Zoe

o(* ̄▽ ̄*)ブ

两个Mozilla Firefox 零日漏洞曝光

Hackernews 编译,转载请注明出处: Mozilla 在其 Firefox 浏览器中加入了带外数据软件升级,包含了两个高影响力的安全漏洞。 Mozilla 称,这两个漏洞正在被大肆利用。 标记为 cve-2022-26485和 cve-2022-26486的零日漏洞被描述为影响 XSLT 参数处理和 WebGPU 行程间通讯(IPC)框架的use-after-free 漏洞。 XSLT 是一种基于 XML 的语言,用于将 XML 文档转换为网页或 PDF 文档,而 WebGPU 是一种新兴的 web 标准,被宣传为当前 WebGL JavaScript 图形库的继承者。 这两个漏洞的描述如下- CVE-2022-26485-在处理过程中删除 XSLT 参数可能导致 use-after-free 漏洞 CVE-2022-26486-WebGPU IPC 框架中的一条意外消息可能导致use-after-free漏洞和沙箱逃离 Use-after-free 漏洞(可以用来破坏有效数据并在受损系统上执行任意代码)主要源于“程序负责释放内存的部分的混乱” Mozilla 承认,“我们收到了这两个漏洞成为攻击武器的报告”,但没有透露任何与入侵或利用这些漏洞的恶意黑客的身份有关的技术细节。 考虑到这些漏洞,建议用户尽快升级到 Firefox 97.0.2,Firefox ESR 91.6.1,Firefox for Android 97.3.0,Focus 97.3.0和 Thunderbird 91.6.2。   消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

Adafruit 披露了前员工 GitHub 储存库中的数据泄露

Hackernews 编译,转载请注明出处: Adafruit 披露了一个数据泄露事件,这个事件是由于一个可公开查看的 GitHub 存储库引起的。 该公司怀疑这可能允许攻击者对2019年或之前对某些用户的信息进行“未经授权的访问”。 Adafruit 总部位于纽约市,自2005年以来一直是开源硬件组件的供应商。该公司设计,制造和销售电子产品,工具和配件。 前雇员的 GitHub 储存库拥有真实的客户数据 On Friday, March 4th, Adafruit announced that a publicly-accessible GitHub repository contained a data set comprising information on some user accounts. This information included: 3月4日,星期五,Adafruit 宣布一个可公开访问的 GitHub 存储库包含了一个包含一些用户账户信息的数据集。这些信息包括: 名字 邮件地址 运输/帐单地址 订单详情 支付程序或PayPal上的订单状态 根据 Adafruit 的说法,这些数据集不包含任何用户密码或信用卡等财务信息。然而,包括订单细节在内的真实用户数据可能会被垃圾邮件黑客和网络钓鱼者用来攻击 Adafruit 的客户。 有趣的是,数据泄漏并不是来自 Adafruit 的 GitHub 存储库,而是来自一位前雇员。一名前雇员在他们的 GitHub 储存库 中使用真实的客户信息进行培训和数据分析操作。 该公司解释说: “ Adafruit 在得到关于意外泄露信息的通知后15分钟内,就与这名前雇员取得联系,删除了相关的 GitHub 存储库,Adafruit 团队开始了检测程序,以确定是否有任何访问权限,以及哪类数据被影响了。” 用户需要正确的通知 目前,Adafruit 并不知道这些暴露的信息被对手滥用,并声称其披露这一事件是为了“透明度和责任感”。 然而,该公司决定不向每一位用户发送这一事件有关的电子邮件。 Adafruit 解释说,尽管所有的安全信息都公布在公司的博客和安全页面上,但用户并没有采取任何行动,因为数据集中没有显示任何密码或支付卡信息。 “我们评估了风险,咨询了我们的隐私律师和法律专家,并采取了我们认为合适的解决问题的方法,同时保持公开和透明,我们并不认为直接发送电子邮件在这种情况下有帮助,”Adafruit 的常务董事Phillip Torrone和创始人 Limor“ Ladyada” Fried说。 But, not all Adafruit customers are convinced, with some demanding email notifications be sent out with regards to the incident: 但是,并不是所有的 Adafruit 用户都信服了,他们提出了自己的需求: 用户的一个主要担心是在前团队成员的 GitHub repo 中使用了真实的客户信息,而不是使用自动生成的“假”临时数据,以及这些信息如何被网络钓鱼者滥用: 值得注意的是,在 GitHub 存储库中保存真实的客户数据,即使是私有的存储库,也是十分危险的。 去年,电子商务巨头 Mercari 遭遇了一起数据泄露事件,这起事件是他们的 GitHub 储存库泄露了超过17000份客户记录,其中包括银行信息。Rapid7还遭受了一次私人 GitHub 储存库制造成的数据泄露,影响到了“一小部分客户”。 Adafruit 表示: “此外,我们正在实施更多的协议和访问控制,以避免未来可能出现的任何数据曝光,并限制员工培训使用的访问权限。” 用户应对任何可能接收到冒充 Adafruit 职员的钓鱼诈骗或通信保持警惕。该公司特别敦促人们注意可能诱使受害者泄露密码的虚假“重置密码”提醒。   消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文  

