APT攻击
新APT组织CloudSorcerer针对俄罗斯政府的网络间谍活动
UAC-0184利用Python进行DLL侧加载分发XWORM远程访问木马
UNC2565组织的攻击武器GootLoader的技术演变与攻击策略
攻击活动
法国OVHcloud平台成功抵御每秒8.4亿数据包的创纪录DDoS攻击
印度尼西亚遭受史上最严重网络攻击
数据泄露
史上最大密码泄露事件—RockYou2024:100亿密码外泄
美国知名公司Neiman Marcus遭遇超过3100万电子邮件数据泄露
恶意软件
新型Coyote银行木马瞄准拉丁美洲市场,重点关注巴西金融机构
伪装成生成式AI工具的信息窃取恶意软件
勒索软件
Avast破解DoNex勒索软件,向受害者提供免费解密工具
南非国家卫生实验室服务系统遭勒索软件攻击
APT攻击
新APT组织CloudSorcerer针对俄罗斯政府的网络间谍活动
近期,网络安全研究人员发现了一个名为CloudSorcerer的新型高级持续性威胁(APT)组织,该组织专门针对俄罗斯政府实体进行网络间谍活动。CloudSorcerer利用复杂的网络间谍工具,通过Microsoft Graph、Yandex Cloud和Dropbox等云基础设施进行隐蔽监控、数据收集和外泄。此恶意软件使用云资源作为其命令与控制(C2)服务器,并通过API使用认证令牌进行访问。
CloudSorcerer的行为与2023年报告的CloudWizard APT相似,但恶意软件代码完全不同。研究人员推测CloudSorcerer是一个新出现的行动者,采用了与公共云服务交互的类似方法。技术细节表明,CloudSorcerer APT主要使用公共云服务作为其C2服务器。恶意软件使用特定命令与C2进行交互,并通过硬编码的字符表进行解码。该行动者利用Microsoft COM对象接口执行恶意操作,CloudSorcerer根据运行进程不同,表现为独立的模块(通信模块、数据收集模块),但执行于单一可执行文件。CloudSorcerer的初始启动表明,它是由攻击者在已感染的机器上手动执行的单一便携可执行(PE)二进制文件。执行后,恶意软件会根据运行进程的名称激活不同的功能。例如,如果进程名称为mspaint.exe,CloudSorcerer将作为后门模块,执行数据收集和代码执行等活动;如果进程名称为msiexec.exe,则启动其C2通信模块。该恶意软件通过Windows管道这种进程间通信(IPC)机制,组织所有模块间的数据交换。后门模块首先收集各种系统信息,并在单独的线程中运行。收集的数据包括计算机名称、用户名称、Windows子版本信息和系统运行时间。所有收集的数据都存储在特别创建的结构中,并在信息收集完成后写入命名管道,连接到C2模块进程。随后,恶意软件尝试从管道读取数据,解析传入数据到命令结构,并读取代表命令ID的单个字节。根据命令ID,恶意软件执行不同的操作,包括收集硬盘信息、文件和文件夹信息、执行shell命令、文件操作、读取和写入文件数据、接收shellcode注入进程、接收PE文件、运行高级功能等。当接收到0x7命令ID时,恶意软件将执行附加任务,如创建进程、清除DNS缓存、删除任务、操作Windows服务和任务、获取服务列表、修改注册表项、收集进程信息、设置网络用户信息等。C2模块通过创建新的Windows管道、配置初始C2服务器的连接、设置请求类型、代理信息、硬编码头和C2 URL,与GitHub页面等初始C2服务器建立连接。然后,恶意软件读取整个网页到内存缓冲区,并解析寻找特定的十六进制字符串,使用硬编码的字符码替换表对其进行解码。CloudSorcerer还能够从Mail.ru的云相册获取相同的数据,该相册包含与GitHub页面相同的十六进制字符串。解码后的数据指示恶意软件使用哪个云服务,例如,如果字节是“1”,则使用Microsoft Graph云;如果是“0”,则使用Yandex云。随后的字节形成用于云API认证的承载者令牌字符串。
CloudSorcerer恶意软件代表了针对俄罗斯政府实体的复杂工具集。其使用云服务作为C2基础设施,以及GitHub用于初始C2通信,展示了精心策划的网络间谍方法。恶意软件能够根据运行进程动态适应其行为,并通过Windows管道使用复杂的进程间通信,进一步凸显其复杂性。尽管与先前报告的CloudWizard APT在行为方式上存在相似之处,但代码和功能的重大差异表明CloudSorcerer可能是一个新行动者,可能受到先前技术的启发,但正在开发自己独特的工具。
