分类: 今日推送

Garmin 确认在支付赎金后,已收到 WastedLocker 勒索软件解密器

据外媒BleepingComputer报道,他们确认了Garmin已经收到解密密钥以此来恢复他们在WastedLocker勒索软件攻击中加密的文件。当地时间2020年7月23日,Garmin遭受了全球范围的中断,客户无法访问他们的连接服务,包括Garmin Connect、flyGarmin、Strava、inReach解决方案。 在员工们分享了加密工作站的照片后,BleepingComputer是第一个证实他们受到了WastedLocker勒索软件运营商网络攻击的公司。 之后,职工告诉BleepingComputer,勒索赎金要1000万美元。 Garmin则在服务中断了四天之后突然宣布他们开始恢复服务,这让人们怀疑他们是否通过支付赎金来获得一个解密器。 然而,Garmin拒绝就此做进一步评论。   确认:Garmin收到了一个WastedLocker的解密密钥 今日,BleepingComputer获得了一个由Garmin IT部门创建的可执行文件以解密工作站然后在机器上安装各种安全软件。 据了解,WastedLocker是一款针对企业的勒索软件,其加密算法没有已知的弱点。 为了获得能工作的解密密钥,Garmin必须向攻击者支付赎金。目前还不清楚支付了多少赎金,但正如之前所述,一名员工告诉BleepingComputer,最初的赎金要求是1000万美元。 当将该文件解压后可以看到各种安全软件安装程序、一个解密密钥、一个WastedLocker解密器和一个运行它们的脚本。 当执行时,恢复包解密计算机然后用安全软件为计算机运行做准备。 Garmin的脚本包含了一个“07/25/2020”时间戳,这表明赎金是在7月24日或7月25日支付的。 通过使用来自Garmin攻击的WastedLocker样本,BleepingComputer加密了一台虚拟机并测试了解密器看看其是否能解密文件。结果显示,解密器在解密其文件时没有出现任何问题,演示见下视频: 在遭遇勒索软件攻击后,所有公司都应遵循清除所有电脑并安装干净图像的一般规则。重新安装是必要的,因为人们永远不知道攻击者在入侵期间更改了什么。 根据上面的脚本,Garmin似乎没有遵循这条准则,只是简单地解密工作站并安装安全软件。     (稿源:cnBeta,封面源自网络。)

数据泄露后,Zello 重置所有用户密码

一键通应用程序 Zello 披露了一个数据泄露事件,用户的系统上存在未经授权的活动,并导致泄露了用户的电子邮件地址和哈希密码。 Zello 是一项具有1.4亿用户的移动服务,该服务允许急救人员、酒店、交通以及家人和朋友使用一键通应用程序进行通信。 Zello指出,他们于2020年7月8日在其中一台服务器上发现了未经授权的活动。 作为此访问的一部分,黑客可能已访问Zello帐户的电子邮件地址和哈希密码。 “ 2020年7月8日,我们在其中一台服务器上发现了异常活动。我们立即启动了调查,通知了执法部门,并聘请了一家领先的独立法证公司来提供帮助。通过此调查,我们了解到,未经授权的一方可能已经访问了我们的用户在其Zello帐户上使用的电子邮件地址和密码的哈希版本。” 尽管Zello并未明确声明已访问了数据库,但这很可能是黑客能够访问客户信息的途径。 根据通知,此违规行为不会影响Zello Work和Zello for First Responders客户。 此外,由于Zello要求用户使用用户名和密码登录。由于黑客未访问用户名,因此Zello并不认为用户帐户得到了正确访问。 Zello客户应该怎么做? 为了安全起见,Zello会在下次登录时对所有Zello帐户强制重置密码。 当攻击者获得对Zello用户的电子邮件地址和哈希密码的访问权限时,他们可能会破解该密码以获取对明文密码的访问权限。 然后,黑客可以在“凭据填充”中利用电子邮件地址列表和破解的密码。在这种情况下,攻击者尝试登录用户也可能拥有帐户的其他站点。 因此,所有受影响的用户都需要在与他们的Zello帐户相同的密码的任何站点上更改其密码。 更改密码时,它应该是仅在该站点使用的唯一密码。 密码管理器可以帮助您在访问每个站点时方便地创建唯一密码,而无需记住它们。     消息来源:BleepingComputer,译者:叶绿体。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

