加沙网络黑帮 Gaza Cybergang 重返江湖,中东与北非地区成为重灾区

据外媒报道,与巴勒斯坦伊斯兰抵抗运动组织哈马斯有关的阿拉伯黑客组织加沙网络黑帮 Gaza Cybergang 近日重返江湖,其攻击目标定位为中东与北非(MENA)地区。 Gaza Cybergang( 又名 “ Gaza 黑客军团 ”或 Molerats )疑似政治黑客,早在 2012 年就处于活跃状态,自 2015 年第二季度起影响不断加剧,主要攻击目标为政府实体/使馆、石油与天然气、媒体/新闻出版机构、政客与外交官等。据推测,该组织可能由巴勒斯坦哈马斯军方组成,欧洲与美国组织机构也受到不同程度影响。调查显示,黑客广泛搜集情报,配合使用高级社工等方式通过含有宏病毒的 Office 附件或恶意链接的鱼叉式网络钓鱼邮件展开攻击。 今年初,网络安全公司 Palo Alto Networks 发现黑客组织 Gaza Cybergang 利用恶意软件 DustySky 开展新兴网络间谍活动。据悉,他们通过 Downeks 下载器与 Quasar 或 Cobaltstrike 远程访问工具(RAT)向政府机构的 Windows 设备发动攻击,以便获取远程访问与数据渗出能力。卡巴斯基表示,该组织主要针对 MENA 地区的石油天然气公司展开攻击活动。其黑客入侵公司系统后,渗出数据已长达一年之久。此外,Gaza Cybergang 武器库还于今年 4 月新增一款安卓木马,最初由卡巴斯基在一台命令与控制服务器上发现,很可能被用于针对以色列士兵。 自 6 月起,Gaza Cybergang 利用攻击链触发微软公司 4 月修复的漏洞 CVE 2017-0199。据称,这种做法更加行知有效,可通过未经修复的 Windows 系统直接实现代码执行能力。Microsoft Access 数据库文件可用于维持低级别检测,是传播恶意软件的常见方法。这些开发有助于黑客继续开展行动,甚至绕过传统防御,持续长时间作业。 专家坦言,由于黑客不断改善工具包、减少曝光率,近期此类攻击活动在数量与质量上都将有增无减。建议组织机构:提高安全防范意识、及时修复漏洞;使用成熟的企业级安全解决方案有针对性地分析、捕捉异常网络攻击事件;向雇员提供最新的威胁情报数据(例如入侵指标与 YARA 规则)以强化威胁防范与查找发现措施。 原文作者:Pierluigi Paganini,译者:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

预装软件漏洞为戴尔系统增加安全隐患

据外媒 4 日报道,思科( Talos )安全专家发现预装软件漏洞使戴尔系统易遭代码执行攻击。黑客可利用该漏洞禁用安全机制、提权并以用户身份执行任意代码。 思科 Talos 专家表示,存在漏洞的预装软件为 Dell Precision Optimizer、InvinceaX 与 Invincea Dell Protected Workspace。目前,思科正为上述几款软件发布漏洞修复建议。相应数据包预装在戴尔系统特定版本中。 Protected Workspace 6.1.3-24058 Invincea-X 中存在的第一个漏洞 CVE-2016-9038 是 SboxDrv.sys 驱动程序中的 double fetch。黑客可以通过向设备驱动 \Device\SandboxDriverApi 发送特制数据获取开放读写权限。此外,黑客还可利用该问题在内核空间写入任意值、成功进行本地提权。第二个漏洞 CVE-2016-8732 对作为终端安全解决方案的 Invincea Dell Protected Workspace 5.1.1-22303 版本造成影响。调查显示,该漏洞存在于 5.1.1-22303 版本软件驱动组件 “ InvProtecDrv.sys ”。驱动通信信道的薄弱限制与无效验证允许黑客在受影响系统中执行的应用程序利用驱动禁用保护机制。目前,该问题已在 6.3.0 版本中得到修复。 第三个漏洞 CVE-2017-2802 关乎 Dell Precision Optimizer 应用,可导致任意代码执行,对采用 nVidia 显卡、PPO 策略处理引擎 3.5.5.0 与 ati.dll( PPR 显示器插件)3.5.5.0 的 Dell Precision Tower 5810 造成影响。Dell PPO 服务启动期间,Dell Precision Optimizer 应用提供的程序 “ c:\Program Files\Dell\PPO\poaService.exe ” 在加载 “ c:\Program Files\Dell\PPO\ati.dll ” 后尝试加载 “ atiadlxx.dll ”,后者在默认情况下不出现在应用目录。该程序在 PATH 环境变量指定目录中搜索恰当命名的 dll 文件。如果查找到采取相同命名的 dll,无需检查该 dll 签名即可将其加载至 poaService.exe。倘若黑客提供正确名称的恶意 dll 文件,则可能导致任意代码执行。 考虑到 Invincea Dell Protected Workspace 是部署在高安全环境中用于保护工作站的常见应用,上述漏洞影响重大。Talos 建议使用受感染版本软件的组织机构尽快将软件升级至最新版本。无论如何都应在访问任何预装软件时持谨慎态度,避免漏洞被黑客利用。 原作者:Pierluigi Paganini,译者:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

