安全快讯Top News

iPhone 曝出新的攻击面,即使关闭也可运行恶意软件

据The Hacker News消息,安全研究人员在对iOS Find My功能进行安全分析时,首次发现了一种全新的攻击面,攻击者可篡改固件并将恶意软件加载到蓝牙芯片上,使该芯片在 iPhone “关闭”时执行。 这是一种全新的恶意软件潜在的运行方式,其原理是利用了iOS在“电源储备”低功耗模式 (LPM) 时关机,但蓝牙、近场通信(NFC)和超宽带(UWB)相关的无线芯片依旧继续运行的机制。 达姆施塔特工业大学的Secure Mobile Networking实验室 (SEEMOO) 的研究人员在一篇文章中写到,苹果这样做是为了启用Find My等功能并促进Express Card交易,但也让三种无线芯片都可以直接访问所有安全元件。 研究人员表示,蓝牙和UWB芯片被数据线连接到NFC芯片中的安全元素(SE)上,存储那些应该可以在LPM中使用的机密数据。 “由于LPM支持是在硬件中实现的,因此无法通过更改软件组件来删除它。现有的iPhone关机后无法关闭无线芯片,这构成了一种新的威胁模型。” 具体的调查结果将会在本周举办的ACM无线和移动网络安全隐私会议 (WiSec 2022) 上公布。 LPM 功能是苹果在2021年iOS 15中新推出的,即使电池电量耗尽或已关闭,也可以使用“查找我的网络”跟踪丢失的设备。当前支持超宽带的设备包括iPhone 11、iPhone 12和iPhone 13。 关闭iPhone 时显示的消息如下:“iPhone 关机后仍可找到。Find My可帮助您在iPhone丢失或被盗时找到它,即使它处于省电模式或关机时也是如此。” 研究人员将当前的 LPM 实现称为“不透明”,同时他们发现,在断电期间初始化Find My广告时有机会观察到失败,这与上述消息实际上相矛盾,他们还发现蓝牙固件既没有签名,也没有加密。 通过利用这个漏洞,具有特权访问权限的攻击者可以创建在iPhone蓝牙芯片上执行的恶意软件,那么即使它关机了也可以执行。但是,要发生这种固件泄露,攻击者必须要通过操作系统、固件通信以及修改固件映像。 换句话说,这个想法是改变LPM应用程序线程以嵌入恶意软件,例如那些可以提醒恶意行为者受害者的Find My Bluetooth 广播,使攻击者能够远程监视目标。 SEEMOO 研究人员指出:“除了更改现有功能外,他们还可以添加全新的功能。”此前他们已经向苹果披露了所有问题,但这家科技巨头“没有反馈”。 由于 LPM 相关功能采用更隐蔽的方法来执行其预期的案例,SEEMOO 呼吁 Apple增加一个基于硬件的开关来断开电池,以减轻固件级攻击可能引起的任何监视问题。 SEEMOO研究人员进一步表示,由于LPM的功能是基于iPhone的硬件,所以无法通过系统更新将其删除,它对整个 iOS 安全模型产生持久的影响。   转自 Freebuf,原文链接:https://www.freebuf.com/news/333382.html 封面来源于网络,如有侵权请联系删除

