分类: 恶意软件

警方劫持僵尸网络并远程移除 85 万台受感染计算机上的恶意程序

据外媒TechCrunch报道,在一项罕见的壮举中,法国警方劫持了一个庞大的加密货币挖掘僵尸网络,其控制着近百万台受感染的计算机。臭名昭著的Retadup恶意软件感染计算机,主要被用于挖掘加密货币。 虽然恶意软件被用来赚钱,但恶意软件运营商很容易运行其他恶意代码,如间谍软件或勒索软件。恶意软件还具有可信的属性,允许它从计算机传播到计算机。自首次亮相以来,加密货币挖掘恶意软件已遍布全球,包括美国,俄罗斯以及中南美洲。 安全公司Avast通过一篇博文证实该行动是成功的。 该安全公司在发现恶意软件的命令和控制服务器中存在设计缺陷后参与其中。研究人员表示,如果利用得当,该漏洞将“允许我们从受害者的计算机中删除恶意软件”,而不会将任何代码推送到受害者的计算机上。 该漏洞将拆除该操作,但研究人员缺乏推进的法律授权。由于大多数恶意软件的基础设施位于法国,因此Avast与法国警方联系。在7月份接到检察官的批准后,警方继续进行操作,控制服务器并对远程移除了受影响计算机上的恶意程序。 法国警方称该僵尸网络是“世界上被劫持计算机最大的网络之一”。 该操作通过与其Web主机的协作秘密获取恶意软件的命令和控制服务器的快照而起作用。研究人员表示,他们必须谨慎行事,以免恶意软件运营商注意到这一点,因为他们担心恶意软件运营商可以进行报复。 “这些恶意软件的作者主要分发加密货币矿工,从而获得了非常好的被动收入,”这家安全公司表示。“但如果他们意识到我们即将完全取消Retadup,他们可能会将勒索软件推送到成千上万台计算机,同时试图将其恶意软件用于获取最后的利润。” 随着手中的恶意命令和控制服务器的副本,研究人员构建了自己的副本,远程移除了受害者计算机的恶意软件,而不是导致感染。 “(警察)用准备好的杀毒服务器取代了恶意(命令和控制)服务器,该服务器使连接的Retadup实例自毁,”Avast在博客文章中说。“在其活动的第一秒,有数千个机器人连接到它,以便从服务器获取命令。杀毒服务器回复他们并对他们进行杀毒,滥用协议设计缺陷。“ 通过这样做,该公司能够阻止恶意软件的运行,并将恶意代码从超过85万台受感染的计算机上移除。 法国警方网络部门负责人Jean-Dominique Nollet 表示,恶意软件运营商产生了数百万欧元的加密货币。 远程关闭恶意软件僵尸网络是一项罕见的成就 – 但难以实施。 几年前,美国政府撤销了第41条规则,现在允许法官在其管辖范围之外发布搜查和扣押令。许多人认为此举是联邦调查局努力进行远程黑客行动而不受法官管辖权的地方阻碍。批评人士认为,如果一位友好的法官在单一手令上侵入无数的计算机,那将是一个危险的先例。 从那时起,修订后的规则被用于拆除至少一个主要的恶意软件操作,即所谓的Joanap僵尸网络,这被认为与为朝鲜政府工作的黑客有关。   (稿源:cnBeta,封面源自网络。)

勒索软件攻击影响了美国数百家牙科诊所

据外媒Techspot报道,一个黑客组织本周设法渗透到美国数百家牙科诊所办公室的网络中,并用勒索软件加载他们的系统。正如Krebs on Security所强调的那样,PerCSoft是一家位于威斯康星州的数字牙科记录云管理提供商,该公司运营著名的DDS Safe在线数据备份服务。该服务为全国数百家牙科诊所提供牙科记录、图表、保险信息等。 黑客们使用Evil (Sodinokibi) 勒索软件攻击PerCSof,锁定约400牙科诊所的文件。多个消息来源报告说,PerCSoft支付了赎金,并获得了一个解密密钥,其正在积极地分发给受影响的牙科诊所,以帮助他们恢复他们的文件。 Krebs表示,目前尚不清楚PerCSoft是否直接支付了赎金,或者资金是否由保险公司提供。向付费受害者提供解密密钥符合黑客的最佳利益。如果他们声称不提供钥匙,那么人们就会放弃支付赎金,并且没有经济激励黑客继续这样做。 根据ProPublica的说法,提交保险索赔和支付免赔额通常比赎金赎金的全部成本要便宜得多。不幸的是,这鼓励黑客专门针对那些他们知道拥有网络保险的公司。   (稿源:cnBeta,封面源自网络。)

