一场勒索软件攻击已经影响到了苹果组装合作伙伴仁宝公司，导致其企业网络出现问题，并可能导致部分客户的生产出现短期延误。周一，仁宝公司证实其在周日遭到了勒索软件的攻击。据悉，此次攻击对其计算机系统造成了严重破坏，但由于被发现得早，只瘫痪了整个网络的30%左右。 据ZDNet报道，在发现问题后，工人们被要求将他们的工作站的健康状况告诉仁宝的IT支持团队，并尽可能地备份任何重要文件。目前已经开展工作修复受影响的电脑，仁宝也提醒其他供应链供应商注意这个问题。 据信，该勒索软件是DoppelPaymer恶意软件的产物，由一个同名团伙创建，并具有典型勒索软件攻击的所有特征。这包括一张勒索纸条，告知被加密的文件，并要求与该团伙合作，否则将面临所有文件仍被加密。 尽管有报道称这是一次勒索软件攻击，但仁宝代表最初坚持认为根本没有勒索软件攻击。该代表向UDN表示，自动化办公系统出现异常，并强调没有受到勒索。该代表还声称生产正常，与向供应商发出的警告潜在短期问题的通知相悖。 目前还不清楚这是否会影响苹果，因为仁宝是组装MacBook Pro和MacBook Air产品线的主要合作伙伴。预计周二采用苹果处理器的iMac即将上市，对于苹果供应链来说，这很可能是一个忙碌的时刻，因为它要赶在年底前制造出第一台非英特尔Mac。     （消息及封面来源：cnBeta）

援引多家印媒报道，印度最大杂货电商 BigBasket 近期遭受黑客网络攻击，导致大约 2000 万用户的个人数据被泄漏。这些泄漏的信息包括用户的电子邮件地址、密码哈希值、联系方式（移动和手机）、地址、生日、住址和登录 IP 地址等等，这些信息在暗网上以 300 万卢比（约 26.8 万人民币）的价格出售。 安全公司 Cybel 在10月30日发现安全泄露事件之后已经告知了 BigBasket。并且该电子商务平台已向位于班加罗尔（Bangaluru）的网络犯罪小组（Cyber Crime Cell）投诉。该公司正在评估“索赔的违反程度和真实性”。 Cyble 表示：“在我们常规的暗网监控过程中，我们的研究团队发现 BigBasket 的数据库以超过 40000 美元的价格在暗网上出售。这些泄漏的信息包括数据库部分；表名称为‘member_member’。该 SQL 文件的大小约为 15GB，其中包含近 2000 万用户数据”。 虽然该公司在 BigBasket 的客户泄露的详细信息中提到了“密码”，但应注意，该公司使用 OTP 或通过 SMS 发送的一次性密码，每次用户登录其帐户时，该密码都会不断更改。 BigBasket 在一份声明中表示：“BigBasket获悉了潜在的数据泄露事件，并正在与网络安全专家协商并评估解决方案，以评估破坏行为的范围和真实性。我们还向班加罗尔的网络犯罪小组备案，并打算大力追究其罪魁祸首”。     （消息来源：cnBeta；封面来自于网络）

安全企业卡巴斯基今日曝光了一款针对 Linux 平台的 RansomEXX 勒索软件，其标志着肆虐 Windows 平台的勒索软件变种首次波及 Linux 平台。自今年 6 月被发现以来，RansomEXX 勒索软件的受害者，已包括德州交通部、柯尼卡美能达、美政府承包商 Tyler Technologies、蒙特利尔公共交通系统、以及近日躺枪的巴西法院系统。 （来自：Kaspersky） RansonEXX 之类的恶意软件，又被许多研究人员称作“大猎手”或“有人运作的勒索软件”，特点是专门针对“难以承受停机风险”的企业和政府机构。 通过将恶意软件尽可能散播到更多的网络和系统，然后手动部署勒索软件的二进制文件，幕后黑手便可拿基础架构的安全性为威胁，迫使受害者就范。 然而过去一年，情况似乎发生了一些改变。许多勒索软件组织已经意识到，向工作者发起攻击的效益不够明显，因为企业更倾向于直接恢复受影响系统的镜像、而不是硬着头皮支付赎金。 安全研究机构在近几个月的事件中发现，某些勒索软件没有直白地对工作站的文件进行加密勒索，而是将作为集中式数据仓库的企业内网服务器作为首要攻击目标。 从获利角度来考虑，除了染指常见的微软 Windows Server 平台之外，RansomEXX 幕后组织还盯上了开源的 Linux 发行版平台。 网络安全公司 EMSIsoft 指出，一旦企业核心基础架构瘫痪，攻击者就可勒索更高的赎金，且这种趋势正在变得愈加明显。 此外自 Emsisoft 于今年 7 月份首次发现以来，近期 Mespinoza（Pysa）勒索软件团伙也开发了 Windows 之外的 Linux 衍生版本、 对于企业来说，最佳策略就是及时为网关设备打上安全补丁，以确保其不受较弱或错误配置所引发的网络边界威胁的影响。     （消息来源：cnBeta；封面来自网络）

