john-partner-us

TP-Link fixes critical RCE bug in popular C5400X gaming router

Wed, 05 Jun 2024 00:00:01 GMT

The TP-Link Archer C5400X gaming router is vulnerable to security flaws that could enable an unauthenticated, remote attacker to execute commands on the device.

The TP-Link Archer C5400X is a high-end tri-band gaming router designed to provide robust performance and advanced features for gaming and other demanding applications, and based on the number of user reviews the product has on online stores, it appears to be a popular choice among gamers.

Arbitrary command execution on routers can lead to hijacking routers, data interception, changing DNS settings, and potentially breaching internal networks.

Vulnerability details

The flaw on the TP-Link Archer C5400X is tracked as CVE-2024-5035 (CVSS v4 score: 10.0, “critical”) and was identified by analysts at OneKey through binary static analysis.

The researchers found that the ‘rftest’ binary exposes a network service vulnerable to command injection and buffer overflows on TCP ports 8888, 8889, and 8890.

The ‘rftest’ service runs a network listener on these ports to perform wireless interface self-assessment and related tasks.

An attacker using shell metacharacters can send specially crafted messages to these ports, potentially achieving arbitrary command execution with elevated privileges.

Shell metacharacters are special characters like semicolons, ampersands, and pipes that are used for better function control on command-line shells. However, they can also be abused for command execution when the user input isn’t properly sanitized to prevent unauthorized actions.

Command ID injection through port 8888
Source: OneKey

Fix available

As the mentioned ports are open and actively used by the ‘rftest’ service on the router’s default configuration, they impact all users of the device using the vulnerable firmware versions, through 1.1.1.6.

OneKey analysts reported their findings to TP-Link’s PSIRT on February 16, 2024, while the vendor had a beta patch ready by April 10, 2024.

Finally, the security update came late last week, on May 24, 2024, with the release of Archer C5400X(EU)_V1_1.1.7 Build 20240510, which effectively addresses CVE-2024-5035.

The implemented fix was to discard any commands containing shell metacharacters, so these are filtered out in all incoming messages.

Users are recommended to download the firmware update from TP-Link’s official download portal or use their router admin panel to perform the update.

Source: bleepingcomputer.com

TP-Link sửa lỗi RCE nghiêm trọng trong bộ định tuyến chơi game C5400X phổ biến

Tue, 04 Jun 2024 13:56:03 GMT

Bộ định tuyến chơi game TP-Link Archer C5400X dễ mắc phải các lỗi bảo mật có thể cho phép kẻ tấn công từ xa, không được xác thực thực thi các lệnh trên thiết bị.

TP-Link Archer C5400X là bộ định tuyến chơi game ba băng tần cao cấp được thiết kế để mang đến hiệu suất mạnh mẽ và các tính năng nâng cao để chơi game cũng như các ứng dụng đòi hỏi khắt khe khác và dựa trên số lượng đánh giá của người dùng về sản phẩm trên các cửa hàng trực tuyến, và đây có thể là một sự lựa chọn phổ biến của các game thủ.

Việc thực thi lệnh tùy ý trên bộ định tuyến có thể dẫn đến việc chiếm quyền điều khiển bộ định tuyến, chặn dữ liệu, thay đổi cài đặt DNS và có khả năng xâm phạm mạng nội bộ.

Chi tiết về lỗ hổng

Lỗ hổng trên TP-Link Archer C5400X được theo dõi là CVE-2024-5035 (điểm CVSS v4: 10.0, “nghiêm trọng”) và được các nhà phân tích tại OneKey xác định thông qua phân tích tĩnh nhị phân.

Các nhà nghiên cứu phát hiện ra rằng tệp nhị phân 'rftest' khiến dịch vụ mạng dễ bị tấn công bằng lệnh chèn và tràn bộ đệm trên các cổng TCP 8888, 8889 và 8890.

Dịch vụ 'rftest' chạy trình nghe mạng trên các cổng này để thực hiện việc tự đánh giá giao diện không dây và các tác vụ liên quan.

Kẻ tấn công sử dụng shell metacharacter có thể gửi tin nhắn được tạo đặc biệt đến các cổng này và có khả năng thực thi lệnh tùy ý với các đặc quyền nâng cao.

Shell metacharacter là các ký tự đặc biệt như dấu chấm phẩy, ký hiệu và đường dẫn được sử dụng để kiểm soát chức năng tốt hơn trên shell dòng lệnh. Tuy nhiên, chúng cũng có thể bị lạm dụng để thực thi lệnh khi đầu vào của người dùng không được thực hiện đúng cách nhằm ngăn chặn các hành động trái phép.

Lệnh injection ID qua cổng 8888

Nguồn: OneKey

Đã có bản sửa lỗi

Vì các cổng được đề cập ở trạng thái mở và được dịch vụ 'rftest' sử dụng rộng rãi trên cấu hình mặc định của bộ định tuyến nên chúng sẽ tác động đến tất cả người dùng thiết bị sử dụng các phiên bản chương trình cơ sở dễ bị tấn công, cho đến hết phiên bản 1.1.1.6.

Các nhà phân tích của OneKey cho biết phát hiện của họ cho PSIRT của TP-Link vào ngày 16 tháng 2 năm 2024, trong khi nhà cung cấp đã có sẵn bản vá beta trước ngày 10 tháng 4 năm 2024.

Cuối cùng, bản cập nhật bảo mật đã ra mắt vào cuối tuần trước, vào ngày 24 tháng 5 năm 2024, với việc phát hành Archer C5400X(EU)_V1_1.1.7 Build 20240510, giải quyết hiệu quả CVE-2024-5035.

Cách khắc phục được triển khai là loại bỏ bất kỳ lệnh nào chứa shell metacharacter, để chúng được lọc ra trong tất cả các tin nhắn đến.

Người dùng nên tải xuống bản cập nhật chương trình cơ sở từ cổng tải xuống chính thức của TP-Link hoặc sử dụng bảng quản trị bộ định tuyến của họ để thực hiện cập nhật.

Nguồn: bleepingcomputer.com

Hackers target Check Point VPNs to breach enterprise networks

Tue, 04 Jun 2024 00:00:00 GMT

Threat actors are targeting Check Point Remote Access VPN devices in an ongoing campaign to breach enterprise networks, the company warned in a May 27 advisory.

Remote Access is integrated into all Check Point network firewalls. It can be configured as a client-to-site VPN for access to corporate networks via VPN clients or set up as an SSL VPN Portal for web-based access.

Check Point says the attackers are targeting security gateways with old local accounts using insecure password-only authentication, which should be used with certificate authentication to prevent breaches.

"We have recently witnessed compromised VPN solutions, including various cyber security vendors. In light of these events, we have been monitoring attempts to gain unauthorized access to VPNs of Check Point's customers. By May 24, 2024 we identified a small number of login attempts using old VPN local-accounts relying on unrecommended password-only authentication method," the company said.

"We've seen 3 such attempts, and later when we further analysed it with the special teams we assembled, we saw what we believe are potentially the same pattern (around the same number). So - a few attempts globally all in all but enough to understand a trend and especially- a quite straightforward way to ensure it’s unsuccessful," a Check Point spokesperson told BleepingComputer.

To defend against these ongoing attacks, Check Point warned customers to check for such vulnerable accounts on Quantum Security Gateway and CloudGuard Network Security products and on Mobile Access and Remote Access VPN software blades.

Customers are advised to change the user authentication method to more secure options (using instructions in this support document) or delete vulnerable local accounts from the Security Management Server database.

The company has also released a Security Gateway hotfix that will block all local accounts from authenticating with a password. After installation, local accounts with weak password-only authentication will be prevented from logging into the Remote Access VPN.

Vulnerable local account blocked after installing the hotfix (Check Point)

Customers can find more information on improving their VPNs' security in this support article, which also shares guidance on responding to unauthorized access attempts."By May 24th.

Cisco VPN devices also heavily targeted

Check Point is the second company warning its VPN devices are being targeted in ongoing attacks in recent months.

In April, Cisco also warned about widespread credential brute-forcing attacks targeting VPN and SSH services on Cisco, Check Point, SonicWall, Fortinet, and Ubiquiti devices.

That campaign started around March 18, 2024, with the attacks originating from TOR exit nodes and using various other anonymization tools and proxies to evade blocks.

One month earlier, Cisco warned about a wave of password-spraying attacks targeting Cisco Secure Firewall devices running Remote Access VPN (RAVPN) services, likely part of first-stage reconnaissance activity.

Security researcher Aaron Martin linked this activity to an undocumented malware botnet he dubbed "Brutus," which controlled at least 20,000 IP addresses across cloud services and residential networks.

Last month, the company also revealed that the UAT4356 (aka STORM-1849) state-backed hacking group has been using zero-day bugs in Cisco Adaptive Security Appliance (ASA) and Firepower Threat Defense (FTD) firewalls to breach government networks worldwide since at least November 2023 in a cyber-espionage campaign tracked as ArcaneDoor.

Source: bleepingcomputer.com

Tin tặc nhắm mục tiêu VPN Check Point để xâm nhập mạng doanh nghiệp

Mon, 03 Jun 2024 05:00:03 GMT

Ngày 27 tháng 5 Check Point đã cảnh báo rằng các tác nhân đe dọa đang nhắm mục tiêu vào các thiết bị VPN truy cập từ xa của Check Point trong một chiến dịch đang diễn ra nhằm xâm phạm mạng doanh nghiệp.

Truy cập từ xa được tích hợp vào tất cả tường lửa mạng Check Point. Nó có thể được định cấu hình làm VPN client-to-site để truy cập vào mạng công ty thông qua máy khách VPN hoặc thiết lập làm Cổng SSL VPN để truy cập dựa trên web.

Check Point cho biết những kẻ tấn công đang nhắm mục tiêu vào các cổng bảo mật bằng tài khoản cục bộ cũ bằng cách sử dụng xác thực chỉ bằng mật khẩu không an toàn, nên sử dụng xác thực chứng chỉ để ngăn chặn vi phạm.

"Gần đây, chúng tôi đã chứng kiến các giải pháp VPN bị xâm phạm của nhiều nhà cung cấp bảo mật mạng khác nhau. Trước những sự việc này, chúng tôi đã theo dõi việc giành quyền truy cập trái phép vào VPN của khách hàng của Check Point. Đến ngày 24 tháng 5 năm 2024, chúng tôi đã xác định được một số lượng nhỏ các lần thử đăng nhập sử dụng tài khoản cục bộ VPN cũ dựa vào phương thức xác thực chỉ dùng mật khẩu không được khuyến nghị", Check Point cho biết.

"Chúng tôi đã thấy 3 lần đăng nhập và sau khi chúng tôi phân tích sâu hơn với các nhóm đặc biệt đã thu thập được thì những gì chúng tôi thu được là có khả năng giống nhau trên toàn cầu (trong cùng khoảng một con số)" đủ để hiểu một xu hướng và đặc biệt là một cách khá đơn giản để đảm bảo xu hướng đó không thành công”, người phát ngôn của Check Point nói với BleepingComputer.

Để chống lại các cuộc tấn công đang diễn ra này, Check Point đã cảnh báo khách hàng kiểm tra các tài khoản dễ bị tấn công như vậy trên các sản phẩm Cổng bảo mật lượng tử và Bảo mật mạng CloudGuard cũng như trên các phần mềm VPN truy cập di động và truy cập từ xa.

Khách hàng nên thay đổi phương thức xác thực người dùng thành các tùy chọn an toàn hơn (sử dụng hướng dẫn trong tài liệu hỗ trợ này) hoặc xóa các tài khoản cục bộ dễ bị tấn công khỏi cơ sở dữ liệu Máy chủ quản lý bảo mật.

Check Point cũng đã phát hành một hotfix Security Gateway sẽ chặn tất cả các tài khoản cục bộ xác thực bằng mật khẩu. Sau khi cài đặt, các tài khoản cục bộ có xác thực chỉ bằng mật khẩu yếu sẽ bị ngăn đăng nhập vào Remote Access VPN.

Tài khoản cục bộ dễ bị tấn công bị chặn sau khi cài đặt hotfix (Check Point)

Khách hàng có thể tìm thêm thông tin về cách cải thiện bảo mật VPN của họ trong bài viết hỗ trợ này, bài viết này cũng chia sẻ hướng dẫn về cách ứng phó với việc truy cập trái phép."

Các thiết bị Cisco VPN cũng bị nhắm mục tiêu

Check Point là công ty thứ hai cảnh báo các thiết bị VPN của họ đang trở thành mục tiêu trong các cuộc tấn công đang diễn ra trong những tháng gần đây.

Vào tháng 4, Cisco cũng đã cảnh báo về các cuộc tấn công đánh cắp thông tin xác thực trên diện rộng nhắm vào các dịch vụ VPN và SSH trên các thiết bị Cisco, Check Point, SonicWall, Fortinet và Ubiquiti.

Chiến dịch đó bắt đầu vào khoảng ngày 18 tháng 3 năm 2024, với các cuộc tấn công bắt nguồn từ các nút thoát TOR và sử dụng nhiều công cụ ẩn danh và proxy khác để tránh bị chặn.

Một tháng trước đó, Cisco đã cảnh báo về một làn sóng tấn công rải mật khẩu nhắm vào các thiết bị Tường lửa bảo mật của Cisco chạy dịch vụ Remote Access VPN (RAVPN), có thể là một phần của hoạt động trinh sát giai đoạn đầu.

Nhà nghiên cứu bảo mật Aaron Martin đã liên kết hoạt động này với một mạng botnet phần mềm độc hại không có giấy tờ mà ông đặt tên là “Brutus”, mạng này kiểm soát ít nhất 20.000 địa chỉ IP trên các dịch vụ đám mây và mạng dân cư.

Tháng trước, công ty cũng tiết lộ rằng nhóm hack được nhà nước hậu thuẫn UAT4356 (còn gọi là STORM-1849) đã sử dụng các lỗi zero-day trong tường lửa Cisco Adaptive Security Appliance (ASA) và Tường lửa phòng thủ mối đe dọa hỏa lực - Firepower Threat Defense (FTD) nhằm xâm nhập các mạng của chính phủ trên toàn thế giới ít nhất kể từ tháng 11 năm 2023 trong một chiến dịch gián điệp mạng được theo dõi dưới tên ArcaneDoor.

Nguồn: bleepingcomputer.com

Sav-Rx discloses data breach impacting 2.8 million Americans

Mon, 03 Jun 2024 00:00:00 GMT

Prescription management company Sav-Rx is warning over 2.8 million people in the United States that it suffered a data breach, stating that their personal data was stolen in a 2023 cyberattack.

A&A Services, doing business as Sav-RX, is a pharmacy benefit management (PBM) company that provides prescription drug management services to employers, unions, and other organizations across the U.S.

On May 25, the company notified the Maine Attorney General's office of a cybersecurity incident in October 2023 that exposed the data of 2,812,336 people.

"On October 8, 2023, we identified an interruption to our computer network. As a result, we immediately took steps to secure our systems and engaged third-party cybersecurity experts," reads the notification sent to impacted individuals.

"Our information technology systems ("IT System") were restored the next business day, and prescriptions were shipped on time without delay."

The impact on its business operations was kept to a minimum, with no delays in the shipment of medical prescriptions or pharmacy claims.

While their systems were restored in a day, investigating whether personal data was stolen took much longer.

According to the data breach notification, their investigation took almost eight months and was completed on April 30, 2024, with the help of third-party experts.

This investigation revealed that the hackers first accessed customer data on October 3, 2023.

"As part of the investigation, we learned that an unauthorized third party was able to access certain non-clinical systems and obtained files that contained personal information," informs Sav-Rx.

The types of data exposed in this incident include:

Full name
Date of birth
Social Security Number (SSN)
Email address
Physical address
Phone number
Eligibility data
Insurance identification number

In a FAQ page on its site, Sav-Rx explains that it took them eight months to send out notices of breach to impacted customers because their initial priority was to minimize interruption to patient care before launching an investigation on the impact of the incident.

Sav-Rx also noted that it didn't rush to conclude the investigations, striving for as accurate results as possible. It says its health plan customers (impacted organizations) were notified earlier, between April 30 and May 2, 2024.

Sav-Rx then reached an agreement with its business customers to notify impacted individuals, and hence, the letters were circulated late last week.

The company notes that it did not have sufficient contact information to notify some individuals in many cases, so people are urged to confirm if they're affected by calling 888-326-0815.

Among the new security measures Sav-Rx implemented in response to this incident are setting up a 24/7 security operations center, implementing multi-factor authentication on critical accounts, network segmentation, enhanced geo-blocking, upgraded firewalls and switches, strengthened Linux security, and BitLocker encryption.

Though the firm currently has no evidence that the stolen information was misused or disseminated on the dark web, it enclosed instructions in the letters on enrolling in a two-year credit monitoring and identity theft protection service.

As the stolen data contains sensitive information that can be used for identity theft, it is strongly advised that those impacted monitor their credit reports for fraudulent activity.

Source: bleepingcomputer.com

Hackers phish finance orgs using trojanized Minesweeper clone

Sat, 01 Jun 2024 01:00:00 GMT

Hackers are utilizing code from a Python clone of Microsoft's venerable Minesweeper game to hide malicious scripts in attacks on European and US financial organizations.

Ukraine's CSIRT-NBU and CERT-UA attribute the attacks to a threat actor tracked as 'UAC-0188,' who is using the legitimate code to hide Python scripts that download and install the SuperOps RMM.

Superops RMM is a legitimate remote management software that gives remote actors direct access to the compromised systems.

CERT-UA reports that research following the initial discovery of this attack revealed at least five potential breaches by the same files in financial and insurance institutions across Europe and the United States.

Attack details

The attack begins with an email sent from the address "support@patient-docs-mail.com," impersonating a medical center with the subject "Personal Web Archive of Medical Documents."

The recipient is prompted to download a 33MB .SCR file from the provided Dropbox link. This file contains innocuous code from a Python clone of the Minesweeper game along with malicious Python code that downloads additional scripts from a remote source ("anotepad.com").

Including Minesweeper code within the executable serves as a cover for the 28MB base64-encoded string containing the malicious code, attempting to make it appear benign to security software.

Additionally, the Minesweeper code contains a function named "create_license_ver" which is repurposed to decode and execute the hidden malicious code, so legitimate software components are used for masking and facilitating the cyberattack.

The base64 string is decoded to assemble a ZIP file that contains an MSI installer for SuperOps RMM, which is eventually extracted and executed using a static password.

Attack chain
Source: CERT-UA

SuperOps RMM is a legitimate remote access tool, but in this case it is used to grant the attackers unauthorized access to the victim's computer.

CERT-UA notes that organizations not using the SuperOps RMM product should treat its presence or related network activity, such as calls to the "superops.com" or" superops.ai" domains, as a sign of hacker compromise.

The agency has also shared additional indicators of compromise (IoCs) associated with this attack at the bottom of the report.

Source: bleepingcomputer.com

Tin tặc lừa đảo các tổ chức tài chính bằng cách sử dụng bản sao Minesweeper bị trojan hóa

Fri, 31 May 2024 05:00:00 GMT

Tin tặc đang sử dụng mã từ bản sao Python của trò chơi Minesweeper nổi tiếng của Microsoft để che giấu các tập lệnh độc hại trong các cuộc tấn công vào các tổ chức tài chính châu Âu và Mỹ.

CSIRT-NBU và CERT-UA của Ukraine quy các cuộc tấn công cho một kẻ đe dọa được theo dõi là 'UAC-0188', kẻ đang sử dụng mã hợp pháp để ẩn các tập lệnh Python tải xuống và cài đặt SuperOps RMM.

Superops RMM là một phần mềm quản lý từ xa hợp pháp cho phép các tác nhân từ xa truy cập trực tiếp vào các hệ thống bị xâm nhập.

CERT-UA cho biết những thông tin phát hiện ban đầu về cuộc tấn công này đã tiết lộ ít nhất năm vi phạm tiềm ẩn bởi cùng một tệp trong các tổ chức tài chính và bảo hiểm trên khắp Châu Âu và Hoa Kỳ.

Chi tiết cuộc tấn công

Cuộc tấn công bắt đầu bằng một email được gửi từ địa chỉ “support@BN-docs-mail.com”, mạo danh một trung tâm y tế với chủ đề “Lưu trữ tài liệu y tế trên web cá nhân”.

Người nhận được nhắc tải xuống tệp .SCR 33 MB từ liên kết Dropbox được cung cấp. Tệp này chứa mã vô hại từ bản sao Python của trò chơi Minesweeper cùng với mã Python độc hại tải xuống các tập lệnh bổ sung từ một nguồn từ xa ("anotepad.com").

Việc đưa mã Minesweeper vào trong tệp thực thi đóng vai trò che giấu cho chuỗi được mã hóa base64 28 MB chứa mã độc, và tin tặc làm cho nó có vẻ vô hại đối với phần mềm bảo mật.

Ngoài ra, mã Minesweeper còn chứa một hàm có tên "create_license_ver" được dùng lại để giải mã và thực thi mã độc hại ẩn, do đó, các thành phần phần mềm hợp pháp được sử dụng để che giấu và tạo điều kiện cho cuộc tấn công mạng.

Chuỗi base64 được giải mã để tập hợp một tệp ZIP chứa trình cài đặt MSI cho SuperOps RMM, tệp này cuối cùng được trích xuất và thực thi bằng mật khẩu tĩnh.

Chuỗi tấn công

Nguồn: CERT-UA

SuperOps RMM là một công cụ truy cập từ xa hợp pháp, nhưng trong trường hợp này, nó được sử dụng để cấp cho kẻ tấn công quyền truy cập trái phép vào máy tính của nạn nhân.

CERT-UA lưu ý rằng các tổ chức không sử dụng sản phẩm SuperOps RMM nên coi sự hiện diện hoặc hoạt động mạng liên quan của sản phẩm đó, chẳng hạn như các cuộc gọi đến miền "superops.com" hoặc "superops.ai", là dấu hiệu xâm nhập của hacker.

CERT-UA cũng đã chia sẻ các chỉ số bổ sung về sự xâm phạm (IoC) liên quan đến cuộc tấn công này ở cuối báo cáo.

Nguồn: bleepingcomputer.com

Sav-Rx tiết lộ vụ tấn công dữ liệu ảnh hưởng đến 2,8 triệu người Mỹ

Fri, 31 May 2024 05:00:00 GMT

Công ty quản lý đơn thuốc Sav-Rx cảnh báo hơn 2,8 triệu cá nhân ở Hoa Kỳ việc họ đã bị vi phạm dữ liệu và dữ liệu cá nhân của họ đã bị đánh cắp trong một cuộc tấn công mạng năm 2023.

A&A Services, hoạt động kinh doanh với tên gọi Sav-RX, là công ty quản lý lợi ích dược phẩm (PBM) cung cấp dịch vụ quản lý thuốc theo toa cho người sử dụng lao động, công đoàn và các tổ chức khác trên khắp Hoa Kỳ.

Ngày 25 tháng 5, Sav-Rx đã thông báo cho văn phòng Bộ trưởng Tư pháp Maine về một sự cố an ninh mạng vào tháng 10 năm 2023 làm lộ dữ liệu của 2.812.336 người.

"Ngày 8 tháng 10 năm 2023, chúng tôi đã xác định được sự gián đoạn mạng máy tính của mình. Do đó, chúng tôi đã ngay lập tức thực hiện các bước để bảo mật hệ thống của mình và thu hút các chuyên gia an ninh mạng của bên thứ ba", thông báo gửi cho các cá nhân bị ảnh hưởng cho biết.

"Hệ thống công nghệ thông tin của chúng tôi ("Hệ thống CNTT") đã được khôi phục vào ngày làm việc tiếp theo và các đơn thuốc được vận chuyển đúng thời hạn mà không bị chậm trễ."

Hoạt động kinh doanh của Sav-Rx được giữ ở mức tối thiểu đảm bảo không có sự chậm trễ trong việc vận chuyển đơn thuốc hoặc yêu cầu bồi thường về dược phẩm.

Mặc dù hệ thống của Sav-Rx được khôi phục trong một ngày nhưng việc điều tra xem liệu dữ liệu cá nhân có bị đánh cắp hay không lại mất nhiều thời gian hơn.

Theo thông báo vi phạm dữ liệu, cuộc điều tra của Sav-Rx mất gần 8 tháng và hoàn thành vào ngày 30 tháng 4 năm 2024 với sự trợ giúp của các chuyên gia bên thứ ba.

Thông tin cuộc điều tra cho thấy tin tặc truy cập dữ liệu khách hàng lần đầu tiên vào ngày 3 tháng 10 năm 2023.

Sav-Rx thông báo: “Thông qua cuộc điều tra, chúng tôi được biết rằng một bên thứ ba trái phép có thể truy cập một số hệ thống phi lâm sàng nhất định và lấy được các tệp chứa thông tin cá nhân”.

Các dữ liệu bị lộ trong sự cố này bao gồm:

Họ và tên
Ngày sinh
Số An Sinh Xã Hội (SSN)
Địa chỉ email
A
Địa chỉ
Số điện thoại
Dữ liệu đủ điều kiện
Số nhận dạng bảo hiểm

Trong trang Câu hỏi thường gặp trên trang web của mình, Sav-Rx giải thích rằng họ phải mất 8 tháng để gửi thông báo vi phạm cho những khách hàng bị ảnh hưởng vì ưu tiên ban đầu của họ là giảm thiểu sự gián đoạn trong việc chăm sóc bệnh nhân trước khi tiến hành điều tra về tác động của vụ việc.

Sav-Rx cũng lưu ý rằng họ không vội kết thúc cuộc điều tra mà cố gắng đạt được kết quả chính xác nhất có thể. Họ cho biết các khách hàng trong chương trình sức khỏe của họ (các tổ chức bị ảnh hưởng) đã được thông báo trước đó, từ ngày 30 tháng 4 đến ngày 2 tháng 5 năm 2024.

Sav-Rx sau đó đã thỏa thuận với các khách hàng doanh nghiệp của mình để thông báo cho các cá nhân bị ảnh hưởng và do đó các bức thư đã được gửi vào cuối tuần trước.

Sav-Rx lưu ý rằng họ không có đủ thông tin liên hệ để thông báo cho một số cá nhân trong nhiều trường hợp, vì vậy mọi người nên xác nhận xem họ có bị ảnh hưởng hay không bằng cách gọi tới 888-326-0815.

Trong số các biện pháp bảo mật mới mà Sav-Rx triển khai để ứng phó với sự cố này là thiết lập một trung tâm điều hành bảo mật 24/7, triển khai xác thực đa yếu tố trên các tài khoản quan trọng, phân đoạn mạng, chặn địa lý nâng cao, nâng cấp tường lửa và chuyển mạch, tăng cường bảo mật Linux và mã hóa BitLocker.

Mặc dù Sav-Rx hiện không có bằng chứng nào cho thấy thông tin bị đánh cắp đã bị lạm dụng hoặc phổ biến trên web đen, nhưng Sav-Rx vẫn kèm theo hướng dẫn trong thư về việc đăng ký dịch vụ giám sát tín dụng và bảo vệ chống trộm danh tính trong hai năm.

Vì dữ liệu bị đánh cắp chứa thông tin nhạy cảm có thể được sử dụng để đánh cắp danh tính, nên Sav-Rx đặc biệt khuyên những người bị ảnh hưởng nên theo dõi báo cáo tín dụng của họ để phát hiện hoạt động gian lận.

Nguồn: bleepingcomputer.com

Indian man stole $37 million in crypto using fake Coinbase Pro site

Fri, 31 May 2024 00:00:14 GMT

An Indian national pleaded guilty to wire fraud conspiracy for stealing over $37 million through a fake Coinbase website used to steal credentials.

Chirag Tomar, 30, was arrested at the Atlanta airport on December 20, 2023, following investigations by the U.S. Secret Service with assistance from the FBI in Nashville.

Stealing Coinbase credentials

Tomar and his co-conspirators created a fake website to mimic the Coinbase Pro website in June 2021 using the "coinbasepro.com" domain.

The site was created to trick legitimate Coinbase customers into entering their login credentials and two-factor authentication codes, thinking it was the actual site.

Coinbase Pro is a now-defunct platform designed for professional cryptocurrency traders and investors, offering advanced features like real-time order books and detailed charting.

The platform was eventually shut down on November 9, 2022, with its functionality and features being integrated into the main Coinbase platform in a consolidation move by the service.

During that time, Tomar engaged in phishing Coinbase accounts, assuming control of other people's cryptocurrency wallets and then transferring their funds onto wallets under his control.

The phishing process involved social engineering, with a fake login error prompting the victims to call a supposed Coinbase representative, who then breached the victim's computer using remote access software.

"Other times, victims were tricked into allowing fake Coinbase representatives into executing remote desktop software, which enabled fraudsters to gain control of victims' computers and access their legitimate Coinbase accounts," reads the DOJ's announcement.

"The fraudsters also impersonated Coinbase customer service representatives and tricked the users into providing their two-factor authentication codes to the fraudsters over the phone."

One case highlighted in the U.S. Department of Justice announcement involves a North Carolina-based victim losing $240,000 worth of digital assets to Tomar and his co-conspirators.

"As Tomar admitted in court today, Tomar controlled several cryptocurrency wallets that received hundreds of transactions of cryptocurrency stolen from victim accounts at Coinbase, totaling tens of millions of dollars," the Department of Justice describes.

"After Tomar received the stolen cryptocurrency, he would quickly convert it to other forms of cryptocurrency or move the funds amongst many wallets controlled by Tomar and others."

"Ultimately, the cryptocurrency was converted into cash which was then distributed to Tomar and his co-conspirators."

Tomar used the stolen funds to support a lavish lifestyle, purchasing luxury items such as Rolex watches, Lamborghinis, and Porsches and trips to Dubai and Thailand.

The fraudster now faces a maximum prison sentence of 20 years and a fine of $250,000. The dates of the next hearings and sentencing have yet to be determined.

Source: bleepingcomputer.com

Một công dân Ấn Độ đã đánh cắp 37 triệu đô la tiền điện tử bằng cách sử dụng trang Coinbase Pro giả mạo

Thu, 30 May 2024 05:00:00 GMT

Một công dân Ấn Độ đã nhận tội âm mưu lừa đảo để đánh cắp hơn 37 triệu đô la thông qua trang web Coinbase giả được sử dụng để đánh cắp thông tin xác thực.

Chirag Tomar, 30 tuổi bị bắt tại sân bay Atlanta vào ngày 20 tháng 12 năm 2023, sau cuộc điều tra của Cơ quan Mật vụ Hoa Kỳ với sự hỗ trợ của FBI ở Nashville.

Ăn cắp thông tin đăng nhập của Coinbase

Tomar và những kẻ đồng mưu đã tạo một trang web giả mạo để bắt chước trang web Coinbase Pro vào tháng 6 năm 2021 bằng cách sử dụng miền "coinbasepro.com".

Trang web này được tạo ra để lừa khách hàng của Coinbase nhập thông tin đăng nhập và mã xác thực hai yếu tố của họ, vì họ nghĩ rằng đó là trang web thực tế.

Coinbase Pro là một nền tảng hiện không còn tồn tại được thiết kế dành cho các nhà đầu tư và nhà giao dịch tiền điện tử chuyên nghiệp, cung cấp các tính năng nâng cao như sổ đặt hàng theo thời gian thực và biểu đồ chi tiết.

Nền tảng này đã ngừng hoạt động vào ngày 9 tháng 11 năm 2022, với chức năng và tính năng của nó được tích hợp vào nền tảng Coinbase chính để hợp nhất của dịch vụ.

Trong thời gian đó, Tomar đã tham gia lừa đảo các tài khoản Coinbase, chiếm quyền kiểm soát ví tiền điện tử của người khác và sau đó chuyển tiền của họ vào ví dưới sự kiểm soát của anh ta.

Quá trình lừa đảo liên quan đến tấn công phi kỹ thuật (social engineering), với lỗi đăng nhập giả mạo khiến nạn nhân phải gọi cho đại diện được cho là của Coinbase, người này sau đó đã xâm nhập vào máy tính của nạn nhân bằng phần mềm truy cập từ xa.

Thông báo của DOJ cho biết: “Những lần khác, nạn nhân bị lừa cho phép các đại diện Coinbase giả mạo thực thi phần mềm máy tính từ xa, cho phép những kẻ lừa đảo giành quyền kiểm soát máy tính của nạn nhân và truy cập vào tài khoản Coinbase hợp pháp của họ”.

“Những kẻ lừa đảo cũng mạo danh đại diện dịch vụ khách hàng của Coinbase và lừa người dùng cung cấp mã xác thực hai yếu tố của họ cho những kẻ lừa đảo qua điện thoại.”

Một trường hợp được nêu trong thông báo của Bộ Tư pháp Hoa Kỳ liên quan đến việc một nạn nhân ở Bắc Carolina mất tài sản kỹ thuật số trị giá 240.000 USD vào tay Tomar và đồng phạm của anh ta.

Bộ Tư pháp mô tả: “Như Tomar đã thừa nhận trước tòa ngày hôm nay, Tomar đã kiểm soát một số ví tiền điện tử đã nhận hàng trăm giao dịch tiền điện tử bị đánh cắp từ tài khoản nạn nhân tại Coinbase, với tổng trị giá hàng chục triệu đô la”.

“Sau khi Tomar nhận được tiền điện tử bị đánh cắp, anh ấy sẽ nhanh chóng chuyển đổi sang các dạng tiền điện tử khác hoặc chuyển tiền giữa nhiều ví do Tomar và những người khác kiểm soát.”

“Cuối cùng, tiền điện tử đã được chuyển đổi thành tiền mặt và thuộc về Tomar và những người đồng phạm của anh ta.”

Tomar đã sử dụng số tiền đánh cắp được cho lối sống xa hoa, mua những món đồ xa xỉ như đồng hồ Rolex, Lamborghini và Porsche cũng như các chuyến đi tới Dubai và Thái Lan.

Kẻ lừa đảo hiện phải đối mặt với mức án tù tối đa là 20 năm và phạt tiền 250.000 USD. Ngày xét xử và tuyên án tiếp theo vẫn chưa được xác định.

Nguồn: bleepingcomputer.com

Microsoft spots gift card thieves using cyber-espionage tactics

Thu, 30 May 2024 00:00:00 GMT

Microsoft has published a "Cyber Signals" report sharing new information about the hacking group Storm-0539 and a sharp rise in gift card theft as we approach the Memorial Day holiday in the United States.

The FBI previously warned about Storm-0539's (aka "Ant Lion") activities earlier this month, highlighting the threat group's advanced techniques in conducting gift card theft and fraud, stating that their tactics resemble state-sponsored hackers and sophisticated cyberespionage actors.

Microsoft warns that the threat actors increase their activity before a major holiday, seeing a 60% increase in Storm-0539 activity during last year's winter holidays (Christmas) and a notable 30% rise between March and May 2024.

In the newly released Cyber Signals report, Microsoft corroborates that the threat actors target organizations that issue gift cards rather than end users, while also revealing large-scale abuse of cloud service providers for low-cost operations.

Storm-0539 profile and modus operandi

Storm-0539 is a Moroccan financially motivated threat group active since 2021, primarily focusing on gift card and payment card fraud.

The threat actors are notorious for their reconnaissance efforts and custom-crafted email and SMS phishing messages, which target employees of targeted organizations, typically gift card issuers.

SMS phishing sent to targets
Source: Microsoft

Once they gain access to the target environment using stolen accounts, they register their own devices with the company's multi-factor authentication (MFA) platforms for persistence and then move laterally by compromising virtual machines, VPNs, SharePoint, OneDrive, Salesforce, and Citrix environments.

Intrusion lifecycle
Source: Microsoft

Eventually, Storm-0539 gets access to credentials that allow them to create new gift cards to redeem on dark web markets, in stores, or by cashing them out using money mules.

"Typically, organizations set a limit on the cash value that can be issued to an individual gift card. For example, if that limit is $100,000, the threat actor will issue a card for $99,000 then send themselves the gift card code and monetize them," explains Microsoft's Cyber Signals report.

"Their primary motivation is to steal gift cards and profit by selling them online at a discounted rate."

"We've seen some examples where the threat actor has stolen up to $100,000 a day at certain companies."

To create new infrastructure for their attacks, the threat actors create websites impersonating non-profit organizations, which are used to sign up with cloud service providers. These accounts join "pay as you go" or "free trial" tiers, which they abuse in large-scale operations for little to no cost.

"Storm-0539's reconnaissance and ability to leverage cloud environments are similar to what Microsoft observes from state-sponsored threat actors, showing how techniques popularized by espionage and geopolitical-focused adversaries are now influencing financially motivated criminals," explains Microsoft.

Overview of Storm-0539 attack chain
Source: Microsoft

Defense recommendations

Microsoft suggests that gift card issuing portal operators constantly monitor for anomalies and implement conditional access policies that would prevent a single, potentially hijacked account from generating an unusually large number of cards.

Additionally, organizations are advised to implement token replay protection measures, enforce least privilege access, and use FIDO2 security keys to protect high-risk accounts.

Merchants can also play a crucial role in disrupting the profit chain for Storm-0539 and similar threat actors by recognizing and rejecting orders that carry suspicious signs.

Although these attacks do not impact holiday shoppers, internet users preparing for Memorial Day should maintain elevated caution against scams, fake shops, and malvertising.

Source: bleepingcomputer.com

Microsoft phát hiện kẻ trộm thẻ quà tặng bằng chiến thuật gián điệp mạng

Wed, 29 May 2024 05:00:00 GMT

Microsoft đã ra thông báo "Cyber Signals" chia sẻ thông tin mới về nhóm hack Storm-0539 và sự gia tăng mạnh mẽ nạn trộm thẻ quà tặng khi chúng ta sắp đến kỳ nghỉ Lễ Tưởng niệm ở Hoa Kỳ.

FBI trước đó đã cảnh báo về các hoạt động của Storm-0539 (còn gọi là "Ant Lion") vào đầu tháng này, nêu rõ các kỹ thuật tiên tiến của nhóm đe dọa này trong việc thực hiện hành vi trộm cắp và lừa đảo thẻ quà tặng, đồng thời cũng cho biết chiến thuật của họ giống với các tin tặc được nhà nước bảo trợ và các tác nhân gián điệp mạng tinh vi.

Microsoft cảnh báo rằng các tác nhân đe dọa sẽ tăng cường hoạt động trước kỳ nghỉ lễ lớn, chứng kiến hoạt động của Storm-0539 tăng 60% trong kỳ nghỉ đông năm ngoái (Giáng sinh) và mức tăng đáng chú ý là 30% trong khoảng thời gian từ tháng 3 đến tháng 5 năm 2024.

Trong báo cáo Cyber Signals mới phát hành, Microsoft chứng thực rằng các tác nhân đe dọa nhắm mục tiêu vào các tổ chức phát hành thẻ quà tặng thay vì người dùng cuối, đồng thời tiết lộ việc lạm dụng quy mô lớn các nhà cung cấp dịch vụ đám mây cho các hoạt động chi phí thấp.

Hồ sơ và phương thức hoạt động của Storm-0539

Storm-0539 là nhóm đe dọa có động cơ tài chính ở Maroc hoạt động từ năm 2021, chủ yếu tập trung vào các hoạt động gian lận thẻ quà tặng và thẻ thanh toán.

Các tác nhân đe dọa nổi tiếng với việc trinh sát và các tin nhắn lừa đảo qua email và SMS được tạo tùy chỉnh, nhắm mục tiêu vào nhân viên của các tổ chức mục tiêu, điển hình là các tổ chức phát hành thẻ quà tặng.

Lừa đảo qua SMS được gửi tới nạn nhân

Nguồn: Microsoft

Sau khi giành được quyền truy cập vào môi trường mục tiêu bằng các tài khoản bị đánh cắp, chúng sẽ đăng ký thiết bị của riêng mình với nền tảng xác thực đa yếu tố (MFA) của công ty để duy trì và sau đó di chuyển ngang bằng cách xâm phạm các máy ảo, VPN, SharePoint, OneDrive, Salesforce và Citrix.

Quá trình xâm nhập

Nguồn: Microsoft

Cuối cùng Storm-0539 đã có quyền truy cập vào thông tin xác thực cho phép tạo thẻ quà tặng mới để đổi trên các thị trường web đen, trong cửa hàng hoặc bằng cách đổi tiền bằng cách sử dụng con la tiền (money mule).

"Thông thường, các tổ chức đặt giới hạn về giá trị tiền mặt có thể được cấp cho một thẻ quà tặng riêng lẻ. Ví dụ: nếu giới hạn đó là 100.000 USD, kẻ đe dọa sẽ phát hành một thẻ có giá 99.000 USD sau đó tự gửi mã thẻ quà tặng và kiếm tiền từ chúng, " giải thích về báo cáo Tín hiệu mạng của Microsoft.

“Động cơ chính của chúng là đánh cắp thẻ quà tặng và kiếm lợi nhuận bằng cách bán chúng trực tuyến với mức giá chiết khấu.”

“Chúng tôi đã thấy một số ví dụ trong đó kẻ đe dọa đã đánh cắp tới 100.000 USD mỗi ngày tại một số công ty.”

Để tạo cơ sở hạ tầng mới cho các cuộc tấn công của mình, kẻ tấn công tạo ra các trang web mạo danh các tổ chức phi lợi nhuận, được sử dụng để đăng ký với các nhà cung cấp dịch vụ đám mây. Những tài khoản này tham gia các cấp độ "trả tiền khi bạn sử dụng" hoặc "dùng thử miễn phí", chúng lạm dụng các cấp độ này trong các hoạt động quy mô lớn với chi phí thấp hoặc miễn phí.

Microsoft giải thích: “Khả năng trinh sát và tận dụng môi trường đám mây của Storm-0539 tương tự như những gì Microsoft quan sát được từ các tác nhân đe dọa do nhà nước bảo trợ, cho thấy các kỹ thuật được phổ biến bởi các đối thủ tập trung vào hoạt động gián điệp và địa chính trị hiện đang ảnh hưởng đến bọn tội phạm có động cơ tài chính”.

Tổng quan về chuỗi tấn công Storm-0539

Nguồn: Microsoft

Khuyến nghị phòng thủ

Microsoft gợi ý rằng các nhà điều hành cổng phát hành thẻ quà tặng nên liên tục theo dõi những điểm bất thường và triển khai các chính sách truy cập có điều kiện nhằm ngăn chặn một tài khoản có khả năng bị chiếm đoạt tạo ra số lượng thẻ lớn bất thường.

Ngoài ra, các tổ chức nên triển khai các biện pháp bảo vệ việc phát lại mã thông báo, thực thi quyền truy cập đặc quyền tối thiểu và sử dụng khóa bảo mật FIDO2 để bảo vệ các tài khoản có rủi ro cao.

Người bán cũng đóng một vai trò quan trọng trong việc phá vỡ chuỗi lợi nhuận của Storm-0539 và các tác nhân đe dọa tương tự bằng cách nhận ra và từ chối các đơn đặt hàng có dấu hiệu đáng ngờ.

Mặc dù các cuộc tấn công này không ảnh hưởng đến người mua sắm trong dịp lễ, nhưng người dùng Internet chuẩn bị cho Ngày Tưởng niệm nên hết sức thận trọng trước các hành vi lừa đảo, cửa hàng giả mạo và quảng cáo độc hại.

Nguồn: bleepingcomputer.com

Apple wasn’t storing deleted iOS photos in iCloud after all

Wed, 29 May 2024 00:00:00 GMT

Security researchers reverse-engineered Apple's recent iOS 17.5.1 update and found that a recent bug that restored images deleted months or even years ago was caused by an iOS bug and not an issue with iCloud.

Despite widespread reports from users and tech outlets confirming the alarming issue, Apple remained silent about the root cause, failing to address people's valid concerns.

On May 23's report can now ease people's concern that Apple was indefinitely storing media users deleted a long time ago, which would have been a massive breach of privacy.

Apple fixed the bug in iOS 17.5.1, which was released on May 20.

Reappearing images

Since the release of the public beta of iOS 17.5, iPhone users reported the unexpected re-appearance of deleted images on their devices. This bug made it into the final release, reaching a much broader user base and resulting in numerous reports of this problem on Reddit.

"I have four pics from 2010 that keep reappearing as the latest pics uploaded to iCloud. I have deleted them repeatedly," a user said in the Reddit thread.

"Same happened here photo from September 2022 just appeared out of nowhere in recents section in photos app , weird," reported another user.

Since the restored photos were a lot older than the 30 days iOS's "Recently Deleted" system is set to keep files for, it quickly became clear that something else was happening.

To make matters worse, Apple's silence left room for speculation, with some thinking Apple wasn't being transparent in their data policies to images not being properly deleted from memory.

Researchers give the answer

Analysts at Synactiv reverse-engineered the iOS 17.5.1 update that addressed the problem, examining the IPSW files and comparing the DYLD shared caches of the two versions to find changes.

Through this process, Synactiv identified significant changes in the 'PhotoLibraryServices,' specifically the 'PLModelMigrationActionRegistration_17000' function.

Diff output of the function with changes highlighted
Source: Synactiv

Apple removed a routine in the function responsible for scanning and re-importing photos from the filesystem, which caused it to reindex old files on the local file system and add them back to people's galleries.

"Based on this code, we can say that the photos that reappeared were still lying around on the filesystems and that they were just found by the migration routine added in iOS 17.5," explained Synactiv.

"The reason why those files were there in the first place is unknown."

Although this finding reassures users that Apple isn't storing their deleted files on the cloud and "accidentally restoring" them one day, it also acts as a reminder that deleted files can persist in memory until the blocks are overwritten with new data.

BleepingComputer contacted Apple multiple times regarding the photo-restoration bug and again to validate Synactiv's findings but have yet to receive a response.

Source: bleepingcomputer.com

Apple đã không lưu trữ ảnh iOS đã xóa trong iCloud

Tue, 28 May 2024 05:00:04 GMT

Các nhà nghiên cứu bảo mật đã thiết kế ngược bản cập nhật iOS 17.5.1 gần đây của Apple và phát hiện ra rằng lỗi gần đây khôi phục hình ảnh đã bị xóa vài tháng hoặc thậm chí nhiều năm trước là do lỗi iOS chứ không phải do sự cố với iCloud.

Mặc dù thông tin được lan truyền rộng rãi từ người dùng và các cơ quan công nghệ xác nhận vấn đề đáng báo động, Apple vẫn im lặng về nguyên nhân cốt lõi và không giải quyết được những lo ngại chính đáng của người dân.

Vì vậy thông báo ngày 23 tháng 5 có thể xoa dịu mối lo ngại của mọi người về việc Apple đã lưu trữ vô thời hạn các phương tiện mà người dùng đã xóa từ lâu, điều này có thể là một hành vi vi phạm quyền riêng tư nghiêm trọng.

Apple đã sửa lỗi trong iOS 17.5.1, được phát hành ngày 20 tháng 5.

Hình ảnh đã bị xóa được khôi phục lại

Kể từ khi phát hành bản beta công khai của iOS 17.5, người dùng iPhone đã báo cáo sự xuất hiện bất ngờ của các hình ảnh đã xóa trên thiết bị của họ. Lỗi này đã được đưa vào bản phát hành cuối cùng nên khả năng tiếp cận người dùng rộng hơn nhiều và dẫn đến nhiều báo cáo về sự cố này trên Reddit.

Một người dùng cho biết trên Reddit: “Tôi có bốn bức ảnh từ năm 2010 liên tục xuất hiện lại khi những bức ảnh mới nhất được tải lên iCloud. Tôi đã xóa chúng nhiều lần”.

Một người dùng khác cho biết: “Điều tương tự cũng xảy ra ở đây, bức ảnh từ tháng 9 năm 2022 đột nhiên xuất hiện trong phần gần đây của ứng dụng ảnh, việc này thật kỳ lạ”.

Vì những bức ảnh được khôi phục cũ hơn rất nhiều so với thời hạn 30 ngày mà hệ thống "Đã xóa gần đây" của iOS được đặt để lưu giữ các tệp nên chúng tôi nhanh chóng nhận ra rằng có điều gì đó khác đang xảy ra.

Tệ hơn nữa, sự im lặng của Apple đã gây ra nhiều suy đoán và một số người cho rằng Apple đã không minh bạch trong chính sách dữ liệu của họ đối với việc hình ảnh không được xóa khỏi bộ nhớ đúng cách.

Các nhà nghiên cứu đưa ra câu trả lời

Các nhà phân tích tại Synactiv đã thiết kế ngược bản cập nhật iOS 17.5.1 để giải quyết vấn đề, kiểm tra các tệp IPSW và so sánh bộ nhớ đệm chia sẻ DYLD của hai phiên bản để tìm ra những thay đổi.

Thông qua quá trình này, Synactiv đã xác định những thay đổi đáng kể trong 'PhotoLibraryServices', cụ thể là chức năng 'PLModelMigrationActionRegistration_17000'.

Những thay đổi đầu ra khác biệt của hàm được highlight

Nguồn: Synactiv

Apple đã loại bỏ quy trình của chức năng chịu trách nhiệm quét và nhập lại ảnh từ hệ thống tệp, điều này khiến lập lại các tệp cũ trên hệ thống tệp cục bộ và thêm trở lại thư viện của mọi người.

Synactiv giải thích: “Dựa trên mã này, chúng tôi có thể nói rằng những bức ảnh xuất hiện lại vẫn còn nằm trên hệ thống tệp và chúng chỉ được tìm thấy bằng quy trình chuyển động được thêm vào trong iOS 17.5”.

"Lý do tại sao những tập tin đó lại ở đó ngay từ đầu vẫn chưa được biết."

Mặc dù phát hiện này trấn an người dùng rằng Apple không lưu trữ các tệp đã xóa của họ trên đám mây và một ngày nào đó "vô tình khôi phục" chúng, nhưng cũng đóng vai trò như một lời nhắc nhở rằng các tệp đã xóa có thể tồn tại trong bộ nhớ cho đến khi các khối được ghi đè bằng dữ liệu mới.

BleepingComputer đã liên hệ với Apple nhiều lần về lỗi khôi phục ảnh và một lần nữa để xác thực phát hiện của Synactiv nhưng vẫn chưa nhận được phản hồi.

Nguồn: bleepingcomputer.com

Northern Ireland police faces £750k fine after exposing staff info

Tue, 28 May 2024 00:00:00 GMT

The United Kingdom's Information Commissioner Office (ICO) intends to impose a fine of £750,000 ($954,000) on the Police Service of Northern Ireland (PSNI) for exposing the entire workforce's personal details by mistakenly publishing a spreadsheet online.

PSNI disclosed the incident on August 8, 2023, when the police force warned that a mistake occurred during a response to a Freedom of Information (FOI) Request, exposing the following data about 9,483 active officers and staff:

Surnames
Initials
Ranks
Roles
Locations

According to the ICO's assessment, the incident put exposed individuals at grave physical risk, resulted from poor data security from PSNI, and was deemed entirely preventable.

"We have announced we intend to fine the Police Service of Northern Ireland (PSNI) £750,000 for failing to protect the personal information of its entire workforce." reads the announcement.

"The proposed fine relates to an incident where personal information – including surname, initials, rank, and role of all 9,483 serving PSNI officers and staff – was included in a "hidden" tab of a spreadsheet published online in response to a freedom of information request."

"Our investigation has provisionally found the PSNI's internal procedures and sign-off protocols for the safe disclosure of information were inadequate."

ICO's investigation into the incident revealed that many were forced to move to new physical addresses, cut off communication and relations with family members to protect them from potential harm, and completely alter their daily routines.

The Commissioner noted that the proposed fine on PSNI is set much lower than the nominal provisional figure, which is £5.6 million ($7.1 million), taking into consideration that PSNI is a public organization that operates on a finite budget, providing crucial services to the community.

The ICO has also served PSNI a preliminary enforcement notice requiring the implementation of data security improvements in the handling process of FOI requests.

PSNI's response to ICO's action was positive, accepting the penalty and assuring that they are taking steps to implement all of the recommended changes.

The police force noted that throughout this time, they have supported their staff with crime prevention advice, online tools, and home visits. At the same time, 90% of the exposed offices and staff also accepted a reimbursement of £500 ($635) in December 2023.

The investigation into who holds the leaked data continues, with detectives conducting numerous searches and arrests related to the unlawful dissemination of the stolen data set.

Source: bleepingcomputer.com

Microsoft to start killing off VBScript in second half of 2024

Mon, 27 May 2024 00:00:00 GMT

Microsoft announced on May 22 that it will start deprecating VBScript in the second half of 2024 by making it an on-demand feature until it's completely removed.

Features on Demand (FODs) are optional Windows features (e.g., .NET Framework (.NetFx3), Hyper-V, Windows Subsystem for Linux) that aren't installed by default but can be added if needed.

"Technology has advanced over the years, giving rise to more powerful and versatile scripting languages such as JavaScript and PowerShell. These languages offer broader capabilities and are better suited for modern web development and automation tasks," said Microsoft program manager Naveen Shankar.

"Beginning with the new OS release slated for later this year, VBScript will be available as features on demand (FODs). The feature will be completely retired from future Windows OS releases, as we transition to the more efficient PowerShell experiences," said Microsoft program manager Naveen Shankar.

Microsoft's deprecation plan consists of three phases. The first phase will begin in the second half of 2024, with VBScript enabled by default as an optional feature in Windows 11 24H2.

During the second phase, which will start around 2027, VBScript will still be available as an on-demand feature but will no longer be pre-installed.

VBScript will be retired and eliminated from future versions of Windows as part of phase three of the deprecation process.

As a result, all VBScript dynamic link libraries (.dll files) will be removed, and projects that use VBScript will stop functioning.

VBScript deprecation timeline (Microsoft)

The company first revealed in October that it would kill off VBScript (also known as Visual Basic Script or Microsoft Visual Basic Scripting Edition) in Windows after 30 years of availability as a system component.

This programming language comes bundled with Internet Explorer (disabled on some Windows 10 versions in February 2023) and helps automate tasks and control applications using Windows Script.

Microsoft disabled VBScript by default in Internet Explorer 11 on Windows 10 with the July 2019 Patch Tuesday cumulative updates.

This move is part of a broader strategy to remove Windows and Office features threat actors use as attack vectors to infect users with malware.

Attackers have also used VBScript in malware campaigns, delivering strains like Lokibot, Emotet, Qbot, and, more recently, DarkGate malware.

This effort traces back to 2018 when Redmond extended support for its Antimalware Scan Interface (AMSI) to Office 365 client applications, thus curbing attacks that utilized Office VBA macros.

Since then, Microsoft has also disabled Excel 4.0 (XLM) macros, mandated default blocking of VBA Office macros, introduced XLM macro protection, and began blocking untrusted XLL add-ins by default across Microsoft 365 tenants worldwide.

Source: bleepingcomputer.com

Intercontinental Exchange to pay $10M SEC penalty over VPN breach

Sat, 25 May 2024 00:00:00 GMT

The Intercontinental Exchange (ICE) will pay a $10 million penalty to settle charges brought by the U.S. Securities and Exchange Commission (SEC) after failing to ensure its subsidiaries promptly reported an April 2021 VPN security breach.

ICE is an American company listed on the Fortune 500 that owns and operates financial exchanges and clearing houses worldwide, including the New York Stock Exchange (NYSE). In 2023, it employed over 13,000 people and reported a total revenue of $9.903 billion.

As Regulation Systems Compliance and Integrity (Regulation SCI) requires, firms must immediately notify the SEC about security incident intrusions and provide an update within 24 hours unless they determine the impact on their operations or market participants is negligible.

"The respondents subject to Reg SCI failed to notify the SEC of the intrusion at issue as required. Rather, it was Commission staff that contacted the respondents in the process of assessing reports of similar cyber vulnerabilities," the SEC said.

"As alleged in the order, they instead took four days to assess its impact and internally conclude it was a de minimis event. When it comes to cybersecurity, especially events at critical market intermediaries, every second counts and four days can be an eternity."

ICE discovered the incident on April 15, 2021, after a third party informed it of a potential system intrusion linked to an unknown vulnerability in its virtual private network (VPN).

Breached by suspected state hackers

A subsequent investigation revealed that a threat actor deployed a malicious payload on a compromised VPN device used for remote access to its corporate network.

"Sophisticated threat actors, believed to be nation-state actors, installed a webshell code onto a compromised VPN device in an attempt to harvest information passing through that device, including employee name, password, and multi-factor authentication codes. This data could allow the threat actor to access internal corporate networks," the SEC's order reveals.

However, ICE's security team was able to determine that the attacker's access was limited to a single compromised VPN device, even though it found evidence that the threat actor was able to exfiltrate "VPN configuration data and certain ICE user meta-data."

The SEC says that ICE staff did not notify the legal and compliance officials at the company's subsidiaries about this VPN security breach for several days, violating both Reg SCI rules and ICE's own internal cyber incident reporting procedures. As a result of this failure, ICE subsidiaries failed to assess the intrusion properly and did not meet their Reg SCI disclosure obligations.

ICE and its subsidiaries consented to the SEC's order, acknowledging that the subsidiaries violated the notification provisions of Regulation SCI and that ICE caused these violations.

Without admitting or denying the SEC's findings, ICE and its subsidiaries also agreed to a cease-and-desist order requiring them to stop violating Reg SCI rules and to pay a $10 million civil money penalty.

Source: bleepingcomputer.com

Cảnh sát Bắc Ireland đối mặt với mức phạt 750 nghìn bảng sau khi tiết lộ thông tin nhân viên

Fri, 24 May 2024 07:18:22 GMT

Văn phòng Ủy viên Thông tin (ICO) của Vương quốc Anh dự định xử phạt Sở Cảnh sát Bắc Ireland (PSNI) với mức phạt 750.000 bảng Anh (954.000 USD) vì đã tiết lộ toàn bộ thông tin cá nhân của lực lượng lao động bằng cách xuất nhầm một bảng tính trực tuyến.

PSNI tiết lộ vụ việc vào ngày 8 tháng 8 năm 2023, khi lực lượng cảnh sát cảnh báo đã xảy ra sai sót trong quá trình phản hồi Freedom of Information (FOI), làm lộ dữ liệu của 9.483 sĩ quan và nhân viên đang tại ngũ:

Họ
Tên viết tắt
Cấp bậc
Vai trò
Địa chỉ

Theo đánh giá của ICO, vụ việc khiến các cá nhân bị lộ thông tin gặp rủi ro nghiêm trọng về thể chất, do bảo mật dữ liệu kém từ PSNI và được coi là hoàn toàn có thể phòng ngừa được.

“Chúng tôi đã thông báo dự kiến phạt Cơ quan Cảnh sát Bắc Ireland (PSNI) 750.000 bảng vì không bảo vệ thông tin cá nhân của toàn bộ lực lượng lao động của mình.” thông báo cho biết.

"Mức phạt được đề xuất liên quan đến sự cố mà thông tin cá nhân - bao gồm họ, tên viết tắt, cấp bậc và vai trò của tất cả 9.483 quan chức và nhân viên PSNI đang phục vụ - được đưa vào tab "ẩn" của bảng tính được xuất trực tuyến để lộ quyền tự do thông tin."

"Cuộc điều tra của chúng tôi tạm thời phát hiện ra các thủ tục nội bộ và giao thức phê duyệt của PSNI để tiết lộ thông tin một cách an toàn là không đầy đủ." - thông báo cho biết.

Cuộc điều tra của ICO về vụ việc cho thấy nhiều người buộc phải chuyển đến địa chỉ mới, cắt đứt liên lạc và quan hệ với các thành viên trong gia đình để bảo vệ họ khỏi những nguy hiểm có thể xảy ra và điều này làm thay đổi hoàn toàn thói quen hàng ngày của họ.

Ủy viên lưu ý rằng mức phạt đề xuất đối với PSNI được đặt thấp hơn nhiều so với con số tạm thời là 5,6 triệu bảng Anh (7,1 triệu USD), vì PSNI là một tổ chức công hoạt động với ngân sách hữu hạn, cung cấp các dịch vụ quan trọng cho cộng đồng.

ICO cũng đã gửi cho PSNI một thông báo thực thi sơ bộ yêu cầu thực hiện các cải tiến về bảo mật dữ liệu trong quá trình xử lý các yêu cầu FOI.

PSNI chấp nhận quyết định của ICO cũng như đồng ý hình phạt và đảm bảo họ đang thực hiện các bước để thực hiện tất cả các thay đổi được đề xuất.

Lực lượng cảnh sát lưu ý rằng trong suốt thời gian này, họ đã hỗ trợ nhân viên của mình lời khuyên phòng chống tội phạm, các công cụ trực tuyến và các chuyến thăm nhà. Đồng thời, 90% văn phòng và nhân viên bị ảnh hưởng cũng chấp nhận khoản hoàn trả trị giá £500 ($635) vào tháng 12 năm 2023.

Cuộc điều tra xem ai là người đang nắm giữ dữ liệu bị rò rỉ vẫn tiếp tục được thực hiện do các thám tử tiến hành nhiều cuộc tìm kiếm và bắt giữ liên quan đến việc phổ biến trái phép tập dữ liệu bị đánh cắp.

Nguồn: bleepingcomputer.com

Sàn giao dịch liên lục địa phải trả 10 triệu USD tiền phạt SEC vì vi phạm bảo mật VPN

Fri, 24 May 2024 05:00:00 GMT

Sàn giao dịch liên lục địa (ICE) sẽ phải trả khoản phạt 10 triệu USD để giải quyết các khoản phí do Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC) đưa ra sau khi không đảm bảo các công ty con của mình đã báo cáo kịp thời vi phạm bảo mật VPN vào tháng 4 năm 2021.

ICE là một công ty của Mỹ được niêm yết trên Fortune 500, sở hữu và điều hành các sàn giao dịch tài chính và thanh toán bù trừ trên toàn thế giới, bao gồm Sở giao dịch chứng khoán New York (NYSE). Vào năm 2023, công ty có hơn 13.000 nhân viên và báo cáo tổng doanh thu là 9,903 tỷ USD.

Theo yêu cầu trong Tuân thủ và Tính toàn vẹn của Hệ thống Quy định (Quy định SCI), các công ty phải thông báo ngay cho SEC về các hành vi xâm nhập sự cố bảo mật và cung cấp thông tin cập nhật trong vòng 24 giờ trừ khi họ xác định rằng tác động đến hoạt động của họ hoặc những người tham gia thị trường là không đáng kể.

SEC cho biết: “Những người được hỏi đã không thông báo cho SEC về vụ xâm nhập đang được đề cập theo yêu cầu. Thay vào đó, chính nhân viên của Ủy ban đã liên hệ với những người được hỏi trong quá trình đánh giá các báo cáo về các lỗ hổng mạng tương tự”.

“Họ đã không làm theo quy định, thay vào đó họ mất bốn ngày để đánh giá tác động của nó và kết luận nội bộ rằng đây chỉ là một sự kiện tối thiểu. Khi nói đến an ninh mạng, đặc biệt là các sự kiện tại các trung gian thị trường quan trọng, mỗi giây đều có giá trị và bốn ngày là quá nhiều. "

ICE phát hiện ra vụ việc vào ngày 15 tháng 4 năm 2021, sau khi bên thứ ba thông báo cho họ về khả năng xâm nhập hệ thống có liên quan đến một lỗ hổng không xác định trong mạng riêng ảo (VPN) của họ.

Cuộc tấn công bị nghi ngờ tấn công do tin tặc nhà nước thực hiện

Một cuộc điều tra tiếp theo đã tiết lộ rằng kẻ đe dọa đã triển khai payload độc hại trên một thiết bị VPN bị xâm nhập được sử dụng để truy cập từ xa vào mạng công ty.

“Các tác nhân đe dọa tinh vi được cho là các tác nhân quốc gia, đã cài đặt mã webshell vào thiết bị VPN bị xâm nhập nhằm cố gắng thu thập thông tin truyền qua thiết bị đó, bao gồm tên nhân viên, mật khẩu và mã xác thực đa yếu tố. Dữ liệu này có thể cho phép tác nhân đe dọa truy cập vào mạng nội bộ của công ty”, lệnh của SEC tiết lộ

Tuy nhiên, đội ngũ bảo mật của ICE có thể xác định rằng quyền truy cập của kẻ tấn công bị giới hạn ở một thiết bị VPN bị xâm nhập, mặc dù họ tìm thấy bằng chứng cho thấy tác nhân đe dọa có thể lấy cắp “dữ liệu cấu hình VPN và một số siêu dữ liệu người dùng ICE nhất định”.

SEC cho biết nhân viên ICE đã không thông báo cho các quan chức pháp lý và tuân thủ tại các công ty con của công ty về vi phạm bảo mật VPN này trong vài ngày, vi phạm cả quy tắc Reg SCI và quy trình báo cáo sự cố mạng nội bộ của ICE. Do thất bại này, các công ty con của ICE đã không đánh giá đúng hành vi xâm nhập và không đáp ứng nghĩa vụ tiết lộ Reg SCI của họ.

ICE và các công ty con đã đồng ý với lệnh của SEC, thừa nhận rằng các công ty con đã vi phạm các điều khoản thông báo của Quy định SCI và ICE đã gây ra những vi phạm này.

Không thừa nhận hay phủ nhận những phát hiện của SEC, ICE và các công ty con cũng đồng ý với lệnh ngừng hoạt động do vi phạm các quy tắc Reg SCI và nộp phạt tiền dân sự 10 triệu USD.

Nguồn: bleepingcomputer.com

Microsoft bắt đầu khai tử VBScript vào nửa cuối năm 2024

Fri, 24 May 2024 05:00:00 GMT

Ngày 22 tháng 5, Microsoft đã thông báo sẽ bắt đầu ngừng sử dụng VBScript vào nửa cuối năm 2024 bằng cách biến nó thành một Features on Demand (FOD) cho đến khi bị loại bỏ hoàn toàn.

Features on Demand (FOD) là các tính năng tùy chọn của Windows (ví dụ: .NET Framework (.NetFx3), Hyper-V, Hệ thống con Windows cho Linux) không được cài đặt theo mặc định nhưng có thể được thêm vào nếu cần.

Giám đốc chương trình Microsoft Naveen Shankar cho biết: "Công nghệ đã tiến bộ qua nhiều năm, tạo ra các ngôn ngữ kịch bản mạnh mẽ và linh hoạt hơn như JavaScript và PowerShell. Những ngôn ngữ này cung cấp khả năng rộng hơn và phù hợp hơn cho các tác vụ tự động hóa và phát triển web hiện đại".

Microsoft cho biết: "Bắt đầu với bản phát hành hệ điều hành mới dự kiến vào cuối năm nay, VBScript sẽ hoạt động dưới dạng các Features on Demand (FOD). Tính năng này sẽ bị loại bỏ hoàn toàn khỏi các bản phát hành hệ điều hành Windows trong tương lai khi chúng tôi chuyển sang trải nghiệm PowerShell hiệu quả hơn" - quản lý chương trình Naveen Shankar cho biết.

Kế hoạch ngừng sử dụng của Microsoft bao gồm ba giai đoạn. Giai đoạn đầu tiên sẽ bắt đầu vào nửa cuối năm 2024, với VBScript được bật theo mặc định dưới dạng tính năng tùy chọn trong Windows 11 24H2.

Giai đoạn thứ hai sẽ bắt đầu vào khoảng năm 2027, VBScript vẫn hoạt động dưới dạng Features on Demand (FOD) nhưng sẽ không được cài đặt sẵn nữa.

VBScript sẽ ngừng hoạt động và bị loại bỏ khỏi các phiên bản Windows trong tương lai là một phần của giai đoạn ba của quá trình ngừng sử dụng. Kết quả là tất cả các thư viện liên kết động VBScript (tệp .dll) sẽ bị xóa và các dự án sử dụng VBScript sẽ ngừng hoạt động.

Timeline ngừng sử dụng VBScript (Microsoft)

Microsoft lần đầu tiên tiết lộ vào tháng 10 rằng họ sẽ loại bỏ VBScript (còn được gọi là Visual Basic Script hoặc Microsoft Visual Basic Scripting Edition) trong Windows sau 30 năm tồn tại như một thành phần hệ thống.

Ngôn ngữ lập trình này đi kèm với Internet Explorer (đã bị tắt trên một số phiên bản Windows 10 vào tháng 2 năm 2023) và giúp tự động hóa các tác vụ cũng như kiểm soát ứng dụng bằng Windows Script.

Microsoft đã tắt VBScript theo mặc định trong Internet Explorer 11 trên Windows 10 với bản cập nhật tích lũy Bản vá thứ ba tháng 7 năm 2019.

Động thái này là một phần trong chiến lược rộng lớn hơn nhằm loại bỏ các tính năng của Windows và Office mà các tác nhân đe dọa sử dụng làm vectơ tấn công để lây nhiễm phần mềm độc hại cho người dùng.

Những kẻ tấn công cũng đã sử dụng VBScript trong các chiến dịch phần mềm độc hại, phát tán các chủng như Lokibot, Emotet, Qbot và gần đây hơn là phần mềm độc hại DarkGate.

Việc này bắt nguồn từ năm 2018 khi Redmond mở rộng hỗ trợ Giao diện quét phần mềm độc hại (AMSI) cho các ứng dụng khách Office 365, nhờ đó hạn chế các cuộc tấn công sử dụng macro Office VBA.

Kể từ đó, Microsoft cũng đã vô hiệu hóa macro Excel 4.0 (XLM), bắt buộc chặn mặc định các macro VBA Office, giới thiệu tính năng bảo vệ macro XLM và bắt đầu chặn các phần bổ trợ XLL không đáng tin cậy theo mặc định trên các đối tượng thuê Microsoft 365 trên toàn thế giới.

Nguồn: bleepingcomputer.com

LastPass is now encrypting URLs in password vaults for better security

Fri, 24 May 2024 00:00:00 GMT

LastPass announced it will start encrypting URLs stored in user vaults for enhanced privacy and protection against data breaches and unauthorized access.

The vendor of the popular password manager also notes that this new security feature is a significant step towards reinforcing its commitment to implementing zero-knowledge architecture in the product, so it's not just to protect data from external threats.

Value of encrypted URLs

When users visit a website, LastPass compares the URL against an entry in the user's password vault to determine if they have stored credentials and then offers to enter them automatically.

LastPass says that due to restrictions in processing power in 2008, when that system was created, its engineers decided to leave those URLs unencrypted, lessening the strain on CPUs and minimizing the software's energy consumption footprint.

With most of the hardware performance constraints of the past now having been lifted, LastPass can now start encrypting/decrypting those URL values on the fly without the user noticing any hiccups in browser performance while enjoying ultimate data security.

LastPass says this is being done to enhance user security and comply with the company's zero-knowledge architecture.

"It is possible for URLs to contain details about the nature of the accounts associated with your stored credentials (e.g., banking, email, social media)," explains Lastpass.

"Encrypting URLs associated with your accounts, just like every other private field in the LastPass vault, will expand our zero-knowledge architecture and enhance customer privacy, while also helping to further mitigate risk by ensuring that URLs related to specific services or accounts saved within their vault remain private."

LastPass' zero-knowledge security operates under the premise that all customer data should be encrypted, and thus inaccessible to LastPass and hackers who may breach its service.

In 2022, LastPass suffered two breaches that ultimately allowed threat actors to steal source code, customer data, and production backups, including encrypted password vaults.

LastPass CEO Karim Toubba said at the time that only customers knew the master password required to decrypt vaults. However, the stolen data included encrypted master passwords, which LastPass warned could be decrypted if they were weak.

The stolen data also included unencrypted URLs associated with password entries, providing valuable insight into which password vaults could be targeted to steal credentials to financial services, like cryptocurrency exchanges.

It was later revealed that threat actors decrypted some of these weaker master passwords and used the stored credentials to breach cryptocurrency exchanges and steal over $4 million in funds.

Rolling out encryption

LastPass says that the encryption of URLs requires them to refactor client and back-end component functionality, a work that is already progressing well.

The first phase of the URL encryption implementation will occur next month (June 2024), automatically encrypting primary URL fields for all existing and new accounts.

During that stage, duplicate and legacy URL fields in the vault will be deleted, while personal and business accounts will receive emails informing them about the changes.

The second phase will occur sometime in the second half of the year when the remaining six URL-related fields stored in LastPass vaults will also be automatically encrypted.

These six values concern the equivalent domain URLs, wildcard URLs, redirect URLs, user-defined custom URLs, URLs stored in user notes, and historical URLs.

Currently, users don't need to take any action, but LastPass will email impacted accounts step-by-step instructions on how they can take advantage when the roll-out starts next month.

Source: bleepingcomputer.com

LastPass hiện đang mã hóa URL trong kho lưu trữ của người dùng để bảo mật tốt hơn

Thu, 23 May 2024 08:46:18 GMT

LastPass thông báo họ sẽ bắt đầu mã hóa các URL được lưu trữ trong kho lưu trữ của người dùng để nâng cao quyền riêng tư và bảo vệ khỏi vi phạm dữ liệu và truy cập trái phép.

Nhà cung cấp trình quản lý mật khẩu phổ biến cũng lưu ý rằng tính năng bảo mật mới này là một bước quan trọng nhằm củng cố cam kết triển khai tính năng mới, do đó nó không chỉ để bảo vệ dữ liệu khỏi các mối đe dọa bên ngoài.

Giá trị của URL được mã hóa

Khi người dùng truy cập một trang web, LastPass so sánh URL với mục nhập trong kho mật khẩu của người dùng để xác định xem họ có lưu trữ thông tin xác thực hay không và sau đó đề nghị nhập thông tin tự động.

Windows 11 24H2 hiện đang được cho Người dùng nội bộ xem trước bản phát hành vì LastPass cho biết do những hạn chế về khả năng xử lý vào năm 2008, khi hệ thống đó được tạo ra, các kỹ sư của họ đã quyết định không mã hóa các URL đó để giảm bớt gánh nặng cho CPU và giảm thiểu mức tiêu thụ năng lượng của phần mềm.

Với hầu hết các hạn chế về hiệu suất phần cứng trước đây đã được dỡ bỏ, giờ đây LastPass có thể bắt đầu mã hóa/giải mã các giá trị URL đó một cách nhanh chóng mà người dùng không nhận thấy bất kỳ trục trặc nào về hiệu suất trình duyệt trong khi vẫn bảo đảm độ bảo mật dữ liệu tối ưu.

LastPass cho biết điều này được thực hiện để tăng cường bảo mật người dùng và tuân thủ kiến trúc không có trong sản phẩm của công ty.

Lastpass giải thích: “Các URL có thể chứa thông tin chi tiết của các tài khoản được liên kết với thông tin xác thực được lưu trữ của người dùng (ví dụ: ngân hàng, email, mạng xã hội)”.

"Mã hóa các URL được liên kết với tài khoản của bạn, giống như mọi trường riêng tư khác trong kho LastPass, sẽ mở rộng tính năng của sản phẩm chúng tôi và nâng cao quyền riêng tư của khách hàng, đồng thời giúp giảm thiểu rủi ro hơn nữa bằng cách đảm bảo rằng các URL liên quan đến các dịch vụ hoặc tài khoản cụ thể được lưu trong tài khoản của họ vẫn được giữ kín."

Tính năng bảo mật của LastPass hoạt động dựa trên tiền đề rằng tất cả dữ liệu của khách hàng phải được mã hóa và do đó LastPass và những tin tặc cố ý tấn công dịch vụ của họ không thể truy cập được.

Năm 2022, LastPass đã gặp phải hai vụ tấn công mà cuối cùng các tác nhân đe dọa đánh cắp mã nguồn, dữ liệu khách hàng và bản sao lưu sản xuất, bao gồm cả kho mật khẩu được mã hóa.

Giám đốc điều hành LastPass Karim Toubba cho biết vào thời điểm đó chỉ có khách hàng mới biết mật khẩu chính cần thiết để giải mã. Tuy nhiên, dữ liệu bị đánh cắp bao gồm mật khẩu chính được mã hóa mà LastPass cảnh báo có thể bị giải mã nếu chúng bảo mật yếu.

Dữ liệu bị đánh cắp cũng bao gồm các URL không được mã hóa liên quan đến các mục nhập mật khẩu, cung cấp thông tin chi tiết có giá trị về những kho mật khẩu nào có thể được nhắm mục tiêu để đánh cắp thông tin xác thực cho các dịch vụ tài chính, như sàn giao dịch tiền điện tử.

Sau đó, thông tin tiết lộ rằng các tác nhân đe dọa đã giải mã một số mật khẩu chính yếu hơn và sử dụng thông tin xác thực được lưu trữ để vi phạm các sàn giao dịch tiền điện tử và đánh cắp hơn 4 triệu đô la tiền.

Triển khai mã hóa

LastPass nói rằng việc mã hóa các URL yêu cầu họ phải cấu trúc lại chức năng của máy khách và thành phần phụ trợ.

Giai đoạn đầu tiên của quá trình triển khai mã hóa URL sẽ diễn ra vào tháng tới (tháng 6 năm 2024), tự động mã hóa các trường URL chính cho tất cả tài khoản hiện có và tài khoản mới.

Trong giai đoạn này, các trường URL trùng lặp và URL cũ trong vault sẽ bị xóa, và tài khoản cá nhân và doanh nghiệp sẽ nhận được email thông báo về những thay đổi.

Giai đoạn thứ hai sẽ diễn ra vào nửa cuối năm khi sáu trường liên quan đến URL còn lại được lưu trữ trong kho LastPass cũng sẽ được mã hóa tự động.

Sáu trường này liên quan đến URL tên miền tương đương (equivalent domain URLs), URL ký tự đại diện (wildcard URLs), URL chuyển hướng (redirect URLs), URL tùy chỉnh do người dùng xác định (user-defined custom URLs), URL được lưu trữ trong ghi chú người dùng (URLs stored in user notes) và URL lịch sử (historical URL).

Hiện tại, người dùng không cần thực hiện bất kỳ hành động nào, LastPass sẽ gửi email hướng dẫn từng bước cho các tài khoản bị ảnh hưởng về cách họ có thể tận dụng khi quá trình triển khai bắt đầu vào tháng tới.

Nguồn: bleepingcomputer.com

Norway recommends replacing SSL VPN to prevent breaches

Thu, 23 May 2024 00:00:00 GMT

The Norwegian National Cyber Security Centre (NCSC) recommends replacing SSLVPN/WebVPN solutions with alternatives due to the repeated exploitation of related vulnerabilities in edge network devices to breach corporate networks.

The organization recommends that the transition be completed by 2025, while organizations subject to the 'Safety Act' or those in critical infrastructure should adopt safer alternatives by the end of 2024.

NCSC's official recommendation for users of Secure Socket Layer Virtual Private Network (SSL VPN/WebVPN) products is to switch to Internet Protocol Security (IPsec) with Internet Key Exchange (IKEv2).

SSL VPN and WebVPN provide secure remote access to a network over the internet using SSL/TLS protocols, securing the connection between the user's device and the VPN server using an "encryption tunnel."

IPsec with IKEv2 secures communications by encrypting and authenticating each packet using a set of periodically refreshed ke.

"The severity of the vulnerabilities and the repeated exploitation of this type of vulnerability by actors means that the NCSC recommends replacing solutions for secure remote access that use SSL/TLS with more secure alternatives. NCSC recommends Internet Protocol Security (IPsec) with Internet Key Exchange (IKEv2)," reads the NCSC announcement.

While the cybersecurity organization admits IPsec with IKEv2 isn't free of flaws, it believes switching to it would significantly reduce the attack surface for secure remote access incidents due to having reduced tolerance for configuration errors compared to SSLVPN.

The proposed implementation measures include:

Reconfiguring existing VPN solutions or replacing them
Migrating all users and systems to the new protocol
Disabling SSLVPN functionality and blocking incoming TLS traffic
Using certificate-based authentication

Where IPsec connections are not possible, the NCSC suggests using 5G broadband instead.

Meanwhile, NCSC has also shared interim measures for organizations whose VPN solutions do not offer the IPsec with IKEv2 option and need time to plan and execute the migration.

These include implementing centralized VPN activity logging, strict geofencing restrictions, and blocking access from VPN providers, Tor exit nodes, and VPS providers.

Other countries have also recommended using IPsec over other protocols, including the USA and the UK.

An abundance of exploited SSLVPN flaws

Unlike IPsec, which is an open standard that most companies follow, SSLVPN does not have a standard, causing network device manufacturers to create their own implementation of the protocol.

However, this has led to numerous bugs discovered over the years in SSL VPN implementations from Cisco, Fortinet, and SonicWall that hackers actively exploit to breach networks.

As an example, Fortinet revealed in February that the Chinese Volt Typhoon hacking group exploited two FortiOS SSL VPN flaws to breach organizations, including a Dutch military network.

In 2023, the Akira and LockBit ransomware operations exploited an SSL VPN zero-day in Cisco ASA routers to breach corporate networks, steal data, and encrypt devices.

Earlier that year a Fortigate SSL VPN vulnerability was exploited as a zero-day against government, manufacturing, and critical infrastructure.

NCSC's recommendations come after the organization recently alerted about an advanced threat actor exploiting multiple zero-day vulnerabilities in Cisco ASA VPNs used in critical infrastructure since November 2023.

Cisco disclosed the particular campaign as 'ArcaneDoor,' attributing it to the threat group tracked as 'UAT4356' or 'STORM-1849,' who gained unauthorized access to WebVPN sessions associated with the device's SSL VPN services.

The attacks involved the exploitation of two zero-days, namely CVE-2024-20353 and CVE-2024-20359, which enabled the hackers to achieve authentication bypass, device takeover, and privilege elevation to administrative rights.

Although Cisco fixed the two vulnerabilities on April 24, the cybersecurity and networking equipment firm couldn't identify how the threat actors initially gained access to the device.

Source: bleepingcomputer.com

Na Uy khuyến nghị thay thế SSL VPN để ngăn chặn tấn công

Wed, 22 May 2024 05:00:00 GMT

Trung tâm An ninh Mạng Quốc gia Na Uy (NCSC) khuyến nghị thay thế các giải pháp SSLVPN/WebVPN bằng các giải pháp thay thế do việc khai thác nhiều lần các lỗ hổng liên quan trong các thiết bị mạng biên để xâm nhập mạng công ty.

NCSC khuyến nghị quá trình chuyển đổi nên hoàn thành vào năm 2025, trong khi các tổ chức tuân theo 'Đạo luật An toàn' hoặc những tổ chức trong cơ sở hạ tầng quan trọng nên áp dụng các giải pháp thay thế an toàn hơn vào cuối năm 2024.

Khuyến nghị chính thức của NCSC dành cho người dùng các sản phẩm Mạng riêng ảo cổng bảo mật (SSL VPN/WebVPN) là chuyển sang Bảo mật giao thức Internet (IPsec) bằng Internet Key Exchange (IKEv2).

SSL VPN và WebVPN cung cấp quyền truy cập từ xa an toàn vào mạng qua internet bằng giao thức SSL/TLS, bảo mật kết nối giữa thiết bị của người dùng và máy chủ VPN bằng cách sử dụng "encryption tunnel".

IPsec với IKEv2 bảo mật thông tin liên lạc bằng cách mã hóa và xác thực từng gói bằng cách sử dụng một bộ công cụ được làm mới định kỳ.

"Mức độ nghiêm trọng của các lỗ hổng và việc các tác nhân khai thác nhiều lần loại lỗ hổng này nên NCSC khuyến nghị thay thế các giải pháp truy cập từ xa an toàn sử dụng SSL/TLS bằng các giải pháp thay thế an toàn hơn. NCSC khuyến nghị Bảo mật giao thức Internet (IPsec) bằng Internet Key Exchange (IKEv2),” theo thông báo của NCSC.

Mặc dù tổ chức an ninh mạng thừa nhận IPsec với IKEv2 không có sai sót, nhưng họ tin rằng việc chuyển đổi này sẽ làm giảm đáng kể bề mặt tấn công đối với các sự cố truy cập từ xa an toàn do khả năng chịu lỗi cấu hình giảm so với SSLVPN.

Các biện pháp thực hiện được đề xuất bao gồm:

Cấu hình lại các giải pháp VPN hiện có hoặc thay thế chúng
Chuyển tất cả người dùng và hệ thống sang giao thức mới
Vô hiệu hóa chức năng SSLVPN và chặn lưu lượng TLS đến
Sử dụng xác thực dựa trên chứng chỉ

Trong trường hợp không thể kết nối IPsec, NCSC đề xuất sử dụng băng thông rộng 5G để thay thế.

Trong khi đó, NCSC cũng đã chia sẻ các biện pháp tạm thời cho các tổ chức có giải pháp VPN không cung cấp IPsec với tùy chọn IKEv2 và cần thời gian để lập kế hoạch cũng như thực hiện quá trình di chuyển.

bao gồm triển khai ghi nhật ký hoạt động VPN tập trung, hạn chế khoanh vùng địa lý nghiêm ngặt và chặn quyền truy cập từ các nhà cung cấp VPN, Tor exit node và nhà cung cấp VPS.

Các quốc gia khác cũng khuyến nghị sử dụng IPsec thay vì các giao thức khác, bao gồm Hoa Kỳ và Vương quốc Anh.

Rất nhiều lỗ hổng SSLVPN bị khai thác

Không giống như IPsec, một tiêu chuẩn mở mà hầu hết các công ty tuân theo, SSLVPN không có tiêu chuẩn, vì vậy các nhà sản xuất thiết bị mạng phải tạo ra cách triển khai giao thức của riêng họ.

Tuy nhiên điều này đã dẫn đến nhiều lỗi được phát hiện trong nhiều năm khi triển khai SSL VPN từ Cisco, Fortinet và SonicWall mà tin tặc tích cực khai thác để xâm phạm mạng.

Như Fortinet tiết lộ vào tháng 2 rằng nhóm hack Volt Typhoon của Trung Quốc đã khai thác hai lỗ hổng FortiOS SSL VPN để xâm nhập vào các tổ chức, bao gồm cả mạng quân sự Hà Lan.

Năm 2023, các hoạt động của phần mềm ransomware Akira và LockBit đã khai thác lỗ hổng zero-day SSL VPN trong bộ định tuyến Cisco ASA để xâm nhập mạng công ty, đánh cắp dữ liệu và mã hóa thiết bị.

Đầu năm 2023, lỗ hổng Fortigate SSL VPN đã bị khai thác dưới dạng lỗ hổng zero-day chống lại chính phủ, cơ sở sản xuất và cơ sở hạ tầng quan trọng.

Khuyến nghị của NCSC được đưa ra sau khi tổ chức này gần đây cảnh báo về một tác nhân đe dọa nâng cao đang khai thác nhiều lỗ hổng zero-day trong Cisco ASA VPN được sử dụng trong cơ sở hạ tầng quan trọng kể từ tháng 11 năm 2023.

Cisco tiết lộ chiến dịch cụ thể là 'ArcaneDoor', và được quy cho nhóm mối đe dọa được theo dõi là 'UAT4356' hoặc 'STORM-1849', những kẻ đã giành được quyền truy cập trái phép vào các phiên WebVPN được liên kết với các dịch vụ SSL VPN của thiết bị.

Các cuộc tấn công liên quan đến việc khai thác hai lỗ hổng zero-day, đó là CVE-2024-20353 và CVE-2024-20359, cho phép tin tặc vượt qua xác thực, chiếm đoạt thiết bị và nâng cao đặc quyền đối với quyền quản trị.

Mặc dù Cisco đã sửa hai lỗ hổng vào ngày 24 tháng 4, nhưng công ty thiết bị mạng và an ninh mạng không thể xác định được cách thức mà các tác nhân đe dọa ban đầu có được quyền truy cập vào thiết bị.

Nguồn: bleepingcomputer.com

MediSecure e-script firm hit by ‘large-scale’ ransomware data breach

Wed, 22 May 2024 00:00:00 GMT

Electronic prescription provider MediSecure in Australia has shut down its website and phone lines following a ransomware attack believed to originate from a third-party vendor.

The incident has impacted personal and health information of individuals but the extent remains unclear at this time.

Operating since 2009, MediSecure provides digital tools to healthcare professionals to manage and dispense medications to patients.

The company has issued millions of eScripts via its private and the state-backed eRx systems. Until November 2009, it was one of the two two paperless script networks in Australia.

On May 16, the company announced that it has been indirectly impacted by a cybersecurity incident on one of its service providers, that has resulted in a data breach.

“MediSecure has identified a cyber security incident impacting the personal and health information of individuals. We have taken immediate steps to mitigate any potential impact on our systems,” reads the public statement.

An investigation has started and "early indicators suggest the incident originated from one of our third-party vendors,” the company says.

The organization has informed key regulators in Australia, including the Office of the Australian Information Commissioner, and is working with the National Cyber Security Coordinator (NCSC) to mitigate the impact of the cyberattack.

In a short announcement, the Australian NCSC said that "a commercial health information organisation" reported being "the victim of a large-scale ransomware data breach incident."

“Yesterday afternoon I was advised by a commercial health information organisation that it was the victim of a large-scale ransomware data breach incident. I am working with agencies across the Australian Government, states and territories to coordinate a whole-of-government response to this incident.” – NCSC.

Although MediSecure did not mention a ransomware attack, The Australian Financial Review and ABC [1, 2] report that the company behind the NCSC's announcement was MediSecure.

The NCSC noted that the investigations is in too early a stage to be able to share any useful details about the impact this cybersecurity incident has on the Australian population.

The worst healthcare-related data breach incident in Australia’s recent history is that of Medibank that was breached by the REvil ransomware gang in October 2022.

That breach compromised the information of nearly 9.7 million Medibank and included personally identifiable details, contact, and healthcare data.

Source: bleepingcomputer.com

Nhà cung cấp thuốc kê đơn điện tử MediSecure bị tấn công dữ liệu ransomware 'quy mô lớn'

Tue, 21 May 2024 05:00:02 GMT

Nhà cung cấp thuốc kê đơn điện tử MediSecure ở Úc đã đóng cửa trang web và đường dây điện thoại của mình sau một cuộc tấn công bằng ransomware được cho là có nguồn gốc từ một nhà cung cấp bên thứ ba.

Vụ việc đã ảnh hưởng đến thông tin cá nhân và sức khỏe của các cá nhân nhưng mức độ vẫn chưa rõ ràng vào thời điểm này.

Hoạt động từ năm 2009, MediSecure cung cấp các công cụ kỹ thuật số cho các chuyên gia chăm sóc sức khỏe để quản lý và phân phát thuốc cho bệnh nhân.

MediSecure đã phát hành hàng triệu eScript thông qua hệ thống eRx riêng tư và được nhà nước hậu thuẫn. Cho đến tháng 11 năm 2009, đây là một trong hai mạng lưới chữ viết không cần giấy tờ ở Úc.

Ngày 16 tháng 5, MediSecure thông báo họ đã bị ảnh hưởng gián tiếp bởi sự cố an ninh mạng đối với một trong những nhà cung cấp dịch vụ của mình, dẫn đến vi phạm dữ liệu.

“MediSecure đã xác định một sự cố an ninh mạng ảnh hưởng đến thông tin cá nhân và sức khỏe của các cá nhân. Chúng tôi đã thực hiện các bước ngay lập tức để giảm thiểu mọi tác động tiềm ẩn lên hệ thống của mình,” thông báo công khai cho biết.

MediSecure cho biết đã bắt đầu cuộc điều tra và "các dấu hiệu ban đầu cho thấy vụ việc bắt nguồn từ một trong những nhà cung cấp bên thứ ba của chúng tôi".

MediSecure đã thông báo cho các cơ quan quản lý quan trọng ở Úc, bao gồm Văn phòng Ủy viên Thông tin Úc và đang làm việc với Điều phối viên An ninh Mạng Quốc gia (NCSC) để giảm thiểu tác động của cuộc tấn công mạng.

NCSC của Úc cho biết tron thông báo “một tổ chức thông tin y tế thương mại” đã báo cáo là “nạn nhân của một vụ vi phạm dữ liệu ransomware quy mô lớn”.

“Chiều hôm qua tôi được một tổ chức thông tin y tế thương mại thông báo rằng họ là nạn nhân của vụ vi phạm dữ liệu ransomware quy mô lớn. Tôi đang làm việc với các cơ quan trên khắp Chính phủ Úc, các tiểu bang và vùng lãnh thổ để điều phối phản ứng của toàn chính phủ đối với vụ việc này.” – NCSC cho biết.

Mặc dù MediSecure không đề cập đến cuộc tấn công ransomware, The Australian Financial Review và ABC [1, 2] cho biết công ty đưa ra thông báo của NCSC là MediSecure.

NCSC lưu ý rằng các cuộc điều tra đang ở giai đoạn đầu nên quá sớm để có thể chia sẻ bất kỳ chi tiết hữu ích nào về tác động của sự cố an ninh mạng này đối với người dân Úc.

Vụ vi phạm dữ liệu liên quan đến chăm sóc sức khỏe tồi tệ nhất trong lịch sử gần đây của Úc là vụ Medibank bị nhóm ransomware REvil xâm phạm vào tháng 10 năm 2022.

Vụ tấn công đó đã xâm phạm thông tin của gần 9,7 triệu Medibank và bao gồm các chi tiết nhận dạng cá nhân, thông tin liên hệ và dữ liệu chăm sóc sức khỏe.

Nguồn: bleepingcomputer.com

Singing River Health System: Data of 895,000 stolen in ransomware attack

Tue, 21 May 2024 00:00:00 GMT

The Singing River Health System is warning that it is now estimating that 895,204 people are impacted by a ransomware attack it suffered in August 2023.

Singing River Health System is a major healthcare provider located in Mississippi, operating the Singing River Hospital in Pascagoula, Ocean Springs Hospital, and the Singing River Gulfport Hospital, collectively providing over 700 beds.

The health system, which employs over 3,500 people, also operates two hospices, four pharmacies, six imaging centers, ten specialty centers, and twelve medical clinics in the Gulf Coast region.

On August 19, 2023, Singing River announced that it had been targeted by a sophisticated ransomware attack, which resulted in operational disruptions at its hospitals and potentially data theft.

Singing River was added to the HHS' Office for Civil Rights breach portal in late August, with a temporary figure of 501 impacted individuals.

On September 13, 2023, the healthcare organization confirmed that data had been exfiltrated from its systems, and on December 18, 2023, it announced that the incident impacted 252,890 people.

The latest and presumably final update on the estimate of exposed individuals came yesterday, with Singing River now saying to Maine's authorities that 895,204 people were impacted.

According to the latest information in the data breach notice and also the latest update on the organization's site, the exposed data includes:

Full name
Date of birth
Physical address
Social Security Number (SSN)
Medical information
Health information

Singing River said there is no evidence that any of the exposed data was used for identity theft or fraud, and it offers 24 months of credit monitoring and identity restoration services through IDX to all letter recipients.

The attack was claimed by the Rhysida ransomware gang, which is notorious for attacking healthcare service providers, most recently, even children's hospitals.

The threat actors have so far leaked roughly 80% of the data they claim to hold from the breach at Singing River, which allegedly includes a catalog of 420,766 files totaling 754 GB in size.

Considering this exposure, impacted people are recommended to enroll in IDX's services as soon as possible, treat unsolicited communications with caution, monitor all accounts for suspicious activity, and consider placing a security freeze on their credit report.

Source: bleepingcomputer.com

Hệ thống Y tế Singing River cho biết: Dữ liệu của 895.000 người bị đánh cắp trong cuộc tấn công bằng ransomware

Mon, 20 May 2024 05:00:02 GMT

Hệ thống Y tế Singing River đưa ra cảnh báo rằng họ hiện ước tính có 895.204 người bị ảnh hưởng bởi cuộc tấn công bằng ransomware mà họ phải hứng chịu vào tháng 8 năm 2023.

Hệ thống Y tế Singing River là nhà cung cấp dịch vụ chăm sóc sức khỏe lớn có trụ sở tại Mississippi, điều hành Bệnh viện Singing River ở Pascagoula, Bệnh viện Ocean Springs và Bệnh viện Singing River Gulfport, cung cấp tổng cộng hơn 700 giường.

Hệ thống y tế với hơn 3.500 nhân viên này còn vận hành hai nhà an dưỡng cuối đời (hospice), bốn hiệu thuốc, sáu trung tâm chẩn đoán hình ảnh, mười trung tâm chuyên khoa và mười hai phòng khám y tế ở khu vực Bờ Vịnh.

Ngày 19 tháng 8 năm 2023, Singing River thông báo họ đã trở thành mục tiêu của một cuộc tấn công ransomware tinh vi, dẫn đến sự gián đoạn hoạt động tại các bệnh viện và có khả năng bị đánh cắp dữ liệu.

Singing River đã được thêm vào cổng thông tin vi phạm Quyền Dân sự của Văn phòng HHS vào cuối tháng 8, với con số tạm thời là 501 cá nhân bị ảnh hưởng.

Vào ngày 13 tháng 9 năm 2023, Singing River xác nhận dữ liệu đã bị lấy khỏi hệ thống của họ và vào ngày 18 tháng 12 năm 2023, họ thông báo rằng vụ việc đã ảnh hưởng đến 252.890 người.

Bản cập nhật mới nhất và có lẽ là cuối cùng về ước tính số người bị phơi nhiễm đã được công bố vào ngày hôm qua, Singing River hiện đã thông báo với chính quyền Maine rằng 895.204 người đã bị ảnh hưởng.

Theo thông tin mới nhất trong thông báo vi phạm dữ liệu và cũng là bản cập nhật mới nhất trên trang web của Singing River, dữ liệu bị lộ bao gồm:

Họ và tên
Ngày tháng năm sinh
Địa chỉ
Số An Sinh Xã Hội (SSN)
Thông tin y tế
Thông tin sức khỏe

Singing River cho biết không có bằng chứng nào cho thấy bất kỳ dữ liệu nào bị lộ đều được sử dụng để đánh cắp danh tính hoặc lừa đảo và họ cung cấp dịch vụ giám sát tín dụng và khôi phục danh tính trong 24 tháng thông qua IDX cho tất cả những người nhận được email.

Vụ tấn công được thực hiện bởi nhóm ransomware Rhysida, đây là nhóm khét tiếng với việc tấn công các nhà cung cấp dịch vụ chăm sóc sức khỏe, gần đây nhất là thậm chí cả bệnh viện trẻ em.

Cho đến nay, các tác nhân đe dọa đã rò rỉ khoảng 80% dữ liệu mà chúng tuyên bố nắm giữ từ vụ tấn công tại Singing River, được cho là bao gồm một danh mục gồm 420.766 tệp có tổng kích thước 754 GB.

Xem xét mức độ phức tạp của vụ tấn công này, những người bị ảnh hưởng nên đăng ký dịch vụ của IDX càng sớm càng tốt, xử lý các liên lạc không mong muốn một cách thận trọng, giám sát tất cả các tài khoản để phát hiện hoạt động đáng ngờ và xem xét việc đóng băng bảo mật đối với báo cáo tín dụng của họ.

Nguồn: bleepingcomputer.com

Apple and Google add alerts for unknown Bluetooth trackers to iOS, Android

Mon, 20 May 2024 00:00:00 GMT

On May 13, Apple and Google jointly announced a new privacy feature that warns Android and iOS users when an unknown Bluetooth tracking device travels with them.

Named Detecting Unwanted Location Trackers, the new feature started rolling out on May 13 on Apple devices as part of iOS 17.5 and to Google users on Android 6.0+ devices.

This new feature was announced in May 2023, when the companies disclosed they were working together to create a joint draft specification titled 'Detecting Unwanted Location Trackers.'

On iPhones, users will now receive alerts stating "[Item] Found Moving With You" if an unknown Bluetooth tracking device is seen moving with them over time, regardless of the platform it is paired with. Android users will receive a similar alert titled "Tracker traveling with you."

"Apple and Google have worked together to create an industry specification — Detecting Unwanted Location Trackers — for Bluetooth tracking devices that makes it possible to alert users across both iOS and Android if such a device is unknowingly being used to track them," reads joint announcements from Google and Apple.

"This will help mitigate the misuse of devices designed to help keep track of belongings."

Clicking on the alerts will display the tracker's identifier and allow the user to play a noise on the tracker (if supported) to help locate it. The feature will also include instructions on how to disable the tracking device.

Apple and Google say that AirTag and third-party Find My network accessories are already compatible with the new feature, with Chipolo, eufy, Jio, Motorola, and Pebblebee committing to making future products compatible as well.

However, older tracking devices that do not support the specification will continue to be able to track people without being detected by the new feature.

While Bluetooth tracking devices have legitimate uses, they have also been abused by abusers and stalkers to track a person's location without their knowledge.

As these devices are small, they can easily be slipped into a person's luggage, bags, or jacket pockets without their knowledge.

While Apple had previously included features that allow users to find nearby AirTag devices that could be misused to track individuals, victims reported that they were commonly warned with delays of up to 12 hours, as a New York Times report revealed.

Source: bleepingcomputer.com

FCC reveals Royal Tiger, its first tagged robocall threat actor

Sat, 18 May 2024 01:00:00 GMT

The Federal Communications Commission (FCC) has named its first officially designated robocall threat actor 'Royal Tiger,' a move aiming to help international partners and law enforcement more easily track individuals and entities behind repeat robocall campaigns.

Royal Tiger, a group of bad actors operating from India, the United Kingdom, the United Arab Emirates, and the United States, placed robocalls impersonating government agencies, banks, and utility companies using spoofed phone numbers and made calls pushing fake credit card interest rate reduction offers.

The Royal Tiger group, allegedly led by Prince Jashvantlal Anand and his associate Kaushal Bhavsar, is operating multiple entities linked to illegal calls in the United States, including VoIP companies Illum Telecommunication Limited (Illum), PZ Telecommunication LLC (PZ Telecom), and One Eye LLC (One Eye).

They routed robocalls in the United States to Texas-based Great Choice Telecom, previously the target of a $225 million forfeiture order and cease-and-desist letters from the FCC and the FTC for placing illegal spoofed robocalls.

"No matter where they originally come from, junk robocalls designed to defraud or harm consumers need to end. We continue to look for new ways to fight these illegal scams," said FCC Chairwoman Jessica Rosenworcel.

"When we identify repeat offenders, we will be sure to keep using every tool we have to stop this junk from reaching consumers and causing them harm."

This new FCC robocall bad actor classification system, known as Consumer Communications Information Services Threat (C-CIST) [PDF], is designed to help state, federal, and international regulatory counterparts and law enforcement entities to identify and track threat actors abusing telecommunications infrastructure and take appropriate action against them.

Samples of the scam robocall messages (FCC)

The FCC says that the new designations would also allow it to use all its power to prevent these threat groups from accessing the U.S. telecommunications space and targeting consumers.

While potential enforcement actions may include cease-and-desist letters, removal from the Robocall Mitigation Database, and forfeiture orders, the final action taken by the FCC will depend on the party and its offenses.

Today's action builds upon the Enforcement Bureau's "Spring Cleaning" initiative, which started in April by adding a target on the backs of robocallers behind a fake tax relief program.

"Law enforcement, industry stakeholders, and consumers should regard Royal Tiger as a potential threat to communications information services," the FCC added in a public notice [PDF] published on May 13.

"If you suspect individuals or entities associated with Royal Tiger of violating the Communications Act of 1934, as amended, or the Commission's rules, please inform the FCC by sending an email to CCIST@fcc.gov."

Last year, the U.S. Federal Trade Commission (FTC) received reports of 853,935 imposter scams and reported losses totaling nearly $2.7 billion [PDF].

Imposter scams were also the most common fraud reported by military personnel in 2023, resulting in a total loss of $178 million. Additionally, the FTC noted in 2022 [PDF] that senior citizens suffered significant losses due to government impersonation scams, totaling around $186 million.

Source: bleepingcomputer.com

FCC tiết lộ Royal Tiger là kẻ đe dọa cuộc gọi tự động được chỉ định đầu tiên

Fri, 17 May 2024 05:00:00 GMT

Ủy ban Truyền thông Liên bang (FCC) đã đặt tên cho kẻ đe dọa cuộc gọi tự động được chỉ định đầu tiên là 'Royal Tiger', một động thái nhằm giúp các đối tác quốc tế và cơ quan thực thi pháp luật dễ dàng theo dõi các cá nhân và tổ chức đứng sau các chiến dịch cuộc gọi tự động lặp lại.

Royal Tiger là một nhóm tội phạm hoạt động từ Ấn Độ, Vương quốc Anh, Các Tiểu vương quốc Ả Rập Thống nhất và Hoa Kỳ, đã thực hiện các cuộc gọi tự động mạo danh các cơ quan chính phủ, ngân hàng và công ty tiện ích bằng cách sử dụng số điện thoại giả mạo và thực hiện các cuộc gọi đẩy lãi suất thẻ tín dụng giả. ưu đãi giảm giá.

Nhóm Royal Tiger được cho là do Hoàng tử Jashvantlal Anand và cộng sự Kaushal Bhavsar lãnh đạo đang điều hành nhiều đối tượng có liên quan đến các cuộc gọi bất hợp pháp ở Hoa Kỳ, bao gồm các công ty VoIP Illum Tlecommunications Limited (Illum), PZ Tlecommunications LLC (PZ Telecom) và One. Mắt LLC (Một mắt).

Họ đã chuyển các cuộc gọi tự động ở Hoa Kỳ tới Great Choice Telecom có trụ sở tại Texas, trước đây là mục tiêu của lệnh tịch thu trị giá 225 triệu đô la và các lá thư yêu cầu ngừng hoạt động từ FCC và FTC vì đã thực hiện các cuộc gọi tự động giả mạo bất hợp pháp.

Chủ tịch FCC Jessica Rosenworcel cho biết: “Bất kể chúng đến từ đâu, các cuộc gọi tự động rác để lừa gạt hoặc gây hại cho người tiêu dùng cần phải chấm dứt. Chúng tôi tiếp tục tìm kiếm những cách mới để chống lại những trò gian lận bất hợp pháp này”.

"Khi chúng tôi xác định được những người tái phạm, chúng tôi sẽ đảm bảo tiếp tục sử dụng mọi công cụ có được để ngăn chặn thứ rác rưởi này tiếp cận người tiêu dùng và gây hại cho họ."

Hệ thống phân loại cuộc gọi tự động mới này của FCC, được gọi là Mối đe dọa dịch vụ thông tin liên lạc người tiêu dùng (C-CIST) [PDF], được thiết kế để giúp các đối tác quản lý tiểu bang, liên bang và quốc tế cũng như các cơ quan thực thi pháp luật xác định và theo dõi các tác nhân đe dọa lạm dụng viễn thông cơ sở hạ tầng và có hành động thích hợp đối phó chúng.

Mẫu tin nhắn robocall lừa đảo (FCC)

FCC nói rằng các chỉ định mới cũng sẽ cho phép họ sử dụng tất cả sức mạnh của mình để ngăn chặn các nhóm đe dọa này truy cập vào không gian viễn thông của Hoa Kỳ và người tiêu dùng.

Mặc dù các hành động thực thi tiềm năng có thể bao gồm các thư yêu cầu ngừng hoạt động, xóa khỏi Cơ sở dữ liệu giảm thiểu cuộc gọi tự động và lệnh tịch thu, hành động cuối cùng mà FCC thực hiện sẽ tùy thuộc vào bên và hành vi phạm tội của bên đó.

Các chỉ định được xây dựng dựa trên sáng kiến "Spring Cleaning" của Cục Thực thi, bắt đầu vào tháng 4 bằng cách bổ sung mục tiêu sau lưng những kẻ gọi điện tự động đằng sau chương trình giảm thuế giả.

“Cơ quan thực thi pháp luật, các bên liên quan trong ngành và người tiêu dùng nên coi Royal Tiger là mối đe dọa tiềm tàng đối với các dịch vụ thông tin truyền thông”, FCC bổ sung trong thông báo công khai [PDF] được công bố ngày 13 tháng 5.

"Nếu bạn nghi ngờ các cá nhân hoặc tổ chức liên quan đến Royal Tiger vi phạm Đạo luật Truyền thông năm 1934 đã được sửa đổi hoặc các quy định của Ủy ban, vui lòng thông báo cho FCC bằng cách gửi email đến CCIST@fcc.gov."

Năm ngoái, Ủy ban Thương mại Liên bang Hoa Kỳ (FTC) đã nhận được báo cáo về 853.935 vụ lừa đảo mạo danh và báo cáo tổng thiệt hại lên tới gần 2,7 tỷ USD [PDF].

Lừa đảo mạo danh cũng là vụ lừa đảo phổ biến nhất được quân nhân báo cáo vào năm 2023, dẫn đến tổng thiệt hại là 178 triệu USD. Ngoài ra, FTC đã lưu ý vào năm 2022 [PDF] rằng những người cao tuổi đã phải chịu tổn thất đáng kể do các vụ lừa đảo mạo danh chính phủ, tổng trị giá khoảng 186 triệu USD.

Nguồn: bleepingcomputer.com

Apple và Google bổ sung thêm cảnh báo về trình theo dõi Bluetooth không xác định đối với người dùng iOS, Android

Fri, 17 May 2024 05:00:00 GMT

Ngày 13 tháng 5, Apple và Google đã cùng công bố một tính năng bảo mật mới nhằm cảnh báo người dùng Android và iOS khi có thiết bị theo dõi Bluetooth không xác định.

Được đặt tên là Phát hiện trình theo dõi vị trí không mong muốn, tính năng mới đã bắt đầu được tung ra vào ngày 13 tháng 5 trên các thiết bị Apple và được xem như một phần của iOS 17.5 và cho người dùng Google trên các thiết bị Android 6.0+.

Tính năng mới này được công bố vào tháng 5 năm 2023, khi các công ty tiết lộ rằng họ đang làm việc cùng nhau để tạo ra một tính năng dự thảo chung có tiêu đề 'Phát hiện trình theo dõi vị trí không mong muốn'.

Trên iPhone, người dùng giờ đây sẽ nhận được thông báo cho biết "Mục được tìm thấy đang di chuyển cùng bạn" nếu một thiết bị theo dõi Bluetooth không xác định được nhìn thấy đang di chuyển cùng họ, bất kể thiết bị đó được ghép nối với nền tảng nào. Người dùng Android cũng sẽ nhận được cảnh báo tương tự có tiêu đề "Trình theo dõi đi cùng bạn (Tracker traveling with you)".

"Apple và Google đã làm việc cùng nhau để tạo ra một thông số kỹ thuật của ngành - Phát hiện Trình theo dõi vị trí không mong muốn - dành cho các thiết bị theo dõi Bluetooth giúp có thể cảnh báo người dùng trên cả iOS và Android nếu thiết bị đó vô tình được sử dụng để theo dõi họ", thông báo chung từ Google và Apple.

“Điều này sẽ giúp giảm thiểu việc lạm dụng các thiết bị được thiết kế để giúp việc theo dõi.”

Nhấp vào cảnh báo sẽ hiển thị mã nhận dạng của trình theo dõi và cho phép người dùng báo động trên trình theo dõi (nếu được hỗ trợ) để giúp xác định vị trí của nó. Tính năng này cũng sẽ bao gồm hướng dẫn cách tắt thiết bị theo dõi.

Apple và Google cho biết AirTag và các phụ kiện mạng Find My của bên thứ ba đã tương thích với tính năng mới, trong đó Chipolo, eufy, Jio, Motorola và Pebblebee cũng cam kết giúp cho các sản phẩm trong tương lai cũng tương thích.

Tuy nhiên, các thiết bị theo dõi cũ hơn không hỗ trợ thông số kỹ thuật sẽ tiếp tục có thể theo dõi mọi người mà không bị tính năng mới phát hiện.

Mặc dù các thiết bị theo dõi Bluetooth có mục đích sử dụng hợp pháp nhưng chúng cũng bị những kẻ lạm dụng để theo dõi vị trí của một người mà họ không hề hay biết.

Vì những thiết bị này nhỏ nên chúng có thể dễ dàng bỏ vào hành lý, túi xách hoặc túi áo khoác của một người mà họ không hề hay biết.

Mặc dù Apple trước đây đã bao gồm các tính năng cho phép người dùng tìm các thiết bị AirTag gần đó có thể bị lạm dụng để theo dõi các cá nhân, nhưng nạn nhân đã báo cáo rằng họ thường được cảnh báo với độ trễ lên tới 12 giờ, như báo cáo của New York Times tiết lộ.

Nguồn: bleepingcomputer.com

University System of Georgia: 800K exposed in 2023 MOVEit attack

Fri, 17 May 2024 00:00:01 GMT

The University System of Georgia (USG) is sending data breach notifications to 800,000 individuals whose data was exposed in the 2023 Clop MOVEit attacks.

USG is a state government agency that operates 26 public colleges and universities in Georgia with over 340,000 students.

The Clop ransomware gang leveraged a zero-day vulnerability in Progress Software MOVEit Secure File Transfer solution in late May 2023 to conduct a massive worldwide data theft campaign.

When the threat group started its extortion phase in the MOVEit attacks that impacted thousands of organizations worldwide, USG was among the first to be listed as compromised.

Almost a year later, with the help of the FBI and CISA, USG determined that Clop had stolen sensitive files from its systems and began notifying impacted people.

The notices of data breach were sent between April 15 and April 17, 2024, informing recipients that the cybercriminals accessed the following information:

Full or partial (last four digits) of Social Security Number
Date of Birth
Bank account number(s)
Federal income tax documents with Tax ID number

Given that the number of impacted individuals is larger than the number of students under USG, and considering the type of information, the incident presumably also affects prior students, academic staff, contractors, and other personnel.

The organization submitted a sample of the data breach notice to the Office of the Maine Attorney General on May 7, stating that the data breach impacts 800,000 people.

Also, the entry on Maine's portal lists a driver's license number or identification card number as exposed data types, although these aren't mentioned in the notice.

USG now offers impacted individuals 12 months of identity protection and fraud detection services through Experian, in which the recipients are given until July 31, 2024, to enroll.

Clop's MOVEit attacks were one of the most successful and prolific extortion operations in recent history. Over a year after they took place, organizations still discover, confirm, and disclose breaches, extending the aftermath.

Emsisoft's dedicated counter of MOVEit victims lists 2,771 impacted organizations and nearly 95 million individuals whose personal data lies in Clop's servers.

Some of that data was published on Clop's extortion portal on the dark web, others were sold to cybercrime groups, and some remain to be monetized in the future.

Source: bleepingcomputer.com

Hệ thống Đại học Georgia cho biết: 800K dữ liệu lộ trong cuộc tấn công MOVEit năm 2023

Thu, 16 May 2024 05:00:00 GMT

Hệ thống Đại học Georgia (USG) đang gửi thông báo vi phạm dữ liệu tới 800.000 cá nhân có dữ liệu bị lộ trong cuộc tấn công Clop MOVEit năm 2023.

USG là cơ quan chính phủ tiểu bang điều hành 26 trường cao đẳng và đại học công lập ở Georgia với hơn 340.000 sinh viên.

Nhóm ransomware Clop đã lợi dụng lỗ hổng zero-day trong giải pháp Truyền tệp an toàn MOVEit của Progress Software vào cuối tháng 5 năm 2023 để thực hiện một chiến dịch đánh cắp dữ liệu quy mô lớn trên toàn thế giới.

Khi nhóm đe dọa bắt đầu giai đoạn tống tiền trong các cuộc tấn công MOVEit ảnh hưởng đến hàng nghìn tổ chức trên toàn thế giới, USG là một trong những tổ chức đầu tiên được liệt vào danh sách bị xâm phạm.

Gần một năm sau, với sự trợ giúp của FBI và CISA, USG xác định rằng Clop đã đánh cắp các tệp nhạy cảm khỏi hệ thống của mình và bắt đầu thông báo cho những người bị ảnh hưởng.

Thông báo về vi phạm dữ liệu được gửi từ ngày 15 tháng 4 đến ngày 17 tháng 4 năm 2024, thông báo cho người nhận rằng tội phạm mạng đã truy cập vào thông tin sau:

Toàn bộ hoặc một phần (bốn chữ số cuối) của Số An sinh Xã hội
Ngày sinh
Số tài khoản ngân hàng
Chứng từ thuế thu nhập liên bang có mã số thuế

Do số lượng cá nhân bị ảnh hưởng lớn hơn số lượng sinh viên thuộc USG và xét đến loại thông tin, vụ việc có lẽ cũng ảnh hưởng đến các sinh viên trước đây, nhân viên học tập, nhà thầu và các nhân viên khác.

Tổ chức này đã gửi mẫu thông báo vi phạm dữ liệu tới Văn phòng Bộ trưởng Tư pháp Maine ngày 7 tháng 5, cho biết rằng vụ vi phạm dữ liệu ảnh hưởng đến 800.000 người.

Ngoài ra, mục nhập trên cổng thông tin của Maine liệt kê số giấy phép lái xe hoặc số thẻ căn cước là loại dữ liệu bị lộ, mặc dù những thông tin này không được đề cập trong thông báo.

USG hiện cung cấp cho các cá nhân bị ảnh hưởng dịch vụ bảo vệ danh tính và phát hiện gian lận trong 12 tháng thông qua Experian, trong đó người nhận có thời gian đăng ký đến ngày 31 tháng 7 năm 2024.

Các cuộc tấn công MOVEit của Clop là một trong những hoạt động tống tiền thành công và phổ biến nhất trong lịch sử gần đây. Hơn một năm sau khi hoạt động này diễn ra, các tổ chức vẫn phát hiện, xác nhận và tiết lộ hậu quả của các vi phạm vẫn kéo dài.

Bộ đếm chuyên dụng của Emsisoft về các nạn nhân MOVEit liệt kê 2.771 tổ chức bị ảnh hưởng và gần 95 triệu cá nhân có dữ liệu cá nhân nằm trong máy chủ của Clop.

Một số dữ liệu đó đã được công bố trên cổng tống tiền của Clop trên web đen, một số khác được bán cho các nhóm tội phạm mạng và một số vẫn sẽ được kiếm tiền trong tương lai.

Nguồn: bleepingcomputer.com

Ascension healthcare takes systems offline after cyberattack

Thu, 16 May 2024 00:00:01 GMT

Ascension, one of the largest private healthcare systems in the United States, has taken some of its systems offline to investigate what it describes as a "cyber security event."

As a major U.S. nonprofit health system, Ascension operates 140 hospitals and 40 senior care facilities across 19 states and the District of Columbia.

It also employs 8,500 providers, has 35,000 affiliated providers and 134,000 associates. In 2023, it reported a total revenue of $28.3 billion.

"On Wednesday, May 8, we detected unusual activity on select technology network systems, which we now believe is due to a cyber security event," Ascension said.

"We responded immediately, initiated our investigation and activated our remediation efforts. Access to some systems have been interrupted as this process continues."

The healthcare organization also advised business partners to sever connections to its systems until told otherwise.

"Out of an abundance of caution we are recommending that business partners temporarily suspend the connection to the Ascension environment. We will inform partners when it is appropriate to reconnect into our environment," the nonprofit added.

Clinical operations disrupted

Ascension added that the incident also disrupted clinical operations. An ongoing investigation is now assessing the impact and duration of the disruption.

It has also informed the relevant authorities of the cyberattack and hired Mandiant incident response experts to assist with the investigation and remediation process.

A spokesperson sent BleepingComputer the statement published on Ascension's official website. The spokesperson said, "This is an ongoing situation, and we will provide updates as we learn more."

Last month, the U.S. Department of Health and Human Services (HHS) warned that threat actors are now using social engineering tactics to target IT help desks in the Healthcare and Public Health (HPH) sector.

These attackers trick employees into enrolling new multi-factor authentication (MFA) devices under the attacker's control, which gives them access to corporate resources.

Source: bleepingcomputer.com

Dịch vụ chăm sóc sức khỏe của Ascension đưa hệ thống vào trạng thái ngoại tuyến sau cuộc tấn công mạng

Wed, 15 May 2024 05:00:00 GMT

Ascension là một trong những hệ thống chăm sóc sức khỏe tư nhân lớn nhất ở Hoa Kỳ, đã đưa một số hệ thống của mình vào chế độ ngoại tuyến để điều tra những gì họ mô tả là “sự kiện an ninh mạng”.

Là một hệ thống y tế phi lợi nhuận lớn của Hoa Kỳ, Ascension vận hành 140 bệnh viện và 40 cơ sở chăm sóc người cao tuổi trên khắp 19 tiểu bang và Quận Columbia.

Ascension cũng sử dụng 8.500 nhà cung cấp, có 35.000 nhà cung cấp liên kết và 134.000 cộng sự. Năm 2023, Ascension báo cáo tổng doanh thu là 28,3 tỷ USD.

Ascension cho biết: “Vào thứ Tư, ngày 8 tháng 5, chúng tôi đã phát hiện hoạt động bất thường trên các hệ thống mạng công nghệ chọn lọc mà hiện tại chúng tôi tin rằng đó là do sự kiện an ninh mạng”.

"Chúng tôi đã ứng phói ngay lập tức, bắt đầu điều tra và thực hiện các biện pháp khắc phục. Quyền truy cập vào một số hệ thống đã bị gián đoạn khi quá trình này tiếp tục." - Ascension cho biết

Ascension cũng khuyên các đối tác kinh doanh nên cắt kết nối với hệ thống của mình cho đến khi có thông báo khác.

Tổ chức phi lợi nhuận cho biết thêm: "Hãy hết sức thận trọng, chúng tôi khuyến nghị các đối tác kinh doanh tạm thời đình chỉ kết nối với môi trường của chúng tôi. Chúng tôi sẽ thông báo cho các đối tác khi thích hợp để kết nối lại với môi trường của chúng tôi".

Hoạt động lâm sàng bị gián đoạn

Ascension nói thêm rằng vụ việc cũng làm gián đoạn hoạt động lâm sàng. Họ đang tiến hành để đánh giá tác động và thời gian gián đoạn.

Ascension cũng đã thông báo cho các cơ quan hữu quan về vụ tấn công mạng và thuê các chuyên gia ứng phó sự cố của Mandiant để hỗ trợ quá trình điều tra và khắc phục.

Người phát ngôn đã gửi cho BleepingComputer thông tin trên trang web chính thức của Ascension. Người phát ngôn cho biết: "Đây là một tình huống đang diễn ra và chúng tôi sẽ cung cấp thông tin cập nhật khi tìm hiểu thêm."

Tháng trước, Bộ Y tế và Dịch vụ Nhân sinh Hoa Kỳ (HHS) đã cảnh báo rằng các tác nhân đe dọa hiện đang sử dụng các chiến thuật lừa đảo xã hội để nhắm mục tiêu vào các bộ phận trợ giúp CNTT trong lĩnh vực Chăm sóc sức khỏe và Y tế Công cộng (HPH).

Những kẻ tấn công này lừa nhân viên đăng ký các thiết bị xác thực đa yếu tố (MFA) mới dưới sự kiểm soát của kẻ tấn công, điều này cho phép họ truy cập vào tài nguyên của công ty.

Nguồn: bleepingcomputer.com

FBI warns of gift card fraud ring targeting retail companies

Wed, 15 May 2024 00:00:00 GMT

The FBI warned retail companies in the United States that a financially motivated hacking group has been targeting employees in their gift card departments in phishing attacks since at least January 2024.

Tracked as Storm-0539, this hacking group targets the personal and work mobile devices of retail department staff using a sophisticated phishing kit that enables them to bypass multi-factor authentication.

Upon infiltrating an employee's account, the attackers move laterally through the network, trying to identify the gift card business process and pivoting towards compromised accounts linked to this specific portfolio.

In addition to stealing the login credentials of gift card department personnel, their efforts extend to acquiring secure shell (SSH) passwords and keys. Together with stolen employee information such as names, usernames, and phone numbers, these could be sold for financial gain or exploited by Storm-0539 in future attacks.

Should the hackers succeed in breaching the victim's corporate gift card department, they use compromised employee accounts to generate fraudulent gift cards.

"In one instance, a corporation detected STORM-0539's fraudulent gift card activity in their system, and instituted changes to prevent the creation of fraudulent gift cards," the FBI said in a Private Industry Notification [PDF] issued this week.

"STORM-0539 actors continued their smishing attacks and regained access to corporate systems. Then, the actors pivoted tactics to locating unredeemed gift cards, and changed the associated email addresses to ones controlled by STORM-0539 actors in order to redeem the gift cards."

How to defend against Storm-0539's attacks

The FBI advises retail corporations across the United States to review and update their incident response plans and consider training their employees to recognize phishing scams and to not share sensitive information like credentials via email, chat, or phone calls to reduce the risk and impact of such phishing attacks.

Potential targets must also require multi-factor authentication wherever possible, use up-to-date antivirus and anti-malware solutions, implement strong password policies, and enforce the principle of least privilege across their networks.

The FBI's PIN follows a mid-December warning from Microsoft, which cautioned of a surge in Storm-0539 gift card fraud and theft attacks during the holiday season.

"After gaining access to an initial session and token, Storm-0539 registers their own device for subsequent secondary authentication prompts, bypassing MFA protections and persisting in the environment using the fully compromised identity," Microsoft said.

"With each successful compromise, Storm-0539 escalates privileges, moves laterally, and accesses cloud resources to collect specific information. Storm-0539 enumerates internal resources and identifies gift card-related services that can be used for gift card fraud."

Source: bleepingcomputer.com

FBI cảnh báo đường dây lừa đảo thẻ quà tặng nhắm vào các công ty bán lẻ

Tue, 14 May 2024 05:00:02 GMT

FBI đã cảnh báo các công ty bán lẻ ở Hoa Kỳ rằng một nhóm hack có động cơ tài chính đã nhắm mục tiêu vào các nhân viên trong bộ phận thẻ quà tặng của họ trong các cuộc tấn công lừa đảo ít nhất kể từ tháng 1 năm 2024.

Được theo dõi với tên Storm-0539, nhóm hack này nhắm mục tiêu vào các thiết bị di động cá nhân và công việc của nhân viên bộ phận bán lẻ bằng cách sử dụng một bộ lừa đảo tinh vi cho phép họ vượt qua xác thực đa yếu tố.

Sau khi xâm nhập vào tài khoản của nhân viên, những kẻ tấn công sẽ di chuyển ngang qua mạng, cố gắng xác định quy trình kinh doanh thẻ quà tặng và hướng tới các tài khoản bị xâm phạm được liên kết với danh mục cụ thể này.

Ngoài việc đánh cắp thông tin đăng nhập của nhân viên bộ phận thẻ quà tặng, chúng còn đẩy mạnh sang việc lấy mật khẩu và khóa shell an toàn (SSH). Cùng với thông tin nhân viên bị đánh cắp như tên, tên người dùng và số điện thoại, những thông tin này có thể được bán để thu lợi tài chính hoặc bị Storm-0539 khai thác trong các cuộc tấn công trong tương lai.

Nếu tin tặc thành công trong việc xâm nhập bộ phận thẻ quà tặng doanh nghiệp của nạn nhân, chúng sẽ sử dụng tài khoản nhân viên bị xâm nhập để tạo thẻ quà tặng gian lận.

FBI cho biết trong một Thông báo ngành (Private Industry Notification) [PDF]: “Trong một số trường hợp, một công ty đã phát hiện hoạt động gian lận thẻ quà tặng của STORM-0539 trong hệ thống của họ và thực hiện các thay đổi để ngăn chặn việc tạo ra thẻ quà tặng gian lận”.