安全研究人员成功破解 GnuPG 密码库 1024 位 RSA 加密

外媒近日报道,安全研究人员在 GnuPG 密码库中发现一个重要漏洞, 能够让人完全破解 RSA-1024 并成功提取用于解密数据的 RSA 密钥。 Gnu 隐私保护( GnuPG 或 GPG )是一项颇受欢迎的开源加密软件,广泛应用于 Linux、FreeBSD、Windows、macOS X 等操作系统。前 NSA 合同制人员、泄密者爱德华 • 斯诺登当初就是使用这款软件保护自身通信远离执法部门监控。 调查显示,漏洞 CVE-2017-7526 存在于 GnuPG 采用的 Libgcrypt 密码库,易使系统遭受本地 FLUSH+RELOAD 边信道攻击。来自埃因霍温技术大学、伊利诺伊大学、宾夕法尼亚大学、马里兰大学以及阿德莱德大学的研究人员发现,libgcrypt 库在执行密码学数学运算时使用的 “ 从左至右滑动窗口 ” 方法比 “ 从右至左 ”  泄露更多的指数位信息,允许黑客进行完整的 RSA 密钥恢复。其中,论文提供如下描述: “ 介绍了 Libgcrypt 密码库 RSA 1024 的完整破解方法。我们的攻击充分利用了 Libgcrypt 采用 “ 从左至右 ” 方法计算滑动窗口扩展的事实。从左至右滑动窗口方法中的平方与乘法计算会比 ‘ 从右至左 ’ 模式泄露更多的指数信息。我们展示了如何通过扩展 Heninger-Shacham 算法进行部分密钥重建,实现对信息的有效利用并获取 RSA-1024 完整密钥恢复。” 此外,L3 缓存边信道攻击要求黑客在使用 RSA 私钥的硬件上运行任意软件。这种攻击方式允许黑客通过分析加密过程中的内存利用方式或设备电磁输出从系统中提取加密密钥。Libgcrypt 咨询顾问表示,具体实践中存在比边信道攻击更便捷的访问方式。但对于装有虚拟机的设备而言,黑客可通过一台虚拟机从另一台虚拟机窃取私钥。研究人员还提供了边信道攻击可破解 RSA-2048 的证据,后者较 RSA-1024 要求更多运算。 目前,Libgraypt 已发布 Libgcrypt 1.7.8 版本漏洞修复补丁。Debian 与 Ubuntu 已通过 LIbgcrypt 最新版本更新密码库。综上所述,安全专家强烈建议用户检测现有 Linux 发行版是否正在运行最新版本的 Libgcrypt 库。 原作者:Mohit Kumar,译者:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

