分类: 国际动态

俄罗斯导弹袭击致使乌克兰及邻国互联网中断

安全内参11月24日消息,昨天,数十枚俄罗斯导弹袭击了乌克兰多处城市,导致乌克兰及其邻国摩尔多瓦的互联网连接中断,全国大规模停电。 互联网状态监控服务NetBlocks公布的数据显示,在俄罗斯袭击乌克兰电力设施后,乌克兰的互联网可用性下降了近65%。 城市地区的电力基础设施受到的破坏最为严重,因此城区互联网连接也成为影响重灾区。比如乌克兰西部的利沃夫市,白天至少有几个小时没有电力供应。 导弹袭击在摩尔多瓦也造成了类似的破坏。摩尔多瓦与乌克兰接壤,而且与乌方电网直接连通。 图:俄罗斯导弹袭击引发大面积停电,导致乌克兰在12:00 UTC(当地时间14:00)后遭遇严重互联网中断。 摩尔多瓦副总理安德烈·斯皮努 (Andrei Spinu) 表示,摩尔多瓦超过一半的地区也失去供电,包括首都基希讷乌以及俄罗斯支持分裂的德涅斯特河沿岸地区。 摩尔多瓦总统马娅·桑杜(Maia Sandu)称,“摩尔多瓦无法相信一个让国家处于黑暗和寒冷中的政权”。 这已经是摩尔多瓦本月第二次因俄乌战争而陷入停电。11月15日,一次导弹袭击曾导致摩尔多瓦一条主要供电路线中断,致使“超过六个城市”无电可用。 本周三,俄罗斯共向乌克兰发射了70枚导弹、派出5架无人机,共造成5人死亡、35人受伤。就在不久前,欧洲议会将俄罗斯认定为支持恐怖主义的国家。 在周三袭击发生后,乌克兰所有核电站和大部分火力发电厂暂时关闭。部分在线服务,包括Glovo外卖平台,也因停电而中断。 俄乌战争后,乌克兰断网已成家常便饭 事实上,断网在乌克兰已然成为新的“日常”。俄罗斯导弹袭击已经摧毁了乌克兰近半数能源系统,迫使政府多次进行三到六个小时的白天临时停电。 由于紧急停电,成千上万乌克兰人失去了供水、供暖和网络宽带服务。由于电信运营商无法处理暴增的流量,所以移动互联网也时断时续。 乌克兰数字转型部长米哈伊洛·费多罗夫 (Mykhailo Fedorov)表示,乌克兰网络运营商会使用发电机为民众提供网络连接。每台发电机可在不中途加油的情况下持续工作8至40小时。 地方当局还计划在整个乌克兰引入免费WiFi热点。这样即使停电持续数天,民众也仍然可以正常上网和为设备充电。 为了在大部分网络设施被俄军摧毁的城市中恢复通信,乌克兰电信运营商使用了由美国公司SpaceX提供的Starlink星链卫星互联网终端。 乌克兰目前拥有超22000台星链终端,由当地志愿者、欧洲盟友、美国政府和私营公司提供。SpaceX公司自身也向乌克兰捐赠了约4670台终端。 转自 安全内参,原文链接:https://www.secrss.com/articles/49365 封面来源于网络,如有侵权请联系删除