“Những kẻ tấn công STORM-0539 tiếp tục các cuộc tấn công phá hoại và giành lại quyền truy cập vào hệ thống của công ty. Sau đó, những kẻ tấn công xoay chiến thuật để xác định các thẻ quà tặng chưa được đổi và thay đổi địa chỉ email liên quan thành địa chỉ do các kẻ tấn công STORM-0539 kiểm soát để đổi thẻ quà tặng. "

Cách phòng thủ trước các cuộc tấn công của Storm-0539

FBI khuyên các tập đoàn bán lẻ trên khắp Hoa Kỳ xem xét và cập nhật kế hoạch ứng phó sự cố của họ, đồng thời xem xét đào tạo nhân viên của họ cách nhận biết các trò lừa đảo và không chia sẻ thông tin nhạy cảm như thông tin xác thực qua email, trò chuyện hoặc gọi điện thoại để giảm thiểu rủi ro và tác động của các cuộc tấn công lừa đảo như vậy..

Cần yêu cầu người dùng xác thực đa yếu tố bất cứ khi nào có thể, sử dụng các giải pháp chống vi-rút và chống phần mềm độc hại cập nhật, triển khai chính sách mật khẩu mạnh và thực thi nguyên tắc đặc quyền tối thiểu trên mạng của họ.

Mã PIN của FBI tuân theo cảnh báo giữa tháng 12 từ Microsoft, cảnh báo về sự gia tăng các vụ tấn công gian lận và trộm thẻ quà tặng Storm-0539 trong mùa lễ.

Microsoft cho biết: “Sau khi có quyền truy cập vào phiên và mã thông báo ban đầu, Storm-0539 đăng ký thiết bị của riêng chúng cho các lời nhắc xác thực phụ tiếp theo và vượt qua các biện pháp bảo vệ MFA và tồn tại trong môi trường bằng cách sử dụng danh tính bị xâm phạm hoàn toàn”.

"Với mỗi lần xâm phạm thành công, Storm-0539 sẽ nâng cao đặc quyền, di chuyển ngang và truy cập tài nguyên đám mây để thu thập thông tin cụ thể. Storm-0539 liệt kê các tài nguyên nội bộ và xác định các dịch vụ liên quan đến thẻ quà tặng có thể được sử dụng để gian lận thẻ quà tặng."

Nguồn: bleepingcomputer.com

DocGo discloses cyberattack after hackers steal patient health data

Tue, 14 May 2024 00:00:00 GMT

Mobile medical care firm DocGo confirmed it suffered a cyberattack after threat actors breached its systems and stole patient health data.

DocGo is a healthcare provider that offers mobile health services, ambulance services, and remote monitoring for patients in thirty US states and across the United Kingdom.

On the evening of May 7, FORM 8-K filing filed with the SEC, DocGo warned that they recently suffered a cyberattack and are working with third-party cybersecurity experts to assist in the investigation.

"Promptly after detecting unauthorized activity, the Company took steps to contain and respond to the incident, including launching an investigation, with assistance from leading third-party cybersecurity experts, and notifying relevant law enforcement," reads the DocGo SEC filing.

While the Company did not share how they responded to the incident, organizations commonly shut down their IT systems after detecting a breach to prevent the spread of the attack.

As part of DocGo's investigation, it was determined that the hackers stole protected health information from a "limited number of healthcare records" for the Company's US-based ambulance transportation business.

DocGo is actively reaching out to individuals whose data was compromised in the attack.

The Company stresses that no other business units have been affected and that they have found no evidence of continued unauthorized access.

DocGo says that they do not believe the attack will have a material impact on the Company's operations and finances.

No threat actors have claimed responsibility for the breach, but if it was a ransomware attack and a ransom is not paid, we will likely see the stolen data used as leverage in the future to extort DocGo.

BleepingComputer contacted DocGo to learn how many people were affected by the breach but a reply was not immediately available.

Source: BleepingComputer

DocGo tiết lộ vụ tấn công mạng sau khi hacker đánh cắp dữ liệu sức khỏe bệnh nhân

Mon, 13 May 2024 05:00:01 GMT

Công ty chăm sóc y tế di động DocGo xác nhận đã bị tấn công mạng sau khi các tác nhân đe dọa xâm nhập hệ thống của họ và đánh cắp dữ liệu sức khỏe bệnh nhân.

DocGo là nhà cung cấp dịch vụ chăm sóc sức khỏe cung cấp các dịch vụ y tế di động, dịch vụ xe cứu thương và giám sát từ xa cho bệnh nhân ở 30 tiểu bang của Hoa Kỳ và trên khắp Vương quốc Anh.

Trong hồ sơ FORM 8-K vào tối ngày 7 tháng 5 nộp cho SEC, DocGo cho biết gần đây họ đã phải chịu một cuộc tấn công mạng và đang làm việc với các chuyên gia an ninh mạng của bên thứ ba để hỗ trợ điều tra.

Hồ sơ của DocGo SEC cho biết: “Ngay sau khi phát hiện hoạt động trái phép, DocGo đã thực hiện các bước để ngăn chặn và ứng phó với vụ việc và mở một cuộc điều tra cùng với sự hỗ trợ từ các chuyên gia an ninh mạng hàng đầu của bên thứ ba và thông báo cho cơ quan thực thi pháp luật liên quan”.

Mặc dù DocGo không chia sẻ cách họ ứng phó với vụ việc nhưng các tổ chức thường tắt hệ thống CNTT của họ sau khi phát hiện vi phạm để ngăn chặn cuộc tấn công lây lan.

Trong cuộc điều tra của DocGo đã xác định tin tặc đã đánh cắp thông tin sức khỏe được bảo vệ từ "số lượng hồ sơ chăm sóc sức khỏe hạn chế" cho hoạt động kinh doanh vận chuyển xe cứu thương có trụ sở tại Hoa Kỳ của DocGo.

DocGo đang chủ động liên hệ với những cá nhân có dữ liệu bị xâm phạm trong cuộc tấn công.

DocGo nhấn mạnh rằng không có đơn vị kinh doanh nào khác bị ảnh hưởng và họ không tìm thấy bằng chứng nào về việc tiếp tục truy cập trái phép.

DocGo nói rằng họ không tin cuộc tấn công sẽ có tác động đáng kể đến hoạt động và tài chính của mình.

Không có tác nhân đe dọa nào nhận trách nhiệm về hành vi vi phạm, nhưng nếu đó là một cuộc tấn công bằng ransomware và tiền chuộc không được trả, chúng ta có thể thấy dữ liệu bị đánh cắp được sử dụng làm đòn bẩy để tống tiền DocGo trong tương lai.

BleepingComputer đã liên hệ với DocGo để tìm hiểu xem có bao nhiêu người bị ảnh hưởng bởi vụ vi phạm này nhưng chưa có phản hồi.

Nguồn: bleepingcomputer.com

Finland warns of Android malware attacks breaching bank accounts

Mon, 13 May 2024 00:00:00 GMT

Finland's Transport and Communications Agency (Traficom) is warning about an ongoing Android malware campaign attempting to breach online bank accounts.

The agency has highlighted multiple cases of SMS messages written in Finnish that instruct recipients to call a number. The scammer who answers the call instructs victims to install a McAfee app for protection.

The messages are supposedly sent from banks or payment service providers like MobilePay, and they use spoofing technology to appear as if they come from a domestic telecom operator or local network.

Samples of the smishing messages
Source: OP Financial Group

However, the McAfee app is malware that will allow threat actors to breach victim's bank accounts.

"According to reports received by the Cyber Security Center, targets are encouraged to download a McAfee application," reads the notice. (machine translated)

"The download link offers an .apk application hosted outside the app store for Android devices. However, this is not antivirus software but malware to be installed on the phone."

The OP Financial Group, a major financial service provider in the country, has also issued an alert on its website about the deceitful messages impersonating banks or national authorities.

The police also highlighted the threat, warning that the malware enables its operators to log in to the victim's banking account and transfer money. In one case, a victim lost 95,000 euros ($102,000).

Traficom says the campaign targets exclusively Android devices, and there's no separate infection chain for Apple iPhone users.

Attack overview
Source: Traficom

Vultur trojan suspected

Although the authorities in Finland haven't determined the type of malware and have not shared any hashes or IDs for the APK files, the attacks resemble those Fox-IT analysts recently reported in connection to a new version of the Vultur trojan.

The new Vultur version entered circulation recently, using hybrid smishing and phone call attacks to convince targets to download a fake McAfee Security app, which introduces the final payload in three separate parts for evasion.

Its latest features include extensive file management operations, abuse of Accessibility Services, blocking of specific apps from executing on the device, disabling Keyguard, and serving custom notifications in the status bar.

If you have installed the malware, you should contact your bank immediately to enable protection measures and restore "factory settings" on the infected Android device to wipe all data and apps.

OP says they don't ask customers to share any sensitive data over the phone or install any app to be able to receive or cancel payments, so similar requests should be immediately reported to the bank's customer service and the police.

Google has previously confirmed to BleepingComputer that Android's in-built anti-malware tool, Play Protect, automatically protects against known versions of Vultur, so keeping it active at all times is crucial.

Source: bleepingcomputer.com

City of Wichita shuts down IT network after ransomware attack

Sat, 11 May 2024 01:00:00 GMT

The City of Wichita, Kansas, disclosed it was forced to shut down portions of its network after suffering last weekend ransomware attack.

Wichita is the largest city in Kansas, with a population of 400,000 people, ranking it among the top 50 largest cities in the United States.

In a rare display of transparency, the City confirmed they suffered the attack on Sunday, May 5th, when IT systems were encrypted with ransomware.

In response to the attack, the City shut down its computer network to prevent the spread of the ransomware to other devices.

At this time, it is not known whether data has been stolen. However, it is very common for ransomware gangs to steal data in compromised networks for days, if not weeks, before deploying their encryptors.

"We are completing a thorough review and assessment of this matter, including the potential impact on data. Detailed assessments of these types of incidents take time," government officials shared on the City of Wichita's website.

BleepingComputer has determined that the online payment systems for the City are down, including those for paying the water bill and court citations and tickets.

The City says that first responders are still providing services, with the police and fire departments switching to business continuity measures where necessary.

While the city is not sharing what ransomware gang is behind the attack, they have reported the incident to local and federal law enforcement, which is assisting in the response to the attack.

Source: bleepingcomputer.com

Thành phố Wichita tắt hệ thống mạng sau cuộc tấn công bằng ransomware

Fri, 10 May 2024 05:00:00 GMT

Thành phố Wichita, Kansas, tiết lộ rằng họ đã buộc phải đóng cửa một phần mạng lưới của mình sau khi hứng chịu một cuộc tấn công bằng ransomware vào cuối tuần trước.

Wichita là thành phố lớn nhất ở Kansas, với dân số 400.000 người, nằm trong top 50 thành phố lớn nhất nước Mỹ.

Wichita đã thể hiện sự minh bạch hiếm hoi khi xác nhận rằng họ đã hứng chịu cuộc tấn công vào Chủ nhật, ngày 5 tháng 5, khi hệ thống CNTT bị mã hóa bằng ransomware.

Để đối phó với cuộc tấn công, Wichita đã tắt mạng máy tính của mình để ngăn chặn sự lây lan của phần mềm ransomware sang các thiết bị khác.

Tại thời điểm này, vẫn chưa biết liệu dữ liệu có bị đánh cắp hay không. Tuy nhiên, việc các nhóm ransomware đánh cắp dữ liệu trong các mạng bị xâm nhập trong nhiều ngày, nếu không muốn nói là vài tuần, trước khi triển khai bộ mã hóa của chúng là điều rất phổ biến.

Các quan chức chính phủ chia sẻ trên trang web của Wichita: “Chúng tôi đang hoàn tất việc xem xét và đánh giá kỹ lưỡng về vấn đề này, bao gồm cả tác động tiềm tàng đối với dữ liệu. Đánh giá chi tiết về các loại sự cố này cần có thời gian”.

BleepingComputer đã xác định rằng hệ thống thanh toán trực tuyến của Wichita đang ngừng hoạt động, bao gồm cả hệ thống thanh toán hóa đơn nước, giấy phạt và vé của tòa án.

Wichita cho biết những người ứng phó đầu tiên vẫn đang cung cấp dịch vụ, trong khi cảnh sát và sở cứu hỏa chuyển sang các biện pháp tiếp tục kinh doanh khi cần thiết.

Mặc dù Wichita không chia sẻ nhóm ransomware đứng sau vụ tấn công là gì, nhưng họ đã báo cáo vụ việc cho cơ quan thực thi pháp luật địa phương và liên bang, cơ quan đang hỗ trợ ứng phó với vụ tấn công.

Nguồn: bleepingcomputer.com

Phần Lan cảnh báo các cuộc tấn công phần mềm độc hại trên Android xâm phạm tài khoản ngân hàng

Fri, 10 May 2024 05:00:00 GMT

Cơ quan Giao thông và Truyền thông Phần Lan (Traficom) đang cảnh báo về một chiến dịch phần mềm độc hại trên Android đang diễn ra nhằm xâm phạm các tài khoản ngân hàng trực tuyến.

Cơ quan này đã nêu nhiều trường hợp điển hình về tin nhắn SMS viết bằng tiếng Phần Lan hướng dẫn người nhận gọi đến một số điện thoại. Kẻ lừa đảo trả lời cuộc gọi sẽ hướng dẫn nạn nhân cài đặt ứng dụng McAfee để bảo vệ.

Các tin nhắn được cho là được gửi từ các ngân hàng hoặc nhà cung cấp dịch vụ thanh toán như MobilePay và chúng sử dụng công nghệ giả mạo để trông như thể chúng đến từ một nhà khai thác viễn thông trong nước hoặc mạng địa phương.

Mẫu tin nhắn smishing

Nguồn: OP Financial Group

Tuy nhiên, ứng dụng McAfee là phần mềm độc hại cho phép các tác nhân đe dọa xâm nhập tài khoản ngân hàng của nạn nhân.

Thông báo viết: “Theo báo cáo mà Trung tâm An ninh mạng nhận được, các mục tiêu được khuyến khích tải xuống ứng dụng McAfee”.

"Liên kết tải xuống cung cấp một ứng dụng .apk được lưu trữ bên ngoài cửa hàng ứng dụng dành cho thiết bị Android. Tuy nhiên, đây không phải là phần mềm chống vi-rút mà là phần mềm độc hại được cài đặt trên điện thoại."

Tập đoàn tài chính OP, một nhà cung cấp dịch vụ tài chính lớn trong nước, cũng đã đưa ra cảnh báo trên trang web của mình về những tin nhắn lừa đảo mạo danh ngân hàng hoặc chính quyền quốc gia.

Cảnh sát cũng nhấn mạnh mối đe dọa, cảnh báo rằng phần mềm độc hại cho phép người điều hành đăng nhập vào tài khoản ngân hàng của nạn nhân và chuyển tiền. Trong một trường hợp nạn nhân đã bị mất 95.000 euro (102.000 USD).

Traficom cho biết chiến dịch này chỉ nhắm mục tiêu đến các thiết bị Android và không có chuỗi lây nhiễm riêng cho người dùng iPhone của Apple.

Tổng quan về cuộc tấn công

Nguồn: Traficom

Vultur nghi ngờ có trojan

Mặc dù chính quyền Phần Lan chưa xác định loại phần mềm độc hại và chưa chia sẻ bất kỳ hàm băm hoặc ID nào cho các tệp APK, nhưng các cuộc tấn công giống với các nhà phân tích Fox-IT đã báo cáo gần đây liên quan đến phiên bản mới của trojan Vultur.

Phiên bản Vultur mới được đưa vào lưu hành gần đây, sử dụng các cuộc tấn công giả mạo và cuộc gọi điện thoại để thuyết phục các mục tiêu tải xuống ứng dụng McAfee Security giả mạo, ứng dụng này giới thiệu tải trọng cuối cùng thành ba phần riêng biệt để trốn tránh.

Các tính năng mới nhất của nó bao gồm các hoạt động quản lý tệp mở rộng, lạm dụng Dịch vụ trợ năng, chặn các ứng dụng cụ thể thực thi trên thiết bị, vô hiệu hóa Keyguard và cung cấp thông báo tùy chỉnh trên thanh trạng thái.

Nếu người dùng đã cài đặt phần mềm độc hại, thì nên liên hệ ngay với ngân hàng của mình để kích hoạt các biện pháp bảo vệ và khôi phục "cài đặt gốc" trên thiết bị Android bị nhiễm để xóa tất cả dữ liệu và ứng dụng.

OP cho biết họ không yêu cầu khách hàng chia sẻ bất kỳ dữ liệu nhạy cảm nào qua điện thoại hoặc cài đặt bất kỳ ứng dụng nào để có thể nhận hoặc hủy thanh toán, vì vậy những yêu cầu tương tự phải được báo ngay cho bộ phận dịch vụ khách hàng của ngân hàng và cảnh sát.

Google trước đây đã xác nhận với BleepingComputer rằng công cụ chống phần mềm độc hại tích hợp sẵn của Android, Play Protect, tự động bảo vệ khỏi các phiên bản Vultur đã biết, vì vậy việc giữ cho nó luôn hoạt động là rất quan trọng.

Nguồn: bleepingcomputer.com

Android bug leaks DNS queries even when VPN kill switch is enabled

Fri, 10 May 2024 00:00:01 GMT

A Mullvad VPN user has discovered that Android devices leak DNS queries when switching VPN servers even though the "Always-on VPN" feature was enabled with the "Block connections without VPN" option.

"Always-on VPN" is designed to start the VPN service when the device boots and keep it running while the device or profile is on.

Enabling the "Block Connections Without VPN" option (also known as a kill switch) ensures that ALL network traffic and connections pass through the always-connected VPN tunnel, blocking prying eyes from monitoring the users' web activity.

However, as Mullvad found out while investigating the issue spotted on April 22, an Android bug leaks some DNS information even when these features are enabled on the latest OS version (Android 14).

This bug occurs while using apps that make direct calls to the getaddrinfo C function, which provides protocol-independent translation from a text hostname to an IP address.

They discovered that Android leaks DNS traffic when a VPN is active (but no DNS server has been configured) or when a VPN app re-configures the tunnel, crashes, or is forced to stop.

"We have not found any leaks from apps that only use Android API:s such as DnsResolver. The Chrome browser is an example of an app that can use getaddrinfo directly," Mullvad explained.

"The above applies regardless of whether 'Always-on VPN' and 'Block connections without VPN' is enabled or not, which is not expected OS behavior and should therefore be fixed upstream in the OS."

Potential mitigations

Mullvad said that the first DNS leak scenario, where the user switches to another server or changes the DNS server, can be mitigated easily by setting a bogus DNS server while the VPN app is active.

However, it has yet to find a fix for the VPN tunnel reconnect DNS query leak, which is valid for all other Android VPN apps seeing that they're also likely impacted by this issue.

"It should be made clear that these workarounds should not be needed in any VPN app. Nor is it wrong for an app to use getaddrinfo to resolve domain names," Mullvad explained.

"Instead, these issues should be addressed in the OS in order to protect all Android users regardless of which apps they use."

In October 2022, Mullvad also found that Android devices were leaking DNS queries (e.g., IP addresses, DNS lookups, and HTTPS traffic) every time they connected to a WiFi network because of connectivity checks even if "Always-on VPN" was toggled on with "Block connections without VPN" enabled.

DNS traffic leaks present a significant risk to user privacy, potentially exposing their approximate locations and the online platforms they engage with.

Given the seriousness of this issue, you may want to stop using Android devices for sensitive activities or implement additional safeguards to mitigate the risk of such leaks until Google resolves the bug and backports the patch to older Android versions.

Update May 03, 17:02 EDT: A Google spokesperson sent the following statement: "Android security and privacy is a top priority. We're aware of this report and are looking into its findings."

Source: bleepingcomputer.com

Lỗi Android làm rò rỉ truy vấn DNS ngay cả khi tính năng tắt VPN được bật

Thu, 09 May 2024 05:00:01 GMT

Một người dùng Mullvad VPN đã phát hiện ra rằng các thiết bị Android rò rỉ truy vấn DNS khi chuyển đổi máy chủ VPN mặc dù tính năng "VPN luôn bật" đã được bật với tùy chọn "Chặn kết nối không có VPN".

"VPN luôn bật" được thiết kế để khởi động dịch vụ VPN khi thiết bị khởi động và duy trì dịch vụ này chạy trong khi thiết bị hoặc cấu hình được bật.

Việc bật tùy chọn "Chặn kết nối không có VPN" (còn được gọi là khóa chuyển đổi) đảm bảo rằng TẤT CẢ lưu lượng truy cập và kết nối mạng đều đi qua tunnel VPN luôn được kết nối, chặn những hành động tò mò theo dõi hoạt động web của người dùng.

Tuy nhiên, như Mullvad đã phát hiện ra khi điều tra sự cố được phát hiện vào ngày 22 tháng 4, một lỗi Android đã rò rỉ một số thông tin DNS ngay cả khi các tính năng này được bật trên phiên bản hệ điều hành mới nhất (Android 14).

Lỗi này xảy ra khi sử dụng các ứng dụng thực hiện cuộc gọi trực tiếp đến hàm getaddrinfo C, hàm này cung cấp bản dịch độc lập với giao thức từ tên máy chủ văn bản sang địa chỉ IP.

Họ phát hiện ra rằng Android làm rò rỉ lưu lượng DNS khi VPN đang hoạt động (nhưng chưa có máy chủ DNS nào được định cấu hình) hoặc khi ứng dụng VPN định cấu hình lại tunnel, gặp sự cố hoặc buộc phải dừng.

Mullvad giải thích: "Chúng tôi không tìm thấy bất kỳ rò rỉ nào từ các ứng dụng chỉ sử dụng API Android: chẳng hạn như DnsResolver. Trình duyệt Chrome là một ví dụ về ứng dụng có thể sử dụng getaddrinfo trực tiếp".

"Điều trên áp dụng bất kể 'VPN luôn bật' và 'Chặn kết nối không có VPN' có được bật hay không, đây là việc không được mong đợi của hệ điều hành và do đó phải được khắc phục ngược dòng trong hệ điều hành."

Cách giảm thiểu rủi ro

Mullvad cho biết, kịch bản rò rỉ DNS đầu tiên, trong đó người dùng chuyển sang máy chủ khác hoặc thay đổi máy chủ DNS, có thể được giảm thiểu dễ dàng bằng cách đặt máy chủ DNS giả trong khi ứng dụng VPN đang hoạt động.

Tuy nhiên, họ vẫn chưa tìm ra cách khắc phục sự cố rò rỉ truy vấn DNS kết nối lại tunnel VPN. Điều này áp dụng cho tất cả các ứng dụng VPN Android khác vì cũng có thể bị ảnh hưởng bởi sự cố này.

Mullvad giải thích: “Cần phải làm rõ rằng những cách giải quyết này không cần thiết trong bất kỳ ứng dụng VPN nào. Việc ứng dụng sử dụng getaddrinfo để phân giải tên miền cũng không có gì sai”.

"Thay vào đó, những vấn đề này cần được giải quyết trong hệ điều hành để bảo vệ tất cả người dùng Android bất kể họ sử dụng ứng dụng nào."

Vào tháng 10 năm 2022, Mullvad cũng phát hiện ra rằng các thiết bị Android đang rò rỉ các truy vấn DNS (ví dụ: địa chỉ IP, tra cứu DNS và lưu lượng HTTPS) mỗi khi chúng kết nối với mạng Wi-Fi do quá trình kiểm tra kết nối ngay cả khi đã bật chế độ "VPN luôn bật" đã bật "Chặn kết nối không có VPN".

Rò rỉ lưu lượng DNS gây ra rủi ro đáng kể đối với quyền riêng tư của người dùng, có khả năng làm lộ vị trí gần đúng của họ và nền tảng trực tuyến mà họ tương tác.

Do mức độ nghiêm trọng của vấn đề này, bạn có thể muốn ngừng sử dụng thiết bị Android cho các hoạt động nhạy cảm hoặc triển khai các biện pháp bảo vệ bổ sung để giảm thiểu nguy cơ rò rỉ như vậy cho đến khi Google giải quyết lỗi và chuyển bản vá sang các phiên bản Android cũ hơn.

Cập nhật ngày 03 tháng 5, 17:02 EDT: Người phát ngôn của Google đã gửi thông báo sau: "Bảo mật và quyền riêng tư của Android là ưu tiên hàng đầu. Chúng tôi đã biết về báo cáo này và đang xem xét những phát hiện của nó."

Nguồn: bleepingcomputer.com

Google rolls back reCaptcha update to fix Firefox issues

Thu, 09 May 2024 00:00:00 GMT

Google has rolled back a recent release of its reCaptcha captcha script after a bug caused the service to no longer work on Firefox for Windows.

On May 2, BleepingComputer received multiple reports that reCaptcha stopped working in the latest version of Mozilla Firefox, with the issues also reported on Twitter and Reddit.

BleepingComputer tested reCaptcha on our devices and confirmed that the service no longer worked in Firefox. Instead, the reCaptcha prompt would show an endlessly spinning circle instead of performing the regular captcha routine, as shown below.

Endlessly spinning reCaptcha circle
Source: BleepingComputer

According to a Mozilla bug report, the issue was related to reCaptcha's dark mode detection routine for Firefox in Windows.

The script attempted to modify a div's background color using document.body.removeChild , but as the script was loaded in the HTML head, the DOM had not loaded yet and document.body was not available, causing the script error.

As a temporary workaround, users could change their browser user agent to one for Microsoft Edge and Google Chrome, and reCaptcha would work again.

Mozilla Firefox software engineer Dennis Schubert confirmed the bug, stating that Google acknowledged it was an issue in their script rather than the browser and was working on a fix.

"Yes, Google is rolling out a fix. It seems to work in several of our internal tests on multiple continents, but we'll keep this bug open until we're sure it's fixed for everyone," posted Schubert.

An hour later, Google reverted back to an earlier version of the script, fixing the bug for Firefox users.

While some were quick to pin this as being intentional by Google, it appears to be a mistake that was quickly resolved.

Source: BleepingComputer

Google khôi phục bản cập nhật reCaptcha để khắc phục sự cố Firefox

Wed, 08 May 2024 05:00:00 GMT

Google đã khôi phục bản phát hành gần đây của tập lệnh captcha reCaptcha vì mắc một lỗi đã khiến dịch vụ này không còn hoạt động trên Firefox dành cho Windows.

Ngày 2 tháng 5, BleepingComputer đã nhận được nhiều thông tin về reCaptcha đã ngừng hoạt động với phiên bản Mozilla Firefox mới nhất, cùng với các vấn đề cũng được báo cáo trên Twitter và Reddit.

BleepingComputer đã thử nghiệm reCaptcha trên thiết bị của Google và xác nhận rằng dịch vụ này không còn hoạt động trong Firefox nữa. Thay vào đó, lời nhắc reCaptcha sẽ hiển thị một quy trình tuần hoàn vô tận thay vì thực hiện quy trình xác thực thông thường như minh họa bên dưới.

Quy trình tuần hoàn reCaptcha vô tận

Nguồn: BleepingComputer

Theo báo cáo lỗi của Mozilla, vấn đề này liên quan đến quy trình phát hiện chế độ nền tối (dark mode) của reCaptcha cho Firefox trong Windows.

Mặc dù tập lệnh đã được sửa đổi màu background của div bằng cách sử dụng document.body.removeChild, nhưng do tập lệnh được tải trong phần HTML nên DOM chưa được tải và document.body không khả dụng, gây ra lỗi tập lệnh.

Đây có thể là một giải pháp tạm thời và người dùng có thể thay đổi user agent trình duyệt của họ thành user agent cho Microsoft Edge và Google Chrome và reCaptcha sẽ hoạt động trở lại.

Kỹ sư phần mềm Mozilla Firefox, Dennis Schubert đã xác nhận lỗi này và nói rằng Google thừa nhận đây là sự cố trong tập lệnh của họ chứ không phải do trình duyệt và đang tìm cách khắc phục.

Schubert đã đăng: "Google đang phát hành bản sửa lỗi và chúng dường như hiệu quả trong một số thử nghiệm nội bộ của chúng tôi trên nhiều châu lục, nhưng chúng tôi sẽ tiếp tục sửa lỗi này cho đến khi chắc chắn rằng nó đã được sửa cho tất cả mọi người".

Một giờ sau, Google quay lại phiên bản cũ hơn của tập lệnh và sửa lỗi cho người dùng Firefox.

Mặc dù một số người cho rằng đây là hành động cố ý của Google nhưng có vẻ như đây thực sự là một sai sót và họ đã nhanh chóng giải quyết.

Nguồn: bleepingcomputer.com

FBI warns against using unlicensed crypto transfer services

Wed, 08 May 2024 00:00:00 GMT

The FBI has warned on April 25 that using unlicensed cryptocurrency transfer services can result in financial loss if law enforcement takes down these platforms.

This announcement is aimed at crypto transfer platforms not registered as Money Services Businesses (MSB) and non-compliant with anti-money laundering requirements as mandated by U.S. federal law.

Such cryptocurrency services are frequently targeted by law enforcement operations, particularly if criminals use them to transfer or launder funds acquired through unlawful means.

In a public service announcement published on its Internet Crime Complaint Center on April 25, the FBI said, "Using a service that does not comply with its legal obligations may put you at risk of losing access to funds after law enforcement operations target those businesses."

"Using a service that does not comply with its legal obligations may put you at risk of losing access to funds after law enforcement operations target those businesses."

Those who want to use such transfer services to send cryptocurrency should protect themselves against financial risks posed by unlicensed platforms by:

Checking here if they're registered as an MSB with the U.S. Treasury Department's Financial Crimes Enforcement Network (FinCEN).
Being wary of financial services that do not ask for KYC information, including name, date of birth, address, and ID, before allowing you to send or receive money or cryptocurrency.
Understanding that just because an app can be found in an app store does not necessarily mean it is a legal service and is complying with federal requirements.
Avoiding using services that advertise themselves for illegal purposes.
Being cautious when using cryptocurrency services known to be used by criminals to launder their funds.

Follow-up to Samourai crypto mixer takedown

The FBI's warning follows the recently announced takedown of Samourai, an illicit cryptocurrency transfer platform that also provided a crypto mixer service that allowed the laundering of funds sourced from criminal activity.

Icelandic law enforcement seized Samourai's domains (samourai[.]io and samouraiwallet[.]com) and web servers. The Google Play Store also removed the Samourai Wallet Android mobile app (downloaded over 100,000 times) after it was served with a seizure warrant.

The U.S. Department of Justice also charged Keonne Rodriguez and William Lonergan Hill, the platform's founders and operators, for laundering over $100 million from various criminal enterprises through Samourai's crypto mixing services and collecting around $4.5 million in fees.

According to the superseding indictment, "Since the start of the Whirlpool service in or about 2019 and of the Ricochet service in or about 2017, over 80,000 BTC (worth over $2 billion applying the BTC-USD conversion rates at the time of each transaction) has passed through these two services operated by Samourai."

"While offering Samourai as a 'privacy' service, the defendants knew that it was a haven for criminals to engage in large-scale money laundering and sanctions evasion," the DOJ said.

Source:bleepingcomputer.com

FBI cảnh báo không sử dụng dịch vụ chuyển tiền điện tử không được cấp phép

Tue, 07 May 2024 05:00:01 GMT

Ngày 25 tháng 4 FBI đã cảnh báo rằng việc sử dụng các dịch vụ chuyển tiền điện tử không được cấp phép có thể dẫn đến tổn thất tài chính nếu cơ quan thực thi pháp luật gỡ bỏ các nền tảng này.

Thông báo này nhằm vào các nền tảng chuyển tiền điện tử chưa được đăng ký là Doanh nghiệp Dịch vụ Tiền tệ (MSB) và không tuân thủ các yêu cầu chống rửa tiền theo quy định của luật liên bang Hoa Kỳ.

Các dịch vụ tiền điện tử như vậy thường xuyên là mục tiêu của các hoạt động thực thi pháp luật, đặc biệt nếu bọn tội phạm sử dụng chúng để chuyển hoặc rửa tiền có được thông qua các phương tiện bất hợp pháp.

Trong một thông báo dịch vụ công trên Trung tâm Khiếu nại Tội phạm Internet ngày 25 tháng 4, FBI cho biết: “Việc sử dụng một dịch vụ không tuân thủ các nghĩa vụ pháp lý của họ có thể khiến bạn có nguy cơ mất quyền truy cập vào các quỹ sau khi các hoạt động thực thi pháp luật nhắm vào các doanh nghiệp đó”.

"Việc sử dụng một dịch vụ không tuân thủ các nghĩa vụ pháp lý có thể khiến bạn có nguy cơ mất quyền truy cập vào nguồn vốn sau khi các hoạt động thực thi pháp luật nhắm vào các doanh nghiệp đó." - thông báo cho biết.

Những người muốn sử dụng các dịch vụ chuyển tiền như vậy để gửi tiền điện tử nên tự bảo vệ mình trước những rủi ro tài chính do các nền tảng không được cấp phép gây ra bằng cách:

Đánh dấu vào đây xem họ có được đăng ký là MSB với Mạng lưới Thực thi Tội phạm Tài chính (FinCEN) của Bộ Tài chính Hoa Kỳ hay không.
Hãy cảnh giác với các dịch vụ tài chính không yêu cầu thông tin KYC, bao gồm tên, ngày sinh, địa chỉ và ID trước khi cho phép bạn gửi hoặc nhận tiền hoặc tiền điện tử.
Hiểu rằng chỉ vì một ứng dụng có thể được tìm thấy trong cửa hàng ứng dụng không nhất thiết có nghĩa đó là một dịch vụ hợp pháp và tuân thủ các yêu cầu của liên bang.
Tránh sử dụng các dịch vụ tự quảng cáo cho mục đích bất hợp pháp.
Hãy thận trọng khi sử dụng các dịch vụ tiền điện tử được bọn tội phạm sử dụng để rửa tiền.

Theo dõi việc gỡ bỏ máy trộn tiền điện tử Samourai

Cảnh báo của FBI diễn ra sau vụ triệt phá Samourai được thông báo gần đây, một nền tảng chuyển tiền điện tử bất hợp pháp cũng cung cấp dịch vụ trộn tiền điện tử cho phép rửa tiền có nguồn gốc từ hoạt động tội phạm.

Cơ quan thực thi pháp luật Iceland đã tịch thu các miền của Samourai (samourai[.]io và samouraiwallet[.]com) và máy chủ web. Cửa hàng Google Play cũng đã xóa ứng dụng di động Samourai Wallet Android (được tải xuống hơn 100.000 lần) sau khi ứng dụng này nhận được lệnh tịch thu.

Bộ Tư pháp Hoa Kỳ cũng buộc tội Keonne Rodriguez và William Lonergan Hill, những người sáng lập và điều hành nền tảng này, vì tội rửa hơn 100 triệu đô la từ các doanh nghiệp tội phạm khác nhau thông qua các dịch vụ trộn tiền điện tử của Samourai và thu khoảng 4,5 triệu đô la phí.

Theo bản cáo trạng thay thế, “Kể từ khi bắt đầu dịch vụ Whirlpool vào khoảng năm 2019 và dịch vụ Ricochet vào khoảng năm 2017, hơn 80.000 BTC (trị giá hơn 2 tỷ USD áp dụng tỷ giá chuyển đổi BTC-USD tại thời điểm mỗi giao dịch) đã đi qua hai tuyến này do Samourai khai thác."

DOJ cho biết: “Khi cung cấp Samourai như một dịch vụ ‘quyền riêng tư’, các bị cáo biết rằng đây là nơi trú ẩn cho bọn tội phạm tham gia vào hoạt động rửa tiền quy mô lớn và trốn tránh các lệnh trừng phạt”.

Nguồn: bleepingcomputer.com

LA County Health Services: Patients' data exposed in phishing attack

Tue, 07 May 2024 00:00:00 GMT

The Los Angeles County Department of Health Services disclosed a data breach after thousands of patients' personal and health information was exposed in a data breach resulting from a recent phishing attack impacting over two dozen employees.

This integrated health system operates the public hospitals and clinics in L.A. County (the most populous county in the United States) and is the second largest public health care system in the country after NYC Health + Hospitals.

As revealed in data breach notifications sent to potentially affected individuals, 23 employees had their mailboxes compromised after their credentials were stolen in a February attack.

As a result, the attackers gained access to patients' personal and health data stored in the employees' e-mail inboxes.

"DHS conducted an administrative review and determined that approximately 6,085 individuals' information may have been impacted," L.A. County Health Services told BleepingComputer in a statement.

"Between February 19, 2024, and February 20, 2024, DHS experienced a phishing attack. Specifically, a hacker was able to gain log-in credentials of 23 DHS employees through a phishing e-mail," the notifications also revealed.

"In this case, the DHS employees clicked on the link located in the body of the e-mail, thinking that they were accessing a legitimate message from a trustworthy sender."

Documents and e-mails in the compromised mailboxes included a combination of patients' personal and health information, including:

first and last name, date of birth, home address, phone number(s), e-mail address, medical record number, client identification number, dates of service
medical information (e.g., diagnosis/condition, treatment, test results, medications),
and/or health plan information.

Affected individuals may have been impacted differently, and the data stored in the breached e-mail inboxes did not include Social Security Numbers (SSNs) or financial information.

After discovering the breach, L.A. County Health Services disabled the impacted e-mail accounts, reset and re-imaged the compromised employees' devices, and quarantined all suspicious incoming e-mails. It also circulated awareness notifications to all employees, reminding them to always be vigilant when reviewing e-mails, especially those with attachments or links.

The health system will also notify the U.S. Department of Health & Human Services' Office for Civil Rights, the California Department of Public Health, and other relevant agencies of the data breach.

Additionally, even though no evidence was found during the investigation that the attackers accessed or misused the exposed personal and health information, L.A. County Health Services advises affected patients to contact their healthcare providers to verify the content and accuracy of their medical records.

Source: bleepingcomputer.com

Dịch vụ Y tế Quận LA cho biết: Dữ liệu của bệnh nhân bị lộ trong cuộc tấn công lừa đảo

Mon, 06 May 2024 05:00:00 GMT

Sở Y tế Quận Los Angeles đã tiết lộ một vụ tấn công dữ liệu sau khi thông tin về cá nhân và sức khỏe của bệnh nhân bị lộ trong một vụ vi phạm dữ liệu do một cuộc tấn công lừa đảo gần đây ảnh hưởng đến hơn hai mươi nhân viên.

Hệ thống y tế tích hợp này vận hành các bệnh viện và phòng khám công tại Quận L.A. (quận đông dân nhất Hoa Kỳ) và là hệ thống chăm sóc sức khỏe cộng đồng lớn thứ hai trong cả nước sau NYC Health + Hospitals.

Như thông tin được tiết lộ trong các thông báo vi phạm dữ liệu được gửi tới một số cá nhân có khả năng bị ảnh hưởng không được tiết lộ, 23 nhân viên đã bị đánh cắp thông tin đăng nhập trong một cuộc tấn công vào tháng Hai.

Thông báo tiết lộ: “Trong khoảng thời gian từ ngày 19 tháng 2 năm 2024 đến ngày 20 tháng 2 năm 2024, DHS đã trải qua một cuộc tấn công lừa đảo. Cụ thể, một hacker đã có thể lấy được thông tin đăng nhập của 23 nhân viên DHS thông qua một email lừa đảo”.

“Trong trường hợp này, nhân viên DHS đã nhấp vào liên kết nằm trong nội dung email vì nghĩ rằng họ đang truy cập một tin nhắn hợp pháp từ một người gửi đáng tin cậy.”

Tài liệu và e-mail trong hộp thư bị xâm nhập bao gồm thông tin cá nhân và sức khỏe của bệnh nhân như:

Họ và tên, ngày sinh, địa chỉ nhà, số điện thoại, địa chỉ email, số hồ sơ y tế, số nhận dạng khách hàng, ngày cung cấp dịch vụ
Thông tin y tế (ví dụ: chẩn đoán/tình trạng, điều trị, kết quả xét nghiệm, thuốc),
Thông tin về chương trình sức khỏe.

Các cá nhân bị ảnh hưởng có thể bị ảnh hưởng theo cách khác nhau và dữ liệu được lưu trữ trong hộp thư đến email bị tấn công không bao gồm Số An sinh Xã hội (SSN) hoặc thông tin tài chính.

Sau khi phát hiện ra hành vi tấn công, Dịch vụ Y tế Quận L.A. đã vô hiệu hóa các tài khoản email bị ảnh hưởng, đặt lại và chụp ảnh lại thiết bị của nhân viên bị xâm nhập, đồng thời cô lập tất cả các email đến đáng ngờ. Việc này cũng giúp lan truyền các thông báo nâng cao nhận thức cho tất cả nhân viên, nhắc nhở họ luôn cảnh giác khi xem lại e-mail, đặc biệt là những email có tệp đính kèm hoặc liên kết.

Hệ thống y tế cũng sẽ thông báo cho Văn phòng Dân quyền của Bộ Y tế & Dịch vụ Nhân sinh Hoa Kỳ, Bộ Y tế Công cộng California và các cơ quan liên quan khác về việc vi phạm dữ liệu.

Ngoài ra, mặc dù không tìm thấy bằng chứng nào trong quá trình điều tra cho thấy những kẻ tấn công đã truy cập hoặc lạm dụng thông tin cá nhân và sức khỏe bị lộ, Dịch vụ Y tế Quận L.A. khuyên các bệnh nhân bị ảnh hưởng nên liên hệ với nhà cung cấp dịch vụ chăm sóc sức khỏe của họ để xác minh nội dung và tính chính xác của hồ sơ y tế của họ.

BleepingComputer đã liên hệ với người phát ngôn của Dịch vụ Y tế Quận L.A. để đặt thêm câu hỏi về vụ việc, nhưng chưa có phản hồi.

Nguồn: bleepingcomputer.com

US charges Samourai cryptomixer founders for laundering $100 million

Mon, 06 May 2024 00:00:00 GMT

Keonne Rodriguez and William Lonergan Hill have been charged by the U.S. Department of Justice for laundering more than $100 million from various criminal enterprises through Samourai, a cryptocurrency mixer service they ran for nearly a decade.

As detailed in a superseding indictment, criminals also used Samourai's Whirlpool crypto mixer to process over $2 billion in illicit funds between 2015 and February 2024.

In addition to crypto mixing services, Samourai also offered a service called "Ricochet," which allowed users to send cryptocurrency using additional and unnecessary intermediate transactions to thwart law enforcement and crypto exchange efforts to track funds sourced from criminal activity.

This money laundering activity allegedly earned the two founders around $4.5 million in fees for Whirlpool and Ricochet transactions.

"Since the start of the Whirlpool service in or about 2019, and of the Ricochet service in or about 2017, over 80,000 BTC (worth over $2 billion applying the BTC-USD conversion rates at the time of each transaction) has passed through these two services operated by Samourai," the indictment alleges.

Samourai's Wallet mobile application was also downloaded over 100,000 times, allowing users to store private keys for BTC addresses they controlled and exchange funds with other Samourai users in anonymous financial transactions.

Icelandic law enforcement has seized Samourai's domains (samourai[.]io and samouraiwallet[.]com) and web servers, and the Google Play Store removed the Android mobile app after being served a seizure warrant.

Samourai seizure banner (DOJ)

Rodriguez was taken into custody morning of April 24 and will appear before a U.S. Magistrate Judge in the Western District of Pennsylvania in the following days.

Hill was also arrested morning of April 24 in Portugal on U.S. criminal charges, with the U.S. government planning to request his extradition to the United States so that he can stand trial.

They're both charged with two counts of conspiracy: money laundering (20-year maximum sentence) and operating an unlicensed money-transmitting business (5-year maximum sentence).

"While offering Samourai as a 'privacy' service, the defendants knew that it was a haven for criminals to engage in large-scale money laundering and sanctions evasion," the DOJ said.

"Samourai laundered over $100 million of crime proceeds originating from, among other criminal sources, illegal dark web markets, such as Silk Road and Hydra Market; various wire fraud and computer fraud schemes, including a web-server intrusion, a spearphishing scheme, and schemes to defraud multiple decentralized finance protocols; and other illegal.

Source: bleepingcomputer.com

Microsoft releases Exchange hotfixes for security update issues

Sat, 04 May 2024 01:00:00 GMT

Microsoft has released hotfix updates to address multiple known issues impacting Exchange servers after installing the March 2024 security updates.

Although the April 2024 HU is optional, it also adds support for ECC certificates and Hybrid Modern Authentication (HMA) for OWA/ECP.

If you have installed the March 2024 SU and have not experienced any known issues fixed in the optional update and do not need the new features, you can wait for the next Exchange Server SU, which will also include these hotfixes.

"The April 2024 HU includes the same security updates as the March 2024 SU, while addressing known issues with the March 2024 SU," the Exchange Team explained.

"If you did not install the March 2024 SU, you can install the April 2024 HU directly and skip the March 2024 SU."

With this month's hotfixes, Redmond fixed a known issue causing download domains to no longer work as expected in some Microsoft Outlook. This caused inline images to no longer be displayed on Outlook on the Web (OWA) and attachments not being downloaded using the OWA client.

The company also addressed a bug that triggered "We can't open this document" errors and blocked Microsoft Word document previews in Outlook on the Web (OWA).

The list of issues caused by the March 2024 security updates and addressed in April's Exchange hotfixes also includes:

Search error in Outlook cached mode
OwaDeepTestProbe and EacBackEndLogonProbe fail
Edit permissions option in the ECP can't be edited
Outlook doesn't display unread envelope icon
My Templates add-in isn't working
Published calendars might not work with a "This calendar isn't available" error

Microsoft is still working on a fix for another issue where calendar printing in OWA might not work unless the CTRL+P keyboard shortcut is used.

The April 2024 hotfixes are available for Exchange Server 2019 CU13 and CU14 and Exchange Server 2016 CU23.

In January, Redmond announced the end of mainstream support for Exchange Server 2019, saying it will keep releasing patches to fix the latest discovered security issues but will no longer accept requests for bug fixes and Design Change Requests (DCR).

Exchange Server 2016 reached its mainstream end date in October 2020 but is under extended support until October 2025, just like Exchange Server 2019.

The company now provides Microsoft 365 migration information on its documentation site and guidance to help global admins decide the migration path in Exchange Online.

Source: bleepingcomputer.com

Microsoft phát hành bản sửa lỗi Exchange hotfix cho các sự cố cập nhật bảo mật

Fri, 03 May 2024 05:00:00 GMT

Microsoft đã phát hành bản cập nhật hotfix để giải quyết nhiều sự cố ảnh hưởng đến máy chủ Exchange sau khi cài đặt bản cập nhật bảo mật tháng 3 năm 2024.

Mặc dù HU tháng 4 năm 2024 là tùy chọn nhưng nó cũng bổ sung hỗ trợ cho chứng chỉ ECC và Xác thực hiện đại kết hợp (HMA) cho OWA/ECP.

Nếu người dùng đã cài đặt SU tháng 3 năm 2024 và chưa khắc phục bất kỳ sự cố đã biết nào trong bản cập nhật tùy chọn cũng như không cần các tính năng mới, thì có thể đợi Exchange Server SU tiếp theo và cũng sẽ bao gồm các hotfix này.

Nhóm Exchange giải thích: "HU tháng 4 năm 2024 bao gồm các bản cập nhật bảo mật tương tự như SU tháng 3 năm 2024, đồng thời giải quyết các vấn đề đã biết với SU tháng 3 năm 2024".

"Nếu người dùng chưa cài đặt SU tháng 3 năm 2024, bạn có thể cài đặt trực tiếp HU tháng 4 năm 2024 và bỏ qua SU tháng 3 năm 2024."

Với các bản sửa lỗi của tháng này, Redmond đã khắc phục một sự cố khiến miền tải xuống không còn hoạt động như mong đợi trong một số Microsoft Outlook. Điều này khiến hình ảnh nội tuyến không còn được hiển thị trên Outlook trên Web (OWA) và các tệp đính kèm không được tải xuống bằng ứng dụng khách OWA.

Công ty cũng đã giải quyết một lỗi gây ra lỗi "Chúng tôi không thể mở tài liệu này" và chặn tính năng xem trước tài liệu Microsoft Word trong Outlook trên Web (OWA).

Danh sách các sự cố do các bản cập nhật bảo mật tháng 3 năm 2024 gây ra và được giải quyết trong các bản sửa lỗi Exchange tháng bao gồm:

Lỗi tìm kiếm trong chế độ Outlook cached
OwaDeepTestProbe và EacBackEndLogonProbe không thành công
Không thể chỉnh sửa tùy chọn quyền trong ECP
Outlook không hiển thị biểu tượng chưa đọc
Phần bổ trợ My Templates không hoạt động
Lịch (calendar) đã được lên lịch có thể không hoạt động với lỗi "Lịch này không khả dụng"

Microsoft vẫn đang tìm cách khắc phục một sự cố khác khiến việc in lịch trong OWA có thể không hoạt động trừ khi sử dụng phím tắt CTRL+P.

Các hotfix tháng 4 năm 2024 có sẵn cho Exchange Server 2019 CU13 và CU14 và Exchange Server 2016 CU23.

Vào tháng 1, Redmond đã thông báo chấm dứt hỗ trợ chính cho Exchange Server 2019, cho biết họ sẽ tiếp tục phát hành các bản vá để khắc phục các sự cố bảo mật được phát hiện mới nhất nhưng sẽ không chấp nhận yêu cầu sửa lỗi và Yêu cầu Thay đổi Thiết kế (DCR) nữa.

Exchange Server 2016 đã kết thúc chính thức vào tháng 10 năm 2020 nhưng đang được hỗ trợ mở rộng cho đến tháng 10 năm 2025, giống như Exchange Server 2019.

Công ty hiện cung cấp thông tin Microsoft 365 trên trang tài liệu và hướng dẫn của mình để giúp quản trị viên toàn cầu quyết định đường dẫn trong Exchange Online.

Nguồn: bleepingcomputer.com

Hoa Kỳ buộc tội những người sáng lập máy trộn tiền điện tử Samourai vì tội rửa 100 triệu USD

Fri, 03 May 2024 05:00:00 GMT

Keonne Rodriguez và William Lonergan Hill đã bị Bộ Tư pháp Hoa Kỳ buộc tội rửa hơn 100 triệu USD từ các doanh nghiệp tội phạm khác nhau thông qua Samourai, một dịch vụ trộn tiền điện tử mà chúng đã điều hành trong gần một thập kỷ.

Như chi tiết trong bản cáo trạng thay thế, bọn tội phạm cũng đã sử dụng máy trộn tiền điện tử Whirlpool của Samourai để xử lý hơn 2 tỷ USD tiền bất hợp pháp từ năm 2015 đến tháng 2 năm 2024.

Ngoài các dịch vụ trộn tiền điện tử, Samourai còn cung cấp một dịch vụ có tên “Ricochet”, cho phép người dùng gửi tiền điện tử bằng cách sử dụng các giao dịch trung gian bổ sung và không cần thiết để ngăn cản việc thực thi pháp luật và trao đổi tiền điện tử nhằm theo dõi các khoản tiền có nguồn gốc từ hoạt động tội phạm.

Hoạt động rửa tiền này được cho là giúp hai nhà sáng lập kiếm được khoảng 4,5 triệu USD phí cho các giao dịch Whirlpool và Ricochet.

“Kể từ khi bắt đầu dịch vụ Whirlpool vào khoảng năm 2019 và dịch vụ Ricochet vào khoảng năm 2017, hơn 80.000 BTC (trị giá hơn 2 tỷ USD áp dụng tỷ giá chuyển đổi BTC-USD tại thời điểm mỗi giao dịch) đã sử dụng hai dịch vụ này do Samourai điều hành”, theo bản cáo trạng cáo buộc.

Ứng dụng di động Wallet của Samourai cũng đã được tải xuống hơn 100.000 lần, cho phép người dùng lưu trữ khóa riêng cho địa chỉ BTC mà họ kiểm soát và trao đổi tiền với những người dùng Samourai khác trong các giao dịch tài chính ẩn danh.

Cơ quan thực thi pháp luật Iceland đã tịch thu các miền của Samourai (samourai[.]io và samouraiwallet[.]com) cũng như các máy chủ web, đồng thời Cửa hàng Google Play đã xóa ứng dụng di động Android sau khi nhận được lệnh tịch thu.

Thông báo thu giữ Samourai (DOJ)

Rodriguez đã bị bắt sáng ngày 24 tháng 4 và sẽ xuất hiện trước Thẩm phán Sơ thẩm Hoa Kỳ ở Quận Tây Pennsylvania trong những ngày tiếp theo.

Hill cũng bị bắt sáng ngày 24 tháng 4 tại Bồ Đào Nha vì các cáo buộc hình sự của Hoa Kỳ, và chính phủ Hoa Kỳ đang có kế hoạch yêu cầu chuyển anh ta về Hoa Kỳ để anh ta có thể hầu tòa.

Cả hai đều bị buộc tội với hai tội âm mưu: rửa tiền (mức án tối đa 20 năm) và điều hành một doanh nghiệp chuyển tiền không có giấy phép (mức án tối đa 5 năm).

"Samourai đã rửa hơn 100 triệu đô la tiền thu được từ tội phạm có nguồn gốc từ các thị trường web đen bất hợp pháp, như Silk Road và Hydra Market; các kế hoạch lừa đảo qua đường dây và lừa đảo máy tính khác nhau, bao gồm xâm nhập máy chủ web, kế hoạch lừa đảo và âm mưu lừa đảo nhiều giao thức tài chính phi tập trung và các giao thức bất hợp pháp khác;

Nguồn: bleepingcomputer.com

US govt sanctions Iranians linked to government cyberattacks

Fri, 03 May 2024 00:00:01 GMT

The Treasury Department's Office of Foreign Assets Control (OFAC) has sanctioned four Iranian nationals for their involvement in cyberattacks against the U.S. government, defense contractors, and private companies.

OFAC also announced sanctions against two front companies—Mehrsam Andisheh Saz Nik (MASN), formerly Mahak Rayan Afzar, and Dadeh Afzar Arman (DAA)—for the Iranian Islamic Revolutionary Guard Corps Cyber Electronic Command (IRGC-CEC), an Iranian Armed Forces service that coordinates the country's cyber warfare campaigns.

Two of the sanctioned cybercriminals, Alireza Shafie Nasab and Reza Kazemifar Rahman targeted U.S. organizations while employed by MASN. Kazemifar also attacked the Department of the Treasury in spear phishing campaigns.

A third sanctioned Iranian, Hosein Mohammad Harooni, targeted the Treasury Department and other U.S. entities using spear phishing and various social engineering operations.

Komeil Baradaran Salmani, the fourth Iranian sanctioned, was linked to attacks against U.S. orgs coordinated by MASN, DAA, and other IRGC-CEC front companies and IRGC services like the Iranian Organization for Electronic Warfare and Cyber Defense (EWCD).

Although the Iranian threat actors are still at large, today's sanctions have frozen all U.S.-based assets and interests tied to designated individuals and entities.

Entities at least 50% owned by blocked persons are also subject to freeze, and transactions involving their assets are prohibited without OFAC authorization, while financial institutions and other organizations dealing with sanctioned individuals and companies also risk exposure to sanctions or enforcement actions.

The State Department is also offering rewards of up to $10 million for information on Kazemifar, Salmani, and Harooni, as well as the MASN and DAA IRGC-CEC front companies.

Rewards for Justice poster (State Department)

On April 23, the Justice Department also unsealed indictments charging Kazemifar, Salmani, and Harooni for their involvement in a cyber campaign targeting U.S. government agencies, including the U.S. Departments of State and Treasury, and private entities, mainly cleared defense contractors, between 2016 and 2021.

Alireza Shafie Nasab was also indicted in February for attacking U.S. defense contractors and other companies as part of the same multi-year cyber campaign.

"During their campaigns against one victim, the group compromised more than 200,000 employee accounts. In another campaign, the conspirators targeted 2,000 employee accounts," the Justice Department said.

"These defendants are alleged to have engaged in a coordinated, multi-year hacking campaign from Iran targeting more than a dozen American companies and the U.S. Treasury and State Departments," added Attorney General Merrick B. Garland.

The Treasury Department also sanctioned the head of IRGC-CEC, Hamid Reza Lashgarian, and IRGC-CEC senior officials Mahdi Lashgarian, Hamid Homayunfal, Milad Mansuri, Mohammad Bagher Shirinkar, and Reza Mohammad Amin Saberian in early February for their involvement in recent cyberattacks against U.S. critical infrastructure.

Source: bleepingcomputer.com

UnitedHealth CEO tells lawmakers the company paid hackers a $22 million ransom

Thu, 02 May 2024 12:00:03 GMT

KEY POINTS

Senators questioned UnitedHealth Group CEO Andrew Witty on May 1 about a cyberattack on its subsidiary Change Healthcare.
The fallout from the attack temporarily left many doctors without a way to fill prescriptions or get paid for their services.
During the hearing, Witty said UnitedHealth paid a ransom of $22 million to the cybercriminals.
“To all those impacted, let me be very clear: I am deeply, deeply sorry,” Witty said.

UnitedHealth CEO Andrew Witty testifies before the Senate Finance Committee on Capitol Hill on May 1, 2024 in Washington, DC.

Kent Nishimura | Getty Images

UnitedHealth Group CEO Andrew Witty confirmed for the first time that the company paid a $22 million ransom to hackers who breached its subsidiary Change Healthcare and caused widespread fallout across the health-care sector. Witty’s comments were made during a on May 1 hearing before the U.S. Senate Committee on Finance.

Change Healthcare provides payment, revenue management and other solutions like e-prescription software. The company disconnected affected systems when the threat was detected, leaving many doctors temporarily unable to fill prescriptions or get paid for their services.

UnitedHealth told CNBC in April that it paid a ransom to try and protect patient data. Earlier reports had discovered a $22 million transfer on Bitcoin’s blockchain, but the company had not confirmed the figure until now.

“The decision to pay a ransom was mine,” Witty said. “This was one of the hardest decisions I’ve ever had to make, and I wouldn’t wish it on anyone.”

UnitedHealth is one of the largest companies in the world, with a roughly $450 billion market cap. Its business unit Optum — which provides care to 103 million customers — and Change Healthcare — which touches one in three patient records — merged in 2022.

Committee Chairman Sen. Ron Wyden, D-Ore., said in his opening remarks that the Change Healthcare breach serves as a “dire warning about the consequences of too-big-to-fail mega-corporations.”

“Companies that are so big have an obligation to protect their customers and to lead on this issue,” Wyden said.

Witty told the committee that cybercriminals accessed Change Healthcare through a server that was not protected by multi-factor authentication, or MFA, which requires users to verify their identity in at least two different ways. He said UnitedHealth now has MFA in place across all external-facing systems.

“As a result of this malicious cyberattack, patients and providers have experienced disruptions and people are worried about their private health data,” Witty said. “To all those impacted, let me be very clear: I am deeply, deeply sorry.”

Sen. Thom Tillis, R-N.C., held up a bright yellow copy of “Hacking for Dummies” during the hearing, saying the breach is UnitedHealth’s responsibility to fix.

“This is some basic stuff that was missed, so shame on internal audit, external audit and your systems folks tasked with redundancy, they’re not doing their job,” Tillis said.

A filing with the U.S. Securities and Exchange Commission said that UnitedHealth discovered that a cyber threat actor accessed part of Change Healthcare’s information technology network in late February.

Witty said Change Healthcare’s core systems are back online, though some of its secondary support functions are still being restored.

UnitedHealth said in February that the ransomware group Blackcat was behind the attack. Blackcat, which also goes by the names Noberus and ALPHV, steals sensitive data from institutions and threatens to publish it unless a ransom is paid, according to a December release from the U.S. Department of Justice.

UnitedHealth confirmed in April that files containing protected health information and personally identifiable information were compromised in the breach. The company said a data review is ongoing, so it could be months before the company can notify affected individuals.

Witty said on May 1 that UnitedHealth is working with regulators to assess the breach and to inform people if their information has been compromised “as soon as possible.”

Early in March, UnitedHealth launched a temporary funding assistance program to help support providers that have experienced cash flow disruptions due to the cyberattack. There are no fees, interest or other costs on top of the payments, and providers have 45 days to repay the funds once their standard payment operations resume.

During the hearing, Witty said the company has not yet asked anyone for loan repayments, and it will be up to providers to determine when their operations have officially returned to normal.

Witty did not directly disclose whether UnitedHealth will provide additional support to providers who may be contending with other loans and interest payments because of the breach.

Sen. Michael Bennet, D-Colo., pressed Witty to share how UnitedHealth is working to ensure something like the Change Healthcare breach will not happen again. Witty said the company plans to share what it discovers about the breach with others, adding that there’s a need to focus on reducing the rate of cyberattacks on the health-care sector.

“We are clearly trying to take our responsibility in this attack. We are also trying to learn from it,” he said.

Source: cnbc.com

Giám đốc điều hành UnitedHealth xác nhận với các nhà lập pháp việc đã trả cho tin tặc khoản tiền chuộc 22 triệu USD

Thu, 02 May 2024 08:51:32 GMT

NHỮNG ĐIỂM CHÍNH CỦA BÀI VIẾT

Các thượng nghị sĩ đã thẩm vấn Giám đốc điều hành Tập đoàn UnitedHealth Andrew Witty ngày 1 tháng 5 về một cuộc tấn công mạng vào công ty con Change Healthcare.
Hậu quả của cuộc tấn công tạm thời làm cho nhiều bác sĩ không có cách nào mua thuốc theo đơn hoặc được trả tiền cho dịch vụ của họ.
Trong phiên tòa, Witty cho biết UnitedHealth đã trả khoản tiền chuộc 22 triệu USD cho tội phạm mạng.
“Hãy để tôi nói với tất cả những người bị ảnh hưởng bởi cuộc tấn công này : Tôi vô cùng xin lỗi” Witty nói.

Giám đốc điều hành UnitedHealth Andrew Witty tại phiên tòa trước Ủy ban Tài chính Thượng viện Capitol Hill vào ngày 1 tháng 5 năm 2024 tại Washington, DC.

Kent Nishimura | Getty Images

Giám đốc điều hành UnitedHealth Andrew Witty lần đầu tiên xác nhận công ty đã trả khoản tiền chuộc 22 triệu USD cho những tin tặc đã xâm nhập vào công ty con Change Healthcare của họ và gây ra hậu quả lan rộng trong lĩnh vực chăm sóc sức khỏe. Thông tin của Witty được đưa ra trong phiên tòa ngày 1 tháng 5 trước Ủy ban Tài chính Thượng viện Hoa Kỳ.

Change Healthcare cung cấp dịch vụ thanh toán, quản lý doanh thu và các giải pháp khác như phần mềm kê đơn điện tử. Change Healthcare đã ngắt kết nối các hệ thống bị ảnh hưởng khi mối đe dọa được phát hiện, dẫn đến nhiều bác sĩ tạm thời không thể mua thuốc theo đơn hoặc được trả tiền cho dịch vụ của họ.

UnitedHealth thông báo vào tháng 4 với CNBC rằng họ đã trả tiền chuộc để cố gắng bảo vệ dữ liệu của bệnh nhân. Các báo cáo trước đó đã phát hiện ra một khoản chuyển khoản trị giá 22 triệu USD trên blockchain của Bitcoin, nhưng công ty vẫn chưa xác nhận con số này cho đến nay.

“Quyết định trả tiền chuộc là của tôi,” Witty nói. “Đây là một trong những quyết định khó khăn nhất mà tôi từng phải đưa ra và tôi không mong muốn điều đó xảy ra với bất kỳ ai”.

UnitedHealth là một trong những công ty lớn nhất thế giới, với vốn hóa thị trường khoảng 450 tỷ USD. Đơn vị kinh doanh Optum – cung cấp dịch vụ chăm sóc cho 103 triệu khách hàng – và Change Healthcare – liên quan đến 1/3 hồ sơ bệnh nhân – được hợp nhất vào năm 2022.

Chủ tịch Ủy ban, Thượng nghị sĩ Ron Wyden, D-Ore., Cho biết trong bài phát biểu khai mạc rằng vi phạm của Change Healthcare đóng vai trò như một “cảnh báo nghiêm trọng về hậu quả của các tập đoàn lớn quá lớn nếu thất bại”.

Wyden nói: “Các công ty lớn có nghĩa vụ bảo vệ khách hàng của mình và dẫn đầu về vấn đề này”.

Witty đã trao đổi với ủy ban rằng tội phạm mạng đã truy cập Change Healthcare thông qua một máy chủ không được bảo vệ bằng xác thực đa yếu tố hoặc MFA, yêu cầu người dùng xác minh danh tính của họ theo ít nhất hai cách khác nhau. Ông cho biết UnitedHealth hiện đã áp dụng MFA trên tất cả các hệ thống bên ngoài.

Witty cho biết: “Hậu quả của cuộc tấn công mạng độc hại này là bệnh nhân và nhà cung cấp đã gặp phải tình trạng gián đoạn và mọi người lo lắng về dữ liệu sức khỏe riêng tư của họ”. “Đối với tất cả những người bị ảnh hưởng, hãy để tôi nói rõ: Tôi vô cùng xin lỗi.”

Thượng nghị sĩ Thom Tillis, R-N.C. đã đưa bản sao của “Hacking for Dummies” trong phiên tòa và cho rằng hành vi vi phạm là trách nhiệm của UnitedHealth phải khắc phục.

Tillis nói: “Đây là một số nội dung cơ bản đã bị bỏ sót, điều này thật đáng xấu hổ đối với kiểm toán nội bộ, kiểm toán bên ngoài và những người trong hệ thống của UnitedHealth được giao nhiệm vụ dư thừa, họ đã không thực hiện công việc của mình”.

Hồ sơ gửi lên Ủy ban Chứng khoán và Giao dịch Hoa Kỳ cho biết UnitedHealth đã phát hiện ra kẻ đe dọa mạng đã truy cập vào một phần mạng công nghệ thông tin của Change Healthcare vào cuối tháng 2.

Witty cho biết các hệ thống cốt lõi của Change Healthcare đã hoạt động trở lại, mặc dù một số chức năng hỗ trợ phụ vẫn đang được khôi phục.

UnitedHealth cho biết vào tháng 2 rằng nhóm ransomware Blackcat đứng đằng sau vụ tấn công. Theo thông cáo tháng 12 từ Bộ Tư pháp Hoa Kỳ, Blackcat, còn có tên Noberus và ALPHV, đánh cắp dữ liệu nhạy cảm từ các tổ chức và đe dọa sẽ phát hành dữ liệu đó trừ khi trả tiền chuộc.

UnitedHealth xác nhận vào tháng 4 rằng các tệp chứa thông tin sức khỏe được bảo vệ và thông tin nhận dạng cá nhân đã bị xâm phạm do cuộc tấn công. UnitedHealth cho biết việc xem xét dữ liệu đang diễn ra nên có thể phải mất vài tháng nữa công ty mới có thể thông báo cho những cá nhân bị ảnh hưởng.

Ngày 1 tháng 5, Witty cho biết UnitedHealth đang làm việc với các cơ quan quản lý để đánh giá hành vi vi phạm và thông báo cho mọi người nếu thông tin của họ bị xâm phạm “càng sớm càng tốt”.

Đầu tháng 3, UnitedHealth đã triển khai chương trình hỗ trợ tài trợ tạm thời để giúp hỗ trợ các nhà cung cấp gặp phải sự gián đoạn dòng tiền do cuộc tấn công mạng. Không có phí, lãi hoặc chi phí khác ngoài các khoản thanh toán và nhà cung cấp có 45 ngày để hoàn trả khoản tiền sau khi hoạt động thanh toán tiêu chuẩn của họ tiếp tục.

Trong phiên tòa, Witty cho biết công ty vẫn chưa yêu cầu ai trả nợ và các nhà cung cấp sẽ quyết định khi nào hoạt động của họ chính thức trở lại bình thường.

Witty không trực tiếp tiết lộ liệu UnitedHealth có cung cấp hỗ trợ bổ sung cho các nhà cung cấp có thể đang gặp khó khăn với các khoản vay và thanh toán lãi khác do vi phạm hay không.

Thượng nghị sĩ Michael Bennet, D-Colo., đã thúc giục Witty chia sẻ cách UnitedHealth đang thực hiện để đảm bảo những điều như vi phạm Change Healthcare sẽ không xảy ra nữa. Witty cho biết UnitedHealth có kế hoạch chia sẻ những gì họ phát hiện được về hành vi vi phạm với những người khác, đồng thời nói thêm rằng cần phải tập trung vào việc giảm tỷ lệ tấn công mạng vào lĩnh vực chăm sóc sức khỏe.

“Rõ ràng chúng tôi đang cố gắng nhận trách nhiệm của mình trong cuộc tấn công này. Chúng tôi cũng đang cố gắng học hỏi từ nó”, ông nói.

Nguồn: cnbc.com

Chính phủ Mỹ xử phạt những công dân Iran liên quan đến các cuộc tấn công mạng của chính phủ

Thu, 02 May 2024 05:00:00 GMT

Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) của Bộ Tài chính đã xử phạt 4 công dân Iran vì liên quan đến các cuộc tấn công mạng nhằm vào chính phủ Hoa Kỳ, các nhà thầu quốc phòng và các công ty tư nhân.

OFAC cũng công bố các lệnh xử phạt đối với hai công ty bình phong—Mehrsam Andisheh Saz Nik (MASN), trước đây là Mahak Rayan Afzar, và Dadeh Afzar Arman (DAA)—cho Bộ chỉ huy điện tử mạng của Quân đoàn Vệ binh Cách mạng Hồi giáo Iran (IRGC-CEC), một Lực lượng Vũ trang Iran dịch vụ điều phối các chiến dịch chiến tranh mạng của đất nước.

Hai trong số tội phạm mạng bị xử phạt, Alireza Shafie Nasab và Reza Kazemifar Rahman đã nhắm mục tiêu vào các tổ chức của Hoa Kỳ khi làm việc cho MASN. Kazemifar cũng tấn công Bộ Tài chính trong các chiến dịch lừa đảo trực tuyến.

Người bị xử phạt thứ ba là HOSEin Mohammad Harooni, đã nhắm mục tiêu vào Bộ Tài chính và các thực thể khác của Hoa Kỳ bằng cách sử dụng lừa đảo trực tuyến và các hoạt động tấn công phi kỹ thuật (social engineering) khác nhau.

Komeil Baradaran Salmani là người thứ tư bị xử phạt có liên quan đến các cuộc tấn công chống lại các tổ chức của Hoa Kỳ do MASN, DAA, và các công ty bình phong khác của IRGC-CEC và các cơ quan IRGC như Tổ chức Chiến tranh Điện tử và Phòng thủ Mạng (EWCD) của Iran điều phối.

Mặc dù các tác nhân đe dọa Iran vẫn còn tự do, nhưng các lệnh xử phạt đã đóng băng tất cả tài sản và lợi ích của Hoa Kỳ gắn liền với các cá nhân và tổ chức được chỉ định.

Các tài sản mà những người bị phong tỏa sở hữu ít nhất 50% cũng có thể bị đóng băng và các giao dịch liên quan đến tài sản của họ bị cấm nếu không có sự cho phép của OFAC, trong khi các tổ chức tài chính và các tổ chức khác giao dịch với các cá nhân và công ty bị trừng phạt cũng có nguy cơ bị trừng phạt hoặc các hành động cưỡng chế.

Bộ Ngoại giao cũng treo giải thưởng lên tới 10 triệu USD cho việc cung cấp thông tin về Kazemifar, Salmani và Harooni, cũng như các công ty bình phong MASN và DAA IRGC-CEC.

Poster Phần thưởng cho hành động thực hiện Công lý (Bộ Ngoại giao)

Ngày 23 tháng 4, Bộ Tư pháp cũng công bố cáo trạng buộc tội Kazemifar, Salmani và Harooni vì liên quan đến một chiến dịch mạng nhắm vào các cơ quan chính phủ Hoa Kỳ, bao gồm Bộ Ngoại giao và Kho bạc Hoa Kỳ, cũng như các tổ chức tư nhân, chủ yếu là các nhà thầu quốc phòng, từ năm 2016 đến năm 2021. .

Alireza Shafie Nasab cũng bị truy tố vào tháng 2 vì tấn công các nhà thầu quốc phòng Hoa Kỳ và các công ty khác trong cùng một chiến dịch mạng kéo dài nhiều năm.

Bộ Tư pháp cho biết: “Trong các chiến dịch chống lại một nạn nhân, nhóm này đã xâm phạm hơn 200.000 tài khoản nhân viên. Trong một chiến dịch khác, những kẻ chủ mưu đã nhắm mục tiêu vào 2.000 tài khoản nhân viên”.

Bộ trưởng Tư pháp Merrick B. Garland cho biết thêm: “Những bị cáo này bị cáo buộc đã tham gia vào một chiến dịch hack phối hợp kéo dài nhiều năm từ Iran nhắm vào hơn chục công ty Mỹ cũng như Bộ Tài chính và Ngoại giao Hoa Kỳ”.

Bộ Tài chính cũng xử phạt người đứng đầu IRGC-CEC, Hamid Reza Lashgarian và các quan chức cấp cao của IRGC-CEC Mahdi Lashgarian, Hamid Homayunfal, Milad Mansuri, Mohammad Bagher Shirinkar và Reza Mohammad Amin Saberian vào đầu tháng 2 vì liên quan đến các cuộc tấn công mạng gần đây chống lại Cơ sở hạ tầng quan trọng của Hoa Kỳ

Nguồn: bleepingcomputer.com

UnitedHealth confirms it paid ransomware gang to stop data leak

Thu, 02 May 2024 00:00:00 GMT

The UnitedHealth Group has confirmed that it paid a ransom to cybercriminals to protect sensitive data stolen during the Optum ransomware attack in late February.

The attack led to an outage that impacted the Change Healthcare payment, affecting a range of critical services used by healthcare providers and pharmacies across the U.S., including payment processing, prescription writing, and insurance claims.

The organization reported that the cyberattack had caused $872 million in financial damages.

The BlackCat/ALPHV ransomware gang claimed the attack, alleging to have stolen 6TB of sensitive patient data. In early March, BlackCat performed an exit scam after allegedly getting $22 million in ransom from UnitedHealth.

At that time, one of the gang's affiliate known as "Notchy" claimed that they had UnitedHealth data because they conducted the attack and that BlackCat cheated them of the ransom payment.

The transaction was visible on the Bitcoin blockchain and confirmed by researchers to have reached a wallet used by BlackCat hackers.

A week later, the U.S. government launched an investigation into whether health data had been stolen in the ransomware attack at Optum.

By mid-April, the extortion group RansomHub raised the pressure even more on UnitedHealth by starting to leak what they claimed to be corporate and patient data stolen during the attack.

UnitedHealth's patient data reached RansomHub after "Notchy" partnered with them to extort the company again.

Data stolen, ransom paid

In a statement for BleepingComputer, the company confirmed that it paid a ransom to avoid patient data from being sold to cybercriminals or leaked publicly.

"A ransom was paid as part of the company’s commitment to do all it could to protect patient data from disclosure" - UnitedHealth Group.

BleepingComputer checked RansomHub's data leak website and can confirm that the threat actor has removed UnitedHealth from its list of victims.

UnitedHealth’s removal from RansomHub’s site may indicate that today’s confirmation is for a payment to the new ransomware gang rather than the alleged $22 million payment to BlackCat in March.

On April 22, UnitedHealth posted an update on its website announcing support for people whose data had been exposed by the February ransomware attack, officially confirming the data breach incident.

“Based on initial targeted data sampling to date, the company has found files containing protected health information (PHI) or personally identifiable information (PII), which could cover a substantial proportion of people in America,” reads the announcement.

“To date, the company has not seen evidence of exfiltration of materials such as doctors’ charts or full medical histories among the data,” the company says.

The company reassures patients that only 22 screenshots of stolen files, some containing personally identifiable information, were posted on the dark web, and that no other data exfiltrated in the attack has been published "at this time."

The health insurance and services organization promised to send personalized notifications once it completes its investigation into the type of information has been compromised.

A dedicated call center that will be offering two years of free credit monitoring and identity theft protection services has also been set up as part of the organization's effort to support those impacted.

Currently, 99% of the impacted services are operational, medical claims flow at near-normal levels, and payment processing stands at approximately 86%.

Source: bleepingcomputer.com

Synlab Italia suspends operations following ransomware attack

Mon, 29 Apr 2024 00:00:00 GMT

Synlab Italia has suspended all its medical diagnostic and testing services after a ransomware attack forced its IT systems to be taken offline.

Part of the Synlab group that is present in 30 countries worldwide, the Synlab Italia network operates 380 labs and medical centers across Italy. It has an annual turnover of $426 million and carries out 35 million analyses every year.

Two weeks ago, the company announced that it had suffered a security breach in the early hours of April 18, which forced it to shut down all computers to limit the damaging activity.

"As soon as they became aware, the IT department proceeded to exclude the entire corporate infrastructure from the network and to shut down all the machines in compliance with the company's IT security procedures," reads the company's announcement.

Although the company has not confirmed, some sensitive medical data may have been exposed to the attackers.

"As Data Processor pursuant to art. 28 GDPR, we inform you that to date, we cannot exclude that this attack may concern the personal data referred to in the services provided to you and under your ownership of the treatment" - Synlab Italia

As a result of this incident, all laboratory analysis and sample collection services have been suspended until further notice. Customers are advised to use phone to contact Synlab because email communication services are inactive.

Medical samples that Synlab had received before the cyberattack but had not started to analyze are stored in low-temperature conditions as required in each case. However, depending on how long it will take to restore systems, customers might have to submit new samples.

The company published an update, informing that it has started gradually reactivating some services, including specialist outpatient visits and physiotherapy.

Meanwhile, effort is being made to make sure that malware is no longer present on the IT infrastructure and to restore systems from backup.

"In these hours, the SYNLAB task force is being analyzed for every single portion of the IT infrastructure, including backup systems, in order to restore the systems safely as soon as possible," reads the status update.

No specific recovery timeline was provided. Instead, customers were encouraged to check the website or follow Synlab's social media channels for further updates.

By the time of writing, no major ransomware gangs has claimed responsibility for the cyberattack on Synlab Italia.

Source: bleepingcomputer.com

Microsoft: APT28 hackers exploit Windows flaw reported by NSA

Sat, 27 Apr 2024 01:00:00 GMT

Microsoft warns that the Russian APT28 threat group exploits a Windows Print Spooler vulnerability to escalate privileges and steal credentials and data using a previously unknown hacking tool called GooseEgg.

APT28 has been using this tool to exploit the CVE-2022-38028 vulnerability "since at least June 2020 and possibly as early as April 2019."

Redmond fixed the vulnerability reported by the U.S. National Security Agency during the Microsoft October 2022 Patch Tuesday but has yet to tag it as actively exploited in its advisory.

The military hackers, part of Military Unit 26165 of Russia's Main Intelligence Directorate of the General Staff (GRU), use GooseEgg to launch and deploy additional malicious payloads and run various commands with SYSTEM-level privileges.

Microsoft has seen the attackers drop this post-compromise tool as a Windows batch script named 'execute.bat' or 'doit.bat,' which launches a GooseEgg executable and gains persistence on the compromised system by adding a scheduled task that launches 'servtask.bat,' a second batch script written to the disk.

They also use GooseEgg to drop an embedded malicious DLL file (in some cases dubbed 'wayzgoose23.dll') in the context of the PrintSpooler service with SYSTEM permissions.

This DLL is actually an app launcher that can execute other payloads with SYSTEM-level permissions and lets attackers deploy backdoors, move laterally through victims' networks, and run remote code on breached systems.

"Microsoft has observed Forest Blizzard using GooseEgg as part of post-compromise activities against targets including Ukrainian, Western European, and North American government, non-governmental, education, and transportation sector organizations," Microsoft explains.

"While a simple launcher application, GooseEgg is capable of spawning other applications specified at the command line with elevated permissions, allowing threat actors to support any follow-on objectives such as remote code execution, installing a backdoor, and moving laterally through compromised networks."

History of high-profile cyberattacks

APT28, a prominent Russian hacking group, has been responsible for many high-profile cyber attacks since it first surfaced in the mid-2000s.

For instance, one year ago, U.S. and U.K. intelligence services warned about APT28 exploiting a Cisco router zero-day to deploy Jaguar Tooth malware, which allowed it to harvest sensitive information from targets in the U.S. and EU.

More recently, in February, a joint advisory issued by the FBI, the NSA, and international partners warned that APT28 used hacked Ubiquiti EdgeRouters to evade detection in attacks.

They were also linked in the past with the breach of the German Federal Parliament (Deutscher Bundestag) and hacks of the Democratic Congressional Campaign Committee (DCCC) and the Democratic National Committee (DNC) ahead of the 2016 U.S. Presidential Election.

Two years later, the U.S. charged APT28 members for their involvement in the DNC and DCCC attacks, while the Council of the European Union also sanctioned APT28 members in October 2020 for the German Federal Parliament hack.

Source: bleepingcomputer.com

Microsoft cảnh báo: Tin tặc APT28 khai thác lỗ hổng Windows

Fri, 26 Apr 2024 05:00:01 GMT

Microsoft cảnh báo rằng nhóm đe dọa APT28 của Nga khai thác lỗ hổng Windows Print Spooler để nâng cấp đặc quyền và đánh cắp thông tin xác thực cũng như dữ liệu bằng cách sử dụng một công cụ hack chưa được biết đến có tên GooseEgg.

APT28 đã sử dụng công cụ này để khai thác lỗ hổng CVE-2022-38028 “ít nhất là từ tháng 6 năm 2020 và có thể sớm nhất là từ tháng 4 năm 2019”.

Redmond đã sửa lỗ hổng được Cơ quan An ninh Quốc gia Hoa Kỳ báo cáo trong Bản vá thứ ba tháng 10 năm 2022 của Microsoft nhưng vẫn chưa gắn thẻ lỗ hổng này là bị khai thác chủ động trong các cuộc tư vấn của mình.

Các tin tặc quân đội, thuộc Đơn vị quân đội 26165 thuộc Tổng cục tình báo chính của Bộ Tổng tham mưu (GRU), sử dụng GooseEgg để khởi chạy và triển khai các tải trọng độc hại bổ sung cũng như chạy nhiều lệnh khác nhau với đặc quyền cấp HỆ THỐNG.

Microsoft đã chứng kiến những kẻ tấn công loại bỏ công cụ post-compromise này dưới dạng một tập lệnh (batch script) Windows có tên 'execute.bat' hoặc 'doit.bat', công cụ này khởi chạy một tệp thực thi GooseEgg và hoạt động trên hệ thống bị xâm nhập bằng cách thêm một tác vụ theo lịch trình khởi chạy 'servtask .bat', tập lệnh batch script thứ hai được ghi vào đĩa.

Microsoft cũng sử dụng GooseEgg để thả một tệp DLL độc hại được nhúng (trong một số trường hợp được đặt tên là 'wayzgoose23.dll') trong PrintSpooler có quyền HỆ THỐNG.

DLL này thực sự là một trình khởi chạy ứng dụng có thể thực thi các payload khác với các quyền ở cấp HỆ THỐNG và cho phép kẻ tấn công triển khai các backdoor, di chuyển ngang qua mạng của nạn nhân và thực thi mã từ xa trên các hệ thống bị vi phạm.

Microsoft giải thích: “Microsoft đã quan sát Forest Blizzard sử dụng GooseEgg như một phần của các hoạt động hậu xâm nhập chống lại các mục tiêu bao gồm chính phủ Ukraine, Tây Âu và Bắc Mỹ, các tổ chức phi chính phủ, giáo dục và lĩnh vực vận tải”.

"Mặc dù là một ứng dụng khởi chạy đơn giản, GooseEgg có khả năng tạo ra các ứng dụng khác được chỉ định tại dòng lệnh với quyền nâng cao, cho phép các tác nhân đe dọa hỗ trợ bất kỳ mục tiêu tiếp theo nào như thực thi mã từ xa, cài đặt cửa sau và di chuyển ngang qua các mạng bị xâm nhập. "

Các cuộc tấn công mạng nổi bật

APT28, một nhóm hack nổi tiếng của Nga, đã thưc hiện nhiều cuộc tấn công mạng quy mô lớn kể từ khi nhóm này xuất hiện lần đầu vào giữa những năm 2000.

Chẳng hạn, một năm trước, các cơ quan tình báo của Hoa Kỳ và Vương quốc Anh đã cảnh báo về việc APT28 khai thác lỗ hổng zero-day của bộ định tuyến Cisco để triển khai phần mềm độc hại Jaguar Tooth, cho phép nó thu thập thông tin nhạy cảm từ các mục tiêu ở Hoa Kỳ và EU.

Gần đây hơn, vào tháng 2, một lời khuyên chung do FBI, NSA và các đối tác quốc tế đưa ra đã cảnh báo rằng APT28 đã sử dụng Ubiquiti EdgeRouters đã bị hack để tránh bị phát hiện trong các cuộc tấn công.

Trước đây, chúng cũng có liên quan đến vụ vi phạm Nghị viện Liên bang Đức (Deutscher Bundestag) và các vụ hack Ủy ban Chiến dịch Quốc hội Dân chủ (DCCC) và Ủy ban Quốc gia Dân chủ (DNC) trước Cuộc bầu cử Tổng thống Hoa Kỳ năm 2016.

Hai năm sau, Hoa Kỳ buộc tội các thành viên APT28 vì liên quan đến các cuộc tấn công DNC và DCCC, trong khi Hội đồng Liên minh Châu Âu cũng xử phạt các thành viên APT28 vào tháng 10 năm 2020 vì vụ hack Quốc hội Liên bang Đức.

Nguồn: bleepingcomputer.com

Synlab Italia tạm dừng hoạt động sau cuộc tấn công ransomware

Fri, 26 Apr 2024 05:00:01 GMT

Synlab Italia đã đình chỉ tất cả các dịch vụ xét nghiệm và chẩn đoán y tế của mình sau khi một cuộc tấn công bằng ransomware buộc hệ thống CNTT của họ phải ngừng hoạt động.

Synlab Italia thuộc tập đoàn Synlab có mặt ở 30 quốc gia trên toàn thế giới, mạng lưới Synlab Italia vận hành 380 phòng thí nghiệm và trung tâm y tế trên khắp nước Ý. Họ có doanh thu hàng năm là 426 triệu USD và thực hiện 35 triệu phân tích mỗi năm.

Cách đây hai tuần, Synlab Italia thông báo đã gặp phải một lỗ hổng bảo mật vào rạng sáng ngày 18/4, buộc hãng phải tắt tất cả máy tính để hạn chế hoạt động gây hại.

Thông báo của Synlab Italia cho biết: “Ngay sau khi họ biết, bộ phận CNTT đã tiến hành loại trừ toàn bộ cơ sở hạ tầng của công ty khỏi mạng và tắt tất cả các máy theo quy trình bảo mật CNTT của công ty”.

Mặc dù chưa xác nhận nhưng một số dữ liệu y tế nhạy cảm có thể đã bị lộ cho những kẻ tấn công.

"Với vai trò là Người xử lý dữ liệu theo điều 28 GDPR, chúng tôi thông báo cho bạn rằng cho đến nay, chúng tôi không thể loại trừ rằng cuộc tấn công này có thể liên quan đến dữ liệu cá nhân được đề cập trong các dịch vụ được cung cấp cho bạn và thuộc quyền sở hữu xử lý của bạn" - Synlab Italiacho biết

Do sự cố này, tất cả các dịch vụ phân tích và lấy mẫu trong phòng thí nghiệm đã bị đình chỉ cho đến khi có thông báo mới. Khách hàng nên sử dụng điện thoại để liên hệ với Synlab vì dịch vụ liên lạc qua email không hoạt động.

Các mẫu xét nghiệm mà Synlab đã nhận được trước cuộc tấn công mạng nhưng chưa bắt đầu phân tích sẽ được lưu trữ ở điều kiện nhiệt độ thấp theo yêu cầu trong từng trường hợp. Tuy nhiên, tùy thuộc vào thời gian khôi phục hệ thống, khách hàng có thể phải gửi mẫu mới.

Synlab Italia đã đưa ra một bản cập nhật để thông báo rằng họ đã bắt đầu kích hoạt lại dần dần một số dịch vụ, bao gồm các chuyến thăm khám ngoại trú của bác sĩ chuyên khoa và vật lý trị liệu.

Trong khi đó, Synlab Italia đang nỗ lực thực hiện để đảm bảo rằng phần mềm độc hại không còn tồn tại trên cơ sở hạ tầng CNTT và khôi phục hệ thống từ bản sao lưu.

“Trong thời gian này, lực lượng đặc nhiệm SYNLAB đang được phân tích từng phần của cơ sở hạ tầng CNTT, bao gồm cả hệ thống dự phòng, để khôi phục hệ thống một cách an toàn càng sớm càng tốt”, bản cập nhật trạng thái của Synlab Italia cho biết.

Không có thời gian phục hồi cụ thể được đề cập. Thay vào đó, khách hàng được khuyến khích kiểm tra trang web hoặc theo dõi các kênh truyền thông xã hội của Synlab để biết thêm thông tin cập nhật.

Tính đến thời điểm viết bài, chưa có nhóm ransomware lớn nào nhận trách nhiệm về vụ tấn công mạng vào Synlab Italia.

Nguồn: bleepingcomputer.com

UnitedHealth xác nhận đã trả tiền chuộc cho nhóm ransomware để ngăn chặn rò rỉ dữ liệu

Fri, 26 Apr 2024 05:00:01 GMT

UnitedHealth Group đã xác nhận rằng họ đã trả tiền chuộc cho tội phạm mạng để bảo vệ dữ liệu nhạy cảm bị đánh cắp trong cuộc tấn công ransomware Optum vào cuối tháng 2.

Cuộc tấn công đã dẫn đến sự cố ngừng hoạt động, ảnh hưởng đến khoản thanh toán của Change Healthcare, ảnh hưởng đến một loạt dịch vụ quan trọng được các nhà cung cấp dịch vụ chăm sóc sức khỏe và hiệu thuốc trên khắp Hoa Kỳ sử dụng, bao gồm xử lý thanh toán, viết đơn thuốc và yêu cầu bảo hiểm.

UnitedHealth cho biết cuộc tấn công mạng đã gây ra thiệt hại tài chính 872 triệu USD.

Nhóm ransomware BlackCat/ALPHV xác nhận đã thực hiện vụ tấn công, cáo buộc đã đánh cắp 6TB dữ liệu nhạy cảm của bệnh nhân. Vào đầu tháng 3, BlackCat đã thực hiện một vụ lừa đảo rút lui sau khi bị cáo buộc nhận được 22 triệu USD tiền chuộc từ UnitedHealth.

Vào thời điểm đó, một trong những nhóm của băng đảng có tên là "Notchy" cho biết chúng có dữ liệu của UnitedHealth vì chúng đã tiến hành cuộc tấn công và BlackCat đã lừa họ trả tiền chuộc.

Giao dịch được hiển thị trên Bitcoin blockchain và được các nhà nghiên cứu xác nhận là đã truy cập vào ví được tin tặc BlackCat sử dụng.

Một tuần sau, chính phủ Hoa Kỳ mở cuộc điều tra xem liệu dữ liệu sức khỏe có bị đánh cắp trong vụ tấn công bằng ransomware tại Optum hay không.

Đến giữa tháng 4, nhóm tống tiền RansomHub thậm chí còn gây áp lực nhiều hơn cho UnitedHealth bằng cách bắt đầu rò rỉ những gì họ cho là dữ liệu công ty và bệnh nhân bị đánh cắp trong cuộc tấn công.

Dữ liệu bệnh nhân của UnitedHealth mà RansomHub có được sau khi "Notchy" hợp tác với chúng để tống tiền UnitedHealth một lần nữa.

Dữ liệu bị đánh cắp dữ liệu và yêu cầu trả tiền chuộc

Trong một thông báo với BleepingComputer, UnitedHealth xác nhận họ đã trả tiền chuộc để tránh dữ liệu bệnh nhân bị bán cho tội phạm mạng hoặc bị rò rỉ công khai.

"Một khoản tiền chuộc đã được trả là một phần trong cam kết của công ty nhằm làm tất cả những gì có thể để bảo vệ dữ liệu của bệnh nhân khỏi bị tiết lộ" - UnitedHealth Group cho biết.

BleepingComputer đã kiểm tra trang web rò rỉ dữ liệu của RansomHub và xác nhận rằng kẻ đe dọa đã xóa UnitedHealth khỏi danh sách nạn nhân.

Việc UnitedHealth được xóa khỏi trang web của RansomHub cho thấy rằng họ chỉ mới thanh toán cho nhóm ransomware mới chứ không phải khoản thanh toán 22 triệu đô la được cho là đã thanh toán cho BlackCat vào tháng 3.

Ngày 22 tháng 4, UnitedHealth đã đăng bản cập nhật trên trang web của mình thông báo hỗ trợ cho những người có dữ liệu bị lộ do cuộc tấn công bằng ransomware tháng 2, chính thức xác nhận sự cố vi phạm dữ liệu.

Thông báo cho biết: “Dựa trên việc lấy mẫu dữ liệu được nhắm mục tiêu ban đầu cho đến nay, công ty đã tìm thấy các tệp chứa thông tin sức khỏe được bảo vệ (PHI) hoặc thông tin nhận dạng cá nhân (PII), có thể bao gồm một tỷ lệ đáng kể người dân ở Mỹ”.

UnitedHealth cho biết: “Cho đến nay, công ty chưa thấy bằng chứng nào về việc rò rỉ các tài liệu như biểu đồ của bác sĩ hoặc lịch sử y tế đầy đủ trong dữ liệu”.

UnitedHealth trấn an bệnh nhân rằng chỉ có 22 ảnh chụp màn hình của các tệp bị đánh cắp, một số chứa thông tin nhận dạng cá nhân, được đăng trên web đen và không có dữ liệu nào khác bị lấy cắp trong cuộc tấn công được công bố “vào thời điểm này”.

Tổ chức dịch vụ và bảo hiểm y tế hứa sẽ gửi thông báo được cá nhân hóa sau khi hoàn tất cuộc điều tra về loại thông tin đã bị xâm phạm.

Một trung tâm cuộc gọi chuyên dụng sẽ cung cấp hai năm dịch vụ giám sát tín dụng miễn phí và bảo vệ chống trộm danh tính cũng đã được thành lập như một phần trong nỗ lực của tổ chức nhằm hỗ trợ những người bị ảnh hưởng.

Hiện tại, 99% dịch vụ bị ảnh hưởng đang hoạt động, các yêu cầu y tế được xử lý ở mức gần như bình thường và quá trình xử lý thanh toán ở mức khoảng 86%.

Nguồn: bleepingcomputer.com

Critical Forminator plugin flaw impacts over 300k WordPress sites

Fri, 26 Apr 2024 00:00:00 GMT

The Forminator WordPress plugin used in over 500,000 sites is vulnerable to a flaw that allows malicious actors to perform unrestricted file uploads to the server.

Forminator by WPMU DEV is a custom contact, feedback, quizzes, surveys/polls, and payment forms builder for WordPress sites that offers drag-and-drop functionality, extensive third-party integrations, and general versatility.

On April 18, Japan's CERT published an alert on its vulnerability notes portal (JVN) warning about the existence of a critical severity flaw (CVE-2024-28890, CVSS v3: 9.8) in Forminator that may allow a remote attacker to upload malware on sites using the plugin.

"A remote attacker may obtain sensitive information by accessing files on the server, alter the site that uses the plugin, and cause a denial-of-service (DoS) condition." - JVN

JPCERT's security bulletin lists the following three vulnerabilities:

CVE-2024-28890 – Insufficient validation of files during file upload, allowing a remote attacker to upload and execute malicious files on the site's server. Impacts Forminator 1.29.0 and earlier.
CVE-2024-31077 – SQL injection flaw allowing remote attackers with admin privileges to execute arbitrary SQL queries in the site's database. Impacts Forminator 1.29.3 and earlier.
CVE-2024-31857 – Cross-site scripting (XSS) flaw allowing a remote attacker to execute arbitrary HTML and script code into a user's browser if tricked to follow a specially crafted link. Impacts Forminator 1.15.4 and older.

Site admins using the Forminator plugin are advised to upgrade the plugin to version 1.29.3, which addresses all three flaws, as soon as possible.

WordPress.org stats show that since the release of the security update on April 8, 2024, roughly 180,000 site admins have downloaded the plugin. Assuming all those downloads concerned the latest version, there are still 320,000 sites that remain vulnerable to attacks.

By the time of writing, there have been no public reports of active exploitation for CVE-2024-28890, but due to the severity of the flaw and the easy-to-meet requirements to leverage it, the risk for admins postponing the update is high.

To minimize the attack surface on WordPress sites, use as few plugins as possible, update to the latest version as soon as possible, and deactivate plugins that aren't actively used/needed.

Source: bleepingcomputer.com

Lỗ hổng nghiêm trọng của plugin Forminator ảnh hưởng đến hơn 300 nghìn trang web WordPress

Thu, 25 Apr 2024 05:00:00 GMT

Plugin Forminator WordPress được sử dụng trên hơn 500.000 trang web có lỗ hổng cho phép các tác nhân độc hại thực hiện tải tệp không hạn chế lên máy chủ.

Forminator của WPMU DEV là trình tạo liên hệ, phản hồi, câu hỏi, khảo sát/thăm dò ý kiến và biểu mẫu thanh toán tùy chỉnh cho các trang web WordPress có chức năng kéo và thả, tích hợp rộng rãi của bên thứ ba và có tính linh hoạt chung.

Ngày 18 tháng 4, CERT của Nhật Bản đã đưa ra một cảnh báo trên cổng ghi chú lỗ hổng (JVN) cảnh báo về sự tồn tại của một lỗ hổng nghiêm trọng nghiêm trọng (CVE-2024-28890, CVSS v3: 9.8) trong Forminator có thể cho phép một cuộc tấn công từ xa tải phần mềm độc hại lên các trang web bằng cách sử dụng plugin.

“Kẻ tấn công từ xa có thể lấy thông tin nhạy cảm bằng cách truy cập các tệp trên máy chủ, thay đổi trang web sử dụng plugin và gây ra tình trạng từ chối dịch vụ (DoS).” - JVN cho biết

Bản tin bảo mật của JPCERT đã liệt kê ba lỗ hổng sau:

CVE-2024-28890 – Xác thực tệp không đầy đủ trong quá trình tải tệp lên, cho phép một cuộc tấn công từ xa tải lên và thực thi các tệp độc hại trên máy chủ của trang web. Tác động phiên bản Forminator 1.29.0 trở về trước.
CVE-2024-3107 7 – Lỗ hổng SQL SQL cho phép các cuộc tấn công từ xa với đặc quyền quản trị viên thực hiện các truy vấn SQL tùy ý trong cơ sở dữ liệu của trang web. Tác độngphiên ban Forminator 1.29.3 trở về trước.
CVE-2024-31857 – Lỗ hổng Cross-site scripting (XSS) cho phép kẻ tấn công từ xa thực thi mã tập lệnh và HTML tùy ý vào trình duyệt của người dùng nếu bị lừa đi theo một liên kết được tạo đặc biệt. Tác động phiên bản Forminator 1.15.4 trở lên.

Quản trị viên trang web sử dụng plugin Forminator nên nâng cấp plugin lên phiên bản 1.29.3 để giải quyết cả ba lỗ hổng càng sớm càng tốt.

Số liệu thống kê của WordPress.org cho thấy kể từ khi phát hành bản cập nhật bảo mật vào ngày 8 tháng 4 năm 2024, khoảng 180.000 quản trị viên trang web đã tải xuống plugin. Giả sử tất cả những lượt tải xuống liên quan đến phiên bản mới nhất, vẫn còn 320.000 trang web vẫn dễ bị tấn công.

Tính đến thời điểm bài viết được đăng chưa có báo cáo công khai nào về hoạt động khai thác CVE-2024-28890, nhưng do mức độ nghiêm trọng của lỗ hổng và các yêu cầu dễ đáp ứng để tận dụng thì nguy cơ quản trị viên trì hoãn cập nhật là rất cao.

Để giảm thiểu việc tấn công trên các trang web WordPress, hãy sử dụng càng ít plugin càng tốt, cập nhật lên phiên bản mới nhất càng sớm càng tốt và tắt các plugin không được sử dụng/cần thiết nhiều.

Nguồn: bleepingcomputer.com

Frontier Communications shuts down systems after cyberattack

Thu, 25 Apr 2024 00:00:00 GMT

American telecom provider Frontier Communications is restoring systems after a cybercrime group breached some of its IT systems in a recent cyberattack.

Frontier is a leading U.S. communications provider that provides gigabit Internet speeds over a fiber-optic network to millions of consumers and businesses across 25 states.

After discovering the incident, the company was forced to partially shut down some systems to prevent the threat actors from laterally moving through the network, which also led to some operational disruptions.

Despite this, Frontier says the attackers could access some PII data, although it didn't disclose if it belonged to customers, employees, or both.

"On April 14, 2024, Frontier Communications Parent, Inc. [..] detected that a third party had gained unauthorized access to portions of its information technology environment," the company revealed in a filing with the U.S. Securities and Exchange Commission.

"Based on the Company's investigation, it has determined that the third party was likely a cybercrime group, which gained access to, among other information, personally identifiable information."

If you have any information regarding this incident or any other undisclosed attacks, you can contact us confidentially via Signal at 646-961-3731 or at tips@bleepingcomputer.com.

Frontier now believes that it has contained the breach, has since restored its core IT systems affected during the incident, and is working on restoring normal business operations.

As BleepingComputer found, the company currently displays warnings on its website cautioning users that it's experiencing internal support technical issues and that "residential and business networks are not affected."

Frontier incident warning (BleepingComputer)

Frontier's mobile apps are also down, with the same warning message being displayed after launching the application.

According to an internal memo, a network outage took down Frontier's wholesale sites on the morning of April 16 at around 7:30 AM ET, as well as the following applications and platforms:

Virtual Front Office (VFO) Local (LSR/ISP) Module
Virtual Front Office (VFO) Access (ASR) Module
Virtual Front Office (VFO) Trouble Administration (TA) Module
E-Bonded Applications - EDI, UOM, TML
Customer Wholesale Portal (CWP)
Wholesale Operations Website (https://wholesale.frontier.com)
Wholesale Billing Online tools (CTS, CABS Portal, COBRA)

Despite the company's assurances, many customers have been reporting that their Internet connection has been down since and that support phone numbers are playing prerecorded messages instead of redirecting to a human operator.

"The Company continues to investigate the incident, has engaged cybersecurity experts, and has notified law enforcement authorities," Frontier added in the SEC filing.

"The Company does not believe the incident is reasonably likely to materially impact the Company’s financial condition or results of operations."

A Frontier spokesperson was not immediately available for comment when contacted by BleepingComputer.

Source: BleepingComputer

Frontier Communications tắt hệ thống sau cuộc tấn công mạng

Wed, 24 Apr 2024 05:00:01 GMT

Nhà cung cấp dịch vụ viễn thông Frontier Communications của Mỹ đang khôi phục hệ thống sau khi một nhóm tội phạm mạng xâm phạm một số hệ thống CNTT của họ trong một cuộc tấn công mạng gần đây.

Frontier là nhà cung cấp dịch vụ truyền thông hàng đầu của Hoa Kỳ cung cấp tốc độ Internet gigabit qua mạng cáp quang cho hàng triệu người tiêu dùng và doanh nghiệp trên 25 tiểu bang.

Sau khi phát hiện ra vụ việc, Frontier buộc phải đóng cửa một phần hệ thống để ngăn chặn các tác nhân đe dọa di chuyển ngang qua mạng, điều này cũng dẫn đến một số gián đoạn hoạt động.

Mặc dù vậy, Frontier cho biết những kẻ tấn công có thể truy cập một số dữ liệu PII, mặc dù không tiết lộ liệu những dữ liệu này có thuộc về khách hàng, nhân viên hay cả hai.

“Ngày 14 tháng 4 năm 2024, Frontier Communications Parent, Inc. [..] đã phát hiện rằng một bên thứ ba đã có quyền truy cập trái phép vào các phần của môi trường công nghệ thông tin của họ,” Frontier tiết lộ trong hồ sơ gửi Ủy ban Chứng khoán và Giao dịch Hoa Kỳ.

“Dựa trên cuộc điều tra của Frontier, họ đã xác định rằng bên thứ ba có thể là một nhóm tội phạm mạng, đã giành được quyền truy cập vào, cùng với các thông tin khác, thông tin nhận dạng cá nhân - Frontier cho biết.

“Nếu bạn có bất kỳ thông tin nào liên quan đến vụ việc này hoặc bất kỳ cuộc tấn công nào khác không được tiết lộ, bạn có thể liên hệ bí mật với Frontier qua Signal theo số 646-961-3731 hoặc theo địa chỉ Tips@bleepingcomputer.com .” - Thông báo từ Frontier

Frontier tin rằng hiện họ đã ngăn chặn được vi phạm, từ đó đã khôi phục các hệ thống CNTT cốt lõi bị ảnh hưởng trong sự cố và đang nỗ lực khôi phục hoạt động kinh doanh bình thường.

BleepingComputer đã phát hiện Frontier hiện hiển thị các cảnh báo trên trang web của mình, cảnh báo người dùng rằng họ đang gặp sự cố kỹ thuật hỗ trợ nội bộ và “mạng lưới dân cư và doanh nghiệp không bị ảnh hưởng”.

Cảnh báo sự cố Frontier (BleepingComputer)

Các ứng dụng di động của Frontier cũng ngừng hoạt động và thông báo cảnh báo tương tự được hiển thị sau khi khởi chạy ứng dụng.

Theo một bản ghi nhớ nội bộ, sự cố ngừng hoạt động mạng đã làm sập các trang web bán hàng của Frontier vào khoảng 7:30 sáng ngày 16 tháng 4 theo giờ ET, cũng như các ứng dụng và nền tảng sau:

Virtual Front Office (VFO) Local (LSR/ISP) Module
Virtual Front Office (VFO) Access (ASR) Module
Virtual Front Office (VFO) Trouble Administration (TA) Module
E-Bonded Applications (Ứng dụng liên kết điện tử) - EDI, UOM, TML
Customer Wholesale Portal (Cổng thông tin khách hàng) (CWP)
Wholesale Operations Website (https://wholesale.frontier.com)
Wholesale Billing Online tools (Công cụ thanh toán trực tuyến) (CTS, CABS Portal, COBRA)

Mặc dù Frontier đảm bảo nhưng nhiều khách hàng đã thông báo kết nối Internet của họ đã ngừng hoạt động kể từ lúc vụ việc xảy ra và các số điện thoại hỗ trợ đang phát các tin nhắn được ghi âm trước thay vì chuyển hướng đến bộ phận hỗ trợ chăm sóc khách hàng.

Frontier cho biết thêm trong hồ sơ của SEC: “Công ty tiếp tục điều tra vụ việc, thu hút các chuyên gia an ninh mạng và thông báo cho các cơ quan thực thi pháp luật”.

"Frontier không tin rằng sự cố này có khả năng ảnh hưởng nghiêm trọng đến tình hình tài chính hoặc kết quả hoạt động của Frontier."

Người phát ngôn của Frontier chưa phản hồi khi được BleepingComputer liên hệ.

Nguồn: bleepingcomputer.com

840-bed hospital in France postpones procedures after cyberattack

Wed, 24 Apr 2024 00:00:00 GMT

The Hospital Simone Veil in Cannes (CHC-SV) has announced that it was targeted by a cyberattack on the morning of April 16, severely impacting its operations and forcing staff to go back to pen and paper.

CHC-SV is an important medical establishment in France, particularly in the region of Cannes, offering a broad range of medical specialties through 2,100 employees, including 230 doctors.

With a capacity of 869 beds, it handles 150,000 outpatient and 50,000 emergency room visits, performs 9,000 surgeries, and assists in 1,500 births annually.

The Hospital announced that it was forced to take all computers offline earlier last week due to a cyberattack, leaving only telephone systems available for communication.

The facility didn't disclose many details about the attack but said it has received no ransom demands by cybercriminals yet.

"The cyberattack is currently being analyzed with the help of expert partners (ANSSI, Cert Santé, Orange CyberDefense, GHT06)," reads the announcement.

"So far, there has been no demand for ransom nor any data theft identified. Investigations are ongoing."

Emergency, medicine, surgery, obstetrics, geriatrics, pediatrics, psychiatry, home hospitalization, and rehabilitation units continue to operate. However, all data handling has fallen to "pen and paper" practices, and some patients are being diverted to other hospitals nearby on a per-case basis.

Unfortunately, roughly 30% of all non-urgent surgical procedures scheduled for last week have been canceled due to the cyberattack, and many non-urgent consultations were rescheduled for later.

Consultations that do not require computers for logging or accessing historical data and test results will be held as usual.

"CHC-SV had never before been the victim of a cyberattack of this kind," commented the hospital administration in the announcement, adding that cyber-exercises held in recent months played a crucial role in managing to contain the damage and mitigating the impact of the incident.

The priority of CHC-SV right now is to restart patient care systems that contain test results and patient records. However, the Hospital noted that this depends on the progress of the technical investigations, which could take a long time.

By the time of writing this, no major ransomware or extortion groups have claimed responsibility for the attack at CHC-SV.

If the attack is the work of such a threat group, it would typically also involve the theft of sensitive patient data potentially impacting a large number of people in France.

Source: bleepingcomputer.com

Bệnh viện Simone Vei ở Pháp phải hoãn thủ tục sau cuộc tấn công mạng

Tue, 23 Apr 2024 05:00:00 GMT

Bệnh viện Simone Veil ở Cannes (CHC-SV) thông báo rằng họ đã bị tấn công mạng vào sáng ngày 16 tháng 4, ảnh hưởng nghiêm trọng đến hoạt động của bệnh viện và buộc nhân viên phải quay lại với việc xử lý dữ liệu thủ công.

CHC-SV là một cơ sở y tế quan trọng ở Pháp, đặc biệt là ở khu vực Cannes, cung cấp nhiều chuyên ngành y tế với 2.100 nhân viên và 230 bác sĩ.

Với sức chứa 869 giường, bệnh viện này xử lý 150.000 bệnh nhân ngoại trú và 50.000 ca cấp cứu, thực hiện 9.000 ca phẫu thuật và hỗ trợ 1.500 ca sinh nở mỗi năm.

Bệnh viện thông báo buộc phải ngừng hoạt động tất cả các máy tính vào đầu tuần trước do một cuộc tấn công mạng, chỉ còn lại hệ thống điện thoại để liên lạc.

Cơ sở này không tiết lộ nhiều chi tiết về vụ tấn công nhưng cho biết họ chưa nhận được yêu cầu tiền chuộc nào từ tội phạm mạng.

Thông báo cho biết: “Cuộc tấn công mạng hiện đang được phân tích với sự trợ giúp của các đối tác chuyên gia (ANSSI, Cert Santé, Orange CyberDefense, GHT06)”.

"Cho đến nay, không có nhu cầu đòi tiền chuộc cũng như không có bất kỳ hành vi trộm cắp dữ liệu nào được xác định. Các cuộc điều tra đang diễn ra." - thông báo từ bệnh viện.

Các đơn vị cấp cứu, y học, phẫu thuật, sản khoa, lão khoa, nhi khoa, tâm thần, nhập viện tại nhà và phục hồi chức năng vẫn tiếp tục hoạt động. Tuy nhiên, tất cả việc xử lý dữ liệu phải thực hiện thủ công và một số bệnh nhân đang được chuyển đến các bệnh viện khác gần đó tùy theo từng trường hợp.

Thật không may, khoảng 30% tất cả các thủ tục phẫu thuật không khẩn cấp được lên lịch trong tuần trước đã bị hủy do cuộc tấn công mạng và nhiều cuộc tư vấn không khẩn cấp đã được dời lại sau đó.

Các cuộc tư vấn không yêu cầu máy tính ghi nhật ký hoặc truy cập dữ liệu lịch sử và kết quả kiểm tra sẽ được thực hiện như bình thường.

Ban quản lý bệnh viện nhận xét trong thông báo: “CHC-SV chưa bao giờ là nạn nhân của một cuộc tấn công mạng kiểu này trước đây, đồng thời cho biết thêm rằng các cuộc tập trận mạng được tổ chức trong những tháng gần đây đóng một vai trò quan trọng trong việc quản lý để hạn chế thiệt hại và giảm thiểu tác động của sự việc.

Ưu tiên của CHC-SV lúc này là khởi động lại hệ thống chăm sóc bệnh nhân có kết quả xét nghiệm và hồ sơ bệnh nhân. Tuy nhiên, Bệnh viện lưu ý điều này còn phụ thuộc vào tiến độ điều tra kỹ thuật và có thể mất nhiều thời gian.

Tính đến thời điểm viết bài này, không có nhóm tống tiền hoặc ransomware lớn nào nhận trách nhiệm về vụ tấn công tại CHC-SV.

Nếu cuộc tấn công là do một nhóm đe dọa như vậy thực hiện, thì nó thường liên quan đến việc đánh cắp dữ liệu nhạy cảm của bệnh nhân, có khả năng ảnh hưởng đến một số lượng lớn người dân ở Pháp.

Nguồn: bleepingcomputer.com

Google ad impersonates Whales Market to push wallet drainer malware

Tue, 23 Apr 2024 00:00:00 GMT

A legitimate-looking Google Search advertisement for the crypto trading platform 'Whales Market' redirects visitors to a wallet-draining phishing site that steals all of your assets.

Whales Market is a decentralized OTC trading platform allowing users to exchange assets across blockchains.

On April 18, BleepingComputer was contacted about a phishing ad for the trading platform in Google search results.

A quick search for Whales Market in Google displayed a sponsored ad at the top of the search results, displaying what looks like legitimate URLs for the site. In BleepingComputer's tests, this ad was not shown on Bing.

The advertisement displays www.whales.market, which is not a valid hostname but is the correct domain of whales.market. Hovering over the ad also shows that the link leads to the correct URL https://whales.market, as shown below.

Whales Market phishing ads in Google
Source: BleepingComputer

However, clicking on the link redirects users through a series of sites that ultimately land them at the phishing site https://app.whaless[.]market/. Note that this site's domain has an extra s in the word whales .

This phishing site replicates the legitimate website, including its trading platform. Once you connect your wallet, though, malicious scripts will drain it of all assets.

Whales Market phishing site
Source: BleepingComputer

Before connecting your wallet to any Web3 website, checking the domain displayed in a browser's address bar is crucial to determine whether it is a legitimate site.

If you find yourself at a site that looks even slightly off, do not connect your wallet to it.

Using redirects to trick ad platforms

Threat actors have been abusing Google Ads for years to distribute malware or redirect users to phishing sites and tech support scams.

While most advertisements utilize domains similar to the impersonated platform, they usually contain typos or extra dashes that make them easier to spot. Other ads don't even try to look like the legitimate domain and simply hope someone will click on the ad by mistake.

The more concerning advertisements are those that display legitimate URLs for impersonated platforms, such as the one for Whales Market. Other brands impersonated by legitimate-looking Google ads include Keepass, Home Depot, Amazon, eBay, and even Google's own property, YouTube.

Threat actors can create these legitimate-looking ads by redirecting visitors to different sites based on their IP address or browser user agent.

When these malicious ads are created, Google's and Microsoft's search bots will visit the ad's click URL to verify the site. However, when the threat actor's site detects the visitor using a known Google or Microsoft user agent or IP address, it will redirect the request to the legitimate website being promoted.

As the ad platforms see the final landing page as a legitimate site, they allow the URL to be shown in the ad.

However, when a regular visitor clicks on these ads, they will instead be redirected to malicious sites pushing malware, phishing attacks, or scams.

This method has worked for years, but Google has not been able to prevent these types of advertisements from slipping through the cracks and being approved.

Google is not the only ones affected by malicious ads, with similar techniques used on the Microsoft and X ad platforms.

BleepingComputer contacted Google about the malicious Whales Market advertisement and how these ads can be proactively prevented in the future, but have not received a response at this time.

Source: BleepingComputer

Quảng cáo của Google mạo danh Whales Market để phát tán phần mềm độc hại rút tiền

Mon, 22 Apr 2024 08:04:30 GMT

Quảng cáo trên Google Search có giao diện hợp pháp cho nền tảng giao dịch tiền điện tử 'Whales Market' chuyển hướng người dùng truy cập đến một trang web lừa đảo tiêu tốn nhiều tiền để đánh cắp tất cả tài sản của người dùng.

Whales Market là một nền tảng giao dịch OTC phi tập trung cho phép người dùng trao đổi tài sản trên các blockchain.

Ngày 18 tháng 4, BleepingComputer đã được thông báo về một quảng cáo lừa đảo dành cho nền tảng giao dịch trong kết quả tìm kiếm của Google.

Một tìm kiếm nhanh về Whales Market trên Google đã hiển thị một quảng cáo được tài trợ đầu kết quả tìm kiếm, hiển thị những URL trông có vẻ là trang web hợp pháp. Trong thử nghiệm của BleepingComputer, quảng cáo này không được hiển thị trên Bing.

Quảng cáo hiển thị www.whales.market, đây không phải là tên máy chủ hợp lệ nhưng là miền chính xác của Whales.market. Di chuột qua quảng cáo cũng cho thấy liên kết dẫn đến URL chính xác https://whales.market, như hiển thị bên dưới.

Quảng cáo lừa đảo của Whales Market trên Google

Nguồn: BleepingComputer

Tuy nhiên, việc nhấp vào liên kết sẽ chuyển hướng người dùng qua một loạt trang web và cuối cùng sẽ đưa họ đến trang web lừa đảo https://app.whaless[.]market/. Lưu ý rằng tên miền của trang này có thêm chữ s trong từ whales .

Trang web lừa đảo này sao chép trang web hợp pháp, bao gồm cả nền tảng giao dịch của nó. Tuy nhiên, khi người dùng kết nối ví của mình, các tập lệnh độc hại sẽ tiêu tốn tất cả nội dung trong đó.

Trang web lừa đảo Whales Market

Nguồn: BleepingComputer

Trước khi kết nối ví của người dùng với bất kỳ trang web Web3 nào, việc kiểm tra tên miền hiển thị trên thanh địa chỉ của trình duyệt là rất quan trọng để xác định xem đó có phải là trang web hợp pháp hay không.

Nếu thấy mình đang truy cập một trang web thậm chí có vẻ hơi khác lạ, đừng kết nối ví của mình với trang web đó.

Sử dụng tính năng chuyển hướng để đánh lừa là nền tảng quảng cáo

Những kẻ đe dọa đã lạm dụng Google Ads trong nhiều năm để phát tán phần mềm độc hại hoặc chuyển hướng người dùng đến các trang web lừa đảo và lừa đảo hỗ trợ kỹ thuật.

Mặc dù hầu hết các quảng cáo đều sử dụng các miền tương tự như nền tảng mạo danh, nhưng chúng thường chứa lỗi chính tả hoặc dấu gạch ngang bổ sung giúp dễ phát hiện hơn. Các quảng cáo khác thậm chí trông không giống như tên miền hợp pháp và người dùng có thể sẽ nhấp nhầm vào quảng cáo.

Những quảng cáo đáng lo ngại hơn là những quảng cáo hiển thị URL hợp pháp cho các nền tảng mạo danh, chẳng hạn như nền tảng cho Whales Market. Các thương hiệu khác bị mạo danh bởi các quảng cáo có vẻ ngoài hợp pháp của Google bao gồm Keepass, Home Depot, Amazon, eBay và thậm chí cả tài sản riêng của Google, YouTube.

Những kẻ đe dọa có thể tạo những quảng cáo có vẻ hợp pháp này bằng cách chuyển hướng khách truy cập đến các trang web khác nhau dựa trên địa chỉ IP hoặc tác nhân người dùng trình duyệt của họ.

Khi những quảng cáo độc hại này được tạo, các bot tìm kiếm của Google và Microsoft sẽ truy cập URL nhấp chuột của quảng cáo để xác minh trang web. Tuy nhiên, khi trang web của tác nhân đe dọa phát hiện khách truy cập sử dụng tác nhân người dùng hoặc địa chỉ IP đã biết của Google hoặc Microsoft, nó sẽ chuyển hướng yêu cầu đến trang web hợp pháp đang được quảng cáo.

Vì nền tảng quảng cáo xem trang đích cuối cùng là trang web hợp pháp nên họ cho phép URL hiển thị trong quảng cáo.

Tuy nhiên, khi khách truy cập thường xuyên nhấp vào những quảng cáo này, thay vào đó, họ sẽ được chuyển hướng đến các trang web độc hại chứa phần mềm độc hại, tấn công lừa đảo hoặc lừa đảo.

Phương pháp này đã có hiệu quả trong nhiều năm nhưng Google không thể ngăn những loại quảng cáo này và chúng được chấp thuận.

Google không phải là công ty duy nhất bị ảnh hưởng bởi quảng cáo độc hại, với các kỹ thuật tương tự được sử dụng trên nền tảng quảng cáo Microsoft và X.

BleepingComputer đã liên hệ với Google về quảng cáo độc hại của Whales Market và cách chủ động ngăn chặn những quảng cáo này trong tương lai nhưng hiện chưa nhận được phản hồi.

Nguồn: bleepingcomputer.com

Firebird RAT creator and seller arrested in the U.S. and Australia

Mon, 22 Apr 2024 00:00:12 GMT

A joint police operation between the Australian Federal Police (AFP) and the FBI has led to the arrest and charging of two individuals who are believed to be behind the development and distribution of the "Firebird" remote access trojan (RAT), later rebranded as "Hive."

Firebird/Hive aren't among the most widely recognized and deployed RATs out there, but they could still have impacted users' securitys worldwide.

Firebird used to have a dedicated site that promoted it as a remote administration tool. However, the homepage features such as stealthy access, password recovery from multiple browsers, and elevation of privilege through exploits, which communicated the intended message to prospective buyers.

Firebird RAT website
Source: @casual_malware

The law enforcement investigation, which began in 2020, led to the apprehension of an unnamed Australian man and Edmond Chakhmakhchyan, a resident of Van Nuys, California, known online as "Corruption."

The Australian Federal Police (AFP) alleges that the Australian developed and sold the RAT on a dedicated hacking forum, enabling other users who paid for the tool to remotely access victims' computers and perform unauthorized activity.

The Australian man faces twelve charges, including for the production, control, and supply of data intended to commit computer offenses.

He is scheduled to appear at the Downing Centre Local Court on May 7, 2024, with the suspect facing a maximum penalty of 36 years of imprisonment.

The U.S. Department of Justice provided more details about Chakhmakhchyan's role in the malware operation, explaining that the man is suspected of marketing the Hive RAT online, facilitating Bitcoin transactions, and providing support to purchasers.

The indictment alleges that Chakhmakhchyan promoted Hive's stealthy access to target computers to an undercover FBI agent, to whom he sold a license.

In a separate case, a buyer clearly told the seller his goals were to steal $20k worth of Bitcoin and $5k worth of documents, leaving no doubts about the intention to use the tool for illegal activities.

The defendant has pleaded not guilty to the charges, facing multiple counts of conspiracy to advertise a device as an interception tool, transmit code that causes damage to protected computers, and intentionally unauthorized access to data.

The maximum sentence for Chakhmakhchyan is ten years in prison, to be decided by the assigned judge on June 4, 2024.

Source: bleepingcomputer.com

Hacker claims Giant Tiger data breach, leaks 2.8M records online

Sat, 20 Apr 2024 01:00:00 GMT

Canadian retail chain Giant Tiger disclosed a data breach in March 2024.

A threat actor has now publicly claimed responsibility for the data breach and leaked 2.8 million records on a hacker forum that they claim are of Giant Tiger customers.

Data breach monitoring service HaveIBeenPwned has added the leaked database to its website to make it easy for users to check if their information was compromised.

The discount store chain operates over 260 stores and employs 8,000 people across Canada.

2.8 million customer records leaked online

On April 12th, BleepingComputer noticed a post titled "Giant Tiger Database - Leaked, Download!" surfacing on a hacker forum.

The threat actor behind the post claims to have uploaded the "full" database of Giant Tiger customer records stolen in March 2024.

"In March 2024, the Canadian discount store chain Giant Tiger Stores Limited... suffered a data breach that exposed over 2.8 million clients," states the threat actor.

"The breach includes over 2.8 million unique email addresses, names, phone numbers and physical addresses."

Threat actor claims Giant Tiger breach from March, leaks records online
(BleepingComputer)

The stolen data in the dump, claims the threat actor, additionally includes the "website activity" of Giant Tiger customers.

"I finally opened 60 of the 60 pages of the database section!" replied one forum member to the post, with others requesting to preview a sample of the data set. The threat actor obliged and posted a small snippet.

The data set has been leaked essentially for free. Although the download link to the set has to be unlocked by spending "8 credits," such credits are typically trivially generated by forum members by, for example, commenting on existing posts or contributing new posts.

Threat actors often breach companies and steal sensitive data to blackmail them and extort money. Failing successful extortion, a threat actor may deliberately leak the stolen data online or sell it off on dark web marketplaces to buyers interested in conducting identity theft and phishing attacks.

Breach caused by a third-party vendor

BleepingComputer has not verified the authenticity of the data set, however, we did reach out to Giant Tiger with questions regarding the leak.

Without commenting on the authenticity of the leaked data, a spokesperson responded:

"On March 4, 2024, Giant Tiger became aware of security concern related to a third-party vendor we use to manage customer communications and engagement," a Giant Tiger spokesperson told BleepingComputer.

"We determined that contact information belonging to certain Giant Tiger customers was obtained without authorization. We sent notices to all relevant customers informing them of the situation."

"No payment information or passwords were involved."

Giant Tiger declined to share the name of the third-party vendor in question.

Records added to HaveIBeenPwned

As of April 12th, the leaked data set has been added to the "Have I Been Pwned?" database.

HaveIBeenPwned (HIBP) is a free online service that allows users to check if their data was compromised in known data breaches.

The number of breached records associated with this incident added to the HIBP database is 2,842,669, with the service stating that 46% of these records were already in its database.

Giant Tiger customers should be wary of any suspicious emails or incoming communications that claim to be from the retailer. These could very likely be targeted phishing attempts from threat actors.

Although no payment information or passwords were exposed in this breach, signing up for an identity monitoring service could be beneficial to customers in preventing them from becoming victims of identity theft.

Source: BleepingComputer

Hacker tuyên bố tấn công dữ liệu Giant Tiger làm rò rỉ 2,8 triệu hồ sơ trực tuyến

Fri, 19 Apr 2024 05:00:00 GMT

Chuỗi bán lẻ Giant Tiger của Canada tiết lộ vụ vi phạm dữ liệu vào tháng 3 năm 2024.

Một kẻ đe dọa hiện đã công khai nhận trách nhiệm về vụ vi phạm dữ liệu và rò rỉ 2,8 triệu hồ sơ trên một diễn đàn hacker được cho là của khách hàng Giant Tiger.

Dịch vụ giám sát vi phạm dữ liệu HaveIBeenPwned đã thêm cơ sở dữ liệu bị rò rỉ vào trang web của mình để giúp người dùng dễ dàng kiểm tra xem thông tin của họ có bị xâm phạm hay không.

Chuỗi cửa hàng giảm giá vận hành hơn 260 cửa hàng và tuyển dụng 8.000 người trên khắp Canada.

2,8 triệu hồ sơ khách hàng bị rò rỉ trực tuyến

Vào ngày 12 tháng 4, BleepingComputer nhận thấy một bài đăng có tiêu đề "Cơ sở dữ liệu Giant Tiger - Bị rò rỉ, hãy tải xuống!" trên một diễn đàn hacker.

Kẻ đứng sau bài đăng tuyên bố đã tải lên cơ sở dữ liệu "đầy đủ" về hồ sơ khách hàng của Giant Tiger bị đánh cắp vào tháng 3 năm 2024.