以太坊钱包遭遇黑客入侵,攻击者利用社工手段劫持钱包域名

据外媒 3 日报道,以太坊钱包(Classic Ether Wallet)—— 一款基于区块链的加密现金公共平台 Ethereum Classic (ETC)开源电子钱包于上周四遭到黑客入侵。去中心化平台开发者表示,黑客试图通过社工手段劫持钱包域名。据 Etereum Classic 开发者推文显示,黑客通过致电域名注册管理机构并冒充服务所有者的方式骗取网站控制权。 Ethereum 是用来挖掘去中心化加密货币 Ether(被部分人视为比特币竞争对手)的分布式公共区块链网络。截至本周一,根据 coinmarketcap.com 提供数据,1  Ethereum Classic(ETC)约合 18 美元。 黑客在获得域名访问权限后将网站设置转换为将域名与资金导向自己的恶意服务器。根据具体服务,被劫持的网站版本 “用代码拷贝用户输入的私钥并发送至黑客”。 网站入口已于上周四被 Cloudflare 发布的网络钓鱼预警阻拦。本周一上午,多数用户已无法访问该网站。网站恢复正常访问后,页面出现“该域名已由托管供应商 1&1 注册”的提示。 目前尚不清楚黑客究竟如何成功诱骗德国公司 1&1 移交域名访问权限。本周一发送至 1&1 的评论请求也未得到即时回复。虽然用户钱包里的加密货币处于安全状态,使用钱包进行交易的用户有可能已在网站遭到劫持期间将代币发送至黑客而非指定接收者手中。 网站管理员建议用户在网站恢复正常前使用托管在 Github、myetherwallet.com 以及 $ETC 节点上的安全版本钱包。Reddit 受害者普遍声称已在此次诈骗中丢失数千美元。其中一名用户表示在一系列 Ethereum Classic 区块链交易中共损失 1001ETC ,约合 18,000 美元。 近年来,比特币与其他加密货币已被证实成为网络钓鱼攻击的诱人目标。去年夏天,Cyren 与 OpenDNS 研究人员协助发现一起旨在从合法比特币钱包吸取资金的攻击。黑客通过诱惑用户访问冒充 Blockchain.info 的一系列网站骗取用户的真实用户名与密码。 注:此篇报道发布之时,1 Ethereum Classic(ETC)合18美元,1 Ethereum(ETH)合 278 美元。 原作者:Chris Brook,译者:游弋,校对:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

谷歌雇员遭受 Sabre 数据泄露事件困扰

据外媒 3 日报道,谷歌已向本公司的 Sabre 数据泄露事件潜在受害雇员发送通知提醒可能到来的欺诈活动。 今年 5 月,全球旅游业科技巨头 Sabre 在证监会文件中证实“已对未授权访问 Sabre Hospitality Solutions SynXis Central Reservation 系统订单支付信息事件展开调查。” 调查显示,入侵者在劫持 SynXis 系统内部账户后获取系统访问权限。 Sabre 在发送给受害者群体的一份声明中表示,“未授权访问已被关闭,尚未获得后续未授权访问相关证据。无法断定 SynXis Central Reservation 以外的其他任何系统受到影响。” SynXis Central Reservation 产品作为一项费率与库存管理 SaaS 应用目前被全球 32,000 多家酒店广泛采用。此次事件可能造成了非常严重的影响。 公司事后证实,黑客设法访问个人可识别数据、信用卡支付细节与其他信息。谷歌雇员当时正使用 Carson Wagonlit Travel(CWT) 提供的预订服务,而 CWT 采用的正是 SynXis 平台。 谷歌于 6 月 16 日从 CWT 处得知 Sabre 数据泄露事件后立即通过邮件告知受影响雇员:他们的姓名、联系人信息与支付信用卡细节可能已在事发期间( 2016 年 8 月 10 日至 2017 年 3 月 9 日)被黑客掌握。 “我们近期了解到谷歌商旅酒店订单可能受到此次事件影响。我们的第三方供应商作为受害者通过电子预订系统为全球成千上万旅行社与酒店提供服务。值得注意的是,此次事件仅对谷歌采用的旅游供应商 CWT 造成影响,谷歌系统不受任何影响。” “Sabre 迄今仍未发现社保卡号、护照、驾照等信息遭窃取的证据。尽管如此,由于 SynXis CRS 对退房 60 天以上的客人信息采取删除处理,无法证实具体信息是否与受影响订单相关。” 出于保护考虑,谷歌选择向受影响雇员提供为期两年的身份保护与信用监控服务。目前,谷歌正与 CWT 与 Sabre 合作解决这一问题。 Sabire 特地雇佣网络安全公司 Mandiant 协助调查。该公司还将数据泄露事件同步给相关执法机构与支付卡品牌。 “我们通过第三方 AllClear ID 提供为期两年的免费身份保护与信用监控服务。此项服务期于期限内有效,可随时启用。” 原作者:Pierluigi Paganini,译者:游弋,校对:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

