本周熱點事件威脅情報
1、研究人員發現The Gentlemen勒索組織發起的攻擊活動
2025年8月,研究人員調查了一場由The Gentlemen勒索組織發起的新型勒索軟件活動,該組織是一個新興且此前未被記錄的勒索組織。該組織針對多個行業和地區進行攻擊,重點關注制造業、建筑業、醫療保健和保險業等一系列行業,攻擊范圍至少覆蓋17個國家。該勒索組織利用合法的驅動程序來進行規避,濫用組策略對象(GPO)促進域范圍的破壞,并部署了旨在禁用環境中現有安全解決方案的自定義惡意工具。The Gentlemen勒索組織使用WinSCP進行加密的數據外傳,以及通過AnyDesk遠程訪問軟件和修改注冊表設置來建立持久化機制。該勒索組織會留下一個名稱為“README-GENTLEMEN.txt”的勒索信,被加密文件的擴展名會被更改為“.7mtzhh”。
https://www.trendmicro.com/en_us/research/25/i/unmasking-the-gentlemen-ransomware.html
2、研究人員對CyberVolk勒索軟件進行分析
CyberVolk勒索組織出現于2024年5月。該組織近期聲稱已對日本、法國和英國等國的關鍵基礎設施以及科學機構發動了攻擊。Telegram是該組織主要使用的通信渠道。該勒索軟件用于加密的密鑰在主函數啟動之前生成,所有文件都使用相同的對稱密鑰進行加密,而用于加密的算法是AES和ChaCha20-Poly1305。用于加密的Nonce值對于每個文件都是隨機生成的。然而,由于該值未存儲在加密文件中,因此被加密的文件無法被解密。
https://asec.ahnlab.com/en/90077/
3、Akira勒索組織正在利用CVE-2024-40766進行攻擊活動
Akira勒索組織正在積極利用CVE-2024-40766漏洞以獲取對SonicWall設備的訪問權限。攻擊者正利用該安全漏洞,通過未打補丁的SonicWall SSL VPN端點入侵目標網絡。SonicWall早在去年8月就發布了針對CVE-2024-40766的補丁,并將其標記為已被積極利用。該漏洞允許未經授權的資源訪問,并可能導致防火墻崩潰。澳大利亞網絡安全中心(ACSC)對此發出警報,警告各組織注意這一新的惡意活動,并敦促立即采取行動。網絡安全公司也發現了類似的跡象,稱Akira勒索組織對SonicWall設備的攻擊最近再次活躍。
https://www.bleepingcomputer.com/news/security/akira-ransomware-exploiting-critical-sonicwall-sslvpn-bug-again/
4、KillSec勒索組織聲稱對MedicSolution進行攻擊
2025年9月8日,KillSec勒索組織聲稱對巴西醫療行業軟件解決方案提供商MedicSolution發動了網絡攻擊。泄露的數據總量超過34GB,包含超過94818個文件,包括:醫療評估、醫學實驗室結果、X光片、未經處理的患者照片(包括顯示身體部位的照片)、與未成年人相關的記錄。研究人員發現,泄露的數據文件屬于巴西當地的醫療機構和醫學實驗室,包括但不限于Vita Exame、Clinica Especo Vida、Centro Diagnostico Toledo、Labclinic、Laboratório Alvaro等。
https://www.resecurity.com/blog/article/killsec-ransomware-is-attacking-healthcare-institutions-in-brazil
5、INC Ransom勒索組織聲稱入侵巴拿馬財政經濟部
巴拿馬財政經濟部(MEF)透露,其一臺計算機可能在一次網絡攻擊中遭到入侵。該政府部門指出,他們已啟動針對此類情況的安全程序,并表示事件已得到遏制,并未影響其核心系統。MEF表示,個人和機構數據是安全的,并且已采取措施來防止未來發生類似事件。然而,INC Ransom勒索組織通過其數據泄露網站發布消息,聲稱對MEF發動了攻擊,并表示從MEF的系統中竊取了超過1.5TB的數據,包括電子郵件、財務文件、預算詳情等。目前MEF尚未對此進行證實。
https://www.bleepingcomputer.com/news/security/panama-ministry-of-economy-discloses-breach-claimed-by-inc-ransomware/
浙公網安備 33010502006954號 
