Ny Linux-variant av TargetCompany-ransomware riktar in sig på VMware ESXi-miljöer med anpassat skript
Forskare har upptäckt en ny Linux-variant av TargetCompany-ransomware, som riktar in sig på VMware ESXi-miljöer med hjälp av ett anpassat shell-skript för att leverera och köra nyttolaster. TargetCompany-operationen, även känd som Mallox, FARGO och Tohnichi, dök upp i juni 2021 och fokuserade på databasattacker mot organisationer i Taiwan, Sydkorea, Thailand och Indien.
I februari 2022 släppte Avast ett gratis dekrypteringsverktyg för varianter fram till det datumet. I september återupptog ransomware-gruppen sin aktivitet och riktade in sig på sårbara Microsoft SQL-servrar och hotade offer med dataläckage på Telegram. Trend Micro rapporterar att den nya Linux-varianten säkerställer administrativa privilegier innan den fortsätter sin skadliga rutin. Det anpassade skriptet som används kan exfiltrera data till två separata servrar. Väl på målsystemet kontrollerar det om det finns VMware ESXi-miljöer, skapar och skickar en "TargetInfo.txt"-fil till kommando- och kontrollservern och krypterar VM-relaterade filer.
Utpressningsprogrammet släpper en begäran om lösen med betalningsinstruktioner och raderar sedan nyttolasten för att radera bevis. Trend Micro tillskriver dessa attacker till en affilierad som kallas " vampire ", kopplad till en ny Sekoia-rapport. De IP-adresser som används spåras tillbaka till en ISP i Kina, men detta bekräftar inte angriparens ursprung. Rekommendationer inkluderar att aktivera MFA, skapa säkerhetskopior och uppdatera system.
TikTok bekräftar att Zero-Click utnyttjades för att kapa kändiskonton
TikTok har erkänt ett säkerhetsproblem som utnyttjas av hotaktörer för att ta kontroll över högprofilerade konton. Semafor och Forbes rapporterade en zero-click account takeover-kampanj, där skadlig kod i direktmeddelanden komprometterar konton utan användarinteraktion. Detta utnyttjande utnyttjar en zero-day-sårbarhet i meddelandekomponenten, vilket gör att skadlig kod kan köras när meddelandet öppnas.
Omfattningen av drabbade användare är fortfarande oklar. En talesperson för TikTok uppgav att företaget har vidtagit förebyggande åtgärder för att stoppa attacken och arbetar med påverkade kontoinnehavare för att återställa åtkomst och hävdar att endast ett "mycket litet" antal användare komprometterades. Specifika detaljer om attacken eller begränsningstekniker tillhandahölls inte.
Detta är inte TikToks första säkerhetsproblem. Tidigare brister som rapporterats av Check Point, Microsoft och Imperva kunde ha gjort det möjligt för angripare att utnyttja användardata och konton. Oro över TikToks säkerhet och kinesiska rötter har lett till förbud i flera länder och juridiska utmaningar i USA.
Forskare kopplar RansomHub Ransomware till det nedlagda Knight Ransomware-projektet
Säkerhetsforskare har identifierat att RansomHub ransomware-as-a-service (RaaS) sannolikt har utvecklats från det nedlagda Knight ransomware-projektet. RansomHub, som främst är känt för datastöld och utpressning, fick uppmärksamhet i april genom att läcka data från Change Healthcare efter en BlackCat / ALPHV-attack, vilket indikerar samarbete mellan grupperna. I maj bekräftade Christie's ett säkerhetsintrång efter att RansomHub hotat att läcka stulna data.
Knight ransomware, som lanserades i juli 2023, riktade in sig på Windows-, macOS- och Linux/ESXi-system. Knight erbjöd också affilierade en info-stealer-komponent för att förbättra attackens effekt. I februari 2024 såldes Knights källkod på hackerforum och verksamheten upphörde.
Symantecs forskare fann betydande likheter mellan Knight och RansomHub, inklusive delad Go language code, Gobfuscate-obfuscation, kodade strängar och liknande lösenanteckningar och kommandosekvenser. Dessa fynd tyder på att RansomHub härrör från Knight, sannolikt av en annan aktör som köpte Knights källkod. RansomHub har sedan dess blivit en produktiv RaaS-verksamhet som lockar till sig tidigare ALPHV-affilierade.
FBI uppmanar offer för LockBit Ransomware att söka hjälp med 7 000 gratis dekrypteringsnycklar
FBI uppmanar tidigare offer för LockBit ransomware att träda fram efter att ha erhållit över 7 000 dekrypteringsnycklar för att hjälpa till att återställa krypterad data gratis. Bryan Vorndran, FBI Cyber Division Assistant Director, meddelade detta vid 2024 Boston Conference on Cyber Security, och sa: "Vi kan hjälpa offren att återfå sina data och komma tillbaka online." Han uppmanade potentiella offer att besöka Internet Crime Complaint Center på ic3.gov.
Denna uppmaning följer den internationella operationen "Operation Cronos" i februari 2024, som demonterade LockBits infrastruktur och beslagtog 34 servrar och 2 500 dekrypteringsnycklar, vilket ledde till en gratis dekryptering av LockBit 3.0 Black Ransomware. Storbritanniens National Crime Agency och USA:s justitiedepartement uppskattar att ligan tjänade upp till 1 miljard dollar på 7 000 attacker mellan juni 2022 och februari 2024.
Trots dessa ansträngningar förblir LockBit aktivt, byter till nya servrar och fortsätter attackerna. Nyligen tog de på sig ansvaret för en cyberattack i april 2024 mot den kanadensiska apotekskedjan London Drugs. USA:s utrikesdepartement erbjuder belöningar för information som leder till gripande av LockBit-ledare och anhängare.
Cyberattack mot Londons sjukhus utlöser kritisk incident, ställer in operationer och omdirigerar akutpatienter
Stora sjukhus i London har deklarerat en kritisk incident efter en cyberattack, vilket har lett till inställda operationer och att akutpatienter har omdirigerats. Sjukhus som samarbetar med Synnovis, inklusive King's College Hospital och Guy's and St Thomas', har drabbats, vilket påverkat tjänster som blodtransfusioner och testresultat.
Attacken inträffade på måndagen och störde anslutningarna till en huvudserver, vilket ledde till inställda och omdirigerade operationer. Allmänläkartjänster i flera stadsdelar, inklusive Bexley och Southwark, påverkades också. Synnovis har skickat ut en arbetsgrupp med IT-experter för att bedöma situationen och NHS arbetar med National Cyber Security Centre för att mildra effekterna.
Patienter uppmanas att närvara vid bokade tider om inte annat meddelas. NHS England London bekräftade ransomware-attacken och beklagade de olägenheter som uppstått. Experter på cybersäkerhet understryker behovet av robusta försvar och beredskapsplaner i kritiska institutioner för att hantera sådana hot och säkerställa patientsäkerheten.
