安全快讯Top News

全球 WanaCrypt 勒索软件影响情况报道汇总 05-15

HackerNews.cc 与您一同跟进全球 WanaCrypt 勒索软件影响情况 【国内要闻】 中石油受比特币勒索病毒波及,超8成加油站已重新连网 因全球比特币勒索病毒爆发,全国包括北京、上海、重庆、成都等多个城市的部分中国石油旗下加油站于 5 月 13 日凌晨突然出现断网现象,导致加油站加油卡、银行卡、第三方支付等网络支付功能无法使用。不过,加油站加油及销售等基本业务仍可正常运行。 为确保用户数据安全和防止病毒扩散,中国石油紧急中断所有加油站网络端口,并会同有关网络安全专家连夜开展处置工作,全面排查风险,制定技术解决方案。 多地公安部门、高校提醒防范“勒索”,有部分单位疑中招 多地公安部门、高校于 5 月 13 日下午均通过官方微博、微信、网站发布提醒信息:“ 新型 ‘ 蠕 ’ 式勒索病毒爆发,请广大用户升级安装补丁 ”。相关媒体走访部分医院、加油站、公安局与各高校发现,除中国石油旗下加油站与云南各高校外,其他单位网络暂未受到勒索病毒影响。目前,各单位已开始升级系统,以防勒索病毒再度传播。   【国际动态】 勒索病毒迄今已攻击至少 150 个国家,受害者达 20 万 勒索软件攻击事件已造成 150 多个国家的 20 多万人受影响,欧洲刑警组织负责人警告网络攻击威胁升级。英国和俄罗斯目前位于受害程度最严重的国家之列。安全专家警告称,新一波攻击正在临近,并且可能势不可挡。数据显示黑客留下的账户已收到约 2.85 万美元的汇款。欧洲刑警组织正在与美国联邦调查局合作,试图找出此番攻击的幕后黑手,此案涉案人员可能不只一人。 为防止勒索病毒攻击蔓延 法国雷诺部分工厂停产 法国汽车厂商雷诺公司为防止席卷全球勒索病毒攻击其计算机系统,该公司于 5 月 13 日决定暂停多家工厂生产活动以预防勒索病毒网络攻击。调查显示,雷诺是法国首家被勒索病毒影响的企业,目前该病毒已影响近 150 个国家的数万台计算机。 勒索病毒攻击者可能会调整代码并重启攻击 全球网络勒索病毒攻击不仅迫使欧洲汽车制造商停止汽车生产,还导致俄罗斯超过一半的电脑疑似感染勒索病毒。此外,部分中国学校和印尼医院的网络也纷纷受到影响。 欧洲刑警组织(Europol)下设的欧洲网络犯罪中心表示,正与成员国调查机构和私营的安全公司密切合作,打击这一网络威胁并帮助受害者恢复文件访问权限。此外,研究人员表示,攻击者可能会调整代码并重新启动循环。不过,目前还没有任何调整,但他们肯定会发生。 勒索病毒为何偏爱医院:怕耽误病情更新补丁太慢 迅速向全球扩散的勒索病毒网络攻击受害者持续增加,英国国民健康服务局( National Health Service )下属的 16 家机构受到影响,其中包括位于伦敦、英格兰西北部、英格兰中部的医院都呼吁称,处于非紧急状态下的病人最好待在家里,并全力阻止恶意软件扩散。此外,本次勒索病毒袭击活动中,多数大型企业也未能幸免,比如西班牙电信巨头 Telefonica SA 企业和美国 FedEx Corp 公司均遭受勒索病毒攻击。 本文由 HackerNews.cc 整理发布,转载请注明来源。

