毕马威荷兰分部遭Nova勒索软件攻击

首页 > 安全钻研 > 安全传递 > 安全简讯

毕马威荷兰分部遭Nova勒索软件攻击

颁布功夫 2026-01-29

1. 毕马威荷兰分部遭Nova勒索软件攻击

1月26日，近日，荷兰毕马威管帐师事务所荷兰分部遭逢活跃勒索软件组织Nova的供给链攻击，成为该组织最新指标。据勒索软件活动跟踪平台披露，攻击产生功夫与发现日期相近，攻击者宣称已窃取大量敏感数据，并发出为期10天的最后通牒，要求受害方联系交涉赎金支付。毕马威作为全球当先的专业服务机构，荷兰分部把握着涵盖金融服务、合规审计及企业运营的敏感客户数据，这次攻击切合Nova一贯的作案模式——专一于专业服务与金融行业的驰名企业。事务产生后，网络安全团队建议立即关闭已识此外有关域名基础设施，并亲昵监控网络内是否存在与勒索软件部署有关的横向移动活动。一旦发现与Nova有关的入侵痕�；蚬セ髦副�，必须立即启动应急预案。截至目前，毕马威官方尚未就此事务公开颁发申明，客户及有关方需亲昵关注其官方渠路后续传递，以获取事务影响评估及建复进展功夫表。

https://cybersecuritynews.com/nova-ransomware-breach-kpmg-netherlands/

2. TA584利用Tsundere Bot与XWorm木马执行勒索攻击链

1月28日，自2020年起，Proofpoint持续追踪的TA584初始接见代理近期活动激增，其通过Tsundere Bot与XWorm远程接见木马构建复杂攻击链，显著提升绕过静态检测能力，可能引发勒索软件攻击。该组织2025岁暮活动量较同年第一季度增长三倍，攻击领域从传统指标区（北美、英爱）扩大至德国、欧洲多国及澳大利亚。Tsundere Bot由卡巴斯基2023年纪录，关联俄语操作员及123 Stealer恶意软件，具备后门、加载器职能，需Node.js环境运行。其通过EtherHiding技术从以太坊区块链获取C2地址，并内置硬编码备用地址，通过WebSocket与C2服务器通讯，同时检测系统说话，若为独联体说话（如俄语）则遏制执行。该恶意软件可网络系统信息、执行肆意JS代码、充任SOCKS代理，并内置市场用于僵尸法式买卖。攻击链始于被入侵老旧账户发送的垂钓邮件，邮件蕴含指标唯一URL、地理围栏、IP过滤及沉定向链。用户经CAPTCHA验证后进入ClickFix页面，被诱导执行PowerShell号令，加载混合剧本将XWorm或Tsundere Bot注入内存，最终浏览器被沉定向至无害网站以覆盖攻击。

https://www.bleepingcomputer.com/news/security/initial-access-hackers-switch-to-tsundere-bot-for-ransomware-attacks/

3. 波兰电网遭逢网络攻击，约30个设施受到影响

1月28日，波兰电网12月下旬遭逢协同攻击，指标直指全国多个散布式能源资源（DER）站点，蕴含热电联产（CHP）设施、风能及太阳能调度系统。这次攻击虽未中断电力供给，但导致关键运营技术（OT）系统受损，败坏“无法建复的关键设备”，总损失达1.2吉瓦，占波兰能源供给的5%。据关键工业基础设施安全公司Dragos披露，受影响地址现实约30个，远超公开报路的12个。Dragos以中等信念将这次攻击归因于俄罗斯威胁行为体Electrum。该组织虽与Sandworm（APT44）存在沉叠，但被视为独立活动集群。此前，ESET曾汇报APT44使用DynoWiper恶意软件对波兰电网提议失败攻击，而Electrum的攻击指标更聚焦于散布式能源站点的调度系统、远程终端单元（RTU）、网络边缘设备、监控系统及基于Windows的机械等露出且易受攻击的系统。事务响应证据显示，攻击者对设备部署和操作方式有深刻理解，反复入侵多个站点的类似RTU和边缘设备配置。他们成功使多站点通讯设备失效，导致远程监控和节造职能失落，但发电职能未中断。部门OT/ICS设备配置败坏至无法复原，站点Windows系统被擦除。

https://www.bleepingcomputer.com/news/security/cyberattack-on-polish-energy-grid-impacted-around-30-facilities/