欧盟宣布俄罗斯为恐怖主义国家之后,欧洲议会网站被黑

11月23日,在欧盟宣布俄罗斯为恐怖主义国家之后,欧洲议会网站遭到亲俄黑客组织KillNet发起的DDoS网络攻击。目前该网站仍处于瘫痪状态。 欧洲议会主席也证实了这一事件,称“这是一次高水平的外部攻击,议会的IT专家正在反击并保护我们的系统”。 早有预谋 11月23日通过欧洲议会决议,正式认定俄罗斯为恐怖主义国家。议会成员以494票赞成,58票反对,44票弃权的结果通过了该决议。 在立法机构宣布俄罗斯为恐怖主义国家仅几小时后,KillNet发动 DDoS 攻击,关闭了欧洲议会的网站。 欧洲议会呼吁欧盟对俄罗斯实施进一步制裁,在国际上孤立俄罗斯。包括在俄罗斯加入联合国安理会等国际组织和机构的问题上。同时还希望减少与俄罗斯的外交关系,将欧盟与俄罗斯官方代表的接触保持在最低限度,并禁止俄罗斯在欧盟的国家附属机构在世界范围内进行宣传。 报复性攻击频演 KillNet是少数几个公开受俄罗斯领导的网络犯罪集团之一。该组织的名字来自于一种可用于发动DDoS攻击的工具。自俄乌战争以来,KillNet一直在积极招募志愿者,经常将他们组织成不同的小分队,名称为 “Kratos”、”Rayd “和 “Zarya”,对西方国家进行DDoS攻击。 此前曾针对支持乌克兰的国家,如罗马尼亚和意大利,而其“子集团”Legion出于类似原因袭击了挪威和立陶宛的主要实体。 随着乌克兰战争进入新阶段,KillNet开启了新一轮的报复性网络攻击。 在波兰参议院一致投票承认俄罗斯为 “恐怖政权 “后,该组织于10月对波兰参议院网站进行了类似的DDoS攻击,该组织还攻击了几个巴尔干国家的其他政府网站。 美国作为俄罗斯主要军事对手及北约的实际领导者,KillNet 的目标范围也包括美国,同样用类似 DDoS 组织攻击了科罗拉多州、肯塔基州和密西西比州的政府网站。 包括几周前间歇性离线的洛杉矶国际机场 (LAX) 和美国大型空中交通枢纽哈茨菲尔德-杰克逊亚特兰大国际机场 (ATL)。 10 月初对美国财政部的发起攻击;关闭了CISA 受保护的关键基础设施信息管理系统网站等 根据追踪公开披露的数据,自2月俄乌战争开始以来,KillNet已经对亲乌克兰的国家发动了76次攻击。 美国联邦调查局表示 ,由亲俄黑客组织KillNet发起的 DDoS 攻击对其目标影响不大,因为他们攻击的是面向公众的基础设施,如网站,而不是实际服务,也仅仅导致有限的中断,并不能造成较大的影响。 转自 Freebuf,原文链接:https://www.freebuf.com/news/350656.html 封面来源于网络,如有侵权请联系删除

Meta 删除与亲美相关的虚假 Facebook 和 Instagram 账户

Hackernews 编译,转载请注明出处: Meta平台周二表示,它在Facebook和Instagram上关闭了一个由美国军方相关人员操作的账户和页面网络,这些账户和页面在中东和中亚传播对美国有利的描述。 该网络起源于美国,主要针对阿富汗、阿尔及利亚、伊朗、伊拉克、哈萨克斯坦、吉尔吉斯斯坦、俄罗斯、索马里、叙利亚、塔吉克斯坦、乌兹别克斯坦和也门。 这家社交媒体巨头表示,活动背后的个人冒充了他们所针对的社区,用阿拉伯语、波斯语和俄语传播内容,提出了与美国加强军事合作的主题,并批评了伊朗、中国和俄罗斯。 Meta在其《对抗威胁季度报告》中表示,这些叙述涵盖了“俄罗斯入侵乌克兰、中国对待维吾尔族人民、伊朗在中东的影响力,以及俄罗斯和中国对阿富汗塔利班政权的支持”。 该公司补充道,与新冠肺炎相关的内容也被发布,其中一些内容因违反其虚假信息政策而被删除。 这些虚假账户可能还使用了生成对抗网络(GANs)等机器学习技术创建的个人资料照片,并在美国东部标准时间(EST)而不是在目标国家的工作时间发布。 在Instagram上,多达39个Facebook账户、16个Pages、2个Groups和26个Instagram账户被发现参与了协调的不真实行为。该行动进一步扩展到其他平台,如Twitter、YouTube、Telegram、VKontakte和Odnoklassniki。 然而,这些努力似乎基本上没有成功。Meta表示:“此次行动的大部分帖子几乎没有来自真实社区的参与。” 今年8月初,当Graphika和斯坦福互联网观察组织的研究人员发现使用多种社交媒体服务来宣传亲西方的叙事时,有关该运动的细节首次被曝光。 近两个月前,Meta解散了来自中国和俄罗斯的两个独立集群,因为这些集群的信息业务试图操纵平台上的公共言论。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

网络援乌:美国企业如何在俄乌网络战中大显身手?