美国官员担心针对 2020 年选举的勒索软件攻击

据路透社报道,美国政府计划在大约一个月内启动一项计划,该计划的重点是在2020年总统大选之前保护选民登记数据库和系统。这些系统在投票前被广泛用于验证选民的资格,2016年俄罗斯黑客试图收集信息,这些系统受到了损害。据现任和前任美国官员称,情报官员担心,2020年的外国黑客不仅会瞄准数据库,而且会企图操纵或破坏这些数据。 “我们将这些系统评估为高风险,”一位美国高级官员表示。网络安全与基础设施安全局(CISA)是美国国土安全部的一个部门,该部门官员担心数据库可能成为勒索软件的目标。勒索软件是一种使美国各地的城市计算机网络陷入瘫痪的病毒,包括最近在德克萨斯州,巴尔的摩和亚特兰大。 “最近的历史表明,州和县政府以及支持他们的人都是勒索软件攻击的目标,”CISA主任Christopher Krebs说道。“这就是我们与选举官员及私营部门合作伙伴一起帮助保护他们的数据库并应对可能的勒索软件攻击的原因。” 勒索软件攻击通常会锁定受感染的计算机系统,直到通常以加密货币的形式向黑客支付赎金以便恢复数据。 根据现任和前任美国官员的说法,针对选举的反击勒索软件式网络攻击的努力与更大的情报界指令平行,以确定在2020年11月大选中最可能的数字攻击媒介。联邦调查局在支持国土安全倡议的一份声明中表示,“各州和市政当局必须限制有关选举制度或行政程序的信息,并确保其网站和数据库可以被利用。” CISA的计划将与州选举官员联系,为这种勒索软件场景做准备。它将提供教育材料、远程计算机渗透测试和漏洞扫描,以及有关如何防止和从勒索软件中恢复的建议列表。 但是,如果一个州的某个系统已经被感染,这些指导方针不会提供关于州政府是否应该最终支付或拒绝向黑客支付赎金的建议。“我们的想法是,我们不希望各州必须处于这种状况,”一位国土安全部官员说。“我们专注于防止它发生。” 官员表示,在过去两年中,网络罪犯和黑客组织使用勒索软件勒索受害者并制造混乱。在2017年发生的一起事件中,勒索软件被用来掩盖数据删除技术,使受害计算机完全无法使用。这次被称为“NotPetya”的攻击继续损害全球公司,包括联邦快递和马士基等。 专家支出,这种威胁因其对投票结果的潜在影响而受到关注。“选举前未被发现的攻击可能会篡改选民名单,造成巨大的混乱和拖延,剥夺权利,并且足够大规模可能会影响选举的有效性,”选举技术ESET研究所首席技术官John Sebes说道。 数据库也“特别容易受到这种攻击,因为当地司法管辖区和州全年积极地添加,删除和更改数据,”民主与技术中心的高级技术专家Maurice Turner说道。“如果恶意行为者没有提供密钥,除非受害者有最近的备份,否则数据将永远丢失。” 州选举官员告诉路透社,自2016年以来,他们已经改善了网络防御,包括在某些情况下,在发生攻击时为选民登记数据库准备备份。但国土安全部一位高级官员表示,地方政府就应该多久创建备份没有共同标准。“我们必须记住,对我们民主的这种威胁不会消失,对勒索软件攻击选民登记数据库的担忧就是一个明显的例子,”佛蒙特州州务卿Jim Condos说。“我们确信威胁远未结束。”     (稿源:cnBeta,封面源自网络。)