本周，联邦特工缴获了价值超过10亿美元的比特币，这些比特币与已经失效的网站“丝绸之路”有关，该网站是黑暗网络上的一个犯罪市场。这可能是美国司法部缴获的规模最大的加密货币。法庭文件显示，司法部表示，将没收这69370枚比特币（每枚比特币的价值超过1.5万美元）。这些比特币曾属于丝绸之路的创始人罗斯·乌布里希（Ross Ulbricht），他于2015年被判处终身监禁。 比特币是丝绸之路上唯一允许使用的货币。当局称，比特币被用于贩毒、出售枪支和洗钱等犯罪交易。 联邦调查局于2013年10月关闭了丝绸之路，并逮捕了乌布里希。2015年2月，他被判多项罪名成立，包括洗钱、贩毒和电脑黑客。 “丝绸之路是当时最臭名昭著的网络犯罪市场，”美国检察官戴维•安德森（David Anderson）表示，“2015年成功起诉丝绸之路创始人留下了一个价值数十亿美元的问题——钱都到哪里去了？今天的罚没至少部分地回答了这个悬而未决的问题。这些犯罪收益中有10亿美元现在在美国。” 该文件称，缴获的比特币是2013年由一名黑客从丝绸之路偷走的，在法庭文件中，这名黑客的身份仅为“Individual X”。被盗的比特币价值约1400万美元，相当于每枚比特币200美元多一点。但此后比特币的价值飙升，如今已接近10亿美元。 文件称乌布里希知道了Individual X的在线身份，并威胁Individual X，要求在钱被盗后不久归还加密货币。Individual X没有返回加密货币，而是保留了它，并且一直没有花掉它。文件显示，Individual X周二同意联邦政府没收这笔资金。     （消息及封面来源：新浪财经）

据外媒报道，日前，FBI发出了一个安全警报，其警告威胁行为者正在滥用配置错误的SonarQube应用以访问并窃取美国政府机构和私人企业的源代码库。该机构在上个月发出并于本周在其网站上公布的一份警告中指出，这种类型的攻击事件至少从2020年4月就已经开始了。 该警报特别警告SonarQube的所有者。SonarQube是一个基于web的应用，各家公司将其集成到自己的软件构建链中以便在将代码和应用推出到生产环境之前测试源代码并发现安全缺陷。 SonarQube应用被安装在web服务器上并连接到源代码托管系统如BitBucket、GitHub、GitLab accounts或Azure DevOps systems。 但FBI表示，一些公司没有保护这些系统，它们使用的是默认的管理凭证(admin/admin)并在默认配置（端口9000）上运行。 FBI官员称，威胁者滥用这些错误配置来访问SonarQube具体目标并将其转移到连接的源代码库，然后访问和窃取私有/敏感的应用。 FBI的警告触及了一个软件开发人员和安全研究人员很少知道的问题。 网络安全行业经常就MongoDB或Elasticsearch数据库在没有密码的情况下暴露在网上的危险发出警告，但SonarQube却没有受到影响。然而一些安全研究人员早在2018年5月就已经就让SonarQube应用在网上暴露默认证书的危险发出过警告。 当时，数据泄露猎人Bob Diachenko警告称，那个时候在线可用的约3000个SonarQube实例中有30%到40%没有启用密码或身份验证机制。 今年，瑞士安全研究员Till Kottmann也提出了SonarQube实例配置不当的同样问题。据悉，Kottmann在一年的时间中通过一个公共门户网站收集了 为了防止这样的泄露，FBI的警告列出了公司可以采取的一系列保护措施，首先是改变应用的默认配置和凭证，然后使用防火墙来防止未经授权的用户对应用进行未经授权的访问。     （消息来源：cnBeta；封面来自于网络）