Tác nhân đe dọa cho biết: “Vào tháng 3 năm 2024, chuỗi cửa hàng giảm giá Giant Tiger Stores Limited của Canada... đã gặp phải một vụ vi phạm dữ liệu khiến hơn 2,8 triệu khách hàng bị lộ”.

“Vụ vi phạm bao gồm hơn 2,8 triệu địa chỉ email, tên, số điện thoại và địa chỉ vật lý duy nhất.”

Kẻ đe dọa tuyên bố Giant Tiger vi phạm từ tháng 3, rò rỉ hồ sơ trực tuyến

(BleepingComputer)

Kẻ đe dọa tuyên bố rằng dữ liệu bị đánh cắp còn bao gồm cả "hoạt động trang web" của khách hàng Giant Tiger.

"Cuối cùng tôi đã mở được 60 trong số 60 trang của phần cơ sở dữ liệu!" đã trả lời một thành viên diễn đàn về bài đăng, trong khi những người khác yêu cầu xem trước một mẫu của tập dữ liệu. Kẻ đe dọa bắt buộc và đăng một đoạn nhỏ.

Tập dữ liệu về cơ bản đã bị rò rỉ miễn phí. Mặc dù liên kết tải xuống bộ này phải được mở khóa bằng cách chi tiêu "8 credit", những khoản tín dụng đó thường được các thành viên diễn đàn tạo ra một cách bình thường bằng cách, chẳng hạn như nhận xét về các bài đăng hiện có hoặc đóng góp các bài đăng mới.

Những kẻ đe dọa thường xâm nhập các công ty và đánh cắp dữ liệu nhạy cảm để tống tiền và tống tiền. Nếu tống tiền không thành công, kẻ đe dọa có thể cố tình rò rỉ dữ liệu bị đánh cắp trực tuyến hoặc bán nó trên các thị trường web đen cho những người mua quan tâm đến việc thực hiện hành vi trộm danh tính và tấn công lừa đảo.

Tấn công do nhà cung cấp bên thứ ba gây ra

BleepingComputer chưa xác minh tính xác thực của tập dữ liệu, tuy nhiên đã liên hệ với Giant Tiger để đặt câu hỏi liên quan đến vụ rò rỉ.

Giant Tiger không phản hồi về tính xác thực của dữ liệu bị rò rỉ, người phát ngôn đã trả lời:

Người phát ngôn của Giant Tiger nói với BleepingComputer: “Vào ngày 4 tháng 3 năm 2024, Giant Tiger nhận thấy mối lo ngại về bảo mật liên quan đến nhà cung cấp bên thứ ba mà chúng tôi sử dụng để quản lý hoạt động liên lạc và tương tác của khách hàng”.

“Chúng tôi xác định rằng thông tin liên hệ của một số khách hàng Giant Tiger đã được lấy trái phép. Chúng tôi đã gửi thông báo tới tất cả khách hàng có liên quan về tình hình này.”

"Không có thông tin thanh toán hoặc mật khẩu nào liên quan."

Giant Tiger từ chối chia sẻ tên của nhà cung cấp bên thứ ba được đề cập.

Bản ghi được thêm vào HaveIBeenPwned

Kể từ ngày 12 tháng 4, bộ dữ liệu bị rò rỉ đã được thêm vào phần "Tôi đã được Pwned chưa?" cơ sở dữ liệu.

HaveIBeenPwned (HIBP) là một dịch vụ trực tuyến miễn phí cho phép người dùng kiểm tra xem dữ liệu của họ có bị xâm phạm trong các vụ vi phạm dữ liệu đã biết hay không.

Số lượng hồ sơ bị vi phạm liên quan đến sự cố này được thêm vào cơ sở dữ liệu HIBP là 2.842.669, dịch vụ cho biết 46% số hồ sơ này đã có trong cơ sở dữ liệu của nó.

Khách hàng của Giant Tiger nên cảnh giác với bất kỳ email hoặc thông tin liên lạc đáng ngờ nào được cho là từ nhà bán lẻ. Đây rất có thể là lừa đảo có mục tiêu từ các tác nhân đe dọa.

Mặc dù không có thông tin thanh toán hoặc mật khẩu nào bị lộ trong vụ tấn công này, nhưng việc đăng ký dịch vụ giám sát danh tính có thể mang lại lợi ích cho khách hàng trong việc ngăn họ trở thành nạn nhân của hành vi trộm cắp.

Nguồn: bleepingcomputer.com

Nghi phạm tạo và bán Firebird RATbị bắt ở Mỹ và Úc

Fri, 19 Apr 2024 05:00:00 GMT

Một hoạt động phối hợp của cảnh sát giữa Cảnh sát Liên bang Úc (AFP) và FBI đã thành công bắt giữ và buộc tội hai người được cho là đứng sau việc phát triển và bán trojan truy cập từ xa "Firebird" (RAT), sau đó được đổi tên thành trojan truy cập từ xa "Firebird" "Hive".

Firebird/Hive không nằm trong số các RAT được công nhận và triển khai rộng rãi nhất hiện nay, nhưng chúng vẫn có thể ảnh hưởng đến bảo mật của người dùng trên toàn thế giới.

Firebird từng có một trang web chuyên quảng cáo nó như một công cụ quản trị từ xa. Tuy nhiên, các tính năng của trang chủ như truy cập lén lút, khôi phục mật khẩu từ nhiều trình duyệt và nâng cao đặc quyền thông qua các hoạt động khai thác, đã truyền tải thông điệp dự định đến những người mua tiềm năng.

Trang web Firebird RAT

Nguồn: @casual_malware

Cuộc điều tra thực thi pháp luật, bắt đầu vào năm 2020, đã dẫn đến việc bắt giữ một người đàn ông Úc giấu tên và Edmond Chakhmakhchyan, một cư dân ở Van Nuys, California, người được biết đến trên mạng là "Tham nhũng (Corruption)".

Cảnh sát Liên bang Úc (AFP) cáo buộc người đàn ông ở Úc đã phát triển và bán RAT trên một diễn đàn hack chuyên dụng, cho phép những người dùng khác đã trả tiền cho công cụ này truy cập từ xa vào máy tính của nạn nhân và thực hiện hoạt động trái phép.

Người đàn ông ở Úc phải đối mặt với 12 tội danh, bao gồm cả việc sản xuất, kiểm soát và cung cấp dữ liệu nhằm mục đích phạm tội máy tính.

Nghi phạm dự kiến sẽ xuất hiện tại Tòa án địa phương Trung tâm Downing vào ngày 7 tháng 5 năm 2024, nghi phạm phải đối mặt với hình phạt tối đa là 36 năm tù.

Bộ Tư pháp Hoa Kỳ đã cung cấp thêm thông tin chi tiết về vai trò của Chakhmakhchyan trong hoạt động phát tán phần mềm độc hại, qua đó giải thích rằng người đàn ông này bị nghi ngờ tiếp thị Hive RAT trực tuyến, tạo điều kiện thuận lợi cho các giao dịch Bitcoin và cung cấp hỗ trợ cho người mua.

Bản cáo trạng cáo buộc rằng Chakhmakhchyan đã quảng bá quyền truy cập lén lút của Hive vào các máy tính mục tiêu cho một đặc vụ FBI chìm, người mà anh ta đã bán giấy phép cho họ.

Trong một trường hợp khác, một người mua đã nói rõ với người bán mục tiêu của anh ta là đánh cắp số Bitcoin trị giá 20 nghìn đô la và tài liệu trị giá 5 nghìn đô la, không còn nghi ngờ gì về ý định sử dụng công cụ này cho các hoạt động bất hợp pháp.

Bị cáo đã không nhận tội, đối mặt với nhiều tội danh âm mưu quảng cáo thiết bị như một công cụ đánh chặn, truyền mã gây hư hỏng cho các máy tính được bảo vệ và cố tình truy cập trái phép vào dữ liệu.

Mức án tối đa dành cho Chakhmakhchyan là 10 năm tù, do thẩm phán được phân công quyết định vào ngày 4 tháng 6 năm 2024.

Nguồn: bleepingcomputer.com

FBI warns of massive wave of road toll SMS phishing attacks

Fri, 19 Apr 2024 00:00:01 GMT

On April 5, the Federal Bureau of Investigation warned of a massive ongoing wave of SMS phishing attacks targeting Americans with lures regarding unpaid road toll fees.

These attacks started last month, and the federal law enforcement agency says thousands of people have already reported that the scammers have targeted them.

"Since early-March 2024, the FBI Internet Crime Complaint Center (IC3) has received over 2,000 complaints reporting smishing texts representing road toll collection service from at least three states," the FBI explained in a public service announcement published on April 12.

While the mobile phishing campaign has yet to reach some U.S. regions, this can be explained by the fact that complaint information collected so far by IC3 indicates the scam may be moving from state to state.

The FBI says the malicious text messages claim the recipient owes money for unpaid tolls and contain almost identical language.

For instance, all reports mention the attackers using "outstanding toll amount" to trick the targets into clicking an embedded hyperlink.

"However, the link provided within the text is created to impersonate the state's toll service name, and phone numbers appear to change between states," the FBI explains.

Road toll debt SMS phishing message (Pennsylvania State Police)

Pennsylvania Turnpike, one of the road toll services whose customers were targeted in these attacks, cautioned those receiving the phishing messages not to tap the links.

"Some customers have received phishing-attempt text messages claiming to be from the PA Turnpike's toll services. If you receive such a text, providing you with a link to pay an outstanding toll, do not click on the link, and delete the text," the service said on April 8.

"BE AWARE: We have received multiple concerns regarding the attached scam text message in our area. This link will send you to a fake Turnpike website and collect your information!" the Pennsylvania State Police also warned.

While the FBI did not mention E-ZPass in today's PSA (a toll collection system used across Eastern, Midwestern, and Southern United States), BleepingComputer is aware that the threat actors have also been targeting E-ZPass customers since March.

The FBI asked those who receive one of these SMS phishing messages to:

File a complaint with the IC3 at www.ic3.gov and include the scammer's phone number and the website listed within the text.
Check their account using the toll service's legitimate website.
Contact the toll service's customer service phone number.
Delete any smishing texts received.
If they click any link or provide your information, make efforts to secure your personal information and financial accounts. They should also ensure that all unfamiliar charges are disputed immediately.

Source: bleepingcomputer.com

CISA makes its "Malware Next-Gen" analysis system publicly available

Thu, 18 Apr 2024 00:00:00 GMT

The U.S. Cybersecurity and Infrastructure Security Agency (CISA) has released a new version of "Malware Next-Gen," now allowing the public to submit malware samples for analysis by CISA.

Malware Next-Gen is a malware analysis platform that examines malware samples for suspicious artifacts. It was originally designed to allow U.S. federal, state, local, tribal, and territorial government agencies to submit suspicious files and receive automated malware analysis through static and dynamic analysis tools.

On April 10, CISA released a new version of the system that allows any organization or person to submit files to the system.

"The Cybersecurity and Infrastructure Security Agency (CISA) announces on April 11 a new release of our malware analysis system, called Malware Next-Gen, which allows any organization to submit malware samples and other suspicious artifacts for analysis," reads the announcement.

"Malware Next-Gen allows CISA to more effectively support our partners by automating analysis of newly identified malware and enhancing the cyber defense efforts."

Malware Next-Gen is designed to handle the growing workload of cyber-threat analysis by offering advanced and reliable analysis on a scalable platform featuring multilevel containment capabilities for automatic analysis of potentially malicious files or URLs.

CISA's Executive Assistant Director for Cybersecurity, Eric Goldstein, sees this new platform as a contributor to the national cybersecurity and critical infrastructure bolstering efforts.

Goldstein hopes that Malware Next-Gen will streamline processes that allow the agency to hunt for new threats and analyze, correlate, and enrich data that's valuable in cyber-threat response operations.

Availability

Malware Next-Gen was made available to a limited number of government organizations since November 2023, leading to the identification of 200 suspicious or malicious files and URLs from 1,600 submissions.

CISA encourages all organizations, security researchers, and individuals to register and submit suspicious files to the platform for analysis, which requires registration with a login.gov account.

Submitted files are analyzed in a secure environment employing a combination of static and dynamic analysis tools, and the results are provided in PDF and STIX 2.1 formats.

For those who wish to remain anonymous, there's also an option to submit malware samples through this portal for unregistered users, though analysis results won't be made available to them.

Anonymous sample submission (BleepingComputer)

However, only CISA analysts and other vetted people will have access to the malware analysis reports generated by the system. Therefore, if you wish to receive an immediate analysis of a suspicious file, VirusTotal remains an excellent option.

Finally, CISA warns users to refrain from attempting to misuse the system, waive any privacy expectations, and ensure that the information they submit on the platform does not contain classified data.

Source: BleepingComputer

CISA công bố hệ thống phân tích "Malware Next-Gen"

Wed, 17 Apr 2024 05:00:00 GMT

Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã phát hành phiên bản mới của "Malware Next-Gen", hiện cho phép công chúng gửi mẫu phần mềm độc hại để CISA phân tích.

Malware Next-Gen là một nền tảng phân tích phần mềm độc hại kiểm tra các mẫu phần mềm độc hại để tìm các thành phần đáng ngờ. Ban đầu nó được thiết kế để cho phép các cơ quan chính phủ liên bang, tiểu bang, địa phương và lãnh thổ Hoa Kỳ gửi các tệp đáng ngờ và nhận phân tích phần mềm độc hại tự động thông qua các công cụ phân tích tĩnh và động.

Ngày 10 tháng 4, CISA đã phát hành phiên bản mới của hệ thống cho phép mọi tổ chức hoặc cá nhân gửi tệp vào hệ thống.

“Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) ngày 11 tháng 4 công bố bản phát hành mới của hệ thống phân tích phần mềm độc hại của chúng tôi, được gọi là Malware Next-Gen, cho phép mọi tổ chức gửi mẫu phần mềm độc hại và các tạo phẩm đáng ngờ khác để phân tích”, thông báo viết.

"Malware Next-Gen cho phép CISA hỗ trợ các đối tác của chúng tôi hiệu quả hơn bằng cách tự động phân tích phần mềm độc hại mới được xác định và tăng cường các nỗ lực phòng thủ mạng."

Phần mềm độc hại Next-Gen được thiết kế để xử lý workload phân tích mối đe dọa mạng ngày càng tăng bằng cách cung cấp phân tích nâng cao và đáng tin cậy trên nền tảng có thể mở rộng với khả năng ngăn chặn đa cấp để tự động phân tích các tệp hoặc URL độc hại tiềm ẩn.

Trợ lý Giám đốc Điều hành về An ninh mạng của CISA, Eric Goldstein xem nền tảng mới này là một yếu tố đóng góp cho các nỗ lực củng cố cơ sở hạ tầng quan trọng và an ninh mạng quốc gia.

Goldstein hy vọng rằng Malware Next-Gen sẽ hợp lý hóa các quy trình cho phép cơ quan tìm kiếm các mối đe dọa mới cũng như phân tích, liên kết và làm phong phú dữ liệu có giá trị trong các hoạt động ứng phó với mối đe dọa mạng.

Khả dụng

Phần mềm độc hại Next-Gen được cung cấp cho một số tổ chức chính phủ kể từ tháng 11 năm 2023, giúp xác định 200 tệp và URL đáng ngờ hoặc độc hại từ 1.600 lượt gửi.

CISA khuyến khích tất cả các tổ chức, nhà nghiên cứu bảo mật và cá nhân đăng ký và gửi các tệp đáng ngờ đến nền tảng để phân tích, yêu cầu đăng ký bằng tài khoản login.gov.

Các tệp đã gửi sẽ được phân tích trong môi trường an toàn bằng cách sử dụng kết hợp các công cụ phân tích tĩnh và động, đồng thời kết quả được cung cấp ở định dạng PDF và STIX 2.1.

Đối với những người muốn ẩn danh, cũng có tùy chọn gửi mẫu phần mềm độc hại qua cổng này cho người dùng chưa đăng ký, mặc dù kết quả phân tích sẽ không được cung cấp cho họ.

Gửi mẫu ẩn danh (BleepingComputer)

Tuy nhiên, chỉ các nhà phân tích CISA và những người được hiệu đính khác mới có quyền truy cập vào các báo cáo phân tích phần mềm độc hại do hệ thống tạo ra. Do đó, nếu bạn muốn nhận được phân tích ngay lập tức về một tệp đáng ngờ, VirusTotal vẫn là một lựa chọn tuyệt vời.

Cuối cùng, CISA cảnh báo người dùng không cố gắng lạm dụng hệ thống, từ bỏ mọi kỳ vọng về quyền riêng tư và đảm bảo rằng thông tin họ gửi trên nền tảng không chứa dữ liệu đã được phân loại.

Nguồn: bleepingcomputer.com

FBI cảnh báo làn sóng lừa đảo qua SMS thu phí đường bộ

Wed, 17 Apr 2024 05:00:00 GMT

Ngày 5 tháng 4, Cục Điều tra Liên bang đã cảnh báo về một làn sóng tấn công lừa đảo qua SMS đang diễn ra với quy mô lớn nhắm vào người Mỹ bằng những chiêu dụ liên quan đến phí đường bộ chưa thanh toán.

Những cuộc tấn công này bắt đầu vào tháng trước và cơ quan thực thi pháp luật liên bang cho biết hàng nghìn người đã báo cáo rằng những kẻ lừa đảo đã nhắm mục tiêu vào họ.

FBI giải thích trong một thông báo dịch vụ công được công bố ngày 12 tháng 4: “Kể từ đầu tháng 3 năm 2024, Trung tâm Khiếu nại Tội phạm Internet của FBI (IC3) đã nhận được hơn 2.000 đơn khiếu nại báo cáo các văn bản giả mạo đại diện cho dịch vụ thu phí đường bộ từ ít nhất ba tiểu bang”.

Mặc dù chiến dịch lừa đảo trên thiết bị di động vẫn chưa tiếp cận một số khu vực của Hoa Kỳ, nhưng điều này có thể được giải thích bởi thực tế là thông tin khiếu nại được IC3 thu thập cho đến nay cho thấy trò lừa đảo có thể đang di chuyển từ tiểu bang này sang tiểu bang khác.

FBI cho biết các tin nhắn văn bản độc hại cho rằng người nhận nợ tiền phí cầu đường chưa thanh toán và có nội dung gần như giống hệt nhau.

Ví dụ: tất cả các báo cáo đều đề cập đến những kẻ tấn công sử dụng "số tiền chưa trả" để lừa mục tiêu nhấp vào siêu liên kết được nhúng.

FBI giải thích: “Tuy nhiên, liên kết được cung cấp trong văn bản được tạo để mạo danh tên dịch vụ thu phí của tiểu bang và số điện thoại dường như thay đổi giữa các tiểu bang”.

Tin nhắn lừa đảo qua SMS nợ phí đường bộ (Cảnh sát bang Pennsylvania)

Pennsylvania Turnpike, một trong những dịch vụ thu phí đường bộ mà khách hàng của họ là mục tiêu trong các cuộc tấn công này, đã cảnh báo những người nhận được tin nhắn lừa đảo không được nhấn vào các liên kết.

"Một số khách hàng đã nhận được tin nhắn văn bản lừa đảo tự xưng là từ dịch vụ thu phí của PA Turnpike. Nếu bạn nhận được tin nhắn cung cấp liên kết để thanh toán khoản phí chưa thanh toán, đừng nhấp vào liên kết và xóa văn bản, " thông báo cho biết vào ngày 8 tháng 4.

"HÃY LƯU Ý: Chúng tôi đã nhận được nhiều lo ngại về tin nhắn văn bản lừa đảo đính kèm trong khu vực của chúng tôi. Liên kết này sẽ đưa bạn đến một trang web Turnpike giả mạo và thu thập thông tin của bạn!" Cảnh sát bang Pennsylvania cũng cảnh báo.

Mặc dù FBI không đề cập đến E-ZPass trong PSA (một hệ thống thu phí được sử dụng trên khắp miền Đông, Trung Tây và Nam Hoa Kỳ), BleepingComputer biết rằng các tác nhân đe dọa cũng đã nhắm mục tiêu vào khách hàng E-ZPass kể từ tháng 3.

FBI đã yêu cầu những người nhận được một trong những tin nhắn lừa đảo SMS này:

Gửi khiếu nại tới IC3 tại www.ic3.gov và bao gồm số điện thoại của kẻ lừa đảo và trang web được liệt kê trong văn bản.
Kiểm tra tài khoản của họ bằng cách sử dụng trang web hợp pháp của dịch vụ thu phí.
Liên hệ với số điện thoại dịch vụ khách hàng của dịch vụ thu phí.
Xóa mọi tin nhắn sms đã nhận được.
Nếu nhấp vào bất kỳ liên kết nào hoặc cung cấp thông tin của người dùng, hãy cố gắng bảo mật thông tin cá nhân và tài khoản tài chính của mình. Và cũng phải đảm bảo rằng tất cả các khoản phí không quen thuộc đều bị tranh chấp ngay lập tức.

Nguồn: bleepingcomputer.com

Apple: Mercenary spyware attacks target iPhone users in 92 countries

Wed, 17 Apr 2024 00:00:00 GMT

Apple has been notifying iPhone users in 92 countries about a "mercenary spyware attack" attempting to remotely compromise their device.

In a sample notification the company shared with BleepingComputer, Apple says that it has high confidence in the warning and urges the recipient to take seriously.

"Apple detected that you are being targeted by a mercenary spyware attack that is trying to remotely compromise the iPhone associated with your Apple ID -xxx-," reads the notification.

This attack is likely targeting you specifically because of who you are or what you do. Although it’s never possible to achieve absolute certainty when detecting such attacks, Apple has high confidence in this warning — please take it seriously. - Apple's warning

To protect against such attacks, Apple recommends a set of immediate actions that include enabling lockdown mode on the device, updating the iPhone and any other Apple products to the latest software version, and seeking expert assistance such as that from the Digital Security Helpline - a non-profit that provides technical support at no cost for journalists, activists, and human rights defenders.

When describing mercenary spyware attacks, the notification highlights NSO Group’s Pegasus kit and says that they are exceptionally well-funded, sophisticated, and target a very small number of individuals.

Apple also updated its support page on spyware protection on April 10 replacing the term “state-sponsored” with “mercenary spyware,” noting that these attacks are ongoing and global and sometimes involve private companies that develop spying tools for state actors.

Primary targets of these attacks typically include journalists, activists, politicians, and diplomats due to their roles or the sensitive information they may possess.

Despite the sophistication of these attacks, Apple assures users it’s doing everything in its power to detect them, alert users, and assist them in taking the necessary action.

“Mercenary spyware attacks cost millions of dollars and often have a short shelf life, making them much harder to detect and prevent,” reads the updated support page.

“Since 2021, we have sent Apple threat notifications multiple times a year as we have detected these attacks, and to date, we have notified users in over 150 countries in total,” Apple informs.

BleepingComputer asked Apple to comment on the targeting scope of the latest campaign it detected, but a spokesperson declined to provide clarifications.

On a related note, in the updated support page, Apple says that the “extreme cost, sophistication, and worldwide nature of mercenary spyware attacks makes them some of the most advanced digital threats in existence today.

Because of this, the company does not attribute the attacks to a specific attacker or or geographical regions.

What to do if targeted

If you’re targeted by mercenary spyware attacks, you will get an email and iMessage notification at the numbers registered with your Apple ID, while a threat notification will also be displayed on the Apple ID portal after login, as a way to confirm authenticity.

Notification of active spyware attack (Apple)

The actions Apple recommends that people take in that case are the following:

Contact the Digital Security Helpline at Access Now for emergency security help and advice.
Turn on Lockdown Mode for added protection against spyware, significantly reducing the attack surface.
Update messaging and cloud apps to the latest available versions.
Update all other Apple devices (Mac, iPad) you use and enable Lockdown Mode on those too.
Follow general good practices like applying the latest updates, using passcodes, enabling two-factor authentication, downloading apps only from the App Store, using strong and unique passwords, and avoiding opening suspicious links or attachments.

Apple cannot detect all spyware attacks, so if you suspect you’re being targeted, it’s advisable to enable Lockdown Mode even if you have received no notifications from the company.

Source: BleepingComputer

Apple: Các cuộc tấn công phần mềm gián điệp (Mercenary spyware attack) nhắm vào người dùng iPhone ở 92 quốc gia

Tue, 16 Apr 2024 05:00:00 GMT

Apple đã thông báo cho người dùng iPhone ở 92 quốc gia về một "cuộc tấn công phần mềm gián điệp (Mercenary spyware attack)" nhằm cố gắng xâm phạm thiết bị của người dùng từ xa.

Trong một thông báo mà Apple chia sẻ với BleepingComputer, Apple nói rằng họ rất tin tưởng vào cảnh báo và kêu gọi người dùng nghiêm túc xem xét.

“Apple phát hiện ra rằng bạn đang là mục tiêu của một cuộc tấn công phần mềm gián điệp thuê ngoài (Mercenary spyware attack) đang cố gắng xâm phạm từ xa chiếc iPhone được liên kết với ID Apple của bạn -xxx-,” thông báo viết.

Cuộc tấn công này có thể nhắm mục tiêu cụ thể vào bạn vì vai trò của bạn hoặc những điều bạn đang làm. Mặc dù không chắc chắn tuyệt đối về các cuộc tấn công như vậy nhưng Apple rất tin tưởng vào cảnh báo này và hãy nghiêm túc cẩn trọng - Apple cảnh báo.

Để bảo vệ khỏi các cuộc tấn công như vậy, Apple khuyến nghị một loạt hành động ngay lập tức bao gồm bật chế độ khóa trên thiết bị, cập nhật iPhone và bất kỳ sản phẩm nào khác của Apple lên phiên bản phần mềm mới nhất và tìm kiếm sự hỗ trợ của chuyên gia, chẳng hạn như từ Đường dây trợ giúp bảo mật kỹ thuật số (Digital Security Helpline) - một tổ chức phi lợi nhuận cung cấp hỗ trợ kỹ thuật miễn phí cho các nhà báo, nhà hoạt động và người bảo vệ nhân quyền.

Khi mô tả các cuộc tấn công phần mềm gián điệp, thông báo nêu bật bộ công cụ Pegasus của NSO Group và nói rằng chúng được tài trợ đặc biệt tốt, tinh vi và nhắm mục tiêu vào một số lượng rất nhỏ cá nhân.

Apple cũng đã cập nhật trang hỗ trợ của mình về bảo vệ phần mềm gián điệp ngày 10 tháng 4, thay thế thuật ngữ “được nhà nước tài trợ” bằng “phần mềm gián điệp thuê ngoài”, lưu ý rằng các cuộc tấn công này đang diễn ra và mang tính toàn cầu và đôi khi liên quan đến các công ty tư nhân phát triển công cụ gián điệp cho các tác nhân nhà nước.

Mục tiêu chính của các cuộc tấn công này thường bao gồm các nhà báo, nhà hoạt động, chính trị gia và nhà ngoại giao do vai trò của họ hoặc thông tin nhạy cảm mà họ có thể sở hữu.

Bất chấp sự phức tạp của các cuộc tấn công này, Apple đảm bảo với người dùng rằng họ đang làm mọi thứ trong khả năng của mình để phát hiện chúng, cảnh báo người dùng và hỗ trợ họ thực hiện các hành động cần thiết.

Trang hỗ trợ cập nhật cho biết: “Các cuộc tấn công bằng phần mềm gián điệp thuê ngoài tiêu tốn hàng triệu đô la và thường có thời gian tồn tại ngắn, điều này làm cho chúng khó phát hiện và ngăn chặn hơn nhiều”.

Apple cho biết: “Kể từ năm 2021, chúng tôi đã gửi thông báo về mối đe dọa nhiều lần trong năm vì chúng tôi đã phát hiện ra các cuộc tấn công này và cho đến nay, chúng tôi đã thông báo cho tổng cộng người dùng ở hơn 150 quốc gia”.

BleepingComputer đã yêu cầu Apple phản hồi về phạm vi nhắm mục tiêu của chiến dịch mới nhất mà họ phát hiện được, nhưng người phát ngôn từ chối cung cấp thông tin làm rõ.

Về một lưu ý liên quan, trong trang hỗ trợ được cập nhật, Apple nói rằng “chi phí cực cao, độ phức tạp và tính chất toàn cầu của các cuộc tấn công bằng phần mềm gián điệp thuê ngoài khiến chúng trở thành một trong những mối đe dọa kỹ thuật số tiên tiến nhất hiện nay.

Do đó, Apple không nêu rõ kẻ tấn công hoặc khu vực địa lý cụ thể.

Thông báo về cuộc tấn công phần mềm gián điệp đang hoạt động (Apple)

Những hành động mà Apple khuyến nghị mọi người nên thực hiện trong trường hợp đó như sau:

Hãy liên hệ với Đường dây trợ giúp bảo mật kỹ thuật số tại Access Now để được trợ giúp và tư vấn về bảo mật khẩn cấp.
Bật Chế độ khóa để tăng cường bảo vệ khỏi phần mềm gián điệp điều này giúp giảm đáng kể việc tấn công.
Cập nhật ứng dụng nhắn tin và đám mây lên phiên bản mới nhất hiện có.
Cập nhật tất cả các thiết bị Apple khác (Mac, iPad) mà bạn sử dụng và bật Chế độ khóa trên các thiết bị đó.
Thực hiện theo các phương pháp hay chung như áp dụng các bản cập nhật mới nhất, sử dụng mật mã, bật xác thực hai yếu tố, chỉ tải xuống ứng dụng từ App Store, sử dụng mật khẩu mạnh và duy nhất cũng như tránh mở các liên kết hoặc tệp đính kèm đáng ngờ.

Apple không thể phát hiện tất cả các cuộc tấn công của phần mềm gián điệp, vì vậy nếu bạn nghi ngờ mình đang bị nhắm mục tiêu, bạn nên bật Chế độ khóa ngay cả khi bạn không nhận được thông báo nào từ Apple.

Nguồn: bleepingcomputer.com

Optics giant Hoya hit with $10 million ransomware demand

Tue, 16 Apr 2024 00:00:00 GMT

A recent cyberattack on Hoya Corporation was conducted by the 'Hunters International' ransomware operation, which demanded a $10 million ransom for a file decryptor and not to release files stolen during the attack.

Hoya is a Japanese company specializing in optical instruments, medical equipment, and electronic components. It operates 160 offices and subsidiaries in more than 30 countries and a network of 43 laboratories worldwide.

A week ago, the firm disclosed a cyberattack that impacted production and order processing, with several of its business divisions experiencing IT outages.

At the time, the firm said it was investigating the possibility of hackers having accessed or exfiltrated sensitive information from its systems but noted that it could take some time to determine if anything was stolen.

As first reported by LeMagIT, Hunters International demanded a $10 million ransom not to release an alleged 1.7 million stolen files, amounting to 2 TB of data. This ransom demand was also confirmed independently by BleepingComputer.

Ransom amount demanded by Hunters International
Source: LeMagIT

Currently, no files have been released on the Hunters International site and the threat actors haven't publicly claimed responsibility for the attack on Hoya.

LeMagIT has posted evidence in the form of screenshots from the ransomware operation's negotiation panel that victims use to negotiate a ransom payment.

However, the threat actors have applied a "No Negotiation / No Discount Policy" on Hoya, indicating that this is the only offer that will be accepted. It is unknown if this is just bluster by the ransomware gang or if they will refuse to accept any lower offer.

BleepingComputer has contacted Hoya asking for a comment on the recent developments, but we're still waiting for a response.

Meanwhile, the company has not provided any updates on the business status since April 4, 2024, so it is assumed that production remains impacted and remediation efforts are still underway.

Hunters International is a Ransomware-as-a-Service (RaaS) operation that emerged in mid-2023, whose encryptor shares code with the Hive ransomware operation, indicating a possible rebrand.

However, Hunters International denied any affiliation with the Hive operation, asserting that they acquired the software and website from the now-defunct ransomware entity.

Hunters International has since been observed targeting companies in all verticals, demanding ransoms that span from several hundred thousand to multiple millions of dollars.

The ransomware gang also has a very loose policy on who they attack, even targeting hospitals and targeting patients with extortion demands.

Source: BleepingComputer

Gã khổng lồ quang học Hoya bị tấn công ransomware và yêu cầu khoản tiền chuộc trị giá 10 triệu USD

Mon, 15 Apr 2024 05:00:01 GMT

Một cuộc tấn công mạng gần đây vào Tập đoàn Hoya do hoạt động ransomware 'Hunters International' thực hiện đã yêu cầu khoản tiền chuộc 10 triệu USD cho một bộ giải mã tệp và không được phát hành các tệp bị đánh cắp trong cuộc tấn công.

Hoya là công ty Nhật Bản chuyên về dụng cụ quang học, thiết bị y tế và linh kiện điện tử. Hoya vận hành 160 văn phòng và công ty con tại hơn 30 quốc gia và mạng lưới 43 phòng thí nghiệm trên toàn thế giới.

Một tuần trước, Hoya đã tiết lộ một cuộc tấn công mạng đã ảnh hưởng đến quá trình sản xuất và xử lý đơn đặt hàng, khiến một số bộ phận kinh doanh của công ty gặp phải tình trạng ngừng hoạt động CNTT.

Vào thời điểm đó, Hoya cho biết họ đang điều tra khả năng tin tặc đã truy cập hoặc lấy cắp thông tin nhạy cảm từ hệ thống của mình nhưng lưu ý rằng có thể mất một thời gian để xác định xem có bất kỳ thứ gì bị đánh cắp hay không.

Theo báo cáo đầu tiên của LeMagIT, Hunters International yêu cầu khoản tiền chuộc 10 triệu USD để không phát hành 1,7 triệu tệp bị cáo buộc bị đánh cắp, lên tới 2 TB dữ liệu. Yêu cầu tiền chuộc này cũng được BleepingComputer xác nhận.

Số tiền chuộc mà Hunters International yêu cầu

Nguồn: LeMagIT

Hiện tại, chưa có tập tin nào được công bố trên trang Hunters International và những kẻ đe dọa cũng chưa công khai nhận trách nhiệm về vụ tấn công Hoya.

LeMagIT đã đăng bằng chứng dưới dạng ảnh chụp màn hình từ bảng đàm phán của hoạt động ransomware mà nạn nhân sử dụng để thương lượng khoản thanh toán tiền chuộc.

Tuy nhiên, những kẻ đe dọa đã áp dụng "Chính sách Không thương lượng / Không giảm giá" đối với Hoya, cho thấy rằng đây là ưu đãi duy nhất sẽ được chấp nhận. Không rõ liệu đây chỉ là lời nói của nhóm ransomware hay chúng sẽ từ chối chấp nhận bất kỳ lời đề nghị nào thấp hơn.

BleepingComputer đã liên hệ với Hoya để yêu cầu phản hồi về những diễn biến gần đây nhưngi vẫn đang chờ phản hồi.

Trong khi đó, Hoya chưa cung cấp bất kỳ thông tin cập nhật nào về tình hình kinh doanh kể từ ngày 4 tháng 4 năm 2024, do đó, người ta cho rằng hoạt động sản xuất vẫn bị ảnh hưởng và các nỗ lực khắc phục vẫn đang được tiến hành.

Hunters International là một hoạt động Ransomware-as-a-Service (RaaS) xuất hiện vào giữa năm 2023, có bộ mã hóa chia sẻ mã với hoạt động ransomware Hive, cho thấy khả năng đổi thương hiệu.

Tuy nhiên, Hunters International phủ nhận mọi liên kết với hoạt động Hive, khẳng định rằng họ đã mua phần mềm và trang web từ tổ chức ransomware hiện không còn tồn tại.

Kể từ đó, Hunters International đã được quan sát thấy nhắm mục tiêu vào các công ty thuộc mọi ngành dọc, yêu cầu số tiền chuộc từ vài trăm nghìn đến nhiều triệu đô la.

Băng đảng ransomware cũng có chính sách rất lỏng lẻo về đối tượng mà chúng tấn công, thậm chí còn nhắm mục tiêu vào các bệnh viện và nhắm vào những bệnh nhân có nhu cầu tống tiền.

Nguồn: bleepingcomputer.com

Targus discloses cyberattack after hackers detected on file servers

Mon, 15 Apr 2024 00:00:00 GMT

Laptop and tablet accessories maker Targus disclosed that it suffered a cyberattack disrupting operations after a threat actor gained access to the company's file servers.

Targus is a mobile accessories company known for stylish laptop bags and carrying cases. The company also sells tablet cases, docking stations, keyboards, mice, and travel accessories.

In a Monday evening, April 8, FORM 8-K filing filed with the SEC, Targus' parent company, B. Riley Financial, INC., disclosed that the laptop bag maker detected hackers on its network on April 5th, 2024.

As part of this attack, a threat actor gained access to Targus' file systems, causing the company to initiate incident response protocols.

"Upon discovery and with assistance from external cybersecurity counsel and consultants, Targus immediately activated its incident response and business continuity protocols to investigate, contain and remediate the incident," reads the 8-K filing .

"Through this process, proactive containment measures to disrupt unauthorized access resulted in a temporary interruption in the business operations of the Targus network."

Targus says that the incident has been contained and that they are recovering internal systems with the help of external cybersecurity experts.

Companies commonly shut down IT systems in response to a cyberattack to prevent the spread of the attack to other servers and devices.

However, this also prevents legitimate access to internal applications and data, temporarily disrupting business operations while servers and workstations are restored as necessary.

The company has not disclosed whether corporate data was stolen, but as the hackers were first discovered on the company's file systems, used to store files and data, it is possible that data was exfiltrated.

The company says they have notified regulatory authorities and law enforcement regarding the unauthorized access to information.

BleepingComputer has contacted Targus with questions about the attack but a response was not immediately available.

No ransomware gangs or other threat actors have claimed responsibility for the attack.

Source: BleepingComputer

Cyberattack on UK’s CVS Group disrupts veterinary operations

Sat, 13 Apr 2024 01:00:00 GMT

UK veterinary services provider CVS Group has announced that it suffered a cyberattack that disrupted IT services at its practices across the country.

CVS Group operates 500 veterinary practices throughout the UK, Australia, the Netherlands, and the Republic of Ireland, including nine specialist referral hospitals, 39 dedicated out-of-hours sites, three laboratories, and seven pet crematoria.

The company employs 9,100 people, including 2,400 veterinary surgeons and 3,400 specialized nurses.

In an announcement published on the London Stock Exchange site, CVS Group warns that threat actors gained unauthorized access to some of its IT systems. The firm responded to the situation by shutting down its IT systems, which impacted its operations.

"CVS Group announces it has recently detected and intercepted a cyber incident which had involved unauthorised external access to a limited number of its IT systems," reads the announcement.

"Upon discovery of the incident, CVS took immediate steps to isolate the issue and, to prevent wider unauthorised access, took its IT systems temporarily offline, as part of the Group's response plan."

"Our responses to contain the threat of malicious activity have caused considerable operational disruption over the past week, but to date have been effective in preventing further external access to CVS systems."

CVS says it has engaged third-party specialists to help it investigate the incident and restore IT services safely across its clinics. The process of restoration is underway, and good progress has been made.

The company noted that the incident impacts only UK practices, as operations outside the UK are not hosted on CVS infrastructure.

The notice also disclosed that the cyber-incident has accelerated the strategic plan to migrate all IT infrastructure to the cloud, which, according to CVS, will provide enhanced security and operational efficiency.

This planned migration is expected to extend the period of operational disruption for UK-based practices by several weeks, estimates CVS.

The announcement does not mention anything about the possibility of a data breach impacting CVS personnel or customers. BleepingComputer has contacted CVS with questions about this but a comment wasn't immediately available.

At the time of writing this, no ransomware groups have assumed responsibility for the attack at CVS Group.

Source: BleepingComputer

Cuộc tấn công mạng vào CVS Group của Vương quốc Anh làm gián đoạn hoạt động thú y

Fri, 12 Apr 2024 05:00:00 GMT

Nhà cung cấp dịch vụ thú y của Vương quốc Anh CVS Group vừa thông báo rằng họ đã bị một cuộc tấn công mạng làm gián đoạn các dịch vụ CNTT tại các cơ sở hoạt động trên toàn quốc.

CVS Group vận hành 500 cơ sở thú y trên khắp Vương quốc Anh, Úc, Hà Lan và Cộng hòa Ireland, bao gồm 9 bệnh viện chuyên khoa giới thiệu, 39 địa điểm ngoài giờ chuyên dụng, 3 phòng thí nghiệm và 7 lò hỏa táng thú cưng.

CVS Group có 9.100 người, trong đó có 2.400 bác sĩ phẫu thuật thú y và 3.400 y tá chuyên môn.

Trong một thông báo được đăng trên trang web Sở giao dịch chứng khoán Luân Đôn, CVS Group cảnh báo rằng các tác nhân đe dọa đã có quyền truy cập trái phép vào một số hệ thống CNTT của tập đoàn. CVS Group đã ứng phó với tình huống này bằng cách đóng cửa hệ thống CNTT, điều này đã ảnh hưởng đến hoạt động của công ty.

“CVS Group thông báo rằng gần đây họ đã phát hiện và ngăn chặn một sự cố mạng liên quan đến việc truy cập trái phép từ bên ngoài vào một số hệ thống CNTT của họ,” thông báo viết.

“Sau khi phát hiện ra sự cố, CVS đã thực hiện các bước ngay lập tức để cách ly vấn đề và ngăn chặn truy cập trái phép trên diện rộng, tạm thời đưa hệ thống CNTT của mình ngoại tuyến, như một phần trong kế hoạch ứng phó của Tập đoàn.”

“Các phản ứng của chúng tôi nhằm ngăn chặn mối đe dọa hoạt động độc hại đã gây ra sự gián đoạn hoạt động đáng kể trong tuần qua, nhưng cho đến nay vẫn có hiệu quả trong việc ngăn chặn sự truy cập từ bên ngoài vào hệ thống CVS.”

CVS cho biết đã thuê các chuyên gia bên thứ ba để giúp điều tra vụ việc và khôi phục các dịch vụ CNTT một cách an toàn trên các phòng khám của mình. Quá trình khôi phục đang được tiến hành và đã đạt được tiến bộ tốt.

CVS lưu ý rằng sự cố chỉ ảnh hưởng đến hoạt động tại Vương quốc Anh vì các hoạt động bên ngoài Vương quốc Anh không được lưu trữ trên cơ sở hạ tầng CVS.

Thông báo cũng tiết lộ rằng sự cố mạng đã đẩy nhanh kế hoạch chiến lược nhằm di chuyển tất cả cơ sở hạ tầng CNTT sang đám mây, theo CVS điều này sẽ giúp nâng cao hiệu quả hoạt động và bảo mật.

CVS ước tính việc di chuyển theo kế hoạch này dự kiến sẽ kéo dài thời gian gián đoạn hoạt động đối với các hoạt động có trụ sở tại Vương quốc Anh thêm vài tuần.

Thông báo không đề cập bất cứ điều gì về khả năng vi phạm dữ liệu ảnh hưởng đến nhân viên hoặc khách hàng của CVS. BleepingComputer đã liên hệ với CVS nếu có câu hỏi về vấn đề này nhưng chưa có bình luận ngay lập tức.

Tại thời điểm viết bài này, không có nhóm ransomware nào nhận trách nhiệm về vụ tấn công tại CVS Group.

Nguồn: bleepingcomputer.com

Targus tiết lộ cuộc tấn công mạng sau khi phát hiện tin tặc trên file server

Fri, 12 Apr 2024 05:00:00 GMT

Nhà sản xuất phụ kiện máy tính xách tay và máy tính bảng Targus tiết lộ họ đã phải hứng chịu một cuộc tấn công mạng làm gián đoạn hoạt động sau khi một tác nhân đe dọa giành được quyền truy cập vào máy chủ tệp của công ty.

Targus là một công ty phụ kiện di động nổi tiếng với những chiếc túi và hộp đựng máy tính xách tay thời trang. Targus cũng bán vỏ máy tính bảng, đế cắm, bàn phím, chuột và phụ kiện du lịch.

Trong hồ sơ FORM 8-K vào tối thứ Hai, ngày 8 tháng 4 nộp cho SEC, công ty mẹ của Targus, B. Riley Financial, INC., đã tiết lộ rằng nhà sản xuất túi đựng máy tính xách tay đã phát hiện ra tin tặc trên mạng của mình vào ngày 5 tháng 4 năm 2024.

Trong cuộc tấn công này, kẻ đe dọa đã giành được quyền truy cập vào hệ thống tệp của Targus, khiến Targus phải khởi động các giao thức ứng phó sự cố.

8-K cho biết: “Sau khi được phát hiện và với sự hỗ trợ từ cố vấn và chuyên gia tư vấn an ninh mạng bên ngoài, Targus đã ngay lập tức kích hoạt các giao thức ứng phó sự cố và duy trì hoạt động kinh doanh để điều tra, ngăn chặn và khắc phục sự cố”.

“Thông qua quá trình này, các biện pháp ngăn chặn chủ động nhằm ngăn chặn hoạt động truy cập trái phép đã dẫn đến sự gián đoạn tạm thời trong hoạt động kinh doanh của mạng Targus.”

Targus nói rằng vụ việc đã được ngăn chặn và đang khôi phục hệ thống nội bộ với sự trợ giúp của các chuyên gia an ninh mạng bên ngoài.

Các công ty thường tắt hệ thống CNTT để ứng phó với một cuộc tấn công mạng nhằm ngăn chặn sự lây lan của cuộc tấn công sang các máy chủ và thiết bị khác.

Tuy nhiên, điều này cũng ngăn chặn quyền truy cập hợp pháp vào các ứng dụng và dữ liệu nội bộ, tạm thời làm gián đoạn hoạt động kinh doanh trong khi máy chủ và máy trạm được khôi phục khi cần thiết.

Targus chưa tiết lộ liệu dữ liệu của công ty có bị đánh cắp hay không, nhưng vì tin tặc lần đầu tiên được phát hiện trên hệ thống tệp của công ty, được sử dụng để lưu trữ tệp và dữ liệu nên có thể dữ liệu đã bị rò rỉ.

Targus cho biết họ đã thông báo cho các cơ quan quản lý và cơ quan thực thi pháp luật về việc truy cập thông tin trái phép.

BleepingComputer đã liên hệ với Targus để hỏi về cuộc tấn công nhưng chưa có phản hồi.

Ngoài ra không có nhóm ransomware hoặc các tác nhân đe dọa nào khác nhận trách nhiệm về vụ tấn công.

Nguồn: bleepingcomputer.com

Home Depot confirms third-party data breach exposed employee info

Fri, 12 Apr 2024 00:00:00 GMT

Home Depot has confirmed that it suffered a data breach after one of its SaaS vendors mistakenly exposed a small sample of limited employee data, which could potentially be used in targeted phishing attacks.

Home Depot is the largest home improvement retailer, with more than 2,300 stores in North America and over 475,000 employees.

On Thursday, April 4, a threat actor known as IntelBroker leaked limited data for approximately 10,000 Home Depot employees on a hacking forum.

"In April 2024, Home Depot suffered a data breach that exposed the corporate information belonging to 10K employees of the company," reads the forum post.

The Home Depot data leaked on a hacking forum
Source: BleepingComputer

After BleepingComputer contacted Home Depot, the company confirmed that one of its third-party SaaS vendors mistakenly exposed sample employee data.

"A third-party Software-as-a-Service (SaaS) vendor inadvertently made public a small sample of Home Depot associates' names, work email addresses and User IDs during testing of their systems," Home Depot told BleepingComputer.

While this data is not highly sensitive, exposing only corporate IDs, names, and email addresses, it could be used by threat actors to conduct targeted phishing attacks against Home Depot employees.

These phishing attacks could be designed to gather more sensitive information, such as Home Depot credentials, which could then be sold to other threat actors or used to breach the company's network to steal corporate data or deploy ransomware.

For this reason, all Home Depot employees should be wary of any emails containing links to pages that request corporate credentials or other information. If one of these emails is received, it should be reported to the company's IT staff, who can verify whether it is legitimate.

IntelBroker is a well-known threat actor who first gained notoriety by breaching DC Health Link, an organization that administers the health care plans of U.S. House members, their staff, and their families.

The incident resulted in widespread media attention and a congressional hearing after the data for 170,000 affected individuals, including members and staff of the U.S. House of Representatives, was leaked.

Other cybersecurity incidents linked to IntelBroker are the breaches of PandaBuy, Acuity, Hewlett Packard Enterprise (HPE) and the Weee! grocery service, as well as an alleged breach of General Electric Aviation.

Source: BleepingComputer

Home Depot xác nhận vi phạm dữ liệu của bên thứ ba làm lộ thông tin nhân viên

Thu, 11 Apr 2024 05:00:03 GMT

Home Depot đã xác nhận rằng họ đã bị vi phạm dữ liệu sau khi một trong những nhà cung cấp SaaS của họ để lộ nhầm một mẫu dữ liệu nhân viên hạn chế, có thể được sử dụng trong các cuộc tấn công lừa đảo có chủ đích.

Home Depot là nhà bán lẻ đồ gia dụng lớn nhất với hơn 2.300 cửa hàng ở Bắc Mỹ và hơn 475.000 nhân viên.

Hôm thứ Năm, ngày 4 tháng 4 một kẻ đe dọa có tên IntelBroker đã rò rỉ dữ liệu hạn chế của khoảng 10.000 nhân viên Home Depot trên một diễn đàn hack.

Bài đăng trên diễn đàn cho biết: “Vào tháng 4 năm 2024, Home Depot đã xảy ra một vụ vi phạm dữ liệu làm lộ thông tin công ty của 10 nghìn nhân viên của công ty”.

Dữ liệu Home Depot bị rò rỉ trên một diễn đàn hack

Nguồn: BleepingComputer

Sau khi BleepingComputer liên hệ với Home Depot, công ty xác nhận rằng một trong những nhà cung cấp SaaS bên thứ ba của họ đã để lộ nhầm dữ liệu nhân viên mẫu.

Home Depot nói với BleepingComputer: “Nhà cung cấp Phần mềm dưới dạng dịch vụ (SaaS) của bên thứ ba đã vô tình công khai một mẫu nhỏ tên, địa chỉ email cơ quan và ID người dùng của các cộng tác viên Home Depot trong quá trình thử nghiệm hệ thống của họ”.

Mặc dù dữ liệu này không có độ nhạy cao cao, chỉ hiển thị ID, tên và địa chỉ email của Home Depot, nhưng việc này có thể bị các tác nhân đe dọa sử dụng để thực hiện các cuộc tấn công lừa đảo có chủ đích nhằm vào nhân viên Home Depot.

Các cuộc tấn công lừa đảo này có thể được thiết kế để thu thập thông tin nhạy cảm hơn, chẳng hạn như thông tin đăng nhập của Home Depot, sau đó có thể được bán cho các tác nhân đe dọa khác hoặc sử dụng để xâm nhập mạng của công ty nhằm đánh cắp dữ liệu công ty hoặc triển khai phần mềm ransomware.

Vì lý do này, tất cả nhân viên của Home Depot nên cảnh giác với bất kỳ email nào chứa liên kết đến các trang yêu cầu thông tin xác thực của công ty hoặc thông tin khác. Nếu nhận được một trong những email này, thì cần thông báo cho nhân viên CNTT của công ty, những người có thể xác minh xem nó có hợp pháp hay không.

IntelBroker là một kẻ đe dọa nổi tiếng, lần đầu tiên nổi tiếng nhờ vi phạm DC Health Link, một tổ chức quản lý các kế hoạch chăm sóc sức khỏe của các thành viên Hạ viện Hoa Kỳ, nhân viên của họ và gia đình họ.

Vụ việc đã thu hút sự chú ý rộng rãi của giới truyền thông và một phiên điều trần quốc hội sau khi dữ liệu của 170.000 cá nhân bị ảnh hưởng, bao gồm cả các thành viên và nhân viên của Hạ viện Hoa Kỳ, bị rò rỉ.

Các sự cố an ninh mạng khác có liên quan đến IntelBroker là các vi phạm của PandaBuy, Acuity, Hewlett Packard Enterprise (HPE) và Weee! dịch vụ tạp hóa, cũng như hành vi vi phạm bị cáo buộc của General Electric Aviation.

Nguồn: bleepingcomputer.com

SurveyLama data breach exposes info of 4.4 million users

Thu, 11 Apr 2024 00:00:00 GMT

Data breach alerting service Have I Been Pwned (HIBP) warns that SurveyLama suffered a data breach in February 2024, which exposed the sensitive data of 4.4 million users.

SurveyLama is an online platform that rewards registered users for completing surveys. Owned by French firm Globe Media, the platform is praised for high payouts (up to $20), fast payments, and multiple withdrawal options.

In early February, HIBP's creator, Troy Hunt, received information about a data breach impacting the service, which involved various data types, including:

Dates of birth
Email addresses
IP addresses
Full Names
Passwords
Phone numbers
Physical addresses

Hunt told BleepingComputer that he was notified of the exposure by one of the impacted users and independently verified the data.

When contacted by HIBP inquiring about the authenticity of the data, SurveyLama said that they had already notified impacted users via email, confirming the security incident.

The data set contains information about 4,426,879 accounts and was added to HIBP on April 3, so impacted users should have already received an email notification.

The platform said the exposed passwords were stored either in salted SHA-1, bcrypt, or argon2 hashes form, so they are not in directly usable cleartext.

Though hashing adds some resistance to cracking, it is not impervious to brute-forcing, especially the passwords protected with salted SHA-1, which carries known vulnerabilities, making it susceptible to collision attacks.

That said, SurveyLama account holders should reset their passwords on the service immediately and on other platforms where they might use the same credentials.

Hunt told BleepingComputer he was not aware that the compromised data had been posted anywhere publicly, making the exposure currently limited.

However, if the dataset has fallen into the wrong hands, it could be exploited privately and then eventually leaked to the broader cybercrime community, so users must take protective measures as soon as possible.

Source: BleepingComputer

Tấn công dữ liệu SurveyLama làm lộ thông tin của 4,4 triệu người dùng

Wed, 10 Apr 2024 05:00:00 GMT

Dịch vụ cảnh báo tấn công dữ liệu Have I Been Pwned (HIBP) cảnh báo SurveyLama đã bị vi phạm dữ liệu vào tháng 2 năm 2024, khiến dữ liệu nhạy cảm của 4,4 triệu người dùng bị lộ.

SurveyLama là một nền tảng trực tuyến trao thưởng cho những người dùng đã đăng ký hoàn thành khảo sát. Thuộc sở hữu của công ty Globe Media của Pháp, nền tảng này được đánh giá cao nhờ mức thanh toán cao (lên tới 20 USD), thanh toán nhanh và nhiều tùy chọn rút tiền.

Vào đầu tháng 2, người tạo ra HIBP, Troy Hunt, đã nhận được thông tin về một vụ vi phạm dữ liệu ảnh hưởng đến dịch vụ, liên quan đến nhiều loại dữ liệu khác nhau, bao gồm:

Ngày sinh
Địa chỉ email
Các địa chỉ IP
Tên đầy đủ
Mật khẩu
Số điện thoại
Địa chỉ vật lý

Hunt nói với BleepingComputer rằng anh đã được một trong những người dùng bị ảnh hưởng thông báo về mức độ ảnh hưởng và đã xác minh dữ liệu một cách độc lập.

Khi HIBP liên hệ để hỏi về tính xác thực của dữ liệu, SurveyLama nói rằng họ đã thông báo cho những người dùng bị ảnh hưởng qua email, xác nhận sự cố bảo mật.

Tập dữ liệu chứa thông tin về 4.426.879 tài khoản và đã được thêm vào HIBP ngày 3 tháng 4, vì vậy những người dùng bị ảnh hưởng lẽ ra đã nhận được thông báo qua email.

Nền tảng này cho biết các mật khẩu bị lộ được lưu trữ ở dạng băm SHA-1, bcrypt hoặc argon2 có muối, vì vậy chúng không ở dạng văn bản rõ ràng có thể sử dụng trực tiếp.

Mặc dù việc băm bổ sung thêm một số khả năng chống bẻ khóa, nhưng không tránh khỏi bị ép buộc, đặc biệt là các mật khẩu được bảo vệ bằng Salted SHA-1, vốn chứa các lỗ hổng đã biết khiến mật khẩu dễ bị tấn công va chạm.

Điều đó có nghĩa là chủ tài khoản SurveyLama nên đặt lại mật khẩu của họ trên dịch vụ ngay lập tức và trên các nền tảng khác nơi họ có thể sử dụng cùng thông tin xác thực.

Hunt nói với BleepingComputer rằng anh ta không biết rằng dữ liệu bị xâm phạm đã được đăng công khai ở bất kỳ đâu, khiến việc lộ thông tin hiện bị hạn chế.

Tuy nhiên, nếu tập dữ liệu rơi vào tay kẻ xấu, nó có thể bị khai thác một cách riêng tư và cuối cùng bị rò rỉ ra cộng đồng tội phạm mạng rộng hơn, vì vậy người dùng phải thực hiện các biện pháp bảo vệ càng sớm càng tốt.

Nguồn: bleepingcomputer.com

Omni Hotels confirms cyberattack behind ongoing IT outage

Wed, 10 Apr 2024 00:00:00 GMT

Omni Hotels & Resorts has confirmed a cyberattack caused a nationwide IT outage that is still affecting its locations.

In response to this incident, Omni took down impacted systems, and its IT teams are now working on restoring and bringing them back online.

"Since Friday, March 29, Omni Hotels & Resorts has been responding to a cyberattack on its systems. Upon learning of this issue, Omni immediately took steps to shut down its systems to protect and contain its data," the hotel chain told BleepingComputer.

"As a result, certain systems were brought offline, most of which have been restored. Omni quickly launched an investigation with a leading cybersecurity response team, which is ongoing."

While Omni has yet to reveal the nature of the attack, sources have told BleepingComputer that the hotel chain was the victim of a ransomware attack and is currently in the process of restoring encrypted servers from backups.

At this time, no ransomware gang has claimed responsibility for the cyberattack. However, if Omni Hotels does not pay a ransom demand, the gang will claim the attack and start leaking stolen data to further extort the company.

According to Omni employees, the IT team is now manually restoring affected systems from scratch, and hotel staff have been informed that systems will be available again on Thursday, April 4.

Reservations and credit card payments impact

The outage triggered by the cyberattack brought down many of Omni's services on Friday, March 29, impacting its reservation, hotel room door lock, and point-of-sale (POS) systems.

While all Omni locations have remained open and accepting new guests after the cyberattack, front desk employees have been experiencing issues with credit card payments, new reservations, and modifying already-made reservations.

"Dear valued guests, our technology teams are continuing to work on restoring our systems that are currently down," Omni Hotels said on Monday, April 1.

Omni Hotels owns 50 hotels and resorts across the United States, Canada, and Mexico, with roughly 23,550 rooms and 28 golf courses.

In 2016, the company also disclosed a data breach after attackers infected point-of-sale (PoS) systems at 49 of its 60 hotels in North America with malware.

The PoS malware was used to steal payment card information, including the cardholder's name, credit/debit card number, security code, and expiration date, between December 23, 2015, and June 14, 2016, depending on the affected location.

Source: bleepingcomputer.com

Omni Hotels xác nhận cuộc tấn công mạng gây ra tình trạng ngừng hoạt động CNTT liên tục

Tue, 09 Apr 2024 05:00:00 GMT

Omni Hotels & Resorts đã xác nhận một cuộc tấn công mạng đã gây ra sự cố ngừng hoạt động CNTT trên toàn quốc và vẫn đang ảnh hưởng đến các địa điểm của họ.

Để đối phó với sự cố này, Omni đã gỡ bỏ các hệ thống bị ảnh hưởng và các nhóm CNTT của họ hiện đang nỗ lực khôi phục và đưa chúng trực tuyến trở lại.

Chuỗi khách sạn nói với BleepingComputer: “Kể từ thứ Sáu, ngày 29 tháng 3, Omni Hotels & Resorts đã ứng phó với một cuộc tấn công mạng vào hệ thống của mình. Khi biết được vấn đề này, Omni đã ngay lập tức thực hiện các bước để tắt hệ thống của mình để bảo vệ và chứa dữ liệu của mình”.

“Kết quả là một số hệ thống nhất định đã được đưa vào chế độ ngoại tuyến, hầu hết trong số đó đã được khôi phục. Omni đã nhanh chóng mở một cuộc điều tra với đội phản ứng an ninh mạng hàng đầu và cuộc điều tra này vẫn đang diễn ra.”

Mặc dù Omni vẫn chưa tiết lộ bản chất của cuộc tấn công nhưng các nguồn tin đã nói với BleepingComputer rằng chuỗi khách sạn này là nạn nhân của một cuộc tấn công bằng ransomware và hiện đang trong quá trình khôi phục các máy chủ được mã hóa từ các bản sao lưu.

Tại thời điểm này, không có nhóm ransomware nào nhận trách nhiệm về vụ tấn công mạng. Tuy nhiên, nếu Omni Hotels không trả yêu cầu tiền chuộc, băng nhóm này sẽ thực hiện vụ tấn công và bắt đầu rò rỉ dữ liệu bị đánh cắp để tiếp tục tống tiền công ty.

Theo nhân viên của Omni, nhóm CNTT hiện đang khôi phục thủ công các hệ thống bị ảnh hưởng từ đầu và nhân viên khách sạn đã được thông báo rằng hệ thống sẽ hoạt động trở lại vào thứ Năm, ngày 4 tháng 4.

Tác động của việc đặt chỗ và thanh toán bằng thẻ tín dụng

Sự cố ngừng hoạt động do cuộc tấn công mạng gây ra đã khiến nhiều dịch vụ của Omni ngừng hoạt động vào thứ Sáu, ngày 29 tháng 3, ảnh hưởng đến việc đặt chỗ, khóa cửa phòng khách sạn và hệ thống điểm bán hàng (POS).

Mặc dù tất cả các địa điểm của Omni vẫn mở cửa và tiếp nhận khách mới sau cuộc tấn công mạng, nhưng nhân viên lễ tân đã gặp phải vấn đề với việc thanh toán bằng thẻ tín dụng, đặt chỗ mới và sửa đổi các đặt chỗ đã thực hiện.

Omni Hotels cho biết hôm thứ Hai, ngày 1 tháng 4: “Kính gửi quý khách, nhóm công nghệ của chúng tôi đang tiếp tục nỗ lực khôi phục các hệ thống hiện đang ngừng hoạt động”.

Omni Hotels sở hữu 50 khách sạn và khu nghỉ dưỡng trên khắp Hoa Kỳ, Canada và Mexico, với khoảng 23.550 phòng và 28 sân gôn.

Vào năm 2016, Omni Hotels cũng tiết lộ một vụ vi phạm dữ liệu sau khi những kẻ tấn công lây nhiễm phần mềm độc hại vào hệ thống điểm bán hàng (PoS) tại 49 trong số 60 khách sạn của họ ở Bắc Mỹ.

Phần mềm độc hại PoS được sử dụng để đánh cắp thông tin thẻ thanh toán, bao gồm tên chủ thẻ, số thẻ tín dụng/thẻ ghi nợ, mã bảo mật và ngày hết hạn, trong khoảng thời gian từ ngày 23 tháng 12 năm 2015 đến ngày 14 tháng 6 năm 2016, tùy thuộc vào vị trí bị ảnh hưởng.

Nguồn: bleepingcomputer.com

Jackson County in state of emergency after ransomware attack

Tue, 09 Apr 2024 00:00:00 GMT

Jackson County, Missouri, is in a state of emergency after a ransomware attack took down some county services on Tuesday, April 2.

"Jackson County has confirmed a ransomware attack was responsible for the disruption of several county services today," the Missouri county said.

The Assessment, Collection, and Recorder of Deeds offices at all County locations will likely be closed until the end of the week as the IT department works on restoring tax payment, marriage license, and inmate search systems impacted in the incident.

However, according to a statement published on Tuesday, April 2 the Kansas City Board of Elections and Jackson County Board of Elections are not affected by this system outage.

Officials have alerted law enforcement, including the FBI and the Department of Homeland Security, and are working with external IT security experts to investigate the attack.

Jackson County Executive Frank White, Jr. declared a state of emergency on Tuesday, April 2 to expedite IT orders, activate emergency workers, and protect against a ransomware attack.

"All county staff are to take whatever steps are necessary to protect resident data, county assets, and continue essential services, thereby mitigating the impact of" the ransomware attack," White said [PDF].

"The County Administrator is directed to evaluate the need for appropriations from the County’s emergency fund and, if necessary, identify

additional financial adjustments to address the fiscal requirements imposed by this emergency."

Ransomware attack warning on Jackson County website (BleepingComputer)

Residents' financial information not impacted

County officials have also confirmed that the compromised systems did not store residents' financial data. This is because Jackson County uses the Payit payment service provider, which stores all myjacksonCounty account data outside of the county's network

"In its commitment to protect residents, Jackson County prioritizes the security of sensitive financial information and does not keep any such data on its systems. Instead, these crucial details are securely handled and stored by our trusted partner, Payit," they said in a statement.

"Jackson County works with Payit to offer resident engagement and payment services for property taxes, marriage licenses, and other various payable items," said the service provider.

"The service is hosted completely outside Jackson County systems, and we have confirmed that the myjacksonCounty system has not been impacted by the incident. No customer data in myJacksonCounty has been compromised."

Jackson County is one of 114 counties in Missouri, with a population of approximately 718,000 people living within 616 square miles.

The Missouri county includes most of Kansas City, the largest city in Missouri, and 17 other cities and towns.

Source: BleepingComputer

Quận Jackson hiện trong tình trạng khẩn cấp sau vụ tấn công bằng ransomware

Mon, 08 Apr 2024 03:15:00 GMT

Quận Jackson, Missouri, đang trong tình trạng khẩn cấp sau khi một cuộc tấn công bằng ransomware đã đánh sập một số dịch vụ của quận vào thứ Ba, ngày 2 tháng 4.

“Quận Jackson đã xác nhận một cuộc tấn công ransomware là nguyên nhân gây ra sự gián đoạn của một số dịch vụ của quận ngày hôm nay”, quận Missouri cho biết.

Các văn phòng Đánh giá, Thu thập và Ghi lại Chứng thư tại tất cả các địa điểm của Quận có thể sẽ đóng cửa cho đến cuối tuần khi bộ phận CNTT tiến hành khôi phục việc thanh toán thuế, giấy phép kết hôn và hệ thống khám xét tù nhân bị ảnh hưởng trong vụ việc.

Tuy nhiên, theo một tuyên bố hôm thứ Ba, ngày 2 tháng 4, Hội đồng bầu cử thành phố Kansas và Hội đồng bầu cử quận Jackson không bị ảnh hưởng bởi việc hệ thống này ngừng hoạt động.

Các quan chức đã cảnh báo cơ quan thực thi pháp luật, bao gồm FBI và Bộ An ninh Nội địa, đồng thời đang làm việc với các chuyên gia bảo mật CNTT bên ngoài để điều tra vụ tấn công.

Giám đốc điều hành Quận Jackson, Frank White, Jr. đã tuyên bố tình trạng khẩn cấp vào thứ Ba, ngày 2 tháng 4 để xúc tiến các đơn đặt hàng CNTT, kích hoạt nhân viên cấp cứu và bảo vệ khỏi cuộc tấn công bằng ransomware.

White cho biết: “Tất cả nhân viên của quận phải thực hiện mọi bước cần thiết để bảo vệ dữ liệu cư dân, tài sản của quận và tiếp tục các dịch vụ thiết yếu, từ đó giảm thiểu tác động của” cuộc tấn công bằng ransomware “.

"Quản trị viên Quận được chỉ đạo đánh giá nhu cầu phân bổ từ quỹ khẩn cấp của Quận và nếu cần xác định các điều chỉnh tài chính bổ sung để giải quyết các yêu cầu tài chính do trường hợp khẩn cấp này áp đặt."

Cảnh báo tấn công ransomware trên trang web của Jackson County (BleepingComputer)

Thông tin tài chính của cư dân không bị ảnh hưởng

Các quan chức quận cũng xác nhận rằng các hệ thống bị xâm nhập không lưu trữ dữ liệu tài chính của người dân. Điều này là do Quận Jackson sử dụng nhà cung cấp dịch vụ thanh toán Payit, nơi lưu trữ tất cả dữ liệu tài khoản myjacksonCounty bên ngoài mạng của quận.

Họ cho biết: “Trong cam kết bảo vệ cư dân, Quận Jackson ưu tiên bảo mật thông tin tài chính nhạy cảm và không lưu giữ bất kỳ dữ liệu nào như vậy trên hệ thống của mình. Thay vào đó, những chi tiết quan trọng này được xử lý và lưu trữ an toàn bởi đối tác đáng tin cậy của chúng tôi, Payit”.

Nhà cung cấp dịch vụ cho biết: “Quận Jackson hợp tác với Payit để cung cấp các dịch vụ thu hút và thanh toán của cư dân đối với thuế tài sản, giấy phép kết hôn và các khoản phải trả khác”.

"Dịch vụ này được lưu trữ hoàn toàn bên ngoài hệ thống của Quận Jackson và chúng tôi đã xác nhận rằng hệ thống myjacksonCounty không bị ảnh hưởng bởi sự cố. Không có dữ liệu khách hàng nào ở myJacksonCounty bị xâm phạm."

Quận Jackson là một trong 114 quận ở Missouri, với dân số khoảng 718.000 người sống trong phạm vi 616 dặm vuông.

Quận Missouri bao gồm hầu hết Thành phố Kansas, thành phố lớn nhất ở Missouri và 17 thành phố và thị trấn khác.

Nguồn: bleepingcomputer.com

US State Department investigates alleged theft of government data

Mon, 08 Apr 2024 00:00:00 GMT

The U.S. Department of State is investigating claims of a cyber incident after a threat actor leaked documents allegedly stolen from a government contractor.

Acuity, the company purportedly breached to steal this information, is a technology consulting firm with almost 400 employees and a $100+ million annual revenue.

It provides DevSecOps, IT operations and modernization, cyber security, data analytics, and operations support services to federal civilian national security customers.

"The Department is aware of claims that a cyber incident has occurred and is currently investigating," a State Department spokesperson told BleepingComputer.

"The Department takes seriously its responsibility to safeguard its information and continuously takes steps to improve the Department's cybersecurity posture. For security reasons, we will not provide details on the nature and scope of the claim."

The threat actor (known as IntelBroker) describes the files as containing classified information belonging to the Five Eyes intelligence alliance.

According to their claims, the leaked data includes the full names, emails, office numbers, and personal cell numbers of government, military, and Pentagon employees, as well as their email addresses.

IntelBroker has also shared screenshots of some allegedly stolen documents (first spotted by Dark Web Informer) but has yet to disclose the method used to obtain them.

"Today, I am releasing the documents belonging to the Five Eyes Intelligence Group," the threat actor says in a Tuesday, April 2 post on a hacking forum.

"This data was obtained by breaching into Acuity Inc, a company that works directly with the US Government and its allies."

IntelBroker's alleged Five Eyes leak (BleepingComputer)

Since December, IntelBroker has been leaking data allegedly stolen from or belonging to a wide range of government agencies, including ICE & USCIS, the Department of Defense, and the U.S. Army.

It is not known if these incidents are related to the Five Eyes data leak. However, some of the data leaked in the ICE/USCIS forum post is also contained in the Five Eyes post, indicating an overlap.

IntelBroker gained notoriety after breaching DC Health Link, the organization that administers the health care plans of U.S. House members, their staff, and their families.

The incident resulted in a congressional hearing after the personal data belonging to 170,000 affected individuals, including members and staff of the U.S. House of Representatives, was exposed.

Other cybersecurity incidents linked to IntelBroker are the breaches of Hewlett Packard Enterprise (HPE) and the Weee! grocery service, as well as an alleged breach of General Electric Aviation.

NSA and Acuity spokespersons were not immediately available for comment when contacted by BleepingComputer earlier today. CISA declined to comment.

Source: BleepingComputer

India rescues 250 citizens enslaved by Cambodian cybercrime gang

Sat, 06 Apr 2024 01:00:00 GMT

The Indian government says it rescued and repatriated 250 citizens who sought jobs in Cambodia, only to be forced into conducting cybercrime once they arrived.

The government explains that these people were tricked into believing that lucrative job opportunities were waiting for them in the Southeast Asian nation, yet they were forced into becoming cybercriminals once they arrived there.

After several nationals informed India's Embassy in Cambodia of their dire situation, the country worked with the Cambodian authorities to locate and bring them back.

"Our Embassy in Cambodia has been promptly responding to complaints from Indian nationals who were lured with employment opportunities to that country but were forced to undertake illegal cyber work," reads the announcement.

"Collaborating closely with Cambodian authorities, it has rescued and repatriated about 250 Indians, of which 75 in just the last three months."

However, India Today reports that there are at least 5,000 more held captive in Cambodia and forced to launch scams that have generated nearly $60,000,000 in the last six months.

One of the rescued scammers reports that he had come to Cambodia to fill out a data entry job but was instead forced into living in horrid conditions while carrying out scams coordinated by a team of Chinese and Malaysian scammers.

The person, termed "cyber slave," reports that they were told to create fake social media profiles used for defrauding fellow Indians. Their overseers assigned daily financial quotas and enforced them with physical violence and isolation on those who failed to meet them.

The scammers impersonate law enforcement officers who contact select victims deemed gullible by their social media profiles and blackmail them with false allegations about illegal items found in parcels sent by them.

At some point, they targeted a senior government employee who reported his losses to the Odisha police. The ensuing investigation revealed eight people linked to the massive scam operation.

As investigations continue into locating and repatriating more victims, the revelations shed light on this sinister international syndicate that leverages the desperation of job seekers.

The case also serves as a reminder of the evolving challenges in cybersecurity and the importance of international cooperation in combating cybercrime.

Source: bleepingcomputer.com

Ấn Độ giải cứu 250 công dân bị băng đảng tội phạm mạng Campuchia bắt làm nô lệ

Fri, 05 Apr 2024 05:00:00 GMT

Chính phủ Ấn Độ cho biết họ đã giải cứu và hồi hương 250 công dân đang tìm việc làm ở Campuchia, nhưng bị buộc phải tiến hành tội phạm mạng khi họ đến nơi.

Chính phủ giải thích rằng những người này đã bị lừa để tin rằng những cơ hội việc làm béo bở đang chờ họ ở quốc gia Đông Nam Á này, nhưng họ lại bị buộc trở thành tội phạm mạng khi đến đó.

Sau khi một số công dân Ấn Độ thông báo cho Đại sứ quán Ấn Độ tại Campuchia về tình hình nghiêm trọng của họ, nước này đã làm việc với chính quyền Campuchia để xác định vị trí và đưa họ trở về.

Thông báo cho biết: “Đại sứ quán của chúng tôi tại Campuchia đã nhanh chóng phản hồi các khiếu nại từ công dân Ấn Độ, những người bị thu hút bởi các cơ hội việc làm tại quốc gia đó nhưng bị buộc phải thực hiện công việc mạng bất hợp pháp”.

“Hợp tác chặt chẽ với chính quyền Campuchia, họ đã giải cứu và hồi hương khoảng 250 người Ấn Độ, trong đó 75 người chỉ trong ba tháng qua.”

Tuy nhiên, India Today cho biết có ít nhất 5.000 người nữa bị giam giữ ở Campuchia và buộc phải thực hiện các vụ lừa đảo tạo ra gần 60.000.000 USD trong sáu tháng qua.

Một trong những kẻ lừa đảo được giải cứu cho biết anh ta đã đến Campuchia để làm công việc nhập dữ liệu nhưng thay vào đó lại bị buộc phải sống trong điều kiện tồi tệ trong khi thực hiện các vụ lừa đảo do một nhóm lừa đảo Trung Quốc và Malaysia điều phối.

Người này, được gọi là "nô lệ mạng (cyber slave)", báo cáo rằng họ được yêu cầu tạo hồ sơ mạng xã hội giả mạo để lừa gạt đồng bào Ấn Độ. Những người giám sát của họ đã giao chỉ tiêu tài chính hàng ngày và thực thi chúng bằng bạo lực thể xác và cách ly đối với những người không đáp ứng được chúng.

Những kẻ lừa đảo mạo danh các nhân viên thực thi pháp luật liên hệ với những nạn nhân chọn lọc mà hồ sơ mạng xã hội của họ cho là cả tin và tống tiền họ bằng những cáo buộc sai trái về các mặt hàng bất hợp pháp được tìm thấy trong bưu kiện do họ gửi.

Tại một thời điểm nào đó, họ nhắm vào một nhân viên cấp cao của chính phủ, người đã báo cáo tổn thất của mình cho cảnh sát Odisha. Cuộc điều tra sau đó cho thấy tám người có liên quan đến hoạt động lừa đảo lớn.

Khi các cuộc điều tra tiếp tục xác định vị trí và hồi hương nhiều nạn nhân hơn, những tiết lộ đã làm sáng tỏ tổ chức quốc tế độc ác này đang thúc đẩy sự tuyệt vọng của những người tìm việc.

Vụ việc cũng là lời nhắc nhở về những thách thức ngày càng tăng trong an ninh mạng và tầm quan trọng của hợp tác quốc tế trong việc chống tội phạm mạng.

Nguồn: bleepingcomputer.com

Bộ Ngoại giao Mỹ điều tra cáo buộc đánh cắp dữ liệu chính phủ

Fri, 05 Apr 2024 05:00:00 GMT

Bộ Ngoại giao Hoa Kỳ đang điều tra các khiếu nại về một sự cố mạng sau khi một kẻ đe dọa làm rò rỉ các tài liệu được cho là bị đánh cắp từ một nhà thầu chính phủ.

Acuity là công ty được cho là đã bị tấn công để tác nhân đe dọa đánh cắp thông tin này, là một công ty tư vấn công nghệ với gần 400 nhân viên và doanh thu hàng năm hơn 100 triệu USD.

Acuity cung cấp DevSecOps, hoạt động và hiện đại hóa CNTT, an ninh mạng, phân tích dữ liệu và các dịch vụ hỗ trợ hoạt động cho khách hàng dân sự liên bang về an ninh quốc gia.

Người phát ngôn của Bộ Ngoại giao nói với BleepingComputer: “Bộ đã biết về những tuyên bố rằng một sự cố mạng đã xảy ra và hiện đang điều tra”.

"Bộ thực hiện nghiêm túc trách nhiệm bảo vệ thông tin của mình và liên tục thực hiện các bước để cải thiện tình trạng an ninh mạng của Bộ. Vì lý do bảo mật, chúng tôi sẽ không cung cấp thông tin chi tiết về bản chất và phạm vi của khiếu nại."

Tác nhân đe dọa (được gọi là IntelBroker) mô tả các tệp chứa thông tin mật thuộc liên minh tình báo Five Eyes.

Theo tuyên bố của chúng, dữ liệu bị rò rỉ bao gồm tên đầy đủ, email, số văn phòng và số điện thoại di động cá nhân của nhân viên chính phủ, quân đội và Lầu Năm Góc, cũng như địa chỉ email của họ.

IntelBroker cũng đã chia sẻ ảnh chụp màn hình của một số tài liệu được cho là bị đánh cắp (được phát hiện lần đầu bởi Dark Web Informer) nhưng vẫn chưa tiết lộ phương pháp được sử dụng để lấy chúng.

“Hôm nay, tôi sẽ tiết lộ các tài liệu thuộc về Nhóm tình báo Five Eyes”, kẻ đe dọa nói trong một bài đăng ngày 2 tháng 4 trên một diễn đàn hack.

“Dữ liệu này có được bằng cách xâm nhập vào Acuity Inc, một công ty làm việc trực tiếp với Chính phủ Hoa Kỳ và các đồng minh.”

Vụ rò rỉ Five Eyes được cho là của IntelBroker (BleepingComputer)

Kể từ tháng 12, IntelBroker đã rò rỉ dữ liệu được cho là bị đánh cắp từ hoặc thuộc về nhiều cơ quan chính phủ, bao gồm ICE & USCIS, Bộ Quốc phòng và Quân đội Hoa Kỳ.

Người ta không biết liệu những sự cố này có liên quan đến vụ rò rỉ dữ liệu Five Eyes hay không. Tuy nhiên, một số dữ liệu bị rò rỉ trong bài đăng trên diễn đàn ICE/USCIS cũng có trong bài đăng của Five Eyes và cho thấy có sự chồng chéo.

IntelBroker đã nổi tiếng sau khi tấn công DC Health Link, tổ chức quản lý các kế hoạch chăm sóc sức khỏe của các thành viên Hạ viện Hoa Kỳ, nhân viên của họ và gia đình họ.

Vụ việc đã dẫn đến một phiên điều trần quốc hội sau khi dữ liệu cá nhân của 170.000 cá nhân bị ảnh hưởng, bao gồm cả các thành viên và nhân viên của Hạ viện Hoa Kỳ, bị lộ.

Các sự cố an ninh mạng khác có liên quan đến IntelBroker là các vi phạm của Hewlett Packard Enterprise (HPE) và Weee! dịch vụ tạp hóa, cũng như cáo buộc vi phạm của General Electric Aviation.

Người phát ngôn của NSA và Acuity chưa đưa ra bình luận ngay lập tức khi được BleepingComputer liên hệ vào hôm nay. CISA từ chối bình luận.

Nguồn: bleepingcomputer.com

Google now blocks spoofed emails for better phishing protection

Fri, 05 Apr 2024 00:00:00 GMT

Google has started automatically blocking emails sent by bulk senders who don't meet stricter spam thresholds and authenticate their messages as required by new guidelines to strengthen defenses against spam and phishing attacks.

As announced in October, the company now requires those who want to dispatch over 5,000 messages daily to Gmail accounts to set up SPF/DKIM and DMARC email authentication for their domains.

The new guidelines also require bulk email senders to avoid sending unsolicited or unwanted messages, provide a one-click unsubscribe option, and respond to unsubscription requests within two days.

Spam rates must also be maintained below 0.3%, and "From" headers must not impersonate Gmail. Non-compliance may result in email delivery issues, including rejected emails or emails being automatically sent to recipients' spam folders.

"Bulk senders who don't meet our sender requirements will start getting temporary errors with error codes on a small portion of messages that don't meet the requirements," Google says.

"These temporary errors help senders identify email that doesn't meet our guidelines so senders can resolve issues that prevent compliance."

"Starting in April 2024, we'll begin rejecting non-compliant traffic. Rejection will be gradual and will impact non-compliant traffic only. We strongly recommend senders use the temporary failure enforcement period to make any changes required to become compliant."

The company also plans to enforce these requirements starting in June, with an accelerated timetable for domains used to send bulk emails since January 1, 2024.

As Google claimed when the new guidelines were first announced, its AI-powered defenses can successfully block nearly 15 billion unwanted emails daily, preventing over 99.9% of spam, phishing attempts, and malware from infiltrating users' inboxes.

"You shouldn't need to worry about the intricacies of email security standards, but you should be able to confidently rely on an email's source," said Neil Kumaran, Group Product Manager for Gmail Security & Trust in October.

"Ultimately, this will close loopholes exploited by attackers that threaten everyone who uses email."

Source: bleepingcomputer.com

Google chặn các email giả mạo để ngăn chặn việc lừa đảo tốt hơn

Thu, 04 Apr 2024 05:00:00 GMT

Google đã bắt đầu tự động chặn email được gửi bởi những người gửi hàng loạt không đáp ứng ngưỡng thư rác nghiêm ngặt hơn và xác thực thư của họ theo yêu cầu của nguyên tắc mới nhằm tăng cường khả năng phòng vệ trước các cuộc tấn công thư rác và lừa đảo.

Như đã thông báo vào tháng 10, công ty hiện yêu cầu những người muốn gửi hơn 5.000 thư hàng ngày tới tài khoản Gmail phải thiết lập xác thực email SPF/DKIM và DMARC cho miền của họ.

Các nguyên tắc mới cũng yêu cầu người gửi email hàng loạt tránh gửi các tin nhắn không được yêu cầu hoặc không mong muốn, cung cấp tùy chọn hủy đăng ký bằng một cú nhấp chuột và phản hồi các yêu cầu hủy đăng ký trong vòng hai ngày.

Tỷ lệ thư rác cũng phải được duy trì dưới 0,3% và tiêu đề "From (Từ)" không được mạo danh Gmail. Việc không tuân thủ có thể dẫn đến các vấn đề về gửi email, bao gồm cả email bị từ chối hoặc email tự động được gửi đến thư mục thư rác của người nhận.

Google cho biết: “Những người gửi hàng loạt không đáp ứng yêu cầu về người gửi của chúng tôi sẽ bắt đầu gặp lỗi tạm thời với mã lỗi trên một phần nhỏ thư không đáp ứng yêu cầu”.

"Những lỗi tạm thời này giúp người gửi xác định email không đáp ứng các nguyên tắc của chúng tôi để người gửi có thể giải quyết các vấn đề cản trở việc tuân thủ."

"Bắt đầu từ tháng 4 năm 2024, chúng tôi sẽ bắt đầu từ chối lưu lượng truy cập không tuân thủ. Việc từ chối sẽ diễn ra dần dần và chỉ ảnh hưởng đến lưu lượng truy cập không tuân thủ. Chúng tôi thực sự khuyên người gửi nên sử dụng khoảng thời gian thực thi lỗi tạm thời để thực hiện mọi thay đổi cần thiết để tuân thủ."

Google cũng có kế hoạch thực thi các yêu cầu này bắt đầu từ tháng 6, với thời gian biểu tăng tốc cho các miền được sử dụng để gửi email hàng loạt kể từ ngày 1 tháng 1 năm 2024.

Như Google đã thông báo khi các nguyên tắc mới được công bố lần đầu tiên, hệ thống phòng thủ được hỗ trợ bởi AI của họ có thể chặn thành công gần 15 tỷ email không mong muốn hàng ngày, ngăn chặn hơn 99,9% thư rác, các nỗ lực lừa đảo và phần mềm độc hại xâm nhập vào hộp thư đến của người dùng.

Neil Kumaran, Giám đốc sản phẩm của Tập đoàn về Bảo mật & Tin cậy của Gmail cho biết: “Bạn không cần phải lo lắng về sự phức tạp của các tiêu chuẩn bảo mật email, nhưng bạn có thể tự tin dựa vào nguồn của email”.

“Cuối cùng, điều này sẽ đóng các lỗ hổng bị kẻ tấn công khai thác nhằm đe dọa tất cả những người sử dụng email.”

Nguồn: bleepingcomputer.com

Yacht retailer MarineMax discloses data breach after cyberattack

Thu, 04 Apr 2024 00:00:00 GMT

MarineMax, self-described as one of the world's largest recreational boat and yacht retailers, says attackers stole employee and customer data after breaching its systems in a March cyberattack.

The Florida-based yacht seller said in a March 12 SEC filing that it didn't store sensitive data in the compromised systems. Still, on Monday, April 1 a new 8-K filing revealed that the malicious actors gained access and stole personal data belonging to an undisclosed number of individuals.

"The Company has determined that a cybercrime organization accessed a limited portion of our information environment associated with our retail business," MarineMax disclosed.

"As of the date of this filing, our ongoing investigation has identified that this organization exfiltrated limited data from this environment that includes some customer and employee information, including personally identifiable information."

While the company didn't attribute the attack to a specific threat group, the Rhysida ransomware gang claimed the attack and is now selling data allegedly stolen from MarineMax's network for 15 BTC (just over $1 million).

Rhysida has also leaked screenshots of what appear to be MarineMax's financial documents, along with employee driver's licenses and passports, on its dark web leak site.

The group is still seeking a buyer for the data they stole from the company, indicating that the ransom has not yet been paid.

MarineMax entry on Rhysida leak site (BleepingComputer)

MarineMax operates over 130 locations worldwide, including 83 dealerships and 66 marina and storage facilities. The company reported a $2.39 billion revenue last year, with a $835.3 million gross profit.

The Rhysida ransomware-as-a-service (RaaS) operation emerged almost one year ago, in May 2023, and gained notoriety after breaching the British Library and the Chilean Army (Ejército de Chile).

The gang's affiliates were also linked by the U.S. Department of Health and Human Services (HHS) to attacks against healthcare organizations in August.

Additionally, a joint advisory issued by CISA and the FBI warned that the Rhysida ransomware group has also carried out opportunistic attacks targeting organizations in various industry sectors.

One of the latest examples is the November attack against Sony subsidiary Insomniac Games when the ransomware gang stole over 1.3 million files, including employee personal information. Rhysida leaked 1,67 TB of documents on its leak site after the game studio refused to pay a $2 million ransom.

Source: BleepingComputer

Nhà bán lẻ du thuyền MarineMax tiết lộ vi phạm dữ liệu sau cuộc tấn công mạng

Wed, 03 Apr 2024 05:00:00 GMT

MarineMax là một trong những nhà bán lẻ du thuyền và thuyền giải trí lớn nhất thế giới, cho biết những kẻ tấn công đã đánh cắp dữ liệu của nhân viên và khách hàng sau khi xâm nhập hệ thống của họ trong một cuộc tấn công mạng vào tháng 3.

MarineMax có trụ sở tại Florida cho biết trong hồ sơ gửi SEC ngày 12 tháng 3 họ không lưu trữ dữ liệu nhạy cảm trong các hệ thống bị xâm nhập. Tuy nhiên, vào thứ Hai, ngày 1 tháng 4, một hồ sơ 8-K mới tiết lộ rằng những kẻ độc hại đã giành được quyền truy cập và đánh cắp dữ liệu cá nhân của một số cá nhân không được tiết lộ.

MarineMax tiết lộ: “Công ty đã xác định rằng một tổ chức tội phạm mạng đã truy cập một phần hạn chế vào môi trường thông tin liên quan đến hoạt động kinh doanh bán lẻ của chúng tôi”.

"Kể từ ngày nộp đơn này, cuộc điều tra đang diễn ra của chúng tôi đã xác định rằng tổ chức này đã lấy một số dữ liệu hạn chế từ môi trường này, bao gồm một số thông tin khách hàng và nhân viên, bao gồm cả thông tin nhận dạng cá nhân."

Mặc dù MarineMax không quy cuộc tấn công cho một nhóm đe dọa cụ thể, nhưng nhóm ransomware Rhysida đã nhận trách nhiệm về vụ tấn công và hiện đang bán dữ liệu được cho là bị đánh cắp từ mạng của MarineMax với giá 15 BTC (chỉ hơn 1 triệu USD).

Rhysida cũng đã rò rỉ ảnh chụp màn hình những tài liệu tài chính của MarineMax, cùng với giấy phép lái xe và hộ chiếu của nhân viên, trên trang web rò rỉ web đen của nó.

Nhóm này vẫn đang tìm kiếm người mua dữ liệu mà chúng đã đánh cắp từ công ty, cho thấy khoản tiền chuộc vẫn chưa được trả.

Mục nhập MarineMax trên trang web rò rỉ Rhysida (BleepingComputer)

MarineMax hoạt động tại hơn 130 địa điểm trên toàn thế giới, bao gồm 83 đại lý và 66 bến du thuyền và cơ sở lưu trữ. Công ty đã báo cáo doanh thu 2,39 tỷ USD vào năm ngoái, với lợi nhuận gộp 835,3 triệu USD.

Hoạt động ransomware-as-a-service (RaaS) của Rhysida xuất hiện gần một năm trước, vào tháng 5 năm 2023 và nổi tiếng sau khi xâm nhập Thư viện Anh và Quân đội Chile (Ejército de Chile).

Các nhóm của băng đảng này cũng được Bộ Y tế và Dịch vụ Nhân sinh Hoa Kỳ (HHS) liên kết với các cuộc tấn công nhằm vào các tổ chức chăm sóc sức khỏe vào tháng 8.

Ngoài ra, một khuyến cáo chung do CISA và FBI đưa ra cảnh báo rằng nhóm ransomware Rhysida cũng đã thực hiện các cuộc tấn công cơ hội nhắm vào các tổ chức trong nhiều lĩnh vực công nghiệp khác nhau.

Một trong những ví dụ mới nhất là cuộc tấn công vào tháng 11 nhằm vào công ty con Insomniac Games của Sony khi nhóm ransomware đã đánh cắp hơn 1,3 triệu tệp, bao gồm cả thông tin cá nhân của nhân viên. Rhysida đã rò rỉ 1,67 TB tài liệu trên trang web bị rò rỉ của mình sau khi studio trò chơi từ chối trả khoản tiền chuộc 2 triệu USD.

Nguồn: bleepingcomputer.com

FTC: Americans lost $1.1 billion to impersonation scams in 2023

Wed, 03 Apr 2024 00:00:00 GMT

Impersonation scams in the U.S. exceeded $1.1 billion in losses last year, according to statistics collected by the Federal Trade Commission (FTC), a figure that is three times higher than in 2020.

The agency compiled this data based on 490,000 reported scams in 2023. Of these, 330,000 were for business impersonation complaints and the rest represent government impersonation incidents.

According to the agency, most of the scams were conducted via phone calls, currently in decline, followed by email and text messages, which are on the rise for the third year in a row.

Impersonation incidents reported to FTC (ftc.gov)

"Reports show an increasingly blurred line between business and government impersonation scams," reads the FTC report.

"Many scammers impersonate more than one organization in a single scam – for example, a fake Amazon employee might transfer you to a fake bank or even a fake FBI or FTC employee for fake help."

The top five scam types FTC highlights are:

Copycat Account Security Alerts : Scammers send fake alerts about unauthorized account activity, tricking victims into transferring funds for protection.
Phony Subscription Renewals : Emails claim a subscription you never had is renewing, coaxing you into a refund scam that involves returning over-refunded amounts via gift cards.
Fake Giveaways, Discounts, or Money to Claim : Scams offer bogus discounts or giveaways from known brands, leading victims to buy gift cards or send money to claim the non-existent offers.
Bogus Problems with the Law : Impersonators claim you're implicated in a crime, pushing you to move money or buy gift cards under the guise of resolving the issue.
Made-up Package Delivery Problems : Fraudulent messages from carriers about delivery issues, aiming to steal credit card information or account details under the pretense of resolving a delivery problem.

The agency provides tips for consumers to protect against this type of fraud, which include avoiding clicking on URLs arriving via unsolicited communications, distrusting requests for money transfers, and taking the time to verify suspicious communications.

Simultaneously, the FTC announced on April 1 that new impersonation rules are coming into effect. These rules aim to give the agency enhanced capabilities to pursue scammers in federal courts for civil penalties and restitution.

As noted in a press release published two months ago, the FTC will be given the power to directly seek monetary relief from scammers that use forged government seals and business logos, spoof government and business email and web addresses, and falsely imply affiliation with them.

Source: bleepingcomputer.com

FTC cho biết Người Mỹ mất 1,1 tỷ USD vì vụ lừa đảo mạo danh vào năm 2023

Tue, 02 Apr 2024 15:22:03 GMT

Theo số liệu thống kê do Ủy ban Thương mại Liên bang (FTC) thu thập, các vụ lừa đảo mạo danh ở Mỹ đã gây thiệt hại hơn 1,1 tỷ USD vào năm ngoái, một con số cao gấp ba lần so với năm 2020.

FTC đã tổng hợp dữ liệu này dựa trên 490.000 vụ lừa đảo được báo cáo vào năm 2023. Trong số đó, 330.000 vụ là khiếu nại mạo danh doanh nghiệp và số còn lại là các vụ việc mạo danh chính phủ.

Theo FTC, hầu hết các vụ lừa đảo được thực hiện thông qua các cuộc gọi điện thoại, hiện đang giảm dần, tiếp theo là email và tin nhắn, đang gia tăng trong năm thứ ba liên tiếp.

Sự cố mạo danh được báo cáo cho FTC (ftc.gov)

Báo cáo của FTC cho biết: “Các báo cáo cho thấy ranh giới ngày càng mờ nhạt giữa các vụ lừa đảo mạo danh doanh nghiệp và chính phủ”.

“Nhiều kẻ lừa đảo mạo danh nhiều tổ chức trong một vụ lừa đảo – ví dụ: một nhân viên Amazon giả mạo có thể chuyển bạn đến một ngân hàng giả mạo hoặc thậm chí là nhân viên FBI hoặc FTC giả mạo để được trợ giúp giả mạo.”

Năm loại lừa đảo nổi bật nhất được FTC đề cập là:

Cảnh báo bảo mật tài khoản Copycat : Những kẻ lừa đảo gửi cảnh báo giả mạo về hoạt động tài khoản trái phép, lừa nạn nhân chuyển tiền để bảo vệ.
Gia hạn đăng ký giả mạo : Các email khẳng định đăng ký mà bạn chưa từng có đang được gia hạn, dụ dỗ bạn thực hiện một vụ lừa đảo hoàn tiền liên quan đến việc trả lại số tiền hoàn lại quá mức thông qua thẻ quà tặng.
Quà tặng, chiết khấu hoặc tiền giả để yêu cầu : Lừa đảo cung cấp các khoản giảm giá hoặc quà tặng không có thật từ các thương hiệu nổi tiếng, khiến nạn nhân mua thẻ quà tặng hoặc gửi tiền để nhận các ưu đãi không tồn tại.
Các vấn đề không có thật với pháp luật : Những kẻ mạo danh cho rằng bạn có liên quan đến một tội ác, thúc ép bạn chuyển tiền hoặc mua thẻ quà tặng dưới chiêu bài giải quyết vấn đề.
Các vấn đề về giao hàng gói hàng bịa đặt : Tin nhắn lừa đảo từ nhà cung cấp dịch vụ về các vấn đề giao hàng, nhằm đánh cắp thông tin thẻ tín dụng hoặc chi tiết tài khoản với lý do giải quyết vấn đề giao hàng.

FTC cung cấp các mẹo để người tiêu dùng bảo vệ khỏi loại gian lận này, bao gồm tránh nhấp vào các URL đến thông qua các thông tin liên lạc không được yêu cầu, không tin tưởng vào các yêu cầu chuyển tiền và dành thời gian để xác minh các thông tin liên lạc đáng ngờ.

Đồng thời ngày 1 tháng 4, FTC đã thông báo rằng các quy định mạo danh mới sắp có hiệu lực. Các quy tắc này nhằm mục đích cung cấp cho cơ quan khả năng nâng cao để truy đuổi những kẻ lừa đảo tại tòa án liên bang về các hình phạt dân sự và bồi thường.

Như đã lưu ý trong một thông cáo báo chí được xuất bản hai tháng trước, FTC sẽ được trao quyền trực tiếp tìm kiếm sự trợ giúp bằng tiền từ những kẻ lừa đảo sử dụng con dấu chính phủ và biểu tượng doanh nghiệp giả mạo, giả mạo địa chỉ web và email của chính phủ và doanh nghiệp, đồng thời ngụ ý sai về mối liên kết với họ.

Nguồn: bleepingcomputer.com

PyPI suspends new user registration to block malware campaign

Tue, 02 Apr 2024 00:00:00 GMT

The Python Package Index (PyPI) has temporarily suspended user registration and the creation of new projects to deal with an ongoing malware campaign.

PyPI is an index for Python projects that helps developers find and install Python packages.

With thousands of packages available, the repository is an attractive target for threat actors, who often upload typosquatted or fake packages to compromise software developers and potential supply-chain attacks.

Such activity has forced PyPI administrators earlier on March 28 to announce that all new user registrations have been suspended to allow mitigating malicious activity.

PyPI platform status (BleepingComputer)

Malware campaign

A report from Checkmarx informs that threat actors started yesterday to upload to PyPI 365 packages with names that mimick legitimate projects.

The packages include malicious code within the ‘setup.py’ file that executes upon installation, attempting to retrieve an additional payload from a remote server.

To evade detection, the malicious code is encrypted using the Fernet module, and the remote resource’s URL is dynamically constructed when needed.

The final payload is an info-stealer with persistence capabilities that targets data stored in web browsers, such as login passwords, cookies, and cryptocurrency extensions.

Info-stealer payload (Checkmarx)

Checkmarx makes available in its report the full list of malicious entries they found, which contains numerous typosquatting variants for many legitimate packages.

According to a report from Check Point, though, the list of malicious packages is over 500 and were deployed in two stages. The researchers say that each package originated from unique maintainer accounts with distinct names and emails.

"Notably, each maintainer account uploaded only one package, indicating the utilization of automation in orchestrating the attack," Check Point explains.

The researchers say that all entries had the same version number, contained the same malicious code, and the names appear generated through a randomization process.

This incident underscores the importance of software developers and package maintainers utilizing open-source repositories to rigorously verify the authenticity and security of the components they use in their projects.

This is not the first time PyPI takes such aggressive steps to safeguard its community from malicious submissions. The maintainers of the repository took the same action last year, on May 20.

Source: BleepingComputer

PyPI tạm dừng đăng ký người dùng mới để chặn chiến dịch phần mềm độc hại

Mon, 01 Apr 2024 05:00:00 GMT

Python Package Index (PyPI) đã tạm thời dừng đăng ký người dùng và việc tạo các dự án mới để đối phó với chiến dịch phần mềm độc hại đang diễn ra.

PyPI là một hạng mục dành cho các dự án Python giúp các lập trình viên tìm và cài đặt các gói Python.

Với hàng nghìn gói có sẵn, kho lưu trữ là mục tiêu hấp dẫn đối với những kẻ đe dọa, những kẻ thường tải lên các gói lỗi chính tả hoặc giả mạo để xâm phạm các nhà phát triển phần mềm và các cuộc tấn công chuỗi cung ứng tiềm năng.

Hoạt động như vậy đã buộc các quản trị viên PyPI sớm ngày 28 tháng 3 phải thông báo rằng tất cả đăng ký người dùng mới đã bị tạm dừng để cho phép giảm thiểu hoạt động độc hại.

Trạng thái nền tảng PyPI (BleepingComputer)

Chiến dịch phần mềm độc hại

Một báo cáo từ Checkmarx cho biết các tác nhân đe dọa đã bắt đầu tải lên các gói PyPI 365 từ hôm qua với những cái tên bắt chước các dự án hợp pháp.

Các gói này bao gồm mã độc trong tệp ‘setup.py’, tệp này thực thi khi cài đặt sẽ truy xuất payload bổ sung từ máy chủ từ xa.

Để tránh bị phát hiện, mã độc được mã hóa bằng mô-đun Fernet và URL của tài nguyên từ xa được xây dựng động khi cần.

Payload cuối cùng là một kẻ đánh cắp thông tin với khả năng liên tục nhắm mục tiêu dữ liệu được lưu trữ trong trình duyệt web, chẳng hạn như mật khẩu đăng nhập, cookie và tiện ích mở rộng tiền điện tử.

Payload của kẻ đánh cắp thông tin (Checkmarx)

Checkmarx nêu rõ trong báo cáo của mình danh sách đầy đủ các mục độc hại mà họ tìm thấy, trong đó có nhiều biến thể đánh máy cho nhiều gói hợp pháp.

Tuy nhiên, theo báo cáo từ Check Point, danh sách các gói độc hại lên tới hơn 500 và được triển khai theo hai giai đoạn. Các nhà nghiên cứu nói rằng mỗi gói có nguồn gốc từ các tài khoản người bảo trì duy nhất có tên và email riêng biệt.

Check Point giải thích: “Đáng chú ý là mỗi tài khoản người bảo trì chỉ tải lên một gói, cho thấy việc sử dụng tự động hóa trong việc dàn dựng cuộc tấn công”.

Các nhà nghiên cứu nói rằng tất cả các mục đều có cùng số phiên bản, chứa cùng một mã độc và các tên dường như được tạo thông qua quy trình ngẫu nhiên.

Sự cố này nhấn mạnh tầm quan trọng của việc các nhà phát triển phần mềm và nhà bảo trì gói sử dụng kho lưu trữ nguồn mở để xác minh nghiêm ngặt tính xác thực và bảo mật của các thành phần họ sử dụng trong dự án của mình.

Đây không phải là lần đầu tiên PyPI thực hiện các bước tích cực như vậy để bảo vệ cộng đồng của mình khỏi những nội dung gửi độc hại. Những người bảo trì kho lưu trữ đã thực hiện hành động tương tự vào năm ngoái, vào ngày 20 tháng 5.

Nguồn: bleepingcomputer.com

Cisco warns of password-spraying attacks targeting VPN services

Mon, 01 Apr 2024 00:00:00 GMT

Cisco has shared a set of recommendations for customers to mitigate password-spraying attacks that have been targeting Remote Access VPN (RAVPN) services configured on Cisco Secure Firewall devices.

The company says that the attacks have also been targeting other remote access VPN services and appear to be part of reconnaissance activity.

During a password-spraying attack, an adversary tries the same password with multiple accounts in an attempt to log in.

Cisco’s mitigation guide lists indicators of compromise (IoCs) for this activity to help detect the attacks and block them.

This includes inability to establish VPN connections with Cisco Secure Client (AnyConnect) when Firewall Posture (HostScan) is enabled.

Side-effect of the DoS status caused by the attacks (Cisco)

Another sign is an unusual amount of authentication requests recorded by system logs.

Cisco’s recommendations to defend against these attacks include:

Enabling logging to a remote syslog server to improve incident analysis and correlation.
Securing default remote access VPN profiles by pointing unused default connection profiles to a sinkhole AAA server to prevent unauthorized access.
Leveraging TCP shun to manually block malicious IPs.
Configuring control-plane ACLs to filter out unauthorized public IP addresses from initiating VPN sessions.
Using certificate-based authentication for RAVPN, which provides a more secure authentication method than traditional credentials.

Links to Brutus botnet

Security researcher Aaron Martin told BleepingComputer that the activity observed by Cisco is likely from an undocumented malware botnet he named ‘Brutus.’ The connection is based on the particular targeting scope and attack patterns.

Martin has published a report on the Brutus botnet describing the unusual attack methods that he and analyst Chris Grube observed since March 15. The report notes that the botnet currently relies on 20,000 IP addresses worldwide, spanning various infrastructures from cloud services to residential IPs.

The attacks that Martin observed initially targeted SSLVPN appliances from Fortinet, Palo Alto, SonicWall, and Cisco but have now expanded to also include web apps that use Active Directory for authentication.

Brutus rotates its IPs every six attempts to evade detection and blocking, while it uses very specific non-disclosed usernames that are not available in public data dumps.

This aspect of the attacks raises concerns about how these usernames were obtained and might indicate an undisclosed breach or exploitation of a zero-day vulnerability.

Though the operators of Brutus are unknown, Martin has identified two IPs that have been associated with past activities of APT29 (Midnight Blizzard, NOBELIUM, Cozy Bear), an espionage threat group believed to work for the Russian Foreign Intelligence Service (SVR).

Source: BleepingComputer

INC Ransom threatens to leak 3TB of NHS Scotland stolen data

Sat, 30 Mar 2024 01:00:00 GMT

The INC Ransom extortion gang is threatening to publish three terabytes of data allegedly stolen after breaching the National Health Service (NHS) of Scotland.

In a post on March 26, the cybercriminals shared multiple images containing medical details and said that they would leak data "soon," unless the NHS pays a ransom.

Scotland's NHS is the country’s public health system, providing services ranging from primary care, hospital care, dental care, pharmaceutical, and long-term care.

INC Ransom is a data extortion operation that emerged in July 2023 and targets organizations in both the public and the private sector. Among the victims are education, healthcare, and government organizations, and industrial entites like Yamaha Motor.

Reports about a cybersecurity incident disrupting NHS Scotland services appeared on March 15, likely when the attack occurred.

In March 26 of post, the threat actor published several sample documents with sensitive information about doctors and patients, including medical assessments, analysis results, and psychological reports.

INC Ransom extortion page (BleepingComputer)

Only one regional health board affected

A spokesperson for the Scottish Government told BleepingComputer that the cyberattack impacts only NHS Dumfries and Galloway, one of the regional health boards that make up NHS Scotland.

"We are aware of some data published on the web that is linked to the recent cyber-attack on NHS Dumfries and Galloway. This incident remains contained to NHS Dumfries and Galloway and there have been no further incidents across NHS Scotland as a whole," - Scottish Government.

The spokesperson added that the government is working with multiple entities, including the health board, Police Scotland and other agencies (e.g. National Crime Agency, National Cyber Security Centre) to determine the impact of the breach "and the possible implications for individuals concerned."

Meanwhile, NHS Dumfries and Galloway has confirmed on March 27 that a ransomware group leaked clinical data relating to a small number of patients.

The organization states that this was the result of the cyberattack that occurred two weeks ago, which compromised its IT systems and resulted in the unauthorized access of “a significant amount of data including patient and staff-identifiable information.”

“We absolutely deplore the release of confidential patient data as part of this criminal act,” stated NHS Dumfries and Galloway Chief Executive Jeff Ace.

“This information has been released by hackers to evidence that this is in their possession.”

Ace said that patient-facing services are operating normally, and the organization is working with the police and the National Cyber Security Center (NCSC) to formulate a response to the situation.

Moreover, he assured that all patients who had their info leaked online will be informed directly by the NHS so they may take the appropriate measures to protect themselves.

Source: BleepingComputer

Cisco cảnh báo các cuộc tấn công password-spraying nhắm vào các dịch vụ VPN

Fri, 29 Mar 2024 05:15:00 GMT

Cisco đã chia sẻ một bộ đề xuất dành cho khách hàng nhằm giảm thiểu các cuộc tấn công password-spraying đang nhắm mục tiêu vào các dịch vụ VPN truy cập từ xa (RAVPN) được định cấu hình trên các thiết bị Tường lửa bảo mật của Cisco.

Cisco cho biết các cuộc tấn công cũng nhắm vào các dịch vụ VPN truy cập từ xa khác và dường như là một phần của hoạt động trinh sát.

Trong cuộc tấn công password-spraying, kẻ tấn công thử cùng một mật khẩu với nhiều tài khoản để cố gắng đăng nhập.

Hướng dẫn giảm nhẹ của Cisco liệt kê các chỉ báo về sự xâm phạm (IoC) cho hoạt động này nhằm giúp phát hiện các cuộc tấn công và ngăn chặn chúng.

Điều này bao gồm việc không thể thiết lập kết nối VPN với Cisco Secure Client (AnyConnect) khi bật Tư thế tường lửa (HostScan).

Tác dụng phụ của trạng thái DoS do các cuộc tấn công gây ra (Cisco)

Một dấu hiệu khác là số lượng yêu cầu xác thực bất thường được ghi lại bởi nhật ký hệ thống.

Cisco đã đưa ra các khuyến nghị của Cisco để chống lại các cuộc tấn công này:

Cho phép ghi nhật ký vào máy chủ nhật ký hệ thống từ xa để cải thiện khả năng phân tích và tương quan sự cố.
Bảo vệ cấu hình VPN truy cập từ xa mặc định bằng cách trỏ các cấu hình kết nối mặc định không được sử dụng đến máy chủ AAA lỗ chìm để ngăn chặn truy cập trái phép.
Tận dụng TCP shunt để chặn IP độc hại theo cách thủ công.
Định cấu hình ACL mặt phẳng điều khiển để lọc các địa chỉ IP công cộng trái phép khỏi việc bắt đầu các phiên VPN.
Sử dụng xác thực dựa trên chứng chỉ cho RAVPN, cung cấp phương thức xác thực an toàn hơn so với thông tin xác thực truyền thống.

Liên kết tới mạng botnet Brutus

Nhà nghiên cứu bảo mật Aaron Martin nói với BleepingComputer rằng hoạt động mà Cisco quan sát được có thể là từ một mạng botnet phần mềm độc hại không có giấy tờ mà ông đặt tên là ‘Brutus.’ Kết nối này dựa trên phạm vi nhắm mục tiêu cụ thể và kiểu tấn công.

Martin đã đưa ra một báo cáo về botnet Brutus mô tả các phương thức tấn công bất thường mà ông và nhà phân tích Chris Grube đã quan sát được kể từ ngày 15 tháng 3. Báo cáo lưu ý rằng botnet này hiện dựa trên 20.000 địa chỉ IP trên toàn thế giới, trải rộng trên nhiều cơ sở hạ tầng khác nhau từ dịch vụ đám mây đến IP dân cư.

Các cuộc tấn công mà Martin quan sát ban đầu nhắm vào các thiết bị SSLVPN từ Fortinet, Palo Alto, SonicWall và Cisco nhưng hiện đã mở rộng sang cả các ứng dụng web sử dụng Active Directory để xác thực.

Brutus xoay vòng IP của mình sau mỗi sáu lần thử để tránh bị phát hiện và chặn, trong khi nó sử dụng những tên người dùng rất cụ thể không được tiết lộ và không có sẵn trong các kho dữ liệu công cộng.

Khía cạnh này của các cuộc tấn công làm dấy lên lo ngại về cách lấy được những tên người dùng này và có thể cho thấy hành vi tấn công hoặc khai thác lỗ hổng zero-day chưa được tiết lộ.

Mặc dù chưa rõ những người điều hành Brutus, Martin đã xác định được hai IP có liên quan đến các hoạt động trước đây của APT29 (Midnight Blizzard, NOBELIUM, Cosy Bear), một nhóm đe dọa gián điệp được cho là làm việc cho Cơ quan Tình báo Nước ngoài Nga (SVR).

Nguồn: bleepingcomputer.com

INC Ransom đe dọa rò rỉ 3TB dữ liệu bị đánh cắp của NHS Scotland

Fri, 29 Mar 2024 05:00:00 GMT

Nhóm tống tiền INC Ransom đang đe dọa công bố 3TB dữ liệu được cho là bị đánh cắp sau khi tấn công Dịch vụ Y tế Quốc gia (NHS) của Scotland.

Trong một bài đăng ngày 26 tháng 3, tội phạm mạng đã chia sẻ nhiều hình ảnh chứa thông tin chi tiết về y tế và nói rằng chúng sẽ rò rỉ dữ liệu “sớm”, trừ khi NHS trả tiền chuộc.

NHS của Scotland là hệ thống y tế công cộng của đất nước, cung cấp các dịch vụ từ chăm sóc ban đầu, chăm sóc tại bệnh viện, chăm sóc nha khoa, dược phẩm và chăm sóc dài hạn.

INC Ransom là một hoạt động tống tiền dữ liệu xuất hiện vào tháng 7 năm 2023 và nhắm vào các tổ chức ở cả phạm vi công và tư nhân. Trong số các nạn nhân có các tổ chức giáo dục, y tế, chính phủ và các tổ chức công nghiệp như Yamaha Motor.

Các báo cáo về sự cố an ninh mạng làm gián đoạn các dịch vụ của NHS Scotland xuất hiện vào ngày 15 tháng 3, có thể là thời điểm cuộc tấn công xảy ra.

Trong bài đăng ngày 26 tháng 3, kẻ đe dọa đã công bố một số tài liệu mẫu chứa thông tin nhạy cảm về bác sĩ và bệnh nhân, bao gồm các đánh giá y tế, kết quả phân tích và báo cáo tâm lý.

Trang tống tiền INC Ransom (BleepingComputer)

Chỉ có một ban y tế khu vực bị ảnh hưởng

Người phát ngôn của Chính phủ Scotland nói với BleepingComputer rằng cuộc tấn công mạng chỉ ảnh hưởng đến NHS Dumfries và Galloway, một trong những hội đồng y tế khu vực tạo nên NHS Scotland.

“Chúng tôi biết một số dữ liệu được công bố trên web có liên quan đến cuộc tấn công mạng gần đây nhằm vào NHS Dumfries và Galloway. Sự cố này vẫn được NHS Dumfries và Galloway quản lý và không có sự cố nào khác trên toàn NHS Scotland nói chung.” - Chính phủ Scotland cho biết.

Người phát ngôn nói thêm rằng chính phủ đang làm việc với nhiều đơn vị, bao gồm hội đồng y tế, Cảnh sát Scotland và các cơ quan khác (ví dụ: Cơ quan tội phạm quốc gia, Trung tâm an ninh mạng quốc gia) để xác định tác động của vi phạm “và những tác động có thể xảy ra đối với các cá nhân liên quan”.

Trong khi đó, NHS Dumfries và Galloway ngày 27 tháng 3 đã xác nhận rằng một nhóm ransomware đã rò rỉ dữ liệu lâm sàng liên quan đến một số ít bệnh nhân.

Tổ chức này tuyên bố rằng đây là kết quả của cuộc tấn công mạng xảy ra hai tuần trước, đã xâm phạm hệ thống CNTT của họ và dẫn đến việc truy cập trái phép “một lượng dữ liệu đáng kể bao gồm thông tin nhận dạng bệnh nhân và nhân viên”.

“Chúng tôi thực sự lấy làm tiếc về việc tiết lộ dữ liệu bí mật của bệnh nhân như một phần của hành động tội phạm này,” NHS Dumfries và Giám đốc điều hành Galloway Jeff Ace cho biết.

“Thông tin này đã được tin tặc tiết lộ để làm bằng chứng cho thấy chúng thuộc quyền sở hữu của họ.”

Ace cho biết các dịch vụ hỗ trợ bệnh nhân đang hoạt động bình thường và tổ chức này đang làm việc với cảnh sát và Trung tâm An ninh Mạng Quốc gia (NCSC) để đưa ra phản ứng đối với tình huống này.

Hơn nữa, ông đảm bảo rằng tất cả những bệnh nhân bị rò rỉ thông tin trực tuyến sẽ được NHS thông báo trực tiếp để họ có thể thực hiện các biện pháp thích hợp để bảo vệ bản thân.

Nguồn: bleepingcomputer.com

US fines man $9.9 million for thousands of disturbing robocalls

Fri, 29 Mar 2024 00:00:00 GMT

A U.S. federal court has issued a $9,918,000 penalty and an injunction against an individual named Scott Rhodes for making thousands of "spoofed" robocalls to consumers across the country.

Robocalls are automated phone calls that use automated dialing software to deliver a pre-recorded message to many recipients.

Though they have legitimate uses, including sales, public service announcements, charity requests, and political campaigns, threat actors have exploited them to spread scams or misinformation, leading to annoyance and losses.

After many cases of abuse, like fake IRS tax collection warnings, the authorities in the U.S. have enacted laws and regulations, including the Telephone Consumer Protection Act (TCPA), to restrict the use of robocall technology without the recipient's consent.

Spoofing is a technique often combined with robocalling to falsify the caller ID displayed on the recipient's device, hiding the caller's true identity while making the call appear local or coming from a reputable or government organization.

The U.S. Department of Justice (DoJ) announcement calls Rhodes' actions "illegal and malicious," highlighting the man's preference for launching robocall campaigns against specific regions with inflammatory and disturbing messages.

"For example, hundreds of the spoofed robocalls targeted residents of the Brooklyn, Iowa, area in the aftermath of a local woman's murder," reads the U.S. DoJ announcement.

"Similarly, more than 2,000 of the spoofed robocalls targeted residents of Charlottesville, Virginia, during the investigation and prosecution of James Alex Fields Jr. for killing one woman and injuring dozens during the "Unite the Right" rally in August 2017."

Some people who received these calls reported this harassment to the Federal Communications Commission (FCC), and the authorities traced the activity to Rhodes, a resident of Idaho and Montana.

The U.S. Department of Justice sued Rhodes in September 2021, and a summary judgment motion was granted in October 2023.

On March 26, a federal court in Montana fined Rhodes with a $9.9 million penalty and an injunction against future violations of the Truth in Caller ID Act and Telephone Consumer Protection Act.

In the past few years, the authorities in the U.S. have imposed very hefty fines against robocallers.

In August 2023, the FCC announced a record-breaking fine of $300 million for an international network of companies that had placed over five billion robocalls.

In February 2022, the FCC proposed that a health insurance robocaller be fined $45 million for more than 500,000 unlawful robocalls.

Source: bleepingcomputer.com

Mỹ phạt Scott Rhodes 9,9 triệu USD vì hàng nghìn cuộc gọi tự động đáng lo ngại

Thu, 28 Mar 2024 05:00:00 GMT

Tòa án liên bang Hoa Kỳ đã ban hành hình phạt 9.918.000 đô la và lệnh cấm đối với Scott Rhodes vì đã thực hiện hàng nghìn cuộc gọi tự động "giả mạo" tới người tiêu dùng trên khắp đất nước.

Cuộc gọi tự động là các cuộc gọi điện thoại tự động sử dụng phần mềm quay số tự động để gửi tin nhắn được ghi âm trước tới nhiều người nhận.

Mặc dù chúng có những mục đích sử dụng hợp pháp, bao gồm bán hàng, thông báo dịch vụ công cộng, yêu cầu từ thiện và các chiến dịch chính trị, nhưng những kẻ đe dọa đã khai thác chúng để truyền bá các trò lừa đảo hoặc thông tin sai lệch, dẫn đến phiền toái và tổn thất.

Sau nhiều trường hợp lạm dụng, chẳng hạn như cảnh báo thu thuế giả của IRS, chính quyền Hoa Kỳ đã ban hành luật và quy định, bao gồm Đạo luật bảo vệ người tiêu dùng qua điện thoại (TCPA), để hạn chế việc sử dụng công nghệ cuộc gọi tự động mà không có sự đồng ý của người nhận.

Giả mạo là một kỹ thuật thường được kết hợp với gọi tự động để làm giả ID người gọi hiển thị trên thiết bị của người nhận, che giấu danh tính thực sự của người gọi trong khi khiến cuộc gọi có vẻ là địa phương hoặc đến từ một tổ chức chính phủ hoặc uy tín.

Thông báo của Bộ Tư pháp Hoa Kỳ (DoJ) gọi hành động của Rhodes là "bất hợp pháp và độc hại", nêu bật sở thích của người đàn ông này trong việc phát động các chiến dịch gọi điện tự động chống lại các khu vực cụ thể với các thông điệp gây lo ngại và kích động.

Thông báo của DoJ Hoa Kỳ cho biết: “Ví dụ: hàng trăm cuộc gọi tự động giả mạo nhắm vào cư dân của khu vực Brooklyn, Iowa sau vụ sát hại một phụ nữ địa phương”.

“Tương tự như vậy, hơn 2.000 cuộc gọi tự động giả mạo nhắm vào cư dân của Charlottesville, Virginia, trong quá trình điều tra và truy tố James Alex Fields Jr. vì đã giết một phụ nữ và làm bị thương hàng chục người trong cuộc biểu tình “Đoàn kết quyền” vào tháng 8 năm 2017.”

Một số người nhận được những cuộc gọi này đã báo cáo hành vi quấy rối này lên Ủy ban Truyền thông Liên bang (FCC) và chính quyền đã truy tìm hoạt động này liên quan đến Rhodes, một cư dân của Idaho và Montana.

Bộ Tư pháp Hoa Kỳ đã kiện Rhodes vào tháng 9 năm 2021 và kiến nghị phán quyết tóm tắt đã được đưa ra vào tháng 10 năm 2023.

Ngày 26 tháng 3, một tòa án liên bang ở Montana đã phạt Rhodes với mức phạt 9,9 triệu đô la và lệnh cấm đối với những vi phạm trong tương lai đối với Đạo luật về sự thật trong ID người gọi và Đạo luật bảo vệ người tiêu dùng điện thoại.

Trong vài năm qua, chính quyền Hoa Kỳ đã áp dụng các mức phạt rất nặng đối với những kẻ gọi điện tự động.

Vào tháng 8 năm 2023, FCC đã công bố mức phạt kỷ lục 300 triệu USD đối với một mạng lưới quốc tế gồm các công ty đã thực hiện hơn 5 tỷ cuộc gọi tự động.

Vào tháng 2 năm 2022, FCC đã đề xuất phạt 45 triệu USD đối với người gọi tự động bảo hiểm y tế vì thực hiện hơn 500.000 cuộc gọi tự động bất hợp pháp.

Nguồn: bleepingcomputer.com

Panera Bread experiencing nationwide IT outage since Saturday, March 23

Thu, 28 Mar 2024 00:00:00 GMT

Since Saturday, March 23, U.S. food chain giant Panera Bread has been experiencing a nationwide outage that has impacted its IT systems, including online ordering, POS systems, phones, and various internal systems.

According to employee reports, while all stores are open, they only accept cash payments, and reward program members can't redeem their points because the system is still down.

In-store kiosks and internal systems providing access to employee shift details and scheduling are also unreachable.

"We are very sorry for any inconvenience and appreciate your patience as our teams are working hard to resolve a temporary outage ASAP. If you're able, please go ahead with placing an order at the bakery-cafe register with an associate directly in the meantime," the company told customers on Facebook on Sunday, on March 24.

"Our team is still working on getting the systems online. Please look for resolution once this is fixed and follow up with us later in last week. Thanks," Panera Bread added earlier on March 26.

The food chain's website and mobile applications have also been down since Saturday, March 23 with the app currently unavailable and telling customers trying to access their accounts that the company is conducting "essential system maintenance and enhancements."

Panera Bread website outage (BleepingComputer)

In addition to the IT outages, the company's customer service number is down, with a recorded message stating, "Due to unforeseen circumstances, we are temporarily unable to answer your call right now."

While Panera has not released any official statement regarding the outage, the timing of the incident, which happened over the weekend, and the wide range of services affected suggest that it may have been caused by a cyberattack.

It's common for cybercriminals to target organizations during weekends since there are fewer employees monitoring the network and detecting unusual behavior.

A Panera Bread spokesperson was not immediately available for comment when contacted by BleepingComputer earlier on March 26.

If you have any information regarding this outage, you can contact us confidentially via Signal at 646-961-3731 or at tips@bleepingcomputer.com.

As of January 23, 2024, the company and its franchises owned 2,160 bakery cafes under the names Panera Bread or Saint Louis Bread Co.

These cafes are spread across 48 states in the U.S. and Ontario, Canada. Panera Bread is a subsidiary of Panera Brands, one of the largest restaurant companies in the U.S., which also operates Caribou Coffee and Einstein Bros Bagels stores.

Two weeks ago, McDonald's experienced a global outage caused by what the company described as a "configuration change."

In February, the Golden Corral restaurant chain also disclosed a data breach after attackers stole the personal information of over 180,000 people during an August cyberattack.

Source: BleepingComputer

Panera Bread gặp sự cố ngừng hoạt động CNTT trên toàn quốc kể từ thứ Bảy, ngày 23 tháng 3

Wed, 27 Mar 2024 14:48:38 GMT

Kể từ thứ Bảy, ngày 23 tháng 3, chuỗi cửa hàng thực phẩm khổng lồ Panera Bread của Hoa Kỳ đã gặp sự cố ngừng hoạt động trên toàn quốc, ảnh hưởng đến hệ thống CNTT của họ, bao gồm đặt hàng trực tuyến, hệ thống POS, điện thoại và các hệ thống nội bộ khác nhau.

Theo báo cáo của nhân viên, mặc dù tất cả các cửa hàng đều mở cửa nhưng chỉ chấp nhận thanh toán bằng tiền mặt và các thành viên của chương trình thưởng không thể đổi điểm vì hệ thống vẫn không hoạt động.

Các ki-ốt trong cửa hàng và hệ thống nội bộ cung cấp quyền truy cập vào chi tiết ca làm việc và lịch trình của nhân viên cũng không thể truy cập được.

"Chúng tôi rất xin lỗi vì bất kỳ sự bất tiện nào và đánh giá cao sự kiên nhẫn của bạn vì đội ngũ của chúng tôi đang nỗ lực giải quyết tình trạng ngừng hoạt động tạm thời càng sớm càng tốt. Nếu có thể, bạn vui lòng tiếp tục đặt hàng tại quầy đăng ký tiệm bánh-cafe với một cộng tác viên trực tiếp tại trong khi đó," công ty nói với khách hàng trên Facebook vào Chủ nhật, ngày 24 tháng 3.

"Đội ngũ của chúng tôi vẫn đang nỗ lực đưa hệ thống lên mạng. Vui lòng tìm cách giải quyết sau khi sự cố này được khắc phục và liên hệ với chúng tôi vào cuối tuần trước. Cảm ơn," Panera Bread đã thêm vào đầu ngày hôm nay.

