分类: 今日推送

Petwrap 勒索软件攻击:全球受害者到底有多少?

Petwrap 勒索软件攻击爆发仅一日便有大量报告涌现,各家媒体纷纷对受感染的组织机构数量进行预估。最初报道源自此次事件重灾区乌克兰,乌克兰内政部称“一款未知病毒”侵袭了该国政府、银行等重要机构,堪称乌克兰历史上最大规模的网络攻击事件。没过多久即传出俄罗斯、整个欧洲、北美、澳大利亚等地区也遭受感染的消息并得到权威机构证实。 据悉,Petwrap 同样利用 Shadow Brokers 黑客组织泄露的 NSA “永恒之蓝”(EternalBlue)Windows 漏洞,能够使组织机构沦为瘫痪。ESET 研究人员表示,勒索软件爆发首日,乌克兰受害者数量占已知检测数量的 3/4。病毒通过多种击媒介在乌克兰境内传播,其中包括卡巴斯基实验室近期发现的新型手段,即通过伪装成 Windows update 的恶意文件进行强迫下载传播。 与此同时,检测结果显示,9% 被感染设备位于德国,6% 位于塞尔维亚。虽然大型攻击事件遍及全球,但剩余 60 多个国家攻击事件总和占比不到 1%。 来自微软恶意软件防护中心的数据显示,乌克兰境内 12,500 台设备面临威胁,假设这些设备占比受感染设备总数的 3/4,那么目前全球受感染设备总数就是 16,500 台。 即便如此,这个数字也低于 WannaCry 病毒爆发 24 小时内的受感染设备数量。( WannaCry 爆发期间,全球 74 个国家共发生 45,000 起攻击事件,受感染设备总数高达300,000 台)。 赛门铁克威胁情报显示,乌克兰与美国境内分别有 150 与近 50 家组织机构遭受感染;而根据卡巴斯基研究结果,截至目前约有 2,000 用户遭受攻击。俄罗斯与乌克兰的情况最为严重。此外,波兰、意大利、英国、德国、法国、美国与其他几个国家也在不同程度上受到影响。 虽然 Petwrap 目前受害者数量低于 WannaCry,这款勒索软件的类蠕虫特征意味着被感染设备数量仍有上升空间。 原作者:Danny Palmer,译者:游弋,校对:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

CNN 等多家知名网站遭遇 Error 503 错误 或被攻击

【TechWeb报道】6月29日消息,据国外媒体报道,CNN(美国有线电视新闻网)等多家知名网站日前遭遇了 Error 503 错误。 外媒称,据用户反映,受到影响的包括社交新闻网站Reddit、纽约时报、CNN、BuzzFeed等知名网站,它们的网络管理系统出了大问题。用户反映,屏幕上会显示“Error 503:达到服务最大线程”的字样(Error 503: Maximum threads for service reached)。 为这些网站提供云服务的 Fastly 公司表示,这种情况属于“全球性事件”,公司多个团队正在进行修复和调查。有分析认为,这次的事故可能是 DDoS(分布式拒绝服务)攻击所造成的。Error 503 错误出现就是因为服务器流量超载,导致无法处理新的请求。 另外,新勒索病毒正席卷全球,渗透进许多的大型跨国企业。受影响的公司包括WPP、俄罗斯石油公司、马士基、美国制药公司默克、俄罗斯第二大钢铁企业耶弗拉兹( Evraz )以及欧华律师事务所( DLA Piper )等等。乌克兰受到大面积打击,使国有供电企业Ukrenergo以及该国几家银行受到影响。 在此之前,WannaCry 病毒在5月份的一个周末肆虐全球,当时就造成 100 多个国家超过 20 万台 Windows 系统电脑中招,影响了全球各地的各个组织,其中包括法国汽车制造商、俄罗斯银行和西班牙电信运营商,引发了全世界的关注。网民电脑里的重要资料被病毒加密,黑客称只有支付赎金才能恢复。(宋星) 稿源:TechWeb,封面源自网络

