标签: NotPetya

安全研究人员发现 Industroyer 与 NotPetya 同属于俄罗斯黑客组织

据外媒 ZDNet 报道,网络安全公司 ESET 的恶意软件分析人员最近发现了实质性证据,证明针对乌克兰电网的网络攻击和 2017 年 6 月爆发的 NotPetya 勒索软件背后是同一组织。 这两者之间并不是直接联系,而是研究人员在今年 4 月一次黑客攻击中通过名叫 Exaramel 的恶意软件发现的。Exaramel 后门是从 Telebots 的服务器基础设施部署的,这也是 NotPetya 勒索软件所依赖的基础设施。 在分析报告中 ESET  称 Exaramel 后门“是后门组件的改进版本”,是针对工业控制系统(ICS)的恶意软件 Industroyer 的一部分,Industroyer 曾在2016年12月引发乌克兰停电。虽然之前已有推测到这种联系,但没有实质性证据,Exaramel 的发现证实了研究人员的想法。 下图是 ESET 研究人员推测 BlackEnergy 集团的演变,该集团在 Industroyer 之前一年,在2015年12月同样袭击了乌克兰的电网。   考虑到从 2017 年 7 月以来多方将 NotPetya 与 BlackEnergy 攻击联系起来的报告,可以说上图所有攻击的幕后推手都属于同一组织。ESET 的发现适时为西方政府最近提出的指控提供了事实和技术证据。 今年2月,Five Eyes 联盟国家的政府都指责俄罗斯策划了 NotPetya 勒索软件的爆发。本月早些时候,英国和澳大利亚发表声明,指责俄罗斯主要情报局(GRU)俄罗斯武装部队的军事情报机构发生多起网络攻击事件。声明称俄罗斯的 GRU 背后是一系列网络间谍组织和黑客行动,所列出的名称包括 Sandworm 和 BlackEnergy,在网络安全行业的众多报告中这两个名称被用作 TeleBot 的替代词。 ESET 的研究对政府报告提供了有力支撑,俄罗斯在2015年和2016年制造恶意软件以瞄准乌克兰的电网,后来部署了针对乌克兰公司的 NotPetya 勒索软件,这是俄罗斯吞并克里米亚和支持乌克兰西部地区的亲俄反叛分子行动的一部分。   消息来源:ZDNet,编译:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Verizon 发布《 2018 年数据泄露调查报告》:勒索软件已成为最流行的恶意软件

据外媒报道,美国电信巨头 Verizon 于本周二在其 2018 年数据泄露调查报告 (DBIR)中称,勒索软件攻击事件数量在过去一年中翻了一倍,成为最流行的恶意软件,这是因为黑客组织想通过锁定关键的业务系统来要求支付赎金,从而获取巨大的利益。 Verizon 执行董事安全专业服务部门的 Bryan Sartin 在一份声明中表示:“勒索软件是目前最流行的恶意软件攻击形式。近年来它的使用量大幅增加,因为现在企业仍然没有投资合适的安全策略来打击勒索软件,这意味着他们在面对勒索攻击时别无选择,只能向网络犯罪分子支付赎金”。 Verizon 在分析了 53,000 多起安全事件(其中包括 2,215 起违规事件)后表示,勒索软件攻击占特定恶意软件事件的 39%。 推动勒索软件攻击的一个趋势是针对关键业务系统(非台式机)的能力,这些系统可能对公司造成更多损害,并且很可能黑客组织试图将其作为勒索目标从中获取更多的利益。目前随着时间的推移,勒索软件事件中的资产类别已经从用户设备走向服务器,Verizon 说这是因为黑客意识到加密文件服务器或数据库比单个用户的设备更具破坏性。 Verizon 表示,横向移动和其他威胁活动经常会卷入其他可用于感染和遮挡的系统中。这些勒索软件攻击对黑客组织来说很有吸引力,因为黑客本身几乎不需要承担任何风险或成本,并且也不需要违反保密条款来实现其目标。 Verizon 在其报告中称,目前许多黑客已将钱财视为其首要任务,根据调查,有 76% 的违规行为都是出于财务动机。 例如 2017 年勒索软件最突出的例子 —  5 月份的 WannaCry 和 NotPetya 攻击。WannaCry 勒索软件通过感染 150 个国家 30 多万个系统,要求支付 300 美元的赎金才能解密密钥。与此同时,NotPetya 加密了主引导记录,并要求以比特币作为赎金支付的主要形式。 10 月份,另一宗勒索软件活动 BadRabbit 震动了安全行业 ,这项与俄罗斯 Telebots 有关的活动是在俄罗斯、乌克兰和东欧的网站上使用恶意软件发起的。在该事件中,攻击者瞄准基础设施(不仅仅只是桌面系统)并造成了巨大损害,其中乌克兰遭受了关键网络资产和基础设施的最大破坏。 最近,在 2018 年 3 月,亚特兰大市成为勒索软件攻击的目标。该起事件影响了几个部门,并瘫痪了处理付款和传递法院信息的政府网站。随后,亚特兰大市被要求支付 51,000 美元以换取密钥来解密系统。 为减轻勒索软件攻击的可能性,Verizon 在其报告中建议用户应确保有常规备份,并且隔离那些很重要的资产,以及将其放在业务连续性的优先级上。 Verizon 发现,总体而言,黑客、恶意软件和社交攻击(如网络钓鱼)等是过去一年中最多的安全违规事件。 除此之外,分布式拒绝服务(DDoS)攻击是 Verizon 2018 年报告强调的另一个重大威胁。Verizon 表示:“ DDoS 攻击可能会对任何人造成影响,因为它经常会被用作伪装启动或者停止后重新启动,以隐藏正在进行的其他违规行为。 目前来说,大多数网络犯罪分子具有经济动机,因此,他们针对金融、保险和零售行业发起的攻击不足为奇。Corero Network Security 的产品管理总监 Sean Newman 认为对于能够希望实现 100% 正常运行的在线公司而言,实时检测并自动减轻攻击的 DDoS 技术应该是必备的要求。 消息来源:threatpost,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