Trang web và ứng dụng di động của chuỗi thực phẩm cũng đã ngừng hoạt động kể từ thứ Bảy, ngày 23 tháng 3, ứng dụng này hiện không khả dụng và thông báo cho khách hàng đang cố truy cập vào tài khoản của họ rằng công ty đang tiến hành “bảo trì và cải tiến hệ thống thiết yếu”.

Trang web Panera Bread ngừng hoạt động (BleepingComputer)

Ngoài sự cố ngừng hoạt động của CNTT, một số dịch vụ khách hàng của công ty cũng không hoạt động, một thông báo được ghi âm cho biết: "Do một số trường hợp không lường trước được, chúng tôi tạm thời không thể trả lời cuộc gọi của bạn ngay bây giờ."

Mặc dù Panera chưa đưa ra bất kỳ tuyên bố chính thức nào về việc ngừng hoạt động, nhưng thời điểm xảy ra sự cố xảy ra vào cuối tuần qua và một loạt dịch vụ bị ảnh hưởng cho thấy rằng sự cố có thể là do một cuộc tấn công mạng gây ra.

Tội phạm mạng thường nhắm mục tiêu vào các tổ chức vào cuối tuần vì có ít nhân viên giám sát mạng và phát hiện hành vi bất thường hơn.

Người phát ngôn của Panera Bread chưa đưa ra phản hồi khi được BleepingComputer liên hệ ngày 26 tháng 3.

Nếu khách hàng có bất kỳ thông tin nào liên quan đến việc ngừng hoạt động này, khách hàng có thể liên hệ bí mật với Panera qua Signal theo số 646-961-3731 hoặc theo địa chỉ Tips@bleepingcomputer.com.

Tính đến ngày 23 tháng 1 năm 2024, công ty và các bên nhượng quyền sở hữu 2.160 quán cà phê bánh mì dưới tên Panera Bread hoặc Saint Louis Bread Co.

Những quán cà phê này trải rộng khắp 48 tiểu bang ở Mỹ và Ontario, Canada. Panera Bread là công ty con của Panera Brands, một trong những công ty nhà hàng lớn nhất ở Mỹ, cũng điều hành các cửa hàng Caribou Coffee và Einstein Bros Bagels.

Hai tuần trước, McDonald's đã gặp phải tình trạng ngừng hoạt động toàn cầu do hiện tượng mà công ty mô tả là "thay đổi cấu hình".

Vào tháng 2, chuỗi nhà hàng Golden Corral cũng tiết lộ một vụ vi phạm dữ liệu sau khi những kẻ tấn công đánh cắp thông tin cá nhân của hơn 180.000 người trong một cuộc tấn công mạng vào tháng 8.

Nguồn: bleepingcomputer.com

GitHub’s new AI-powered tool auto-fixes vulnerabilities in your code

Wed, 27 Mar 2024 00:00:00 GMT

GitHub introduced a new AI-powered feature capable of speeding up vulnerability fixes while coding. This feature is in public beta and automatically enabled on all private repositories for GitHub Advanced Security (GHAS) customers.

Known as Code Scanning Autofix and powered by GitHub Copilot and CodeQL, it helps deal with over 90% of alert types in JavaScript, Typescript, Java, and Python.

After being toggled on, it provides potential fixes that GitHub claims will likely address more than two-thirds of found vulnerabilities while coding with little or no editing.

"When a vulnerability is discovered in a supported language, fix suggestions will include a natural language explanation of the suggested fix, together with a preview of the code suggestion that the developer can accept, edit, or dismiss," GitHub's Pierre Tempel and Eric Tooley said.

The code suggestions and explanations it provides can include changes to the current file, multiple files, and the current project's dependencies.

Implementing this approach can significantly reduce the frequency of vulnerabilities that security teams must handle daily.

This, in turn, enables them to concentrate on ensuring the organization's security rather than being forced to allocate unnecessary resources to keep up with new security flaws introduced during the development process.

However, it's also important to note that developers should always verify if the security issues are resolved, as GitHub's AI-powered feature may suggest fixes that only partially address the security vulnerability or fail to preserve the intended code functionality.

"Code scanning autofix helps organizations slow the growth of this "application security debt" by making it easier for developers to fix vulnerabilities as they code," added Tempel and Tooley.

"Just as GitHub Copilot relieves developers of tedious and repetitive tasks, code scanning autofix will help development teams reclaim time formerly spent on remediation."

The company plans to add support for additional languages in the coming months, with C# and Go support coming next.

More details about the GitHub Copilot-powered code scanning autofix tool are available on GitHub's documentation website.

Last month, the company also enabled push protection by default for all public repositories to stop the accidental exposure of secrets like access tokens and API keys when pushing new code.

This was a significant issue in 2023, as GitHub users accidentally exposed 12.8 million authentication and sensitive secrets via more than 3 million public repositories throughout the year.

As BleepingComputer reported, exposed secrets and credentials have been exploited for multiple high-impact breaches [1, 2, 3] in recent years.

Source: bleepingcomputer.com

Công cụ hỗ trợ AI mới của GitHub tự động sửa các lỗ hổng trong mã của người dùng

Tue, 26 Mar 2024 05:00:00 GMT

GitHub đã giới thiệu một tính năng mới được hỗ trợ bởi AI có khả năng tăng tốc độ sửa lỗi trong khi mã hóa. Tính năng này đang ở giai đoạn thử nghiệm công khai và được bật tự động trên tất cả các kho lưu trữ riêng tư dành cho khách hàng GitHub Advanced Security (GHAS).

Được biết đến với tên gọi Tự động sửa mã và được hỗ trợ bởi GitHub Copilot và CodeQL, giúp xử lý hơn 90% các loại cảnh báo trong JavaScript, Typescript, Java và Python.

Sau khi được bật sẽ cung cấp các bản sửa lỗi tiềm năng mà GitHub tuyên bố có thể sẽ giải quyết hơn 2/3 số lỗ hổng được tìm thấy trong khi mã hóa với ít hoặc không cần chỉnh sửa.

“Khi phát hiện lỗ hổng bằng ngôn ngữ được hỗ trợ, các đề xuất khắc phục sẽ bao gồm phần giải thích bằng ngôn ngữ tự nhiên về bản sửa lỗi được đề xuất, cùng với bản xem trước đề xuất mã mà lập trình viên có thể chấp nhận, chỉnh sửa hoặc loại bỏ”, Pierre Tempel và Eric Tooley của GitHub cho biết.

Các đề xuất và giải thích mã mà nó cung cấp có thể bao gồm các thay đổi đối với tệp hiện tại, nhiều tệp và các phần phụ thuộc của dự án hiện tại.

Việc triển khai phương pháp này có thể giảm đáng kể tần suất xuất hiện các lỗ hổng mà đội ngũ bảo mật phải xử lý hàng ngày.

Ngược lại, điều này cho phép họ tập trung vào việc đảm bảo an ninh của tổ chức thay vì buộc phải phân bổ các nguồn lực không cần thiết để theo kịp các lỗi bảo mật mới được đưa ra trong quá trình phát triển.

Tuy nhiên, điều quan trọng cần lưu ý là các lập trình viên phải luôn xác minh xem các vấn đề bảo mật có được giải quyết hay không, vì tính năng hỗ trợ AI của GitHub có thể đề xuất các bản sửa lỗi chỉ giải quyết một phần lỗ hổng bảo mật hoặc không duy trì được chức năng mã dự định.

Tempel và Tooley cho biết thêm: "Tự động sửa lỗi quét mã giúp các tổ chức làm chậm sự phát triển của" khoản nợ bảo mật ứng dụng "này bằng cách giúp các nhà phát triển dễ dàng sửa các lỗ hổng khi họ viết mã hơn".

"Giống như GitHub Copilot giúp các ập trình viên giảm bớt những công việc tẻ nhạt và lặp đi lặp lại, tính năng tự động sửa lỗi quét mã sẽ giúp các nhóm phát triển lấy lại thời gian trước đây dành cho việc khắc phục."

GitHub có kế hoạch bổ sung hỗ trợ cho các ngôn ngữ bổ sung trong những tháng tới, tiếp theo là hỗ trợ C# và Go.

Thông tin chi tiết hơn về công cụ tự động sửa lỗi quét mã do GitHub Copilot cung cấp có sẵn trên trang web tài liệu của GitHub.

Tháng trước, GitHub cũng đã bật tính năng bảo vệ đẩy theo mặc định cho tất cả các kho lưu trữ công khai để ngăn chặn việc vô tình làm lộ các bí mật như mã thông báo truy cập và khóa API khi đẩy mã mới.

Đây là một vấn đề quan trọng vào năm 2023, vì người dùng GitHub đã vô tình tiết lộ 12,8 triệu bí mật xác thực và nhạy cảm thông qua hơn 3 triệu kho lưu trữ công khai trong suốt cả năm.

Như BleepingComputer đã báo cáo, các bí mật và thông tin xác thực bị lộ đã bị khai thác để thực hiện nhiều vụ vi phạm có tác động lớn [1, 2, 3] trong những năm gần đây.

Nguồn: bleepingcomputer.com

New ‘Loop DoS’ attack may impact up to 300,000 online systems

Tue, 26 Mar 2024 00:00:00 GMT

A new denial-of-service attack dubbed 'Loop DoS' targeting application layer protocols can pair network services into an indefinite communication loop that creates large volumes of traffic.

Devised by researchers at the CISPA Helmholtz-Center for Information Security, the attack uses the User Datagram Protocol (UDP) and impacts an estimated 300,000 host and their networks.

The attack is possible due to a vulnerability, currently tracked as CVE-2024-2169, in the implementation of the UDP protocol, which is susceptible to IP spoofing and does not provide sufficient packet verification.

An attacker exploiting the vulnerability creates a self-perpetuating mechanism that generates excessive traffic without limits and without a way to stop it, leading to a denial-of-service (DoS) condition on the target system or even an entire network.

Loop DoS relies on IP spoofing and can be triggered from a single host that sends one message to start the communication.

According to the Carnegie Mellon CERT Coordination Center (CERT/CC) there are three potential outcomes when an attacker leverages the vulnerability:

Overloading of a vulnerable service and causing it to become unstable or unusable.
DoS attack on the network backbone, causing network outages to other services
Amplification attacks that involve network loops causing amplified DOS or DDOS attacks.

CISPA researchers Yepeng Pan and Professor Dr. Christian Rossow say the potential impact is notable, spanning both outdated (QOTD, Chargen, Echo) and modern protocols (DNS, NTP, TFTP) that are crucial for basic internet-based functions like time synchronization, domain name resolution, and file transfer without authentication.

"If two application servers have a vulnerable implementation of said protocol, an attacker can initiate a communication with the first server, spoofing the network address of the second server (victim)," explains CERT/CC.

"In many cases, the first server will respond with an error message to the victim, which will also trigger a similar behavior of another error message back to the first server" - CERT Coordination Center.

This process continues until all available resources are completely exhausted, making the servers unresponsive to legitimate requests.

In total, it is estimated that 300,000 internet hosts are vulnerable to Loop DoS attacks.

The researchers warned that the attack is easy to exploit, noting that there is no evidence indicating active exploitation at this time.

Rossow and Pan shared their findings with affected vendors and notified CERT/CC for coordinated disclosure.

So far, vendors who confirmed their implementations are affected by CVE-2024-2169 are Broadcom, Cisco, Honeywell, Microsoft, and MikroTik.

To avoid the risk of denial of service via Loop DoS, CERT/CC recommends installing the latest patches from vendors that address the vulnerability and replace products that no longer receive security updates.

Using firewall rules and access-control lists for UDP applications, turning off unnecessary UDP services, and implementing TCP or request validation are also measures that can mitigate the risk of an attack.

Furthermore, the organization recommends deploying anti-spoofing solutions like BCP38 and Unicast Reverse Path Forwarding (uRPF), and using Quality-of-Service (QoS) measures to limit network traffic and protect against abuse from network loops and DoS amplifications.

Source: bleepingcomputer.com

Cuộc tấn công 'Loop DoS' mới có thể ảnh hưởng tới 300.000 hệ thống trực tuyến

Mon, 25 Mar 2024 05:00:00 GMT

Một cuộc tấn công từ chối dịch vụ mới có tên là các giao thức lớp ứng dụng nhắm mục tiêu 'Loop DoS' có thể ghép các dịch vụ mạng thành một vòng liên lạc không xác định, tạo ra lưu lượng truy cập lớn.

Được các nhà nghiên cứu tại Trung tâm bảo mật thông tin CISPA Helmholtz phát minh, cuộc tấn công sử dụng Giao thức gói dữ liệu người dùng (UDP) và tác động đến khoảng 300.000 máy chủ và mạng của họ.

Cuộc tấn công có thể xảy ra do một lỗ hổng bảo mật, hiện được theo dõi là CVE-2024-2169, trong quá trình triển khai giao thức UDP, dễ bị giả mạo IP và không cung cấp đủ khả năng xác minh gói.

Kẻ tấn công khai thác lỗ hổng này sẽ tạo ra một cơ chế tự tồn tại, tạo ra lưu lượng truy cập quá mức không giới hạn và không có cách nào để ngăn chặn, dẫn đến tình trạng từ chối dịch vụ (DoS) trên hệ thống mục tiêu hoặc thậm chí toàn bộ mạng.

Loop DoS dựa vào việc giả mạo IP và có thể được kích hoạt từ một máy chủ duy nhất gửi một tin nhắn để bắt đầu liên lạc.

Theo Trung tâm Điều phối CERT Carnegie Mellon (CERT/CC), có ba kết quả có thể xảy ra khi kẻ tấn công lợi dụng lỗ hổng này:

Quá tải một dịch vụ dễ bị tấn công và khiến nó trở nên không ổn định hoặc không thể sử dụng được.
Tấn công DoS vào đường trục mạng, gây ra tình trạng ngừng hoạt động của mạng đối với các dịch vụ khác.
Các cuộc tấn công khuếch đại liên quan đến các vòng lặp mạng gây ra các cuộc tấn công DOS hoặc DDOS được khuếch đại.

Các nhà nghiên cứu của CISPA Yepeng Pan và Giáo sư Tiến sĩ Christian Rossow cho biết tác động tiềm tàng là đáng chú ý, bao gồm cả các giao thức lỗi thời (QOTD, Chargen, Echo) và các giao thức hiện đại (DNS, NTP, TFTP) rất quan trọng đối với các chức năng cơ bản dựa trên internet như đồng bộ hóa thời gian, phân giải tên miền và truyền tệp mà không cần xác thực.

CERT/CC giải thích: “Nếu hai máy chủ ứng dụng triển khai giao thức nói trên dễ bị tấn công, kẻ tấn công có thể bắt đầu liên lạc với máy chủ đầu tiên, giả mạo địa chỉ mạng của máy chủ thứ hai (nạn nhân).

"Trong nhiều trường hợp, máy chủ đầu tiên sẽ phản hồi bằng một thông báo lỗi cho nạn nhân, điều này cũng sẽ gây ra hành vi tương tự của một thông báo lỗi khác gửi lại máy chủ đầu tiên" - Trung tâm Điều phối CERT cho biết.

Quá trình này tiếp tục cho đến khi tất cả tài nguyên sẵn có cạn kiệt hoàn toàn, khiến máy chủ không phản hồi các yêu cầu hợp pháp.

Tổng cộng, ước tính có 300.000 máy chủ Internet dễ bị tấn công Loop DoS.

Các nhà nghiên cứu cảnh báo rằng cuộc tấn công rất dễ bị khai thác, lưu ý rằng không có bằng chứng nào cho thấy việc khai thác đang diễn ra vào thời điểm này.

Rossow và Pan đã chia sẻ những phát hiện của họ với các nhà cung cấp bị ảnh hưởng và thông báo cho CERT/CC để phối hợp công bố.

Cho đến nay, các nhà cung cấp xác nhận việc triển khai của họ bị ảnh hưởng bởi CVE-2024-2169 là Broadcom, Cisco, Honeywell, Microsoft và MikroTik.

Để tránh nguy cơ bị từ chối dịch vụ thông qua Loop DoS, CERT/CC khuyên người dùng nên cài đặt các bản vá mới nhất từ các nhà cung cấp để giải quyết lỗ hổng bảo mật và thay thế các sản phẩm không còn nhận được bản cập nhật bảo mật.

Sử dụng các quy tắc tường lửa và danh sách kiểm soát truy cập cho các ứng dụng UDP, tắt các dịch vụ UDP không cần thiết và triển khai TCP hoặc xác thực yêu cầu cũng là những biện pháp có thể giảm thiểu rủi ro bị tấn công.

Hơn nữa, tổ chức này khuyến nghị triển khai các giải pháp chống giả mạo như BCP38 và Chuyển tiếp đường dẫn ngược Unicast (uRPF) và sử dụng các biện pháp Chất lượng dịch vụ (QoS) để hạn chế lưu lượng truy cập mạng và bảo vệ chống lạm dụng từ các vòng lặp mạng và khuếch đại DoS.

Nguồn: bleepingcomputer.com

AT&T says leaked data of 70 million people is not from its systems

Sat, 23 Mar 2024 01:00:00 GMT

AT&T says a massive trove of data impacting 71 million people did not originate from its systems after a hacker leaked it on a cybercrime forum and claimed it was stolen in a 2021 breach of the company.

While BleepingComputer has not been able to confirm the legitimacy of all the data in the database, we have confirmed some of the entries are accurate, including those whose data is not publicly accessible for scraping.

The data is from an alleged 2021 AT&T data breach that a threat actor known as ShinyHunters attempted to sell on the RaidForums data theft forum for a starting price of $200,000 and incremental offers of $30,000. The hacker stated they would sell it immediately for $1 million.

ShinyHunters attempting to sell alleged AT&T data
Source: BleepingComputer

AT&T told BleepingComputer then that the data did not originate from them and that its systems were not breached.

"Based on our investigation today, the information that appeared in an internet chat room does not appear to have come from our systems," AT&T told BleepingComputer in 2021.

When we told ShinyHunters that AT&T said the data did not originate from them, they replied, "I don't care if they don't admit. I'm just selling."

AT&T continues to tell BleepingComputer on March 17 that they still see no evidence of a breach in their systems and still believe that this data did not originate from them.

BleepingComputer asked AT&T if it was possible the data came from a third-party service provider or vendor but has not received a response at this time.

Alleged AT&T data leaked two years later

On March 17, another threat actor known as MajorNelson leaked data from this alleged 2021 data breach for free on a hacking forum, claiming it was the data ShinyHunters attempted to sell in 2021.

Post on hacking forum leaking alleged AT&T data from 2021 breach
Source: BleepingComputer

This data includes names, addresses, mobile phone numbers, encrypted date of birth, encrypted social security numbers, and other internal information.

However, the threat actors have decrypted the birth dates and social security numbers and added them to another file in the leak, making those also accessible.

BleepingComputer has reviewed the data, and while we cannot confirm that all 73 million lines are accurate, we verified some of the data contains correct information, including social security numbers, addresses, dates of birth, and phone numbers.

Furthermore, other cybersecurity researchers, such as Dark Web Informer, who first told BleepingComputer about the leaked data, and VX-Underground have also confirmed some of the data to be accurate.

At the same time, BleepingComputer could not find data for people known to be AT&T customers in 2021 and earlier. However, this would not be unusual as their total mobile customer base at the end of 2021 was 201.8 million subscribers, meaning that if this data dump is legitimate, it is only a partial dump.

At this point, it's a mystery where the data came from. Still, regardless of where it originated, all signs point to this being data of AT&T customers.

Therefore, if you were an AT&T customer before and through 2021, it is safer to assume that your data was exposed and can be used in targeted attacks, including SMS and email phishing and SIM swapping attacks.

If you receive any SMS texts or phishing emails claiming to be from AT&T, be very careful about providing any information. Instead, contact AT&T directly to confirm that they attempted to contact you.

Source: BleepingComputer

AT&T cho biết dữ liệu bị rò rỉ của 70 triệu người dùng không phải từ hệ thống của họ

Fri, 22 Mar 2024 05:00:00 GMT

AT&T cho biết kho dữ liệu khổng lồ ảnh hưởng đến 71 triệu người không bắt nguồn từ hệ thống của họ sau khi một hacker làm rò rỉ nó trên một diễn đàn tội phạm mạng và tuyên bố rằng chúng đã bị đánh cắp trong một vụ tấn công năm 2021 của AT&T.

Mặc dù BleepingComputer chưa thể xác nhận tính hợp pháp của tất cả dữ liệu trong cơ sở dữ liệu nhưng cũng đã xác nhận một số mục là chính xác, bao gồm cả những mục có dữ liệu không thể truy cập công khai để thu thập dữ liệu.

Dữ liệu này được lấy từ một vụ vi phạm dữ liệu AT&T năm 2021 bị cáo buộc mà một kẻ đe dọa có tên ShinyHunters đã cố gắng bán trên diễn đàn đánh cắp dữ liệu RaidForums với giá khởi điểm là 200.000 USD và các ưu đãi tăng dần là 30.000 USD. Hacker tuyên bố sẽ bán nó ngay lập tức với giá 1 triệu USD.

ShinyHunters đang cố gắng bán dữ liệu AT&T bị cáo buộc

Nguồn: BleepingComputer

AT&T đã nói với BleepingComputer rằng dữ liệu không bắt nguồn từ họ và hệ thống của họ không bị vi phạm.

AT&T nói với BleepingComputer vào năm 2021: “Dựa trên cuộc điều tra của chúng tôi ngày hôm nay, thông tin xuất hiện trong phòng trò chuyện trên Internet dường như không đến từ hệ thống của chúng tôi”.

Khi chúng tôi trao đổi với ShinyHunters rằng AT&T cho biết dữ liệu không bắt nguồn từ họ, họ trả lời: "Tôi không quan tâm nếu họ không thừa nhận. Tôi chỉ bán thôi."

Ngày 17 tháng 3, AT&T tiếp tục nói với BleepingComputer rằng họ vẫn không thấy bằng chứng nào về việc tấn công trong hệ thống của mình và vẫn tin rằng dữ liệu này không bắt nguồn từ họ.

BleepingComputer đã hỏi AT&T liệu có khả năng dữ liệu đến từ nhà cung cấp dịch vụ hoặc nhà cung cấp bên thứ ba nhưng hiện chưa nhận được phản hồi hay không.

Dữ liệu bị cáo buộc của AT&T bị rò rỉ hai năm sau đó

Ngày 17 tháng 3, một kẻ đe dọa khác có tên MajorNelson đã rò rỉ miễn phí dữ liệu từ vụ vi phạm dữ liệu được cho là năm 2021 này trên một diễn đàn hack, cho rằng đó là dữ liệu mà ShinyHunters đã cố gắng bán vào năm 2021.

Bài đăng trên diễn đàn hack làm rò rỉ dữ liệu AT&T bị cáo buộc từ vụ vi phạm năm 2021

Nguồn: BleepingComputer

Dữ liệu này bao gồm tên, địa chỉ, số điện thoại di động, ngày sinh được mã hóa, số an sinh xã hội được mã hóa và thông tin nội bộ khác.

Tuy nhiên, kẻ đe dọa đã giải mã ngày sinh và số an sinh xã hội rồi thêm chúng vào một tệp khác trong vụ rò rỉ, khiến những tệp này cũng có thể truy cập được.

BleepingComputer đã xem xét dữ liệu và mặc dù chúng tôi không thể xác nhận rằng tất cả 73 triệu dòng đều chính xác nhưng chúng tôi đã xác minh một số dữ liệu chứa thông tin chính xác, bao gồm số an sinh xã hội, địa chỉ, ngày sinh và số điện thoại.

Hơn nữa, các nhà nghiên cứu an ninh mạng khác, chẳng hạn như Dark Web Informer, người đầu tiên nói với BleepingComputer về dữ liệu bị rò rỉ và VX-Underground cũng đã xác nhận một số dữ liệu là chính xác.

Đồng thời, BleepingComputer không thể tìm thấy dữ liệu về những người được xác định là khách hàng của AT&T vào năm 2021 trở về trước. Tuy nhiên, điều này sẽ không có gì bất thường vì tổng số khách hàng di động của họ vào cuối năm 2021 là 201,8 triệu người đăng ký, nghĩa là nếu kết xuất dữ liệu này là hợp pháp thì đó chỉ là kết xuất một phần.

Tại thời điểm này, vẫn còn bí ẩn về việc dữ liệu đến từ đâu. Tuy nhiên, bất kể nó bắt nguồn từ đâu, tất cả các dấu hiệu đều chỉ ra đây là dữ liệu của khách hàng AT&T.

Do đó, nếu bạn là khách hàng của AT&T trước và trong suốt năm 2021, sẽ an toàn hơn khi cho rằng dữ liệu của bạn đã bị lộ và có thể bị sử dụng trong các cuộc tấn công có chủ đích, bao gồm các cuộc tấn công lừa đảo qua SMS, email và hoán đổi SIM.

Nếu bạn nhận được bất kỳ tin nhắn SMS hoặc email lừa đảo nào được cho là từ AT&T, hãy hết sức cẩn thận khi cung cấp bất kỳ thông tin nào. Thay vào đó, hãy liên hệ trực tiếp với AT&T để xác nhận rằng họ sẽ cố gắng liên hệ với bạn.

Nguồn: bleepingcomputer.com

Tài khoản email Spa Grand Prix bị hack để lừa đảo thông tin ngân hàng từ người hâm mộ

Fri, 22 Mar 2024 05:00:00 GMT

Tin tặc đã chiếm đoạt email liên hệ chính thức của sự kiện Grand Prix Bỉ và sử dụng nó để thu hút người hâm mộ đến một trang web giả mạo hứa hẹn tặng phiếu quà tặng trị giá €50.

Spa Gran Prix là cuộc đua vô địch Thế giới Formula 1 (F1) được tổ chức tại Circuit de Spa-Francorchamps ở Stavelot, Bỉ. Năm nay, cuộc đua sẽ diễn ra từ ngày 26 đến 28 tháng 7 và vé được bán thông qua trang web chính thức.

Cách bố trí đầy thách thức, ý nghĩa lịch sử và điều kiện thời tiết năng động của đường đua khiến sự kiện này trở thành một trong những sự kiện uy tín nhất trong lịch Formula 1 (F1), thu hút người hâm mộ từ khắp nơi trên thế giới.

Trong thông cáo báo chí gửi tới BleepingComputer, người tổ chức cuộc đua giải thích rằng tài khoản email đã bị tấn công vào Chủ nhật, ngày 17 tháng 3 năm 2024 và theo sau là kẻ đe dọa gửi email lừa đảo đến một số người không được tiết lộ.

Tin nhắn thông báo cho người nhận rằng bạn có thể nhận phiếu thưởng trị giá €50 để mua vé xem giải F1 Grand Prix bằng cách nhấp vào liên kết được nhúng.

Liên kết được chuyển hướng đến một trang web giả mạo giống với cổng thông tin chính thức của Spa Grand Prix, nơi họ được yêu cầu cung cấp thông tin cá nhân, bao gồm cả thông tin ngân hàng.

SPA GP đã phản ứng với tình huống này “trong vòng vài giờ” và gửi một loạt email để cảnh báo khách hàng rằng tin nhắn trước đó là lừa đảo, cảnh báo họ không nhấp vào bất kỳ liên kết nào.

Ngoài ra, SPA GP đã yêu cầu nhà thầu phụ bảo mật CNTT của mình triển khai các biện pháp bảo mật bổ sung để ngăn điều này xảy ra lần nữa. Vào ngày 18 tháng 3, họ đã nộp đơn khiếu nại lên cảnh sát mạng Bỉ.

SPA GP cho biết họ cũng sẽ nộp đơn kiện dân sự lên thẩm phán điều tra trong những ngày tiếp theo.

BleepingComputer đã hỏi SPA GP về số lượng cá nhân bị ảnh hưởng và những thông tin nào khác, ngoài địa chỉ email, tin tặc đã truy cập, nhưng chúng tôi vẫn chưa nhận được thông tin làm rõ thêm.

Tuyên bố của SPA GP cho biết: “Cuộc điều tra hình sự hiện đang được tiến hành sẽ giúp xác định nguyên nhân và hoàn cảnh dẫn đến tình trạng này”.

“Do đó, hiện tại, chúng ta phải để tòa án thực hiện công việc của họ trong khi tôn trọng tính bảo mật của cuộc điều tra.”

Những người dùng đã mua vé trước đó và lo lắng về khả năng dữ liệu của họ bị lộ bởi tội phạm mạng nên liên hệ với ban thư ký của SPA GP.

SPA GP cuối cùng đã nhấn mạnh rằng sự cố này không ảnh hưởng đến trang web của họ tại “spagrandprix.com” và hệ thống bán vé chính thức vẫn hoàn toàn an toàn.

Nguồn: bleepingcomputer.com

International Monetary Fund email accounts hacked in cyberattack

Fri, 22 Mar 2024 00:00:00 GMT

The International Monetary Fund (IMF) disclosed a cyber incident on March 15 after unknown attackers breached 11 IMF email accounts earlier this year.

This international financial institution, funded by 190 member countries, is also a major United Nations financial agency headquartered in Washington, D.C.

According to a press release published today, the IMF detected the incident in February and is now conducting an investigation to assess the attack's impact.

So far, the IMF has found no evidence that the attackers gained access to other systems or resources outside of the breached email accounts.

"The International Monetary Fund (IMF) recently experienced a cyber incident, which was detected on February 16, 2024. A subsequent investigation, with the assistance of independent cybersecurity experts, determined the nature of the breach, and remediation actions were taken," the IMF said.

"The investigation determined that eleven (11) IMF email accounts were compromised. The impacted email accounts were re-secured. We have no indication of further compromise beyond these email accounts at this point in time. The investigation into this incident is continuing."

While the IMF didn't provide other details regarding the breach, the organization confirmed that it uses the Microsoft 365 cloud-based email platform.

"We can disclose that 11 IMF email accounts were compromised. They have since been re-secured. For security reasons, we cannot disclose further details," an IMF spokesperson told BleepingComputer.

"Yes, we can confirm, IMF does use Microsoft 365 email. Based on our investigative findings to date, this incident does not appear to be part of Microsoft targeting."

Redmond revealed in January that the Midnight Blizzard Russian hacking group tied to the Russian Foreign Intelligence Service (SVR) stole Microsoft corporate emails in a month-long breach after compromising Exchange Online accounts in a password spray attack to access a legacy non-production test tenant environment.

Days later, Hewlett Packard Enterprise (HPE) also disclosed that the Russian hackers had gained unauthorized access to some of its Microsoft Office 365 email accounts and exfiltrated data since May 2023.

It is unclear whether these incidents are connected to the security breach that led to the breach of IMF's email accounts.

The IMF was also hacked in 2011 in an incident described as a "a very major breach" by an official, which forced the World Bank to sever connections between the two organizations' networks as a precaution.

Update March 15, 16:11 EDT: Added IMF statement.

Source: BleepingComputer

Tài khoản email của Quỹ Tiền tệ Quốc tế bị tấn công mạng

Thu, 21 Mar 2024 05:00:00 GMT

Quỹ Tiền tệ Quốc tế (IMF) đã tiết lộ một sự cố mạng vào ngày 15 htáng 3 sau khi những kẻ tấn công không rõ danh tính đã xâm phạm 11 tài khoản email IMF vào đầu năm nay.

Tổ chức tài chính quốc tế này được tài trợ bởi 190 quốc gia thành viên, đồng thời là cơ quan tài chính lớn của Liên Hợp Quốc có trụ sở tại Washington, D.C.

Theo thông cáo báo chí được công bố hôm nay, IMF đã phát hiện vụ việc vào tháng 2 và hiện đang tiến hành một cuộc điều tra để đánh giá tác động của cuộc tấn công.

Cho đến nay, IMF không tìm thấy bằng chứng nào cho thấy những kẻ tấn công đã giành được quyền truy cập vào các hệ thống hoặc tài nguyên khác ngoài tài khoản email bị vi phạm.

“Quỹ Tiền tệ Quốc tế (IMF) gần đây đã gặp phải một sự cố mạng được phát hiện vào ngày 16 tháng 2 năm 2024. Một cuộc điều tra sau đó, với sự hỗ trợ của các chuyên gia an ninh mạng độc lập, đã xác định bản chất của vi phạm và các hành động khắc phục đã được thực hiện,” IMF cho biết.

"Cuộc điều tra xác định rằng 11 (11) tài khoản email IMF đã bị xâm phạm. Các tài khoản email bị ảnh hưởng đã được bảo mật lại. Chúng tôi không có dấu hiệu nào cho thấy có sự xâm phạm nào khác ngoài các tài khoản email này vào thời điểm này. Cuộc điều tra về vụ việc này vẫn đang tiếp tục."

Mặc dù IMF không cung cấp các chi tiết khác liên quan đến vụ tấn công nhưng tổ chức này xác nhận rằng họ sử dụng nền tảng email dựa trên đám mây Microsoft 365.

Người phát ngôn của IMF nói với BleepingComputer: “Chúng tôi có thể tiết lộ rằng 11 tài khoản email IMF đã bị xâm phạm. Chúng đã được bảo mật lại. Vì lý do bảo mật, chúng tôi không thể tiết lộ thêm thông tin chi tiết”.

"Có, chúng tôi có thể xác nhận, IMF có sử dụng email Microsoft 365. Dựa trên kết quả điều tra của chúng tôi cho đến nay, sự cố này dường như không nằm trong mục tiêu của Microsoft."

Redmond tiết lộ vào tháng 1 rằng nhóm hack Midnight Blizzard của Nga có liên kết với Cơ quan Tình báo Nước ngoài Nga (SVR) đã đánh cắp email của công ty Microsoft trong một vụ vi phạm kéo dài một tháng sau khi xâm phạm tài khoản Exchange Online trong một cuộc tấn công phun mật khẩu để truy cập vào đối tượng thuê thử nghiệm phi sản xuất cũ môi trường.

Vài ngày sau, Hewlett Packard Enterprise (HPE) cũng tiết lộ rằng tin tặc Nga đã truy cập trái phép vào một số tài khoản email Microsoft Office 365 và dữ liệu bị đánh cắp kể từ tháng 5 năm 2023.

Không rõ liệu những sự cố này có liên quan đến vi phạm an ninh dẫn đến việc tài khoản email của IMF bị xâm phạm hay không.

IMF cũng bị tấn công vào năm 2011 trong một vụ việc được một quan chức mô tả là "một vi phạm rất lớn", buộc Ngân hàng Thế giới phải cắt đứt kết nối giữa mạng lưới của hai tổ chức để đề phòng.

Cập nhật ngày 15 tháng 3 vào lúc 16:11 EDT: Đã có thêm thông báo của IMF.

Nguồn: bleepingcomputer.com

PornHub now also blocks Texas over age verification laws

Thu, 21 Mar 2024 00:00:00 GMT

PornHub has now added Texas to its blocklist, preventing users in the state from accessing its site in protest of age verification laws.

Texas' age verification bill HB 1181, passed last year, went back into effect two weeks ago after the State won an appeal against an injunction that said it violated the First Amendment.

The bill requires adult sites showing sexual material to perform age verification to confirm a visitor from Texas is 18 years old. The bill also required pornography sites to display a health notice to Texas users, stating the following:

"TEXAS HEALTH AND HUMAN SERVICES WARNING: Pornography is potentially biologically addictive, is proven to harm human brain development, desensitizes brain reward circuits, increases conditioned responses, and weakens brain function," reads the HB 1811 bill.

In February, Texas Attorney General Ken Paxton sued Aylo Global Entertainment, the owner of PornHub, for not complying with the laws, seeking a $1.6 million penalty and $10,000 per day after that until the site performs the required age verification.

Two weeks ago, the 5th U.S. Circuit Court of Appeals allowed the law to go into effect. However, they halted the requirement to display mental health notices on adult sites.

In response, Aylo has now now blocked access to its sites, including Pornhub, YouPorn, Brazzers, Men.com, and Nutaku, from visitors in Texas, displaying a message stating that the new age verification laws are ineffective and dangerous.

"As you may know, your elected officials in Texas are requiring us to verify your age before allowing you access to our website," states a message on PornHub to Texas visitors.

"Not only does this impinge on the rights of adults to access protected speech, it fails strict scrutiny by employing the least effective and yet also most restrictive means of accomplishing Texas's stated purpose of allegedly protecting minors."

"Unfortunately, the Texas law for age verification is ineffective, haphazard, and dangerous. Not only will it not actually protect children, but it will also inevitably reduce content creators' ability to post and distribute legal adult content and directly impact their ability to share the artistic messages they want to convey with it," continued PornHub's statement.

Message shown on PornHub to Texas visitors
Source: BleepingComputer

PornHub instead calls on states to require device-based age verification through a device's operating system, such as iOS, Android, macOS, and Windows.

The adult content company says that requiring users to share their information with multiple age verification companies only puts visitors' data at increased risk of their sensitive information being leaked in data breaches.

Instead, PornHub says that operating system developers should be responsible for conducting age verification and passing that information to sites that require it.

"However, the best and most effective solution for protecting minors and adults alike is to identify users at the source: by their device, or account on the device, and allow access to age-restricted materials and websites based on that identification," reads a blog post about age verification laws.

"This means users would only get verified once, through their operating system, not on each age-restricted site. This dramatically reduces privacy risks and creates a very simple process for regulators to enforce."

While centralizing age verification to a select few companies would reduce the risk to consumers, it would increase the risk for OS developers who now have a large bucket of sensitive information to protect.

Furthermore, these laws have been shown to push people to purchase VPNs to bypass geographic restrictions by adult sites.

However, according to a report by RStreet, some state laws require adult sites to prevent the bypassing of geo restrictions, potentially forcing them to block all VPN traffic.

PornHub has previously blocked access to its site over age verification laws to visitors in Virginia, North Carolina, Mississippi, Arkansas, Montana, and Utah.

Source: BleepingComputer

PornHub hiện đã chặn Texas về luật xác minh độ tuổi

Wed, 20 Mar 2024 05:00:00 GMT

PornHub hiện đã thêm Texas vào danh sách chặn của mình, ngăn người dùng trong bang truy cập trang web của họ để phản đối luật xác minh độ tuổi.

Dự luật xác minh độ tuổi HB 1181 của Texas, được thông qua vào năm ngoái, đã có hiệu lực trở lại vào hai tuần trước sau khi Tiểu bang giành được kháng cáo chống lại lệnh cấm cho rằng nó vi phạm Tu chính án thứ nhất.

Dự luật yêu cầu các trang web người lớn hiển thị tài liệu khiêu dâm phải thực hiện xác minh độ tuổi để xác nhận khách truy cập từ Texas là 18 tuổi. Dự luật cũng yêu cầu các trang web khiêu dâm hiển thị thông báo về sức khỏe cho người dùng Texas, nêu rõ những điều sau:

Dự luật HB 1811 viết: "CẢNH BÁO VỀ SỨC KHỎE VÀ DỊCH VỤ CON NGƯỜI CỦA TEXAS: Nội dung khiêu dâm có khả năng gây nghiện về mặt sinh học, được chứng minh là có hại cho sự phát triển não bộ của con người, làm giảm các mạch thưởng cho não, tăng phản ứng có điều kiện và làm suy yếu chức năng não".

Vào tháng 2, Bộ trưởng Tư pháp Texas Ken Paxton đã kiện Aylo Global Entertainment, chủ sở hữu của PornHub, vì không tuân thủ luật pháp, yêu cầu mức phạt 1,6 triệu USD và 10.000 USD mỗi ngày sau đó cho đến khi trang web này thực hiện xác minh độ tuổi bắt buộc.

Hai tuần trước, Tòa phúc thẩm khu vực số 5 của Hoa Kỳ đã cho phép luật này có hiệu lực. Tuy nhiên, họ đã dừng yêu cầu hiển thị thông báo về sức khỏe tâm thần trên các trang web người lớn.

Đáp lại, Aylo hiện đã chặn quyền truy cập vào các trang web của mình, bao gồm Pornhub, YouPorn, Brazzers, Men.com và Nutaku, từ khách truy cập ở Texas, hiển thị thông báo cho biết luật xác minh độ tuổi mới là không hiệu quả và nguy hiểm.

Một thông báo trên PornHub gửi tới khách truy cập Texas cho biết: “Như bạn có thể biết, các quan chức được bầu ở Texas đang yêu cầu chúng tôi xác minh tuổi của bạn trước khi cho phép bạn truy cập vào trang web của chúng tôi”.

"Điều này không chỉ ảnh hưởng đến quyền của người lớn trong việc tiếp cận bài phát biểu được bảo vệ mà còn thất bại trong việc giám sát chặt chẽ bằng cách sử dụng các phương tiện kém hiệu quả nhất nhưng cũng hạn chế nhất để hoàn thành mục đích đã nêu của Texas là bảo vệ trẻ vị thành niên."

"Thật không may, luật xác minh độ tuổi của Texas không hiệu quả, lộn xộn và nguy hiểm. Nó không những không thực sự bảo vệ trẻ em mà còn chắc chắn sẽ làm giảm khả năng đăng và phân phối nội dung người lớn hợp pháp của người tạo nội dung và ảnh hưởng trực tiếp đến khả năng chia sẻ của họ." những thông điệp nghệ thuật mà họ muốn truyền tải qua nó", tuyên bố của PornHub tiếp tục.

Thông báo hiển thị trên PornHub cho khách truy cập Texas

Nguồn: BleepingComputer

Thay vào đó, PornHub kêu gọi các tiểu bang yêu cầu xác minh độ tuổi dựa trên thiết bị thông qua hệ điều hành của thiết bị, chẳng hạn như iOS, Android, macOS và Windows.

PornHub nói rằng việc yêu cầu người dùng chia sẻ thông tin của họ với nhiều công ty xác minh độ tuổi chỉ khiến dữ liệu của khách truy cập có nguy cơ bị rò rỉ thông tin nhạy cảm do vi phạm dữ liệu.

Thay vào đó, PornHub nói rằng các lập trình viên hệ điều hành phải chịu trách nhiệm tiến hành xác minh độ tuổi và chuyển thông tin đó đến các trang web yêu cầu.

“Tuy nhiên, giải pháp tốt nhất và hiệu quả nhất để bảo vệ trẻ vị thành niên cũng như người lớn là xác định người dùng tại nguồn: theo thiết bị của họ hoặc tài khoản trên thiết bị và cho phép truy cập vào các tài liệu và trang web giới hạn độ tuổi dựa trên nhận dạng đó,” thông tin trên một bài đăng trên blog về luật xác minh độ tuổi.

"Điều này có nghĩa là người dùng sẽ chỉ được xác minh một lần, thông qua hệ điều hành của họ chứ không phải trên mỗi trang web bị giới hạn độ tuổi. Điều này làm giảm đáng kể rủi ro về quyền riêng tư và tạo ra một quy trình rất đơn giản để các cơ quan quản lý thực thi."

Mặc dù việc tập trung xác minh độ tuổi cho một số công ty được chọn sẽ giảm rủi ro cho người tiêu dùng nhưng nó sẽ làm tăng rủi ro cho các nhà phát triển hệ điều hành, những người hiện có một lượng lớn thông tin nhạy cảm cần bảo vệ.

Hơn nữa, những luật này đã được chứng minh là thúc đẩy mọi người mua VPN để vượt qua các hạn chế về mặt địa lý của các trang web người lớn.

Tuy nhiên, theo báo cáo của RStreet, một số luật tiểu bang yêu cầu các trang web người lớn ngăn chặn việc vượt qua các hạn chế về địa lý, có khả năng buộc họ phải chặn tất cả lưu lượng truy cập VPN.

PornHub trước đây đã chặn quyền truy cập vào trang web của mình theo luật xác minh độ tuổi đối với khách truy cập ở Virginia, North Carolina, Mississippi, Arkansas, Montana và Utah.

Nguồn: bleepingcomputer.com

Acer confirms Philippines employee data leaked on hacking forum

Wed, 20 Mar 2024 00:00:00 GMT

Acer Philippines confirmed that employee data was stolen in an attack on a third-party vendor who manages the company's employee attendance data after a threat actor leaked the data on a hacking forum.

Acer is a Taiwanese maker of computer hardware and electronics, best known for its laptops that offer a good balance of performance, quality, and competitive pricing.

Earlier March 12, a threat actor known as 'ph1ns' published a link to download a stolen database containing Acer employee data for free on a hacking forum.

Threat actor's posts on BreachForums (BleepingComputer)

The attacker told BleepingComputer that no ransomware or encryption was involved and that it was a pure data theft attack.

They further confirmed to BleepingComputer that they were not attempting to extort the company. However, they did provide evidence that they wiped data on the breached servers before they lost access.

We reached out to Acer to verify the authenticity of the threat actors' claims, and an Acer spokesperson confirmed that the data is theirs but was not acquired directly from the company's systems.

"We are aware that one of our external vendors in the Philippines has suffered a data breach, and as a result, a limited set of employee data has been compromised," a spokesperson told BleepingComputer.

"While we are working with the vendor, cybersecurity experts and law enforcement, we would like to emphasize that no customer data has been affected and there is no evidence of any breach of Acer's systems."

Acer Philippines later issued a public statement on X offering similar assurances about the security of customer data and confirming that its systems remain uncompromised.

Acer's full statement

The computer maker has notified the National Privacy Commission (NPC) and the Cybercrime Investigation and Coordinating Center (CICC) in the Philippines, and an investigation of the incident is underway.

Acer's past lapses

Acer has had multiple security incidents in recent years. In February 2023, hackers breached a company server holding technical manuals, software tools, BIOS images, and replacement digital product keys (RDPK), among other things.

In October 2021, Acer admitted that its India-based after-sales service had been compromised, and millions of records containing customer data were stolen.

Finally, in March 2021, the computer maker was hit by a REvil ransomware attack that broke records for demanding a ransom payment of $50 million.

Source: BleepingComputer

Acer xác nhận dữ liệu nhân viên Philippines bị rò rỉ trên diễn đàn hack

Tue, 19 Mar 2024 05:00:00 GMT

Acer Philippines xác nhận rằng dữ liệu nhân viên đã bị đánh cắp trong một cuộc tấn công vào nhà cung cấp bên thứ ba, người quản lý dữ liệu chấm công của nhân viên công ty sau khi một kẻ đe dọa làm rò rỉ dữ liệu trên một diễn đàn hack.

Acer là nhà sản xuất phần cứng máy tính và thiết bị điện tử của Đài Loan, nổi tiếng với những chiếc máy tính xách tay mang đến sự cân bằng tốt về hiệu suất, chất lượng và giá cả cạnh tranh.

Đầu ngày 12 tháng 3, một kẻ đe dọa có tên 'ph1ns' đã xuất bản một liên kết để tải xuống miễn phí cơ sở dữ liệu bị đánh cắp chứa dữ liệu nhân viên Acer trên một diễn đàn hack.

Bài đăng của kẻ đe dọa trên BreachForums (BleepingComputer)

Kẻ tấn công nói với BleepingComputer rằng không có phần mềm ransomware hay mã hóa nào liên quan và đó là một cuộc tấn công đánh cắp dữ liệu thuần túy.

Chúng xác nhận thêm với BleepingComputer rằng họ không cố gắng tống tiền Acer. Tuy nhiên, chúng đã cung cấp bằng chứng cho thấy đã xóa sạch dữ liệu trên các máy chủ bị vi phạm trước khi mất quyền truy cập.

Chúng tôi đã liên hệ với Acer để xác minh tính xác thực trong tuyên bố của các tác nhân đe dọa và người phát ngôn của Acer đã xác nhận rằng dữ liệu là của họ nhưng không được lấy trực tiếp từ hệ thống của công ty.

Người phát ngôn nói với BleepingComputer: “Chúng tôi biết rằng một trong những nhà cung cấp bên ngoài của chúng tôi ở Philippines đã bị vi phạm dữ liệu và kết quả là một lượng nhỏ dữ liệu nhân viên đã bị xâm phạm”.

“Trong khi chúng tôi đang làm việc với nhà cung cấp, các chuyên gia an ninh mạng và cơ quan thực thi pháp luật, chúng tôi muốn nhấn mạnh rằng không có dữ liệu khách hàng nào bị ảnh hưởng và không có bằng chứng nào về bất kỳ hành vi vi phạm nào đối với hệ thống của Acer.”

Acer Philippines sau đó đã đưa ra một thông báo công khai về X đưa ra những đảm bảo tương tự về tính bảo mật của dữ liệu khách hàng và xác nhận rằng hệ thống của họ vẫn không bị xâm phạm.

Thông báo đầy đủ của Acer

Nhà sản xuất máy tính đã thông báo cho Ủy ban quyền riêng tư quốc gia (NPC) và Trung tâm điều phối và điều tra tội phạm mạng (CICC) ở Philippines và một cuộc điều tra về vụ việc đang được tiến hành.

Những sai lầm trong quá khứ của Acer

Acer đã gặp nhiều sự cố bảo mật trong những năm gần đây. Vào tháng 2 năm 2023, tin tặc đã xâm nhập vào máy chủ của công ty chứa các hướng dẫn kỹ thuật, công cụ phần mềm, hình ảnh BIOS và khóa sản phẩm kỹ thuật số thay thế (RDPK), cùng những tính năng khác.

Vào tháng 10 năm 2021, Acer thừa nhận rằng dịch vụ hậu mãi có trụ sở tại Ấn Độ của họ đã bị xâm phạm và hàng triệu hồ sơ chứa dữ liệu khách hàng đã bị đánh cắp.

Cuối cùng, vào tháng 3 năm 2021, nhà sản xuất máy tính đã phải hứng chịu một cuộc tấn công ransomware REvil đã phá kỷ lục vì yêu cầu khoản tiền chuộc 50 triệu USD.

Nguồn: bleepingcomputer.com

Stanford: Data of 27,000 people stolen in September ransomware attack

Tue, 19 Mar 2024 00:00:00 GMT

Stanford University says the personal information of 27,000 individuals was stolen in a ransomware attack impacting its Department of Public Safety (SUDPS) network.

The university discovered the attack on September 27 and disclosed one month later that it was investigating a cybersecurity incident impacting SUDPS systems.

In an update published on March 12, Stanford said the attackers didn't gain access to other systems outside the Department of Public Safety's network.

"The investigation determined that an unauthorized individual(s) gained access to the Department of Public Safety's network between May 12, 2023, and Sept. 27, 2023," the university said.

According to data breach notifications filed with Maine's Attorney General, the attackers stole documents containing personally identifiable information (PII) belonging to 27,000 individuals.

"The personal information that may have been affected varies from person to person but could include date of birth, Social Security number, government ID, passport number, driver's license number, and other information the Department of Public Safety may have collected in its operations," Stanford added.

"For a small number of individuals, this information may also have included biometric data, health/medical information, email address with password, username with password, security questions and answers, digital signature, and credit card information with security codes."

While Stanford has not attributed the September incident to a specific ransomware operation, the Akira ransomware gang claimed the attack in October, saying they stole 430Gb of files from the university's systems.

The cybercrime group has since published the stolen data on their dark web leak site, making it available for download via BitTorrent.

Akira Stanford data leak (BleepingComputer)

The Akira ransomware operation emerged in March 2023 and quickly gained notoriety by targeting victims across various industry verticals.

By June 2023, the Akira ransomware operators had developed and deployed a Linux encryptor to target VMware ESXi virtual machines widely used in enterprise environments.

According to negotiation chats seen by BleepingComputer, the ransomware group is asking for ransom payments ranging from $200,000 to millions of dollars, depending on the size of the breached organization.

Stanford University disclosed another data breach in February 2023 after Department of Economics Ph.D. program admission information was exposed online between December 2022 and January 2023.

The incident followed an April 2021 data breach after the Clop ransomware leaked documents stolen from Stanford School of Medicine's Accellion File Transfer Appliance (FTA) platform.

Source: BleepingComputer

Đại học Stanford: Dữ liệu của 27.000 người bị đánh cắp trong vụ tấn công ransomware tháng 9

Mon, 18 Mar 2024 05:00:00 GMT

Trường đại học đã phát hiện ra cuộc tấn công vào ngày 27 tháng 9 và tiết lộ một tháng sau đó rằng họ đang điều tra một sự cố an ninh mạng ảnh hưởng đến hệ thống SUDPS.

Trong bản cập nhật được công bố ngày 12 tháng 3, Stanford cho biết những kẻ tấn công đã không có quyền truy cập vào các hệ thống khác ngoài mạng của Bộ An toàn Công cộng.

Trường đại học cho biết: “Cuộc điều tra xác định rằng (các) cá nhân trái phép đã có quyền truy cập vào mạng của Bộ An toàn Công cộng trong khoảng thời gian từ ngày 12 tháng 5 năm 2023 đến ngày 27 tháng 9 năm 2023”.

Theo thông báo vi phạm dữ liệu được gửi cho Bộ trưởng Tư pháp Maine, những kẻ tấn công đã đánh cắp tài liệu chứa thông tin nhận dạng cá nhân (PII) của 27.000 cá nhân.

"Thông tin cá nhân có thể bị ảnh hưởng khác nhau tùy theo từng người nhưng có thể bao gồm ngày sinh, số An sinh xã hội, ID chính phủ, số hộ chiếu, số giấy phép lái xe và các thông tin khác mà Bộ An toàn Công cộng có thể đã thu thập trong hoạt động của mình, "Stanford nói thêm.

“Đối với một số ít cá nhân, thông tin này cũng có thể bao gồm dữ liệu riêng tư, thông tin sức khỏe/y tế, địa chỉ email có mật khẩu, tên người dùng có mật khẩu, câu hỏi và câu trả lời bảo mật, chữ ký số và thông tin thẻ tín dụng có mã bảo mật.”

Trong khi Stanford không quy sự cố tháng 9 cho một hoạt động ransomware cụ thể, nhóm ransomware Akira đã tuyên bố vụ tấn công vào tháng 10, nói rằng họ đã đánh cắp 430Gb tệp từ hệ thống của trường đại học.

Nhóm tội phạm mạng kể từ đó đã công bố dữ liệu bị đánh cắp trên trang web rò rỉ web đen của chugs, cho phép tải xuống thông qua BitTorrent.

Rò rỉ dữ liệu của Akira Stanford (BleepingComputer)

Hoạt động ransomware Akira xuất hiện vào tháng 3 năm 2023 và nhanh chóng gây được tiếng vang khi nhắm mục tiêu vào các nạn nhân thuộc nhiều ngành dọc khác nhau.

Đến tháng 6 năm 2023, những kẻ điều hành ransomware Akira đã phát triển và triển khai bộ mã hóa Linux để nhắm mục tiêu vào các máy ảo VMware ESXi được sử dụng rộng rãi trong môi trường doanh nghiệp.

Theo các cuộc trò chuyện đàm phán mà BleepingComputer quan sát, nhóm ransomware đang yêu cầu khoản tiền chuộc từ 200.000 USD đến hàng triệu USD, tùy thuộc vào quy mô của tổ chức bị vi phạm.

Đại học Stanford tiết lộ một vụ vi phạm dữ liệu khác vào tháng 2 năm 2023 sau khi Tiến sĩ Khoa Kinh tế. thông tin tuyển sinh chương trình bị lộ trực tuyến trong khoảng thời gian từ tháng 12 năm 2022 đến tháng 1 năm 2023.

Vụ việc xảy ra sau vụ vi phạm dữ liệu vào tháng 4 năm 2021 sau khi phần mềm ransomware Clop làm rò rỉ các tài liệu bị đánh cắp từ nền tảng Thiết bị truyền tệp Accellion (FTA) của Trường Y Stanford.

Nguồn: bleepingcomputer.com

Okta says data leaked on hacking forum not from its systems

Mon, 18 Mar 2024 00:00:00 GMT

Okta denies that its company data was leaked after a threat actor shared files allegedly stolen during an October 2023 cyberattack on a hacker forum.

Okta is a San Fransisco-based cloud identity and access management solutions provider whose Single Sign-On (SSO), multi-factor authentication (MFA), and API access management services are used by thousands of organizations worldwide.

In October 2023, Okta warned that its support system was breached by hackers using stolen credentials, allowing attackers to steal cookies and authentication for some customers. After the internal investigation was completed in late November, it was revealed that the incident impacted all users of the customer support system.

That incident elevated the risk of breaches for multiple Okta clients, with a notable case being a subsequent compromise of one of Cloudflare's self-hosted Atlassian servers where the hackers employed access tokens stolen during the Okta breach.

On Saturday, March 9 a cybercriminal using the alias 'Ddarknotevil' claimed to be releasing an Okta Database containing information of 3,800 customers that was stolen during last year's breach.

"Today, I have uploaded the Okta database for you all, This Breach is being shared in behife @IntelBroker - [Cyber <redacted>] thanks for reading and enjoy!," a threat actor posted to a hacking forum."

"In September 2023, Okta, an IT service management company, suffered a data breach that led to the exposure of 3.8 thousand customer support users."

The leaked data includes user IDs, full names, company names, office addresses, phone numbers, email addresses, positions/roles, and other information.

BleepingComputer contacted Okta over the weekend to ask if the claims are linked to the October incident or any other undisclosed breach.

On March 11, the company said that the data does not belong to them and appears to be from public information on the internet.

"This is not Okta's data, and it is not associated with the October 2023 security incident," an Okta spokesperson told BleepingComputer.

"We cannot determine the source of this data or its accuracy, but we noted that some fields have dates from over ten years ago. We suspect that this information may be aggregated from public information sources on the Internet."

The Okta spokesperson also confirmed to BleepingComputer that the firm's IT team thoroughly investigated all systems over the weekend and found no evidence of a breach.

Cyber-intelligence firm KELA also reviewed the shared data and independently corroborated that the data does not belong to Okta but is believed to be from a different company breached in July.

KELA's analysis of the data and number of records confirmed that it's the same data as a July 2023 dump made by the threat actor 'IntelBroker,' who claimed to have stolen it from the National Defense Information Sharing and Analysis Center.

Source: BleepingComputer.

Equilend warns employees their data was stolen by ransomware gang

Sat, 16 Mar 2024 01:00:00 GMT

New York-based securities lending platform EquiLend Holdings confirmed in data breach notification letters sent to employees that their data was stolen in a January ransomware attack.

The financial technology company told BleepingComputer on January 24 that it was forced to take some of its systems offline two days earlier, on January 22, to contain a breach.

While Equilend didn't immediately disclose the nature of the incident, LockBit ransomware claimed responsibility for the attack in a statement to Bloomberg.

Even though the fintech firm didn't confirm LockBit's claims, it revealed on February 2 via a dedicated page for sharing more information on the incident that the January breach resulted from a ransomware attack.

Days later, Equilend said that all client-facing services were back online and had yet to find evidence that "client transaction data was accessed or exfiltrated" during the cyberattack.

However, the company confirmed in breach notification letters recently delivered to Equilend employees that the unnamed attackers did steal their personally identifiable information (PII).

"We are writing to inform you of a recent data security incident that involved your EquiLend payroll and other human resources information, including your name, date of birth and Social Security number," the company said.

"At this time, we have no evidence from the investigation that any personal information has been used to commit identity theft or fraud."

Although no signs of fraudulent activity using the stolen info have been detected yet, Equilend is providing affected employees with two years of free identity theft protection services through Identity Theft Guard Solutions (IDX).

EquiLend was established in 2001 by a group of ten global banks and broker-dealers, which included Bank of America Merrill Lynch, BlackRock, Credit Suisse, Goldman Sachs, JP Morgan, Morgan Stanley, National Bank of Canada, Northern Trust, State Street, and UBS.

It now has over 330 employees and offices in North America, EMEA, and Asia-Pacific, while its services are used by more than 190 firms worldwide, including agency lending banks, hedge funds, and broker-dealers.

Securities finance marketplace participants also use Equilend's Next Generation Trading (NGT) multi-asset securities trading platform in transactions worth more than $2.4 trillion monthly.

Source: BleepingComputer

Equilend cảnh báo nhân viên rằng dữ liệu của họ đã bị nhóm ransomware đánh cắp

Fri, 15 Mar 2024 05:00:00 GMT

Nền tảng cho vay chứng khoán EquiLend Holdings có trụ sở tại New York đã xác nhận trong thư thông báo vi phạm dữ liệu gửi cho nhân viên rằng dữ liệu của họ đã bị đánh cắp trong một cuộc tấn công ransomware vào tháng 1.

Công ty công nghệ tài chính nói với BleepingComputer vào ngày 24 tháng 1 rằng họ buộc phải ngừng hoạt động một số hệ thống của mình hai ngày trước đó, vào ngày 22 tháng 1, để ngăn chặn vi phạm.

Trong khi Equilend không tiết lộ ngay bản chất của vụ việc, thì ransomware LockBit đã tuyên bố chịu trách nhiệm về vụ tấn công trong một tuyên bố với Bloomberg.

Mặc dù công ty fintech không xác nhận tuyên bố của LockBit, nhưng đã tiết lộ vào ngày 2 tháng 2 thông qua một trang dành riêng để chia sẻ thêm thông tin về vụ việc vi phạm tháng 1 do một cuộc tấn công bằng ransomware.

Vài ngày sau, Equilend nói rằng tất cả các dịch vụ hướng tới khách hàng đã trực tuyến trở lại và vẫn chưa tìm thấy bằng chứng cho thấy “dữ liệu giao dịch của khách hàng đã bị truy cập hoặc bị lấy cắp” trong cuộc tấn công mạng.

Tuy nhiên, công ty đã xác nhận trong các thư thông báo vi phạm được gửi gần đây cho nhân viên Equilend rằng những kẻ tấn công giấu tên đã đánh cắp thông tin nhận dạng cá nhân (PII) của họ.

Equilend cho biết: “Chúng tôi viết thư này để thông báo cho bạn về một sự cố bảo mật dữ liệu gần đây liên quan đến bảng lương EquiLend của bạn và các thông tin nhân sự khác, bao gồm tên, ngày sinh và số An sinh xã hội của bạn”.

“Tại thời điểm này, chúng tôi không có bằng chứng từ cuộc điều tra cho thấy bất kỳ thông tin cá nhân nào đã được sử dụng để thực hiện hành vi trộm cắp danh tính hoặc lừa đảo.”

Mặc dù chưa phát hiện thấy dấu hiệu của hoạt động gian lận sử dụng thông tin bị đánh cắp, Equilend đang cung cấp cho những nhân viên bị ảnh hưởng dịch vụ bảo vệ chống trộm danh tính miễn phí trong hai năm thông qua Giải pháp bảo vệ chống trộm danh tính (IDX).

EquiLend được thành lập vào năm 2001 bởi một nhóm gồm 10 ngân hàng và đại lý môi giới toàn cầu, bao gồm Bank of America Merrill Lynch, BlackRock, Credit Suisse, Goldman Sachs, JP Morgan, Morgan Stanley, National Bank of Canada, Northern Trust, State Street, và UBS.

Nó hiện có hơn 330 nhân viên và văn phòng ở Bắc Mỹ, EMEA và Châu Á-Thái Bình Dương, đồng thời dịch vụ của nó được hơn 190 công ty trên toàn thế giới sử dụng, bao gồm các ngân hàng đại lý cho vay, quỹ phòng hộ và đại lý môi giới.

Những người tham gia thị trường tài chính chứng khoán cũng sử dụng nền tảng giao dịch chứng khoán đa tài sản thế hệ tiếp theo (NGT) của Equilend trong các giao dịch trị giá hơn 2,4 nghìn tỷ USD hàng tháng.

Nguồn: bleepingcomputer.com

Okta cho biết dữ liệu bị rò rỉ trên diễn đàn hack không phải từ hệ thống của họ

Fri, 15 Mar 2024 05:00:00 GMT

Okta phủ nhận rằng dữ liệu công ty của họ đã bị rò rỉ sau khi một kẻ đe dọa chia sẻ các tệp được cho là bị đánh cắp trong cuộc tấn công mạng vào tháng 10 năm 2023 trên một diễn đàn hacker.

Okta là nhà cung cấp giải pháp quản lý quyền truy cập và nhận dạng đám mây có trụ sở tại San Fransisco. Dịch vụ đăng nhập một lần (SSO), xác thực đa yếu tố (MFA) và quản lý quyền truy cập API được hàng nghìn tổ chức trên toàn thế giới sử dụng.

Vào tháng 10 năm 2023, Okta cảnh báo rằng hệ thống hỗ trợ của họ đã bị tin tặc xâm phạm bằng cách sử dụng thông tin đăng nhập bị đánh cắp, cho phép kẻ tấn công đánh cắp cookie và xác thực đối với một số khách hàng. Sau khi cuộc điều tra nội bộ hoàn tất vào cuối tháng 11, người ta phát hiện ra rằng vụ việc đã ảnh hưởng đến tất cả người dùng hệ thống hỗ trợ khách hàng.

Sự cố đó làm tăng nguy cơ vi phạm đối với nhiều khách hàng Okta, trong đó trường hợp đáng chú ý là sự xâm phạm tiếp theo của một trong những máy chủ Atlassian tự lưu trữ của Cloudflare, nơi tin tặc sử dụng mã thông báo truy cập bị đánh cắp trong vụ vi phạm Okta.

Vào thứ bảy, ngày 9 tháng 3, một tội phạm mạng sử dụng bí danh 'Ddarknotevil' đã tuyên bố sẽ phát hành Cơ sở dữ liệu Okta chứa thông tin của 3.800 khách hàng đã bị đánh cắp trong vụ vi phạm năm ngoái.

“Hôm nay, tôi đã tải cơ sở dữ liệu Okta lên cho tất cả các bạn. Vi phạm này đang được chia sẻ dưới tên @IntelBroker - [Cyber <redacted>] cảm ơn bạn đã đọc và thưởng thức!,” một kẻ đe dọa đã đăng lên một diễn đàn hack.”

“Vào tháng 9 năm 2023, Okta, một công ty quản lý dịch vụ CNTT, đã gặp phải một vụ vi phạm dữ liệu khiến 3,8 nghìn người dùng hỗ trợ khách hàng bị lộ.”

Dữ liệu bị rò rỉ bao gồm ID người dùng, tên đầy đủ, tên công ty, địa chỉ văn phòng, số điện thoại, địa chỉ email, vị trí/vai trò và các thông tin khác.

BleepingComputer đã liên hệ với Okta vào cuối tuần qua để hỏi xem liệu các khiếu nại có liên quan đến sự cố tháng 10 hay bất kỳ vi phạm nào khác chưa được tiết lộ hay không.

Ngày 11 tháng 3, Okta cho biết dữ liệu không phải của họ và dường như là từ thông tin công khai trên internet.

Người phát ngôn của Okta nói với BleepingComputer: “Đây không phải là dữ liệu của Okta và nó không liên quan đến sự cố bảo mật tháng 10 năm 2023”.

“Chúng tôi không thể xác định nguồn gốc của dữ liệu này hoặc độ chính xác của nó, nhưng chúng tôi lưu ý rằng một số trường có niên đại từ hơn mười năm trước. Chúng tôi nghi ngờ rằng thông tin này có thể được tổng hợp từ các nguồn thông tin công cộng trên Internet.”

Người phát ngôn của Okta cũng xác nhận với BleepingComputer rằng đội ngũ CNTT của công ty đã điều tra kỹ lưỡng tất cả các hệ thống vào cuối tuần và không tìm thấy bằng chứng nào về vi phạm.

Công ty tình báo mạng KELA cũng đã xem xét dữ liệu được chia sẻ và chứng thực một cách độc lập rằng dữ liệu đó không thuộc về Okta mà được cho là của một công ty khác bị vi phạm vào tháng 7.

Phân tích dữ liệu và số lượng hồ sơ của KELA đã xác nhận rằng đó là dữ liệu giống với dữ liệu được đổ vào tháng 7 năm 2023 do kẻ đe dọa 'IntelBroker' thực hiện, kẻ tuyên bố đã đánh cắp nó từ Trung tâm Phân tích và Chia sẻ Thông tin Quốc phòng Quốc gia.

Nguồn: bleepingcomputer.com

Fake Leather wallet app on Apple App Store is a crypto drainer

Fri, 15 Mar 2024 00:00:00 GMT

The developers of the Leather cryptocurrency wallet are warning of a fake app on the Apple App Store, with users reporting it is a wallet drainer that stole their digital assets.

Wallet drainers are apps or malicious scripts that trick users into entering their secret passphrases or performing malicious transactions allowing attackers to steal all digital assets, including NFTs and cryptocurrency, from users' wallets.

Wallet drainers (aka crypto drainers) have become increasingly common over the past year, with threat actors hacking social media accounts with a lot of followers to promote phishing sites containing malicious sites or taking out ads to drive visitors to sites that trick users into entering their wallets recovery phrase.

The wallet drainer "business" has become so profitable that threat actors have created crypto phishing services, allowing any wannabe threat actor to participate in illegal activity.

Fake Leather app on Apple App Store

Last week, the genuine Leather wallet warned its community about a fake version of its wallet on the Apple App Store, making it clear that the company does not yet offer an iOS app.

The platform advised those who entered their secret passphrase on the fake app to immediately transfer their cryptocurrency to a new wallet. This is because once the passphrase was entered into the phony wallet, it was likely sent to the threat actors, who can use it to drain the wallet of all assets.

The app remains available on the App Store despite Leather's report to Apple over a week ago.

Unfortunately, people have already reported that they lost funds by entering their passphrase into the fake Leather wallet, with users reporting a loss of funds in the past few days and even today.

At the time of writing, the malicious app is still on the App Store, published by 'LetalComRu,' and using the real Leather logo.

Fake Leather app on the App Store (BleepingComputer)

Notably, the app has a rating of 4.9 out of 5.0, with most user-submitted reviews appearing fake as they use random but similar names, and the text is almost identical.

Favorable user reviews (BleepingComputer)

Since the App Store does not report download counts, the number of people who downloaded this crypto drainer app is unknown.

BleepingComputer has contacted Apple about the presence of the wallet drainer app on the App Store, but a comment wasn't immediately available.

Though Apple is known for maintaining high quality and security standards on the App Store, scammers have found ways to bypass crucial checks.

In early February 2024, a fake app named 'LassPass,' which mimicked the popular password management app LastPass, was published on the App Store.

LastPass reported the fraudulent app to Apple via the recommended procedure, and it was removed from the App Store a few hours after our publication for violating guidelines on copycat apps.

In the case of Leather, the fake app does not attempt to spoof another one but instead takes advantage of the unavailability of an iOS app by the real wallet management platform.

This should still apply for a content dispute, as Leather's intellectual property is used to promote the drainer, but until the app is removed, users are advised to be cautious.

Finally, this is a good reminder of why it is safer to navigate to apps on App Stores using links from the official websites of these projects, as long as the authenticity of those sites is first confirmed. In this case, the real Leather website is on leather.io.

Source: BleepingComputer

'Xu hướng kỳ lạ nhất trong an ninh mạng': Các quốc gia quay trở lại sử dụng USB

Thu, 14 Mar 2024 10:49:56 GMT

USB lại được sử dụng khi các APT lớn từ Nga, Trung Quốc và các quốc gia khác đang chuyển sang sử dụng chúng để thực hiện các cuộc tấn công mạng BYOD.

Các nhóm đe dọa mạng cấp quốc gia một lần nữa chuyển sang sử dụng USB để xâm phạm các tổ chức chính phủ được bảo vệ nghiêm ngặt và các cơ sở hạ tầng quan trọng.

Tuy đã lỗi thời một thời gian và chắc chắn không được hỗ trợ bởi lệnh COVID lockdown, USB một lần nữa cho thấy là một cách hiệu quả để các tác nhân đe dọa cấp cao vượt qua an ninh vật lý tại các tổ chức đặc biệt nhạy cảm.

Trong bài thuyết trình quan trọng tuần trước tại CPX 2024 ở Las Vegas, Maya Horowitz, phó chủ tịch nghiên cứu tại Check Point, đã lưu ý rằng USB là vật trung gian lây nhiễm chính cho ít nhất ba nhóm mối đe dọa lớn khác nhau vào năm 2023: Camaro Dragon của Trung Quốc (còn gọi là Mustang Panda) , Bronze President, Earth Preta, Luminous Moth, Red Delta, Stately Taurus); Gamaredon của Nga (hay còn gọi là Primitive Bear, UNC530, ACTINIUM, Shuckworm, UAC-0010, Aqua Blizzard) và các tác nhân đe dọa đằng sau Raspberry Robin.

Horowitz nói với Dark Reading: “Trong một vài năm, chúng tôi không thực sự nghe nói về USB - tất cả đều là các cuộc tấn công mạng qua Internet”. “Nhưng thường có những kiểu tấn công dành cho các tác nhân đe dọa – một cuộc tấn công thành công, vì vậy những cuộc tấn công khác sẽ sao chép nó. Tôi nghĩ rằng đây là những gì chúng ta bắt đầu thấy với ổ USB, tái hiện lại vectơ tấn công này.”

Mối đe dọa tái xuất hiện của USB

Bạn có thường xuyên mở cửa và nhìn thấy gói hàng Amazon trên tấm thảm cửa nhà mình và quên mất những gì bạn thực sự đã đặt hàng hai ngày trước không?

Daniel Wiley, người đứng đầu bộ phận quản lý mối đe dọa của Check Point, nhớ lại tại cuộc họp báo hôm thứ Tư, ngày 6 tháng 3: “Gần đây, chúng tôi đã làm việc với một công ty điện lực, nơi mà một trong những nhân viên đã nhận được một hộp Amazon có kèm theo băng Amazon. "Bên trong có một chiếc USB SanDisk được niêm phong — hoàn toàn mới. Anh ấy nghĩ vợ mình đã đặt mua nó. Thế là anh ấy mở nó ra và cắm vào. Mọi thứ khác đều là phản ứng dây chuyền. Nó có thể đột nhập vào VPN của họ." công ty điện lực đang ở tình trạng không tốt."

Việc đó là một nhân viên của công ty điện lực không phải ngẫu nhiên - ngành quan trọng thường tách biệt mạng CNTT và OT bằng các khoảng trống hoặc cổng một chiều, qua đó các cuộc tấn công dựa trên Internet không thể di chuyển được. USB cung cấp một cầu nối để vượt qua khoảng cách đó, như Stuxnet đã chứng minh một cách nổi tiếng hơn một thập kỷ trước.

Các cuộc tấn công bằng USB cũng có thể hữu ích mà không có hạn chế về khoảng cách không gian. Hãy xem xét một nhân viên của một bệnh viện ở Anh, cách đây không lâu đã tham dự một hội nghị ở châu Á. Trong hội nghị, anh đã chia sẻ bài thuyết trình của mình với những người tham dự thông qua ổ USB. Thật không may, một trong những đồng nghiệp của anh đã bị nhiễm phần mềm độc hại Camaro Dragon, nhân viên bệnh viện sau đó đã bắt được và mang về Anh, lây nhiễm sang toàn bộ mạng công ty của bệnh viện.

Horowitz nhớ lại trong bài phát biểu của mình, phần mềm độc hại đã mở ra một backdoor vào các máy mới bị nhiễm nhưng nó hoạt động như một con sâu, truyền tới bất kỳ thiết bị mới nào tiếp xúc qua USB. Điều này cho phép nó lan rộng ra ngoài Tây Âu sang các nước như Ấn Độ, Myanmar, Nga và Hàn Quốc.

Raspberry Robin đã lan truyền theo cách tương tự, tạo điều kiện cho những kẻ tấn công ransomware trên toàn thế giới. Và USB của Gamaredon đã đưa sâu LitterDrifter của mình đến nhiều quốc gia như Chile, Đức, Ba Lan, Hàn Quốc, Ukraine, Mỹ và Việt Nam.

Phải làm gì với những chiếc USB phiền phức này

Có những bước đơn giản mà các tổ chức có thể thực hiện để bảo vệ khỏi hầu hết các mối đe dọa liên quan đến USB, chẳng hạn như luôn tách biệt các thiết bị cá nhân và thiết bị làm việc, đồng thời xử lý chúng một cách cẩn thận hơn.

Horowitz nói: “Một số tổ chức chỉ quét các tệp được tải xuống từ Internet. “Điều đó là sai, bởi vì kẻ đe dọa hoặc nhân viên muốn gây thiệt hại có thể mang theo ổ USB của riêng họ để vượt qua lớp bảo mật được lưu cho các tệp được tải xuống từ Internet.”

Các ngành cơ sở hạ tầng quan trọng cần phải tiến thêm một bước nữa: trạm vệ sinh, chính sách nghiêm ngặt về thiết bị di động và băng qua cổng USB có thể thực hiện thủ thuật này trong tình huống khó khăn.

Đối với các tổ chức không muốn — hoặc không đủ khả năng — từ bỏ phương tiện di động, "Mang theo thiết bị của riêng bạn (BYOD) cũng được, bạn có thể làm điều đó, nhưng điều đó có nghĩa là bạn cần nhiều lớp bảo mật hơn", Horowitz nói với Dark Reading.

Và quan trọng nhất: “Hãy kiểm tra đơn hàng của bạn trên Amazon trước khi mở chúng”, Wiley cho lời khuyên.

Nguồn: darkreading.com

'The Weirdest Trend in Cybersecurity': Nation-States Returning to USBs

Thu, 14 Mar 2024 10:47:12 GMT

USBs are fetch again, as major APTs from Russia, China, and beyond are turning to them for BYOD cyberattacks.

Nation-state cyber threat groups are once again turning to USBs to compromise highly guarded government organizations and critical infrastructure facilities.

Having fallen out of fashion for some time, and certainly not helped by COVID lockdowns, USBs are once again proving an effective way for high-level threat actors to physically bypass security at particularly sensitive organizations.

In a keynote presentation last week at CPX 2024 in Las Vegas, Maya Horowitz, vice president of research at Check Point, noted that USBs represented the primary infection vector for at least three different major threat groups in 2023: China's Camaro Dragon (aka Mustang Panda, Bronze President, Earth Preta, Luminous Moth, Red Delta, Stately Taurus); Russia's Gamaredon (aka Primitive Bear, UNC530, ACTINIUM, Shuckworm, UAC-0010, Aqua Blizzard), and the threat actors behind Raspberry Robin.

"For quite a few years, we didn't really hear about USBs — it was all cyberattacks over the Internet," Horowitz tells Dark Reading. "But usually there are fashions with threat actors — one attack is successful, so others will copy it. I think that this is what we're starting to see with USB drives, resurfacing this attack vector."

Resurgent Threat of USBs

How often have you opened your door, seen an Amazon package on your welcome mat, and forgotten what you'd actually ordered two days ago?

"Recently, we worked with a power company where one of the employees received an Amazon box, with Amazon tape," Daniel Wiley, Check Point head of threat management, recalled at a Wednesday, March 3 presser. "Inside there was a sealed SanDisk USB — completely brand new. He thought his wife ordered it. So he opened it up, plugged it in. Everything else was a chain reaction. It was able to break in across their VPN. Let's just say the power company was not in a good place."

That it was a power company employee was no coincidence — critical industry often separates IT and OT networks with air gaps or unidirectional gateways, through which Internet-based attacks cannot travel. USBs provide a bridge over that gap, as Stuxnet famously demonstrated more than a decade ago.

USB attacks can be useful without that air-gap constraint as well. Consider an employee of a UK hospital, who not long ago attended a conference in Asia. During the conference, he shared his presentation with fellow attendees via a USB drive. Unfortunately, one of his colleagues was infected with Camaro Dragon malware, which the hospital employee then caught and brought back with him to the UK, infecting the hospital's entire corporate network.

As Horowitz recalled in her keynote, the malware opened up a backdoor into newly infected machines but also acted like a worm, transmitting to any new devices coming into contact via USB. This enabled it to spread beyond Western Europe into countries such as India, Myanmar, Russia, and South Korea.

Raspberry Robin has been spreading in much the same way, enabling ransomware actors worldwide. And Gamaredon's USBs have taken its LitterDrifter worm to countries as diverse as Chile, Germany, Poland, South Korea, Ukraine, the US, and Vietnam.

What to Do About Those Pesky USBs

There are simple steps organizations can take to protect against most USB-bound threats, like always separating personal and work devices, and treating the latter with increased care.

"Some organizations only scan files that are downloaded from the Internet," Horowitz said. "That's wrong, because either threat actors or employees that want to cause damage can bring their own USB drive to bypass that security saved for files that are downloaded from the Internet."

Critical infrastructure industries need to go a step further: sanitation stations, strict removable device policies, and tape over a USB port can do the trick in a pinch.

For organizations that don't want to — or can't afford to — give up on removable media, "Bring Your Own Device (BYOD) is OK, you can do it, but it means that you need more security layers," Horowitz tells Dark Reading.

And most important of all: "Check your orders on Amazon before you open them," Wiley quipped.

Source: darkreading.com

Ứng dụng ví Fake Leather trên Apple App Store là một công cụ hút tiền điện tử

Thu, 14 Mar 2024 05:00:00 GMT

Các nhà phát hành ví tiền điện tử Leather đang cảnh báo về một ứng dụng giả mạo trên Apple App Store, với việc người dùng báo cáo rằng đó là một công cụ rút tiền ví đã đánh cắp tài sản kỹ thuật số của họ.

Công cụ rút ví là các ứng dụng hoặc tập lệnh độc hại lừa người dùng nhập cụm mật khẩu bí mật của họ hoặc thực hiện các giao dịch độc hại cho phép kẻ tấn công đánh cắp tất cả tài sản kỹ thuật số, bao gồm NFT và tiền điện tử, từ ví của người dùng.

Những kẻ rút tiền ví (còn gọi là kẻ rút tiền điện tử) ngày càng trở nên phổ biến trong năm qua, với việc các kẻ đe dọa hack các tài khoản mạng xã hội có nhiều người theo dõi để quảng cáo các trang lừa đảo chứa các trang độc hại hoặc loại bỏ quảng cáo để thu hút khách truy cập vào các trang web lừa người dùng nhập cụm từ khôi phục ví của chúng.

"Hoạt động kinh doanh" rút ví đã trở nên sinh lời đến mức các tác nhân đe dọa đã tạo ra các dịch vụ lừa đảo tiền điện tử, cho phép bất kỳ tác nhân đe dọa nào có thể tham gia vào hoạt động bất hợp pháp.

Ứng dụng Fake Leather trên Apple App Store

Tuần trước, ví Leather chính hãng đã cảnh báo cộng đồng của mình về phiên bản ví giả trên Apple App Store, đồng thời nêu rõ rằng họ vẫn chưa cung cấp ứng dụng iOS.

Nền tảng này khuyên những người đã nhập cụm mật khẩu bí mật của họ trên ứng dụng giả mạo nên chuyển ngay tiền điện tử của họ sang ví mới. Điều này là do một khi cụm mật khẩu được nhập vào ví giả mạo, nó có thể được gửi đến những kẻ đe dọa, những kẻ này có thể sử dụng nó để rút toàn bộ tài sản trong ví.

Ứng dụng này vẫn có sẵn trên App Store bất chấp cảnh báo của Leather với Apple hơn một tuần trước.

Thật không may, mọi người đã báo cáo rằng họ bị mất tiền khi nhập cụm mật khẩu vào ví Leather giả, và người dùng đã báo cáo việc mất tiền trong vài ngày qua và thậm chí cả hôm nay.

Tại thời điểm viết bài, ứng dụng độc hại này vẫn còn trên App Store, được 'LetalComRu' phát hành và sử dụng logo Leather thật.

Ứng dụng Fake Leather trên App Store (BleepingComputer)

Đáng chú ý, ứng dụng này có xếp hạng 4,9 trên 5,0, với hầu hết các đánh giá do người dùng gửi đều có vẻ giả mạo vì họ sử dụng tên ngẫu nhiên nhưng giống nhau và cấu trúc gần như giống hệt nhau.

Đánh giá tích cực của người dùng (BleepingComputer)

Vì App Store không báo cáo số lượt tải xuống nên không xác định được số lượng người đã tải xuống ứng dụng rút tiền điện tử này.

BleepingComputer đã liên hệ với Apple về sự hiện diện của ứng dụng rút ví trên App Store, nhưng chưa có phản hồi thông tin.

Mặc dù Apple nổi tiếng với việc duy trì các tiêu chuẩn bảo mật và chất lượng cao trên App Store nhưng những kẻ lừa đảo đã tìm ra cách để vượt qua các bước kiểm tra quan trọng.

Vào đầu tháng 2 năm 2024, một ứng dụng giả mạo có tên 'LassPass', bắt chước ứng dụng quản lý mật khẩu phổ biến LastPass, đã được phát hành trên App Store.

LastPass đã báo cáo ứng dụng gian lận cho Apple thông qua quy trình được đề xuất và ứng dụng này đã bị xóa khỏi App Store vài giờ sau khi chúng tôi phát hành vì vi phạm nguyên tắc đối với các ứng dụng bắt chước.

Trong trường hợp của Leather, ứng dụng giả mạo không giả mạo một ứng dụng khác mà thay vào đó lợi dụng việc không tồn tại của ứng dụng iOS trên nền tảng quản lý ví thật.

Điều này vẫn là sự tranh chấp về tính năng, vì tài sản trí tuệ của Leather được sử dụng để quảng cáo trình drainer, nhưng cho đến khi ứng dụng bị xóa, người dùng nên thận trọng.

Cuối cùng, đây là một lời nhắc nhở hữu ích về lý do tại sao việc điều hướng đến các ứng dụng trên App Store sẽ an toàn hơn bằng cách sử dụng các liên kết từ các trang web chính thức của các dự án này, miễn là tính xác thực của các trang web đó được xác nhận lần đầu tiên. Trong trường hợp này, trang web Leather thật nằm trên Leather.io.

Nguồn: bleepingcomputer.com

Switzerland: Play ransomware leaked 65,000 government documents

Thu, 14 Mar 2024 00:00:00 GMT

The National Cyber Security Centre (NCSC) of Switzerland has released a report on its analysis of a data breach following a ransomware attack on Xplain, disclosing that the incident impacted thousands of sensitive Federal government files.

Xplain is a Swiss technology and software solutions provider for various government departments, administrative units, and even the country's military force. The Play ransomware gang breached the company on May 23, 2023.

At the time, the threat actor claimed to have stolen documents containing confidential information, and in early June 2023, it followed through on its threats and published the stolen data on its darknet portal.

The Swiss government started investigating the leaked files and instantly admitted that the leaked data might contain documents belonging to the Federal Administration of Switzerland.

In a new statement published on March 3, the Swiss government confirmed that 65,000 government documents were leaked in the breach:

Out of approximately 1.3 million files published by Play ransomware, about 5% (65,000 documents) are relevant to the Federal Administration.
Most (95%) of those files impact the administrative units of the Federal Department of Justice and Police (FDJP): the Federal Office of Justice, the Federal Office of Police, the State Secretariat for Migration, and the internal IT service center ISC-FDJP.
The Federal Department of Defence, Civil Protection and Sport (DDPS) were minorly affected, accounting for just over 3% of that data.
Around 5,000 documents contained sensitive information, including personal data (names, email addresses, telephone numbers, and addresses), technical details, classified information, and account passwords.
A small set of a few hundred files contained IT system documentation, software or architectural data, and passwords.

The announcement says the administrative investigation, launched on August 23, 2023, is set to be completed by the end of this month, and the full results and cybersecurity recommendations will be shared with the Federal Council.

The investigation's extensive duration is attributed to the complexity of analyzing unstructured data and the large volume of the leaked data, which required significant time and resources to triage documents relevant to the Federal Administration.

Also, analyzing the leaked data for evidence is legally complicated, as confidential information requires inter-agency coordination and participation, inevitably prolonging the process.

Source: bleepingcomputer.com

Thụy Sĩ: Play ransomware rò rỉ 65.000 tài liệu chính phủ

Wed, 13 Mar 2024 05:00:00 GMT

Trung tâm An ninh Mạng Quốc gia (NCSC) của Thụy Sĩ đã đưa ra một thông báo về phân tích vi phạm dữ liệu sau cuộc tấn công bằng ransomware vào Xplain, tiết lộ rằng vụ việc đã ảnh hưởng đến hàng nghìn tệp nhạy cảm của chính phủ Liên bang.

Xplain là nhà cung cấp giải pháp phần mềm và công nghệ của Thụy Sĩ cho nhiều cơ quan chính phủ, đơn vị hành chính và thậm chí cả lực lượng quân sự của đất nước. Nhóm ransomware Play đã xâm nhập công ty vào ngày 23 tháng 5 năm 2023.

Vào thời điểm đó, kẻ đe dọa tuyên bố đã đánh cắp tài liệu chứa thông tin bí mật và vào đầu tháng 6 năm 2023, kẻ tấn công đã thực hiện các mối đe dọa của mình và công bố dữ liệu bị đánh cắp trên cổng darknet của mình.

Chính phủ Thụy Sĩ bắt đầu điều tra các tập tin bị rò rỉ và ngay lập tức thừa nhận rằng dữ liệu bị rò rỉ có thể chứa các tài liệu thuộc Cơ quan Quản lý Liên bang Thụy Sĩ.

Trong một thông báo mới được công bố ngày 7 tháng 3, chính phủ Thụy Sĩ xác nhận rằng 65.000 tài liệu của chính phủ đã bị rò rỉ do vụ tấn công:

Trong số khoảng 1,3 triệu tệp do phần mềm tống tiền Play phát hành, khoảng 5% (65.000 tài liệu) có liên quan đến Cơ quan Quản lý Liên bang.
Hầu hết (95%) các hồ sơ đó ảnh hưởng đến các đơn vị hành chính của Bộ Tư pháp và Cảnh sát Liên bang (FDJP): Văn phòng Tư pháp Liên bang, Văn phòng Cảnh sát Liên bang, Ban Thư ký Di cư Tiểu bang và trung tâm dịch vụ CNTT nội bộ ISC- FDJP.
Bộ Quốc phòng, Bảo vệ Dân sự và Thể thao Liên bang (DDPS) bị ảnh hưởng nhẹ, chỉ chiếm hơn 3% dữ liệu đó.
Khoảng 5.000 tài liệu chứa thông tin nhạy cảm, bao gồm dữ liệu cá nhân (tên, địa chỉ email, số điện thoại và địa chỉ), chi tiết kỹ thuật, thông tin mật và mật khẩu tài khoản.
Một tập hợp nhỏ gồm vài trăm tệp chứa tài liệu hệ thống CNTT, phần mềm hoặc dữ liệu kiến trúc và mật khẩu.

Thông báo cho biết cuộc điều tra hành chính, được khởi động vào ngày 23 tháng 8 năm 2023, dự kiến sẽ hoàn thành vào cuối tháng này và kết quả đầy đủ cũng như các khuyến nghị về an ninh mạng sẽ được chia sẻ với Hội đồng Liên bang.

Cuộc điều tra kéo dài là do sự phức tạp của việc phân tích dữ liệu phi cấu trúc và khối lượng lớn dữ liệu bị rò rỉ, đòi hỏi thời gian và nguồn lực đáng kể để phân loại các tài liệu liên quan đến Cơ quan Quản lý Liên bang.

Ngoài ra, việc phân tích dữ liệu bị rò rỉ để tìm bằng chứng rất phức tạp về mặt pháp lý, vì thông tin bí mật đòi hỏi sự phối hợp và tham gia của các cơ quan, chắc chắn sẽ kéo dài quá trình.

Nguồn: bleepingcomputer.com

PetSmart warns of credential stuffing attacks trying to hack accounts

Wed, 13 Mar 2024 00:00:00 GMT

Pet retail giant PetSmart is warning some customers their passwords were reset due to an ongoing credential stuffing attack attempting to breach accounts.

PetSmart is the largest retailer in the US, focusing on pets and associated products, with over 60 million customers and 1,600 stores nationwide.

In new email notifications sent to PetSmart customers first seen by DarkWebInformer, the company warns that customers are being targeted by credential stuffing attacks used to gain access to their accounts.

PetSmart reset passwords for any accounts logged in during the credential stuffing attacks to be safe as they could not determine if the logged in user was the account owner or the hackers.

"We want to assure you that there is no indication that petsmart.com or any of our systems have been compromised," reads the PetSmart email alert.

"Instead, our security tools saw an increase in password guessing attacks on petsmart.com, and during this time your account was logged into. While the log in may have been valid, we wanted you to know."

"In an abundance of caution to protect you and your account, we have inactivated your password petsmart.com. The next time you visit petsmart.com, simply click the "forgot password" link to reset your password."

PetSmart email about credential stuffing attack

Source: DarkWebInformer

A credential stuffing attack is when threat actors collect login credentials exposed in data breaches and then use those credentials to try to log into other sites.

Once a threat successfully breaches an account, they are used for malicious behavior, including making fraudulent purchases, sending spam, or launching other attacks.

More commonly, the threat actors sell the breached accounts to others, who use them to make purchases, cash in rewards points, or steal money.

Other companies hit in the past with credential stuffing attacks include PayPal, Spotify, Xfinity, and Chick-fil-A, and with more damaging losses, FanDuel and DraftKings.

In May 2023, an 18-year-old was charged with hacking 60,000 DraftKings betting accounts and selling them on a stolen account marketplace called the Goat Shop.

While DraftKings initially stated only $300,000 was stolen via the attacks, the Department of Justice later revealed that $600,000 was stolen from 1,600 compromised accounts.

Source: bleepingcomputer.com

PetSmart cảnh báo các cuộc tấn công credential stuffing đang cố gắng hack tài khoản

Tue, 12 Mar 2024 05:00:00 GMT

Công ty bán lẻ thú cưng khổng lồ PetSmart đang cảnh báo một số khách hàng rằng mật khẩu của họ đã được đặt lại do một cuộc tấn công credential stuffing đang diễn ra nhằm cố gắng xâm phạm tài khoản.

PetSmart là nhà bán lẻ lớn nhất ở Mỹ, tập trung vào thú cưng và các sản phẩm liên quan, với hơn 60 triệu khách hàng và 1.600 cửa hàng trên toàn quốc.

Trong thông báo email mới được gửi tới khách hàng PetSmart lần đầu tiên được DarkWebInformer nhìn thấy, công ty cảnh báo rằng khách hàng đang bị nhắm mục tiêu bởi các cuộc tấn công credential stuffing được sử dụng để giành quyền truy cập vào tài khoản của họ.

PetSmart đặt lại mật khẩu cho bất kỳ tài khoản nào đã đăng nhập trong các cuộc tấn công credential stuffing để đảm bảo an toàn vì chúng không thể xác định xem người dùng đã đăng nhập là chủ tài khoản hay tin tặc.

Cảnh báo qua email của PetSmart cho biết: “Chúng tôi muốn đảm bảo với bạn rằng không có dấu hiệu nào cho thấy petsmart.com hoặc bất kỳ hệ thống nào của chúng tôi đã bị xâm phạm”.

"Thay vào đó, các công cụ bảo mật của chúng tôi nhận thấy các cuộc tấn công đoán mật khẩu trên petsmart.com ngày càng gia tăng và trong thời gian này, tài khoản của bạn đã được đăng nhập. Mặc dù thông tin đăng nhập có thể hợp lệ nhưng chúng tôi muốn bạn biết."

"Để bảo vệ bạn và tài khoản của bạn, chúng tôi đã vô hiệu hóa mật khẩu petsmart.com của bạn. Lần tiếp theo bạn truy cập petsmart.com, chỉ cần nhấp vào liên kết "quên mật khẩu" để đặt lại mật khẩu của bạn."

Email PetSmart về cuộc tấn công credential stuffing

Nguồn: DarkWebInformer

Một cuộc tấn công credential stuffing là khi các tác nhân đe dọa thu thập thông tin đăng nhập bị lộ trong các vụ vi phạm dữ liệu và sau đó sử dụng những thông tin xác thực đó để cố gắng đăng nhập vào các trang web khác.

Sau khi mối đe dọa xâm nhập thành công một tài khoản, chúng sẽ được sử dụng cho hành vi nguy hiểm, bao gồm thực hiện các giao dịch mua hàng gian lận, gửi thư rác hoặc thực hiện các cuộc tấn công khác.

Thông thường hơn, những kẻ đe dọa bán tài khoản bị vi phạm cho người khác, những người sử dụng chúng để mua hàng, lấy điểm thưởng hoặc đánh cắp tiền.

Các công ty khác trước đây từng bị tấn công bằng các cuộc tấn công credential stuffing bao gồm PayPal, Spotify, Xfinity và Chick-fil-A, cùng với những tổn thất nặng nề hơn là FanDuel và DraftKings.

Vào tháng 5 năm 2023, một thanh niên 18 tuổi bị buộc tội hack 60.000 tài khoản cá cược DraftKings và bán chúng trên một chợ tài khoản bị đánh cắp có tên là Goat Shop.

Trong khi DraftKings ban đầu tuyên bố chỉ có 300.000 USD bị đánh cắp thông qua các cuộc tấn công, Bộ Tư pháp sau đó tiết lộ rằng 600.000 USD đã bị đánh cắp từ 1.600 tài khoản bị xâm nhập.

Nguồn: bleepingcomputer.com

Hacked WordPress sites use visitors' browsers to hack other sites

Tue, 12 Mar 2024 00:00:00 GMT

Hackers are conducting widescale attacks on WordPress sites to inject scripts that force visitors' browsers to bruteforce passwords for other sites.

The campaign was first spotted by website cybersecurity firm Sucuri, which has been tracking a threat actor known for breaching sites to inject crypto wallet drainer scripts.

Crypto wallet drainers are malicious scripts that steal all cryptocurrency and assets when someone connects their wallet.

When people visit these compromised sites, the scripts display misleading messages to convince users to connect their wallets to the site. However, once they do so, the scripts steal all the contained assets.

These scripts have become very common over the past year, with threat actors creating fake Web3 sites with wallet drainers. They then hack X accounts, create YouTube videos, or take out Google and X advertisements to promote the sites and steal visitor's cryptocurrency.

Sucuri researchers reported that the threat actors were breaching compromised WordPress sites to inject the AngelDrainer wallet drainer in multiple waves from multiple URLs, the last being 'dynamiclink[.]lol/cachingjs/turboturbo.js.'

In late February, the threat actor switched from wallet draining to hijacking visitors' browsers to bruteforce other WordPress sites. using a malicious script from a newly registered domain 'dynamic-linx[.]com/chx.js'.

Building a bruteforce army

According to a new report from Sucuri, the threat actor is using compromised WordPress sites to load scripts that force visitors' browsers to conduct bruteforce attacks for account credentials on other websites.

A bruteforce attack is when a threat actor attempts to log in to an account using different passwords to guess the correct one. With the credentials, the threat actor can steal data, inject malicious scripts, or encrypt files on the site.

As part of this hacking campaign, the threat actors compromise a WordPress site to inject malicious code into the HTML templates. When visitors access the website, the scripts are loaded in their browser from https://dynamic-linx[.]com/chx.js.

These scripts will cause the browser to quietly contact the threat actors' server at 'https://dynamic-linx[.]com/getTask.php' to receive a password bruteforcing task.

This task comes in the form of a JSON file containing the parameters for the bruteforce attack: an ID, the website URL, account name, a number denoting the current batch of passwords to go through, and one hundred passwords to try.

Example bruteforce JSON task

Source: BleepingComputer

Once the task is received, the script will cause the visitor's browser to quietly upload a file using the WordPress site's XMLRPC interface using the account name and passwords in the JSON data.

If a password is accurate, the script will notify the threat actor's server that a password was found for the site. The hacker can then connect to the site to retrieve the uploaded file containing the base64 encoded username and password pair.

Script causing browser to bruteforce a website's credentials

Source: BleepingComputer

As long as the page remains open, the malicious script will cause the web browser to repeatedly connect back to the attacker's server and retrieve a new task to execute.

According to the HTML source code search engine PublicHTML, there are currently over 1,700 sites hacked with these scripts or their loaders, providing a massive pool of users who will be unwittingly conscripted into this distributed bruteforce army.

CronUp researcher Germán Fernández found that the website of Ecuador's Association of Private Banks was compromised in this campaign, acting as a watering hole for unsuspecting visitors.

It is unclear why the threat actors switched from injecting crypto wallet drainers to bruteforcing other sites. However, Sucuri believes it is to build a more extensive portfolio of sites from which to launch further attacks at a larger scale, such as crypto-draining attacks.

"Most likely, they realized that at their scale of infection (~1000 compromised sites) the crypto drainers are not very profitable yet," concluded Sucuri researcher Denis Sinegubko.

"Moreover, they draw too much attention and their domains get blocked pretty quickly. So, it appears reasonable to switch the payload with something stealthier, that at the same time can help increase their portfolio of compromised sites for future waves of infections that they will be able to monetize in one way or another."

Source: bleepingcomputer.com

Các trang web WordPress bị tấn công sử dụng trình duyệt của khách truy cập để hack các trang web khác

Mon, 11 Mar 2024 05:00:01 GMT

Tin tặc đang tiến hành các cuộc tấn công quy mô lớn vào các trang web WordPress để chèn các tập lệnh buộc trình duyệt của khách truy cập đặt mật khẩu bruteforce cho các trang web khác.

Chiến dịch này lần đầu tiên công ty an ninh mạng trang web Sucuri được phát hiện, công ty đang theo dõi một tác nhân đe dọa được biết đến với việc vi phạm các trang web để chèn các tập lệnh rút tiền điện tử.

Trình rút tiền điện tử là các tập lệnh độc hại đánh cắp tất cả tiền điện tử và tài sản khi ai đó kết nối ví của họ.

Khi mọi người truy cập các trang web bị xâm nhập này, các tập lệnh sẽ hiển thị thông báo sai lệch để thuyết phục người dùng kết nối ví của họ với trang web. Tuy nhiên, một khi họ làm như vậy, các tập lệnh sẽ đánh cắp tất cả nội dung có trong đó.

Những tập lệnh này đã trở nên rất phổ biến trong năm qua, với việc các tác nhân đe dọa tạo ra các trang web Web3 giả mạo bằng công cụ rút tiền. Sau đó, họ hack tài khoản X, tạo video YouTube hoặc lấy quảng cáo của Google và X để quảng bá trang web và đánh cắp tiền điện tử của khách truy cập.

Các nhà nghiên cứu của Sucuri đã báo cáo rằng các tác nhân đe dọa đã xâm nhập vào các trang web WordPress bị xâm nhập để đưa công cụ rút ví AngelDrainer vào nhiều đợt từ nhiều URL, đợt cuối cùng là 'dynamiclink[.]lol/cachingjs/turboturbo.js.'

Vào cuối tháng 2, kẻ đe dọa đã chuyển từ việc rút ví sang chiếm quyền điều khiển trình duyệt của khách truy cập để tấn công các trang web WordPress khác bằng cách sử dụng tập lệnh độc hại từ miền mới đăng ký 'dynamic-linx[.]com/chx.js''.

Xây dựng đội quân tàn bạo

Theo một báo cáo mới từ Sucuri, kẻ đe dọa đang sử dụng các trang web WordPress bị xâm nhập để tải các tập lệnh buộc trình duyệt của khách truy cập tiến hành các cuộc tấn công bruteforce để lấy thông tin đăng nhập tài khoản trên các trang web khác.

Cuộc tấn công bruteforce là khi kẻ đe dọa cố gắng đăng nhập vào tài khoản bằng các mật khẩu khác nhau để đoán đúng. Với thông tin xác thực, kẻ đe dọa có thể đánh cắp dữ liệu, tiêm các tập lệnh độc hại hoặc mã hóa các tệp trên trang web.

Trong chiến dịch hack này, những kẻ đe dọa đã xâm phạm một trang web WordPress để đưa mã độc vào các mẫu HTML. Khi khách truy cập truy cập trang web, các tập lệnh sẽ được tải trong trình duyệt của họ từ https://dynamic-linx[.]com/chx.js.

Các tập lệnh này sẽ khiến trình duyệt lặng lẽ liên hệ với máy chủ của kẻ đe dọa tại 'https://dynamic-linx[.]com/getTask.php' để nhận tác vụ bruteforce mật khẩu.

Tác vụ này xuất hiện dưới dạng tệp JSON chứa các tham số cho cuộc tấn công bruteforce: ID, URL trang web, tên tài khoản, một số biểu thị loạt mật khẩu hiện tại cần xem qua và một trăm mật khẩu cần thử.

Ví dụ về tác vụ JSON bruteforce

Nguồn: BleepingComputer

Sau khi nhận được tác vụ, tập lệnh sẽ khiến trình duyệt của khách truy cập lặng lẽ tải tệp lên bằng giao diện XMLRPC của trang WordPress bằng tên tài khoản và mật khẩu trong dữ liệu JSON.

Nếu mật khẩu chính xác, tập lệnh sẽ thông báo cho máy chủ của kẻ đe dọa rằng mật khẩu đã được tìm thấy cho trang web. Sau đó, hacker có thể kết nối với trang web để lấy tệp đã tải lên bao gồm tên người dùng và mật khẩu được mã hóa base64.

Tập lệnh khiến trình duyệt bắt buộc thông tin đăng nhập của trang web

Nguồn: BleepingComputer

Miễn là trang vẫn mở, tập lệnh độc hại sẽ khiến trình duyệt web liên tục kết nối trở lại máy chủ của kẻ tấn công và truy xuất một tác vụ mới để thực thi.

Theo công cụ tìm kiếm mã nguồn HTML PublicHTML, hiện có hơn 1.700 trang web bị tấn công bằng các tập lệnh này hoặc trình tải của chúng, cung cấp một lượng lớn người dùng sẽ vô tình bị đưa vào đội quân bạo lực phân tán này.

Nhà nghiên cứu Germán Fernández của CronUp phát hiện ra rằng trang web của Hiệp hội Ngân hàng Tư nhân Ecuador đã bị xâm phạm trong chiến dịch này, hoạt động này là tấn công watering hole làm cho nạn nhân không nghi ngờ.

Không rõ lý do tại sao các tác nhân đe dọa lại chuyển từ việc chuyển công cụ rút tiền điện tử sang tấn công bruteforce trên các trang web khác. Tuy nhiên, Sucuri tin rằng chúng sẽ xây dựng một danh mục trang web rộng lớn hơn để từ đó thực hiện các cuộc tấn công tiếp theo ở quy mô lớn hơn, chẳng hạn như các cuộc tấn công rút tiền điện tử.

Nhà nghiên cứu Denis Sinegubko của Sucuri kết luận: “Rất có thể, chúng nhận ra rằng ở quy mô infection của chúng (~ 1000 trang web bị xâm nhập), những kẻ rút tiền điện tử vẫn chưa mang lại nhiều lợi nhuận”.

“Hơn nữa, chúng thu hút quá nhiều sự chú ý và tên miền của chúng bị chặn khá nhanh. Vì vậy, việc này có vẻ hợp lý khi chuyển payload bằng thứ gì đó lén lút hơn, đồng thời có thể giúp tăng danh mục các trang web bị xâm phạm nhằm ứng phó với các làn sóng lây nhiễm trong tương lai mà chúng sẽ có thể kiếm tiền bằng cách này hay cách khác."

Nguồn: bleepingcomputer.com

Hackers impersonate U.S. government agencies in BEC attacks

Mon, 11 Mar 2024 00:00:00 GMT

A gang of hackers specialized in business email compromise (BEC) attacks and tracked as TA4903 has been impersonating various U.S. government entities to lure targets into opening malicious files carrying links to fake bidding processes.

According to Proofpoint, whose analysts have been tracking the campaign, the threat actors impersonate the U.S. Department of Transportation, the U.S. Department of Agriculture (USDA), and the U.S. Small Business Administration (SBA).

The email security company also reports that the threat actor has been active since at least 2019 but intensified its activities since mid-2023 and through 2024. The latest tactic observed is the use of QR codes in PDF document attachments.

Phony bidding call PDFs (Proofpoint)

The PDFs are themed after the spoofed organization, but follow a consistent design. Also, they all feature the same metadata, including an author name that points to Nigerian origin.

Recipients scanning the QR codes are redirected to phishing sites crafted to resemble the official portals from the impersonated U.S. government agencies.

Phishing site impersonating the USDA (Proofpoint)

Depending on the lure in the phishing message, the recipients may be redirected to O365 login pages where they are prompted to enter their credentials.

TA4903 relied in the past on ‘EvilProxy’ to bypass bypass multi-factor authentication (MFA) protection, but Proofpoint notes that the use of the reverse proxy has not been observed this year.

Based on Proofpoint’s observations over time and from tracking the account credentials the company planted on the phishing sites, TA4903's activity is purely financially motivated and includes the following tactics:

Gaining unauthorized access to corporate networks or email accounts.
Searching the compromised accounts for keywords related to banking information, payments, or merchants to find opportunities for financial fraud.
Conducting BEC attacks, such as sending fraudulent payment or invoice requests from the compromised email account to other employees or partners.

In several instances first observed in mid-2023, the threat actor used the theme of a cyberattack in attempts to trick the staff in the financial department into updating payment details.

Those messages were delivered from compromised email accounts of the target’s partner organizations, or addresses that closely resembled them.

Cyberattack themed message (Proofpoint)

TA4903 represents a significant threat to organizations globally, constantly launching large-scale email campaigns aimed at a wide range of organizations. It typically targets organizations in the U.S. with high-volume email campaigns.

According to Proofpoint, TA4903 is known to register domain names that resemble government entities and private organizations in various sectors.

However, the researchers noticed TA4903 shifting recently from spoofing U.S. government entities to impersonating small businesses, but it is unclear if the switch is temporary or a longer term change.

The complexity of their BEC attacks, which involve multiple steps, provides several opportunities for detection. Therefore, adopting a comprehensive, multi-layered security strategy is the most effective method for mitigating these threats.

Source: bleepingcomputer.com

Ukraine claims it hacked Russian Ministry of Defense servers

Sat, 09 Mar 2024 01:00:00 GMT

The Main Intelligence Directorate (GUR) of Ukraine's Ministry of Defense claims that it breached the servers of the Russian Ministry of Defense (Minoborony) and stole sensitive documents.

A press release published on March 4 on an official Ukrainian government domain describes the attack as a "special operation" carried out by GUR's cyber-specialists.

As a result of the breach, the GUR claims to have obtained sensitive documents that contain secret service information, including:

Software used by the Russian Ministry of Defense for protecting and encrypting data
An array of secret service documents from the Russian Ministry of Defense, including orders, reports, directives, and various other documents, circulated among over 2000 structural units of the ministry.
Information that allows establishing the complete structure of the system of the Minoborony and its links.
Data that helped identify senior heads of structural units of the Minoborony, as well as deputies, assistants, and specialists who used software for electronic document management called "bureaucracy."
Documents belonging to the Russian Deputy Minister of Defense, Timur Vadimovich Ivanov.

The press release notes that the particular minister, Ivanov, had a significant role in the success of the cyber attack, though any actual details on the operation are omitted.

Four screenshots showing database query results, log files, and documents outlining official procedures/guidelines have been posted as evidence of the alleged breach.

BleepingComputer has been unable to validate the authenticity of these screenshots and has contacted the Russian Ministry of Defense for a statement, but a comment wasn't immediately available.

Previously, the GUR has claimed unconfirmed breaches into the Russian Center for Space Hydrometeorology, aka "planeta" (планета), the Russian Federal Air Transport Agency, 'Rosaviatsia,' and the Russian Federal Taxation Service (FNS).

Two of these attacks allegedly involved data backups and database destruction aimed at operational disruption. In the latest case against Moniborony, no such claims have been made by the GUR.

Source:bleepingcomputer.com

Tin tặc mạo danh cơ quan chính phủ Hoa Kỳ trong các cuộc tấn công BEC

Fri, 08 Mar 2024 08:15:03 GMT

Một nhóm tin tặc thường xuyên tấn công email doanh nghiệp (BEC) và được theo dõi là TA4903 đã mạo danh nhiều cơ quan chính phủ Hoa Kỳ khác nhau để dụ mục tiêu mở các tệp độc hại mang liên kết đến quy trình đấu thầu giả mạo.

Theo Proofpoint, nhà phân tích của họ đang theo dõi chiến dịch, các tác nhân đe dọa mạo danh Bộ Giao thông Vận tải Hoa Kỳ, Bộ Nông nghiệp Hoa Kỳ (USDA) và Cơ quan Quản lý Doanh nghiệp Nhỏ Hoa Kỳ (SBA).

Công ty bảo mật email cũng báo cáo rằng tác nhân đe dọa đã hoạt động ít nhất từ năm 2019 nhưng đã tăng cường hoạt động từ giữa năm 2023 và đến năm 2024. Chiến thuật mới nhất được quan sát là sử dụng mã QR trong tệp đính kèm tài liệu PDF.

Tệp PDF cuộc gọi đấu thầu giả mạo (Proofpoint)

Các tệp PDF có nội dung theo tổ chức giả mạo nhưng tuân theo một thiết kế nhất quán. Ngoài ra, tất cả chúng đều có cùng một metadata, bao gồm tên tác giả chỉ đến nguồn gốc Nigeria.

Người nhận quét mã QR sẽ được chuyển hướng đến các trang web lừa đảo được tạo ra để giống với các cổng thông tin chính thức từ các cơ quan chính phủ Hoa Kỳ mạo danh.

Trang web lừa đảo mạo danh USDA (Proofpoint)

Tùy thuộc vào nội dung thu hút trong tin nhắn lừa đảo, người nhận có thể được chuyển hướng đến trang đăng nhập O365 nơi họ được nhắc nhập thông tin xác thực của mình.

TA4903 trước đây đã dựa vào ‘EvilProxy’ để vượt qua biện pháp bảo vệ xác thực đa yếu tố (MFA), nhưng Proofpoint lưu ý rằng việc sử dụng proxy ngược chưa được quan sát thấy trong năm nay.

Dựa trên thời gian quan sát của Proofpoint và từ việc theo dõi thông tin xác thực tài khoản mà công ty đã cài đặt trên các trang lừa đảo, hoạt động của TA4903 hoàn toàn có động cơ tài chính và bao gồm các chiến thuật sau:

Giành được quyền truy cập trái phép vào mạng công ty hoặc tài khoản email.
Tìm kiếm các tài khoản bị xâm nhập bằng các từ khóa liên quan đến thông tin ngân hàng, thanh toán hoặc người bán để tìm cơ hội gian lận tài chính.
Tiến hành các cuộc tấn công BEC, chẳng hạn như gửi yêu cầu thanh toán hoặc hóa đơn gian lận từ tài khoản email bị xâm nhập tới các nhân viên hoặc đối tác khác.

Trong một số trường hợp được quan sát lần đầu tiên vào giữa năm 2023, kẻ đe dọa đã sử dụng chủ đề tấn công mạng nhằm lừa nhân viên trong bộ phận tài chính cập nhật thông tin thanh toán.

Những tin nhắn đó được gửi từ các tài khoản email bị xâm nhập của các tổ chức đối tác của mục tiêu hoặc các địa chỉ gần giống với chúng.

Tin nhắn trong các tấn công mạng (Proofpoint)

TA4903 đại diện cho mối đe dọa đáng kể đối với các tổ chức trên toàn cầu, liên tục tung ra các chiến dịch email quy mô lớn nhằm vào nhiều tổ chức. Nó thường nhắm mục tiêu vào các tổ chức ở Hoa Kỳ bằng các chiến dịch email có số lượng lớn.

Theo Proofpoint, TA4903 được biết là đăng ký các tên miền giống với các tổ chức chính phủ và tổ chức tư nhân trong nhiều lĩnh vực khác nhau.

Tuy nhiên, các nhà nghiên cứu nhận thấy TA4903 gần đây đang chuyển từ giả mạo các tổ chức chính phủ Hoa Kỳ sang mạo danh các doanh nghiệp nhỏ, nhưng không rõ liệu việc chuyển đổi này là tạm thời hay dài hạn hơn.

Sự phức tạp của các cuộc tấn công BEC của chúng bao gồm nhiều bước đã tạo điều kiện để phát hiện chúng. Do đó, áp dụng chiến lược bảo mật toàn diện, đa lớp là phương pháp hiệu quả nhất để giảm thiểu các mối đe dọa này.

Nguồn: bleepingcomputer.com

Ukraine tuyên bố đã tấn công máy chủ Bộ Quốc phòng Nga

Fri, 08 Mar 2024 05:00:02 GMT

Tổng cục Tình báo Chính (GUR) của Bộ Quốc phòng Ukraine tuyên bố rằng họ đã xâm nhập vào máy chủ của Bộ Quốc phòng Nga (Minoborony) và đánh cắp các tài liệu nhạy cảm.

Một thông cáo báo chí được công bố ngày 4 tháng 3 trên một miền chính thức của chính phủ Ukraine mô tả cuộc tấn công là một "hoạt động đặc biệt" được các chuyên gia mạng của GUR thực hiện.

GUR tuyên bố đã lấy được các tài liệu nhạy cảm có chứa thông tin dịch vụ bí mật, bao gồm:

Phần mềm được Bộ Quốc phòng Nga sử dụng để bảo vệ và mã hóa dữ liệu
Một loạt tài liệu mật của Bộ Quốc phòng Nga, bao gồm các mệnh lệnh, báo cáo, chỉ thị và nhiều tài liệu khác, được lưu hành trong hơn 2000 đơn vị cơ cấu của Bộ.
Thông tin cho phép thiết lập cấu trúc hoàn chỉnh của hệ thống Minoborony và các liên kết của nó.
Dữ liệu giúp xác định những người đứng đầu cấp cao của các đơn vị cơ cấu của Minoborony, cũng như các cấp phó, trợ lý và chuyên gia đã sử dụng phần mềm quản lý tài liệu điện tử được gọi là "bộ máy quan liêu".
Tài liệu của Thứ trưởng Bộ Quốc phòng Nga Timur Vadimovich Ivanov.

Thông cáo báo chí lưu ý rằng Bộ trưởng cụ thể, Ivanov, có vai trò quan trọng trong sự thành công của cuộc tấn công mạng, mặc dù mọi chi tiết thực tế về hoạt động này đều bị bỏ qua.

Bốn ảnh chụp màn hình hiển thị kết quả truy vấn cơ sở dữ liệu, tệp nhật ký và tài liệu phác thảo các thủ tục/hướng dẫn chính thức đã được đăng làm bằng chứng về hành vi vi phạm bị cáo buộc.

BleepingComputer không thể xác thực tính xác thực của những ảnh chụp màn hình này và đã liên hệ với Bộ Quốc phòng Nga để đưa ra tuyên bố, nhưng chưa có phản hồi ngay lập tức.

Trước đây, GUR đã tuyên bố có những vi phạm chưa được xác nhận đối với Trung tâm Khí tượng Thủy văn Vũ trụ Nga, hay còn gọi là "planeta" (планета), Cơ quan Vận tải Hàng không Liên bang Nga, 'Rosaviatsia' và Cơ quan Thuế Liên bang Nga (FNS).

Hai trong số các cuộc tấn công này được cho là liên quan đến việc sao lưu dữ liệu và phá hủy cơ sở dữ liệu nhằm làm gián đoạn hoạt động. Trong trường hợp mới nhất chống lại Moniborony, GUR không đưa ra tuyên bố nào như vậy.

Nguồn: bleepingcomputer.com

North Korea hacks two South Korean chip firms to steal engineering data

Fri, 08 Mar 2024 00:00:00 GMT

The National Intelligence Service (NIS) in South Korea warns that North Korean hackers target domestic semiconductor manufacturers in cyber espionage attacks.

NIS says these attacks increased in the second half of 2023 until recently, targeting internet-exposed servers vulnerable to known flaws for initial access to corporate networks.

Once the network was breached, the threat actors stole data from servers holding sensitive documents and data.

In the cases observed by the NIS, the North Korean adversaries used "living off the land" tactics, which entails abusing legitimate software tools for malicious purposes to evade detection by security products.

The NIS mentions at least two cyberattacks on separate entities, occurring in December 2023 and February 2024, where the company's configuration management and security policy servers were hacked.

This reportedly resulted in the compromise of product design drawings and facility site photos, among other sensitive data.

The two victims aren't named in the report, but it is worth noting that South Korea is home to two leading chipmakers, Samsung Electronics and SK Hynix, who develop and produce a wide range of processor, system-on-chips, and DRAM, and NAND flash products.

According to the US Department of Commerce, Samsung Electronics and SK Hynix are responsible for 73 percent of the global DRAM market share and 51 percent of the NAND flash market.

The two firms play critical roles in the global semiconductor supply chain, providing chips for a wide array of notable firms across various industries globally, including Apple, Google, Microsoft, Amazon, Sony, Dell, and many automotive and consumer electronic makers.

NIS reckons that these cyberattacks are aimed at collecting valuable technical information that the North Korean regime could use to develop its own chip-making program and cover military equipment needs.

"In relation to this hacking trend, the National Intelligence Service believes that North Korea may have started to prepare for its own semiconductor production due to difficulties in obtaining semiconductors because of sanctions, which affect the development of weapons such as satellites and missiles." - NIS.

The intel org says it notified the domestic victims of the cyberattacks and provided recommendations on detecting and stopping them.

An NIS official also highlighted the importance of applying security updates and strict access controls on internet-exposed servers, as well as consistently applying and updating robust authentication processes for administrators to prevent unauthorized access via hijacked privileged accounts.

North Korean hackers have a long history of targeting South Korea in cyber espionage attacks to steal data that could further their own domestic programs or agendas.

These activities have led the US government to sanction the DPRK hacking group known as 'Kimsuky,' who have been linked to a wide variety of attacks, including the the breach of South Korea's Korea Atomic Energy Research Institute.

Source: bleepingcomputer.com

Triều Tiên hack hai công ty chip Hàn Quốc để đánh cắp dữ liệu kỹ thuật

Thu, 07 Mar 2024 05:00:00 GMT

Cơ quan Tình báo Quốc gia (NIS) tại Hàn Quốc cảnh báo rằng tin tặc Triều Tiên nhắm mục tiêu vào các nhà sản xuất chất bán dẫn trong nước trong các cuộc tấn công gián điệp mạng.

NIS cho biết các cuộc tấn công này đã gia tăng trong nửa cuối năm 2023 cho đến gần đây, nhắm mục tiêu vào các máy chủ tiếp xúc với Internet, dễ mắc các lỗ hổng đã biết để truy cập lần đầu vào mạng công ty.

Sau khi mạng bị xâm phạm, kẻ tấn công đã đánh cắp dữ liệu từ các máy chủ chứa tài liệu và dữ liệu nhạy cảm.

Trong các trường hợp được NIS quan sát, đối thủ Triều Tiên đã sử dụng chiến thuật "Living off the land", bao gồm việc lạm dụng các công cụ phần mềm hợp pháp cho mục đích xấu nhằm trốn tránh sự phát hiện của các sản phẩm bảo mật.

NIS đề cập đến ít nhất hai cuộc tấn công mạng vào các thực thể riêng biệt, xảy ra vào tháng 12 năm 2023 và tháng 2 năm 2024, trong đó máy chủ chính sách bảo mật và quản lý cấu hình của công ty đã bị tấn công.

Điều này được cho là đã dẫn đến việc xâm phạm bản vẽ thiết kế sản phẩm và hình ảnh địa điểm cơ sở, cùng với các dữ liệu nhạy cảm khác.

Hai nạn nhân không được nêu tên trong báo cáo, nhưng điều đáng chú ý là Hàn Quốc là quê hương của hai nhà sản xuất chip hàng đầu là Samsung Electronics và SK Hynix, những công ty phát triển và sản xuất nhiều loại bộ xử lý, hệ thống trên chip và DRAM và các sản phẩm flash NAND.

Theo Bộ Thương mại Hoa Kỳ, Samsung Electronics và SK Hynix chịu trách nhiệm về 73% thị phần DRAM toàn cầu và 51% thị trường flash NAND.

Hai công ty này đóng vai trò quan trọng trong chuỗi cung ứng bán dẫn toàn cầu, cung cấp chip cho nhiều công ty đáng chú ý trong nhiều ngành công nghiệp khác nhau trên toàn cầu, bao gồm Apple, Google, Microsoft, Amazon, Sony, Dell và nhiều nhà sản xuất ô tô và điện tử tiêu dùng.

NIS cho rằng những cuộc tấn công mạng này nhằm mục đích thu thập thông tin kỹ thuật có giá trị mà chính quyền Triều Tiên có thể sử dụng để phát triển chương trình sản xuất chip của riêng mình và đáp ứng nhu cầu thiết bị quân sự.

"Liên quan đến xu hướng hack này, Cơ quan Tình báo Quốc gia tin rằng Triều Tiên có thể đã bắt đầu chuẩn bị cho việc sản xuất chất bán dẫn của riêng mình do gặp khó khăn trong việc thu mua chất bán dẫn do các lệnh trừng phạt ảnh hưởng đến việc phát triển vũ khí như vệ tinh và tên lửa." - NIS cho biết.

Tổ chức intel cho biết họ đã thông báo cho các nạn nhân trong nước về các cuộc tấn công mạng và đưa ra khuyến nghị về cách phát hiện và ngăn chặn chúng.

Một quan chức của NIS cũng nhấn mạnh tầm quan trọng của việc áp dụng các bản cập nhật bảo mật và kiểm soát truy cập nghiêm ngặt trên các máy chủ có kết nối internet, cũng như áp dụng và cập nhật nhất quán các quy trình xác thực mạnh mẽ cho quản trị viên để ngăn chặn truy cập trái phép thông qua các tài khoản đặc quyền bị chiếm đoạt.

Tin tặc Triều Tiên có lịch sử lâu dài trong việc nhắm mục tiêu vào Hàn Quốc trong các cuộc tấn công gián điệp mạng nhằm đánh cắp dữ liệu có thể thúc đẩy các chương trình hoặc chương trình nghị sự trong nước của họ.

Những hoạt động này đã khiến chính phủ Hoa Kỳ trừng phạt nhóm hack DPRK được gọi là 'Kimsuky', nhóm có liên quan đến nhiều cuộc tấn công khác nhau, bao gồm cả vụ vi phạm Viện Nghiên cứu Năng lượng Nguyên tử Hàn Quốc.

Nguồn: bleepingcomputer.com

American Express credit cards exposed in third-party data breach

Thu, 07 Mar 2024 00:00:00 GMT

American Express is warning customers that credit cards were exposed in a third-party data breach after a merchant processor was hacked.

3/4/24: Article updated with further clarification from American Express that it was a merchant processor who was hacked, not one of their service providers.

This incident was not caused by a data breach at American Express, but rather at a merchant processor in which American Express Card member data was processed.

In a data breach notification filed with the state of Massachusetts under "American Express Travel Related Services Company," the company warned customers their credit cards may have been stolen.

"We became aware that a third party service provider engaged by numerous merchants experienced unauthorized access to its system," explains the data breach notification.

"Account information of some of our Card Members, including some of your account information, may have been involved. It is important to note that American Express owned or controlled systems were not compromised by this incident, and we are providing this notice to you as a precautionary measure."

The breach has led to customers' American Express Card account numbers, names, and card expiration data being accessed by the hackers.

It is unclear how many customers were impacted, what merchant processor was breached, and when the attack occurred.

When BleepingComputer asked American Express for more information about the breach, we were told that they do not disclose details of their business relationships and merchant partners and had no further information to share at this time.

However, American Express did say that they have notified the required regulatory authorities and are alerting impacted customers.

"When we learn about a data security incident that impacts our customers, we promptly begin an investigation and notify the appropriate regulatory authorities, as required," American Express told BleepingComputer.

"We also work to identify impacted customers and understand the specific impacts, and then notify them as required by applicable laws and regulations.

Furthermore, if a cardmember's credit card is used to make fraudulent purchases, American Express told BleepingComputer that customers would not be responsible for the charges.

American Express advises customers to review their account statement over the next 12 to 24 months and report any suspicious behavior.