因在暗网出售被盗凭据,乌克兰黑客被判四年监禁

Security Affairs 网站披露,因盗取大量服务器登录凭据,并在暗网出售, 28 岁的乌克兰人 Glib Oleksandr Ivanov-Tolpintsev 被判处 4 年监禁。 该男子于 2020 年 10 月在波兰被捕,被指控犯有共谋罪,贩卖未经授权的访问设备,以及贩卖计算机密码,次年 2 月初表示认罪,于 2021 年 9 月被引渡到美国。 据悉, Ivanov-Tolpintsev 控制了一个僵尸网络,通过暴力攻击破解计算机登录凭证,每周至少能够收集到 2000 台服务器的登录凭证。 2017 年至 2019 年期间,该男子在一个不知名的暗网市场上频繁出售被盗登录凭据,截止到落网,一共销售了超过 70 万台被破坏的服务器,共获得了 82648 美元的回报。 何为暗网市场? 根据法律文件的解释,暗网市场指从事非法网络信息交易的暗网网站,非法出售位于世界各地的服务器的登录凭证(用户名和密码)和其他非法数据信息。 一旦成功购买非法登陆凭证,网络犯罪分子就会利用这些服务器从事包括勒索软件攻击和税务欺诈在内的一系列非法活动。 美国司法部发布的新闻稿中表示:对于乌克兰公民的网络犯罪事件,经过调查分析发现,暗网市场上总共有 70 多万台被破坏的服务器出售,其中至少有 15 万台在美国,至少有 8000 台在佛罗里达。 此次事件的受害者涉及领域广泛,政府机构、医院、紧急服务、呼叫中心、大都会交通当局、律师事务所、养老基金和大学等都受到一定程度的影响。   转自 Freebuf,原文链接:https://www.freebuf.com/news/333377.html 封面来源于网络,如有侵权请联系删除

热门 NFT 项目被冒充,小心中招!

据悉,一个假冒的Pixelmon NFT网站正用免费代币和收藏品吸引粉丝,并用窃取加密货币钱包的恶意软件对其进行感染。 Pixelmon是一个热门的NFT项目,它的目标包括创建一个元宇宙游戏,用户可以在其中使用Pixelmon宠物进行收集、训练以及与其他玩家战斗。该项目在Twitter上有近20万名粉丝和超过2.5万名Discord成员,引起了广泛的关注。 冒充Pixelmon项目 为了利用这种兴趣,威胁参与者复制了合法的pixelmon.club网站,并在pixelmon[.]pw上创建了一个虚假版本来分发恶意软件。 该恶意站点几乎是合法站点的复制品,它提供在设备上安装密码窃取恶意软件的可执行文件,而不是该项目的游戏演示。 假的Pixelmon网站 该网站提供了一个名为Installer.zip的文件,其中包含一个看似已损坏且不会以任何恶意软件感染用户的可执行文件。 然而,首先发现这个恶意站点的MalwareHunterTeam还发现了该站点分发的其他恶意文件。 此恶意站点分发的文件之一是setup.zip,其中包含setup.lnk文件。Setup.lnk是一个Windows快捷方式,它将执行PowerShell命令以从pixelmon[.]pw下载system32.hta文件。 Setup.lnk内容 在测试这些恶意有效载荷时,System32.hta文件下载了Vidar,这是一种密码窃取恶意软件,不像过去那样常用。安全研究员Fumik0_证实了这一点 ,他之前曾分析过这个恶意软件家族。 在执行时,威胁参与者的Vidar样本将连接到Telegram频道并检索恶意软件命令和控制服务器的IP地址。 包含C2 IP地址的Telegram频道 恶意软件从C2中检索配置命令,并下载更多模块,用于从受感染设备中窃取数据。 Vidar恶意软件可以从浏览器和应用程序中窃取密码,并在计算机中搜索与特定名称匹配的文件,然后将这些文件上传给威胁参与者。 从下面的恶意软件配置中可以看出,C2指示恶意软件搜索和窃取各种文件,包括文本文件、加密货币钱包、备份、代码、密码文件和身份验证文件。 从C2服务器检索的配置命令 这是一个NFT网站,预计访问者将在其计算机上安装加密货币钱包,因此,威胁参与者强调搜索和窃取与加密货币相关的文件。 虽然该站点目前没有分发有效的有效载荷,但已有证据表明威胁参与者在过去几天继续修改该站点,因为两天前可用的有效载荷已经不复存在。凭借该网站上的活动可以预计,此活动将继续活跃,并且威胁会很快增加。 随着NFT项目被旨在窃取加密货币的骗局所淹没,用户应该再三检查正在访问的URL是否与感兴趣的项目相关。此外,在未使用防病毒软件或使用VirusTotal进行扫描之前,切勿执行来自未知网站的任何可执行文件。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/nIqXvfsJWLGOzySxSdsDGA 封面来源于网络,如有侵权请联系删除

