分类: 网络攻击

遭俄罗斯黑客攻击后 美国政府提高警惕

据《纽约时报》报道,美国网络司令部司令兼美国国安局局长保罗·中曾根在选举日曾报告说,反对俄罗斯干预总统竞选的战斗已经取得了重大成功,并暴露了对方的在线武器、工具和谍报技术。他对记者说:“我们拓宽了行动范围,感觉我们现在的情况非常好。”八周后, 中曾根将军和其他负责网络安全的美国官员现在被他们至少9个月来所忽略的事情所消耗:现在被认为影响到多达250个联邦机构和企业的黑客攻击,俄罗斯的目标不是选举系统,而是美国政府的其他部门和许多美国大公司。 入侵事件曝光三周后,美国官员仍在试图了解俄罗斯人的所作所为,究竟是简单的在美国官僚系统内部进行间谍活动,还是将“后门”接入政府机构、大公司、电网以及开发和运输新一代核武器的实验室。 《纽约时报》认为,至少这些事件已经引发了美国政府和私营部门网络易受攻击的警报,并提出了美国国家网络防御系统为何失败的问题。 鉴于此次漏洞并不是由任何一个分担网络防御责任的政府机构–军方的网络司令部和国家安全局(均由中曾根将军掌管)以及国土安全部–发现的,而是由一家私营网络安全公司FireEye发现的,因此这些问题显得尤为紧迫。 “这看起来比我最初担心的要糟糕得多,”弗吉尼亚州民主党参议员、参议院情报委员会排名成员马克·华纳说。“它的规模不断扩大。很明显,美国政府错过了它。”“而如果FireEye没有站出来,”他补充说,“我不确定我们到今天还能不能完全意识到这一点。” 对调查情报机构认为是俄罗斯S.V.R.情报部门行动的关键人物的采访显示了这些要点: 漏洞的范围比最初认为的要大得多。最初的估计是,俄罗斯只向18000个政府和私人网络中的几十个网络发起攻击,他们在德克萨斯州一家名为SolarWinds的公司制造的网络管理软件中插入代码,从而获得了访问权。但随着亚马逊和微软等提供云服务的企业深入挖掘证据,现在看来,俄罗斯利用供应链的多个层面获得了多达250个网络的访问权限。 黑客从美国境内的服务器进行管理入侵,利用国家安全局从事国内监控的法律禁令,躲过了国土安全部部署的网络防御措施。 美国网络司令部和国家安全局在外国网络深处放置的“预警 ”传感器,用于侦测酝酿的攻击,显然是失败的。目前也还没有迹象表明,有任何人类情报机构向美国发出了黑客攻击的警报。 美国政府对选举防御的重视虽然在2020年至关重要,但可能转移了资源和注意力,使其无法解决保护软件“供应链”等酝酿已久的问题。在私营部门,也是如此,像FireEye和微软这样专注于选举安全的公司,现在也透露他们被攻破,成为更大的供应链攻击的一部分。 据现任和前任员工以及政府调查人员称,被黑客用作攻击渠道的SolarWinds公司,其产品的安全性能历来不高,因此很容易成为目标。该公司首席执行官 Kevin B. Thompson已经回避了他的公司是否应该发现入侵的问题。 部分被入侵的SolarWinds软件是在东欧设计的,美国调查人员目前正在研究入侵是否源自那里,因为俄罗斯情报人员在那里根深蒂固。 攻击背后的意图仍被掩盖。但随着新政府在不到三周后上任,一些分析人士表示,俄罗斯人可能试图动摇华盛顿对其通信安全的信心,并展示他们的cyberarsenal,以便在核武谈判之前获得对当选总统拜登的影响力。 “我们仍然不知道俄罗斯的战略目标是什么,”曾在奥巴马政府期间担任国土安全部高级网络官员的Suzanne Spaulding说。“但我们应该关注的是,这其中的一部分可能超出了侦察的范围。他们的目标可能是让自己处于对新政府有影响力的地位,就像拿枪指着我们的脑袋,以阻止我们采取行动对抗普京。” 日益增长的打击名单 美国政府显然是攻击的主要焦点,财政部、国务院、商务部、能源部和五角大楼的部分机构都被证实被渗透。国防部坚持认为对其系统的攻击是不成功的,尽管它没有提供证据。 但黑客攻击也攻破了大量的公司,其中许多公司尚未出面。