Bitdefender宣布ShrinkLocker勒索软件解密器

首页 > 宁静研究 > 宁静通报 > 宁静简讯

Bitdefender宣布ShrinkLocker勒索软件解密器

宣布时间 2024-11-14

1. Bitdefender宣布ShrinkLocker勒索软件解密器

11月13日，Bitdefender宣布了针对ShrinkLocker勒索软件的解密器，并发表了一篇详细解释其事情原理的研究博客。ShrinkLocker利用Windows的合法功效BitLocker，快速加密包罗系统驱动器在内的整个驱动器，然后删除恢复选项。该勒索软件首次在中东一家医疗保健公司的事件中被发现，攻击者通过横向移动在系统内部署ShrinkLocker。它针对墨西哥、印度尼西亚和约旦的组织，影响了钢铁、疫苗制造等行业及政府实体。与依赖庞大加密算法的现代勒索软件差异，ShrinkLocker接纳更简单的要领，先检查BitLocker是否启用，若未启用则安装，并使用随机生成的密码重新加密系统。重启后，用户需输入密码解锁驱动器，支付赎金以换取解密密钥。该勒索软件的简单性使其对低级网络犯罪分子具有吸引力，且已被多个威胁行为者改编用于更简单的攻击。ShrinkLocker可在旧版Windows和Server系统上执行。微软曾体现，伊朗政府支持的威胁组织滥用BitLocker功效进行攻击，其他网络犯罪分子也使用类似技术。

https://therecord.media/bitdefender-releases-decryptor-shrinklocker

2. 1.22亿商业联系信息遭B2B平台DemandScience数据泄露

11月13日，现已确认，自2024年2月以来，B2B需求生成平台DemandScience（前身为Pure Incubation）的1.22亿人的商业联系信息被窃取并在网络犯罪论坛上出售。这些数据包罗全名、地址、电子邮件、电话号码、职位和社交媒体链接等，是从公共来源和第三方收集的。2024年2月，名为“KryptonZambie”的威胁行为者在BreachForums上声称这些数据是从Pure Incubation的袒露系统中窃取的。DemandScience其时否认存在泄露，并体现其系统未受攻击。然而，到2024年8月15日，KryptonZambie免费泄露了数据集。特洛伊·亨特在博客文章中确认数据真实可靠，并指出泄露的数据来自DemandScience两年前已退役的系统。亨特还确认泄露的数据中包罗他自己的记录。被盗数据集中的所有1.22亿个唯一电子邮件地址已添加到“Have I Been Pwned”中，受影响的订阅者将收到通知。

https://www.bleepingcomputer.com/news/security/leaked-info-of-122-million-linked-to-b2b-data-aggregator-breach/

3. 伊朗黑客组织TA455针对航空航天行业提倡网络钓鱼攻击

11月14日，自去年9月起，一项针对LinkedIn等平台用户的网络钓鱼活动开始活跃，该活动由与伊朗相关的威胁行为者TA455提倡。TA455接纳鱼叉式网络钓鱼要领，冒充航空航天行业的招聘人员与受害者建立联系，并诱导他们下载名为“SIgnedConnection.zip”的压缩文件。同时，威胁行为者还提供PDF指南，指导受害者如何宁静下载和打开该文件。然而，该压缩文件实际上包罗一个可执行文件，通过DLL侧载将名为“secure32.dll”的恶意DLL文件加载到受害者系统中，使攻击者能够运行未被检测到的代码。随后，恶意软件启动熏染链，最终部署由另一个伊朗威胁行为者Charming Kitten开发的Snail Resin恶意软件，并打开名为“SlugResin”的后门。TA455使用多种逃避检测的要领，包罗在GitHub上对命令和控制（C2）通信进行编码，以及模仿Lazarus Group的计谋，使得归因变得庞大。由于TA455主要针对航空航天专业人士，因此该领域的LinkedIn等平台用户应警惕来自未知来源的消息和联系。

https://www.darkreading.com/cyberattacks-data-breaches/iranian-cybercriminals-aerospace-workers-linkedin

4. 美国药房联合会（AAP）遭Embargo勒索软件攻击

11月13日，美国药房联合会（AAP）成为最新一家数据遭到网络犯罪分子窃取和加密的美国医疗保健组织。AAP建立于2009年，管理着全美2000多家独立药房。Embargo勒索软件行动的犯罪分子声称对此次袭击卖力，他们窃取了AAP的1.469TB数据并要求付款才气恢复信息。Embargo是一个相对较新的勒索软件组织，于今年6月首次被研究人员注意到。尽管AAP尚未正式确认遭到攻击，但其网站已警告所有用户密码最近均被强制重置，但未解释原因或提及网络攻击。同时，Embargo声称AAP已支付130万美元来解密系统，并要求再支付130万美元来掩盖被盗文件。如果该说法属实，那么Embargo提出的要求将凌驾美国联邦视察局今年早些时候宣布的平均水平。目前尚不清楚勒索软件组织从AAP窃取了哪些数据，但该药房网络必须在11月20日之前支付剩余的“余额”，否则其数据将被泄露到网上。

https://www.theregister.com/2024/11/13/embargo_ransomware_breach_aap/

5. D-Link停产NAS设备遭CVE-2024-10914漏洞攻击

11月13日，宁静研究员Netsecfish发现了一个严重漏洞（CVE-2024-10914），该漏洞影响多种已停产的D-Link网络附加存储（NAS）设备。攻击者可通过发送恶意HTTP GET请求，向在线袒露的易受攻击设备注入任意shell命令。D-Link在上周五体现不会修复此漏洞，并建议客户淘汰受影响的设备或升级到较新的产物。然而，Shadowserver威胁监控服务发现，从11月12日开始，已有威胁行为者开始瞄准该漏洞。Shadowserver警告称，应将从互联网上移除易受攻击的EOL/EOS设备。Netsecfish在互联网扫描中发现了凌驾41,000个易受攻击设备的唯一IP地址。此外，今年4月，Netsecfish还陈诉了另一个影响几乎相同D-Link NAS型号的漏洞（CVE-2024-3273）。由于这些设备没有自动更新功效或客户外联功效来推送警报，因此建议那些使用报废设备的人尽快限制互联网访问，以制止成为勒索软件攻击的目标。D-Link强调，继续使用这些设备可能会对连接的设备造成风险，并警告消费者确保设备具有最新的固件。

https://www.bleepingcomputer.com/news/security/critical-bug-in-eol-d-link-nas-devices-now-exploited-in-attacks/

6. 希博伊根市遭网络攻击，黑客索要赎金并致技术故障

11月13日，威斯康星州希博伊根市本周遭遇了网络攻击，导致技术故障，并收到了黑客的赎金要求。自10月下旬以来，该市一直在应对这些问题，并在周日证实了黑客未经授权访问了该市的网络。尽管该市没有透露赎金数额或提出要求的组织名称，但他们已向执法部门陈诉了此事件，并与网络宁静专家合作解决攻击引起的问题。同时，他们隔离了部门网络以�；て渌绮⒆柚购诳腿肭�。此次攻击对公共宁静服务造成了一定影响，但基于云的服务仍在运行，员工可以进行在线交流。希博伊根市位于密尔沃基以北约一小时车程处，过去两年中，威斯康星州政府机构曾多次遭受勒索软件攻击，因此该州对此类攻击保持高度警惕。

https://therecord.media/sheboygan-wisconsin-hackers-demand-ransom

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究