VanHelsing多平台勒索软件隐身攻击威胁升级
发布时间 2025-03-251. VanHelsing多平台勒索软件隐身攻击威胁升级
3月24日,新型跨平台勒索软件VanHelsing RaaS于3月初在暗网犯罪论坛浮出水面,其多平台攻击能力覆盖Windows、Linux、BSD、ARM及ESXi虚拟化系统。该俄罗斯犯罪集团采用分级加盟制,向新手勒索5000美元"入门费",同时承诺老手免押金加入,体现出精密的经济激励模型。运营商抽取20%赎金作为佣金,通过双区块链确认的自动托管系统完成交易结算。技术分析显示,VanHelsing采用C++开发,运用ChaCha20流密码配合Curve25519非对称加密构建双重加密层。其创新性地采用"部分加密"策略:对大于1GB文件仅加密关键数据块,而对小文件实施全盘加密,在攻击效率与效果间取得平衡。该勒索软件支持丰富的命令行定制选项,允许攻击者指定加密路径、限制攻击范围,甚至通过SMB协议实施横向渗透。特别值得关注的是其"隐身模式"攻击链:第一阶段仅执行文件重命名操作,通过模拟正常系统I/O行为规避检测;待安全工具响应间隙,第二阶段再完成实际加密操作。这种双阶段攻击模式显著提升了绕过EDR/AV解决方案的概率。
https://www.bleepingcomputer.com/news/security/new-vanhelsing-ransomware-targets-windows-arm-esxi-systems/
2. 乌克兰铁路遭网络攻击致购票中断,应急措施保运营稳定
3月24日,乌克兰关键基础设施再遭网络攻击,国家铁路运营商Ukrzaliznytsia的票务系统成为最新目标。此次大规模网络攻击导致移动应用及官网售票服务全面瘫痪,迫使乘客涌向实体售票亭,引发全国性购票拥堵。作为乌克兰境内最主要的交通方式,铁路服务的中断对民众出行造成重大冲击,车站出现长队聚集现象,出行效率显著下降。铁路公司迅速启动应急预案,通过多平台发布官方声明致歉,并采取三项紧急措施:首先增派售票窗口人力以应对客流高峰;其次允许军人优先上车补票,保障特殊群体出行需求;最后建议已购票乘客出示电子邮件中的电子票证副本,或提前20分钟到站说明情况。公司特别强调,次日出行旅客应避免当日扎堆购票,以便工作人员优先处理当日乘车需求。尽管在线服务受阻,Ukrzaliznytsia强调列车运行未受影响,所有运营流程已切换至备用系统,时刻表保持正常。目前技术团队正与乌克兰国家安全局(SBU)网络部门及政府计算机应急响应小组(CERT-UA)协同作战,全面排查系统漏洞。
https://www.bleepingcomputer.com/news/security/cyberattack-takes-down-ukrainian-state-railways-online-services/
3. DrayTek路由器全球断网事件,升级固件禁用SSLVPN应对
3月24日,全球多家互联网服务提供商(ISP)遭遇DrayTek路由器大规模连接故障,英国Gamma、Zen Internet等运营商证实,该事件源于未披露的漏洞攻击或错误固件更新,导致多型号路由器出现间歇性断连与重启循环。受影响用户被建议采取三重应急措施:立即升级至最新固件、禁用SSL VPN及远程访问功能,或更换为其他品牌设备。技术调查显示,问题根源指向存在安全缺陷的固件版本。DrayTek官方支持文档披露解决方案,要求用户通过WEB UI或TFTP方式强制升级固件,并特别强调需关闭VPN服务及远程管理端口。Zen Internet等ISP补充建议,升级后应监控路由器运行状态,若仍出现频繁重启,则需考虑硬件替换。值得注意的是,今年10月DrayTek曾修复过涉及24个型号、70万台设备的重大漏洞,其网络管理界面存在公网暴露风险。当前故障是否与上述历史漏洞存在关联仍待确认。安全专家指出,攻击者可能利用未修补的旧版本固件实施入侵,触发设备离线或重启。DrayTek在指导文件中未明确事件根源,仅提供操作指南,包括断开WAN连接、禁用VPN服务、重置系统等步骤。
