LockBit 勒索软件团伙因国际执法行动而瓦解

首页 > 宁静研究 > 宁静通报 > 宁静简讯

LockBit 勒索软件团伙因国际执法行动而瓦解

宣布时间 2024-02-21

1. LockBit 勒索软件团伙因国际执法行动而瓦解

2月20日，来自 11 个国家的执法机构开展的代号为“克罗诺斯行动”的联合执法行动，涉及LockBit勒索团伙，其网站已经被控制。自 2019 年底泛起以来，该组织的规模远远凌驾其他勒索软件团伙，Recorded Future 的研究人员将近 2,300 起攻击归因于该组织。Conti 是第二活跃的组织，仅果然与 883 起攻击有关。自 2020 年 1 月以来，利用 LockBit 的隶属机构已将目标锁定在金融服务、食品和农业、教育、能源等要害基础设施领域的种种规模的组织。政府和紧急服务、医疗保健、制造和运输。

https://therecord.media/lockbit-ransomware-disrupted-international-operation

2.Cactus 勒索软件声称窃取 1.5TB 施耐德电气数据

2月19日，Cactus 勒索软件团伙声称，他们上个月入侵施耐德电气网络后窃取了 1.5TB 的数据。并在暗网泄露网站上还泄露了 25MB 的据称被盗数据，作为威胁行为者声称的证据，此外还有显示几名美国公民护照和保密协议文件扫描的快照。该团伙目前正在勒索该公司，并威胁称，如果不支付赎金，就会泄露所有据称被盗的数据。目前尚不清楚具体的数据被盗，但施耐德电气的可连续生长业务部门为全球许多知名公司提供可再生能源和监管合规咨询服务，包罗 Allegiant Travel Company、Clorox、DHL、杜邦、希尔顿、利盟、百事可乐和沃尔玛。鉴于此，从其目标系统中窃取的数据可能包罗有关客户工业控制和自动化系统的敏感信息以及有关环境和能源规则合规性的信息。

https://www.bleepingcomputer.com/news/security/cactus-ransomware-claim-to-steal-15tb-of-schneider-electric-data/

3.Wyze 摄像头故障导致凌驾 13000 用户受影响

2月19日，Wyze 分享了影响数千名用户的宁静事件的更多细节，该公司将其归咎于最近添加到其系统中的第三方缓存客户端库，该库在处置周五大范围停电后同时上线的大量摄像机时泛起问题。“这次中断是由我们的合作伙伴 AWS 造成的，周五凌晨 Wyze 设备�；思父鲂∈�。如果您在这段时间内实验检察实时摄像头或活动，您可能无法寓目。对于给您带来的挫败感和困惑，我们深表歉意这导致了”该公司在发送给受影响用户的电子邮件中体现。Wyze 体现，泛起这种情况是因为需求突然增加，导致设备 ID 和用户 ID 映射混合，导致某些数据与不正确的用户帐户错误连接。因此，客户可以在点击 Wyze 应用法式的“事件”选项卡中的相机缩略图后看到其他人的视频源缩略图，在某些情况下甚至可以看到视频片段。

https://www.bleepingcomputer.com/news/security/wyze-camera-glitch-gave-13-000-users-a-peek-into-other-homes/

4.Linux 内核缺陷 (CVE-2024-0646) 使系统面临权限提升

2月19日，Linux 内核传输层宁静性 (kTLS) 中的漏洞(CVE-2024-0646)可能被当地用户利用来获取提升的系统权限或中断系统操作。幸运的是，现在已经提供了针对此漏洞的补丁。kTLS 将基本的 TLS 加密和身份验证功效直接引入 Linux 内核。这简化了基本互联网协议的宁静通信，例如 HTTPS（宁静网页浏览）、电子邮件和其他互联网连接应用法式。该漏洞的本质在于调用splice() 时内存处置不妥。KTLS 代码无法正确更新明文疏散收集缓冲区 ( struct sk_msg_sg ) 的内部记帐 ( curr/copybreak ) ，从而导致越界内存写入缺陷。内存管理中的这种失误可能会允许后续对套接字的写入笼罩拼接页面的内容，从而危险地包罗调用者不应具有写访问权限的文件中的页面。攻击者可能会利用此漏洞以非预期的系统权限导致代码意外执行。

https://securityonline.info/linux-kernel-flaw-cve-2024-0646-exposes-systems-to-privilege-escalation/

5.Android 银行木马 Anatsa 卷土重来新增斯洛伐克、斯洛文尼亚和捷克

2月19日，ThreatFabric 的研究人员视察到Anatsa银行木马（又名 TeaBot 和 Toddler）卷土重来。11 月至 2 月期间，专家们视察到了五波差异的攻击，每一波都集中在差异的地域。该恶意软件此前主要针对英国、德国和西班牙进行活动，但最新的活动针对的是斯洛伐克、斯洛文尼亚和捷克，这表明其运营计谋发生了转变。研究人员将 Anatsa 的活动归类为“有针对性”，视察到威胁行为者一次集中于 3-5 个区域。据 ThreatFabric 称，投放器应用法式已上传到目标区域的 Google Play 上。攻击者注意到这些应用法式经常进入“热门新免费”类别中的前三名，试图欺骗用户相信该应用法式是合法的并有大量用户下载。

https://securityaffairs.com/159344/malware/anatsa-banking-trojan-resurgence.html

6.凌驾 28500 台 Exchange 服务器易受主动利用的漏洞攻击

2月19日，Microsoft Exchange 服务器可能容易受到黑客正在积极利用的严重性权限升级漏洞（跟踪为 CVE-2024-21410）的影响。微软于 2 月 13 日解决了该问题，其时该问题已被用作零日漏洞。目前，已有 28500 台服务器被确定存在漏洞。Exchange Server 广泛应用于商业环境中，以促进用户之间的通信和协作，提供电子邮件、日历、联系人管理和任务管理服务。该宁静问题允许未经身份验证的远程攻击者对 Microsoft Exchange Server 执行 NTLM 中继攻击并提升其在系统上的权限。目前，CVE-2024-21410 还没有果然的看法验证 (PoC) 漏洞，这在一定水平上限制了利用该缺陷进行攻击的攻击者数量。

https://www.bleepingcomputer.com/news/security/over-28-500-exchange-servers-vulnerable-to-actively-exploited-bug/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究