犯罪分子滥用 Microsoft Quick Assist 部署 Black Basta 勒索软件 • –
一个网络犯罪团伙一直在社会工程攻击中滥用 Microsoft 的 Quick Assist 应用程序,最终让其利用 Black Basta 勒索软件感染受害者。 据雷德蒙德称,该活动自 4 月中旬以来一直在持续,并将入侵归咎于其追踪的一个名为 Storm-1811 的经济动机组织。 微软没有立即回应 登记册有关攻击的问题,包括有多少客户受到攻击。 当我们收到回复时,我们将更新这个故事。 Quick Assist 是 Windows 11 中默认安装的软件工具,允许某人与远程用户(通常是企业 IT 人员)共享其 PC 或 macOS 设备,然后远程用户可以远程控制计算机。 这也使得诈骗者更容易冒充技术支持,诱骗人们给予他们对目标设备的完全访问权限。 “微软正在调查 Quick Assist 在这些攻击中的使用情况,并致力于提高帮助者和共享者之间的透明度和信任,并在 Quick Assist 中加入警告消息,以提醒用户可能存在技术支持诈骗,”Windows 巨头 说 在周三的警报中。 此外,组织可以 阻止或卸载 微软建议,如果他们不使用快速协助和其他远程管理工具,这将有助于降低他们遭受此类社会工程攻击的风险。 此外,还有一整套妥协指标和威胁搜寻查询,Microsoft 客户可以使用它们来查找其网络上的恶意活动,例如可疑的卷曲行为或可能恶意使用代理或隧道工具。 入侵始于 Storm-1811 通过语音网络钓鱼冒充 IT 支持人员,并说服用户通过 Quick Assist 授予他们访问计算机的权限。 在某些情况下,用户会受到垃圾邮件的轰炸,然后会被联系询问他们是否需要帮助解决问题。 通过键盘命令和攻击者提供的安全代码来授予访问权限。 […]
Guthrie Lourdes 医院受到 Ascension 网络攻击的影响
位于纽约州宾厄姆顿的格思里·卢尔德医院 (Guthrie Lourdes Hospital) 也被 受影响的 总部位于圣路易斯的 Ascension 医疗机构曾是该组织的一部分,遭到勒索软件攻击。 Ascension 透露,它于 5 月 8 日成为勒索软件攻击的受害者。尽管 Guthrie Lourdes 医院于 2 月份正式过渡到 Guthrie 医疗系统,但整合过程仍在进行中。 因此,当阿森松岛面临袭击时,格思里卢尔德医院也受到了影响。 格思里·卢尔德医院院长凯西·康纳顿 (Kathy Connerton) 表示:“出于谨慎考虑,我们迅速采取了行动,推迟了一些选择性手术,以便有时间确保我们能够安全地进行这些手术。” 说 5 月 10 日的视频声明中。 在 Guthrie Lourdes 医院网站 5 月 13 日的更新中,该医院表示,尽管其药房仍在营业,但目前无法配药。 建议患者联系他们的医生安排纸质处方或将药物转移到另一家药房。 与此同时,格思里卢尔德医院的急诊室仍然开放,并接受预约就诊的患者。 1715896175 #Guthrie #Lourdes #医院受到 #Ascension #网络攻击的影响 2024-05-16 15:59:27
医院运营商提升在网络攻击后恢复系统方面“取得进展”
医院运营商 Ascension 周一表示,他们周末“昼夜不停地工作”,以应对最近导致医院运营中断的勒索软件攻击。 “我们专注于安全地恢复系统。 我们正在取得进展,但是,恢复正常运营还需要时间。”Ascension 在一份声明中表示。 专门报道该事件的网站 它还提供了 11 个州的区域最新情况。 “随着系统和服务重新上线,我们将分享这些更新,以便我们的患者和社区可以做出相应的计划。” 