毕马威荷兰分部遭Nova勒索软件攻击

首页 > 清静研究 > 清静转达 > 清静简讯

毕马威荷兰分部遭Nova勒索软件攻击

宣布时间 2026-01-29

1. 毕马威荷兰分部遭Nova勒索软件攻击

1月26日，克日，荷兰毕马威会计师事务所荷兰分部遭遇活跃勒索软件组织Nova的供应链攻击，成为该组织最新目的。据勒索软件运动跟踪平台披露，攻击爆发时间与发明日期相近，攻击者宣称已窃取大宗敏感数据，并发出为期10天的最后通牒，要求受害方联系谈判赎金支付。毕马威作为全球领先的专业服务机构，荷兰分部掌握着涵盖金融服务、合规审计及企业运营的敏感客户数据，此次攻击切合Nova一直的作案模式——专注于专业服务与金融行业的着名企业。事务爆发后，网络清静团队建议连忙封闭已识别的相关域名基础设施，并亲近监控网络内是否保存与勒索软件安排相关的横向移动运动。一旦发明与Nova相关的入侵痕�；蚬セ髦副�，必需连忙启动应急预案。阻止现在，毕马威官方尚未就此事务果真揭晓声明，客户及相关方需亲近关注其官方渠道后续转达，以获取事务影响评估及修复希望时间表。

https://cybersecuritynews.com/nova-ransomware-breach-kpmg-netherlands/

2. TA584使用Tsundere Bot与XWorm木马实验勒索攻击链

1月28日，自2020年起，Proofpoint一连追踪的TA584初始会见署理近期运动激增，其通过Tsundere Bot与XWorm远程会见木马构建重大攻击链，显著提升绕过静态检测能力，可能引发勒索软件攻击。该组织2025年尾运动量较同年第一季度增添三倍，攻击规模从古板目的区（北美、英爱）扩展至德国、欧洲多国及澳大利亚。Tsundere Bot由卡巴斯基2023年岁录，关联俄语操作员及123 Stealer恶意软件，具备后门、加载器功效，需Node.js情形运行。其通过EtherHiding手艺从以太坊区块链获取C2地点，并内置硬编码备用地点，通过WebSocket与C2服务器通讯，同时检测系统语言，若为独联体语言（如俄语）则中止执行。该恶意软件可网络系统信息、执行恣意JS代码、充当SOCKS署理，并内置市场用于僵尸程序生意。攻击链始于被入侵老旧账户发送的垂纶邮件，邮件包括目的唯一URL、地理围栏、IP过滤及重定向链。用户经CAPTCHA验证后进入ClickFix页面，被诱导执行PowerShell下令，加载混淆剧本将XWorm或Tsundere Bot注入内存，最终浏览器被重定向至无害网站以掩饰攻击。

https://www.bleepingcomputer.com/news/security/initial-access-hackers-switch-to-tsundere-bot-for-ransomware-attacks/

3. 波兰电网遭受网络攻击，约30个设施受到影响

1月28日，波兰电网12月下旬遭受协同攻击，目的直指天下多个漫衍式能源资源（DER）站点，包括热电联产（CHP）设施、风能及太阳能调理系统。此次攻击虽未中止电力供应，但导致要害运营手艺（OT）系统受损，损坏“无法修复的要害装备”，总损失达1.2吉瓦，占波兰能源供应的5%。据要害工业基础设施清静公司Dragos披露，受影响所在现实约30个，远超果真报道的12个。Dragos以中等信心将此次攻击归因于俄罗斯威胁行为体Electrum。该组织虽与Sandworm（APT44）保存重叠，但被视为自力运动集群。此前，ESET曾报告APT44使用DynoWiper恶意软件对波兰电网提倡失败攻击，而Electrum的攻击目的更聚焦于漫衍式能源站点的调理系统、远程终端单位（RTU）、网络边沿装备、监控系统及基于Windows的机械等袒露且易受攻击的系统。事务响应证据显示，攻击者对装备安排和操作方法有深刻明确，重复入侵多个站点的类似RTU和边沿装备设置。他们乐成使多站点通讯装备失效，导致远程监控和控制功效损失，但发电功效未中止。部分OT/ICS装备设置损坏至无法恢复，站点Windows系统被擦除。

https://www.bleepingcomputer.com/news/security/cyberattack-on-polish-energy-grid-impacted-around-30-facilities/