据外媒报道，巴西高等司法法院(STJ)遭遇重大网络攻击，将使其业务停顿整整一周。事件是在周二（3日）发现的，当时正有几个审判庭在进行。据STJ称，在法院的网络中发现了一种病毒，作为预防措施，与互联网的链接被切断，促使审判会议被取消。法院的所有系统，包括电子邮件以及电话系统也因此无法使用。 STJ部长Humberto Martins 5日就这一事件发表声明，称此次攻击并没有影响到正在进行的法院诉讼的相关信息。根据部长的说明，入侵利用加密技术阻止了数据的访问，但有备份。后来，它出现了攻击也影响了法院的备份，这被描述为巴西有史以来最严重的网络安全事件。 除了巴西陆军网络防御中心和STJ的技术供应商(包括微软等公司)，该机构目前正在利用磁带备份恢复系统环境。原本以虚拟方式进行的STJ会议也全部暂停。据该法院表示，在恢复专责小组进展期间，只处理紧急的案件工作，预计11月10日系统将恢复运行。 在STJ的要求下，联邦警方已经展开调查。巴西总统博索纳罗5日在直播中表示，网络攻击事件的始作俑者已经索要赎金，并且已经找到了事件的肇事者。但截至发稿时，尚未得到警方证实。 在STJ网络攻击事件发生之前，上周日有消息称，巴西国家司法委员会的服务器遭到 “未经授权的访问”。     （消息及封面来源：cnBeta）

据外媒报道，西班牙巴塞罗那一家名为Prestige Software的软件公司被发现暴露了全球数百万客户的敏感、隐私和财务数据。尤其是来自Booking.com、Expedia、Agoda、Amadeus、Hotels.com、Hotelbeds、Omnibees、Sabre等几家公司的客户都是此次数据泄露事件的意外受害者。 暴露的数据库最初是由Website Planet的研究人员发现，Prestige Software拥有的一个配置错误的AWS S3 bucket在没有任何安全认证的情况下被开放给公众访问。研究人员分析了该数据库，并得出结论称，它包含了价值24.4GB的数据，总计超过1000万个文件。 值得一提的是，Prestige Software为酒店提供了一个名为Cloud Hospitality的渠道管理平台，用于处理顶级预订网站上的房间供应并实现自动化。在此案中，该软件公司在没有任何安全措施的情况下，存储了旅行社和酒店客户的信用卡数据。结果，客户的个人和财务数据早在2013年就被暴露在网上。 根据Website Planet研究人员Mark Holden编制的报告，被曝光的数据属于酒店客人，包含以下内容： 全名 NIC号码 电子邮件地址 电话号码 酒店预订号 逗留日期和期限 信用卡号码，包括卡主姓名、CVV代码和卡的到期日。 我们没有审查S3 bucket中暴露的所有文件，所以这不是一个完整的列表。每一个连接到云酒店的网站和预订平台可能都受到了影响。这些网站不对因此而暴露的任何数据负责，Holden在报告中表示。 由于Prestige软件公司总部位于欧洲，而暴露的数据属于全球各地的人，包括欧洲公民的公民；该公司应该准备好接受GDPR的巨额罚款和处罚。 至于受影响的客户，目前还不清楚你的数据是否被第三方恶意访问。然而，正如最近所见，网络犯罪分子一直在扫描暴露的数据库，窃取数据并在暗网市场上出售，或在黑客论坛上泄露数据供免费下载。 几个月前曾报道过这样一起案件，4200万伊朗人的个人资料和电话号码被暴露在配置错误的服务器上，并在几天内最终在暗网和黑客论坛上出售。 在另一个案例中，Hackread.com报道称，2019年12月，一个配置错误的数据库暴露了2.67亿Facebook用户的个人信息。2020年4月，同样的数据库在一个黑客论坛上以600美元的价格出售。       （消息来源：cnBeta；封面来自于网络）

