新兴ShinySp1d3r勒索软件技术运营策略曝光
发布时间 2025-11-211. 新兴ShinySp1d3r勒索软件技术运营策略曝光
11月19日,网络安全研究人员披露了名为"ShinySp1d3r"的新型勒索软件即服务(RaaS)平台开发细节。该平台由与ShinyHunters、Scattered Spider及Lapsus$组织关联的威胁行为者创建,标志着这些团伙从使用第三方加密器转向自主开发。开发版本显示,ShinySp1d3r采用全自主研发架构,未复用LockBit或Babuk等已知代码库,具备多项创新功能。技术层面,该勒索软件使用ChaCha20加密算法配合RSA-2048保护私钥,每个加密文件生成独特扩展名并通过数学公式动态生成。文件头以"SPDR"开头、"ENDS"结尾,包含文件名、加密私钥及元数据。其传播机制支持通过SCM服务、WMI进程创建及GPO脚本部署实现横向渗透,并具备搜索开放网络共享主机进行二次加密的能力。反分析特性包括挂钩EtwEventWrite函数阻断日志记录、覆盖内存缓冲区防取证,以及通过写入随机.tmp文件填充磁盘空间阻碍数据恢复。
https://www.bleepingcomputer.com/news/security/meet-shinysp1d3r-new-ransomware-as-a-service-created-by-shinyhunters/
2. 国际游戏科技公司IGT遭麒麟勒索软件攻击
11月20日,国际游戏科技公司(IGT)作为全球领先的赌场及在线平台数字游戏、体育博彩和金融科技供应商,近日被与俄罗斯关联的麒麟勒索软件组织认领。该组织在暗网泄露博客发布IGT条目,声称窃取了10GB数据,21,683个文件,涵盖从老虎机、彩票系统到PlaySports体育博彩平台等核心业务数据。IGT产品广泛应用于全球100多个国家,每日服务数百万玩家,其金融科技部门存储大量客户身份信息,面临身份盗窃风险。截至报道发布,IGT未对此事作出回应。麒麟组织自2021年活动以来,2025年已成为最活跃的勒索软件组织,过去六个月发动超500起攻击,自2023年起已列出991名受害者,包括知名企业、医疗机构及政府机构。其采用勒索软件即服务(RaaS)商业模式,常使用双重勒索策略:先索要解密赎金,再威胁泄露数据。
https://cybernews.com/news/igt-digital-gaming-leader-qilin-ransomware-attack-casino-fintech-sports-betting/
3. 俄罗斯VSK保险公司遭大规模网络攻击
11月19日,作为俄罗斯最大综合保险公司之一,总部位于莫斯科的VSK 11月13日公开确认遭遇“大规模网络攻击”,目前其官网、移动应用及数百万用户依赖的服务已持续下线一周。作为服务约3300万个人客户和50多万家企业的行业巨头,VSK业务涵盖财产险、交通险、健康险等多领域,此次事件导致客户无法购买车险、修改保单、获取担保函或预约医疗服务,部分医疗机构因无法核实保险覆盖范围拒绝服务,公司邮件系统亦中断,被迫建议客户通过平信提交咨询。尽管VSK强调“仅IT基础设施受影响,客户及合作伙伴数据安全无虞”,但乌克兰黑客相关Telegram频道已发布据称泄露的信息及备份文件截图,真实性待核实。公司同时警告,其企业域名遭劫持,访问者会被重定向至虚假Telegram频道。目前攻击者身份及动机未明,俄罗斯网络安全专家推测为勒索软件攻击。
https://therecord.media/russia-vsk-cyberattack-outages
4. 意大利FS集团因Almaviva遭入侵致2.3TB数据泄露
11月20日,意大利国家铁路运营商FS Italiane集团因IT服务提供商Almaviva遭黑客入侵,导致2.3TB敏感数据泄露至暗网。黑客声称窃取内容涵盖机密文件、技术文档、公共实体合同、人力资源档案、会计数据及多家FS集团公司的完整数据集,其中包括2025年第三季度的最新文件。D3Lab网络威胁情报主管安德烈亚·德拉盖蒂明确排除该数据为2022年Hive勒索软件攻击回收利用的可能性,并指出转储文件按部门/公司组织的压缩存档结构与2024-2025年活跃的勒索软件组织及数据经纪人作案手法高度一致。尽管Almaviva与FS集团均未回应媒体初期问询,但Almaviva后续通过当地媒体声明证实事件:其安全监控部门近期发现并隔离了一起影响公司系统的网络攻击,导致部分数据被盗。该公司已启动安全应对程序,确保关键服务运行,并通知警方、国家网络安全机构及数据保护机构,目前调查仍在政府机构协助下进行,承诺以透明方式更新进展。目前,数据泄露是否包含乘客信息或影响FS集团以外的其他客户尚不明确。
https://www.bleepingcomputer.com/news/security/hacker-claims-to-steal-23tb-data-from-italian-rail-group-almavia/
5. Photocall盗版平台遭关闭,超2600万用户受影响
11月20日,拥有超2600万用户的盗版电视流媒体平台Photocall在创意与娱乐联盟(ACE)与DAZN联合调查后已停止运营。该平台未经授权提供来自60个国家的1127个电视频道访问服务,涵盖体育赛事直播、意甲联赛、NFL/NHL赛事及皇家马德里、巴塞罗那等俱乐部频道,用户分布以西班牙(30%)、墨西哥(13%)为主,德国、意大利、美国各占6%。尽管未直接提供DAZN频道,但平台重新分发了其合作伙伴内容(如MotoGP和F1赛事),构成侵权。此次关闭源于欧洲刑警组织协调的跨国执法行动,行动中查封69个非法网站(年访问量超1180万),25个非法IPTV服务被移交加密货币提供商查封,查获价值5500万美元加密货币,并启动44项新调查。Photocall域名已转移至ACE并重定向至合法观看网站,运营商同意停止运营。
https://www.bleepingcomputer.com/news/security/tv-streaming-piracy-service-photocall-with-26m-yearly-visits-shut-down/
6. Salesforce与Gainsight应对数据窃取:撤销令牌移除应用
11月20日,Salesforce在调查客户数据窃取攻击时,发现异常活动源于Gainsight发布的应用程序与Salesforce的外部连接,而非自身CRM平台漏洞。该公司已撤销所有与该应用程序关联的访问令牌和刷新令牌,并暂时将其从AppExchange移除,同时通知受影响客户并提供帮助。此次事件与2025年8月Salesloft数据泄露模式相似,当时勒索组织“Scattered Lapsus$ Hunters”利用窃取的OAuth令牌,从客户Salesforce实例中窃取了密码、AWS密钥等敏感信息,影响约760家公司,导致15亿条记录泄露,涉及Google、Cloudflare、Palo Alto Networks等知名企业。ShinyHunters组织声称,通过Salesloft Drift漏洞中窃取的密钥入侵Gainsight后,进一步获取了285个Salesforce实例的访问权限。Gainsight此前已证实,攻击者通过与Salesloft Drift关联的被盗OAuth令牌入侵,泄露了企业联系信息。Salesforce强调,所有恶意活动均与外部应用程序连接有关,而非平台本身漏洞。
https://www.bleepingcomputer.com/news/security/salesforce-investigates-customer-data-theft-via-gainsight-breach/
京公网安备11010802024551号