意大利多个重要政府网站遭新型 DDoS 攻击瘫痪,该国 CERT 发布警告

意大利参议院、上议院、国防部等多个重要政府网站遭到网络攻击,网站无法访问至少1个小时; 意大利CERT发布预警称,此次攻击使用了“慢速HTTP”的新型DDoS手法,传统防御措施较难抵御,需要针对性处置; 亲俄黑客团伙Killnet声称对本次攻击负责。 意大利计算机安全事件响应小组(CSIRT,类似于国家CERT)警告称,近期已出现多起针对意大利重要政府网站的DDoS攻击。 DDoS(分布式拒绝服务)是一种常见的网络攻击,旨在耗尽服务器上的可用资源,致使其无法响应正常用户请求,所托管的网站也无法正常访问。 意大利多个重要政府网站瘫痪 意大利安莎通讯社报道称,当地时间5月11日,意大利参议院、上议院、国防部等多个重要政府网站遭到网络攻击,网站无法访问至少1个小时,受影响的还有国际空间站、国家卫生研究所、意大利汽车俱乐部等机构的网站。 亲俄黑客团伙Killnet声称对本次攻击负责。此前,他们还曾先后对罗马尼亚门户网站、美国布拉德利国际机场发动过类似攻击。 作为对意大利DDoS攻击新闻报道的回应,Killnet团伙在Telegram频道上发布消息称,未来可能将出现进一步攻击。 一名Killnet代表成员在Telegram上宣称,“我们的‘军团’正在你国开展军事网络演习,旨在训练提升攻击技能。这与你国的行为类似——意大利人和西班牙人也在乌克兰境内学习作战。我们的‘军团’正在消灭你们的服务器!” “请注意,当前阶段还只是训练。别再大呼小叫,发布什么参议院遭到攻击的消息了。我可以保证,我们的网络部队很快就会在意大利领土之内完成训练,并继续发动进攻。这一切会来得很猛,来得很快。” 当前防御措施难以抵御慢速HTTP手法 CSIRT在公告中解释称,恶意黑客针对该国政府、各部委、议会乃至军队网站的攻击活动,使用到了所谓的“慢速HTTP”技术。 该技术每次向Web服务器发送一条HTTP请求,但会为请求设置极慢的传输速率或故意发送不完整请求,导致服务器等待下一条请求。 服务器首先检测传入的通信,再分配专用于等待剩余数据的资源。当这类请求过多时,服务器就会不堪重负,无法再接收任何其他连接,最终导致站点无法访问。 CSIRT表示,“这种攻击手法在使用POST请求时更加有效,因为这些请求会同时向Web服务器发送大量数据。” CSIRT称“慢速HTTP”是一种比较少见的DDoS攻击类型,并警告如果系统管理员不做出针对性处置,那么现有防御措施恐怕将无能为力。 “对于自5月11日起发现的这几次针对国内及国际目标的DDoS攻击,我们发现其不同于常规的1类容量耗尽攻击。由于实际占用的带宽较为有限,因此无法利用市面上常用的保护系统加以抵御。” ——CSIRT CSIRT已经在公告中分享了缓解此类攻击的可能方法。 转自 安全内参,原文链接:https://www.secrss.com/articles/42446 封面来源于网络,如有侵权请联系删除