警告:针对 ASUSTOR NAS 设备的 Deadbolt 勒索软件

Hackernews 编译,转载请注明出处: ASUSTOR 网络附属存储(NAS)设备已经成为 Deadbolt 勒索软件的最新受害者,不到一个月前,类似的攻击受害者是QNAP 网络附加存储设备。 为了应对感染,该公司发布了固件更新(ADM 4.0.4.RQO2)来“解决相关的安全问题”该公司还敦促用户采取以下行动,以保持数据安全: 更改密码 使用强密码 更改默认 HTTP 和 HTTPS 端口。默认端口分别为8000和8001 更改 web 服务器端口(默认端口为80和443) 关闭终端/SSH 和 SFTP 服务以及其他您不使用的服务,并 定期备份并确保备份是最新的 这些攻击主要影响运行 ADM 操作系统的网络公开 ASUSTOR NAS 模型,包括但不限于 AS5104T、 AS5304T、 AS6404T、 AS7004T、 AS5202T、 AS6302T 和 AS1104T。 就像针对 QNAP NAS 设备的入侵一样,黑客声称使用了一个0day漏洞来加密 ASUSTOR NAS 设备,要求受害者支付0.03比特币(约合1150美元)来恢复访问权限。 勒索软件运营商在发给 ASUSTOR 的另一条信息中表示,如果该公司支付比特币7.5比特币,他们愿意分享该漏洞的详细信息,此外,他们还愿意出售通用解密密钥,总金额为50btc。 使用的安全漏洞的具体细节尚不清楚,但是我们怀疑攻击向量与EZ Connect 功能中的一个漏洞有关,该漏洞允许远程访问 NAS 设备,该公司已敦促禁用该功能作为预防措施。 消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

TrickBot 团伙转移阵地,Emotet 成新选择

Hackernews 编译,转载请注明出处: TrickBot 是一个臭名昭著的“ Windows 犯罪软件即服务”(Windows crimeware-as-a-service,简称 caa)解决方案,被各种黑客用来提供下一阶段的有效载荷,比如勒索软件。TrickBot似乎正在做出转变,自今年年初以来没有新的活动记录。 Intel 471的研究人员在与The Hacker News分享的一份报告中说,恶意软件活动的暂停“部分是由于 Trickbot 运营商的重大转变,变化包括与 Emotet 运营商的合作”。 最近一次涉及 TrickBot 的攻击发生在2021年12月28日,但与该恶意软件相关的命令与控制(C2)基础设施一直在为僵尸网络中受感染的节点提供额外的插件和网络注入。 有趣的是,TrickBot 团伙活动量的减少也伴随着与 Emotet 操作者密切的合作 ,在执法部门解决恶意软件10个月之后,Emotet 在去年年底死灰复燃。 2021年11月首次观察到的攻击包含一个感染序列,使用 TrickBot 作为下载和执行 Emotet 二进制文件的渠道,而在攻击之前,Emotet 经常被用来传递 TrickBot 的样本。 研究人员说: “很有可能,TrickBot 的运营者已经将 TrickBot 的恶意软件从他们的运营中剔除,转而使用其他平台,比如 Emotet。”“毕竟,TrickBot 是一个相对老旧的恶意软件,还没有进行过大规模的更新。” 此外,Intel 471表示,它观察到 TrickBot 在2021年11月 Emotet 回归后不久将 Qbot 安装到被破坏的系统中,这再次暗示了幕后重组正在转移到其他平台。 随着 TrickBot 在2021年越来越多地受到执法者的关注,它背后的攻击者正在积极地试图改变战术和更新他们的防御措施。 根据 Advanced Intelligence (AdvIntel)上周发布的另一份报告,Conti 勒索软件团伙据信已经人才并购了 TrickBot 的几名精英开发者,让他们放弃这种恶意软件,转而使用BazarBackdoor 等增强型工具。 研究人员指出: “也许研究员对 TrickBot 的不必要的关注和更新、改进后的恶意软件平台的可用性使得 TrickBot 的操作者放弃了它。”“我们怀疑恶意软件控制基础设施(C2)仍在维护,因为剩下的机器人仍然有一些经济价值。” 消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