全球最大语音识别公司 Nuance 因 NotPetya 损失超过 9,000 万美元

据外媒 3 月 2 日报道,全球最大语音识别公司 Nuance 声称因受恶意软件 NotPetya 的攻击影响,其损失金额已超过 9000 万美元。 NotPetya 于去年 6 月 27 日在全球各地尤其欧洲地区爆发,最初只被认为是勒索软件 Petya 的变种,后经深入研究发现 NotPetya 其实是比勒索软件更具破坏性的硬盘擦除器。 在这场攻击活动中,受影响的企业包括俄罗斯石油公司 Rosneft、马士基航运集团、美国医药巨头默克集团(Merck)、联邦快递(FedEx)、全球领先巧克力饼干零食生产商亿滋国际(Mondelez International)、语音识别公司 Nuance、利洁时集团(Reckitt Benckiser)和圣戈班集团(Saint-Gobain)等,据估计,这些公司至少都损失了数百万美元。 去年,Nuance 估计其 2017 年第三季度的收入因 NotPetya 攻击约会损失 1500 万美元,但目前该公司表示,这次袭击造成的经济损失总额已接近 1 亿美元。一份 Nuance 向证券交易委员会(SEC)提交的最新 10-Q 文件显示了该总额的由来: NotPetya 在 2017 年为其带来的经济损失约为 6800 万美元,再加上由于实施了补救措施, Nuance 还产生了约 2400万 美元的增量成本。 文件指出,NotPetya 恶意软件影响了 Nuance 的一些系统,比如其医疗保健客户使用的系统(主要用于转录服务,以及由成像部门用来接收和处理订单)。目前来说, Nuance 公司的医疗保健部门受到的冲击最大。 除此之外,该公司还表示,虽然此次袭击的直接影响在 2017 财政年度中得到补救,但 2018 财年第一季度的业绩仍会受到继续影响。由此,Nuance 决定将在 2018 及以后的财政年度投入更多的资金来改善和提升信息安全。 消息来源:SecurityWeek,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

德国国防部长称 网络攻击是全球稳定的最大威胁

据报道,最近的网络攻击表明,敏感的个人数据已成为破坏世界各地公司和政府稳定的目标。据冯德莱延说,网络安全将是这十年的主要焦点。本周六,德国国防部在 CNBC(美国全国广播公司财经频道)上说,网络攻击是威胁全球稳定的最大挑战。 最近两次名为 NotPetya 和 WannaCry 的网络攻击,已经表明盗取个人数据逐渐成为破坏世界各地公司和政府稳定的主要手段。 当被问及“对全球稳定的最大威胁”时,德国国防部长 Ursula Von Der Leyen 说:“我认为最大威胁是网络威胁,因为无论你能想到什么对手,即使像是达伊什这样的恐怖组织,也会利用网络打击我们。” 据了解,各国政府和若干国际团体正加大努力,更好地保护自己的网络免受此类网络攻击。与此同时,他们还加大了在网络上对敌人的攻击力度。 据德国国防部长在慕尼黑安全会议间隙说,网络安全将成为本十年各个政府和公司的主要焦点,这十年也将是网络安全和信息裁决得到改善的十年。 稿源:cnBeta,封面源自网络