安全内参11月21日消息,就在俄军进入乌克兰领土的几周之后,美国知名安全公司曼迪安特(Mandiant)的一名代表拨通了乌克兰最大国有石油及天然气公司Naftogaz的高管电话,提出一个不同寻常的建议:Naftogaz是否愿意让曼迪安特帮助他们检查网络当中存在的安全隐患? 多年以来,俄罗斯黑客针对Naftogaz系统的入侵尝试从未停歇,因此在听说曼迪安特愿意免费部署搜索团队、检测网络中是否潜伏安全隐患时,这家能源公司表示十分乐意。 这项提议是西方科技企业的广泛努力之一,希望帮助乌克兰在战时保护自己免受俄方网络攻击影响。从曼迪安特到微软,来自美国网络安全、威胁情报及科技领域的数十家公司联合组建了一支网络志愿团队,放弃中立态度,直接介入俄乌冲突。 他们自称为网络防御援助协作组织(CDAC),这个创意由摩根大通前首席信息安全官Greg Rattray最早提出。几个月来,他一直努力建立公私合作关系,希望对抗破坏性网络攻击。本文是他第一次公开深入讨论此项倡议。 多年来,美国官员一直希望通过公私合作伙伴关系来打击破坏性网络攻击。这个思路背后的逻辑是:美国国安局和网络司令部经常在网络攻击发生之前或期间,掌握关于攻击活动的情报,美国网络安全企业则拥有阻止攻击的专业知识。如果能够成功协同合作,有望更好地抵御破坏性网络攻击。 而CDAC倡议的与众不同之处,在于其合作伙伴并非华盛顿,而是基辅。这也成为公私合作的难得测试场景,可以检验构想中的联合,最终能不能在美国本土发挥作用。 Rattray在接受采访时表示,“俄乌冲突在周四(2月24日)正式爆发,我从周一起就开始四处沟通。”很快就有二十多家美国企业迅速签署了协议,愿意提供许可证、人员和专业知识,帮助乌克兰捍卫自己的网络空间。 Rattray解释称,“在我看来,俄罗斯方面的粗暴进军成为团结各家企业、签署合作协议的最大助力。大家都愿意以乌克兰为实验场,看看自己到底能够为网络安全做点什么。” 黑客的天然目标 Naftogaz公司拥有庞大的供应商、子公司和在线计费系统网络,众多设施环节使其成为俄罗斯黑客们的天然攻击目标。而一旦有攻击者成功突入防线,Naftogaz的内部设施就可能被搅成一团乱麻,阻碍乌克兰天然气输送系统的正常运行、甚至将能源系统彻底关停。 早在2015年,俄罗斯就曾经在电网身上动过类似的手脚。当时俄方黑客侵入了乌克兰电网,导致基辅周边近25万居民陷入黑暗长达六个小时。人们普遍认为,如果俄罗斯能让乌克兰停电一次,那在双方开战期间就绝对能让乌克兰停电第二次、第三次。 正是这样的压力,促使曼迪安特首席技术官Ron Bushar致电Naftogaz,询问对方是否愿意让曼迪安特的独家软件程序扫描其运营网络。Bushar解释称,行业普遍怀疑Naftogaz网络当中已经潜伏有俄方黑客,迫切需要一场大“扫荡”、大“搜捕”。 网上的搜捕队就如同循着犯案线索努力跟进的警察:他们查找电子“指纹”、清点盗窃行为,并认真观察入侵者可能留下的一切痕迹——比如恶意代码。 Bushar表示,“我们以极快的速度对成千上万的系统进行了扫描。一旦有所发现,我们就会继续深挖,对该系统展开进一步研究。” 但问题是,他们并没有太多发现:确实找到了能擦除硬盘信息的恶意代码,也扫描出了黑客“埋设”在此以待日后激活的预置恶意软件,可并不存在能造成大规模系统中断的“暴雷”。 Bushar回忆道,“我们没有检测到明显的攻击性活动,只发现恶意黑客已经获得了访问权限,并正在内部环境中移动的证据。” 于是,他们排查到了入侵的缺口并将恶意黑客拒之门外。 俄乌战争爆发初期,俄罗斯黑客在全乌范围内发动了一系列缓慢推进的低级别攻击,并未特别针对Naftogaz。