作为美国最大的非营利和天主教卫生系统之一,自 5 月 8 日检测到其网络上存在所谓的“异常活动”以来,Ascension 一直在网络安全公司 Mandiant 的帮助下努力恢复系统,并建议业务合作伙伴断开连接来自扬升环境。 受网络攻击影响的系统包括电子健康记录系统 MyChart、一些电话系统以及其他允许订购测试、程序和药物的系统。 有关的: 医院运营商 Ascension 就疑似网络攻击发出警告; 运营中断 Ascension 表示,已通知执法部门、联邦调查局 (FBI)、网络安全和基础设施安全局 (CISA)、卫生与公众服务部 (HHS) 以及美国医院协会 (AHA)。 此次网络攻击是针对医疗保健行业的最新攻击。 今年早些时候,UnitedHealth Group 的 Change Healthcare 子公司成为勒索软件的受害者,该软件可能导致三分之一的美国人的健康和个人数据被泄露。 这起事件可能是医疗保健行业遭受的最大一次事件,促使拜登政府考虑要求医院满足最低网络安全标准。 主题 网络 这篇文章有价值吗? 是的 不 这里有更多您可能会喜欢的文章。 有兴趣 网络? 获取有关此主题的自动警报。
Ascension 遭受勒索软件攻击:报告
总部位于圣路易斯的 Ascension 5 月 8 日遭受的网络攻击被称为勒索软件事件, 美国有线电视新闻网 5月10日报道。 四名了解阿森松岛事件调查情况的消息人士透露 美国有线电视新闻网 卫生系统遭受勒索软件攻击。 此外,这些消息人士称,这种勒索软件名为 Black Basta,健康信息共享和分析中心 5 月 10 日的一份报告正在向医疗机构发出警告。 还有一个勒索软件组织与 Black Basta 名称相同。 5 月 8 日,Ascension 报告称其检测到网络上存在异常活动,这表明发生了网络安全事件。 5月9日,该组织证实了这一消息。 此次攻击导致 Ascension 的 EHR、MyChart 和一些电话系统无法使用,员工和运营部门不得不采取停机程序。 卫生系统在 5 月 9 日发布的新闻稿中表示:“我们正在与内部和外部顾问全天候合作,在经过彻底的验证和筛查过程后,调查、控制和恢复我们的系统。” 贝克尔的。 “我们的调查和修复工作需要时间才能完成,我们没有完成的时间表。” Ascension 在 19 个州和华盛顿特区拥有 134,000 名员工、35,000 家附属提供商和 140 家医院 贝克尔的 联系 Ascension,如果有更多信息,我们将更新本文。 1715521221 #Ascension #遭受勒索软件攻击报告 […]
企业如何防御网络威胁?
如今,所有企业都面临网络攻击的风险,而且这种风险正在不断增加。 数字化转型导致更多敏感和有价值的数据被转移到能够利用的在线系统上,从而提高了成功违规的盈利能力。 此外,发动网络攻击变得越来越容易。 漏洞利用工具包和恶意软件即服务产品 越来越便宜,而开源人工智能工具使伪装成值得信赖的高管和利用漏洞变得更加容易。 TechRepublic 综合了专家关于企业如何防御最常见网络威胁的建议,这些威胁包括: 社会工程攻击。 零日漏洞利用。 勒索软件攻击和数据盗窃。 物联网攻击。 供应链攻击。 人工智能深度造假。 社会工程攻击 这些是什么? 社会工程是一些最常见类型的网络攻击的总称,所有这些攻击都涉及某种形式的人为操纵以获取有关组织或网络的信息。 社会工程攻击包括但不限于: 网络钓鱼: 攻击者冒充合法实体来欺骗个人泄露机密信息,例如登录凭据。 大多数情况下,这以电子邮件的形式进行,但也可以通过电话(语音钓鱼)或短信(短信发送)来完成。 诱饵: 攻击者将包含恶意软件的物理设备(例如 U 盘或 CD)留在公共场所,希望有人拿起并使用它,从而损害他们的系统。 捕鲸: 更加个性化的网络钓鱼版本,通常针对单个高级个人。 商业电子邮件妥协: 一种有针对性的网络攻击,攻击者通过受损的电子邮件帐户冒充值得信赖的高管,欺骗员工转移资金或泄露敏感信息。 