勒索软件团伙怎样加密内华达州政府系统

首页 > 清静研究 > 清静转达 > 清静简讯

勒索软件团伙怎样加密内华达州政府系统

宣布时间 2025-11-10

1. 勒索软件团伙怎样加密内华达州政府系统

11月6日，内华达州8月遭遇勒索软件攻击，影响60余个政府机构，导致网站、电话系统及在线平台中止。州政府宣布的详细事后报告完整披露了攻击全貌：黑客自5月14日起通过恶意广告诱导州政府雇员下载伪装成系统治理工具（如WinSCP、PuTTY等）的木马程序，在装备安排后门；8月24日正式安排勒索软件前，已通过远程监控软件、加密隧道工具横向渗透，窃取26个账户凭证并扫除事务日志以掩饰行踪。攻击者最终删除备份卷、修改虚拟化治理服务器清静设置，在托管州虚拟机的所有服务器上安排勒索软件，导致全州服务瘫痪。面临�；诨镏菥芫Ц妒杲穑览�50名IT职员加班4,212小时（人为本钱25.9万美元）及外部供应商支持（总用度约130万美元），28天内恢复90%受影响数据及服务。与标准承包商费率相比，此举节约约47.8万美元。事务响应时代，微软DART、Mandiant等供应商提供统一支持、法证视察、工程恢复等服务，本钱明细透明果真。

https://www.bleepingcomputer.com/news/security/how-a-ransomware-gang-encrypted-nevada-governments-systems/

2. 俄Sandworm黑客组织对乌要害行业发动数据擦除攻击

11月6日，近期，俄罗斯国家支持的黑客组织Sandworm（又名APT44）对乌克兰教育、政府及粮食部分提倡多轮数据擦除恶意软件攻击，延续其自2022年以来针对该国的破损性行动。网络清静公司ESET在最新报告中指出，这些攻击集中在6月和9月，目的涵盖政府、能源、物流及粮食行业，其中粮食部分作为乌克兰战时主要收入泉源成为新焦点。数据擦除恶意软件如PathWiper、HermeticWiper等通过破损或删除文件、磁盘分区及主指导纪录实现彻底销毁，与勒索软件差别，其纯粹以破损为目的，导致系统难以恢复。此次攻击中，Sandworm安排了“ZeroLot”和“Sting”等变种，其中“Sting”通过以匈牙利古板菜肴命名的Windows使命执行，凸显攻击的隐藏性。初始会见权限多由UAC-0099（自2023年起活跃的威胁行为体）获取，随后转移给Sandworm安排擦除器。粮食行业首次成为主要攻击目的，反应出攻击者试图削弱乌克兰战时经济的战略意图。

https://www.bleepingcomputer.com/news/security/sandworm-hackers-use-data-wipers-to-disrupt-ukraines-grain-sector/

3. 西班牙KISS-FM遭Rhysida勒索软件攻击

11月6日，西班牙拥有百万听众的热门广播电台KISS-FM遭遇与俄罗斯关联的Rhysida勒索软件团伙袭击。该团伙在暗网拍卖据称窃取的数据，要求支付3个比特币（约30万美元）赎金，并设定7天限期，不然将出售或泄露数据。Rhysida以“双重勒索”战略著名，不但用勒索软件锁定命据，还威胁泄露以施压付款。攻击者提供的截图显示，被盗数据可能包括观众评分纪录、与西班牙数字化转型部交流的文件及发票，但员工小我私家数据泄露情形尚未明确。此次事务已引发对公众信托度下降、GDPR合规危害及商业关系扰乱的担心。Rhysida团伙自2023年5月建设以来，已声称攻击236个目的，笼罩教育、医疗、制造业、地方政府等领域。其攻击手段包括使用Microsoft Teams、Zoom和Putty平台举行恶意广告网络垂纶，熏染装备并窃取数据。