他们擦除了硬盘数据并瘫痪掉身份验证系统,导致员工们无法登录。 但在Naftogaz保护并强化了自身网络边界之后,擦除类恶意软件仍在以某种方式不断出现在系统当中,密码和登录信息盗窃也一刻未停。研究人员们能意识到出了问题,但却无法解释原因。突然之间,Bushar他们顿悟般想通了一切:必须用军事思维审视问题。 内部威胁 事实证明,战争期间的网络安全保护工作有其特殊性。Busahr和他的团队意识到,需要保护的边界一直处于变化之中。如今占领乌克兰小块领土的俄罗斯军队已经夺取到了部分天然气设施,并试图通过终端侵入其运营系统。 Bushar指出,“在乌克兰东部地区,俄军已经占据了部分领土和相应的关键基础设施。”其中就包括Naftogaz公司的数据中心和当地电信及行政办公室。“整理敌占区各点位上的系统和IP地址,证明这些就是我们所看到攻击的确切来源。” 事实上,有时候攻击看起来像是源自Naftogaz内部。他们发现这并不是因为俄方突破了安全边界,而是“他们已经占据了Naftogaz的数据中心及相关系统,这样就能正常访问系统并攻击设施内的其他部分……整个过程类似于应对内部威胁。” 于是援助人员们调整了防御策略,开始切断俄占区内的业务系统。“我们提出建议,如果乌方决定从某省撤退,Naftogaz就应该在系统落入敌军手中之前,主动将这些系统从网络中断离开来。” 建议最终转化成了实践。Naftogaz开始指示员工在城镇被俄军攻占时联系主管,切断当地的网络访问。而在逃离敌占城市时,员工们还会向Naftogaz总部呼叫确认。这套新策略贯彻下去之后,Naftogaz就能及时调整防御姿态以反映各地战况。Bashar表示,神秘的内部威胁也就此消散无踪。 技术实力 在CDAC创始人Rattray着手为合作倡议物色志愿者时,他的第一个电话就打给了RSA Security前CEO Art Coviello。RSA Security是网络安全与加密领域的先驱之一。如今的Coviello则经营着一家风险投资基金,专门为网络安全企业提供资金支持。 他表示,“乌克兰人有这个技术实力。不少公司都在乌克兰设有软件开发分部,这本身就说明那里的技术储备和教育水平都比较到位。他们只是没有机会,或者没有像美国本土这样的金融资源来建设自己的网安防御体系。” 而CDAC的参与,应该有助于弥合这个缺口。 Coviello提到,这项努力并不单纯是为了响应战争。乌克兰以外的人们也应当保持警惕,毕竟俄罗斯对乌克兰使用的网络武器,也可能被用于攻击其他目标。“我绝对不会低估俄罗斯人的能力。” Coviello强调,“人们可能没有意识到,美国人民其实生活在世界上最大的数字玻璃屋内。我们受到的影响最大、承担的损失最重,因为我们之间的联系非常紧密、对技术的依赖性极高。我们的一切关键基础设施和业务构成都受到了这种技术转型的影响。” Rattray则提到,乌克兰用行动震惊了全世界——这种成就不仅来自正面战场,也来自网络空间。乌克兰方面极为敏捷,能够快速将系统迁移至云端,而云数据不会受到本土轰炸和一般黑客攻击的影响。乌克兰人的技术专长让他们能够在受到攻击时迅速转向,并充分运用来自科技界的巨大助力。 Rattray总结道,“俄罗斯人并不像我们想象中那么擅长网络作战。他们在数字空间中的行动跟我们的预期基本相符,比如信息战竞争、用传统方式通过网络空间收集监控情报之类。但我们预想中的破坏性攻击并没有出现。” 转自 安全内参,原文链接:https://www.secrss.com/articles/49226 封面来源于网络,如有侵权请联系删除

