勒索软件攻击所造成的实际损失在 2019 年或将达到 115 亿美元

HackerNews.cc 11 月 20 日报道,美国网络安全机构 Cybersecurity Ventures 于近期发布一份报告,宣称随着近年来勒索软件的数量以及攻击频率的不断增加,其实际损失成本于 2017 年累计高达 50 亿美元。据称,研究人员预计 2019 年的攻击损失可能升至 115 亿美元。相关数据显示,勒索软件于 2015 年所造成的实际损失仅仅只有 3.25 亿美元。 研究人员经调查发现,当前勒索软件每隔 40 秒就会针对目标业务发起攻击,然而预计 2019 年时将会缩减为 14 秒一次。另外,医疗等公共机构将会比其他行业更加容易遭受攻击,预计 2020 年黑客针对医疗机构的感染将是现在的 4 倍。但是,这并不一定意味着他们会支付更多的赎金,因为与勒索软件攻击所造成的实际损失相比(例如:数据损失、生产力遭到破坏、名誉损伤、业务中断等),支付的赎金金额就显得微不足道了。 美国领先的多元化医疗公司 Aetna 首席安全官 Jim Routh 表示:“ 未来,公司应该拒绝为了恢复数据而向黑客支付赎金的行为。其一家企业要想避免勒索软件攻击的话,需要定期备份系统所有数据、培训员工如何发现和应对钓鱼邮件(占网络攻击的 91%),以及尽快更新各软件设备。 然而,防止勒索软件攻击的安全措施说起来容易但做起来很难。CyberArk 首席执行官 Udi Mokady 近期表示,多数企业正在存储比特币,以便用于未来遭受勒索软件攻击后在紧急情况下支付赎金。此外,英国大约三分之一的中小型企业也认为,当其他方案都不可实施时,他们更愿意利用手头上拥有的比特币应对勒索软件攻击活动。目前,研究表明虽然愿意支付赎金的企业总数正在下降,但由于黑客已经在大规模攻击中“尝到了甜头”,因此他们将继续开发各勒索软件,以便感染目标企业后牟取暴利。 消息来源:Csoonline,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

阿尔及利亚电信运营商遭黑客攻击,国家电子支付系统安全引担忧

据外媒 11 月 21 日报道,阿尔及利亚的电信运营商 Algerie Telecom 于上周五证实,公司遭受了一系列旨在破解其系统的网络攻击事件。目前,公司已在相关部门的帮助下成功击退黑客并开启安全防御系统,以便减少企业运营损失。不过,他们尚不清楚黑客真正意图以及进一步相关细节。 此外,由于网络攻击数量的迅速增加引起了阿尔及利亚政府的担忧,特别是近期所推出的电子服务项目,例如公民采用电子支付系统缴纳水电费用。 信息与通信技术部部长 Iman Houda Faraoun 表示,通常由部长理事会批准的电子商务项目一旦通过,将会即日生效。不过,他们承诺将会充分保护电子商务流程,严禁外泄各金融交易数据、发票以及公民银行卡号等敏感信息。 消息来源:securityaffairs.co 、新华网,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