新型勒索软件 Jaff 感染全球逾 600 万台计算机设备

据外媒 12 日报道,安全研究人员发现僵尸网络 Necurs 正以每小时 500 万封恶意邮件的速度传播新型勒索软件 Jaff,以致感染全球逾 600 万台计算机设备。 勒索软件 Jaff 由开发人员采用 C 语言程序编写,主要用于加密目标计算机文件,从而达到勒索赎金的目的。目前,该勒索软件在僵尸网络 Necurs 的协助下已感染全球数百万台计算机设备。 据悉,僵尸网络 Necurs 发送附带 PDF 文档的电子邮件。倘若用户点击文档,将会打开含有恶意宏脚本的嵌入式 Word 文档以下载并运行勒索软件 Jaff 。 调查显示,勒索软件 Jaff 在不依赖 C&C 服务器的情况下已针对 423 个文件扩展名进行离线加密处理,加密后的文件显示“ . jaff ” 后缀。受影响的计算机桌面将会被攻击者恶意替换且收到关于勒索赎金的具体信件。 研究人员表示,该勒索信中警告受害者文件已被加密,但并未要求用户付款;相反,攻击者敦促受害者通过 Tor 浏览器访问网站支付门户,以便解密重要文件。一旦受害者下载安装 Tor 浏览器并访问该网站,则当即要求支付 1.79 比特币(约 3150 美元)。 研究人员提醒用户,在 Microsoft Office 应用程序中禁用宏且保持良好的备份例程,使其重要文件复制到外部存储设备之中。此外,用户在确保系统运行防毒安全软件的同时,始终使用安全Internet浏览器访问网页。 原作者:Mohit Kumar,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

勒索病毒迄今已攻击至少 150 个国家,受害者达 20 万

网易科技 5 月 14 日消息,据 BBC 报道网络攻击事件已造成 150 多个国家的 20 多万人受影响,欧洲刑警组织负责人警告网络攻击威胁升级。欧洲刑警组织负责人罗布·温赖特(Rob Wainwright)接受英国 ITV 采访,称世界面临日益严峻的威胁,人们对有可能在周一发生的攻击忧心忡忡。 勒索病毒加密电脑文件,要求用户支付 300 美元的比特币之后才予以解锁。英国和俄罗斯位于受害程度最严重的国家之列。安全专家警告称,新一波攻击正在临近,并且可能势不可挡。温赖特担心周一上午人们回到办公室时,受影响人数会再度上升。“我们正面临不断升级的威胁,数量正在攀升。”温赖特说,并称当前的攻击前所未有。 “我们每年处理大约 200 个全球性网络犯罪,还从未见过这样的事情。” “最新的数据显示受害者数量达到 20 多万,至少 150 个国家受到影响。其中许多受害者会是包括大公司在内的企业。全球波及范围前所未有。” 勒索病毒与蠕虫病毒结合发动攻击,只需一台计算机被感染,病毒就能攻陷组织内的所有电脑。不过,温赖特称截止到目前,只有极少数受害者按照勒索条件交了钱,数据显示黑客留下的账户已收到约 2.85 万美元的汇款。温赖特称欧洲刑警组织正在与美国联邦调查局合作,试图找出此番攻击的幕后黑手,并称涉案人员可能不只一人。 稿源:网易科技 节选,封面源自网络

俄 ATP28 黑客组织针对罗马尼亚外交部展开网络钓鱼攻击

据国外安全媒体 Cyberscoop 报道,俄罗斯 ATP28 黑客组织伪造北约( NATO )电子邮件,针对包括罗马尼亚外交部在内的欧洲外交组织成员发动网络钓鱼攻击。 俄罗斯 ATP28 黑客组织(又名 Pawn Storm、Sednit、Sofacy、Fancy Bear 或 Tsar Team)曾涉嫌参与多起欧洲国家网络攻击事件,其中包括攻击欧洲防务展览会,干预法国、德国重大选举等。 据悉,罗马尼亚外交部成员收到的电子邮件包含一个名为“Trump’s_Attack_on_Syria_English.docx”的 Word 文档,利用近期披露的 2 个Microsoft Office 0day 漏洞 (CVE-2017-0262) 秘密下载恶意软件 “GameFish”,从而使黑客能够访问敏感数据并在受感染设备中远程部署其他计算机病毒。 研究人员表示,若系统再次检测到虚假 NATO 电子邮件,北约组织将向联盟国安全机构提供警报,以防止此类攻击再度蔓延。目前,罗马尼亚情报机构已发表声明证实此次钓鱼攻击事件,并指出由于各机构的有效配合,攻击已被成功阻止。 原作者:Gabriela Vatu,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