SolarWinds被认为是俄罗斯在黑客攻击中使用的几家供应链供应商之一。微软截至12月17日已统计出40名受害者,起初它说自己没有被入侵,但本周才发现自己被入侵了–而且其软件的经销商也被入侵了。亚马逊情报团队此前未报告的评估发现,受害者人数可能是其五倍之多,不过官员警告说,其中一些人可能被重复计算。 官员们在公开场合表示,他们不相信来自俄罗斯S.V.R.的黑客攻破了包含敏感通信和计划的机密系统。但私下里,官员们表示,他们仍不清楚可能被窃取的内容。 他们说,他们担心黑客可能从联邦能源监管委员会等受害者那里窃取了微妙但不保密的数据,包括 “黑启动(Black-Start) “,即美国计划在大停电时如何恢复电力的详细技术蓝图。 这些计划将给俄罗斯提供一个目标系统的命中名单,以防止其在2015年在乌克兰发动的攻击中恢复电力,在深冬时关闭电力6小时。莫斯科早就在美国电网中植入了恶意软件,美国也对俄罗斯做了同样的事情,以示威慑。 供应链受损 到目前为止,调查的一个主要焦点是SolarWinds,这家位于奥斯汀的公司,其软件更新被黑客入侵。但美国国土安全部的网络安全部门认为,黑客也是通过其他渠道工作的。而上周,另一家安全公司CrowdStrike透露,它也被同样的黑客盯上了,但没有成功,但通过一家转售微软软件的公司。 由于经销商经常受托设置客户的软件,他们–像SolarWinds一样–可以广泛进入微软客户的网络。因此,他们可以成为俄罗斯黑客的理想木马。情报官员对微软没有更早发现这次攻击表示愤怒;该公司周四表示,黑客查看了其源代码,但没有透露其哪些产品受到影响,也没有透露黑客在其网络内部停留了多长时间。 Obsidian Security公司创始人Glenn Chisholm表示:“他们瞄准了供应链中最薄弱的环节,并通过我们最信任的关系进行攻击。” 对SolarWinds现员工和前员工的采访表明,它迟迟没有将安全作为优先事项,即使其软件被美国首屈一指的网络安全公司和联邦机构采用。员工们表示,在受过培训的会计师和前首席财务官汤普森先生的领导下,公司对业务的每一个部分都进行了检查,以节约成本,而普通的安全实践则因其费用而被摒弃。他的方法帮助SolarWinds的年利润率从2010年的1.52亿美元增加了近三倍,到2019年超过4.53亿美元。 但其中一些措施可能会使公司及其客户面临更大的攻击风险。SolarWinds将其大部分工程转移到捷克共和国、波兰和白俄罗斯的办公室,在那里,工程师可以广泛访问俄罗斯特工入侵的Orion网络管理软件。该公司仅表示,对其软件的操纵是人为黑客所为,而非计算机程序。该公司没有公开处理内部人员参与入侵的可能性。 《纽约时报》最近几周接触的SolarWinds客户中,没有一个人知道他们依赖的是在东欧维护的软件。许多人表示,他们甚至直到最近才知道自己使用的是SolarWinds软件。 即使在整个联邦网络中安装了它的软件,员工们说,SolarWinds只是在2017年,在新的欧洲隐私法的惩罚威胁下,才加装了安全防护措施。员工说,直到那时,SolarWinds才聘请了第一位首席信息官,并安装了一位 “安全架构 “副总裁。 SolarWinds的前网络安全顾问Ian Thornton-Trump表示,他当年曾警告管理层,除非它对内部安全采取更积极的态度,否则网络安全事件将是 “灾难性的”。在他的基本建议被忽视后,桑顿-特朗普先生离开了公司。 SolarWinds拒绝回应有关其安全性是否充分的问题。在一份声明中,它说它是 “高度复杂、复杂和有针对性的网络攻击的受害者”,并正在与执法部门、情报机构和安全专家密切合作进行调查。 但安全专家指出,在发现俄罗斯攻击后数天,SolarWinds的网站才停止向客户提供受影响的代码。 