每周安全速遞3?? | 勒索團伙聲稱竊取Freedman HealthCare敏感文件
發(fā)布時間:2025-06-20
閱讀次數(shù): 163 次
勒索團伙聲稱竊取Freedman HealthCare敏感文件
勒索團伙近日宣稱入侵了美國健康數(shù)據(jù)分析公司Freedman HealthCare,竊取了52.4GB、共計42204份敏感文件,計劃于美國東部時間周二凌晨4點公開泄露。Freedman HealthCare服務對象包括多個州政府機構、保險公司及醫(yī)療提供方,參與了加州、特拉華州與羅德島等地大規(guī)模醫(yī)療數(shù)據(jù)庫的建設,涉及數(shù)千萬居民的醫(yī)保、診療和支付數(shù)據(jù)。一旦數(shù)據(jù)屬實泄露,或將成為近年來最嚴重的醫(yī)療信息安全事件之一。勒索團伙此前曾威脅癌癥患者并泄露整形術前照片,以施壓受害方支付贖金,顯示其無底線的勒索手段和對關鍵行業(yè)的高頻攻擊趨勢。Freedman公司尚未對此事件公開回應。
https://www.theregister.com/2025/06/16/extortionists_claim_freedman_healthcare_hack/
新興勒索組織Anubis具備加密與文件抹除雙重破壞能力
安全研究機構近日披露,一款名為Anubis的新興勒索軟件即服務(RaaS)正在迅速崛起,其獨特之處在于結合傳統(tǒng)勒索加密與文件抹除功能,形成“雙重威脅”攻擊模式。該組織自2024年12月活躍以來,已攻擊澳大利亞、加拿大、秘魯和美國的醫(yī)療、建筑等多個行業(yè)目標。Anubis具備“wipe mode”功能,可在受害者文件被加密的同時永久刪除部分文件,徹底摧毀恢復可能,即便繳納贖金也無濟于事。此外,Anubis運營靈活的聯(lián)盟分成制度,在俄羅斯語網(wǎng)絡論壇RAMP和XSS上活躍,吸引合作者參與加密勒索、數(shù)據(jù)售賣與訪問權限轉讓等多種變現(xiàn)路徑。安全專家指出,Anubis的代碼與早期樣本“Sphinx”高度相似,顯示其經(jīng)過改進和重命名,進一步提升了隱蔽性與操作效率。研究還觀察到其通過命令行進行系統(tǒng)設定修改與目錄抹除等操作,顯露出高度毀滅性的意圖。隨著Anubis等組織的發(fā)展,勒索軟件生態(tài)正向更加激進和多元化方向演變,威脅情報人員和安全團隊需密切關注其攻擊策略與聯(lián)盟網(wǎng)絡的擴張動向。
https://www.trendmicro.com/en_us/research/25/f/anubis-a-closer-look-at-an-emerging-ransomware.html
Black Basta泄露事件暴露釣魚攻擊與Google賬號接管風險
近期泄露的Black Basta勒索組織內(nèi)部數(shù)據(jù)揭示了該組織內(nèi)部運作的細節(jié),并引發(fā)業(yè)界對多種網(wǎng)絡攻擊手法的警覺,尤其是釣魚攻擊、Google賬號接管、以及通過Microsoft Teams實施的入侵行為。據(jù)安全公司ReliaQuest的分析,2月11日泄露的一批消息中包含多達20萬條來自Black Basta組織內(nèi)部的聊天記錄。這些由代號“ExploitWhispers”的疑似前成員公開的信息,與5月7日LockBit組織的數(shù)據(jù)庫泄露一同,進一步揭示了勒索團伙內(nèi)部運作細節(jié)及攻擊手法。ReliaQuest警告稱,組織應立即禁止公司設備訪問個人Google賬戶,并加強員工對釣魚郵件和Microsoft Teams相關社交工程攻擊的識別能力。此外,還需監(jiān)控Python腳本的異常使用,因為攻擊者常在成功實施Teams釣魚攻擊后通過Python腳本開展后續(xù)控制。在泄露的聊天中,Black Basta的頭目(據(jù)稱名為Oleg Nefedov,使用別名Trump、GG和AA)提到兩個活躍于Exploit犯罪論壇的成員:SebastianPereiro和marmalade_knight。前者參與有關Microsoft Teams零日漏洞的討論,后者專注于暴力破解工具的配置。據(jù)分析,這兩人或其方法被用于指導Black Basta的滲透團隊。
https://www.govinfosecurity.com/blogs/black-basta-leaks-highlight-phishing-google-takeover-risks-p-3890
Fog勒索軟件使用合法工具和開源工具發(fā)起攻擊活動
2025年5月,F(xiàn)og勒索軟件組織攻擊了一家亞洲金融機構,采用了一組極為罕見的滲透與監(jiān)控工具,引發(fā)安全研究人員關注。據(jù)Symantec報告,攻擊者在入侵中使用了Syteca監(jiān)控軟件、GC2、Stowaway和Adaptix等工具,這些工具通常出現(xiàn)在紅隊測試或間諜行動中,而非傳統(tǒng)勒索軟件攻擊中。攻擊者潛伏在受害網(wǎng)絡內(nèi)長達兩周,顯示出高度策劃與耐心。更罕見的是,攻擊完成后還創(chuàng)建了持久性服務以保持訪問權限,這一行為暗示勒索行為可能只是掩護,實際目標或為竊取情報。GC2通過Google Sheets或SharePoint建立C2通道,Syteca疑用于監(jiān)視,Stowaway用于滲透傳輸,Adaptix C2則協(xié)助數(shù)據(jù)控制和持久化操作。雖然此次攻擊的初始入侵路徑尚未明確,但專家懷疑與Exchange服務器有關。此次行動與Fog以往針對美國學校、利用VPN或漏洞傳播的手法形成鮮明對比,顯示出其攻擊策略正在不斷演進。研究人員指出,這種非常規(guī)工具組合及異常持久性行為值得各組織警惕,提示未來勒索攻擊可能融合更多間諜活動元素。
https://securityaffairs.com/178969/malware/unusual-toolset-used-in-recent-fog-ransomware-attack.html
勒索組織威脅公開巴拉圭720萬公民數(shù)據(jù)
一個自稱“Brigada Cyber PMC”的勒索組織近日聲稱,從巴拉圭政府多個系統(tǒng)中竊取了720萬公民的個人身份信息,并要求政府支付740萬美元贖金,否則將公開全部數(shù)據(jù)。該組織在暗網(wǎng)泄露網(wǎng)站發(fā)布通告,并設定最后期限為6月13日。所涉數(shù)據(jù)包括姓名、性別、國籍、職業(yè)、身份證號、出生日期及婚姻狀況等敏感信息。據(jù)網(wǎng)絡安全公司Resecurity披露,該組織疑似于5月28日首次在黑客論壇上出售兩份SQL數(shù)據(jù)庫,并提供部分樣本驗證真實性。同時,另一名黑客“el_farado”也在不同論壇中兜售號稱來自巴拉圭科迪勒拉州的完整公民數(shù)據(jù)庫,可能顯示有多個攻擊者或攻擊事件同時發(fā)生。Resecurity指出,該組織有可能與此前攻擊南美多個國家政府系統(tǒng)的黑客有關,且部分攻擊者與新興勒索團伙FunkSec存在關聯(lián)。同時,有情報顯示巴拉圭交通與道路安全局系統(tǒng)曾于5月29日被下線維護,疑與數(shù)據(jù)泄露事件有關。
https://www.govinfosecurity.com/ransomware-group-threatens-to-dump-paraguayan-citizens-data-a-28686