安全研究人员发现惠普音频驱动中存在键盘记录器

来自瑞士安全公司 Modzero 研究人员在检查 Windows Active Domain 的基础设施时发现惠普音频驱动中存在一个内置键盘记录器,允许黑客监控用户的所有按键输入。研究人员指出,惠普的音频驱动文件中隐藏缺陷代码 ( CVE-2017-8360 ) 的漏洞,它不但会抓取特殊键,而且还会记录每次按键并将其存储在人类可读取的文件中。 按键记录器会通过监控用户所按下的键来记录所有的按键。恶意软件和木马通常会使用这种功能来窃取用户账户信息、信用卡号、密码等私人信息。惠普计算机带有集成电路厂商 Conexant 开发的音频芯片,该厂商还会为音频芯片开发驱动即 Conexant 高清音频驱动,有助于软件跟硬件通信。根据计算机机型的不同,惠普还将一些代码嵌入由 Conexant 开发的音频驱动中,从而控制特殊键如键盘上的 Media 键。 这个记录文件位于公用文件夹 C:\Users\Public\MicTray.log 中,包含很多敏感信息如用户登录数据和密码,其它用户或第三方应用程序都可访问。因此安装到计算机上的恶意软件甚至是能物理接近计算机的人都能够复制日志文件并访问所有的用户按键、提取敏感数据如银行详情、密码、聊天日志和源代码。 据悉,受影响的机型包括 HP Elitebook 800 系列、EliteBook Folio G1、HP ProBook 600 和 400 系列等等。此外,研究人员还告警称 “ 其它使用了 Conexant 硬件和驱动器的硬件厂商 ” 也可能受到该漏洞影响。 稿源: cnBeta,封面源自网络

勒索病毒为何偏爱医院:怕耽误病情更新补丁太慢

据彭博社报道,迅速向全球扩散的勒索病毒网络攻击受害者于本周末还将继续增加,因为黑客可以轻松进入那些几个月没有更新 Windows 操作系统的电脑之中。但是绝大多数受害者的损失不会像医院那样惨重。 据悉,英国国民健康服务局( National Health Service,以下简称 NHS)下属的 16 家机构受到影响,包括位于伦敦、英格兰西北部、英格兰中部的医院都呼吁称,处于非紧急状态下的病人最好待在家里,并全力阻止恶意软件扩散。 众所周知,医疗机构在更新安全补丁方面非常缓慢,部分原因是更新时导致关键系统离线会引发混乱。正因为如此,它们也成为勒索病毒袭击的主要受害者。许多安全人士甚至执法人员认为,在这种情况下,应该支付赎金以便以最快速度找回数据。此外,本次袭击的其他受害者还包括中小型企业。 尽管任何规模的公司都可存在软件漏洞,但拥有强大安全部门的大型公司或机构,通常会安装微软 3 月份发布的更新补丁,不会受到本次袭击太大影响。 稿源: cnBeta、网易科技 节选,封面源自网络

全国多所高校遭勒索软件攻击,校园网络大面积受感染

HackerNews.cc 获悉,国内多所高校昨日晚间遭遇勒索软件 (Wana Decrypt0r 2.0) 攻击,实验室设备与学生个人电脑均被加密锁定,需支付 300 美元或 0.2 枚比特币方可解锁。 消息显示,勒索软件或是借助此前 NSA 泄露的 Windows SMB 等漏洞迅速感染校园网络,由于学校与学生个人电脑补丁不够及时,此次攻击事件影响较为广泛。 另据 cnBeta 报道,英国的国家卫生服务部门(NHS)近日亦遭受大规模黑客攻击,英国全国各地医院及卫生部门电脑被加密勒索。 目前恶意软件还在持续扩散,HackerNews.cc 提醒各大高校与学生保持警惕,及时备份重要文件、更新系统修复漏洞。我们将为您持续报道事件最新进展。