安全专家表示:Petya不能叫“勒索病毒” 因为它意在破坏系统

新浪科技北京时间 6 月 29 日早间消息,信息安全分析师指出,将 Petya 称作“勒索病毒”可能是不恰当的。这款恶意软件的代码和其他证据表明,Petya 的目的可能是针对乌克兰的网络展开间谍活动,而进行勒索只是一种伪装。 勒索病毒的基本规则是,如果你付款给攻击者,那么就可以拿回自己的数据。如果攻击者没有履行承诺,那么消息传出后将不会有人再支付赎金。那么,如果病毒导致数据完全不可找回,是否还可以称得上“勒索病毒”?因此,Petya 并不是勒索病毒,其动机并不是为了赚钱。考虑到 Peyta 起源于乌克兰的网络,因此一种推测是,Petya 的目的就是破坏这些网络。 随着关于这款病毒的更多信息曝光,这是许多专家提出的观点。Comae 的马特·苏奇(Matt Suiche)和其他人本周将 Petya 的代码与去年的类似攻击进行了比较。2017 年的 Petya 似乎经过了特别修改,通过改写硬盘的主引导记录,导致对用户数据的编码不可逆。攻击者的电子邮件地址似乎也已下线,导致受害者无法支付赎金。 来自伯克利国际计算机科学研究所的消息显示,Petya 是一种“蓄意、恶意、破坏性的攻击,也可能是伪装成勒索病毒的测试”。《连线》杂志报道称,乌克兰基辅的信息安全机构表示,攻击者已经在乌克兰的系统中存在几个月时间,很可能已掩盖了他们传播病毒的痕迹。(邱越) 稿源:新浪科技,封面源自网络

Petya 恶意软件肆虐:荷兰 TNT Express 快递业务大受影响

作为联邦快递(FedEx)旗下的一家子公司,席卷全球的 “Petya” 病毒已经对总部位于荷兰的 TNT Express 的运营造成了显著的影响:“虽然国际国内航运服务仍在运营,但延迟已经不可避免”。公告发布后不久,联邦快递选择了将股票暂时停牌,即便该公司旗下其他子公司并未受到影响。FedEx 在一份声明中解释称:“当前无法衡量服务中断造成的确切经济损失,但会尽快部署补救措施和应急计划,措施包括借助联邦快递自有服务来帮助 Express 递送积压的货物”。 Petya 病毒于近日跨欧洲大肆传播,波及了大量企业与服务,比如乌克兰央行的计算机系统、城市地铁、基辅机场、丹麦航运巨头马士基,甚至连切尔诺贝利核电站都切换到了手动辐射监测模式。 稿源:cnBeta.COM,封面源自网络

微软称新网络袭击源头是乌克兰一会计软件生产商

微软公司、网络安全分析师和乌克兰警方周三表示,新一轮影响全球的病毒袭击事件的源头,来自一家乌克兰的会计软件生产商 M.E.Doc。乌克兰警方负责网络犯罪部门本周二晚些时候表示,M.E.Doc 的软件升级中包含该病毒。同日,微软在一篇博文中表示,有证据显示用户在对该软件制造商的软件进行更新感染了病毒。 网络安全公司 FireEye 高级经理 John Miller 在一封电子邮件中表示,此次攻击中的所使用的一种病毒载体就是 M.E.Doc 生产的软件。卡巴斯基实验室首席安全专家 Aleks Gostev 同样证实,M.E.Doc似乎是恶意软件的来源。 据彭博社消息,M.E.Doc 并未就相关言论做出回应。在该公司的 Facebook 主页上,M.E.Doc 表示,“行业内主流的反病毒公司”已经对其软件进行了审查,证实了该公司对病毒的传播没有任何责任。该公司表示,像其他受害者一样,公司的服务也受到了此轮袭击的影响,并且正在努力恢复服中。 另据纽约时报报道,根据计算机安全公司赛门铁克的研究人员称,与五月份的 WannaCry 攻击一样,新的这一轮攻击同样使用美国国家安全局( National Security Agency )的黑客工具 Eternal Blue (永恒之蓝),并辅之以其他两种传播方法来加速病毒的传播。美国国家安全局尚未承认其工具被用于 WannaCry 或其他攻击,但计算机安全专家正在要求该机构帮助全世界其他机构和公司创造的可以遏制病毒传播的工具。 周二爆发的新一轮网络袭击首先从乌克兰政府部门的网络系统开始,随后俄罗斯石油公司、英国广告商WPP和切尔诺贝利核电站等机构均报告称遭到袭击。受其影响最深的丹麦航运巨头马士基集团在进行了全面评估后,不得不选择关闭了整个网络系统。 稿源:cnBeta,第一财经;封面源自网络