这是一场针对航空航天和国防部门的网络间谍活动，目的是在受害者的机器上安装数据收集植入程序，以进行监视和数据过滤。 他们攻击的目标是澳大利亚、以色列、俄罗斯的互联网服务提供商（ISPs）以及俄罗斯和印度的国防承包商的IP地址。这些攻击涉及一个之前未被发现的间谍软件工具Torisma，它在暗中监视并利用受害者。 McAfee研究人员在代号为“Operation North Star”的追踪下，今年7月的初步调查结果显示，有人利用社交媒体网站、鱼叉式网络钓鱼以及带有虚假招聘信息的攻击性文件，诱骗国防部门的员工，并侵入他们的组织网络。 这些攻击被归因于之前与“Hidden Cobra”有关的基础设施和TTPs(技术、战术和程序)。“Hidden Cobra”是美国政府用来描述所有朝鲜政府支持的黑客组织的总称。 攻击者对美国国防和航天承包商进行恶意攻击，利用其核武库中的攻击者来支持和资助其核武器计划。 虽然初步分析表明，植入程序的目的是收集受害者的基本信息，以评估其价值，但对“Operation North Star”的最新调查显示出“一定程度的技术创新”——旨在隐藏在受损系统中。 该活动不仅使用了美国著名国防承包商网站上的合法招聘内容，诱使目标受害者打开恶意的鱼叉式钓鱼电子邮件附件，攻击者还利用美国和意大利的正版网站——拍卖行、印刷公司，以及一家IT培训公司（负责命令与控制（C2）能力）。 McAfee的研究人员Christiaan Beek和Ryan Sherstibitoff表示：“使用这些域来执行C2操作可能会使他们绕过一些组织的安全措施，因为大多数组织不会阻止可信网站。” 此外，嵌入Word文档中的第一阶段的植入程序将继续评估受害者系统数据（日期、IP地址、用户代理等），方法是通过与预定的目标IP地址列表进行交叉检查，以安装第二个名为Torisma的植入程序，同时将检测和发现的风险降到最低。 除了主动监视添加到系统中的新驱动器以及远程桌面连接之外，此监视植入程序还用于执行自定义shellcode。 研究人员说：“这项活动很有趣，因为攻击者有一个特定的目标清单，在决定发送第二个植入程序（32位或64位）进行深入监测之前，这个清单已经过验证。” “攻击者监视由C2发送的植入程序的进度，并将其写入日志文件中，从而了解哪些受害者已被成功渗入并可以进行进一步监控。”     消息来源：The Hacker News ；封面来自网络；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

长期以来，Trickbot一直是主要的银行恶意软件家族之一。尽管最近发生了一些干扰事件，但攻击者仍在继续推动恶意软件的发展，并在最近开始将其部分代码移植到Linux操作系统。正如本次技术深入研究所显示的，命令与控制（C2）服务器与bot之间的通信极其复杂。此外，我们还分析了Linux2版Trickbots的Anchor模块的C2通信过程。 … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1392/     消息来源：NETSCOUT ，封面来自网络，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

雅虎邮箱的受欢迎程度在过去几年里大幅下降，而该服务所卷入的黑客丑闻无疑对其崩溃起到了关键作用。然而，仍然有人在使用雅虎邮箱，而从目前来看，母公司Verizon由于一个奇怪的决定，将让更多的用户离开。这一次，雅虎邮箱将不再允许拥有免费账户的用户将邮件转发到另一个账户。 该公司解释说，只有付费客户才会被提供这样的功能。换句话说，如果你在雅虎邮箱中收到一封邮件，除非你是付费客户，否则你将无法将其转发给其他人。Verizon本周宣布，这一变化将于明年1月1日生效。 如果你的免费雅虎邮箱账户被设置为自动转发邮件到第三方收件箱（如Gmail），那么这些邮件将在2021年1月1日停止传递到第三方地址。你仍然可以通过网页浏览器mail.yahoo.com或通过雅虎邮箱应用查看雅虎邮箱中的邮件。雅虎邮箱专业版用户不会受到这一变化的影响。 不难理解Verizon为何做出这一决定。在雅虎邮箱人气明显下降的情况下，一些只想保留雅虎收件箱的用户将自动转发规则配置到了其他账户上，因此所有到达雅虎邮箱的邮件都会自动转发到另一个邮箱地址。不过，Verizon表示，它之所以要做这件事，是因为安全原因。 Verizon表示：”我们会根据当前的安全标准定期评估我们的产品和服务，并决定删除这一功能，以帮助确保免费的雅虎邮箱账户保持安全。这一改变将帮助我们专注于为雅虎邮箱用户打造最好的新功能和体验。“虽然没有提供具体的细节，但电子邮件转发规则可以被黑客利用，以获得访问权的敏感信息，这一切都在主人不知情的情况下发送。 如果出于某种原因，你想继续使用雅虎邮箱，但仍想转发邮件，现在有两种选择：购买雅虎邮箱专业版或只购买访问+转发套餐，即注册Access + Forwarding。Access + Forwarding将确保用户当前的转发连接无缝延续。用户还将受益于雅虎邮箱的1TB存储空间，这样用户的邮件和附件文件就不会因为长时间不活动而被清除。另外，用户也可以升级到雅虎邮箱专业版。雅虎邮件专业版将从用户雅虎邮件收件箱中删除广告，并为用户提供优先的客户支持，同时允许用户自动转发邮件到第三方账户。 目前有很多其他的电子邮件服务，提供相同的功能，绝对免费，比如Gmail。现在，雅虎邮件专业版每月收费3.49美元，而访问+转发包可以以12美元的年费购买。在Verizon做出这个意外的决定后，有多少用户会转投订阅服务还有待观察，但目前，如果又有一波用户放弃雅虎邮箱，转投众多替代品，外界也不会感到惊讶。       （消息来源：cnBeta；封面来自网络）