分类: 网络欺诈

FBI 探查近期美国医院遭受的一系列勒索软件攻击

据路透社消息,东欧犯罪分子正在用勒索软件瞄准数十家美国医院,联邦官员周三敦促医疗机构迅速加强准备工作,以防他们成为下一个目标。据三位熟悉此事的网络安全顾问透露,美国联邦调查局(FBI)正在调查最近的攻击事件,其中包括本周刚刚公开的俄勒冈州、加利福尼亚州和纽约的事件。 专家表示,这些攻击事件背后可能的组织被称为“Wizard Spider”或UNC 1878。他们警告说,这种攻击会扰乱医院的运作,导致生命的离去。这些攻击促使FBI和国土安全局官员在周三为医院管理者和网络安全专家主持了一次电话会议。 一名与会者告诉路透社记者,政府官员警告医院要确保他们的备份系统正常,尽可能将系统与互联网断开,并避免使用个人电子邮件账户。FBI没有立即回应评论请求。 “这似乎是一次协调的攻击,旨在专门破坏全美各地的医院,”美国网络安全公司Recorded Future的威胁情报分析师Allan Liska说。 “虽然每周针对医疗服务提供者的多起勒索软件攻击已经屡见不鲜,但这是我们第一次看到同一勒索软件行为者在同一天内针对六家医院进行攻击。” 在过去,医院的勒索软件感染已经使患者记录保存数据库瘫痪,这些数据库关键性地存储了最新的医疗信息,影响了医院的医疗服务能力。熟悉攻击事件的三名顾问中的两名表示,网络犯罪分子普遍使用一种名为 “Ryuk “的勒索软件,这种软件会锁定受害者的电脑,直到收到付款。 这位电话会议参与者说,政府官员透露,攻击者使用Ryuk和另一种名为Trickbot的木马来对付医院。 “UNC1878是我在职业生涯中观察到的最无耻、最无情、最具有破坏性的威胁行为者之一,”美国网络事件响应公司Mandiant高级副总裁Charles Carmakal说。“多家医院已经受到Ryuk勒索软件的重大影响,他们的网络已经被关闭。” 专家表示,在本月早些时候微软努力破坏黑客网络之后,Trickbot的部署意义重大。 网络犯罪分析师Stefan Tanase表示,这一举措旨在削弱网络犯罪分子的能力,但他们似乎已经迅速恢复。“我们在这里看到的是确认Trickbot被击垮的报道被大大夸大了。” 微软没有回答置评请求。     (消息来源:cnbeta;封面来自网络)