美国应用交付网络 F5 Networks 产品存在高危漏洞,攻击者可远程恢复加密数据、开展 MitM 攻击

HackerNews.cc 11 月 20 日消息,德国鲁尔大学的研究人员 Hanno Böck 与 Juraj Somorovsky 近期发现美国应用交付网络(ADN)领域的 F5 Networks 产品存在一处高危漏洞(CVE-2017-6168、CVSS 分值为 9.1),允许黑客远程恢复加密数据并发动中间人(MitM)攻击。目前,受影响产品是 F5 BIG-IP 企业管理器的一部分,其中包括 LTM、AAM、AFM、Analytics、APM、ASM、DNS、GTM、Link Controller 与 PEM 等产品。此外,该漏洞也影响了 F5 WebSafe 反欺诈解决方案。 调查显示,该漏洞在线暴露了虚拟服务器配置客户端的 SSL 配置和 RSA 密钥交换功能,从而允许黑客发动 chosen-ciphertext 攻击(又称 Bleichenbacher 攻击)。此外攻击者还可通过该漏洞针对使用 RSA 密钥交换器建立的 TLS 会话发起黑客攻击、远程恢复加密数据并启动中间人 (MitM) 攻击。网络安全公司 Cloudflare 的安全专家 Nick Sullivan 指出,该漏洞与臭名昭着的 DROWN 类似,允许攻击者在使用 SSLv2 时解密 TLS 通信。不过随着 SSLv2 需求的消除,F5 Networks 漏洞也变得愈加严重,因为黑客只需要一个使用密钥的服务器就可解密 TLS 会话。 另外,F5 Networks 在其安全报告中表示:“黑客恢复的加密数据需要在 TLS 会话结束后才可读取。利用此漏洞进行 MiTM 攻击需要攻击者在配置的握手超时窗口内的目标会话握手阶段完成初始攻击,这可能需要数百万次服务器请求。“这种攻击可以针对任何使用 RSA 签名的 TLS 会话进行,但只有在使用 RSA 密钥交换的密码套件也在虚拟服务器上启用的情况下适用。机会有限,带宽限制和延迟使得这种攻击更难执行”。 目前,F5 Networks 已修复受影响产品的安全漏洞并发布更新。此外,该公司还提醒各企业检查自家虚拟服务器的通用警报是否已经开启,以便抵制黑客攻击的同时减少各企业利益的损失。 消息来源:securityweek,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Android MediaProjection 服务被曝高危漏洞,允许黑客窃听系统音频、截取设备信息

据外媒 11 月 20 日报道,网络安全公司 MWR 的研究团队近期发现 Android MediaProjection 服务存在一处高危漏洞,允许黑客窃听系统音频、截取用户屏幕等敏感信息。目前,运行 Lolipop、Marshmallow 和  Nougat 应用的 Android 设备普遍遭受影响(约占所有 Android 设备的 77.5%)。 MediaProjection 是一项允许应用程序捕获屏幕、记录系统音频的服务,其自推出以来就存在于 Android 系统当中。不过,要想使用这一服务功能,其应用程序需要在线发出请求后通过 SystemUI 弹出窗口获取 root 访问权限,并使用设备的系统密钥进行签名。据悉,虽然 MediaProjection 早期仅供 Android OEM 开发的系统级应用程序使用,但随着 Android Lolipop(5.0)的发布,Google 向所有应用开放了这项服务。 调查显示,此漏洞的根源在于易受攻击的 Android 设备不能检测部分隐藏的 SystemUI 弹出窗口机制,即攻击者可以在开发一款应用程序时覆盖 SystemUI 的弹出,从而绕过安全检测。一旦用户点击已被覆盖的页面后攻击者即可获取 root (包括捕获用户屏幕和音频的)权限。研究人员强调,黑客利用该漏洞开展攻击时并非完全无法察觉。如果一款应用访问 MediaProjection 服务时,它会在生成一个虚拟显示,从而自动激活通知栏中的截图图标后获取用户信息。如下图所示: 目前,Google 仅在 Android Oreo Android Oreo(8.0)版本中修补了漏洞,但旧版本仍受到该问题的影响。另外,尚不清楚 Google 是否计划针对较早受影响的 Android 版本进行修复,对此研究人员提醒用户尽快更新设备或通过应用程序的 WindowManager 中启用 FLAG_SECURE 参数,以便确保应用程序的界面安全。 消息来源:securityaffairs.co ,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

