RedLine瞄准俄罗斯盗版企业软件用户进行信息窃取

首页 > 宁静研究 > 宁静通报 > 宁静简讯

RedLine瞄准俄罗斯盗版企业软件用户进行信息窃取

宣布时间 2024-12-10

1. RedLine瞄准俄罗斯盗版企业软件用户进行信息窃取

12月8日，自2024年1月起，RedLine信息窃取活动开始针对使用盗版企业软件的俄罗斯企业。这些盗版软件通过俄罗斯在线论坛分发，攻击者巧妙地将恶意软件伪装成可绕过业务自动化软件许可的工具，特别是通过分发恶意版本的HPDxLIB激活器。与合法版本差异，恶意版本在.NET中构建，并使用自签名证书�？ò退够滤咧赋�，这些未经授权的企业业务流程自动化软件用户成为攻击目标，攻击者在会计论坛上分发含有RedLine窃取法式的恶意激活法式。该法式使用.NET Reactor进行混淆，恶意代码经过多层压缩和加密，隐藏方式非常不寻常。攻击者在相关论坛上宣布恶意激活器链接，并提供禁用宁静软件以运行激活器的详细说明，以逃避检测。用户被诱骗用激活器中的恶意库替换合法的techsys.dll库，从而在执行软件时通过合法进程加载恶意库，运行窃取法式。RedLine窃取法式自2020年初便活跃，能从系统中窃取敏感信息，包罗凭据、cookie、浏览器历史记录、信用卡数据和加密钱包等。

https://securityaffairs.com/171771/cyber-crime/redline-info-stealer-campaign-targets-russian-businesses.html

2. 安娜雅克医院遭勒索软件攻击，31万余患者数据泄露

12月7日，安娜雅克医院是一家位于马萨诸塞州的非营利性社区医院，拥有83张床位、200名医师和1200名事情人员，为当地居民提供基本医疗服务。2023年12月25日，该医院遭受了勒索软件攻击，导致凌驾310,000名患者的敏感健康数据被泄露。医院立即接纳行动，下线系统并向执法部门发出警报。2024年1月19日，“Money Message”勒索软件团伙开始果然勒索该医院，并在其暗网勒索网站上泄露了据称从医院窃取的数据样本。医院管理人员并未与威胁行为者交涉，最终于1月26日宣布了所有数据。经过彻底的取证视察，医院于2024年11月5日完成了对泄露数据的审查，并通知了受影响的个人。泄露的信息包罗人口统计信息、医疗信息、健康保险信息、社会宁静号码、驾驶执照号码、财政信息等。尽管医院没有迹象表明这起事件导致了任何欺诈行为，但还是提醒员工和患者要保持警惕，并提供了为期24个月的身份�；ず托庞眉嗫胤�。

https://www.bleepingcomputer.com/news/security/anna-jaques-hospital-ransomware-breach-exposed-data-of-300k-patients/

3. 罗马尼亚能源供应商Electrica Group遭受勒索软件攻击

12月10日，罗马尼亚能源供应商Electrica Group正面临一起连续的勒索软件攻击，但该公司已向投资者保证，其要害系统并未受到影响。为了保障运营和个人数据的宁静，Electrica已启动内部网络宁静协议，并与国家网络宁静机构合作，旨在识别攻击源并控制其影响。Electrica是罗马尼亚电力配送和供应市场的主要加入者，为凌驾380万客户提供服务，并在布加勒斯特和伦敦证券交易所上市。本周早些时候，该公司宣布通知，见告投资者正在发生的网络攻击，并强调所有特定的响应协议已凭据内部法式和现行规则启动。罗马尼亚能源部证实该公司确实遭受了勒索软件攻击，但攻击并未影响该公司的SCADA系统。情报分析人士认为，此次袭击可能是亲俄团体发动的，旨在抨击罗马尼亚因俄罗斯涉嫌干预而取消总统选举。罗马尼亚情报局透露，凌驾85,000次网络攻击针对该国选举系统，但莫斯科否认对此进行任何攻击。Electrica Group建议客户对潜在的网络钓鱼实验和可疑通信保持警惕。

https://securityaffairs.com/171832/hacking/electrica-group-ransomware-attack.html