FIN11 黑客在勒索软件攻击中使用新技术时暴露

一个以恶意软件活动而闻名的资金驱动型攻击组织FIN11,已经研究出了专注于勒索软件和勒索的策略。 据FireEye的Mandiant威胁情报团队称,该组织至少自2016年以来就参与了一系列网络犯罪活动,其中包括利用组织网络获取资金,此外还针对金融、零售、餐厅以及制药行业的销售点(POS)部署了恶意软件。 Mandiant说:“最近最常见的FIN11攻击通过分发CLOP勒索软件导致数据被盗、勒索和破坏受害者网络。” 尽管FIN11在过去的活动与诸如FaultedAmyy、FRIENDSPEAK和MIXLABEL等恶意软件有关,但Mandiant指出,TTP与另一个威胁组织TA505有着显著重叠。TA505是Dridex银行木马和Locky勒索软件的幕后黑手,它们通过Necurs僵尸网络进行恶意垃圾邮件攻击。 今年3月早些时候,微软策划了摧毁Necurs僵尸网络的行动,试图阻止攻击者的进一步活动。 大量恶意垃圾邮件活动 除了利用大量恶意电子邮件分发机制外,FIN11还将其目标扩展到本地语言诱饵,再加上伪造的电子邮件发送者信息,如伪造的电子邮件显示名称和电子邮件发送者地址,以使消息看起来更合法。在2020年,他们更倾向于攻击德国的组织。 例如,该组织在2020年1月发起了一场电子邮件活动,邮件主题包括“research report N-[five-digit number]”和“laboratory accident”,随后,他们在3月发起了第二波攻击,主题为“[pharmaceutical company name] 2020 YTD billing spreadsheet.”。 Mandiant威胁情报公司高级技术分析师Andy Moore通过电子邮件向The Hacker News表明:FIN11的高容量电子邮件分发活动在不断演变。 “有大量公开报告表明,2018年的某个时期,FIN11严重依赖Necurs僵尸网络进行恶意软件分发。值得注意的是,观察到的Necurs僵尸网络停机时间与FIN11的活动停滞直接对应。” 事实上,根据Mandiant的研究,从2020年3月中旬到2020年5月下旬,FIN11的活动似乎已经完全停止,但是在6月再次通过包含恶意HTML附件的钓鱼电子邮件来发送恶意Microsoft Office文件。 Office文件则利用宏来获取MINEDOOR dropper和FRIENDSPEAK downloader,然后将MIXLABEL后门发送到受感染的设备上。 向混合勒索转变 然而,近几个月来,FIN11的货币化努力导致一些组织感染了CLOP勒索软件,此外他们还采取了混合勒索攻击——将勒索软件与数据盗窃相结合,以迫使企业支付从几十万美元到百万美元不等的勒索账单。 Moore说:“FIN11通过勒索软件和勒索手段将入侵行为货币化,这在有经济动机的攻击者中呈现出更广泛的趋势。” “历史上比较常见的货币化策略,例如部署销售点恶意软件,限制了攻击者以某些行业的受害者为目标,而勒索软件的分发可以让攻击者入侵几乎任何组织的网络,然后从中获利。” “这种灵活性,再加上越来越多关于赎金不断膨胀的报道,极大地吸引了有经济动机的攻击者”他补充道。 更重要的是,据称FIN11使用了从地下论坛购买的各种工具(例如FORKBEARD, SPOONBEARD和MINEDOOR),因此很难进行归因。 攻击者可能是CIS出身 至于FIN11的根源,Mandiant表示,由于存在俄语文件元数据,避免在CIS国家部署CLOP,因此该组织在CIS国家之外开展业务。而且,1月1日至8日,俄罗斯新年和东正教圣诞节期间的活动急剧减少。 Moore说:“除非对他们的运营造成某种干扰,否则FIN11极有可能继续部署勒索软件,窃取数据用于勒索。” “由于该组织定期更新其TTP,以逃避检测并提高其活动的有效性,这些渐进性的变化也可能继续下去。然而,尽管最近的活动中,FIN11始终依赖于嵌入的Office文档的恶意更改”。 “我们可以通过培训用户识别网络钓鱼电子邮件、禁用Office宏以及为FRIENDSPEAK downloader执行检测,将被FIN11危害的风险降至最低。”     稿件与封面来源:The Hacker News,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Lumu 发布 2020 勒索软件影响与企业应对成本信息图

本周早些时候的一篇报道称,勒索软件攻击已在去年出现了急剧增加的趋势,并且安全研究行业已将之视为一个日益严重的问题。为帮助大家更好地了解勒索软件问题的严重性,Lumu 特地制作了一幅信息图。预计今年,勒索软件能够以单次超 400 万美元的攻击成本,将全球应对代价推升至 200 亿美元。 令人担忧的是,有 36% 的受害者向恶意攻击者支付了赎金。可即便如此,这批受害者中的 17% 还是没能挽回他们的数据。 从区域来看,北美地区有 69% 的企业报告称其受到了勒索软件的影响,欧洲地区的这一数字则是 57% 。 从行业类型来看,北美地区的政府组织受灾影响最大,其次是制造和建筑业。 不过从 Gartner 的分析结果来看,其实超过 90% 以上的勒索软件攻击,原本都是可以做到“防患于未然”的。 作为应对,Lumu 建议企业负责人花几分钟来了解和评估相关信息,以作出防止损失扩大化的明智决策。 感兴趣的朋友,可移步至官网(Lumu.io)了解详情。     (稿源:cnBeta,封面源自网络。)