中央网信办:特别重大网络事件发生后需 24 小时值班

中央网信办 27 日印发了《 国家网络安全事件应急预案 》,其中将网络安全事件分成四级,并提出对应的预警和应急响应。当特别重大网络安全事件发生后,需成立指挥部,履行应急处置工作的统一领导、指挥、协调职责,同时应急办 24 小时值班。 预案所指网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的事件,可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件。其中,有关信息内容安全事件的应对,另行制定专项预案。 网络安全事件分为特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。特别重大网络安全事件包括以下几种情况:重要网络和信息系统遭受特别严重的系统损失,造成系统大面积瘫痪,丧失业务处理能力;国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成特别严重威胁;其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件。 与之相对应,网络安全事件预警等级从高到低依次用红色、橙色、黄色和蓝色表示,分别对应发生或可能发生特别重大、重大、较大和一般网络安全事件。对于特别重大网络安全事件,应及时启动 I 级响应,成立指挥部,履行应急处置工作的统一领导、指挥、协调职责。应急办 24 小时值班。 据介绍,中央网信办统筹协调组织国家网络安全事件应对工作,建立健全跨部门联动处置机制,工业和信息化部、公安部、国家保密局等相关部门按照职责分工负责相关网络安全事件应对工作。必要时成立国家网络安全事件应急指挥部,负责特别重大网络安全事件处置的组织指挥和协调。在事件结束后,相关部门要进行调查预评估,对事件的起因、性质、影响、责任等进行分析评估,提出处理意见和改进措施。同时,中央网信办将协调有关部门定期组织演练,检验和完善预案,提高实战能力。各省区市、各部门每年至少组织一次预案演练。 稿源:中国记协网、北京青年报,封面源自网络