The company also suggests customers enable instant notifications via the American Express mobile app to receive notifications about fraud alerts and when purchases are made.

Finally, if your card information was stolen, you may want to consider requesting a new card number, as it is common for threat actors to sell stolen credit cards on cybercrime marketplaces.

Source: bleepingcomputer.com

Thẻ tín dụng American Express bị lộ trong vụ tấn công dữ liệu của bên thứ ba

Wed, 06 Mar 2024 05:00:00 GMT

American Express cảnh báo khách hàng rằng thẻ tín dụng đã bị lộ do tấn công dữ liệu của bên thứ ba sau khi bộ xử lý thương mại bị hack.

Ngày 4/3/24: Bài báo được cập nhật với sự làm rõ thêm từ American Express rằng đó là một bộ xử lý thương mại đã bị tấn công chứ không phải một trong những nhà cung cấp dịch vụ của họ.

Sự cố này không phải do vi phạm dữ liệu tại American Express mà là do một bộ xử lý thanh toán trong đó dữ liệu thành viên Thẻ American Express được xử lý.

Trong thông báo vi phạm dữ liệu được gửi tới tiểu bang Massachusetts dưới tên “Công ty dịch vụ liên quan đến du lịch American Express”, công ty đã cảnh báo khách hàng rằng thẻ tín dụng của họ có thể đã bị đánh cắp.

Thông báo vi phạm dữ liệu giải thích: “Chúng tôi biết rằng một nhà cung cấp dịch vụ bên thứ ba có sự tham gia của nhiều thương gia đã có hành vi truy cập trái phép vào hệ thống của họ”.

"Thông tin tài khoản của một số Thành viên thẻ của chúng tôi, bao gồm một số thông tin tài khoản của bạn, có thể có liên quan. Điều quan trọng cần lưu ý là các hệ thống do American Express sở hữu hoặc kiểm soát không bị xâm phạm bởi sự cố này và chúng tôi cung cấp thông báo này cho bạn với tư cách là một biện pháp phòng ngừa."

Vụ tấn công đã khiến số tài khoản, tên và dữ liệu hết hạn thẻ American Express Card của khách hàng bị tin tặc truy cập.

Không rõ có bao nhiêu khách hàng bị ảnh hưởng, bộ xử lý thương mại nào bị vi phạm và cuộc tấn công xảy ra khi nào.

Khi BleepingComputer yêu cầu American Express cung cấp thêm thông tin về vi phạm, chúng tôi được thông báo rằng họ không tiết lộ chi tiết về mối quan hệ kinh doanh cũng như đối tác thương mại của mình và không có thêm thông tin nào để chia sẻ vào thời điểm này.

Tuy nhiên, American Express cho biết họ đã thông báo cho các cơ quan quản lý cần thiết và đang cảnh báo cho những khách hàng bị ảnh hưởng.

American Express nói với BleepingComputer: “Khi chúng tôi biết về một sự cố bảo mật dữ liệu ảnh hưởng đến khách hàng của mình, chúng tôi sẽ nhanh chóng bắt đầu điều tra và thông báo cho các cơ quan quản lý phù hợp theo yêu cầu”.

"Chúng tôi cũng nỗ lực xác định những khách hàng bị ảnh hưởng và hiểu rõ những tác động cụ thể, sau đó thông báo cho họ theo yêu cầu của luật pháp và quy định hiện hành.

Hơn nữa, nếu thẻ tín dụng của chủ thẻ được sử dụng để thực hiện các giao dịch mua hàng gian lận, American Express nói với BleepingComputer rằng khách hàng sẽ không chịu trách nhiệm về các khoản phí này.

American Express khuyên khách hàng nên xem lại bảng sao kê tài khoản của mình trong vòng 12 đến 24 tháng tới và báo cáo mọi hành vi đáng ngờ.

American Express cũng đề nghị khách hàng bật thông báo tức thì qua ứng dụng di động American Express để nhận thông báo về cảnh báo gian lận và thời điểm thực hiện mua hàng.

Cuối cùng, nếu thông tin thẻ của bạn bị đánh cắp, bạn có thể cân nhắc việc yêu cầu số thẻ mới vì thông thường những kẻ đe dọa sẽ bán thẻ tín dụng bị đánh cắp trên các thị trường tội phạm mạng.

Nguồn: bleepingcomputer.com

Pharmaceutical giant Cencora says data was stolen in a cyberattack

Wed, 06 Mar 2024 00:00:00 GMT

Pharmaceutical giant Cencora says they suffered a cyberattack where threat actors stole data from corporate IT systems.

Cencora, previously known as AmerisourceBergen, specializes in pharmaceutical services, providing drug distribution and solutions for doctor's offices, pharmacies, and animal healthcare.

The Company had $262.2 billion in revenue for fiscal year 2023 and employs approximately 46,000 people.

In a Form 8-K filing with the SEC, Cencora disclosed they suffered a cyberattack that led to data theft.

"On February 21, 2024, Cencora, Inc. (the "Company"), learned that data from its information systems had been exfiltrated, some of which may contain personal information," reads the SEC filing.

Cencora says they contained the incident and are now working with law enforcement, external cybersecurity experts, and external counsel to investigate it.

Upon initial detection of the unauthorized activity, the company immediately took containment steps and commenced an investigation with the assistance of law enforcement, cybersecurity experts, and external counsel.

Cencora says they have not determined if the incident will materially impact their finances or operations.

When BleepingComputer contacted Cencora to learn more about the incident, they referred us to the statement in the SEC filing.

However, they confirmed that their cyberattack is unrelated to the Optum Change Healthcare ransomware attack that has led to significant outages in pharmaceutical billing.

"We have no reason to believe there is a connection between the incident at Change and the unauthorized activity at Cencora," Cencora told BleepingComputer in a statement.

At this time, there is no further information on who breached Cencora and no ransomware gangs have taken responsibility.

A ransomware group known as Lorenz previously claimed to have breached Cencora in February 2023 while the company was operating as AmerisourceBergen, stating that they stole data related to the Animal Health division.

Source: bleepingcomputer.com

Công ty dược phẩm Cencora cho biết dữ liệu đã bị đánh cắp trong một cuộc tấn công mạng

Tue, 05 Mar 2024 05:00:00 GMT

Công ty dược phẩm khổng lồ Cencora cho biết họ đã phải hứng chịu một cuộc tấn công mạng trong đó các tác nhân đe dọa đã đánh cắp dữ liệu từ hệ thống CNTT của công ty.

Cencora, trước đây gọi là AmerisourceBergen, chuyên về dịch vụ dược phẩm, cung cấp giải pháp và phân phối thuốc cho phòng mạch bác sĩ, chăm sóc sức khỏe động vật và hiệu quả.

Cencora có doanh thu 262,2 tỷ USD và tuyển dụng khoảng 46.000 nhân viên cho năm tài chính 2023

Trong hồ sơ Mẫu 8-K gửi cho SEC, Cencora tiết lộ rằng họ đã phải chịu một cuộc tấn công mạng dẫn đến đánh cắp dữ liệu.

Hồ sơ của SEC cho biết: “Vào ngày 21 tháng 2 năm 2024, Cencora, Inc. (“Company”), được biết rằng dữ liệu từ hệ thống thông tin của họ đã bị lọc, một số dữ liệu trong đó có thể bao gồm thông tin cá nhân”.

Cencora cho biết họ đã ngăn chặn vụ việc và hiện đang làm việc với cơ quan thực thi pháp luật, các chuyên gia an ninh mạng bên ngoài và cố vấn bên ngoài để điều tra.

Sau khi phát hiện ban đầu hoạt động trái phép, Cencora đã ngay lập tức thực hiện các bước ngăn chặn và bắt đầu điều tra với sự hỗ trợ của cơ quan thực thi pháp luật, chuyên gia an ninh mạng và cố vấn bên ngoài.

Cencora cho biết họ chưa xác định liệu vụ việc có ảnh hưởng nghiêm trọng đến tài chính hoặc hoạt động của họ hay không.

Khi BleepingComputer liên hệ với Cencora để tìm hiểu thêm về vụ việc, họ đã khuyên cho chúng tôi thông báo trong hồ sơ SEC.

Tuy nhiên, Cencora xác nhận rằng cuộc tấn công mạng của họ không liên quan đến cuộc tấn công ransomware Optum Change Healthcare đã dẫn đến sự cố ngừng hoạt động đáng kể trong thanh toán dược phẩm.

“Chúng tôi không có lý do gì để tin rằng có mối liên hệ giữa sự cố tại Change và hoạt động trái phép tại Cencora”, Cencora nói với BleepingComputer.

Tại thời điểm này, không có thêm thông tin nào về kẻ đã xâm phạm Cencora và không có nhóm ransomware nào đứng ra nhận trách nhiệm.

Một nhóm ransomware có tên Lorenz trước đây tuyên bố đã xâm nhập Cencora vào tháng 2 năm 2023 khi công ty này đang hoạt động với tên AmerisourceBergen, tuyên bố rằng họ đã đánh cắp dữ liệu liên quan đến bộ phận Thú y.

Nguồn: bleepingcomputer.com

FBI, CISA warn US hospitals of targeted BlackCat ransomware attacks

Tue, 05 Mar 2024 00:00:00 GMT

On February 27, the FBI, CISA, and the Department of Health and Human Services (HHS) warned U.S. healthcare organizations of targeted ALPHV/Blackcat ransomware attacks.

"ALPHV Blackcat affiliates have been observed primarily targeting the healthcare sector," the joint advisory cautions.

On February 27's warning follows an April 2022 FBI flash alert and another advisory issued in December 2023 detailing the BlackCat cybercrime gang's activity since it surfaced in November 2021 as a suspected rebrand of the DarkSide and BlackMatter ransomware groups.

The FBI linked BlackCat to over 60 breaches during its first four months of activity (between November 2021 and March 2022) and said the gang has raked in at least $300 million in ransoms from over 1,000 victims until September 2023.

"Since mid-December 2023, of the nearly 70 leaked victims, the healthcare sector has been the most commonly victimized," the three federal agencies warned in today's joint advisory.

"This is likely in response to the ALPHV Blackcat administrator's post encouraging its affiliates to target hospitals after operational action against the group and its infrastructure in early December 2023."

The FBI, CISA, and HHS advised critical infrastructure organizations to take necessary mitigation measures to minimize the likelihood and impact of Blackcat ransomware and data extortion incidents.

Moreover, they've urged healthcare organizations to implement cybersecurity safeguards to counteract prevalent tactics, techniques, and procedures commonly employed within the Healthcare and Public Health (HPH) sector.

BlackCat now using ScreenConnect for initial access

On February 27's advisory comes after the BlackCat ransomware operation was linked to a cyberattack on UnitedHealth Group subsidiary Optum that triggered an ongoing outage impacting Change Healthcare, the largest payment exchange platform connecting doctors, pharmacies, healthcare providers, and patients in the U.S. healthcare system.

While UnitedHealth Group VP Tyler Mason did not confirm the BlackCat link in a statement shared with BleepingComputer, he said that 90% of the 70,000+ pharmacies using the impacted platform have switched to new electronic claim processes.

Sources familiar with the investigation told BleepingComputer that Change Healthcare has been conducting Zoom calls with partners in the healthcare industry to provide updates since the attack hit its systems.

BleepingComputer learned the attack had been linked to the BlackCat ransomware group by forensic experts investigating the incident and that the threat actors breached the network using the actively exploited critical ScreenConnect auth bypass vulnerability (CVE-2024-1709).

Even though the FBI, CISA, and the HHS didn’t link on February 27’s advisory to the Change Healthcare incident, they shared indicators of compromise that confirm our reporting that the BlackCat ransomware gang is targeting vulnerable ScreenConnect servers for remote access into victim networks.

BlackCat ScreenConnect IOCs (FBI/CISA/HHS)

The FBI disrupted the BlackCat gang's operations in December by taking down its Tor negotiation and leak sites. The gang's servers were also hacked, which allowed law enforcement to create a decryptor using collected keys during a months-long intrusion.

BlackCat has since "unseized" their sites and switched to a new Tor leak site that the FBI has not yet taken down.

The U.S. State Department offers rewards of up to $10 million for details leading to the identification or location of BlackCat gang leaders and $5 million for tips on individuals linked to the group's ransomware attacks.

Source: bleepingcomputer.com

FBI, CISA cảnh báo các bệnh viện Hoa Kỳ về các cuộc tấn công ransomware BlackCat có chủ đích

Mon, 04 Mar 2024 05:00:00 GMT

Ngày 27 tháng 2, FBI, CISA và Bộ Y tế và Dịch vụ Nhân sinh (HHS) đã cảnh báo các tổ chức chăm sóc sức khỏe của Hoa Kỳ về các cuộc tấn công ransomware ALPHV/Blackcat có chủ đích.

“Các ALPHV Blackcat được quan sát chủ yếu nhắm mục tiêu vào lĩnh vực chăm sóc sức khỏe”, cố vấn chung cảnh báo.

Cảnh báo ngày 27 tháng 2 cùng với cảnh báo chớp nhoáng của FBI vào tháng 4 năm 2022 và một lời khuyên khác được đưa ra vào tháng 12 năm 2023 nêu chi tiết hoạt động của băng nhóm tội phạm mạng BlackCat kể từ khi nó nổi lên vào tháng 11 năm 2021 với tư cách là nghi phạm được đổi tên thành nhóm ransomware DarkSide và BlackMatter.

FBI đã liên kết BlackCat với hơn 60 vụ vi phạm trong 4 tháng hoạt động đầu tiên (từ tháng 11 năm 2021 đến tháng 3 năm 2022) và cho biết băng nhóm này đã thu về ít nhất 300 triệu USD tiền chuộc từ hơn 1.000 nạn nhân cho đến tháng 9 năm 2023.

Ba cơ quan liên bang cảnh báo trong bản cố vấn chung ngày 27 tháng 2: “Kể từ giữa tháng 12 năm 2023, trong số gần 70 nạn nhân bị rò rỉ, lĩnh vực chăm sóc sức khỏe là nạn nhân thường xuyên nhất”.

“Điều này có thể là để đáp lại bài đăng của quản trị viên ALPHV Blackcat khuyến khích các thành viên của chúng nhắm mục tiêu vào các bệnh viện sau hành động chống lại nhóm và cơ sở hạ tầng của nhóm vào đầu tháng 12 năm 2023.”

FBI, CISA và HHS đã khuyên các tổ chức cơ sở hạ tầng quan trọng thực hiện các biện pháp giảm thiểu cần thiết để giảm thiểu khả năng và tác động của các sự cố tống tiền và tống tiền dữ liệu Blackcat.

Hơn nữa, họ kêu gọi các tổ chức chăm sóc sức khỏe thực hiện các biện pháp bảo vệ an ninh mạng để chống lại các chiến thuật, kỹ thuật và quy trình phổ biến thường được sử dụng trong lĩnh vực Chăm sóc sức khỏe và Y tế Công cộng (HPH).

BlackCat hiện đang sử dụng ScreenConnect để truy cập lần đầu

Lời khuyên được đưa ra ngày 27 tháng 2 sau khi hoạt động ransomware BlackCat có liên quan đến một cuộc tấn công mạng vào công ty con Optum của UnitedHealth Group, gây ra tình trạng ngừng hoạt động liên tục ảnh hưởng đến Change Healthcare, nền tảng trao đổi thanh toán lớn nhất kết nối bác sĩ, nhà thuốc, nhà cung cấp dịch vụ chăm sóc sức khỏe và bệnh nhân trong hệ thống chăm sóc sức khỏe của Hoa Kỳ.

Mặc dù Phó chủ tịch Tập đoàn UnitedHealth, Tyler Mason không xác nhận liên kết BlackCat trong một thông được chia sẻ với BleepingComputer, nhưng ông nói rằng 90% trong số hơn 70.000 hiệu thuốc sử dụng nền tảng bị ảnh hưởng đã chuyển sang quy trình yêu cầu điện tử mới.

Các nguồn quen thuộc với cuộc điều tra nói với BleepingComputer rằng Change Healthcare đã thực hiện các cuộc gọi Zoom với các đối tác trong ngành chăm sóc sức khỏe để cung cấp thông tin cập nhật kể từ khi cuộc tấn công xảy ra với hệ thống của họ.

BleepingComputer biết cuộc tấn công đã được các chuyên gia pháp y điều tra vụ việc liên kết với nhóm ransomware BlackCat và các tác nhân đe dọa đã xâm nhập mạng bằng cách sử dụng lỗ hổng bỏ qua xác thực ScreenConnect quan trọng được khai thác tích cực (CVE-2024-1709).

Mặc dù FBI, CISA và HHS không liên kết lời khuyên ngày 27 tháng 2 với sự cố Change Healthcare, nhưng họ đã chia sẻ các chỉ số về việc tấn công xác nhận báo cáo rằng nhóm ransomware BlackCat đang nhắm mục tiêu vào các máy chủ ScreenConnect dễ bị tấn công để truy cập từ xa vào mạng nạn nhân.

BlackCat ScreenConnect IOC (FBI/CISA/HHS)

FBI đã làm gián đoạn hoạt động của băng nhóm BlackCat vào tháng 12 bằng cách gỡ bỏ các trang web đàm phán và rò rỉ Tor của nhóm này. Các máy chủ của băng đảng cũng bị tấn công, điều này cho phép cơ quan thực thi pháp luật tạo ra bộ giải mã bằng cách sử dụng các khóa thu thập được trong cuộc xâm nhập kéo dài hàng tháng.

BlackCat kể từ đó đã "giải phóng" các trang web của họ và chuyển sang một trang web rò rỉ Tor mới mà FBI vẫn chưa gỡ bỏ.

Bộ Ngoại giao Hoa Kỳ treo giải thưởng lên tới 10 triệu USD cho thông tin chi tiết dẫn đến việc xác định hoặc vị trí của các thủ lĩnh băng đảng BlackCat và 5 triệu USD cho lời khuyên về các cá nhân có liên quan đến các cuộc tấn công ransomware của nhóm.

Nguồn: bleepingcomputer.com

RCMP investigating cyber attack as its website remains down

Mon, 04 Mar 2024 00:00:00 GMT

The Royal Canadian Mounted Police (RCMP), Canada's national police force has disclosed that it recently faced a cyber attack targeting its networks.

The federal body has started its criminal investigation into the matter as it works to determine the scope of the security breach.

RCMP: No threat to safety and security of Canadians

According to a CBC report, RCMP's chief security officer Paul L. Brown stated that the police force is managing a "cyber event" and has cautioned employees to remain vigilant.

"The situation is evolving quickly but at this time, there is no impact on RCMP operations and no known threat to the safety and security of Canadians," said an RCMP spokesperson in a media statement.

"While a breach of this magnitude is alarming, the quick work and mitigation strategies put in place demonstrate the significant steps the RCMP has taken to detect and prevent these types of threats."

At this time, there is no evidence of foreign police and intelligence services being impacted by the cyber incident. The Office of the Privacy Commissioner (OPC) was notified of the cyberattack.

RCMP website down

BleepingComputer further observed that the RCMP website is down as of the morning of February 25 and throwing an HTTP 404 (Not Found) error message.

Requests made to www.rcmp-grc.gc.ca are being redirected to an install.php page which does not exist:

RCMP website is throwing a 404 (Not Found) error message (BleepingComputer)

Setup scripts, such as install.php are typically associated with fresh website installations, such as those using CMS products like WordPress and Drupal—the latter appearing to be in use by the RCMP, based on our preliminary assessment.

The act of a server redirecting any incoming requests to an install.php page is generally indicative of a new website that needs to be configured by its sysadmins before it can go live and begin serving content to the public. In properly configured live websites, install scripts are not and should generally not be made accessible to the public.

BleepingComputer was still able to access some pages of a separate RCMP domain, rcmp.ca, such as Individual Web Services. The rcmp.ca homepage itself, however, redirects to rcmp-grc.gc.ca, which is offline at the moment.

BleepingComputer has approached the RCMP media office to better understand whether this issue is related to the ongoing cyber incident.

Source: bleepingcomputer.com

Apple adds PQ3 quantum-resistant encryption to iMessage

Sat, 02 Mar 2024 01:00:00 GMT

Apple is adding to the iMessage instant messaging service a new post-quantum cryptographic protocol named PQ3, designed to defend encryption from quantum attacks.

iMessage is the default communication platform on iOS and macOS operating systems, with a user base of nearly one billion.

One of iMessage's key features is support for end-to-end encryption (E2EE) to ensure that the communication remains private between between the sender and the recipient even if a third-party intercepts the traffic.

Quantum computing threatens the existing encryption schemas with nearly instant cracking. Messaging apps like Signal have taken steps to strengthen their defenses by adding NIST-approved quantum-resistant algorithms that are believed will be secure for several decades into the future.

This measure protects both current communication exchange as well as interceptions that a third party may have stored over the years waiting for decryption solution - the so-called "harvest now, decrypt later" scenario.

Apple says that its new PQ3 protocol achieves protection against quantum computing threats, which the company calls Level 3 security.

"With compromise-resilient encryption and extensive defenses against even highly sophisticated quantum attacks, PQ3 is the first messaging protocol to reach what we call Level 3 security — providing protocol protections that surpass those in all other widely deployed messaging apps," reads Apple's announcement.

"To our knowledge, PQ3 has the strongest security properties of any at-scale messaging protocol in the world."

Apple's level of communication security (Apple)

Apple does not trade Elliptic Curve Cryptography (ECC) for PQ3 but instead implements a hybrid model that combines the two protocols, also adopted by Signal.

This ensures that PQ3 remains robust against existing attacks for which ECC algorithms have proven reliable, as well as against future adversaries employing quantum computing.

PQ3 integrates for its post-quantum cryptographic needs the Kyber algorithm, which is backed by the global cryptography community and recognized by NIST as a solid choice.

The new mechanism creates encryption keys for secure messaging at the start of a conversation, even if the receiver is offline, an approach known as the initial key establishment.

A significant innovation within PQ3 is its periodic post-quantum rekeying mechanism, a first of its kind for large-scale cryptographic messaging protocols.

This mechanism frequently regenerates new quantum-resistant keys, ensuring maximum security balanced with low impact on user experience.

This feature makes it possible to recover from key compromises, ensuring ongoing conversations regain their secure status by generating new encryption keys that cannot be derived from compromised past keys.

Signal's president Meredith Whittaker stated that they too considered a similar feature, but decided against implementing it until a more mature solution is devised.

Apple's introduction of the PQ3 brings high levels of communications security to a large number of people and sets an industry standard for others to follow, so it's undoubtedly a significant development.

Source: bleepingcomputer.com

Insomniac Games alerts employees hit by ransomware data breach

Fri, 01 Mar 2024 00:00:00 GMT

Sony subsidiary Insomniac Games is sending data breach notification letters to employees whose personal information was stolen and leaked online following a Rhysida ransomware attack in November.

The California-based video game developer has been part of Sony Interactive Entertainment's Worldwide Studios division (now known as PlayStation Studios) after being acquired by Sony in August 2019.

The gaming studio's most recent project is Marvel's Spider-Man 2, released for PlayStation 5, and is currently working on Marvel's Wolverine for the same platform.

In December, Sony said they were investigating the Rhysida ransomware gang's claims that they breached Insomniac Games and stole over 1.3 million files from its network.

After negotiations failed when the game studio refused to pay the $2 million ransom, Rhysida dumped 1,67 TB of documents on its dark web leak site.

"We are saddened and angered about the recent criminal cyberattack on our studio and the emotional toll it's taken on our dev team," the studio said in a statement published on Twitter after the leak.

"We are aware that the stolen data includes personal information belonging to our employees, former employees, and independent contractors."

The leaked files include many ID scans and internal documents, such as contract information and licensing agreements with Marvel and Nvidia, as well as screenshots of Insomniac Games' upcoming Wolverine game.

As claimed on Rhysida's site, the threat actors have only leaked 98% of the files they stole from the studio after selling the rest to the highest bidder.

Insomniac Games leak on Rhysida's leak site (BleepingComputer)

Now, Insomniac Games is notifying employees whose data was stolen between November 25 and November 26 and later leaked on the Rhysida ransomware group's leak site.

"As you know, we store and maintain files containing employment information, including personal information about you. Unfortunately, these files were downloaded by an unauthorized actor and released online," the breach notification letter says.

"Once Insomniac identified the downloaded files, we began analyzing the files to determine what types of personal information were affected and to whom it relates. While we worked quickly, this was a time-consuming process, and we wanted to provide you with accurate information."

Insomniac and Sony are extending the ID Watchdog services offered as part of their employee benefits package with two additional years of complimentary credit monitoring and identity restoration beyond the current enrollment period.

The company also has a dedicated call center ready to answer any questions affected employees may have about the November ransomware attack.

A Sony spokesperson was not immediately available for comment when contacted by BleepingComputer earlier on February 23 for more info on how many individuals were affected by this data breach and what personal information was leaked online.

The Rhysida ransomware-as-a-service (RaaS) operation surfaced in May 2023 and quickly gained notoriety after breaching the Chilean Army (Ejército de Chile) and the British Library.

While the U.S. Department of Health and Human Services (HHS) linked the Rhysida gang in August to multiple attacks against U.S. healthcare organizations, a joint advisory issued by CISA and the FBI warned of the group's opportunistic attacks targeting organizations across multiple industry sectors.

Source: bleepingcomputer.com

Insomniac Games cảnh báo đến những nhân viên bị tấn công dữ liệu ransomware

Thu, 29 Feb 2024 05:00:00 GMT

Công ty con Insomniac Games của Sony đang gửi thư thông báo vi phạm dữ liệu tới những nhân viên có thông tin cá nhân bị đánh cắp và rò rỉ trực tuyến sau cuộc tấn công bằng ransomware Rhysida vào tháng 11.

Nhà phát hành trò chơi điện tử có trụ sở tại California này là một phần của bộ phận Worldwide Studios của Sony Interactive Entertainment (nay là PlayStation Studios) sau khi được Sony mua lại vào tháng 8 năm 2019.

Dự án gần đây nhất của studio game này là Marvel's Spider-Man 2, được phát hành cho PlayStation 5 và hiện đang phát triển Marvel's Wolverine cho cùng một nền tảng.

Vào tháng 12, Sony cho biết họ đang điều tra tuyên bố của nhóm ransomware Rhysida rằng họ đã vi phạm Insomniac Games và đánh cắp hơn 1,3 triệu tệp từ mạng của họ.

Sau khi đàm phán thất bại khi hãng game từ chối trả khoản tiền chuộc 2 triệu USD, Rhysida đã tung 1,67 TB tài liệu lên trang web rò rỉ web đen của mình.

“Chúng tôi rất buồn và tức giận về vụ tấn công mạng hình sự gần đây nhằm vào studio của chúng tôi cũng như những tổn thất tinh thần mà nó đã gây ra cho đội ngũ lập trình viên của chúng tôi,” studio cho biết trong một thông báo đăng trên Twitter sau vụ rò rỉ.

“Chúng tôi biết rằng dữ liệu bị đánh cắp bao gồm thông tin cá nhân của nhân viên, nhân viên cũ và nhà thầu độc lập của chúng tôi.”

Các tệp bị rò rỉ bao gồm nhiều bản quét ID và tài liệu nội bộ, chẳng hạn như thông tin hợp đồng và thỏa thuận cấp phép với Marvel và Nvidia, cũng như ảnh chụp màn hình của trò chơi Wolverine sắp ra mắt của Insomniac Games.

Như đã tuyên bố trên trang của Rhysida, những kẻ đe dọa chỉ tiết lộ 98% tệp mà chúng đánh cắp từ studio sau khi bán phần còn lại cho người trả giá cao nhất.

Insomniac Games bị rò rỉ trên trang web rò rỉ của Rhysida (BleepingComputer)

Giờ đây, Insomniac Games đang thông báo cho những nhân viên có dữ liệu bị đánh cắp trong khoảng thời gian từ ngày 25 đến ngày 26 tháng 11 và sau đó bị rò rỉ trên trang web rò rỉ của nhóm ransomware Rhysida.

Thư thông báo vi phạm dữ liệu cho biết: “Như bạn đã biết, chúng tôi lưu trữ và duy trì các tệp chứa thông tin việc làm, bao gồm cả thông tin cá nhân về bạn. Thật không may, những tệp này đã bị một tác nhân trái phép tải xuống và phát hành trực tuyến”.

"Sau khi Insomniac xác định được các tệp đã tải xuống, chúng tôi bắt đầu phân tích các tệp đó để xác định loại thông tin cá nhân nào bị ảnh hưởng và thông tin đó có liên quan đến ai. Mặc dù chúng tôi làm việc nhanh chóng nhưng đây là một quá trình tốn thời gian và chúng tôi muốn cung cấp cho bạn thông tin chính xác."

Insomniac và Sony đang mở rộng các dịch vụ ID Watchdog được cung cấp như một phần trong gói phúc lợi nhân viên của họ với thêm hai năm giám sát tín dụng miễn phí và khôi phục danh tính ngoài thời gian đăng ký hiện tại.

Insomniac cũng có một trung tâm cuộc gọi chuyên dụng sẵn sàng trả lời bất kỳ câu hỏi nào mà nhân viên bị ảnh hưởng có thể có về cuộc tấn công bằng ransomware vào tháng 11.

Người phát ngôn của Sony chưa đưa ra bình luận ngay lập tức khi được BleepingComputer liên hệ vào ngày 23 tháng 2 để biết thêm thông tin về số lượng cá nhân bị ảnh hưởng bởi vi phạm dữ liệu này và thông tin cá nhân nào bị rò rỉ trực tuyến.

Hoạt động ransomware-as-a-service (RaaS) của Rhysida nổi lên vào tháng 5 năm 2023 và nhanh chóng nổi tiếng sau khi tấn công Quân đội Chile (Ejército de Chile) và Thư viện Anh.

Trong khi Bộ Y tế và Dịch vụ Nhân sinh Hoa Kỳ (HHS) hồi tháng 8 đã liên kết băng đảng Rhysida với nhiều cuộc tấn công chống lại các tổ chức chăm sóc sức khỏe của Hoa Kỳ, thì một lời khuyên chung do CISA và FBI đưa ra đã cảnh báo về các cuộc tấn công cơ hội của nhóm này nhắm vào các tổ chức trên nhiều lĩnh vực công nghiệp.

Nguồn: bleepingcomputer.com

Apple bổ sung mã hóa kháng lượng tử (quantum-resistant) PQ3 cho iMessage

Thu, 29 Feb 2024 05:00:00 GMT

Apple đang bổ sung vào dịch vụ nhắn tin tức thời iMessage một giao thức mã hóa kháng lượng tử (quantum-resistant) mới có tên PQ3, được thiết kế để bảo vệ mã hóa khỏi các cuộc tấn công lượng tử.

iMessage là nền tảng liên lạc mặc định trên hệ điều hành iOS và macOS, với số lượng người dùng gần một tỷ.

Một trong những tính năng chính của iMessage là hỗ trợ mã hóa hai đầu (E2EE) để đảm bảo rằng giao tiếp vẫn ở chế độ riêng tư giữa người gửi và người nhận ngay cả khi bên thứ ba chặn lưu lượng.

Điện toán lượng tử đe dọa các lược đồ mã hóa hiện có bằng cách bẻ khóa gần như ngay lập tức. Các ứng dụng nhắn tin như Signal đã thực hiện các bước để tăng cường khả năng phòng thủ bằng cách bổ sung các thuật toán kháng lượng tử (quantum-resistant) được NIST phê duyệt, được cho là sẽ an toàn trong vài thập kỷ tới trong tương lai.

Biện pháp này bảo vệ cả hoạt động trao đổi liên lạc hiện tại cũng như các hoạt động chặn mà bên thứ ba có thể đã lưu trữ trong nhiều năm chờ giải pháp giải mã - kịch bản được gọi là kịch bản "thu hoạch ngay, giải mã sau".

Apple cho biết giao thức PQ3 mới của họ đạt được khả năng bảo vệ chống lại các mối đe dọa điện toán lượng tử, mà họ gọi là bảo mật Cấp độ 3.

Thông báo của Apple cho biết: “Với khả năng mã hóa có khả năng phục hồi sau tấn công và khả năng phòng thủ rộng rãi trước các cuộc tấn công lượng tử cực kỳ phức tạp, PQ3 là giao thức nhắn tin đầu tiên đạt được cái mà chúng tôi gọi là bảo mật Cấp độ 3 – cung cấp các biện pháp bảo vệ giao thức vượt trội so với tất cả các ứng dụng nhắn tin được triển khai rộng rãi khác”.

"Theo hiểu biết của chúng tôi, PQ3 có đặc tính bảo mật mạnh nhất so với bất kỳ giao thức nhắn tin quy mô lớn nào trên thế giới."

Mức độ bảo mật truyền thông của Apple (Apple)

Apple không giao dịch Mật mã đường cong Elliptic (ECC) cho PQ3 mà thay vào đó triển khai một mô hình kết hợp kết hợp hai giao thức, cũng được Signal áp dụng.

Điều này đảm bảo rằng PQ3 vẫn mạnh mẽ chống lại các cuộc tấn công hiện có mà thuật toán ECC đã được chứng minh là đáng tin cậy, cũng như chống lại các đối thủ trong tương lai sử dụng điện toán lượng tử.

PQ3 tích hợp cho mật mã kháng lượng tử của nó cần thuật toán Kyber, được hỗ trợ bởi cộng đồng mật mã toàn cầu và được NIST công nhận là một lựa chọn chắc chắn.

Cơ chế mới tạo khóa mã hóa để nhắn tin an toàn khi bắt đầu cuộc trò chuyện, ngay cả khi người nhận ngoại tuyến, một phương pháp được gọi là thiết lập khóa ban đầu.

Một cải tiến đáng kể trong PQ3 là cơ chế tạo lại khóa sau lượng tử định kỳ, cơ chế đầu tiên dành cho các giao thức nhắn tin mật mã quy mô lớn.

Cơ chế này thường xuyên tái tạo các khóa kháng lượng tử mới, đảm bảo cân bằng bảo mật tối đa với tác động thấp đến trải nghiệm người dùng.

Tính năng này cho phép khôi phục sau các xâm phạm chính, đảm bảo các cuộc hội thoại đang diễn ra lấy lại trạng thái an toàn bằng cách tạo các khóa mã hóa mới không thể lấy được từ các khóa trước đây bị xâm phạm.

Chủ tịch của Signal Meredith Whittaker tuyên bố rằng họ cũng đã cân nhắc một tính năng tương tự, nhưng quyết định không triển khai nó cho đến khi một giải pháp hoàn thiện hơn được đưa ra.

Việc Apple giới thiệu PQ3 mang lại mức độ bảo mật liên lạc cao cho nhiều người và đặt ra tiêu chuẩn ngành để những người khác noi theo, vì vậy đây chắc chắn là một bước phát triển đáng kể.

Nguồn: bleepingcomputer.com

RCMP điều tra vụ tấn công mạng khi trang web của họ vẫn ngừng hoạt động

Thu, 29 Feb 2024 05:00:00 GMT

Cảnh sát Hoàng gia Canada (RCMP), lực lượng cảnh sát quốc gia Canada đã tiết lộ rằng gần đây họ phải đối mặt với một cuộc tấn công mạng nhắm vào mạng lưới của mình.

Cơ quan liên bang đã bắt đầu điều tra hình sự về vấn đề này khi xác định phạm vi vi phạm an ninh.

RCMP: Không có mối đe dọa nào đối với an toàn và an ninh của người dân Canada

Theo báo cáo của CBC, giám đốc an ninh của RCMP Paul L. Brown tuyên bố rằng lực lượng cảnh sát đang quản lý một "sự kiện mạng" và đã cảnh báo nhân viên phải luôn cảnh giác.

Người phát ngôn của RCMP cho biết trong một tuyên bố truyền thông: “Tình hình đang phát triển nhanh chóng nhưng tại thời điểm này, không có tác động nào đến hoạt động của RCMP và không có mối đe dọa nào đối với sự an toàn và an ninh của người Canada”.

“Mặc dù cuộc tấn công ở mức độ này là đáng báo động, nhưng các chiến lược xử lý và giảm thiểu nhanh chóng được đưa ra đã chứng minh các bước quan trọng mà RCMP đã thực hiện để phát hiện và ngăn chặn các loại mối đe dọa này.”

Tại thời điểm này, không có bằng chứng nào cho thấy cảnh sát và cơ quan tình báo nước ngoài bị ảnh hưởng bởi sự cố mạng. Văn phòng Ủy viên Quyền riêng tư (OPC) đã được thông báo về vụ tấn công mạng.

Trang web RCMP ngừng hoạt động

BleepingComputer quan sát thấy rằng trang web RCMP đã ngừng hoạt động vào sáng ngày 25 tháng 2 và đưa ra thông báo lỗi HTTP 404 (Not Found - Không tìm thấy).

Các yêu cầu gửi tới www.rcmp-grc.gc.ca đang được chuyển hướng đến trang install.php không tồn tại:

Trang web RCMP đang gửi thông báo lỗi 404 (Not Found - Không tìm thấy) (BleepingComputer)

Các tập lệnh thiết lập, chẳng hạn như install.php thường được liên kết với các cài đặt trang web mới, chẳng hạn như các cài đặt sử dụng các sản phẩm CMS như WordPress và Drupal—dựa trên đánh giá sơ bộ của BleepingComputer, Drupal có vẻ như đang được RCMP sử dụng.

Hành động máy chủ chuyển hướng bất kỳ yêu cầu nào đến trang install.php thường là dấu hiệu cho thấy một trang web mới cần được quản trị viên hệ thống định cấu hình trước khi trang web đó có thể hoạt động và bắt đầu phân phối nội dung tới công chúng. Trong các trang web trực tiếp được định cấu hình đúng cách, các tập lệnh cài đặt không và thường không được cung cấp cho công chúng.

BleepingComputer vẫn có thể truy cập một số trang của miền RCMP riêng, rcmp.ca, chẳng hạn như Dịch vụ web cá nhân. Tuy nhiên, trang chủ RCmp.ca lại chuyển hướng đến RCmp-grc.gc.ca, trang này hiện đang ngoại tuyến.

BleepingComputer đã tiếp cận văn phòng truyền thông RCMP để hiểu rõ hơn liệu vấn đề này có liên quan đến sự cố mạng đang diễn ra hay không.

Nguồn: bleepingcomputer.com

Microsoft expands free logging capabilities after May breach

Thu, 29 Feb 2024 00:00:00 GMT

Microsoft has expanded free logging capabilities for all Purview Audit standard customers, including U.S. federal agencies, six months after disclosing that Chinese hackers stole U.S. government emails undetected in an Exchange Online breach between May and June 2023.

The company has been working with CISA, the Office of Management and Budget (OMB), and the Office of the National Cyber Director (ONCD) since it disclosed the incident to ensure that federal agencies now have access to all logging data needed to detect similar attacks in the future.

"Beginning this month, expanded logging will be available to all agencies using Microsoft Purview Audit regardless of license tier," a press release issued on February 21 reads.

"Microsoft will automatically enable the logs in customer accounts and increase the default log retention period from 90 days to 180 days. Also, this data will provide new telemetry to help more federal agencies meet logging requirements mandated by OMB Memorandum M-21-31."

The new change also aligns with CISA's Secure by Design guidance, which says that all technology providers should provide "high-quality audit logs" without requiring additional configuration or extra charges.

"Last summer, we were glad to see Microsoft's commitment to make necessary logging available to federal agencies and the broader cybersecurity community. I am pleased that we have made real progress toward this goal," said Eric Goldstein, CISA's Executive Assistant Director for Cybersecurity.

"Every organization has the right to safe and secure technology, and we continue to make progress toward this goal."

Outlook accounts breached for at least 25 organizations

In July, Microsoft disclosed that a Chinese hacking group tracked as Storm-0558 accessed and stole Exchange Online Outlook data from roughly 25 organizations, including U.S. and Western European government agencies.

As later revealed, the threat actors used a Microsoft account (MSA) consumer key stolen from a Windows crash dump to forge authentication tokens and access targeted email accounts via Outlook Web Access in Exchange Online (OWA) and Outlook.com.

While the hackers mostly evaded detection, some affected U.S. federal agencies identified the malicious activity using enhanced logging (i.e., MailItemsAccessed events).

However, these advanced logging capabilities were only available to customers with Microsoft's Purview Audit (Premium) logging licenses, which led to Redmond facing criticism for hindering organizations from promptly detecting Storm-0558's attacks.

Following the incident disclosure and pressured by CISA, Microsoft agreed to broaden access to logging data for free to allow network defenders to spot similar breach attempts in the future.

Months after the incident, U.S. State Department officials disclosed that the Chinese Storm-0558 hackers stole at least 60,000 emails from Outlook accounts belonging to State Department officials after breaching Microsoft's cloud-based Exchange Online email platform.

"Microsoft doesn't deserve any praise for caving to pressure and announcing that it will no longer gouge its customers for additional fees for basic features like security logs," U.S. Senator Ron Wyden told CyberScoop on February 21.

"Like an arsonist selling firefighting services, Microsoft has profited from the vulnerabilities in its own products and built a security business generating tens of billions of dollars a year. There is no clearer example of the need to hold software companies liable for their negligent cybersecurity."

Update February 21, 21:04 EST : The article and title have been revised to accurately indicate that all Audit standard customers will have access to the expanded logging feature.

Source: bleepingcomputer.com

Microsoft mở rộng khả năng ghi nhật ký miễn phí sau cuộc tấn công vào tháng 5

Wed, 28 Feb 2024 05:00:00 GMT

Microsoft đã mở rộng khả năng ghi nhật ký miễn phí cho tất cả khách hàng tiêu chuẩn của Purview Audit, bao gồm cả các cơ quan liên bang của Hoa Kỳ, sáu tháng sau khi tiết lộ tin tặc Trung Quốc đã đánh cắp email của chính phủ Hoa Kỳ mà không bị phát hiện trong một vụ tấn công Exchange Online từ tháng 5 đến tháng 6 năm 2023.

Microsoft đã làm việc với CISA, Văn phòng Quản lý và Ngân sách (OMB) và Văn phòng Giám đốc Mạng Quốc gia (ONCD) kể từ khi tiết lộ vụ việc để đảm bảo rằng các cơ quan liên bang hiện có quyền truy cập vào tất cả dữ liệu ghi nhật ký cần thiết để phát hiện các cuộc tấn công tương tự trong tương lai.

“Bắt đầu từ tháng này, tính năng ghi nhật ký mở rộng sẽ có sẵn cho tất cả các cơ quan sử dụng Microsoft Purview Audit bất kể cấp giấy phép”, thông cáo báo chí ngày 21 tháng 2 cho biết.

"Microsoft sẽ tự động kích hoạt nhật ký trong tài khoản khách hàng và tăng thời gian lưu giữ nhật ký mặc định từ 90 ngày lên 180 ngày. Ngoài ra, dữ liệu này sẽ cung cấp phép đo từ xa mới để giúp nhiều cơ quan liên bang hơn đáp ứng các yêu cầu ghi nhật ký do Bản ghi nhớ OMB M-21-31 bắt buộc. "

Thay đổi mới cũng phù hợp với hướng dẫn Bảo mật theo thiết kế của CISA, trong đó nói rằng tất cả các nhà cung cấp công nghệ phải cung cấp "nhật ký kiểm tra chất lượng cao" mà không yêu cầu cấu hình bổ sung hoặc tính phí bổ sung.

Eric Goldstein, Trợ lý Giám đốc Điều hành về An ninh mạng của CISA cho biết: “Mùa hè năm ngoái, chúng tôi rất vui khi thấy cam kết của Microsoft cung cấp tính năng ghi nhật ký cần thiết cho các cơ quan liên bang và cộng đồng an ninh mạng rộng lớn hơn. Tôi rất vui vì chúng tôi đã đạt được tiến bộ thực sự hướng tới mục tiêu này”.

"Mọi tổ chức đều có quyền tiếp cận công nghệ an toàn và bảo mật và chúng tôi tiếp tục đạt được tiến bộ hướng tới mục tiêu này."

Tài khoản Outlook của ít nhất 25 tổ chức bị xâm phạm

Vào tháng 7, Microsoft tiết lộ rằng một nhóm hack Trung Quốc được theo dõi với tên gọi Storm-0558 đã truy cập và đánh cắp dữ liệu Exchange Online Outlook từ khoảng 25 tổ chức, bao gồm cả các cơ quan chính phủ Hoa Kỳ và Tây Âu.

Như được tiết lộ sau đó, các tác nhân đe dọa đã sử dụng khóa tiêu dùng của tài khoản Microsoft (MSA) bị đánh cắp từ kết xuất sự cố Windows để giả mạo mã thông báo xác thực và truy cập các tài khoản email được nhắm mục tiêu thông qua Outlook Web Access trong Exchange Online (OWA) và Outlook.com.

Trong khi các tin tặc hầu như đều tránh bị phát hiện, một số cơ quan liên bang Hoa Kỳ bị ảnh hưởng đã xác định được hoạt động độc hại bằng cách sử dụng tính năng ghi nhật ký nâng cao (tức là các sự kiện MailItemsAccessed).

Tuy nhiên, khả năng ghi nhật ký nâng cao này chỉ dành cho khách hàng có giấy phép ghi nhật ký Purview Audit (Premium) của Microsoft, khiến Redmond phải đối mặt với những lời chỉ trích vì cản trở các tổ chức phát hiện kịp thời các cuộc tấn công của Storm-0558.

Sau khi tiết lộ sự cố và bị CISA gây áp lực, Microsoft đã đồng ý mở rộng quyền truy cập miễn phí vào dữ liệu ghi nhật ký để cho phép những người bảo vệ mạng phát hiện các tấn công tương tự trong tương lai.

Nhiều tháng sau vụ việc, các quan chức Bộ Ngoại giao Hoa Kỳ tiết lộ rằng tin tặc Storm-0558 của Trung Quốc đã đánh cắp ít nhất 60.000 email từ tài khoản Outlook của các quan chức Bộ Ngoại giao sau khi xâm nhập vào nền tảng email Exchange Online dựa trên đám mây của Microsoft.

Thượng nghị sĩ Hoa Kỳ Ron Wyden nói với CyberScoop ngày 21 tháng 2: “Microsoft không xứng đáng nhận được bất kỳ lời khen ngợi nào vì đã nhượng bộ trước áp lực và thông báo rằng họ sẽ không bắt khách hàng phải trả thêm phí cho các tính năng cơ bản như nhật ký bảo mật nữa”.

“Giống như kẻ đốt phá bán dịch vụ chữa cháy, Microsoft đã thu lợi từ các lỗ hổng trong sản phẩm của chính mình và xây dựng một doanh nghiệp bảo mật tạo ra hàng chục tỷ đô la mỗi năm. Không có ví dụ nào rõ ràng hơn về việc cần phải buộc các công ty phần mềm phải chịu trách nhiệm về sự cẩu thả trong an ninh mạng của họ. "

Cập nhật vào lúc 21:04 EST ngày 21 tháng 2: Bài viết và tiêu đề đã được sửa đổi để chỉ ra chính xác rằng tất cả khách hàng tiêu chuẩn Kiểm toán sẽ có quyền truy cập vào tính năng ghi nhật ký mở rộng.

Nguồn: bleepingcomputer.com

Fraudsters tried to scam Apple out of 5,000 iPhones worth over $3 million

Wed, 28 Feb 2024 00:00:00 GMT

Two Chinese nationals face 20 years in prison after being caught and convicted of submitting over 5,000 fake iPhones worth more than $3 million to Apple with the goal of having them replaced with genuine devices.

Apple offers a one-year warranty for new iPhones, enabling customers to return malfunctioning devices to Apple or authorized resellers for a replacement. Additionally, Apple provides insurance protection plans, allowing customers to extend the warranty period beyond one year.

The company provides several methods to submit defective iPhones for repairs or replacements under its warranty service and handset replacement program.

Options include shipping the phone to Apple through United Parcel Service (UPS) free of charge, visiting an Apple retail store, or going to an Apple Authorized Service Provider.

Between July 2017 and December 2019, Haotian Sun and Pengfei Xue (and their co-conspirators Wen Jin Gao and Dian Luo) took advantage of Apple's policy to replace non-functioning counterfeit devices.

"The object of the conspiracy was for the conspirators to unjustly enrich themselves by fraudulently obtaining authentic iPhones from Apple after submitting inauthentic iPhones to Apple for repair and replacement," according to the indictment.

Fake iPhones with spoofed IMEIs and serial numbers

Throughout this multi-year scheme, they shipped counterfeit devices from Hong Kong to commercial mail receiving agency (CMRA) mailboxes in UPS stores, opened using their actual driver's licenses and university identification cards.

They then submitted the inauthentic iPhones with spoofed serial numbers and IMEI numbers to Apple retail stores and Apple Authorized Service Providers and received replacement iPhones from Apple, shipped via private and commercial interstate carriers, including FedEx, DLH, and UPS.

These replacement devices were shipped to the conspirators in Hong Kong to sell and share the illegally obtained funds between the scheme's members.

A jury convicted Sun and Xue of mail fraud and conspiracy to commit mail fraud last week. U.S. postal inspectors arrested them in December 2019.

They each face a maximum penalty of 20 years in prison and are scheduled to be sentenced on June 21, 2024.

Source: bleepingcomputer.com

Những kẻ lừa đảo đã lừa Apple để lấy đi 5.000 chiếc iPhone trị giá hơn 3 triệu USD

Tue, 27 Feb 2024 05:00:00 GMT

Hai công dân Trung Quốc phải đối mặt với án tù 20 năm sau khi bị bắt và bị kết tội gửi hơn 5.000 chiếc iPhone giả trị giá hơn 3 triệu USD cho Apple với mục đích thay thế chúng bằng thiết bị chính hãng.

Apple cung cấp bảo hành một năm cho iPhone mới, cho phép khách hàng trả lại các thiết bị gặp trục trặc cho Apple hoặc các đại lý được ủy quyền để thay thế. Ngoài ra, Apple còn cung cấp các gói bảo hiểm, cho phép khách hàng gia hạn thời gian bảo hành hơn một năm.

Apple đề ra một số phương pháp để gửi iPhone bị lỗi đi sửa chữa hoặc thay thế theo chương trình dịch vụ bảo hành và thay thế thiết bị cầm tay.

Các tùy chọn bao gồm vận chuyển điện thoại đến Apple miễn phí thông qua United Parcel Service (UPS), đến cửa hàng bán lẻ của Apple hoặc đến Nhà cung cấp dịch vụ được ủy quyền của Apple.

Từ tháng 7 năm 2017 đến tháng 12 năm 2019, Haotian Sun và Pengfei Xue (và đồng phạm của họ là Wen Jin Gao và Dian Luo) đã lợi dụng chính sách của Apple để thay thế các thiết bị giả không hoạt động.

Theo bản cáo trạng, “Mục tiêu của âm mưu là để những kẻ âm mưu làm giàu bất chính cho bản thân bằng cách lừa đảo lấy iPhone chính hãng từ Apple sau khi gửi iPhone giả cho Apple để sửa chữa và thay thế”.

iPhone giả với số IMEI và số sê-ri giả mạo

Trong suốt kế hoạch kéo dài nhiều năm này, chúng đã vận chuyển các thiết bị giả từ Hồng Kông đến các hộp thư của cơ quan nhận thư thương mại (CMRA) trong các cửa hàng UPS, được mở bằng giấy phép lái xe thực tế và thẻ căn cước trường đại học của chúng.

Sau đó, chúng gửi những chiếc iPhone giả có số sê-ri và số IMEI giả mạo đến các cửa hàng bán lẻ của Apple và Nhà cung cấp dịch vụ ủy quyền của Apple và nhận iPhone thay thế từ Apple, được vận chuyển qua các nhà cung cấp dịch vụ tư nhân và thương mại liên bang, bao gồm FedEx, DLH và UPS.

Những thiết bị thay thế này đã được chuyển đến những kẻ chủ mưu ở Hồng Kông để bán và chia sẻ số tiền thu được bất hợp pháp giữa các thành viên của chương trình.

Bồi thẩm đoàn đã kết án Sun và Xue về tội lừa đảo qua thư và âm mưu thực hiện hành vi lừa đảo qua thư thông báo trong tuần trước. Thanh tra bưu điện Hoa Kỳ đã bắt giữ họ vào tháng 12 năm 2019.

Mỗi người phải đối mặt với mức án tối đa là 20 năm tù và dự kiến bị kết án vào ngày 21 tháng 6 năm 2024.

Nguồn: bleepingcomputer.com

US govt shares cyberattack defense tips for water utilities

Tue, 27 Feb 2024 00:00:02 GMT

CISA, the FBI, and the Environmental Protection Agency (EPA) shared a list of defense measures U.S. water utilities should implement to better defend their systems against cyberattacks

The fact sheet they published on February 21 outlines the top eight actions U.S. Water and Wastewater Systems (WWS) sector organizations can take to reduce cyberattack risks and boost their resilience against malicious activity. It also details the free services, resources, and tools that can be used in support of these defense measures.

"CISA, EPA, and FBI urge all WWS Sector and critical infrastructure organizations to review the fact sheet and implement the actions to improve resilience to cyber threat activity," the agencies said.

"Entities requiring additional support for implementing any of the actions outlined in the fact sheet, should contact EPAand/or their regional CISA cybersecurity advisor for assistance."

Water utilities are advised to reduce exposure of key assets (including OT devices such as controllers and remote terminal units) to the public-facing internet and conduct regular cybersecurity assessments to understand the existing vulnerabilities within OT and IT systems.

They should also immediately change all default or insecure passwords and implement multifactor authentication (MFA) wherever possible, create inventories of OT/IT assets to understand their attack surface, and regularly back up OT/IT systems for easier recovery after a breach.

WWS facilities are also recommended to patch or mitigate known vulnerabilities to block exploitation attempts, develop and exercise cybersecurity incident response and recovery plans for faster reaction times in case of a compromise, and conduct annual cybersecurity awareness training to help employees understand how to prevent and respond to cyberattacks.

Critical water infrastructure worldwide under attack

Water facilities have been repeatedly targeted by cyberattacks in recent years, compromising the security of critical infrastructure and raising concerns about public safety.

Since the start of the year, several water treatment companies have been breached in ransomware attacks that forced them to shut down systems to contain the breaches, including Veolia North America and the U.K.'s Southern Water.

In response, CISA, the FBI, and the EPA have issued an incident response guide to help defenders secure water utilities.

In September, the U.S. cybersecurity agency also released a free security scan program to help critical infrastructure facilities like water utilities detect security gaps and secure systems from cyberattacks.

In November, CISA warned that hackers infiltrated a Pennsylvania water facility by exploiting vulnerable Unitronics programmable logic controllers (PLCs), although potable water safety for local communities remained uncompromised.

Over recent years, facilities within the U.S. Water and Wastewater Systems (WWS) Sector have been impacted by multiple breaches that led to Ghost, ZuCaNo, and Makop ransomware deployment.

These ransomware attacks impacted a South Houston wastewater treatment plan in 2011, a water company with outdated software and hardware equipment in 2016, the Southern California Camrosa Water District in August 2020, and a Pennsylvania water system in May 2021.

Source: bleepingcomputer.com

Chính phủ Hoa Kỳ chia sẻ biện pháp phòng chống tấn công mạng cho các công ty cấp nước

Mon, 26 Feb 2024 05:00:00 GMT

CISA, FBI và Cơ quan Bảo vệ Môi trường (EPA) đã chia sẻ danh sách các biện pháp phòng thủ mà các cơ quan cấp nước của Hoa Kỳ nên thực hiện để bảo vệ hệ thống của họ tốt hơn trước các cuộc tấn công mạng.

Bản thông tin công bố ngày 21 tháng 2 chỉ ra tám hành động hàng đầu mà các tổ chức thuộc lĩnh vực Hệ thống Nước và Nước thải Hoa Kỳ (WWS) có thể thực hiện để giảm thiểu rủi ro tấn công mạng và tăng cường khả năng phục hồi trước hoạt động độc hại. Trong đó cũng nêu chi tiết các dịch vụ, tài nguyên và công cụ miễn phí có thể được sử dụng để hỗ trợ các biện pháp phòng thủ này.

Các cơ quan cho biết: “CISA, EPA và FBI kêu gọi tất cả các tổ chức Cơ sở hạ tầng quan trọng và Khu vực WWS xem xét bản thông tin và thực hiện các hành động để cải thiện khả năng phục hồi trước hoạt động đe dọa mạng”.

“Các đối tượng cần hỗ trợ bổ sung để thực hiện bất kỳ hành động nào được nêu trong bản thông tin nên liên hệ với EPA và/hoặc cố vấn an ninh mạng CISA khu vực của họ để được hỗ trợ.”

Các công ty cấp nước nên giảm mức độ tiếp xúc của các thiết bị chính (bao gồm các thiết bị OT như bộ điều khiển và thiết bị đầu cuối từ xa) với Internet công cộng và tiến hành đánh giá an ninh mạng thường xuyên để hiểu các lỗ hổng hiện có trong hệ thống OT và IT.

Các công ty cấp nước cũng nên thay đổi ngay tất cả mật khẩu mặc định hoặc không an toàn và triển khai xác thực đa yếu tố (MFA) bất cứ khi nào có thể, tạo kho lưu trữ tài sản OT/IT để hiểu phương thức tấn công của chúng và thường xuyên sao lưu hệ thống OT/IT để phục hồi dễ dàng hơn sau khi bị tấn công.

Các cơ sở WWS cũng được khuyến nghị vá hoặc giảm thiểu các lỗ hổng đã biết để ngăn chặn việc khai thác, phát triển và thực hiện các kế hoạch khắc phục và ứng phó sự cố an ninh mạng để có thời gian phản ứng nhanh hơn trong trường hợp bị xâm phạm, đồng thời tiến hành đào tạo nâng cao nhận thức về an ninh mạng hàng năm để giúp nhân viên hiểu cách ngăn chặn và ứng phó với các cuộc tấn công mạng.

Cơ sở hạ tầng cung cấp nước quan trọng trên toàn thế giới đang bị tấn công

Các cơ sở cung cấp nước đã nhiều lần trở thành mục tiêu của các cuộc tấn công mạng trong những năm gần đây, làm tổn hại đến an ninh của cơ sở hạ tầng quan trọng và gây lo ngại về an toàn công cộng.

Kể từ đầu năm, một số công ty xử lý nước đã bị xâm phạm trong các cuộc tấn công bằng ransomware buộc họ phải đóng cửa hệ thống để ngăn chặn tấn công, bao gồm cả Veolia North America và Southern Water của Anh.

Đối diện với việc này, CISA, FBI và EPA đã ban hành hướng dẫn ứng phó sự cố để giúp những người bảo vệ bảo đảm các tiện ích nước.

Vào tháng 9, cơ quan an ninh mạng Hoa Kỳ cũng đã phát hành chương trình quét bảo mật miễn phí để giúp các cơ sở hạ tầng quan trọng như tiện ích nước phát hiện các lỗ hổng bảo mật và bảo mật hệ thống khỏi các cuộc tấn công mạng.

Vào tháng 11, CISA đã cảnh báo rằng tin tặc đã xâm nhập vào cơ sở nước ở Pennsylvania bằng cách khai thác các bộ điều khiển logic lập trình (PLC) dễ bị tổn thương của Unitronics, mặc dù an toàn nước uống cho cộng đồng địa phương vẫn không bị ảnh hưởng.

Trong những năm gần đây, các cơ sở trong Ngành Hệ thống Nước và Nước thải (WWS) của Hoa Kỳ đã bị ảnh hưởng bởi nhiều hành vi vi phạm dẫn đến việc triển khai phần mềm tống tiền Ghost, ZuCaNo và Makop.

Các cuộc tấn công ransomware này đã ảnh hưởng đến kế hoạch xử lý nước thải ở Nam Houston vào năm 2011, một công ty nước có thiết bị phần cứng và phần mềm lỗi thời vào năm 2016, Khu vực Nước Camrosa Nam California vào tháng 8 năm 2020 và hệ thống nước Pennsylvania vào tháng 5 năm 2021.

Nguồn: bleepingcomputer.com

Hacker arrested for selling bank accounts of US, Canadian users

Mon, 26 Feb 2024 00:00:00 GMT

Ukraine's cyber police arrested a 31-year-old for running a cybercrime operation that gained access to bank accounts of American and Canadian users and sold them on the dark web.

The suspect distributed trojanized software as free resources using several websites that he administered. He also promoted these sites through advertising campaigns.

The police note that the suspect distributed software for both desktop and mobile (Android) operating system.

"To distribute his virus, the hacker created and administered several websites, offering users to download various software for free," reads the police's announcement.

"The suspect launched an entire advertising campaign on the internet to "promote" the controlled web resources."

Suspect's computer desk (cyberpolice.gov.ua)

The payloads infected the victims' devices and siphoned sensitive data to the hacker, who used it to hack into the victim's Google accounts and online banking.

The hacker then sold access to the breached accounts to other cybercriminals over the dark web, arranging payments in Bitcoins after contacting them over the phone using a Russian number.

The Ukrainian authorities say that the suspect had accomplices for this activity, who maintained darknet accounts. Their identities is currently unknown but authorities are looking to learn who they are during the investigation.

The press release from the police also mentions that the hacker has been active since 2017 and pivoted to phishing in 2021. Preliminary details confirmed that the cybercriminal obtained at least $92,000 from his activity, but that figure is likely to be much higher.

The arrest occurred on February 14, at the suspect's home. The police confiscated various items during three separate searches, including a luxury Mercedes-Benz SUV worth around $65,000.

For his criminal activity, the suspect now faces up to 8 years of prison and the confiscation of all property, for violations in the Criminal Code of Ukraine - Part 2 of Article 209 (laundering of property obtained by criminal means), Part 2 of Article 361 (unauthorized interference with the operation of information systems, electronic communication networks), and Part 1 of Article 361-1 (creation for the purpose of illegal use, distribution, or sale of harmful software or technical means, as well as their distribution or sale).

To reduce the risk of malware infections while searching for specific software tools, users should exercise caution with promoted results in Google Search and verify that the loaded site is the official one from the vendor.

It is also a good idea to use an ad-blocker that can automatically hide promoted results on Google Search, safeguarding online activities from malvertising threats.

Source: bleepingcomputer.com

Alpha ransomware linked to NetWalker operation dismantled in 2021

Sat, 24 Feb 2024 01:00:00 GMT

Security researchers analyzing the Alpha ransomware payload and modus operandi discovered overlaps with the now-defunct Netwalker ransomware operation.

Netwalker was a prolific ransomware-as-a-service (RaaS) active between October 2019 and January 2021, when law enforcement seized its dark web sites, resulting in its operators going silent.

The Alpha ransomware operation (not to be confused with ALPHV/BlackCat) emerged in February 2023 but kept a low profile, didn't promote on hacker forums, nor did its operators carry out many attacks.

This changed recently when the group launched a data leak site to list victims and publish files stolen from breached networks.

At the time of writing, Alpha shows nine victims on its extortion portal, and for eight of them the threat actor has already published the stolen files.

Alpha's extortion site (BleepingCompouter)

A Neterich report from January 29 says that Alpha has gradually grown more sophisticated.

In the most recent version, the ransomware appends a random 8-character alphanumeric extension to encrypted files.

Also, after many ransom note iterations, the latest includes instructions for victims to contact the threat actor over a messaging service.

The reported ransom demand, according to Neterich, ranges between 0.272 BTC ($13,200 by today's exchange rate) and up to $100,000, likely depending on the business size of the victim.

Links to Netwalker

A new report published by Symantec's threat analysts links Alpha to the defunct Netwalker ransomware, based on tools and tactics, techniques, and procedures used in attacks.

The key similarities the Symantec highlights include the following:

Both Netwalker and Alpha ransomware use a similar PowerShell-based loader to deliver their payloads.
Significant code overlaps in the payload, including the general execution flow of the main functionalities, termination of processes and services, and similarities in invoking system APIs.

Use of custom import address tables (Netwalker left, Alpha right) (Symantec)

Configuration similarities in the list of folders, files, and extensions to be skipped, as well as the processes and services to be killed.
Both delete themselves using a temporary batch file after the completion of the encryption process.
The payment portals for both Netwalker and Alpha contain the same message: "For enter, please use user code."

Comparison of portals (NetWalker left, Alpha right) (Symantec)

Symantec also reports that recent Alpha attacks extensively employ living-off-the-land tools, including Taskkill, PsExec, Net.exe, and Reg.exe, for evasion. However, this is common to many ransomware gangs.

The above similarities indicate a strong link between NetWalker and Alpha's developers, which could either mean a revival of NetWalker under the Alpha brand or that its code is being reused by a new threat group.

Symantec notes that a new attacker could have acquired the NetWalker payload and adapted it for their ransomware operation.

Although it is not currently a significant player on the ransomware scene, Alpha is regarded as an emerging threat organizations should watch out for.

Source: BleepingCompouter

Phần mềm tống tiền Alpha liên quan đến hoạt động NetWalker đã bị loại bỏ từ năm 2021

Fri, 23 Feb 2024 05:00:00 GMT

Các nhà nghiên cứu bảo mật khi phân tích payload và phương thức hoạt động của ransomware Alpha đã phát hiện ra sự trùng lặp với hoạt động của ransomware Netwalker hiện không còn tồn tại.

Netwalker là một loại ransomware dưới dạng dịch vụ (RaaS) hoạt động mạnh mẽ từ tháng 10 năm 2019 đến tháng 1 năm 2021, khi cơ quan thực thi pháp luật tịch thu các trang web đen đã khiến các nhà khai thác phải im hơi lặng tiếng.

Hoạt động ransomware Alpha (đừng nhầm với ALPHV/BlackCat) xuất hiện vào tháng 2 năm 2023 nhưng hoạt động kín tiếng, không quảng bá trên các diễn đàn hacker và những kẻ điều hành nó cũng không thực hiện nhiều cuộc tấn công.

Điều này đã thay đổi gần đây khi nhóm này tung ra một trang web rò rỉ dữ liệu để liệt kê các nạn nhân và xuất bản các tệp bị đánh cắp từ các mạng bị tấn công.

Tại thời điểm viết bài, Alpha hiển thị chín nạn nhân trên cổng tống tiền của mình và tám nạn nhân trong số đó, kẻ đe dọa đã công bố các tập tin bị đánh cắp.

Trang web tống tiền của Alpha (BleepingCompouter)

Báo cáo của Neterich ngày 29/1 cho biết Alpha đã dần phát triển tinh vi hơn.

Trong phiên bản mới nhất, ransomware gắn thêm phần mở rộng ngẫu nhiên gồm 8 ký tự chữ và số vào các tệp được mã hóa.

Ngoài ra, sau nhiều lần ghi chú đòi tiền chuộc, phiên bản mới nhất bao gồm hướng dẫn nạn nhân liên hệ với kẻ đe dọa qua dịch vụ nhắn tin.

Nhu cầu tiền chuộc được báo cáo, theo Neterich, dao động trong khoảng từ 0,272 BTC (13.200 USD theo tỷ giá hối đoái ngày nay) đến 100.000 USD, có thể tùy thuộc vào quy mô kinh doanh của nạn nhân.

Liên kết tới Netwalker

Một báo cáo mới được các nhà phân tích mối đe dọa của Symantec đã công bố liên kết Alpha với phần mềm ransomware Netwalker không còn tồn tại, dựa trên các công cụ và chiến thuật, kỹ thuật và quy trình được sử dụng trong các cuộc tấn công.

Những điểm tương đồng chính mà Symantec nổi bật bao gồm:

Cả ransomware Netwalker và Alpha đều sử dụng trình tải dựa trên PowerShell tương tự để phân phối payload của chúng.
Sự chồng chéo mã đáng kể trong tải trọng, bao gồm luồng thực thi chung của các chức năng chính, việc chấm dứt các quy trình và dịch vụ cũng như những điểm tương đồng trong việc gọi API hệ thống.

Sử dụng bảng địa chỉ nhập tùy chỉnh (Netwalker bên trái, Alpha bên phải) (Symantec)

Sự tương đồng về cấu hình trong danh sách các thư mục, tệp và tiện ích mở rộng bị bỏ qua, cũng như các quy trình và dịch vụ sẽ bị loại bỏ.
Cả hai đều tự xóa bằng tập tin batch (.bat) tạm thời sau khi hoàn tất quá trình mã hóa.
Cổng thanh toán cho cả Netwalker và Alpha đều chứa cùng một thông báo: "Để nhập, vui lòng sử dụng mã người dùng."

So sánh các cổng (NetWalker bên trái, Alpha bên phải) (Symantec)

Symantec cũng cho biết các cuộc tấn công Alpha gần đây sử dụng rộng rãi các công cụ thực tế, bao gồm Taskkill, PsExec, Net.exe và Reg.exe để trốn tránh. Tuy nhiên, điều này là phổ biến đối với nhiều nhóm ransomware.

Những điểm tương đồng trên cho thấy mối liên kết chặt chẽ giữa NetWalker và các lập trình viên của Alpha, điều này có thể có nghĩa là sự hồi sinh của NetWalker dưới thương hiệu Alpha hoặc mã của nó đang được một nhóm đe dọa mới sử dụng lại.

Symantec lưu ý rằng kẻ tấn công mới có thể đã lấy được payload NetWalker và điều chỉnh cho hoạt động ransomware của chúng.

Mặc dù hiện tại nó không phải là nhân tố quan trọng trong tấn công ransomware nhưng Alpha được coi là một mối đe dọa mới nổi mà các tổ chức nên đề phòng.

Nguồn: bleepingcomputer.com

Hacker bị bắt vì bán tài khoản ngân hàng của người dùng Mỹ, Canada

Fri, 23 Feb 2024 05:00:00 GMT

Cảnh sát mạng Ukraine đã bắt giữ một người 31 tuổi vì điều hành một hoạt động tội phạm mạng nhằm giành quyền truy cập vào tài khoản ngân hàng của người dùng Mỹ và Canada rồi bán nó trên web đen.

Nghi phạm đã phân phối phần mềm chứa trojan dưới dạng tài nguyên miễn phí bằng cách sử dụng một số trang web mà anh ta quản lý. Nghi phạm cũng quảng bá các trang web này thông qua các chiến dịch quảng cáo

Cảnh sát lưu ý rằng nghi phạm đã phân phối phần mềm cho cả hệ điều hành máy tính để bàn và thiết bị di động (Android).

Thông báo của cảnh sát cho biết: “Để phát tán virus của mình, hacker đã tạo và quản lý một số trang web, cung cấp cho người dùng tải xuống nhiều phần mềm miễn phí”.

"Nghi phạm đã phát động toàn bộ chiến dịch quảng cáo trên internet để "quảng bá" các tài nguyên web được kiểm soát."

Bàn máy tính của nghi phạm (cyberpolice.gov.ua)

Payload đã lây nhiễm vào thiết bị của nạn nhân và lấy dữ liệu nhạy cảm cho hacker, kẻ đã sử dụng nó để xâm nhập vào tài khoản Google và ngân hàng trực tuyến của nạn nhân.

Sau đó, hacker đã bán quyền truy cập vào các tài khoản bị vi phạm cho tội phạm mạng khác trên web đen, thu xếp thanh toán bằng Bitcoin sau khi liên hệ với họ qua điện thoại bằng số của Nga.

Chính quyền Ukraine nói rằng nghi phạm có đồng phạm trong hoạt động này, những kẻ này duy trì các tài khoản darknet. Danh tính của họ hiện chưa được xác định nhưng chính quyền đang tìm cách tìm hiểu họ là ai trong quá trình điều tra.

Thông cáo báo chí của cảnh sát cũng đề cập rằng hacker đã hoạt động từ năm 2017 và chuyển sang lừa đảo vào năm 2021. Thông tin chi tiết sơ bộ xác nhận rằng tội phạm mạng đã kiếm được ít nhất 92.000 USD từ hoạt động của mình, nhưng con số đó có thể cao hơn nhiều.

Vụ bắt giữ xảy ra vào ngày 14/2, tại nhà của nghi phạm. Cảnh sát đã tịch thu nhiều vật dụng khác nhau trong ba cuộc khám xét riêng biệt, bao gồm một chiếc SUV hạng sang Mercedes-Benz trị giá khoảng 65.000 USD.

Đối với hoạt động phạm tội của mình, nghi phạm hiện phải đối mặt với án tù lên tới 8 năm và tịch thu toàn bộ tài sản vì vi phạm Bộ luật Hình sự Ukraine - Phần 2 của Điều 209 (rửa tài sản có được bằng biện pháp hình sự), Phần 2 của Điều 361 (can thiệp trái phép vào hoạt động của hệ thống thông tin, mạng truyền thông điện tử) và Phần 1 của Điều 361-1 (sáng tạo nhằm mục đích sử dụng, phân phối hoặc bán bất hợp pháp phần mềm hoặc phương tiện kỹ thuật có hại, cũng như việc phân phối chúng).

Để giảm nguy cơ lây nhiễm phần mềm độc hại khi tìm kiếm các công cụ phần mềm cụ thể, người dùng nên thận trọng với các kết quả được quảng cáo trên Google Tìm kiếm và xác minh rằng trang web được tải là trang web chính thức của nhà cung cấp.

Người dùng cũng nên sử dụng trình chặn quảng cáo có thể tự động ẩn kết quả được quảng cáo trên Google Tìm kiếm, bảo vệ các hoạt động trực tuyến khỏi các mối đe dọa quảng cáo độc hại.

Nguồn: bleepingcomputer.com

North Korean hackers now launder stolen crypto via YoMix tumbler

Fri, 23 Feb 2024 00:00:00 GMT

The North Korean hacker collective Lazarus, infamous for having carried out numerous large-scale cryptocurrency heists over the years, has switched to using YoMix bitcoin mixer to launder stolen proceeds.

According to a report from blockchain analysis company Chainalysis, Lazarus has adapted its laundering process after governments sanctioned multiple bitcoin mixing services the threat actor used.

The firm says that YoMix has seen a massive influx of funds throughout 2023, that are not attributed to popularity increase but rather Lazarus activity.

Lazarus laundering ops

Crypto-theft is just one aspect Lazarus operations, albeit a very important part of its activities, which is believed to fund not only the group's operations but also North Korea's weapons development program.

Some of the largest cryptocurrency theft operations Lazarus conducted in recent years include the March 2022 Ronin Network (Axie Infinity) hack that yielded $625 million, the Harmony Horizon hack in June 2022 that resulted in losses of $100 million, and the July 2023 Alphapo heist from where the hackers pocketed $60 million worth of crypto.

From January 2017 until December 2023, North Korean hacking groups, including Lazarus, Kimsuky, and Andariel, have stolen an estimated $3 billion in crypto, according to a report from Recorded Future.

The money went through various coin mixing services that don't abide by anti-laundering regulations and accept deposits even from wallets flagged for suspicious activity.

The mixers bounce the assets through an obfuscated network of cryptocurrency holders and receive them in new wallet addresses that cannot be traced to the original attacks.

Over the years, the U.S. Treasury Department's Office of Foreign Assets Control (OFAC) identified and sanctioned some of the platforms Lazarus used for laundering their proceeds, including Blender, Tornado Cash, and Sinbad.

However, every time a platform was sanctioned and isolated from the crypto space, Lazarus moved to a new one. Chainalysis says YoMix is the latest service used by the North Korean threat actor.

2023 laundering trends

Chainalysis reports that YoMix saw a massive growth of funds in the second quarter of 2023, sustained until the end of the year, which is mostly attributed to money laundering.

YoMix money influx in 2023 (Chainalysis)

"Based on Chainalysis data, roughly one-third of all YoMix inflows have come from wallets associated with crypto hacks," reads the report.

"The growth of YoMix and its embrace by Lazarus Group is a prime example of sophisticated actors' ability to adapt and find replacement obfuscation services when previously popular ones are shut down" - Chainalysis

Chainalysis also says that last year it noticed a trend concerning the concentration of money laundering activities at a few fiat off-ramping services, with 71.7% of all illicit funds directed to just five services.

However, at the deposit address level, money laundering became less concentrated, suggesting that criminals are diversifying their activities to avoid detection and the freezing of assets by law enforcement and compliance teams.

Total amounts sent to mixers each year (Chainalysis)

Other highlights from the report include:

Flagged crypto wallet addresses sent $22.2 billion to services in 2023, a decrease from $31.5 billion in 2022.
109 exchange deposit addresses received over $10 million worth of illicit cryptocurrency each in 2023, collectively receiving $3.4 billion in illicit cryptocurrency.
Last year, the funds sent to mixers from flagged addresses was 504.3 million, down 50% from $1 billion in 2022.
Cross-chain bridge utilization has shown significant growth in 2023, with $743.8 million in crypto received, compared to $312.2 million in 2022.

Amounts moved through cross-chain bridges (Chainalysis)

BleepingComputer has contacted YoMix with a request for a comment about the service being used by North Korean hackers to laundering illegal funds but we are yet to receive a response.

Source: bleepingcomputer.com

Tin tặc Triều Tiên hiện đang rửa tiền điện tử bị đánh cắp thông qua YoMix tumbler

Thu, 22 Feb 2024 05:00:00 GMT

Nhóm hacker Triều Tiên Lazarus, khét tiếng vì đã thực hiện nhiều vụ trộm tiền điện tử quy mô lớn trong nhiều năm, đã chuyển sang sử dụng máy trộn bitcoin YoMix để rửa số tiền bị đánh cắp.

Theo báo cáo từ công ty phân tích chuỗi blockchain Chainalysis, Lazarus đã điều chỉnh quy trình rửa tiền của mình sau khi chính phủ xử phạt nhiều dịch vụ trộn bitcoin mà tác nhân đe dọa sử dụng.

Chainalysis cho biết YoMix đã chứng kiến một dòng tiền khổng lồ trong suốt năm 2023, điều này không phải do mức độ phổ biến tăng lên mà là do hoạt động của Lazarus.

Hoạt động rửa tiền của Lazarus

Trộm cắp tiền điện tử chỉ là một khía cạnh trong hoạt động của Lazarus, mặc dù là một phần rất quan trọng trong hoạt động của nó, được cho là không chỉ tài trợ cho hoạt động của nhóm mà còn cả chương trình phát triển vũ khí của Triều Tiên.

Một số hoạt động trộm cắp tiền điện tử lớn nhất mà Lazarus thực hiện trong những năm gần đây bao gồm vụ hack Ronin Network (Axie Infinity) vào tháng 3 năm 2022 thu về 625 triệu đô la, vụ hack Harmony Horizon vào tháng 6 năm 2022 dẫn đến thiệt hại 100 triệu đô la và vụ cướp Alphapo vào tháng 7 năm 2023 từ nơi tin tặc bỏ túi số tiền điện tử trị giá 60 triệu đô la.

Theo báo cáo từ Recorded Future, từ tháng 1 năm 2017 đến tháng 12 năm 2023, các nhóm hacker Triều Tiên, bao gồm Lazarus, Kimsuky và Andariel, đã đánh cắp khoảng 3 tỷ USD tiền điện tử.

Số tiền này đã được chuyển qua nhiều dịch vụ trộn tiền xu không tuân thủ các quy định chống rửa tiền và chấp nhận tiền gửi ngay cả từ các ví bị gắn cờ (flag) vì hoạt động đáng ngờ.

Các Thiết bị trộn (mixer) trả lại tài sản thông qua một mạng lưới gồm những người nắm giữ tiền điện tử bị xáo trộn và nhận chúng bằng các địa chỉ ví mới mà không thể truy nguyên được các cuộc tấn công ban đầu.

Trong những năm qua, Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) của Bộ Tài chính Hoa Kỳ đã xác định và xử phạt một số nền tảng mà Lazarus sử dụng để rửa tiền của họ, bao gồm Blender, Tornado Cash và Sinbad.

Tuy nhiên, mỗi khi một nền tảng bị xử phạt và bị cô lập khỏi không gian tiền điện tử, Lazarus lại chuyển sang một nền tảng mới. Chainalysis cho biết YoMix là dịch vụ mới nhất được hacker Triều Tiên sử dụng.

Xu hướng rửa tiền năm 2023

Chainalysis cho biết đã chứng kiến YoMix tăng trưởng mạnh mẽ về vốn trong quý 2 năm 2023, duy trì cho đến cuối năm, phần lớn là do rửa tiền.

Dòng tiền YoMix vào năm 2023 (Chainalysis)

Báo cáo cho biết: “Dựa trên dữ liệu Chainalysis, khoảng một phần ba tổng số dòng tiền vào YoMix đến từ các ví liên quan đến các vụ hack tiền điện tử”.

"Sự phát triển của YoMix và sự ủng hộ của Lazarus Group là một ví dụ điển hình về khả năng thích ứng và tìm kiếm các dịch vụ che giấu thay thế của các tác nhân tinh vi khi những dịch vụ phổ biến trước đây bị đóng cửa" - Chainalysis cho biết.

Chainalysis cũng cho biết năm ngoái họ đã nhận thấy xu hướng liên quan đến sự tập trung của các hoạt động rửa tiền tại một số dịch vụ ngoài tiền pháp định, với 71,7% tổng số tiền bất hợp pháp chỉ hướng đến 5 dịch vụ.

Tuy nhiên, ở cấp độ địa chỉ tiền gửi, hoạt động rửa tiền ít được tập trung hơn, cho thấy bọn tội phạm đang đa dạng hóa hoạt động của mình để tránh bị các đội thực thi pháp luật và tuân thủ phát hiện và phong tỏa tài sản.

Tổng số tiền được gửi đến thiết bị trộn (mixer) mỗi năm (Chainalysis)

Những điểm nổi bật khác từ báo cáo bao gồm:

Các địa chỉ ví tiền điện tử được gắn cờ đã gửi 22,2 tỷ USD đến các dịch vụ vào năm 2023, giảm so với 31,5 tỷ USD vào năm 2022.
109 địa chỉ gửi tiền trên sàn giao dịch đã nhận được hơn 10 triệu đô la tiền điện tử bất hợp pháp vào mỗi địa chỉ vào năm 2023, tổng cộng nhận được 3,4 tỷ đô la tiền điện tử bất hợp pháp.
Năm ngoái, số tiền gửi đến máy trộn từ các địa chỉ được gắn cờ là 504,3 triệu, giảm 50% so với 1 tỷ USD vào năm 2022.
Việc sử dụng cross-chain bridges chéo đã cho thấy sự tăng trưởng đáng kể vào năm 2023, với 743,8 triệu đô la tiền điện tử nhận được, so với 312,2 triệu đô la vào năm 2022.

Số tiền được di chuyển qua cross-chain bridges(Chainalysis)

Nguồn: bleepingcomputer.com

OpenAI blocks state-sponsored hackers from using ChatGPT

Thu, 22 Feb 2024 00:00:00 GMT

OpenAI has removed accounts used by state-sponsored threat groups from Iran, North Korea, China, and Russia, that were abusing its artificial intelligence chatbot, ChatGPT.

The AI research organization took action against specific accounts associated with the hacking groups that were misusing its large language model (LLM) services for malicious purposes after receiving key information from Microsoft's Threat Intelligence team.

In a separate report, Microsoft provides more details on how and why these advanced threat actors used ChatGPT.

Activity associated with the following threat groups was terminated on the platform:

Forest Blizzard (Strontium) [ Russia ]: Utilized ChatGPT to conduct research into satellite and radar technologies pertinent to military operations and to optimize its cyber operations with scripting enhancements.
Emerald Sleet (Thallium) [ North Korea ]: Leveraged ChatGPT for researching North Korea and generating spear-phishing content, alongside understanding vulnerabilities (like CVE-2022-30190 "Follina") and troubleshooting web technologies.
Crimson Sandstorm (Curium) [ Iran ]: Engaged with ChatGPT for social engineering assistance, error troubleshooting, .NET development, and developing evasion techniques.
Charcoal Typhoon (Chromium) [ China ]: Interacted with ChatGPT to assist in tooling development, scripting, comprehending cybersecurity tools, and generating social engineering content.
Salmon Typhoon (Sodium) [ China ]: Employed LLMs for exploratory inquiries on a wide range of topics, including sensitive information, high-profile individuals, and cybersecurity, to expand their intelligence-gathering tools and evaluate the potential of new technologies for information sourcing.

Generally, the threat actors used the large language models to enhance their strategic and operational capabilities, including reconnaissance, social engineering, evasion tactics, and generic information gathering.

None of the observed cases involve the use of LLMs for directly developing malware or complete custom exploitation tools.

Instead, actual coding assistance concerned lower-level tasks such as requesting evasion tips, scripting, turning antivirus off, and generally the optimization of technical operations.

In January, a report from the United Kingdom's National Cyber Security Centre (NCSC) predicted that by 2025 the operations of sophisticated advanced persistent threats (APTs) will benefit from AI tools across the board, especially in developing evasive custom malware.

Last year, though, according to OpenAI's and Microsoft's findings, there was an uplift in APT attack segments like phishing/social engineering, but the rest was rather exploratory.

OpenAI says it will continue to monitor and disrupt state-backed hackers using specialized monitoring tech, information from industry partners, and dedicated teams tasked with identifying suspicious usage patterns.

"We take lessons learned from these actors' abuse and use them to inform our iterative approach to safety," reads OpenAI's post.

"Understanding how the most sophisticated malicious actors seek to use our systems for harm gives us a signal into practices that may become more widespread in the future, and allows us to continuously evolve our safeguards," the company added.

Source: bleepingcomputer.com

OpenAI chặn tin tặc được nhà nước hậu thuẫn sử dụng ChatGPT

Wed, 21 Feb 2024 05:00:00 GMT

OpenAI đã xóa các tài khoản mà các nhóm đe dọa sử dụng và được nhà nước hậu thuẫn từ Iran, Triều Tiên, Trung Quốc và Nga, những tài khoản đang lạm dụng chatbot trí tuệ nhân tạo của họ, ChatGPT.

OpenAI đã thực hiện hành động chống lại các tài khoản cụ thể có liên quan đến các nhóm hack đang lạm dụng dịch vụ mô hình ngôn ngữ lớn (LLM) của mình cho mục đích xấu sau khi nhận được thông tin quan trọng từ nhóm Threat Intelligence của Microsoft.

Trong một báo cáo riêng, Microsoft cung cấp thêm chi tiết về cách thức và lý do tại sao những tác nhân đe dọa nâng cao này lại sử dụng ChatGPT.

Hoạt động liên quan đến các nhóm đe dọa sau đã bị chấm dứt trên nền tảng:

Forest Blizzard (Strontium) [Nga]: Đã sử dụng ChatGPT để tiến hành nghiên cứu các công nghệ vệ tinh và radar phù hợp với các hoạt động quân sự và để tối ưu hóa các hoạt động mạng của mình bằng các cải tiến về kịch bản.
Emerald Sleet (Thallium) [North Korea]: Tận dụng ChatGPT để nghiên cứu về Triều Tiên và tạo ra nội dung lừa đảo trực tuyến, bên cạnh việc tìm hiểu các lỗ hổng (như CVE-2022-30190 "Follina") và khắc phục sự cố công nghệ web.
Crimson Sandstorm (Curium) [Iran]: Tương tác với ChatGPT để hỗ trợ tấn công phi kỹ thuật (social engineering), khắc phục sự cố, nâng cao .NET và các kỹ thuật lẩn trốn.
Charcoal Typhoon (Chromium) [Trung Quốc]: Đã tương tác với ChatGPT để hỗ trợ phát triển công cụ, viết kịch bản, hiểu các công cụ an ninh mạng và tạo nội dung tấn công phi kỹ thuật (social engineering).
Salmon Typhoon (Sodium) [Trung Quốc]: Đã sử dụng LLM để thực hiện các yêu cầu mang tính khám phá về nhiều chủ đề, bao gồm thông tin nhạy cảm, các cá nhân nổi tiếng và an ninh mạng, để mở rộng các công cụ thu thập thông tin tình báo của họ và đánh giá tiềm năng của các công nghệ mới để tìm nguồn cung cấp thông tin .

Nhìn chung, các tác nhân đe dọa đã sử dụng các mô hình ngôn ngữ lớn để nâng cao khả năng hoạt động và chiến lược của chúng, bao gồm trinh sát,tấn công phi kỹ thuật (social engineering), chiến thuật trốn tránh và thu thập thông tin chung.

Không có trường hợp nào được quan sát liên quan đến việc sử dụng LLM để trực tiếp phát triển phần mềm độc hại hoặc hoàn thành các công cụ khai thác tùy chỉnh.

Thay vào đó, hỗ trợ mã hóa thực tế liên quan đến các nhiệm vụ cấp thấp hơn như yêu cầu mẹo trốn tránh, tạo tập lệnh, tắt phần mềm chống vi-rút và nói chung là tối ưu hóa các hoạt động kỹ thuật.

Vào tháng 1, một báo cáo từ Trung tâm An ninh Mạng Quốc gia (NCSC) của Anh đã dự đoán rằng đến năm 2025, hoạt động của các mối đe dọa liên tục phức tạp (APT) sẽ được hưởng lợi từ các công cụ AI trên diện rộng, đặc biệt là trong việc phát triển phần mềm độc hại tùy chỉnh lẩn tránh.

Tuy nhiên, năm ngoái, theo phát hiện của OpenAI và Microsoft, đã có sự gia tăng trong các phân đoạn tấn công APT như lừa đảo/tấn công phi kỹ thuật (social engineering), nhưng phần còn lại vẫn mang tính khám phá.

OpenAI cho biết họ sẽ tiếp tục theo dõi và ngăn chặn các tin tặc được nhà nước hậu thuẫn bằng cách sử dụng công nghệ giám sát chuyên dụng, thông tin từ các đối tác trong ngành và các nhóm chuyên dụng có nhiệm vụ xác định các kiểu sử dụng đáng ngờ.

Bài đăng của OpenAI cho biết: “Chúng tôi rút ra bài học từ hành vi lạm dụng của những kẻ này và sử dụng chúng để cung cấp thông tin cho cách tiếp cận lặp đi lặp lại của chúng tôi về vấn đề an toàn”.

OpenAI cho biết thêm: “Hiểu được cách những kẻ độc hại tinh vi nhất tìm cách sử dụng hệ thống của chúng tôi để gây hại cho chúng tôi tín hiệu về các hoạt động có thể trở nên phổ biến hơn trong tương lai và cho phép chúng tôi liên tục phát triển các biện pháp bảo vệ của mình”.

Nguồn: bleepingcomputer.com

Chinese hackers infect Dutch military network with malware

Wed, 21 Feb 2024 00:00:00 GMT

A Chinese cyber-espionage group breached the Dutch Ministry of Defence last year and deployed malware on compromised devices, according to the Military Intelligence and Security Service (MIVD) of the Netherlands.

However, despite backdooring the hacked systems, the damage from the breach was limited due to network segmentation.

"The effects of the intrusion were limited because the victim network was segmented from the wider MOD networks," said MIVD and the General Intelligence and Security Service (AIVD) in a joint report.

"The victim network had fewer than 50 users. Its purpose was research and development (R&D) of unclassified projects and collaboration with two third-party research institutes. These organizations have been notified of the incident."

RAT malware survives firmware upgrades

During the follow-up investigation, a previously unknown malware strain named Coathanger, a remote access trojan (RAT) designed to infect Fortigate network security appliances, was also discovered on the breached network.

"Notably, the COATHANGER implant is persistent, recovering after every reboot by injecting a backup of itself in the process responsible for rebooting the system. Moreover, the infection survives firmware upgrades," the two Dutch agencies warned.

"Even fully patched FortiGate devices may therefore be infected, if they were compromised before the latest patch was applied."

The malware operates stealthily and persistently, hiding itself by intercepting system calls to avoid revealing its presence. It also persists through system reboots and firmware upgrades.

While the attacks weren't attributed to a specific threat group, MIVD linked this incident with high confidence to a Chinese state-sponsored hacking group and added that this malicious activity is part of a broader pattern of Chinese political espionage targeting the Netherlands and its allies.

FortiGate firewalls under attack

The Chinese hackers deployed the Coathanger malware for cyber espionage purposes on vulnerable FortiGate firewalls they compromised by exploiting the CVE-2022-42475 FortiOS SSL-VPN vulnerability.

CVE-2022-42475 was also exploited as a zero-day in attacks targeting government organizations and related targets, as Fortinet disclosed in January 2023.

These attacks also share many similarities with another Chinese hacking campaign that targeted unpatched SonicWall Secure Mobile Access (SMA) appliances with cyber-espionage malware also designed to survive firmware upgrades.

Organizations are urged to promptly apply security patches from vendors for all internet-facing (edge) devices as soon as they become available to prevent similar attack attempts.

"For the first time, the MIVD has chosen to make public a technical report on the working methods of Chinese hackers. It is important to attribute such espionage activities by China," said Defense Minister Kajsa Ollongren.

"In this way, we increase international resilience against this type of cyber espionage."

Source: bleepingcomputer.com

Tin tặc Trung Quốc lây nhiễm phần mềm độc hại vào mạng quân sự Hà Lan

Tue, 20 Feb 2024 05:00:00 GMT

Theo Cơ quan An ninh và Tình báo Quân đội (MIVD) của Hà Lan, một nhóm gián điệp mạng Trung Quốc đã xâm nhập Bộ Quốc phòng Hà Lan vào năm ngoái và triển khai phần mềm độc hại trên các thiết bị bị xâm nhập.

Tuy nhiên, mặc dù đã cài đặt backdoor cho các hệ thống bị tấn công nhưng thiệt hại do vi phạm vẫn bị hạn chế do phân đoạn mạng.

MIVD và Tổng cục Tình báo và An ninh (AIVD) cho biết trong một báo cáo chung: “Tác động của vụ xâm nhập bị hạn chế do mạng nạn nhân được phân chia từ các mạng MOD rộng hơn”.

“Mạng nạn nhân có ít hơn 50 người dùng. Mục đích của nó là nghiên cứu và phát triển (R&D) các dự án chưa được phân loại và hợp tác với hai viện nghiên cứu của bên thứ ba. Các tổ chức này đã được thông báo về vụ việc.”

Phần mềm độc hại RAT vẫn tồn tại sau khi nâng cấp chương trình cơ sở

Trong quá trình điều tra tiếp theo, một loại phần mềm độc hại chưa được biết đến trước đây có tên Coathanger, một trojan truy cập từ xa (RAT) được thiết kế để lây nhiễm các thiết bị bảo mật mạng Fortigate, cũng được phát hiện trên mạng bị tấn công.

Hai cơ quan Hà Lan cảnh báo: “Đáng chú ý là bộ cấy COATHANGER vẫn tồn tại dai dẳng, phục hồi sau mỗi lần khởi động lại bằng cách đưa một bản sao lưu của chính nó vào quá trình chịu trách nhiệm khởi động lại hệ thống. Hơn nữa, sự lây nhiễm vẫn tồn tại sau khi nâng cấp chương trình cơ sở”.

"Do đó, ngay cả các thiết bị FortiGate đã được vá đầy đủ cũng có thể bị nhiễm virus nếu chúng bị xâm phạm trước khi áp dụng bản vá mới nhất."

Phần mềm độc hại hoạt động lén lút và liên tục, ẩn mình bằng cách chặn các cuộc gọi hệ thống để tránh bị phát hiện. Nó cũng vẫn tồn tại thông qua việc khởi động lại hệ thống và nâng cấp chương trình cơ sở.

Mặc dù các cuộc tấn công không được quy cho một nhóm đe dọa cụ thể, nhưng MIVD rất tin tưởng liên kết vụ việc này với một nhóm hack do nhà nước Trung Quốc tài trợ và nói thêm rằng hoạt động độc hại này là một phần trong mô hình gián điệp chính trị rộng lớn hơn của Trung Quốc nhắm vào Hà Lan và các đồng minh của nước này.

Tường lửa FortiGate đang bị tấn công

Tin tặc Trung Quốc đã triển khai phần mềm độc hại Coathanger cho mục đích gián điệp mạng trên tường lửa FortiGate dễ bị tấn công mà chúng đã xâm phạm bằng cách khai thác lỗ hổng CVE-2022-42475 FortiOS SSL-VPN.

CVE-2022-42475 cũng bị khai thác như lỗ hổng zero-day trong các cuộc tấn công nhắm vào các tổ chức chính phủ và các mục tiêu liên quan, như Fortinet tiết lộ vào tháng 1 năm 2023.

Các cuộc tấn công này cũng có nhiều điểm tương đồng với một chiến dịch hack khác của Trung Quốc nhắm vào các thiết bị SonicWall Secure Mobile Access (SMA) chưa được vá bằng phần mềm độc hại gián điệp mạng cũng được thiết kế để tồn tại khi nâng cấp chương trình cơ sở.

Các tổ chức được khuyến khích áp dụng kịp thời các bản vá bảo mật từ các nhà cung cấp cho tất cả các thiết bị kết nối Internet (cạnh) ngay khi chúng có sẵn để ngăn chặn các nỗ lực tấn công tương tự.

Bộ trưởng Quốc phòng Kajsa Ollongren cho biết: “Lần đầu tiên MIVD chọn công khai một báo cáo kỹ thuật về phương pháp làm việc của tin tặc Trung Quốc. Điều quan trọng là phải quy kết các hoạt động gián điệp như vậy của Trung Quốc”.

“Bằng cách này, chúng tôi tăng cường khả năng phục hồi quốc tế chống lại loại gián điệp mạng này.”

Nguồn: bleepingcomputer.com

Data breach at French healthcare services firm puts millions at risk

Tue, 20 Feb 2024 00:00:00 GMT

French healthcare services firm Viamedis suffered a cyberattack that exposed the data of policyholders and healthcare professionals in the country.

Though the company's website remains offline at the time of writing, an announcement was posted on LinkedIn warning of the data breach.

The data exposed in the attack includes a beneficiary's marital status, date of birth, social security number, name of health insurer, and guarantees open to third-party payment.

The company has clarified that the breached systems did not store people's banking information, postal details, telephone numbers, and email addresses.

Viamedis data breach notice

For healthcare professionals, Viamedis says they will be sending different notifications about what data was exposed.

Viamedis has informed impacted health organizations, filed a complaint with the public prosecutor, and notified the authorities (CNIL, ANSSI) accordingly. Currently, the company continues to investigate the impact of the cyberattack.

Regarding the scale of the breach, Viamedis has not stated the number of exposed individuals, but it is known that it manages payments for 84 healthcare organizations covering 20 million insured individuals.

The firm's General Director, Christophe Cande, told Agence France-Presse (AFP) that an investigation is underway to determine the scope of the breach.

"To date, we do not have the number of insured individuals impacted; we are still in the process of investigation." - Cande (GD Viamedis)

Cande has also clarified that the cyberattack wasn't ransomware. Instead, he said a successful phishing attack on an employee allowed the threat actor to breach its systems.

One of the organizations working with Viamedis, Malakoff Humanis, has posted a notice on its website confirming the indirect impact of the Viamedis data breach.

Malakoff's notice banner

The company is also sending data breach notifications to impacted customers to inform them of the cyberattack and disruption of services.

Their message reiterates the information disclosed in the Viamedis notice and assures clients that no banking, medical, or contact details stored on the platforms have been compromised.

Malakoff Humanis says access to user accounts and reimbursement claims remains available. However, the temporary disconnection of the Viamedis platform is expected to affect the provision of certain healthcare services.

Other service providers using Viamedis, including Carte Blanche Partenaires, Itelis, Kalixia, Santéclair, and Audiens, are expected to experience similar situations.

Local media in France reported that Viamedis wasn't the only target of the cyberattack. Reportedly, a company named "Almerys," which is also a payment processor for healthcare organizations, was also targeted.

Source: bleepingcomputer.com

Tấn công dữ liệu tại công ty dịch vụ chăm sóc sức khỏe của Pháp khiến hàng triệu khách hàng gặp rủi ro

Mon, 19 Feb 2024 05:00:00 GMT

Công ty dịch vụ chăm sóc sức khỏe của Pháp Viamedis đã phải hứng chịu một cuộc tấn công mạng làm lộ dữ liệu của các chủ hợp đồng bảo hiểm và các chuyên gia chăm sóc sức khỏe trong nước.

Mặc dù trang web của công ty vẫn ngoại tuyến tại thời điểm viết bài, nhưng một thông báo đã được đăng trên LinkedIn cảnh báo về việc vi phạm dữ liệu.

Dữ liệu bị lộ trong cuộc tấn công bao gồm tình trạng hôn nhân của người thụ hưởng, ngày sinh, số an sinh xã hội, tên công ty bảo hiểm y tế và bảo đảm mở cho bên thứ ba thanh toán.

Công ty đã làm rõ rằng các hệ thống bị vi phạm không lưu trữ thông tin ngân hàng, chi tiết bưu điện, số điện thoại và địa chỉ email của mọi người.

Thông báo vi phạm dữ liệu của Viamedis

Đối với các chuyên gia chăm sóc sức khỏe, Viamedis cho biết họ sẽ gửi các thông báo khác nhau về dữ liệu nào bị lộ.

Viamedis đã thông báo cho các tổ chức y tế bị ảnh hưởng, nộp đơn khiếu nại lên công tố viên và thông báo cho cơ quan chức năng (CNIL, ANSSI). Hiện tại, công ty đang tiếp tục điều tra tác động của vụ tấn công mạng.

Về quy mô của cuộc tấn công, Viamedis chưa nêu rõ số lượng cá nhân bị lộ, nhưng được biết rằng họ quản lý các khoản thanh toán cho 84 tổ chức chăm sóc sức khỏe bao gồm 20 triệu cá nhân được bảo hiểm.

Tổng giám đốc của công ty, Christophe Cande, nói với Agence France-Presse (AFP) rằng một cuộc điều tra đang được tiến hành để xác định phạm vi tấn công.

“Cho đến nay, chúng tôi không biết số lượng người được bảo hiểm bị ảnh hưởng; chúng tôi vẫn đang trong quá trình điều tra.” - Cande (GD Viamedis) cho biết.

Cande cũng đã làm rõ rằng cuộc tấn công mạng không phải là ransomware. Thay vào đó, ông cho biết một cuộc tấn công lừa đảo thành công nhằm vào một nhân viên đã cho phép kẻ đe dọa vi phạm hệ thống của họ.

Một trong những tổ chức làm việc với Viamedis, Malakoff Humanis, đã đăng thông báo trên trang web của mình xác nhận tác động gián tiếp của vụ vi phạm dữ liệu Viamedis.

Banner thông báo của Malakoff

Viamedis cũng đang gửi thông báo vi phạm dữ liệu tới những khách hàng bị ảnh hưởng để thông báo cho họ về cuộc tấn công mạng và sự gián đoạn dịch vụ.

Trong đó nhắc lại thông tin được tiết lộ trong thông báo của Viamedis và đảm bảo với khách hàng rằng không có chi tiết liên hệ, y tế hoặc ngân hàng nào được lưu trữ trên nền tảng bị xâm phạm.

Malakoff Humanis cho biết quyền truy cập vào tài khoản người dùng và yêu cầu hoàn tiền vẫn có sẵn. Tuy nhiên, việc ngắt kết nối tạm thời của nền tảng Viamedis dự kiến sẽ ảnh hưởng đến việc cung cấp một số dịch vụ chăm sóc sức khỏe nhất định.

Các nhà cung cấp dịch vụ khác sử dụng Viamedis, bao gồm Carte Blanche Partenaires, Itelis, Kalixia, Santéclair và Audiens, dự kiến sẽ gặp phải tình huống tương tự.

Truyền thông địa phương ở Pháp đưa tin Viamedis không phải là mục tiêu duy nhất của cuộc tấn công mạng. Được biết, một công ty có tên "Almerys", cũng là đơn vị xử lý thanh toán cho các tổ chức chăm sóc sức khỏe, cũng là mục tiêu.

Nguồn: bleepingcomputer.com

Verizon insider data breach hits over 63,000 employees

Mon, 19 Feb 2024 00:00:00 GMT

Verizon Communications is warning that an insider data breach impacts almost half its workforce, exposing sensitive employee information.

Verizon is an American telecommunications and mass media company providing cable TV, telecommunications, and internet services to over 150 million subscribers across the U.S. The company has more than 117,000 workers and has an annual revenue of 136.8 billion (2022).

A data breach notification shared with the Office of the Maine Attorney General reveals that a Verizon employee gained unauthorized access to a file containing sensitive employee information on September 21, 2023.

Verizon discovered the breach on December 12, 2023, nearly three months later, and determined it contained sensitive information of 63,206 employees.

The data that was exposed varies per employee but could include:

Full name
Physical address
Social Security number (SSN)
National ID
Gender
Union affiliation
Date of birth
Compensation information

However, this incident does not appear to impact customer information.

Verizon says it is actively working towards strengthening its internal security to prevent similar incidents from occurring again in the future and noted that at this time, there are no signs of malicious exploitation or evidence of the data having been widely leaked.

"At this time, we have no evidence that this information has been misused or shared outside of Verizon as a result of this issue," reads the Verizon data breach notification.

"We are working to ensure our technical controls are enhanced to help prevent this type of situation from reoccurring and are notifying applicable regulators about the matter."

To protect exposed individuals from the risks posed by the security incident, Verizon has enclosed instructions on enrolling in a two-year identity theft protection and credit monitoring service in the notices sent to impacted employees.

BleepingComputer contacted Verizon to learn if the incident has been referred to law enforcement and we received the following reply:

Verizon recently discovered that an employee inappropriately handled a file containing certain personal information about some Verizon employees.

At this point, we have no reason to believe the information was improperly used or that it was shared outside of Verizon.

We are notifying the affected employees and applicable regulators about the matter. Our internal review of this matter continues.

We have not referred this incident to law enforcement. There is no indication of malicious intent nor do we believe the information was shared externally. - Rich Young, Verizon spokesman

Verizon has had a relatively calm period regarding cybersecurity incidents in the past few years.

The firm's last major incident was announced in October 2022, when hackers attempted to perform SIM swaps to hijack customer accounts.

Although Verizon says it blocked the activity and reversed unauthorized changes, sensitive customer information such as partial credit card data, names, telephone numbers, billing addresses, and other service-related info was exposed.

Source: bleepingcomputer.com

AnyDesk says hackers breached its production servers, reset passwords

Sat, 17 Feb 2024 00:00:00 GMT

AnyDesk confirmed on February 2 that it suffered a recent cyberattack that allowed hackers to gain access to the company's production systems. BleepingComputer has learned that source code and private code signing keys were stolen during the attack.

AnyDesk is a remote access solution that allows users to remotely access computers over a network or the internet. The program is very popular with the enterprise, which use it for remote support or to access colocated servers.

The software is also popular among threat actors who use it for persistent access to breached devices and networks.

The company reports having 170,000 customers, including 7-Eleven, Comcast, Samsung, MIT, NVIDIA, SIEMENS, and the United Nations.

AnyDesk hacked

In a statement shared with BleepingComputer late Friday afternoon, on February 2, AnyDesk says they first learned of the attack after detecting indications of an incident on their production servers.

After conducting a security audit, they determined their systems were compromised and activated a response plan with the help of cybersecurity firm CrowdStrike.

AnyDesk did not share details on whether data was stolen during the attack. However, BleepingComputer has learned that the threat actors stole source code and code signing certificates.

The company also confirmed ransomware was not involved but didn't share too much information about the attack other than saying their servers were breached, with the advisory mainly focusing on how they responded to the incident.

As part of their response, AnyDesk says they have revoked security-related certificates and remediated or replaced systems as necessary. They also reassured customers that AnyDesk was safe to use and that there was no evidence of end-user devices being affected by the incident.

"We can confirm that the situation is under control and it is safe to use AnyDesk. Please ensure that you are using the latest version, with the new code signing certificate," AnyDesk said in a public statement.

While the company says that no authentication tokens were stolen, out of caution, AnyDesk is revoking all passwords to their web portal and suggests changing the password if it's used on other sites.

"AnyDesk is designed in a way which session authentication tokens cannot be stolen. They only exist on the end user's device and are associated with the device fingerprint. These tokens never touch our systems, "AnyDesk told BleepingComputer in response to our questions about the attack.

"We have no indication of session hijacking as to our knowledge this is not possible."

The company has already begun replacing stolen code signing certificates, with Günter Born of BornCity first reporting that they are using a new certificate in AnyDesk version 8.0.8, released on January 29th. The only listed change in the new version is that the company switched to a new code signing certificate and will revoke the old one soon.

BleepingComputer looked at previous versions of the software, and the older executables were signed under the name 'philandro Software GmbH' with serial number 0dbf152deaf0b981a8a938d53f769db8. The new version is now signed under 'AnyDesk Software GmbH,' with a serial number of 0a8177fcd8936a91b5e0eddf995b0ba5, as shown below.

Signed AnyDesk 8.0.6 (left) vs AnyDesk 8.0.8 (right)
Source: BleepingComputer

Certificates are usually not invalidated unless they have been compromised, such as being stolen in attacks or publicly exposed.

While AnyDesk had not shared when the breach occurred, Born reported that AnyDesk suffered a four-day outage starting on January 29th, during which the company disabled the ability to log in to the AnyDesk client.

"my.anydesk II is currently undergoing maintenance, which is expected to last for the next 48 hours or less," reads the AnyDesk status message page.

"You can still access and use your account normally. Logging in to the AnyDesk client will be restored once the maintenance is complete."

On February 1, access was restored, allowing users to log in to their accounts, but AnyDesk did not provide any reason for the maintenance in the status updates.

However, AnyDesk has confirmed to BleepingComputer that this maintenance is related to the cybersecurity incident.

It is strongly recommended that all users switch to the new version of the software, as the old code signing certificate will soon be revoked.

Furthermore, while AnyDesk says that passwords were not stolen in the attack, the threat actors did gain access to production systems, so it is strongly advised that all AnyDesk users change their passwords. Furthermore, if they use their AnyDesk password at other sites, they should be changed there as well.

Every week, it feels like we learn of a new breach against well-known companies.

The night of February 1, Cloudflare disclosed that they were hacked on Thanksgiving using authentication keys stolen during last years Okta cyberattack.

Three weeks ago, Microsoft also revealed that they were hacked by Russian state-sponsored hackers named Midnight Blizzard, who also attacked HPE in May.

Source: BleepingComputer

AnyDesk cho biết tin tặc đã xâm nhập vào máy chủ và đặt lại mật khẩu

Fri, 16 Feb 2024 05:00:00 GMT

Ngày 2 tháng 2, AnyDesk xác nhận họ đã hứng chịu một cuộc tấn công mạng gần đây cho phép tin tặc truy cập vào hệ thống sản xuất của công ty. BleepingComputer đã biết rằng mã nguồn và khóa ký mã riêng đã bị đánh cắp trong cuộc tấn công.

AnyDesk là giải pháp truy cập từ xa cho phép người dùng truy cập máy tính từ xa qua mạng hoặc internet. Chương trình này rất phổ biến với các doanh nghiệp sử dụng nó để hỗ trợ từ xa hoặc truy cập vào các máy chủ được đặt cùng vị trí.

Phần mềm này cũng phổ biến đối với những kẻ đe dọa sử dụng nó để truy cập liên tục vào các thiết bị và mạng bị vi phạm.

AnyDesk báo cáo có 170.000 khách hàng, bao gồm 7-Eleven, Comcast, Samsung, MIT, NVIDIA, SIEMENS và Liên Hợp Quốc.

AnyDesk đã bị hack

Trong một thông tin được chia sẻ với BleepingComputer vào chiều thứ Sáu, ngày 2 tháng 2, AnyDesk cho biết lần đầu tiên họ biết về cuộc tấn công sau khi phát hiện dấu hiệu về sự cố trên máy chủ sản phẩm của họ.

Sau khi tiến hành kiểm tra bảo mật, họ xác định hệ thống của mình đã bị xâm phạm và kích hoạt kế hoạch ứng phó với sự trợ giúp của công ty an ninh mạng CrowdStrike.

AnyDesk không chia sẻ thông tin chi tiết về việc liệu dữ liệu có bị đánh cắp trong cuộc tấn công hay không. Tuy nhiên, BleepingComputer đã phát hiện ra rằng kẻ đe dọa đã đánh cắp mã nguồn và chứng nhận số (code signing certificates).

AnyDesk cũng xác nhận rằng cuộc tấn công không liên quan đến ransomware nhưng không chia sẻ quá nhiều thông tin về cuộc tấn công ngoài việc nói rằng máy chủ của họ đã bị xâm phạm, với lời khuyên chủ yếu tập trung vào cách họ phản ứng với cuộc tấn công.

AnyDesk cho biết thêm đã thu hồi các chứng chỉ liên quan đến bảo mật và khắc phục hoặc thay thế các hệ thống nếu cần thiết. AnyDesk cũng trấn an khách hàng rằng AnyDesk an toàn khi sử dụng và không có bằng chứng nào cho thấy thiết bị của người dùng cuối bị ảnh hưởng bởi sự cố.

AnyDesk cho biết trong một tuyên bố công khai: “Chúng tôi có thể xác nhận rằng tình hình đã được kiểm soát và việc sử dụng AnyDesk là an toàn. Hãy đảm bảo rằng bạn đang sử dụng phiên bản mới nhất với chứng chỉ ký mã mới”.

Mặc dù AnyDesk nói rằng không có mã thông báo xác thực nào bị đánh cắp nhưng để thận trọng, AnyDesk đang thu hồi tất cả mật khẩu đối với cổng web của họ và đề xuất thay đổi mật khẩu nếu nó được sử dụng trên các trang web khác.

"AnyDesk được thiết kế theo cách mà mã thông báo xác thực phiên không thể bị đánh cắp. Chúng chỉ tồn tại trên thiết bị của người dùng cuối và được liên kết với dấu vân tay của thiết bị. Những mã thông báo này không bao giờ vào được hệ thống của chúng tôi", AnyDesk nói với BleepingComputer khi trả lời câu hỏi của chúng tôi về cuộc tấn công .

“Chúng tôi không có dấu hiệu nào về việc chiếm quyền điều khiển phiên vì theo hiểu biết của chúng tôi thì điều này là không thể xảy ra.”

AnyDesk đã bắt đầu thay thế các chứng chỉ ký mã bị đánh cắp, với báo cáo đầu tiên của Günter Born of BornCity rằng họ đang sử dụng chứng chỉ mới trong AnyDesk phiên bản 8.0.8, được phát hành vào ngày 29 tháng 1. Thay đổi duy nhất được liệt kê trong phiên bản mới là công ty đã chuyển sang chứng nhận số (code signing certificates) mới và sẽ sớm thu hồi chứng chỉ cũ.

BleepingComputer đã xem xét các phiên bản trước của phần mềm và các tệp thực thi cũ hơn đã được ký dưới tên 'philandro Software GmbH' với số sê-ri 0dbf152deaf0b981a8a938d53f769db8. Phiên bản mới hiện được ký tên là 'AnyDesk Software GmbH', với số sê-ri là 0a8177fcd8936a91b5e0eddf995b0ba5, như hiển thị bên dưới.

Chứng chỉ đã ký AnyDesk 8.0.6 (trái) so với AnyDesk 8.0.8 (phải)

Nguồn: BleepingComputer

Chứng chỉ thường không bị vô hiệu trừ khi bị xâm nhập, chẳng hạn như bị đánh cắp trong các cuộc tấn công hoặc bị lộ công khai.

Mặc dù AnyDesk không chia sẻ thời điểm xảy ra vi phạm nhưng Born báo cáo rằng AnyDesk đã ngừng hoạt động 4 ngày bắt đầu từ ngày 29 tháng 1, trong thời gian đó công ty đã vô hiệu hóa khả năng đăng nhập vào ứng dụng khách AnyDesk.

Trang thông báo trạng thái AnyDesk cho biết: "my.anydesk II hiện đang được bảo trì, dự kiến sẽ kéo dài trong 48 giờ tới hoặc ít hơn".

"Bạn vẫn có thể truy cập và sử dụng tài khoản của mình một cách bình thường. Việc đăng nhập vào ứng dụng khách AnyDesk sẽ được khôi phục sau khi quá trình bảo trì hoàn tất."

Ngày 1 tháng 2, quyền truy cập đã được khôi phục, cho phép người dùng đăng nhập vào tài khoản của họ, nhưng AnyDesk không đưa ra bất kỳ lý do nào cho việc bảo trì.

AnyDesk xác nhận với BleepingComputer rằng lần bảo trì này có liên quan đến sự cố an ninh mạng.

Chúng tôi đặc biệt khuyến nghị tất cả người dùng nên chuyển sang phiên bản mới của phần mềm vì chứng chỉ ký mã cũ sẽ sớm bị thu hồi.

Hơn nữa, mặc dù AnyDesk nói rằng mật khẩu không bị đánh cắp trong cuộc tấn công, nhưng các tác nhân đe dọa đã có quyền truy cập vào hệ thống sản xuất, do đó, tất cả người dùng AnyDesk nên thay đổi mật khẩu của họ. Hơn nữa, nếu họ sử dụng mật khẩu AnyDesk của mình tại các trang web khác, họ cũng nên thay đổi mật khẩu đó.

Mỗi tuần, chúng ta biết thêm nhiều thông tin về hành vi tấn công mới nhằm vào các công ty nổi tiếng.

Đêm ngày 1 tháng 2, Cloudflare tiết lộ rằng họ đã bị tấn công vào Lễ Tạ ơn bằng cách sử dụng khóa xác thực bị đánh cắp trong cuộc tấn công mạng Okta năm ngoái.

Ba tuần trước, Microsoft cũng tiết lộ rằng họ đã bị tấn công bởi hacker được nhà nước Nga tên là Midnight Blizzard tấn công, kẻ cũng đã tấn công HPE vào tháng 5.

Nguồn: bleepingcomputer.com

Vi phạm dữ liệu nội bộ của Verizon tấn công hơn 63.000 nhân viên

Fri, 16 Feb 2024 05:00:00 GMT

Verizon Communications đang cảnh báo rằng vi phạm dữ liệu nội bộ sẽ ảnh hưởng đến gần một nửa lực lượng lao động của họ, làm lộ thông tin nhạy cảm của nhân viên.

Verizon là một công ty viễn thông và truyền thông đại chúng của Mỹ cung cấp dịch vụ truyền hình cáp, viễn thông và internet cho hơn 150 triệu thuê bao trên khắp nước Mỹ. Công ty có hơn 117.000 công nhân và có doanh thu hàng năm là 136,8 tỷ USD (2022).

Một thông báo vi phạm dữ liệu được chia sẻ với Văn phòng Bộ trưởng Tư pháp Maine tiết lộ rằng một nhân viên của Verizon đã có được quyền truy cập trái phép vào một tệp chứa thông tin nhạy cảm của nhân viên vào ngày 21 tháng 9 năm 2023.

Verizon phát hiện ra tấn công vào ngày 12 tháng 12 năm 2023, gần ba tháng sau đó và xác định có chứa thông tin nhạy cảm của 63.206 nhân viên.

Dữ liệu được tiết lộ khác nhau tùy theo nhân viên nhưng có thể bao gồm:

Họ và tên
Địa chỉ
Số An Sinh Xã Hội (SSN)
CMND
Giới tính
Liên kết công đoàn
Ngày sinh
Thông tin đền bù

Tuy nhiên, sự việc này dường như không ảnh hưởng tới thông tin khách hàng.

Verizon cho biết họ đang tích cực nỗ lực tăng cường an ninh nội bộ để ngăn chặn các sự cố tương tự xảy ra lần nữa trong tương lai và lưu ý rằng tại thời điểm này, không có dấu hiệu khai thác độc hại hoặc bằng chứng nào cho thấy dữ liệu đã bị rò rỉ rộng rãi.

Thông báo vi phạm dữ liệu của Verizon cho biết: “Tại thời điểm này, chúng tôi không có bằng chứng nào cho thấy thông tin này đã bị lạm dụng hoặc chia sẻ bên ngoài Verizon do sự cố này”.

“Chúng tôi đang nỗ lực đảm bảo các biện pháp kiểm soát kỹ thuật của mình được tăng cường nhằm giúp ngăn chặn tình huống này tái diễn và đang thông báo cho các cơ quan quản lý hiện hành về vấn đề này.”

Để bảo vệ những cá nhân bị tấn công khỏi những rủi ro do sự cố an ninh gây ra, Verizon đã kèm theo hướng dẫn về việc đăng ký dịch vụ giám sát tín dụng và bảo vệ chống trộm danh tính trong hai năm trong thông báo gửi cho nhân viên bị ảnh hưởng.

BleepingComputer đã liên hệ với Verizon để tìm hiểu xem vụ việc có được chuyển đến cơ quan thực thi pháp luật hay không và chúng tôi đã nhận được câu trả lời sau:

Verizon gần đây đã phát hiện ra rằng một nhân viên đã xử lý một cách không thích hợp một tệp chứa thông tin cá nhân nhất định về một số nhân viên của Verizon.

Tại thời điểm này, chúng tôi không có lý do gì để tin rằng thông tin đó đã được sử dụng không đúng cách hoặc thông tin đó đã được chia sẻ bên ngoài Verizon.

Chúng tôi đang thông báo cho các nhân viên bị ảnh hưởng và các cơ quan quản lý hiện hành về vấn đề này. Đánh giá nội bộ của chúng tôi về vấn đề này vẫn tiếp tục.

Chúng tôi chưa chuyển vụ việc này tới cơ quan thực thi pháp luật. Không có dấu hiệu nào cho thấy mục đích xấu và chúng tôi cũng không tin rằng thông tin đã được chia sẻ ra bên ngoài. - Rich Young, phát ngôn viên của Verizon

Verizon đã có một khoảng thời gian tương đối yên bình liên quan đến các sự cố an ninh mạng trong vài năm qua.

Sự cố lớn gần đây nhất của Verizon được thông báo vào tháng 10 năm 2022, khi tin tặc cố thực hiện hoán đổi SIM để chiếm đoạt tài khoản của khách hàng.

Mặc dù Verizon cho biết họ đã chặn hoạt động này và đảo ngược các thay đổi trái phép nhưng thông tin nhạy cảm của khách hàng như một phần dữ liệu thẻ tín dụng, tên, số điện thoại, địa chỉ thanh toán và thông tin liên quan đến dịch vụ khác đã bị lộ.

Nguồn: bleepingcomputer.com

Lurie Children's Hospital took systems offline after cyberattack

Fri, 16 Feb 2024 00:00:01 GMT

Lurie Children's Hospital in Chicago was forced to take IT systems offline after a cyberattack, disrupting normal operations and delaying medical care in some instances.

Lurie Children's is a Chicago-based pediatric acute care hospital with 360 beds, 1,665 physicians covering 70 sub-specialties, and 4,000 medical staff and employees. It is one of the most important pediatric hospitals in the country, providing care for over 200,000 children annually.

On February 1, the hospital announced on its website and social media platforms that it is actively responding to a cybersecurity incident, which unfortunately resulted in network systems being taken offline to prevent the attack's spread.

"Lurie Children's is actively responding to a cybersecurity matter," disclosed Lurie Children's Hospital on February 1.

"We are taking this very seriously, are investigating with the support of leading experts, and are working in collaboration with law enforcement agencies. As part of our response to this matter, we have taken network systems offline." disclosed Lurie Children's Hospital on February 1.

The healthcare provider previously stated that the incident impacted the hospital's internet, email, phone services, and ability to access the MyChat platform. Those suffering from a healthcare emergency were advised to dial 911 or visit their nearest emergency department.

"As Illinois' leading provider for pediatric care, our overarching priority is to continue providing safe, quality care to our patients and the communities we serve," continues the hospital's announcement.

"Lurie Children's is open and providing care to patients with as few disruptions as possible."

Local media report that scheduled procedures have been delayed due to the cyberattack, ultrasound and CT scan results are unavailable, and prescriptions are given in paper form.

Also, the hospital has reverted to following a first-come, first-served approach, prioritizing emergency situations.

At the time of writing, no major ransomware gangs have assumed responsibility for the attack on Lurie Children's Hospital.

Despite the so-called guidelines set by ransomware operators, which instruct affiliates to refrain from targeting hospitals, various ransomware gangs ignore these policies and continue to target healthcare organizations.

This is because they either don't care to enforce these policies or because these guidelines are merely a facade to mask their unrelenting pursuit of financial gain.

Two recent examples of this are the attacks on the Capital Health hospital network and Saint Anthony Hospital in the U.S. and the Katholische Hospitalvereinigung Ostwestfalen (KHO) hospitals in Germany, all conducted by the Lockbit ransomware operation, which claims to have strict policies preventing attacks on hospitals.

Source: bleepingcomputer.com

Bệnh viện nhi Lurie đã ngừng hoạt động hệ thống sau cuộc tấn công mạng

Thu, 15 Feb 2024 05:00:00 GMT

Bệnh viện Nhi đồng Lurie ở Chicago đã buộc phải ngừng hoạt động các hệ thống CNTT sau một cuộc tấn công mạng, làm gián đoạn hoạt động bình thường và trì hoãn việc chăm sóc y tế trong một số trường hợp.

Lurie Children's là bệnh viện chăm sóc trẻ em cấp tính có trụ sở tại Chicago với 360 giường, 1.665 bác sĩ phụ trách 70 chuyên khoa và 4.000 nhân viên và nhân viên y tế. Đây là một trong những bệnh viện nhi quan trọng nhất cả nước, chăm sóc hơn 200.000 trẻ em mỗi năm.

Ngày 1 tháng 2, bệnh viện đã thông báo trên trang web và các nền tảng truyền thông xã hội rằng họ đang tích cực ứng phó với sự cố an ninh mạng, điều này không may dẫn đến việc hệ thống mạng bị ngoại tuyến để ngăn chặn cuộc tấn công lây lan.

Bệnh viện Nhi đồng Lurie tiết lộ ngày 1 tháng 2: “Lurie Children's đang tích cực ứng phó với vấn đề an ninh mạng”.

“Chúng tôi đang xem xét vấn đề này một cách rất nghiêm túc, đang điều tra với sự hỗ trợ của các chuyên gia hàng đầu và đang cộng tác với các cơ quan thực thi pháp luật. Để phản ứng với vấn đề này, chúng tôi đã đưa các hệ thống mạng vào trạng thái ngoại tuyến.” Bệnh viện Nhi đồng Lurie tiết lộ.

Nhà cung cấp dịch vụ chăm sóc sức khỏe trước đó đã tuyên bố rằng vụ việc đã ảnh hưởng đến dịch vụ internet, email, điện thoại và khả năng truy cập nền tảng MyChat của bệnh viện. Những người đang trong tình trạng khẩn cấp về chăm sóc sức khỏe nên gọi số 911 hoặc đến phòng cấp cứu gần nhất.

Thông báo của bệnh viện: “Là nhà cung cấp dịch vụ chăm sóc trẻ em hàng đầu của Illinois, ưu tiên hàng đầu của chúng tôi là tiếp tục cung cấp dịch vụ chăm sóc an toàn, chất lượng cho bệnh nhân và cộng đồng mà chúng tôi phục vụ”.

"Lurie Children's luôn mở cửa và cung cấp dịch vụ chăm sóc cho bệnh nhân với ít sự gián đoạn nhất có thể."

Phương tiện truyền thông địa phương đưa tin rằng các thủ tục theo lịch trình đã bị trì hoãn do cuộc tấn công mạng, kết quả siêu âm và chụp CT không có sẵn và đơn thuốc được cung cấp dưới dạng giấy.

Ngoài ra, bệnh viện đã quay trở lại theo nguyên tắc ai đến trước được phục vụ trước, ưu tiên các tình huống khẩn cấp.

Tại thời điểm viết bài, không có băng đảng ransomware lớn nào nhận trách nhiệm về vụ tấn công Bệnh viện Nhi đồng Lurie.

