标签: 勒索软件

假装成新冠病毒应用的勒索软件正在威胁着人们的钱包

据外媒报道,新冠病毒大流行给相当一部分人带来了困惑。为了更好地应对这种情况,一些人开始使用移动应用来跟踪疾病的传播。然而这些用户惊讶地发现,他们可能不小心安装了一个恶意软件应用。 一款叫做“COVID19 Tracker”的Android应用就向担心病毒爆发的人们宣传自己是病毒地图。用户在搜索一个显示病毒传播的应用时得到了COVID19 Tracker的链接。然而用户无法在Google Play Store上下载这款应用而需要前往该应用网站。当用户下载并打开应用时他们会迎来一个令人不快的意外。跟其他应用一样,COVID19 Tracker也要求获得设备许可,但一旦获得许可它就会启动一个名为“CovidLock”的程序。CovidLock则会发出威胁,要求用户在48小时内以比特币的形式支付100美元,否则的话将删除其手机上的所有数据。 CovidLock是一种被称为勒索软件的恶意软件,它会劫持用户的数据一直到用户支付赎金为止。通常情况系啊,勒索软件都会把企业作为目标,因为它们有更大的财力或能力,但CovidLock针对的是个人用户。 据了解,CovidLock在被用户打开后会给用户的手机上锁,之后用户只有输入解密密钥才能使用。如果用户通过屏幕上的一个链接支付了比特币赎金,该应用就会向用户提供密钥。网络安全公司DomainTools通过对该应用进行反向工程找到了解密代码:4865083501。 实际上,自2016年Android Nougat发布以来,Android手机就内置了针对CovidLock等屏幕锁定攻击的保护。但如果用户没有为他们的手机设置密码那么这些保护措施将无法起到作用。 另外,DomainTools还设法访问了连接到CovidLock的比特币钱包。该团队正在监视发生在上面的任何活动以此查看黑客是否成功勒索到了钱。当地时间3月16日,COVID19 Tracker网站已被关闭。 实际上,COVID19 Tracker并不是唯一一个跟新冠病毒相关的恶意软件。另一款名为“Corona Live 1.1”的Android应用虽然提供了实际的病毒数据,但它会在用户的手机上安装间谍软件。跟COVID19 Tracker一样,用户必须从应用网站或第三方应用商店下载到Corona Live 1.1,而不能通过Google Play store下载。 虽然假冒应用和其他形式的恶意软件可能正在增加,但用户可以采取措施来避开它们。为了获得关于新冠病毒传播的信息,人们应该只求助于可靠的来源,比如官方医疗机构和政府机构,它们对此都有准确的数据。另外,下载的移动应用只能来自于官方应用商城而非第三方。 最近的一项研究发现,名字跟新冠病毒相关的应用和网站传播恶意软件的可能性比其他域名高出50%。 即使是最基本的安全措施也能有效地防止恶意软件和假冒应用的传播。如果用户启用了他们手机中的所有安全功能并限制应用权限,那么他们就避开许多潜在的安全问题。   (稿源:cnBeta,封面源自网络。)

FireEye:多数勒索软件会选择在 IT 人员不上班时发动攻击

根据网络安全公司 FireEye 发布的最新报告:为了最大程度地提高攻击效率,绝大多数勒索软件都会选择在正常上班时间之外采取行动,以避免被 IT 人员发现并扫除。在 FireEye 调查的案例中,76% 的勒索软件是在周末、或者上午 8 点 ~ 下午 6 点之外的时间段完成部署的。 FireEye 表示:通常情况下,IT 人员不会在上述时间段内上班,因此响应效率会变得更慢。在某些情况下,比如传统节假日或周末,一些企业根本不会安排任何 IT 人员值班。 数据还显示,在大约 75% 的事件中,从恶意活动到勒索软件的部署,至少会间隔三天左右的时间。这意味着,若是 IT 部门的响应足够迅速,就有很大的可能性避免感染。 不过这家网络安全公司预计,未来勒索软件感染的数量将继续增加。更糟糕的是,威胁行为发起者会不断升级赎金要求,甚至将勒索软件攻击与其它策略结合起来,比如针对关键业务系统和窃取数据。 如上文所示,破局的关键,是能否在恶意软件的部署和破坏之间介入。若信息技术专家能够及时发现并消除威胁(或让系统具有防止受到威胁的能力),便可转移大部分与勒索软件相关的应对成本。   (稿源:cnBeta,封面源自网络。)