俄对乌克兰展开新一轮恶意软件攻击

Hackernews 编译,转载请注明出处: 网络安全公司ESET 和Broadcom的Symantec表示,他们发现了一种新的数据雨刷恶意软件,用于对乌克兰数百台电脑的新一轮攻击。俄罗斯军队正式对乌克兰展开全面军事行动。 这家斯洛伐克公司将这款雨刷命名为”HermeticWiper” (又名 KillDisk.NCV) ,其中一个恶意软件样本编写于2021年12月28日,这意味着攻击的准备工作可能已经进行了近两个月。 ESET 在一系列推文中说: “雨刷二进制文件是使用Hermetica 数字有限公司签发的代码签名证书签名的。”“雨刮器使用 EaseUS Partition Master 软件的合法驱动程序,以破坏数据。最后,雨刮会重新启动计算机。” 其中至少有一次入侵涉及直接从 Windows 网域控制器中部署恶意软件,这表明攻击者已经控制了目标网络。 数据清除攻击的规模和影响尚不清楚,感染背后的黑客身份也不得而知。但这是今年第二次有破坏性的恶意软件被部署到乌克兰的计算机系统中,第一次是在1月中旬  WhisperGate 攻击事件。 此前,在乌克兰发生了第三波“大规模”分布式拒绝服务(DDoS)攻击,数家乌克兰政府和银行机构在周三遭到攻击,乌克兰外交部(Ministry of Foreign Affairs)、部长内阁(Cabinet of minister)和议会(Rada)的网络门户遭到破坏。 上周,乌克兰最大的两家银行 PrivatBank 和 Oschadbank,以及乌克兰国防部和武装部队的网站由于来自不明角色的 DDoS 攻击而瘫痪,英国和美国政府将矛头指向俄罗斯总参谋部情报部(GRU),克里姆林宫否认了这一指控。 使用 DDoS 攻击的行为会产生大量垃圾信息,目的是压倒目标,使他们无法访问。随后,CERT-UA 对2月15日事件的分析发现,这些事件是通过类似 Mirai和 Mēris这样的僵尸网络,利用感染的 MikroTik 路由器和其他物联网设备实现的。 此外,据说仅在2022年1月,乌克兰国家机构的信息系统就遭受了多达121次的网络攻击。 这还不是全部。Accenture本周早些时候发布的一份报告显示,暗网上的网络犯罪分子正试图利用目前的政治紧张局势,在 RaidForums 和 Free Civilian 市场上推销他们的数据库和网络访问,因为其中包含乌克兰公民和重要基础设施实体的信息,“希望获得高额利润”。 自今年年初以来,破坏性的恶意网络行为不断发生,乌克兰执法机构将这些攻击描述为散布焦虑、削弱人们对国家保护公民能力的信心,以及破坏国家团结的行为。 2月14日,乌克兰安全局(SSU)表示: “乌克兰正面临着有组织地制造恐慌、传播虚假信息和歪曲事实的行动”。“所有这些加在一起,只不过是又一场大规模的混合战争。”     消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

