标签: Cerber

美国华盛顿近 2/3 监控摄像机网络曾遭罗马尼亚黑客劫持

前情提要:欧洲刑警组织(Europol)、联邦调查局 (FBI)和罗马尼亚等相关执法机构于 12 月 13 日进行了一项大规模逮捕行动,警方在罗马尼亚东部抓获五名黑客,即近年来涉嫌入侵欧洲和美国境内数万台计算机后肆意传播勒索软件 Cerber 和 CTB Locker。 勒索软件 Cerber 于 2016 年 3 月出现,它以 RaaS 模式为基础获得广泛分布:RaaS 模式允许任何可能的黑客散布恶意软件,从而获取 40% 的赎金。与大多数勒索软件一样,CTB Locker 和 Cerber 经销商使用的是最常见的攻击载体,比如钓鱼邮件和漏洞利用工具包。 据外媒 12 月 22 日报道,五名黑客中有两人被指控利用勒索软件 Cerber 控制华盛顿 123 台(近 2/3 的)监控摄像机设备。据悉,该起事件发生于美国总统特朗普就职典礼举行前夕,因此引发了美国媒体的骚动。除了欧洲刑警组织之外,美国特勤局目前也在调查这些恶意软件。特工 James Graham 针对这两名罗马尼亚黑客 Isvanca 和 Cismaru 的网络犯罪向美国司法部提供了有关证据。 这两名嫌疑人被指 于 1 月 9 日入侵了 123  台部署在华盛顿哥伦比亚特区警视厅 ( MPDC ) 的监控系统的安全摄像头(总共 187 个),该系统用于华盛顿警方监视华盛顿市的公共空间情况。 为了具体调查攻击情况,今年 1 月 12 日华盛顿警方 IT 人员和秘密服务代理人在确认了一些摄像头处于离线状态的情况下,使用远程桌面协议( RDP )软件连接到一台控制摄像头的服务器上,随后发现该服务器设备运行着许多不常见的软件,其中就包括两个勒索软件变种 Cerber 和 Dharma ,以及文本文件 USA.txt 。据悉,该文本文件中包含 179,616 个电子邮件地址,被用于向目标用户发送垃圾邮件。警方在取证过程中发现与两名黑客有关的邮件帐户 vand.suflete@gmail.com 中带有相同的文本文件。 参与调查的分析师对该邮件账号尤其感兴趣,从其中获得了链接至 Cerber 控制面板的信息,可以断定两名黑客长期租用勒索软件 Cerber 以便感染用户勒索钱财。也正是因为这一邮箱使调查人员成功追踪到黑客 Isvanca 和 Cismaru。 另外调查人员联系了 vand.suflete[at]gmail.com 电子邮件帐户中提到的一些人员和组织,以确定他们的系统是否已经被入侵。相关人员透露,被感染设备中发现的个别目标 IP 被追溯至英国的医疗保健公司,该公司向调查人员证实,其 eXpressApp Framework ( XAF )系统的用户账户已被泄露。 消息来源: TheRegister ,编译:榆榆,终审:FOX; 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

罗马尼亚联合欧洲刑警、FBI 逮捕 5 名黑客:涉嫌传播Cerber 和 CTB Locker 勒索软件

据外媒报道,欧洲刑警组织(Europol)、联邦调查局 (FBI)和罗马尼亚等相关执法机构于 12 月 13 日进行了一项大规模逮捕行动,警方在罗马尼亚东部抓获五名黑客,即近年来涉嫌入侵欧洲和美国境内数万台计算机后肆意传播勒索软件 Cerber 和 CTB Locker。目前,警方并未透露这五名被捕黑客详细信息。 CTB Locker(又名 Critroni)是 2016 年传播最广泛的勒索软件之一,且还是第一个使用 Tor 匿名网络隐藏其命令和控制服务器的勒索软件。Cerber 于 2016 年 3 月出现,它以 RaaS 模式为基础获得广泛分布:RaaS 模式允许任何可能的黑客散布恶意软件,从而获取 40% 的赎金。与大多数勒索软件一样,CTB Locker 和 Cerber 经销商使用的是最常见的攻击载体,比如钓鱼邮件和漏洞利用工具包。 欧洲刑警称,罗马尼亚当局于 2017 年初收到荷兰高科技犯罪组和其他当局提供的详细情报,其主要透露有一群罗马尼亚国民通过发送垃圾邮件感染当地计算机系统,并使用 CTB Locker 勒索软件对其数据进行加密。具体地来说,每封电子邮件都有一个附件(通常是存档发票),而该附件中包含一个恶意文件。一旦 Windows 用户打开后就会触发并感染设备,从而对其数据进行加密。 相关警方透露,在此次突袭行动中,当局缴获了大量的硬盘、外部存储设备、笔记本电脑、加密货币挖掘设备以及数百张 SIM 卡。值得注意的是,五名犯罪分子并非因为开发或维持这两款恶意软件被逮捕,而是因为涉嫌传播 CTB Locker 和 Cerber 。据悉,犯罪分子通过 CTB Locker 获得了 2700 万美元的赎金 ,而通过 Cerber 在 2017 年 7 月就赚取了 690 万美元,因此谷歌将其列为最有利可图的犯罪活动。目前,警方暂未透露更多相关细节。 消息来源:thehackernews ,编译:榆榆,校审:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

