Akira勒索软件团伙史无前例一日泄露35名受害者数据

宣布时间 2024-11-20

1. Akira勒索软件团伙史无前例一日泄露35名受害者数据


11月19日 ,勒索软件团伙Akira在一天内泄露了大量受害者数据 ,数量创下了纪录。该团伙是一个勒索软件即服务团伙 ,在网络犯罪界越来越知名。他们通过窃取和加密数据来勒索受害者 ,并在暗网泄密网站上宣布受害者信息。周一 ,该团伙的泄密网站新增了35名受害者 ,其中32名为新受害者。网络宁静研究人员体现 ,这是前所未有的大量被盗资料。尽管有推测认为这可能是Akira在关闭之前的最后一次大甩卖 ,但研究人员认为 ,Akira可能仍在网络犯罪生态系统中积极扩张。新受害者大多来自商业服务行业 ,总部位于美国 ,但也有加拿大、德国、英国等地的公司受到影响。与LockBit差异 ,Akira此次宣布的受害者信息都是新的 ,没有旧受害者信息被重新宣布。


https://therecord.media/akira-ransomware-group-publishes-unprecedented-leak-data


2. Finastra内部文件传输平台疑遭大规模信息窃取


11月19日 ,金融科技公司Finastra正在视察其内部文件传输平台发生的大规模信息窃取事件。该公司为全球近8,100家金融机构提供服务 ,包罗45家顶级银行。近日 ,一名网络犯罪分子在暗网上声称已从Finastra窃取凌驾400GB的数据并开始出售。Finastra已向客户通报了这一宁静事件 ,并体现客户运营、客户系统或其为客户提供服务的能力没有受到直接影响。公司已实施替代的宁静文件共享平台以确保连续性 ,并正在视察事件原因。据开端证据表明 ,凭证已被泄露 ,但尚未确定被窃取文件中包罗的数据的范围和性质。一名使用昵称“abyss0”的网络犯罪分子在10月份就试图出售据称从Finastra窃取的数据 ,而Finastra在11月7日首次检测到可疑活动。此次入侵可能是abyss0再次返回窃取更多数据。目前 ,abyss0的Telegram帐户和BreachForums帐户都已消失 ,其所有销售帖子也已删除。


https://krebsonsecurity.com/2024/11/fintech-giant-finastra-investigating-data-breach/


3. CISA新增三漏洞警示:Progress Kemp LoadMaster等系统面临严重威胁


11月19日 ,美国网络宁静和基础设施宁静局(CISA)近期在其已知利用漏洞(KEV)目录中新增了三个重要漏洞 ,其中之一是影响Progress Kemp LoadMaster的要害操作系统命令注入漏洞 ,编号为CVE-2024-1212 ,由Rhino Security Labs发现并于2月21日宣布的更新中解决。该漏洞允许未经身份验证的远程攻击者通过LoadMaster管理界面执行任意系统命令 ,对LoadMaster版本7.2.48.1、7.2.54.8和7.2.55.0之前的版本组成威胁。另外两个被CISA添加到KEV的漏洞分别是影响Palo Alto Networks PAN-OS管理界面的身份验证绕过漏洞(CVE-2024-0012)和OS命令注入漏洞(CVE-2024-9474)。此外 ,Progress Software还修复了LoadMaster中的另一个最高严重性漏洞CVE-2024-7591 ,该漏洞允许远程攻击者使用特制HTTP请求访问管理界面并执行任意命令 ,影响LoadMaster版本7.2.60.0及之前版本和MT Hypervisor版本7.1.35.11及之前版本。


https://www.bleepingcomputer.com/news/security/cisa-tags-progress-kemp-loadmaster-flaw-as-exploited-in-attacks/


4. 福特汽车遭数据泄露指控 ,44000条客户记录疑被黑客论坛泄露


11月19日 ,一名黑客在黑客论坛BreachForums上声称泄露了福特汽车的44,000条客户记录 ,引起了广泛关注。据称 ,这些记录包罗客户的全名、实际位置、购置详情、经销商信息和时间戳等个人身份信息 ,尽管并非极度敏感 ,但仍可能使被泄露的个人面临网络钓鱼和社会工程攻击的风险。泄露者“EnergyWeaponUser”并未试图出售该数据集 ,而是仅以8个积分(约2美元)的价格提供应论坛注册会员。福特公司对此事体现已经意识到并正在积极视察相关指控。同时 ,有指控称另一名黑客“IntelBroker”也涉嫌加入了此次泄露事件 ,该黑客近期已确认入侵了多个知名机构 ,包罗思科、诺基亚、欧洲刑警组织和T-Mobile等。鉴于数据泄露可能带来的风险 ,专家建议公众谨慎看待未经请求的通信 ,并拒绝任何要求披露更多信息的请求。


https://www.bleepingcomputer.com/news/security/ford-investgates-alleged-breach-following-customer-data-leak/


5. Helldown勒索软件利用Zyxel防火墙漏洞攻击企业


11月19日 ,新的“Helldown”勒索软件行动针对Zyxel防火墙漏洞 ,通过侵入公司网络窃取数据并加密设备。据法国网络宁静公司Sekoia视察 ,自今年夏天推出以来 ,Helldown生长迅速 ,在其勒索门户网站上列出了众多受害者 ,主要是美国和欧洲的中小型公司。Helldown Windows版基于泄露的LockBit 3构建器 ,操作与Darkrace和Donex相似 ,但其加密器并不先进 ,使用批处置文件结束任务。Sekoia发现 ,至少8名Helldown受害者在使用Zyxel防火墙作为IPSec VPN接入点时遭到入侵 ,推测Helldown可能利用CVE-2024-42057漏洞 ,该漏洞已在9月3日宣布的固件版本5.39中得到修复。此外 ,Sekoia还发现与Zyxel入侵相关的可疑用户帐户和配置文件 ,并推测有效载荷可能与该入侵有关。目前 ,Zyxel尚未对这些攻击作出回应。


https://www.bleepingcomputer.com/news/security/helldown-ransomware-exploits-zyxel-vpn-flaw-to-breach-networks/


6. Ngioweb恶意软件支撑NSOCKS等住宅署理服务 ,引发网络宁静担忧


11月19日 ,Lumen Technologies的最新研究发现 ,名为Ngioweb的恶意软件被用于支持污名昭著的住宅署理服务NSOCKS以及其他类似服务。该恶意软件主要利用小型办公室/家庭办公室路由器和物联网设备进行攻击 ,并在美国拥有大量署理。Ngioweb僵尸网络每天维持约35,000个事情机器人 ,其中许多已活跃一个月或更长时间。该恶意软件由Water Barghest威胁组织利用 ,他们通过自动脚本渗透易受攻击的物联网设备并部署Ngioweb ,将其注册为署理并在住宅署理市场上出售。整个货币化过程只需10分钟 ,表明该操作高度高效和自动化。NSOCKS在世界各地销售SOCKS5署理访问权限 ,被用于凭证填充攻击和其他恶意活动。受害设备还与由域生成算法创建的C2域建立恒久连接 ,以确定是否将它们添加到署理网络中。Lumen体现 ,NSOCKS用户通过180多个反向连接C2节点路由流量 ,掩盖其真实身份。


https://thehackernews.com/2024/11/ngioweb-botnet-fuels-nsocks-residential.html