本周热点事件威胁情报
1、研究人员发现The Gentlemen勒索组织发起的攻击活动
2025年8月,研究人员调查了一场由The Gentlemen勒索组织发起的新型勒索软件活动,该组织是一个新兴且此前未被记录的勒索组织。该组织针对多个行业和地区进行攻击,重点关注制造业、建筑业、医疗保健和保险业等一系列行业,攻击范围至少覆盖17个国家。该勒索组织利用合法的驱动程序来进行规避,滥用组策略对象(GPO)促进域范围的破坏,并部署了旨在禁用环境中现有安全解决方案的自定义恶意工具。The Gentlemen勒索组织使用WinSCP进行加密的数据外传,以及通过AnyDesk远程访问软件和修改注册表设置来建立持久化机制。该勒索组织会留下一个名称为“README-GENTLEMEN.txt”的勒索信,被加密文件的扩展名会被更改为“.7mtzhh”。
https://www.trendmicro.com/en_us/research/25/i/unmasking-the-gentlemen-ransomware.html
2、研究人员对CyberVolk勒索软件进行分析
CyberVolk勒索组织出现于2024年5月。该组织近期声称已对日本、法国和英国等国的关键基础设施以及科学机构发动了攻击。Telegram是该组织主要使用的通信渠道。该勒索软件用于加密的密钥在主函数启动之前生成,所有文件都使用相同的对称密钥进行加密,而用于加密的算法是AES和ChaCha20-Poly1305。用于加密的Nonce值对于每个文件都是随机生成的。然而,由于该值未存储在加密文件中,因此被加密的文件无法被解密。
https://asec.ahnlab.com/en/90077/
3、Akira勒索组织正在利用CVE-2024-40766进行攻击活动
Akira勒索组织正在积极利用CVE-2024-40766漏洞以获取对SonicWall设备的访问权限。攻击者正利用该安全漏洞,通过未打补丁的SonicWall SSL VPN端点入侵目标网络。SonicWall早在去年8月就发布了针对CVE-2024-40766的补丁,并将其标记为已被积极利用。该漏洞允许未经授权的资源访问,并可能导致防火墙崩溃。澳大利亚网络安全中心(ACSC)对此发出警报,警告各组织注意这一新的恶意活动,并敦促立即采取行动。网络安全公司也发现了类似的迹象,称Akira勒索组织对SonicWall设备的攻击最近再次活跃。
https://www.bleepingcomputer.com/news/security/akira-ransomware-exploiting-critical-sonicwall-sslvpn-bug-again/
4、KillSec勒索组织声称对MedicSolution进行攻击
2025年9月8日,KillSec勒索组织声称对巴西医疗行业软件解决方案提供商MedicSolution发动了网络攻击。泄露的数据总量超过34GB,包含超过94818个文件,包括:医疗评估、医学实验室结果、X光片、未经处理的患者照片(包括显示身体部位的照片)、与未成年人相关的记录。研究人员发现,泄露的数据文件属于巴西当地的医疗机构和医学实验室,包括但不限于Vita Exame、Clinica Especo Vida、Centro Diagnostico Toledo、Labclinic、Laboratório Alvaro等。
https://www.resecurity.com/blog/article/killsec-ransomware-is-attacking-healthcare-institutions-in-brazil
5、INC Ransom勒索组织声称入侵巴拿马财政经济部
巴拿马财政经济部(MEF)透露,其一台计算机可能在一次网络攻击中遭到入侵。该政府部门指出,他们已启动针对此类情况的安全程序,并表示事件已得到遏制,并未影响其核心系统。MEF表示,个人和机构数据是安全的,并且已采取措施来防止未来发生类似事件。然而,INC Ransom勒索组织通过其数据泄露网站发布消息,声称对MEF发动了攻击,并表示从MEF的系统中窃取了超过1.5TB的数据,包括电子邮件、财务文件、预算详情等。目前MEF尚未对此进行证实。
https://www.bleepingcomputer.com/news/security/panama-ministry-of-economy-discloses-breach-claimed-by-inc-ransomware/
浙公网安备 33010502006954号 