美国政府网站托管 JavaScript 下载器分发 Cerber 勒索软件

据外媒 9 月 3 日报道,网络安全公司 NewSky Security 研究人员 Ankit Anubhav 于近期发现,一个用于传播勒索软件 Cerber 的恶意 JavaScript 下载器被托管在了美国政府网站上。目前尚不清楚有多少访问者系统因此受到感染。 研究人员 Anubhav 经调查表示,受害者可能会在此次攻击活动中接收到一个指向 .zip 文件的页面链接。一旦受害者点击链接将会触发JavaScript 提取内容并启动 PowerShell 从攻击者领域下载恶意软件。实际上,受害者此时将会下载一份与勒索软件 Cerber 可执行文件有关的 gif 文档,其主要包含一款 NSIS 安装程序用于提取 Cerber JSON 文件配置。 知情人士透露,该恶意程序代码于 8 月 30 日被研究人员发现,随后数小时内被黑客删除。目前虽然尚不清楚攻击者如何将该代码安装至政府网站,也不了解有多少受害者已被感染,研究人员表示还将继续展开调查。不过,Anubhav 认为,该网站遭到入侵的另一种情况可能是政府官员接收的电子邮件中附带恶意软件,以感染整个网站内部系统。 原作者:Pierluigi Paganini,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

勒索软件 Cerber 新变种通过窃取比特币钱包获利

据外媒 8 月 3 日报道,趋势科技( Trend Micro )研究人员近期发现勒索软件 Cerber 历经六个不同版本后再现新变种,旨在窃取比特币钱包进行获利。 研究人员经调查分析后表示,勒索软件 Cerber 新变种与 5 月检测的版本相比结构和传播方式基本相同,但该变种却存在一处细微差异:瞄准比特币钱包进行盗窃活动。据悉,Cerber 新变种通过窃取比特币钱包 Bitcoin Core、Electrum、Multibit 应用程序的相关文件完成这一操作。 此外,Cerber 新变种还尝试从 IE、Google Chrome 与 Mozilla Firefox 浏览器中窃取用户已保存的登录凭证,而这些凭证与所有比特币钱包信息都将通过命令与控制服务器发送给攻击者。值得注意的是,当 Cerber 新变种将相关文件发送至服务器时,它还会自动删除原有数据,以增加受害者损失。目前,研究人员提醒用户不要随意打开未经验证的电子邮件附件以降低感染风险。 稿源:Trend Micro, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

勒索软件 Cerber 新变种携带防沙箱、反杀软等防御功能

据外媒本月 3 日报道,勒索软件 Cerber 新变种突现,具有多途径传播与文件加密功能,以及包括防沙箱与反杀毒软件技术在内的防御机制。 调查表明,Cerber 攻击事件不仅占 2017 年第一季度勒索软件攻击总量的 87%,还于过去一年内持续攀升至勒索软件排名榜榜首。2017 年 4 月,趋势科技( TrendMicro )安全研究人员发现 Cerber 已存有六个版本,加之采用的 RaaS 出售模式可为运营商与开发人员创造数百万美元收入。 TrendMicro 威胁分析师吉尔伯特·西森(Gilbert Sison)指出,Cerber 新变种采用多种方法规避传统安全解决方案检测。而为扩大功能、保持领先地位,Cerber 自 2016 年出现以来就已经展现出勒索软件攻击链的多元化开发特征。 此外,Cerber 使用垃圾邮件作为恶意软件传播方式。Cerber 6 附带社工电子邮件,其中包含恶意 JavaScript 文件压缩附件。用户一旦打开附件,JS 文件就开始下载执行有效载荷、创建计划任务,并在两分钟后运行 Cerber 或运行嵌入式 PowerShell 脚本。TrendMicro 专家指出,在攻击链中添加时间延迟功能可使勒索软件有效规避传统沙箱检测。 研究人员指出,Cerber 6 目前可配置添加 Windows 防火墙规则,阻止系统中安装的防火墙、防病毒与反间谍软件产品的所有可执行二进制文件出站流量,限制其检测与缓解功能。此外,Cerber 进一步恶化分析工具与虚拟环境的自我认知能力(通过自我毁灭实现规避)以及针对静态机器学习的检测规避能力。据悉,Cerber 6 还在其加密环节中避免 RSA 与 RC4 算法的实现,有利于加密应用程序编程接口的维护。 原作者:Gabriela Vatu, 译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