图 1 CloudSorcerer组织主要后门功能
参考链接:
https://securelist.com/cloudsorcerer-new-apt-cloud-actor/113056/
UAC-0184利用Python进行DLL侧加载分发XWORM远程访问木马
网络安全公司CRIL最近揭露了一个与UAC-0184组织相关的攻击活动。该活动针对乌克兰,使用XWorm远程访问木马(RAT),并巧妙地利用Python进行DLL侧加载来分发恶意软件。UAC-0184此前已经在芬兰针对乌克兰实体运用了Remcos RAT进行操作。在最新的活动中,迹象表明该组织可能专注于乌克兰,使用伪装的诱饵文档来分发XWorm RAT。CRIL的调查始于ZIP归档中发现的.lnk文件。执行LNK快捷方式时,它启动一个PowerShell脚本,下载额外的ZIP文件和诱饵文档。该ZIP文件包含多个项目,包括真正的Python可执行文件、恶意的Python DLL和加密的有效载荷二进制文件。感染技术采用DLL侧加载和Shadowloader执行最终的有效载荷,即XWorm RAT。当用户执行.lnk文件时,看似无害的Excel文档会显示出来,而实际的恶意活动在后台进行。PowerShell脚本设计为下载两个文件,并在%appdata%中创建名为“SecurityCheck”的文件夹,保存提取的文件,并执行“pythonw.exe”。“pythonw.exe”通过DLL侧加载方法加载名为“python310.dll”的恶意DLL,创建cmd.exe进程,启动挂起的MSBuild进程。然后,加载器解密名为“daikon.tif”的文件(即Shadowladder),并将shellcode注入到之前创建的“MSBuild.exe”中,使用进程挖空技术。注入的内容,被识别为XWorm,继续在受感染的系统上执行恶意操作。XWorm被归类为商品恶意软件,设计为易于访问,即使是技术专长有限的威胁行为者也可以购买和使用它进行各种网络犯罪。这种多功能的恶意软件提供了一系列能力,包括数据盗窃、DDoS攻击、加密货币地址操纵、勒索软件部署和在受损系统上下载额外的恶意软件。UAC-0184不懈地对乌克兰进行恶意软件活动,不断完善其技术以更好地规避检测。值得注意的是,该活动在分发中使用了与Python相关的文件以避免检测。最终有效载荷XWorm RAT的部署表明,其主要目标是建立对受损系统的远程访问。UAC-0184组织的攻击行动也展示了对乌克兰目标进行战略性渗透的持续努力。
图 2 UAC-0184组织攻击示意图
参考链接:
https://cyble.com/blog/uac-0184-abuses-python-in-dll-sideloading-for-xworm-distribution/
UNC2565组织的攻击武器GootLoader的技术演变与攻击策略
Cybereason安全服务团队最新发布的威胁分析报告深入探讨了GootLoader恶意软件的兴起和其技术细节。GootLoader,一种已知利用JavaScript下载后续利用恶意软件/工具的恶意加载器,自2020年重新出现以来,一直是网络安全领域关注的焦点。
GootLoader是GootKit恶意软件家族的一部分,该家族自2014年以来一直活跃,主要针对银行业务。背后的威胁行为者,被Mandiant追踪为UNC2565,开始转向使用GootLoader而非GootKit银行木马。GootLoader的演变显示了攻击者如何适应网络安全防御,不断更新其载荷,目前GootLoader 3版本正被积极使用。GootLoader的初始感染策略依赖于搜索引擎优化(SEO)中毒,通过伪装成合法文档的文件分发其恶意JavaScript负载。这些文件经常使用“协议”、“合同”和“表格”等词汇作为标题,以吸引寻求商业相关文档的用户。技术层面上,GootLoader的感染链从用户下载并执行包含第一阶段GootLoader负载的归档文件开始。该负载通过Windows脚本宿主(wscript)执行,然后释放并注册第二阶段负载,通过计划任务运行。第二阶段负载进一步利用cscript和PowerShell执行第三阶段负载,收集系统信息并处理C2通信。GootLoader的代码经过深度混淆,分为三个阶段执行,每个阶段都具有其独特的混淆和执行策略。第一阶段负责部署和执行第二阶段负载,通过散布恶意代码到合法JavaScript库中来规避怀疑和反分析。第二阶段负载在执行时进一步混淆自身,而第三阶段则是一个PowerShell脚本,负责执行主机发现、侦察活动以及与C2服务器的通信。