https://www.bleepingcomputer.com/news/security/draytek-routers-worldwide-go-into-reboot-loops-over-weekend/
4. Cloak勒索团伙攻击弗吉尼亚州总检察长办公室,IT系统瘫痪
3月24日,新兴勒索软件组织"Cloak"被确认制造了2025年2月针对弗吉尼亚州总检察长办公室的严重网络攻击,导致该机构核心IT系统全面瘫痪。据《华盛顿邮报》披露,司法部副部长在内部邮件中通报,电子邮件系统、VPN访问、互联网连接及官方网站等关键基础设施均陷入停摆,迫使工作人员紧急启用纸质文件处理流程。事件已触发多部门联动响应,州警局、FBI及州信息技术局介入调查。3月20日,Cloak在其暗网数据泄露平台公开挂牌总检察长网站,宣称"等待期结束",威胁将泄露被盗数据。该组织公布部分文件截图作为佐证,显示双方谈判破裂源于检方拒绝支付赎金。尽管攻击方主动曝光行动,但官方尚未确认数据泄露范围、攻击手法及是否支付赎金等核心信息,事件全貌仍有待进一步披露。安全分析显示,Cloak组织自2022年崛起,主要瞄准欧亚中小企业,其攻击模式融合数据窃取与系统加密双重勒索手段。该团伙以高达91-96%的赎金支付率著称,此前已认领13起有效攻击。
https://hackread.com/cloak-ransomware-virginia-attorney-generals-office/
5. 23andMe破产重组,客户敏感数据面临泄露风险
3月24日,基因检测巨头23andMe因商业模式不可持续及历史数据泄露事件影响,于2025年3月23日申请第11章破产保护,计划通过出售资产偿还债务。这家以邮寄唾液样本进行基因检测服务闻名的公司,曾遭遇2023年重大数据泄露事件,数百万客户姓名、基因信息、地理位置等敏感数据被窃取,引发用户对数据安全的深切担忧。加州总检察长紧急提醒消费者行使法定权利,要求公司删除遗传数据及样本。尽管启动破产程序,23andMe强调将维持正常运营,客户数据处理方式不变,并承诺任何买家必须遵守数据保护法律。公司董事会表示,破产重组将有助于优化成本结构,解决法律与租赁责任,同时持续保障用户数据隐私。值得注意的是,23andMe自运营以来始终未实现盈利,控制权争夺加剧了管理困境——创始人安妮·沃西基持有49%股权,多次试图私有化未果后已辞去CEO职务。面对数据泄露风险,消费者可主动采取措施保护隐私:通过账户设置永久删除基因数据及研究授权,或要求公司销毁存储的生物样本。
https://cybernews.com/news/23andme-bankruptcy-sparks-dna-data-concerns/
6. Keenetic路由器数据泄露致俄用户敏感信息暴露
3月21日,俄罗斯网络设备供应商Keenetic遭遇重大数据泄露,涉及超百万用户敏感信息,包括WiFi密码、设备序列号、网络配置及日志等核心数据。安全研究人员警告,攻击者可利用泄露凭证直接接管网络,监控流量并渗透关联设备。尽管Keenetic声称欺诈风险较低,但专家指出纯文本存储的密码、过时的MD5哈希算法及详细服务日志,使黑客能轻易实施网络钓鱼、身份盗窃甚至勒索攻击。事件始于2023年3月,独立安全研究员发现Keenetic移动应用数据库遭未授权访问,包含用户邮箱、设备型号、加密密钥及管理员凭证等。Keenetic虽迅速修复漏洞,但直至2025年2月才披露详情,承认泄露影响2023年3月16日前注册用户。泄露数据规模惊人:超103万用户账户信息、92万设备详情、55万网络配置及5300万条服务日志,其中94%用户来自俄罗斯。值得注意的是,Keenetic与俄罗斯开发商NDM Systems的深度合作引发安全疑虑。尽管该公司在俄乌冲突后宣称将软件团队迁至德国,但其设备仍高度依赖莫斯科团队开发的KeeneticOS系统,且70%活跃设备位于俄罗斯。此次泄露暴露其云备份机制缺陷,敏感数据以明文形式存储,进一步放大风险。
https://cybernews.com/security/keenetic-router-data-leak-puts-users-at-risk/
京公网安备11010802024551号