黑客正在利用 Zyxel 防火墙和 VPN 中的关键漏洞

黑客已开始利用最近修补的关键漏洞,漏洞编号为CVE-2022-30525,该漏洞会影响企业的 Zyxel防火墙和VPN设备。如成功利用则允许远程攻击者在没有身份验证的情况下远程注入任意命令,从而可以设置反向shell。该漏洞是由Rapid7的首席安全研究员Jacob Baines发现的,他在一份简短的技术报告中解释了如何在攻击中利用该漏洞。Jacob Baines说,“命令以nobody用户身份执行。此漏洞通过利用/ztp/cgi-bin/handler UR,这会导致未经验证的攻击者在lib_wan_settings.py中输入os.system。”研究人员指出,攻击者可以使用普通的bash GTFOBin建立反向shell 。 Zyxel于5月12日发布了针对CVE-2022-30525(严重严重性评分为 9.8)的安全公告,宣布 已针对受影响的型号发布了修复程序,并敦促管理员安装最新更新。 安全问题的严重性及其可能导致的损害足以让NSA网络安全主管Rob Joyce警告用户注意漏洞,并鼓励他们在设备固件版本易受攻击时更新设备固件版本。 从13日开始,非营利组织Shadowserver Foundation的安全专家称看到了针对 CVE-2022-30525的利用尝试。目前还不清楚这些尝试是否是恶意的,还是仅仅是研究人员在绘制目前受到攻击的Zyxel设备的地图。 Rapid7在互联网上扫描了易受攻击的 Zyxel产品,并使用Shodan搜索平台找到了15,000多个连接到互联网的硬件。Shadowserver运行了自己的扫描,并在开放网络上发现了至少 20,800 个可能受该漏洞影响的Zyxel防火墙模型。该组织通过唯一 IP 地址对硬件进行计数,发现其中超过15,000个是USG20-VPN和USG20W-VPN型号,而这些硬件专为“跨分支机构和连锁店的VPN连接”而设计。设备最易受攻击的地区是欧盟,法国和意大利的数量最多。 鉴于漏洞的严重性和设备的流行,安全研究人员已经发布了代码,可以帮助管理员检测安全漏洞和利用尝试。作为西班牙电信公司Telefónica的redteam的一部分,z3r00t 创建并发布了用于检测 CVE-2022-30525 的 Nuclei 漏洞扫描解决方案的模板。模板可从作者的 GitHub 获取。另一位研究员 BlueNinja也创建了一个脚本来检测Zyxel防火墙和VPN产品中未经身份验证的远程命令注入,并将其发布在 GitHub上。 转自 FreeBuf,原文链接:https://www.freebuf.com/articles/333235.html 封面来源于网络,如有侵权请联系删除

链家 IT 管理员删除数据库,被判 7 年有期徒刑

Bleeping Computer 资讯网站披露,房地产经纪巨头链家的前数据库管理员韩冰,因登录公司系统并删除公司数据,被判处 7 年有期徒刑。 2018 年 6 月,韩冰利用其管理权限和 “root “账户进入公司财务系统,删除了两台数据库服务器和两台应用服务器上的所有存储数据。此举导致链家大部分业务立即瘫痪,直接影响公司人员的工资发放等,给整个公司运行造成恶劣影响。事件不久后,链家花费 18 万元人民币恢复数据及重新构建该系统。 值得一提是,业务中断所造成的间接损失要大得多。据悉,链家经营着数千个办事处,雇用了超过 12 万名经纪人,拥有 51 个子公司,其市场价值估计为 60 亿美元。 事件调查 根据北京市海淀区人民检察院法院公布的文件显示,事件发生不久后,调查人员将韩冰列为数据删除事件五个主要嫌疑人之一。 案件调查期间,韩冰拒绝向调查人员提供其笔记本电脑密码,并声称电脑里存有私人数据,密码只能提供给公共机构,或者只接受自己输入密码,这一举动引起了人们的怀疑。 最终,技术人员从服务器上调取了访问日志,并将活动追踪到特定的内部 IP 和 MAC 地址。检查人员甚至检索了 WiFi 连接日志和时间戳,并最终通过与监控视频证实韩冰有作案嫌疑。 经技术专家最终鉴定后发现,韩冰使用了 “shred “和 “rm “命令来擦除数据库,rm 命令删除了文件的符号链接,shred 则用多种模式将数据覆盖了三次,导致数据不可恢复。 员工心怀不满? 令人惊讶的是,韩冰曾多次向公司主管反映财务系统存在安全漏洞,甚至向其他管理员发送了警示电子邮件,提出安全漏洞的担忧。然而,这些行为没有引起重视,所在部门的领导也从未批准他提出的安全项目。 值得一提的是,链家一高管告诉法庭,韩冰觉得自己的建议不受重视,经常与上司争论。 类似案件 2020 年 2 月, SaaS 服务商微盟遭遇员工“删库跑路”,服务器出现大面积故障。公司一调查发现,犯罪嫌疑人是微盟研发中心运维部的核心运维人员贺某,于 2 月 23 日晚 18 点 56 分通过个人 VPN 登入公司内网跳板机,因个人精神、生活等原因对微盟线上生产环境进行了恶意破坏。 2021 年 3 月,王某入职上海某知名互联网公司从事计算机系统研发工作,负责公司网购平台部分规则代码研发。3 个月后王某因试用期未合格被公司劝退,并于离职当天,未经公司许可将其在职期间所写平台优惠券、预算系统以及补贴规则等代码删除,导致原定按期上线项目延后。 2021 年 9 月,一名总部位于纽约的前信用社员工,为报复其上司对她的解雇,在 40 分钟内,删除了超过 21.3GB 文件。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/333221.html 封面来源于网络,如有侵权请联系删除