Cybereason的分析还指出,GootLoader的变种正在不断演化,例如引入了名为GootBot的新变种,这表明攻击者正在调整其策略以适应不同行业和地区的防御措施。此外,GootLoader的攻击目标广泛,不局限于特定行业或地区,而是利用SEO中毒吸引广泛的用户群体。
图 3 GootLoader 3.0 执行流程
参考链接:
https://www.cybereason.com/blog/i-am-goot-loader
攻击活动
法国OVHcloud平台成功抵御每秒8.4亿数据包的创纪录DDoS攻击
2024年4月,法国云计算服务提供商OVHcloud宣布成功抵御了一次规模空前的分布式拒绝服务(DDoS)攻击。这次攻击的数据包速率达到了每秒8.4亿个数据包(Mpps),创下了新的记录。这一数字略微超过了Akamai在2020年6月报告的每秒8.09亿个数据包的记录,那次攻击的目标是欧洲的一家大型银行。OVHcloud所遭受的攻击是由5000个源IP发起的TCP ACK泛洪攻击,以及利用大约15000个DNS服务器进行的DNS反射攻击的组合。OVHcloud指出,尽管攻击流量似乎来自全球各地,但三分之二的总数据包流量仅通过美国的四个接入点进入,其中三个位于西海岸。这表明攻击者能够通过少数几个点发送巨大的数据包速率,这种能力可能对网络安全构成严重威胁。他们还观察到,自2023年以来,DDoS攻击的频率和强度都有显著增加,每秒1 Tbps以上的攻击从相当罕见,到每周一次,再到几乎每天发生,现在已成为常态。与典型的DDoS攻击不同,数据包速率攻击通过过载接近目的地的网络设备的包处理引擎,如负载均衡器,来实现攻击目的。OVHcloud收集的数据显示,利用超过100 Mpps的数据包速率的DDoS攻击在同一时期急剧增加,许多攻击来自被入侵的MikroTik Cloud Core Router(CCR)设备。据估计,有99382台MikroTik路由器可以通过互联网访问,这些路由器运行着RouterOS的过时版本,容易受到已知的安全漏洞的影响。攻击者可能利用这些路由器的带宽测试功能来发动攻击。如果攻击者能够劫持1%的暴露设备进入DDoS僵尸网络,理论上他们将拥有足够的能力发动每秒22.8亿个数据包(Gpps)的第7层攻击。
参考链接:
https://thehackernews.com/2024/07/ovhcloud-hit-with-record-840-million.html
印度尼西亚遭受史上最严重网络攻击
印度尼西亚最近遭受了近年来最严重的网络攻击,暴露了该国IT政策的关键弱点。2024年6月20日,一场勒索软件攻击针对印尼国家临时数据中心(PDNS)并使用了LockBit 3.0变种Brain Cipher。这种恶意软件不仅提取,还加密了服务器上的敏感数据。攻击者要求800万美元的赎金,印尼政府已明确表示无意支付。此次攻击最令人震惊的方面之一是,其中两个受影响的数据中心之一,几乎所有数据都未备份,这使得在没有解密的情况下恢复变得不可能。这一疏忽严重扰乱了230多个公共机构的运营,包括关键部门和重要的国家服务,如移民和主要机场运营。作为对攻击的回应,印尼总统佐科·维多多下令对国家数据中心进行全面审计。印尼发展与金融监管机构(BPKP)负责人穆罕默德·尤苏夫·阿特表示,审计将重点关注治理和网络攻击的财务影响。印尼网络安全机构的一位官员透露,在被入侵的数据中心之一存储的政府数据中,有98%未备份,尽管数据中心具备备份能力。由于预算限制,许多政府机构没有使用备份服务。网络攻击引发了对政府内部责任的呼声,特别是针对印尼通信主管布迪·阿里·塞蒂亚迪。批评者认为,负责管理数据中心的塞蒂亚迪部门未能防止该国多次网络攻击。调查此事件的委员会主席穆提亚·哈菲德严厉批评了缺乏备份,称其为“愚蠢”,而不仅仅是一个简单的治理问题。此次攻击不仅暴露了印尼IT基础设施的脆弱性,还导致了重大的运营中断。缺乏适当的数据备份程序突显了迫切需要健全的网络安全措施和政策来保护敏感的政府数据。总统维多多下令的审计是解决这些问题和预防未来网络攻击的关键步骤。
参考链接:
https://www.cysecurity.news/2024/07/indonesias-worst-cyber-attack-exposes.html
