标签: 勒索软件

23 个德克萨斯州政府机构网络遭“协同勒索软件攻击”后下线

据外媒Gizmodo报道,当地时间上周五早上,德克萨斯州的近20家州政府机构报告称存在重大计算机问题。该州现在认为,导致这次严重攻击事件的罪魁祸首是同一个黑客。德克萨斯州信息资源部(DIR)周五在一份新闻稿中说,其正在监督该州数个州政府机构对“协调勒索软件攻击”的反应。截至周六,DIR知道有23个受攻击影响的机构,该部门认为这可能是由“单一威胁行为者”执行的。 DIR表示正在与许多组织合作,将系统重新上线,包括州紧急事务管理部、军事部和公用事业委员会,以及联邦调查局的网络部门和联邦紧急事务管理部门。 “目前,DIR、德克萨斯军事部和德克萨斯A&M大学系统的网络响应和安全运营中心团队正在为受影响最严重的司法管辖区部署资源,”DIR在一份声明中说。 DIR并没有具体说明哪些机构在袭击中受到影响。“在这个时候,我们尚未列出受影响的实体,以免使其成为其他潜在坏人的目标,”DIR发言人在一封电子邮件中说。 这一事件只是最近针对美国市政当局和州政府机构的多起勒索软件攻击中的最新事件。今年6月,佛罗里达州里维埃拉海滩市议会投票决定支付超过60万美元给一个勒索软件团伙,以恢复被锁定和加密的数据。几天后,佛罗里达州的Lake City 向袭击该城市网络的黑客支付了价值46万美元的比特币赎金。 今年5月,属于巴尔的摩市政府的大约10000台计算机感染了RobbinHood勒索软件,这次攻击预计将使该市损失数千万美元。去年,亚特兰大市遭受SamSam勒索软件攻击,两名伊朗黑客被起诉。 正如Next Web在报道德克萨斯州攻击事件时指出的那样,网络安全公司Malwarebytes最近的一份报告显示,该公司已经看到针对普通消费者的恶意软件攻击正在减少,而针对政府机构和企业的攻击却在增加。根据调查结果,2019年第二季度针对企业的勒索软件检测增加了363%。   (稿源:cnBeta,封面源自网络。)

德克萨斯州 20 个地方政府机构网络遭勒索软件攻击

据外媒报道,五年前勒索软件可能还只是网络犯罪领域的一个小角色,但现在它是困扰IT系统的最昂贵的问题之一。德克萨斯州已成为最新遭勒索软件攻击的州,该州20个地方政府实体受到影响。 此前美国佛罗里达州、马里兰州等州政府机构的网络也曾遭遇勒索软件攻击,并导致了数千万美元的损失。 本周,德克萨斯州已加入目标清单。据德克萨斯州信息资源部(DIR)称,20多个地方政府实体受到“ 协调的勒索软件攻击 ”的影响。DIR表示,“德克萨斯军事部和德克萨斯A&M大学系统的网络响应和安全运营中心团队正在为受影响最严重的司法管辖区部署资源。” 虽然最近针对其他州的攻击可能令人费解,但没有披露要求具体支付多少款项。目前缺少“地方政府实体”受影响的任何信息。 美国公共部门和地方政府机构似乎警察受到这种袭击的的影响。一种可能的解释是,预算紧张和昂贵的升级程序会阻止许多组织更新旧软件,从而变得不安全。德克萨斯州将如何应对这场危机还有待观察。德克萨斯州官员可能希望像美国国家安全局这样的联邦机构帮助恢复秩序 – 因为据称 NSA自己的EternalBlue程序是许多现代版勒索软件的基础。   (稿源:cnBeta,封面源自网络。)