请参阅:社会工程攻击中使用的 6 种说服策略 最常见的攻击入口点有哪些? 虽然社会工程攻击可以通过电子邮件、电话和 U 盘发起,但它们都有一个共同的攻击入口点:人类。 企业如何保护自己? 零日漏洞利用 这些是什么? TechRepublic 撰稿人 Kihara Kimachia 将零日漏洞定义为: “零日漏洞是软件供应商、安全研究人员和公众不知道的代码漏洞和漏洞。 “零日”一词源于软件供应商修补有缺陷代码的剩余时间。 由于零日(或零小时)响应,开发人员很容易受到攻击,并且没有时间修补代码和堵塞漏洞。 一个漏洞就可以让黑客有足够的权限来探索和映射内部网络、窃取有价值的数据并找到其他攻击媒介。” 请参阅:零日漏洞备忘单:定义、示例及其工作原理 由于大型语言模型的可访问性不断提高,零日攻击可能会增加。 此类模型可用于加快漏洞搜索速度,并帮助进行令人信服的社会工程攻击。 最常见的攻击入口点有哪些? 零日漏洞的潜在攻击入口点与已知和已修补的漏洞相同 – 攻击者可以利用软件或硬件系统中的弱点的任何方式。 […]
涉嫌 LockBit 勒索软件的主谋已被查明
“如果你是一名网络犯罪分子,并且你在这些市场、论坛或平台上进行活动,你就无法确定执法部门是否会在其中观察你并对你采取行动,”NCA 国家警察局局长保罗·福斯特 (Paul Foster) 表示。网络犯罪小组。 苏普的崛起 LockBit 于 2019 年首次出现,是一个新兴的“勒索软件即服务”(RaaS) 平台。 在这种设置下,由 LockBitSupp 组织的少数核心个人创建了该组织易于使用的恶意软件并推出了其泄密网站。 该组织将 LockBit 的代码授权给“附属”黑客,这些黑客发起攻击并协商支付赎金,最终为 LockBit 提供了大约 20% 的利润。 尽管发起了数千次攻击,但与其他勒索软件组织相比,该组织最初试图保持低调。 随着时间的推移,随着 LockBit 变得更加出名并开始主导网络犯罪生态系统,其成员变得更加厚颜无耻,而且可以说是粗心大意。 NCA 高级调查员表示,他们从 LockBit 系统中提取了 194 家关联公司的数据,并正在拼凑他们的离线身份——调查员表示,其中只有 114 家没有赚到钱。 “有些人无能,没有发动袭击,”他们说。 然而,这一切的核心是 LockBitSupp 角色。 NCA 调查人员表示,有“大量”例子表明,在附属机构最初攻击公司或组织后,LockBit 管理员直接对高调或高额赎金谈判“承担责任”。 Jon DiMaggio 是网络安全公司 Analyst1 的研究员,花了数年时间研究 LockBit 并与 LockBitSupp 句柄进行交流。 迪马吉奥说:“他将其视为一项业务,并经常向其附属合作伙伴寻求反馈,了解如何使犯罪行动更加有效。” 研究人员表示,LockBitSupp 角色会询问附属机构他们需要什么才能更有效地完成工作。 迪马吉奥说:“他不仅仅为自己谋取金钱,还将其重新投资于发展自己的业务,并使其更受犯罪分子的青睐。” 在 LockBit […]
Google 报告显示 2023 年全球网络安全 5 大趋势
谷歌云旗下 Mandiant Consulting 的一份报告发现,组织检测环境中的攻击者所需的时间越来越短。 这表明公司正在加强其安全态势。 这 M-Trends 2024 报告 还强调,2023 年的首要目标行业是金融服务、商业和专业服务、科技、零售和酒店、医疗保健和政府。 这与以下事实相符:52% 的攻击者主要是出于经济利益的动机,因为这些行业通常拥有大量敏感且有价值的信息。 2023 年具有不同动机的威胁团体的百分比。图片来源:Mandiant Consulting 研究发现,自 2022 年以来,出于经济动机的活动增加了 8%,部分原因是平行的 勒索软件和勒索案件增加。 