英飞凌漏洞或危及西班牙 6000 万公民智能卡身份证

前景提要:捷克 Masaryk 大学的安全研究人员于今年 10 月中旬发现,德国半导体制造商英飞凌 Infineon 科技公司所采用的专用微控制器 TPM 存在一处高危漏洞 ROCA(CVE-2017-15361),允许攻击者进行因数分解攻击的同时,通过目标系统的公钥反向计算私有 RSA 加密密钥。此外,该种攻击手段影响了公司 2012 年之前生产的所有加密智能卡片、安全令牌以及其他安全硬件芯片等。 据外媒 ZDNet 11 月 17 日报道,继爱沙尼亚数周前被曝 76 万国民电子身份证受英飞凌加密漏洞 ROCA 的影响后,网络安全公司 Enigma Bridge 研究人员 Dan Cvrcek 于近期再次发现该漏洞或将危及西班牙逾 6000 万张代表国民身份的智能卡片 DNIe 。 每一张 DNIe 卡片都是独一无二的,它其中内含两款证书芯片分别用于身份识别和电子签名。据悉,攻击者可通过该漏洞在用户使用电子签名时导致合约签署失效,不过出现这一状况的部分原因还有可能是因为西班牙公民在一些重要签名时未使用时间戳进行记录。西班牙国家报《El País》 在此前的调查中写道:“虽然公民仅仅只在 0.02% 的公共服务中使用了该身份证件,但随着影响规模的不断增大,其攻击场景也会随之变得更加混乱。” 近期,虽然西班牙政府在此次事件发生后强烈建议用户在多数公共部门的自助终端上禁用该智能卡片进行电子签名,但用户仍可通过个人电脑的小型读卡器使用该卡片对其文件进行在线签名。当地警方与其他公共机构当前仍保持沉默,尚未通过社交媒体提供有关漏洞的影响以及受到影响后如何采取措施的更多信息,而西班牙巴斯克的证书颁发机构 Izenpe 目前已撤销 3 万份证书,并提供了关于如何更换证书的相关信息。 消息来源:ZDNet,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

印度国家身份识别系统 Aadhaar 数据泄漏:超 210 个中央政府网站暴露公民身份信息

据外媒 IBTimes 报道,印度执法部门 RTI 于近期发现超过 210 家政府网站在线曝光了该国 公民身份识别系统、全球最大的生物识别系统 Aadhaar 详细信息,其中包括公民姓名、地址、Aadhaar 号码、指纹与虹膜扫描及其他敏感数据。目前尚未公布数据泄露严重程度。 Aadhaar 是印度政府于 2009 年启动的一台生物识别数据库,其主要是为了收集印度超过 10 亿人口的姓名、地址、手机号以及可能更为重要的指纹、相片与虹膜扫描。Aadhaar 在这一过程中已经深入到印度公民生活的方方面面,从学校上学到医院看病,再到银行进行金融服务,可谓是打开了前所未见的数据收集路径。知情人士透露,印度政府在启动 Aadhaar 数据库后不仅强制每位公民在各社会服务项目中使用 Aadhaar 号码验证身份,还希望他们把 Aadhaar ID 连接至银行帐户、手机号码、保险单、PAN(永久帐号)以及其他服务。 Aadhaar 发行机构 UIDAI 回应:“我们对于此次事件的发生深表歉意,目前这些数据已从上述网站删除。此外,我们还将定期对其进行安全审计与更新,以及适当控制与监测内外人员、材料与数据的任何流动,以确保用户数据安全”。 不过,该机构并未具体说明此次数据公布的相关细节,如有多少公民信息遭到威胁、数据在这些网站上暴露了多长时间,以及是否已有违规事件发生等。 消息来源:ibtimes.co.uk ,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

银行木马 Emotet 出现新型变种,可窃取用户金融凭证、利用 Windows API 检测沙箱

据外媒 11 月 18 日报道,网络安全公司趋势科技(Trend Micro)研究人员于近期发现银行木马 Emotet 出现新型变种,能够规避安全检测的同时窃取银行凭证等用户敏感信息。 Emotet 又名 Geodo,是目前流行的一款银行木马,首次曝光于 2014 年 6 月,其主要以 “ 嗅探 ” 网络活动窃取用户私人数据闻名。随着开发人员的不断优化,其影响规模可与 Dridex 和 Feodo 媲美。Emotet 主要通过附带恶意链接的垃圾邮件进行肆意分发,一旦用户点击触发后攻击者将可通过该恶意软件窃取用户重要凭证。 研究显示,黑客可通过恶意软件 Emotet 的 “dropper” 模块接口 “RunPE” 访问系统网络的基本输入输出流程、设备用户名称,以及系统上存储的特定文件。不过,由于 RunPE 的利用太过频繁,因此开发人员改用一条鲜为人知的 CreateTimerQueueTimer 接口,从而规避安全软件检测。 CreateTimerQueueTimer 是一个 Windows 应用程序编程接口(API),其主要为轻量级对象创建队列以便在指定的时间内选择回调函数。此外,该 API 接口允许 Emotet 每秒执行一次操作,从而检测该恶意软件是否运行于沙箱之中以规避安全监测。据悉,银行木马 Hancitor 和 VAWTRAK 早已利用该接口开展攻击活动。 值得注意的是,若该恶意软件入侵目标设备后发现没有管理员特权,则会创建一个自启动服务以便维护其在受害设备上的持久性,重命名并重启系统后进行加密操作,随后通过  POST 请求将数据发送到指定的 C&C 服务器。 目前,趋势科技就此次事件发布了恶意软件最新变种的“攻击指标”(IoCs),其安全研究人员 MalwareTech 随后也发表了有关 Emotet  C&C 服务器的具体细节并表示,攻击者通过被黑网站代理 C&C 服务器以规避安全监测的手法极其普遍,这些被黑网站通常都是运行多年的合法网站,就连安全公司很难将其标记为恶意服务器。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