全球安全资讯一周速递

HackerNews.cc 与您一同回顾上周精彩内容 [国内要闻] 国家网信办就《个人信息和重要数据出境安全评估办法》征求意见 为保障个人信息和重要数据安全,维护网络空间主权和国家安全、社会公共利益,促进网络信息依法有序自由流动,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》等法律法规,网信办同相关部门起草了《个人信息和重要数据出境安全评估办法(征求意见稿)》,现向社会公开征求意见。有关单位和各界人士可在 2017 年 5 月 11 日前,通过信函或电子邮件方式提出意见。   [国际动态] NSA 机密文档再次泄露引发全球网络安全危机 当地时间 14 日晚,Shadow Brokers (影子经纪人)再次泄露了一份 117.9 MB 的 NSA 机密文档,其中含有可远程破解全球绝大多数 Windows 系统的漏洞利用工具,甚至揭露 NSA 黑客曾入侵中东多国 SWIFT 银行系统。 “无文件攻击”威力初显:仅需一夜轻松窃走俄罗斯 ATM 80 万美元 黑客通过新型恶意软件 “ATMitch” 采用“无文件攻击”方式,一夜之间成功劫持俄罗斯 8 台 ATM 机窃走 80 万美元。卡巴斯基 2017 年 2 月就 “ATMitch” 恶意软件发布分析报告表示,黑客曾利用恶意软件 ATMitch 攻击 140 家机构,其中包括银行、电信公司与 40 余家政府单位。由于恶意软件 ATMitch 利用机器现有的合法工具远程发送命令以分配资金,所以只需几秒即可快速运行,致使清空 ATM 机而不留痕迹。 G20 全面加密互联网系统,力推数字化经济发展 国际互联网协会在给二十国集团(G20)经济领导人发表的博客中表示:为确保数字化世界发展、限制攻击者频繁访问执法相关部门,呼吁二十国集团全面加密互联网系统。互联网协会指出,强大的加密功能对于世界经济体的未来至关重要,这也是为什么它可以成为所有在线交易的规范标准。 七国集团(G7)联合发布网络空间安全的国家责任声明 七国集团( G7 )部长会议联合发布了一份关于网络空间安全的国家责任声明,鼓励所有国家在使用信息通信技术( ICT )时遵纪守法、互尊互助和建立相互信任的行为。 七国集团负责人表示这一声明是处于和平时期提出的一个自愿、非约束的规范标准。声明共计 12 个要点,旨在维护网络空间的稳定性与安全性,降低针对国际和平、安全与稳定的风险。 欧盟、北约国家成立新安全组织应对混合网络威胁 当地时间 11 日,部分欧盟国家和北约国家签署了一项在赫尔辛基建立应对网络攻击、政治宣传和虚假信息等情况的研究中心的协议。美国、英国、法国、德国、瑞典、波兰、芬兰、拉脱维亚、立陶宛都签署了这份《谅解备忘录 (Memorandum of Understanding) 》,并将在今年 7 月迎来更多其他成员国。主办国芬兰外交部长 Timo Soini 表示,该中心将以对提高混合网络威胁以及在混合威胁中被利用的网络漏洞的意识为目标。   [数据泄露] 知名搜索引擎 Ask.com 服务器日志意外公开,泄漏 237.9GB 搜索记录 4 月 7 日,知名英文搜索引擎 Ask 被发现因未知原因导致的 Apache 服务器状态面向公众公开,几乎所有人都能看到 Ask.com 上的实时搜索记录 。据统计,被公开的页面显示了服务器重置以来人们搜索的所有细节 —— 440 万条大约 237.9GB 的搜索记录等等。   [漏洞事件] Microsoft Word 爆出 0day 漏洞,已被用于传播间谍软件 FinSpy 研究人员发现 Microsoft Word 的 0day 漏洞(CVE-2017-0199)可在他人系统秘密执行代码并安装恶意软件。漏洞影响所有 Windows 操作系统之上的所有 Office 版本。近日,这一漏洞被发现与乌克兰冲突中的网络间谍活动存在某种联系,攻击者将特制的 Microsoft Word 文档伪装成俄罗斯军事训练手册,受害者一旦打开文档就会传播由 Gamma Group 开发的恶意监控软件 FinSpy 。   [恶意软件] 勒索软件 Cerber 超越 Locky 获得暗网市场最大份额 勒索软件 Cerber 出色的传播能力使 2017 年第一季度最常见的勒索软件 Locky 也黯然失色。Malwarebytes 实验室最新发布的一份网络犯罪报告中指出,勒索软件 Cerber 在暗网中的市场份额从 1 月份的 70% 上升至 3 月份的 87%。   本文由 HackerNews.cc 整理发布,转载请注明来源。