攻大于守 近年来,数十亿美元的网络安全预算流向了进攻性的间谍活动和先发制人计划,也就是中曾根将军所说的 “超前防御 “的需要,通过入侵对手的网络,尽早了解他们的行动,并在必要时,在他们发动攻击之前,在自己的网络内部进行反击。但这种方法虽然被誉为早就应该采取的先发制人的策略,但却错过了俄罗斯的漏洞。 据FireEye报道,俄罗斯人通过从美国境内的服务器发动攻击,在某些情况下,他们使用的计算机与受害者在同一个城镇或城市,利用了国家安全局的权力限制。国会没有赋予该机构或国土安全局任何进入或保卫私营部门网络的权力。正是在这些网络上,S.V.R.特工们不太小心,留下了他们入侵的线索,FireEye最终得以发现。 通过将自己插入到SolarWinds的猎户座更新中,并使用自定义工具,他们还避免了跳过国土安全局在政府机构中部署的 “爱因斯坦 “检测系统的警报,以捕捉已知的恶意软件,以及所谓的C.D.M.程序,该程序是明确设计用来提醒机构注意可疑活动的。 一些情报官员质疑,政府是否如此专注于选举干预,以至于在其他地方制造了空子。情报机构几个月前得出结论,认为俄罗斯已经确定无法渗透到足够多的选举系统来影响选举结果,而是将注意力转移到转移可能剥夺选民权利的勒索软件攻击,以及旨在播撒不和谐的影响行动,引发对系统完整性的怀疑,改变选民的想法。 早在2019年10月就开始的SolarWinds黑客攻击事件,以及对微软经销商的入侵,让俄罗斯有机会攻击多个联邦机构中最脆弱、最不设防的网络。 中曾根将军拒绝接受采访。但国家安全局发言人查尔斯-K-斯塔德兰德说。“我们不认为这是一个’非此即彼’的权衡。选举安全工作中构建的行动、见解和新框架,对国家和美国政府的网络安全态势有着广泛的积极影响。” 事实上,美国似乎已经成功说服了俄罗斯,即旨在改变选票的攻击将促使俄罗斯采取代价高昂的报复行动。但随着入侵规模的凸显,美国政府显然未能说服俄罗斯,执行对联邦政府和企业网络的大范围黑客攻击会有相当的后果。 把黑客“赶出去” 情报官员说,他们可能要花几个月甚至几年的时间才能对黑客攻击事件有一个全面的了解。 自2017年提取一名克里姆林宫高层线人以来,中情局对俄罗斯行动的了解已经减少。而情报官员说,S.V.R.通过避免可能向国家安全局暴露机密的电子通讯,一直保持着世界上最有能力的情报部门之一。 对S.V.R.最好的评估来自荷兰人。2014年,为荷兰情报和安全总局工作的黑客刺破了该组织使用的电脑,至少观察了一年,并一度将其拍下。 正是荷兰人在2014年和2015年帮助提醒白宫和国务院他们的系统遭到S.V.R.黑客攻击,上个月,他们抓住了两名被指控渗透到荷兰科技公司的S.V.R.特工,并将其驱逐出荷兰。虽然该组织并不以破坏性著称,但其渗透到的计算机系统中却很难驱逐。 当S.V.R.闯入国务院和白宫的非机密系统时,时任国家安全局副局长的理查德-莱杰特说,该机构进行的数字相当于“徒手搏斗”。有一次,S.V.R.获得了调查人员用来连根拔除俄罗斯后门的NetWitness Investigator工具的访问权限,以这样的方式操纵它,使黑客继续逃避检测。 调查人员说,他们会认为自己已经把S.V.R.“赶出去”了,却发现这群人从另一扇门“爬了进来”。 一些安全专家说,把这么多庞大的联邦机构赶出S.V.R.可能是徒劳的,唯一的出路可能是关闭系统,重新开始。其他人说,在大流行期间这样做将是非常昂贵和耗时的,新政府将不得不努力识别和控制每一个受损的系统,然后才能校准响应。 “S.V.R.是故意的,他们很复杂,而且他们没有像我们在西方国家那样的法律约束,”前政府情报分析师亚当-达拉说,他现在是安全公司Vigilante的情报总监。他补充说,制裁、起诉和其他措施都没能阻挡住S.V.R.,它已经显示出它可以迅速适应。 “他们现在正在非常密切地观察我们,”达拉说。“而且他们会相应地进行调整。”         (消息来源:cnBeta,封面来自网络)