Bất chấp các hướng dẫn do các nhà khai thác ransomware đặt ra, trong đó hướng dẫn việc hạn chế nhắm mục tiêu vào bệnh viện tuy nhiên, nhiều nhóm ransomware khác nhau đã bỏ qua các hướng dẫn này và tiếp tục nhắm mục tiêu vào các tổ chức chăm sóc sức khỏe.

Điều này là do chúng không quan tâm đến việc thực thi các hướng dẫn này hoặc vì những hướng dẫn này chỉ là bề ngoài để che giấu việc chúng không ngừng theo đuổi lợi ích tài chính.

Hai ví dụ gần đây về điều này là các cuộc tấn công vào mạng lưới bệnh viện Capital Health và Bệnh viện Saint Anthony ở Hoa Kỳ và các bệnh viện Katholische Hospitalvereinigung Ostwestfalen (KHO) ở Đức, tất cả đều được thực hiện bởi hoạt động ransomware Lockbit, tổ chức tuyên bố có chính sách nghiêm ngặt ngăn chặn các cuộc tấn công vào bệnh viện.

Nguồn: bleepingcomputer.com

BTC-e server admin indicted for laundering ransom payments, stolen crypto

Thu, 15 Feb 2024 00:00:00 GMT

Aliaksandr Klimenka, a Belarusian and Cypriot national, has been indicted in the U.S. for his involvement in an international cybercrime money laundering operation.

The U.S. Department of Justice announcement says that Klimenka controlled the unlicensed digital currency exchange BTC-e, the technology services company Soft-FX, and the financial company FX Open.

The indictment alleges that Klimenka, through these firms, facilitated transactions linked to various cybercrimes, including ransomware, identity theft, illicit substance trafficking, scams, and hacking.

BTC-e was a cryptocurrency trading platform that primarily served the Russian market, with U.S. law enforcement seizing it in 2017 following the arrest of its owner, Alexander Vinnik, in Greece.

The U.S. DoJ alleged back then that the platform was used to launder funds stolen during the hack of Japanese crypto exchange platform Mt. Gox, as well as ransom payments for the Locky, Cerber, NotPetya, WannaCry, and Spora ransomware operations.

The platform had a notable presence in the U.S. but did not register as a money services business with the U.S. Department of Treasury, did not require the "know your customer" (KYC) and identity verification, and didn't have any anti-money laundering mechanisms in place.

"BTC-e allegedly facilitated transactions for cybercriminals worldwide and received criminal proceeds from numerous computer intrusions and hacking incidents, ransomware scams, identity theft schemes, corrupt public officials, and narcotics distribution rings, and allegedly was used to facilitate crimes ranging from computer hacking to fraud, identity theft, tax refund fraud schemes, public corruption, and drug trafficking." - U.S. DoJ.

Klimenka, now 42 years old, controlled BTC-e between 2011 and July 2017 until Vinnik's arrest and the subsequent takedown of the site.

According to the latest announcement, Klimenka managed and maintained the U.S.-based servers that supported BTC-e's operations through his Soft-EX company.

The man was arrested at the request of the United States in Latvia on December 21, 2023, and made his first appearance in a San Francisco court on February 1.

For the charges of money laundering conspiracy and operating an unlicensed money services business, Klimenka faces a possible maximum sentence of 25 years in prison.

Source: bleepingcomputer.com

Interpol operation Synergia takes down 1,300 servers used for cybercrime

Wed, 07 Feb 2024 00:00:00 GMT

An international law enforcement operation code-named 'Synergia' has taken down over 1,300 command and control servers used in ransomware, phishing, and malware campaigns.

Command an d control servers (C2) are devices operated by threat actors to control malware used in their attacks and to collect information sent from infected devices.

These servers allow the threat actors to push down additional payloads or commands to execute on infected devices, making them integral architecture in many attacks.

For some malware, taking a command and control server offline prevents further malicious activity, as the threat actors cannot send or receive data from the infected devices.

The Synergia operation identified and took down command and control servers between September and November 2023, with 60 law enforcement agencies from 55 countries participating in the operation.

As a result of this action, the police identified 1,300 C2 server IP addresses linked to ransomware, malware, and phishing campaigns.

Interpol says roughly 70% of the command and control (C2) servers identified during the operation have been taken down, constituting a significant disruption for cybercriminals.

Most of those servers were located in Europe, while a notable number were also found in Singapore and Hong Kong. In Africa, most activity occurred in South Sudan and Zimbabwe, and in the Americas, malware ops were found and dismantled in Bolivia.

Additionally, as a result of Synergia, law enforcement authorities detained 31 individuals who are believed to be linked to cybercrime operations and identified another 70 suspects. The authorities also conducted 30 house searches and confiscated items that can help subsequent investigations.

"The results of this operation, achieved through the collective efforts of multiple countries and partners, show our unwavering commitment to safeguarding the digital space," stated Bernardo Pillot, Interpol's Cybercrime Assistant Director.

"By dismantling the infrastructure behind phishing, banking malware, and ransomware attacks, we are one step closer to protecting our digital ecosystems and a safer, more secure online experience for all."

Cyber-intelligence firm Group-IB, which participated in the operation by feeding investigations with crucial data, reports that over 1,900 IP addresses associated with ransomware, banking trojan, and malware operations were identified this time.

Group-IB said that the remaining 30% of the servers that haven't been taken offline yet are currently under investigation for their role in cybercrime operations.

Other cyberintelligence partners who participated in Synergia are Kaspersky, Trend Micro, Shadowserver, and Team Cymru.

Taking down C2 servers is a significant step in disrupting cybercrime activities, as they are crucial components in botnet operations, data exfiltration, payload fetching, attack coordination, remote command execution, and more.

Also, seizing servers can often help gather intelligence that can be pivotal in continuing investigations on specific cybercrime operations.

However, C2 takedowns are not always effective. For example, peer-to-peer botnets designed to be resilient can quickly recover from such disruptions, while ransomware actors can switch to using backup domains and servers.

Source: bleepingcomputer.com

Quản trị viên máy chủ BTC-e bị truy tố vì rửa tiền chuộc, tiền điện tử bị đánh cắp

Tue, 06 Feb 2024 06:00:00 GMT

Aliaksandr Klimenka, quốc tịch Belarus và Cypriot, đã bị truy tố ở Hoa Kỳ vì liên quan đến một hoạt động rửa tiền tội phạm mạng quốc tế.

Thông báo của Bộ Tư pháp Hoa Kỳ nói rằng Klimenka kiểm soát sàn giao dịch tiền kỹ thuật số không có giấy phép BTC-e, công ty dịch vụ công nghệ Soft-FX và công ty tài chính FX Open.

Bản cáo trạng cáo buộc rằng Klimenka, thông qua các công ty này, đã tạo điều kiện cho các giao dịch liên quan đến nhiều tội phạm mạng khác nhau, bao gồm ransomware, trộm danh tính, buôn bán chất bất hợp pháp, lừa đảo và hack.

BTC-e là một nền tảng giao dịch tiền điện tử chủ yếu phục vụ thị trường Nga, bị cơ quan thực thi pháp luật Hoa Kỳ tịch thu vào năm 2017 sau vụ bắt giữ chủ sở hữu của nó, Alexander Vinnik, ở Hy Lạp.

DoJ Hoa Kỳ trước đó đã cáo buộc rằng nền tảng này đã được sử dụng để rửa tiền bị đánh cắp trong vụ hack nền tảng trao đổi tiền điện tử của Nhật Bản Mt. Gox, cũng như thanh toán tiền chuộc cho các hoạt động ransomware Locky, Cerber, NotPetya, WannaCry và Spora.

Nền tảng này có có mặt đáng chú ý ở Hoa Kỳ nhưng không đăng ký kinh doanh dịch vụ tiền tệ với Bộ Tài chính Hoa Kỳ, không yêu cầu "biết khách hàng của bạn" (KYC) và xác minh danh tính, đồng thời không có bất kỳ biện pháp chống tiền nào có cơ chế rửa tiền.

“BTC-e bị cáo buộc đã tạo điều kiện thuận lợi cho các giao dịch của tội phạm mạng trên toàn thế giới và nhận được tiền thu được từ nhiều vụ xâm nhập và hack máy tính, lừa đảo ransomware, âm mưu đánh cắp danh tính, quan chức tham nhũng và đường dây phân phối ma túy, đồng thời bị cáo buộc được sử dụng để tạo điều kiện cho các tội phạm từ hack máy tính đến gian lận, trộm cắp danh tính, kế hoạch gian lận hoàn thuế, tham nhũng công cộng và buôn bán ma túy." - Bộ Tư pháp Hoa Kỳ cho biết.

Klimenka, hiện 42 tuổi, đã kiểm soát BTC-e từ năm 2011 đến tháng 7 năm 2017 cho đến khi Vinnik bị bắt và trang web bị gỡ bỏ sau đó.

Theo thông báo mới nhất, Klimenka đã quản lý và duy trì các máy chủ có trụ sở tại Hoa Kỳ hỗ trợ hoạt động của BTC-e thông qua công ty Soft-EX của mình.

Klimenka bị bắt theo yêu cầu của Hoa Kỳ ở Latvia vào ngày 21 tháng 12 năm 2023 và ra hầu tòa lần đầu tiên tại tòa án San Francisco vào ngày 1 tháng 2.

Đối với tội âm mưu rửa tiền và điều hành hoạt động kinh doanh dịch vụ tiền không có giấy phép, Klimenka phải đối mặt với mức án tối đa có thể là 25 năm tù.

Nguồn: bleepingcomputer.com

Hoạt động thực thi pháp luật của Interpol Synergia đánh sập 1.300 máy chủ được tội phạm mạng sử dụng

Tue, 06 Feb 2024 05:45:00 GMT

Một hoạt động thực thi pháp luật quốc tế có tên mã là 'Synergia' đã đánh sập hơn 1.300 máy chủ chỉ huy và kiểm soát được sử dụng trong các chiến dịch ransomware, lừa đảo và phần mềm độc hại.

Máy chủ chỉ huy và kiểm soát (C2) là các thiết bị do các tác nhân đe dọa vận hành để kiểm soát phần mềm độc hại được sử dụng trong các cuộc tấn công của chúng và thu thập thông tin được gửi từ các thiết bị bị nhiễm.

Các máy chủ này cho phép kẻ tấn công đẩy payload hoặc lệnh bổ sung xuống để thực thi trên các thiết bị bị nhiễm, khiến chúng trở thành kiến trúc không thể thiếu trong nhiều cuộc tấn công.

Đối với một số phần mềm độc hại, việc đặt máy chủ chỉ huy và kiểm soát ngoại tuyến sẽ ngăn chặn hoạt động độc hại tiếp theo vì tác nhân đe dọa không thể gửi hoặc nhận dữ liệu từ các thiết bị bị nhiễm.

Chiến dịch Synergia đã xác định và đánh sập các máy chủ chỉ huy và kiểm soát từ tháng 9 đến tháng 11 năm 2023, với 60 cơ quan thực thi pháp luật từ 55 quốc gia tham gia chiến dịch.

Kết quả là cảnh sát đã xác định được 1.300 địa chỉ IP máy chủ C2 có liên quan đến các chiến dịch ransomware, phần mềm độc hại và lừa đảo.

Interpol cho biết khoảng 70% máy chủ chỉ huy và kiểm soát (C2) được xác định trong quá trình hoạt động đã bị gỡ xuống, gây ra sự gián đoạn đáng kể đối với tội phạm mạng.

Hầu hết các máy chủ đó đều được đặt tại Châu Âu, trong khi một số lượng đáng chú ý cũng được tìm thấy ở Singapore và Hồng Kông. Ở Châu Phi, hầu hết hoạt động xảy ra ở Nam Sudan và Zimbabwe, còn ở Châu Mỹ, các phần mềm độc hại được phát hiện và triệt phá ở Bolivia.

Ngoài ra, do Synergia, các cơ quan thực thi pháp luật đã bắt giữ 31 cá nhân được cho là có liên quan đến các hoạt động tội phạm mạng và xác định 70 nghi phạm khác. Cơ quan chức năng cũng đã tiến hành 30 cuộc khám xét nhà và tịch thu các đồ vật có thể hỗ trợ các cuộc điều tra tiếp theo.

Bernardo Pillot, Trợ lý Giám đốc Tội phạm mạng của Interpol cho biết: “Kết quả của hoạt động này đạt được thông qua nỗ lực chung của nhiều quốc gia và đối tác, thể hiện cam kết vững chắc của chúng tôi trong việc bảo vệ không gian kỹ thuật số”.

"Bằng cách loại bỏ cơ sở hạ tầng đằng sau các cuộc tấn công lừa đảo, phần mềm độc hại ngân hàng và ransomware, chúng tôi đang tiến một bước gần hơn để bảo vệ hệ sinh thái kỹ thuật số của mình và mang lại trải nghiệm trực tuyến an toàn hơn, bảo mật hơn cho tất cả mọi người."

Công ty tình báo mạng Group-IB, tham gia vào hoạt động bằng cách cung cấp dữ liệu quan trọng cho các cuộc điều tra, báo cáo rằng hơn 1.900 địa chỉ IP liên quan đến ransomware, trojan ngân hàng và hoạt động phần mềm độc hại đã được xác định lần này.

Group-IB cho biết 30% máy chủ còn lại chưa được đưa vào chế độ ngoại tuyến hiện đang bị điều tra về vai trò của chúng trong các hoạt động tội phạm mạng.

Các đối tác tình báo mạng khác đã tham gia Synergia là Kaspersky, Trend Micro, Shadowserver và Team Cymru.

Việc hạ gục máy chủ C2 là một bước quan trọng trong việc ngăn chặn các hoạt động tội phạm mạng vì chúng là thành phần quan trọng trong hoạt động của mạng botnet, lọc dữ liệu, tìm nạp payload, phối hợp tấn công, thực thi lệnh từ xa, v.v.

Ngoài ra, việc thu giữ máy chủ thường có thể giúp thu thập thông tin tình báo có thể đóng vai trò quan trọng trong việc tiếp tục điều tra các hoạt động tội phạm mạng cụ thể.

Tuy nhiên, việc hạ gục C2 không phải lúc nào cũng hiệu quả. Ví dụ: các botnet ngang hàng được thiết kế có khả năng phục hồi nhanh chóng có thể nhanh chóng phục hồi sau những gián đoạn như vậy, trong khi những kẻ tấn công ransomware có thể chuyển sang sử dụng các miền và máy chủ dự phòng.

Nguồn: bleepingcomputer.com

Keenan warns 1.5 million people of data breach after summer cyberattack

Tue, 06 Feb 2024 00:00:02 GMT

Keenan & Associates is sending notices of a data breach to 1.5 million customers, warning that hackers accessed their personal information in a recent cyberattack.

Keenan is a California-based insurance brokerage and consulting firm with an established presence in the education, healthcare, and public agencies sectors. Since 2017, it has been part of AssuredPartners NL, one of the largest brokerage firms in the U.S.

The company submitted a notification to the Office of the Maine Attorney General, warning that 1,509,616 people were impacted by a data breach incident that occurred in the summer of 2023.

"On Sunday, August 27, 2023, we discovered certain disruptions occurring on some Keenan network servers," reads the notification.

"We immediately began an investigation and engaged leading third-party cybersecurity and forensic experts to assist."

"The investigation determined that an unauthorized party gained access to certain Keenan internal systems at various times between approximately August 21, 2023 and August 27, 2023, and that the unauthorized party obtained some data from Keenan systems."

The data that the network intruders obtained from Keenan's systems includes the following details:

Full name
Date of birth
Social Security number (SSN)
Passport number
Driver's license number
Health insurance information
General health information

The exact types of information exposed in this incident vary per individual, depending on their relationship with the firm. From the above, the breach appears to impact both customers and employees.

The repercussions of having the above data exposed are potentially significant, including elevated risks for identity theft, financial fraud, phishing attacks, and health insurance fraud.

Keenan says it has implemented measures to enhance the security of its network, internal systems, and applications and is evaluating potential additional steps in that direction.

Recipients of the notification are recommended to take advantage of the free two-year identity theft protection service offered through Experian and stay vigilant for suspicious account activities and unsolicited communications.

Source: bleepingcomputer.com

Keenan cảnh báo 1,5 triệu khách hàng về vi phạm dữ liệu sau cuộc tấn công mạng mùa hè

Mon, 05 Feb 2024 06:00:00 GMT

Keenan & Associates đã gửi thông báo về vi phạm dữ liệu tới 1,5 triệu khách hàng, cảnh báo rằng tin tặc đã truy cập thông tin cá nhân của họ trong một cuộc tấn công mạng gần đây.

Keenan là một công ty tư vấn và môi giới bảo hiểm có trụ sở tại California với sự hiện diện lâu dài trong lĩnh vực giáo dục, y tế và các cơ quan công cộng. Kể từ năm 2017, là một phần của AssuredPartners NL, một trong những công ty môi giới lớn nhất ở Hoa Kỳ.

Keenan đã gửi thông báo tới Văn phòng Bộ trưởng Tư pháp Maine, cảnh báo rằng 1.509.616 người đã bị ảnh hưởng bởi sự cố vi phạm dữ liệu xảy ra vào mùa hè năm 2023.

Thông báo cho biết: “Vào Chủ nhật, ngày 27 tháng 8 năm 2023, chúng tôi đã phát hiện ra một số sự gián đoạn nhất định xảy ra trên một số máy chủ mạng Keenan”.

“Chúng tôi ngay lập tức bắt đầu một cuộc điều tra và thuê các chuyên gia pháp lý và an ninh mạng hàng đầu của bên thứ ba để hỗ trợ.”

"Cuộc điều tra xác định rằng một bên trái phép đã có được quyền truy cập vào một số hệ thống nội bộ của Keenan vào nhiều thời điểm khác nhau trong khoảng thời gian từ khoảng ngày 21 tháng 8 năm 2023 đến ngày 27 tháng 8 năm 2023 và bên đó đã lấy được một số dữ liệu từ hệ thống Keenan."

Dữ liệu mà những kẻ xâm nhập mạng lấy được từ hệ thống của Keenan bao gồm các chi tiết sau:

Họ và tên
Ngày sinh
Số An Sinh Xã Hội (SSN)
Số hộ chiếu
Số giấy phép lái xe
Thông tin bảo hiểm y tế
Thông tin sức khỏe tổng quát

Loại thông tin chính xác được tiết lộ trong vụ việc này khác nhau tùy theo từng cá nhân, tùy thuộc vào mối quan hệ của họ với Keenan. Từ những thông tin trên, hành vi tấn công dường như ảnh hưởng đến cả khách hàng và nhân viên.

Hậu quả của việc để lộ dữ liệu trên là rất đáng kể, bao gồm rủi ro cao về trộm cắp danh tính, gian lận tài chính, tấn công lừa đảo và gian lận bảo hiểm y tế.

Keenan cho biết họ đã triển khai các biện pháp nhằm nâng cao tính bảo mật của mạng, hệ thống nội bộ và ứng dụng của mình và đang đánh giá các bước bổ sung tiềm năng theo hướng đó.

Người nhận thông báo nên tận dụng dịch vụ bảo vệ chống trộm danh tính miễn phí trong hai năm được cung cấp thông qua Experian và luôn cảnh giác với các hoạt động tài khoản đáng ngờ cũng như các liên lạc không mong muốn.

Nguồn: bleepingcomputer.com

45k Jenkins servers exposed to RCE attacks using public exploits

Mon, 05 Feb 2024 00:00:00 GMT

Researchers found roughly 45,000 Jenkins instances exposed online that are vulnerable to CVE-2023-23897, a critical remote code execution (RCE) flaw for which multiple public proof-of-concept (PoC) exploits are in circulation.

Jenkins is a leading open-source automation server for CI/CD, allowing developers to streamline the building, testing, and deployment processes. It features extensive plugin support and serves organizations of various missions and sizes.

On January 24, 2024, the project released versions 2.442 and LTS 2.426.3 to fix CVE-2023-23897, an arbitrary file read problem that can lead to executing arbitrary command-line interface (CLI) commands.

The issue arises from the CLI's feature that automatically replaces an @ character followed by a file path with the contents of the file, a functionality intended to facilitate command argument parsing.

However, this feature, enabled by default, allows attackers to read arbitrary files on the Jenkins controller's file system.

Depending on their level of permissions, attackers can exploit the flaw to access sensitive information, including the first few lines of any file or even entire files.

As the software vendor described in the relevant security bulletin, CVE-2023-23897 exposes unpatched instances to several potential attacks, including RCE, by manipulating Resource Root URLs, "Remember me" cookies, or CSRF protection bypass.

Depending on the instance's configuration, attackers could decrypt stored secrets, delete items from Jenkins servers, and download Java heap dumps.

Late last two week, security researchers warned of multiple working exploits for CVE-2023-23897, which dramatically elevates the risk for unpatched Jenkins servers and increases the likelihood of in-the-wild exploitation.

Researchers monitoring Jenkins honeypots observed activities that resemble genuine attempts at exploitation, although there's no conclusive evidence yet.

On January 29, threat monitoring service Shadowserver reported that its scanners have "caught" roughly 45,000 unpatched Jenkins instances, indicating a massive attack surface.

Most of the vulnerable internet-exposed instances are in China (12,000) and the United States (11,830), followed by Germany (3,060), India (2,681), France (1,431), and the UK (1,029).

Vulnerable instances exposure heatmap (ShadowServer)

Shadowserver's stats represent a dire warning to Jenkins administrators, as hackers are very likely already conducting scans to find potential targets, and CVE-2023-23897 can have severe repercussions if successfully exploited.

Users unable to apply the available security updates immediately should consult the Jenkins security bulletin for mitigation recommendations and potential workarounds.

Source: bleepingcomputer.com

Energy giant Schneider Electric hit by Cactus ransomware attack

Sat, 03 Feb 2024 01:00:01 GMT

Energy management and automation giant Schneider Electric suffered a Cactus ransomware attack leading to the theft of corporate data, according to people familiar with the matter.

BleepingComputer has learned that the ransomware attack hit the company's Sustainability Business division earlier this month on January 17th.

The attack disrupted some of Schneider Electric's Resource Advisor cloud platform, which continue to suffer outages today.

The ransomware gang reportedly stole terabytes of corporate data during the cyberattack and is now extorting the company by threatening to leak the stolen data if a ransom demand is not paid.

While it is not known what type of data was stolen, the Sustainability Business division provides consulting services to enterprise organizations, advising on renewable energy solutions and helping them navigate complex climate regulatory requirements for companies worldwide.

Outage message on Schneider Electric's Resource Advisor platform
Source: BleepingComputer

Customers of Schneider Electric's Sustainability Business division include Allegiant Travel Company, Clorox, DHL, DuPont, Hilton, Lexmark, PepsiCo, and Walmart.

The stolen data could contain sensitive information about customers' power utilization, industrial control and automation systems, and compliance with environmental and energy regulations.

It is not known if Schneider Electric will be paying a ransom demand, but if one is not paid, we will likely see the ransomware gang leaking the stolen data as they have done after previous attacks.

In a statement to BleepingComputer, Schneider Electric confirmed that its Sustainability Business division suffered a cyberattack and that data was accessed by the threat actors. However, the company says the attack was restricted to this one divisiion and did not impact other parts of the company.

"From a recovery standpoint, Sustainability Business is performing remediation steps to ensure that business platforms will be restored to a secure environment. Teams are currently testing the operational capabilities of impacted systems with the expectation that access will resume in the next two business days.

From a containment standpoint, as Sustainability Business is an autonomous entity operating its isolated network infrastructure, no other entity within the Schneider Electric group has been affected.

From an impact assessment standpoint, the on-going investigation shows that data have been accessed. As more information becomes available, the Sustainability Business division of Schneider Electric will continue the dialogue directly with its impacted customers and will continue to provide information and assistance as relevant.

From a forensic analysis standpoint, the detailed analysis of the incident continues with leading cybersecurity firms and the Schneider Electric Global Incident Response team continuing to take additional actions based on its outcomes, working with relevant authorities." - Schneider Electric.

Schneider Electric is a French multinational company that manufactures energy and automation products ranging from household electrical components found in big box stores to enterprise-level industrial control and building automation products.

Schneider Electric had $28.5 billion in revenue for the first nine months of 2023 and employs over 150,000 people worldwide. Schneider Electric is expected to release its 2023 full-year financial results next month.

Some of its well-known consumer brands include Homeline, Square D, and APC, the manufacturer of widely used uninterruptable power supply (UPS) devices.

Schneider Electric was previously targeted in the widespread MOVEit data theft attacks by the Clop ransomware gang that impacted over 2,700 companies.

Who is Cactus ransomware

The Cactus ransomware operation launched in March 2023 and has since amassed numerous companies that they claim were breached in cyberattacks.

Like all ransomware operations, the threat actors will breach corporate networks through purchased credentials, partnerships with malware distributors, phishing attacks, or by exploiting vulnerabilities.

Once the threat actors gain access to a network, they quietly spread to other systems while stealing corporate data on servers.

After stealing the data and gaining administrative privileges on the network, the threat actors encrypt files and leave ransom notes behind.

Example Cactus ransom note from different attack
Source: BleepingComputer

The threat actors will then conduct double-extortion attacks, which is when they demand a ransom to receive both a file decryptor and promise to destroy and not leak stolen data.

For those companies who do not pay a ransom, the threat actors will leak their stolen data on a data leak site.

At this time, there are over 80 companies listed on Cactus' data leak site whose data has been leaked or the threat actors warn they will do so.

Source: BleepingComputer

Gã khổng lồ năng lượng Schneider Electric bị ransomware Cactus tấn công

Fri, 02 Feb 2024 06:00:00 GMT

Gã khổng lồ quản lý năng lượng và tự động hóa Schneider Electric đã phải hứng chịu một cuộc tấn công ransomware Cactus dẫn đến việc đánh cắp dữ liệu của công ty.

BleepingComputer đã biết rằng cuộc tấn công bằng ransomware đã tấn công bộ phận Kinh doanh bền vững (Sustainability Business) của công ty vào ngày 17 tháng 1 vào đầu tháng này.

Cuộc tấn công đã làm gián đoạn một số nền tảng đám mây Resource Advisor của Schneider Electric, hiện vẫn tiếp tục bị ngừng hoạt động.

Nhóm ransomware được cho là đã đánh cắp hàng terabyte dữ liệu của công ty trong cuộc tấn công mạng và hiện đang tống tiền Schneider Electric bằng cách đe dọa rò rỉ dữ liệu bị đánh cắp nếu yêu cầu tiền chuộc không được trả.

Mặc dù không biết loại dữ liệu nào đã bị đánh cắp, bộ phận Kinh doanh bền vững (Sustainability Business) cung cấp dịch vụ tư vấn cho các tổ chức doanh nghiệp, tư vấn về các giải pháp năng lượng tái tạo và giúp họ điều hướng các yêu cầu quản lý khí hậu phức tạp cho các công ty trên toàn thế giới.

Thông báo ngừng hoạt động trên nền tảng Resource Advisor của Schneider Electric

Nguồn: BleepingComputer

Khách hàng của bộ phận Kinh doanh bền vững (Sustainability Business) của Schneider Electric bao gồm Allegiant Travel Company, Clorox, DHL, DuPont, Hilton, Lexmark, PepsiCo và Walmart.

Dữ liệu bị đánh cắp có thể chứa thông tin nhạy cảm về việc sử dụng năng lượng của khách hàng, hệ thống điều khiển và tự động hóa công nghiệp cũng như việc tuân thủ các quy định về môi trường và năng lượng.

Không biết liệu Schneider Electric có trả yêu cầu tiền chuộc hay không, nhưng nếu một khoản không được trả, chúng ta có thể sẽ thấy băng nhóm ransomware rò rỉ dữ liệu bị đánh cắp như chúng đã làm sau các cuộc tấn công trước đó.

Trong một trao đổi với BleepingComputer, Schneider Electric xác nhận rằng bộ phậnKinh doanh bền vững (Sustainability Business) của họ đã bị tấn công mạng và dữ liệu đó đã bị các tác nhân đe dọa truy cập. Tuy nhiên, Schneider Electric cho biết cuộc tấn công chỉ giới hạn ở bộ phận này và không ảnh hưởng đến các bộ phận khác của công ty.

"Từ quan điểm phục hồi, phòng Kinh doanh bền vững (Sustainability Business)đang thực hiện các bước khắc phục để đảm bảo rằng nền tảng kinh doanh sẽ được khôi phục về môi trường an toàn. Đội ngũ của Schneider Electric hiện đang kiểm tra khả năng vận hành của các hệ thống bị ảnh hưởng với kỳ vọng quyền truy cập sẽ tiếp tục trong hai ngày làm việc tới.

Về khía cạnh ngăn chặn cho trường hợp này, vì Phòng Kinh doanh này là một bộ phận tự trị vận hành cơ sở hạ tầng mạng biệt lập nên không có bộ phận nào khác trong tập đoàn Schneider Electric bị ảnh hưởng.

Về khía cạnh đánh giá tác động, cuộc điều tra đang diễn ra cho thấy dữ liệu đã được truy cập. Khi có thêm thông tin, bộ phận Kinh doanh bền vững (Sustainability Business) của Schneider Electric sẽ tiếp tục trao đổi trực tiếp với các khách hàng bị ảnh hưởng và sẽ tiếp tục cung cấp thông tin cũng như hỗ trợ nếu có liên quan.

Về khía cạnh phân tích điều tra, việc phân tích chi tiết về vụ việc vẫn tiếp tục với các công ty an ninh mạng hàng đầu và nhóm Ứng phó sự cố toàn cầu của Schneider Electric tiếp tục thực hiện các hành động bổ sung dựa trên kết quả của vụ việc, hợp tác với các cơ quan liên quan." - Schneider Electric cho biết.

Schneider Electric là một công ty đa quốc gia của Pháp chuyên sản xuất các sản phẩm năng lượng và tự động hóa, từ các linh kiện điện gia dụng có trong các cửa hàng lớn đến các sản phẩm tự động hóa tòa nhà và điều khiển công nghiệp cấp doanh nghiệp.

Schneider Electric có doanh thu 28,5 tỷ USD trong 9 tháng đầu năm 2023 và tuyển dụng hơn 150.000 người trên toàn thế giới. Schneider Electric dự kiến sẽ công bố kết quả tài chính cả năm 2023 vào tháng tới.

Một số thương hiệu tiêu dùng nổi tiếng Schneider Electric bao gồm Homeline, Square D và APC, nhà sản xuất các thiết bị cung cấp điện liên tục (UPS) được sử dụng rộng rãi.

Schneider Electric trước đây là mục tiêu trong các cuộc tấn công đánh cắp dữ liệu MOVEit trên diện rộng của nhóm ransomware Clop, ảnh hưởng đến hơn 2.700 công ty.

Nhóm Cactus ransomware là ai?

Hoạt động ransomware Cactus hoạt động vào tháng 3 năm 2023 và kể từ đó chún đã thu hút nhiều công ty cho rằng đã bị xâm phạm trong các cuộc tấn công mạng.

Giống như tất cả các hoạt động ransomware, các tác nhân đe dọa sẽ xâm nhập mạng công ty thông qua thông tin đăng nhập đã mua, quan hệ đối tác với các nhà phân phối phần mềm độc hại, tấn công lừa đảo hoặc bằng cách khai thác lỗ hổng.

Sau khi các tác nhân đe dọa có được quyền truy cập vào mạng, chúng sẽ âm thầm lây lan sang các hệ thống khác đồng thời đánh cắp dữ liệu của công ty trên máy chủ.

Sau khi đánh cắp dữ liệu và giành được đặc quyền quản trị trên mạng, kẻ tấn công sẽ mã hóa các tệp và để lại thông báo đòi tiền chuộc.

Ví dụ về thông báo tiền chuộc Cactus từ cuộc tấn công khác nhau

Nguồn: BleepingComputer

Sau đó, các tác nhân đe dọa sẽ tiến hành các cuộc tấn công tống tiền kép, đó là khi chúng yêu cầu một khoản tiền chuộc để nhận cả bộ giải mã tệp và hứa sẽ tiêu hủy và không rò rỉ dữ liệu bị đánh cắp.

Đối với những công ty không trả tiền chuộc, kẻ đe dọa sẽ rò rỉ dữ liệu bị đánh cắp của họ trên một trang web rò rỉ dữ liệu.

Tại thời điểm này, có hơn 80 công ty được liệt kê trên trang web rò rỉ dữ liệu của Cactus có dữ liệu đã bị rò rỉ hoặc các tác nhân đe dọa cảnh báo họ sẽ làm như vậy.

Nguồn: bleepingcomputer.com

45k máy chủ Jenkins bị tấn công RCE thông qua khai thác công khai

Fri, 02 Feb 2024 06:00:00 GMT

Các nhà nghiên cứu đã tìm thấy khoảng 45.000 phiên bản Jenkins bị lộ trực tuyến dễ bị tấn công bởi CVE-2023-23897, một lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng mà nhiều hoạt động khai thác proof-of-concept (PoC) công khai đang được lưu hành.

Jenkins là máy chủ tự động hóa nguồn mở hàng đầu dành cho CI/CD, cho phép các lập trình viên hợp lý hóa các quy trình xây dựng, thử nghiệm và triển khai. Nó có tính năng hỗ trợ plugin mở rộng và phục vụ các tổ chức thuộc nhiều nhiệm vụ và quy mô khác nhau.

Vào ngày 24 tháng 1 năm 2024, dự án đã phát hành phiên bản 2.442 và LTS 2.426.3 để khắc phục CVE-2023-23897, một sự cố đọc tệp tùy ý có thể dẫn đến việc thực thi các lệnh giao diện dòng lệnh (CLI) tùy ý.

Sự cố phát sinh từ tính năng của CLI tự động thay thế ký tự @ theo sau là đường dẫn tệp bằng nội dung của tệp, một chức năng nhằm hỗ trợ phân tích cú pháp đối số lệnh.

Tuy nhiên, tính năng này, được bật theo mặc định, cho phép kẻ tấn công đọc các tệp tùy ý trên hệ thống tệp của bộ điều khiển Jenkins.

Tùy thuộc vào cấp độ quyền của mình, kẻ tấn công có thể khai thác lỗ hổng để truy cập thông tin nhạy cảm, bao gồm một vài dòng đầu tiên của bất kỳ tệp nào hoặc thậm chí toàn bộ tệp.

Như nhà cung cấp phần mềm đã mô tả trong bản tin bảo mật liên quan, CVE-2023-23897 khiến các phiên bản chưa được vá có thể gặp phải một số cuộc tấn công tiềm ẩn, bao gồm RCE, bằng cách thao túng URL gốc tài nguyên, cookie "Ghi nhớ tôi" hoặc bỏ qua bảo vệ CSRF.

Tùy thuộc vào cấu hình của phiên bản, kẻ tấn công có thể giải mã các bí mật được lưu trữ, xóa các mục khỏi máy chủ Jenkins và tải xuống các vùng lưu trữ Java.

Cuối tuần trước, các nhà nghiên cứu bảo mật đã cảnh báo về nhiều cách khai thác CVE-2023-23897, điều này làm tăng đáng kể rủi ro đối với các máy chủ Jenkins chưa được vá và tăng khả năng bị khai thác ngoài tự nhiên.

Các nhà nghiên cứu theo dõi các honeypot của Jenkins đã quan sát thấy các hoạt động giống với những khai thác thực sự, mặc dù chưa có bằng chứng thuyết phục nào.

Ngày 29 tháng 1, dịch vụ giám sát mối đe dọa Shadowserver cho biết các máy quét của họ đã "bắt" được khoảng 45.000 phiên bản Jenkins chưa được vá, cho thấy một bề mặt tấn công rộng lớn.

Hầu hết các trường hợp dễ bị tấn công trên Internet là ở Trung Quốc (12.000) và Hoa Kỳ (11.830), tiếp theo là Đức (3.060), Ấn Độ (2.681), Pháp (1.431) và Vương quốc Anh (1.029).

Bản đồ nhiệt tiếp xúc với các trường hợp dễ bị tấn công (ShadowServer)

Số liệu thống kê của Shadowserver là một cảnh báo nghiêm trọng đối với các quản trị viên Jenkins, vì rất có thể tin tặc đã tiến hành quét để tìm các mục tiêu tiềm năng và CVE-2023-23897 có thể gây ra hậu quả nghiêm trọng nếu bị khai thác thành công.

Người dùng không thể áp dụng ngay các bản cập nhật bảo mật có sẵn nên tham khảo bản tin bảo mật của Jenkins để biết các đề xuất giảm nhẹ và giải pháp thay thế tiềm năng.

Nguồn: bleepingcomputer.com

FBI: Tech support scams now use couriers to collect victims' money

Fri, 02 Feb 2024 00:00:00 GMT

On January 29, the FBI warned about courier services being used to collect money and valuables from victims of tech support and government impersonation scams.

This public service announcement follows a surge of reports regarding criminals using couriers to collect cash or precious metals like gold or silver from victims (many senior citizens) whom the scammers instructed to sell their valuables.

"The FBI is warning the public about scammers instructing victims, many of whom are senior citizens, to liquidate their assets into cash and/or buy gold, silver, or other precious metals to protect their funds," the FBI said. "Criminals then arrange for couriers to meet the victims in person to pick up the cash or precious metals."

While some scammers choose to impersonate tech support workers or U.S. government officials, they've also been spotted masquerading successively as employees of technology companies, financial institutions, or the U.S. government as part of the complex scheme.

They'll claim that the targets' financial accounts have been compromised or are under imminent threat, prompting the victims to liquidate their assets as a protective measure.

The victims are often coerced into converting their assets into cash or precious metals or directed to wire the funds to metal dealers who will ship the purchased metals directly to the victims' residences.

The scammers then arrange for couriers to meet the victims at their homes or in various public locations to retrieve the money or precious metals. To further legitimize the fraud, the criminals may also provide the victims with a passcode to authenticate the transaction with the courier.

Scammers also promise to keep victim's assets in a secure account but disappear and leave them without their funds. This elaborate scheme targets vulnerable individuals, often senior citizens, and has already resulted in significant financial losses for countless victims.

"From May to December 2023, the FBI Internet Crime Complaint Center (IC3) saw an uptick in this activity with aggregated losses of over $55 million," the FBI warned.

How to protect against scam attempts

To defend against such fraud schemes, the FBI advises never to send gold or other precious metals to legitimate businesses or U.S. government organizations.

At-risk individuals should also never share their home addresses or meet with strangers to send cash and other valuables following requests made over the phone.

The FBI also shared the following tips to significantly reduce the risk of falling victim to similar fraud attempts:

Do not click on unsolicited pop-ups on your computer, links sent via text messages, or email links and attachments.
Do not contact unknown telephone numbers provided in pop-ups, texts, or emails.
Do not download software at the request of unknown individuals who contact you.
Do not allow unknown individuals access to your computer.

Victims of such scams are urged to report the scammers to the FBI immediately and include as much information on the criminals as possible (e.g., their names, the method of communication, the bank accounts they used, the name of the metal dealer used to buy the gold sent to the scammers via courier services).

In October, the FBI warned of a surge in "phantom hacker" scams impacting the elderly, with estimated victim losses of over $542 million between January and June 2023."

One year before, it cautioned scammers impersonating financial institutions' refund payment portals to trick victims, particularly older people, by taking advantage of the organizations' perceived credibility.

Source: bleepingcomputer.com

FBI: Các vụ lừa đảo hỗ trợ công nghệ hiện sử dụng dịch vụ chuyển phát để lấy tiền của nạn nhân

Thu, 01 Feb 2024 06:00:01 GMT

Ngày 29 tháng 1, FBI đã cảnh báo về việc các dịch vụ chuyển phát nhanh đang được sử dụng để thu tiền và tài sản có giá trị từ các nạn nhân của dịch vụ hỗ trợ công nghệ và lừa đảo mạo danh chính phủ.

Thông báo dịch vụ công này được tiếp nối do sự gia tăng của các báo cáo liên quan đến tội phạm sử dụng dịch vụ chuyển phát để thu tiền mặt hoặc kim loại quý như vàng hoặc bạc từ nạn nhân (nhiều người cao tuổi) mà những kẻ lừa đảo đã hướng dẫn bán đồ có giá trị của họ.

FBI cho biết: “FBI đang cảnh báo công chúng về những kẻ lừa đảo hướng dẫn nạn nhân, nhiều người trong số họ là người cao tuổi, thanh lý tài sản của họ thành tiền mặt và/hoặc mua vàng, bạc hoặc các kim loại quý khác để bảo vệ tiền của họ”. “Bọn tội phạm sau đó sẽ sắp xếp người đưa thư đến gặp trực tiếp nạn nhân để nhận tiền mặt hoặc kim loại quý.”

Trong khi một số kẻ lừa đảo chọn mạo danh nhân viên hỗ trợ công nghệ hoặc quan chức chính phủ Hoa Kỳ, chúng bị phát hiện giả dạng nhân viên của các công ty công nghệ, tổ chức tài chính hoặc chính phủ Hoa Kỳ như một phần của kế hoạch phức tạp.

Chúng sẽ tuyên bố rằng tài khoản tài chính của nạn nhân đã bị xâm phạm hoặc sắp bị đe dọa, khiến nạn nhân phải thanh lý tài sản của họ như một biện pháp bảo vệ.

Các nạn nhân thường bị ép buộc chuyển tài sản của họ thành tiền mặt hoặc kim loại quý hoặc được hướng dẫn chuyển tiền cho các đại lý kim loại, những người sẽ vận chuyển kim loại đã mua trực tiếp đến nơi ở của nạn nhân.

Sau đó, những kẻ lừa đảo sắp xếp người đưa thư đến gặp nạn nhân tại nhà của họ hoặc ở nhiều địa điểm công cộng khác nhau để lấy tiền hoặc kim loại quý. Để hợp pháp hóa hơn nữa hành vi lừa đảo, bọn tội phạm cũng có thể cung cấp cho nạn nhân mật mã để xác thực giao dịch với người chuyển phát nhanh.

Những kẻ lừa đảo hứa sẽ giữ tài sản của nạn nhân trong một tài khoản an toàn nhưng chúng đã biến mất và không có tiền trong tài khoản. Kế hoạch phức tạp này nhắm vào những cá nhân dễ bị tấn công, thường là người cao tuổi và đã gây ra tổn thất tài chính đáng kể cho vô số nạn nhân.

FBI cảnh báo: “Từ tháng 5 đến tháng 12 năm 2023, Trung tâm Khiếu nại Tội phạm Internet của FBI (IC3) đã chứng kiến hoạt động này gia tăng với tổng thiệt hại lên tới hơn 55 triệu USD”.

Cách bảo vệ tránh khỏi các âm mưu lừa đảo

Để chống lại những âm mưu lừa đảo như vậy, FBI khuyên không bao giờ gửi vàng hoặc các kim loại quý khác cho các doanh nghiệp hợp pháp hoặc các tổ chức chính phủ Hoa Kỳ.

Những cá nhân có nguy cơ cũng không bao giờ nên chia sẻ địa chỉ nhà của mình hoặc gặp gỡ người lạ để gửi tiền mặt và các vật có giá trị khác theo yêu cầu qua điện thoại.

FBI cũng chia sẻ những mẹo sau để giảm đáng kể nguy cơ trở thành nạn nhân của những âm mưu lừa đảo tương tự:

Không nhấp vào các cửa sổ hiện lên không được yêu cầu trên máy tính của bạn, các liên kết được gửi qua tin nhắn văn bản hoặc liên kết email và tệp đính kèm.
Không liên hệ với các số điện thoại không xác định được cung cấp trong cửa sổ hiện lên, tin nhắn hoặc email.
Không tải xuống phần mềm theo yêu cầu của những cá nhân không rõ danh tính liên hệ với bạn.
Không cho phép những cá nhân không xác định truy cập vào máy tính của bạn.

Nạn nhân của những vụ lừa đảo như vậy được khuyến khích báo cáo những kẻ lừa đảo cho FBI ngay lập tức và cung cấp càng nhiều thông tin về tội phạm càng tốt (ví dụ: tên của họ, phương thức liên lạc, tài khoản ngân hàng họ đã sử dụng, tên của cửa hàng đã mua vàng được gửi đến những kẻ lừa đảo thông qua dịch vụ chuyển phát nhanh).

Vào tháng 10, FBI đã cảnh báo về sự gia tăng các vụ lừa đảo "hacker ma" ảnh hưởng đến người cao tuổi, với thiệt hại ước tính của nạn nhân lên tới hơn 542 triệu USD từ tháng 1 đến tháng 6 năm 2023."

Một năm trước, cơ quan này đã cảnh báo những kẻ lừa đảo mạo danh cổng thanh toán hoàn tiền của các tổ chức tài chính để lừa nạn nhân bằng cách lợi dụng uy tín của tổ chức, đặc biệt là người lớn tuổi.

Nguồn: bleepingcomputer.com

23andMe data breach: Hackers stole raw genotype data, health reports

Thu, 01 Feb 2024 00:00:00 GMT

Genetic testing provider 23andMe confirmed that hackers stole health reports and raw genotype data of customers affected by a credential stuffing attack that went unnoticed for five months, from April 29 to September 27.

The credentials used by the attackers to breach the customers' accounts were stolen in other data breaches or used on previously compromised online platforms.

As the genomics and biotechnology company disclosed in data breach notification letters sent to those impacted in the incident, some of the stolen data was posted on the BreachForums hacking forum and the unofficial 23andMe subreddit site.

The leaked information includes the data for 1 million Ashkenazi Jews and 4.1 million people living in the United Kingdom.

Leaked 23andMe customer data (BleepingComputer)

"Our investigation determined the threat actor downloaded or accessed your uninterrupted raw genotype data, and may have accessed other sensitive information in your account, such as certain health reports derived from the processing of your genetic information, including health-predisposition reports, wellness reports, and carrier status reports," 23andMe revealed.

"To the extent your account contained such information, the threat actor may have also accessed self-reported health condition information, and information in your settings."

For customers who also used 23andMe's DNA Relatives feature, it is possible that the attackers also scraped their DNA Relatives and Family Tree profile information.

They may have also gained visibility to affected customers' following information if shared via the DNA Relatives feature:

Ancestry reports and matching DNA segments (specifically where on your chromosomes you and your relative had matching DNA),
Self-reported location (city/zip code),
Ancestor birth locations and family names,
Profile picture, birth year, and anything else included in their profile's "Introduce yourself" section

23andMe told BleepingComputer in December that the hackers downloaded the data of 6.9 million people of the existing 14 million customers after breaching around 14,000 user accounts.

5.5 million individuals had their data scraped through the DNA Relatives feature and 1.4 million via the Family Tree feature.

On October 10, roughly one week after detecting the attack, 23andMe started requiring all customers to reset their passwords.

Since November 6, all new and existing customers must use two-factor authentication when logging into their accounts to block future credential-stuffing attempts.

Last year's incident also resulted in multiple lawsuits being filed against 23andMe, causing the company to update its Terms of Use on November 30 with provisions that make it harder for customers to join class action lawsuits against 23andMe.

"To the fullest extent allowed by applicable law, you and we agree that each party may bring disputes against the other party only in an individual capacity, and not as a class action or collective action or class arbitration," reads one of the updates.

However, 23andMe said these changes were added to make the arbitration process more efficient and easier for customers to understand.

Source: bleepingcomputer.com

Cuộc tấn công dữ liệu 23andMe: Tin tặc đánh cắp dữ liệu kiểu gen thô và báo cáo sức khỏe của khách hàng

Wed, 31 Jan 2024 06:00:00 GMT

Nhà cung cấp dịch vụ xét nghiệm di truyền 23andMe xác nhận rằng tin tặc đã đánh cắp các báo cáo sức khỏe và dữ liệu kiểu gen thô của khách hàng bị ảnh hưởng bởi một cuộc tấn công thông tin xác thực đã không được chú ý trong 5 tháng, từ ngày 29 tháng 4 đến ngày 27 tháng 9.

Thông tin xác thực mà kẻ tấn công sử dụng để xâm nhập tài khoản của khách hàng đã bị đánh cắp trong các vụ vi phạm dữ liệu khác hoặc được sử dụng trên các nền tảng trực tuyến bị xâm phạm trước đó.

Như công ty công nghệ sinh học và gen đã tiết lộ trong thư thông báo vi phạm dữ liệu gửi cho những người bị ảnh hưởng trong vụ việc, một số dữ liệu bị đánh cắp đã được đăng trên diễn đàn hack BreachForums và trang subreddit 23andMe không chính thức.

Thông tin bị rò rỉ bao gồm dữ liệu của 1 triệu người Do Thái Ashkenazi và 4,1 triệu người sống ở Anh.

Dữ liệu khách hàng 23andMe bị rò rỉ (BleepingComputer)

"Cuộc điều tra của chúng tôi đã xác định tác nhân đe dọa đã tải xuống hoặc truy cập dữ liệu kiểu gen thô không bị gián đoạn của bạn và có thể đã truy cập thông tin nhạy cảm khác trong tài khoản của bạn, chẳng hạn như các báo cáo sức khỏe nhất định có được từ việc xử lý thông tin di truyền của bạn, bao gồm báo cáo khuynh hướng sức khỏe, báo cáo sức khỏe, và báo cáo trạng thái nhà cung cấp dịch vụ", 23andMe tiết lộ.

“Trong phạm vi tài khoản của bạn chứa thông tin như vậy, tác nhân đe dọa cũng có thể đã truy cập thông tin về tình trạng sức khỏe tự báo cáo và thông tin trong cài đặt của bạn.”

Đối với những khách hàng cũng sử dụng tính năng Người thân DNA của 23andMe, có thể những kẻ tấn công cũng đã lấy được thông tin hồ sơ Người thân DNA và Cây gia phả của họ.

Họ cũng có thể có được khả năng hiển thị thông tin sau của khách hàng bị ảnh hưởng nếu được chia sẻ thông qua tính năng Người thân DNA:

Báo cáo về gia phả và các phân đoạn DNA trùng khớp (cụ thể là vị trí trên nhiễm sắc thể của bạn và người thân của bạn có DNA trùng khớp),
Vị trí tự báo cáo (thành phố/mã zip),
Nơi sinh của các thành viên và tên gia đình,
Ảnh hồ sơ, năm sinh và bất kỳ thông tin nào khác có trong phần "Giới thiệu bản thân" trong hồ sơ của họ

23andMe nói với BleepingComputer vào tháng 12 rằng tin tặc đã tải xuống dữ liệu của 6,9 triệu người trong số 14 triệu khách hàng hiện tại sau khi xâm phạm khoảng 14.000 tài khoản người dùng.

5,5 triệu cá nhân đã được quét dữ liệu thông qua tính năng Người thân DNA và 1,4 triệu thông qua tính năng Cây gia phả.

Vào ngày 10 tháng 10, khoảng một tuần sau khi phát hiện cuộc tấn công, 23andMe bắt đầu yêu cầu tất cả khách hàng đặt lại mật khẩu của họ.

Kể từ ngày 6 tháng 11, tất cả khách hàng mới và khách hàng hiện tại phải sử dụng xác thực hai yếu tố khi đăng nhập vào tài khoản của họ để chặn các nỗ lực điền thông tin xác thực trong tương lai.

Vụ việc năm ngoái cũng dẫn đến nhiều vụ kiện chống lại 23andMe, khiến công ty phải cập nhật Điều khoản sử dụng vào ngày 30 tháng 11 với các điều khoản khiến khách hàng gặp khó khăn hơn khi tham gia các vụ kiện tập thể chống lại 23andMe.

Một trong những bản cập nhật cho biết: “Trong phạm vi tối đa được luật hiện hành cho phép, bạn và chúng tôi đồng ý rằng mỗi bên chỉ có thể đưa ra tranh chấp chống lại bên kia với tư cách cá nhân chứ không phải là một vụ kiện tập thể hoặc hành động tập thể hoặc phân xử tập thể”.

Tuy nhiên, 23andMe cho biết những thay đổi này được bổ sung để giúp quá trình phân xử trở nên hiệu quả và dễ hiểu hơn đối với khách hàng.

Nguồn: bleepingcomputer.com

Russian TrickBot malware dev sentenced to 64 months in prison

Wed, 31 Jan 2024 00:00:00 GMT

Russian national Vladimir Dunaev has been sentenced to five years and four months in prison for his role in creating and distributing the Trickbot malware used in attacks against hospitals, companies, and individuals worldwide.

According to court documents, the 40-year-old individual (also known as FFX) was the one who oversaw the development of the malware's browser injection component.

In September 2021, Dunaev was arrested while trying to leave South Korea after being stuck there for over a year due to COVID-19 travel restrictions and an expired passport. The extradition process to the United States was completed on October 20, 2021.

After his arrest, he pleaded guilty to charges related to conspiring to commit computer fraud and identity theft, in addition to conspiring to commit wire and bank fraud, facing a maximum sentence of 35 years in prison for both offenses.

The initial indictment accused Dunaev and eight co-defendants of engaging in the development, deployment, administration, and financial gains from the Trickbot malware operation.

"Dunaev developed malicious ransomware and deployed it to attack American hospitals, schools, and businesses in the Northern District of Ohio and throughout our country, all while hiding behind his computer," said U.S. Attorney Rebecca C. Lutzko.

"He and his co-defendants caused immeasurable disruption and financial damage, maliciously infecting millions of computers worldwide, and Dunaev will now spend over five years behind bars as a result."

TrickBot arrests and sanctions

Dunaev began working for the TrickBot malware syndicate in June 2016 as a developer following a recruitment process that required him to create a SOCKS server app and modify the Firefox browser for malware delivery.

The TrickBot malware he helped develop enabled cybercriminals to collect infected victims' sensitive information (such as login credentials, credit card information, emails, passwords, social security numbers, and addresses) and siphon off funds from victims' bank accounts.

Dunaev is the second TrickBot malware dev prosecuted by the U.S. Department of Justice after Latvian national Alla Witte (aka Max) was apprehended in February 2021 and charged with helping develop the module designed to deploy ransomware on compromised networks.

In February and September, the U.S. and the U.K. sanctioned 18 Russians linked to the TrickBot and Conti cybercrime gangs for their involvement in the extortion of at least $180 million, warning that some Trickbot group members were also associated with Russian intelligence services.

TrickBot's evolution and Conti links

Initially focused on banking credentials theft upon its emergence in 2015, TrickBot quickly mutated into a modular tool used by cybercrime organizations (including the Ryuk and Conti ransomware operations) to gain initial access to corporate networks.

Despite several takedown attempts, the Conti cybercrime group assumed control of the malware, using it to develop other complex and stealthier malware variants like Anchor and BazarBackdoor.

However, in the wake of Russia's invasion of Ukraine, a Ukrainian researcher leaked Conti's internal communications online, exposing its links with the TrickBot operation.

An anonymous entity (TrickLeaks) later disclosed more information on the TrickBot gang, shedding further light on its links with Conti.

These disclosures ultimately expedited Conti's shutdown, which fragmented into other ransomware groups now tracked as Royal, Black Basta, and ZEON.

Source: bleepingcomputer.com

iPhone apps abuse iOS push notifications to collect user data

Tue, 30 Jan 2024 00:00:00 GMT

Numerous iOS apps are using background processes triggered by push notifications to collect user data about devices, potentially allowing the creation of fingerprinting profiles used for tracking.

According to mobile researcher Mysk, who discovered this practice, these apps bypass Apple's background app activity restrictions and constitute a privacy risk for iPhone users.

"Apps should not attempt to surreptitiously build a user profile based on collected data and may not attempt, facilitate, or encourage others to identify anonymous users or reconstruct user profiles based on data collected from Apple-provided APIs or any data that you say has been collected in an 'anonymized,' 'aggregated,' or otherwise non-identifiable way," reads a section of Apple App Store review guidelines.

After analyzing what data is sent by iOS background processes when receiving or clearing notifications, Mysk found that the practice was far more prevalent than previously thought, involving many apps with a considerable user base.

Wake up and collect data

Apple designed iOS not to allow apps to run in the background to prevent resource consumption and for better security. When not using an app, they are suspended and eventually terminated, so they can't monitor or interfere with foreground activities.

In iOS 10, though, Apple introduced a new system that allows apps to quietly launch in the background to process new push notifications before the device displays them.

The system allows apps that receive push notifications to decrypt the incoming payload and download additional content from their servers to enrich it before it's served to the user. Once this process is done, the app is terminated again.

Through testing, Mysk found that many apps abuse this feature, treating it as a window of opportunity to transmit data about a device back to their servers. Depending on the app, this includes system uptime, locale, keyboard language, available memory, battery status, storage use, device model, and display brightness.

LinkedIn's network data exchange during the arrival of a Push Notification
Source: Mysk

The researcher believes this data can be used for fingerprinting/user profiling, allowing for persistent tracking, which is strictly prohibited in iOS.

"Our tests show that this practice is more common than we expected. The frequency at which many apps send device information after being triggered by a notification is mind-blowing," explains Mysk in a post on Twitter.

Mysk created the following video displaying the network traffic exchange during the reception of push notifications by TikTok, Facebook, X (Twitter), LinkedIn, and Bing.

The apps were found to send a wide range of device data to their servers using services like Google Analytics, Firebase, or their own proprietary systems.

BleepingComputer contacted Microsoft, X, Apple, TikTok, and LinkedIn about their apps retrieving user data but a reply was not immediately available.

Mitigating the issue

Apple will plug the gap and prevent further abuse of push notification wake-ups by tightening restrictions on using APIs for device signals.

Mysk told BleepingComputer that starting in Spring 2024, apps will be required to declare precisely why they need to use APIs that can be abused for fingerprinting.

These APIs are used to retrieve information about a device, such as its disk space, system boot time, file timestamps, active keyboards, and user defaults.

If apps do not properly declare their use of these APIs and what they are being used for, Apple says that they will be rejected from the App Store.

Until that happens, iPhone users who want to evade this fingerprinting should disable push notifications entirely. Unfortunately, making notifications silent will not prevent abuse.

To disable notifications, open ' Settings ,' head to ' Notifications ,' select the app you want to manage notifications for and tap the toggle to disable ' Allow Notifications .'

In December, it was revealed that governments were requesting push notification records sent through Apple's and Google's servers as a way to spy on users.

Apple said that the US government prohibited them from sharing any information on these requests and has since updated their transparency reporting.

Source: bleepingcomputer.com

Ứng dụng iPhone lạm dụng thông báo iOS để thu thập dữ liệu người dùng

Mon, 29 Jan 2024 01:30:00 GMT

Nhiều ứng dụng iOS đang sử dụng các quy trình background được kích hoạt bằng thông báo đẩy để thu thập dữ liệu người dùng về thiết bị, có khả năng cho phép tạo hồ sơ dấu vân tay được sử dụng để theo dõi.

Theo nhà nghiên cứu di động Mysk, người đã phát hiện ra hành vi này, những ứng dụng này vượt qua các hạn chế hoạt động ứng dụng background của Apple và gây ra rủi ro về quyền riêng tư cho người dùng iPhone.

"Các ứng dụng không được lén lút xây dựng hồ sơ người dùng dựa trên dữ liệu đã thu thập và không được tạo điều kiện hoặc khuyến khích người khác xác định người dùng ẩn danh hoặc xây dựng lại hồ sơ người dùng dựa trên dữ liệu được thu thập từ API do Apple cung cấp hoặc bất kỳ dữ liệu nào mà bạn cho biết đã được lấy." được thu thập theo cách 'ẩn danh', 'tổng hợp' hoặc cách khác không thể nhận dạng được", một phần trong nguyên tắc đánh giá của Apple App Store viết.

Sau khi phân tích dữ liệu nào được gửi bởi các quy trình background của iOS khi nhận hoặc xóa thông báo, Mysk nhận thấy hành vi này phổ biến hơn nhiều so với suy nghĩ trước đây, liên quan đến nhiều ứng dụng có lượng người dùng đáng kể.

Thu thập dữ liệu

Apple thiết kế iOS không cho phép các ứng dụng chạy ở chế độ background nhằm tránh tiêu tốn tài nguyên và bảo mật tốt hơn. Khi không sử dụng một ứng dụng, chúng sẽ bị tạm ngưng và cuối cùng sẽ chấm dứt nên không thể giám sát hoặc can thiệp vào các hoạt động trên background trước.

Tuy nhiên, trong iOS 10, Apple đã giới thiệu một hệ thống mới cho phép các ứng dụng khởi chạy một cách lặng lẽ trong background để xử lý các thông báo đẩy mới trước khi thiết bị hiển thị chúng.

Hệ thống cho phép các ứng dụng nhận thông báo đẩy giải mã payload đến và tải xuống nội dung bổ sung từ máy chủ của chúng để làm phong phú nội dung đó trước khi được cung cấp cho người dùng. Khi quá trình này hoàn tất, ứng dụng sẽ bị chấm dứt một lần nữa.

Qua thử nghiệm, Mysk nhận thấy nhiều ứng dụng lạm dụng tính năng này, coi đây là cơ hội để truyền dữ liệu về thiết bị trở lại máy chủ của họ. Tùy thuộc vào ứng dụng, thông tin này bao gồm thời gian hoạt động của hệ thống, ngôn ngữ, ngôn ngữ bàn phím, bộ nhớ khả dụng, trạng thái pin, mức sử dụng bộ nhớ, kiểu thiết bị và độ sáng màn hình.

Trao đổi dữ liệu mạng của LinkedIn khi có Thông báo đẩy

Nguồn: Mysk

Mysk tin rằng dữ liệu này có thể được sử dụng để lấy dấu vân tay/lập hồ sơ người dùng, cho phép theo dõi liên tục, điều này bị nghiêm cấm trong iOS.

Mysk giải thích trong một bài đăng trên Twitter: "Các thử nghiệm của chúng tôi cho thấy cách làm này phổ biến hơn chúng tôi mong đợi. Tần suất nhiều ứng dụng gửi thông tin thiết bị sau khi được kích hoạt bởi thông báo là rất đáng kinh ngạc".

Mysk đã tạo video sau hiển thị trao đổi lưu lượng mạng trong quá trình nhận thông báo đẩy của TikTok, Facebook, X (Twitter), LinkedIn và Bing.

Các ứng dụng này bị phát hiện đã gửi nhiều loại dữ liệu thiết bị đến máy chủ của họ bằng cách sử dụng các dịch vụ như Google Analytics, Firebase hoặc hệ thống độc quyền của riêng họ.

BleepingComputer đã liên hệ với Microsoft, X, Apple, TikTok và LinkedIn về việc ứng dụng của họ truy xuất dữ liệu người dùng nhưng chưa có phản hồi ngay lập tức.

Cách để giảm nhẹ vấn đề

Apple sẽ thu hẹp khoảng cách và ngăn chặn việc lạm dụng thêm tính năng đánh thức thông báo đẩy bằng cách thắt chặt các hạn chế sử dụng API cho tín hiệu thiết bị.

Mysk nói với BleepingComputer rằng bắt đầu từ mùa xuân năm 2024, các ứng dụng sẽ được yêu cầu khai báo chính xác lý do tại sao chúng cần sử dụng các API có thể bị lạm dụng để lấy dấu vân tay.

Các API này được sử dụng để truy xuất thông tin về thiết bị, chẳng hạn như dung lượng ổ đĩa, thời gian khởi động hệ thống, dấu thời gian của tệp, bàn phím hoạt động và mặc định của người dùng.

Nếu các ứng dụng không khai báo chính xác việc sử dụng các API này và mục đích sử dụng của chúng, Apple sẽ từ chối chúng khỏi App Store.

Cho đến khi điều đó xảy ra, người dùng iPhone muốn tránh dấu vân tay này nên tắt hoàn toàn thông báo đẩy. Thật không may, việc tắt thông báo sẽ không ngăn chặn được hành vi lạm dụng.

Để tắt thông báo, hãy mở 'Cài đặt (Settings)' , đi tới 'Thông báo (Notifications)' , chọn ứng dụng bạn muốn quản lý thông báo và nhấn vào nút bật tắt để tắt 'Cho phép thông báo (Allow Notifications)' .

Vào tháng 12, có thông tin tiết lộ rằng các chính phủ đã yêu cầu gửi hồ sơ thông báo đẩy qua máy chủ của Apple và Google như một cách để theo dõi người dùng.

Apple cho biết chính phủ Hoa Kỳ đã cấm họ chia sẻ bất kỳ thông tin nào về những yêu cầu này và từ đó đã cập nhật báo cáo minh bạch của họ.

Nguồn: bleepingcomputer.com

Lập trình viên phần mềm độc hại TrickBot của Nga bị kết án 64 tháng tù

Mon, 29 Jan 2024 01:30:00 GMT

Vladimir Dunaev, công dân Nga, đã bị kết án 5 năm 4 tháng tù vì vai trò tạo ra và phân phối phần mềm độc hại Trickbot được sử dụng trong các cuộc tấn công nhằm vào bệnh viện, công ty và cá nhân trên toàn thế giới.

Theo tài liệu của tòa án, Dunaev 40 tuổi (còn được gọi là FFX) là người giám sát quá trình phát triển thành phần tiêm nhiễm trình duyệt của phần mềm độc hại.

Vào tháng 9 năm 2021, Dunaev bị bắt khi đang cố rời khỏi Hàn Quốc sau khi bị mắc kẹt ở đó hơn một năm do hạn chế đi lại do COVID-19 và hộ chiếu hết hạn. Quá trình dẫn độ sang Hoa Kỳ được hoàn thành vào ngày 20 tháng 10 năm 2021.

Sau khi bị bắt, anh ta đã nhận tội liên quan đến âm mưu lừa đảo máy tính và trộm danh tính, ngoài ra còn âm mưu phạm tội lừa đảo qua đường dây và ngân hàng, phải đối mặt với mức án tối đa là 35 năm tù cho cả hai tội danh.

Bản cáo trạng ban đầu cáo buộc Dunaev và 8 đồng phạm tham gia vào việc phát triển, triển khai, quản lý và thu lợi tài chính từ hoạt động của phần mềm độc hại Trickbot.

Luật sư Hoa Kỳ Rebecca C. Lutzko cho biết: “Dunaev đã phát triển ransomware độc hại và triển khai nó để tấn công các bệnh viện, trường học và doanh nghiệp của Mỹ ở Quận Bắc Ohio và trên khắp đất nước chúng tôi, tất cả đều ẩn sau máy tính của anh ta”.

“Anh ta và các đồng phạm đã gây ra sự gián đoạn và thiệt hại tài chính vô cùng lớn, lây nhiễm độc hại cho hàng triệu máy tính trên toàn thế giới và kết quả là Dunaev sẽ phải ngồi tù hơn 5 năm.”

Các vụ bắt giữ và trừng phạt của TrickBot

Dunaev bắt đầu làm việc cho tập đoàn phần mềm độc hại TrickBot vào tháng 6 năm 2016 với tư cách là lập trình viên theo quy trình tuyển dụng yêu cầu anh ta tạo ứng dụng máy chủ SOCKS và sửa đổi trình duyệt Firefox để phát tán phần mềm độc hại.

Phần mềm độc hại TrickBot mà anh ta giúp phát triển đã cho phép tội phạm mạng thu thập thông tin nhạy cảm của nạn nhân bị nhiễm (chẳng hạn như thông tin đăng nhập, thông tin thẻ tín dụng, email, mật khẩu, số an sinh xã hội và địa chỉ) và rút tiền từ tài khoản ngân hàng của nạn nhân.

Dunaev là nhà phát triển phần mềm độc hại TrickBot thứ hai bị Bộ Tư pháp Hoa Kỳ truy tố sau khi Alla Witte (hay còn gọi là Max) quốc tịch Latvia bị bắt vào tháng 2 năm 2021 và bị buộc tội giúp phát triển mô-đun được thiết kế để triển khai ransomware trên các mạng bị xâm nhập.

Vào tháng 2 và tháng 9, Hoa Kỳ và Anh đã trừng phạt 18 người Nga có liên quan đến các băng nhóm tội phạm mạng TrickBot và Conti vì họ liên quan đến vụ tống tiền ít nhất 180 triệu USD, đồng thời cảnh báo rằng một số thành viên nhóm Trickbot cũng có liên quan đến các cơ quan tình báo Nga.

Ban đầu tập trung vào việc đánh cắp thông tin xác thực ngân hàng khi xuất hiện vào năm 2015, TrickBot nhanh chóng biến thành một công cụ mô-đun được các tổ chức tội phạm mạng sử dụng (bao gồm cả các hoạt động ransomware Ryuk và Conti) để giành quyền truy cập ban đầu vào mạng công ty.

Bất chấp nhiều nỗ lực gỡ bỏ, nhóm tội phạm mạng Conti vẫn nắm quyền kiểm soát phần mềm độc hại, sử dụng nó để phát triển các biến thể phần mềm độc hại phức tạp và lén lút khác như Anchor và BazarBackdoor.

Tuy nhiên, sau cuộc xâm lược Ukraine của Nga, một nhà nghiên cứu người Ukraine đã rò rỉ thông tin liên lạc nội bộ của Conti lên mạng, tiết lộ mối liên hệ của nó với hoạt động TrickBot.

Một đối tượng ẩn danh (TrickLeaks) sau đó đã tiết lộ thêm thông tin về băng nhóm TrickBot, làm sáng tỏ thêm mối liên hệ của nó với Conti.

Những tiết lộ này cuối cùng đã đẩy nhanh quá trình đóng cửa Conti, nhóm này đã phân chia thành các nhóm ransomware khác hiện được theo dõi là Royal, Black Basta và ZEON.

Nguồn: bleepingcomputer.com

SEC confirms X account was hacked in SIM swapping attack

Mon, 29 Jan 2024 00:00:00 GMT

The U.S. Securities and Exchange Commission confirmed on January 22 that its X account was hacked through a SIM-swapping attack on the cell phone number associated with the account.

Earlier this month, the SEC's X account was hacked to issue a fake announcement that the agency had finally approved Bitcoin ETFs on security exchanges.

Ironically, the SEC approved Bitcoin ETFs in a legitimate announcement the following day.

However, at the time, it was not clear how the account was breached, with the SEC stating that they would provide updates on their investigation as it became available.

On January 22, the SEC has confirmed that a cell phone account associated with the X account suffered a SIM-swapping attack.

"Two days after the incident, in consultation with the SEC's telecom carrier, the SEC determined that the unauthorized party obtained control of the SEC cell phone number associated with the account in an apparent 'SIM swap' attack," explains an updated SEC press statement on the breach.

In SIM swapping attacks, threat actors trick a victim's wireless carrier into porting a customer's phone number to a device under the attacker's control. This allows all texts and phone calls sent to the device to be retrieved by the hackers, including password reset links and one-time passcodes for multi-factor authentication (MFA).

According to the SEC, the hackers did not have access to the agency's internal systems, data, devices, or other social media accounts, and the SIM swap occurred by tricking their mobile carrier into porting the number.

Once the threat actors controlled the number, they reset the password for the @SECGov account to create the fake announcement.

The SEC says they continue to work with law enforcement to investigate how the attackers conducted the SIM-swapping attack with their mobile carrier.

The SEC also confirmed that multi-factor authentication was not enabled on the account, as they had asked X support to disable it when they encountered problems logging into the account.

If MFA was enabled via SMS, the hackers would still have been able to breach the account as they would have received the one-time passcodes.

However, if the security setting had been configured to use an authentication app, it would have prevented the threat actors from logging into the account, even after the attackers had changed the password.

For this reason, it is always advised that MFA only be used with a hardware security key or an authentication app rather than through SMS.

X has been plagued this past year with hacked accounts and malicious advertisements promoting cryptocurrency scams and wallet drainers.

Unfortunately, there does not appear to be an end in sight, with users now fed up with what feels like a constant stream of malicious advertisements.

Source: bleepingcomputer.com

loanDepot cyberattack causes data breach for 16.6 million people

Sat, 27 Jan 2024 01:00:00 GMT

Mortgage lender loanDepot says that approximately 16.6 million people had their personal information stolen in a ransomware attack disclosed earlier this month.

Following a January 6 attack that forced it to shut down some of its systems to contain the breach, the company told customers that recurring automatic payments would still be processed, with payment history delays.

Payments via the servicing customer portal were also unavailable after the incident, and several other online portals, including MyloanDepot, HELOC, and the mellohome website, were also offline.

Several days later, loanDepot confirmed this was a ransomware attack, with the malicious actors also encrypting files on compromised devices.

On January 22, after confirming that millions of people had their data stolen, the company said it would notify individuals impacted by this data breach, providing them with free credit monitoring and identity protection services.

"The Company has made significant progress in restoring our loan origination and loan servicing systems, including our MyloanDepot and Servicing customer portals," loanDepot said.

"Although its investigation is ongoing, the Company has determined that an unauthorized third party gained access to sensitive personal information of approximately 16.6 million individuals in its systems."

Corporate and customer data stolen by ransomware gangs is now commonly used as leverage in double-extortion attacks to pressure victims into paying a ransom.

Given that loanDepot stores sensitive customer financial and bank account information, those affected by this breach should know they might be the target of phishing attacks and identity theft attempts.

However, loanDepot has yet to share what type of customer personal information was accessed and stolen from its systems.

In May 2023, loanDepot disclosed another data breach resulting from an August 2022 cyberattack that exposed customer data.

loanDepot is a major U.S. nonbank mortgage lender with roughly 6,000 employees and over $140 billion in serviced loans.

Source: bleepingcomputer.com

Cuộc tấn công mạng LoanDepot đã làm vi phạm dữ liệu của 16,6 triệu khách hàng

Fri, 26 Jan 2024 06:00:00 GMT

Công ty cho vay thế chấp LoanDepot cho biết khoảng 16,6 triệu người đã bị đánh cắp thông tin cá nhân trong một cuộc tấn công bằng ransomware được tiết lộ vào đầu tháng này.

Sau cuộc tấn công ngày 6 tháng 1 buộc LoanDepot phải đóng cửa một số hệ thống để ngăn chặn vi phạm, LoanDepot đã thông báo với khách hàng rằng các khoản thanh toán tự động định kỳ vẫn sẽ được xử lý, với lịch sử thanh toán bị chậm trễ.

Các khoản thanh toán qua cổng dịch vụ khách hàng cũng không khả dụng sau sự cố và một số cổng trực tuyến khác, bao gồm MyloanDepot, HELOC và trang web mellohome cũng không hoạt động.

Vài ngày sau, loanDepot xác nhận đây là một cuộc tấn công bằng ransomware, các tác nhân độc hại cũng mã hóa các tập tin trên các thiết bị bị xâm nhập.

Ngày 22 tháng 1, sau khi xác nhận rằng hàng triệu người đã bị đánh cắp dữ liệu, LoanDepot cho biết họ sẽ thông báo cho các cá nhân bị ảnh hưởng bởi vụ vi phạm dữ liệu này, cung cấp cho họ dịch vụ giám sát tín dụng và bảo vệ danh tính miễn phí.

loanDepot cho biết: “Công ty đã có những tiến bộ đáng kể trong việc khôi phục hệ thống khởi tạo khoản vay và dịch vụ khoản vay của chúng tôi, bao gồm cả cổng khách hàng MyloanDepot và Dịch vụ của chúng tôi”.

"Mặc dù cuộc điều tra đang diễn ra nhưng LoanDepot đã xác định rằng một bên thứ ba trái phép đã có được quyền truy cập vào thông tin cá nhân nhạy cảm của khoảng 16,6 triệu cá nhân trong hệ thống của mình."

Dữ liệu doanh nghiệp và khách hàng bị các nhóm ransomware đánh cắp hiện thường được sử dụng làm đòn bẩy trong các cuộc tấn công tống tiền kép nhằm gây áp lực buộc nạn nhân phải trả tiền chuộc.

Vì loanDepot lưu trữ thông tin tài chính và tài khoản ngân hàng nhạy cảm của khách hàng, những người bị ảnh hưởng bởi vi phạm này nên biết rằng họ có thể là mục tiêu của các cuộc tấn công lừa đảo và các nỗ lực đánh cắp danh tính.

Tuy nhiên, loanDepot vẫn chưa chia sẻ loại thông tin cá nhân của khách hàng nào đã bị truy cập và đánh cắp từ hệ thống của mình.

Vào tháng 5 năm 2023, loanDepot tiết lộ một vụ vi phạm dữ liệu khác do một cuộc tấn công mạng vào tháng 8 năm 2022 làm lộ dữ liệu khách hàng.

loanDepot là công ty cho vay thế chấp phi ngân hàng lớn của Hoa Kỳ với khoảng 6.000 nhân viên và hơn 140 tỷ USD các khoản cho vay được phục vụ.

Nguồn: bleepingcomputer.com

SEC xác nhận tài khoản X đã bị hack trong cuộc tấn công hoán đổi SIM

Fri, 26 Jan 2024 06:00:00 GMT

Ủy ban Chứng khoán và Giao dịch Hoa Kỳ ngày 22 tháng 1 xác nhận rằng tài khoản X của họ đã bị hack thông qua một cuộc tấn công hoán đổi SIM vào số điện thoại di động được liên kết với tài khoản.

Đầu tháng này, tài khoản X của SEC đã bị hack để đưa ra thông báo giả mạo rằng cơ quan này cuối cùng đã phê duyệt Bitcoin ETF trên các sàn giao dịch chứng khoán.

Trớ trêu thay, SEC đã phê duyệt Bitcoin ETF trong một thông báo hợp pháp vào ngày hôm sau.

Tuy nhiên, vào thời điểm đó, vẫn chưa rõ tài khoản đã bị xâm phạm như thế nào và SEC tuyên bố rằng họ sẽ cung cấp thông tin cập nhật về cuộc điều tra khi có thông tin.

Ngày 22 tháng 1, SEC đã xác nhận rằng một tài khoản điện thoại di động được liên kết với tài khoản X đã bị tấn công hoán đổi SIM.

Thông cáo báo chí cập nhật của SEC giải thích: “Hai ngày sau khi vụ việc xảy ra, với sự tham vấn của nhà cung cấp dịch vụ viễn thông của SEC, SEC đã xác định rằng bên trái phép đã giành được quyền kiểm soát số điện thoại di động của SEC được liên kết với tài khoản trong một cuộc tấn công 'hoán đổi SIM' rõ ràng", thông cáo báo chí cập nhật của SEC giải thích về vi phạm.

Trong các cuộc tấn công hoán đổi SIM, kẻ tấn công lừa nhà cung cấp dịch vụ không dây của nạn nhân chuyển số điện thoại của khách hàng sang thiết bị do kẻ tấn công kiểm soát. Điều này cho phép tin tặc truy xuất tất cả tin nhắn văn bản và cuộc gọi điện thoại gửi tới thiết bị, bao gồm các liên kết đặt lại mật khẩu và mật mã một lần để xác thực đa yếu tố (MFA).

Theo SEC, tin tặc không có quyền truy cập vào hệ thống nội bộ, dữ liệu, thiết bị hoặc các tài khoản mạng xã hội khác của cơ quan và việc hoán đổi SIM xảy ra bằng cách lừa nhà cung cấp dịch vụ di động của họ chuyển số.

Sau khi kẻ đe dọa kiểm soát số điện thoại, chúng sẽ đặt lại mật khẩu cho tài khoản @SECGov để tạo thông báo giả mạo.

SEC cho biết họ tiếp tục hợp tác với cơ quan thực thi pháp luật để điều tra cách những kẻ tấn công thực hiện cuộc tấn công hoán đổi SIM với nhà cung cấp dịch vụ di động của họ.

SEC cũng xác nhận rằng xác thực đa yếu tố không được kích hoạt trên tài khoản vì họ đã yêu cầu bộ phận hỗ trợ X vô hiệu hóa nó khi họ gặp sự cố khi đăng nhập vào tài khoản.

Nếu MFA được kích hoạt qua SMS, tin tặc vẫn có thể xâm nhập vào tài khoản vì chúng đã nhận được mật mã một lần.

Tuy nhiên, nếu cài đặt bảo mật đã được định cấu hình để sử dụng ứng dụng xác thực, nó sẽ ngăn các tác nhân đe dọa đăng nhập vào tài khoản, ngay cả sau khi kẻ tấn công đã thay đổi mật khẩu.

Vì lý do này, SEC luôn khuyên rằng chỉ nên sử dụng MFA với khóa bảo mật phần cứng hoặc ứng dụng xác thực thay vì qua SMS.

X đã gặp khó khăn trong năm qua với các tài khoản bị hack và các quảng cáo độc hại nhằm mục đích lừa đảo tiền điện tử và rút tiền ví.

Thật không may, dường như vẫn chưa có điểm kết thúc, khi người dùng hiện đã chán ngấy với những dòng quảng cáo độc hại liên tục xuất hiện.

Nguồn: bleepingcomputer.com

Trezor support site breach exposes personal data of 66,000 customers

Fri, 26 Jan 2024 00:00:00 GMT

Trezor issued a security alert after identifying a data breach that occurred on January 17 due to unauthorized access to their third-party support ticketing portal.

The popular hardware cryptocurrency wallet vendor says that the investigation on the incident is ongoing but it found no evidence so far that users' digital assets were compromised in the incident.

"We want to stress that none of our users' funds have been compromised through this incident," reads the announcement. "Your Trezor device remains as secure today, as it was yesterday," the company added.

However, a subset of 66,000 users who have interacted with Trezor Support since December 2021 may have had their names or usernames, and email addresses exposed to an unauthorized party.

Postal addresses, phone numbers, and other personally identifiable information were also stored on the breached system but Trezor does not believe these were impacted.

Unfortunately, Trezor has already confirmed 41 cases where exposed data has been exploited, with the attackers approaching users to trick them into giving away their recovery seeds - a string of words that contain all the information required for gaining access to a wallet.

Specifically, the attackers email Trezor users with a message that seems like an "automated reply" from support, requesting them to disclose the 24-word phrase they used for setting up their Trezor wallets.

The phishing message assures the recipient that the seed information is required only for firmware validation and won't be "accessible by humans."

Phishing message (Trezor)

Giving away a Trezor seed phrase would allow the attacker to restore the victim's wallet on any DIP39-compatible hardware wallet device and perform irreversible cryptocurrency theft.

Trezor has reached out to all potentially affected users, warning them of phishing attacks that try to obtain recovery seeds. The company notes that no cases of successful attacks have been observed.

The company says the unauthorized access to its support system has now been terminated and the risk from the attack was mitigated on January 17 at 20:20 CET.

If you are a Trezor user who contacted their support after December 2021, be vigilant for potential phishing and scamming attempts.

Hardware wallet users must never disclose their seed phrase under any circumstances. This information is confidential and should remain exclusively with the user.

Wallet providers will never request this type of sensitive data because it is not necessary for any operational or support-related reasons.

Source: bleepingcomputer.com

Tấn công trang web hỗ trợ Trezor làm lộ dữ liệu cá nhân của 66.000 khách hàng

Thu, 25 Jan 2024 06:00:00 GMT

Trezor đã đưa ra cảnh báo bảo mật sau khi xác định vi phạm dữ liệu xảy ra vào ngày 17 tháng 1 do truy cập trái phép vào cổng bán vé hỗ trợ bên thứ ba của họ.

Nhà cung cấp ví tiền điện tử phần cứng phổ biến cho biết cuộc điều tra về vụ việc đang diễn ra nhưng cho đến nay họ không tìm thấy bằng chứng nào cho thấy tài sản kỹ thuật số của người dùng đã bị xâm phạm trong vụ việc.

“Chúng tôi muốn nhấn mạnh rằng không có khoản tiền nào của người dùng của chúng tôi bị xâm phạm thông qua sự cố này”, thông báo viết. Trezor cho biết thêm: “Thiết bị Trezor của bạn hôm nay vẫn an toàn như ngày hôm qua”.

Tuy nhiên, một nhóm nhỏ gồm 66.000 người dùng đã tương tác với Trezor Support kể từ tháng 12 năm 2021 có thể đã có tên hoặc tên người dùng cũng như địa chỉ email của họ bị lộ cho một bên trái phép.

Địa chỉ bưu chính, số điện thoại và thông tin nhận dạng cá nhân khác cũng được lưu trữ trên hệ thống bị vi phạm nhưng Trezor không tin rằng những thông tin này bị ảnh hưởng.

Thật không may, Trezor đã xác nhận 41 trường hợp dữ liệu bị lộ đã bị khai thác, trong đó những kẻ tấn công tiếp cận người dùng để lừa họ đưa hạt giống khôi phục của họ - một chuỗi từ chứa tất cả thông tin cần thiết để có được quyền truy cập vào ví.

Cụ thể, những kẻ tấn công gửi email cho người dùng Trezor với một tin nhắn giống như một “trả lời tự động” từ bộ phận hỗ trợ, yêu cầu họ tiết lộ cụm từ 24 từ mà chúng đã sử dụng để thiết lập ví Trezor của mình.

Thông báo lừa đảo đảm bảo với người nhận rằng thông tin hạt giống chỉ được yêu cầu để xác thực chương trình cơ sở và con người sẽ không "có thể truy cập được".

Tin nhắn lừa đảo (Trezor)

Việc cung cấp cụm từ quan trọng của Trezor sẽ cho phép kẻ tấn công khôi phục ví của nạn nhân trên bất kỳ thiết bị ví phần cứng tương thích DIP39 nào và thực hiện hành vi trộm tiền điện tử không thể đảo ngược.

Trezor đã liên hệ với tất cả người dùng có khả năng bị ảnh hưởng, cảnh báo họ về các cuộc tấn công lừa đảo nhằm lấy hạt giống phục hồi. Trezor lưu ý rằng không có trường hợp tấn công thành công nào được ghi nhận.

Trezor cho biết quyền truy cập trái phép vào hệ thống hỗ trợ của họ hiện đã bị chấm dứt và rủi ro từ cuộc tấn công đã được giảm thiểu vào lúc 20:20 CET ngày 17 tháng 1.

Nếu bạn là người dùng Trezor đã liên hệ với bộ phận hỗ trợ của họ sau tháng 12 năm 2021, hãy cảnh giác với các nỗ lực lừa đảo và lừa đảo tiềm ẩn.

Người dùng ví phần cứng không bao giờ được tiết lộ cụm từ hạt giống của họ trong bất kỳ trường hợp nào. Thông tin này được bảo mật và chỉ dành riêng cho người dùng.

Các nhà cung cấp ví sẽ không bao giờ yêu cầu loại dữ liệu nhạy cảm này vì nó không cần thiết vì bất kỳ lý do nào liên quan đến hoạt động hoặc hỗ trợ.

Nguồn: bleepingcomputer.com

Tietoevry ransomware attack causes outages for Swedish firms, cities

Wed, 24 Jan 2024 06:00:00 GMT

Finnish IT services and enterprise cloud hosting provider Tietoevry has suffered an Akira ransomware attack impacting cloud hosting customers in one of its data centers in Sweden.

Tietoevry is a Finnish IT services company offering managed services and cloud hosting for the enterprise. The company employs approximately 24,000 people worldwide and had a 2023 revenue of $3.1 billion.

Tietoevry confirmed on January 22 that the ransomware attack occurred Friday night, January 19 into Saturday morning, January 20 and has impacted only one of their data centers in Sweden.

"The attack was limited to one part of one of our Swedish datacenters, impacting Tietoevry's services to some of our customers in Sweden," explains a press statement from Tietoevry.

"Tietoevry immediately isolated the affected platform, and the ransomware attack has not affected other parts of the company's infrastructure."

BleepingComputer has learned that this data center is used for the company's enterprise-managed cloud hosting service, leading to outages for multiple customers in Sweden.

The company says that they are in the process of restoring infrastructure and services but that customers still remain impacted as they bring servers back online.

"Tietoevry is following a well-tested methodology in order to restore infrastructure and services. The work is conducted in a planned sequence to ensure correct handling of customer data," continues the press statement.

"Time schedule will also vary somewhat depending on the customer, the solutions in question and the related data restoring needs."

BleepingComputer has contacted Tietoevry for further information about the attack but was only told that the attack "impacted a specific section of one of Tietoevry's data centers located in Sweden."

Tietoevry previously suffered a ransomware attack in 2021 that forced them to disconnect clients' services.

If you have any information on this attack or other cyberattacks, you can contact us securely on Signal at +1 (646) 961-3731, via email at tips@bleepingcomputer.com, or by using our tips form.

Attack causes widespread outages

BleepingComputer has learned that the Akira ransomware attack encrypted the company's virtualization and management servers used to host the websites or applications for a wide range of businesses in Sweden.

Sweden's largest cinema chain, Filmstaden, has confirmed that they are among those impacted by the attack, preventing online purchases of movie tickets through the website or mobile app.

Message on Filmstaden's website warning of the IT outage
Source: BleepingComputer

Other companies impacted by the attack include discount retail chain Rusta, raw building materials provider Moelven, and farming supplier Grangnården, which was forced to close its stores while IT services are restored.

The outage is also impacting Tietoevry's managed Payroll and HR system, Primula, which is used by the government, universities, and colleges in Sweden.

Impacted universities and colleges in the country include the Karolinska Institutet, SLU, University West, Stockholm University, Lunds Universitet, and Malmö University.

The Primula outage has also impacted numerous government agencies and municipalities in Sweden, including the Statens servicecenter, the Vellinge municipality, and Uppsala County.

For Uppsala the outage is more significant as it also impacts the region's health care record system.

Akira ransomware behind attack

On Sunday, January 21, BleepingComputer first reported that the Akira ransomware gang was behind the attack on Tietoevry. The company confirmed our reporting on Monday, January 22 in a new press statement about the attack.

"The malicious attack based on Akira ransomware on one of our datacenters in Sweden took place during the night of January 19-20," reads the new statement.

"Tietoevry takes the situation very seriously and has an extensive team of experts and technicians working around the clock to minimize the impact and restore services."

The Akira ransomware operation launched in March 2023 and quickly began breaching corporate networks worldwide in double-extortion attacks.

The Finnish National Cyber Security Center (NCSC) warned this month that the Akira ransomware operation was targeting organizations in the country.

The NCSC says there were 12 reported Akira ransomware attacks in 2023 targeting businesses in Finland, with the majority happening late in the year.

"The incidents were particularly related to weakly secured Cisco VPN implementations or their unpatched vulnerabilities. Recovery is usually hard," warned the Finnish NCSC.

In August, BleepingComputer reported on the Akira ransomware gang breaching Cisco VPN accounts that weren't protected by multi-factor authentication to gain access to internal corporate networks.

Once the threat actors breach a network, they spread laterally to other devices while stealing corporate data. Once all data has been stolen and they gain administrative privileges, the threat actors encrypt files on the network.

Cisco told BleepingComputer at the time that customers should configure MFA on all VPN accounts and send logging data to a remote syslog server.

Using a remote syslog server, even if the threat actors clear logs on the Cisco router, they will still be accessible for analysis after a breach.

Source: bleepingcomputer.com

Cuộc tấn công ransomware Tietoevry dẫn đến sự cố mất điện cho các công ty tại thành phố Thụy Điển

Wed, 24 Jan 2024 06:00:00 GMT

Các dịch vụ CNTT và nhà cung cấp dịch vụ lưu trữ đám mây dành cho doanh nghiệp của Phần Lan Tietoevry đã phải hứng chịu một cuộc tấn công ransomware Akira ảnh hưởng đến khách hàng lưu trữ đám mây tại một trong những trung tâm dữ liệu của họ ở Thụy Điển.

Tietoevry là một công ty dịch vụ CNTT của Phần Lan cung cấp các dịch vụ được quản lý và lưu trữ đám mây cho doanh nghiệp. Công ty có khoảng 24.000 người trên toàn thế giới và có doanh thu năm 2023 là 3,1 tỷ USD.

Ngày 22 tháng 1, Tietoevry xác nhận rằng cuộc tấn công ransomware xảy ra từ tối thứ Sáu, ngày 19 tháng 6 đến sáng thứ Bảy, ngày 20 tháng 1, và chỉ ảnh hưởng đến một trong các trung tâm dữ liệu của họ ở Thụy Điển.

Thông cáo báo chí Tietoevry giải thích: “Cuộc tấn công được giới hạn ở một phần của một trong những trung tâm dữ liệu ở Thụy Điển của chúng tôi, ảnh hưởng đến các dịch vụ của Tietoevry đối với một số khách hàng của chúng tôi ở Thụy Điển”.

“Tietoevry ngay lập tức cô lập nền tảng bị ảnh hưởng và cuộc tấn công bằng ransomware không ảnh hưởng đến các bộ phận khác trong cơ sở hạ tầng của công ty.”

BleepingComputer được biết rằng trung tâm dữ liệu này được sử dụng cho dịch vụ lưu trữ đám mây do doanh nghiệp quản lý, dẫn đến tình trạng ngừng hoạt động đối với nhiều khách hàng ở Thụy Điển.

Tietoevry cho biết họ đang trong quá trình khôi phục cơ sở hạ tầng và dịch vụ nhưng khách hàng vẫn bị ảnh hưởng khi họ đưa máy chủ trực tuyến trở lại.

Thông cáo báo chí cho biết thêm: "Tietoevry đang tuân theo một phương pháp đã được thử nghiệm kỹ lưỡng để khôi phục cơ sở hạ tầng và dịch vụ. Công việc được tiến hành theo trình tự đã lên kế hoạch để đảm bảo xử lý chính xác dữ liệu khách hàng".

"Lịch trình thời gian cũng sẽ thay đổi đôi chút tùy thuộc vào khách hàng, các giải pháp được đề cập và nhu cầu khôi phục dữ liệu liên quan."

BleepingComputer đã liên hệ với Tietoevry để biết thêm thông tin về cuộc tấn công nhưng chỉ được thông báo rằng cuộc tấn công “đã ảnh hưởng đến một phần cụ thể của một trong những trung tâm dữ liệu của Tietoevry đặt tại Thụy Điển”.

Tietoevry trước đó đã phải hứng chịu một cuộc tấn công bằng ransomware vào năm 2021 khiến họ phải ngắt kết nối dịch vụ của khách hàng.

Nếu bạn có bất kỳ thông tin nào về cuộc tấn công này hoặc các cuộc tấn công mạng khác, bạn có thể liên hệ với Tietoevry theo cách an toàn trên Signal theo số +1 (646) 961-3731, qua email tại Tips@bleepingcomputer.com hoặc bằng cách sử dụng mẫu mẹo của Tietoevry.

Cuộc tấn công gây mất điện trên diện rộng

BleepingComputer đã biết rằng cuộc tấn công ransomware Akira đã mã hóa các máy chủ quản lý và ảo hóa của Tietoevry được sử dụng để lưu trữ các trang web hoặc ứng dụng cho nhiều doanh nghiệp ở Thụy Điển.

Chuỗi rạp chiếu phim lớn nhất Thụy Điển, Filmstaden, đã xác nhận rằng họ nằm trong số những người bị ảnh hưởng bởi cuộc tấn công, ngăn chặn việc mua vé xem phim trực tuyến thông qua trang web hoặc ứng dụng di động.

Thông báo trên trang web của Filmstaden cảnh báo về việc ngừng hoạt động CNTT

Nguồn: BleepingComputer

Các công ty khác bị ảnh hưởng bởi cuộc tấn công bao gồm chuỗi bán lẻ giảm giá Rusta, nhà cung cấp vật liệu xây dựng thô Moelven và nhà cung cấp nông sản Grangnården, đã buộc phải đóng cửa các cửa hàng của mình trong khi dịch vụ CNTT được khôi phục.

Việc ngừng hoạt động cũng ảnh hưởng đến hệ thống nhân sự và tính lương do Tietoevry quản lý, Primula, được chính phủ, các trường đại học và cao đẳng ở Thụy Điển sử dụng.

Các trường đại học và cao đẳng bị ảnh hưởng trong nước bao gồm Viện Karolinska, SLU, Đại học West, Đại học Stockholm, Đại học Lunds và Đại học Malmö.

Sự cố ngừng hoạt động của Primula cũng đã ảnh hưởng đến nhiều cơ quan chính phủ và thành phố ở Thụy Điển, bao gồm trung tâm dịch vụ Statens, khu đô thị Vellinge và Quận Uppsala.

Đối với Uppsala, tình trạng mất điện còn nghiêm trọng hơn vì nó cũng ảnh hưởng đến hệ thống hồ sơ chăm sóc sức khỏe của khu vực.

Akira ransomware đằng sau cuộc tấn công

Vào Chủ nhật, ngày 21 tháng 1, BleepingComputer lần đầu tiên đưa tin rằng nhóm ransomware Akira đứng sau vụ tấn công vào Tietoevry. Tietoevry đã xác nhận báo cáo của chúng tôi vào thứ Hai, ngày 22 tháng 1 trong một thông cáo báo chí mới về vụ tấn công.

Tuyên bố mới cho biết: “Cuộc tấn công độc hại dựa trên ransomware Akira vào một trong những trung tâm dữ liệu của chúng tôi ở Thụy Điển đã diễn ra vào đêm 19-20 tháng 1”.

"Tietoevry rất coi trọng tình hình và có một đội ngũ chuyên gia và kỹ thuật viên đông đảo làm việc suốt ngày đêm để giảm thiểu tác động và khôi phục dịch vụ."

Hoạt động ransomware Akira bắt đầu vào tháng 3 năm 2023 và nhanh chóng bắt đầu xâm nhập vào các mạng công ty trên toàn thế giới trong các cuộc tấn công tống tiền kép.

Trung tâm An ninh mạng Quốc gia Phần Lan (NCSC) đã cảnh báo trong tháng này rằng hoạt động ransomware Akira đang nhắm mục tiêu vào các tổ chức trong nước.

NCSC cho biết đã có 12 vụ tấn công ransomware Akira được báo cáo vào năm 2023 nhắm vào các doanh nghiệp ở Phần Lan, phần lớn xảy ra vào cuối năm.

NCSC Phần Lan cảnh báo: “Các sự cố đặc biệt liên quan đến việc triển khai Cisco VPN được bảo mật yếu hoặc các lỗ hổng chưa được vá của chúng. Việc khôi phục thường khó khăn”.

Vào tháng 8, BleepingComputer đã báo cáo về việc nhóm ransomware Akira xâm phạm các tài khoản Cisco VPN không được bảo vệ bằng xác thực đa yếu tố để có quyền truy cập vào mạng nội bộ của công ty.

Khi các tác nhân đe dọa xâm nhập mạng, chúng sẽ lây lan sang các thiết bị khác đồng thời đánh cắp dữ liệu của công ty. Sau khi tất cả dữ liệu đã bị đánh cắp và giành được đặc quyền quản trị, kẻ tấn công sẽ mã hóa các tệp trên mạng.

Vào thời điểm đó, Cisco đã nói với BleepingComputer rằng khách hàng nên định cấu hình MFA trên tất cả các tài khoản VPN và gửi dữ liệu ghi nhật ký đến máy chủ nhật ký hệ thống từ xa.

Bằng cách sử dụng máy chủ nhật ký hệ thống từ xa, ngay cả khi kẻ đe dọa xóa nhật ký trên bộ định tuyến của Cisco, chúng vẫn có thể truy cập được để phân tích sau khi vi phạm.

Nguồn: bleepingcomputer.com

Kansas State University cyberattack disrupts IT network and services

Wed, 24 Jan 2024 00:00:00 GMT

Kansas State University (K-State) announced it is managing a cybersecurity incident that has disrupted certain network systems, including VPN, K-State Today emails, and video services on Canvas and Mediasite.

Kansas State University is a public land-grant research university offering 65 masters and 45 doctoral programs. It currently has 20,000 students and employs 1,400 academic personnel.

On Tuesday morning, January 16, the university announced on its media portal that it was experiencing disruption in some IT systems, and by the afternoon, it confirmed a cyberattack had caused it.

Impacted systems were taken offline upon detection of the attack, resulting in the unavailability of VPN, emails, Canvas and Mediasite videos, printing, shared drives, and mailing list management services (Listservs).

"Please rest assured that we are dedicating significant resources to bring involved systems back online quickly and safely," read the status update.

"Additionally, we have engaged third-party IT forensic experts to assist us in the ongoing investigation efforts."

Guidance to academic deans for maintaining educational continuity, including using alternative resources, has been provided. K-State also advised students and staff to remain vigilant about suspicious activity and report it to the university’s IT help desk.

Another status update published on January 17 informs that email services for "K-State Today" will become available again starting on January 18, 2024, delivering daily announcements and research news to the K-State community.

However, it is noted that the service will resume in a temporary format, featuring a different header image and a lower volume with select content. Also, a 48-hour delay in the email delivery is to be expected.

More updates about the cyberattack and its impact will be posted on this page, but for now, there has been no mention of the possibility of a data breach impacting student or personnel information.

This is the second published cyberattack on a major educational institute for 2024, following the ransomware attack on the Memorial University of Newfoundland (MUN) at the start of the month, which forced the organization to postpone the semester start date.

At the time of writing this, no major ransomware groups have taken responsibility for the attack on Kansas State University, but it might be too early in the extortion phase for a public disclosure to be made.

Source: bleepingcomputer.com

Cuộc tấn công mạng của Đại học bang Kansas làm gián đoạn mạng và dịch vụ CNTT

Tue, 23 Jan 2024 06:00:00 GMT

Đại học bang Kansas (K-State) thông báo họ đang quản lý một sự cố an ninh mạng làm gián đoạn một số hệ thống mạng, bao gồm VPN, email K-State Today và các dịch vụ video trên Canvas và Mediasite.

Đại học Bang Kansas là trường đại học nghiên cứu công được cấp đất cung cấp 65 chương trình thạc sĩ và 45 chương trình tiến sĩ. Trường hiện có 20.000 sinh viên và tuyển dụng 1.400 nhân viên học thuật.

Vào sáng thứ Ba, ngày 16 tháng 1, trường đại học này đã thông báo trên cổng thông tin truyền thông của mình rằng một số hệ thống CNTT đang gặp sự cố gián đoạn và đến chiều, trường xác nhận rằng một cuộc tấn công mạng đã gây ra sự cố.

Các hệ thống bị ảnh hưởng đã bị ngoại tuyến khi phát hiện cuộc tấn công, dẫn đến không có VPN, email, video Canvas và Mediasite, dịch vụ in, bộ nhớ dùng chung và dịch vụ quản lý danh sách gửi thư (Listservs).

“Hãy yên tâm rằng chúng tôi đang dành những nguồn lực quan trọng để đưa các hệ thống liên quan trở lại trực tuyến một cách nhanh chóng và an toàn”, nội dung cập nhật trạng thái viết.

"Ngoài ra, chúng tôi đã thuê các chuyên gia pháp y CNTT của bên thứ ba để hỗ trợ chúng tôi trong các nỗ lực điều tra đang diễn ra."

Hướng dẫn cho các trưởng khoa học thuật để duy trì tính liên tục trong giáo dục, bao gồm cả việc sử dụng các nguồn lực thay thế, đã được cung cấp. K-State cũng khuyên sinh viên và nhân viên nên cảnh giác với hoạt động đáng ngờ và báo cáo cho bộ phận trợ giúp CNTT của trường đại học.

Một cập nhật trạng thái khác được đưa ra vào ngày 17 tháng 1 cho biết rằng dịch vụ email cho "K-State Today" sẽ hoạt động trở lại bắt đầu từ ngày 18 tháng 1 năm 2024, cung cấp thông báo hàng ngày và tin tức nghiên cứu cho cộng đồng K-State.

Tuy nhiên, cần lưu ý rằng dịch vụ sẽ tiếp tục ở định dạng tạm thời, có hình ảnh tiêu đề khác và âm lượng thấp hơn với nội dung được chọn. Ngoài ra, việc gửi email có thể sẽ bị chậm trễ 48 giờ.

Thông tin cập nhật khác về cuộc tấn công mạng và tác động của nó sẽ được đăng trên trang này, nhưng hiện tại, chưa có đề cập nào về khả năng vi phạm dữ liệu ảnh hưởng đến thông tin của sinh viên hoặc nhân sự.

Đây là cuộc tấn công mạng thứ hai được công bố nhằm vào một học viện giáo dục lớn trong năm 2024, sau vụ tấn công bằng ransomware vào Đại học Memorial of Newfoundland (MUN) vào đầu tháng, khiến tổ chức này phải hoãn ngày bắt đầu học kỳ.

Tại thời điểm viết bài này, không có nhóm ransomware lớn nào nhận trách nhiệm về vụ tấn công vào Đại học bang Kansas, nhưng có thể còn quá sớm trong giai đoạn tống tiền để tiết lộ công khai.

Nguồn: bleepingcomputer.com

Haier hits Home Assistant plugin dev with takedown notice

Mon, 22 Jan 2024 23:45:00 GMT

Appliances giant Haier issued a takedown notice to a software developer for creating Home Assistant integration plugins for the company's home appliances and releasing them on GitHub.

Haier is a multinational home appliances and consumer electronics corporation selling a wide range of products under the brands General Electric Appliances, Hotpoint, Hoover, Fisher & Paykel, and Candy.

Earlier last week, German software developer Andre Basche, who maintains plugins for the Home Assistant integration for Haier's hOn smart control app, claimed to receive a legal threat demanding the immediate removal of his tools from the GitHub platform.

Home Assistant is an open-source home automation platform enabling users to control and automate their smart home devices from a centralized interface. Apart from convenience and cost, Home Assistant offers superior security and privacy options not available on similar commercial apps.

The plugins offered in the GitHub repositories enable users to control Haier, Candy, and Hoover air conditioners, purifiers, dishwashers, induction hobs, ovens, fridges, washing machines, and dryers through Home Assistant.

According to a notice published by the repository owner, Haier claims these plugins cause the firm significant financial damage and violate copyright laws, requiring the developer to take them down to avoid further legal action.

"We are writing to inform you that we have discovered two Home Assistant integration plug-ins developed by you (https://github.com/Andre0512/hon and https://github.com/Andre0512/pyhOn) that are in violation of our terms of service," reads the notice from Haier Europe Security and Governance Department.

"Specifically, the plug-ins are using our services in an unauthorized manner, which is causing significant economic harm to our Company."

"We take the protection of our intellectual property very seriously and demand that you immediately cease and desist all illegal activities related to the development and distribution of these plug-ins."

Takedown notice (GitHub)

The letter eventually delivers a legal threat to the developer, saying that if he fails to comply with the removal request immediately, the firm will take necessary legal action to seek compensation for the damage done to its business.

The plugins themselves are open-source, but it is unclear if they incorporate Haier's intellectual property, such as software code or proprietary protocols, which would give the firm a legal basis for the request.

On the other hand, if the plugins do not infringe on Haier's intellectual property or fall under fair use provisions, the creator could opt to defend his work and keep the plugins available to the community.

Nonetheless, Haier's legal threats have intimidated the developer, who announced that the project will be taken down in the next couple of days.

Meanwhile, the situation has sparked support for the developer and backlash on Haier, with users calling consumers to boycott Haier, finding the firm's approach excessively aggressive.

Targeting open-source software developers tends to backfire for companies, as others fork or clone the code repositories to prevent the projects from disappearing.

At this time, the Haier home assistant plugins have been forked 228 times, many occurring since the news of the legal threats.

BleepingComputer has contacted Haier with questions on the case, but a comment wasn't immediately available.

Source: BleepingComputer

Haier đưa ra thông báo bắt buộc gỡ bỏ cho nhà phát triển phầm mềm plugin Home Assistant

Mon, 22 Jan 2024 06:00:02 GMT

Công ty thiết bị khổng lồ Haier đã đưa ra thông báo gỡ bỏ đối với một nhà phát triển phần mềm đã tạo các plugin tích hợp Home Assistant cho các thiết bị gia dụng của công ty và phát hành chúng trên GitHub.

Haier là tập đoàn điện tử tiêu dùng và thiết bị gia dụng đa quốc gia bán nhiều loại sản phẩm dưới các thương hiệu General Electric Appliances, Hotpoint, Hoover, Fisher & Paykel và Candy.

Đầu tuần trước, nhà phát triển phần mềm người Đức Andre Basche, người duy trì các plugin để tích hợp Home Assistant cho ứng dụng điều khiển thông minh hOn của Haier, tuyên bố đã nhận được lời đe dọa pháp lý yêu cầu xóa ngay các công cụ của anh ấy khỏi nền tảng GitHub.

Home Assistant là một nền tảng tự động hóa gia đình nguồn mở cho phép người dùng điều khiển và tự động hóa các thiết bị thông minh trong nhà của họ từ một giao diện tập trung. Ngoài sự tiện lợi và chi phí, Home Assistant còn cung cấp các tùy chọn bảo mật và quyền riêng tư vượt trội không có trên các ứng dụng thương mại tương tự.

Các plugin được cung cấp trong GitHub cho phép người dùng điều khiển máy điều hòa không khí, máy lọc, máy rửa bát, bếp từ, lò nướng, tủ lạnh, máy giặt và máy sấy của Haier, Candy và Hoover thông qua Home Assistant.

Theo thông báo do chủ sở hữu kho lưu trữ công bố, Haier tuyên bố các plugin này gây thiệt hại tài chính đáng kể cho công ty và vi phạm luật bản quyền, yêu cầu nhà phát triển gỡ chúng xuống để tránh các hành động pháp lý tiếp theo.

"Chúng tôi viết thư này để thông báo cho bạn rằng chúng tôi đã phát hiện hai plugin tích hợp Trợ lý gia đình do bạn phát triển (https://github.com/Andre0512/hon và https://github.com/Andre0512/pyhOn) vi phạm về các điều khoản dịch vụ của chúng tôi”, thông báo từ Phòng Quản trị và An ninh Châu Âu của Haier cho biết.

"Cụ thể, các plug-in đang sử dụng dịch vụ của chúng tôi một cách trái phép, điều này gây thiệt hại kinh tế đáng kể cho Công ty của chúng tôi."

"Chúng tôi rất coi trọng việc bảo vệ tài sản trí tuệ của mình và yêu cầu bạn ngay lập tức chấm dứt và hủy bỏ mọi hoạt động bất hợp pháp liên quan đến việc phát triển và phân phối các plug-in này."

Thông báo gỡ xuống (GitHub)

Bức thư cuối cùng đưa ra lời đe dọa pháp lý cho Home Assistant cho biết rằng nếu anh ta không tuân thủ yêu cầu xóa ngay lập tức, Haier sẽ thực hiện hành động pháp lý cần thiết để yêu cầu bồi thường thiệt hại cho hoạt động kinh doanh của mình.

Bản thân các plugin này là nguồn mở, nhưng không rõ liệu chúng có kết hợp tài sản trí tuệ của Haier hay không, chẳng hạn như mã phần mềm hoặc giao thức độc quyền, điều này sẽ cung cấp cho công ty cơ sở pháp lý cho yêu cầu này.

Mặt khác, nếu các plugin không vi phạm quyền sở hữu trí tuệ của Haier hoặc tuân theo các điều khoản sử dụng hợp lý thì người sáng tạo có thể chọn bảo vệ tác phẩm của mình và cung cấp các plugin cho cộng đồng.

Tuy nhiên, những lời đe dọa pháp lý của Haier đã khiến nhà phát triển phần mềm lo sợ, họ đã thông báo rằng dự án sẽ bị gỡ bỏ trong vài ngày tới.

Trong khi đó, tình huống này mặt khác đã dấy lên sự ủng hộ dành cho nhà phát triển phần mềm và phản ứng dữ dội đối với Haier, khi người dùng kêu gọi người tiêu dùng tẩy chay Haier, cho rằng cách tiếp cận của công ty là quá hung hăng.

Nhắm mục tiêu vào các nhà phát triển phần mềm nguồn mở có xu hướng gây phản tác dụng cho các công ty, vì những đơn vị khác sẽ phân nhánh hoặc sao chép các kho mã để ngăn chặn việc các dự án biến mất.

Tại thời điểm này, các plugin trợ lý tại nhà của Haier đã được phân nhánh 228 lần, việc này đã nhiều lần xảy ra kể từ khi có tin tức về các mối đe dọa pháp lý.

BleepingComputer đã liên hệ với Haier để hỏi về vụ việc nhưng chưa có bình luận ngay lập tức.

Nguồn: bleepingcomputer.com

US govt wants BreachForums admin sentenced to 15 years in prison

Mon, 22 Jan 2024 00:00:00 GMT

The United States government has recommended that Conor Brian Fitzpatrick, the creator and lead administrator of the now-defunct BreachForums hacking forums, receive a sentence of 15 years in prison.

BreachForums was a notorious cybercrime forum that gained prominence after the FBI seized RaidForums in 2022. Fitzpatrick created it under the alias "Pompompurin" to facilitate the trade and exchange of stolen data, including personal information, credit cards, account credentials, etc.

The platform offered humongous amounts of data to members, with the "official" databases section alone hosting 888 stolen databases and containing more than 14 billion unique records.

Fitzpatrick was arrested on March 15, 2023, in his home in New York and charged with one count of conspiracy to solicit individuals to sell unauthorized access devices.

The man immediately admitted his involvement and role in Breach and was released shortly after his arrest on a $300k bond until the court procedures could begin.

Earlier this month, Fitzpatrick was placed in custody again after he broke his release terms by using a virtual private network (VPN) tool to access the internet on an unmonitored computer.

The defendant's final sentence is scheduled for Friday, January 19, 2024, and the U.S. government has already sent its proposal for the court's consideration.

According to the released documents, first spotted by @vxunderground, the government recommends that Fitzpatrick receive a sentence of 188 months, approximately 15.7 years, based on the nature and impact of the defendant's actions.

"The defendant's administration of BreachForums played an instrumental role in bringing together more than 300,000 members to solicit, distribute, and access thousands of breached databases containing the stolen data of hundreds of companies, organizations, and governmental organizations of varying size and the PII of millions of U.S. persons," reads the sentencing proposal.

"By creating a platform for hackers and fraudsters to connect and conduct business, the defendant made it possible for BreachForums members to commit exponentially more crimes and more sophisticated crimes than any could have done alone."

In addition to being the admin of BreachForums, the U.S. government says Fitzpatrick acted as a middleman for the sale of stolen data between other users of the site, encouraging threat actors to leak samples of stolen data.

"The defendant's middleman service substantially facilitated and encouraged the dissemination of hacked or stolen data through BreachForums because it enabled purchasers and sellers to verify the means of payment and contraband files being sold prior to executing the purchase and sale," explains the sentencing proposal.

In addition to Fitzpatrick's online cybercrime activities, the FBI found child pornography in 26 files on a seized SSD hard drive.

The U.S. government's sentencing recommendation is at the lower end of the guidelines on the offense level and applicable sentences. This leniency might result from Fitzpatrick's cooperation with the authorities, lack of violent crime record, an early plea deal, or other factors.

In addition to the imprisonment, the U.S. government also seeks a fine for his possession of child pornography, a substantial term of supervised release, restitution to victims, and forfeiture of certain assets.

Source: bleepingcomputer.com

Over 178K SonicWall firewalls vulnerable to DoS, potential RCE attacks

Sat, 20 Jan 2024 01:00:00 GMT

Security researchers have found over 178,000 SonicWall next-generation firewalls (NGFW) with the management interface exposed online are vulnerable to denial-of-service (DoS) and potential remote code execution (RCE) attacks.

These appliances are affected by two DoS security flaws tracked as CVE-2022-22274 and CVE-2023-0656, the former also allowing attackers to gain remote code execution.

"Using BinaryEdge source data, we scanned SonicWall firewalls with management interfaces exposed to the internet and found that 76% (178,637 of 233,984) are vulnerable to one or both issues," said Jon Williams, a Senior Security Engineer at Bishop Fox.

Although the two vulnerabilities are essentially the same as they're caused by reusing the same vulnerable code pattern, they're exploitable at different HTTP URI paths, according to Bishop Fox, who discovered this massive attack surface.

"Our initial research confirmed the vendor's assertion that no exploit was available; however, once we identified the vulnerable code, we discovered it was the same issue announced a year later as CVE-2023-0656," Williams said.

"We found that CVE-2022-22274 was caused by the same vulnerable code pattern in a different place, and the exploit worked against three additional URI paths."

Even if attackers cannot execute code on a targeted appliance, they can exploit vulnerabilities to force it into maintenance mode, requiring intervention from administrators to restore standard functionality.

Thus, even if it's not determined if remote code execution is possible, bad actors could still leverage these vulnerabilities to disable edge firewalls and the VPN access they provide to corporate networks.

More than 500,000 SonicWall firewalls are currently exposed online, with over 328,000 in the United States, according to data from threat monitoring platform Shadowserver.

Internet-exposed SonicWall firewalls (ShadowServer)

While the SonicWall Product Security Incident Response Team (PSIRT) says it has no knowledge that these vulnerabilities have been exploited in the wild, at least one proof-of-concept (PoC) exploit is available online for CVE-2022-22274.

"SSD Labs had published a technical writeup of the bug with a proof of concept, noting two URI paths where the bug could be triggered," Williams said.

Admins are advised to ensure their SonicWall NGFW appliances' management interface is not exposed online and upgrade to the latest firmware versions as soon as possible.

SonicWall's appliances have previously been targeted in cyber-espionage attacks and by multiple ransomware gangs, including HelloKitty and FiveHands).

For instance, last March, SonicWall PSIRT and Mandiant revealed that suspected Chinese hackers installed custom malware on unpatched SonicWall Secure Mobile Access (SMA) appliances for long-term persistence in cyber-espionage campaigns.

Customers were also warned in July to urgently patch multiple critical authentication bypass flaws in the company's GMS firewall management and Analytics network reporting products.

SonicWall's customer list includes over 500,000 businesses from more than 215 countries and territories, including government agencies and some of the largest companies worldwide.

Source: bleepingcomputer.com

Chính phủ Hoa Kỳ khuyến nghị quản trị viên BreachForums nhận mức án 15 năm tù

Fri, 19 Jan 2024 08:24:57 GMT

Chính phủ Hoa Kỳ đã khuyến nghị Conor Brian Fitzpatrick, người sáng tạo và quản trị viên chính của diễn đàn hack BreachForums hiện không còn tồn tại, nhận mức án 15 năm tù.

BreachForums là một diễn đàn tội phạm mạng khét tiếng đã trở nên nổi tiếng sau khi FBI tịch thu RaidForums vào năm 2022. Fitzpatrick đã tạo ra nó với bí danh "Pompompurin" để tạo điều kiện thuận lợi cho việc buôn bán và trao đổi dữ liệu bị đánh cắp, bao gồm thông tin cá nhân, thẻ tín dụng, thông tin xác thực tài khoản, v.v.

Nền tảng này cung cấp lượng dữ liệu khổng lồ cho các thành viên, chỉ riêng phần cơ sở dữ liệu "chính thức" đã lưu trữ 888 cơ sở dữ liệu bị đánh cắp và chứa hơn 14 tỷ bản ghi duy nhất.

Fitzpatrick bị bắt vào ngày 15 tháng 3 năm 2023 tại nhà riêng ở New York và bị buộc tội một tội âm mưu gạ gẫm các cá nhân bán thiết bị truy cập trái phép.

Người đàn ông ngay lập tức thừa nhận sự tham gia và vai trò của mình trong Breach và được thả ngay sau khi bị bắt với khoản tiền bảo lãnh 300 nghìn đô la cho đến khi thủ tục tòa án có thể bắt đầu.

Đầu tháng này, Fitzpatrick lại bị giam giữ sau khi anh ta vi phạm các điều khoản trả tự do bằng cách sử dụng công cụ mạng riêng ảo (VPN) để truy cập Internet trên một máy tính không được giám sát.

Bản án cuối cùng của bị cáo được ấn định vào thứ Sáu, ngày 19 tháng 1 năm 2024 và chính phủ Hoa Kỳ đã gửi đề xuất của mình để tòa án xem xét.

Theo các tài liệu được công bố, lần đầu tiên được phát hiện bởi @vxunderground, chính phủ khuyến nghị Fitzpatrick nhận mức án 188 tháng, khoảng 15,7 năm, dựa trên tính chất và tác động của hành động của bị cáo.

"Việc quản lý BreachForums của bị cáo đóng một vai trò quan trọng trong việc tập hợp hơn 300.000 thành viên để thu hút, phân bổ và truy cập hàng nghìn cơ sở dữ liệu bị vi phạm chứa dữ liệu bị đánh cắp của hàng trăm công ty, tổ chức và tổ chức chính phủ có quy mô khác nhau và PII của hàng triệu người. của người Mỹ,” đề nghị tuyên án viết.

“Bằng cách tạo ra một nền tảng cho tin tặc và kẻ lừa đảo kết nối và tiến hành kinh doanh, bị cáo đã tạo điều kiện cho các thành viên BreachForums phạm nhiều tội ác theo cấp số nhân và nhiều tội phạm phức tạp hơn bất kỳ tội ác nào có thể tự mình thực hiện.”

Ngoài việc là quản trị viên của BreachForums, chính phủ Hoa Kỳ cho biết Fitzpatrick còn đóng vai trò trung gian để bán dữ liệu bị đánh cắp giữa những người dùng khác của trang web, khuyến khích các tác nhân đe dọa rò rỉ các mẫu dữ liệu bị đánh cắp.

Đề xuất tuyên án giải thích: “Dịch vụ trung gian của bị cáo đã tạo điều kiện thuận lợi và khuyến khích phổ biến dữ liệu bị tấn công hoặc bị đánh cắp thông qua BreachForums vì nó cho phép người mua và người bán xác minh phương tiện thanh toán và các tập tin lậu được bán trước khi thực hiện giao dịch mua bán”.

Ngoài các hoạt động tội phạm mạng trực tuyến của Fitzpatrick, FBI còn tìm thấy nội dung khiêu dâm trẻ em trong 26 tệp trên ổ cứng SSD bị thu giữ.

Khuyến nghị tuyên án của chính phủ Hoa Kỳ nằm ở phần cuối của hướng dẫn về mức độ vi phạm và các mức án áp dụng. Sự khoan hồng này có thể là kết quả của sự hợp tác của Fitzpatrick với chính quyền, không có hồ sơ tội phạm bạo lực, thỏa thuận nhận tội sớm hoặc các yếu tố khác.

Ngoài hình phạt tù, chính phủ Hoa Kỳ còn yêu cầu phạt tiền đối với hành vi tàng trữ nội dung khiêu dâm trẻ em, thời hạn thả có giám sát, bồi thường nạn nhân và tịch thu một số tài sản.

Nguồn: bleepingcomputer.com

Hơn 178K tường lửa SonicWall dễ bị tấn công DoS và các cuộc tấn công RCE tiềm ẩn

Fri, 19 Jan 2024 06:00:00 GMT

Các nhà nghiên cứu bảo mật đã phát hiện hơn 178.000 tường lửa tiếp theo (NGFW) của SonicWall với giao diện quản lý được hiển thị trực tuyến dễ bị tấn công từ chối dịch vụ (DoS) và các cuộc tấn công thực thi mã từ xa (RCE) tiềm ẩn.

Các thiết bị này bị ảnh hưởng bởi hai lỗi bảo mật DoS được theo dõi là CVE-2022-22274 và CVE-2023-0656, lỗi trước đây cũng cho phép kẻ tấn công thực thi mã từ xa.

Jon Williams, Kỹ sư bảo mật cấp cao tại Bishop Fox cho biết: “Bằng cách sử dụng dữ liệu nguồn BinaryEdge, chúng tôi đã quét tường lửa SonicWall với các giao diện quản lý được kết nối với internet và nhận thấy rằng 76% (178.637 trong số 233.984) dễ bị tấn công trước một hoặc cả hai vấn đề”.

Theo Bishop Fox, người đã phát hiện ra cuộc tấn công khổng lồ này, mặc dù hai lỗ hổng này về cơ bản giống nhau vì chúng được gây ra bằng cách sử dụng lại cùng một mẫu mã dễ bị tấn công, nhưng chúng có thể bị khai thác ở các đường dẫn HTTP URI khác nhau.

Williams cho biết: “Nghiên cứu ban đầu của chúng tôi đã xác nhận khẳng định của nhà cung cấp rằng không có cách khai thác nào; tuy nhiên, khi xác định được mã dễ bị tấn công, chúng tôi phát hiện ra đó chính là vấn đề được công bố một năm sau đó với tên CVE-2023-0656”.

“Chúng tôi phát hiện ra rằng CVE-2022-22274 được gây ra bởi cùng một mẫu mã dễ bị tấn công ở một vị trí khác và hoạt động khai thác đã hoạt động dựa trên ba đường dẫn URI bổ sung.”

Ngay cả khi kẻ tấn công không thể thực thi mã trên thiết bị được nhắm mục tiêu, chúng vẫn có thể khai thác lỗ hổng để buộc thiết bị đó vào chế độ bảo trì, yêu cầu quản trị viên can thiệp để khôi phục chức năng tiêu chuẩn.

Do đó, ngay cả khi không xác định được liệu có thể thực thi mã từ xa hay không, kẻ xấu vẫn có thể lợi dụng các lỗ hổng này để vô hiệu hóa tường lửa biên và quyền truy cập VPN mà chúng cung cấp cho mạng công ty.

Theo dữ liệu từ nền tảng giám sát mối đe dọa Shadowserver, hơn 500.000 tường lửa SonicWall hiện đang bị lộ trực tuyến, trong đó có hơn 328.000 tường lửa ở Hoa Kỳ.

Tường lửa SonicWall tiếp xúc với Internet (ShadowServer)

Mặc dù đội ngũ ứng phó sự cố bảo mật sản phẩm SonicWall (PSIRT) cho biết họ không biết rằng những lỗ hổng này đã bị khai thác trên thực tế, nhưng ít nhất một cách khai thác bằng chứng khái niệm (PoC) đã có sẵn trực tuyến cho CVE-2022-22274.

Williams cho biết: “SSD Labs đã phát hành một bản ghi kỹ thuật về lỗi này kèm theo bằng chứng về khái niệm, lưu ý hai đường dẫn URI nơi lỗi có thể được kích hoạt”.

Quản trị viên nên đảm bảo giao diện quản lý của thiết bị SonicWall NGFW của họ không bị lộ trực tuyến và nên nâng cấp lên phiên bản chương trình cơ sở mới nhất càng sớm càng tốt.

Các thiết bị của SonicWall trước đây đã trở thành mục tiêu trong các cuộc tấn công gián điệp mạng và bởi nhiều nhóm ransomware, bao gồm HelloKitty và FiveHands).

Chẳng hạn, vào tháng 3 năm ngoái, SonicWall PSIRT và Mandiant đã tiết lộ rằng các tin tặc Trung Quốc bị nghi ngờ đã cài đặt phần mềm độc hại tùy chỉnh trên các thiết bị Truy cập di động an toàn SonicWall (SMA) chưa được vá để tồn tại lâu dài trong các chiến dịch gián điệp mạng.

Vào tháng 7, khách hàng cũng đã được cảnh báo khẩn cấp vá nhiều lỗi bỏ qua xác thực quan trọng trong các sản phẩm báo cáo mạng Analytics và quản lý tường lửa GMS của họ.

Danh sách khách hàng của SonicWall bao gồm hơn 500.000 doanh nghiệp từ hơn 215 quốc gia và vùng lãnh thổ, bao gồm các cơ quan chính phủ và một số công ty lớn nhất trên toàn thế giới.

Nguồn: bleepingcomputer.com

GrapheneOS: Frequent Android auto-reboots block firmware exploits

Fri, 19 Jan 2024 00:00:00 GMT

The GrapheneOS team behind the privacy and security-focused Android-based operating system with the same name is suggesting that Android should introduce an auto-reboot feature to make exploitation of firmware flaws more difficult.

The project revealed that it recently reported firmware vulnerabilities impacting Android devices such as Google Pixel and Samsung Galaxy phones, which could be exploited to steal data and spy on users when the device is not at rest.

When a device is “at rest,” it means that it is either turned off or has not been unlocked after booting up. In this state, privacy protections are very high and the mobile device is not fully functional because encryption keys are still not available for installed apps to use.

