内容转载

= ̄ω ̄= 内容转载

Censinet 报告:医疗机构称网络攻击增加死亡率并延误病人治疗

根据网络安全公司Censinet赞助的一份新报告,在过去两年中遭受勒索软件攻击的医疗机构中,几乎有四分之一的机构表示,在网络攻击后他们机构的病人死亡率有所增加。这一发现增加了越来越多的数据,表明网络攻击不仅造成财务或后勤问题–它们也可能是重大的健康风险。 Censinet首席执行官兼创始人Ed Gaudet说:“勒索软件对病人护理的影响已经足够大,这是不可否认的。我们不应该害怕看这些数据,并继续推动这个问题的解决。” 由一家名为Ponemon研究所的研究机构进行的分析,收集了全美近600家医疗机构的调查回复,范围从区域医疗系统到医疗设备制造商。超过40%的机构说,他们在过去两年中受到了勒索软件的攻击–网络攻击锁定了计算机系统,并要求付款以解锁它们。这些攻击扰乱了设施照顾病人的能力。大约70%面临勒索软件攻击的机构表示,这些破坏导致病人住院时间延长,并延误了检测或手术。此外,36%的机构说他们看到了更多医疗手术的并发症,22%的机构说他们的死亡率增加了。 这些数字有一些重要的注意事项:它们来自一个相对较小的医疗机构子集,而且没有对这些机构报告的内容进行双重检查。该调查没有问各机构为什么或如何得出这些结论–例如,他们没有说他们如何衡量死亡率的变化。Gaudet说,如果没有关于这些方法的更多细节,谨慎地解释这些发现是很重要的。现在就自信地说勒索软件直接导致了这些频率的不良后果可能还为时过早。他说:“作为一个行业,我们必须注意不要反应过度。但这仍然是行业应该关注和关心的事情。即使只是百分之一或百分之五十,我们也应该关心这个数据。” 总的来说,超过一半的医疗集团在回复调查时表示,他们没有信心他们的组织能够处理勒索软件攻击的风险。 在医疗保健领域工作的人历来不愿意说勒索软件伤害了病人。很少有人对网络攻击和病人健康之间的关系进行量化,而且医院往往不愿意分享很多关于他们的经验的信息,因为这对医院的声誉有潜在影响。“我认为作为一个行业,这是一个我们几乎不想知道答案的问题,”Gaudet说。“因为如果它是真的,那么,我们真的有我们的工作要做了。” 在过去的一年里,针对医疗机构的网络攻击有所增加,这给这个问题带来了新的紧迫性。而且,最近一直在推动密切关注这个问题:例如,美国网络安全和基础设施安全局(CISA)的一项新分析显示,在COVID-19大流行期间,佛蒙特州受勒索软件攻击影响的医院开始比没有处理网络攻击的医院更快地出现过量死亡。 “我认为这已经达到了一个关键程度,正在引起CEO和董事会的注意,”Gaudet说。“像这样的数据将开始成为人们思考重点和投资领域的因素。如果勒索软件真的成为一个病人安全问题,他们将不得不解决这个问题。”   (消息及封面来源:cnBeta)

伦敦警察部队正在购买大量的面部识别技术

英国最大的警察部队将在今年年底前大幅扩大其面部识别能力。新技术将使伦敦大都会警察局能够处理来自闭路电视、社交媒体和其他来源的历史图像,以追踪嫌疑人。但批评者警告说,这项技术有令人瞠目结舌的滥用可能性,并可能巩固歧视性的警务工作。 在8月底做出一个鲜为人知的决定中,伦敦市长办公室批准了一项允许伦敦警察局提高其监控技术的提案。该提案称,在未来几个月内,伦敦警察局将开始使用追溯性面部识别(RFR),作为与日本科技公司NEC公司达成的300万英镑、为期四年协议的一部分。该系统先检查警方获得的人脸图像,然后与警方的内部图像数据库进行比较,试图找到一个匹配的人。 欧洲数字权利组织的政策顾问Ella Jakubowska表示:”部署该系统的人实际上可以让时间倒流许多个月甚至几年,看到你是谁,你去了哪里,你做了什么,和谁在一起。这种技术可以压制人们的自由表达、集会和无忧无虑的生活能力”。 批评者认为,RFR的使用侵犯了人们的隐私,不可靠,并可能加剧种族歧视。在美国,我们已经看到有人因为RFR而被错误地监禁。在考虑这种极端技术之前,更广泛的公众对话和严格的保障措施至关重要。 伦敦市长的一位发言人为这项技术的使用辩护,说它将缩短识别嫌疑人的时间,并帮助减少首都的犯罪。同时,伦敦市长办公室设立了警务道德小组,其任务是对伦敦警察局使用RFR的情况进行审查并提出建议。在英国,对使用面部识别的政治支持仍然存在争议,来自工党、自由民主党和绿党的议员都呼吁对该技术的使用进行监管。   (消息及封面来源:cnBeta)