亲俄黑客攻击意大利政府网站

近日,一个名为“Killnet”的亲俄黑客团伙对多个意大利机构网站发动了攻击,其中包括参议院、国家卫生研究院,国家汽车协会,即国家驾驶员协会。国防部的网站也无法访问,但官员们却表示,无法访问是“由于该网站正在进行一项计划已久的维护活动”。此后,意大利当局证实,这些攻击并未造成数据泄露或其他损害。 “Killnet”团伙自俄乌战争以来就宣布支持俄罗斯,并对包括罗马尼亚政府机构和美国布拉德利机场在内的西方国家发动过袭击。值得一提的是,在本次攻击浪潮席卷意大利的时候,总理马里奥·德拉吉(Mario Draghi)正在华盛顿进行国事访问。 意大利警方已对袭击事件开展调查,而国家计算机安全事件响应小组(CSIRT)证实了这些网站遭到DDoS攻击。CSIRT警告称,黑客发起的是慢速POST DDoS攻击,这种攻击非比寻常,因此很难被发现。 Killnet在其Telegram频道上发布了一条消息,提示了进一步攻击的可能: “亲爱的意大利和西班牙媒体。 Killnet实际上并没有像攻击罗马尼亚那样攻击你们的国家。如果这种情况发生,那么1945年 4月29日,也就是你们投降的那一天,将会很快重演。我们的军队在你们国家进行军事网络演习,以提高他们的技能。一切都与你们的行为如此相似——意大利人和西班牙人正在学习如何在乌克兰杀人,而我们的军地正在学习如何杀死你们的服务器!你应该明白这只是训练,所以请不要大喊救命。我们已经对有关袭击参议院的新闻感到厌倦,我向你保证,我们的网络军队将很快在你们的领土上完成训练,我们将继续进攻。这会非常突然且迅速地发生。” 被攻击的网站名单被分享在亲俄黑客组织“The Legion”的Telegram频道上,该组织主要攻击西方组织和政府,包括北约国家和乌克兰。此外,“The Legion”还对今年在意大利都灵举行的欧洲歌唱大赛发动过攻击。 目前,还不清楚“The Legion”和“Killnet”两个团伙之前的确切关系。 其实,自俄罗斯入侵乌克兰开始以来,考虑到两国之间的网络争端可能会蔓延,意大利网络安全机构ACN已将警戒级别提高。 除了上述的机构网站之外,意大利的基础设施也在最近频繁遭受重大网络攻击,包括医院和意大利国有铁路公司(Ferrovie dello Stato Italiane)。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/333230.html 封面来源于网络,如有侵权请联系删除