威胁行为者访问目标网络的最常见方式是通过漏洞利用、网络钓鱼、事先妥协和窃取凭证。 Mandiant 威胁情报顾问欧洲负责人杰米·科利尔 (Jamie Collier) 博士在一封电子邮件中告诉 TechRepublic:“尽管安全社区内的重点是勒索软件和敲诈勒索操作,但这些攻击在一系列部门和地区仍然有效。 因此,勒索活动对于网络犯罪分子来说仍然是高利润的。 “因此,过去五年中,许多进行其他形式网络犯罪的出于经济动机的团体已转向勒索活动。” TechRepublic 深入研究了 2023 年五大网络安全趋势以及第 15 届年度 M-Trends 报告中强调的专家建议: 全球组织正在改善其网络防御。 网络犯罪分子越来越注重逃避。 云环境越来越多地成为攻击目标。 网络犯罪分子正在改变策略来绕过 MFA。 红队正在使用人工智能和大型语言模型。 1. 全球组织正在改善网络防御 M-Trends报告显示,全球组织的平均停留时间从2022年的16天减少到2023年的10天,目前处于十多年来的最低点。 停留时间是攻击者在目标环境中未被检测到的时间量,表明企业网络态势的强度。 该数字表明公司正在对其网络安全进行有意义的改进。 然而,可能还有另一个因素: 勒索软件攻击的平均比例将从 2022 年的 18% 增至 […]
这家保险公司向勒索软件支付了 3650 亿印尼盾的赎金
雅加达 – 美国健康保险公司 UnitedHealth 承认向 BlackCat 支付了高达 2200 万美元(约合 3650 亿印尼盾)的赎金。 联合健康保险首席执行官安德鲁·威蒂在美国参议院传唤时承认了这一点。 据威蒂称,支付赎金的决定完全是他的责任。 “这是我必须做出的最艰难的决定之一,”周四(2024 年 2 月 4 日)The Verge 的 detikINET 援引美国参议院财政委员会的 Witty 的话说。 事实上,UnitedHealth已经承认,他们向闯入其Change Healthcare系统的黑客支付了赎金,但当时他们没有提及支付的金额。 2024年3月,他们承认勒索软件来自BlackCat勒索软件团伙,该团伙也是对拉斯维加斯多家米高梅赌场进行勒索软件攻击的幕后黑手。 BlackCat 此前承认,自 2 月份以来,它已通过勒索软件行动成功窃取了超过 6 TB 的数据。 它包括来自 UnitedHealth 的医疗数据。 Witty 还承认,勒索软件攻击的发生可能是因为他们没有使用一项简单但非常重要的功能,即多重身份验证 (MFA)。 Witty 表示:“犯罪者使用泄露的凭据访问 Change Healthcare Citrix 门户,该应用程序用于提供对桌面的远程访问。”他后来承认该门户没有配备 MFA。 不使用 MFA 的后果对多方产生巨大影响。 在得知入侵事件后,UnitedHealth 将 Change Healthcare […]
伦敦药店在“网络安全事件”后仍然关闭
周二上午,加拿大西部的所有伦敦药品商店仍然关闭,两天前,这家总部位于不列颠哥伦比亚省的公司宣布正在处理“网络安全事件”。 该公司于太平洋时间周二上午 7:20 发布的一份声明称,其商店“将暂时关闭……直至另行通知,同时继续为顾客提供紧急药房护理。” “London Drugs 目前正在与领先的第三方网络安全专家合作,以安全可靠的方式恢复我们的运营。” 这家零售和药房连锁店在不列颠哥伦比亚省、艾伯塔省、萨斯喀彻温省和马尼托巴省拥有 80 多家商店,该公司表示“出于谨慎考虑”关闭了其商店,同时聘请了专家调查这一事件。 声明称:“我们的调查目前正在评估该事件中任何数据被泄露的程度。如果我们的调查确定个人信息受到影响,我们将根据隐私法通知受影响的个人。” 该零售商没有提供其商店何时重新开业的时间表。 