数据泄露
史上最大密码泄露事件—RockYou2024:100亿密码外泄
2024年7月4日被标记为一个不幸的日子,这一天,一个包含100亿个独特明文密码的庞大密码集合在黑客论坛上被泄露。这一泄露事件由Cybernews研究团队揭露,他们警告说,这一泄露事件对那些倾向于重复使用密码的用户构成了极大的安全风险。这个被称为RockYou2024的密码集合,其规模之大,令人震惊。文件rockyou2024.txt由论坛用户ObamaCare发布,该用户自2024年5月底注册以来,已经分享了多份敏感数据,包括来自Simmons & Simmons律师事务所的员工数据库、在线赌场AskGamblers的潜在客户信息,以及伯灵顿县Rowan学院的学生申请等。Cybernews研究团队对RockYou2024泄露的密码进行了深入分析,并与他们的“Leaked Password Checker”中的数据进行了交叉引用。分析结果显示,这些密码来自一系列旧的和新的数据泄露。研究人员指出,RockYou2024泄露的本质是全球各地个人使用的现实世界密码的汇集,其泄露极大地增加了凭证填充攻击的风险。凭证填充攻击是一种网络攻击方式,攻击者利用被盗密码尝试访问用户的其他账户,对用户和企业都可能造成严重破坏。例如,近期针对Santander、Ticketmaster、Advance Auto Parts、QuoteWizard等公司的攻击浪潮,就是凭证填充攻击的直接后果。Cybernews团队发现,RockYou2024密码汇编的创建者通过搜集互联网上的数据泄露,从2021年到2024年增加了超过1.5亿个密码,使得整个数据集扩大了15%。这表明,最新的RockYou迭代可能包含了从20多年前的4000多个数据库中收集的信息。
参考链接:
https://cybernews.com/security/rockyou2024-largest-password-compilation-leak/
美国知名公司Neiman Marcus遭遇超过3100万电子邮件数据泄露
美国奢侈品零售商和百货连锁店Neiman Marcus在2024年5月遭受的数据泄露事件,据“我被黑了吗”(Have I Been Pwned)创始人Troy Hunt分析,已导致超过3100万客户的电子邮件地址被曝光。这一数字与公司向缅因州总检察长办公室提交的违规通知中声称的仅影响64,472人的数据大相径庭。
在公司网站上发布的另一份独立事件通知中,Neiman Marcus透露,此次攻击中暴露的数据包括姓名、联系信息(例如电子邮件和邮寄地址、电话号码)、出生日期、礼品卡信息、交易数据、部分信用卡信息(不含有效期或CVV)、社会安全号码以及员工识别号码。Troy Hunt在分析此次数据泄露中被盗取的数据时,发现了3000万个独特的电子邮件地址。他向BleepingComputer确认,通过与被盗数据库中的多人核实,这些信息是合法的。Hunt表示,他将向31,152,842个独特的地址发送通知,并指出大约105,000名“我被黑了吗”的订阅者在数据集中将收到通知他们此次大规模数据泄露的电子邮件。当BleepingComputer联系Neiman Marcus的发言人以确认Hunt的发现时,他们拒绝置评,而是指向公司网站上发布的数据安全通知,并表示缅因州备案中提到的64,472人是那些已经收到数据泄露通知的人。6月,在首次披露数据泄露后,Neiman Marcus还在对BleepingComputer的声明中将此事件与Snowflake数据盗窃攻击联系起来。Neiman Marcus Group (NMG) 表示,最近得知未授权方获得了由第三方Snowflake提供的云数据库平台的访问权限。在威胁行为者使用“Sp1d3r”别名在黑客论坛上出售Neiman Marcus的数据后,披露和数据泄露通知随之而来。该行为者要求15万美元购买1200万礼品卡号码、7000万笔交易的完整客户详情以及600亿行客户购物记录、商店信息和员工数据。
尽管最初威胁行为者表示公司拒绝支付敲诈要求,但随后他们撤下了论坛帖子和数据样本,暗示公司可能已经开始谈判。SnowFlake、Mandiant和CrowdStrike的联合调查揭示了一个被追踪为UNC5537的财务动机威胁行为者使用被盗的客户凭证针对至少165个未能在其SnowFlake账户上配置多因素认证(MFA)保护的组织。
参考链接:
恶意软件