医疗巨头 UHS 遭遇勒索软件攻击

美国最大的医疗服务机构之一Universal Health Services遭到了勒索软件的攻击。据两名知情人士透露,周日凌晨,UHS系统遭到攻击,全国各地包括加州和佛罗里达州的多家UHS机构的电脑和电话系统被锁定。其中一人说,电脑屏幕上的文字发生了变化,其中提到了 “影子宇宙”,与Ryuk勒索软件的典型症状一致。“每个人都被告知关闭所有的电脑,不要再打开它们,”该人士说。”我们被告知,要过几天电脑才能再次启动。” 目前还不知道勒索软件攻击对患者护理产生了什么影响。 美国另一家医院系统负责网络安全的一位高管表示,病人的医疗数据”很可能是安全的”,因为UHS依靠医疗技术公司Cerner来处理病人的电子健康记录,这位高管因未获授权向媒体发言而不愿透露姓名。 UHS在美国和英国拥有400家医院和医疗机构,每年为数百万患者提供服务。UHS的发言人没有立即回应置评请求。 安全公司Crowdstrike称,Ryuk勒索软件与俄罗斯一个名为Wizard Spider的网络犯罪集团有关。Ryuk的运营者以专门盯紧”大猎物”著称,此前曾针对大型组织,包括航运巨头Pitney Bowes和美国海岸警卫队实施勒索攻击。 一些勒索团伙在今年早些时候表示,他们不会在COVID-19大流行期间攻击医疗机构和医院,但Ryuk的运营商没有这样做。 上周,德国警方在接到一名女性因为勒索软件导致死亡后展开凶杀案调查,这名女性在勒索软件攻击后被转移到另一家医院的途中丧生。     (稿源:cnBeta,封面源自网络。)

谷歌遭亚利桑那州司法部长起诉 被指欺诈用户

据外媒报道,当地时间周三,谷歌受到来自亚利桑那州司法部长Mark Brnovich提起的诉讼,后者指控这家搜索巨头欺骗用户并从他们的手机中收集位置数据。我们知道,谷歌的绝大部分收入来自其庞大的广告业务,而谷歌在用户使用其产品时收集的个人信息为其提供了支撑。 对此,Brnovich在Twitter上发文指出,用户被一种虚假的安全感欺骗了,因为谷歌让用户认为他们禁用了位置数据收集的设置,而实际上这些设置仍旧是处于开启状态。 该诉讼要求谷歌提供损害赔偿,但具体金额尚不清楚。Brnovich的办公室也没有回复记者的置评请求。 谷歌则有在一份声明中为自己关于位置数据的政策进行过辩护。发言人Jose Castaneda表示:”司法部长和收取诉讼费用的律师似乎错误地描述了我们的服务。我们一直在我们的产品中内置了隐私功能并为位置数据提供了强大的控制。我们期待澄清事实。”     (稿源:cnBeta,封面源自网络。)  

垃圾钓鱼邮件活动:通过 paste.ee 和 Excel 文件向德国用户发送 Netwire RAT 恶意软件

G DATA发现了在德国的垃圾邮件活动,它通过PowerShell在Excel文档中传递NetWire RAT恶意软件。这些邮件伪造了德国的快递服务DHL。 2020年4月13日中午,我们的监测系统创建了一个警报,因为DeepRay报告了对PowerShell下载器上一个特定检测的点击量比平常多。警报系统可以及早发现是否出了问题,由于垃圾邮件攻击我们的德国客户,触发了这个警报,检测系统合法地阻止了恶意软件下载程序的工作。 我们对所检测到的威胁进行了调查,发现了与BEAST相关的条目,这些条目表明罪魁祸首是通过电子邮件发送的Excel文档。尽管我们自己没有收到Excel或电子邮件文档本身,但确实看到了BEAST为同意恶意软件信息倡议(Mii)的那些客户报告的感染链。   …… 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1216/     消息来源:GDATASoftware, 译者:吴烦恼。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