https://cybernews.com/security/ransomware-kissfm-spain-radio/

4. GlassWorm恶意软件卷土重来，OpenVSX再遭攻击

11月8日，曾影响OpenVSX和Visual Studio Code应用市场的GlassWorm恶意软件运动再度活跃，带来三款新VSCode扩展程序，累计下载量已超10,000次。该恶意软件通过Solana生意获取有用载荷，目的直指GitHub、NPM及OpenVSX账户凭证，以及49个扩展程序的加密钱币钱包数据。其焦点攻击手段是使用不可见的Unicode字符实现恶意操作，这种混淆技巧仍能绕过OpenVSX新引入的防御机制。此次攻击中，GlassWorm通过OpenVSX平台上传的三款扩展划分为：ai-driven-dev.ai-driven-dev（3,400次下载）、adhamu.history-in-sublime-merge（4,000次下载）、yasuyuky.transient-emacs（2,400次下载）。据清静机构Koi Security追踪，攻击者使用相同的基础设施，但更新了下令与控制（C2）端点和Solana生意战略，并已转向GitHub后又回归OpenVSX，批注其有意在多平台一连运营。阻止发稿，三款携带GlassWorm有用载荷的扩展仍可从OpenVSX下载，清静专家忠言用户需小心此类隐藏攻击。

https://www.bleepingcomputer.com/news/security/glassworm-malware-returns-on-openvsx-with-3-new-vscode-extensions/

5. NuGet恶意软件包潜在多年，2027年起激活破损性攻击

11月7日，代码清静公司Socket研究职员在NuGet开源包管理平台发明九个由开发者"shanhai666"宣布的恶意软件包，这些软件包外貌具备正当功效，实则包括隐藏的破损性有用载荷，妄想于2027年8月至2028年11月间激活。该恶意代码接纳概率触发机制，需知足特定日期条件及随机数阈值（大于80时触发），通过C#扩展要领将恶意逻辑透明注入数据库和PLC操作流程。此次攻击针对三大主流数据库（SQL Server、PostgreSQL、SQLite）及西门子S7工业控制装备，尤其以伪装成正当Sharp7库的"Sharp7Extend"软件包最为危险。该包通过附加"Extend"后缀诱导开发者误下载，当触发条件知足时，会以20%概率连忙终止主机历程，导致PLC客户端操作中止；或通过延迟写入机制（30-90分钟）使PLC写入操作有80%概率损坏，引发执行器下令丧失、清静系统失效等严重效果。阻止曝光时，这些软件包已被下载近9500次，涉及SqlUnicorn.Core、SQLite存储库等九个恶意包。现在，NuGet已下架相关软件包，但潜在影响规模普遍。

https://www.bleepingcomputer.com/news/security/malicious-nuget-packages-drop-disruptive-time-bombs/

6. 三星零日误差遭使用，LandFall特工软件定向攻击中东用户

11月7日，威胁行为者自2024年7月起使用三星Android图像处置惩罚库中的零日误差CVE-2025-21042，通过WhatsApp发送恶意DNG名堂图像文件，安排名为"LandFall"的特工软件，定向攻击中东地区特定三星Galaxy用户。该误差为libimagecodec.quram.so文件中的越界写入误差，严重级别达"严重"，允许远程攻击者执行恣意代码。只管三星于2025年4月修复此误差，但攻击运动已一连数月，影响Galaxy S22、S23、S24、Z Fold 4及Z Flip 4等旗舰机型。LandFall特工软件接纳双重手艺组件：加载器b.so认真检索和加载其他�？椋琒ELinux战略使用器l.so则修改装备清静设置以提升权限并建设长期性。该软件可基于硬件和SIM ID（如IMEI、IMSI）对装备举行指纹识别，并具备麦克风录音、通话录音、位置追踪、会见照片/联系人/短信/通话纪录/文件及浏览历史等特工功效，同时支持�？橹葱小⒊て诨⒓觳馓颖芎捅；と乒９セ髀肪断允荆褚釪NG文件末尾附加ZIP压缩包，通过WhatsApp撒播。研究职员剖析发明，伊拉克、伊朗、土耳其和摩洛哥为潜在目的国家。

https://www.bleepingcomputer.com/news/security/new-landfall-spyware-exploited-samsung-zero-day-via-whatsapp-messages/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究