报告称企业“超大型”数据泄露事件的补救成本可能高达 3.92 亿美元

据外媒ZDNet报道,在过去的一年里,“超大型”数据泄露事件的平均成本呈天文数字增长,受到此类安全事件影响的企业预计将支付高达3.92亿美元的费用。现在,数据泄露已经屡见不鲜,针对公司发起的网络攻击催生了一个新的网络保险行业,出现了针对未能保护数据的公司的监管和集体诉讼,以及新的法律–比如欧盟的GDPR–可以用来对安全性松懈的数据控制者进行重罚。 然而,数据泄露事件不断发生,其中一些导致消费者记录被盗,在地下论坛上出售,身份被盗风险增加。为了应对数据泄露的后果,企业可能需要花费资金修复系统和升级架构,可能需要投资新的网络安全服务和网络取证,还可能面临法律诉讼或监管部门的处罚–如果涉及客户PII,成本还在逐年增加。 周三,IBM发布了年度《数据泄露成本报告》,报告称,现在平均数据泄露成本为386万美元。虽然这一平均值与2019年相比下降了1.5%,但当涉及超过5000万条消费者记录时,这些 “超大型 “数据泄露事件的补救成本可能高达3.92亿美元,高于2019年的3.88亿美元。 如果一个组织担任4000万至5000万条记录的数据控制者,平均成本为3.64亿美元,组织可能会面临每条涉及数据被盗或泄露的消费者记录高达175美元的成本。这项研究由Ponemon研究所进行,包括对在过去一年中经历过数据泄露的公司工作的3200多名安全专业人士的采访。 正如最近的Twitter黑客事件所强调的那样,被泄露的员工和内部账户是当今数据泄露中最昂贵的因素之一,使数据泄露的平均成本高达477万美元。当涉及内部账户时,80%的事件导致客户记录暴露。总的来说,被盗或泄露的账户凭证–与云端错误配置一起–占安全事件的近40%。 IBM表示,在五分之一的数据泄露事件中,被泄露的账户凭证被用作攻击者的入口,导致仅在2019年就有超过85亿条记录曝光。云端错误配置占网络漏洞的比例接近20%。利用第三方漏洞,如企业软件中的零日或未修补的安全漏洞,也是造成数据泄露的一个昂贵因素。一个企业公司如果因这类漏洞而遭受数据泄露,预计最高可获赔450万美元。 国家赞助的攻击,包括高级持续性威胁(APT)组织进行的攻击,远没有那么常见,只占企业公司报告的整体数据泄露事件的13%。然而,当这些威胁行为者参与其中时,他们所造成的损失往往会导致更高的恢复成本,平均代表着443万美元。 如果企业已经购买了网络保险,则可以平均减少20万美元的损失费,保险赔付的大部分用于法律服务和咨询费。 在报告内,IBM将人工智能、机器学习和自动机作为应对数据泄露的宝贵工具,可能会将事件响应时间缩短27%。 “当企业正在加速扩大其数字足迹,安全行业的人才短缺问题持续存在的时候,团队正在不堪重负地保护更多的设备、系统和数据。”IBM X-Force Threat Intelligence副总裁Wendi Whitmore评论道。“当涉及到企业减轻数据泄露影响的能力时,我们开始看到已经投资于自动化技术的公司所拥有的明显优势。”     (稿源:cnBeta,封面源自网络。)