US-CERT 发布 Petya 最新变体预警及应对措施

据外媒 2 日报道,美国国土安全部(DHS)计算机应急响应小组(US-CERT)发布 Petya 勒索软件最新变体预警(TA17-181A), 提醒组织机构尽快对软件进行升级,避免使用不支持的应用与操作系统。 美国国土安全部下属网络安全与通信整合中心(NCCIC)代码分析团队输出一份《恶意软件初步调查报告》(MIFR),对恶意软件进行了深度技术分析。在公私有部门合作伙伴的协助下,NCCIC 还以逗号分隔值形式提供用于信息分享的输入/出控制系统(IOC)”。 此份预警报告的分析范围仅限曝光于 2017 年 6 月 27 日的 Petya 最新变体,此外还涉及初始感染与传播的多种方法,包括如何在 SMB 中进行漏洞利用等。漏洞存在于 SMBv1 服务器对某些请求的处理过程,即远程攻击者可以通过向SMBv1服务器发送特制消息实现代码执行。 US-CERT 专家在分析 Petya 勒索软件最新样本后发现,该变体使用动态生成的 128 位秘钥加密受害者文件并为受害者创建唯一 ID。专家在加密秘钥生成与受害者 ID 之间尚未找到任何联系。 “尽管如此,仍无法证明加密秘钥与受害者 ID 之间存在任何关系,这意味着即便支付赎金也可能无法解密文件”。 “此 Petya 变体通过 MS17-010 SMB 漏洞以及窃取用户 Windows 登录凭据的方式传播。值得注意的是,Petya 变体可用于安装获取用户登录凭据的 Mimikatz 工具。窃取的登录凭据可用于访问网络上的其他系统”。 US-CERT 分析的样本还通过检查被入侵系统的 IP 物理地址映像表尝试识别网络上的其他主机。Petya 变体在 C 盘上写入含有比特币钱包地址与 RSA 秘钥的文本文件。恶意代码对主引导记录(MBR)进行修改,启用主文件表(MFT)与初始 MBR 的加密功能并重启系统、替换 MBR。 “从采用的加密方法来看,即便攻击者收到受害者ID也不大可能恢复文件。” US-CERT建议组织机构遵循 SMB 相关最佳实践,例如: • 禁用 SMBv1 • 使用 UDP 端口 137-138 与 TCP 端口 139 上的所有相关协议阻止 TCP 端口 445,进而阻拦所有边界设备上的所有 SMB 版本。 “ US-CERT 提醒用户与网络管理员禁用 SMB 或阻止 SMB 可能因阻碍共享文件、数据或设备访问产生一系列问题,应将缓解措施具备的优势与潜在问题同时纳入考虑范畴”。 以下是预警报告中提供的防范建议完整列表: • 采用微软于 2015 年 3 月 14 日发布的补丁修复 MS17-010 SMB 漏洞。 • 启用恶意软件过滤器防止网络钓鱼电子邮件抵达终端用户,使用发送方策略框架(SPF)、域消息身份认证报告与一致性(DMARC)、DomainKey 邮件识别(DKIM)等技术防止电子邮件欺骗。 • 通过扫描所有传入/出电子邮件检测威胁,防止可执行文件抵达终端用户。 • 确保杀毒软件与防病毒解决方案设置为自动进行常规扫描。 • 管理特权账户的使用。不得为用户分配管理员权限,除非有绝对需要。具有管理员账户需求的用户仅能在必要时使用。 • 配置具有最少权限的访问控制,包括文件、目录、网络共享权限。如果用户仅需读取具体文件,就不应具备写入这些文件、目录或共享文件的权限。 • 禁用通过电子邮件传输的微软 Office 宏脚本。考虑使用 Office Viewer 软件代替完整的 Office 套件应用程序打开通过电子邮件传输的微软 Office 文件。 • 制定、研究并实施员工培训计划以识别欺诈、恶意链接与社工企图。 • 每年至少对网络运行一次定期渗透测试。在理想情况下,尽可能进行多次测试。 • 利用基于主机的防火墙并阻止工作站间通信。 原作者:Pierluigi Paganini,译者:游弋,校对:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