The first unlock after a reboot causes multiple cryptographic keys to move to the quick access memory so installed apps to work properly and the device switches to a "not at rest" state.

The GrapheneOS team highlights that locking the screen after using the device does not place it back into the "at rest" state because some security exemptions persist.

Rebooting the device terminates all temporary states, processes, or activities that could be exploited and requires authentication like PIN, password, or biometric verification to unlock, thereby re-engaging all security mechanisms.

Although GrapheneOS devs have not shared many details about the exploited firmware bugs, they proposed a generic mitigation that would work well in most cases: an auto-reboot feature that is already present in their operating system.

The idea is to minimize the window of opportunity for attackers and disrupt existing compromises by resetting all protection systems on the device more frequently than a user would.

GrapheneOS' auto-reboot system resets the device every 72 hours but as the OS maker comments, this is too long a period and they plan to reduce it.

GrapheneOS also notes that flight modes on smartphones that people assume reduce the attack surface often still allow data exchange via Wi-Fi, Bluetooth, NFC, and USB Ethernet, so depending on the attack vector, it may not be an effective protection measure.

The developers touch on the topic of PIN/password security and its relation to the device’s encryption and security systems, as these authentication methods are used as keys to encrypt device data.

Secure element throttling is vital for securing short PINs and passphrases against stealthy brute forcing that could unlock not just the screen but also the secure enclave on the device’s chip.

BleepingComputer has reached out to the GrapheneOS team and Google to learn more about the discovered vulnerabilities, their impact, and observed exploitation cases. We did not receive a reply from GrapheneOS but Google provided the following statement:

"GrapheneOS is a third-party mobile operating system based on the Android Open Source Project. GrapheneOS reported these issues to our Android Vulnerability Reward Program (VRP) on January 2. We are in the process of reviewing and determining next steps" - Google

Frequently rebooting your Android or iOS device has been touted as a good idea for fixing problems such as heating, memory, or even call signal but also. From a security perspective, this action can protect from illegal data recovery or mobile threats that do not have effective persistence mechanisms.

Update 1/15 - A GrapheneOS spokesperson has reached out to clarify a few points, and we have updated the article to reflect those.

The spokesperson told BleepingComputer that GrapheneOS that it has released an update for the auto-reboot system yesterday, on January 14, 2024.

The team re-engineered the auto-reboot function's implementation, moving it from the system_server to the init process for increased robustness.

The auto-reboot timer since the last unlock (not since last boot) has now been shortened to 18 hours (from 72 hours).

The spokesperson further explained that while unable to directly fix firmware bugs due to hardware limitations, GrapheneOS proposed firmware memory erasure on reboots and suggests improvements to the device administration API for more secure device wipes.

Source: BleepingComputer

GrapheneOS: Việc khai thác phần mềm tự động khởi động lại Android trở nên thường xuyên hơn

Thu, 18 Jan 2024 06:00:01 GMT

Đội ngũ GrapheneOS quản lý hệ điều hành cùng tên dựa trên Android tập trung vào quyền riêng tư và bảo mật đang đề xuất rằng Android nên giới thiệu tính năng tự động khởi động lại để khiến việc khai thác các lỗi firmware trở nên khó khăn hơn.

Trong dự án gần đây, GrapheneOS đã báo cáo các lỗ hổng firmware ảnh hưởng đến các thiết bị Android như điện thoại Google Pixel và Samsung Galaxy, có thể bị khai thác để đánh cắp dữ liệu và theo dõi người dùng khi thiết bị không ở trạng thái nghỉ.

Khi một thiết bị ở trạng thái nghỉ, điều đó có nghĩa là thiết bị đó đã tắt hoặc chưa được mở khóa sau khi khởi động. Ở trạng thái này, khả năng bảo vệ quyền riêng tư rất cao và thiết bị di động không có đầy đủ chức năng vì khóa mã hóa vẫn không có sẵn để các ứng dụng đã cài đặt sử dụng.

Lần mở khóa đầu tiên sau khi khởi động lại khiến nhiều khóa mật mã di chuyển đến bộ nhớ truy cập nhanh để các ứng dụng đã cài đặt hoạt động bình thường và thiết bị chuyển sang trạng thái "không ở trạng thái nghỉ".

Nhóm GrapheneOS nhấn mạnh rằng việc khóa màn hình sau khi sử dụng sẽ không đưa thiết bị trở lại trạng thái "nghỉ" vì một số miễn trừ bảo mật vẫn tồn tại.

Việc khởi động lại thiết bị sẽ chấm dứt tất cả các trạng thái, quy trình hoặc hoạt động tạm thời có thể bị khai thác và yêu cầu xác thực như mã PIN, mật khẩu hoặc xác minh sinh trắc học để mở khóa, từ đó kích hoạt lại tất cả các cơ chế bảo mật.

Mặc dù các lập trình viên của GrapheneOS chưa chia sẻ nhiều thông tin chi tiết về các lỗi phần mềm bị khai thác nhưng họ đã đề xuất một biện pháp giảm thiểu chung có thể hoạt động tốt trong hầu hết các trường hợp: tính năng tự động khởi động lại đã có trong hệ điều hành của họ.

Ý tưởng này nhằm giảm thiểu cơ hội cho những kẻ tấn công và phá vỡ việc xâm nhập hiện có bằng cách đặt lại tất cả các hệ thống bảo vệ trên thiết bị thường xuyên hơn mức người dùng có thể làm.

Hệ thống tự động khởi động lại của GrapheneOS sẽ đặt lại thiết bị sau mỗi 72 giờ nhưng theo nhận xét của nhà sản xuất hệ điều hành, đây là khoảng thời gian quá dài và họ có kế hoạch giảm thời gian đó.

GrapheneOS cũng lưu ý rằng chế độ máy bay trên điện thoại thông minh mà mọi người cho rằng giảm bề mặt tấn công thường vẫn cho phép trao đổi dữ liệu qua Wi-Fi, Bluetooth, NFC và USB Ethernet, do đó tùy thuộc vào vectơ tấn công, đây có thể không phải là biện pháp bảo vệ hiệu quả.

Các lập trình viên đề cập đến chủ đề bảo mật mã PIN/mật khẩu và mối quan hệ của nó với hệ thống bảo mật và mã hóa của thiết bị, vì các phương thức xác thực này được sử dụng làm chìa khóa để mã hóa dữ liệu thiết bị.

Việc điều chỉnh thành phần an toàn là rất quan trọng để đảm bảo các mã PIN và cụm mật khẩu ngắn chống lại các hành vi tấn công lén lút có thể mở khóa không chỉ màn hình mà còn cả vùng bảo mật trên chip của thiết bị.

BleepingComputer đã liên hệ với nhóm GrapheneOS và Google để tìm hiểu thêm về các lỗ hổng được phát hiện, tác động của chúng và các trường hợp khai thác đã quan sát. Tuy nhiên, BleepingComputer không nhận được phản hồi từ GrapheneOS nhưng Google đã đưa ra tuyên bố sau:

"GrapheneOS là hệ điều hành di động của bên thứ ba dựa trên Dự án mã nguồn mở Android. GrapheneOS đã báo cáo những vấn đề này với Chương trình phần thưởng lỗ hổng Android (VRP) của chúng tôi vào ngày 2 tháng 1. Chúng tôi đang trong quá trình xem xét và xác định các bước tiếp theo" - Google cho biết.

Thường xuyên khởi động lại thiết bị Android hoặc iOS của người dùng được xem là một ý tưởng hay để khắc phục các sự cố như nóng máy, bộ nhớ hoặc thậm chí cả tín hiệu cuộc gọi. Từ góc độ bảo mật, hành động này có thể bảo vệ khỏi việc khôi phục dữ liệu bất hợp pháp hoặc các mối đe dọa di động không có cơ chế tồn tại hiệu quả.

Cập nhật 15/1 - Người phát ngôn của GrapheneOS đã liên hệ để làm rõ một số điểm và chúng tôi đã cập nhật bài viết để phản ánh những điểm đó.

Người phát ngôn nói với BleepingComputer rằng GrapheneOS đã phát hành bản cập nhật cho hệ thống tự động khởi động lại vào ngày hôm qua, ngày 14 tháng 1 năm 2024.

Đội ngũ đã thiết kế lại cách triển khai chức năng tự động khởi động lại, chuyển nó từ system_server sang quy trình init để gia tăng độ mạnh mẽ của hệ thống.

Bộ đếm thời gian tự động khởi động lại kể từ lần mở khóa cuối cùng (không phải kể từ lần khởi động cuối cùng) hiện đã được rút ngắn xuống còn 18 giờ (từ 72 giờ).

Người phát ngôn giải thích thêm rằng mặc dù không thể trực tiếp sửa lỗi phần sụn do hạn chế về phần cứng, nhưng GrapheneOS đã đề xuất xóa bộ nhớ phần sụn khi khởi động lại và đề xuất cải tiến API quản trị thiết bị để xóa thiết bị an toàn hơn.

Nguồn: bleepingcomputer.com

Những kẻ lừa đảo sử dụng công nghệ mới tinh vi để khủng bố gia đình California

Thu, 18 Jan 2024 05:30:16 GMT

Một gia đình ở California đã phải chịu đựng một sự việc kinh hoàng khi những kẻ lừa đảo sử dụng trí tuệ nhân tạo đánh lừa họ tin rằng con trai họ đã gặp một tai nạn nghiêm trọng.

Một ngày bình thường, Amy Trapp đang làm việc tại trường Mill Valley gần San Francisco thì nhận được một cuộc gọi từ một số lạ và nhấc máy thì phát ra một giọng nói mà cô tin là của con trai mình, theo báo cáo từ tờ San Francisco ghi chép lại.

Trapp nói với mọi người: “Đó là giọng con trai tôi đang khóc trong điện thoại, nói với tôi rằng: ‘Mẹ ơi, con vừa bị tai nạn xe hơi.

Người mẹ cho biết ngay lập tức cô cảm thấy hoảng sợ và nhìn thấy con trai mình đang học đại học ở xa bờ biển miền trung California, nằm dưới gầm ô tô hoặc bên vệ đường trên vũng máu của chính mình. Thay vào đó, một giọng nói khác vang lên trên điện thoại và nói với Trapp rằng anh ta là cảnh sát và con trai cô, Will, đã làm một phụ nữ mang thai bị thương trong vụ va chạm và bị đưa vào tù.

Một hacker trí tuệ nhân tạo đằng sau máy tính. (Fox News)

Trapp cho biết cô tin vào câu chuyện vì giọng nói ở đầu dây bên kia không thể nhầm lẫn là của con trai cô. Cô cũng đặt niềm tin vào một người đàn ông khác tự xưng là người bào chữa cho Will, người này đã yêu cầu cô rút hơn 15.500 USD để trang trải chi phí bảo lãnh cho Will.

Vài giờ sau, chồng của Trapp đã trực tiếp gọi cảnh sát và cặp đôi phát hiện ra sự việc này thực chất là một trò lừa đảo. Những người đàn ông này đã lừa người mẹ đang lo lắng bằng cách sử dụng công nghệ AI tinh vi để tái tạo giọng nói của Will. Will đang học trong phòng suốt thời gian đó mà không hề hay biết về bi kịch đang diễn ra với bố mẹ mình.

Christopher Alexander, giám đốc phân tích của Pioneer Development Group, nói với Fox News Digital: “Những trò lừa đảo như thế này đang gia tăng mỗi ngày khi công nghệ deepfake được cải thiện và trở nên dễ truy cập hơn”. “Những vụ lừa đảo như thế này thành công vì nạn nhân bị căng thẳng tột độ với hy vọng rằng những điểm không hoàn hảo trong bản deepfake sẽ không bị phát hiện.”

Trong khi các trò lừa đảo qua điện thoại đã tồn tại trong nhiều năm, các trò lừa đảo bằng AI có nguy cơ trở thành một vấn đề ngày càng gia tăng khiến nạn nhân ít có khả năng phát hiện ra mình đang bị lừa.

Aiden Buzzetti, chủ tịch của Dự án Bull Moose, nói với Fox News Digital: “Các cuộc gọi lừa đảo đã luôn là cái gai đối với người Mỹ trong nhiều năm và không ai ngờ rằng mình lại là nạn nhân của nó”. “Sự phổ biến của việc sao chép giọng nói AI sẽ khiến ngay cả những người dùng am hiểu công nghệ nhất cũng dễ bị lừa dối, đặc biệt là khi chạm đến bản năng con người .

"Những tên tội phạm đằng sau những cuộc gọi tự động này đã tạo ra những tình huống nguy hiểm để khiến cha mẹ và ông bà bị thiển cận, khiến họ trở nên trầm trọng hơn về mặt cảm xúc và điều này đã ngăn cản họ suy nghĩ sáng suốt. Chúng ta cần tiếp tục khuyến khích chính phủ liên bang và các cơ quan tiểu bang trấn áp các cuộc gọi tự động bằng cách truy tố các dịch vụ cho phép dành cho những người gọi spam nước ngoài."

Jake Denton, một cộng tác viên nghiên cứu tại Heritage, cho biết: “Chúng tôi đang chứng kiến sự bùng nổ đáng báo động trong các vụ lừa đảo bằng giọng nói do Al, hiện đang gây ra mối đe dọa ngày càng lớn cho các gia đình. Bọn tội phạm và những kẻ lừa đảo đang lợi dụng những tiến bộ trong thế hệ Al để mạo danh các cá nhân với độ chính xác đáng sợ”. Trung tâm Chính sách Công nghệ của Foundation, nói với Fox News Digital.

"Những trò lừa đảo này có xu hướng đánh vào cảm xúc của những người không nghi ngờ, thường bắt chước giọng nói của một thành viên trong gia đình đang cầu xin sự giúp đỡ khẩn cấp. Để giữ an toàn trước những trò lừa đảo này, các gia đình nên thực hiện các biện pháp chủ động ngay bây giờ để tự bảo vệ mình."

Trong trường hợp của Trapp, người mẹ lo lắng kể lại rằng bà "không nghi ngờ gì" và nghĩ mình đang nói chuyện với con trai mình, điều này dẫn đến một lượng adrenaline dâng cao làm lu mờ khả năng phán đoán của bà khi người được cho là cảnh sát đến gọi điện.

Vài phút sau, khi một người đàn ông tự nhận mình là luật sư công tên là David Bell gọi điện, anh ta nói với người mẹ đang lo lắng rằng anh ta có thể thương lượng số tiền bảo lãnh cho con trai bà từ 50.000 USD đến 15.000 USD và hỏi liệu cô có thể nhận được tiền nhanh chóng hay không thì Trapp đồng ý.

Đăng nhập Facebook trên điện thoại di động. (Fox News)

"Ông ta nói, 'Đừng nói với [ngân hàng] tại sao bạn lại nhận được tiền vì bạn không muốn làm hoen ố danh tiếng của con trai mình", Trapp cho biết và lưu ý rằng trong tâm trạng của mình lúc đó cô ấy "sẽ làm bất cứ điều gì" mà ông ta nói."

Sau đó, Trapp lên xe đón chồng, người đã bị thuyết phục rằng vợ mình đã nói chuyện với con trai họ. Cả hai cùng đến ngân hàng và rút 15.500 USD.

Người cha là Andy Trapp cho biết: “Tôi tin chuyện này vì giọng nói đó được mẹ của cậu ấy nhận ra, người mà cậu ấy nói chuyện vài lần một tuần”. "Tôi chưa bao giờ nghĩ rằng mình sẽ rơi vào bất cứ điều gì như thế."

Khi về nhà, người được cho là luật sư nói với cặp vợ chồng rằng một người chuyển phát nhanh sẽ được cử đến nhận tiền từ nhà họ, điều này cuối cùng đã gióng lên hồi chuông cảnh báo trong đầu cả hai vợ chồng.

“Điều đó nghe có vẻ hoàn toàn không đúng,” Andy Trapp nói.

Đó là thời điểm tình hình trở nên quá sức chịu đựng đối với Amy Trapp, thông tin cho biết cô đã khuỵu gối trước cửa nhà của gia đình.

"Con trai tôi đâu? Con trai tôi đâu?" cô ấy hét lên.

Andy Trapp sau đó đã gọi đến đồn cảnh sát địa phương nơi xảy ra vụ việc. Người cha lo lắng này được cho biết không có hồ sơ nào về vụ tai nạn. Sau đó, cặp vợ chồng cuối cùng đã gọi điện cho con trai họ đang học đại học và cậu bé hoàn toàn không biết gì về sự việc.

"Yo, có chuyện gì thế?" Will bình tĩnh trả lời, theo lời Trapp kể.

Theo báo cáo, các nỗ lực gọi điện lừa đảo như cuộc gọi cho Trapp là bất hợp pháp nhưng thường khó điều tra hoặc truy tố, đôi khi vì các trò gian lận bắt nguồn từ nước ngoài.

Samuel Mangold-Lenett, biên tập viên của The Federalist, tin rằng có thể làm được nhiều việc hơn nữa để bảo vệ các nạn nhân tiềm năng.

Mangold-Lenett nói với Fox News Digital: “Lừa đảo vẫn là một vấn đề nghiêm trọng. Nhưng giờ đây AI cho phép kẻ xấu sử dụng công nghệ nhân bản giọng nói tinh vi, mọi người có điện thoại di động đều là mục tiêu tiềm năng”. "Cần phải làm nhiều việc hơn nữa để buộc những người thực hiện những vụ lừa đảo này phải chịu trách nhiệm. Các luật đã có trên sổ sách có thể được áp dụng cho những tình huống như thế này, nhưng có lẽ nên thực hiện các quy định cụ thể hơn."

Phil Siegel, người sáng lập Trung tâm Mô phỏng ứng phó mối đe dọa và chuẩn bị nâng cao (CAPTRS), nói với Fox News Digital rằng không rõ tần suất AI được sử dụng trong những tội ác như vậy, mặc dù ông cảnh báo những sự cố như vậy có thể sẽ gia tăng trong những năm tới.

Siegel nói: “Nhiều người cao tuổi và người lớn tuổi sẽ không dành thời gian để tìm hiểu AI vì họ sẽ không sử dụng nó, điều này sẽ khiến họ dễ trở thành mục tiêu chín muồi cho những trò lừa đảo như thế này”. “Cho dù đó là việc phải ngồi tù, tai nạn ô tô, cần tiền sửa nhà hay nhiều vụ lừa đảo khác, điều này sẽ xảy ra thường xuyên hơn trong vài năm tới.”

Các chuyên gia cho biết các vụ lừa đảo AI thường nhắm vào người già. (Cyberguy.com)

Siegel cho biết mọi người có thể tự bảo vệ mình bằng cách thận trọng, đặc biệt là khi giao dịch bằng tiền.

Siegel nói: “Bài học là hãy luôn gọi lại cho người đó trước khi làm bất cứ điều gì. "Đừng bao giờ đưa cho ai đó mà bạn không biết hoặc chưa tiếp xúc bất kỳ khoản tiền mặt, tiền điện tử, tiền Venmo hoặc tiền điện tử nào. Và tất nhiên, nếu có liên quan đến cơ quan thực thi pháp luật, trước tiên hãy kiểm tra với họ."

Will Trapp nói với San Francisco Chronicle rằng anh không biết làm thế nào những kẻ lừa đảo có thể sao chép giọng nói của anh, vì các tài khoản mạng xã hội của anh là riêng tư, mặc dù đôi khi anh vẫn hát và sáng tác nhạc để đăng trực tuyến.

“Thật khó để tưởng tượng nó có thể được sử dụng như thế nào vì nó không giống giọng nói của tôi,” Will nói. "Nó thực sự đáng sợ."

Nguồn: foxnews.com

Scammers use sophisticated new technology to terrorize California family: 'Where is my son?'

Thu, 18 Jan 2024 04:23:12 GMT

A California family endured a terrifying ordeal when scammers using artificial intelligence fooled them into believing their son had been in a serious accident.

Amy Trapp was working a normal day at Mill Valley school near San Francisco when she received a call from an unknown number and picked up the phone to the sound of a voice that she believed to be her son, according to a report from the San Francisco Chronicle.

"It was my son’s voice on the phone crying, telling me, ‘Mom, mom, I’ve been in a car accident,'" Trapp told the outlet.

The mother said she instantly felt a panic and had visions of her son, who was away at college near California's central coast, lying underneath a car or on the side of the road in a pool of his own blood. Instead, another voice came on the phone and told Trapp he was a police officer and that her son, Will, had injured a pregnant woman in the crash and was taken to jail.

An artificial intelligence hacker behind a computer. (Fox News)

Trapp said she bought the story because the voice on the other line was unmistakably that of her son's. She also put trust in another man who claimed to be a public defender for Will, who asked her to withdraw over $15,500 to cover the cost of Will's bail.

Hours later, Trapp's husband called the police directly, and the couple found out the ordeal was actually a scam. The men had duped the worried mother by using sophisticated AI technology to replicate Will's voice. Will had been studying in his living room the entire time, unaware of the drama unfolding with his parents.

"Scams like this are growing every day as deepfake technology improves and becomes easier to access," Christopher Alexander, chief analytics officer at Pioneer Development Group, told Fox News Digital. "Scams like this succeed because immense stress is placed on the victims in the hopes that imperfections in the deepfake go undetected."

While phone scams have been around for years, AI scams threaten to become a growing problem that will make victims less likely to detect they are being duped.

"Scam calls have been a consistent thorn in the side of Americans for years, and no one expects to be the person falling for it," Aiden Buzzetti, president of the Bull Moose Project, told Fox News Digital. "The proliferation of AI voice replication is going to make even the most tech-savvy user susceptible to deception, especially when human instinct comes into play.

"The criminals behind these robocalls fabricate high-stakes situations to keep parents and grandparents short-sighted, emotionally aggravated and prevent them from thinking clearly. We need to keep encouraging the federal government and state agencies to crack down on robocalls by prosecuting services that allow for foreign spam callers."

"We are witnessing an alarming explosion in Al-powered voice scams, which now pose a growing threat to families. Criminals and scammers are capitalizing on advancements in generative Al to impersonate individuals with frightening accuracy," Jake Denton, a research associate at the Heritage Foundation’s Tech Policy Center, told Fox News Digital.

"These scams tend to prey on unsuspecting people's emotions, often mimicking the voice of a family member pleading urgently for help. To stay safe from these scams, families should take proactive measures now to protect themselves."

In Trapp's case, the worried mother recalled that she had "zero doubt" that she was talking to her son, which led to a rush of adrenaline that clouded her judgment when the supposed police officer came on the line.

Minutes later, when a man identifying himself as a public defender named David Bell called, he told the worried mother he was able to negotiate her son's bail from $50,000 to $15,000 and asked if she could get the money quickly. Trapp agreed.

Logging into Facebook on a mobile phone. (Fox News)

"He said, ‘Don’t tell [the bank] why you’re getting the money because you don’t want to tarnish your son’s reputation,’" Trapp said, noting that in her state of mind she "would have done anything he said."

Trapp then got in her car to pick up her husband, who recalls being convinced that his wife had spoken to their son. The couple went to the bank and withdrew $15,500.

"It all comes down to that voice being recognized by his own mother, who he speaks to several times a week," the father, Andy Trapp, said. "I never, ever, thought I would ever fall for anything like that."

Once home, the supposed public defender told the couple that a courier would be sent to pick up the money from their home, which finally set off alarm bells in the couple's heads.

"That sounded totally wrong," Andy Trapp said.

That was the moment the situation became too much for Amy Trapp, who said she sank to her knees in front of the family's house.

"Where is my son? Where is my son?" she screamed.

Andy Trapp then called the local police station where the incident supposedly occurred. The worried father was told there was no record of the accident. It was then the couple finally called their son at college, and he was completely unaware of the situation.

"Yo, what’s up?" Will calmly answered, according to the Trapps.

According to the report, scam call attempts such as the one employed against the Trapps are illegal but often hard to investigate or prosecute, oftentimes because the scams originate overseas.

Samuel Mangold-Lenett, a staff editor at The Federalist, believes more could be done to protect potential victims.

"Phishing scams remain a serious issue. But now that AI enables bad actors to use sophisticated voice cloning technology, everyone with a cellphone is a potential target," Mangold-Lenett told Fox News Digital. "More needs to be done to hold the people who run these scams accountable. Laws already on the books can likely be applied to situations like these, but perhaps more specific regulations ought to be implemented."

Phil Siegel, the founder of the Center for Advanced Preparedness and Threat Response Simulation (CAPTRS), told Fox News Digital it is unknown how often AI gets used in such crimes, though he warned such incidents are likely to increase in the coming years.

"Many seniors and older people will not take the time to understand AI because they won’t use it, which will make them ripe targets for scams such as this," Siegel said. "Whether it’s being in jail, in a car accident, needing home repair money or many other scams, this will happen more often in the next few years."

AI scams often target the elderly, experts say. (Cyberguy.com)

Siegel said people can defend themselves by being cautious, especially when it comes to transactions with money.

"The lesson is to always call the person back before doing anything," Siegel said. "Never give someone you don’t know or haven’t hired any cash, wire money, Venmo money or cryptocoins. And, of course, if it is anything to do with law enforcement, check with them first."

Will Trapp told the San Francisco Chronicle he has no idea how the scammers were able to copy his voice, noting that his social media accounts are private, though he sometimes does sing and make music that gets posted online.

"It’s hard to imagine how that could be used because it’s not like my speaking voice," he said. "It’s really scary."

Source: foxnews.com

Framework discloses data breach after accountant gets phished

Thu, 18 Jan 2024 00:00:00 GMT

Framework Computer disclosed a data breach exposing the personal information of an undisclosed number of customers after Keating Consulting Group, its accounting service provider, fell victim to a phishing attack.

The California-based manufacturer of upgradeable and modular laptops says a Keating Consulting accountant was tricked on January 11 by a threat actor impersonating Framework's CEO into sharing a spreadsheet containing customers' personally identifiable information (PII) "associated with outstanding balances for Framework purchases."

"On January 9th, at 4:27am PST, the attacker sent an email to the accountant impersonating our CEO asking for Accounts Receivable information pertaining to outstanding balances for Framework purchases," the company says in data breach notification letters sent to affected individuals.

"On January 11th at 8:13am PST, the accountant responded to the attacker and provided a spreadsheet with the following information: Full Name, Email Address, Balance Owed.

"Note that this list was primarily of a subset of open pre-orders, but some completed past orders with pending accounting syncs were also included in this list."

Framework says its Head of Finance notified Keating Consulting's leadership of the attack once he became aware of the breach roughly 29 minutes after the external accountant replied to the attacker's emails at 8:42 AM PST on January 11th.

As part of a subsequent investigation, the company identified all customers whose information was exposed in the attack and notified them of the incident via email.

Affected customers warned of phishing risks

Since the exposed data includes the names of customers, their email addresses, and their outstanding balances, it could potentially be used in phishing attacks that impersonate the company to request payment information or redirect to malicious websites designed to gather even more sensitive information from those impacted.

The company added that it only sends emails from 'support@frame.work' asking customers to update their information when a payment has failed and it never asks for payment information via email. Customers are urged to contact the company's support team about any suspicious emails they receive.

Framework says that from now on, all Keating Consulting employees with access to Framework customer information will be required to have mandatory phishing and social engineering attack training.

"We are also auditing their standard operating procedures around information requests," the company added.

"We are additionally auditing the trainings and standard operating procedures of all other accounting and finance consultants who currently or previously have had access to customer information."

A Framework spokesperson was not immediately available for comment when BleepingComputer asked about the number of affected customers in the data breach.

Source: bleepingcomputer.com

Framework tiết lộ vi phạm dữ liệu sau khi kế toán viên bị lừa đảo

Wed, 17 Jan 2024 06:00:00 GMT

Framework Computer tiết lộ một vụ vi phạm dữ liệu làm lộ thông tin cá nhân của một số khách hàng không được tiết lộ sau khi Keating Consulting Group, nhà cung cấp dịch vụ kế toán của họ, trở thành nạn nhân của một cuộc tấn công lừa đảo.

Nhà sản xuất máy tính xách tay mô-đun và có thể nâng cấp có trụ sở tại California cho biết một nhân viên kế toán của Keating Consulting đã bị một kẻ đe dọa mạo danh Giám đốc điều hành của Framework lừa vào ngày 11 tháng 1 để chia sẻ một bảng tính chứa thông tin nhận dạng cá nhân (PII) của khách hàng “liên quan đến số dư chưa thanh toán khi mua Framework”.

Framework cho biết trong thư thông báo vi phạm dữ liệu gửi cho các cá nhân bị ảnh hưởng: “Vào ngày 9 tháng 1, lúc 4:27 sáng theo giờ PST, kẻ tấn công đã gửi email đến kế toán mạo danh Giám đốc điều hành của chúng tôi để yêu cầu cung cấp thông tin Tài khoản phải thu liên quan đến số dư chưa thanh toán cho các giao dịch mua Framework”.

"Vào ngày 11 tháng 1 lúc 8:13 sáng theo giờ PST, kế toán đã trả lời kẻ tấn công và cung cấp bảng tính với các thông tin sau: Tên đầy đủ, Địa chỉ email, Số dư còn nợ.

"Lưu ý rằng danh sách này chủ yếu bao gồm một tập hợp con các đơn đặt hàng trước đang mở, nhưng một số đơn đặt hàng trước đây đã hoàn thành với đồng bộ hóa kế toán đang chờ xử lý cũng được đưa vào danh sách này."

Framework cho biết Giám đốc Tài chính của họ đã thông báo cho lãnh đạo Keating Consulting về cuộc tấn công khi ông biết về hành vi vi phạm khoảng 29 phút sau khi kế toán viên bên ngoài trả lời email của kẻ tấn công lúc 8:42 sáng PST ngày 11 tháng 1.

Framework đã xác định tất cả khách hàng có thông tin bị lộ trong vụ tấn công và thông báo cho họ về vụ việc qua email, việc này cũng thuộc một phần của cuộc điều tra tiếp theo.

Khách hàng bị ảnh hưởng được cảnh báo về rủi ro lừa đảo

Vì dữ liệu bị lộ bao gồm tên khách hàng, địa chỉ email và số dư chưa thanh toán của họ nên dữ liệu này có thể bị sử dụng trong các cuộc tấn công lừa đảo mạo danh công ty để yêu cầu thông tin thanh toán hoặc chuyển hướng đến các trang web độc hại được thiết kế để thu thập nhiều thông tin nhạy cảm hơn từ những người bị ảnh hưởng.

Framework nói thêm rằng họ chỉ gửi email từ 'support@frame.work' yêu cầu khách hàng cập nhật thông tin của họ khi thanh toán không thành công và không bao giờ yêu cầu thông tin thanh toán qua email. Khách hàng được khuyến khích liên hệ với đội ngũ hỗ trợ của Framework về bất kỳ email đáng ngờ nào họ nhận được.

Framework cho biết kể từ bây giờ, tất cả nhân viên của Keating Consulting có quyền truy cập vào thông tin khách hàng của Framework sẽ phải tham gia khóa đào tạo bắt buộc về tấn công lừa đảo qua mạng và lừa đảo.

Framework cho biết thêm: “Chúng tôi cũng đang kiểm tra các quy trình vận hành tiêu chuẩn của họ xung quanh các yêu cầu thông tin”.

"Chúng tôi đang kiểm tra bổ sung các khóa đào tạo và quy trình vận hành tiêu chuẩn của tất cả các nhà tư vấn tài chính và kế toán khác, những người hiện hoặc trước đây đã có quyền truy cập vào thông tin khách hàng."

Người phát ngôn của Framework không đưa ra bình luận ngay lập tức khi BleepingComputer hỏi về số lượng khách hàng bị ảnh hưởng trong vụ vi phạm dữ liệu.

Nguồn: bleepingcomputer.com

Halara probes breach after hacker leaks data for 950,000 people

Wed, 17 Jan 2024 00:00:00 GMT

Popular athleisure clothing brand Halara is investigating a data breach after the alleged data of almost 950,000 customers was leaked on a hacking forum.

The Hong Kong company was founded in 2020 and quickly became very popular through the many videos promoting its clothing on TikTok.

Halara told BleepingComputer that it is aware that customer data was allegedly stolen and leaked online and is investigating a potential breach.

This comes after a person named 'Sanggiero' claimed to have breached Halara earlier this month and shared a text file containing stolen customer data on a hacking forum and a Telegram channel.

"In January 2024, over 1M rows of data from the store company Halara was posted to a popular hacking forum. The data contained 1M unique addressId, first name, last name, phone numbers, country, home address, zip, province, city, iso," reads a post from Sanggiero.

Forum post about alleged Halara data breach
Source: BleepingComputer

It should be noted that the forum post uses an incorrect logo for Halara and instead uses one for a cannabis company that was not breached.

BleepingComputer has reviewed the leaked data, and while Sanggiero says it contains 1 million lines of data, the text file only contains 941,910 records.

While BleepingComputer has not been able to confirm if all of the data is accurate, we contacted multiple people listed in the file and have confirmed that they are all Halara customers and that their listed phone numbers, names, and addresses are accurate.

In a conversation with BleepingComputer, Sanggiero says that they obtained the data by exploiting a bug in an API on Halara's website, which they say is still unfixed.

Sanggiero said they did not contact Halara about the stolen data and decided to release it for free as it would not have a lot of value if trying to sell it.

Halara customers should be on the lookout for targeted smishing attacks (SMS phishing) that attempt to steal other information, such as email addresses and passwords.

This information can be used for further attacks or sold to other threat actors who use it for fraud or other malicious behavior.

BleepingComputer is aware of numerous threat actors selling stolen accounts for online retailers, such as Saks 5th Avenue, Express, and Ulta Beauty, which are used to make fraudulent purchases.

Source: BleepingComputer

Halara thăm dò vi phạm sau khi hacker rò rỉ dữ liệu của 950.000 khách hàng

Tue, 16 Jan 2024 06:00:00 GMT

Thương hiệu quần áo thể thao nổi tiếng Halara đang điều tra một vụ vi phạm dữ liệu sau khi dữ liệu được cho là của gần 950.000 khách hàng bị rò rỉ trên một diễn đàn hack.

Công ty Hồng Kông được thành lập vào năm 2020 và nhanh chóng trở nên rất nổi tiếng nhờ nhiều video quảng cáo quần áo của mình trên TikTok.

Halara nói với BleepingComputer rằng họ biết rằng dữ liệu khách hàng được cho là đã bị đánh cắp và rò rỉ trực tuyến và đang điều tra một hành vi vi phạm tiềm ẩn.

Điều này xảy ra sau khi một người tên là 'Sanggiero' tuyên bố đã xâm phạm Halara vào đầu tháng này và chia sẻ một tệp văn bản chứa dữ liệu khách hàng bị đánh cắp trên một diễn đàn hack và kênh Telegram.

"Vào tháng 1 năm 2024, hơn 1 triệu hàng dữ liệu từ công ty cửa hàng Halara đã được đăng lên một diễn đàn hack phổ biến. Dữ liệu chứa 1 triệu địa chỉ duy nhất, tên, họ, số điện thoại, quốc gia, địa chỉ nhà riêng, mã vùng, tỉnh, thành phố, iso," đọc một bài đăng từ Sanggiero.

Bài đăng trên diễn đàn về cáo buộc vi phạm dữ liệu Halara

Nguồn: BleepingComputer

Cần lưu ý rằng bài đăng trên diễn đàn sử dụng logo không chính xác cho Halara và thay vào đó sử dụng logo cho một công ty cần sa không bị vi phạm.

BleepingComputer đã xem xét dữ liệu bị rò rỉ và trong khi Sanggiero cho biết nó chứa 1 triệu dòng dữ liệu thì tệp văn bản chỉ chứa 941.910 bản ghi.

Mặc dù BleepingComputer chưa thể xác nhận liệu tất cả dữ liệu có chính xác hay không nhưng chúng tôi đã liên hệ với nhiều người có tên trong tệp và xác nhận rằng họ đều là khách hàng của Halara và số điện thoại, tên cũng như địa chỉ được liệt kê của họ là chính xác.

Trong cuộc trò chuyện với BleepingComputer, Sanggiero cho biết đã lấy được dữ liệu bằng cách khai thác một lỗi trong API trên trang web của Halara vẫn chưa được sửa.

Sanggiero cho biết đã không liên hệ với Halara về dữ liệu bị đánh cắp và quyết định phát hành nó miễn phí vì nó sẽ không có nhiều giá trị nếu cố gắng bán nó.

Khách hàng của Halara nên đề phòng các cuộc tấn công lừa đảo có chủ đích (lừa đảo qua SMS) nhằm đánh cắp thông tin khác, chẳng hạn như địa chỉ email và mật khẩu.

Thông tin này có thể được sử dụng để tấn công thêm hoặc bán cho những kẻ đe dọa khác, những người sử dụng thông tin đó để lừa đảo hoặc thực hiện hành vi nguy hiểm khác.

BleepingComputer nhận thức được nhiều kẻ đe dọa bán tài khoản bị đánh cắp cho các nhà bán lẻ trực tuyến, chẳng hạn như Saks 5th Avenue, Express và Ulta Beauty, được sử dụng để thực hiện các giao dịch mua hàng gian lận.

Nguồn: bleepingcomputer.com

Nigerian gets 10 years for laundering millions stolen from elderly

Tue, 16 Jan 2024 00:00:00 GMT

Nigerian man Olugbenga Lawal (also known as Razak Aolugbengela) was sentenced on January 8 to 10 years and one month in prison for conspiring to launder millions stolen from elderly victims in internet fraud schemes.

Elder fraud (a form of financial exploitation of adults aged 60 or older) encompasses scenarios where their financial assets, savings, income, or personal identification data are misused or stolen, frequently without their explicit awareness or consent.

Perpetrators commonly employ deceitful tactics to trick their victims, assuming false identities such as government officials, faking romantic involvement, or masquerading as investors, all in an attempt to deceive and defraud their elderly targets.

The FBI said last year that in 2022 alone, elderly Americans filed 88,262 complaints with its Internet Crime Complaint Center, with a cumulative loss amounting to roughly $3.1 billion.

This marked an 84% surge in losses compared to figures reported in 2021, with each victim incurring average losses surpassing $35,000 and more than 5,000 victims experiencing losses exceeding $100,000.

Black Axe member

Lawal worked directly with the Nigeria-based leader of the Nigerian Black Axe organized crime group, one of the world's most dangerous crime syndicates, which he was also a member of.

According to the Justice Department's press release, the criminal syndicate often targeted elderly individuals who were almost always under the impression they had developed romantic relationships with individuals they encountered online.

Instead, the scammers deceive victims into transferring large sums of money under various pretexts, often resulting in the loss of all their life savings.

Together with co-conspirators Rita Assane, Dwight Baines, and Michael Hermann, he laundered millions of dollars stolen in business email compromise and romance scams between January 2019 and June 2020.

"The Defendant's importance in the criminal organization is demonstrated by the fact that he received money directly from defrauded victims as well as from lower-ranking members of the criminal organization," court documents read.

"It is believed that, as a higher-ranking member of the organization, Defendant received a 'cut' of the fraudulently obtained proceeds and, after taking that 'cut,' helped to launder the proceeds and repatriate the funds to West Africa largely by purchasing cars with the fraudulent proceeds and shipping them overseas to other members of the criminal organization."

INTERPOL also arrested more than 70 suspects believed to be members of the Black Axe international crime group in October 2022, with two of them linked to $1.8 million in financial fraud.

Helped launder at least $3.6 million

In all, Lawal oversaw deposits totaling more than $3.6 million across various bank accounts he controlled. The stolen funds were split among seven distinct bank accounts, either in Lawal's name or under his business entity, Luxe Logistics LLC.

Throughout his money laundering activities, Lawal managed accounts at five financial institutions across the United States.

"The evidence also showed that between May of 2019 and July of 2020, Defendant opened nine bank accounts in those names, each of which was shut down within three to six months," according to court documents.

"Additionally, Lawal played a role in laundering money for the criminal organization by converting the fraud dollars deposited in his accounts into Nigerian currency accessible in Nigeria," the Justice Department said.

"He engaged in import/export transactions involving the shipment of cars to Nigeria and currency exchange business transactions to facilitate the repatriation of the organization's fraud proceeds back to Nigeria."

The sentence comes after a federal jury convicted Lawal of conspiring to commit money laundering on August 10, 2023. Before this, his three co-conspirators (Hermann, Assane, and Baines) also pleaded guilty to conspiracy to commit money laundering.

Besides his ten years and one-month sentence in prison, the court also ordered Lawal to pay over $1.46 million in restitution.

Source: bleepingcomputer.com

Thủ phạm người Nigeria lĩnh 10 năm tù vì rửa hàng triệu USD của người cao tuổi

Mon, 15 Jan 2024 06:00:03 GMT

Nigeria Olugbenga Lawal (còn được gọi là Razak Aolugbengela) hôm thứ Hai, ngày 8 tháng 1 đã bị kết án 10 năm và một tháng tù vì âm mưu rửa hàng triệu đô la bị đánh cắp từ các nạn nhân lớn tuổi trong các âm mưu lừa đảo trên internet.

Lừa đảo người cao tuổi (một hình thức bóc lột tài chính đối với người lớn từ 60 tuổi trở lên) bao gồm các tình huống trong đó tài sản tài chính, tiền tiết kiệm, thu nhập hoặc dữ liệu nhận dạng cá nhân của họ bị sử dụng sai mục đích hoặc bị đánh cắp mà họ thường không nhận thức hoặc đồng ý rõ ràng.

Thủ phạm thường sử dụng các chiến thuật lừa đảo để lừa nạn nhân, giả danh tính giả như quan chức chính phủ, giả mạo mối quan hệ lãng mạn hoặc giả dạng nhà đầu tư, tất cả đều nhằm mục đích lừa dối và lừa gạt các mục tiêu lớn tuổi của họ.

FBI cho biết năm ngoái chỉ riêng trong năm 2022, người Mỹ cao tuổi đã nộp 88.262 đơn khiếu nại lên Trung tâm Khiếu nại Tội phạm Internet của cơ quan này, với khoản lỗ lũy kế lên tới khoảng 3,1 tỷ USD.

Điều này đánh dấu mức thiệt hại tăng 84% so với số liệu được báo cáo vào năm 2021, với mỗi nạn nhân chịu tổn thất trung bình vượt quá 35.000 USD và hơn 5.000 nạn nhân bị thiệt hại vượt quá 100.000 USD.

Thành viên Black Axe

Lawal đã làm việc trực tiếp với thủ lĩnh của nhóm tội phạm Black Axe Nigeria có trụ sở tại Nigeria, một trong những nhóm tội phạm nguy hiểm nhất thế giới mà anh ta cũng là thành viên.

Theo thông cáo báo chí của Bộ Tư pháp, nhóm tội phạm này thường nhắm vào những người lớn tuổi, những người hầu như luôn có ấn tượng đã xây dựng mối quan hệ thân thiết với những cá nhân gặp trên mạng.

Thay vào đó, những kẻ lừa đảo lừa nạn nhân chuyển số tiền lớn dưới nhiều lý do khác nhau, thường dẫn đến việc họ mất toàn bộ tiền tiết kiệm cả đời.

Cùng với những kẻ đồng mưu Rita Assane, Dwight Baines và Michael Hermann, hắn đã rửa hàng triệu đô la bị đánh cắp trong các vụ thỏa hiệp email kinh doanh và lừa đảo lãng mạn từ tháng 1 năm 2019 đến tháng 6 năm 2020.

“Tầm quan trọng của Bị cáo trong tổ chức tội phạm được thể hiện qua việc anh ta nhận tiền trực tiếp từ các nạn nhân bị lừa đảo cũng như từ các thành viên cấp thấp hơn của tổ chức tội phạm,” tài liệu tòa án viết.

"Người ta tin rằng, với tư cách là thành viên cấp cao hơn của tổ chức, Bị cáo đã nhận được một 'phần' số tiền thu được từ gian lận và, sau khi nhận 'phần cắt' đó, đã giúp rửa số tiền thu được và chuyển số tiền này về Tây Phi phần lớn bằng cách mua ô tô bằng số tiền lừa đảo và vận chuyển chúng ra nước ngoài cho các thành viên khác của tổ chức tội phạm."

INTERPOL cũng đã bắt giữ hơn 70 nghi phạm được cho là thành viên của nhóm tội phạm quốc tế Black Axe vào tháng 10 năm 2022, trong đó có hai người có liên quan đến vụ lừa đảo tài chính 1,8 triệu USD.

Lawal đã giúp rửa ít nhất 3,6 triệu USD

Tổng cộng, Lawal giám sát các khoản tiền gửi với tổng trị giá hơn 3,6 triệu USD trên nhiều tài khoản ngân hàng khác nhau mà hắn kiểm soát. Số tiền bị đánh cắp được chia thành bảy tài khoản ngân hàng riêng biệt, đứng tên Lawal hoặc dưới tên công ty kinh doanh của anh ta, Luxe Logistics LLC.

Trong suốt hoạt động rửa tiền của mình, Lawal quản lý tài khoản tại 5 tổ chức tài chính trên khắp Hoa Kỳ.

Theo tài liệu của tòa án, “Bằng chứng cũng cho thấy từ tháng 5 năm 2019 đến tháng 7 năm 2020, Bị cáo đã mở 9 tài khoản ngân hàng mang tên những người đó, mỗi tài khoản đều bị đóng trong vòng 3 đến 6 tháng”.

Bộ Tư pháp cho biết: “Ngoài ra, Lawal còn đóng vai trò rửa tiền cho tổ chức tội phạm bằng cách chuyển đổi số đô la lừa đảo gửi trong tài khoản của anh ta thành tiền Nigeria có thể truy cập được ở Nigeria”.

“Anh ta đã tham gia vào các giao dịch xuất nhập khẩu liên quan đến việc vận chuyển ô tô đến Nigeria và các giao dịch kinh doanh trao đổi tiền tệ để tạo điều kiện cho việc hồi hương số tiền gian lận của tổ chức trở về Nigeria.”

Bản án được đưa ra sau khi bồi thẩm đoàn liên bang kết án Lawal âm mưu thực hiện hành vi rửa tiền vào ngày 10 tháng 8 năm 2023. Trước đó, ba đồng phạm của anh ta (Hermann, Assane và Baines) cũng đã nhận tội âm mưu thực hiện hành vi rửa tiền.

Ngoài bản án 10 năm 1 tháng tù, tòa án còn yêu cầu Lawal phải trả hơn 1,46 triệu USD tiền bồi thường.

Nguồn: bleepingcomputer.com

US SEC’s X account hacked to announce fake Bitcoin ETF approval

Mon, 15 Jan 2024 00:00:00 GMT

The X account for the U.S. Securities and Exchange Commission was hacked on January 9 to issue a fake announcement on the approval of Bitcoin ETFs on security exchanges.

The announcement came this afternoon on January 9 in a now-deleted tweet from the SEC's hacked X account.

"On January 9 the SEC grants approval to Bitcoin ETFs for listing on registered national security exchanges," read the fake X post.

"The approved Bitcoin ETFs will be subject to ongoing surveillance and compliance measures to ensure continued investor protection."

The tweet included an image of SEC Chairperson Gary Gensler with a quote promoting the alleged approval.

Fake ETF approval from hacked SEC account

The news quickly spread, with many cryptocurrency and mainstream news sites covering the story and Bitcoin prices briefly spiking.

However, Bitcoin's jump in price was shortlived as it pulled back on news that the SEC's account on X was hacked to spread the fake news.

"The @SECGov twitter account was compromised, and an unauthorized tweet was posted," tweeted SEC Chairperson Gensler.

"The SEC has not approved the listing and trading of spot bitcoin exchange-traded products."

This was further confirmed by an SEC spokesperson who told BleepingComputer that the "unauthorized tweet regarding bitcoin ETFs was not made by the SEC or its staff."

BleepingComputer contacted the SEC with further questions about how they were breached and if 2FA was enabled on the account.

X has been overwhelmed by a massive wave of account breaches over the past month, as numerous verified organizations have been hacked to spread cryptocurrency scams and links to wallet drainers.

On January 8, the Netgear and Hyundai MEA X accounts were hacked to promote fake cryptocurrency sites that stole cryptocurrency from wallets that connect to the Web3 site.

Web3 security firm CertiK was also hacked on January 5 to promote a wallet drainer, and cybersecurity firm Mandiant was hijacked on Wednesday, even though it had two-factor authentication enabled.

In addition to account hijacks, threat actors have taken to X's advertising platform to create what feels like an endless stream of malicious advertisements promoting crypto scams and sites pushing wallet drainers.

Update 1/9/24 6:33 PM ET : While the SEC has not responded to our question about whether 2FA was enabled on the account, they sent BleepingComputer this additional statement.

"The SEC has determined that there was unauthorized access to and activity on the @SECGov x.com account by an unknown party for a brief period of time shortly after 4 pm ET. That unauthorized access has been terminated. The SEC will work with law enforcement and our partners across government to investigate the matter and determine appropriate next steps relating to both the unauthorized access and any related misconduct."

Source: BleepingComputer

Tài khoản X của SEC Hoa Kỳ bị hack để thông báo phê duyệt Bitcoin ETF giả

Fri, 12 Jan 2024 14:00:45 GMT

Tài khoản X của Ủy ban Chứng khoán và Giao dịch Hoa Kỳ đã bị hack ngày 9 tháng 1 để đưa ra thông báo giả mạo về việc phê duyệt Bitcoin ETF trên các sàn giao dịch chứng khoán.

Thông báo được đưa ra vào chiều ngày 9 tháng 1 trong một thông báo hiện đã bị xóa khỏi tài khoản X bị SEC tấn công.

“Ngày 9 tháng 1 SEC cấp phép cho các Bitcoin ETF được niêm yết trên các sàn giao dịch an ninh quốc gia đã đăng ký,” bài đăng X giả mạo viết.

“Các quỹ ETF Bitcoin được phê duyệt sẽ phải tuân theo các biện pháp giám sát và tuân thủ liên tục để đảm bảo việc bảo vệ nhà đầu tư vẫn tiếp tục.”

Dòng thông tin bao gồm hình ảnh của Chủ tịch SEC Gary Gensler với một câu trích dẫn được cho là để thúc đẩy sự chấp thuận.

Phê duyệt ETF giả từ tài khoản SEC bị tấn công

Tin tức nhanh chóng lan truyền, với nhiều trang tin tức chính thống và tiền điện tử đưa tin về câu chuyện và giá Bitcoin tăng vọt trong thời gian ngắn.

Tuy nhiên, đà tăng giá của Bitcoin chỉ tồn tại trong thời gian ngắn rồi biến mất sau khi có thông tin rằng tài khoản của SEC trên X đã bị hack để truyền bá tin tức giả mạo.

“Tài khoản twitter @SECGov đã bị xâm phạm và một thông tin trái phép đã được đăng,” Chủ tịch SEC Gensler cho biết.

“SEC đã không chấp thuận việc niêm yết và giao dịch các sản phẩm giao dịch trao đổi bitcoin giao ngay.”

Điều này đã được xác nhận thêm bởi một phát ngôn viên của SEC, người đã nói với BleepingComputer rằng “thông tin trái phép liên quan đến các quỹ ETF bitcoin không phải do SEC hoặc nhân viên của họ thực hiện”.

BleepingComputer đã liên hệ với SEC để hỏi thêm các câu hỏi về cách họ bị tấn công và liệu 2FA có được bật trên tài khoản hay không.

X đã bị choáng ngợp bởi làn sóng vi phạm tài khoản lớn trong tháng qua, khi nhiều tổ chức đã được xác minh đã bị tấn công để phát tán các trò lừa đảo tiền điện tử và liên kết đến những kẻ rút tiền ví.

Ngày 8 tháng 1, tài khoản Netgear và Hyundai MEA X đã bị tấn công để quảng bá các trang web tiền điện tử giả nhằm đánh cắp tiền điện tử từ các ví kết nối với trang Web3.

Công ty bảo mật Web3 CertiK cũng đã bị tấn công vào ngày 5 tháng 1 để quảng cáo một công cụ rút tiền và công ty an ninh mạng Mandiant đã bị tấn công vào thứ Tư, mặc dù đã kích hoạt xác thực hai yếu tố.

Ngoài việc chiếm đoạt tài khoản, các tác nhân đe dọa đã sử dụng nền tảng quảng cáo của X để tạo ra cảm giác giống như một luồng quảng cáo độc hại vô tận thúc đẩy các vụ lừa đảo tiền điện tử và các trang web chuyên rút tiền.

Cập nhật ngày chiều 9/1/24 : Mặc dù SEC chưa trả lời câu hỏi của chúng tôi về việc liệu 2FA có được bật trên tài khoản hay không nhưng họ đã gửi cho BleepingComputer tuyên bố bổ sung này.

"SEC đã xác định rằng có một bên không xác định đã truy cập và hoạt động trái phép trên tài khoản @SECGov x.com trong một khoảng thời gian ngắn ngay sau 4 giờ chiều theo giờ ET. Quyền truy cập trái phép đó đã bị chấm dứt. SEC sẽ làm việc với pháp luật cơ quan thực thi pháp luật và các đối tác của chúng tôi trên toàn chính phủ để điều tra vấn đề và xác định các bước thích hợp tiếp theo liên quan đến cả hành vi truy cập trái phép và mọi hành vi sai trái liên quan."

Nguồn: bleepingcomputer.com

Toronto Zoo: Ransomware attack had no impact on animal wellbeing

Fri, 12 Jan 2024 06:00:00 GMT

Toronto Zoo, the largest zoo in Canada, says that a ransomware attack that hit its systems on early Friday, January 5 had no impact on the animals, its website, or its day-to-day operations.

The zoo said it doesn't store any credit card information and is also investigating whether the incident affected its guests', members', or donors' records.

"Currently, our animal wellbeing, care and support systems have not been impacted by this incident and we are continuing with normal Zoo operations including being open to guests," it said.

"The Zoo website is not impacted, and ticket purchases can continue to be made online at torontozoo.com."

The incident has been reported to the Toronto Police Service (TPS), the city's municipal police force, and the zoo is now working with third-party cyber security experts and the City of Toronto's Chief Information Security Office to determine the extent of the damage.

"If anyone is trying to contact the Zoo over the next several days we ask for your patience as we will endeavour to respond in a timely manner but response times may be impacted," the zoo added.

"We do not have more information than what is being shared here, and we will be keeping you updated as we learn more."

Canada's largest public library also hit by ransomware

Toronto Public Library (TPL) was also hit by a Black Basta ransomware attack on October 27.

The library is still dealing with the fallout, with many of its services, including the website, public computers, and digital archive, still unavailable.

The attackers also stole files containing the personal information of employees, customers, volunteers, and donors during the incident, including data of Toronto Public Library (TPL) and the Toronto Public Library Foundation (TPLF) employees, going back to 1998.

It said it hadn't paid the ransom asked by the Black Basta ransomware gang and is working with external cybersecurity experts to investigate the attack.

TPL is Canada's most extensive public library system, with 12 million books at 100 branch libraries across the city. It also has 1,200,000 registered members and operates on a budget of over $200 million.

Source: bleepingcomputer.com

Sở thú Toronto cho biết: Cuộc tấn công bằng ransomware không ảnh hưởng đến sức khỏe động vật

Fri, 12 Jan 2024 06:00:00 GMT

Sở thú Toronto, vườn thú lớn nhất ở Canada, cho biết cuộc tấn công bằng ransomware tấn công hệ thống của họ vào đầu ngày thứ Sáu, ngày 5 tháng 1 không ảnh hưởng đến động vật, trang web hoặc hoạt động hàng ngày của vườn thú.

Vườn thú cho biết họ không lưu trữ bất kỳ thông tin thẻ tín dụng nào và cũng đang điều tra xem liệu vụ việc có ảnh hưởng đến hồ sơ của khách, thành viên hoặc nhà tài trợ hay không.

“Hiện tại, hệ thống chăm sóc và hỗ trợ động vật của chúng tôi không bị ảnh hưởng bởi sự cố này và chúng tôi đang tiếp tục các hoạt động bình thường của Sở thú, bao gồm cả việc mở cửa đón khách,” Sở thú cho biết.

“Trang web của Sở thú không bị ảnh hưởng và việc mua vé có thể tiếp tục thực hiện trực tuyến tại torontozoo.com.”

Vụ việc đã được báo cáo cho Sở Cảnh sát Toronto (TPS), lực lượng cảnh sát thành phố thành phố và vườn thú hiện đang làm việc với các chuyên gia an ninh mạng bên thứ ba và Văn phòng Giám đốc An ninh Thông tin của Thành phố Toronto để xác định mức độ thiệt hại.

Sở thú cho biết thêm: “Nếu bất kỳ ai cố gắng liên hệ với Sở thú trong vài ngày tới, chúng tôi hy vọng bạn kiên nhẫn vì chúng tôi sẽ cố gắng phản hồi kịp thời nhưng thời gian phản hồi có thể bị ảnh hưởng”.

"Chúng tôi không có nhiều thông tin hơn những gì đang được chia sẻ ở đây và chúng tôi sẽ cập nhật cho bạn khi chúng tôi tìm hiểu thêm."

Thư viện công cộng lớn nhất Canada cũng bị tấn công ransomware

Thư viện Công cộng Toronto (TPL) cũng bị tấn công ransomware Black Basta vào ngày 27 tháng 10.

Thư viện vẫn đang giải quyết hậu quả, với nhiều dịch vụ, bao gồm trang web, máy tính công cộng và kho lưu trữ kỹ thuật số, vẫn chưa khả dụng.

Những kẻ tấn công cũng đánh cắp các tập tin chứa thông tin cá nhân của nhân viên, khách hàng, tình nguyện viên và nhà tài trợ trong vụ việc, bao gồm dữ liệu của Thư viện Công cộng Toronto (TPL) và nhân viên của Tổ chức Thư viện Công cộng Toronto (TPLF), từ năm 1998.

Thư viện cho biết chưa trả số tiền chuộc mà nhóm ransomware Black Basta yêu cầu và đang làm việc với các chuyên gia an ninh mạng bên ngoài để điều tra vụ tấn công.

TPL là hệ thống thư viện công cộng rộng lớn nhất Canada, với 12 triệu cuốn sách tại 100 thư viện chi nhánh trên toàn thành phố. Nó cũng có 1.200.000 thành viên đã đăng ký và hoạt động với ngân sách hơn 200 triệu USD.

Nguồn: bleepingcomputer.com

Netgear, Hyundai latest X accounts hacked to push crypto drainers

Thu, 11 Jan 2024 06:00:00 GMT

The official Netgear and Hyundai MEA Twitter/X accounts (together with over 160,000 followers) are the latest hijacked to push scams designed to infect potential victims with cryptocurrency wallet drainer malware.

While Hyundai has already regained access to their account and has cleaned up the timeline of all links pointing X users to malicious websites, Netgear has yet to take control of theirs, with some of the attacker's tweet replies still available.

The attackers renamed the account of Hyundai MEA (Middle East & Africa) to impersonate Overworld, which describes itself as a "cross-platform multiplayer RPG, backed by Binance Labs, the venture capital and incubator arm of the Binance cryptocurrency exchange.

Likely because it's frequently impersonated in similar scams, Overworld often warns its Twitter followers, saying, "Please exercise caution and stay clear of those impersonating our account. Only click links from the official @OverworldPlay twitter account."

Netgear's account has been hijacked since at least January 6th and was only used to reply to BRCapp tweets, luring followers to a malicious website promising to give the first 1,000 newly registered users $100,000.

However, anyone who connected their wallets to the site would have had their assets and NFTs stolen by the threat actors.

Netgear and Hyundai spokespersons were not immediately available for comment when contacted by BleepingComputer earlier.

Netgear and Hyundai MEA hijacked (BleepingComputer/SecuriTears)

Twitter users under siege

Hackers are increasingly targeting and compromising verified government and business X accounts with 'gold' and 'grey' checkmarks to add legitimacy to their malicious tweets pushing cryptocurrency scams, phishing sites, and sites spreading crypto drainers.

For instance, the X account of web3 security firm CertiK was hacked to push a crypto drainer on Friday, while the account of Google subsidiary and cybersecurity firm Mandiant was hijacked on Wednesday, although it had two-factor authentication (2FA) toggled on.

Previously, scammers used the official Twitter account for Bloomberg Crypto to lure almost its 1 million followers to a malicious website designed to steal their Discord credentials.

As blockchain threat analysts at ScamSniffer revealed in December, a single waller drainer known as 'MS Drainer' stole roughly $59 million worth of cryptocurrency from 63k people in a Twitter ad push between March and November.

X users are also under a constant barrage of malicious cryptocurrency ads redirecting to fake airdrops, various scams, and, of course, crypto drainers.

Since X says it shows ads based on each user's interests, those not linked to other cryptocurrency accounts may not see these malicious ads.

However, those in the crypto space are now besieged by what looks like a neverending torrent of such malicious ads, as BleepingComputer reported over the weekend.

Source: BleepingComputer

Các tài khoản X mới nhất của Netgear, Hyundai bị hack để đẩy mạnh việc rút tiền điện tử

Wed, 10 Jan 2024 09:15:00 GMT

Các tài khoản Twitter/X chính thức của Netgear và Hyundai MEA (cùng với hơn 160.000 người theo dõi) là những tài khoản mới nhất bị tấn công để đẩy các trò lừa đảo được thiết kế nhằm lây nhiễm phần mềm độc hại rút tiền điện tử ra khỏi ví tiền điện tử cho các nạn nhân tiềm năng.

Trong khi Hyundai đã lấy lại quyền truy cập vào tài khoản của họ và đã xóa dòng thời gian của tất cả các liên kết trỏ người dùng X đến các trang web độc hại, Netgear vẫn chưa kiểm soát được tài khoản của họ và một số câu trả lời tweet của kẻ tấn công vẫn còn tồn tại.

Những kẻ tấn công đã đổi tên tài khoản của Hyundai MEA (Trung Đông và Châu Phi) thành mạo danh Overworld, nơi tự mô tả là "game nhập vai nhiều người chơi đa nền tảng, được hỗ trợ bởi Binance Labs, quỹ đầu tư mạo hiểm và cánh tay ươm tạo của sàn giao dịch tiền điện tử Binance.

Có thể vì nó thường xuyên bị mạo danh trong các vụ lừa đảo tương tự, Overworld thường cảnh báo những người theo dõi trên Twitter của mình rằng: "Xin hãy thận trọng và tránh xa những người mạo danh tài khoản của chúng tôi. Chỉ nhấp vào liên kết từ tài khoản twitter @OverworldPlay chính thức."

Tài khoản của Netgear đã bị tấn công ít nhất từ ngày 6 tháng 1 và chỉ được sử dụng để trả lời các tweet của BRCapp, dụ những người theo dõi đến một trang web độc hại hứa hẹn sẽ tặng 100.000 USD cho 1.000 người dùng mới đăng ký đầu tiên.

Tuy nhiên, bất kỳ ai kết nối ví của họ với trang web đều có thể bị kẻ tấn công đánh cắp tài sản và NFT.

Người phát ngôn của Netgear và Hyundai chưa đưa ra bình luận ngay lập tức khi được BleepingComputer liên hệ.

Netgear và Hyundai MEA bị tấn công (BleepingComputer/SecuriTears)

Người dùng Twitter bị bao vây

Tin tặc đang nhắm mục tiêu và xâm phạm ngày càng tăng các tài khoản X của chính phủ và doanh nghiệp đã được xác minh bằng dấu kiểm 'vàng' và 'xám' để tăng thêm tính hợp pháp cho các tweet độc hại của chúng thúc đẩy các hoạt động lừa đảo tiền điện tử, các trang web lừa đảo và các trang web phát tán công cụ hút tiền điện tử.

Ví dụ: tài khoản X của công ty bảo mật web3 CertiK đã bị tấn công để đẩy một công cụ khai thác tiền điện tử vào thứ Sáu, trong khi tài khoản của công ty con Google và công ty an ninh mạng Mandiant đã bị tấn công vào thứ Tư, mặc dù tài khoản này đã bật xác thực hai yếu tố (2FA).

Trước đây, những kẻ lừa đảo đã sử dụng tài khoản Twitter chính thức của Bloomberg Crypto để thu hút gần 1 triệu người theo dõi vào một trang web độc hại được thiết kế để đánh cắp thông tin đăng nhập Discord của họ.

Như các nhà phân tích mối đe dọa blockchain tại ScamSniffer đã tiết lộ vào tháng 12, một công cụ thoát nước duy nhất được gọi là 'MS Drainer' đã đánh cắp số tiền điện tử trị giá khoảng 59 triệu đô la từ 63 nghìn người trong một đợt quảng cáo trên Twitter từ tháng 3 đến tháng 11.

Người dùng X cũng thường xuyên phải đối mặt với hàng loạt quảng cáo tiền điện tử độc hại chuyển hướng đến các airdrop giả mạo, nhiều trò lừa đảo khác nhau và tất nhiên là cả những kẻ rút tiền điện tử.

Vì X cho biết họ hiển thị quảng cáo dựa trên sở thích của từng người dùng nên những người không được liên kết với các tài khoản tiền điện tử khác có thể không nhìn thấy những quảng cáo độc hại này.

Tuy nhiên, những người đang sở hữu tiền điện tử hiện đang bị bao vây bởi những thông tin trông giống như một dòng quảng cáo độc hại không ngừng nghỉ, như BleepingComputer đã đưa tin vào cuối tuần qua.

Nguồn: bleepingcomputer.com

Tin tặc Thổ Nhĩ Kỳ Sea Turtle mở rộng các cuộc tấn công sang các ISP, công ty viễn thông Hà Lan

Wed, 10 Jan 2024 07:41:23 GMT

Nhóm gián điệp mạng do nhà nước Thổ Nhĩ Kỳ hậu thuẫn được gọi là Sea Turtle đã thực hiện nhiều chiến dịch gián điệp ở Hà Lan, tập trung vào các công ty viễn thông, truyền thông, nhà cung cấp dịch vụ internet (ISP) và các trang web của Kurdish.

Trước đây Sea Turtle, còn được gọi là Teal Kurma và Cosmic Wolf, tập trung vào khu vực Trung Đông, cũng như Thụy Điển và Hoa Kỳ, sử dụng các kỹ thuật như chiếm quyền điều khiển DNS và chuyển hướng lưu lượng truy cập để thực hiện các cuộc tấn công trung gian chống lại chính phủ và các tổ chức phi chính phủ, phương tiện truyền thông, ISP và nhà cung cấp dịch vụ CNTT.

Việc mở rộng tấn công sang Hà Lan gần đây đã được các nhà phân tích tại Hunt & Hackett quan sát. Họ cho biết Sea Turtle vẫn là một nhóm đe dọa có mức độ phức tạp vừa phải, chủ yếu sử dụng các lỗ hổng đã biết và các tài khoản bị xâm phạm để truy cập ban đầu trong khi không che giấu được dấu vết hoạt động của chúng một cách hiệu quả.

Các cuộc tấn công gần đây

Hunt & Hackett cho biết họ đã quan sát hoạt động của Sea Turtle ở Hà Lan từ năm 2021 đến năm 2023, với các kỹ thuật và phần mềm độc hại mới được giới thiệu gần đây.

Các cuộc tấn công nhắm vào các tổ chức cụ thể và dường như tập trung vào việc thu thập thông tin tình báo kinh tế và chính trị phù hợp với lợi ích của nhà nước Thổ Nhĩ Kỳ.

Báo cáo cho biết: “Những cuộc tấn công mạng này được cho là do Sea Turtle dàn dựng vì có hoạt động phù hợp với lợi ích của Thổ Nhĩ Kỳ, báo hiệu sự leo thang trong việc Thổ Nhĩ Kỳ theo đuổi các mục tiêu ở Hà Lan”.

“Các chiến dịch được theo dõi ở Hà Lan dường như tập trung vào các nhà cung cấp dịch vụ viễn thông, truyền thông, ISP và dịch vụ CNTT và cụ thể hơn là các trang web của người Kurd (trong số các trang web khác có liên kết với PPK).”

Quyền truy cập ban đầu trong các cuộc tấn công được quan sát đạt được bằng cách sử dụng tài khoản cPanel bị xâm nhập để SSH vào cơ sở hạ tầng mục tiêu.

Một công cụ mới được triển khai trong các cuộc tấn công Sea Turtle gần đây là 'SnappyTCP', một shell TCP đảo ngược mã nguồn mở dành cho Linux cung cấp các khả năng ra lệnh và kiểm soát (C2) cơ bản.

Công cụ này vẫn hoạt động trên hệ thống để hoạt động như một cửa hậu liên tục bằng cách sử dụng lệnh 'NoHup', ngăn chặn việc chấm dứt nó ngay cả khi các tác nhân đe dọa đã đăng xuất.

Các nhà nghiên cứu cũng báo cáo việc cài đặt công cụ quản lý cơ sở dữ liệu Adminer trong thư mục chung của một trong những tài khoản cPanel bị xâm nhập, điều này giúp chúng có được quyền truy cập dữ liệu liên tục và khả năng thực thi lệnh SQL.

Để trốn tránh, Sea Turtle ghi đè các tệp nhật ký hệ thống Linux và hủy đặt các tệp lịch sử lệnh (Bash) và MySQL để xóa dấu vết về sự hiện diện và hoạt động của chúng.

Ngoài ra, Hunt & Hackett đã ghi lại nhiều trường hợp các tác nhân đe dọa kết nối với tài khoản cPanel bị xâm nhập bằng công cụ mạng riêng ảo (VPN).

Cuối cùng, khi nói đến việc đánh cắp dữ liệu, những kẻ tấn công đã tạo bản sao của kho lưu trữ email từ các tài khoản cPanel bị xâm nhập và cài đặt chúng vào thư mục web công khai của một trang web để sẵn sàng tải xuống.

Công cụ SnappyTCP, giống như hầu hết các shell đảo ngược, cũng có thể được sử dụng để lọc dữ liệu trực tiếp đến máy chủ C2 bằng kết nối TCP hoặc HTTP.

Hunt & Hackett chưa thấy trường hợp nào đánh cắp thông tin xác thực sau thỏa thuận, di chuyển ngang hoặc thao túng/xóa sạch dữ liệu trong các cuộc tấn công này.

Mặc dù các kỹ thuật của Sea Turtle được phân loại là phức tạp ở mức độ vừa phải nhưng nhóm này vẫn tiếp tục gây ra mối đe dọa đáng kể cho các tổ chức trên toàn cầu.

Các đề xuất để giảm thiểu mối đe dọa này bao gồm triển khai giám sát mạng nghiêm ngặt, bật MFA trên tất cả các tài khoản quan trọng và giảm mức độ tiếp xúc với SSH đối với các hệ thống được yêu cầu tối thiểu.

Nguồn: bleepingcomputer.com

Turkish hackers Sea Turtle expand attacks to Dutch ISPs, telcos

Wed, 10 Jan 2024 07:38:45 GMT

The Turkish state-backed cyber espionage group tracked as Sea Turtle has been carrying out multiple spying campaigns in the Netherlands, focusing on telcos, media, internet service providers (ISPs), and Kurdish websites.

Previously, Sea Turtle, also known as Teal Kurma and Cosmic Wolf, focused on the Middle Eastern region, as well as Sweden and the United States, using techniques like DNS hijacking and traffic redirection to perform man-in-the-middle attacks against government and non-government organizations, media, ISPs, and IT service providers.

The recent expansion to the Netherlands was observed by analysts at Hunt & Hackett, who report that Sea Turtle remains a threat group of moderate sophistication, primarily using known flaws and compromised accounts for initial access while failing to hide their activity trace effectively.

The recent attacks

Hunt & Hackett says it has observed Sea Turtle activity in the Netherlands between 2021 and 2023, with new techniques and malware being introduced recently.

The attacks target specific organizations and appear to be focused on acquiring economic and political intelligence that aligns with the Turkish state's interests.

"These cyberattacks are believed to be orchestrated by Sea Turtle operating in alignment with Turkish interests, signaling an escalation in Turkey's pursuit of objectives within the Netherlands," reads the report.

"The campaigns observed in the Netherlands appear to focus on telecommunication, media, ISPs, and IT-service providers and more specifically Kurdish websites (among others PPK affiliated)."

Initial access in the observed attacks is achieved by using compromised cPanel accounts to SSH onto the target infrastructure.

A new tool deployed in the recent Sea Turtle attacks is 'SnappyTCP,' an open-source reverse TCP shell for Linux that offers basic command and control (C2) capabilities.

The tool remains active on the system to serve as a persistent backdoor by using the 'NoHup' command, preventing its termination even when the threat actors have logged out.

The researchers also report seeing the installation of the Adminer database management tool in the public directory of one of the compromised cPanel accounts, giving them persistent data access and SQL command execution capabilities.

For evasion, Sea Turtle overwrites Linux system log files and unsets the command (Bash) and MySQL history files to erase the trace of their presence and activities.

Also, Hunt & Hackett have logged multiple cases of the threat actors connecting to the compromised cPanel accounts using a virtual private network (VPN) tool.

Finally, when it comes to data exfiltration, the attackers created copies of email archives from compromised cPanel accounts and placed them in the public web directory of a website, making them available for downloading.

The SnappyTCP tool, like most reverse shells, can also be used for data exfiltration directly to the C2 server using TCP or HTTP connections.

Hunt & Hackett have seen no cases of post-compromise credential theft, lateral movement attempts, or data manipulation/wiping in these attacks.

Despite Sea Turtle's techniques being classified as moderately sophisticated, the group continues to pose a significant threat to organizations globally.

Recommendations for mitigating this threat include deploying strict network monitoring, enabling MFA on all critical accounts, and reducing SSH exposure to the minimum required systems.

Source: bleepingcomputer.com

FTC offers $25,000 prize for detecting AI-enabled voice cloning

Tue, 09 Jan 2024 06:00:00 GMT

The U.S. Federal Trade Commission (FTC) has started accepting submissions for its Voice Cloning Challenge, a public competition with a $25,000 top prize for ideas that protect consumers from the danger of AI-enabled voice cloning for fraudulent activity.

The Challenge was announced in mid-November in an effort to find ways to counter the misuse of voice cloning technology as it becomes more sophisticated due to the improvement of text-to-speech with the help of artificial intelligence.

AI can be used to clone someone's voice by analyzing an audio clip of the target speaking to extract unique vocal characteristics and then using the training data to generate new speech.

Although voice cloning has legitimate uses, such as personalized text-to-speech services and assistive tools for people with disabilities, threat actors can also use it for fraudulent activities like voice phishing, social engineering, and other types of voice-based scams.

By impersonating the voice of someone familiar to the target, like a family member or a celebrity, malicious actors can easily trick people into believing the claims made in a call or voice message.

“[Voice cloning technology] poses a significant risk: families and small businesses can be targeted with fraudulent extortion scams; creative professionals, such as voice artists, can have their voices appropriated in ways that threaten their livelihoods and deceive the public.” - Federal Trade Commission.

Through the Voice Cloning Challenge, the FTC aims to find a solution that can identify cases of voice cloning with the help of generative AI. The agency calls it “an exploratory challenge” that could potentially provide a direction for the risk mitigation effort.

The winning proposal will receive $25,000 and the runner-up will get $4,000. There are up to three honorable mentions, each awarded with $2,000.

On January 2nd, the agency started accepting submissions via this portal and will receive ideas for 10 days, until January 12, 08:00 PM EST.

Submissions must include a one-page overview of the proposal and a detailed description of up to 10 pages. Participants may also include a video to show how their idea works.

All submissions will be judged based on their practical feasibility, impact on corporate accountability and burden on the consumer, and resilience to rapid technological advancements in the field.

Should the challenge fail to yield any effective defense ideas, FTC notes that the effort will serve as an early warning for policymakers and would highlight the need for more stringent regulations on the use of AI technology.

Source: bleepingcomputer.com

FTC trao giải thưởng 25.000 USD cho việc phát hiện nhân bản giọng nói hỗ trợ AI

Tue, 09 Jan 2024 06:00:00 GMT

Ủy ban Thương mại Liên bang Hoa Kỳ (FTC) đã bắt đầu nhận các bài nộp cuộc thi Thử thách nhân bản giọng nói, đây là một cuộc thi công khai với giải thưởng cao nhất trị giá 25.000 đô la cho những ý tưởng bảo vệ người tiêu dùng khỏi nguy cơ nhân bản giọng nói do AI hỗ trợ cho hoạt động gian lận.

Thử thách được đăng thông tin vào giữa tháng 11 trong nỗ lực tìm cách chống lại việc lạm dụng công nghệ nhân bản giọng nói khi nó ngày càng trở nên phức tạp hơn do sự cải tiến của tính năng chuyển văn bản thành giọng nói với sự trợ giúp của trí tuệ nhân tạo.

AI có thể được sử dụng để sao chép giọng nói của ai đó bằng cách phân tích đoạn âm thanh của mục tiêu đang nói để trích xuất các đặc điểm giọng nói độc đáo, sau đó sử dụng dữ liệu đào tạo để tạo ra giọng nói mới.

Mặc dù nhân bản giọng nói có những mục đích sử dụng hợp pháp, chẳng hạn như dịch vụ chuyển văn bản thành giọng nói được cá nhân hóa và các công cụ hỗ trợ dành cho người khuyết tật, nhưng những kẻ đe dọa cũng có thể sử dụng nó cho các hoạt động gian lận như lừa đảo bằng giọng nói, kỹ thuật xã hội và các loại lừa đảo dựa trên giọng nói khác.

Bằng cách mạo danh giọng nói của một người quen thuộc với mục tiêu, chẳng hạn như thành viên gia đình hoặc người nổi tiếng, những kẻ độc hại có thể dễ dàng lừa mọi người tin vào những tuyên bố được đưa ra trong cuộc gọi hoặc tin nhắn thoại.

“[Công nghệ nhân bản giọng nói] gây ra rủi ro đáng kể: các gia đình và doanh nghiệp nhỏ có thể trở thành mục tiêu của các vụ lừa đảo tống tiền gian lận; các chuyên gia sáng tạo, chẳng hạn như nghệ sĩ lồng tiếng, có thể bị chiếm đoạt tiếng nói của họ theo những cách đe dọa sinh kế của họ và đánh lừa công chúng.” - Ủy ban Thương mại Liên bang cho biết.

Thông qua Thử thách nhân bản giọng nói, FTC đặt mục tiêu tìm ra giải pháp có thể xác định các trường hợp nhân bản giọng nói với sự trợ giúp của AI tổng hợp. Cơ quan này gọi đây là “một thách thức mang tính khám phá” có khả năng đưa ra hướng đi cho nỗ lực giảm thiểu rủi ro.

Đề xuất cho giải thưởng cao nhất sẽ nhận được 25.000 USD và á quân sẽ nhận được 4.000 USD. Có tới ba đề cử danh dự, mỗi đề cử được thưởng 2.000 USD.

Vào ngày 2 tháng 1, cơ quan bắt đầu nhận các bài nộp qua cổng này và sẽ nhận ý tưởng trong 10 ngày, cho đến 08:00 tối EST ngày 12 tháng 1.

Các bài nộp phải bao gồm tổng quan một trang về đề xuất và mô tả chi tiết tối đa 10 trang. Những người tham gia cũng có thể đưa vào một video để cho thấy ý tưởng của họ hoạt động như thế nào.

Tất cả các bài nộp sẽ được đánh giá dựa trên tính khả thi thực tế, tác động đến trách nhiệm giải trình của doanh nghiệp và gánh nặng đối với người tiêu dùng cũng như khả năng phục hồi trước những tiến bộ công nghệ nhanh chóng trong lĩnh vực này.

Nếu thách thức không mang lại bất kỳ ý tưởng phòng thủ hiệu quả nào, FTC lưu ý rằng nỗ lực này sẽ đóng vai trò là cảnh báo sớm cho các nhà hoạch định chính sách và nêu bật sự cần thiết phải có các quy định nghiêm ngặt hơn về việc sử dụng công nghệ AI.

Nguồn: bleepingcomputer.com

Online museum collections down after cyberattack on service provider

Mon, 08 Jan 2024 06:00:00 GMT

Museum software solutions provider Gallery Systems has disclosed that its ongoing IT outages were caused by a ransomware attack two weeks ago.

Gallery Systems was formed in April 2022 when it merged with Artsystems, a global leader in gallery and collection management software, and boasts an impressive client portfolio, including over 800 museums.

Notable users include the New York's Museum of Modern Art (MoMA), the Metropolitan Museum of Art (Met), the Chrysler Museum of Art, the Museum of Pop Culture (MoPOP) in Seattle, the Barnes Foundation, the Crystal Bridges Museum of American Art, and the San Francisco Museum of Modern Art (SFMOMA).

In a customer notification shared with BleepingComputer, Gallery Systems said it suffered a ransomware attack on December 28th, causing the company to take systems offline to prevent further devices from being encrypted.

"On Thursday, December 28, 2023, certain computer systems that run our software became encrypted, which prevented them from operating," reads the customer notification letter shared with BleeingComputer.

"We have been working around the clock to restore access to the software and we sincerely appreciate your patience during this time. We will be restoring your data with the last available backup."

Some encrypted servers are responsible for hosting several Gallery Systems services, including the online public viewing platform called eMuseum.

Museums and colleges commonly use this service to create searchable online collections and exhibitions through emuseum.com subdomains, which are now offline while the company responds to the attack.

Gallery Systems says it has notified the law enforcement authorities and is conducting an internal investigation to determine the breach's impact, promising to provide updates to clients when more info becomes available.

By the time of writing this, no major ransomware groups have taken responsibility for an attack on Gallery Systems, so the threat actors are unknown.

Source: BleepingComputer

Bộ sưu tập bảo tàng trực tuyến ngừng hoạt động sau cuộc tấn công mạng vào nhà cung cấp dịch vụ

Mon, 08 Jan 2024 06:00:00 GMT

Nhà cung cấp giải pháp phần mềm bảo tàng Gallery Systems đã tiết lộ rằng tình trạng ngừng hoạt động CNTT liên tục của họ là do một cuộc tấn công bằng ransomware vào hai tuần trước.

Gallery Systems được thành lập vào tháng 4 năm 2022 khi sáp nhập với Artsystems, đây là công ty hàng đầu thế giới về phần mềm quản lý thư viện và bộ sưu tập, đồng thời tự hào có danh mục khách hàng ấn tượng, bao gồm hơn 800 bảo tàng.

Những khách hàng đáng chú ý đang sử dụng phần mềm này bao gồm Bảo tàng Nghệ thuật Hiện đại (MoMA) của New York, Bảo tàng Nghệ thuật Metropolitan (Met), Bảo tàng Nghệ thuật Chrysler, Bảo tàng Văn hóa Đại chúng (MoPOP) ở Seattle, Quỹ Barnes, Bảo tàng Crystal Bridges của Mỹ. Art và Bảo tàng Nghệ thuật Hiện đại San Francisco (SFMOMA).

Trong thông báo gửi khách hàng được chia sẻ với BleepingComputer, Gallery Systems cho biết họ đã phải hứng chịu một cuộc tấn công bằng ransomware vào ngày 28 tháng 12, khiến họ phải đưa các hệ thống vào chế độ ngoại tuyến để ngăn chặn các thiết bị tiếp theo bị mã hóa.

Thư thông báo khách hàng được chia sẻ với BleeingComputer cho biết: “Vào Thứ Năm, ngày 28 tháng 12 năm 2023, một số hệ thống máy tính chạy phần mềm của chúng tôi đã bị mã hóa, khiến chúng không thể hoạt động”.

"Chúng tôi đã làm việc suốt ngày đêm để khôi phục quyền truy cập vào phần mềm và chúng tôi chân thành đánh giá cao sự kiên nhẫn của bạn trong thời gian này. Chúng tôi sẽ khôi phục dữ liệu của bạn bằng bản sao lưu cuối cùng có sẵn."

Một số máy chủ được mã hóa chịu trách nhiệm lưu trữ một số dịch vụ của Hệ thống Thư viện, bao gồm cả nền tảng xem công khai trực tuyến có tên là eMuseum.

Các bảo tàng và trường cao đẳng thường sử dụng dịch vụ này để tạo các bộ sưu tập và triển lãm trực tuyến có thể tìm kiếm được thông qua các tên miền phụ emuseum.com, hiện đang ngoại tuyến trong khi công ty ứng phó với cuộc tấn công.

Gallery Systems cho biết đã thông báo cho các cơ quan thực thi pháp luật và đang tiến hành một cuộc điều tra nội bộ để xác định tác động của vi phạm, đồng thời hứa sẽ cung cấp thông tin cập nhật cho khách hàng khi có thêm thông tin.

Tính đến thời điểm viết bài này được đưa ra thì không có nhóm ransomware lớn nào nhận trách nhiệm về một cuộc tấn công vào Hệ thống Thư viện, vì vậy vẫn chưa xác định được tác nhân đe dọa.

Nguồn: bleepingcomputer.com

Google Groups is ending support for Usenet to combat spam

Mon, 08 Jan 2024 00:00:00 GMT

Google has officially announced it's ceasing support for Usenet groups on its Google Groups platform, a move partly attributed to the platform's increasing struggle with spam content.

The upcoming changes will take effect from February 22, 2024, after which users can no longer post, subscribe, or view new Usenet content through Google Groups.

However, historical Usenet content posted before this cutoff date will remain accessible for viewing and searching on the platform.

Google says the change is primarily due to a decline in text-based Usenet groups, with the platform mainly being used to share files or to post spam. Usenet is now commonly used to share copyrighted content, such as video games, applications, movies, and TV shows.

"Over the last several years, legitimate activity in text-based Usenet groups has declined significantly because users have moved to more modern technologies and formats such as social media and web-based forums," explains a support document about the upcoming change.

"Much of the content being disseminated via Usenet today is binary (non-text) file sharing, which Google Groups does not support, as well as spam."

Spam in Google Groups
Source: BleepingComputer

This change also marks the end of Google's Network News Transfer Protocol (NNTP) server services, including its content peering with other NNTP servers. As a result, Google will not support the dissemination of new Usenet content or its exchange with other servers.

Importantly, this update will not affect non-Usenet content on Google Groups, which includes the vast majority of user and organization-created groups currently active on the platform.

Google offers help to those actively using Usenet content

For those actively using Usenet content, Google has provided guidance on transitioning to alternative platforms.

Users are advised to find a new Usenet client and a public Usenet server, saying there are numerous free and paid options available.

Google suggests conducting web searches for "how do I find a Usenet text client" and "public NNTP servers" to assist in this transition.

Since Usenet is a distributed system, there is no requirement for data migration.

All Usenet content currently accessible on Google Groups should be available on the new servers selected by users, and once a new client and server are chosen, users can simply reselect their preferred groups to continue their engagement with Usenet content.

In its statement, Google also highlighted the declining legitimate activity on text-based Usenet groups, attributing this trend to the shift of users towards modern communication technologies such as social media and web-based forums.

Source: bleepingcomputer.com

Google Groups sắp ngừng hỗ trợ nền tảng Usenet để chống thư rác

Fri, 05 Jan 2024 07:44:23 GMT

Google đã chính thức tuyên bố ngừng hỗ trợ các nhóm nền tảng Usenet trên nền tảng Google Groups của mình, đây là một động thái một phần là do nền tảng này đang phải vật lộn ngày càng nhiều với nội dung spam.

Những thay đổi sắp tới sẽ có hiệu lực từ ngày 22 tháng 2 năm 2024, sau đó người dùng không thể đăng, đăng ký hoặc xem Usenet mới thông qua Google Groups nữa.

Tuy nhiên, lịch sử nền tảng Usenet được đăng trước ngày giới hạn này sẽ vẫn có thể truy cập được để xem và tìm kiếm trên nền tảng.

Google cho biết sự thay đổi này chủ yếu là do sự sụt giảm của các Usenet dựa trên các tài liệu với nền tảng này chủ yếu được sử dụng để chia sẻ tệp hoặc đăng thư rác. Usenet hiện được sử dụng phổ biến để chia sẻ nội dung có bản quyền, chẳng hạn như trò chơi điện tử, ứng dụng, phim và chương trình truyền hình.

Một tài liệu hỗ trợ về thay đổi sắp tới giải thích việc này: “Trong vài năm qua, hoạt động hợp pháp trong Usenet dựa trên văn bản đã giảm đáng kể do người dùng đã chuyển sang các công nghệ và định dạng hiện đại hơn như mạng xã hội và diễn đàn dựa trên web”.

"Phần lớn nội dung được phổ biến qua Usenet ngày nay là chia sẻ tệp nhị phân (không phải văn bản), điều mà Google Groups không hỗ trợ, cũng như spam."

Thư rác trong Google Groups

Nguồn: BleepingComputer

Thay đổi này cũng đánh dấu sự kết thúc của các dịch vụ máy chủ Network News Transfer Protocol (NNTP) của Google, bao gồm cả các tính năng của nó cùng với với các máy chủ NNTP khác. Do đó, Google sẽ không hỗ trợ phổ biến tính năng Usenet mới hoặc giao tiếp với các máy chủ khác.

Điều quan trọng là bản cập nhật này sẽ không ảnh hưởng đến nội dung không phải của Usenet trên Google Groups, bao gồm phần lớn các nhóm do người dùng và tổ chức tạo hiện đang hoạt động trên nền tảng.

Google cung cấp trợ giúp cho những người thường sử dụng các tính năng trong Usenet

Đối với những người thường sử dụng Usenet, Google đã cung cấp hướng dẫn về cách chuyển sang nền tảng thay thế.

Người dùng nên tìm ứng dụng khách Usenet mới và máy chủ Usenet công cộng, vì có rất nhiều tùy chọn miễn phí và trả phí.

Google khuyên bạn nên tiến hành tìm kiếm trên web về "làm cách nào để tìm ứng dụng khách văn bản Usenet" và "máy chủ NNTP công cộng" để hỗ trợ quá trình chuyển đổi này.

Vì Usenet là một hệ thống phân tán nên không có yêu cầu di chuyển dữ liệu.

Tất cả nội dung Usenet hiện có thể truy cập được trên Google Groups phải có sẵn trên các máy chủ mới do người dùng chọn và sau khi chọn máy khách và máy chủ mới, người dùng có thể chỉ cần chọn lại các nhóm ưa thích của mình để tiếp tục tương tác với nội dung Usenet.

Trong thông báo của mình, Google cũng nhấn mạnh hoạt động hợp pháp đang suy giảm trên các nhóm Usenet dựa trên văn bản, cho rằng xu hướng này là do người dùng chuyển sang các công nghệ truyền thông hiện đại như mạng xã hội và diễn đàn dựa trên web.

Nguồn: bleepingcomputer.com

Bản ghi âm của tòa án Victoria bị lộ sau khi vụ tấn công ransomware xảy ra

Fri, 05 Jan 2024 07:34:34 GMT

Dịch vụ Tòa án Victoria (CSV) của Úc đang cảnh báo rằng các đoạn video ghi lại các phiên điều trần tại tòa đã bị lộ sau khi xảy ra một cuộc tấn công ransomware Qilin.

CSV là cơ quan có thẩm quyền theo luật định độc lập cung cấp dịch vụ cho hệ thống tòa án của Victoria, bao gồm hệ thống quản lý vụ việc và các giải pháp hành chính.

Trong một thông báo ngày 2 tháng 8 trên trang web của mình, CSV cho biết họ đã phát hiện một cuộc tấn công mạng vào ngày 21 tháng 12 năm 2023, cuộc tấn công cho phép tin tặc làm gián đoạn hoạt động và truy cập vào kho lưu trữ nghe nhìn chứa các bản ghi âm thính giác nhạy cảm.

Hệ thống bị ảnh hưởng ngay lập tức bị cô lập và vô hiệu hóa, nhưng cuộc điều tra sau đó cho thấy vi phạm xảy ra vào một ngày trước đó, ngày 8 tháng 12 năm 2023, với các bản ghi bị lộ cho đến tận ngày 1 tháng 11 năm 2023.

Thông báo của CSV cho biết: “Sự cố mạng dẫn đến truy cập trái phép, dẫn đến gián đoạn mạng công nghệ nghe nhìn tại tòa, ảnh hưởng đến việc ghi video, ghi âm và dịch vụ chép lời”.

“Bản ghi âm của một số phiên điều trần tại tòa án từ ngày 1 tháng 11 đến ngày 21 tháng 12 năm 2023 có thể đã bị truy cập. Có thể một số phiên điều trần trước ngày 1 tháng 11 cũng bị ảnh hưởng.”

Các tòa án và khu vực pháp lý sau đây đã bị ảnh hưởng bởi sự cố an ninh:

Tòa án Tối cao – các phiên điều trần từ Tòa phúc thẩm, Phòng Hình sự và Tòa án hành nghề từ ngày 1 đến ngày 21 tháng 12 và hai phiên điều trần khu vực vào tháng 11 năm 2023.
Tòa án Quận – các phiên điều trần từ tất cả các tòa án hình sự và dân sự từ ngày 1 tháng 11 đến ngày 21 tháng 12 năm 2023.
Tòa sơ thẩm – một số cam kết được xét xử từ ngày 1 tháng 11 đến ngày 21 tháng 12 năm 2023.
Tòa án Trẻ em – một phiên điều trần từ tháng 10 năm 2023.
Tòa án điều tra – tất cả các phiên điều trần diễn ra từ ngày 1 tháng 11 đến ngày 21 tháng 12 năm 2023.

Các bản ghi âm trên là sự kết hợp giữa thông tin công khai và thông tin bí mật nên tùy theo từng trường hợp, chúng có thể tiết lộ thông tin nhạy cảm liên quan đến các vụ án tại tòa án.

Nếu có thể, các tòa án bị ảnh hưởng sẽ gửi thông báo vi phạm cho những người được coi là bị ảnh hưởng bởi vụ việc.

CSV cũng đã thông báo cho các cơ quan chức năng về khả năng vi phạm dữ liệu, bao gồm Cảnh sát Victoria, Bộ Dịch vụ Chính phủ Victoria và Dịch vụ Cộng đồng Hỗ trợ Mạng và Nhận dạng Quốc gia của Úc (IDCARE).

Mặc dù CSV vẫn đang trong quá trình tái cơ cấu hệ thống bị ảnh hưởng để tập trung hơn vào an ninh, nhưng hoạt động của tòa án ở Victoria sẽ không bị ảnh hưởng và tất cả các vụ việc dự kiến diễn ra vào tháng 1 năm 2024 dự kiến sẽ diễn ra bình thường.

Cơ quan chức năng không nêu tên tội phạm mạng chịu trách nhiệm cho vụ tấn công, nhưng các nguồn tin nói với ABC News đưa tin rằng nhóm ransomware Qilin đã thực hiện vụ tấn công.

Hoạt động ransomware Qilin đã hoạt động với tên gọi “Agenda” vào tháng 8 năm 2022 nhưng sau đó được đổi tên thành Qilin.

Kể từ khi thực hiện hoạt động ransomware thì số lượng nạn nhân gia tăng nhưng hoạt động ngày càng tăng vào cuối năm 2023.

Nguồn: bleepingcomputer.com

Victoria court recordings exposed in reported ransomware attack

Fri, 05 Jan 2024 07:31:42 GMT

Australia's Court Services Victoria (CSV) is warning that video recordings of court hearings were exposed after suffering a reported Qilin ransomware attack.

CSV is an independent statutory authority that provides services to Victoria's court systems, including case management systems and administrative solutions.

In a statement published on December 2 on its website, CSV says it detected a cyberattack on December 21, 2023, that allowed hackers to disrupt operations and access its audio-visual archive containing sensitive hearing recordings.

The impacted system was immediately isolated and disabled, but the ensuing investigation revealed that the breach occurred at an earlier date, December 8th, 2023, with the exposed recordings going as far back as November 1, 2023.

"The cyber incident led to unauthorised access leading to the disruption of the audio visual in-court technology network, impacting video recordings, audio recordings and transcription services," reads the CSV statement.

"Recordings of some hearings in courts between 1 November and 21 December 2023 may have been accessed. It is possible some hearings before 1 November are also affected."

Specifically, the following courts and jurisdictions have been impacted by the security incident:

Supreme Court – hearings from the Court of Appeal, Criminal Division, and Practice Court between December 1 and 21, and two regional hearings in November 2023.
County Court – hearings from all criminal and civil courts from November 1 to December 21, 2023.
Magistrates' Court – some committals heard between November 1 and December 21, 2023.
Children's Court – one hearing from October 2023.
Coroners Court – all hearings that took place between November 1 and December 21, 2023.

The above recordings contain a mix of public and confidential information, so depending on the case, they may expose sensitive information regarding court cases.

Where possible, impacted courts will send out breach notices to those deemed impacted by the incident.

CSV has also notified the authorities about the potential data breach, including the Victoria Police, Victorian Department of Government Services, and Australia's National Identity and Cyber Support Community Service (IDCARE).

Though CSV is still in the process of restructuring the impacted system with more focus on security, court operations in Victoria will not be affected, and all cases scheduled for January 2024 are expected to proceed normally.

The authority's does not name the cybercriminals responsible for the attack, but sources speaking to ABC News report that the Qilin ransomware gang carried out the attack.

The Qilin ransomware operation was launched under the name "Agenda" in August 2022 but was later rebranded as Qilin.

Since its launch, the ransomware operation has had a steady stream of victims but has seen increased activity towards the end of 2023.

Source: BleepingComputer

Eagers Automotive halts trading in response to cyberattack

Thu, 04 Jan 2024 06:00:00 GMT

Eagers Automotive has announced it suffered a cyberattack and was forced to halt trading on the stock exchange as it evaluates the impact of the incident.

Eagers Automotive is the largest operator of car dealerships in Australia and New Zealand, with over 300 selling points for brands such as Toyota, BMW, Nissan, Mercedes-Benz, Audi, Ford, VW, and Honda. It also owns a large number of subsidiaries focused on second-hand sales.

The company employs 8,500 people, and in the first half of 2023, it reported revenues of AU$4.82 billion (USD$3.25 billion).

On December 27, 2023, Eagers Automotive announced it would have to halt all trading operations to manage disclosure obligations concerning the cybersecurity incident.

On December 28, a second announcement offered more insight regarding the situation, noting that the incident has impacted several of its systems across Australia and New Zealand.

"The outage is currently impacting our IT systems in some operating locations across Australia and New Zealand, but the full extent of the cyber incident cannot yet be ascertained," reads the media release.

"External experts have been appointed to support our response and an urgent investigation is underway."

Eagers Automotive notified the Australian Cyber Security Centre and the New Zealand National Cyber Security Center of the incident.

Due to the size of the company and the type of its business, there's concern about the possibility of a data breach impacting many customers, potentially exposing sensitive financial information.

While the company expressed regret for inconveniencing customers and emphasized the importance of safeguarding customer and employee data, it did not explicitly address the possibility of a data leak in the media statement.

When writing this, no major ransomware groups assumed responsibility for an attack at Eagers Automotive.

Just on December 27, Yakult Australia confirmed that it is investigating a cyber-attack that occurred earlier this month following the leak of 95GB of allegedly stolen data by a new DragonForce ransomware group.

Two weeks ago, the Akira ransomware gang claimed an attack on Nissan Australia that the firm disclosed in early December, which is still under active remediation and investigation.

Multiple other large Australian businesses impacted by cyberattacks earlier this year include DP World, Pizza Hut Australia, Dymocks Booksellers, the University of Sydney, HWL Ebsworth, Latitude Financial, Fire Rescue Victoria, and the Queensland University of Technology.

Source: bleepingcomputer.com

Eagers Automotive tạm dừng giao dịch để đối phó với cuộc tấn công mạng

Thu, 04 Jan 2024 06:00:00 GMT

Eagers Automotive thông báo họ đã bị tấn công mạng và buộc phải ngừng giao dịch trên sàn giao dịch chứng khoán khi đánh giá tác động của vụ việc.

Eagers Automotive là nhà điều hành các đại lý ô tô lớn nhất tại Úc và New Zealand, với hơn 300 điểm bán cho các thương hiệu như Toyota, BMW, Nissan, Mercedes-Benz, Audi, Ford, VW và Honda. Nó cũng sở hữu một số lượng lớn các công ty con tập trung vào việc bán đồ cũ.

Công ty có 8.500 nhân viên và trong nửa đầu năm 2023, công ty báo cáo doanh thu là 4,82 tỷ đô la Úc (3,25 tỷ đô la Mỹ).

Vào ngày 27 tháng 12 năm 2023, Eagers Automotive thông báo họ sẽ phải tạm dừng mọi hoạt động giao dịch để quản lý các nghĩa vụ công bố thông tin liên quan đến sự cố an ninh mạng.

Ngày 28 tháng 12, thông báo thứ hai giúp người dùng có cái nhìn sâu sắc hơn về tình hình, lưu ý rằng vụ việc đã ảnh hưởng đến một số hệ thống của nó trên khắp Australia và New Zealand.

Thông báo cho biết: “Sự cố ngừng hoạt động hiện đang ảnh hưởng đến hệ thống CNTT của chúng tôi tại một số địa điểm hoạt động trên khắp Australia và New Zealand, nhưng vẫn chưa thể xác định được toàn bộ mức độ của sự cố mạng”.

"Các chuyên gia bên ngoài đã được chỉ định để hỗ trợ phản ứng của chúng tôi và một cuộc điều tra khẩn cấp đang được tiến hành."

Eagers Automotive đã thông báo cho Trung tâm An ninh Mạng Úc và Trung tâm An ninh Mạng Quốc gia New Zealand về vụ việc.

Do quy mô của công ty và loại hình kinh doanh của công ty, người ta lo ngại về khả năng xảy ra vụ tấn công dữ liệu, ảnh hưởng đến nhiều khách hàng, có khả năng làm lộ thông tin tài chính nhạy cảm.

Mặc dù Eagers Automotive bày tỏ sự tiếc nuối vì đã gây bất tiện cho khách hàng và nhấn mạnh tầm quan trọng của việc bảo vệ dữ liệu của khách hàng và nhân viên, nhưng trong văn bản truyền thông lại không đề cập rõ ràng đến khả năng rò rỉ dữ liệu.

Thời điểm bài báo này được đăng hiện không có nhóm ransomware lớn nào nhận trách nhiệm về cuộc tấn công tại Eagers Automotive.

Ngày 27 tháng 12, Yakult Australia đã xác nhận rằng họ đang điều tra một cuộc tấn công mạng xảy ra vào đầu tháng này sau vụ rò rỉ 95GB dữ liệu được cho là bị đánh cắp bởi nhóm ransomware DragonForce mới.

Hai tuần trước, nhóm ransomware Akira đã tuyên bố tấn công Nissan Australia mà công ty này đã tiết lộ vào đầu tháng 12, hiện vẫn đang tích cực điều tra và khắc phục.

Nhiều doanh nghiệp lớn khác của Úc bị ảnh hưởng bởi các cuộc tấn công mạng vào đầu năm nay bao gồm DP World, Pizza Hut Australia, Dymocks Bookeller, Đại học Sydney, HWL Ebsworth, Latitude Financial, Fire Rescue Victoria và Đại học Công nghệ Queensland.

Nguồn: bleepingcomputer.com

EasyPark discloses data breach that may impact millions of users

Wed, 03 Jan 2024 06:00:00 GMT

Parking app developer EasyPark has published a notice on its website warning of a data breach it discovered on December 10, 2023, which impacts an unknown number of its millions of users.

EasyPark is a Swedish company that creates mobile and web apps that serve as parking space locators, booking managers, and EV charging point finders.

The company operates digital parking services in 20 countries and over 4,000 cities, covering most of Europe, the United States, Australia, New Zealand, and the UK.

The EasyPark app (Europe-focused) has over 10 million downloads on Google Play, while its other apps, RingGo (UK-focused) and ParkMobile (US-focused), have 5 million installs each.

As reported by BleepingComputer, ParkMobile disclosed a massive data breach in 2021 that exposed the stolen data for 21 million customers. This database was subsequently released for free on a hacking forum.

Although a firm spokesperson has declined to provide details about this new breach and how many customers were impacted, they told BleepingComputer that a portion of European users had been affected, indicating that the incident concerns mainly EasyPark app users.

The company's announcement mentions that some customers have had the following information compromised, depending on what they have provided to the platform:

Name
Phone number
Physical address
Email address
Some digits of their credit card/debit card or IBAN

The above could help cybercriminals launch effective phishing attacks against the exposed EasyPark users, which the company warns explicitly about in the data breach notice.

However, the company clarifies that the disclosed data does not pose a risk for executing unauthorized transactions, and no such activities have resulted from the cybersecurity incident.

Users who are impacted by this incident will receive personalized notices from EasyPark via in-app messages, push notifications, email, and SMS.

"If you want to know if you are affected, please open the app," suggests the FAQ on the data breach notice.

At this time, the app's services continue to be accessible as normal, while EasyPark's security team is implementing additional security and privacy measures to ensure that the adverse effects of the incident have been contained.

The data protection authorities in Sweden, the United Kingdom, and Switzerland have been notified about the incident.

As a precaution, and since the nature of the cybersecurity incident remains undisclosed, it would be prudent for all users to reset their account passwords and do the same on all online platforms where they might be using the same credentials.

At the time of writing, no ransomware groups have taken responsibility for an attack on EasyPark.

However, threat actors have already started looking for the stolen data in hacking forum posts seen by BleepingComputer.

Source: bleepingcomputer.com

EasyPark tiết lộ tấn công dữ liệu có thể ảnh hưởng đến hàng triệu người dùng

Wed, 03 Jan 2024 06:00:00 GMT

Nhà phát hành ứng dụng đỗ xe EasyPark đã đăng một thông báo trên trang web của mình cảnh báo về một vụ vi phạm dữ liệu mà họ phát hiện vào ngày 10 tháng 12 năm 2023, ảnh hưởng đến một số lượng chưa xác định trong số hàng triệu người dùng.

EasyPark là một công ty Thụy Điển chuyên tạo ra các ứng dụng di động và web đóng vai trò là công cụ định vị chỗ đỗ xe, quản lý đặt chỗ và tìm điểm sạc xe điện.

Công ty vận hành dịch vụ đỗ xe kỹ thuật số tại 20 quốc gia và hơn 4.000 thành phố, bao phủ hầu hết Châu Âu, Hoa Kỳ, Úc, New Zealand và Anh.

Ứng dụng EasyPark (tập trung vào Châu Âu) có hơn 10 triệu lượt tải xuống trên Google Play, trong khi các ứng dụng khác của nó, RingGo (tập trung vào Vương quốc Anh) và ParkMobile (tập trung vào Hoa Kỳ), mỗi ứng dụng có 5 triệu lượt cài đặt.

Theo báo cáo của BleepingComputer, ParkMobile đã tiết lộ một vụ vi phạm dữ liệu lớn vào năm 2021, làm lộ dữ liệu bị đánh cắp của 21 triệu khách hàng. Cơ sở dữ liệu này sau đó đã được phát hành miễn phí trên một diễn đàn hack.

Mặc dù người phát ngôn của công ty đã từ chối cung cấp thông tin chi tiết về vi phạm mới này và số lượng khách hàng bị ảnh hưởng, nhưng họ nói với BleepingComputer rằng một phần người dùng châu Âu đã bị ảnh hưởng, cho thấy vụ việc chủ yếu liên quan đến người dùng ứng dụng EasyPark.

Thông báo của EasyPark đề cập rằng một số khách hàng đã bị xâm phạm thông tin sau, tùy thuộc vào những thông tin họ đã cung cấp cho nền tảng:

Tên
Số điện thoại
Địa chỉ vật lý
Địa chỉ email

E
Một số chữ số của thẻ tín dụng/thẻ ghi nợ hoặc IBAN của họ

Những thông tin trên có thể giúp tội phạm mạng thực hiện các cuộc tấn công lừa đảo hiệu quả chống lại những người dùng EasyPark bị lộ, điều mà công ty đã cảnh báo rõ ràng trong thông báo vi phạm dữ liệu.

Tuy nhiên, EasyPark làm rõ rằng dữ liệu được tiết lộ không gây rủi ro khi thực hiện các giao dịch trái phép và không có hoạt động nào như vậy xuất phát từ sự cố an ninh mạng.

Người dùng bị ảnh hưởng bởi sự cố này sẽ nhận được thông báo được cá nhân hóa từ EasyPark qua tin nhắn trong ứng dụng, thông báo đẩy, email và SMS.

“Nếu bạn muốn biết liệu mình có bị ảnh hưởng hay không, vui lòng mở ứng dụng”, Câu hỏi thường gặp trên thông báo vi phạm dữ liệu gợi ý.

Tại thời điểm này, các dịch vụ của ứng dụng vẫn có thể truy cập được như bình thường, trong khi đội ngũ bảo mật của EasyPark đang triển khai các biện pháp bảo mật và quyền riêng tư bổ sung để đảm bảo rằng các tác động bất lợi của sự cố đã được ngăn chặn.

Các cơ quan bảo vệ dữ liệu ở Thụy Điển, Vương quốc Anh và Thụy Sĩ đã được thông báo về vụ việc.

Để phòng ngừa và vì bản chất của sự cố an ninh mạng vẫn chưa được tiết lộ, nên tất cả người dùng nên đặt lại mật khẩu tài khoản của mình và thực hiện tương tự trên tất cả các nền tảng trực tuyến nơi họ có thể sử dụng cùng thông tin xác thực.

Tại thời điểm của thông báo không có nhóm ransomware nào nhận trách nhiệm về cuộc tấn công vào EasyPark.

Tuy nhiên, những kẻ đe dọa đã bắt đầu tìm kiếm dữ liệu bị đánh cắp trong các bài đăng trên diễn đàn hack mà BleepingComputer cũng đã nhìn thấy.

Nguồn: bleepingcomputer.com

Kroll reveals FTX customer info exposed in August data breach

Tue, 02 Jan 2024 07:40:59 GMT

Risk and financial advisory company Kroll has released additional details regarding the August data breach, which exposed the personal information of FTX bankruptcy claimants.

Kroll said the exposed data included coin holdings and balances, which would allow threat actors to pinpoint attractive targets who invest heavily in the cryptocurrency markets.

"This letter provides important information that can help protect you and your digital assets against misuse of your personal data, including your name, email address, phone number, address, claim number, claim amount, FTX account ID, and/or coin holdings and balances, as well as, for a limited number of individuals, date of birth," the company said in letters sent earlier this month and spotted by Emsisoft threat analyst Brett Callow.

"Importantly, the incident did not affect any FTX systems or FTX digital assets. Further, Kroll does not maintain passwords to FTX accounts."

Just like in its August statement, Kroll advised all those affected by the incident to remain vigilant and take precautions to protect their accounts. Kroll also warned of potential incoming phishing emails, text messages, and social media messages aiming to deceive and gain unauthorized access to affected FTX customers' cryptocurrency accounts and digital assets.

The risk consulting company recommends those potentially at risk to:

Never share your passwords, seed phrases, private keys, and other secret information with untrusted individuals, applications, websites, or devices.
Never presume an email or other communication is legitimate because it contains information about their claim or FTX account.
Always verify information that they receive from any other website about the FTX bankruptcy case or their claim by visiting the website of the Claims Agent, Kroll Restructuring Administration LLC: https://restructuring.ra.kroll.com/FTX/ or contacting Kroll Restructuring Administration at FTXquestions@kroll.com.

To protect assets against targeted phishing attacks, investors should store their crypto in cold wallets that make it more difficult to be stolen by threat actors.

BlockFi and Genesis creditors also affected

Kroll confirmed in a statement published on August 25 that one of its employees was a victim of a SIM-swapping attack after hackers targeted their T-Mobile account and stole their phone number. This allowed them to access "certain files containing personal information of bankruptcy claimants."

After Kroll's breach disclosure, phishing emails began targeting affected individuals impersonating FTX and claiming that the recipient was eligible to withdraw digital assets from their accounts. Additionally, the phishing messages matched the recipients' last known balance on the cryptocurrency platforms.

The attackers' ultimate goal was to trick the targets into giving away the seeds that protect their cryptocurrency wallets, allowing the hackers to empty them.

Even though Kroll handles restructuring cases for hundreds of organizations , a spokesperson told BleepingComputer after the August breach that the scope of the impact is limited to the FTX , BlockFi , and Genesis Global Holdco crypto-investment companies and their creditors.

"The security incident only impacted files pertaining to BlockFi, FTX, and Genesis. There is no evidence that the threat actor moved laterally or gained access to any other Kroll user accounts or systems," the spokesperson said.

However, Kroll has not yet disclosed the sensitive information belonging to the creditors of BlockFi and Genesis that was also exposed during the breach.

Source: bleepingcomputer.com

Kroll tiết lộ thông tin khách hàng FTX bị lộ trong vụ tấn công dữ liệu tháng 8

Tue, 02 Jan 2024 07:40:55 GMT

Công ty tư vấn tài chính và rủi ro Kroll đã công bố thêm thông tin chi tiết liên quan đến vụ tấn công dữ liệu vào tháng 8, làm lộ thông tin cá nhân của những người đã làm yêu cầu phá sản FTX.

Kroll cho biết dữ liệu bị lộ bao gồm số tiền nắm giữ và số dư, điều này sẽ cho phép các tác nhân đe dọa xác định chính xác các mục tiêu hấp dẫn đầu tư nhiều vào thị trường tiền điện tử.

"Thông báo này cung cấp thông tin quan trọng có thể giúp bảo vệ bạn và tài sản kỹ thuật số của bạn khỏi việc lạm dụng dữ liệu cá nhân của bạn, bao gồm tên, địa chỉ email, số điện thoại, địa chỉ, số yêu cầu bồi thường, số tiền yêu cầu bồi thường, ID tài khoản FTX và/hoặc số tiền nắm giữ và số dư, cũng như ngày sinh đối với một số cá nhân hạn chế”, Kroll cho biết trong thông báo gửi đầu tháng này và được nhà phân tích mối đe dọa Brett Callow của Emsisoft phát hiện.

“Điều quan trọng là sự cố không ảnh hưởng đến bất kỳ hệ thống FTX hoặc tài sản kỹ thuật số FTX nào. Hơn nữa, Kroll không duy trì mật khẩu cho tài khoản FTX.”

Giống như trong tuyên bố hồi tháng 8, Kroll khuyên tất cả những người bị ảnh hưởng bởi vụ việc nên cảnh giác và thực hiện các biện pháp phòng ngừa để bảo vệ tài khoản của họ. Kroll cũng cảnh báo về các email lừa đảo, tin nhắn văn bản và tin nhắn truyền thông xã hội tiềm ẩn nhằm đánh lừa và giành quyền truy cập trái phép vào tài khoản tiền điện tử và tài sản kỹ thuật số của khách hàng FTX bị ảnh hưởng.

Công ty tư vấn rủi ro khuyến nghị những người có khả năng gặp rủi ro nên:

Không bao giờ chia sẻ mật khẩu, cụm từ gốc, khóa riêng tư và thông tin bí mật khác của bạn với các cá nhân, ứng dụng, trang web hoặc thiết bị không đáng tin cậy.
Đừng bao giờ cho rằng email hoặc thông tin liên lạc khác là hợp pháp vì nó chứa thông tin về khiếu nại hoặc tài khoản FTX của cá nhân.
Luôn xác minh thông tin mà họ nhận được từ bất kỳ trang web nào khác về trường hợp phá sản của FTX hoặc khiếu nại của họ bằng cách truy cập trang web của Đại lý Khiếu nại, Kroll Restructuring Management LLC: https://restructuring.ra.kroll.com/FTX/ hoặc liên hệ với Kroll Restructuring Quản trị tại FTXquestions@kroll.com.

Để bảo vệ tài sản khỏi các cuộc tấn công lừa đảo có chủ đích, các nhà đầu tư nên lưu trữ tiền điện tử của họ trong ví lạnh để khiến các tác nhân đe dọa khó đánh cắp hơn.

Các chủ nợ BlockFi và Genesis cũng bị ảnh hưởng

Kroll xác nhận trong một tuyên bố được công bố vào ngày 25 tháng 8 rằng một trong những nhân viên của họ là nạn nhân của một cuộc tấn công hoán đổi SIM sau khi tin tặc nhắm vào tài khoản T-Mobile của họ và đánh cắp số điện thoại của họ. Điều này cho phép chúng truy cập "một số tệp chứa thông tin cá nhân của những người yêu cầu phá sản."

Sau tiết lộ vi phạm của Kroll, các email lừa đảo bắt đầu nhắm mục tiêu vào các cá nhân bị ảnh hưởng mạo danh FTX và tuyên bố rằng người nhận có đủ điều kiện để rút tài sản kỹ thuật số khỏi tài khoản của họ. Ngoài ra, các tin nhắn lừa đảo khớp với số dư được biết gần đây nhất của người nhận trên nền tảng tiền điện tử.

Mục tiêu cuối cùng của những kẻ tấn công là lừa các mục tiêu đưa ra những cách thức bảo vệ ví tiền điện tử của họ, cho phép tin tặc làm trống chúng.

Mặc dù Kroll xử lý các trường hợp tái cơ cấu cho hàng trăm tổ chức, một phát ngôn viên đã nói với BleepingComputer sau vụ vi phạm tháng 8 rằng phạm vi tác động chỉ giới hạn ở các công ty đầu tư tiền điện tử FTX, BlockFi và Genesis Global Holdco và các chủ nợ của họ.

Người phát ngôn cho biết: “Sự cố bảo mật chỉ ảnh hưởng đến các tệp liên quan đến BlockFi, FTX và Genesis. Không có bằng chứng nào cho thấy tác nhân đe dọa đã di chuyển sang bên hoặc giành được quyền truy cập vào bất kỳ tài khoản hoặc hệ thống người dùng Kroll nào khác”.

Tuy nhiên, Kroll vẫn chưa tiết lộ thông tin nhạy cảm thuộc về chủ nợ của BlockFi và Genesis cũng bị lộ trong vụ vi phạm.

Nguồn: bleepingcomputer.com

GitHub warns users to enable 2FA before upcoming deadline

Tue, 02 Jan 2024 00:00:01 GMT

GitHub is warning users that they will soon have limited functionality on the site if they do not enable two-factor authentication (2FA) on their accounts.

In emails sent to GitHub users on Christmas Eve, the company warned that all users contributing code on GitHub.com must enable 2FA by January 19th, 2024.

"This is a reminder that we announced that we are requiring users contributing code on GitHub.com to enable two-factor authentication (2FA)," reads the email seen by BleepingComputer.

"You are receiving this notification because your account meets this criteria and will be required to enroll in 2FA by January 19th, 2024 at 00:00 (UTC)".

This same warning is shown on the GitHub site after logging into your account, as shown below.

Github alerting users about upcoming 2FA requirement
Source: BleepingComputer

If you write or manage code on GitHub, this will apply to you. The company has made this decision to protect accounts from being breached and code altered in supply chain attacks.

However, this change is only for GitHub.com, not for business or enterprise accounts.

If you haven't set up 2FA by the deadline, you'll find your access to GitHub limited. But don't worry, GitHub has instructions to help you configure it easily.

"On January 19th, 2024 at 00:00 (UTC) your account will be required to have 2FA for authentication. If you have not yet enrolled by that date, your ability to access GitHub.com will be limited until you finish the enrollment process," the company noted in an email to its users.

After the January 19th deadline, users attempting to access GitHub.com without 2FA will be automatically directed to complete the setup.

Even after 2FA becomes mandatory, any configured Personal Access Tokens, SSH keys, and apps will still work. However, if you want to make new ones or change your account settings, you must enable 2FA on the account.

How to setup 2FA on Github

GitHub offers various methods for enabling 2FA, catering to user preferences regarding using security keys, GitHub Mobile, authenticator apps (TOTP), and SMS text messages.

To guarantee continuous access, activating at least two of these methods is recommended. Users can manage their 2FA settings and explore additional methods in their security settings on GitHub.

Github 2FA setup screen
Source: BleepingComputer

If you've already enabled 2FA before January 19th, 2024, you're all set. After that date, you can't turn off 2FA, but you can change your configured verification methods.

Github 2FA enabled using SMS Authentication
Source: BleepingComputer

In its email, GitHub suggests having more than one 2FA method, as it warned that it "may not be able to restore access to accounts with 2FA enabled if you lose your 2FA credentials".

If you lose all your 2FA options, the only way back into your account is with your recovery codes.

Source: BleepingComputer

Integris Health patients get extortion emails after cyberattack

Fri, 29 Dec 2023 06:00:00 GMT

Integris Health patients in Oklahoma are receiving blackmail emails stating that their data was stolen in a cyberattack on the healthcare network, and if they did not pay an extortion demand, the data would be sold to other threat actors.

Integris Health is Oklahoma's largest not-for-profit health network, operating hospitals, clinics, and urgent care throughout the state.

The healthcare network confirmed they suffered a cyberattack in November that led to the theft of patient data.

"INTEGRIS Health discovered potential unauthorized activity on certain systems," reads a data privacy notice on Integris Health's website.

"Upon becoming aware of the suspicious activity, INTEGRIS Health promptly took steps to secure the environment and commenced an investigation into the nature and scope of the activity."

"The investigation determined that certain files may have been accessed by an unauthorized party on November 28, 2023."

BleepingComputer has contacted Integris Health with questions about the attack but has not received a response.

Integris Health patients extorted

In extortion emails sent to patients on December 24th, the hackers claim they stole the personal data of over 2 million patients in the cyberattack on Integris Health.

This data allegedly includes Social Security Numbers, dates of birth, addresses, phone numbers, insurance information, and employer information.

BleepingComputer was told by patients of Integris Health that these emails contained accurate personal information, confirming that patient data was stolen in the attack.

"We have contacted Integris Health, but they refuse to resolve this issue," reads the extortion email sent to Integris patients.

"We give you the opportunity to remove your personal data from our databases before we sell the entire database to data brokers on Jan 5 2024."

The emails include a link to a Tor extortion site that currently lists the stolen data for approximately 4,674,000 people, including their names, Social Security Numbers, dates of birth, and information about hospital visits.

Tor dark web site selling personal data of patients
Source: BleepingComputer

The website contains data added between October 19th and December 24th, 2023, allowing visitors to pay $50 to delete the data record or $3 to view it.

BleepingComputer has determined that the website has approximately 4,674,000 data records. However, it is unclear if any are duplicates.

Integris Health is aware of the emails sent to patients and has updated its security notice to warn recipients not to respond, contact the sender, or click on any of the links in the email.

While it is not known who is behind the attack on Integris Health, similar emails were sent to Fred Hutchinson Cancer Center (Fred Hutch) patients after the Hunters International ransomware gang breached the hospital.

The Fred Hutch emails also allowed patients to visit a dark website and delete their data by paying $50, making it likely that the same ransomware attack is behind the attack on Integris Health.

As threat actors can use the exposed data to conduct identity theft, some patients may be tempted to pay to delete the data.

However, as previous extortion demands have shown, paying a ransom does not always lead to the actual deletion of data.

Furthermore, once you pay a ransom, the threat actors know you are concerned about the data and may attempt to extort you further.

Source: BleepingComputer

Bệnh nhân của Integris Health nhận được email tống tiền sau cuộc tấn công mạng

Fri, 29 Dec 2023 06:00:00 GMT

Các bệnh nhân của Integris Health ở Oklahoma đang nhận được email tống tiền cho biết dữ liệu của họ đã bị đánh cắp trong một cuộc tấn công mạng vào mạng lưới chăm sóc sức khỏe và nếu họ không trả tiền theo yêu cầu tống tiền, dữ liệu sẽ được bán cho các tác nhân đe dọa khác.

Integris Health là mạng lưới y tế phi lợi nhuận lớn nhất của Oklahoma, điều hành các bệnh viện, phòng khám và chăm sóc khẩn cấp trên toàn tiểu bang.

Mạng lưới chăm sóc sức khỏe xác nhận họ đã phải chịu một cuộc tấn công mạng vào tháng 11 dẫn đến việc đánh cắp dữ liệu bệnh nhân.

Thông báo về quyền riêng tư dữ liệu trên trang web của Integris Health cho biết: “INTEGRIS Health đã phát hiện ra hoạt động trái phép tiềm ẩn trên một số hệ thống nhất định”.

"Sau khi nhận thức được hoạt động đáng ngờ này, INTEGRIS Health đã nhanh chóng thực hiện các bước để bảo vệ môi trường và bắt đầu điều tra về bản chất và phạm vi của hoạt động."

"Cuộc điều tra xác định rằng một số tệp nhất định có thể đã bị một bên trái phép truy cập vào ngày 28 tháng 11 năm 2023."

BleepingComputer đã liên hệ với Integris Health để hỏi về cuộc tấn công nhưng chưa nhận được phản hồi.

Bệnh nhân Integris Health bị tống tiền

Trong email tống tiền gửi cho bệnh nhân vào ngày 24 tháng 12, tin tặc cho biết chúng đã đánh cắp dữ liệu cá nhân của hơn 2 triệu bệnh nhân trong cuộc tấn công mạng vào Integris Health.

Dữ liệu này được cho là bao gồm Số An sinh Xã hội, ngày sinh, địa chỉ, số điện thoại, thông tin bảo hiểm và thông tin về chủ lao động.

BleepingComputer được các bệnh nhân của Integris Health cho biết những email này chứa thông tin cá nhân chính xác, xác nhận rằng dữ liệu bệnh nhân đã bị đánh cắp trong cuộc tấn công.

“Chúng tôi đã liên hệ với Integris Health, nhưng họ từ chối giải quyết vấn đề này,” email tống tiền gửi cho bệnh nhân Integris viết.

"Chúng tôi sẽ cho bạn cơ hội xóa dữ liệu cá nhân của bạn khỏi cơ sở dữ liệu của chúng tôi trước khi chúng tôi bán toàn bộ cơ sở dữ liệu cho các nhà môi giới dữ liệu vào ngày 5 tháng 1 năm 2024." - theo email tống tiền.

Các email bao gồm liên kết đến trang web tống tiền Tor hiện liệt kê dữ liệu bị đánh cắp của khoảng 4.674.000 người, bao gồm tên, Số An sinh Xã hội, ngày sinh và thông tin về các lần đến bệnh viện.

Trang web đen Tor bán dữ liệu cá nhân của bệnh nhân

Nguồn: BleepingComputer

Trang web chứa dữ liệu được thêm vào từ ngày 19 tháng 10 đến ngày 24 tháng 12 năm 2023, cho phép khách truy cập trả 50 USD để xóa bản ghi dữ liệu hoặc 3 USD để xem bản ghi đó.

BleepingComputer đã xác định rằng trang web có khoảng 4.674.000 bản ghi dữ liệu. Tuy nhiên, không rõ liệu có bản sao hay không.

Integris Health đã biết về các email được gửi cho bệnh nhân và đã cập nhật thông báo bảo mật để cảnh báo người nhận không phản hồi, liên hệ với người gửi hoặc nhấp vào bất kỳ liên kết nào trong email.

Mặc dù không biết ai đứng sau vụ tấn công Integris Health, nhưng những email tương tự đã được gửi đến các bệnh nhân của Trung tâm Ung thư Fred Hutchinson (Fred Hutch) sau khi băng đảng ransomware Hunters International đột nhập bệnh viện.

Các email của Fred Hutch cũng cho phép bệnh nhân truy cập một trang web đen và xóa dữ liệu của họ bằng cách trả 50 USD, điều này có khả năng chính cuộc tấn công bằng ransomware này đứng sau vụ tấn công vào Integris Health.

Vì các tác nhân đe dọa có thể sử dụng dữ liệu bị lộ để tiến hành đánh cắp danh tính nên một số bệnh nhân có thể muốn trả tiền để xóa dữ liệu.

Tuy nhiên, như các yêu cầu tống tiền trước đây đã cho thấy, việc trả tiền chuộc không phải lúc nào cũng dẫn đến việc xóa dữ liệu thực sự.