美国 CISA、NSA、ODNI 联合发布保护软件供应链安全指南

10月18日,美国网络安全和基础设施安全局(CISA)与国家安全局(NSA)和国家情报总监办公室(ODNI)合作发布了关于保护软件供应链的三部分系列文章的最后一部分。 该出版物遵循2022年8月发布的开发人员指南和2022年10月发布的供应商指南,为客户提供了推荐做法,以确保软件在采购和部署阶段的完整性和安全性。其中包括使用业务流程使安全要求和风险评估保持最新,并要求充分保护和控制所有数据和元数据的地理定位。 文章描述了威胁行为者可能利用的各种场景。其中包括旨在应对威胁的安全要求不是特定领域或不包括组织要求的事实,以及安全要求分析中的差距可能导致解决方案或所选安全控制不匹配。 此外,文章还指出,公司应分配特定员工来验证特定领域和组织的安全要求,并协调风险概况定义与任务和企业领域等。 最近的网络攻击,如针对SolarWinds及其客户的攻击,以及利用Log4j等漏洞的攻击,都突出了软件供应链中的弱点;这一问题既涉及商业软件,也涉及开源软件,对私营企业和政府企业都有影响。软件供应链可能会被国家对手使用类似的战术技术和程序(TTP)进行攻击,因此越来越需要软件供应链安全意识。 文章中还提到,白宫对此特地发布了关于改善国家网络安全的行政命令(EO 14028)。该命令确立了保护联邦政府软件供应链的新要求。这些要求包括对软件供应商和开发人员以及为联邦政府购买软件的客户的系统审查过程改进和安全标准。 CISA写道:“当产品没有得到适当的保护,当客户与可疑的地理位置和元数据相关联,或者当客户被怀疑与外国利益相关时,一般的安全漏洞也可能普遍存在。” JupiterOne首席信息安全Sounil Yu表示:“软件生产通常由行业完成,因此会有一些行业力量拒绝生产软件物料清单(SBOM)。由于行业和政府都使用软件,支持共享SBOM符合行业和政府的最大利益。但是,我们会看到政府内部的阻力较小。” CISA还表示,还应建立所有收购的安全要求。通过分拆公司、外部实体或第三方供应商获取软件时,客户应对整个供应链风险管理 (SCRM) 计算实施持续监控,并采取适当的控制措施来减轻假设变化和安全风险。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/y3n3PEfQsZtpWkYPc-wKCQ 封面来源于网络,如有侵权请联系删除