最新安全报告:单反相机已成为勒索软件攻击目标

恶意勒索软件近年来已经成为计算机系统的主要威胁,在成功入侵个人电脑,医院、企业、机构和政府部门的系统之后就会进行加密锁定,只有用户交付一定的赎金才能解锁。不过现在安全研究人员发现了单反相机同样存在这项的安全风险。援引安全软件公司Check Point今天发布的一份报告,详细说明了如何在数码单反相机中远程安装恶意程序。研究人员Eyal Itkin发现,黑客可以轻易地在数码相机上植入恶意软件。 他表示标准化的图片传输协议是传递恶意软件的理想途径,因为它是未经身份验证的,可以与WiFi和USB一起使用。该报告中指出通过黑客可以在热门景点部署有风险的WiFi热点,只要单反连接到这些热点之后就能进行攻击,从而进一步感染用户的PC。 在一段视频中,Itkin展示了他如何通过WiFi入侵Canon E0S 80D并加密SD卡上的图像,以便用户无法访问它们。他还指出,相机对于黑客来说可能是一个特别有价值的目标:毕竟相机中可能会存在很大用户不想要删除的影像资料。而且在真正的勒索软件攻击中,黑客设定的赎金往往不会太高,因此很多人会愿意交付赎金来摆脱不便。 Check Point表示它在3月份披露了佳能的漏洞,并且两人于5月份开始工作以开发补丁。上周,佳能发布了安全公告,告诉人们避免使用不安全的WiFi网络,在不使用时关闭网络功能,并在相机上更新并安装新的安全补丁。 Itkin表示目前他们只对佳能设备进行了测试,但是他告诉The Verge:“由于协议的复杂性,我们还认为其他供应商也可能容易受到这种攻击,但这取决于他们各自的实施情况。”   (稿源:cnBeta,封面源自网络。)

No More Ransom 项目使勒索软件犯罪团队利润至少减少 1.08 亿美元

在No More Ransom项目三周年之际,欧洲刑警组织(Europol)宣布,通过No More Ransom门户网站提供的免费工具下载和解密文件的用户已经阻止了勒索软件犯罪团队估计至少1.08亿美元的利润。 欧洲刑警组织称,仅仅在No More Ransom网站上提供的GandCrab勒索软件的免费解密工具就已经阻止了近5000万美元的赎金支付。 该项目于2016年7月启动,现在拥有82个工具,可用于解密109种不同类型的勒索软件。其中大部分是由EMSIsoft,Avast和Bitdefender等病毒安全软件制造商创建和共享的; 以及像国家警察机构、应急小组或者像Bleeping Computer这样的在线社区。 到目前为止,最有经验的成员是防病毒制造商Emsisoft,它为32种不同的勒索软件菌株发布了32种解密工具。 “我们为释放MegaLocker的解密器感到非常自豪,因为它不仅帮助了成千上万的受害者,而且它确实激怒了恶意软件作者,”Emsisoft的研究员Michael Gillespie告诉ZDNet。 欧洲刑警组织表示,自推出以来,有超过300万用户访问了该网站,超过20万用户从No More Ransom门户网站下载了工具。网站访问者来自世界各地的188个国家,这表明尽管该项目始于欧洲,但其覆盖范围现已全球化。 根据欧洲刑警组织分享的统计数据,该网站的大部分访客来自韩国、美国、荷兰、俄罗斯和巴西。 No More Ransom最初只与三个机构展开合作 – 荷兰警察,卡巴斯基和迈克菲 – 但现在在全球有超过150个合作伙伴。No More Ransom的唯一奇怪之处在于缺乏任何美国执法机构。合作伙伴来自各个领域,包括执法、公共组织和私营公司。 “我们一直与欧洲LEA [执法机构]保持良好的工作关系,与他们共享数据一直非常简单,”Emsisoft首席技术官Fabian Wosar告诉ZDNet。 “Europol并没有要求我们创建特定的解密工具,我们只是让他们访问我们创建的工具,”Wosar补充说道。“但是,我们已被要求为许多公司提供定制解密解决方案。” 然而,Emsisoft发言人告诉ZDNet,欧洲刑警组织分享的1.08亿美元估计“实际上是被严重低估”。   (稿源:cnBeta,封面源自网络。)

南非电力公司遭遇勒索软件攻击 导致约翰内斯堡市电中断

作为南非最大的城市兼金融中心,约翰内斯堡刚刚遭遇了一起针对 City Power 电力公司的勒索软件攻击,导致一些居民区的电力中断。由 @CityPowerJhb 官方 Twitter 账号公布的信息可知,这家企业负责为当地居民提供预付费电力供应,但恶意软件加密了该公司的数据库、内部网络、Web Apps、以及官方网站。 (截图 via ZDNet) 昨日开始扎根的恶意软件感染事故,现正在阻止顾客购买电力、或将fuyu电力反馈(回售)给 City Power,因为部分居民正在使用光伏面板来发电。 南非商业内幕(Business Insider South Africa)报道称,7 月 25 日也是许多南非人的标准发薪日,通常这天会有许多人领导工资就去充值。 然而过去 12 小时,许多 City Power 用户都在 Twitter 上抱怨市电中断且无法充值。作为该市所属的电力企业,该公司还称,由于无法访问内部应用程序,其中断响应已变得更加困难。 不过在紧急情况下,该公司正在增加备用支持团队的人员数量。至于影响该公司电网的勒索软件的名称,City Power 并未透露。 近年来,针对各大城市基础设施的勒索软件攻击正变得越来越普遍。为了尽快访问缺乏备份的市政文件,一些城市已主动支付过巨额的赎金,比如佛罗里达州的里维埃拉海滩市(60 万美元)和莱克城(50 万美元),以及佐治亚州的杰克逊县(40 万美元)。 此前,亚特兰大和巴尔的摩市经历了大规模的勒索软件感染,摧毁了各式各样的城市服务,最终让其付出了数千万美元的代价,以重建市政 IT 网络。 至于越南内斯堡,其应该庆幸勒索软件尚未突破其关键的 IT 网络。且最近几个月来,市政或电力等基础设施服务,正在成为越来越多的勒索软件团伙的攻击目标。   (稿源:cnBeta,封面源自网络。)