疫情追踪应用暗藏 Covid Lock 勒索软件 下载安装请留心

随着新冠病毒引发的 COVID-19 疫情在全球的爆发,各种鱼龙混杂的“疫情追踪器”也开始盯上粗心的移动设备用户。一旦被名为 CovidLock 的勒索软件给劫持,用户将不得不支付 100 美元的赎金,以解锁他们的 Android 智能机。 据悉,这款勒索软件会锁定受害者的手机屏幕并更改设备密码。如果此前未设定密码,CovidLock 还会自动设置一个密码,以迫使用户就范。 DomainTools 分析称,受害者必须支付相当于 100 美元的 BTC 赎金才能解锁他们的智能手机,否则将窃取照片、联系人之类的敏感信息,甚至在网络上泄露一部分细节。 截图文字显示 —— 你的手机已被加密,请在 48 小时内支付 100 美元的 BTC,否则包括联系人、照片、视频等在内的所有内容将被删除,所有社交媒体账户会被公开、且本机存储将被完全抹除。 此外攻击者警告称 —— 你的 GPS 已被监视,我们已知晓你的位置。如尝试进行任何愚蠢的操作,手机将触发自毁。 好消息是,通过逆向工程,DomainTools 已经搞定了这款勒索软件的解锁密钥,此外研究团队正密切关注攻击者的 BTC 钱包,更多细节将很快公布。 对于普通用户来说,谨记远离任何不信任的应用来源,并仔细检查手机已安装的每款 App 的权限设置。   (稿源:cnBeta,封面源自网络。)

调查发现医院很多设备采用过时操作系统 易受黑客攻击

根据网络安全公司Palo Alto Networks周二发布的一项研究显示,医院中连接互联网的成像设备有很大一部分运行过时的操作系统。该公司发现,83%的这些设备运行在过时的软件上,即使这些软件包含黑客可以利用的已知漏洞,也无法更新。 与2018年相比,该数字显着增加,这与微软今年早些时候终止对Windows 7的支持相吻合。相当多的电脑都运行甚至更老的操作系统,包括Windows XP,微软于2014年停止了对Windows XP的支持。成像设备包括进行X射线,MRI,乳房X线照片和CAT扫描,它们都需要电脑提供支持和控制。 安全专家表示,保持操作系统更新是使黑客远离设备的最重要步骤之一。但是,更新停止发布时,黑客却不会停止寻找可利用的漏洞。当最终黑客找到了可以破坏过时操作系统的漏洞时,制造商有时仍会提供更新,但不能保证一定会提供更新。 黑客可能有多种动机将医院中的设备作为目标。其中,成像和其他医疗设备(例如输液泵和患者监控系统)都可能容易受到勒索软件攻击,并指出医院已经遭受了勒索软件攻击,他们锁定了系统并要求付费才能重新拿回控制权。他们还可以利用医院电脑的计算能力来挖掘加密货币,这种攻击称为“加密劫持”。这可能会导致设备过热或故障。 这项研究调查了医院和其他企业中总共有120万个互联网连接设备。商业分析公司Gartner表示,这是48亿个互联网连接设备中的一小部分。该研究没有提及成像设备的特定品牌。研究人员表示,医院可能难以更新其成像设备,因它们无法直接从像微软这样的软件制造商那里购买。相反,他们必须依靠向第三方出售设备的供应商来提供补丁,这是一个需要改进的过程。   (稿源:cnBeta,封面源自网络。)