欧盟就德国大选前的 “Ghostwriter” 黑客行为向俄罗斯发出警告

据外媒TechCrunch报道,欧盟警告说,其可能就俄罗斯参与针对几个欧盟成员国的“恶意网络活动”采取行动。根据欧洲理事会周五的一份新闻稿,“Ghostwriter”活动针对的是“欧盟的许多议会成员、政府官员、政治家以及新闻界和民间社会的成员”,并且是通过“访问计算机系统和个人账户以及窃取数据”来进行的。 根据声明,欧盟正在考虑“采取进一步措施”,但没有详细说明将采取什么行动。 欧洲理事会发言人Nabila Massrali告诉TechCrunch:“今天的声明是关于强烈谴责恶意的网络活动的,这些活动被指定为Ghostwriter,一些成员国已经观察到并与俄罗斯国家有关。这些活动是不可接受的,所有参与者必须立即停止这些活动。这种活动试图威胁我们的完整和安全、民主价值和原则,并试图破坏我们的民主机构和进程。我们敦促俄罗斯联邦在网络空间遵守负责任的国家行为准则。” 新闻稿中没有提到具体事件。但该发言人补充说,这一警告是鉴于即将于9月26日举行的德国选举。 本月早些时候,德国政府表示,与俄罗斯有关的 “Ghostwriter”活动一直在“将常规网络攻击与虚假信息和影响行动相结合”,试图在即将举行的选举前传播虚假信息。当时,德国政府表示,它有 “可靠的信息”,可证实最近的网络攻击(涉及黑客使用钓鱼邮件,试图掌握立法者的个人登录信息)可归因于俄罗斯的行为者,”特别是俄罗斯军事情报机构GRU”。 根据FireEye公司2020年的一份报告,“Ghostwriter”活动自2017年以来一直在进行,并参与了整个欧洲的反北约假情报活动、网络间谍活动和具有政治破坏性的黑客和泄密行动。在今年4月发布的一份后续报告中,FireEye将“Ghostwriter”活动与UNC1151联系起来,UNC1151是一个被认为得到克里姆林宫支持的威胁行为者。 此后,专门从事入侵监测和网络对手情报的网络安全初创公司Prevailion发现,与UNC1151有关的基础设施比以前记录的要大三倍,其恶意网络活动比原来怀疑的更广泛和更有侵略性。 Prevailion公司的首席执行官Karim Hijazi本月早些时候说,UNC1151“被定位为更广泛的行动,包括在欧洲和潜在的其他地区”。   (消息及封面来源:cnBeta)

38 亿条涉及 Clubhouse 和 Facebook 的综合个人信息正在暗网出售

7月24日爆出的Clubhouse漏洞和Facebook用户资料的数据被用来编制成一个38亿条的巨量数据库,暗网售价10万美元,不仅如此,如果买家资金紧张,卖家还愿意分割它。CyberNews研究团队发现了一个9月4日的黑客论坛帖子,该帖子提供了这些数据。发帖人称,这些记录包括姓名、电话号码、Clubhouse排名和Facebook个人资料链接。 Clubhouse是目前唯一的独立音频社交网络,在COVID-19禁足期间,用户数量大增,因此这些数据可能是相对新鲜的。虽然最初发布的Clubhouse电话号码没有任何关于用户的额外信息,对骗子来说是相当无用的,但将它们与Facebook的个人资料数据结合起来,就会有更大的吸引力。 CyberNews的高级信息安全研究员曼塔斯·萨斯瑙斯卡斯说:”合并后的数据可以作为骗子的金矿,使创建个性化的骗局更加容易。” “人们倾向于在社交媒体上过度分享信息,这可以让诈骗者了解采用什么载体来成功地进行诈骗,例如,用他们从人们的Facebook账户中了解到的信息给他们打电话。” 你可以在CyberNews网站上找到更多信息,该网站还有一个方便的数据泄漏检查器,你可以看到你的电子邮件或电话号码是否被泄露了: https://cybernews.com/personal-data-leak-check/   (消息及封面来源:cnBeta)