Svpeng 手机木马掀起首季度勒索软件攻击事件高潮

2017 年第一季度,手机勒索软件攻击数量激增,与去年同期相比增长 3.5 倍。犯罪分子试图通过 25 万个安卓手机木马安装包从受害者处勒索钱财,赎金金额从 100 美元到 500 美元不等。 根据卡巴斯基实验室本周一发布的《 2016 – 2017勒索软件报告》,德国首当其冲成为重灾区,美国受害者数量紧随其后。考虑到 2015 – 2016 年攻击数量的整体下降趋势(从 136,532 将至 130,232 ),2017 第一季度手机勒索软件数量的急剧增长情况实属异常。 报告显示,手机勒索软件攻击数量的下降反映了安全解决方案厂商、执法机构与白帽黑客之间的有效协作。2017 年第一季度勒索软件攻击事件高发源于 2016 年 12 月 Svpeng 勒索软件家族兴起。与通过入侵工具包与恶意电子邮件附件下载安装的 PC 端勒索软件不同,手机勒索软件主要通过观看色情内容或下载虚假手机Adobe Flash播放器传播。 报告作者之一、卡巴斯基实验室恶意软件高级分析师 Roman Unuchek 表示,“多数情况下,犯罪分子主要利用受害者的疏忽大意以及未及时更新安卓 OS 版本发动攻击。安卓更新版本具有相对完善的安全功能,对勒索软件起到一定抑制作用。” 报告指出,Svpeng 与 Fusob 两大恶意软件家族占据手机勒索软件市场。Fusob 构成勒索软件攻击事件主体,主要通过伪装成名为 “xxxPlayer” 的多媒体播放器欺骗用户。一旦成功下载,勒索软件就会阻止用户访问设备,除非缴纳 100 美元至 200 美元赎金。 手机木马 Svpeng 最早由卡巴斯基实验室于 2013 年发现,此后经历多番勒索软件功能添加或修改。以往社工活动主要基于短消息欺骗用户下载恶意软件。完成安装后会显示一份冒充 FBI 开具的非法内容下载罚单,要求以缴纳 200 美元罚金为代价解锁设备。 受影响最严重的国家排名为:德国(23%)、加拿大(20%)、英国(16%)、美国(15.5%)。针对移动设备的攻击主要源自少数几类恶意软件并通过附加程序传播。相比之下,PC 勒索软件较去年增长 11.4 %。在勒索软件受害者中,加密勒索受害者的比重从 2015 – 2016 年的 31% 上升至 2016 – 2017 年的 44.6%,增长了 13.6 个百分点。 研究人员还发现有针对性的勒索软件攻击由于“勒索软件即服务”(RaaS)的盛行呈上升趋势。 “勒索软件的复杂度与多样性均有提高,通过不断发展、日益便捷的地下生态系统为那些掌握较少技术、资源或时间的犯罪分子提供现成解决方案。” 卡巴斯基实验室对此持乐观态度,相信能够通过 The No More Ransom Project 等全球计划的良性发展有效保护手机与 PC 用户远离加密勒索软件困扰。 原作者:Tom Spring,译者:游弋,校对:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

安全团队 Project Zero 曝光:微软发布补丁并未完全修复 Windows 漏洞

Google Project Zero 信息安全团队,专门负责寻觅各种软件的安全漏洞,而 Windows 则成为了重点 “ 关照对象 ”。在经历了数次备受争议的漏洞公开事件之后,这支 Google 团队再次披露了 Windows 系统中能够访问内核存储的安全漏洞。该漏洞于今年 3 月份被 Project Zero 团队成员发现,该漏洞同时存在于包括 Google 在内的其他公司软件产品,微软已经于今年六月的补丁星期二活动中进行了修复。 Project Zero 在发现漏洞之后会向软件商报告,并且在 90 天之后完全公布。尽管这次微软在限定时间内对该漏洞进行了修复,但是 Project Zero 团队表示微软并未完全在正确修复。对此,微软承认确实还存在问题。该漏洞允许任何人访问内核存储。在 Windows 系统中 nt!NtNotifyChangeDirectoryFile 子系统中,被报告由于输出机构隐患导致攻击者可以在用户模式下查看和访问未初始化的内存池。 Google 表示这个漏洞能够允许已经获得本地权限的攻击者可以绕过某些漏洞保护措施(Kernel ASLR),并读取内核地址空间的其他分区内容。Google 表示已经提醒微软,Windows 7 到 10 用户依然能够存在这个漏洞。微软有望在下个月的补丁星期二活动中进行修复。截至目前,该漏洞的安全等级已经被标记为 “ 中等 ” (Medium)。 稿源:cnBeta,封面源自网络

英最新航母 “ 伊丽莎白女王号 ”被曝电脑系统早已过时

英国海军最新航空母舰 “ 伊丽莎白女王号 ” (HMS Queen Elizabeth)正式试航。不过,英国媒体发现,这艘造价高达 35 亿英镑的航母,其控制室使用的计算机系统,是微软公司一款已经停止支持的软件 Windows XP。鉴于今年 5 月有黑客发动大规模攻击的目标之一,正是 Windows XP。外界担心航母的 “ 铜皮铁骨 ” 之下,计算机系统会不堪一击。 据报道,伊丽莎白女王号的结构符合美国太空总署订立的标准,而它的计算机系统是在 2001 年建立,但微软早在 2014 年已经停止支持 Windows XP。上月有黑客以勒索软件 WannaCry 入侵世界各地的计算机,引起全球恐慌,专家警告不再更新的软件,受袭的风险会大增,航母的计算机保安工作自然引起关注。伊丽莎白女王号指挥官 Mark Deller 表示,当航母正式服役时,将会采取适当的保安措施。 Deller表示:“我们会避免这艘舰受网络攻击影响,及时更新所有过时系统。他补充:“当你购买一艘船舰时,你不会在今天买,而是20年前已经购得。现实是,我们的设计是预备了足够空间,来加以改善及进步。”前第一海军大臣韦斯特(Alan West)却认为,军方使用 Windows XP 十分令人担心。他指出:“假如是全新的(计算机)系统会较好,我担心他们没有采取最有效的方法,来保护船舰。” 稿源:cnBeta,封面源自网络