北约表态:未来若爆发网络攻击或遭政府武力干涉

随着 Petya 勒索软件在全球范围内大肆爆发,北约与英国在谈及网络话题时态度转为强硬。政府与军方承诺将针对此类事件给予更强有力的回应。在 6 月 28 日新闻发布会上,北约秘书长斯托尔滕贝格(Jens Stoltenberg)表示,应将针对联盟成员的网络攻击视为军事问题,与传统海陆空及空间、信息战列为同等级别。 斯托尔滕贝格于 Petya 恶意软件在乌克兰境内爆发 24 小时后、蔓延至其他 60 个国家前的黄金时段发表讲话,声称未来此类攻击事件可能触犯《北大西洋公约》第 5 条规定,即一旦成员国受到攻击,其他成员国将立刻作出回应。 上个月 WananCry 的大规模爆发感染了 150 个国家境内 200,000 台主机。斯托尔滕贝格称此类网络攻击行为强调了网络防御的重要性。 “我们正在履行网络防御承诺,确保在加强北约网络防御的同时对北约盟友施与援助。北约成员国之间共享最佳实践与技术、在整合彼此特色功能、加强北约网络防御能力方面取得更加紧密的合作。此外,各成员国还对网络攻击可能触犯第 5 条规定表示一致认同。” 在 Petya 爆发的前几天,英国政府网络由于议会电子邮件系统遭到入侵而处于封锁状态。调查发现,黑客从社交媒体公司窃取的议员账户登录凭据也被纳入在线交易行列。 真要采取军事行动? 6 月 27 日,英国国防部长迈克尔•法伦(Michael Fallon)警告说,“黑客针对英国计算机网络系统的攻击活动或将引发海、陆、空或网络空间任意战场的回应”。但考虑到此类事件的隐晦性,安全情报机构应如何确定打击目标仍有待探讨。 据《镜报》消息,迈克尔•法伦在为查塔姆社下属智库成立致辞时表示:“我们正在建设一支 21 世纪新型网络战队。这支战队将为我们如何在网络空间竞赛中保持领先地位提供建议。”他还在讲话中重申了“第 5 条”可用于大型网络攻击事件的观点,同时强调军方回应必须根据发起者类型加以区分(例如,网络犯罪分子、恐怖主义分子、激进主义黑客、国家政府等)。 “显而易见,在这件事情上必须设定可供判断的明确界限,例如,是否对国家、公民日常生活造成威胁,而这也是我们迫使北约意识到网络攻击的危害与其他类型物理战不相上下的原因所在”。 与此同时,BBC 也展开相应报道。迈克尔•法伦表示,在确认犯罪者身份后应予以稽查扣留。英国安全情报机构已开始建设各方面能力,包括“以其人之道还治其人之身”的网络战等。此外,相关机构应尽快认识到网络进攻是国家武器库必不可少的一部分。“目前,我们已掌握了揭露、追捕、起诉网络犯罪分子的能力,可以在选定时间段内对任何攻击做出回应。” 此类事件并非史无前例。据《卫报》报道,2015 年,21 岁英国青年 Junaid Hussain (昵称 Trick,Team Poison 黑客组织成员 )就曾因涉嫌参与伊斯兰国一系列网络攻击活动而在美军空袭中丧生。 《英国国家网络安全战略( 2016 – 2021 年)》围绕英国网络进攻能力做出以下陈述:“我们致力于检测、理解、调查、摧毁针对我方的一切敌对行动。如果情势需要,我方有办法在网络空间内采取必要进攻。” 原作者:Jason Murdock,译者:游弋,校对:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Shifr RaaS 仅需三步即可创建勒索软件