一项调查发现大多数人仍然在多个网站上重复使用密码

一项新的调查显示,70%成年人仍在使用同一个密码做一件以上事情。在对1041名18岁或以上美国居民的调查中,PCMag发现,25%的人承认有时会重复使用同一个密码,24%的人说他们大部分时间都这样做,而21%的人承认一直这样做。 重复使用密码是黑客喜欢的事情,尤其是许多网站和服务使用电子邮件地址作为用户名。如果这些登录凭证出现在大规模数据泄露中,有人可以简单地在多个地点尝试,看看他们是否幸运。2016年在暗网上出售的1.67亿个LinkedIn账户被怀疑使马克-扎克伯格和凯蒂-佩里等高知名度的账户遭到黑客攻击,这导致微软禁止使用愚蠢的密码。 该调查还询问了人们如何存储他们的密码。最流行的方法是记住它们。这显然是非常安全的,但你确实有完全忘记它们的风险。令人惊讶的是,36%的人选择的第二种最受欢迎的方法是它把们写下来,这种做法不是很安全,24%的人说他们把它们写在手机或其他电子设备中,这仍然有风险。 33%的参与者倾向于使用密码管理器这一推荐方法。密码管理器并不是万无一失的,但它们无疑是最安全的选择。他们还创建了非常强大的密码,并使其易于更改,这很好,因为超过四分之一的人说他们从不更改自己的密码。 调查发现,54%的人说他们曾是网络犯罪的受害者,其中信用卡诈骗(27%)、恶意软件(18%)、身份证盗窃(17%)和网络钓鱼攻击(16%)是最常见的罪行。只有53%的人说他们使用防病毒软件。 微软长期倡人导们放弃放密码而采用更安全替代方案,它最近宣布,用户现在可以选择从他们的微软账户中删除密码,并使用其他几种方法之一进行登录,包括Windows Hello、Microsoft Authenticator移动应用程序、安全密钥或通过发送到电子邮件或电话的验证码。   (消息及封面来源:cnBeta)

因担心通风报信 FBI 暂缓公开 REvil 恶意软件的密钥

今年夏季 REvil 团伙发起了将近 3 周的大规模恶意软件攻击,美国联邦调查局(FBI)秘密扣留了密钥。该密钥本可以解密多达 1500 个网络上的数据和计算机,包括医院、学校和企业运营的网络。 援引华盛顿邮报报道,联邦调查局渗透了 REvil 团伙的服务器以获得该密钥。不过在和其他机构讨论之后,FBI 决定暂缓公开该密钥,因为担心有用户向犯罪分子通风报信。消息人士告诉《华盛顿邮报》,FBI 不希望有人向 REvil 团伙通风报信,并希望能打掉他们的行动。 不过在 FBI 介入之前,REvil 于 7 月 13 日消失了。由于还没有解释的原因,联邦调查局最终在 7 月 21 日才拿出密钥。本周二在国会问询时,FBI 局长克里斯托弗·雷(Christopher Wray)表示:“我们作为一个团体做出决定,而不是单方面的。这些都是复杂的……决定,旨在创造最大的影响,而这需要时间来对付对手,我们必须调集资源,不仅是在全国各地,而且是在全世界”。 7 月 13 日,REvil 勒索软件组织的基础设施和网站已神秘下线。该组织又称之为 Sodinokibi,利用多个明网和暗网运作,用作赎金谈判网站、勒索软件数据泄露网站和后台基础设施。 路透社13日报道称,被西方认为在俄罗斯境内活动的“REvil”至今已向受害者收取了数千万美元的赎金。过去几周,该黑客组织宣称向全球800家至1500家企业发动了袭击。美国联邦调查局(FBI)认为“REvil”是5月底导致全球最大肉类生产商JBS美国分公司运营瘫痪的罪魁祸首。   (消息及封面来源:cnBeta)