4. eScan更新服务器遭入侵致恶意更新分发

1月28日，eScan防病毒产品制造商MicroWorld Technologies 1月20日证实其区域更新服务器遭入侵，在两小时窗堪②内向部分客户分发了恶意更新。该更新被剖析为包括多阶段恶意软件，通过改动eScan正当更新组件“Reload.exe”实现长期化后门安排，导致系统hosts文件修改、更新服务毗连阻断及新清静界说吸收失败。eScan体现，此次事务源于未经授权会见区域服务器设置，允许恶意文件被安排在更新分发路径中。公司强调该事务与产品自己误差无关，仅影响从特定区域集群下载更新的客户。事务爆发后，eScan迅速隔离受影响基础设施、轮换身份验证凭证，并于1月21日宣布清静通告，自动通知并直接联系受影响客户，提供包括系统恢复、更新功效重启用及验证的修复更新程序。

https://www.bleepingcomputer.com/news/security/escan-confirms-update-server-breached-to-push-malicious-update/

5. FBI查封勒索软件团伙使用的RAMP网络犯法论坛

1月28日，FBI团结美国佛罗里达州南区审查官办公室及司法部盘算机犯法部分查封了污名昭著的RAMP网络犯法论坛。该论坛作为俄语地下网络中少数仍果真允许推广勒索软件行动的平台，其Tor网站及明网域名ramp4u.io现已显示查封通知，并讥笑式引用自身口号“唯一允许勒索软件的地方！”及俄罗斯动画角色玛莎眨眼图案。此次行动使执法部分可获取论坛用户数据，包括邮件、IP地点、私信等潜在犯法证据，可能对操作清静疏忽的威胁行为者实验身份识别与拘捕。RAMP论坛由假名Orange的Mikhail Matveev于2021年7月建设，旨在承接因DarkSide攻击Colonial Pipeline后俄语论坛榨取勒索软件推广的空缺。Matveev此前为Babuk勒索软件治理员，该组织因攻击华盛顿特区警局后内部分裂，他使用Babuk原有Tor域名重修RAMP。论坛上线初期遭DDoS攻击，Orange曾指责Babuk前成员，但后者否定。Matveev在采访中透露，RAMP未实现盈利且一连受攻击，后逐渐退出治理。

https://www.bleepingcomputer.com/news/security/fbi-seizes-ramp-cybercrime-forum-used-by-ransomware-gangs/

6. PackageGate误差展现JavaScript包管理器清静缺陷

1月28日，清静公司Koi克日披露名为"PackageGate"的系列零日误差，影响NPM、PNPM、VLT和Bun等主流JavaScript包管理器。这些误差可绕过供应链防护机制，允许攻击者在依赖项中植入隐藏恶意代码，纵然启用禁用生命周期剧本（--ignore-scripts）和锁定文件�；げ椒ト钥赡鼙皇褂�。研究显示，npm保存严重设计缺陷：恶意Git依赖项可通过伪造的.npmrc文件替换Git二进制文件，触发远程代码执行；pnpm虽默认禁用剧本，但会在Git拉取时运行准备剧本；vlt允许遍历tar包路径，攻击者可笼罩系统文件；Bun则因信托包名而非源代码，保存包名重用危害。更严肃的是，pnpm和vlt的锁定文件机制失效，它们接受无完整性哈希的远程tar包，使攻击者能在代码审查后修改内容。Koi报告指出，攻击者可通过深度依赖树植入恶意包，凭证时间、IP等信号定向投放恶意代码，锁定文件无法提供防护。

https://securityaffairs.com/187416/hacking/packagegate-bugs-let-attackers-bypass-protections-in-npm-pnpm-vlt-and-bun.html

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究