Microsoft Edge 浏览器漏洞:允许黑客绕过 SOP 窃取用户私人信息

据外媒 11 日报道,布宜诺斯艾利斯安全测试人员 Manuel Caballero 发现 Microsoft Edge 浏览器存在新型同源策略( SOP )漏洞,允许黑客绕过 SOP 窃取浏览器存储的用户账号登录凭证。 同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。(百度百科) 研究发现,攻击者除了冒充请求发送方进行 referrer 欺骗以外,还可利用 data-uri 属性与多数网站采用 iframe 的现状实现一次完整的 SOP 绕过。此外,由于 Edge 密码管理器具有自动填充功能 ,可以呈现一个通用代码片段,一旦用户使用默认密码管理器,黑客将能够快速窃取用户信息。 简而言之,只要密码输入框是从正确的源加载,Edge 浏览器将自动填充那些没有 id 或 name 的密码输入框。如此黑客便能够通过向目标网站注入相应代码提取密码信息。 安全专家提醒用户,SOP 漏洞目前尚未修复。即使用户更新 Microsoft Edge 浏览器并重置密码也难以有效防御黑客发起新型攻击活动。 原作者:Richard Chirgwin, 译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

荷兰警方乘胜追击,PGP 加密手机非法贩卖商相继落网

据外媒 11 日报道,荷兰警方继 2016 年 Ennetcom 落网后于本月 9 日再度查处一家 PGP 加密手机非法贩卖公司,并逮捕 4 名犯罪嫌疑人员。其犯罪嫌疑人除涉嫌洗钱外,还参与 “ PGPsafe ” 品牌加密手机的非法贩卖活动。 PGP( Pretty Good Privacy,译为:完美隐私)是一项开源端到端加密标准,可用于保护加密签名的电子邮件、文档、文件或整个磁盘分区不被黑客监控。 据悉,荷兰反欺诈机构 FIOD 及检察署对荷兰北部多个地区进行突击式搜查,其搜查结果缉获一栋价值 60 万欧元的房屋、一套价值 160 万欧元的豪宅、约 200 万欧元现金、13 辆汽车与数百部 PGPsafe 加密手机。 PGPsafe 现拥有超过 4 万名注册客户,而经 PGP 加密的黑莓手机售价在 1200 欧元至 1500 欧元之间,其交易形式大多是在高速公路上进行现金支付。荷兰警方表示,以安全为导向出售定制加密手机本身并不涉及任何犯罪行为,但目前他们已经掌握相关证据,证明该公司多年来将 PGP 加密手机非法出售给参与暗杀、贩毒、洗钱、武装抢劫与企图谋杀的犯罪组织。 目前,警方正对此类非法贩卖商保持密切关注。荷兰警方表示,希望通过解密存储在 PGP 加密手机贩卖商服务器上的 PGP 加密邮件破获荷兰自 2014 年起发生的近 34 宗刑事调查案件。 原作者:Swati Khandelwal, 译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