London Drugs 首席运营官兼总裁克林特·马尔曼 (Clint Mahlman) 在周二的声明中表示:“认识到这些关闭对加拿大西部地区的客户和员工造成的影响,我们的首要任务仍然是继续全天候工作,让所有商店全面运营。” “我们感谢大家在这个非常困难的时期给予的耐心和支持,并将提供最新消息。” 伦敦药品公司没有提供何时重新开放的时间表。 (本·内尔姆斯/CBC) 该公司表示,药剂师随时待命以应对紧急需求。 该公司的电话线路也仍然处于停机状态,但表示顾客可以亲自前往当地商店,那里的工作人员将为他们提供帮助。 加拿大邮政周一证实,位于伦敦药店内的办事处受到关闭的影响,但表示有包裹等待的顾客可以在商店领取。 加拿大邮政表示,如果客户需要支付任何邮费,他们将必须以现金支付。 London Drugs 是一家总部位于不列颠哥伦比亚省里士满的企业,于 1945 年开业,销售从药品到杂货和电子产品的各种商品。 一个月前,折扣连锁店 Giant Tiger Stores Ltd. 报告称,其部分客户数据在与其使用的第三方供应商有关的“事件”中遭到泄露。 过去两年,Indigo Books & Music、安大略省酒类管制委员会、新斯科舍省政府、多伦多公共图书馆和安大略省汉密尔顿市也成为网络事件的受害者。 加拿大统计局数据显示,2022 年,该国警方报告的网络犯罪案件为 74,073 起,高于 2018 年的 33,893 起。 专家们长期以来一直警告说,由于受害者经常遭受耻辱、尴尬和后果,网络犯罪往往未被充分报道。 周一,不列颠哥伦比亚省萨里市一家已关闭的伦敦药品店外的顾客。 (本·内尔姆斯/CBC) 专家:网络安全攻击是“持续的” 网络安全专家乔恩·弗格森表示,伦敦药品泄露事件“显然意义重大”。 尽管该公司没有提供详细信息,但他表示这可能是某种勒索软件——“某种类型的金钱请求后的数据泄露”。 他指出,这也可能是缺乏处理支付、建筑管理或安全系统或其他类型数据泄露的能力。 […]
CISA 今年将启动勒索软件警报计划
网络安全和基础设施安全局 (CISA) 今年将启动勒索软件警报计划,提醒企业注意其系统中的漏洞。 提前预警,有效防护 勒索软件攻击是当今企业面临的主要问题。 黑客闯入计算机系统,锁定有价值的数据并索要赎金来解锁它。 这些攻击可能是毁灭性的,导致数据丢失、中断和巨大的财务损失。 不过,有好消息。 为了应对这一日益严重的威胁,CISA 正在启动勒索软件警报计划。 该程序使用扫描工具来查找连接到互联网的企业设备中的漏洞。 通过及早识别这些漏洞,组织可以在攻击者利用它们之前预防它们。 事实上,自 2023 年 1 月该计划试点启动以来,CISA 已发出 2,000 多次警告,凸显了这些差距的普遍性。 CISA 的勒索软件警报计划如何保护企业 该计划预计将于 2024 年底全面实施。CISA 总监 Jen Easterly 强调了该计划的潜力,称其“致力于通过帮助企业弥补安全漏洞来减少勒索软件的传播”。 组织可以通过两种方式从 CISA 勒索软件警报计划中受益。 首先,公司可以注册 CISA 的网络卫生扫描工具。 这个强大的工具会持续扫描公开可用的 IP 地址,以查找可能被勒索软件攻击者利用的漏洞。 它超越了基本扫描,还提供有关现有和新发现的安全漏洞的每周报告和警报。 其次,CISA还可以利用其法律权力来识别未使用扫描工具注册的组织的联系方式。 然后,CISA 可以直接通知这些组织在其暴露的设备上发现的任何漏洞。 该计划已经引起了商界的极大兴趣。 已有 7,000 多个组织签署了该试点计划,凸显了采取主动网络安全措施的强烈愿望。 因此,该计划有可能成为打击网络犯罪的游戏规则改变者。 然而,其长期有效性取决于扫描的彻底性和警报速度等因素。 #CISA #今年将启动勒索软件警报计划 1714280555 2024-04-28 04:10:19