全球医疗机构因勒索软件攻击累计停机超 7 千天,造成经济损失 920 亿美元

安全内参11月18日消息,自2018年以来,全球已发生500次公开确认的针对医疗保健组织的勒索软件攻击。凶猛的攻势导致近13000个独立设施瘫痪,并影响到近4900万份病患记录。 总体估算,我们认为这些攻击仅由停机造成的经济损失就已超过920亿美元。 勒索软件攻击对各行业不同组织有着广泛的破坏力。其不仅能够将系统加密锁死,还可能将个人数据置于失窃与被利用的风险之下。而当来到医疗保健场景,相关风险将进一步提升,关键系统和患者数据可能无法访问,导致严重延误甚至危及病患生命安全。例如,阿拉巴马州一项将于本月开庭的诉讼就表明,2019年针对一家医院的勒索软件攻击已致使一名婴儿死亡。 下面,本文将探究勒索软件对全球医疗机构的攻击与影响。美国研究团队Comparitech使用全球勒索软件跟踪程序采集到的数据,探索了勒索软件在医疗保健领域引发的持续威胁,特别是这些攻击造成的真实成本。这次研究只涉及公开确认的攻击,所以实际数据可能更加触目惊心。 图:2018 年至 2022 年 10 月对医疗保健组织的勒索软件攻击 图:医疗保健勒索软件攻击次数(按组织类型划分) 请注意,某一国家比其他国家遭受的攻击次数更多,并不一定代表其更易成为攻击者的“目标”。相反,这可能代表着该国对勒索软件攻击的认识和报告更加成熟且深入。以美国为例,各州就有多种数据泄露报告工具和法规,有助于确认攻击事件。相比之下,其他国家/地区可能不存在同类工具或法规。 重要发现 2018年初至2022年10月期间,我们在研究中发现: 共有500起针对医疗机构的勒索软件攻击;其中2021年攻击数量最多,共发生166起。 共12961家独立医院/诊所/组织可能受到攻击影响。 攻击至少影响到4884万7107份个人病历,其中接近半数(约2000万份)来自2021年。 赎金要求从900美元到2000万美元不等。 我们估计,黑客索取的赎金总额已超过12亿美元。 我们估计,受害者已向黑客支付了近4400万美元赎金。 勒索攻击造成的停机时间从几小时到七个月(期间系统无法满负荷运转)不等。 攻击引发的平均停机时间从2021年和2022年开始急剧增加,分别为19.5天和16天。 全球勒索软件引发的医疗机构停机总成本估计为920亿美元。 Conti、Pysa、Maze、Hive和Vice Society成为占比最高的几种勒索软件毒株,前三种在2020/2021年间占据主导地位,后两种在2021/2022年间占主导地位。 针对医疗保健组织的逐年/逐月勒索软件攻击统计 如前文提到,2021年是医疗保健组织遭受勒索软件攻击最严重的一年,占自2018年以来整个采样周期内所有攻击的33%(166起)。2020年同样占比不小,共发生137起攻击。 这两年恰逢新冠疫情大爆发。由于医疗机构运营压力巨大、资源捉襟见肘,恶意黑客也找到了趁虚而入的方法,例如疲惫的员工们更难发现包含勒索软件的网络钓鱼邮件。 2022年起,针对医疗保健组织的勒索软件攻击有所减少,截至10月底共83起。虽然数量较少,但预计这一数字在未来几个月内又会重新上升,因为不少攻击是在发生几个月后才被公开上报(例如当黑客已经对外公布数据,或向受影响患者发出通告时,相关机构才被迫承认)。 攻击数量: 2022年(截至10月)— 83起 2021年 – 166起 2020年 – 137起 2019年 – 78起 2018年 – 36起 受影响的病患记录数量: 2022年(截至10月)— 535万1462份 2021年 – 2000万8774份 2020年 – 488万9336份 2019年 – 1802万7346份 2018年 – 57万189份 平均停机时间: 2022年(截至10月)– 16.1天 2021年 – 19.5天 2020年 – 12.3天 2019年 – 13.3天 2018年 – 2.6天 各年停机时长和相应事件数量(已知部分): 2022年(截至10月)– 514天 (32起事件) 2021年 – 974天(50起事件) 2020年 – 394天(32起事件) 2019年 – 279天(21起事件) 2018年 – 13天(5起事件) 估算总停机时间(将已知事件的平均值推衍至未知事件算出): 2022年(截至10月) – 1334天 2021年 – 3232天 2020年 – 1685天 2019年 – 1037天 2018年 – 94天 估算停机成本: 2022年(截至10月) – 166亿美元 2021年 – 403亿美元 2020年 – 210亿美元 2019年 – 129亿美元 2018年 – 117亿美元 勒索软件攻击对医疗机构造成的真实成本 不同攻击事件提出的赎金数额往往存在很大差异,统计数字发现赎金最低可至900美元(法国伊苏丹的Centre Hospitalier de la Tour Blanche à Issoudun医疗中心于2019年上报),最高则达到2000万美元(由爱尔兰健康服务局于2021年上报)。造成这种差异的原因,可能是因多数组织并未透露赎金要求(特别是决定屈服、向黑客支付赎金的组织),所以抽样结果不足以反映整体趋势。 只有40起事件报告中给出的赎金数字。除以上提到的爱尔兰健康服务局外,其他赎金数字巨大的事件还包括: 以色列Hillel Yaffe医疗中心——1000万美元:2021年10月,黑客向以色列Hillel Yaffe医疗中心勒索1000万美元。该中心拒绝付款,整个恢复周期持续了约一个月。 法国Le Centre Hospitalier Sud Francilien——1000万美元:法国CHSF在2022年8月收到1000万美元赎金要求。LockBit团伙随后将赎金要求减少至100万美元,但截至本文撰稿时,受害方仍未付款。