SolarWinds 被黑事件比预期更严重 超 250 家机构受影响

援引《纽约时报》报道,SolarWinds 被黑事件对美国政府机构、私营企业造成的危害可能比预期的更加严重。根据目前掌握的最新信息,大约有超过 250 家美国联邦机构和企业受到影响。 微软表示,黑客入侵了 SolarWinds 的 Orion 监控和管理软件,从而让他们能够冒充该组织现有的任意用户和帐号,包括拥有高级别权限的账户。纽约时报报道称,疑似有俄罗斯政府背景的黑客组织利用供应链的层级来访问这些机构的系统。 纽约时报在报道中指出,美国网络司令部和国家安全局在外国网络内部放置的用于检测潜在攻击的预警传感器似乎在这次事件中失效了。此外,报道中还指出在今年总统大选期间,政府还利用了 SolarWinds 的资源和技术来进行检测,从而让黑客躲过了美国国土安全部门的检测。 本周早些时候,微软发现多个系统被渗透,其中不仅仅只是 SolarWinds 恶意代码。黑客能够 “查看一些源代码库中的源代码”,但授予访问权限的黑客账户并没有修改任何代码或系统的权限。 不过一个好消息是,微软发现“没有证据表明生产服务或客户数据被访问”,“没有迹象表明我们的系统被用来攻击他人”。         (消息及封面来源:cnBeta)

芬兰国会议员的电子邮件帐户遭黑客攻击

芬兰国会议员表示:“芬兰议会技术监控部门发现,芬兰议会在2020年秋天遭受了网络攻击,此次攻击活动可能导致议员的电子邮件帐户遭到入侵。” 2020年秋天同一时刻,与俄罗斯有关的黑客访问了部分挪威议会代表的电子邮件数据。 芬兰中央刑警(KRP)正在议会的支持下调查安全漏洞。根据KRP专员Tero Muurman的说法,这次攻击互活动很可能是民族主义者开展的,目前未对议会的基础设施造成损害。“此次攻击活动影响广泛,但不幸的是,我们仍无法提供确切的数字。” 芬兰议会会长AnuVehviläinen表示,此次事件针对芬兰社会民主的恶意攻击活动。“我们不能接受任何形式的针对政府或非政府机构的网络攻击活动,” 她补充说,“为了加强网络安全,我们需要采取相关国家措施,配合欧盟和其他国际合作中的积极行动。”         消息来源:Security Affairs,封面来自网络,译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c  

黑客伪造付款表格 收集在线商店的付款信息

安全专家警告:黑客利用信用卡分离器可以收集Shopify、BigCommerce、Zencart和Woocommerce在线商店的付款信息,通过伪造付款表格,记录顾客进入实际结帐页面之前输入的信息。 在顾客提供了信用卡数据后,页面将引导顾客返回到实际付款页面,以避免引起怀疑。 该网络攻击活动之所以出色,是因为它针对不同平台,黑客可能已经破坏了被攻击商店的共享组件。 专家指出,这种多平台分离器使用的是编程生成的渗透域。第一个渗透域于2020年8月31日注册。 zg9tywlubmftzw5ldza.com; zg9tywlubmftzw5ldze.com; zg9tywlubmftzw5ldzu.com: zg9tywlubmftzw5ldzq.com; zg9tywlubmftzw5ldzm.com; zg9tywlubmftzw5ldzy.com; zg9tywlubmftzw5ldzi.com; zg9tywlubmftzw5ldzg.com …………………………………….. Sansec总结称:“此次攻击活动表明在线平台并非获利欺诈的边界,无论顾客是否输入付款详细信息,都存在一定的风险。”       消息及封面来源:Security Affairs,译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c