开发者移除 11 个 Ruby 库中 18 个带有后门的版本

RubyGems 软件包存储库的维护者近期移除了 11 个 Ruby 库中出现的 18 个恶意版本,这些版本包含了后门机制,可以在使用 Ruby 时启动加密货币挖掘程序。恶意代码最初发现于 4 个版本的 rest-client 库中,rest-client 是一个非常流行的 Ruby 库。 这些库中的恶意代码会将受感染系统的 URL 和环境变量发送到乌克兰的远程服务器。同时代码还包含一个后门机制,允许攻击者将 cookie 文件发送回受感染对象,并允许攻击者执行恶意命令。研究者调查后发现,这种机制被用于挖矿。 除了 rest-client,还有其它 10 个 Ruby 库也中招,但它们都是通过使用另一个功能齐全的库添加恶意代码,然后以新名称在 RubyGems 上重新上传而创建的。 研究人员分别统计了这些恶意版本在被移除前被下载的次数,一共被下载了三千多次,其中 rest-client 1.6.13 被下载了一千多次: rest-client:1.6.10(下载 176 次),1.6.11(下载 2 次),1.6.12(下载 3 次)和 1.6.13 (下载 1061 次) bitcoin_vanity:4.3.3(下载 8 次) lita_coin:0.0.3(下载 210 次) 即将推出:0.2.8(下载211次) omniauth_amazon:1.0.1(下载 193 次) cron_parser:0.1.4(下载 2 次),1.0.12(下载 3 次) )和 1.0.13(下载 248 次) coin_base:4.2.1(下载 206 次)和 4.2.2(下载 218 次) blockchain_wallet:0.0.6(下载 201 次)和 0.0.7(下载 222 次) awesome-bot:1.18.0(下载 232 次) doge-coin:1.0.2(下载 213 次) capistrano-colors:0.5.5(下载 175 次) 安全起见,建议在依赖关系树中删除这些库版本,或者升级/降级到安全版本,详情查看: https://www.zdnet.com/article/backdoor-code-found-in-11-ruby-librarie   (稿源:开源中国,封面源自网络。)

最新安全报告:单反相机已成为勒索软件攻击目标

恶意勒索软件近年来已经成为计算机系统的主要威胁,在成功入侵个人电脑,医院、企业、机构和政府部门的系统之后就会进行加密锁定,只有用户交付一定的赎金才能解锁。不过现在安全研究人员发现了单反相机同样存在这项的安全风险。援引安全软件公司Check Point今天发布的一份报告,详细说明了如何在数码单反相机中远程安装恶意程序。研究人员Eyal Itkin发现,黑客可以轻易地在数码相机上植入恶意软件。 他表示标准化的图片传输协议是传递恶意软件的理想途径,因为它是未经身份验证的,可以与WiFi和USB一起使用。该报告中指出通过黑客可以在热门景点部署有风险的WiFi热点,只要单反连接到这些热点之后就能进行攻击,从而进一步感染用户的PC。 在一段视频中,Itkin展示了他如何通过WiFi入侵Canon E0S 80D并加密SD卡上的图像,以便用户无法访问它们。他还指出,相机对于黑客来说可能是一个特别有价值的目标:毕竟相机中可能会存在很大用户不想要删除的影像资料。而且在真正的勒索软件攻击中,黑客设定的赎金往往不会太高,因此很多人会愿意交付赎金来摆脱不便。 Check Point表示它在3月份披露了佳能的漏洞,并且两人于5月份开始工作以开发补丁。上周,佳能发布了安全公告,告诉人们避免使用不安全的WiFi网络,在不使用时关闭网络功能,并在相机上更新并安装新的安全补丁。 Itkin表示目前他们只对佳能设备进行了测试,但是他告诉The Verge:“由于协议的复杂性,我们还认为其他供应商也可能容易受到这种攻击,但这取决于他们各自的实施情况。”   (稿源:cnBeta,封面源自网络。)