微软示警 PHaaS 模式:发现为网络犯罪团伙提供的大规模钓鱼服务

在今天发布的安全公告中,微软安全团队发现了一个大规模的活动:利用类似主机的基础设施向网络犯罪团伙提供钓鱼服务。该服务被称为 BulletProofLink、BulletProftLink 或 Anthrax,目前在地下网络犯罪论坛上进行宣传。微软称这项服务为“钓鱼即服务”(Phishing-as-a-Service,PHaaS)模式。 访问: 微软中国官方商城 – 首页 该服务是在“网络钓鱼工具包”的基础上演变而来,“网络钓鱼工具包”是模仿已知公司的登录形式的网络钓鱼页面和模板的集合。BulletProofLink 通过提供内置的托管和电子邮件发送服务,将其提升到一个全新的水平。 客户通过支付 800 美元的费用在 BulletProofLink 门户网站上注册,而 BulletProofLink 运营商则为他们处理其他一切。这些服务包括建立一个网页来托管钓鱼网站,安装钓鱼模板本身,为钓鱼网站配置域名(URL),向所需的受害者发送实际的钓鱼邮件,从攻击中收集凭证,然后在周末向“付费客户”交付被盗的登录信息。 如果犯罪团伙想改变他们的网络钓鱼模板,BulletProofLink 团伙还经营着一个单独的商店,威胁者可以在那里购买新模板用于他们的攻击,每个新模板的价格从 80 美元到 100 美元不等。 正如 The Record 今天看到的那样,BulletProofLink 商店里有大约 120 种不同的网络钓鱼模板。此外,该网站还设有教程,帮助客户使用该服务。 但微软的研究人员说,他们还发现该服务也一直在偷窃自己的客户,保留所有收集到的凭证的副本,据信该组织以后会通过在地下市场出售这些凭证来赚钱。微软将整个行动描述为技术演进(technically advanced),该组织经常使用黑客网站来托管其网络钓鱼页面。 在某些情况下,安全团队观察到 BulletProofLink 团伙破坏了被黑网站的 DNS 记录,以便在受信任的网站上生成子域来承载钓鱼网页。微软今天说:“在研究网络钓鱼攻击时,我们发现一个活动使用了相当多的新创建和独特的子域–在一次运行中超过30万个”。   (消息及封面来源:cnBeta)

SushiSwap 承认 MISO 平台遭到软件供应链攻击 损失超过 300 万美元

SushiSwap 首席技术官表示,该公司的 MISO 平台近日受到了软件供应链的攻击。SushiSwap 是一个社区驱动的去中心化金融(DeFi)平台,方便用户交换、赚取、借出、借用和利用加密货币资产。今年早些时候,Sushi 的最新产品 Minimal Initial SushiSwap Offering(MISO)是一个代币启动平台,让项目在 Sushi 网络上推出自己的代币。 与需要原生区块链和实质性基础工作的加密货币硬币不同,DeFi 代币是一种更容易实现的替代方案,因为它们可以在现有区块链上运行。例如,任何人都可以在以太坊区块链之上创建自己的“数字代币”,而不必完全重新创建一个新的加密货币。 SushiSwap 首席技术官 Joseph Delong 今天发布推文表示,MISO launchpad 上的一次拍卖通过供应链攻击被劫持。一个拥有 GitHub 账号 AristoK3 并能进入项目代码库的“匿名承包商”推送了一个恶意代码提交,并在平台的前端分发。 攻击者干扰或劫持软件制造过程,插入他们的恶意代码,使大量成品的消费者受到攻击者行为的不利影响时,就会发生软件供应链攻击。当软件构建中使用的代码库或单个组件被污染,软件更新二进制文件被“木马化”,代码签名证书被盗,甚至当提供软件即服务的服务器被攻破,都可能发生这种情况。因此,与孤立的安全漏洞相比,成功的供应链攻击会产生更广泛的影响和破坏。 通过这个供应链攻击,攻击者赚取了 864.8 个以太坊币,按照目前的价格计算大约为 300 万美元。Delong 表示目前该平台上只有一个汽车超市拍卖被利用,受影响的拍卖都已打上补丁。拍卖的最终金额与被盗的以太坊币数量一致。   (消息及封面来源:cnBeta)