SolarWinds 新漏洞可使黑客安装 SUPERNOVA 恶意软件

黑客可能已利用SolarWinds Orion软件中的身份验证绕过漏洞,在目标环境中部署SUPERNOVA恶意软件。 CERT协调中心发布的咨询报告表示,用于与所有其他Orion系统监视和管理产品接口的SolarWinds Orion API存在安全漏洞(CVE-2020-10148),该漏洞可能允许黑客执行未经身份验证的攻击API命令,从而导致SolarWinds实例的妥协。 SolarWinds在12月24日发布的安全公告表示,黑客可通过利用Orion Platform中的漏洞来部署恶意软件。但到目前为止,我们仍不清楚相关漏洞的细节。 在过去的一周中,Microsoft透露黑客可能正在滥用SolarWinds的Orion软件,在目标系统上投放另一种名为SUPERNOVA的恶意软件。 网络安全公司Palo Alto Networks的Unit 42威胁情报小组和GuidePoint Security也证实了这一点,他们都将其描述为.NET Web Shell:一种通过修改SolarWinds Orion应用程序的“ app_web_logoimagehandler.ashx.b6031896.dll”模块。 虽然DLL的目的是通过HTTP API将用户配置的图像返回到Orion Web应用程序的其他组件,但恶意添加使它可以从被控制的服务器接收远程命令并在服务器用户上下文中的内存执行命令。 Unit 42研究人员指出:“SUPERNOVA的新颖之处在于:在内存中执行、其参数存在极强的复杂性、.NET运行时实施完整的编程API存在极强的灵活性。” 政府机构和网络安全专家正在努力挽救此次黑客攻击的后果,并汇总全球入侵活动。 为了修复身份验证绕过漏洞,安全专家建议用户将SolarWinds Orion Platform更新至最新版本: 2019.4 HF 6(2020年12月14日发布) 2020.2.1 HF 2(2020年12月15日发布) 2019.2 SUPERNOVA补丁(2020年12月23日发布) 2018.4 SUPERNOVA补丁(2020年12月23日发布) 2018.2 SUPERNOVA补丁(2020年12月23日发布)       消息及封面来源:The Hacker News,译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

Emotet 僵尸网络每天攻击数 10 万个邮箱

经过将近两个月的休整之后,Emotet僵尸网络复苏,并开展了每天数十万个网络攻击活动。 Emotet僵尸网络于2014年以银行木马的身份诞生,并发展成提供全方位服务的威胁传递机制。它可在受害者计算机上安装一系列包括信息窃取者、电子邮件收集器、自我传播机制等恶意软件。该僵尸网络最近一次出现是在10月份,目标群体是民主党全国委员会(DNC)志愿者。五个月的中断之后,它在7月重新活跃,并丢弃了Trickbot木马。2月份的一次竞选活动中,有人发现了来自受害者银行的短信。 Cofense研究人员布拉德·哈斯(Brad Haas)在星期二的博客中说:“Emotet僵尸网络后是恶意电子邮件活动最多的发件人之一,但通常一次休眠数周或数月。” “今年,这种中断从2月持续到7月中旬,这是Cofense在过去几年中看到的最长的中断。从那以后,他们观察到整个十月底的Emotet僵尸网络活动正常,直到今天都没有新的案例。” 研究人员说,僵尸网络在有效载荷方面也始终如一。在十月份,最常见的辅助负载是TrickBot、Qakbot和ZLoader,而今天我们观察到的是TrickBot。 TrickBot恶意软件是众所周知的复杂木马,于2016年作为银行恶意软件首次开发,与Emotet一样,它具有自我转换和添加新功能 以 逃避检测 或增强其感染能力的历史。感染了TrickBot木马的用户的设备将成为僵尸网络的一部分,黑客可使用该僵尸网络加载第二阶段的恶意软件,研究人员称其为“几乎所有其他恶意软件有效负载的理想丢弃程序”。TrickBot感染的典型后果是银行帐户被接管、高额电汇欺诈和勒索软件攻击。它最近实现了旨在检查目标系统的UEFI / BIOS固件的功能。微软和其他公司于10月对恶意软件的基础架构进行拆除之后,该恶意软件却严重复苏。 Proofpoint在Twitter上指出: “我们看到了相关英文、德文、西班牙文、意大利文并受密码保护的zip和URL的线程劫持的带有Word附件的诱饵。” Proofpoint威胁研究高级主管Sherrod DeGrippo说:“我们的团队仍在审核新样品,到目前为止,我们只发现了微小的变化。例如,Emotet二进制文件现在被用作DLL而不是.exe。当Emotet运行时,我们每天会观察到数十万封电子邮件。”她指出:“我们通常会看到Emotet在12月24日至1月初停止运营。如果他们继续这种模式,那么最近的活动对他们来说将是短暂而罕见的。” 研究人员同时指出,“黑客在不同的网络诱饵之间交替变化,以使社会工程学用户能够使用包括COVID-19主题的宏。尽管缺乏重大发展,该恶意软件的复兴仍应引起人们的注意。” 鉴于今年的严峻形势,安全人员建议相关组织和个人应提高警惕,并继续采取相关保护措施。         消息及封面来源:Threat Post;译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