网络安全威胁加剧 行为生物识别技术或成终极守护

5月12日消息,据BBC报道,随着欺诈者越来越容易窃取或猜中我们的用户名和密码,我们正输掉这场捍卫网络安全的战争。那么通过怪异的方式分析我们如何使用各种设备,甚至我们走路的方式,能够为我们提供额外的防护能力吗? 最近当你走在繁忙的街道上时,经常能够遇到所谓的“智能手机僵尸”,这些人沉迷于手机中而无视周围的世界。但他们不知道的是,无论是他们走路的方式,还是握持这些催眠设备以及与它们交互的方式,都可向服务提供商表明自己的身份。这是个令人惊异的行为生物识别的新世界,它正处于网络安全大战的最前沿。 行为生物识别公司Callsign首席执行官兹亚·哈亚特(Zia Hayat)说:“通过手机中的加速度计和陀螺仪,我们可以衡量你的手腕力量。通过测量你的步伐,我们可以将你从人群中识别出来,准确率高达1/20000,与指纹识别的精确度大致相当。” 所以,即使欺诈者已经窃取了你的网银登录信息或下载恶意软件到你的手机上,这类行为软件应该也能够发现异常,确定并非你本人想要尝试将这些钱转移到国外银行中。科技公司认为,这些生物行为特质就像我们的声音那样独特,就像莫尔斯密码操作员可通过独特方式发送和接受信息那样。 行为生物识别公司BioCatch的首席执行官艾亚尔·戈德维格(Eyal Goldwerger)称:“认证机制很不错,但是当欺诈者已经侵入你的系统中时,它就没用了!大多数银行欺诈都是在用户进行认证之后发生的。人类与设备的交互方式显然与恶意软件的运作方式截然不同。为此,即使你的手机被感染,躺在那里静等你登陆然后进行劫持,行为生物识别方案依然能够发现其中的差异。” 图:行为生物识别公司Callsign首席执行官哈亚特表示,行为生物识别属于“情报驱动的认证” 哈亚特说:“如果你没有操作手机,而它却自己在运行,你可能认为是恶意软件在操控它。我们可以利用最新智能手机上的气压计测量气压,同时它也可以显示手机的位置,以及是否与用户所说的位置相吻合。” 甚至于你手指的大小(机手指覆盖住屏幕的面积)也可以帮助设置相当精确的签名信号。这很容易理解,许多银行都对这种新的安全方式产生兴趣,Callsign的客户包括来爱的银行集团和德意志银行等。此外,Behaviosec、NuData Security以及Zighra等行为生物识别公司,也都在与从事身份管理的网络安全公司合作。举例来说,Callsign的技术正与ForgeRock的身份管理平台进行整合。 ForgeRock首席执行官迈克·艾利斯(Mike Ellis)表示:“我们正迈向密码更少的世界,为此我们需要更多层次的身份验证,而行为生物验证机制就是其中之一,识别设备、其地理位置以及典型行为则是另一层。” 越来越多的银行正推出语音认证机制,将其作为更安全、更少侵入性的方式,以为客户建立自己的身份。语音生物识别机制公司Nuance的产品战略总监布雷特·博兰尼克(Brett Beranek)说:“在神经网络和机器学习的帮助下,身份验证的准确性已经从98%提高至99%。” 但即便如此,博兰尼克也承认,还需要更多层次的验证后行为安全机制,以帮助用户应对手机遭到恶意软件感染。戈德维格称,除了物理行为,比如我们打字的速度以及操作手机的方式,心理行为也可能泄露身份。比如在浏览网页时,我们会无意识地做出选择。他说:“你决定向下滚动页面的方式(包括使用鼠标滚轮或点击页面侧边栏拖动),可以表明是你在浏览网站,而不是其他人。” BioCatch表示,当用户与他们的数字设备进行交互时,他们可以对500多个参数进行测量。利用机器学习技术,该公司称可在短短10分钟的交互中,帮助建立用户独特的行为生物特征。 但是戈德维格说,行为生物识别机制并非为了取代现有的身份认证方法,比如语音、指纹以及自拍等,而是对它们进行补充。这种安全机制的优势在于,我们所做的一切都是无缝的,不存在任何摩擦。这一切都发生在后台,而且用户毫不知情。这种软件能在98%的时间里发现可疑活动。 但是隐私呢?如果这些公司通过检测我们的在线行为就可识别出我们的身份,匿名就成了空话?寻找恐怖分子加密通信方式的方法最后会变成识别我们所有人身份的方法吗?我们真的喜欢这样的技术吗?戈德维格坚持称,BioCatch等技术不会看到任何用户的个人身份信息,客户(通常是银行)也不会看到BioCatch产生的任何匿名行为模式。他说:“所有银行看到的是该用户会话的风险评分,而我们看到的是与这个人有关的ID号码。” Callsign的哈亚特表示,他的公司也在做同样的事情,原则上需要遵守现有资料保护 法例。但是如果欺诈者窃取某人的身份,并重新建立了新的账号会如何?如果没有用户以前的行为进行对比,行为生物识别技术能确保其肯定有效吗? BioCatch认为,即使在这些情况下,行为分析也能提供帮助。戈德维格说:“欺诈者可能不熟悉这些数据,因为这些根本不是他们产生的。我们可以发现这其中的差异。我们可以注意到他们填写不同的申请表格,因为他们通常不会那样做。” (小小) 稿源: cnBeta、网易科技,封面源自网络