五角大楼 AWS S3 配置错误:意外发现全球 18 亿用户社交信息竟被秘密搜集 8 年

据外媒 IBTimes 报道,网络安全公司 UpGuard 研究人员 Chris Vickery 于今年 9 月中旬发现美国五角大楼托管的 3 台亚马逊 AWS S3 服务器 “centcom-backup”、“centcom-archive”与“pacom-archive” 因配置错误,导致任何未经授权的用户均可公开访问。值得注意的是,其中一台服务器竟包含了美国国防部(DoD)从各新闻网站、评论栏、网络论坛以及 Facebook 等社交平台搜集的近 18 亿用户(绝大多数都是全球守法公民)在线发布的切身内容,且此举似乎于 8 年前就已开始(2009-2017)。 Vickery 表示,由于此次泄露的数据是情报人员通过用户公开发布的帖子整理而成,因此它仅仅暗示了美国政府有意监视的内容。尽管在线公开的数据库没有包含任何敏感信息,但美国政府确实搜集了用户社交信息,以及所发布不同内容的用户数据。此外,该数据库中的社交内容包含了多国语言,不过主要是英文、阿拉伯文与波斯文。 目前,尚不了解美国政府为什么搜集用户社交信息,但此举严重影响了公民隐私与自由问题。此外,研究人员也不清楚在线暴露的数据是否已被黑客访问,但他们极其担心黑客会在访问后对境外网民进行暴力攻击。据 CNN 报道,Vickery 在发现问题后当即向国防部报告,但并未及时得到响应。 然而,美国中央司令部发言人 Josh Jacques 近期证实:“此次泄露事件由 AWS S3 配置错误导致,其用户可绕过安全协议访问数据。不过,我们现在已对其进行了保护与监控。一旦发现未授权访问,我们将采取额外措施,以防网络犯罪分子非法访问。此外,我们搜集用户社交信息并无他意,仅仅用于政府公共网站的在线课程策划。 知情人士透露,尽管五角大楼可能会面临一些关于收集用户社交内容的批评,但在线搜集公开信息并不违法。但这一问题也引发了公民对五角大楼能否确保数据安全的担忧,因为这已经不是五角大楼第一次因 AWS S3 配置错误而遭受巨大破坏。今年 6 月,美国承包商 Booz Allen Hamilton 在线曝光了与高度保密的国家地理空间情报机构(NGA)有关的近 28GB 敏感数据。 这已经不是亚马逊 AWS S3 因配置错误引发的第一起数据泄露事件了,近期澳大利亚广播公司(ABC)的两台亚马逊 S3 服务器也被曝因技术问题在线泄露大量敏感信息,包括数千名用户的电子邮件、密码、股票文件以及生产服务数据等。HackerNews.cc 在此提醒国内外使用亚马逊 AWS S3 存储服务的企业及时自查,以免发生数据泄露造成不可挽回的损失。 相关阅读: 因亚马逊 AWS S3 配置错误,逾 54 万汽车跟踪设备登录凭证在线暴露 美国媒体巨头 Viacom 因亚马逊存储器配置不当,致使大量内部数据在线泄露 又因亚马逊 AWS S3 配置错误:澳大利亚财政部、金融机构等近 5 万职员敏感信息在线曝光 原作者:India Ashok,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