有证据表明 Citrix ADC 设备被黑客滥用发起 DDoS 攻击

援引外媒 ZDNet 今天早些时候报道,有攻击者利用 Citrix ADC 网络设备向 Steam、Xbox 等在线游戏服务发起拒绝服务攻击(DDoS)。首波攻击上周被德国 IT 系统管理员 Marco Hofmann 发现并记录在案。 图片来自于 WikiMedia 随后 Hofmann 追踪到了 Citrix ADC 设备上的 DTLS 接口。DTLS,即数据报传输层安全,是 TLS 协议的一个更多版本,实现在对流友好的 UDP 传输协议上,而不是更可靠的TCP。就像所有基于UDP的协议一样,DTLS是可欺骗的,可以作为DDoS放大载体。 这意味着,攻击者可以向具有DTLS功能的设备发送小的DTLS数据包,并将结果以一个大很多倍的数据包返回到一个被欺骗的IP地址(DDoS攻击受害者)。原数据包被放大多少倍,决定了具体协议的放大系数。对于过去基于 DTLS 的 DDoS 攻击,放大系数通常是原始数据包的 4-5 倍。 不过在本周一的报告中,在 Citrix ADC 设备上实现的 DTLS 似乎被放大了 35 倍,使其成为最有力的 DDoS 放大载体之一。在多家媒体报道之后,Citrix 也承认这个问题,并承诺会在圣诞节假期之后在明年 1 月中旬发布修复补丁。该公司表示,已经有证据表明有黑客利用该 DDoS 向全球少数客户发起攻击。 当攻击者滥用Citrix ADC设备时,他们可能最终会耗尽其上游带宽,造成额外的成本并阻止来自ADC的合法活动。 在Citrix准备好官方缓解措施之前,出现了两个临时的修复方法。第一种是在不使用Citrix ADC DTLS接口的情况下,禁用该接口。第二种是如果需要 DTLS 接口,建议强制设备验证传入的 DTLS 连接,尽管这可能会因此降低设备的性能。     (消息及封面来源:cnBeta)

英国一大型整容连锁医院遭黑客攻击勒索

据外媒体报道,近日,有黑客窃取了英国一家大型整容连锁店– Hospital Group的数据并威胁要公布患者手术前后的照片和其他细节。Hospital Group目前已经证实遭到了勒索软件的攻击。该公司表示,其已将此事告知信息专员(Information Commissioner)。 黑客组织REvil在其暗网网页上表示,顾客的照片并不完全是令人愉快的景象。它声称已经获得了超过900G的病人照片。 遭到网络攻击的Hospital Group–也被称为Transform Hospital Group–声称是英国减肥和美容手术的领先者。 据悉,它拥有11家专门从事减肥手术、隆胸、乳头矫正和鼻子调整的诊所。 该公司此前曾通过名人代言来宣传自己,不过已经有好几年没有这样做了。 前Big Brother选手Aisleyne Horgan-Wallace 2009年曾向Zoo杂志透露了她在Hospital Group做过丰胸手术。Atomic Kitten歌手Kerry Katona、《无耻之徒》女演员Tina Malone和真人秀《The Only Way is Essex》明星Joey Essex也都曾是该诊所的病人。 Hospital Group在一份声明中说道:“我们可以证实我们的IT系统已经遭遇了数据安全漏洞。虽然我们所有病人的支付卡信息都未被泄露,但在现阶段,我们了解到一些病人的个人数据可能已被访问。” 该公司表示,他们已经向所有客户发送了有关此次网络攻击的电子邮件并将联系可能有更多个人信息被泄露的个人。 勒索软件是最常见的网络攻击形式之一。它通常涉及黑客进入计算机网络、对文件进行加密或将用户锁定在系统之外直到被攻击一方支付赎金。 针对这种现象,执法机构不鼓励受害者支付赎金,因为这样做会助长犯罪团伙的犯罪火焰。 网络安全公司EMSIsoft估计,在2020年,这种迅速发展的网络犯罪形式为犯罪分子带来了250亿美元的收入。 REvil–也被称为Sodinokibi–是最多产的勒索软件组织之一。备受瞩目的受害者包括货币交易所Travelex和娱乐律师事务所Grubman Shire Meiselas & Sacks。       (消息来源:cnBeta;封面来自网络)

