A US county, likely Union County, Ohio, paid a $1 million ransom to the Kairos extortion gang after negotiations that began with a $3 million demand. The attackers claimed to have stolen over 2TB of data (~1.6 million files) and provided only an unverifiable promise of deletion in exchange for payment. The case highlights the ongoing debate around ransom payments: the FBI and CISA advise against paying, two US states ban public agencies from doing so, yet victims often feel it is the lesser evil. The county received no independent proof of data deletion, meaning the stolen files could still surface or be used for future extortion.
Nguồn: https://www.theregister.com/cyber-crime/2026/07/09/an-unnamed-us-county-perhaps-in-ohio-paid-1m-extortion-demand-to-cybercriminals/5269575. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
Một nhóm nghiên cứu của Sysdig phát hiện chiến dịch ransomware JadePuffer do AI agent (LLM) điều khiển hoàn toàn, khai thác lỗ hổng CVE-2025-3248 trong Langflow để xâm nhập, sau đó tự động thực hiện các bước tấn công như trinh sát, đánh cắp thông tin đăng nhập, di chuyển ngang, thiết lập persistence, leo thang đặc quyền và mã hóa dữ liệu 1.342 mục cấu hình Nacos bằng MySQL's AES_ENCRYPT(). Khóa mã hóa không được lưu hay truyền đi, còn địa chỉ Bitcoin trong lời đe dọa có vẻ là dữ liệu huấn luyện.
Lập trình viên nên đọc bài này để hiểu cách các nhóm tấn công hiện đại đang tích hợp trí tuệ nhân tạo vào các chiến lược tấn công phức tạp, từ khai thác lỗ hổng đến tự động hóa các bước tấn công toàn diện, và cách bảo vệ hệ thống trước những "nhóm tấn công đại lý" (agentic threat actors) mới nổi.
Accenture xác nhận bị xâm nhập sau khi hacker mang tên '888' tuyên bố đánh cắp 35 GB dữ liệu (bao gồm mã nguồn, RSA keys, SSH keys, tokens Azure PAT) và rao bán trên diễn đàn tội phạm mạng. Hãng khẳng định vụ việc đã được cách ly và khắc phục, không ảnh hưởng tới hoạt động, nhưng không tiết lộ phạm vi dữ liệu bị truy cập hay phương thức tấn công. Đây là lần xâm nhập thứ ba đáng chú ý của Accenture trong vài năm trở lại đây.
Lập trình viên nên đọc bài này để hiểu về các rủi ro nghiêm trọng từ việc lộ thông tin mã nguồn, mật khẩu API và khóa chìa khóa quan trọng trong môi trường phát triển cloud, đặc biệt khi các hacker đang bán dữ liệu này trên thị trường đen để khai thác lợi nhuận từ các vụ tấn công sau đó.
Các nhà nghiên cứu của Sysdig đã ghi nhận JadePuffer, chiến dịch ransomware đầu tiên được thực thi hoàn toàn bởi một tác nhân LLM mà không cần sự can thiệp của con người. Kẻ tấn công khai thác CVE-2025-3248 (lỗ hổng RCE không cần xác thực trong Langflow) để xâm nhập máy chủ MySQL sản xuất, đánh cắp dữ liệu, xóa cơ sở dữ liệu và để lại lời đe dọa tống tiền, với khả năng phục hồi nhanh chóng sau thất bại.
Lập trình viên nên đọc bài này để hiểu cách một hệ thống AI tự động hóa tấn công phức tạp, từ khai thác lỗ hổng đến phá hủy dữ liệu, và nhận thức về nguy cơ mới khi các công cụ tự động hóa của AI được sử dụng trong cybercrime.
LastPass xác nhận dữ liệu khách hàng trong môi trường Salesforce bị truy cập sau cuộc tấn công chuỗi cung ứng nhằm vào Klue hôm 12/6. Nhóm tống tiền Icarus đã xâm nhập hạ tầng Klue bằng thông tin đăng nhập cũ, đánh cắp token OAuth kết nối Klue với Salesforce của khách hàng. Dữ liệu bị lộ bao gồm tên, số điện thoại, email, địa chỉ, thông tin hỗ trợ và dữ liệu CRM. LastPass cho biết sản phẩm cốt lõi, dịch vụ và kho dữ liệu khách hàng không bị ảnh hưởng.
Lập trình viên nên đọc bài này để hiểu rõ về cách tấn công supply chain attack hoạt động như thế nào, từ đó nâng cao kiến thức bảo mật cho các ứng dụng và hệ thống của mình, đặc biệt là khi sử dụng các dịch vụ cloud như Salesforce.
Năm 2026, những mối đe dọa mạng nguy hiểm bao gồm lừa đảo bằng AI, giọng nói deepfake, ransomware tống tiền kép, rủi ro từ cấu hình sai trên cloud, tấn công thiết bị di động, tái sử dụng mật khẩu, kỹ thuật xã hội tinh vi và tấn công chuỗi cung ứng. Để phòng tránh, người dùng nên sử dụng quản lý mật khẩu, bật xác thực đa yếu tố (MFA), cập nhật thiết bị thường xuyên và cẩn trọng khi nhấp vào liên kết.
Lập trình viên nên đọc bài này để hiểu cách bảo vệ hệ thống và ứng dụng của mình trước những mối đe dọa mới nổi từ AI, ransomware và các tấn công phức tạp, từ đó xây dựng các giải pháp bảo mật hiệu quả và phòng ngừa trước các cuộc tấn công trong tương lai.
Ransomware-as-a-Service (RaaS) has transformed ransomware into a scalable criminal supply chain where operators build and maintain malware while affiliates carry out intrusions and initial access brokers sell footholds. This division of labor means the same ransomware family can appear in very different attacks depending on which affiliate is involved. Key entry points include phishing, exposed RDP, stolen credentials, and abused RMM tools. A real-world example traces SonicWall VPN exploitation through lateral movement, persistence, and credential theft before Akira ransomware deployment. Defenders are advised to treat ransomware as an intrusion problem, hardening remote access, enforcing MFA, monitoring identity abuse, and correlating signals across endpoints and logs to catch attacker activity well before encryption begins.
Huntress researchers detail a highly repeatable attack cluster observed across the first half of 2026, where threat actors exploit CVE-2025-5777 (CitrixBleed 2) — a pre-authentication memory-overread in Citrix NetScaler ADC/Gateway — to steal live session tokens and bypass MFA. After gaining access, attackers use a novel Windows registry symbolic link (REG_LINK) local privilege escalation technique abusing the AppMgmt service and Group Policy to achieve SYSTEM-level execution. They then create backdoor admin accounts, install ScreenConnect or Zoho Assist for persistence, conduct lateral movement using Impacket and Mimikatz, and ultimately deploy DragonForce ransomware. The post includes a full 7-step kill chain, forensic evidence of session hijacking, detailed LPE mechanism analysis, indicators of compromise, and remediation guidance including patching, log forwarding, session termination, and environment auditing.
Rubrik, the US data-security firm, is committing over $500m (£375m) to the UK over five years and establishing London as its EMEA headquarters. The investment covers hiring, a new London office, and an executive briefing centre. The move is driven by growing European demand for data sovereignty solutions, ransomware recovery, and AI security. Rubrik's Security Cloud is also becoming available on the AWS European Sovereign Cloud to serve public-sector and regulated-industry customers wary of US data laws like the CLOUD Act. The company reports strong UK growth, with new customers including Manchester City Council and the Scottish Government, and now serves around 2,000 EMEA customers.