新型Coyote银行木马瞄准拉丁美洲市场,重点关注巴西金融机构
近期,一种名为Coyote的新型银行木马病毒引起了安全专家的高度关注。该木马主要针对巴西的金融机构,特别是银行,其独特的执行链使其在众多银行木马中独树一帜。Coyote木马首次被研究人员在2024年2月识别出来,其名称来源于其滥用合法软件Squirrel的行为,Squirrel通常用于管理Windows应用程序的安装和更新。
Coyote木马的攻击过程相当复杂。攻击开始时,一个合法的开源OBS文件和Chromium Embedded Framework (CEF) 动态链接库(DLL)被注入了恶意的DLL。这个受损的DLL使用Nim编程语言来加载Coyote银行木马并收集用户的金融信息,同时在系统上实现持久性。Nim是一种新兴的多平台编程语言,它结合了Python、Ada和Modula等成熟语言的成功概念。在执行过程中,Coyote木马首先启动Squirrel更新进程,然后加载名为“designlesotho.exe”的文件,最终通过cmd.exe执行OBS的“obs-browser-page.exe”。为了在系统上持久存在,木马通过注册表键HKEY_CURRENT_USER\Environment\UserInitMprLogonScript来实现自启动。Coyote木马的最终DLL,即chrome_elf.dll,是一个Nim加载器,它在内存中执行嵌入的Coyote银行木马。一旦执行,该木马就会持续检查文件或浏览器窗口的标题,当标题与目标匹配时,它就会开始与其命令和控制(C2)服务器通信。Coyote能够执行总共24条命令和功能,包括截取用户活动屏幕截图、显示全屏覆盖窗口(包括假冒银行应用的覆盖)、修改注册表、移动用户鼠标、关闭机器和键盘记录等。
Coyote木马的目标清单包括巴西金融机构以及全球最大的加密货币交易平台Binance。这一威胁的出现凸显了网络安全威胁格局的迅速演变,以及金融机构面临的日益复杂的网络攻击手段。
参考链接:
伪装成生成式AI工具的信息窃取恶意软件
随着技术的发展,网络犯罪分子也在不断地更新他们的策略和工具。根据ESET的最新研究,过去六个月内,针对Android设备的金融威胁显著增加,包括传统的银行恶意软件和新兴的加密货币窃取工具。现在,这些恶意软件开始伪装成生成式AI工具,以诱骗毫无戒心的用户。ESET安全研究人员发现,名为GoldPickaxe的新型移动恶意软件能够窃取面部识别数据,进而创建深度伪造视频,用于验证欺诈性金融交易。GoldPickaxe不仅针对东南亚用户,还有其安卓版本的GoldDiggerPlus,已通过本地化的恶意应用程序在拉丁美洲和南非地区活跃。此外,信息窃取恶意软件也开始利用生成式AI工具的名声进行伪装。2024年上半年,Rilide Stealer被发现滥用如OpenAI的Sora和Google的Gemini等生成式AI助手的名称,以吸引潜在受害者。Vidar infostealer也被发现隐藏在一个假冒的Windows桌面应用程序背后,该应用程序声称是AI图像生成器Midjourney的版本,尽管Midjourney的AI模型只能通过Discord访问。ESET的威胁检测总监Jiří Kropáč表示自2023年以来,ESET研究团队已经注意到网络犯罪分子越来越多地滥用AI主题,这一趋势预计将持续下去。在游戏领域,一些破解视频游戏和在线多人游戏中使用的作弊工具被发现含有如Lumma Stealer和RedLine Stealer等信息窃取恶意软件。RedLine Stealer在2024年上半年在ESET的遥测中检测到几次高峰,由西班牙、日本和德国的活动引起。RedLine Stealer在2024年上半年的检测量比2023年下半年增加了三分之一。
参考链接:
https://www.helpnetsecurity.com/2024/07/05/infostealing-malware-generative-ai/
勒索软件
Avast破解DoNex勒索软件,向受害者提供免费解密工具
在全球网络安全领域,勒索软件一直是企业和个人面临的严峻挑战。然而,近期Avast的研究人员在对抗这一威胁方面取得了重大突破。他们发现了DoNex勒索软件及其前身的加密方案中的关键漏洞,并利用这一发现与执法机构合作,自2024年3月起为受害者提供了解密工具。这一成果在Recon 2024安全会议上向公众披露。DoNex勒索软件以其多变的面貌(包括Muse、假冒LockBit 3.0和DarkRace)而臭名昭著,主要在美国、意大利和比利时等地区活动。自2024年4月以来,新的DoNex样本已经绝迹,其TOR网站也已下线,这可能表明该勒索软件的进化已经停止。