Debian 10.5 发布,修复”BootHole”安全漏洞

Debian 10.5 已发布,这是 Debian 10 “Buster” 的第五个稳定版更新,修复了部分安全问题和 bug。 其中最值得关注的是,此版本提供了必要的补丁来解决最近的 GRUB2 UEFI SecureBoot “BootHole” 安全漏洞。因此现在 BootHole 应该可以在 Debian 10.5 中得到解决,同时也不会出现当时缓解漏洞后仍有困扰部分 RHEL/CentOS 用户的启动问题。 除了解决 BootHole 问题之外,Debian 10.5 还更新了 ClamAV 防病毒软件、对 file-roller 的安全修复和其他细小的修复,对 fwupdate 和其他软件包使用加密的 Debian 签名密钥、修复 Jigdo 中的 HTTPS 支持问题、升级 Linux 4.19 内核支持、修复 PHP Horde 的多项跨站点脚本问题,以及其他多项修复。 详情查看 https://www.debian.org/News/2020/20200801 下载镜像站列表 https://www.debian.org/mirror/list   相关链接 Debian GNU/Linux 的详细介绍:点击查看 Debian GNU/Linux 的下载地址:点击下载     (稿源:开源中国,封面源自网络。)

盘古团队演示 iOS 14 越狱:发现 Secure Enclave 存“不可修复”漏洞

日前召开的 Mosec 2020 大会上,国内越狱团队盘古发现了苹果 Secure Enclave 安全协处理器上的一个“永久性”的漏洞。这可能会让 iPhone、iPad、Mac、Apple Watch 和其他苹果设备处于危险当中。 Secure Enclave 安全协处理器几乎是苹果产品的标准配置,它能为苹果设备提供额外的安全保护,使用随机密钥对数据进行加密,只有 Secure Enclave 才能访问。这些密钥对你的设备来说是独一无二的,而且它们绝不会与 iCloud 同步。 除了加密你的文件之外,Secure Enclave 还负责存储管理敏感数据的密钥,如密码、Apple Pay 使用的信用卡,甚至是你的生物特征识别以启用 Touch ID 和 Face ID。这使得黑客更难在没有密码的情况下获取你的个人数据。 需要注意的是,虽然 Secure Enclave 芯片内置在设备中,但它的工作原理与系统的其他部分完全分离。这确保了应用程序不会访问你的私人密钥, 因为他们只能发送请求解密特定的数据,如你的指纹,通过 Secure Enclave 解锁应用程序。即使你的设备已经越狱,可以完全访问系统的内部文件,但所有由 Secure Enclave 管理的东西仍然受到保护。 目前采用 Secure Enclave 芯片的设备包括 iPhone 5s 及更高版本 iPad(第 5 代)及更高版本 iPad Air(第一代)及更高版本 iPad mini 2 及更高版本 iPad Pro 带有 T1 或 T2 芯片的 Mac 计算机 Apple TV HD(第 4 代)及更高版本 Apple Watch Series 1 和更高版本 HomePod 事实上,这并非是首次披露 Secure Enclave 相关的漏洞。2017年,一群黑客能够解密 Secure Enclave 固件,以探索该组件的工作原理。然而,他们无法获得私钥的访问权限,因此用户并没有任何风险。 不过现在,来自中国的盘古团队在苹果的 Secure Enclave 芯片上发现了一个“不可修补”的漏洞,可能导致私人安全密钥的加密被破解。这意味着这个漏洞存在于硬件中,因此苹果无法通过软件更新的方式进行安全升级。 目前盘古团队并没有进一步说明该漏洞的细节,但如果能够完全访问 Security Enclave ,意味着攻击者可以获得密码、信用卡等信息。目前我们唯一知道的是,Secure Enclave的这个漏洞会影响到A7和A11 Bionic之间的所有苹果产品。 尽管苹果已经修复了A12和A13 Bionic芯片的这一安全漏洞,但仍有数百万运行A11 Bionic或更老芯片的苹果设备可能受到这一漏洞的影响。     (稿源:cnBeta,封面源自网络。)

