新兴ShinySp1d3r勒索软件技术运营战术曝光

首页 > 安全钻研 > 安全传递 > 安全简讯

新兴ShinySp1d3r勒索软件技术运营战术曝光

颁布功夫 2025-11-21

1. 新兴ShinySp1d3r勒索软件技术运营战术曝光

11月19日，网络安全钻研人员披露了名为"ShinySp1d3r"的新型勒索软件即服务（RaaS）平台开发细节。该平台由与ShinyHunters、Scattered Spider及Lapsus$组织关联的威胁行为者创建，标志取这些团伙从使用第三方加密器转向自主开发�？姹鞠允�，ShinySp1d3r选取全自主研发架构，未复用LockBit或Babuk等已知代码库，具备多项创新职能。技术层面，该勒索软件使用ChaCha20加密算法共同RSA-2048�；に皆�，每个加密文件天生怪异扩大名并通过数学公式动态天生。文件头以"SPDR"开头、"ENDS"结尾，蕴含文件名、加密私钥及元数据。其传布机造支持通过SCM服务、WMI过程创建及GPO剧本部署实现横向渗入，并具备搜索盛开网络共享主机进行二次加密的能力。反分析个性蕴含挂钩EtwEventWrite函数阻断日志纪录、覆盖内存缓冲区防取证，以及通过写入随机.tmp文件填充磁盘空间故障数据复原。

https://www.bleepingcomputer.com/news/security/meet-shinysp1d3r-new-ransomware-as-a-service-created-by-shinyhunters/

2. 国际游戏科技公司IGT遭麒麟勒索软件攻击

11月20日，国际游戏科技公司（IGT）作为全球当先的赌场及在线平台数字游戏、体育博彩和金融科技供给商，近日被与俄罗斯关联的麒麟勒索软件组织认领。该组织在暗网泄露博客颁布IGT条款，宣称窃取了10GB数据，21,683个文件，涵盖从老虎机、彩票系统到PlaySports体育博彩平台等主题业务数据。IGT产品宽泛利用于全球100多个国度，逐日服务数百万玩家，其金融科技部门存储大量客户身份信息，面对身份偷窃风险。截至报路颁布，IGT未对此事作出回应。麒麟组织自2021年活动以来，2025年已成为最活跃的勒索软件组织，从前六个月发起超500起攻击，自2023年起已列出991名受害者，蕴含驰名企业、医疗机构及当局机构。其选取勒索软件即服务（RaaS）贸易模式，常使用双沉勒索战术：先索要解密赎金，再威胁泄露数据。

https://cybernews.com/news/igt-digital-gaming-leader-qilin-ransomware-attack-casino-fintech-sports-betting/

3. 俄罗斯VSK保险公司遭大规模网络攻击

11月19日，作为俄罗斯最大综合保险公司之一，总部位于莫斯科的VSK 11月13日公开确认遭逢“大规模网络攻击”，目前其官网、移动利用及数百万用户依赖的服务已持续下线一周。作为服务约3300万幼我客户和50多万家企业的行业巨头，VSK业务涵盖财富险、交通险、健全险等多领域，这次事务导致客户无法采办车险、批改保单、获取担保函或预约医疗服务，部门医疗机构因无法核实保险覆盖领域回绝服务，公司邮件系统亦中断，被迫建议客户通过平信提交征询。只管VSK强调“仅IT基础设施受影响，客户及合作同伴数据安全无虞”，但乌克兰黑客有关Telegram频路已颁布据称泄露的信息及备份文件截图，真实性待核实。公司同时忠告，其企业域名遭劫持，接见者会被沉定向至虚伪Telegram频路。目前攻击者身份及动机未明，俄罗斯网络安全专家揣摩为勒索软件攻击。

https://therecord.media/russia-vsk-cyberattack-outages

4. 意大利FS集团因Almaviva遭入侵致2.3TB数据泄露

11月20日，意大利国度铁路运营商FS Italiane集团因IT服务提供商Almaviva遭黑客入侵，导致2.3TB敏感数据泄露至暗网。黑客宣称窃取内容涵盖机密文件、技术文档、公共实体合同、人力资源档案、管帐数据及多家FS集团公司的齐全数据集，其中蕴含2025年第三季度的最新文件。D3Lab网络威胁谍报主管安德烈亚·德拉盖蒂明确排除该数据为2022年Hive勒索软件攻击回收利用的可能性，并指出转储文件按部门/公司组织的压缩存档结构与2024-2025年活跃的勒索软件组织及数据经纪人作案手法高度一致。只管Almaviva与FS集团均未回应媒体初期问询，但Almaviva后续通过本地媒体申明证实事务：其安全监控部门近期发现并隔离了一路影响公司系统的网络攻击，导致部门数据被盗。该公司已启动安全应对法式，确保关键服务运行，并通知警方、国度网络安全机构及数据�；せ�，目前调查仍在当局机构协助下进行，承诺以通明方式更新进展。目前，数据泄露是否蕴含乘客信息或影响FS集团以表的其他客户尚不明确。

https://www.bleepingcomputer.com/news/security/hacker-claims-to-steal-23tb-data-from-italian-rail-group-almavia/

5. Photocall盗版平台遭关关，超2600万用户受影响

11月20日，占有超2600万用户的盗版电视流媒体平台Photocall在创意与娱乐同盟（ACE）与DAZN结合调查后已终场运营。该平台未经授权提供来自60个国度的1127个电视频路接见服务，涵盖体育赛事直播、意甲联赛、NFL/NHL赛事及皇家马德里、巴塞罗那等俱乐部频路，用户散布以西班牙（30%）、墨西哥（13%）为主，德国、意大利、美国各占6%。只管未直接提供DAZN频路，但平台沉新分发了其合作同伴内容（如MotoGP和F1赛事），组成侵权。这次关关源于欧洲刑警组织协调的跨国法律行动，行动中查封69个犯法网站（年接见量超1180万），25个犯法IPTV服务被移交加密钱币提供商查封，查获价值5500万美元加密钱币，并启动44项新调查。Photocall域名已转移至ACE并沉定向至合法旁观网站，运营商赞成终场运营。

https://www.bleepingcomputer.com/news/security/tv-streaming-piracy-service-photocall-with-26m-yearly-visits-shut-down/

6. Salesforce与Gainsight应对数据窃�。撼废钆埔瞥�

11月20日，Salesforce在调查客户数据窃取攻击时，发现异�；疃从贕ainsight颁布的利用法式与Salesforce的表部衔接，而非自身CRM平台缝隙。该公司已撤销所有与该利用法式关联的接见令牌和刷新令牌，并临时将其从AppExchange移除，同时通知受影响客户并提供援手。这次事务与2025年8月Salesloft数据泄露模式类似，其时勒索组织“Scattered Lapsus$ Hunters”利用窃取的OAuth令牌，从客户Salesforce事俘中窃取了密码、AWS密钥等敏感信息，影响约760家公司，导致15亿笔纪录泄露，涉及Google、Cloudflare、Palo Alto Networks等驰名企业。ShinyHunters组织宣称，通过Salesloft Drift缝隙中窃取的密钥入侵Gainsight后，进一步获取了285个Salesforce事俘的接见权限。Gainsight此前已证实，攻击者通过与Salesloft Drift关联的被盗OAuth令牌入侵，泄露了企业联系信息。Salesforce强调，所有恶意活动均与表部利用法式衔接有关，而非平台自身缝隙。

https://www.bleepingcomputer.com/news/security/salesforce-investigates-customer-data-theft-via-gainsight-breach/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研