网络罪犯最喜欢的防弹 VPN 服务在全球行动中关闭

12月22日,来自美国、德国、荷兰、瑞士、法国的执法机构,以及欧洲刑警组织的欧洲网络犯罪中心(EC3)宣布关闭Safe Inet。这是一种流行的虚拟专用网络(VPN)服务,曾用于协助犯罪活动。 犯罪活动所涉及的三个域名——insorg[.]org、safe inet[.]com和safe inet[.]net被关闭,其基础设施被查封,这是一项名为“Operation Nova”的联合调查的一部分。 欧洲刑警组织称Safe Inet是网络罪犯的“最爱”。 这些域名在协助勒索软件、网页掠夺、鱼叉式钓鱼和账户接管攻击方面发挥了核心作用。 这些服务支持俄语和英语,已经活跃了十多年,它为网站访问者提供“防弹托管服务”,对黑社会来说代价高昂。 截至12月1日,Pro订阅的费用在1.3美元/天到190美元/年之间,可以完全访问其整个服务器名单。 防弹托管(BPH)也被称为抗滥用服务,它不同于常规的web托管,因为它允许内容提供商更加方便地托管在这些服务器上的数据类型,从而更容易逃避执法。 根据网络安全公司Trend Micro今年10月的一项分析,防弹主机利用各种方式维持其翼下的犯罪活动,并能够在全球范围内战略性地分配资源,牢记地区法律和地理特征。众所周知,它们可以最大限度地减少有用的日志文件的数量,并且只能从匿名来源(例如Tor网络)访问系统。 “这种活动可能以借口回应受害者提出的投诉,将其客户数据从一个IP地址、服务器或国家转移到另一个,以帮助他们逃避检测。美国司法部(DoJ)表示没有日志可供执法部门审查。” 司法部补充,“BPH服务故意支持其客户的犯罪活动,并成为这些犯罪计划的共谋者。” 欧洲刑警组织还表示,他们在全球范围内发现了大约250家被犯罪分子监视的公司,攻击者利用安全的Inet基础设施发动潜在的勒索软件攻击。       消息及封面来源:The Hacker News ;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

报道称利用 SolarWinds 发起攻击的黑客将目标对准美财政部高层

据外媒CNET报道,一场复杂的或由俄罗斯黑客进行的攻击活动的范围继续被披露,该活动已经渗透到美国联邦机构和私营公司。据《纽约时报》周一的报道,黑客设法侵入美国财政部高层官员使用的电子邮件系统等。 据报道,参议员罗恩·怀登(Ron Wyden)在为参议院金融委员会举行的简报会后表示,财政部承认其“从7月份开始遭受了严重的入侵。”他补充说,黑客入侵的 “最大程度”尚不清楚。据《纽约时报》报道,Wyden补充说,该部门从运行其大部分通信软件的微软那里了解到这一漏洞。 务部,以及国家卫生研究院。漏洞始于黑客入侵网络安全公司SolarWinds,该公司销售的软件可以让机构看到其计算机网络上发生的事情。据报道,数十家私营公司–包括微软、思科、英特尔和FireEye–也感染了该恶意软件。 上周,美国国家安全机构发表联合声明,称这次活动是“重大的、持续的黑客活动”。美国国务卿迈克·蓬佩奥和一些网络安全专家将此次黑客活动归咎于俄罗斯。 美国财政部拒绝对《纽约时报》的报道发表评论,但指出美国财政部部长史蒂夫·姆努钦周一在CNBC上发表的关于网络攻击的评论。 姆努钦说:“我们的非机密系统确实有一些访问权限。”他补充说,该部门没有看到任何入侵其机密系统的情况。“我要说的好消息是,没有任何损害,也没有看到任何大量信息被转移。”         (消息及封面来源:cnBeta;)