快速清洁 APP 要慎用,银行木马可能藏身其中

Hackernews 编译,转载请注明出处: 一个新的安卓银行木马通过官方的 Google Play Store 分发,安装量超过50,000次,其目的是针对56家欧洲银行,从受损的设备中获取敏感信息。 这款恶意软件被荷兰安全公司ThreatFabric命名为 Xenomorph,据说它与另一个名为 Alien 的银行木马有很多相同部分,同时在功能方面也与其前身“截然不同”。 公司的创始人兼首席执行官 Han Sahin 说: “尽管目前还在进行中,Xenomorph 已经开始在官方应用程序商店中进行有效的覆盖和积极的分发。”“此外,它具有一个非常详细和模块化的引擎,可以随意使用无障碍服务,这在未来可以提供非常先进的能力,如 ATS。” Alien,一个远程访问木马(RAT),具备通知嗅探和基于认证的2FA盗窃功能,在2020年8月臭名昭著的Cerberus恶意软件消失不久后就出现了。从那时起,发现了其他的Cerberus分支,包括2021年9月的  ERMAC。 跟 Alien 和 ERMAC 一样,Xenomorph 也是一个 Android 银行木马的例子。这种木马通过伪装成“快速清洁”(Fast Cleaner)等生产力应用程序,欺骗不知情的受害者安装恶意软件,从而绕过谷歌 Play Store 的安全保护。 值得注意的是,去年11月,一款名为GymDrop 的健身训练滴管应用程序被发现装载了Alien木马病毒,并将其伪装成“一套新的健身锻炼”。该应用程序有1万多次安装量。 手机应用市场情报公司 Sensor Tower 的数据显示,“Fast Cleaner”在葡萄牙和西班牙最受欢迎,其软件包名为“ vizeeva.Fast.Cleaner”,目前仍可在应用商店购买。2022年1月底,“Fast Cleaner”首次出现在 Play Store 上。 此外,用户对该应用程序的评论还警告说,“该应用程序含有恶意软件”,并且“要求持续确认更新”另一位用户说: “它在设备上安装了恶意软件,除此之外,它还有一个自我保护系统,所以你不能卸载它。” Xenomorph 还使用了一种经典的策略,即引导受害者授予其无障碍服务特权,并滥用权限进行覆盖攻击,其中,恶意软件在来自西班牙、葡萄牙、意大利和比利时的目标应用上注入流氓登录屏幕,以窃取凭证和其他个人信息。 此外,它还配备了通知拦截功能,可以提取通过 SMS 接收的双因素身份验证令牌,并获取已安装的应用程序列表,其结果将被提取到远程命令控制服务器。 研究人员表示: “ Xenomorph 的出现再次表明,黑客正将注意力集中在官方市场的应用上。”“现代银行恶意软件的发展速度非常快,犯罪分子开始采用更精细的开发实践来支持未来的更新。”  消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

[网络研讨会]非多即善: 解决告警过载

Hackernews 编译,转载请注明出处: 网络攻击的数量和复杂程度日益增加,自然而然地促使许多公司使用更多的网络安全技术。我们知道加强威胁检测能力对于保护是必要的,但是他们也导致了几个意外后果。“越多并不总是越好”的格言非常适合这种情况。 网络安全公司 Cynet 即将举行的一次网络研讨会揭示了告警过载的问题。网络安全团队试图筛选不断出现的一连串威胁警报时总是面临着压力和紧张,Cynet 展示了这种情况实际上是降低网络安全效率的。然后 Cynet 将谈论应对办法——这对几乎所有遭受警报过载痛苦的公司都很重要。 告警过载的真正影响 有趣的是,威胁警报对安全保护至关重要,但也成为了一个障碍。Cynet 列出了会发生这种情况的两个关键的原因。首先,在过去的十几年里,大多数公司每天面临的真正攻击数量直线上升。其次,安全监控工具对异常情况非常敏感,经常将合法的操作误认为恶意的操作。 许多安全团队不断接收着超出他们预期的警报。数量巨大的同时,安全团队明白,错过危险的警报可能导致网络安全灾难。网络安全专业人员不得不顶着巨大的压力,肩负着自己无法承担的责任。 解决办法 Cynet 提出了两个解决告警过载困境的选择: 外包和技术。Cynet 在线研讨会首先讨论了将任务外包给负责监控、调查和响应警报的托管检测和响应(Managed Detection and Response,MDR)提供商,这是利用可调节的资源的一种方式,这样可以移除安全团队中的压力密集型工作负担。然后 Cynet 讨论了技术选择,无论是否选择外包,都要提高技术水平。 从技术的角度来看,首先,Cynet 展示了公司如何使警报更加准确,从而大大减少必须解决的警报数量。其次,Cynet 展示了响应自动化技术是如何减少与警报调查和补救相关的许多人工工作的。网络研讨会详细介绍了可用于自动化响应的特定技术,即使是对于预算和带宽有限的小型安全团队也是如此。  消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