破坏型攻击爆发:制造业沦为重灾区

研究人员表示在过去6个月中网络攻击所造成的破坏力翻倍,而且受影响的组织中有50%属于制造业。基于近阶段的网络攻击,本周一IBM的X-Force IRIS事件响应团队发布了新的安全研究报告,强调破坏型恶意软件正在快速爆发。通过对恶意代码的分析发现,诸如Industroyer,NotPetya或Stuxnet在内的恶意程序不再是纯碎的窃取数据和秘密监控,而是造成更有破坏力的伤害。这些破坏行为包括锁定系统、让PC崩溃、渲染服务不可操作以及删除文件等等。 研究人员表示:“在历史上,像Stuxnet,Shamoon和Dark Seoul这样的破坏性恶意软件通常是被有国家背景的黑客所使用。不过自2018年年末以来,网络攻击份子开始不断将这些破坏型代码整合到自己的攻击中,例如LockerGoga和MegaCortex这样的新型勒索软件。” 而制造业是这些攻击的主要目标,目前曝光的案件中50%以上和工业公司有关。其中石油、天然气和教育领域的组织是重灾区,非常容易受到这种类型的攻击。最常见的初步感染手段就是网络钓鱼电子邮件,然后窃取进入内部网络所需要的电子凭证,注水漏洞攻击,劫持目标连接从而让对方妥协。 在发动恶意攻击之前,一些黑客将潜伏在公司系统中数月。IBM的X-Force IRIS事件响应团队的全球补救负责人Christopher Scott表示:“目前在破坏型恶意软件中存在另种攻击行为,前期保持缓慢发展,直到收集到需要的所有信息才会进行破坏;而另一种则是单纯的入侵然后破坏。” 报告中称当一家企业遭受破坏型恶意软件攻击之后,平均会有12000个工作站受到损坏,并且在攻击事件发生之后可能需要512个小时或者更长时间才能恢复。在一些极端情况下,恢复时间甚至可以延长到1200个小时。而大公司的恢复成本非常高,平均成本高达2.39亿美元。作为对比,Ponemon Institute估计,平均数据泄露将花费392万美元。   (稿源:cnBeta,封面源自网络。)

研究警告:犯罪分子在 Twitter 上利用技术支持骗局欺骗用户

据外媒CNET报道,研究人员警告Twitter用户在交出信用卡号码之前要仔细检查技术支持账户。网络安全公司趋势科技(Trend Micro)周二发布的一份报告详细介绍了网络犯罪分子利用社交媒体平台欺骗用户的一些最新方式。 趋势科技在2月份分析了Twitter 数据,发现犯罪分子吸引更多的受害者的方法。这包括重复发布虚假电话号码,同时通过电话冒充官方技术支持代理,并说服受害者交出信用卡信息。网络犯罪分子还使用虚假技术支持Twitter帐户来散布针对银行账户的窃取数据的恶意软件。 根据趋势科技的说法,Twitter骗局是欺诈者在Facebook、YouTube、Pinterest和Telegram上进行多平台努力的一部分。 “直接阻止技术支持骗局是棘手的,因为他们不依赖于恶意可执行文件或黑客工具,”该研究称。“他们反而通过社会工程攻击来将目标对准毫无戒心的受害者。” Twitter有针对诈骗和滥用的政策。趋势科技表示,其发现这些规则得到了积极执行,而且它发现的许多诈骗帐户都被迅速删除。 趋势科技在其网站上发布了完整报告。Twitter没有立即回复评论请求。   (稿源:cnBeta,封面源自网络。)