继美国之后,欧盟推出关键领域网络安全新立法

近日,欧盟已就新的立法达成政治协议,将对关键行业组织实施共同的网络安全标准。 新指令将取代欧盟关于网络和信息系统安全的现有规定(NIS指令)。“因为社会的数字化和互联程度不断提高,全球网络恶意活动的数量不断增加”,原来的指令需要更新。 NIS2指令将涵盖在关键领域运营的大中型组织, 其中包括公共电子通信服务、数字服务、废水和废物管理、关键产品制造、邮政和快递服务、医疗保健和公共管理的供应商。 新立法要求有关部门在24小时内报告网络安全事件、修补软件漏洞和准备风险管理措施。 它还旨在制定更严格的执法要求,并协调成员国之间的制裁制度。如果不遵守规定,基础服务运营商将面临高达年营业额2%的罚款,而对于重要服务提供商,最高罚款将为1.4%。 这些措施最初是由欧盟委员会于2020年12月提出的,该政治协议需要得到欧盟成员国和欧洲议会的正式批准,一旦通过,成员国将需要在21个月内将新要求转化为国家法律。 欧洲数字时代组织(a Europe Fit for the Digital Age)执行副总裁玛格丽特·维斯塔格(Margrethe Vestager)在评论该公告时说:“我们一直在为社会的数字化转型而努力。在过去的几个月里,我们已经建立了一些基石,如《数字市场法》和《数字服务法》。今天,成员国和欧洲议会还就NIS 2达成了协议,这是欧洲数字战略的又一重要突破,这次是为了确保公民和企业受到保护并信任基本服务。” 欧盟委员会副主席希纳斯马加里蒂斯·希纳斯(Margaritis Schinas)表示:“网络安全对于保护经济和社会免受网络威胁始终至关重要,随着我们在数字化转型中不断前进,这一点变得越来越重要。当前的地缘政治环境使得欧盟确保其法律框架符合目的变得更加紧迫。我们正在履行提高欧盟网络安全标准的承诺。欧盟也已表明其决心,以提高防范和恢复针对经济、民主与和平的网络威胁的能力。” 该公告是在政府机构就网络安全采取一系列重大举措之后发布的,其中包括美国总统拜登的行政命令种对联邦机构的零信任要求、美国对关键基础设施组织施加报告义务的新立法以及英国的产品安全和电信基础设施(PSTI)法案,该法案将对互联网连接设备的制造商、进口商和分销商提出新的网络安全标准。 去年,欧盟制定了建立联合网络部门的计划,以提高应对成员国不断增加的网络攻击的能力。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/OlhWd2GJ8IsoguXTsc2Xdg 封面来源于网络,如有侵权请联系删除

Sysrv 僵尸网络新变种正攻击 Windows 及 Linux 服务器

微软安全情报团队5月13日在推特上表示,Sysrv 僵尸网络的新变种——Sysrv-K,正在利用 Spring Framework 和 WordPress 中的漏洞,在易受攻击的 Windows 和 Linux 服务器上和部署加密恶意软件。 作为新变种,Sysrv-K,具有更加强大的功能,能够扫描互联网以查找具有各种漏洞的 Web 服务器并自动进行安装,比如,它会扫描 WordPress 配置文件及其备份以检索数据库凭证,从而获得对 Web 服务器的控制权。与旧版本一样,Sysrv-K 扫描 SSH 密钥、IP 地址和主机名,然后尝试通过 SSH 连接到网络中的其他系统以部署自身的副本,这可能会导致网络的其他部分面临成为 Sysrv-K 僵尸网络一部分的风险。 此外,微软专家还观察到Sysrv-K支持新的通信功能,包括能够使用 Telegram 机器人。 目前这些能够被利用的漏洞已通过安全更新进行了修复,包括 WordPress 插件中的旧漏洞,以及 CVE-2022-22947 等较新的漏洞。CVE-2022-22947 是 Spring Cloud Gateway 库中的一个代码注入漏洞,可被滥用在未打补丁的主机上执行远程代码。 Sysrv僵尸网络从2020年12月起开始活跃,并被阿里云首次发现。随后Sysrv活动的激增也引起起了 Lacework Labs 和Juniper Threat Labs网络威胁实验室安全研究人员的注意。为了侵入这些 Web 服务器,Sysrv利用了 Web 应用程序和数据库中的缺陷,例如 PHPUnit、Apache Solar、Confluence、Laravel、JBoss、Jira、Sonatype、Oracle WebLogic 和 Apache Struts。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/333201.html 封面来源于网络,如有侵权请联系删除