巴尔的摩市政府遭遇勒索软件事件再遇新问题:临时 Gmail 账号被禁

本月早些时候,巴尔的摩(Baltimore)市政府遭到勒索软件攻击,锁定了大约 10000 台政府计算机,导致该市一系列重要的公共服务被关闭。在拒绝向黑客支付赎金之后,当地政府着手启动了恢复计划。不过在恢复过程中该市官员又遇到了新的问题–谷歌阻止该市政府部门使用新创建的Gmail账号。   援引当地媒体Baltimore Sun报道,在5月7日该市政府系统网站遭到了勒索软件攻击,并要求支付13个莱特币(当前市值约 10.2 万美元)赎金。勒索软件已经让巴尔的摩全市沦为了人质,因为市政府无法访问电子邮件账户,甚至连给雇员发工资都做不到。此外,市民无法支付一系列公共事业费用,房地产相关的交易也无法顺利展开。 报道称暗虽然官员处理这个问题还需要数月时间才能修复,但是已经有用户开始注册免费的Gmail账号以继续运营。Gmail将用户群划分为普通个体和来自企业或者其他机构的用户,而后者需要为服务支付一定的费用。根据Baltimore Sun报道,谷歌的系统将城市官员划归到机构中,并且已经关闭了临时账号。本周四,该市卫生部门、市议会助理和市长办公室所发送的电子邮件都被退回操作。 谷歌发言人随后在一份声明中表示,该公司的安全系统在短时间内检测到多个账户的创建,并自动将其关闭。对此发言人表示:“我们已经恢复了对巴尔的摩市官员Gmail帐户的访问权限。由于在同一网络下批量创建了多个消费级Gmail账户,我们的自动安全系统禁用了这些账户。”   (稿源:cnBeta,封面源自网络。)

巴尔的摩市已被加密货币勒索软件困扰两周

本月早些时候,黑客成功地在巴尔的摩市部署了一批勒索软件。在两周的时间里,它已经导致了该市一系列重要的公共服务被关闭。外媒指出,本次攻击锁定了大约 10000 台政府计算机。虽然攻击者的真实身份不得而知,但其向政府勒索 13 个莱特币(当前市值约 10.2 万美元),否则就不予恢复设备上的正常数据。 (图 via:Bleeping Computer,文自:BGR) 显然,勒索软件已经让巴尔的摩全市沦为了人质,因为市政府无法访问电子邮件账户,甚至连给雇员发工资都做不到。此外,市民无法支付一系列公共事业费用,房地产相关的交易也无法顺利展开。 令人欣慰的是,市政官员表示他们无意支付这部分赎金,因为只要妥协过一次,无疑会鼓励别有用心者在未来发起更多类似的攻击。 只是在此期间,巴尔的摩市正在耗费大量的心力、以恢复基础服务的正常运行。 在数日前发布的新闻稿中,巴尔的摩市市长 Bernard Young 说到:“我们建立了一套基于 Web 的事故指挥方案,将操作转换到了手动模式,并会通过其它方案来继续向公众提供服务” 巴尔的摩市将继续调整和完善那些被中断服务的交付,同时寻求重新激活任何完全中断的服务的方法。 在恢复的过程中,我们还与 FBI 合作展开了调查,不过具体的细节还无法向大家分享。如被允许,我们将继续向公众通报相关进展。 Bernard Young 补充道:作为控制勒索软件并实施工具更新的一部分,该市正在与业内顶尖的网络安全专家合作,以确保此类事件不再发生。 至于一切恢复正常运转的时间,目前暂不得而知。不过按照估计,部分系统可能要画上几个月的时间,才能完全恢复。 正如许多大企业那样,巴尔的摩市拥有数千套系统和相关应用程序。当前的重点是让关键服务优先上线,并在期间将安全性视为首要任务之一。 市民们可在未来几周内看到部分服务开始恢复运转,但一些较复杂的系统,可能需要几个月才能彻底恢复。 实际上,这并不是巴尔的摩市首次遭遇勒索软件攻击。因为去年的时候,该市的 911 应急报警系统就曾遭遇过一次。幸运的是,这次勒索软件并没有影响到 911 系统。 至于本轮勒索软件攻击的细节,《巴尔的摩太阳报》指出,罪魁祸首是被称作 RobbinHood 的勒索软件变种。在对其展开深入研究后,专家称其是由经验丰富的编程者捣鼓出来的。   (稿源:cnBeta,封面源自网络。)