Hơn nữa, sau khi người dùng trả tiền chuộc, kẻ đe dọa sẽ biết bạn lo ngại về dữ liệu và có thể cố gắng tống tiền thêm.

Nguồn: bleepingcomputer.com

GitHub cảnh báo người dùng kích hoạt 2FA trước thời hạn

Fri, 29 Dec 2023 06:00:00 GMT

GitHub đang cảnh báo người dùng rằng họ sẽ sớm bị hạn chế chức năng trên trang web nếu không kích hoạt xác thực hai yếu tố (2FA) trên tài khoản của mình.

Trong email gửi tới người dùng GitHub vào đêm Giáng sinh, GitHub đã cảnh báo rằng tất cả người dùng có mã trên GitHub.com phải kích hoạt 2FA trước ngày 19 tháng 1 năm 2024.

“Đây là lời nhắc nhở rằng chúng tôi đã thông báo để yêu cầu người dùng kích hoạt mã trên GitHub.com để kích hoạt xác thực hai yếu tố (2FA)”, theo email mà BleepingComputer thấy.

"Bạn nhận được thông báo này vì tài khoản của bạn đáp ứng tiêu chí này và sẽ được yêu cầu đăng ký 2FA trước 00:00 (UTC) ngày 19 tháng 1 năm 2024".

Cảnh báo tương tự này được hiển thị trên trang GitHub sau khi đăng nhập vào tài khoản của người dùng, như hiển thị bên dưới.

Github cảnh báo người dùng về yêu cầu 2FA sắp tới

Nguồn: BleepingComputer

Nếu người dùng viết hoặc quản lý mã trên GitHub, tài khoản sẽ được bảo vệ. GitHub đưa ra quyết định này nhằm bảo vệ tài khoản khỏi bị xâm phạm và thay đổi mã trong các cuộc tấn công chuỗi cung ứng.

Tuy nhiên, thay đổi này chỉ dành cho GitHub.com, không dành cho tài khoản doanh nghiệp hoặc doanh nghiệp.

Nếu chưa thiết lập 2FA trước thời hạn, người dùng sẽ thấy quyền truy cập vào GitHub của mình bị hạn chế. Nhưng đừng lo, GitHub có hướng dẫn giúp người dùng cấu hình dễ dàng.

"Vào lúc 00:00 (UTC) ngày 19 tháng 1 năm 2024, tài khoản của bạn sẽ được yêu cầu có 2FA để xác thực. Nếu bạn chưa đăng ký trước ngày đó, khả năng truy cập GitHub.com của bạn sẽ bị hạn chế cho đến khi bạn hoàn tất quá trình đăng ký ", GitHub lưu ý trong một email gửi tới người dùng.

Sau thời hạn ngày 19 tháng 1, những người dùng cố gắng truy cập GitHub.com mà không có 2FA sẽ tự động được hướng dẫn để hoàn tất quá trình thiết lập.

Ngay cả sau khi 2FA trở thành bắt buộc, mọi Mã thông báo truy cập cá nhân, khóa SSH và ứng dụng đã định cấu hình sẽ vẫn hoạt động. Tuy nhiên, nếu bạn muốn tạo cái mới hoặc thay đổi cài đặt tài khoản của mình, bạn phải bật 2FA trên tài khoản.

Cách thiết lập 2FA trên Github

GitHub cung cấp nhiều phương pháp khác nhau để kích hoạt 2FA, đáp ứng sở thích của người dùng về việc sử dụng khóa bảo mật, GitHub Mobile, ứng dụng xác thực (TOTP) và tin nhắn văn bản SMS.

Để đảm bảo quyền truy cập liên tục, nên kích hoạt ít nhất hai trong số các phương pháp này. Người dùng có thể quản lý cài đặt 2FA của mình và khám phá các phương pháp bổ sung trong cài đặt bảo mật trên GitHub.

Màn hình thiết lập Github 2FA

Nguồn: BleepingComputer

Nếu người dùng đã bật 2FA trước ngày 19 tháng 1 năm 2024 thì bạn đã hoàn tất. Sau ngày đó, người dùng không thể tắt 2FA nhưng có thể thay đổi các phương thức xác minh đã định cấu hình của mình.

Hình ảnh đã bật Github 2FA bằng Xác thực SMS

Nguồn: BleepingComputer

Trong email của mình, GitHub gợi ý nên có nhiều hơn một phương pháp 2FA, vì nó cảnh báo rằng “có thể không khôi phục được quyền truy cập vào các tài khoản đã bật 2FA nếu bạn mất thông tin xác thực 2FA của mình”.

Nếu người dùng mất tất cả các tùy chọn 2FA, cách duy nhất để quay lại tài khoản của bạn là sử dụng mã khôi phục.

Nguồn: bleepingcomputer.com

Google Chrome now scans for compromised passwords in the background

Thu, 28 Dec 2023 06:00:00 GMT

Google says the Chrome Safety Check feature will work in the background to check if passwords saved in the web browser have been compromised.

Chrome will also alert desktop users if they're using extensions flagged as dangerous (taken down from the Chrome Web Store), the latest Chrome version, or if Safe Browsing is enabled to block websites on Google's list of potentially unsafe sites.

"Safety Check for Chrome on desktop will now run automatically in the background," said Chrome Group Product Manager Sabine Borsay. "These alerts will appear in the three-dot menu in Chrome so you can take action."

Additionally, Google will broaden Safety Check's functionality to automatically revoke permissions, such as access to the users' location or microphone, for websites that haven't been visited for a long time.

Safety Check is also being upgraded to flag less-engaged sites showing excessive numbers of notifications and allow users to quickly disable them.

Unveiled in December 2020, Safety Check compares login credentials against those exposed in data leaks. It also checks for weak and easy-to-guess passwords that expose users to brute-force attacks or password-cracking attempts.

Chrome Safety Check updates (Google)

Over the coming weeks, Google will also introduce a new Chrome feature enabling desktop users to save tab groups and resume browsing on other desktop devices.

Chrome performance controls like Memory Saver mode are also getting upgraded with more info on how they make the browser run smoother.

"We recently added more details about your tabs' memory usage when you hover over them in Memory Saver mode, including the potential memory saved when they go inactive. And we've made it easier to specify sites that should always remain active," Borsay said.

Google further enhanced Chrome users' internet security by automatically upgrading all insecure HTTP requests to HTTPS requests.

A limited rollout of this feature began in July, but as of October 2023, it has now been rolled out to all users in the Stable channel.

The company also announced in September that the Safe Browsing feature has enabled real-time phishing protection for all users using a locally stored list of URLs known to be malicious.

Source: bleepingcomputer.com

Google Chrome quét các mật khẩu bị xâm phạm trong background

Thu, 28 Dec 2023 06:00:00 GMT

Google cho biết tính năng Kiểm tra an toàn của Chrome sẽ hoạt động ở chế độ background để kiểm tra xem mật khẩu lưu trong trình duyệt web có bị xâm phạm hay không.

Chrome cũng sẽ cảnh báo người dùng máy tính để bàn nếu họ đang sử dụng các tiện ích mở rộng bị gắn cờ (flag) là nguy hiểm (gỡ xuống từ Cửa hàng Chrome trực tuyến - Chrome Web Store), phiên bản Chrome mới nhất hoặc nếu Duyệt web an toàn được bật để chặn các trang web trong danh sách các trang web có thể không an toàn của Google.

Sabine Borsay, Giám đốc phát triển sản phẩm của Tập đoàn Chrome cho biết: “Giờ đây việc kiểm tra an toàn (Safety Check) cho Chrome trên máy tính để bàn sẽ tự động chạy ở chế độ background”. "Những cảnh báo này sẽ xuất hiện trong menu ba chấm trong Chrome để bạn có thể thực hiện hành động."

Ngoài ra, Google sẽ mở rộng chức năng của Kiểm tra an toàn (Safety Check) để tự động thu hồi các quyền, chẳng hạn như quyền truy cập vào vị trí hoặc micrô của người dùng, đối với các trang web chưa được truy cập trong một thời gian dài.

Tính năng Kiểm tra an toàn (Safety Check) cũng đang được nâng cấp để gắn cờ (flag) các trang web ít tương tác hiển thị quá nhiều thông báo và cho phép người dùng nhanh chóng vô hiệu hóa chúng.

Ra mắt vào tháng 12 năm 2020, Kiểm tra an toàn (Safety Check) so sánh thông tin đăng nhập với thông tin đăng nhập bị lộ trong vụ rò rỉ dữ liệu. Tính năng này cũng kiểm tra các mật khẩu yếu và dễ đoán khiến người dùng có thể gặp phải các cuộc tấn công bạo lực hoặc việc cố gắng bẻ khóa mật khẩu.

Cập nhật tính năng Kiểm tra an toàn - Safety Check của Chrome (Google)

Trong những tuần tới, Google cũng sẽ giới thiệu tính năng Chrome mới cho phép người dùng máy tính để bàn lưu các nhóm tab và tiếp tục duyệt web trên các thiết bị máy tính để bàn khác.

Các biện pháp kiểm soát hiệu suất của Chrome như chế độ Tiết kiệm bộ nhớ cũng đang được nâng cấp với nhiều thông tin hơn về cách giúp trình duyệt chạy mượt mà hơn.

"Gần đây, chúng tôi đã bổ sung thêm thông tin chi tiết về mức sử dụng bộ nhớ của các tab khi bạn di chuột qua chúng ở chế độ Tiết kiệm bộ nhớ, bao gồm cả bộ nhớ tiềm năng được lưu khi chúng không hoạt động. Và chúng tôi đã giúp việc chỉ định các trang web luôn hoạt động trở nên dễ dàng hơn", Borsay nói.

Google đã nâng cao khả năng bảo mật Internet của người dùng Chrome bằng cách tự động nâng cấp tất cả các yêu cầu HTTP không an toàn lên yêu cầu HTTPS.

Việc triển khai có giới hạn tính năng này đã bắt đầu vào tháng 7, nhưng tính đến tháng 10 năm 2023, tính năng này hiện đã được triển khai cho tất cả người dùng trong kênh Stable.

Google cũng đã thông báo vào tháng 9 rằng tính năng Duyệt web an toàn đã kích hoạt tính năng bảo vệ lừa đảo theo thời gian thực cho tất cả người dùng bằng cách sử dụng danh sách URL được lưu trữ cục bộ được xác định là độc hại.

Nguồn: bleepingcomputer.com

Crypto scammers abuse Twitter ‘feature’ to impersonate high-profile accounts

Wed, 27 Dec 2023 06:00:00 GMT

Cryptocurrency scammers are abusing a legitimate Twitter "feature" to promote scams, fake giveaways, and fraudulent Telegram channels used to steal your crypto and NFTs.

On X, formerly and more widely known as Twitter, a post's URL consists of the account name of the person who tweeted it and a status ID, as shown below.

https://twitter.com/[account_name]/status/[status_id]

The website uses the status ID to determine what post should be loaded from the site's database, not bothering to check if the account name is valid.

This allows you to take an URL for a Tweet and modify the account name to whatever you want, even high-profile accounts. When visiting the URL, the website simply redirects you to the correct URL associated with the ID.

For example, https://twitter.com/BleepinComputer/status/1736650221243826564 looks like a legitimate post from our @bleepincomputer X account. However, clicking on it takes you to a post from Elon Musk, as the ID is associated with one of his tweets.

BleepingComputer previously reported on this feature in 2019, when security researcher Davy Wybiral expressed concerns that the feature could be used for phishing. However, at that time, it was not abused in phishing attacks.

Crypto scams abusing "feature"

Security researcher MalwareHunterTeam has told BleepingComputer that scammers have begun using this redirect mechanism for the past two weeks if not longer, to create URLs that look like they belong to legitimate, well-known organizations.

All of the impersonated organizations seen by BleepingComputer are crypto-related accounts, such as Binance (11 million followers), the Ethereum Foundation (3 million), zkSync (1.3 million), and Chainlink (1 million).

Example X redirect crypto scams
Source: BleepingComputer

While the above look like tweets from Binance, Ethereum, and zkSync, they instead redirected to an unrelated X user's tweets promoting crypto scams. BleepingComputer observed tweets promoting fake crypto giveaways, websites that utilize wallet drainers, and Discord channels promoting pump-and-dumps.

The fake zkSync tweet led to a page impersonating the company and promoting a website that the X community says is a crypto drainer, meaning that when you connect your wallet, it automatically steals all crypto assets and NFTs.

Crypto scam on X
Source: BleepingComputer

Almost all accounts seen by BleepingComputer abusing this feature to promote crypto scam posts use an account name in the format of name+5 digits, such as @amanda_car16095.

It is possible to filter out some of these tweets by enabling the Quality Filter under Settings > Notifications > Filters . However, you run the risk of tweets you wish to see being filtered incorrectly.

X Quality Filter
Source: BleepingComputer

Most users should immediately be able to spot a scam tweet by seeing that the account is different than what was in the URL. However, some, like the zkSync URL, may be missed as the scammer created an account with the company in their user name.

Furthermore, opening these links on mobile can be a bit more confusing, as the app does not show an address bar, and you simply see the post. For many, it could be perceived that a company like Binance promoted it, making it appear more legitimate.

As this redirect is a standard feature of Twitter, we will likely not see it changed to make it more secure. That means if you click on an X link, you should take a quick look at your address bar (if available) to ensure you are visiting that person's tweet and have not been redirected.

Source: bleepingcomputer.com

Những kẻ lừa đảo tiền điện tử lạm dụng ‘feature’ Twitter để mạo danh các tài khoản cao cấp

Wed, 27 Dec 2023 06:00:00 GMT

Những kẻ lừa đảo tiền điện tử đang lạm dụng một "feature" hợp pháp của Twitter để quảng cáo các trò lừa đảo, quà tặng giả mạo và các kênh Telegram lừa đảo được sử dụng để đánh cắp tiền điện tử và NFT của người dùng.

https://twitter.com/[account_name]/status/[status_id]

Trên X, trước đây và được biết đến rộng rãi hơn là Twitter, URL của bài đăng bao gồm tên tài khoản của người đã đăng bài đăng đó và trạng thái ID, như hiển thị bên dưới.

https://twitter.com/[account_name]/status/[status_id]

Trang web sử dụng trạng thái ID để xác định bài đăng nào sẽ được tải từ cơ sở dữ liệu của trang, không cần kiểm tra xem tên tài khoản có hợp lệ hay không.

Điều này cho phép bạn lấy URL cho Tweet và sửa đổi tên tài khoản thành bất kỳ tên nào bạn muốn, ngay cả những tài khoản có cấu hình cao. Khi truy cập URL, trang web chỉ cần chuyển hướng bạn đến URL chính xác được liên kết với ID.

Ví dụ: https://twitter.com/BleepinComputer/status/1736650221243826564 trông giống như một bài đăng hợp pháp từ tài khoản @bleepincomputer X của chúng tôi. Tuy nhiên, nhấp vào nó sẽ dẫn bạn đến một bài đăng của Elon Musk vì ID được liên kết với một trong những dòng tweet của anh ấy.

BleepingComputer trước đây đã báo cáo về tính năng này vào năm 2019, khi nhà nghiên cứu bảo mật Davy Wybiral bày tỏ lo ngại rằng tính năng này có thể được sử dụng để lừa đảo. Tuy nhiên, vào thời điểm đó, nó không bị lạm dụng trong các cuộc tấn công lừa đảo.

Lừa đảo tiền điện tử lạm dụng "feature"

Nhà nghiên cứu bảo mật MalwareHunterTeam đã nói với BleepingComputer những kẻ lừa đảo đã bắt đầu sử dụng cơ chế chuyển hướng này trong hai tuần qua, nếu không muốn nói là lâu hơn, để tạo các URL trông giống như chúng thuộc về các tổ chức hợp pháp, nổi tiếng.

Tất cả các tổ chức mạo danh mà BleepingComputer biết đều là các tài khoản liên quan đến tiền điện tử, chẳng hạn như Binance (11 triệu người theo dõi), Ethereum Foundation (3 triệu), zkSync (1,3 triệu) và Chainlink (1 triệu).

Ví dụ X chuyển hướng lừa đảo tiền điện tử

Nguồn: BleepingComputer

Mặc dù những dòng ở trên trông giống như các dòng tweet từ Binance, Ethereum và zkSync, nhưng thay vào đó, chúng chuyển hướng đến các dòng tweet của một người dùng X không liên quan nhằm quảng bá các trò lừa đảo tiền điện tử. BleepingComputer đã quan sát các tweet quảng cáo quà tặng tiền điện tử giả, các trang web sử dụng công cụ rút ví và các kênh Discord quảng bá hoạt động pump-and-dumps (bơm và xả).

Dòng tweet zkSync giả mạo đã dẫn đến một trang mạo danh công ty và quảng cáo một trang web mà cộng đồng X cho rằng là một công cụ hút tiền điện tử, nghĩa là khi bạn kết nối ví của mình, nó sẽ tự động đánh cắp tất cả tài sản tiền điện tử và NFT.

Lừa đảo tiền điện tử trên X

Nguồn: BleepingComputer

Hầu hết tất cả các tài khoản mà BleepingComputer phát hiện đang lạm dụng tính năng này để quảng cáo các bài đăng lừa đảo tiền điện tử đều sử dụng tên tài khoản ở định dạng tên + 5 chữ số, chẳng hạn như @amanda_car16095.

Có thể lọc một số tweet này bằng cách bật Bộ lọc chất lượng (Quality Filter) trong Cài đặt (Settings) > Thông báo (Notifications) > Bộ lọc (Filters) . Tuy nhiên, việc này sẽ dẫn đến nguy cơ các tweet bạn muốn xem bị lọc không chính xác.

Bộ lọc chất lượng X

Nguồn: BleepingComputer

Hầu hết người dùng sẽ có thể phát hiện ngay một tweet lừa đảo bằng cách thấy rằng tài khoản đó khác với tài khoản trong URL. Tuy nhiên, một số trong đó, chẳng hạn như URL zkSync, có thể bị bỏ sót do kẻ lừa đảo đã tạo tài khoản với công ty bằng tên người dùng của họ.

Hơn nữa, việc mở các liên kết này trên thiết bị di động có thể khó hiểu hơn một chút vì ứng dụng không hiển thị thanh địa chỉ và bạn chỉ nhìn thấy bài đăng. Đối với nhiều người, có thể cho rằng một công ty như Binance đã quảng bá nó, khiến nó có vẻ hợp pháp hơn.

Vì chuyển hướng này là một tính năng tiêu chuẩn của Twitter nên chúng tôi có thể sẽ không thấy nó được thay đổi để đảm bảo an toàn hơn. Điều đó có nghĩa là nếu bạn nhấp vào liên kết X, bạn nên xem nhanh thanh địa chỉ của mình (nếu có) để đảm bảo bạn đang truy cập tweet của người đó và không bị chuyển hướng.

Nguồn: bleepingcomputer.com

Healthcare software provider data breach impacts 2.7 million

Tue, 26 Dec 2023 06:00:00 GMT

ESO Solutions, a provider of software products for healthcare organizations and fire departments, disclosed that data belonging to 2.7 million patients has been compromised as a result of a ransomware attack.

According to the notification, the intrusion occurred on September 28 and resulted in data being exfiltrated before the hackers encrypted a number of company systems.

During the investigation of the incident, ESO Solutions discovered that the attackers accessed one machine that contained sensitive personal data.

On October 23, the company determined that the data breach caused by the ransomware attack impacted patients associated with its customers, including hospitals and clinics in the U.S. The type of data exposed includes the following:

Full name
Dates of birth
Phone number
Patient account/medical record number
Injury type and date
Diagnosis information
Treatment type and date
Procedure information
Social Security Number (SSN)

The exact types of data exposed vary per individual, depending on the details the patients provided to the healthcare organizations using ESO’s software and the care services they received.

The software vendor has informed the FBI and state authorities of the incident. All impacted customers were notified on December 12, and some of the affected hospitals started sending notices of a breach to their patients in the days that followed.

“At this time, we do not have evidence that your information has been misused,” reads the notification to impacted patients.

To mitigate the risk of the data breach, ESO offers 12 months of identity monitoring service coverage through Kroll to all notice recipients.

As of writing, the following healthcare providers are confirmed as impacted by the ransomware attack at ESO:

Mississippi Baptist Medical Center
Community Health Systems Merit Health Biloxi
Merit Health River Oaks
ESO EMS Agency
Forrest Health Forrest General Hospital
HCA Healthcare Alaska Regional Hospital
Memorial Hospital at Gulfport Health System
Providence St Joseph Health (Providence Kodiak Island Medical Center)
Providence Alaska Medical Center
Universal Health Services (UHS) Manatee Memorial Hospital
Desert View Hospital
Ascension Providence Hospital in Waco
Tallahassee Memorial
Manatee Memorial Hospital
CaroMont Health

From what BleepingComputer could find, no ransomware have taken responsibility for the ESO attack.

Unfortunately, these supply-chain breaches have become all too common in the healthcare space, impacting patient data safety and threatening the operational and financial stability of medical institutions.

Source:bleepingcomputer.com

Vụ tấn công dữ liệu của nhà cung cấp phần mềm chăm sóc sức khỏe ảnh hưởng đến 2,7 triệu bệnh nhân

Tue, 26 Dec 2023 06:00:00 GMT

ESO Solutions, nhà cung cấp sản phẩm phần mềm cho các tổ chức chăm sóc sức khỏe và sở cứu hỏa, tiết lộ rằng dữ liệu của 2,7 triệu bệnh nhân đã bị xâm phạm do một cuộc tấn công bằng ransomware.

Theo thông báo, vụ xâm nhập xảy ra vào ngày 28 tháng 9 và khiến dữ liệu bị lấy cắp trước khi tin tặc mã hóa một số hệ thống của công ty.

Trong quá trình điều tra vụ việc, ESO Solutions phát hiện ra rằng những kẻ tấn công đã truy cập vào một máy chứa dữ liệu cá nhân nhạy cảm.

Vào ngày 23 tháng 10, ESO xác định rằng vụ vi phạm dữ liệu do cuộc tấn công bằng ransomware gây ra đã ảnh hưởng đến các bệnh nhân có liên quan đến khách hàng của họ, bao gồm cả các bệnh viện và phòng khám ở Hoa Kỳ. Dữ liệu bị lộ bao gồm:

Họ và tên
Ngày sinh
Số điện thoại
Tài khoản bệnh nhân/số hồ sơ bệnh án
Ngày và loại chấn thương
Thông tin chẩn đoán
Ngày và loại điều trị
Thông tin thủ tục
Số An Sinh Xã Hội (SSN)

Dữ liệu được cung cấp khác nhau tùy theo từng cá nhân, tùy thuộc vào thông tin chi tiết mà bệnh nhân cung cấp cho các tổ chức chăm sóc sức khỏe bằng phần mềm của ESO và các dịch vụ chăm sóc mà họ nhận được.

Nhà cung cấp phần mềm đã thông báo cho FBI và chính quyền tiểu bang về vụ việc. Tất cả khách hàng bị ảnh hưởng đều được thông báo vào ngày 12 tháng 12 và một số bệnh viện bị ảnh hưởng bắt đầu gửi thông báo về hành vi vi phạm cho bệnh nhân của họ trong những ngày sau đó.

“Tại thời điểm này, chúng tôi không có bằng chứng cho thấy thông tin của bạn đã bị đánh cắp,” theo thông báo cho các bệnh nhân bị ảnh hưởng.

Để giảm thiểu rủi ro vi phạm dữ liệu, ESO cung cấp dịch vụ giám sát danh tính trong 12 tháng thông qua Kroll cho tất cả những người nhận thông báo.

Theo bài viết các nhà cung cấp dịch vụ chăm sóc sức khỏe sau đây được xác nhận là bị ảnh hưởng bởi cuộc tấn công bằng ransomware tại ESO:

Trung tâm y tế Baptist Mississippi
Hệ thống Y tế Cộng đồng Merit Health Biloxi
Merit Health River Oaks
Đại lý ESO EMS
Bệnh viện đa khoa Forrest Health
Bệnh viện khu vực Alaska chăm sóc sức khỏe HCA
Bệnh viện Memorial tại Hệ thống Y tế Gulfport
Providence St Joseph Health (Trung tâm y tế đảo Providence Kodiak)
Trung tâm y tế Providence Alaska
Dịch vụ Y tế Toàn cầu (UHS) Bệnh viện Manatee Memorial
Bệnh viện Desert View
Bệnh viện Ascension Providence ở Waco
Đài tưởng niệm Tallahassee
BManatee Memorial Hospital
CaroMont Health

Từ những thông tin mà BleepingComputer biết, hiện không có nhóm ransomware nào chịu trách nhiệm về vụ tấn công ESO.

Thật không may, những vi phạm chuỗi cung ứng này đã trở nên quá phổ biến trong lĩnh vực chăm sóc sức khỏe, ảnh hưởng đến an toàn dữ liệu của bệnh nhân và đe dọa sự ổn định hoạt động và tài chính của các tổ chức y tế.

Nguồn: bleepingcomputer.com

New phishing attack steals your Instagram backup codes to bypass 2FA

Tue, 26 Dec 2023 00:00:00 GMT

A new phishing campaign pretending to be a 'copyright infringement' email attempts to steal the backup codes of Instagram users, allowing hackers to bypass the two-factor authentication configured on the account.

Two-factor authentication is a security feature that requires users to enter an additional form of verification when logging into the account. This verification is usually in the form of one-time passcodes sent via SMS text message, codes from an authentication app, or through hardware security keys.

Using 2FA helps protect your accounts if your credentials are stolen or purchased from a cybercrime marketplace, as the threat actor would need access to your mobile device or email to log into your protected account.

When configuring two-factor authentication on Instagram, the site will also provide eight-digit backup codes that can be used to regain access to accounts if you cannot verify your account using 2FA. This could happen for multiple reasons, such as switching your mobile number, losing your phone, and losing access to your email account.

However, backup codes come with some risk, as if a threat actor can steal those codes, they can hijack Instagram accounts using unrecognized devices simply by knowing the target's credentials, which can be stolen through phishing or found in unrelated data breaches.

Copyright infringement phishing messages claim the recipient has posted something that violates intellectual property protection laws, and hence, their account has been restricted.

Recipients of these messages are urged to click a button to appeal the decision, which redirects them to phishing pages where they enter their account credentials and other details.

The same theme has been used several times, including against Facebook users, and has facilitated infection chains for the LockBit ransomware and the BazaLoader malware, among others.

New Instagram phishing campaign

The latest variant of these attacks was spotted by Trustwave analysts, who report that the increasing adoption rate of 2FA protection pushes phishing actors to broaden their targeting scope.

The latest phishing emails impersonate Meta, Instagram's parent company, warning that Instagram users received copyright infringement complaints. The email then prompts the user to fill out an appeal form to resolve the issue.

Phishing email (Trustwave)

Clicking the button takes the target to a phishing site impersonating Meta's actual violations portal, where the victim clicks a second button labeled "Go to Confirmation Form (Confirm My Account)."

The second button redirects to another phishing page designed to appear as Meta's "Appeal Center" portal, where the victims are requested to enter their username and password (twice).

After siphoning these details, the phishing site asks the target if their account is protected by 2FA and, upon confirmation, requests the 8-digit backup code.

Phishing the account's backup codes (Trustwave)

Despite the campaign being characterized by multiple signs of fraud, like the sender's address, the redirection page, and phishing page URLs, the convincing design and sense of urgency could still trick a significant percentage of targets into giving away their account credentials and backup codes.

Backup codes are meant to be kept private and stored securely. Account holders should treat them with the same level of secrecy as their passwords and refrain from entering them anywhere unless necessary for accessing their accounts.

If you still have access to your 2FA codes/keys, there's never a reason to enter your backup codes anywhere other than within the Instagram website or app.

Source: bleepingcomputer.com

Cuộc tấn công lừa đảo mới đánh cắp mã dự phòng Instagram của người dùng để bỏ qua 2FA (xác thực hai yếu tố)

Mon, 25 Dec 2023 06:00:01 GMT

Một chiến dịch lừa đảo mới giả danh email 'vi phạm bản quyền' nhằm đánh cắp mã dự phòng của người dùng Instagram, cho phép tin tặc bỏ qua xác thực hai yếu tố được định cấu hình trên tài khoản.

Xác thực hai yếu tố là tính năng bảo mật yêu cầu người dùng nhập thêm hình thức xác minh khi đăng nhập vào tài khoản. Việc xác minh này thường ở dạng mật mã một lần được gửi qua tin nhắn văn bản SMS, mã từ ứng dụng xác thực hoặc thông qua khóa bảo mật phần cứng.

Sử dụng 2FA giúp bảo vệ tài khoản của bạn nếu thông tin đăng nhập của bạn bị đánh cắp hoặc mua từ thị trường tội phạm mạng, vì tác nhân đe dọa sẽ cần quyền truy cập vào thiết bị di động hoặc email của bạn để đăng nhập vào tài khoản được bảo vệ của bạn.

Khi định cấu hình xác thực hai yếu tố trên Instagram, trang web cũng sẽ cung cấp mã dự phòng gồm 8 chữ số có thể được sử dụng để lấy lại quyền truy cập vào tài khoản nếu bạn không thể xác minh tài khoản của mình bằng 2FA. Điều này có thể xảy ra vì nhiều lý do, chẳng hạn như chuyển số điện thoại di động, mất điện thoại và mất quyền truy cập vào tài khoản email của bạn.

Tuy nhiên, mã dự phòng có một số rủi ro, vì nếu kẻ đe dọa có thể đánh cắp các mã đó, chúng có thể chiếm đoạt tài khoản Instagram bằng các thiết bị không được nhận dạng chỉ bằng cách biết thông tin xác thực của mục tiêu. Thông tin này có thể bị đánh cắp thông qua lừa đảo hoặc được tìm thấy trong các vụ vi phạm dữ liệu không liên quan.

Tin nhắn lừa đảo vi phạm bản quyền đã khiến người nhận đăng nội dung nào đó vi phạm luật bảo vệ sở hữu trí tuệ và do đó, tài khoản của họ đã bị hạn chế.

Người dùng khi nhận những tin nhắn này được khuyến khích nhấp vào nút để khiếu nại quyết định, quyết định này sẽ chuyển hướng họ đến các trang lừa đảo nơi họ nhập thông tin xác thực tài khoản và các thông tin khác.

Nội dung tương tự đã được sử dụng nhiều lần, bao gồm cả đối tượng người dùng Facebook và đã tạo điều kiện thuận lợi cho chuỗi lây nhiễm của phần mềm ransomware LockBit và phần mềm độc hại BazaLoader, cùng nhiều phần mềm khác.

Chiến dịch lừa đảo mới trên Instagram

Biến thể mới nhất của các cuộc tấn công này đã được các nhà phân tích của Trustwave phát hiện. Họ cho biết tỷ lệ áp dụng biện pháp bảo vệ 2FA ngày càng tăng đã thúc đẩy những kẻ lừa đảo mở rộng phạm vi tấn công của chúng.

Các email lừa đảo mới nhất mạo danh Meta, công ty mẹ của Instagram, cảnh báo rằng người dùng Instagram đã nhận được khiếu nại vi phạm bản quyền. Sau đó, email sẽ nhắc người dùng điền vào biểu mẫu khiếu nại để giải quyết vấn đề.

Email lừa đảo (Trustwave)

Việc nhấp vào nút sẽ đưa nạn nhân đến một trang web lừa đảo mạo danh cổng vi phạm thực tế của Meta, nơi nạn nhân nhấp vào nút thứ hai có nhãn "Chuyển đến Biểu mẫu xác nhận (Xác nhận tài khoản của tôi)".

Nút thứ hai chuyển hướng đến một trang lừa đảo khác được thiết kế để xuất hiện dưới dạng cổng "Trung tâm khiếu nại" của Meta, nơi nạn nhân được yêu cầu nhập tên người dùng và mật khẩu của họ (hai lần).

Sau khi lấy những thông tin chi tiết này, trang lừa đảo sẽ hỏi mục tiêu xem tài khoản của họ có được bảo vệ bởi 2FA hay không và sau khi xác nhận, sẽ yêu cầu mã dự phòng gồm 8 chữ số.

Lừa đảo mã dự phòng của tài khoản (Trustwave)

Mặc dù chiến dịch có nhiều dấu hiệu lừa đảo, như địa chỉ người gửi, trang chuyển hướng và URL của trang lừa đảo, nhưng với thiết kế thuyết phục và tạo cảm giác cấp bách nên vẫn có thể lừa một tỷ lệ đáng kể nạn nhân cung cấp thông tin xác thực tài khoản và mã dự phòng của họ.

Mã dự phòng có nghĩa là được giữ riêng tư và được lưu trữ an toàn. Chủ tài khoản nên quản lý ở mức độ bí mật tương tự như mật khẩu của họ và không nhập chúng vào bất cứ đâu trừ khi cần thiết để truy cập vào tài khoản của họ.

Nếu bạn vẫn có quyền truy cập vào mã/khóa 2FA của mình thì không bao giờ có lý do để nhập mã dự phòng của bạn ở bất kỳ nơi nào khác ngoài trang web hoặc ứng dụng Instagram.

Nguồn: bleepingcomputer.com

New Web injections campaign steals banking data from 50,000 people

Mon, 25 Dec 2023 00:00:00 GMT

A new malware campaign that emerged in March 2023 used JavaScript web injections to try to steal the banking data of over 50,000 users of 40 banks in North America, South America, Europe, and Japan.

IBM's security team discovered this evasive threat and reported that the campaign has been under preparation since at least December 2022, when the malicious domains were purchased.

The attacks unfolded via scripts loaded from the attacker's server, targeting a specific page structure common across many banks to intercept user credentials and one-time passwords (OTPs).

By capturing the above information, the attackers can log in to the victim's banking account, lock them out by changing security settings, and perform unauthorized transactions.

A stealthy attack chain

The attack begins with the initial malware infection of the victim's device. IBM's report doesn't delve into the specifics of this stage, but it could be via malvertizing, phishing, etc.

Once the victim visits the attackers' compromised or malicious sites, the malware injects a new script tag with a source ('src') attribute pointing to an externally hosted script.

The malicious obfuscated script is loaded on the victim's browser to modify webpage content, capture login credentials, and intercept one-time passcodes (OTP).

IBM says this extra step is unusual, as most malware performs web injections directly on the web page.

This new approach makes the attacks more stealthy, as static analysis checks are unlikely to flag the simpler loader script as malicious while still permitting dynamic content delivery, allowing attackers to switch to new second-stage payloads if needed.

It's also worth noting that the malicious script resembles legitimate JavaScript content delivery networks (CDN), using domains like cdnjs[.]com and unpkg[.]com, to evade detection. Furthermore, the script performs checks for specific security products before execution.

Security products check (IBM)

The script is dynamic, constantly adjusting its behavior to the command and control server's instructions, sending updates, and receiving specific responses that guide its activity on the breached device.

It has multiple operational states determined by a "mlink" flag set by the server, including injecting prompts for phone numbers or OTP tokens, displaying error messages, or simulating page loading, all part of its data-stealing strategy.

Fake error message giving attackers time to use stolen data (IBM)

IBM says nine " mlink" variable values can be combined to order the script to perform specific, distinct data exfiltration actions, so a diverse set of commands is supported.

Page designed to steal OTPs (IBM)

The researchers have found loose connections between this new campaign and DanaBot, a modular banking trojan that has been circulated in the wild since 2018 and was recently seen spreading via Google Search malvertising promoting fake Cisco Webex installers.

According to IBM, the campaign is still underway, so heightened vigilance is advised when using online banking portals and apps.

Source: bleepingcomputer.com

FBI: ALPHV ransomware raked in $300 million from over 1,000 victims

Fri, 22 Dec 2023 06:00:00 GMT

The ALPHV/BlackCat ransomware gang has made over $300 million in ransom payments from more than 1,000 victims worldwide as of September 2023, according to the Federal Bureau of Investigation (FBI).

"ALPHV Blackcat affiliates have extensive networks and experience with ransomware and data extortion operations," the FBI says.

"According to the FBI, as of September 2023, ALPHV Blackcat affiliates have compromised over 1000 entities—nearly 75 percent of which are in the United States and approximately 250 outside the United States—, demanded over $500 million, and received nearly $300 million in ransom payments."

In the joint advisory published on December 19, in collaboration with CISA, the FBI also shared mitigation measures to help network defenders and critical infrastructure organizations reduce the impact and risks associated with this ransomware group's attacks.

The two agencies also provided ALPHV IOCs (indicators of compromise) and TTPs (tactics, techniques, and procedures) identified by the FBI as recently as December 6.

Network defenders are strongly encouraged to prioritize patching vulnerabilities exploited in the wild and to enforce multifactor authentication (MFA) with strong passwords across all services, especially for webmail, VPN, and accounts linked to critical systems.

Furthermore, they should regularly update and patch software to the latest versions and focus on vulnerability assessments as integral components of standard security protocols.

BlackCat/ALPHV surfaced more than two years ago, in November 2021, and is suspected to be a rebrand of the notorious DarkSide and BlackMatter ransomware operation.

Originally known as DarkSide, this group gained worldwide notoriety following its attack on Colonial Pipeline, leading to extensive investigations by law enforcement agencies.

The FBI previously linked this ransomware gang to over 60 breaches impacting organizations worldwide in the first four months of activity, from November 2021 through March 2022.

FBI disrupts Blackcat, develops decryption tool

On December 7, BleepingComputer first reported that ALPHV dark web sites, including the gang's Tor negotiation and data leak websites, suddenly stopped working.

On December 19, the Department of Justice confirmed our reporting, saying that the FBI breached the ALPHV ransomware operation's servers, successfully monitoring their activities and obtaining decryption keys.

To access ALPHV's backend affiliate panel, the FBI engaged with a confidential human source (CHS) who was provided with login credentials as an affiliate after an interview with the ransomware operators.

ALPHV BlackCat seizure banner (BleepingComputer)

The FBI silently monitored the ALPHV's operations for months while collecting decryption keys, which allowed them to help over 500 victims worldwide recover their files for free, saving around $68 million in ransom demands. However, it's unclear how the private decryption keys were obtained since they wouldn't have been available using an affiliate's backend credentials.

One likely theory, although not yet confirmed, is that the FBI exploited vulnerabilities that allowed dumping the database or gaining further access to the ransomware gang's server.

The FBI also seized the domain for the ransomware operation's data leak site, adding a banner explaining that the seizure was the result of an international law enforcement operation. However, hours later, ALPHV "unseized" their data leak site, claiming that the FBI gained access to a data center hosting the gang's servers. ALPHV also claims in the message posted on their leak site that they've breached at least 3,400 victims.

Since both ALPHV and the FBI currently have the data leak site's private keys, they can take control of the domain from each other.

This situation has been seen as an early holiday gift of sorts by other cybercrime groups, with the LockBit ransomware gang, for instance, asking ALPHV affiliates to switch teams to continue negotiations with victims.

Source: BleepingComputer

FBI cho biết: Mã độc tống tiền ALPHV đã kiếm được 300 triệu USD từ hơn 1.000 nạn nhân

Fri, 22 Dec 2023 06:00:00 GMT

Theo Cục Điều tra Liên bang (FBI), nhóm ransomware ALPHV/BlackCat đã kiếm được hơn 300 triệu USD tiền chuộc từ hơn 1.000 nạn nhân trên toàn thế giới tính đến tháng 9 năm 2023.

FBI cho biết: “ALPHV Blackcat có mạng lưới rộng khắp và có kinh nghiệm về các hoạt động tống tiền và tống tiền dữ liệu”.

"Theo FBI, tính đến tháng 9 năm 2023, các chi nhánh của ALPHV Blackcat đã xâm phạm hơn 1000 đối tượng—gần 75% trong số đó ở Hoa Kỳ và khoảng 250 bên ngoài Hoa Kỳ—, yêu cầu hơn 500 triệu USD và nhận được gần 300 triệu USD tiền chuộc."

Trong khuyến cáo chung được công bố ngày 19 tháng 12 với sự cộng tác của CISA, FBI cũng chia sẻ các biện pháp giảm thiểu nhằm giúp những người bảo vệ mạng và các tổ chức cơ sở hạ tầng quan trọng giảm thiểu tác động và rủi ro liên quan đến các cuộc tấn công của nhóm ransomware này.

Hai cơ quan này cũng cung cấp ALPHV IOC (các chỉ số về sự thỏa hiệp) và TTP (chiến thuật, kỹ thuật và thủ tục) được FBI xác định gần đây nhất vào ngày 6 tháng 12.

Những đơn vị hoặc cá nhân bảo vệ mạng được khuyến khích ưu tiên vá các lỗ hổng bị khai thác thực tế và thực thi xác thực đa yếu tố (MFA) bằng mật khẩu mạnh trên tất cả các dịch vụ, đặc biệt là đối với webmail, VPN và các tài khoản được liên kết với các hệ thống quan trọng.

Hơn nữa, họ nên thường xuyên cập nhật và vá lỗi phần mềm lên phiên bản mới nhất và tập trung vào đánh giá lỗ hổng bảo mật như một phần không thể thiếu của các giao thức bảo mật tiêu chuẩn.

BlackCat/ALPHV xuất hiện cách đây hơn hai năm, vào tháng 11 năm 2021 và bị nghi ngờ là thương hiệu mới của hoạt động ransomware khét tiếng DarkSide và BlackMatter.

Ban đầu được biết đến với cái tên DarkSide, nhóm này được biết đến nhiều trên toàn thế giới sau cuộc tấn công vào Colonial Pipeline, dẫn đến các cuộc điều tra sâu rộng của các cơ quan thực thi pháp luật.

FBI trước đây đã liên kết việc nhóm ransomware này với hơn 60 vụ vi phạm ảnh hưởng đến các tổ chức trên toàn thế giới trong 4 tháng hoạt động đầu tiên, từ tháng 11 năm 2021 đến tháng 3 năm 2022.

FBI phá vỡ Blackcat và phát triển công cụ giải mã

Vào ngày 7 tháng 12, BleepingComputer lần đầu tiên thông báo các trang web đen ALPHV, bao gồm cả các trang web đàm phán Tor và rò rỉ dữ liệu của băng nhóm này, đột nhiên ngừng hoạt động.

Ngày 19 tháng 12, Bộ Tư pháp đã xác nhận thông báo và cho biết FBI đã xâm nhập vào máy chủ của hoạt động ransomware ALPHV, giám sát thành công các hoạt động của chúng và lấy được khóa giải mã.

Để truy cập bảng liên kết phụ trợ của ALPHV, FBI đã hợp tác với một nguồn nhân lực bí mật (CHS), người được cung cấp thông tin đăng nhập với tư cách là đơn vị liên kết sau cuộc phỏng vấn với những kẻ cầm đầu ransomware.

Banner thu giữ ALPHV BlackCat (BleepingComputer)

FBI đã âm thầm theo dõi hoạt động của ALPHV trong nhiều tháng đồng thời thu thập các khóa giải mã, việc này cho phép họ giúp hơn 500 nạn nhân trên toàn thế giới khôi phục tập tin của họ miễn phí, tiết kiệm khoảng 68 triệu USD tiền chuộc. Tuy nhiên, không rõ bằng cách nào lấy được khóa giải mã riêng tư vì chúng sẽ không có sẵn bằng thông tin xác thực phụ trợ của đơn vị liên kết.

Một giả thuyết có khả năng xảy ra, mặc dù chưa được xác nhận, là FBI đã khai thác các lỗ hổng cho phép phá hủy cơ sở dữ liệu hoặc giành quyền truy cập sâu hơn vào máy chủ của băng đảng ransomware.

FBI cũng đã thu giữ miền của trang web rò rỉ dữ liệu của hoạt động ransomware, thêm một biểu ngữ giải thích rằng việc thu giữ là kết quả của một hoạt động thực thi pháp luật quốc tế. Tuy nhiên, vài giờ sau, ALPHV đã "tiết lộ" trang web rò rỉ dữ liệu của chúng và cho biết FBI đã giành được quyền truy cập vào một trung tâm dữ liệu lưu trữ các máy chủ của băng đảng. ALPHV cũng tuyên bố trong thông báo đăng trên trang web rò rỉ của chúng rằng đã xâm phạm ít nhất 3.400 nạn nhân.

Vì cả ALPHV và FBI hiện đều có mã khóa riêng của trang web rò rỉ dữ liệu nên họ có thể giành quyền kiểm soát miền của nhau.

Tình huống này đã được các nhóm tội phạm mạng khác coi như một món quà nghỉ lễ sớm, chẳng hạn như nhóm ransomware LockBit yêu cầu các đơn vị của ALPHV chuyển nhóm để tiếp tục đàm phán với nạn nhân.

Nguồn: bleepingcomputer.com

Chiến dịch chèn JavaScript vào Web mới nhằm đánh cắp dữ liệu ngân hàng của 50.000 người

Fri, 22 Dec 2023 06:00:00 GMT

Một chiến dịch phần mềm độc hại mới xuất hiện vào tháng 3 năm 2023 đã sử dụng tính năng chèn JavaScript vào web để cố đánh cắp dữ liệu ngân hàng của hơn 50.000 người dùng của 40 ngân hàng ở Bắc Mỹ, Nam Mỹ, Châu Âu và Nhật Bản.

Đội ngũ bảo mật của IBM đã phát hiện ra mối đe dọa này và cho biết chiến dịch đã được chuẩn bị ít nhất từ tháng 12 năm 2022, khi các miền độc hại được mua.

Các cuộc tấn công diễn ra thông qua các tập lệnh được tải từ máy chủ của kẻ tấn công, nhắm mục tiêu vào cấu trúc trang cụ thể phổ biến trên nhiều ngân hàng để chặn thông tin đăng nhập của người dùng và mật khẩu một lần (OTP).

Thông qua việc nắm bắt được thông tin trên, kẻ tấn công có thể đăng nhập vào tài khoản ngân hàng của nạn nhân, khóa chúng bằng cách thay đổi cài đặt bảo mật và thực hiện các giao dịch trái phép.

Thực hiện chuỗi tấn công lén lút

Cuộc tấn công bắt đầu bằng việc lây nhiễm phần mềm độc hại ban đầu vào thiết bị của nạn nhân. Báo cáo của IBM không đi sâu vào chi tiết cụ thể của giai đoạn này, nhưng có thể đã thông qua quảng cáo độc hại, lừa đảo, v.v.

Sau khi nạn nhân truy cập các trang web độc hại hoặc bị xâm nhập của kẻ tấn công, phần mềm độc hại sẽ chèn một thẻ tập lệnh mới có thuộc tính nguồn ('src') trỏ đến tập lệnh được lưu trữ bên ngoài.

Tập lệnh mã hóa độc hại được tải trên trình duyệt của nạn nhân để sửa đổi nội dung trang web, lấy thông tin xác thực đăng nhập và chặn mật mã một lần (OTP).

IBM cho biết bước bổ sung này là bất thường vì hầu hết phần mềm độc hại đều thực hiện việc tiêm trực tiếp vào trang web.

Cách tiếp cận mới này giúp các cuộc tấn công trở nên lén lút hơn, vì việc kiểm tra phân tích tĩnh không thể gắn cờ (flag) tập lệnh tải đơn giản hơn là độc hại trong khi vẫn cho phép phân phối nội dung động, cho phép kẻ tấn công chuyển sang payload giai đoạn hai mới nếu cần.

Cũng cần lưu ý rằng tập lệnh độc hại này giống với các mạng sử dụng JavaScript hợp pháp (CDN), sử dụng các miền như cdnjs[.]com và unpkg[.]com để tránh bị phát hiện. Hơn nữa, tập lệnh còn thực hiện kiểm tra các sản phẩm bảo mật cụ thể trước khi thực thi.

Kiểm tra sản phẩm bảo mật (IBM)

Tập lệnh rất linh hoạt, liên tục điều chỉnh hành vi của nó theo hướng dẫn của máy chủ ra lệnh và kiểm soát, gửi bản cập nhật và nhận phản hồi cụ thể hướng dẫn hoạt động của nó trên thiết bị bị vi phạm.

Tập lệnh có nhiều trạng thái hoạt động được xác định bởi cờ "mlink" do máy chủ đặt, bao gồm đưa lời nhắc về số điện thoại hoặc mã thông báo OTP, hiển thị thông báo lỗi hoặc mô phỏng tải trang, tất cả đều là một phần trong chiến lược đánh cắp dữ liệu của nó.

Thông báo lỗi giả tạo cho kẻ tấn công có thời gian sử dụng dữ liệu bị đánh cắp (IBM)

IBM cho biết chín giá trị biến "mlink" có thể được kết hợp để ra lệnh cho tập lệnh thực hiện các hành động lọc dữ liệu cụ thể, riêng biệt, do đó hỗ trợ một tập hợp lệnh đa dạng.

Trang được thiết kế để đánh cắp OTP (IBM)

Các nhà nghiên cứu đã tìm thấy mối liên hệ lỏng lẻo giữa chiến dịch mới này và DanaBot, một trojan ngân hàng mô-đun đã được phát tán rộng rãi từ năm 2018 và gần đây đã được phát hiện lan truyền thông qua quảng cáo độc hại trên Google Tìm kiếm nhằm quảng bá trình cài đặt Cisco Webex giả mạo.

Theo IBM, chiến dịch này vẫn đang được tiến hành, vì vậy cần hết sức cảnh giác khi sử dụng các cổng và ứng dụng ngân hàng trực tuyến.

Nguồn: bleepingcomputer.com

Interpol operation arrests 3,500 cybercriminals, seizes $300 million

Thu, 21 Dec 2023 06:00:00 GMT

An international law enforcement operation codenamed 'Operation HAECHI IV' has led to the arrest of 3,500 suspects of various lower-tier cybercrimes and seized $300 million in illicit proceeds.

The South Korean authorities led HAECHI operations and worked with law enforcement agencies from 34 countries, including the United States, the United Kingdom, Japan, Hong Kong (China), and India.

The latest operation, which occurred between July and December 2023, targeted threat actors engaging in voice phishing, romance scams, online sextortion, investment fraud, money laundering associated with illegal online gambling, business email compromise, and e-commerce fraud.

In addition, Interpol's financial intelligence mechanism, I-GRIP, flagged and froze 82,112 bank accounts in 34 countries linked to various cybercrimes and fraudulent operations.

$199 million of the seized amounts concern hard currency, and the remaining $101 million corresponds to the value of 367 digital/virtual assets, such as NFTs (non-fungible tokens) linked to cybercrime.

"The seizure of USD 300 million represents a staggering sum and clearly illustrates the incentive behind today's explosive growth of transnational organized crime," stated Interpol's Stephen Kavanagh.

"This vast accumulation of unlawful wealth is a serious threat to global security and weakens the economic stability of nations worldwide."

A highlighted arrest that occurred during this operation concerns an online gambling criminal in Manila, whom the Korean police have been hunting for over two years.

A trend that emerged from HAECHI arrests concerns digital investment frauds and NFT investment platforms that operate for a short time before they "rug pull," which is to steal all investment money, delete official sites and social media handles, and disappear.

NFTs linked to scam platforms

Source: Interpol

Another emerging scam tool is AI and deep fake tools to generate synthetic content that appears realistic to the targets or even the voice of a person close to them.

The UK authorities participating in HAECHI reported the disruption of several cases where fraudsters leveraged AI in impersonation scams, online sexual blackmail, and investment fraud.

Unfortunately, AI technology gives the edge to cybercriminals at this point in time, but Interpol continually refines its tactics to keep up with emerging trends and tackle the threats.

The HAECHI IV operation saw a 260% increase in arrests compared to HAECHI III, which occurred between June and November 2022.

Interpol and its partners arrested 975 suspects during that operation and froze $130,000,000.

Source: bleepingcomputer.com

Interpol bắt giữ 3.500 tội phạm mạng và thu giữ 300 triệu USD

Thu, 21 Dec 2023 06:00:00 GMT

Một hoạt động thực thi pháp luật quốc tế với tên gọi là 'Chiến dịch HAECHI IV' đã bắt giữ 3.500 nghi phạm của nhiều tội phạm mạng cấp thấp hơn và thu giữ 300 triệu USD bất hợp pháp.

Chính quyền Hàn Quốc chỉ đạo các hoạt động của HAECHI và làm việc với các cơ quan thực thi pháp luật từ 34 quốc gia, bao gồm Hoa Kỳ, Vương quốc Anh, Nhật Bản, Hồng Kông (Trung Quốc) và Ấn Độ.

Hoạt động mới nhất diễn ra từ tháng 7 đến tháng 12 năm 2023 và nhắm vào các tác nhân đe dọa tham gia lừa đảo bằng giọng nói, lừa đảo, tống tiền trực tuyến, lừa đảo đầu tư, rửa tiền liên quan đến cờ bạc trực tuyến bất hợp pháp, xâm phạm email kinh doanh và gian lận thương mại điện tử.

Ngoài ra, cơ quan tình báo tài chính của Interpol, I-GRIP, đã gắn cờ (flag) và đóng băng 82.112 tài khoản ngân hàng ở 34 quốc gia có liên quan đến nhiều tội phạm mạng và hoạt động lừa đảo.

199 triệu USD trong số tiền bị tịch thu liên quan đến tiền cứng và 101 triệu USD còn lại tương ứng với giá trị của 367 tài sản kỹ thuật số/ảo, chẳng hạn như NFT (token không thể thay thế) có liên quan đến tội phạm mạng.

Stephen Kavanagh, đại diện của Interpol cho biết: “Việc thu giữ 300 triệu USD là một số tiền đáng kinh ngạc và minh họa rõ ràng động cơ đằng sau sự phát triển bùng nổ của tội phạm có tổ chức xuyên quốc gia ngày nay”.

“Sự tích lũy tài sản bất hợp pháp khổng lồ này là mối đe dọa nghiêm trọng đối với an ninh toàn cầu và làm suy yếu sự ổn định kinh tế của các quốc gia trên toàn thế giới.”

Một vụ bắt giữ nổi bật xảy ra trong chiến dịch này liên quan đến một tên tội phạm cờ bạc trực tuyến ở Manila, kẻ này cảnh sát Hàn Quốc đã truy lùng trong hơn hai năm.

Một xu hướng mới xuất hiện từ các vụ bắt giữ của HAECHI liên quan đến gian lận đầu tư kỹ thuật số và nền tảng đầu tư NFT hoạt động trong một thời gian ngắn trước khi chúng "thiết lập một dự án tiền điện tử mới - rug pull", tức là đánh cắp tất cả tiền đầu tư, xóa các trang web chính thức và tài khoản mạng xã hội rồi biến mất.

NFT được liên kết với các nền tảng lừa đảo

Nguồn: Interpol

Một công cụ lừa đảo mới khác là AI và các công cụ giả mạo khác để tạo ra nội dung trông có vẻ giống thực tế đối với mục tiêu hoặc thậm chí là giọng nói của một người thân thiết với họ.

Các nhà chức trách Vương quốc Anh tham gia HAECHI đã báo cáo sự gián đoạn của một số trường hợp những kẻ lừa đảo tận dụng AI để lừa đảo mạo danh, tống tiền tình dục trực tuyến và lừa đảo đầu tư.

Thật không may, công nghệ AI đã mang lại lợi thế cho tội phạm mạng vào thời điểm này, nhưng Interpol liên tục cải tiến các chiến thuật của mình để theo kịp các xu hướng mới nổi và giải quyết các mối đe dọa.

Chiến dịch HAECHI IV cho thấy số vụ bắt giữ tăng 260% so với HAECHI III, diễn ra từ tháng 6 đến tháng 11 năm 2022.

Interpol và các đơn vị đã bắt giữ 975 nghi phạm trong chiến dịch đó và phong tỏa 130.000.000 USD.

Nguồn: bleepingcomputer.com

Former IT manager pleads guilty to attacking high school network

Wed, 20 Dec 2023 06:00:00 GMT

Conor LaHiff, a former IT manager for a New Jersey public high school, has admitted to committing a cyberattack against his former employer following the termination of his employment in June 2023.

Last week, the U.S. Department of Justice (DOJ) announced that LaHiff pleaded guilty to one count of unauthorized damage to protected computers, violating the Computer Fraud and Abuse Act (CFAA).

The DOJ announcement describes the cyberattack as an act of retaliation, specifically targeting Apple and IT administrator accounts to cause damage and disruption to the school's operations.

"After he was fired, LaHiff used his administrative privileges to deactivate and delete thousands of Apple IDs from the school's Apple School Manager account – software used to manage student, faculty and staff information technology resources," reads the U.S. DOJ announcement.

"LaHiff also deactivated more than 1,400 other Apple accounts and other IT administrative accounts and disabled the school's private branch phone system, which left the school's phone service unavailable for approximately 24 hours."

According to published court documents, LaHiff performed the following actions after the termination of his employment:

Deleted 1,200 Apple IDs from the school's Apple School Manager account
Deactivated over 1,400 other Apple accounts
Attempted to disconnect Apple Class IDs, Course IDs, Location IDs, and Person IDs from the school's Apple School Manager account.
Deactivated administrative accounts, including accounts at security vendors.
Disabled the school's private branch phone service

The announcement says that LaHiff's actions caused the school to incur at least $5,000 in direct financial losses.

This is another case of a disgruntled former employee using their not-revoked high-level access to cause damage to critical networks out of spite.

The simple act of coordinating human resource decisions with IT department actions, such as revoking account access for dismissed personnel, would significantly mitigate such risks.

Interestingly, despite his actions, LaHiff had already filled a similar position at another public high school, which the judge is requiring LaHiff to notify about the guilty plea.

LaHiff is scheduled to be sentenced on March 20, 2024, and faces a potential maximum penalty of 10 years in prison and fines of up to $250,000.

Source: bleepingcomputer.com

Cựu giám đốc CNTT nhận tội tấn công mạng trường trung học

Wed, 20 Dec 2023 06:00:00 GMT

Conor LaHiff, cựu giám đốc CNTT của một trường trung học công lập ở New Jersey, đã thừa nhận thực hiện một cuộc tấn công mạng nhằm vào người chủ cũ của mình sau khi anh ta chấm dứt công việc vào tháng 6 năm 2023.

Tuần trước, Bộ Tư pháp Hoa Kỳ (DOJ) thông báo rằng LaHiff đã nhận tội về tội danh gây thiệt hại trái phép cho các máy tính được bảo vệ, vi phạm Đạo luật Lừa đảo và Lạm dụng Máy tính (CFAA).

Thông báo của DOJ mô tả cuộc tấn công mạng là một hành động trả đũa, đặc biệt nhắm vào các tài khoản Apple và quản trị viên CNTT nhằm gây thiệt hại và gián đoạn hoạt động của trường.

Thông báo của DOJ Hoa Kỳ cho biết: “Sau khi bị sa thải, LaHiff đã sử dụng đặc quyền quản trị của mình để hủy kích hoạt và xóa hàng nghìn ID Apple khỏi tài khoản Apple School Manager của trường – phần mềm dùng để quản lý tài nguyên công nghệ thông tin của sinh viên, giảng viên và nhân viên”.

“LaHiff cũng đã vô hiệu hóa hơn 1.400 tài khoản Apple và tài khoản quản trị CNTT khác, đồng thời vô hiệu hóa hệ thống điện thoại chi nhánh riêng của trường, khiến dịch vụ điện thoại của trường không hoạt động trong khoảng 24 giờ.”

Theo các tài liệu tòa án đã công bố, sau khi chấm dứt hợp đồng làm việc LaHiff đã thực hiện các hành động sau:

Xóa 1.200 ID Apple khỏi tài khoản Apple School Manager của trường học
Vô hiệu hóa hơn 1.400 tài khoản Apple khác
Ngắt kết nối ID Apple Class, ID khóa học, ID vị trí và ID cá nhân khỏi tài khoản Apple School Manager của trường học.
Tài khoản quản trị bị vô hiệu hóa, bao gồm cả tài khoản tại các nhà cung cấp bảo mật.
Vô hiệu hóa dịch vụ điện thoại chi nhánh riêng của trường

Thông báo cho biết hành động của LaHiff đã khiến nhà trường phải chịu tổn thất tài chính trực tiếp ít nhất 5.000 USD.

Đây là một trường hợp khác về việc một cựu nhân viên bất mãn sử dụng quyền truy cập cấp cao chưa bị thu hồi của họ để gây thiệt hại cho các mạng quan trọng.

Đối với những trường hợp này thì việc đơn giản là phối hợp các quyết định về nguồn nhân lực với các hành động của bộ phận CNTT, chẳng hạn như thu hồi quyền truy cập tài khoản đối với nhân viên bị sa thải, sẽ giảm thiểu đáng kể những rủi ro đó.

Điều thú vị là, bất chấp hành động của mình, LaHiff đã đảm nhận một vị trí tương tự tại một trường trung học công lập khác, trường mà thẩm phán đang yêu cầu LaHiff thông báo về việc nhận tội.

Dự kiến LaHiff sẽ bị kết án vào ngày 20 tháng 3 năm 2024 và phải đối mặt với hình phạt tối đa có thể là 10 năm tù và số tiền phạt lên tới 250.000 USD.

Nguồn: bleepingcomputer.com

Vụ tấn công dữ liệu của ông lớn về cho vay thế chấp Mr. Cooper ảnh hưởng đến 14,7 triệu khách hàng

Tue, 19 Dec 2023 11:24:46 GMT

Mr. Cooper đang gửi thông báo về tấn công dữ liệu để cảnh báo một cuộc tấn công mạng gần đây đã làm lộ dữ liệu của 14,7 triệu khách hàng đã hoặc trước đây đã thế chấp tại công ty.

Mr. Cooper (trước đây là Nationstar Mortgage LLC) là một công ty cho vay thế chấp có trụ sở tại Dallas với khoảng 9.000 nhân viên và có hàng triệu khách hàng. Công ty cho vay là một trong những nhà cung cấp dịch vụ lớn nhất ở Hoa Kỳ, phục vụ các khoản vay trị giá 937 tỷ USD.

Vào đầu tháng 11 năm 2023, Mr. Cooper thông báo họ đã bị xâm phạm trong một cuộc tấn công mạng vào ngày 30 tháng 10 năm 2023 và được phát hiện vào ngày hôm sau.

Để đối phó với sự xâm nhập trái phép, Mr. Cooper buộc phải đóng cửa tất cả các hệ thống CNTT, bao gồm cả cổng thanh toán trực tuyến được sử dụng để trả các khoản vay và thế chấp.

Thông báo ngừng hoạt động trên website của Mr. Cooper

Nguồn: BleepingComputer

Một tuần sau khi vụ việc được tiết lộ, Mr. Cooper thông báo đã tìm thấy bằng chứng cho thấy những kẻ xâm nhập mạng thực hiện cuộc tấn công đã không may truy cập được dữ liệu khách hàng.

Mr. Cooper đã khẳng định không có thông tin tài chính nào bị lộ, nhưng dữ liệu chính xác đã bị vi phạm vẫn đang được điều tra.

Ngày 18 tháng 12, Mr. Cooper đã gửi báo cáo lên Văn phòng Bộ trưởng Tư pháp Maine thông báo rằng vụ việc đã ảnh hưởng đến 14.690.284 khách hàng.

Thông tin đã bị tội phạm mạng tiết lộ bao gồm:

Họ và tên
Địa chỉ nhà
Số điện thoại
Số An Sinh Xã Hội (SSN)
Ngày sinh
số tài khoản ngân hàng

Dữ liệu bị lộ khiến các cá nhân bị ảnh hưởng có nguy cơ bị lừa đảo, lừa đảo và tấn công phi kỹ thuật (social engineering), đồng thời cũng có thể xảy ra gian lận ngân hàng và đánh cắp danh tính do rò rỉ số tài khoản ngân hàng.

“Sau khi biết về sự cố này, chúng tôi đã ngay lập tức thực hiện các bước để xác định và khắc phục, bao gồm khóa hệ thống, thay đổi mật khẩu tài khoản và khôi phục hệ thống của chúng tôi”, thông báo Mr. Cooper gửi tới những khách hàng bị ảnh hưởng.

“Chúng tôi đã bắt đầu đánh giá chi tiết để xác định thông tin cá nhân có trong các tệp bị ảnh hưởng là một phần của vụ việc.”

“Chúng tôi đang theo dõi web đen và không thấy bất kỳ bằng chứng nào cho thấy dữ liệu liên quan đến vụ việc này đã được chia sẻ, xuất bản hoặc sử dụng sai mục đích.”

Người nhận thông báo được khuyến khích duy trì cảnh giác trước những thông tin liên lạc không mong muốn và đăng ký dịch vụ bảo vệ danh tính 24 tháng được cung cấp.

Tại thời điểm này, không có thêm thông tin chi tiết nào về loại tấn công mạng được tiết lộ và không có băng đảng ransomware nào nhận trách nhiệm về vụ tấn công Mr.Cooper.

Nguồn: bleepingcomputer.com

Mortgage giant Mr. Cooper data breach affects 14.7 million people

Tue, 19 Dec 2023 11:21:50 GMT

Mr. Cooper is sending data breach notifications warning that a recent cyberattack has exposed the data of 14.7 million customers who have, or previously had, mortgages with the company.

Mr. Cooper (previously Nationstar Mortgage LLC) is a Dallas-based mortgage lending firm that employs approximately 9,000 people and has millions of customers. The lender is one of the largest servicers in the United States, servicing loans of $937 billion.

In early November 2023, the company announced that it had been breached in a cyberattack on October 30, 2023, which it discovered the following day.

In response to the unauthorized intrusion, the firm was forced to shut down all IT systems, including the online payment portal used to pay loans and mortgages.

Outage message on Mr. Cooper's website
Source: BleepingComputer

A week after the incident disclosure, Mr. Cooper announced it had found evidence that the network intruders conducting the attack had, unfortunately, accessed customer data.

It was clarified that no financial information was exposed, but the exact data that had been breached was still subject to the ongoing investigation.

Today, the company submitted a report to the Office of the Maine Attorney General informing that the incident impacted 14,690,284 people.

The information that has been exposed to cybercriminals includes:

Full name
Home address
Phone number
Social Security Number (SSN)
Date of Birth
Bank account number

The exposed data puts impacted individuals at risk of phishing, scams, and social engineering attacks, while bank fraud and identity theft are also possible due to the leak of bank account numbers.

"Upon learning of this incident, we immediately took steps to identify and remediate it, including locking down our systems, changing account passwords, and restoring our systems," reads the notice sent to impacted customers.

"We initiated a detailed review to identify personal information contained in the impacted files as part of the incident."

"We are monitoring the dark web and have not seen any evidence that the data related to this incident has been further shared, published, or otherwise misused."

Recipients of the notices are urged to remain vigilant against unsolicited communications and enroll in the offered 24-month identity protection service.

At this time, no further details about the type of cyberattack have been disclosed, and no ransomware gangs have assumed responsibility for an attack on Mr. Cooper.

Source: BleepingComputer

Microsoft disrupts cybercrime gang behind 750 million fraudulent accounts

Tue, 19 Dec 2023 00:00:00 GMT

Microsoft's Digital Crimes Unit seized multiple domains used by a Vietnam-based cybercrime group (Storm-1152) that registered over 750 million fraudulent accounts and raked in millions of dollars by selling them online to other cybercriminals.

Storm-1152 is a major cybercrime-as-a-service provider and the number one seller of fraudulent Outlook accounts, as well as other illegal "products," including an automatic CAPTCHA-solving service to bypass Microsoft's CAPTCHA challenges and register more fraudulent Microsoft email accounts.

"Storm-1152 runs illicit websites and social media pages, selling fraudulent Microsoft accounts and tools to bypass identity verification software across well-known technology platforms. These services reduce the time and effort needed for criminals to conduct a host of criminal and abusive behaviors online," according to Amy Hogan-Burney, the General Manager of Microsoft's Digital Crimes Unit.

"Since at least 2021, the Defendants have been engaged in a scheme to obtain millions of Microsoft Outlook email accounts in the names of fictitious users based on a series of false representations, and then sell these fraudulent accounts to malicious actors for use in various types of cybercrime," according to the complaint.

According to Microsoft Threat Intelligence, numerous cybergroups involved in ransomware, data theft, and extortion have bought and used accounts provided by Storm-1152 in their attacks.

For instance, financially-motivated Storm-0252, Storm-0455, and Octo Tempest (aka Scattered Spider) cybercrime gangs used Storm-1152 fraudulent accounts to infiltrate organizations worldwide and deploy ransomware on their networks.

The resulting service disruptions resulted in damages estimated by Microsoft to be in the hundreds of millions of dollars.

"Upon information and belief, evidence gathered thus far by Microsoft's investigation in this case shows that Microsoft email accounts—which were fraudulently obtained by Defendants and sold to cybercriminals—have been used by organized cybercrime groups known to Microsoft as Storm-0252, Storm-0455, and Octo Tempest to engage in cybercrime activity, including email phishing scams, which are frequently used as a vehicle for spreading ransomware and other malware," the complaint adds.

Hotmailbox.me before seizure (BleepingComputer)

On December 7, Microsoft seized Storm-1152's U.S.-based infrastructure and took down the following websites after obtaining a court order from the Southern District of New York:

Hotmailbox.me , a website selling fraudulent Microsoft Outlook accounts
1stCAPTCHA, AnyCAPTCHA, and NoneCAPTCHA , websites that facilitate the tooling, infrastructure, and selling of the CAPTCHA solving service to bypass the confirmation of use and account setup by a real person. These sites sold identity verification bypass tools for other technology platforms
The social media sites actively used to market these services

The company also sued Duong Dinh Tu, Linh Van Nguyen (a/k/a Nguyen Van Linh), and Tai Van Nguyen for their purported involvement in hosting the cybercriminal operation on the seized domains.

As further alleged in the complaint, the defendants managed and developed the code for the seized websites. They were also involved in publishing video guides on how to use the fraudulent Outlook accounts and offered chat support to 'customers' using their fraudulent services.

"Today's action is a continuation of Microsoft's strategy of taking aim at the broader cybercriminal ecosystem and targeting the tools cybercriminals use to launch their attacks. It builds on our expansion of a legal method used successfully to disrupt malware and nation-state operations," Hogan-Burney said.

Source: bleepingcomputer.com

Microsoft thu giữ các miền dùng để bán tài khoản Outlook lừa đảo

Mon, 18 Dec 2023 06:00:00 GMT

Đội ngũ Tội phạm Kỹ thuật số của Microsoft đã thu giữ nhiều tên miền được nhóm tội phạm mạng sử dụng có cư ngụ tại Việt Nam (Storm-1152). Nhóm này đã đăng ký hơn 750 triệu tài khoản lừa đảo và thu về hàng triệu đô la bằng cách bán chúng trực tuyến cho các tội phạm mạng khác.

Storm-1152 cung cấp dịch vụ tội phạm mạng lớn và cung cấp tài khoản Outlook gian lận số một, cũng như các "sản phẩm" bất hợp pháp khác, bao gồm dịch vụ giải CAPTCHA tự động để vượt qua các thử thách CAPTCHA của Microsoft và đăng ký thêm nhiều tài khoản email Microsoft lừa đảo.

"Storm-1152 thực hiện các trang web và trang truyền thông xã hội bất hợp pháp, bán các tài khoản và công cụ lừa đảo của Microsoft để vượt qua phần mềm xác minh danh tính trên các nền tảng công nghệ nổi tiếng. Các dịch vụ này giúp bọn tội phạm giảm thời gian và công sức cần thiết để thực hiện một loạt hành vi tội phạm và lạm dụng trực tuyến ", theo thông tin chia sẻ của Amy Hogan-Burney, Tổng Giám đốc Đơn vị Tội phạm Kỹ thuật số của Microsoft.

"Ít nhất là từ năm 2021, nhóm này đã tham gia vào một kế hoạch nhằm lấy hàng triệu tài khoản email Microsoft Outlook dưới danh nghĩa của những người dùng hư cấu dựa trên một loạt tuyên bố sai sự thật, và sau đó bán những tài khoản lừa đảo này cho những kẻ độc hại để sử dụng vào nhiều loại tội phạm mạng khác nhau”, theo đơn khiếu nại.

Theo Microsoft Threat Intelligence, nhiều nhóm mạng liên quan đến ransomware, đánh cắp dữ liệu và tống tiền đã mua và sử dụng tài khoản do Storm-1152 cung cấp trong các cuộc tấn công của chúng.

Ví dụ: các băng nhóm tội phạm mạng Storm-0252, Storm-0455 và Octo Tempest (hay còn gọi là Scattered Spider) có động cơ tài chính đã sử dụng tài khoản lừa đảo Storm-1152 để xâm nhập vào các tổ chức trên toàn thế giới và triển khai phần mềm ransomware trên mạng của họ.

Sự gián đoạn dịch vụ dẫn đến thiệt hại được Microsoft ước tính lên tới hàng trăm triệu đô la.

"Dựa trên thông tin và sự tin tưởng, bằng chứng thu thập được từ cuộc điều tra của Microsoft trong trường hợp này cho thấy các tài khoản email của Microsoft—do Bị đơn lấy được một cách gian lận và bán cho tội phạm mạng—đã được sử dụng bởi các nhóm tội phạm mạng có tổ chức được biết đến với tên gọi Storm-0252, Storm- 0455 và Octo Tempest để tham gia vào hoạt động tội phạm mạng, bao gồm lừa đảo qua email, thường được sử dụng làm phương tiện để phát tán ransomware và phần mềm độc hại khác,” đơn khiếu nại cho biết thêm.

Hotmailbox.me trước khi bị tịch thu (BleepingComputer)

Vào ngày 7 tháng 12, Microsoft đã tịch thu cơ sở hạ tầng của Storm-1152 có trụ sở tại Hoa Kỳ và gỡ bỏ các trang web sau sau khi nhận được lệnh của tòa án từ Quận Nam New York:

Hotmailbox.me, trang web bán tài khoản Microsoft Outlook lừa đảo
1stCAPTCHA, AnyCAPTCHA và NoneCAPTCHA , các trang web hỗ trợ công cụ, cơ sở hạ tầng và bán dịch vụ giải CAPTCHA nhằm bỏ qua xác nhận sử dụng và thiết lập tài khoản của người thực. Các trang web này đã bán công cụ bỏ qua xác minh danh tính cho các nền tảng công nghệ khác.
Các trang truyền thông xã hội được sử dụng tích cực để tiếp thị các dịch vụ này

Công ty cũng kiện Dương Đình Tú, Linh Vân Nguyên (Nguyễn Văn Linh) và Tài Văn Nguyên vì họ có mục đích tham gia tổ chức hoạt động tội phạm mạng trên các miền bị tịch thu.

Như cáo buộc sâu hơn trong đơn khiếu nại, các bị cáo đã quản lý và phát triển mã cho các trang web bị tịch thu. Họ cũng tham gia xuất bản các video hướng dẫn về cách sử dụng tài khoản Outlook lừa đảo và cung cấp hỗ trợ trò chuyện cho 'khách hàng' sử dụng các dịch vụ gian lận của họ.

"Hành động thực hiện hôm nay để tiếp nối chiến lược của Microsoft nhằm nhắm vào hệ sinh thái tội phạm mạng rộng lớn hơn và nhắm mục tiêu vào các công cụ mà tội phạm mạng sử dụng để khởi động các cuộc tấn công của chúng. Nó được xây dựng dựa trên việc chúng tôi mở rộng một phương pháp pháp lý được sử dụng thành công để phá vỡ phần mềm độc hại và các hoạt động của quốc gia", Hogan -Burney nói.

Nguồn: bleepingcomputer.com

BazarCall attacks abuse Google Forms to legitimize phishing emails

Mon, 18 Dec 2023 00:00:00 GMT

A new wave of BazarCall attacks uses Google Forms to generate and send payment receipts to victims, attempting to make the phishing attempt appear more legitimate.

BazarCall, first documented in 2021, is a phishing attack utilizing an email resembling a payment notification or subscription confirmation to security software, computer support, streaming platforms, and other well-known brands.

These emails state that the recipient is being auto-renewed into an outrageously expensive subscription and should cancel it if they do not want to be charged.

However, instead of containing a link to a website, the email historically included a phone number to an alleged customer service agent of that brand, who may be contacted to dispute charges or cancel the subscription.

A typical BazarCall lure (Abnormal)

The calls are answered by a cybercriminal pretending to be customer support, tricking the victims into installing malware on their computers by guiding them through a deceptive process.

The malware is named BazarLoader, and as the name suggests, it is a tool for installing additional payloads on the victim's system.

Abuse of Google Forms

Email security firm Abnormal reports that it has encountered a new variant of the BazarCall attack, which now abuses Google Forms.

Google Forms is a free online tool that allows users to create custom forms and quizzes, integrate them on sites, share them with others, etc.

The attacker creates a Google Form with the details of a fake transaction, such as the invoice number, date, payment method, and miscellaneous information about the product or service used as bait.

Next, they enable the "response receipt" option in the settings, which sends a copy of the completed form to the submitted email address.

Using the target's email address, a copy of the completed form, which looks like a payment confirmation, is sent to the target from Google's servers.

Copy of the form sent to the target (Abnormal)

As Google Forms is a legitimate service, email security tools will not flag or block the phishing email, so delivery to the intended recipients is guaranteed.

Also, the fact that the email originates from a Google address ("noreply@google.com”) lends it additional legitimacy.

The invoice copy includes the threat actor's phone number, which recipients are told to call within 24 hours from the reception of the email to make any disputes, so the element of urgency is present.

Abnormal's report does not delve into the later stages of the attack. However, BazarCall was used in the past to gain initial access to corporate networks, usually leading to ransomware attacks.

Source: bleepingcomputer.com

Các cuộc tấn công của BazarCall lạm dụng Google Forms để hợp pháp hóa các email lừa đảo

Fri, 15 Dec 2023 06:30:00 GMT

Làn sóng tấn công BazarCall mới đã sử dụng Google Forms để tạo và gửi biên lai thanh toán cho nạn nhân, điều này nhằm mục đích khiến việc lừa đảo trông có vẻ hợp lý hơn.

BazarCall được thực hiện lần đầu tiên vào năm 2021, đây là một cuộc tấn công lừa đảo sử dụng email giống như thông báo thanh toán hoặc xác nhận đăng ký phần mềm bảo mật, hỗ trợ máy tính, nền tảng phát trực tuyến và các thương hiệu nổi tiếng khác.

Những email này thể hiện rằng người nhận đang được tự động gia hạn thành một gói đăng ký cực kỳ đắt tiền và nên hủy đăng ký đó nếu không muốn bị tính phí.

Tuy nhiên, thay vì chứa liên kết đến một trang web, email trước đây bao gồm số điện thoại của đại lý dịch vụ khách hàng được cho là của thương hiệu đó, người có thể được liên hệ để tranh chấp về phí hoặc hủy đăng ký.

Một mồi nhử BazarCall điển hình (Abnormal)

Các cuộc gọi được trả lời bởi tội phạm mạng giả danh bộ phận hỗ trợ khách hàng, lừa nạn nhân cài đặt phần mềm độc hại trên máy tính của họ bằng cách hướng dẫn họ thực hiện một quy trình lừa đảo.

Phần mềm độc hại có tên BazarLoader và đúng như tên gọi, nó là một công cụ để cài đặt các payload bổ sung trên hệ thống của nạn nhân.

Lạm dụng Google Forms

Công ty bảo mật email Abnormal cho biết họ đã gặp phải một biến thể mới của cuộc tấn công BazarCall hiện đang lạm dụng Google Forms.

Google Forms là một công cụ trực tuyến miễn phí cho phép người dùng tạo các biểu mẫu và câu hỏi tùy chỉnh, tích hợp chúng trên các trang web, chia sẻ chúng với những người khác, v.v.

Kẻ tấn công tạo Google Forms với các chi tiết của giao dịch giả mạo, chẳng hạn như số hóa đơn, ngày, phương thức thanh toán và thông tin linh tinh về sản phẩm hoặc dịch vụ được sử dụng làm mồi nhử.

Tiếp theo, người dùng kích hoạt tùy chọn "nhận phản hồi" trong cài đặt, tùy chọn này sẽ gửi bản sao của biểu mẫu đã hoàn thành đến địa chỉ email đã gửi.

Chúng sử dụng địa chỉ email của mục tiêu và gửi một bản sao của biểu mẫu đã hoàn thành trông giống như xác nhận thanh toán, sẽ được gửi đến mục tiêu từ máy chủ của Google.

Bản sao biểu mẫu được gửi đến mục tiêu (Abnormal)

Vì Google Forms là một dịch vụ hợp pháp nên các công cụ bảo mật email sẽ không gắn cờ (flag) hoặc chặn email lừa đảo, do đó việc gửi email đến người nhận dự kiến sẽ được đảm bảo.

Ngoài ra, thực tế là email bắt nguồn từ một địa chỉ Google ("noreply@google.com") nên đã giúp nó trở nên hợp pháp hơn.

Bản sao hóa đơn bao gồm số điện thoại của kẻ đe dọa mà người nhận được yêu cầu gọi trong vòng 24 giờ kể từ khi nhận được email để đưa ra bất kỳ tranh chấp nào, nên việc này là yếu tố khẩn cấp cần xử lý.

Báo cáo của Abnormal không đi sâu vào các giai đoạn sau của cuộc tấn công. Tuy nhiên, trước đây BazarCall đã được sử dụng để giành quyền truy cập ban đầu vào mạng công ty, thường dẫn đến các cuộc tấn công bằng ransomware.

Nguồn: bleepingcomputer.com

Apple emergency updates fix recent zero-days on older iPhones

Fri, 15 Dec 2023 06:00:00 GMT

Apple has issued emergency security updates to backport patches for two actively exploited zero-day flaws to older iPhones and some Apple Watch and Apple TV models.

"Apple is aware of a report that this issue may have been exploited against versions of iOS before iOS 16.7.1," the company said in security advisories published on December 4th.

The two vulnerabilities, now tracked as CVE-2023-42916 and CVE-2023-42917, were discovered within the WebKit browser engine, developed by Apple and used by the company's Safari web browser across its platforms (e.g., macOS, iOS, iPadOS).

They can let attackers obtain access to sensitive data through and execute arbitrary code using maliciously crafted webpages designed to exploit out-of-bounds and memory corruption bugs on unpatched devices.

On December 11th, Apple addressed the zero-days in iOS 16.7.3, iPadOS 16.7.3, tvOS 17.2, and watchOS 10.2 with improved input validation and locking.

The company says the bugs are now also patched on the following list of devices:

iPhone 8 and later, iPad Pro (all models), iPad Air 3rd generation and later, iPad 5th generation and later, and iPad mini 5th generation and later
Apple TV HD and Apple TV 4K (all models)
Apple Watch Series 4 and later

Clément Lecigne, a security researcher from Google's Threat Analysis Group (TAG), discovered and reported both zero-day vulnerabilities.

Although Apple has yet to provide details about the vulnerabilities' exploitation in attacks, researchers at Google TAG have frequently identified and disclosed information on zero-day flaws employed in state-sponsored surveillance software attacks targeting high-profile individuals, including journalists, opposition figures, and dissidents.

CISA also ordered Federal Civilian Executive Branch (FCEB) agencies last week, on December 4, to patch their devices against these two security vulnerabilities based on evidence of active exploitation.

Since the start of the year, Apple has patched 20 zero-day vulnerabilities exploited in attacks:

two zero-days (CVE-2023-42916 and CVE-2023-42917) in November
two zero-day (CVE-2023-42824 and CVE-2023-5217) in October
five zero-days (CVE-2023-41061, CVE-2023-41064, CVE-2023-41991, CVE-2023-41992, and CVE-2023-41993) in September
two zero-days (CVE-2023-37450 and CVE-2023-38606) in July
three zero-days (CVE-2023-32434, CVE-2023-32435, and CVE-2023-32439) in June
three more zero-days (CVE-2023-32409, CVE-2023-28204, and CVE-2023-32373) in May
two zero-days (CVE-2023-28206 and CVE-2023-28205) in April
and another WebKit zero-day (CVE-2023-23529) in February

Source: .bleepingcomputer.com

Bản cập nhật khẩn cấp của Apple khắc phục lỗi zero-day gần đây trên iPhone cũ

Fri, 15 Dec 2023 06:00:00 GMT

Apple đã phát hành các bản cập nhật bảo mật khẩn cấp để cập nhật các bản vá cho hai lỗ hổng zero-day được khai thác trên các iPhone cũ hơn cũng như một số mẫu Apple Watch và Apple TV.

“Apple đã biết về một thông báo về việc họ có thể đã bị khai thác trên các phiên bản iOS trước iOS 16.7.1”, công ty cho biết trong tư vấn bảo mật được phát hành ngày 4 tháng 12.

Hai lỗ hổng, hiện được theo dõi là CVE-2023-42916 và CVE-2023-42917, được phát hiện trong công cụ trình duyệt WebKit, do Apple phát triển và được trình duyệt web Safari của công ty sử dụng trên các nền tảng của họ (ví dụ: macOS, iOS, iPadOS) .

Chúng có thể cho phép kẻ tấn công có được quyền truy cập vào dữ liệu nhạy cảm thông qua và thực thi mã tùy ý bằng cách sử dụng các trang web được tạo độc hại được thiết kế để khai thác các lỗi ngoài giới hạn và hỏng bộ nhớ trên các thiết bị chưa được vá.

Ngày 11 tháng 12, Apple đã giải quyết các lỗi zero-day trong iOS 16.7.3, iPadOS 16.7.3, tvOS 17.2 và watchOS 10.2 bằng cách cải thiện tính năng xác thực và khóa đầu vào.

Công ty cho biết các lỗi này hiện cũng đã được vá trên danh sách thiết bị sau:

iPhone 8 trở lên, iPad Pro (tất cả các mẫu), iPad Air 3 trở lên, iPad 5 trở lên và iPad mini 5 trở lên
Apple TV HD và Apple TV 4K (tất cả các kiểu máy)
Apple Watch Series 4 trở lên
Clément Lecigne, nhà nghiên cứu bảo mật thuộc Nhóm phân tích mối đe dọa (TAG) của Google, đã phát hiện và báo cáo cả hai lỗ hổng zero-day.

Mặc dù Apple vẫn chưa cung cấp thông tin chi tiết về việc khai thác các lỗ hổng trong các cuộc tấn công, nhưng các nhà nghiên cứu tại Google TAG đã thường xuyên xác định và tiết lộ thông tin về các lỗ hổng zero-day được sử dụng trong các cuộc tấn công phần mềm giám sát do nhà nước tài trợ nhắm vào các cá nhân nổi tiếng, bao gồm các nhà báo, nhân vật đối lập, và những người bất đồng chính kiến.

CISA cũng đã ra lệnh cho các cơ quan của Chi nhánh Điều hành Dân sự Liên bang (FCEB) vào tuần trước, vào ngày 4 tháng 12, vá các thiết bị của họ chống lại hai lỗ hổng bảo mật này dựa trên bằng chứng về việc khai thác chủ động.

Kể từ đầu năm, Apple đã vá 20 lỗ hổng zero-day bị khai thác trong các cuộc tấn công:

Hai zero-day (CVE-2023-42916 và CVE-2023-42917) vào tháng 11
Hai zero-day (CVE-2023-42824 và CVE-2023-5217) vào tháng 10
Năm zero-day (CVE-2023-41061, CVE-2023-41064, CVE-2023-41991, CVE-2023-41992 và CVE-2023-41993) vào tháng 9
Hai zero-day (CVE-2023-37450 và CVE-2023-38606) vào tháng 7
Ba zero-day (CVE-2023-32434, CVE-2023-32435 và CVE-2023-32439) vào tháng 6
Ba zero-day (CVE-2023-32409, CVE-2023-28204 và CVE-2023-32373) vào tháng 5
Hai zero-day (CVE-2023-28206 và CVE-2023-28205) vào tháng 4
Và một zero-day WebKit khác (CVE-2023-23529) vào tháng 2

Nguồn: bleepingcomputer.com

Cold storage giant Americold discloses data breach after April malware attack

Thu, 14 Dec 2023 06:00:00 GMT

Cold storage and logistics giant Americold has confirmed that over 129,000 employees and their dependents had their personal information stolen in an April attack, later claimed by Cactus ransomware.

Americold employs 17,000 people worldwide and operates more than 24 temperature-controlled warehouses across North America, Europe, Asia-Pacific, and South America.

The April network breach led to an outage affecting the company's operations after Americold forced it to shut down its IT network to contain the breach and "rebuild the impacted systems."

Americold also told customers via a private memo issued after the attack to cancel all inbound deliveries and reschedule outbound shipments, except for those deemed critically time-sensitive and nearing expiration.

In notification letters sent on December 8 to 129,611 current and former employees (and dependents) affected by the data breach, the company revealed the attackers were able to steal some data from its network on April 26.

"Based on the comprehensive data analysis that was performed and ultimately completed on November 8, 2023, we were able to determine what information was affected and to whom the information related. As a result of this review, it appears that some of your personal information may have been involved," the letters read.

Personal information stolen by the attackers includes a combination of name, address, Social Security number, driver's license/state ID number, passport number, financial account information (such as bank account and credit card numbers), and employment-related health insurance and medical information for each affected individual.

Another cyberattack hit Americold in November 2020, impacting its operations, phone systems, email services, inventory management, and order fulfillment.

While multiple sources told BleepingComputer at the time that the 2020 breach was a ransomware attack, the company has yet to confirm it, and the ransomware group responsible for the November 2020 attack remains unknown.

April attack claimed by Cactus ransomware

Even though the company didn't connect the April 2023 incident to a specific ransomware operation, the Cactus ransomware operation claimed the attack on July 21.

Cactus Americold leak page (BleepingComputer)

The gang also leaked a 6GB archive of accounting and finance documents allegedly stolen from Americold's network, including private and confidential information.

The ransomware group also plans to release human resources, legal, company audit information, customer documents, and accident reports.Cactus ransomware is a relatively new operation that surfaced in March this year with double-extortion attacks, first stealing data to use as leverage in ransom negotiations and then encrypting compromised systems.

Source: BleepingComputer

Gã khổng lồ kho lạnh Americold tiết lộ bị vi phạm dữ liệu sau cuộc tấn công phần mềm độc hại vào tháng 4

Thu, 14 Dec 2023 06:00:00 GMT

Công ty kho lạnh và hậu cần khổng lồ Americold đã xác nhận rằng hơn 129.000 nhân viên và người phụ thuộc của họ đã bị đánh cắp thông tin cá nhân trong một cuộc tấn công vào tháng 4, sau đó thông tin này được Cactus ransomware công bố.

Americold tuyển dụng 17.000 người trên toàn thế giới và vận hành hơn 24 nhà kho được kiểm soát nhiệt độ trên khắp Bắc Mỹ, Châu Âu, Châu Á - Thái Bình Dương và Nam Mỹ.

Vụ tấn công mạng vào tháng 4 đã dẫn đến tình trạng ngừng hoạt động và việc này ảnh hưởng đến hoạt động của công ty sau khi Americold buộc họ phải tắt mạng CNTT của mình để ngăn chặn vi phạm và “xây dựng lại các hệ thống bị ảnh hưởng”.

Americold cũng thông báo với khách hàng thông qua một bản ghi nhớ riêng được phát hành sau vụ tấn công rằng hãy hủy tất cả các chuyến hàng gửi đến và lên lịch lại các chuyến hàng gửi đi, ngoại trừ những lô hàng được coi là cực kỳ nhạy cảm về thời gian và sắp hết hạn.

Trong thư thông báo gửi vào ngày 8 tháng 12 tới 129.611 nhân viên hiện tại và cựu nhân viên (và người phụ thuộc) bị ảnh hưởng bởi vụ vi phạm dữ liệu, công ty tiết lộ những kẻ tấn công đã có thể đánh cắp một số dữ liệu từ mạng của họ vào ngày 26 tháng 4.

"Dựa trên quá trình phân tích dữ liệu toàn diện được thực hiện và hoàn thành vào ngày 8 tháng 11 năm 2023, chúng tôi có thể xác định thông tin nào bị ảnh hưởng và thông tin đó liên quan đến ai. Theo kết quả của quá trình xem xét này, có vẻ như một số thông tin cá nhân của bạn có thể đã tham gia", Americold cho biết.

Thông tin cá nhân bị kẻ tấn công đánh cắp bao gồm sự kết hợp giữa tên, địa chỉ, số An sinh xã hội, số giấy phép lái xe/số ID tiểu bang, số hộ chiếu, thông tin tài khoản tài chính (chẳng hạn như số tài khoản ngân hàng và số thẻ tín dụng), bảo hiểm y tế và y tế liên quan đến việc làm. thông tin cho từng cá nhân bị ảnh hưởng.

Một cuộc tấn công mạng khác tấn công Americold vào tháng 11 năm 2020, ảnh hưởng đến hoạt động, hệ thống điện thoại, dịch vụ email, quản lý hàng tồn kho và thực hiện đơn hàng của công ty.

Mặc dù nhiều nguồn tin đã cho BleepingComputer biết vào thời điểm đó vụ vi phạm năm 2020 là một cuộc tấn công bằng ransomware, nhưng Americold vẫn chưa xác nhận điều đó và nhóm ransomware chịu trách nhiệm về vụ tấn công vào tháng 11 năm 2020 vẫn chưa được xác định.

Cuộc tấn công tháng 4 do Cactus ransomware gây ra

Mặc dù Americold không kết nối sự cố tháng 4 năm 2023 với một hoạt động ransomware cụ thể, nhưng hoạt động ransomware Cactus đã tuyên bố thực hiện vụ tấn công vào ngày 21 tháng 7.

Trang rò rỉ Cactus Americold (BleepingComputer)

Băng nhóm này cũng đã rò rỉ một kho lưu trữ 6GB tài liệu kế toán và tài chính được cho là đã đánh cắp từ mạng của Americold, bao gồm cả thông tin cá nhân và bí mật.

Nhóm ransomware cũng có kế hoạch tiết lộ thông tin nhân sự, pháp lý, kiểm toán công ty, tài liệu khách hàng và báo cáo tai nạn.

Cactus ransomware là một hoạt động tấn công tương đối mới xuất hiện vào tháng 3 năm nay với các cuộc tấn công tống tiền kép, đầu tiên là đánh cắp dữ liệu để sử dụng làm đòn bẩy trong các cuộc đàm phán đòi tiền chuộc và sau đó mã hóa các hệ thống bị xâm nhập.

Nguồn: bleepingcomputer.com

Toyota warns customers of data breach exposing personal, financial info

Wed, 13 Dec 2023 06:00:00 GMT

Toyota Financial Services (TFS) is warning customers it suffered a data breach, stating that sensitive personal and financial data was exposed in the attack.

Toyota Financial Services, a subsidiary of Toyota Motor Corporation, is a global entity with a presence in 90% of the markets where Toyota sells its cars, providing auto financing to its customers.

Last month, the company confirmed that it detected unauthorized access on some of its systems in Europe and Africa, following a claim from Medusa ransomware about successfully compromising the Japanese automaker's division.

The threat actors demanded a payment of $8,000,000 to delete the stolen data and gave Toyota 10 days to respond to their blackmail.

At the time, a Toyota spokesperson told BleepingComputer that the company had detected unauthorized access on some of its systems in Europe and Africa. The company took certain systems offline to contain the breach, which impacted customer services.

Presumably, Toyota has not negotiated a ransom payment with the cybercriminals, and currently, all data has been leaked on Medusa's extortion portal on the dark web.

New Paragraph

Earlier this month, Toyota Kreditbank GmbH in Germany was identified as one of the impacted divisions, admitting that hackers gained access to customers' personal data.

German news outlet Heise received a sample of the notices sent by Toyota to German customers, informing that the following data has been compromised:

Full name
Residence address
Contract information
Lease-purchase details
IBAN (International Bank Account Number)

This type of data can be used in phishing, social engineering, scams, financial fraud, and even identity theft attempts.

Notice sent to impacted customers (Heise)

The notification verifies the above data as compromised based on the ongoing investigation. However, the internal investigation isn't complete yet, and there remains a possibility that attackers accessed additional information.

Toyota promises to promptly update affected customers should the internal investigation reveal further data exposure.

Source: BleepingComputer

Toyota cảnh báo khách hàng về việc tấn công dữ liệu làm lộ thông tin cá nhân, tài chính

Wed, 13 Dec 2023 06:00:00 GMT

Toyota Financial Services (TFS) đưa ra cảnh báo khách hàng rằng họ đã bị tấn công dữ liệu, cho biết dữ liệu tài chính và cá nhân nhạy cảm đã bị lộ trong cuộc tấn công.

Toyota Financial Services, một công ty con của Toyota Motor Corporation, là một tổ chức toàn cầu có mặt ở 90% thị trường nơi Toyota bán ô tô, cung cấp tài chính mua ô tô cho khách hàng.

Tháng trước, TFS xác nhận đã phát hiện hành vi truy cập trái phép vào một số hệ thống của mình ở Châu Âu và Châu Phi, sau tuyên bố từ phần mềm ransomware Medusa về việc xâm phạm thành công bộ phận của nhà sản xuất ô tô Nhật Bản.

Những kẻ đe dọa đã yêu cầu khoản tiền chuộc 8.000.000 USD để xóa dữ liệu bị đánh cắp và cho Toyota 10 ngày để phản hồi về hành vi tống tiền của chúng.

Cùng thời điểm đó, người phát ngôn của Toyota nói với BleepingComputer rằng họ đã phát hiện hành vi truy cập trái phép vào một số hệ thống của hãng ở Châu Âu và Châu Phi. Toyota đã đưa một số hệ thống vào trạng thái ngoại tuyến để ngăn chặn vi phạm, điều này ảnh hưởng đến dịch vụ khách hàng.

Có lẽ, Toyota vẫn chưa thương lượng khoản tiền chuộc với bọn tội phạm mạng và hiện tại, mọi dữ liệu đã bị rò rỉ trên cổng tống tiền của Medusa trên web đen.

Dữ liệu bị đánh cắp có sẵn để tải xuống qua cổng tống tiền của Medusa (BleepingComputer)

Đầu tháng này, Toyota Kreditbank GmbH ở Đức được xác định là một trong những bộ phận bị ảnh hưởng, thừa nhận rằng tin tặc đã giành được quyền truy cập vào dữ liệu cá nhân của khách hàng.

Hãng tin Heise của Đức đã nhận được một mẫu thông báo do Toyota gửi cho khách hàng Đức, thông báo rằng dữ liệu sau đã bị xâm phạm:

Họ và tên
Địa chỉ cư trú
Thông tin hợp đồng
Chi tiết thuê mua
IBAN (Số tài khoản ngân hàng quốc tế)

Loại dữ liệu này có thể được sử dụng để lừa đảo, lừa đảo qua mạng, gian lận tài chính và thậm chí cả các nỗ lực đánh cắp danh tính.

Thông báo gửi đến khách hàng bị ảnh hưởng (Heise)

Thông báo xác minh dữ liệu trên có bị xâm phạm dựa trên cuộc điều tra đang diễn ra hay không. Tuy nhiên, cuộc điều tra nội bộ vẫn chưa hoàn tất và vẫn có khả năng những kẻ tấn công đã truy cập thêm thông tin.

Toyota hứa sẽ cập nhật kịp thời cho những khách hàng bị ảnh hưởng nếu cuộc điều tra nội bộ tiết lộ thêm dữ liệu.

BleepingComputer đã liên hệ với Toyota để biết thêm thông tin, chẳng hạn như số lượng khách hàng chính xác đã tiếp xúc, nhưng chúng tôi vẫn chưa nhận được phản hồi trước thời điểm xuất bản.

Nguồn: bleepingcomputer.com

Norton Healthcare discloses data breach after May ransomware attack

Tue, 12 Dec 2023 06:00:00 GMT

Kentucky health system Norton Healthcare has confirmed that a ransomware attack in May exposed personal information belonging to patients, employees, and dependents.

Norton Healthcare serves adult and pediatric patients in more than 40 clinics and hospitals across Greater Louisville, Southern Indiana, and the Commonwealth of Kentucky.

With over 20,000 employees, more than 1,750 employed medical providers, and over 3,000 total providers on its medical staff, Norton Healthcare is Louisville's second-largest employer, with more than 140 locations throughout Greater Louisville and Southern Indiana.

"On May 9, 2023, Norton Healthcare discovered that it was experiencing a cybersecurity incident, later determined to be a ransomware attack," it said in a press release published on December 8th.

"Norton Healthcare notified federal law enforcement and immediately began working with a respected forensic security provider to investigate and terminate the unauthorized access.

"Our investigation determined that an unauthorized individual(s) gained access to certain network storage devices between May 7, 2023, and May 9, 2023, but did not access Norton Healthcare's medical record system or Norton MyChart."

The attackers gained access to a wide range of sensitive information, including name, contact information, Social Security Number, date of birth, health information, insurance information, and medical identification numbers.

Norton Healthcare says that, for some individuals (likely employees), the exposed data may have also included financial account numbers, driver's licenses or other government ID numbers, and digital signatures.

Potentially affected individuals will receive two years of free credit protection services and additional information in breach notification letters.

Ransomware attack claimed by BlackCat/ALPHV

While Norton Healthcare didn't link the attack to a specific ransomware operation, the attack was claimed in late May by the ALPHV (BlackCat) gang.

The attackers claimed in an entry added to their dark web leak site that they allegedly stole 4.7TB of data from the healthcare system's compromised systems, as DataBreaches reported.

The ransomware gang also leaked dozens of files as proof of the breach and data exfiltration, containing some Norton Healthcare patients' Social Security numbers, bank statements, and more.

BleepingComputer reported on December 9th that an ongoing outage affecting ALPHV's websites could be connected to a law enforcement operation.

Norton Healthcare is just one of a long string of healthcare organizations in the United States that have fallen victim to ransomware.

For instance, healthcare provider Ardent Health Services, which operates 30 hospitals across six U.S. states, also disclosed last month that it was hit by a ransomware attack.

Since last year, the U.S. government has issued multiple cautionary advisories regarding ransomware attacks targeting healthcare institutions nationwide.

One such advisory came from the security team at the U.S. Department of Health and Human Services (HHS) about ransomware operations like Royal, Venus, Maui, and Zeppelin targeting Healthcare and Public Health (HPH) organizations.

In October 2022, the Cybersecurity and Infrastructure Security Agency (CISA), Federal Bureau of Investigation (FBI), and the HHS notified hospitals about the Daixin Team cybercrime gang's active targeting of healthcare facilities in ransomware attacks.

Source: BleepingComputer

Norton Healthcare tiết lộ tấn công dữ liệu sau cuộc tấn công ransomware tháng 5

Tue, 12 Dec 2023 06:00:00 GMT

Hệ thống y tế Kentucky Norton Healthcare đã xác nhận một cuộc tấn công bằng ransomware vào tháng 5 đã làm lộ thông tin cá nhân của bệnh nhân, nhân viên và người phụ thuộc.

Norton Healthcare phục vụ bệnh nhân người lớn và trẻ em tại hơn 40 phòng khám và bệnh viện trên khắp Greater Louisville, Southern Indiana và Commonwealth Kentucky.

Với hơn 20.000 nhân viên, hơn 1.750 nhà cung cấp dịch vụ y tế được tuyển dụng và hơn 3.000 nhà cung cấp trong đội ngũ nhân viên y tế của mình, Norton Healthcare là nhà tuyển dụng lớn thứ hai của Louisville, với hơn 140 địa điểm trên khắp Greater Louisville và Southern Indiana.

“Vào ngày 9 tháng 5 năm 2023, Norton Healthcare phát hiện ra rằng họ đang gặp sự cố an ninh mạng, sau đó được xác định là một cuộc tấn công bằng ransomware,” Norton Healthcare cho biết trong một thông cáo báo chí được công bố vào ngày 8 tháng 12.

"Norton Healthcare đã thông báo cho cơ quan thực thi pháp luật liên bang và ngay lập tức bắt đầu làm việc với một nhà cung cấp dịch vụ bảo mật pháp y có uy tín để điều tra và chấm dứt hành vi truy cập trái phép.

"Cuộc điều tra của chúng tôi xác định rằng (các) cá nhân trái phép đã có được quyền truy cập vào một số thiết bị lưu trữ mạng nhất định trong khoảng thời gian từ ngày 7 tháng 5 năm 2023 đến ngày 9 tháng 5 năm 2023, nhưng không truy cập vào hệ thống hồ sơ y tế của Norton Healthcare hoặc Norton MyChart."

Những kẻ tấn công đã có được quyền truy cập vào nhiều loại thông tin nhạy cảm, bao gồm tên, thông tin liên hệ, Số an sinh xã hội, ngày sinh, thông tin sức khỏe, thông tin bảo hiểm và số nhận dạng y tế.

Norton Healthcare cho biết, đối với một số cá nhân (có thể là nhân viên), dữ liệu bị lộ cũng có thể bao gồm số tài khoản tài chính, giấy phép lái xe hoặc số ID chính phủ khác và chữ ký điện tử.

Các cá nhân có khả năng bị ảnh hưởng sẽ nhận được hai năm dịch vụ bảo vệ tín dụng miễn phí và thông tin bổ sung trong thư thông báo vi phạm.

Cuộc tấn công ransomware BlackCat/ALPHV được xác nhận

Mặc dù Norton Healthcare không liên kết cuộc tấn công với một hoạt động ransomware cụ thể, nhưng cuộc tấn công đã được nhóm ALPHV (BlackCat) tuyên bố vào cuối tháng 5.

Những kẻ tấn công đã tuyên bố trong một mục được thêm vào trang web đen rò rỉ của chúng bị cáo buộc đã đánh cắp 4,7 TB dữ liệu từ các hệ thống bị xâm nhập của hệ thống chăm sóc sức khỏe, như DataBreaches đã báo cáo.

Nhóm ransomware cũng đã rò rỉ hàng chục tệp làm bằng chứng cho việc vi phạm và đánh cắp dữ liệu, bao gồm số An sinh xã hội, bảng sao kê ngân hàng của một số bệnh nhân Norton Healthcare, v.v.

Ngày 9 tháng 12, BleepingComputer đã báo cáo rằng tình trạng ngừng hoạt động liên tục ảnh hưởng đến các trang web của ALPHV có thể liên quan đến hoạt động thực thi pháp luật.

Norton Healthcare chỉ là một trong một chuỗi dài các tổ chức chăm sóc sức khỏe ở Hoa Kỳ trở thành nạn nhân của ransomware.

Chẳng hạn, nhà cung cấp dịch vụ chăm sóc sức khỏe Ardent Health Services, nơi điều hành 30 bệnh viện trên sáu tiểu bang của Hoa Kỳ, cũng tiết lộ vào tháng trước rằng họ đã bị tấn công bằng ransomware.

Kể từ năm ngoái, chính phủ Hoa Kỳ đã ban hành nhiều cảnh báo liên quan đến các cuộc tấn công bằng ransomware nhắm vào các tổ chức chăm sóc sức khỏe trên toàn quốc.

Một lời khuyên như vậy đến từ đội ngũ bảo mật tại Bộ Y tế và Dịch vụ Nhân sinh Hoa Kỳ (HHS) về các hoạt động ransomware như Royal, Venus, Maui và Zeppelin nhắm mục tiêu vào các tổ chức Chăm sóc sức khỏe và Y tế Công cộng (HPH).

Vào tháng 10 năm 2022, Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA), Cục Điều tra Liên bang (FBI) và HHS đã thông báo cho các bệnh viện về việc nhóm tội phạm mạng Daixin Team đang tích cực nhắm mục tiêu vào các cơ sở chăm sóc sức khỏe trong các cuộc tấn công bằng ransomware.

Nguồn: bleepingcomputer.com

Amazon kiện băng đảng lừa đảo REKK đã lấy trộm hàng triệu USD tiền hoàn trả bất hợp pháp

Mon, 11 Dec 2023 13:37:58 GMT

Đội ngũ Thực thi và Bảo vệ Khách hàng của Amazon đã thực hiện hành động pháp lý chống lại chương trình hoàn tiền của cửa hàng ngầm dẫn đến việc đánh cắp các sản phẩm trị giá hàng triệu đô la từ các nền tảng trực tuyến của Amazon.

Theo đơn khiếu nại, vụ kiện này nhắm vào 20 thành viên của một tổ chức lừa đảo quốc tế có tên REKK, cũng như 7 cựu nhân viên của Amazon, những người đóng vai trò là nội gián độc hại.

Hoạt động như một băng nhóm Tội phạm bán lẻ có tổ chức (ORC) trên khắp các diễn đàn trực tuyến và mạng xã hội, nhà cung cấp dịch vụ lừa đảo này hoàn lại tiền bất hợp pháp cho các cá nhân để đổi lấy một khoản phí.

Các cá nhân đang tìm kiếm các mặt hàng miễn phí, như iPad hoặc MacBook, mua một mặt hàng và sau đó trả cho REKK một khoản phí, thường là tỷ lệ phần trăm (ví dụ: 30%) giá thành sản phẩm, để đảm bảo được hoàn tiền lừa đảo. 'Khách hàng' đã đặt hàng thông qua nền tảng bán lẻ trực tuyến của Amazon và sau đó cung cấp chi tiết đơn hàng cho dịch vụ hoàn tiền gian lận.

REKK sau đó đã yêu cầu hoàn lại tiền, thao túng các đại diện hỗ trợ của Amazon thông qua các cuộc tấn công phi kỹ thuật (social engineering), truy cập trái phép vào hệ thống của Amazon và hối lộ người trong nội bộ để đảm bảo hoàn lại tiền mà không trả lại sản phẩm đã mua. Sau khi hoàn tiền thành công, ‘khách hàng’ đã chia phần cho REKK.

Là một nhóm lừa đảo hoàn tiền, REKK nằm trong số các thực thể lớn hơn trong các ngành ngầm cung cấp các dịch vụ hoàn tiền gian lận.

Vào tháng 11 năm 2019, REKK tuyên bố trên Nulled đã hoàn tiền gian lận cho hơn 100.000 đơn đặt hàng từ nhiều nhà bán lẻ khác nhau (ví dụ: LuLu Lemon, bol., Samsung, ASOS, Nike và Home Depot) cho hơn 30.000 khách hàng trên toàn thế giới, không chỉ giới hạn ở Amazon.

Tài khoản Nulled của REKK (BleepingComputer)

Các thành viên của REKK đang nhắm mục tiêu đến các thị trường trực tuyến của Amazon trên khắp Hoa Kỳ, Canada và Châu Âu và họ sử dụng nhiều tài khoản Telegram khác nhau như "@refundingclub", "@rekks", "@rekksupport" và "@rekkvouches" để quảng cáo dịch vụ của chúng và tương tác với các cá nhân đang tìm kiếm khoản tiền hoàn lại bất hợp pháp từ Amazon.

Ngoài ra, chúng quảng bá dịch vụ của mình và tương tác với những cá nhân muốn hoàn tiền trên các nền tảng như Nulled (sử dụng tên người dùng "rekk"), Reddit (hoạt động dưới tên người dùng "rekksalt" và trong subreddit "r/REKKRefundService") và Discord (với tên người dùng "rekk#5319").

Đáng chú ý, kênh Telegram chính @refundingclub của nhóm đã có hơn 35.000 người đăng ký vào ngày 5 tháng 12 và quảng cáo công khai các dịch vụ hoàn tiền mà họ thừa nhận là gian lận.

Những quảng cáo cần bán trên kênh Telegram REKK (BleepingComputer)

Luật sư về tội phạm mạng của Amazon, Jamie Wendell cho biết: “Chỉ riêng trong tháng 11, Amazon đã hỗ trợ các cơ quan thực thi pháp luật trên khắp ba châu lục hành động chống lại nhiều nhóm hoàn tiền, dẫn đến việc bắt giữ và làm gián đoạn các tổ chức chịu trách nhiệm về vụ lừa đảo hàng triệu đô la”.

"Người dùng dịch vụ hoàn tiền bất hợp pháp nên biết rằng đây không phải là tội phạm không có nạn nhân và hoạt động này sẽ gây ra hậu quả thực sự. Amazon vẫn kiên định với cam kết của chúng tôi trong việc truy đuổi những kẻ xấu ORC để ngăn chặn những âm mưu này."

Hoạt động Hoàn tiền dưới dạng dịch vụ thường chia sẻ ảnh chụp màn hình về các khoản tiền hoàn lại bất hợp pháp của Amazon lên kênh Telegram của chúng để làm bằng chứng cho thấy dịch vụ của chúng vẫn hoạt động.

Bằng chứng hoàn tiền REKK (BleepingComputer)

Chỉ riêng năm ngoái, Amazon cho biết họ đã chi ít nhất 1,2 tỷ USD để thuê các nhà điều tra được giao nhiệm vụ rà soát các hoạt động một cách thủ công nhằm ngăn chặn các hành vi gian lận và lực lượng lao động hơn 15.000 cá nhân để chống trộm, lừa đảo và lạm dụng trên các nền tảng bán lẻ của mình.

Khi phát hiện hoạt động gian lận, công ty cho biết phải thực hiện một số biện pháp để ngăn chặn hoạt động này, bao gồm cảnh báo khách hàng, chấm dứt tài khoản và chặn các cá nhân liên quan đến gian lận hoàn tiền tạo tài khoản mới.

Nguồn: bleepingcomputer.com

Amazon sues REKK fraud gang that stole millions in illicit refunds

Mon, 11 Dec 2023 11:06:42 GMT

Amazon's Customer Protection and Enforcement team has taken legal action against an underground store refund scheme that has resulted in the theft of millions of dollars worth of products from Amazon's online platforms.

This lawsuit targets 20 members of an international fraudulent organization known as REKK, as well as seven former Amazon employees who acted as malicious insiders, according to the complaint.

Operating as an Organized Retail Crime (ORC) gang across online forums and social media, this fraud service provider provides illicit refunds for individuals in exchange for a fee.

Individuals seeking free items, like iPads or MacBooks, purchase an item and then pay REKK a fee, usually a percentage (e.g., 30%) of the product's cost, to secure a deceptive refund. The 'customers' placed an order through Amazon’s online retail platform and then provided the order details to the fraudulent refund service.

REKK then requested a refund, manipulating Amazon’s support representatives through social engineering tactics, unauthorized access to Amazon systems, and bribing insiders to secure a refund without returning the purchased product. After a successful refund, the ‘customers’ gave REKK their cut.

As a refund fraud gang, REKK stands among the larger entities in an underground industry offering fraudulent refund services.

In November 2019, REKK claimed on Nulled to have fraudulently refunded over 100,000 orders across various retailers (e.g., LuLu Lemon, bol., Samsung, ASOS, Nike, and Home Depot) to more than 30,000 customers worldwide, not solely limited to Amazon.

REKK's Nulled account (BleepingComputer)

REKK's members are targeting Amazon online marketplaces across the United States, Canada, and Europe, and they use various Telegram accounts such as "@refundingclub," "@rekks," "@rekksupport," and "@rekkvouches" to promote their services and engage with individuals seeking illegitimate refunds from Amazon.

Additionally, they promote their services and engage with refund-seeking individuals on platforms like Nulled (using the username "rekk"), Reddit (operating under the username "rekksalt" and within the subreddit "r/REKKRefundService"), and Discord (with the username "rekk#5319").

Notably, the group's main Telegram channel @refundingclub had over 35,000 subscribers on December 5 and openly advertised refund services they acknowledged as fraud.

REKK Telegram channel for sale (BleepingComputer)

"In November alone, Amazon supported law enforcement agencies across three continents to take action against multiple refund groups, resulting in arrests and the disruption of organizations responsible for millions of dollars in fraud," said Amazon cybercrime attorney Jamie Wendell.

"Users of illicit refund services should know this is not a victimless crime and real consequences exist for this activity. Amazon remains steadfast in our commitment to pursue ORC bad actors to stop these schemes."

The Refund-as-a-Service operation commonly shares screenshots of illicit Amazon refunds to their Telegram channel as proof that their service works.

REKK proof of refund (BleepingComputer)

Last year alone, Amazon says it spent at least $1.2 billion employing investigators tasked with scrutinizing activities manually to deter fraudulent practices and a workforce exceeding 15,000 individuals to combat theft, fraud, and abuse across its retail platforms.

Upon detecting fraudulent activity, the company says it takes several measures to stop it, including alerting customers, terminating accounts, and blocking individuals involved in refund fraud from creating new accounts.

Source: BleepingComputer

HTC Global Services confirms cyberattack after data leaked online

Mon, 11 Dec 2023 00:00:00 GMT

IT services and business consulting company HTC Global Services has confirmed that they suffered a cyberattack after the ALPHV ransomware gang began leaking screenshots of stolen data.

HTC Global Services is a managed service provider offering technology and business services to the healthcare, automotive, manufacturing, and financial industries.

While HTC has not posted a statement to the company website, they issued a brief announcement evening of December 4th on X confirming the attack.

"HTC has experienced a cybersecurity incident," reads a tweet posted to HTC's X account evening of December 4th.

"Our team has been actively investigating and addressing the situation to ensure the security and integrity of user data."

"We've enlisted cybersecurity experts and are working to resolve it. Your trust is our priority."

This announcement comes after the ALPHV (BlackCat) ransomware gang listed HTC on their data leak site, along with screenshots of allegedly stolen data.

The leaked data includes passports, contact lists, emails, and confidential documents allegedly stolen during the attack.

HTC Global Services entry on the ALPHV data leak site

While little information about the attack on HTC is available, cybersecurity professional Kevin Beaumont believes the company was breached using the Citrix Bleed vulnerability.

According to Beaumont, one of HTC's business units, CareTech, operated a vulnerable Citrix Netscaler device, which was exploited for initial access to the company's network.

BleepingComputer has contacted HTC Global Services with questions about the attack and whether they were breached using Citrix Bleed, but a response was not immediately available.

ALPHV is amassing victims

The ALPHV/BlackCat ransomware operation launched in November 2021, is believed to be a rebrand of the DarkSide and BlackMatter ransomware operations.

As DarkSide, the group gained international attention after they breached Colonial Pipeline, leading to intense pressure from law enforcement agencies globally.

After rebranding again as BlackMatter in July 2021, their operations abruptly ceased in November 2021 when authorities seized their servers, and security firm Emsisoft created a decryptor exploiting a ransomware vulnerability.

This ransomware operation is known for consistently targeting global enterprises and continuously adapting and refining their tactics, and has seen a surge in attacks recently.

This evolution includes working with English-speaking threat actors, who utilize their encryptors and infrastructure to launch extortion attacks.

In a recent incident, a group of English-speaking affiliates tracked as Scattered Spider claimed responsibility for the attack on MGM Resorts, saying they encrypted over 100 ESXi hypervisors during the attack.

Last week, one ALPHV affiliate claimed to have stolen data from Tipalti and said they have begun to extort impacted companies individually.

The company has also recently attacked a publicly owned electricity provider and a hospital network, both classified as critical infrastructure in the United States.

The attacks on critical infrastructure may once again be the tipping point that leads to increased scrutiny by US law enforcement.

Source: bleepingcomputer.com

john-partner-us

TP-Link fixes critical RCE bug in popular C5400X gaming router

The TP-Link Archer C5400X gaming router is vulnerable to security flaws that could enable an unauthenticated, remote attacker to execute commands on the device.

Vulnerability details

Fix available

TP-Link sửa lỗi RCE nghiêm trọng trong bộ định tuyến chơi game C5400X phổ biến

Bộ định tuyến chơi game TP-Link Archer C5400X dễ mắc phải các lỗi bảo mật có thể cho phép kẻ tấn công từ xa, không được xác thực thực thi các lệnh trên thiết bị.

Chi tiết về lỗ hổng

Đã có bản sửa lỗi

Hackers target Check Point VPNs to breach enterprise networks

Threat actors are targeting Check Point Remote Access VPN devices in an ongoing campaign to breach enterprise networks, the company warned in a May 27 advisory.

​Cisco VPN devices also heavily targeted

Tin tặc nhắm mục tiêu VPN Check Point để xâm nhập mạng doanh nghiệp

Ngày 27 tháng 5 Check Point đã cảnh báo rằng các tác nhân đe dọa đang nhắm mục tiêu vào các thiết bị VPN truy cập từ xa của Check Point trong một chiến dịch đang diễn ra nhằm xâm phạm mạng doanh nghiệp.

Các thiết bị Cisco VPN cũng bị nhắm mục tiêu

Sav-Rx discloses data breach impacting 2.8 million Americans

Prescription management company Sav-Rx is warning over 2.8 million people in the United States that it suffered a data breach, stating that their personal data was stolen in a 2023 cyberattack.

Hackers phish finance orgs using trojanized Minesweeper clone

Hackers are utilizing code from a Python clone of Microsoft's venerable Minesweeper game to hide malicious scripts in attacks on European and US financial organizations.

Attack details

Tin tặc lừa đảo các tổ chức tài chính bằng cách sử dụng bản sao Minesweeper bị trojan hóa

Tin tặc đang sử dụng mã từ bản sao Python của trò chơi Minesweeper nổi tiếng của Microsoft để che giấu các tập lệnh độc hại trong các cuộc tấn công vào các tổ chức tài chính châu Âu và Mỹ.

Chi tiết cuộc tấn công

Sav-Rx tiết lộ vụ tấn công dữ liệu ảnh hưởng đến 2,8 triệu người Mỹ

Công ty quản lý đơn thuốc Sav-Rx cảnh báo hơn 2,8 triệu cá nhân ở Hoa Kỳ việc họ đã bị vi phạm dữ liệu và dữ liệu cá nhân của họ đã bị đánh cắp trong một cuộc tấn công mạng năm 2023.

Indian man stole $37 million in crypto using fake Coinbase Pro site

An Indian national pleaded guilty to wire fraud conspiracy for stealing over $37 million through a fake Coinbase website used to steal credentials.

Stealing Coinbase credentials

Một công dân Ấn Độ đã đánh cắp 37 triệu đô la tiền điện tử bằng cách sử dụng trang Coinbase Pro giả mạo

Một công dân Ấn Độ đã nhận tội âm mưu lừa đảo để đánh cắp hơn 37 triệu đô la thông qua trang web Coinbase giả được sử dụng để đánh cắp thông tin xác thực.

Ăn cắp thông tin đăng nhập của Coinbase

Microsoft spots gift card thieves using cyber-espionage tactics

Microsoft has published a "Cyber Signals" report sharing new information about the hacking group Storm-0539 and a sharp rise in gift card theft as we approach the Memorial Day holiday in the United States.

Storm-0539 profile and modus operandi

Defense recommendations

Microsoft phát hiện kẻ trộm thẻ quà tặng bằng chiến thuật gián điệp mạng

Microsoft đã ra thông báo "Cyber Signals" chia sẻ thông tin mới về nhóm hack Storm-0539 và sự gia tăng mạnh mẽ nạn trộm thẻ quà tặng khi chúng ta sắp đến kỳ nghỉ Lễ Tưởng niệm ở Hoa Kỳ.

Hồ sơ và phương thức hoạt động của Storm-0539

Khuyến nghị phòng thủ

Apple wasn’t storing deleted iOS photos in iCloud after all

Security researchers reverse-engineered Apple's recent iOS 17.5.1 update and found that a recent bug that restored images deleted months or even years ago was caused by an iOS bug and not an issue with iCloud.

Reappearing images

Researchers give the answer

Apple đã không lưu trữ ảnh iOS đã xóa trong iCloud

Hình ảnh đã bị xóa được khôi phục lại

Các nhà nghiên cứu đưa ra câu trả lời

Northern Ireland police faces £750k fine after exposing staff info

The United Kingdom's Information Commissioner Office (ICO) intends to impose a fine of £750,000 ($954,000) on the Police Service of Northern Ireland (PSNI) for exposing the entire workforce's personal details by mistakenly publishing a spreadsheet online.

Microsoft to start killing off VBScript in second half of 2024

Microsoft announced on May 22 that it will start deprecating VBScript in the second half of 2024 by making it an on-demand feature until it's completely removed.

Intercontinental Exchange to pay $10M SEC penalty over VPN breach

The Intercontinental Exchange (ICE) will pay a $10 million penalty to settle charges brought by the U.S. Securities and Exchange Commission (SEC) after failing to ensure its subsidiaries promptly reported an April 2021 VPN security breach.

Breached by suspected state hackers

Cảnh sát Bắc Ireland đối mặt với mức phạt 750 nghìn bảng sau khi tiết lộ thông tin nhân viên

Sàn giao dịch liên lục địa phải trả 10 triệu USD tiền phạt SEC vì vi phạm bảo mật VPN

Microsoft bắt đầu khai tử VBScript vào nửa cuối năm 2024

Ngày 22 tháng 5, Microsoft đã thông báo sẽ bắt đầu ngừng sử dụng VBScript vào nửa cuối năm 2024 bằng cách biến nó thành một Features on Demand (FOD) cho đến khi bị loại bỏ hoàn toàn.

LastPass is now encrypting URLs in password vaults for better security

LastPass announced it will start encrypting URLs stored in user vaults for enhanced privacy and protection against data breaches and unauthorized access.

Value of encrypted URLs

Rolling out encryption

LastPass hiện đang mã hóa URL trong kho lưu trữ của người dùng để bảo mật tốt hơn

LastPass thông báo họ sẽ bắt đầu mã hóa các URL được lưu trữ trong kho lưu trữ của người dùng để nâng cao quyền riêng tư và bảo vệ khỏi vi phạm dữ liệu và truy cập trái phép.

Giá trị của URL được mã hóa

Triển khai mã hóa

Norway recommends replacing SSL VPN to prevent breaches

The Norwegian National Cyber Security Centre (NCSC) recommends replacing SSLVPN/WebVPN solutions with alternatives due to the repeated exploitation of related vulnerabilities in edge network devices to breach corporate networks.

An abundance of exploited SSLVPN flaws

Na Uy khuyến nghị thay thế SSL VPN để ngăn chặn tấn công

Trung tâm An ninh Mạng Quốc gia Na Uy (NCSC) khuyến nghị thay thế các giải pháp SSLVPN/WebVPN bằng các giải pháp thay thế do việc khai thác nhiều lần các lỗ hổng liên quan trong các thiết bị mạng biên để xâm nhập mạng công ty.

Rất nhiều lỗ hổng SSLVPN bị khai thác

MediSecure e-script firm hit by ‘large-scale’ ransomware data breach

Electronic prescription provider MediSecure in Australia has shut down its website and phone lines following a ransomware attack believed to originate from a third-party vendor.

Nhà cung cấp thuốc kê đơn điện tử MediSecure bị tấn công dữ liệu ransomware 'quy mô lớn'

Nhà cung cấp thuốc kê đơn điện tử MediSecure ở Úc đã đóng cửa trang web và đường dây điện thoại của mình sau một cuộc tấn công bằng ransomware được cho là có nguồn gốc từ một nhà cung cấp bên thứ ba.

Singing River Health System: Data of 895,000 stolen in ransomware attack

The Singing River Health System is warning that it is now estimating that 895,204 people are impacted by a ransomware attack it suffered in August 2023.

Hệ thống Y tế Singing River cho biết: Dữ liệu của 895.000 người bị đánh cắp trong cuộc tấn công bằng ransomware

Hệ thống Y tế Singing River đưa ra cảnh báo rằng họ hiện ước tính có 895.204 người bị ảnh hưởng bởi cuộc tấn công bằng ransomware mà họ phải hứng chịu vào tháng 8 năm 2023.

Apple and Google add alerts for unknown Bluetooth trackers to iOS, Android

Cisco VPN devices also heavily targeted

Microsoft đã phát hành bản cập nhật hotfix để giải quyết nhiều sự cố ảnh hưởng đến máy chủ Exchange sau khi cài đặt bản cập nhật bảo mật tháng 3 năm 2024.