芝加哥大学发起 Election Cyber Surge 倡议 为各州选举提供网络安全支持

目前美国各州都为 11 月举行的美国总统大选做着各项准备,一个新成立的志愿组织希望能够帮助他们缓解网络安全方面的问题。芝加哥大学启动了名为“Election Cyber Surge”的倡议活动,为各州提供网络安全专家和安全服务的支持。 为了妥善保护选举安全,某些州会向私人公司支付网络安全费用,而其他州则依靠内部员工或联邦援助。但今年面对疫情,美国各州不得不加大预算,从而保障选举的正常进行,例如支付大量邮寄选票的费用,购买清洁用品和个人防护设备。 虽然美国联邦政府为每个州提供了一些免费的选举网络安全工具,但各州没有职责使用它们。为此,芝加哥大学发起的这项“Election Cyber Surge”倡议能够为那些无法获得网络安全服务、无法获得想要帮助的合格专家的地方选举官员提供帮助。官员们将能够选择一个关注的领域,然后从愿意通过电话或视频聊天提供帮助的专业人士名单中挑选,这在大流行期间是必要的。 以上图片均来自于 芝加哥大学 负责这个项目的前长期政府网络安全战略家 Maya Worman 表示:“需求是显而易见的,而且帮助确实是有效果的”。她说,该项目将从大约50名经过审查的志愿者开始,这个数字可能会翻倍。大多数人都是通过大学的可信网络安全专业人员数据库确定的,并且在该领域至少有十年的经验。 自去年秋天以来,国土安全部已经警告说,选民登记系统和县级政府面临着来自勒索软件的特别风险,黑客用它来加密网络,并要求赎金以获得解锁的钥匙。犯罪团伙通过寻找有未修补漏洞的网络,经常用勒索软件攻击美国的地方政府网络。 国土安全部的最高网络安全官员克里斯-克雷布斯(Chris Krebs)在本月早些时候的一个小组会议上表示,尽管美国自2016年以来在加强其基线安全方面取得了进展,但在选举日之前或之后,与选举有关的网络仍然是“脆弱的,有能力的对手会进行破坏性攻击”。     (稿源:cnBeta,封面源自网络。)