英国学生 Zain Qaiser 因勒索世界各地的色情网站用户而被判入狱

据BBC报道,一名使世界各地色情网站用户遭受网络攻击、并由此获利数十万美元的学生已被判入狱。来自伦敦巴尔金的Zain Qaiser使用他的编程技巧来欺骗世界各地色情网站的用户。调查人员已经发现了大约70万英镑的利润 – 但他的网络可能已经使他获利超过400万英镑。 24岁的Qaiser在金斯敦皇家法院被判入狱六年零五个月。Timothy Lamb QC法官表示:“你的犯罪造成的伤害是如此广泛的,以至于此前报道的类似案件似乎无法与之相比。” Qaiser大约五年前首次被捕 – 但由于调查的复杂性和心理健康问题,该案件被推迟。 Qaiser最初在他位于巴尔金家中的卧室工作,当他17岁时开始通过“勒索软件”攻击赚钱。全世界每天都有数百万起“勒索软件”事件发生 – 英国最著名的例子是2017年对NHS的“Wannacry”攻击。 Qaiser与俄罗斯控制人就最强大的攻击工具之一进行联系,并表示如果他的计划勒索行动成功,他就同意分摊他的利润。反过来,他与来自美国等国家的在线犯罪分子建立了联系,以帮助转移现金。这位青少年随后成为在线促销的合法供应商,并在一些世界上最受欢迎的法律色情网站上预订了广告空间。 但是,在网站上推广的每个广告都包含一个名为“Angler”的恶意工具。任何访问成人网站的用户点击其中一个Qaiser的虚假广告都会触发下载到他们自己的计算机上的攻击套件。 如果家用计算机没有使用最新的防病毒软件进行保护,Angler将搜索漏洞,并在可能的情况下提供夺取机器控制权的“勒索软件”。它立即向用户发出FBI和其他执法机构的全屏消息,指责用户违法 – 警告他们他们面临长达三年的监禁,除非他们立即支付相当于200美元或100英镑的罚款。 检察官Joel Smith告诉金斯敦皇家法院,“由于担心朋友或家人发现他们曾接触过色情内容而感到尴尬,许多用户都支付了赎金。” “由于显而易见的原因,很少有人向执法官员抱怨。”更糟糕的是,警告页面声称警方在访问成人网站期间捕获了用户的网络摄像头图像 – 并规定了付款的截止日期。 英国国家打击犯罪局(NCA)表示,不可能确切知道有多少人付钱 – 但数据显示Qaiser的行动是巨大的。他控制系统的一次截图显示他仅在2014年7月赚了11,000英镑。 在一次抽样活动中,NCA计算出每月在2100万个网络浏览器中出现的一个假广告 – 包括在英国访问的色情网页上出现的870,000个。反过来,攻击工具包将在大约165,000台PC上下载。其中约5% – 约8,000名用户 – 可能成为赎金需求的牺牲品。 金融调查人员已经确定,Qaiser的业务通过一系列加密货币平台至少转移了400万英镑 – 尽管通过购买越来越多的广告空间,大量的这些利润被重新投入到骗局中。 NCA的金融调查人员发现,这名前计算机科学学生在被捕时自己获得了近55万英镑。 在他被保释期间进行的长时间调查中,警方发现他还获得了10万英镑,因为他的同事通过直布罗陀和伯利兹将资金转移到英国可以访问的在线账户。 据信,Qaiser在网上加密货币中更为隐蔽,因为他在网上聊天时透露,他还有进一步的“离岸储蓄账户”。 NCA网络调查主管Mike Hulett说:“我们认为Zain Qaiser可能是NCA调查过的最重要的网络犯罪者。行动的庞大数量和复杂性 – 他与世界各地的人数以及他的行动频率使其如此成功,并使他赚到了他所做的钱。我认为我们不会知道支付的真实人数。” 在他的犯罪期间,Qaiser没有合法收入 – 但他保持着高调的生活方式。 他在劳力士手表上花了近5000英镑,在切尔西酒店入住花了2000英镑。他经常在妓女,毒品和赌博上花钱,其中包括在高档购物中心赌场的近7万英镑。 虽然似乎没有成人网站的用户直接向世界各地的警察发出警报,但是无意中放置了Qaiser恶意软件促销的广告经纪人却做到了。当一家销售广告空间的加拿大公司要求Qaiser停止时,他发动了大规模的网络攻击,造成这家公司数十万英镑的损失。 辩护律师Elizabeth Lambert声称,Qaiser患有精神疾病,受到年龄更大、经验更丰富的有组织网络罪犯的影响。 Qaiser最初否认了这些罪行并声称他遭到黑客攻击,然后承认11项指控 – 包括勒索、欺诈、计算机犯罪和拥有犯罪财产等。勒索软件犯罪是在2012年至2014年期间实施的。   (稿源:cnBeta,封面源自网络。)