勒索软件作为一种有利可图的商业模式一直被网络犯罪分子广泛利用。鉴于此,新型勒索软件即服务(RaaS)在网络生态系统中取得长足发展也就不足为奇了。恰好,本周末安全专家发现一款名为 Shifr 的新型 RaaS,仅需三步即可创建一款简单的勒索软件。 据悉,该网站托管在 Dark Web 上,堪称最易使用的 RaaS 网站,消费者可以用比特币支付赎金。Shifr 采用 Go 语言编写,命名源自加密字段扩展名,可能与 Trojan.Encoder.6491(首款用 Go 语言编写的勒索软件)有关。 对于 Shifr 服务而言,勒索软件的创建过程十分简单,犯罪分子仅需提供恶意软件要求的赎金、接收受害者支付赎金的比特币地址并解决 CAPTCHA 问题。 其他 RaaS 门户网站通常需要以收取入门费或验证客户身份确保只有精通一定骗术的网络犯罪分子才能获得勒索软件样本,而此项服务仅需简单几步即可提供完整的武器化样本。有别与其他 RaaS 服务之处在于,Shifr 供应商仅收取 10% 的维护费用,这与 Cerber RaaS 收取的六成份额相比不足挂齿。 目前,我们仍不能排除 Shifr RaaS 是骗局的可能,运营商也不会向经销商支付削减费用。唯一能够确定的是勒索软件不仅不复杂还缺少许多必要功能,或为正在进行项目。此外,研究人员还注意到犯罪分子采用相同的服务器托管支付门户网站与 RaaS 服务,这并不是一种专业的做法。 综上所述,不难预测各类 RaaS 服务将在未来一个月内得到迅速传播。 原作者:Pierluigi Paganini,译者:游弋,校对:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Petwrap 勒索软件攻击:全球受害者到底有多少?

Petwrap 勒索软件攻击爆发仅一日便有大量报告涌现,各家媒体纷纷对受感染的组织机构数量进行预估。最初报道源自此次事件重灾区乌克兰,乌克兰内政部称“一款未知病毒”侵袭了该国政府、银行等重要机构,堪称乌克兰历史上最大规模的网络攻击事件。没过多久即传出俄罗斯、整个欧洲、北美、澳大利亚等地区也遭受感染的消息并得到权威机构证实。 据悉,Petwrap 同样利用 Shadow Brokers 黑客组织泄露的 NSA “永恒之蓝”(EternalBlue)Windows 漏洞,能够使组织机构沦为瘫痪。ESET 研究人员表示,勒索软件爆发首日,乌克兰受害者数量占已知检测数量的 3/4。病毒通过多种击媒介在乌克兰境内传播,其中包括卡巴斯基实验室近期发现的新型手段,即通过伪装成 Windows update 的恶意文件进行强迫下载传播。 与此同时,检测结果显示,9% 被感染设备位于德国,6% 位于塞尔维亚。虽然大型攻击事件遍及全球,但剩余 60 多个国家攻击事件总和占比不到 1%。 来自微软恶意软件防护中心的数据显示,乌克兰境内 12,500 台设备面临威胁,假设这些设备占比受感染设备总数的 3/4,那么目前全球受感染设备总数就是 16,500 台。 即便如此,这个数字也低于 WannaCry 病毒爆发 24 小时内的受感染设备数量。( WannaCry 爆发期间,全球 74 个国家共发生 45,000 起攻击事件,受感染设备总数高达300,000 台)。 赛门铁克威胁情报显示,乌克兰与美国境内分别有 150 与近 50 家组织机构遭受感染;而根据卡巴斯基研究结果,截至目前约有 2,000 用户遭受攻击。俄罗斯与乌克兰的情况最为严重。此外,波兰、意大利、英国、德国、法国、美国与其他几个国家也在不同程度上受到影响。 虽然 Petwrap 目前受害者数量低于 WannaCry,这款勒索软件的类蠕虫特征意味着被感染设备数量仍有上升空间。 原作者:Danny Palmer,译者:游弋,校对:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Svpeng 手机木马掀起首季度勒索软件攻击事件高潮