Avast的研究人员深入分析了DoNex勒索软件的加密方案,特别是其加密密钥的生成和使用方式。他们发现了一个关键的弱点,利用这一弱点,Avast能够在不引起攻击者注意的情况下,帮助受害者恢复他们的文件。解密工具现已向公众开放,它界面友好,能够引导受害者完成整个解密过程。用户只需提供一对原始文件和加密后的文件,工具就能破解加密密码,恢复受影响的数据。对于那些怀疑自己受到DoNex或其早期版本影响的用户来说,Avast的解密工具无疑是一线希望。在过去的几个月里,Avast的研究人员与执法机构紧密合作,秘密地向DoNex勒索软件的受害者分发了这一解密工具。他们表示,在REcon 2024计算机安全会议上,DoNex勒索软件的加密方案中的漏洞被公开,他们没有理由再保守这个秘密。
DoNex勒索软件首次出现在2022年4月,并经历了多次迭代。它最初被称为Muse,也曾被称为LockBit 3.0和DarkRace。根据Avast研究人员的说法,它在美国、意大利和荷兰最为活跃,而Avast开发的解密工具适用于所有变种的DoNex勒索软件。一旦用户的PC被DoNex勒索软件下载,它就会对文件进行加密。小于1MB的文件会被完整加密,而大于1MB的文件会被分割成块,然后分别进行加密。一旦用户受到DoNex的影响,他们将收到类似上述的通知。Avast表示,根据版本不同,格式化可能会有所不同,但如果用户收到这样的通知,他们可能可以使用解密工具。
参考链接:
https://securityonline.info/avast-cracks-donex-ransomware-offering-the-decryptor/
南非国家卫生实验室服务系统遭勒索软件攻击
南非国家卫生实验室服务(NHLS)在6月遭受勒索软件攻击后,承诺将在本月中恢复部分系统在线。尽管NHLS发言人表示目前无法提供新的情况评论,但他们在7月3日的声明中给出了7月中旬恢复的估计,且该声明在本周初仍被视为有效。自攻击以来,NHLS不得不采取一系列措施应对向全国医生传播检测结果的中断。提供检测结果到诊所仍然是一个挑战,因为官员们尚未能够恢复WebView——医生和护士可以登录并查看自动生成的检测结果的门户。目前,所有紧急检测结果都通过电话传递给卫生官员。该组织还向所有卫生设施发送了一份“关键检测”清单,以“限制检测请求的数量,让实验室能够应对工作量。”他们重申,该清单“并不意味着常规检测将不被执行。”NHLS首席执行官Koleka Mlisana在声明中表示,这次违规行为危及了数百万公共卫生患者的安全和福祉。这些中断阻碍了应对多种同时发生的卫生危机——猴痘、HIV和结核病的关键努力。NHLS在南非运营265个实验室,为该国九个省的公共卫生设施提供检测服务。6月22日,当一个勒索软件团伙开始删除该机构系统包括备份服务器在内的大部分部分时,NHLS陷入了混乱。据《开普独立报》估计,NHLS处理了约80%的南非人口的诊断检测——并补充说有超过630万未处理的血液检测。没有这些检测,主要手术已被推迟。NHLS指出,它已经向南非洲警察服务部门报案并通知监管机构有关数据泄露的情况。上周,BlackSuit勒索软件团伙声称对这次攻击负责,声称已经窃取了1.2TB有关企业运营、员工、患者等的数据。他们说NHLS没有回应他们的敲诈企图。该团伙据称给Mlisana的工作人员和一名南非记者打电话,要求赎金,并否认他们打算造成伤亡。勒索软件团伙在过去两周内对一家著名汽车经销商系统的攻击中造成了类似的混乱。BlackSuit是去年对达拉斯市政府发动毁灭性攻击的Royal勒索软件团伙的重新品牌。
参考链接:
https://therecord.media/south-africa-national-health-laboratory-service-ransomware-recovery
往期推荐
LockBit勒索组织发布声明并重建泄露网站——每周威胁情报动态第166期(2.23-2.29)
GoldFactory组织开发针对iOS系统的GoldPickaxe木马病毒——每周威胁情报动态第165期(2.9-2.22)
新APT组织APT-LY-1009针对亚美尼亚政府投递VenomRAT——每周威胁情报动态第164期(02.02-02.07)