银行木马 Terdot 卷土重现,新添网络间谍功能监控社交媒体敏感信息

据外媒报道,网络安全公司 Bitdefender 研究人员于近期发现银行木马 Terdot 在消失一年后卷土重现,旨在针对目标系统展开新一轮攻击浪潮。知情人士透露,虽然 Terdot 于 2016 年中期就已存在,但该木马再次重现着实引人注意。据称,该木马新添一项网络间谍功能,其主要监控与收集社交媒体账户敏感信息。 Terdot 是一款复杂的模块化恶意软件,其程序虽然主要基于 2011 年泄露的 Zeus 代码开发,但该木马开发人员还是对其进行了一部分修改,例如利用开源工具躲避 SSL 证书检测,并使用代理过滤网络流量后记录用户敏感信息。 调查显示,黑客主要将该银行木马植入有趣的 PDF 图标后通过垃圾邮件针对受损网站进行肆意分发。一旦用户点击触发文件,其系统将会自动运行 JavaScript 代码,从而在受害设备中植入恶意软件并同时向指定 C&C 服务器发送与更新命令。 此外,研究人员经进一步分析发现该木马不仅使用了域生成算法(DGA)规避安全措施检测,还利用了中间人(MITM)攻击操纵多数社交媒体与电子邮件的平台流量,从而实现用户信息拦截功能。安全专家表示现在的 Terdot 已经超越了银行木马 Trojan 的能力,它更专注于针对社交网络和电子邮件服务提供商等其他服务收集证书,研发者也似乎想将其打造成非常强大的网络间谍工具。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

逾 2000 万亚马逊 Echo 与 Google Home 设备易遭 BlueBorne 攻击

网络安全公司 Armis 研究人员于今年 9 月在蓝牙协议中发现 8 处零日漏洞,允许黑客远程操控 Android、iOS、Windows 与 Linux系统后普遍影响逾 53 亿台机器,其中包括所有运行 9.3.5 或更旧版本的 iOS 设备、运行时间超过 Marshmallow 或更旧版本的 Android 设备以及运行 Linux 版本的数百万智能蓝牙设备等。随后,研究人员将这 8 处漏洞构建成一组攻击场景,并将其称为 “ BlueBorne ”攻击。 近期,Armis 研究人员在调查时发现逾 2000 万台亚马逊 Echo 与 Google Home 的智能扬声设备也极易遭到 BlueBorne 攻击,允许攻击者完全接管蓝牙设备、传播恶意软件,甚至建立 “ 中间人 ”(MITM)连接,从而在无需与受害用户进行交互时访问设备关键数据与网络。不过,要想快速实现攻击,除受害设备的蓝牙处于开启状态外,还需在攻击设备连接范围之内。 调查显示,亚马逊 Echo 或将受到 BlueBorne 其中两处漏洞影响: Ο Linux 内核中存在远程执行代码漏洞(CVE-2017-1000251) Ο Linux 蓝牙堆栈(BlueZ)中存在信息泄漏漏洞(CVE-2017-1000250) 而 Google Home 设备会受到其中一处漏洞影响: Ο Android 设备中存在信息泄露漏洞(CVE-2017-0785) 值得注意的是,BlueBorne 对亚马逊 Echo 的威胁要比 Google Home 设备更加严重,因为它所使用的 Linux 内核易受远程代码执行漏洞的攻击,且自身的 SDP 服务器也存在信息泄露的风险。然而,Google Home 主要受到 Android 蓝牙堆栈中信息泄露的影响,其允许攻击者阻止 Home 的蓝牙通讯功能后肆意开展拒绝服务(DoS)攻击。 Armis 在发现亚马逊与谷歌设备极易遭受 BlueBorne 攻击后立即对其进行了报备,随后两家公司也迅速发布了漏洞补丁修复。研究人员提醒用户可以从 Google Play 商店安装 “ BlueBorne 漏洞扫描器 ”,以检查设备是否遭受 BlueBorne 攻击。如果发现易受攻击,建议用户在不使用设备时关闭蓝牙。目前 Amazon Echo 客户应确认所使用的设备运行着 v591448720 或更高版本,而 Google 方面尚未提供有关其版本的任何信息。 原作者:Swati Khandelwal,编译:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接