4. eScan更新服务器遭入侵致恶意更新分发

1月28日，eScan防病毒产品造作商MicroWorld Technologies 1月20日证实其区域更新服务器遭入侵，在两幼时窗堪②内向部门客户分发了恶意更新。该更新被分析为蕴含多阶段恶意软件，通过篡改eScan合法更新组件“Reload.exe”实现悠久化后门部署，导致系统hosts文件批改、更新服务衔接阻断及新安全界说接管失败。eScan暗示，这次事务源于未经授权接见区域服务器配置，允许恶意文件被搁置在更新分发蹊径中。公司强调该事务与产品自身缝隙无关，仅影响从特定区域集群下载更新的客户。事务产生后，eScan迅速隔离受影响基础设施、轮换身份验证凭证，并于1月21日颁布安全布告，自动通知并直接联系受影响客户，提供蕴含系统复原、更新职能沉启用及验证的建复更新法式。

https://www.bleepingcomputer.com/news/security/escan-confirms-update-server-breached-to-push-malicious-update/

5. FBI查封勒索软件团伙使用的RAMP网络犯罪论坛

1月28日，FBI结合美国佛罗里达州南区检察官办公室及司法部推算机犯罪部门查封了臭名远扬的RAMP网络犯罪论坛。该论坛作为俄语地下网络中少数仍公开允许推广勒索软件行动的平台，其Tor网站及明网域名ramp4u.io现已显示查封通知，并嘲讽式引用自身标语“唯一允许勒索软件的处所！”及俄罗斯动画角色玛莎眨眼图案。这次行动使法律部门可获取论坛用户数据，蕴含邮件、IP地址、私信等潜在犯罪证据，可能对操作安全忽略的威胁行为者执行身份鉴别与扣留。RAMP论坛由化名Orange的Mikhail Matveev于2021年7月缔造，旨在承接因DarkSide攻击Colonial Pipeline后俄语论坛不容勒索软件推广的空缺。Matveev此前为Babuk勒索软件治理员，该组织因攻击华盛顿特区警局后内部割裂，他利用Babuk原有Tor域名沉建RAMP。论坛上线初期遭DDoS攻击，Orange曾责怪Babuk前成员，但后者否定。Matveev在采访中泄漏，RAMP未实现盈利且持续受攻击，后逐步退出治理。

https://www.bleepingcomputer.com/news/security/fbi-seizes-ramp-cybercrime-forum-used-by-ransomware-gangs/

6. PackageGate缝隙揭示JavaScript包治理器安全缺点

1月28日，安全公司Koi近日披录为"PackageGate"的系列零日缝隙，影响NPM、PNPM、VLT和Bun等主流JavaScript包治理器。这些缝隙可绕过供给链防护机造，允许攻击者在依赖项中植入暗藏恶意代码，即便启用禁用性命周期剧本（--ignore-scripts）和锁定文件�；ご胧┤钥赡鼙焕�。钻研显示，npm存在严沉设计缺点：恶意Git依赖项可通过伪造的.npmrc文件代替Git二进造文件，触发远程代码执行；pnpm虽默认禁用剧本，但会在Git拉取时运行筹备剧本；vlt允许遍历tar包蹊径，攻击者可覆盖系统文件；Bun则因信赖包名而非源代码，存在包名沉用风险。更严格的是，pnpm和vlt的锁定文件机造失效，它们接受无齐全性哈希的远程tar包，使攻击者能在代码审查后批改内容。Koi汇报指出，攻击者可通过深度依赖树植入恶意包，凭据功夫、IP等信号定向投放恶意代码，锁定文件无法提供防护。

https://securityaffairs.com/187416/hacking/packagegate-bugs-let-attackers-bypass-protections-in-npm-pnpm-vlt-and-bun.html

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

宝运莱官方网站

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系宝运莱官方网站

安全钻研