外媒还原 Twitter 攻击事件经过:FBI 是如何锁定三名黑客的

就上月中旬发生的 Twitter 攻击事件,今天美国执法部门对三名嫌犯发起公诉。根据美国司法部披露的法庭文件,外媒 ZDNet 拼凑出了本次攻击事件的时间线,以及美国调查人员是如何追踪到这三名黑客的。 根据美国司法部今天公布的三份起诉书,本案涉及的三名嫌犯分别包括: Mason Sheppard:网名 Chaewon,现年 19 岁,来自英国 Bognor Regis [起诉书] Nima Fazeli:网名 Rolex,现年 22 岁,来自美国佛罗里达州奥兰多市[起诉书] Graham Ivan Clark:网名 Kirk,现年 17 岁,来自美国佛罗里达州坦帕市[起诉书] 根据法庭文件,整个黑客攻击事件始于今年5月3日,当时居住在美国加州的 Graham Ivan Clark 获得了 Twitter 部分网络的访问权限。不过目前并不清楚5月3日至7月15日(黑客实际发起攻击的当天)之间发生了什么事情,但 Clark 在获得权限之后似乎并没有立即采取攻击行动。 根据纽约时报的跟踪报道,Clark 最初获得的是 Twitter 内部 Slack 工作空间之一的访问权限,而不是 Twitter 本身。 纽约时报在报道中称,该黑客发现了 Twitter 的一个技术支持工具的凭证被固定在该公司的 Slack 频道上。 这个工具的图片在黑客入侵当天在网络上曝光,该工具允许 Twitter 员工控制 Twitter 账户的所有方面。不过这个工具的凭证并不足以访问 Twitter 后台,在 Twitter 官方博客中表示,这个管理后台的账户受到了双因素认证(2FA)的保护。 目前还不清楚 Clark 花了多少时间来做这件事,不过在同一篇调查报告中称黑客利用 “电话鱼叉式网络钓鱼攻击 “欺骗了部分员工,并获得了他们账户的访问权限,而且 “通过了[Twitter]的双因素保护”。根据 Twitter 的说法,这发生在7月15日,也就是黑客攻击的当天。 在攻击事件发生之后,美国 FBI 发现 Clark 在 Discord 上的网名称之为“Kirk#5270”。当时,他联系了另外两个人,帮助将牟取的比特币换成现金。 法庭文件中包含的聊天记录显示,克拉克(Discord 用户 “Kirk#5270”)与 OGUsers 的 Discord 频道的另外两名用户接触,OGUsers 是一个专门为黑客出售和购买社交媒体账号的论坛。 在聊天记录中,克拉克接近了另外两名黑客(Fazeli为Discord用户 “Rolex#037″,Sheppard为Discord用户 “ever so anxious#0001″),并声称自己在Twitter工作。 他通过修改 Fazeli(Rolex#037)拥有的一个账号的设置来证明自己的说法,还向Fazeli出售了@foreign Twitter账号的访问权限。 此外,Clark 还向 Sheppard 出售了多个短 Twitter 账号的使用权,包括 @xx, @dark, @vampire, @obinna 和 @drug。 由于 Clark 让另外两人相信了他的权限级别,三人达成协议,在OGUsers论坛上发布广告,宣传克拉克劫持Twitter账号的能力。 在发布这些广告后,据信有多人购买了 Twitter 账户的访问权限。在美国检察官执行办公室发布在 YouTube 上的录音信息中,调查人员表示,他们仍在调查多名参与黑客攻击的用户。 据信,其中一名当事人负责在7月15日购买名人验证Twitter账户的访问权限,并发布了一条加密货币诈骗信息。 Barrack Obama, Joe Biden, Bill Gates, Elon Musk, Jeff Bezos, Apple, Uber, Kanye West, Kim Kardashian, Floyd Mayweather, Michael Bloomberg等人的账户上随后被发现,要求用户向几个地址发送比特币。 法庭文件称,操作此次骗局中使用的钱包的黑客获得了12.83个比特币,约合11.7万美元。随后的调查还显示,加密货币交易所 Coinbase 在黑客入侵当天就阻止了向诈骗地址的交易,最终阻止了另外 28 万美元被送到骗子手中。     (稿源:cnBeta,封面源自网络。)

推特公布泄漏事件最新进展:黑客伪装成同事骗取员工凭证

本周四,推特官方支持账号公布了有关于7月15日攻击事件的最新调查进展。推特表示,部分员工遭到了鱼叉式网络钓鱼攻击。虽然推特并未公布更多细节,但外媒推测应该是黑客伪装成同事或者安全团队成员,然后给推特员工打电话,然后诱导他们透露访问内部系统的凭证。 推特此前表示,公司内部的管理工具在本次攻击中遭到泄漏,但并没有明确说明是如何发生的。Twitter Support 官方账号表示:“本次攻击依靠的是一个重要、一致性的方式,误导某些员工,并利用人为的漏洞来获得对我们内部系统的访问权。” 该账号表示:“在获取员工的用户凭证之后,黑客使用了仅为特定内部员工使用的工具发起攻击。他们随后锁定了 130 个 Twitter 账号,并通过 45 个账号发布推文,访问了 36 个私信收件箱,并下载了 7 个账号的数据。” 目前,推特已经限制了对内部工具和系统的访问。在安全得恢复正常操作之前,可能会导致推特支持的响应时间变慢。此外,推特正在加快一些现有的安全工作流程并改进我们的工具。我们还在改进我们的方法,以检测和防止对内部系统的不当访问,并优先处理我们许多团队中的安全工作。     (稿源:cnBeta,封面源自网络。)

