勒索软件团伙如何加密内华达州政府系统
发布时间 2025-11-101. 勒索软件团伙如何加密内华达州政府系统
11月6日,内华达州8月遭遇勒索软件攻击,影响60余个政府机构,导致网站、电话系统及在线平台中断。州政府发布的详细事后报告完整披露了攻击全貌:黑客自5月14日起通过恶意广告诱导州政府雇员下载伪装成系统管理工具(如WinSCP、PuTTY等)的木马程序,在设备部署后门;8月24日正式部署勒索软件前,已通过远程监控软件、加密隧道工具横向渗透,窃取26个账户凭据并清除事件日志以掩盖行踪。攻击者最终删除备份卷、修改虚拟化管理服务器安全设置,在托管州虚拟机的所有服务器上部署勒索软件,导致全州服务瘫痪。面对危机,内华达州拒绝支付赎金,依靠50名IT人员加班4,212小时(工资成本25.9万美元)及外部供应商支持(总费用约130万美元),28天内恢复90%受影响数据及服务。与标准承包商费率相比,此举节省约47.8万美元。事件响应期间,微软DART、Mandiant等供应商提供统一支持、法证调查、工程恢复等服务,成本明细透明公开。
https://www.bleepingcomputer.com/news/security/how-a-ransomware-gang-encrypted-nevada-governments-systems/
2. 俄Sandworm黑客组织对乌关键行业发动数据擦除攻击
11月6日,近期,俄罗斯国家支持的黑客组织Sandworm(又名APT44)对乌克兰教育、政府及粮食部门发起多轮数据擦除恶意软件攻击,延续其自2022年以来针对该国的破坏性行动。网络安全公司ESET在最新报告中指出,这些攻击集中在6月和9月,目标涵盖政府、能源、物流及粮食行业,其中粮食部门作为乌克兰战时主要收入来源成为新焦点。数据擦除恶意软件如PathWiper、HermeticWiper等通过破坏或删除文件、磁盘分区及主引导记录实现彻底销毁,与勒索软件不同,其纯粹以破坏为目的,导致系统难以恢复。此次攻击中,Sandworm部署了“ZeroLot”和“Sting”等变种,其中“Sting”通过以匈牙利传统菜肴命名的Windows任务执行,凸显攻击的隐蔽性。初始访问权限多由UAC-0099(自2023年起活跃的威胁行为体)获取,随后转移给Sandworm部署擦除器。粮食行业首次成为主要攻击目标,反映出攻击者试图削弱乌克兰战时经济的战略意图。
https://www.bleepingcomputer.com/news/security/sandworm-hackers-use-data-wipers-to-disrupt-ukraines-grain-sector/
3. 西班牙KISS-FM遭Rhysida勒索软件攻击
11月6日,西班牙拥有百万听众的热门广播电台KISS-FM遭遇与俄罗斯关联的Rhysida勒索软件团伙袭击。该团伙在暗网拍卖据称窃取的数据,要求支付3个比特币(约30万美元)赎金,并设定7天期限,否则将出售或泄露数据。Rhysida以“双重勒索”策略闻名,不仅用勒索软件锁定数据,还威胁泄露以施压付款。攻击者提供的截图显示,被盗数据可能包含观众评分记录、与西班牙数字化转型部交换的文件及发票,但员工个人数据泄露情况尚未明确。此次事件已引发对公众信任度下降、GDPR合规风险及商业关系扰乱的担忧。Rhysida团伙自2023年5月成立以来,已声称攻击236个目标,覆盖教育、医疗、制造业、地方政府等领域。其攻击手段包括利用Microsoft Teams、Zoom和Putty平台进行恶意广告网络钓鱼,感染设备并窃取数据。
https://cybernews.com/security/ransomware-kissfm-spain-radio/
4. GlassWorm恶意软件卷土重来,OpenVSX再遭攻击