SIM卡调换黑客被捕,曾盗窃受害者银行账户

Hackernews 编译,转载请注明出处: 西班牙国家警察局(National Police ía Nacional)上周表示,该局捣毁了一个未命名的网络犯罪组织,并逮捕了8名涉嫌与一系列以金融欺诈为目的的 SIM 卡调换攻击有关的罪犯。 犯罪团伙的嫌疑人伪装成银行和其他组织有信任力的代表,使用传统的网络钓鱼和散播技术,获取受害者的个人信息和银行数据,然后取出受害者账户中的钱。 “他们伪造官方文件,篡改受害者的身份,并欺骗手机商店的员工,获得 SIM 卡的复制品。 SIM 卡接收银行发来的安全确认信息,允许他们清空受害者的账户,”警察局说。 其中七人在巴塞罗那被捕,一人在塞维利亚被捕。这次犯罪活动里,多达12个银行账户被冻结。据说,该团伙犯下的第一起欺诈案件发生在2021年3月。 SIM 卡交换,也被称为 SIM 劫持,是一种恶意技术,犯罪分子利用移动运营商获取受害者的银行账户、虚拟货币账户和其他敏感信息。SIM卡交换通常是通过社会工程、内部威胁或网络钓鱼技术来实现的。 该方案是这样的,一名攻击者假扮受害者,欺骗移动运营商将受害者的手机号码切换到受其控制的 SIM 卡上。或者,也可以通过贿赂移动运营商的员工或欺骗员工下载用于入侵系统和进行 SIM 交换的恶意软件。 一旦电话号码被转移,攻击者就利用“身份”进行帐户重置,绕过基于短信的双因素身份验证保护,并夺取目标在线帐户的控制权。 SIM 卡交换欺诈案激增 多年来,SIM 卡交换已经演变成一种日益普遍的网络犯罪形式,导致受害者的加密货币钱包和银行账户被盗,数额高达数百万美元。2021年11月,美国检察官指控一名英国国民策划了一次 SIM 交换攻击,窃取了价值78.4万美元的加密货币。 然后在2021年12月,一个名为The Community的国际黑客组织的成员因涉嫌数百万美元的 SIM 卡交换恶行而被判刑。 美国联邦调查局(FBI)表示,2021年整年,他们收到了1611起与 SIM卡交换的投诉,调整后的损失超过6800万美元。相比之下,该机构从2018年到2020年收到了320起与 SIM卡交换事件有关的投诉,调整后的损失约为1200万美元。    消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

FritzFrog P2P 僵尸网络攻击医疗、教育和政府部门

Hackernews 编译,转载请注明出处: 一个P2P的Golang僵尸网络在一年多后重新浮出水面,在一个月内侵入了医疗、教育和政府部门实体的服务器,感染了总共1500台主机。 Akamai 的研究人员在与 The Hacker News 共享的一份报告中称,这种名为 FritzFrog 的“分散僵尸网络攻击任何暴露 SSH 服务器的设备——云实例、数据中心服务器、路由器等——并能够在受感染的节点上运行任何恶意有效载荷。” 2021年12月初开始的新一轮攻击,在一个月的时间内加快了速度,感染率增长了10倍,而在2022年1月达到高峰,每天发生500起感染事件。这家网络安全公司表示,他们在一家欧洲电视频道网络、一家俄罗斯医疗设备制造商和东亚多所大学中发现了受感染的设备。 FritzFrog 在2020年8月由 Guardicore 首次记录,详细说明了僵尸网络自20年1月以来攻击并感染了欧洲和美国的500多台服务器的能力。另一方面,新感染病例大量集中在中国。 安全研究员 Ophir Harpaz 在2020年观察到: “ Fritzfrog 依靠在网络上共享文件的能力,不仅可以感染新的机器,还可以运行恶意的有效负载,比如 Monero crypto miner。” 僵尸网络P2P体系结构使其具有适应性,因为分布式网络中的每台受损机器都可以充当命令控制(C2)服务器,而不是单一的集中式主机。更重要的是,僵尸网络的再次出现伴随着其新功能的增加,包括使用代理网络和瞄准 WordPress 服务器。 感染链通过 SSH 传播,植入一个恶意软件有效载荷,然后执行从 c2服务器接收到的指令,运行额外的恶意软件二进制程序,收集系统信息和文件,然后再将它们转移回服务器。 值得注意的是,FritzFrog所使用的 P2P 协议是完全专有的。虽然早期版本的恶意软件进程伪装成“ ifconfig”和“ nginx”,但最近的变体试图用“ apache2”和“ php-fpm”来隐藏它们的活动。 这款恶意软件还包含了其他新特性,包括使用安全复制协议(SCP)将自身复制到远程服务器,使用 Tor 代理链接来掩护输出的 SSH 连接,跟踪 WordPress 服务器进行后续攻击的基础设施,以及避免感染 Raspberry Pi 设备等低端系统的阻塞列表机制。 “封锁名单中的一个 IP 来自俄罗斯。它有多个开放端口和一长串未打补丁的漏洞,所以它可能是一个蜜罐,”研究人员说。“此外,第二个入口指向一个开源的僵尸网络漏洞。这两个入口表明,操作人员试图逃避侦查和分析。” 包含 SCP 特性也可能为恶意软件的起源提供了第一条线索。Akamai 指出,这个用 Go 编写的库已经被中国上海的一个用户分享到了 GitHub 上。 第二条将恶意软件与中国联系起来的线索是另一起事件,即用于密码挖掘的一个新钱包地址也被用作Mozi僵尸网络攻击的一部分,其操作者于去年9月在中国被捕。 研究人员得出结论: “这些证据虽不确凿,但让我们相信,可能存在与在中国黑客或伪装成中国人的黑客之间的联系。” 消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