4. 心脏外科医疗设备制造商Artivion遭勒索软件攻击

12月9日，心脏外科医疗设备制造商Artivion在11月21日遭受了勒索软件攻击，该攻击扰乱了其运营并导致部门系统关闭。Artivion总部位于亚特兰大，全球员工凌驾1,250名，在100多个国家设有销售代表，并在亚特兰大、奥斯汀和黑欣根设有制造工厂。据Artivion向美国证券交易委员会提交的陈诉，攻击者加密了其部门系统并窃取了数据，但公司运营、订单处置和运输中断问题已基本得到解决。虽然尚未有勒索软件组织声称对此次攻击卖力，但Artivion认为可能会发生保险未涵盖的特别用度。近期，美国医疗保健行业也遭遇了多起勒索软件攻击，包罗Boston Children's Health Physicians和UMC医疗系统，以及去年圣诞节遭受攻击的安娜雅克医院，这些攻击都导致了敏感数据的泄露和运营的中断。

https://www.bleepingcomputer.com/news/security/ransomware-attack-hits-leading-heart-surgery-device-maker/

5. 微软解除对Ubisoft游戏Windows 24H2更新限制

12月9日，微软已部门解除了对Windows 24H2更新与某些Ubisoft游戏系统兼容性的限制。此前，由于《刺客信条》、《星球大战：法外狂徒》和《阿凡达：潘多拉边疆》等游戏在Windows 11 24H2预览版中泛起瓦解、死机和音频问题，微软阻止了装有这些游戏的PC进行Windows 24H2升级。用户反馈显示，游戏存在不稳定情况，如启动后立即崩�；蚣釉厣嬗蜗泛蠹阜种幽谕呓狻⒍辰峄蚝谄�。为防止问题扩散，微软接纳了�；ご胧�。现在，在Ubisoft宣布临时修补法式缓解瓦解问题后，微软解除了对《星球大战：法外狂徒》和《阿凡达：潘多拉边疆》的升级限制，但建议玩家在问题解决前不要使用Windows 11安装助手或媒体创建工具升级受影响PC。同时，微软还宣布阻止安装了过时Google Workspace Sync的系统和具有不兼容英特尔智能声音技术音频驱动法式的设备进行Windows 11 24H2更新，因为这些会导致Outlook启动问题和蓝屏死机问题。

https://www.bleepingcomputer.com/news/microsoft/ubisoft-fixes-windows-11-24h2-conflicts-causing-game-crashes/

6. 朝鲜黑客Citrine Sleet偷取Radiant Capital 5000万美元加密货币

12月9日，去中心化金融(DeFi)平台Radiant Capital在10月16日宣布其系统遭受网络攻击，导致5000万美元加密货币被盗。在Mandiant网络宁静专家的协助下，Radiant对此次攻击进行了深入视察，并确定幕后黑手为朝鲜国家隶属黑客组织Citrine Sleet（又名“UNC4736”和“AppleJeus”）。此次攻击始于9月11日，黑客通过Telegram发送冒充前承包商的恶意消息，诱骗开发人员下载包罗“InletDrift”macOS恶意软件负载的ZIP文件，从而在受熏染的设备上建立后门。黑客利用通例的多重签名流程，以交易错误的名义收集有效签名，并从Arbitrum和币安智能链(BSC)市场窃取资金。此次攻击设计精良，绕过了硬件钱包宁静和多层验证，交易在手动和模拟检查中看起来都很正常，显示出极高的庞大性。Radiant正在与美国执法部门和zeroShadow合作，追回尽可能多的被盗资金，并强调需要更强大的设备级解决方案来增强交易宁静性。

https://www.bleepingcomputer.com/news/security/radiant-links-50-million-crypto-heist-to-north-korean-hackers

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究