11月8日,曾影响OpenVSX和Visual Studio Code应用市场的GlassWorm恶意软件活动再度活跃,带来三款新VSCode扩展程序,累计下载量已超10,000次。该恶意软件通过Solana交易获取有效载荷,目标直指GitHub、NPM及OpenVSX账户凭据,以及49个扩展程序的加密货币钱包数据。其核心攻击手段是利用不可见的Unicode字符实现恶意操作,这种混淆技巧仍能绕过OpenVSX新引入的防御机制。此次攻击中,GlassWorm通过OpenVSX平台上传的三款扩展分别为:ai-driven-dev.ai-driven-dev(3,400次下载)、adhamu.history-in-sublime-merge(4,000次下载)、yasuyuky.transient-emacs(2,400次下载)。据安全机构Koi Security追踪,攻击者使用相同的基础设施,但更新了命令与控制(C2)端点和Solana交易策略,并已转向GitHub后又回归OpenVSX,表明其有意在多平台持续运营。截至发稿,三款携带GlassWorm有效载荷的扩展仍可从OpenVSX下载,安全专家警告用户需警惕此类隐蔽攻击。
https://www.bleepingcomputer.com/news/security/glassworm-malware-returns-on-openvsx-with-3-new-vscode-extensions/
5. NuGet恶意软件包潜伏多年,2027年起激活破坏性攻击
11月7日,代码安全公司Socket研究人员在NuGet开源包管理平台发现九个由开发者"shanhai666"发布的恶意软件包,这些软件包表面具备合法功能,实则包含隐蔽的破坏性有效载荷,计划于2027年8月至2028年11月间激活。该恶意代码采用概率触发机制,需满足特定日期条件及随机数阈值(大于80时触发),通过C#扩展方法将恶意逻辑透明注入数据库和PLC操作流程。此次攻击针对三大主流数据库(SQL Server、PostgreSQL、SQLite)及西门子S7工业控制设备,尤其以伪装成合法Sharp7库的"Sharp7Extend"软件包最为危险。该包通过附加"Extend"后缀诱导开发者误下载,当触发条件满足时,会以20%概率立即终止主机进程,导致PLC客户端操作中断;或通过延迟写入机制(30-90分钟)使PLC写入操作有80%概率损坏,引发执行器命令丢失、安全系统失效等严重后果。截至曝光时,这些软件包已被下载近9500次,涉及SqlUnicorn.Core、SQLite存储库等九个恶意包。目前,NuGet已下架相关软件包,但潜在影响范围广泛。
https://www.bleepingcomputer.com/news/security/malicious-nuget-packages-drop-disruptive-time-bombs/
6. 三星零日漏洞遭利用,LandFall间谍软件定向攻击中东用户
11月7日,威胁行为者自2024年7月起利用三星Android图像处理库中的零日漏洞CVE-2025-21042,通过WhatsApp发送恶意DNG格式图像文件,部署名为"LandFall"的间谍软件,定向攻击中东地区特定三星Galaxy用户。该漏洞为libimagecodec.quram.so文件中的越界写入漏洞,严重级别达"严重",允许远程攻击者执行任意代码。尽管三星于2025年4月修复此漏洞,但攻击活动已持续数月,影响Galaxy S22、S23、S24、Z Fold 4及Z Flip 4等旗舰机型。LandFall间谍软件采用双重技术组件:加载器b.so负责检索和加载其他模块,SELinux策略操纵器l.so则修改设备安全设置以提升权限并建立持久性。该软件可基于硬件和SIM ID(如IMEI、IMSI)对设备进行指纹识别,并具备麦克风录音、通话录音、位置追踪、访问照片/联系人/短信/通话记录/文件及浏览历史等间谍功能,同时支持模块执行、持久化、检测逃避和保护绕过。攻击路径显示,恶意DNG文件末尾附加ZIP压缩包,通过WhatsApp传播。研究人员分析发现,伊拉克、伊朗、土耳其和摩洛哥为潜在目标国家。
https://www.bleepingcomputer.com/news/security/new-landfall-spyware-exploited-samsung-zero-day-via-whatsapp-messages/
京公网安备11010802024551号