马士基董事长谈 NotPetya 惊魂10天:重设 4000 台服务器/ 4.5 万台 PC

本周召开的世界经济论坛上,马士基(Møller-Mærsk)集团董事长Jim Hagemann Snabe在演讲过程中再次谈及发生于去年的 NotPetya 网络攻击事件,导致公司整个“基础设施”几乎都重新安装了一遍。在 10 天时间内,马士基重新安装了 4000 台服务器,4.5 万台 PC 主机以及 2500 款应用程序,而如果按照正规流程下来至少需要 6 个月时间,因此董事长称之为“英雄的努力”。 Hagemann评测到:“想象下一家公司每隔 15 分钟就有 1 万到 2 万个集装箱进入港口,而在这 10 天时间内都没有 IT 方面的支持。你根本想象不出是怎么样混乱的场景。” 不过在员工的协作努力下,公司的出货量仅经历了 20% 的下降,依然有 80% 在手工方式下得以成功运作,直到系统恢复正常。马士基此前透露,此次袭击事件可能会使它的利润损失高达 3 亿美元。 相关阅读: 全球航运巨头马士基集团因 NotPetya 网络攻击损失数亿美元 稿源:cnBeta.COM,封面源自网络

NotPetya 恶意软件导致默克关闭 HPV 疫苗的生产线

今年上半年爆发的 NotPetya 恶意程序一度导致制药巨头默克停产 HPV 疫苗 Gardasil,迫使该公司借用美国疾病预防控制中心的库存以满足需求。这一消息是默克在其递交到美国证券交易委员会(SEC)的 8-k 季度公报中披露的。 默克在文件中称,它因为 NotPetya 恶意程序感染而遭受严重经济损失,导致第三季度销售和收入减少了数亿美元。默克称网络攻击相关的市场销售损失约 1.35 亿美元,因为恶意程序导致的疫苗停产而导致第三季度销售额减少约 2.4 亿美元。 稿源:solidot奇客,封面源自网络

欧洲爆发“坏兔子”勒索软件:俄罗斯与乌克兰成重灾区

据外媒和多家安全企业报道,周二的时候,俄罗斯和东欧地区爆发了名叫“坏兔子”(Bad Rabbit)的新型勒索软件,三家俄媒刊登了头条报道,包括新闻机构“国际文传电讯社”(Interfax)。俄罗斯安全企业 Group-IB 称,一旦计算机被其感染,“坏兔子”就会在一个黑底红字的界面上显示“NotPetya”风格的勒索信息。 该恶意软件会要求受害人登陆“洋葱路由”下隐藏的某个服务网站,向其交付 0.5 个比特币(约合 282 美元)的赎金来解除勒索。此外“坏兔子”还会显示一个倒计时界面,声称不及时支付的话,其勒索金额就会水涨船高。目前暂不清楚“坏兔子”攻击的幕后主使者身份、受害者都有谁、以及该恶意软件是哪里产生和如何传播的。 Interfax 在 Twitter 上表示,由于网络攻击,其服务器已被关闭。此外,乌克兰敖德萨机场也在本周二遭受了破坏性的网络攻击,但不清楚此事是否与“坏兔子”有关。Group IB 发言人表示,这轮大规模网络攻击主要针对以 Interfax 和 Fontanka 为代表的俄罗斯新闻公司。另外还有敖德萨机场、基辅地铁等乌克兰基础设施。 总部位于莫斯科的卡巴斯基实验室则表示,俄罗斯是“坏兔子”的重灾区,其次是乌克兰、土耳其和德国。该公司称该恶意软件的散布“是一场针对企业网络的有意攻击”。 卡巴斯基反恶意软件小组负责人 Vyacheslav Zakorzhevsky 在声明中称: 根据我们的数据,‘坏兔子’袭击的受害者多为在俄罗斯。其通过一些感染的设备,侵入了一些俄罗斯媒体网站。 虽然该恶意软件的攻击手段与 ExPetr [NotPetya] 期间类似,但我们无法证实它们之间的关系。 总部位于捷克的另一家安全企业 ESET 亦证实有一场实时的勒索软件活动。其在一篇博客文章中写到,以基辅地铁为例,新爆发的该勒索软件至少也是 Petya 的一个变种。 NotPetya 本身也是 Petya 的一个变种,ESET 表示该公司已经检测到了“数百起”的感染。另据 Proofpoint 的一位研究人员所述,“坏兔子”是通过一个假装的 Adobe Flash Player 安装器传播的。 卡巴斯基实验室的研究人员也证实了这点,称该恶意软件的启动器是通过被感染的合法网站发布出去的,但是这可能不是“坏兔子”的唯一散播途径。据 ESET 所述,该恶意软件还会尝试感染同一本地网络下的其它计算机,比如借助早就曝光的 Windows 数据共享协议(SMB)和开源的 Mimikatz 漏洞利用工具。 一位迈克菲研究人员指出,“坏兔子”会加密各种各样的文件,包括 .doc 和 .docx 文档、.jpg 图片、以及其它文件类型。最后,有多名研究人员指出,“坏兔子”似乎借用了《权利的游戏》中的许多命名,比如卡丽熙(全名太长不赘述)的三条龙 —— Drogon、Rhaegal、以及 Viserion 。 稿源:cnBeta,原文 [编译自:Motherboard , 来源:SecureList]