世界最大主权财富基金遭遇网络攻击:被骗走 1000 万美元

北京时间4月29日消息,作为全球最大的主权财富基金Norfund基金因网络诈骗,被骗子轻而易举的骗走1000万美元,而骗子是利用了所谓“泄露的付款数据”这一缺陷来作案的。 报道,挪威主权基金Norfund(也被称为挪威国家基金)的资金来源于著名的北海油田收益,目前市值超过1万亿美元。该基金表示,有黑客操纵了该组织的一笔交易,将一笔原本打算借给柬埔寨一家小额信贷机构的贷款转入受骗子控制的一个账户,结果导致该基金在3月份被骗1亿克朗(约为1000万美元)。该基金表示,这笔钱似乎已经从柬埔寨转移到了墨西哥,由于损失巨大,国际警方已经介入调查此事。 Norfund周三在谈到这起网络攻击诈骗案时表示:“在这段时间里,诈骗者以一种在结构、内容和语言使用上都非常巧妙的方式,操纵和伪造了Norfund与借款机构之间的信息交换。文件和付款明细都是伪造的。”骗子用一些伪造的发票或伪造的电子邮件把钱转移到了其他的账户,说明整个交易过程对票据的把关不过关。 其实这个骗局很简单,但却非常有效。骗子会先欺骗公司里的某个关键人物,然后欺骗公司里的其他人把钱转到一个新账户里,因为这些付款在计划中是合法和得到授权的,所以受害者通常要到最后才反应过来。 首席执行官Tellef Thorleifsson承诺,将迅速与国际警方采取行动,将骗子绳之以法,并防止该组织再次被骗。他表示:“这是一起严重的事件。这一网络诈骗行为清楚地表明,我们作为一个国际投资者和发展组织, 在利用数字渠道时很容易受到攻击。发生这种情况的事实表明,我们的系统和管理还不够好。我们必须立即采取严肃的行动来纠正这种情况。” 据悉,除警方介入外,挪威主权基金还表示,它正与挪威外交部及旗下的银行DNB合作,追踪这个骗子并取回赃款。普华永道也被要求对该基金的IT安全设置进行评估。虽然成为此类网络攻击的受害者令人尴尬,但Norfund并不是唯一一家。如果这件事的核心在于互联网交易中的商务邮件欺诈,那么说明这种网络欺诈已形成一个数十亿美元的产业,情况只会变得更糟。   (稿源:凤凰网科技,封面源自网络。)

报告称网络钓鱼套件的平均价格上涨了 149%

从事网络安全研究的Group-IB表示,该公司通过分析汇总已知的网络犯罪市场和黑客论坛上发布的交易数据,2019年网络犯罪黑市上出售的网络钓鱼套件的平均价格从2018年录得的122美元飙升至去年的304美元。 尽管网络钓鱼工具包的卖家数量(增长了120%)和网络钓鱼工具包广告的数量(2019年增长了一倍)双双增加,但由于“供需两旺”,钓鱼工具包的价格继续快速上扬。 在Group-IB在2019年识别和跟踪的16200个钓鱼套件中,伪造亚马逊、谷歌、Instagram、Office 365和PayPal的登录页面的手段最为常见。 亚马逊和PayPal是已知的最常用的网络钓鱼行动的目标,因为访问这两个账户可以让黑客直接利用受害者的资金进行欺诈性交易。 访问谷歌和Office 365账户往往会导致企业网络遭到破坏,这也解释了为什么大多数网络钓鱼工具包都支持针对这两项服务的攻击。 另外一个有趣的现象是黑客也热爱“网红”,围绕着黑客入侵和出售高用户数的Instagram账号,这里又形成了一个网络犯罪社区。 这种交易大多发生在一个名为OGUsers的论坛上,而这似乎也吸引了网络钓鱼套件的卖家加入到这个网站上,作为可以购买钓鱼套件的三大网络犯罪论坛之一,它仅次于Exploit和Crimenetwork。 2019年网络钓鱼工具包价格上涨有一系列原因。其中最主要的一个原因是,近年来随着浏览器越来越难被黑客入侵,这种网络钓鱼懒人工具包的效率下降了。这反过来推动了越来越多的黑客拥抱基于电子邮件的攻击,将其作为入侵组织的主要手段。 如今,网络犯罪生态系统中的很大一部分是由基于电子邮件的攻击所驱动的。虽然大多数电子邮件攻击主要集中在传递受恶意软件感染的文件或引诱用户到可以下载恶意软件的网站上,但这些攻击中也有很大一部分是网络钓鱼。 网络钓鱼,指的是引诱用户到一个托管虚假登录页面的网页,收集登录信息并引诱受害人做出泄露隐私数据的动作从而从中牟利。制作精良的网络钓鱼工具包会附带大量的钓鱼模板和功能,可以绕过电子邮件安全系统。 此外,还有其他原因。比如说,买家也在从过去的错误中汲取教训。廉价或免费的钓鱼套件往往含有后门,所以现在大多数买家已经学会了去购买高价值的产品,而不是免费的工具,这无形中增加了需求量,钓鱼套件的价格也随之水涨船高。 网络安全领域的一个公理是:黑客工具的价格与合法产品的安全性间接成正比。黑客工具的价格越高,合法产品越难被黑客入侵。换句话说,2019年网络钓鱼工具价格上涨是一个很好的消息,因为这意味着电子邮件安全系统在检测攻击方面的能力越来越强。   (稿源:cnBeta,封面源自网络。)

