勒索软件团伙开始果然部门 Change Healthcare 的数据

首页 > 宁静研究 > 宁静通报 > 宁静简讯

勒索软件团伙开始果然部门 Change Healthcare 的数据

宣布时间 2024-04-17

1. 勒索软件团伙开始果然部门 Change Healthcare 的数据

4月15日，RansomHub 勒索团伙已开始果然他们声称从 United Health 子公司 Change Healthcare 窃取的公司和患者数据，这对该公司来说是一个漫长而庞大的勒索过程。今年 2 月， Change Healthcare 遭受了网络攻击，对美国医疗保健系统造成了严重破坏，导致药房和医生无法向保险公司开具账单或提出索赔。这次攻击最终与 BlackCat/ALPHV 勒索软件操作有关，该勒索软件后来说他们在攻击期间窃取了 6 TB 数据。威胁行为者开始果然他们声称在 2 月份勒索软件攻击期间从 Change Healthcare 窃取的文件的屏幕截图。屏幕截图包罗 Change Healthcare 与保险提供商（包罗 CVS Caremark、Health Net 和 Loomis）之间的数据共享协议。其他文件包罗会计数据，包罗账龄陈诉、保险付款陈诉和其他财政信息。

https://www.bleepingcomputer.com/news/security/ransomware-gang-starts-leaking-alleged-stolen-change-healthcare-data/

2. CISCO DUO 警告电话供应商数据泄露导致 MFA 短信日志袒露

4月15日，Cisco Duo 警告其一家电话供应商发生数据泄露事件，导致通过 SMS 和 VOIP 发送给客户的多因素身份验证 (MFA) 消息受到损害。该宁静漏洞发生于 2024 年 4 月 1 日，威胁行为者使用了通过网络钓鱼攻击非法获得的提供商员工的凭据。然后，他们使用该访问权限下载了一组属于客户 Duo 帐户的 MFA 短信日志。更具体地说，威胁行为者下载了 2024 年 3 月 1 日至 2024 年 3 月 31 日期间发送给您 Duo 帐户下的某些用户的 SMS 消息的消息日志。消息日志不包罗任何消息内容，但包罗电话号码，每条消息发送到的电话运营商、国家和州，以及其他元数据（例如消息的日期和时间、消息类型等）。阅读发送给受影响个人的数据泄露通知。攻击者可以访问每条消息发送到的电话号码、电话运营商、国家和州。攻击者还获得了其他元数据，包罗消息的日期和时间、消息类型等。发现此事后，供应商立即展开视察并接纳缓解措施。

https://securityaffairs.com/161880/cyber-crime/cisco-duo-data-breach.html

3. SteganoAmor 攻击使用隐写术攻击全球 320 个组织

4月16日，TA558 黑客组织开展的一项新活动正在使用隐写术将恶意代码隐藏在图像内，从而将种种恶意软件工具通报到目标系统上。隐写术是一种将数据隐藏在看似无害的文件中的技术，使用户和宁静产物无法检测到它们。TA558 是一个自 2018 年以来一直活跃的威胁组织，以针对全球酒店和旅游组织（尤其是拉丁美洲）而闻名。Positive Technologies 发现了该组织的最新活动，由于广泛使用隐写术，被称为“SteganoAmor”。研究人员在此次活动中发现了 320 多次攻击，影响了各个部门和国家。这些攻击从包罗看似无害的文档附件（Excel 和 Word 文件）的恶意电子邮件开始，这些附件利用了 CVE-2017-11882 ，这是 2017 年修复的一个常见目标 Microsoft Office 公式编辑器漏洞。

https://www.bleepingcomputer.com/news/security/new-steganoamor-attacks-use-steganography-to-target-320-orgs-globally/

4. BLACKJACK使用ICS恶意软件FUXNET攻击俄罗斯的目标

4月15日，工业和企业物联网网络宁静公司 Claroty 陈诉称，乌克兰 Blackjack 黑客组织声称使用名为 Fuxnet 的破坏性 ICS 恶意软件破坏了莫斯科及俄罗斯首都以外地域的紧急检测和响应能力。据信， Blackjack 组织与乌克兰情报机构有关联，该机构对俄罗斯目标进行了其他攻击，包罗互联网提供商和军事基础设施。该组织声称袭击了总部位于莫斯科的 Moscollector 公司，该公司卖力地下水、污水和通信基础设施的建设和监测。ruexfil.com网站提供了有关 Moscollector 攻击的详细信息，黑客还宣布了他们声称受到损害的监控系统、服务器和数据库的屏幕截图。

https://securityaffairs.com/161865/hacking/blackjack-ics-malware-fuxnet.html

5. 黑客定制 LockBit 3.0 勒索软件来攻击全球组织

4月16日，卡巴斯基实验室的网络宁静研究人员发现了证据，表明网络犯罪团伙正在定制恶意的 LockBit 3.0 勒索软件，以针对全球组织进行有针对性的攻击。这使得威胁行为者能够定制恶意软件，以针对特定目标发生最大的影响和有效性。这些发现来自研究人员对泄露的LockBit 3.0构建器的分析，该构建器于 2022 年首次泛起在地下论坛上。该构建器使犯罪分子能够通过配置网络流传功效和禁用防御等选项来生成勒索软件的定制版本。视察人员发现攻击者已乐成窃取纯文本管理员凭据。然后，他们使用 LockBit 构建器生成定制的勒索软件变体，能够利用这些被盗的权限在网络上快速流传。定制的恶意软件在对受熏染系统中的数据进行加密之前，会破坏 Windows Defender �；げ⑸境录罩疽匝诟瞧渥偌�。

https://gbhackers.com/hacker-customize-lockbit-3-0-ransomware-to-attack-orgs-worldwide/

6. 混乱的 Libra 将重点转向SaaS和云以进行勒索攻击

4月15日，据视察，被称为Muddled Libra的攻击者积极针对软件即服务 (SaaS) 应用法式和云服务提供商 (CSP) 环境，以窃取敏感数据。威胁行为者已经开始实验利用其中一些数据来协助他们的攻击进展，并在试图通过他们的事情获利时用于勒索。Muddled Libra，也称为 Starfraud、UNC3944、Scatter Swine 和 Scattered Spider，是一个污名昭著的网络犯罪组织，利用庞大的社会工程技术来获得对目标网络的初始访问权限。攻击者还曾以多种方式通过访问受害者网络来获利，包罗通过勒索软件和数据偷窃进行勒索。威胁行为者战术演变的一个要害方面是，在冒充资助台事情人员通过电话获取密码时，使用侦察技术来识别目标管理用户。侦察阶段还延伸到 Muddled Libra 进行广泛的研究，以查找有关目标组织使用的应用法式和云服务提供商的信息。

https://thehackernews.com/2024/04/muddled-libra-shifts-focus-to-saas-and.html?&web_view=true

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究