欧盟首次以网络攻击为由,制裁中国、朝鲜、俄罗斯

周四,欧盟宣布,对来自俄罗斯和中国的开展或参与各种所谓“网络攻击”的6名个人和3个实体实施制裁,此外,欧盟还表示已锁定俄罗斯军事情报的特殊技术部门,也就是俄罗斯联邦武装力量总参谋部情报总局GRU。 此次受制裁的3个组织分别是俄罗斯的GRU、朝鲜的Chosun Expo公司以及中国的海泰科技发展有限公司。 这是欧盟首次进行与网络攻击相关的制裁活动。制裁措施包括实施旅行禁令、冻结资产,同时禁止欧盟人员和实体向被制裁对象提供资金。 事实上,此前欧盟就因“中国对待香港的方式”而对中国实施制裁,以此向特朗普政府相对强硬的对华立场进一步靠拢。 而欧盟外交与安全政策高级代表博雷利曾发声,认为美国越来越多地针对欧洲企业使用制裁手段或以制裁相威胁的做法会损害欧洲利益。“欧盟反对第三国对欧洲公司合法经营实施制裁,这种’域外制裁’违反国际法。”但显然,时隔仅半个月,欧盟也选择了网络制裁工具。 此外,对于此次部分中国的个人和实体被制裁,驻欧盟使团发言人坚定发声:中国是网络安全的坚定维护者,也是黑客攻击的最大受害国之一,始终依法打击一切形式的网络黑客攻击行为。我们也一贯主张,国际社会应当在相互尊重、平等互利的基础上,通过对话合作共同维护网络空间的安全,反对动辄诉诸单边制裁措施。(来自新京报)     (稿源:Freebuf,封面源自网络。)

注意容器安全:Doki 感染云中的 Docker 服务器

主要发现 Ngrok Mining Botnet是一个活跃的活动,目标是AWS、Azure和其他云平台中公开的Docker服务器,它已经活跃了至少两年。 我们检测到了最近的一次攻击,其中包括使用区块链钱包生成C&C域名的完全未检测到的Linux恶意软件和以前未记录的技术。 任何具有公开开放的Docker API访问权限的人都有可能在短短几个小时内被黑客入侵。这很可能是由于黑客对脆弱的受害者进行了自动且连续的全互联网扫描所致。 自2020年1月14日首次分析以来,VirusTotal的60个恶意软件检测引擎中尚未检测到被称为“ Doki ”的新恶意软件。 攻击者正在使用受感染的受害者搜索其他易受攻击的云服务器。 介绍 Linux威胁变得越来越普遍。造成这种情况的一个因素是,对云环境的转移和依赖日益增加,而云环境主要基于Linux基础架构。因此,攻击者已经采用了专门为此基础结构设计的新工具和技术。 一种流行的技术是滥用配置错误的Docker API端口,攻击者在其中扫描可公开访问的Docker服务器,并利用它们来设置自己的容器并在受害者的基础设施上执行恶意软件。 Ngrok僵尸网络是利用Docker API端口进行的持续时间最长的攻击活动之一,之前由Netlab和Trend Micro的研究人员报道过。作为攻击的一部分,攻击者滥用Docker配置功能,以逃避标准容器限制并从主机执行各种恶意负载。他们还部署了网络扫描仪,并使用它扫描云提供商的IP范围,以查找其他潜在的易受攻击目标。我们的证据表明,从新配置错误的Docker服务器上线到感染此活动仅需几个小时。 最近,我们检测到一种新的恶意软件有效负载,该负载与通常在此攻击中部署的标准加密矿工不同。该恶意软件是一个完全未被发现的后门,我们将其命名为Doki。 Doki使用一种以前未记录的方法,以一种独特的方式滥用狗狗币加密货币区块链来联系其运营商,以便动态生成其C2域名地址。尽管VirusTotal公开提供了样本,但该恶意软件已成功躲藏了六个月以上。 在本文中,我们将介绍攻击并提供对未检测到的Doki后门实施的技术的详细分析。     … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1278/       消息来源:intezer,译者:叶绿体。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。