新型勒索软件 Anatova 开始爆发 手段比 Ryuk 更加老道

近日,迈克菲实验室(McAfee Labs)发现了一款远胜于 Ryuk 的加密货币勒索软件,它就是将自身隐藏在看似无害的图标文件中的 Anatova 。通常情况下,它会将自己伪装成一款流行的游戏或应用程序,以欺骗用户下载恶意软件。运行后,它会自动请求管理员权限,以便尽早对受害者的文件进行快速加密,然后索取一笔不菲的赎金(以加密货币的形式交付)。 目前,恶意攻击者选择了以 DASH 这款加密货币作为付款方式(实时报价在 700 美元左右)。分析师称,他们已经在美国检出了 100 多个 Anatova 实例,此外比利时、德国、法国也有不少中招者。 迈克菲的首席科学家 Christiaan Beek 在接受采访时称 —— Anatova 的模块化架构,可能会变得极其危险 —— 这意味着黑客能够轻松为它添加新的功能。 虽然 DASH 的名气不如比特币或门罗币,但我们并不是第一次遇到这种事情。早在 2018 年初,就有一款名叫 GandCrab 的勒索软件家族,率先要求通过 DASH 支付赎金。 Christiaan 补充道 —— 之所以选择 DASH,是因为它实施了许多隐私增强协议,让交易的追踪变得更加艰难。 不久前,Hard Fork 报道过这款席卷互联网的恶意软件威胁。在短短五个月时间里,Ryuk 恶意软件的者,就将至少 370 万美元的比特币赎金收入囊中。 迈克菲安全研究人员指出,创作 Anatova 的黑客技巧(复杂度),远胜于 Ryuk 。换言之,Anatova 比 Ryuk 更加先进。 具体来说是,想要对它展开分析和解密,是相当困难的。鉴于其采用了快速的加密设计,只有不到 1MB 大小的文件才能破轻松破解。 研究人员认为,Ryuk 源于在地下市场销售的源代码,而 Anatova 则是由具备专业的编程技能的黑客设计的。 作者的经验相当丰富,嵌入了足够多的功能,以确保传统应对措施对它无效 —— 比如在未付款的情况下尝试恢复数据、并且无法创建通用的解密工具。   稿源:cnBeta,封面源自网络;

新勒索软件 Ryuk 瞄准大企业 半年获近 400 万美元

新浪科技讯 北京时间1月14日早间消息,据美国科技媒体ArsTechnica援引信息安全公司CrowdStrike和FireEye上周四发布的两项研究结果显示,自去年8月以来,一家最近被发现的勒索软件组织已经获利近400万美元。 该组织选择了一种在行业中不常见的做法:针对被初步感染、资金实力雄厚的目标,选择性地植入恶意加密软件。这不同于用勒索软件感染所有可能受害者的常见策略。 两份报告都显示,该组织使用被称作“Ryuk”的勒索软件感染大企业。而在此之前几天、几周,甚至一年,这些目标大多就已经被感染了一种被称作Trickbot的木马。相比而言,小企业在感染Trickbot之后很少会再遭到Ryuk的攻击。CrowdStrike表示,这种方法是“寻找大目标”,而自去年8月以来,其运作者已经在52笔交易中收入了370万美元的比特币。 除了精准定位目标之外,这种方式还有其他好处:存在“驻留时间”,即从初始感染到安装勒索软件之间的一段时间。这让攻击者有时间对被感染网络进行分析,从而确定网络中最关键的系统,并获取感染这些系统的密码,随后才释放勒索软件,从而最大限度地造成损害。   稿源:新浪科技,封面源自网络;