RIG 工具包利用旧版本软件漏洞,无需点击即可传播勒索软件 Cerber

安全公司 Heimdal Security 的专家称,新恶意广告活动利用 “RIG 漏洞利用工具”针对浏览器旧版本软件漏洞传播勒索软件 Cerber ,此过程无需用户任何点击。 攻击者首先会在利用网站漏洞注入恶意脚本,当受害者浏览合法网站时,无需点击任何链接网站会自动跳转至攻击者的网站,并利用 RIG Exploit kit 扫描设备是否存在旧版本的应用程序:Flash Player,、Silverlight、IE、Edge ,之后利用软件漏洞安装勒索软件 Cerber 。 RIG 漏洞利用工具涉及的漏洞: CVE-2015-8651 CVE-2015-5122 CVE-2016-4117 CVE-2016-1019 CVE-2016-7200 CVE-2016-7201 CVE-2016-3298 CVE-2016-0034 虽然许多互联网用户仍然选择忽略软件更新,但往往网络犯罪分子就是利用软件漏洞进行破坏。广大网民应及时更新软件,避免受到损失。 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

微软警告:购物狂欢季当心钓鱼邮件含 Cerber 勒索软件

随着假日快速来临,许多人已经开始了他们的圣诞购物,无论是从实体店,还是通过互联网。微软现在警告在线购物者有一个新的网络钓鱼活动正在使用假信用卡消息让 Cerber 勒索软件感染不知情的受害者。 这种电子邮件包含 Cerber 勒索软件附件,打开时会提供接收方分步说明,如何启用宏以查看“受保护的文档”。 如果受害者单击“启用内容”的启用宏,就将释放 Cerber 勒索软件到用户电脑,它将开始加密受害人的文件。解密受影响的文件唯一方法是支付 1.3 比特币,这大约相当于 1000 美元。为了使它看起来更真实,提示还包含一个微软徽标,并将版式设计成一个微软支持文章。宏在 Word 和类似的文件已经成为网络犯罪分子的流行攻击媒介,许多人不知道宏有能力运行脚本和安装程序,这显然是被勒索软件开发商利用。 为了能够在勒索软件面前保持安全,微软建议在点击之前考虑,并警惕打开来自未知发件人的电子邮件。他们还建议只从可靠的来源安装软件。Cerber 勒索软件是从受害者赚大钱的许多加密恶意软件程序之一,即使只有 0.3% 的受感染者付费,恶意软件作者还能够从利润当中赚取近 100 万美元。 稿源:cnbeta.com,封面来源:百度搜索

勒索软件 Cerber 更迭至 5.0.1 使用新 IP 地址范围

安全公司 CheckPoint 发现勒索软件Cerber 在数周内连续更迭推出了 3 个版本的更新。2016 年 11 月 23 日 安全研究员发现新版本 Cerber 4.1.6 ,然而勒索软件没有显着的变化。但是版本发布后不到 24 小时,Cerber 5.0 和 5.0.1 出现了,用于指挥和控制通信的 IP 地址有了显著变化。除了个别 IP ,其余 IP 地址都换成了新的地址范围。 新的IP范围如下: 194.165.17.0/24 194.165.18.0/24 194.165.19.0/24 15.93.12.0/27 63.55.11.0/27 旧的IP范围仍在使用: 194.165.16.0/24 恶意代码通过 UDP 协议发送到所有 IP 地址。 勒索软件 Cerber 依旧通过垃圾邮件和漏洞利用工具 Rig-V Exploit EK 进行传播,加密文件扩展名更新为 4 位随机字母组合,加密目标依然是数据库以及其相关文件。 Cerber 5.0.0 赎金屏幕信息 稿源:本站翻译整理,封面来源:百度搜索