目前距离服务中断已过去三周,预计将在11月内全面恢复。 美国UF Health Central Florida——500万美元:虽然尚未确认受害方是否支付了赎金,但院方已经提交一份涉及70万981名患者的数据泄露报告,这似乎表明其没有屈服于黑客的压力。 根据目前掌握的数据,可以看到: 平均勒索金额: 2022年(截至10月) – 188万7058美元 2021年 – 579万2857美元 2020年 – 69万624美元 2019年 – 38万6067美元 2018年 – 19400美元 索取的赎金总额(已知部分): 2022年(截至10月)– 1887万美元(10起事件) 2021年 – 4055万美元(7起事件) 2020年 – 414万美元(6起事件) 2019年 – 463万美元(12起事件) 2018年 – 97000美元(5起事件) 受害方支付赎金的百分比: 2022年(截至10月)– 13%(16起事件中,有2起支付了赎金) 2021年 – 9%(35起事件中,有3起支付了赎金) 2020年 – 26%(38起事件中,有10起支付了赎金) 2019年 – 30%(40起事件中,有12起支付了赎金) 2018年 – 36%(14起事件中,有5起支付了赎金) 通过这些数字,我们可以估算出: 赎金估算总额: 2022年(截至10月)– 1.566亿美元 2021年 – 9.616亿美元 2020年 – 9460万美元 2019年 – 3010万美元 2018年 – 69万8400美元 已支付赎金的估算总额: 2022年(截至10月)– 2140万美元 2021年 – 无法确认支付赎金总额 2020年 –1930万美元 2019年 – 270万美元 2018年 – 38万5714美元 可以看到,近年来勒索软件攻击提出的赎金要求一路飙升,但能够确认的赎金支付数额并不算大。随着人们对勒索软件的认知不断提高,更多企业可能不会公开赎金要求以及是否支付了赎金。毕竟有观点认为,承认支付赎金只会给这些组织招来更多后续勒索攻击。 这一观点有其事实支撑。2021年根本无法确认支付赎金总额,而2022年也仅有一笔赎金上报:恶意黑客对卢森堡、比利时和荷兰的130多处分支机构系统造成严重破坏之后,牙医诊所Colosseum Dental为此支付了超过200万美元赎金。 用停机时间计算损失 可以看到,单靠赎金来计算勒索软件攻击造成的损失非常困难。但我们发现,此类事件中还有另一个更易于衡量的因素——停机时间。 在多数情况下,勒索软件攻击都会导致系统在数小时、数天、数周甚至数月之内无法访问。在某些极端情况下,系统甚至无法恢复正常。 从前文数据可以看到,我们整理到共140个实体的停机时间,总停机时长为2174天,相除计算得出每起攻击事件的平均停机时长。以此为依据,即可估算出所有上报勒索软件攻击的停机总时长——结果为,全球医疗保健组织因停机而承受的业务中断总计7381天,相当于20多年。 2017年的一项研究发现,20个不同行业的平均每分钟停机成本估算为8662美元。按同样的标准计算,医疗保健组织仅因系统停机就损失了超过920亿美元。 尽管这个数字看似巨大,但从部分医疗机构在遭受攻击后披露的信息来看,好像也不是那么夸张。 例如,爱尔兰健康服务局就透露,在攻击发生之后,他们花费了21亿美元升级其IT系统。2021年针对美国Scripps Health的攻击也造成了超1.12亿美元损失。 针对医疗机构的勒索软件攻击仍是一大突出威胁 尽管2022年针对医疗保健组织的勒索攻击数量有所下降,但这并不代表威胁程度有所降低。可以看到恶意黑客提出的赎金数字和造成的停机时间愈发可观,而且黑客可能也在选取更具针对性的攻击方法,确保用更广泛的破坏力提升收到赎金的机率。 此外,针对系统进行加密锁定和数据窃取的“双重勒索”也愈发多见。即使受害实体能够利用备份快速恢复系统,恶意黑客仍然掌握着大量病患私人数据,足以强迫企业选择接受谈判。而且即使企业方最终拒绝支付赎金,出售这些数据也可能给黑客带来巨额利润。 勒索软件攻击有所减少的另一个原因(此趋势在美国乃至全球各行业均有体现)在于,组织对于遭受攻击的态度越来越“低调”。随着人们对勒索攻击认知的增加,受影响实体不太愿意以坦诚的态度上报此类事件。这一方面源自遭受勒索软件攻击带来的耻辱感,另外也是担心会在未来招致更多攻击。 研究方法 从勒索软件攻击图谱中的数据来看,我们在研究中共发现了500起针对医疗保健组织的勒索软件攻击。结合数据内容,我们最终估算出了赎金总额、是否支付赎金以及造成的停机时间。 对于未给出具体停机数字的事件,例如“数日”、“一个月”或“六周后已恢复至80%”,我们会根据数字的下限进行估算。例如,“数日”计为3天,“一个月”计为攻击发生当月的总天数,“六周后已恢复至80%”则直接计为六周。 对于受勒索攻击事件影响的组织,我们将其整理为17种具体类型,定义如下: 学术性医院 救护服务 诊所:提供全方位医疗保健服务的诊所 诊所网络:由多家诊所组成的体系,提供全方位的医疗保健服务 牙医诊所:提供牙科保健服务的诊所 政府卫生部门:受健康相关数据泄露影响的一般政府部门/实体,例如人类卫生服务部/州政府 家庭/老年护理:包括在当地社区提供社会服务的组织 医院 医院网络:由多家医院组成的体系,提供全方位的医疗保健服务 实验室:以医疗健康为基础的实验室业务 心理健康:为成瘾性等精神疾病提供支持的服务机构 验光诊所:提供眼科保健服务的诊所 药房:专门提供药品的组织/网络 康复服务 医疗研究机构 专科诊所:面向特定医疗保健领域的诊所,例如内科诊所或康复中心 专科诊所网络:同上,但拥有多家诊所/多个运营地点 转自 安全内参,原文链接:https://www.secrss.com/articles/49153 封面来源于网络,如有侵权请联系删除