CISA、FBI、NSA 就勒索软件攻击严重增加发布警告

Hackernews 编译,转载请注明出处: 澳大利亚、英国和美国的网络安全部门发布了一份联合警告,称2021年针对全球关键基础设施组织的复杂、高影响力的勒索软件攻击将有所增加。 这些事件针对的行业范围很广,包括国防、应急服务、农业、政府设施、 IT、医疗保健、金融服务、教育、能源、慈善机构、法律机构和公共服务。 “勒索软件的策略和技术在2021年继续发展,这表明勒索软件威胁组织的技术日益复杂,对全球组织的勒索软件威胁也在增加,”这些安全部门在联合公报中说。 鱼叉式网络钓鱼(Spear-phishing)、窃取或暴力强制远程桌面协议(RDP)凭证以及利用软件漏洞成为最值得注意的三大感染媒介,这些媒介被用来在受到攻击的网络上部署勒索软件,就连这种犯罪商业模式已经演变成一个由不同类型的黑客主导的“专业”市场,以获得初始访问权、谈判赎金和解决钱款纠纷。 但随着去年对 Colonial Pipeline、 JBS 和 Kaseya 的高调攻击,勒索软件黑客在2021年下半年转移了对美国“大猎物”的追捕,将重点放在中等规模的受害者身上,以躲避执法部门的监视。 “在对受害者网络进行加密之后,勒索软件黑客越来越多地使用‘三重勒索’,威胁要(1)公开被盗的敏感信息,(2)中断受害者的互联网接入,和/或(3)向受害者的合作伙伴、股东或供应商通报此事。” 根据 Syhunt 本周发布的一份新报告,从2019年1月到2022年1月,勒索软件组织从受害者组织中窃取了超过150tb 的数据,仅 REvil 就占了该组织从282名受害者那里窃取的所有被盗信息中的44.1 TB。 勒索软件集团采取的扩大影响的其他策略包括: 利用已知的漏洞攻击云基础设施; 通过一个初始入侵攻击托管服务提供商(MSPs)访问多个受害者; 部署用于破坏工业流程的代码; 毒害软件供应链; 以及在节假日和周末进行攻击。 为了减少和减轻勒索软件攻击的可能性和影响,各组织积极采取行动ーー 保持所有操作系统和软件的更新, 通过内部网络限制对资源的访问,特别是限制 RDP 和使用虚拟桌面基础设施, 提高用户对网络钓鱼的风险的认识, 使用强大、独特的密码和双重身份验证,以保护账户免受接管攻击, 加密cloud中的数据, 实现网络分割, 禁用不必要的命令行实用程序,并限制脚本编写活动和权限, 对特权帐户访问实施时间限制,以及 保持数据的脱机(即物理断开)备份 “犯罪活动的动机是金钱利益,所以支付赎金可能会鼓励对手攻击更多的组织,或鼓励网络犯罪分子参与分发勒索软件,”该机构警告说。”支付赎金也不能保证受害者的档案会被找回。此外,减少勒索软件威胁行为者的经济收益将有助于打破勒索软件犯罪商业模式。” 消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文