联邦快递证实:旗下运输公司 TNT Express 受 NotPetya 影响损失约 3 亿美元

据外媒报道,联邦快递在其最新报告中披露,旗下运输公司 TNT Express 遭勒索病毒 NotPetya 网络攻击后对该公司本年最后一个季度将造成大约 3 亿美元的损失。 据悉,TNT Express 欧洲分部在受到网络攻击后导致运营中断。该公司此前曾警告称,此次事件很可能造成巨额财务损失。联邦快递首席财务官 Alan Graf 表示:“ 网络攻击对 TNT Express 的影响以及联邦陆运(FedEx Ground)业务低于预期的结果将降低我们的利润。我们正在执行减轻这些问题对全年影响的计划。” 联邦快递主席兼首席执行官 Fred Smith 表示,飓风哈维和网络攻击的影响对该公司带来了重大的运营挑战。由于此前网络攻击导致数据泄露或丢失,可能无法恢复受影响的所有系统。该公司表示:“ TNT Express 的全球业务在 6 月 27 日 NotPetya 网络攻击后受到重大影响,大部分 TNT Express 服务在逐渐恢复,但 TNT Express 的收入和利润仍然低于此前水平。” 稿源:cnBeta,封面源自网络;

全球航运巨头马士基集团因 NotPetya 网络攻击损失数亿美元

据外媒报道,全球最大的集装箱航运公司马士基(AP Moller-Maersk)于 8 月 15 日在线公布《 2017 第二季度财务业绩报告 》,证实公司于 6 月遭受勒索软件 NotPetya 袭击后损失数亿美元。 调查显示,公司收入损失源自重大业务中断,因被迫暂时关闭感染恶意软件的关键系统 Damco 与 APM 终端作为防御措施。据悉,由于该恶意软件只影响马士基集装箱相关业务,因此包括所有能源企业在内的九家公司中六家能够正常运营。此外,马士基还于攻击期间对所有船只进行全面检测,以确保所有员工运输安全。 据统计,马士基只是数百家受害企业之一,此前乌克兰中央银行、俄罗斯石油巨头 Rosneft、广告企业 WPP、TNT 快递与律师事务所 DLA Piper 等机构也纷纷受其影响。马士基高管表示,此次网络攻击活动由以往不常见的恶意软件影响,其更新 Windows 系统与防病毒软件的措施并非最有效方案。目前,马士基正进一步加强系统保护方案。 关联阅读:美国制药巨头默克证实:NotPetya 网络攻击活动严重危及全球多领域业务 稿源:Mike_Mimoso, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Petya 勒索软件原作者出现,希望帮助 NotPetya 受害者恢复文件

据 外媒 28 日消息,疑似 Petya 勒索软件原作者现身 Twitter,表示愿意帮助 NotPetya 勒索软件受害者恢复文件。 从 Janus 在 Twitter 信息上看,他可能已经掌握一个主解密秘钥,或适用于新版的 NotPetya 感染文件,能够帮助受害者解密被锁住的文档。 Janus 曾在去年 3月以 勒索软件即服务(RaaS)的方式将 Petya 出售给其他黑客,这意味着任何人都能通过点击按钮启动 Petya 勒索软件攻击,加密任何人的系统并索要赎金。消息显示, Petya 的源代码从未被泄露过,目前一些安全研究员仍在努力通过逆向寻找可能的解决方案。 虽然目前 Janus 表示正在检查新勒索软件 NotPetya 的代码,但也有专家表示即使他的主密钥成功地解密了受害者硬盘驱动器的主文件表(MFT),在研究人员找到修复 MBR 的方法之前,它也不会有太大的帮助,因为系统中被替换的 MBR 文件早已损坏。 稿源:据 thehackernews 报道翻译整理,译者:FOX