假冒 Corona 杀毒软件宣称能提供新冠病毒防护

据外媒报道,网络犯罪从不会休眠,而现在全世界都在关注着这种新冠病毒疫情,于是前者想着利用后者来为自己牟利。这一次则是一个叫做Corona Antivirus的假冒Windows杀毒软件。Malwarebytes和MalwareHunter在两个不同的网站都发现了这个假冒应用。 该应用网站写道:“我们来自哈佛大学的科学家一直在研究一种特殊的AI开发技术,通过使用Windows应用来对抗这种(新冠)病毒。当应用运行时,你的电脑会主动保护你免受冠状病毒(Cov)的攻击。” 该网站提供了一个被感染的安装器,据Malwarebytes披露,它不会在一台被攻击的机器上丢下BlackNET RAT,而设备则会自动添加到BlackNET僵尸网络中。 恶意软件感染自身具有一系列功能,包括作为僵尸网络的一部分发起DDOS攻击、截屏、窃取Firefox cookie等敏感信息、保存密码和比特币钱包以及运行一个键盘记录器来监控系统上的活动等。 Malwarebytes表示:“在此期间,在家和上网都要注意安全。我们在过去几周看到的诈骗数量表明,罪犯会利用任何情况。我们建议您随时更新您的计算机,并在下载新程序时格外小心。当心即时通知和其他消息,即使它们看起来像是来自朋友。”   (稿源:cnBeta,封面源自网络。)

黑客谎称微软遭受伊朗网络攻击进行邮件钓鱼

黑客正试图利用伊朗最近可能发动网络攻击的警告,来搜集Microsoft登录凭据进行网络欺诈。由于美国和伊朗之间关系日渐紧张,美国政府就伊朗可能会对重要基础设施发起网络攻击发出警告。在这样的局势下,一名攻击者谎称自己源于“Microsoft MSA”并发送了主题为“电子邮件用户受到伊朗网络攻击”的邮件,谎称微软服务器受到了来自伊朗的网络攻击来进行网络欺诈。 仿冒邮件还写到:为了应对这一攻击,微软会将邮件和数据锁定在服务器上以此保护用户免受伤害,若想要再次获得锁定用户的数据访问权,用户需要重新登录。 关于进行网络欺诈的电子邮件 据收到该钓鱼邮件的用户Michael Gillett说:他发现该邮件能够绕过Outlook的垃圾邮件过滤器,到达收件人的邮箱中。 以下是邮件内容 Cyber Attack 我们的服务器今天遭到伊朗政府的网络攻击,为了确保您的网络安全,我们不得不采取额外措施来保护您的帐户和个人数据。 一些电子邮件和文件可能会被锁定,为了您的账户安全,您需要再次登录账户。如果您在接收电子邮件时仍有问题,请耐心等待,我们的技术支持团队正在加紧处理,会尽快恢复数据。 Restore Data 如果收件人点击“还原数据”按钮,则会返回到仿冒的Microsoft登录页面,但从URL可以看到,这并不是一个合法的Microsoft站点。 伪造的Microsoft登录页面 如果用户输入登录凭证,用户信息将会被攻击者盗取被进行其他方面的网络攻击,而这些攻击可能包括:有针对性的网络欺诈、凭证填充攻击,数据盗窃。 因此,在这里提醒用户:当收到奇怪电子邮件,要求登录账户执行某项操作时,需要保持警惕,有问题可以联系网络或邮件账户管理员。此外,用户还要注意检查包含Microsoft登录表单在内的任何登录页面的URL,而合法的登录表单会在Microsoft.com、live.com和outlook.com域上进行公布。   消息来源:bleepingcomputer, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接