2017 年第一季度,手机勒索软件攻击数量激增,与去年同期相比增长 3.5 倍。犯罪分子试图通过 25 万个安卓手机木马安装包从受害者处勒索钱财,赎金金额从 100 美元到 500 美元不等。 根据卡巴斯基实验室本周一发布的《 2016 – 2017勒索软件报告》,德国首当其冲成为重灾区,美国受害者数量紧随其后。考虑到 2015 – 2016 年攻击数量的整体下降趋势(从 136,532 将至 130,232 ),2017 第一季度手机勒索软件数量的急剧增长情况实属异常。 报告显示,手机勒索软件攻击数量的下降反映了安全解决方案厂商、执法机构与白帽黑客之间的有效协作。2017 年第一季度勒索软件攻击事件高发源于 2016 年 12 月 Svpeng 勒索软件家族兴起。与通过入侵工具包与恶意电子邮件附件下载安装的 PC 端勒索软件不同,手机勒索软件主要通过观看色情内容或下载虚假手机Adobe Flash播放器传播。 报告作者之一、卡巴斯基实验室恶意软件高级分析师 Roman Unuchek 表示,“多数情况下,犯罪分子主要利用受害者的疏忽大意以及未及时更新安卓 OS 版本发动攻击。安卓更新版本具有相对完善的安全功能,对勒索软件起到一定抑制作用。” 报告指出,Svpeng 与 Fusob 两大恶意软件家族占据手机勒索软件市场。Fusob 构成勒索软件攻击事件主体,主要通过伪装成名为 “xxxPlayer” 的多媒体播放器欺骗用户。一旦成功下载,勒索软件就会阻止用户访问设备,除非缴纳 100 美元至 200 美元赎金。 手机木马 Svpeng 最早由卡巴斯基实验室于 2013 年发现,此后经历多番勒索软件功能添加或修改。以往社工活动主要基于短消息欺骗用户下载恶意软件。完成安装后会显示一份冒充 FBI 开具的非法内容下载罚单,要求以缴纳 200 美元罚金为代价解锁设备。 受影响最严重的国家排名为:德国(23%)、加拿大(20%)、英国(16%)、美国(15.5%)。针对移动设备的攻击主要源自少数几类恶意软件并通过附加程序传播。相比之下,PC 勒索软件较去年增长 11.4 %。在勒索软件受害者中,加密勒索受害者的比重从 2015 – 2016 年的 31% 上升至 2016 – 2017 年的 44.6%,增长了 13.6 个百分点。 研究人员还发现有针对性的勒索软件攻击由于“勒索软件即服务”(RaaS)的盛行呈上升趋势。 “勒索软件的复杂度与多样性均有提高,通过不断发展、日益便捷的地下生态系统为那些掌握较少技术、资源或时间的犯罪分子提供现成解决方案。” 卡巴斯基实验室对此持乐观态度,相信能够通过 The No More Ransom Project 等全球计划的良性发展有效保护手机与 PC 用户远离加密勒索软件困扰。 原作者:Tom Spring,译者:游弋,校对:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。