兰云科技

LABORATORIES 银河实验室

PC 安全

欧洲最大私人医院运营商遭到 Snake 勒索软件攻击

大型勒索软件攻击中断了总部位于德国的费森尤斯集团（Fresenius Group）的运营，费森尤斯集团是欧洲最大的私家医院运营商，在 COVID-19 大流行期间，产品和服务的需求量很大。勒索软件攻击最早是由 Fresenius Kabi 的一名雇员向 KrebsOnSecurity 的安全研究员 Brian Krebs 报告的，该公司是提供药品和医疗设备的费森尤斯集团的一个部门。该员工告诉克雷布斯，“网络攻击已影响到公司在全球范围内的每个部门”，并且该操作中使用的恶意软件是可怕的 Snake 勒索软件。

最近，针对全球医疗机构的网络犯罪分子的趋势正在加速发展，这主要是因为在许多医院和诊所使用旧版系统，未打补丁的医疗设备以及不健全的网络安全意识使犯罪分子能够植入恶意文件，以泄露敏感数据或勒索赎金。

关键词：Snake 勒索软件、COVID-19

信息来源

发布时间：2020-05-06

发布平台：Teiss

原文链接：

https://www.teiss.co.uk/fresenius-group-ransomware-attack/

铁路车辆制造商 Stadler 遭到网络攻击并且被勒索

国际铁路车辆建设公司 Stadler 透露我们是网络攻击的受害者，这也可能使攻击者窃取公司和员工的数据。Stadler 生产从高速火车到有轨电车和有轨电车的各种铁路车辆，并且是世界上齿条轨道车辆行业的领先服务提供商。这家总部位于瑞士的公司在全球 7 个生产基地，5 个零部件制造基地和 40 个服务地点，拥有大约 11,000 名员工。

关键词：Stadler

信息来源

发布时间：2020-05-09

发布平台：Bleeping Computer

原文链接：

https://www.bleepingcomputer.com/news/security/rail-vehicle-manufacturer-stadler-hit-by-cyberattack-blackmailed/

Sodinokibi 勒索软件使用 MS API 来加密打开和锁定文件

Sodinokibi 勒索软件（REvil）继续发展，运营商实施了一项新功能，该功能使恶意软件可以加密受害者的文件，即使这些文件是由另一个进程打开和锁定的。许多应用程序都锁定文件，以防止两个进程可以同时修改它们。在未先取消锁定文件的进程的情况下，无法通过勒索软件对打开和锁定的文件进行加密。因此，大多数勒索软件都会关闭常用的应用程序，例如锁定文件的 DBMS 和邮件服务器。现在，网络犯罪情报公司 Intel471 的专家发现了 Sodinokibi 勒索软件的新变体，即版本 2.2，该变体利用 Windows Restart Manager API 关闭进程或关闭锁定文件的 Windows 服务以对其进行加密。

关键字：Sodinokibi 勒索软件

信息来源

发布时间：2020-05-11

发布平台：Security Affairs

原文链接：

https://securityaffairs.co/wordpress/103030/malware/sodinokibi-ransomware-new-feature.html

SilverTerrier 利用 COVID-19 诱饵针对医疗机构、政府开展 BEC 攻击

专门从事 BEC 攻击 的尼日利亚网络团伙 SilverTerrier 在最近针对医疗保健和政府组织的攻击中使用了 COVID-19 引诱。帕洛阿尔托网络公司（Palo Alto Networks）的研究人员观察到一个尼日利亚网络组织，被追踪为 SilverTerrier，专门从事 BEC 攻击。SilverTerrier 至少自 2014 年以来一直活跃，它是数百个单独威胁参与者的集合。根据最近的互联网犯罪投诉中心（IC3）报告，BEC 攻击继续威胁着全球范围内的组织，FBI 在 2019 年记录了 23,775 例 BEC 攻击，造成了估计 17.7 亿美元的全球损失。

关键词：SilverTerrier、COVID-19、BEC 攻击

信息来源

发布时间：2020-05-09

发布平台：Security Affairs

原文链接：

https://securityaffairs.co/wordpress/102949/cyber-crime/silverterrier-gang-bec-covid-19.html

发现针对 Web 应用程序的 Blue Mockingbird Monero 挖矿活动

骗子利用 CVE-2019-18935 反序列化漏洞在 Blue Mockingbird Monero-Mining 活动中实现远程代码执行。安全公司 Red Canary 的研究人员发现了一个名为 Blue Mockingbird 的 Monero 加密货币采矿活动，该活动利用了基于 ASP.NET 框架的 Web 应用程序中的 CVE-2019-18935 漏洞。

反序列化漏洞 CVE-2019-18935 可能被攻击者利用以实现远程代码执行，它影响 ASP.NET AJAX 的 Progress Telerik UI，并且在美国国家安全局和澳大利亚信号局（ASD）的联合报告中也提到了该问题。越来越多的攻击者地利用易受攻击的 Web 服务器来部署 Web Shell。

关键词：CVE-2019-18935

信息来源

发布时间：2020-05-10

发布平台：Security Affairs

原文链接：

https://securityaffairs.co/wordpress/103020/cyber-crime/blue-mockingbird-campaign.html

德克萨斯法院遭到勒索软件攻击

德克萨斯州已经透露了针对其法院系统的勒索软件攻击，但坚称不会支付任何赎金。根据法院管理办公室（OCA）周一发布的声明，该声明随后在 Twitter 上发布，该攻击发生在上周四的一夜之间，并在周五的早晨被发现。该机构负责向德克萨斯法院系统提供 IT 服务。该恶意软件通过 OCA 的分支网络传播，一旦发现勒索软件，就禁用链接服务器和网站，以限制损害。

关键词：OCA

信息来源

发布时间：2020-05-12

发布平台：ZDNet

原文链接：

https://www.zdnet.com/article/texas-courts-slammed-by-ransomware-attack/

美国政府曝光朝鲜新的恶意软件和网络钓鱼攻击

美国政府发布了有关由朝鲜政府支持的黑客组织 HIDDEN COBRA 进行的恶意网络活动中使用的三种新恶意软件变体的信息。根据联邦调查局（FBI），网络安全和基础设施安全局（CISA）发布的信息，该新恶意软件 DPRK 网络参与者用于网络钓鱼和远程访问，以进行非法活动，窃取资金并逃避制裁。美国网络司令部还已将五个新发现的恶意软件变体样本上载到 VirusTotal 恶意软件聚合存储库中。

关键词：HIDDEN COBRA

信息来源

发布时间：2020-05-12

发布平台：Bleeping Computer

原文链接：

https://www.bleepingcomputer.com/news/security/us-govt-exposes-new-north-korean-malware-phishing-attacks/

新的 Ramsay 恶意软件可以从被隔离的网络中窃取敏感文件

网络安全公司 ESET 的研究人员今天宣布，他们发现了一种前所未有的恶意软件框架，该框架具有当今很少见的高级功能。ESET 将此恶意软件命名为 Ramsay，它表示该恶意软件工具包的设计似乎具有感染隔离计算机，在隐藏的存储容器中收集 Word 和其他敏感文档，然后等待可能的渗透机会的功能。

关键词：Ramsay

信息来源

发布时间：2020-05-13

发布平台：ZDNet

原文链接：

https://www.zdnet.com/article/new-ramsay-malware-can-steal-sensitive-documents-from-air-gapped-networks/

- End -