欧盟将颁布新隐私法规,B2B 数据分享趋向复杂化

据外媒 26 日报道,开展国际业务的美国公司近来纷纷抱怨即将在 1 年内生效的欧盟新隐私法规过于严苛,应在控制哪些数据可以在线存储方面赋予消费者更多权利。 乔治城大学法律中心教授、国家安全与法律中心研究员 Clare Sullivan在无界网络会议(Borderless Cyber Conference)上表示个人数据 B2B 分享将趋向复杂化。Sullivan 认为,对于威胁情报团体而言,需要在私有部门与美国及国外政府实体之间制定明晰的规则,并且该规则不得与欧盟《全球数据保护法规》(GDPR)相冲突。 “组织机构参与全球 B2B 网络威胁情报分享的合法能力会受到许多因素影响。关注焦点在于 IP 地址能否作为网络威胁情报在组织机构间分享。” 美国公司在全球范围内具有举足轻重的地位,因此需要对欧盟隐私法进行深入了解。乔治城大学网络威胁分享项目调查结果显示,与欧盟存在贸易往来的许多国家也都采用了欧盟隐私条例。 “全球多数国家(除美国外)都遵循欧盟隐私模型并以现有的欧盟规定作为各自数据保护与隐私法规的依托。欧盟全球数据保护法规(GDPR)将于 2018 年 5 月正式生效,届时这些国家都将执行新规。” 全球多国采用欧盟隐私法规的原因在于欧盟始终坚持与其产生贸易往来的国家必须遵守欧盟隐私法规。欧盟模型对个人数据进行了非常宽泛的定义,将能够直接或间接识别个人身份的数据全部纳入考虑范畴。 尽管如此,相关企业需要特别关注欧盟新规《治外法权》(Extraterritoriality)。新规明确规定处理欧盟范畴个人数据的美国企业必须遵守欧盟数据保护法规,可以说是欧盟做出的一项重大改变。 美国曾与欧盟签署《美国-欧盟隐私保护协议》(US-EU Privacy Shield),允许 2,000 多家美国云服务公司传输欧盟公民个人数据至美国而无需承担违反欧盟基本隐私权的风险。今年 1 月,特朗普总统签署了一份行政命令,对上述协议内容进行了修改,避免在对非美国公民监控过程中与欧盟隐私法规产生冲突。此举产生的潜在后果是为在欧盟开展数字业务的美国公司制造了麻烦。据悉,协议年审将于今年 9 月进行。 在处理或收集 IP 地址等看似无害的信息方面,Sullivan 表示,判断 IP 地址是否属于个人信息这一问题存在模糊地带,应根据具体情况分析,但作为一项法规,不应让企业承担相应责任。此类法规不适用于威胁情报分享。 “当然,在网络安全方面,我们不希望将收集 IP 地址等操作告知当事人,但欧盟隐私法规允许以保护公共利益为由的数据收集行为。对此,负责对不透明问题发表非法律意见与裁决的欧盟第 29 条工作组(Article 29 Working Party)在威胁情报团体背景下审视了这一问题。” Sullivan 的研究发现不仅有助于威胁情报团体理解即将面临的国际法律环境,还为全球企业制定政策与流程提供见解,实现及时、有效、合法的网络威胁分享。 原作者:Tom Spring,译者:游弋,校对:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。