No More Ransom 项目使勒索软件犯罪团队利润至少减少 1.08 亿美元

在No More Ransom项目三周年之际,欧洲刑警组织(Europol)宣布,通过No More Ransom门户网站提供的免费工具下载和解密文件的用户已经阻止了勒索软件犯罪团队估计至少1.08亿美元的利润。 欧洲刑警组织称,仅仅在No More Ransom网站上提供的GandCrab勒索软件的免费解密工具就已经阻止了近5000万美元的赎金支付。 该项目于2016年7月启动,现在拥有82个工具,可用于解密109种不同类型的勒索软件。其中大部分是由EMSIsoft,Avast和Bitdefender等病毒安全软件制造商创建和共享的; 以及像国家警察机构、应急小组或者像Bleeping Computer这样的在线社区。 到目前为止,最有经验的成员是防病毒制造商Emsisoft,它为32种不同的勒索软件菌株发布了32种解密工具。 “我们为释放MegaLocker的解密器感到非常自豪,因为它不仅帮助了成千上万的受害者,而且它确实激怒了恶意软件作者,”Emsisoft的研究员Michael Gillespie告诉ZDNet。 欧洲刑警组织表示,自推出以来,有超过300万用户访问了该网站,超过20万用户从No More Ransom门户网站下载了工具。网站访问者来自世界各地的188个国家,这表明尽管该项目始于欧洲,但其覆盖范围现已全球化。 根据欧洲刑警组织分享的统计数据,该网站的大部分访客来自韩国、美国、荷兰、俄罗斯和巴西。 No More Ransom最初只与三个机构展开合作 – 荷兰警察,卡巴斯基和迈克菲 – 但现在在全球有超过150个合作伙伴。No More Ransom的唯一奇怪之处在于缺乏任何美国执法机构。合作伙伴来自各个领域,包括执法、公共组织和私营公司。 “我们一直与欧洲LEA [执法机构]保持良好的工作关系,与他们共享数据一直非常简单,”Emsisoft首席技术官Fabian Wosar告诉ZDNet。 “Europol并没有要求我们创建特定的解密工具,我们只是让他们访问我们创建的工具,”Wosar补充说道。“但是,我们已被要求为许多公司提供定制解密解决方案。” 然而,Emsisoft发言人告诉ZDNet,欧洲刑警组织分享的1.08亿美元估计“实际上是被严重低估”。   (稿源:cnBeta,封面源自网络。)

BT 客户端 BitLord 被发现捆绑间谍软件

BitTorrent 客户端 BitLord 被发现捆绑了名叫 PremierOpinion 的间谍软件,该间谍软件会利用中间人攻击的方法捕捉机器的 SSL/TLS 流量。它会安装一个代理在端口 8888、8443 和 8254,安装一个本地系统证书,该证书会被所有应用程序自动信任。 当所有流量都经过它的代理,它会解密所有加密流量,监视用户的在线活动。 PremierOpinion 主要通过捆绑在其它软件进行传播,其中之一是 BitLord。BitLord 最早是基于比特彗星源代码的一个 BitTorrent 客户端,能利用 VLC 串流视频。   (稿源:cnBeta,封面源自网络。)

南非电力公司遭遇勒索软件攻击 导致约翰内斯堡市电中断

作为南非最大的城市兼金融中心,约翰内斯堡刚刚遭遇了一起针对 City Power 电力公司的勒索软件攻击,导致一些居民区的电力中断。由 @CityPowerJhb 官方 Twitter 账号公布的信息可知,这家企业负责为当地居民提供预付费电力供应,但恶意软件加密了该公司的数据库、内部网络、Web Apps、以及官方网站。 (截图 via ZDNet) 昨日开始扎根的恶意软件感染事故,现正在阻止顾客购买电力、或将fuyu电力反馈(回售)给 City Power,因为部分居民正在使用光伏面板来发电。 南非商业内幕(Business Insider South Africa)报道称,7 月 25 日也是许多南非人的标准发薪日,通常这天会有许多人领导工资就去充值。 然而过去 12 小时,许多 City Power 用户都在 Twitter 上抱怨市电中断且无法充值。作为该市所属的电力企业,该公司还称,由于无法访问内部应用程序,其中断响应已变得更加困难。 不过在紧急情况下,该公司正在增加备用支持团队的人员数量。至于影响该公司电网的勒索软件的名称,City Power 并未透露。 近年来,针对各大城市基础设施的勒索软件攻击正变得越来越普遍。为了尽快访问缺乏备份的市政文件,一些城市已主动支付过巨额的赎金,比如佛罗里达州的里维埃拉海滩市(60 万美元)和莱克城(50 万美元),以及佐治亚州的杰克逊县(40 万美元)。 此前,亚特兰大和巴尔的摩市经历了大规模的勒索软件感染,摧毁了各式各样的城市服务,最终让其付出了数千万美元的代价,以重建市政 IT 网络。 至于越南内斯堡,其应该庆幸勒索软件尚未突破其关键的 IT 网络。且最近几个月来,市政或电力等基础设施服务,正在成为越来越多的勒索软件团伙的攻击目标。   (稿源:cnBeta,封面源自网络。)