FBI 称勒索软件受害者向攻击者支付了超过 1.4 亿美元

联邦调查局(FBI)是RSA 2020会议的参与者之一,,IBM和AT&T等大公司都参加了该会议。今年,由于冠状病毒的爆发,该会议缺乏主要技术巨头的参与,但联邦调查局依然派员参加了有关安全的活动。在活动中,FBI发布了一个有趣的统计数据,他们声称勒索软件受害者在过去6年中已向攻击者支付了超过1.4亿美元。该机构通过分析比特币钱包和赎金来得出这个数字。 FBI特工乔尔·德卡普阿(Joel DeCapua)在两场会议上介绍了他的发现,解释了他如何分析比特币钱包以得出数字。根据DeCapua的说法,在2013年10月至2019年11月之间,受害者已向勒索软件攻击者支付了约144350000美元的比特币。 最赚钱的勒索软件是Ryuk,带来了6126万美元的“获利”。紧随其后的是Ryuk,其次是Crysis / Dharma,其收入为2448万美元,而Bitpaymer为804万美元。 FBI指出,赎金数额可能更高,因为他们没有办法获取到完整的数据。大多数公司试图隐藏这些细节,以防止负面新闻报道并损害其股价。 DeCapua还透露,Windows远程桌面协议(RDP)是攻击者用来访问受害者计算机的最常用方法。 联邦调查局的建议 鉴于通过RDP途径方式的受害者占比高达70-80%,因此FBI建议组织使用网络级身份验证(NLA)来提供额外的保护,技术人员还建议组织在其RDP帐户上使用复杂的密码并尽快检查更新以为应用程序和操作系统安装最新版本。研究人员通常会在漏洞修复后发布概念验证,以便任何不良行为者都可以使用它来攻击尚未更新的系统。 最后,FBI强调了识别网络钓鱼网站并确保其具有数据备份的重要性,以防止成为勒索软件攻击的受害者。   (稿源:cnBeta,封面源自网络。)

美国一天然气公司在感染勒索软件后关闭两天

美国国土安全部网络安全和基础设施安全署的公告显示,有一家未公开名字的天然气公司在感染勒索软件后关闭设施两天。感染发生在该公司的天然气压缩设施,攻击始于钓鱼邮件内的恶意链接。 攻击者从其 IT 网络渗透到作业 OT 网络,其 IT 和 OT 网络都被勒索软件感染。感染没有扩散到控制压缩设备的可编程逻辑控制器,因此该公司没有失去对操作设施的控制。工作人员关闭了压缩设施两天,但由于管道传输的依赖性,它的关闭连带影响到了其它地方的压缩设施。   (稿源:solidot,封面源自网络。)

美国拉辛市遭勒索软件攻击 多行业网络受影响

1月31日,美国威斯康星州的拉辛市被勒索软件入侵,事件发生后,该市大部分计算机系统瘫痪。 该地政府科技网站发布报告称:本市的计算机网络系统周五被勒索软件入侵,至周日下午网络系统仍处于瘫痪状态。目前,该市的网站、电子邮件以及在线支付系统都收到影响。拉辛警方发布Facebook,称其目前无法支付事件的处理费用,也无法提供事件的侦测报告。 周五,该市的信息管理部门开启了事件响应程序,地方当局以及联邦政府对事件展开调查,调查声称税收以及911公共安全系统未受这次勒索软件入侵影响。 鲍威尔在一份声明中称:MIS worked over the weekend 公司联合网络安全公司制作了一个周密的计划,在不传播勒索软件的情况下恢复网络系统,目前对事件发生原因以及波及范围都在进行调查。 去年12月,Maze勒索软件运营商发布消息,称其利用勒索软件盗取彭萨科拉市的2GB文件。 去年11月,路易斯安那周政府遭到勒索软件攻击,多州的服务机构包括机动车管理局、卫生部以及运输发展部都受到影响。这一事件使得路易斯安那州关闭了该州的几个网站以及邮件和互联网服务。 8月份,近23个地方政府遭受勒索软件攻击,佛罗里达州的一些城市也受到黑客影响。去年6月,佛罗里达州被勒索软件攻击系统,里维埃拉海滩城同意支付60万美元的赎金来解密其数据。几天后,莱克城也同意支付近50万美元的赎金机密遭勒索软件攻击系统。   消息来源:securityaffairs, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Sodinokibi 勒索软件首次发布被盗数据

由于未及时支付赎金,Sodinokibi勒索软件背后的攻击者首次发布了从一名受害者那里窃取的文件。自上个月以来,Sodinokibi(也称为REvil)公开表示,他们将开始效仿Maze,如果受害者不支付赎金,就公开从受害者那里窃取的数据。他们在俄罗斯黑客和恶意软件论坛上首次发布了大约337MB所谓的被盗受害者文件的链接。 攻击者称:这些数据属于Artech信息系统公司(该公司被称为是少数民族和女性员工最多的公司,同时也是美国较大的IT公司之一),如果该公司不支付赎金,他们将发布更多的数据。 “这些数据只是我们所拥有数据一小部分。如果还不采取任何行动,我们将向第三方出售剩余的更重要以及更有趣的数据,而这些数据中还包含财务细节。” 目前,Artech网站因不明原因已全线关闭,Bleeping Computer 向Artech方求证相关问题,也并未得到回复。 正如我们反复提及的,对勒索软件攻击造成的数据泄露事件应该以透明方式来解决,若试图采取隐藏方式,公司员工、客户数据不仅会被暴露,还可能有罚款和被诉讼的危险。而这种利用被盗数据作为砝码的行为不仅不会解决事情,还会使事情变得更糟。   消息来源:bleepingcomputer, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接  