安全部门利用 Meris DDoS 创建者的一个纰漏 成功锁定部分僵尸网络设备

俄罗斯电信巨头 Rostelecom 旗下网络安全部门 Rostelecom-Solar 周一表示,发现并利用恶意软件创建者的一个纰漏,成功封锁了 Meris DDoS 僵尸网络部分设备。Meris 僵尸网络在今年早些时候首次被发现,是目前互联网上最大的 DDoS 僵尸网络,其规模估计约为 25 万个受感染的系统。 在过去几个月里,该僵尸网络被攻击者滥用,对俄罗斯、英国、美国和新西兰等几个国家的互联网服务提供商和金融实体进行了 DDoS 勒索攻击。由于这些勒索攻击,很多公司因为僵尸网络的巨大威力而被迫下线。其中最凶猛的几次攻击,Meris 今年两次打破了最大容量 DDoS 攻击的记录,一次是在 6 月,另一次是在 9 月。  Cloudflare 和 Qrator 实验室等互联网基础设施公司在其客户受到攻击后对该僵尸网络进行了分析,发现绝大多数受感染的系统都是 MikroTik 网络设备,如路由器、交换机和接入点。 在上周的一篇博文中,MikroTik表示,攻击者滥用了其RouterOS中的一个旧漏洞(CVE-2018-14847),利用业主尚未更新的设备组装了他们的僵尸网络。 但在周一发表的研究报告中,Rostelecom-Solar 表示,在对这种新的威胁(也一直在攻击其一些客户)进行例行分析时,其工程师发现,一些受感染的路由器正在向一个未注册的域名 cosmosentry[.com] 伸出援手,要求提供新的指令。 Rostelecom-Solar的工程师说,他们抓住了运营商的错误,注册了这个域名并将其转化为一个“天坑”(sinkhole)。经过几天的追踪,研究人员说他们收到了来自约 45000 台受感染的 MikroTik 设备的 ping,这个数字估计约为僵尸网络整个规模的五分之一。 该公司本周说:“不幸的是,我们不能对我们控制下的设备采取任何积极行动(我们没有权力这样做)。目前,大约 45,000 台 MikroTik 设备转向我们的天坑域”。 为了防止MikroTik路由器所有者检测到这些与cosmosentry[.]com的可疑连接,Rostelecom-Solar表示,他们已经设置了一个占位符信息,告知他们谁拥有这个域名以及为什么他们的路由器会进行连接。 此外,研究人员表示,他们还在Meris恶意软件的代码中发现了一些线索,这些线索也让人了解到这个僵尸网络是如何被组装起来的。根据 Rostelecom-Solar 团队的说法,Meris僵尸网络似乎是通过Glupteba组装的,这是一种针对Windows电脑的恶意软件,通常被用作其他各种恶意软件的加载器。 Meris代码的相似性以及许多使用内部IPping Rostelecom天坑的路由器证实了该公司的理论,即Meris是通过Glupteba恶意软件完全或部分组装的。然而,目前还不清楚是Glupteba团伙自己建立了Meris僵尸网络,还是另一个团伙租用了Glupteba感染的主机来部署MikroTik模块,最终产生 Meris。   (消息及封面来源:cnBeta)

新恶意程序正利用 WSL 隐蔽攻击 Windows 设备

近日,安全专家发现了针对 Windows Subsystem for Linux(WSL)创建的恶意 Linux 安装文件,表明黑客正在尝试用新的方法来破坏 Windows 设备。这一发现强调了威胁者正在探索新的攻击方法,并将注意力集中在 WSL 上以逃避检测。 首批针对 WSL 环境的攻击样本在今年 5 月初被发现,到 8 月 22 日之前持续每 2-3 周出现一次。在今天的一份报告中,Lumen 公司 Black Lotus Labs 的安全研究人员说,这些恶意文件要么嵌入了有效载荷,要么从远程服务器获取。 下一步是利用 Windows API 调用将恶意软件注入一个正在运行的进程,这种技术既不新鲜也不复杂。从发现的少量样本中,只有一个样本带有一个可公开路由的 IP 地址,暗示威胁者正在测试使用 WSL 在 Windows 上安装恶意软件。恶意文件主要依靠 Python 3 来执行其任务,并使用 PyInstaller 将其打包成用于 Debian 的 ELF 可执行文件。 Black Lotus Labs 表示:“正如 VirusTotal 上检测率所表明的那样,大多数为 Windows 系统设计的终端代理并没有建立分析 ELF 文件的签名,尽管它们经常检测到具有类似功能的非 WSL 代理”。不到一个月前,其中一个恶意的Linux文件仅被VirusTotal上的一个反病毒引擎检测到。对另一个样本进行刷新扫描显示,它完全没有被扫描服务中的引擎检测到。 其中一个变种完全用 Python 3 编写,不使用任何 Windows API,似乎是对 WSL 的加载器的首次尝试。它使用标准的 Python 库,这使得它与 Windows 和 Linux 都兼容。 研究人员在一个测试样本中发现了用俄语打印“Hello Sanya”的代码。除了一个与该样本相关的文件外,其他文件都包含本地 IP 地址,而公共IP则指向185.63.90[.]137,当研究人员试图抓取有效载荷时,该IP已经离线。 另一个“ELF到Windows”的加载器变体依靠 PowerShell 来注入和执行 shellcode。其中一个样本使用 Python 调用函数,杀死正在运行的防病毒解决方案,在系统上建立持久性,并每20秒运行一个PowerShell脚本。根据分析几个样本时观察到的不一致之处,研究人员认为,该代码仍在开发中,尽管处于最后阶段。   (消息及封面来源:cnBeta)