A Proofpoint biztonsági kutatói részletesen feltárták a TA585 nevű fenyegető szereplő működését, aki a MonsterV2 nevű, komplex kártevőt terjeszti. Ez a malware többfunkciós eszköz: egyszerre működik adatlopóként, távoli vezérlésű trójaiként (RAT) és kártevőterjesztőként (loader). A TA585 különös figyelmet érdemel, mert teljesen önállóan végzi a támadásokat – saját infrastruktúrát és terjesztési módszereket használ, nem támaszkodik külső hozzáférés-kereskedőkre vagy forgalom-átirányító szolgáltatásokra.

A nemrég azonosított HybridPetya elnevezésű ransomware törzs képes megkerülni az UEFI Secure Boot védelmi funkciót, valamint rosszindulatú komponenseket telepíteni az EFI rendszerpartícióra. A mintát az ESET kiberbiztonsági cég kutatói fedezték fel VirusTotalon. A HybridPetya a jelenlétével a BlackLotus, a BootKitty és a Hyper-V Backdoor mellett egy újabb példa arra, hogy a Secure Boot-ot megkerülő bootkitek valós fenyegetést jelentenek.

A HybridPetya tartalmazza a régebbi Petya/NotPetya kártevő törzsek közös jellemzőit, mint például a vizuális stílust és az azonos támadási láncot. Újdonság viszont az EFI rendszerpartícióba való telepítés valamint a Secure Boot megkerülése a CVE-2024-7344 azonosítón nyomon követett sebezhetőség kihasználásával. (Ezt a hibát a Microsoft 2025 januárjában javította.)

Az ESET Research kutatócsapata egy új típusú zsarolóvírust, a PromptLock nevű kártevőt azonosította, amely egyedülálló módon helyben futó nagy nyelvi modellt (LLM) alkalmaz a támadó kód valós idejű generálására az áldozat gépén. Ez az első ismert eset, amikor egy rosszindulatú program nem tartalmaz előre lefordított támadó logikát, hanem a kártékony kódot egy lokálisan futtatott mesterséges intelligencia állítja elő dinamikusan.

Az Akira zsarolóvírus új támadási taktikája komoly aggodalmat kelt a biztonsági szakértők körében: a támadók egy legitim, Intel alapú CPU tuning drivert használnak fel arra, hogy kikapcsolják a Microsoft Defender védelmét az áldozatok rendszerein.

A hackerek egy új technikát, a FileFix módszert alkalmazzák az Interlock ransomware támadások során, hogy remote access trojan-t (RAT) juttassanak a célzott rendszerekre. Az elmúlt hónapokban fokozódott az Interlock ransomware aktivitása, miután a támadók a KongTuke web injector-t (más néven LandUpdate808) kezdték el használni a payloadok kompromittált weboldalakon keresztül történő terjesztésére.

A kibertér folyamatosan változó fenyegetései között új szereplőként tűnt fel a DEVMAN nevű zsarolóvírus, amely komplex örökséget hordoz a hírhedt DragonForce és Conti családoktól.

A Commvault, az egyik vezető vállalati adatmentési platform nyilvánosságra hozta, hogy egy ismeretlen támadó sikeresen behatolt a Commvault Microsoft Azure-alapú környezetébe. A támadás során egy korábban nem ismert, 0day sérülékenységet használtak ki, amely a Commvault Web Server komponensében található.

A Marks and Spencer a múlt héten kibertámadás áldozata lett, amely az online rendelési rendszereinek, az érintésmentes fizetési rendszerének és a Click & Collect szolgáltatásának megszakadásához vezetett.