报告显示 WannaCry 依然是最让人头疼的勒索软件

Precise Security公布的一份新报告显示,WannaCry在去年勒索软件感染排行榜当中位居第一。Precise Security称,超过23.5%的设备最终被勒索软件锁定,其中垃圾邮件和网络钓鱼邮件仍然是去年最常见的感染源。不少于67%的勒索软件感染是通过电子邮件传递的,缺乏网络安全培训和薄弱的密码和访问管理是导致电脑在攻击后被加密的主要原因。 这份报告显示,针对政府机构,医疗保健,能源部门和教育的勒索软件攻击数量继续增加。一些简单的勒索软件以难以逆转的方式锁定系统,但更高级的恶意软件利用了一种称为加密病毒勒索的技术进行攻击。 WannaCry勒索软件爆发发生在2017年5月,当时第一批Windows电脑通过一个名为EternalBlue的NSA漏洞被感染。微软很快发布了补丁来阻止这一漏洞,包括不受支持的Windows XP操作系统,但目前仍有许多用户在使用没有打过补丁的设备。 与其他勒索软件感染一样,WannaCry对存储在设备上的文件进行加密,并要求用户支付解密密钥的费用。WannaCry攻击者要求受害者以比特币支付,据统计,它在全球造成了约40亿美元的损失。 WannaCry制造了一系列引人注目的受害者,包括英国的NHS系统,其设备运行的是未修补的Windows,主要是Windows XP。修补设备并保持安全软件完全更新,是阻止WannaCry攻击的最简单方法,同时不要打开来自不受信任来源的消息和文件。   (稿源:cnBeta,封面源自网络。)

VPN 警告:REvil 勒索软件盯上未打补丁的 Pulse Secure VPN 服务器

使用REvil(Sodinokibi)勒索软件勒索大型组织的网络罪犯瞄准未打补丁的Pulse Secure VPN服务器,并禁用防病毒软件。 安全研究人员正在敦促使用Pulse Secure VPN的组织立即进行修补,否则将面临犯罪分子的“大规模”勒索软件攻击,这些犯罪分子可以轻松地使用Shodan.io IoT搜索引擎来识别易受攻击的VPN服务器。 上个月,在纳斯达克上市的美国数据中心提供商CyrusOne遭到REvil(Sodinokibi)勒索软件攻击,而去年夏天,美国的几个网络服务商、德克萨斯州的20多个地方政府机构以及400多个牙医诊所也相继遭到了网络攻击。 由于犯罪分子利用该勒索软件来加密关键业务系统,并要求巨额赎金解密,英国安全研究员凯文·博蒙特将REvil归为“big game”类别,该勒索软件病毒株于去年4月被发现,主要是使用Oracle WebLogic中的漏洞来感染系统。 去年10月,美国CISA、美国国家安全局联合英国国家网络安全中心发布的警告称:REvil瞄准的Pulse secure VPN服务器还未打补丁。此前有证据显示,政府支持的黑客正在利用Pulse Secure 以及Fortinet VPN产品中的漏洞,由于该漏洞已被网络犯罪分子广泛使用,因而波及范围也越来越广。 凯文·博蒙特指出:由于该服务器允许远程攻击者在没有有效凭据的情况下连接公司网络,同时禁用多种形式的身份验证,在这样的情况下以纯文本的形式远程查看包括活动目录和账户密码在内的日志和缓存密码,导致Pulse Secure VPN 漏洞情况越来越糟糕。上周发生的两起漏洞事件都采用了类似的手段:通过访问网络来获取域管理控制,然后使用开源VNC远程访问软件来访问移动网络。 在这样的流程后,所有安全端口都会被禁用,REvil(Sodinokibi)勒索软件会通过PsExec渗透到Windows远程管理系统中。网络安全公司Bad Packets 1月4日扫描数据显示:仍有3825台Pulse secure VPN服务器漏洞还未被修补,其中去年10月警报中所提到的CVE-2019-11510漏洞就包含其中,而1300多个易受攻击的漏洞VPN服务器均位于美国。   消息来源:zdnet, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接