加拿大空军关键供应商遭勒索攻击,疑泄露 44GB 内部数据

加拿大、德国军方的独家战机培训供应商Top Aces透露,已遭到LockBit勒索软件攻击; LockBit团伙的官方网站已经放出要求,如不支付赎金将公布窃取的44GB内部数据; 安全专家称,针对国防相关企业的攻击令人担忧,因为“无从得知被盗数据最终会落入哪里”,很可能流入对手国家; LockBit是目前最流行的勒索软件即服务平台之一,据统计今年已攻击了至少650个目标组织。 专门为空军提供战斗机培训服务的的加拿大公司Top Aces(顶级王牌)表示,已经遭到勒索软件攻击。 该公司在周三(5月11日)的一份声明中证实,正在对攻击事件开展调查。 Top Aces公司总部位于蒙特利尔,是“加拿大与德国武装部队的独家空中对抗演习供应商”,而它的名字已经出现在LockBit勒索软件团伙的泄密网站上。 图:LockBit受害者页面截屏。 Top Aces由一群前战斗机飞行员于2000年创立,号称拥有“全球规模最大的私营作战战斗机群”。 除了与加拿大、德国、以色列等国合作之外,该公司还在2019年同美国空军签署了一份利润丰厚的合同。合同中明确提到,Top Aces负责提供用于防御俄罗斯武器的训练工具。 安全厂商Emsisoft的威胁分析师Brett Callow指出,针对国防相关企业的攻击令人担忧,因为“无从得知被盗数据最终会落入哪里”。 Callow表示,“即使当前攻击背后只是一群以营利为目的的恶意黑客,他们仍有可能将数据以出售或其他形式提供给第三方,包括对手国家政府。” “近年来,国防工业基础领域的企业已先后遭遇多次攻击,政府必须找出一种可行的供应链安全增强方法。” Callow还提到,此前洛克希德马丁公司的零部件供应商Visser Precision,为美国民兵III洲际导弹等核威慑武器提供支持的军事承包商Westtech International,都遭遇过网络攻击。 LockBit勒索软件团伙给出的最后期限为5月15日,如果届时Top Aces仍未支付赎金,则泄露据称总计44 GB的失窃数据。 LockBit已成为最活跃勒索软件之一 LockBit是目前最为活跃的勒索软件团伙之一,仅在过去一年就发动了数百次攻击,并且愈发猖獗。据Recorded Future统计数据,2022年他们已经攻击了至少650个组织。 该团伙最近又犯下了两起轰动一时的大案,分别是一家流行的德国图书馆服务、巴西里约热内卢财政系统。 2021年8月,澳大利亚网络安全中心(ACSC)曾发布公告,警告称LockBit勒索软件攻击数量正在激增。 该团伙自2019年9月起一直保持运营,但一直处于边缘位置,直到后来开发出LockBit 2.0勒索软件即服务的全新平台版本。 随着Darkside、Avanddon、REvil等黑客团伙的消亡或退出,LockBit已经成为当下最为常见的勒索软件即服务平台之一。 转自 安全内参,原文链接:https://www.secrss.com/articles/42385 封面来源于网络,如有侵权请联系删除