致歉,并采取三項緊急措施:首先增派售票窗口人力以應對客流高峰;其次允許軍人優先上車補票,保障特殊群體出行需求;最后建議已購票乘客出示電子郵件中的電子票證副本,或提前20分鐘到站說明情況。公司特別強調,次日出行旅客應避免當日扎堆購票,以便工作人員優先處理當日乘車需求。盡管在線服務受阻,Ukrzaliznytsia強調列車運行未受影響,所有運營流程已切換至備用系統,時刻表保持正常。目前技術團隊正與烏克蘭國家安全局(SBU)網絡部門及政府計算機應急響應小組(CERT-UA)協同作戰,全面排查系統漏洞。


https://www.bleepingcomputer.com/news/security/cyberattack-takes-down-ukrainian-state-railways-online-services/


3. DrayTek路由器全球斷網事件,升級固件禁用SSLVPN應對


3月24日,全球多家互聯網服務提供商(ISP)遭遇DrayTek路由器大規模連接故障,英國Gamma、Zen Internet等運營商證實,該事件源于未披露的漏洞攻擊或錯誤固件更新,導致多型號路由器出現間歇性斷連與重啟循環。受影響用戶被建議采取三重應急措施:立即升級至最新固件、禁用SSL VPN及遠程訪問功能,或更換為其他品牌設備。技術調查顯示,問題根源指向存在安全缺陷的固件版本。DrayTek官方支持文檔披露解決方案,要求用戶通過WEB UI或TFTP方式強制升級固件,并特別強調需關閉VPN服務及遠程管理端口。Zen Internet等ISP補充建議,升級后應監控路由器運行狀態,若仍出現頻繁重啟,則需考慮硬件替換。值得注意的是,今年10月DrayTek曾修復過涉及24個型號、70萬臺設備的重大漏洞,其網絡管理界面存在公網暴露風險。當前故障是否與上述歷史漏洞存在關聯仍待確認。安全專家指出,攻擊者可能利用未修補的舊版本固件實施入侵,觸發設備離線或重啟。DrayTek在指導文件中未明確事件根源,僅提供操作指南,包括斷開WAN連接、禁用VPN服務、重置系統等步驟。


https://www.bleepingcomputer.com/news/security/draytek-routers-worldwide-go-into-reboot-loops-over-weekend/


4. Cloak勒索團伙攻擊弗吉尼亞州總檢察長辦公室,IT系統癱瘓


3月24日,新興勒索軟件組織"Cloak"被確認制造了2025年2月針對弗吉尼亞州總檢察長辦公室的嚴重網絡攻擊,導致該機構核心IT系統全面癱瘓。據《華盛頓郵報》披露,司法部副部長在內部郵件中通報,電子郵件系統、VPN訪問、互聯網連接及官方網站等關鍵基礎設施均陷入停擺,迫使工作人員緊急啟用紙質文件處理流程。事件已觸發多部門聯動響應,州警局、FBI及州信息技術局介入調查。3月20日,Cloak在其暗網數據泄露平臺公開掛牌總檢察長網站,宣稱"等待期結束",威脅將泄露被盜數據。該組織公布部分文件截圖作為佐證,顯示雙方談判破裂源于檢方拒絕支付贖金。盡管攻擊方主動曝光行動,但官方尚未確認數據泄露范圍、攻擊手法及是否支付贖金等核心信息,事件全貌仍有待進一步披露。安全分析顯示,Cloak組織自2022年崛起,主要瞄準歐亞中小企業,其攻擊模式融合數據竊取與系統加密雙重勒索手段。該團伙以高達91-96%的贖金支付率著稱,此前已認領13起有效攻擊。


https://hackread.com/cloak-ransomware-virginia-attorney-generals-office/


5. 23andMe破產重組,客戶敏感數據面臨泄露風險


3月24日,基因檢測巨頭23andMe因商業模式不可持續及歷史數據泄露事件影響,于2025年3月23日申請第11章破產保護,計劃通過出售資產償還債務。這家以郵寄唾液樣本進行基因檢測服務聞名的公司,曾遭遇2023年重大數據泄露事件,數百萬客戶姓名、基因信息、地理位置等敏感數據被竊取,引發用戶對數據安全的深切擔憂。加州總檢察長緊急提醒消費者行使法定權利,要求公司刪除遺傳數據及樣本。盡管啟動破產程序,23andMe強調將維持正常運營,客戶數據處理方式不變,并承諾任何買家必須遵守數據保護法律。公司董事會表示,破產重組將有助于優化成本結構,解決法律與租賃責任,同時持續保障用戶數據隱私。值得注意的是,23andMe自運營以來始終未實現盈利,控制權爭奪加劇了管理困境——創始人安妮·沃西基持有49%股權,多次試圖私有化未果后已辭去CEO職務。面對數據泄露風險,消費者可主動采取措施保護隱私:通過賬戶設置永久刪除基因數據及研究授權,或要求公司銷毀存儲的生物樣本。


https://cybernews.com/news/23andme-bankruptcy-sparks-dna-data-concerns/


6. Keenetic路由器數據泄露致俄用戶敏感信息暴露


3月21日,俄羅斯網絡設備供應商Keenetic遭遇重大數據泄露,涉及超百萬用戶敏感信息,包括WiFi密碼、設備序列號、網絡配置及日志等核心數據。安全研究人員警告,攻擊者可利用泄露憑證直接接管網絡,監控流量并滲透關聯設備。盡管Keenetic聲稱欺詐風險較低,但專家指出純文本存儲的密碼、過時的MD5哈希算法及詳細服務日志,使黑客能輕易實施網絡釣魚、身份盜竊甚至勒索攻擊。事件始于2023年3月,獨立安全研究員發現Keenetic移動應用數據庫遭未授權訪問,包含用戶郵箱、設備型號、加密密鑰及管理員憑證等。Keenetic雖迅速修復漏洞,但直至2025年2月才披露詳情,承認泄露影響2023年3月16日前注冊用戶。泄露數據規模驚人:超103萬用戶賬戶信息、92萬設備詳情、55萬網絡配置及5300萬條服務日志,其中94%用戶來自俄羅斯。值得注意的是,Keenetic與俄羅斯開發商NDM Systems的深度合作引發安全疑慮。盡管該公司在俄烏沖突后宣稱將軟件團隊遷至德國,但其設備仍高度依賴莫斯科團隊開發的KeeneticOS系統,且70%活躍設備位于俄羅斯。此次泄露暴露其云備份機制缺陷,敏感數據以明文形式存儲,進一步放大風險。


https://cybernews.com/security/keenetic-router-data-leak-puts-users-at-risk/

上一篇 下一篇