印度在新的隐私法案中提议允许与某些国家进行跨境数据传输

之前印度提出了一项新的全面数据隐私法,该法将规定公司如何处理其公民的数据,包括允许与某些国家进行信息的跨境转移,三个月后,印度在隐私倡导者和科技巨头的审查和关注下突然撤回了之前的提案。该国信息技术部于周五公布了一份名为《2022年数字个人数据保护法案》的拟议规则草案,供公众咨询。它将在12月17日前听取公众的意见。 草案说:”本法案的目的是规定数字个人数据的处理方式,既要承认个人保护其个人数据的权利,又要承认为合法目的处理个人数据的必要性,以及与此相关或附带的事项。” 该草案允许与”某些被通知的国家和地区”进行数据的跨境互动,此举被视为科技公司的胜利。 草案说:”中央政府在对其认为必要的因素进行评估后,可以通知印度以外的国家或地区,数据受托人可以按照规定的条款和条件将个人数据转移到这些国家或地区”,但没有指明具体国家。 代表Meta、Google、亚马逊和其他许多科技公司的游说团体的亚洲互联网联盟曾要求新德里允许数据跨境转移。他们在今年早些时候给信息技术部的一封信中写道:”跨境转移的决定应该不受行政或政治干预,最好是受到最低限度的监管。” “对跨境数据流动施加限制可能会导致更高的商业失败率,为初创企业引入障碍,并导致现有市场参与者提供更昂贵的产品。最终,上述授权将影响数字包容性和印度消费者访问真正的全球互联网和服务质量的能力,”该组织曾说。 该提案还试图赋予新德里(联邦政府)以权力,使各邦政府出于国家安全的考虑而豁免该法律。 该草案还提议,公司只能将他们收集的用户数据用于他们最初获得的目的。它还要求公司承担责任,确保他们为用户处理个人数据的确切目的而收集数据。 它还要求企业在默认情况下不要永久存储数据。该部的一份说明说:”存储应限于收集个人数据的既定目的所需的时间。” 该草案建议,如果公司未能提供”合理的安全保障措施以防止个人数据泄露”,最高可罚款等值3060万美元的当地货币。如果公司未能通知当地政府,以及未能披露个人数据泄露的用户,还将被罚款2450万美元。 印度政府自称早期提出的规则有助于保护公民的个人数据,根据其性质将其分为不同的部分,如敏感或关键。然而,根据该草案,新版本并没有对数据进行这样的隔离。 与欧洲的GDPR和美国的CCPA(加州消费者隐私法)类似,印度拟议的《2022年数字个人数据保护法案》将适用于在该国经营的企业和处理印度公民数据的任何实体。 公共政策专家对政府将该提案从以前的版本缩减到30条的举动表示赞赏–从90多条到30条。然而,他们认为,削减其文本会带来一些模糊性。 数字政策倡导者、总部位于新德里的科技政策智囊团The Dialogue的创始董事卡齐姆-里兹维(Kazim Rizvi)表示,删除与在各监管机构之间达成谅解备忘录以建立监管间协调有关的条款,以及省略测试创新的沙盒机制是有些令人担忧的。 “鉴于该法案将在不一致的情况下优先于其他现有的和拟议的法律,在印度的监管格局中,这种管辖权的先例说起来容易,实施起来难。因此,有必要采取更有条理的方法来协调现有的和拟议的相关法律,比如一个交叉参考系统,部门或特定领域的监管机构可以与《数字保护法》合作制定法规,”他说。 预计在接受公众咨询后,拟议的规则将在议会中讨论,不会对该国十多年前起草的有争议的特定法律带来任何变化。不过,新德里正在努力更新其二十年前的信息技术法,该法将作为《数字印度法》首次亮相。印度信息技术部部长Rajeev Chandrasekhar在最近的一次采访中透露将隔离中介机构,并作为终局。 今年8月,印度政府撤回了早先的《个人数据保护法案》,该法案是在人们的期待和司法压力下于2019年公布的。当时,印度IT部长Ashwini Vaishnaw说,考虑撤回是为了”提出一个符合综合法律框架的新法案”。Meta、Google和亚马逊等公司曾对议会联合委员会关于拟议法案的一些建议表示担忧。 带来数据保护法的举动是在2017年印度最高法院宣布隐私是一项基本权利。然而,由于其授予政府机构访问公民数据的权力的内在性质,该国先前的数据保护法案面临强烈的批评。 在本周早些时候在巴厘岛举行的20国集团峰会期间的一次会议上,总理纳伦德拉-莫迪谈到了”数据促进发展”的原则,并表示该国将与20国集团伙伴合作,在明年担任19个国家的政府间论坛主席期间,将”数字转型引入每个人的生活”。 转自 cnBeta,原文链接:https://www.toutiao.com/article/7167649215261180456/?log_from=4340accc3e02e_1669001529978 封面来源于网络,如有侵权请联系删除

臭名昭著的 Zeus 僵尸网络团伙头目在日内瓦被捕

Hackernews 编译,转载请注明出处: 一名乌克兰国民因参与臭名昭著的网络犯罪集团,使用名为Zeus的恶意软件从受害者的银行账户窃取数百万美元,被美国通缉十多年,已被瑞士当局逮捕。 Vyacheslav Igorevich Penchukov在网上化名“tank”和“father”,据说他参与了该组织的日常运营,于2022年10月23日被捕,目前正在等待引渡到美国。 独立安全记者Brian Krebs首先报道了逮捕的细节。 Penchukov和Ivan Viktorovich Klepikov(又名“petrovich”和“nowhere”)和Alexey Dmitrievich Bron(又名“thehead”)于2012年8月在内布拉斯加州特区首次被指控。 根据美国司法部(DoJ)在2014年发布的法庭文件,Penchukov和网络犯罪集团的其他八名成员用Zeus感染了“数千台商业计算机”,Zeus能够窃取密码、帐号和其他与登录网上银行帐户相关的信息。 然后,这些缴获的凭证被用来从账户中抽取资金,司法部称Jabber Zeus团伙为“广泛的勒索企业”。 2017年的一份WIRED报道称,Zeus银行木马是由一位匿名人士编写的,只知道此人的名字是lucky12345,将Penchukov描述为当地著名的DJ,喜欢高档宝马和保时捷。 更重要的是,被“无限适应性”恶意软件感染的机器可以被折叠到僵尸网络中,僵尸网络的力量可以用来执行分布式拒绝服务(DDoS)攻击。 Zeus的继任者,被称为Gameover Zeus,是一个对等僵尸网络,在2014年作为代号为Tovar的国际执法行动的一部分,被暂时中断。 所有被告都被指控共谋参与敲诈勒索活动、共谋实施计算机欺诈和身份盗窃、严重身份盗窃以及多项银行欺诈罪。 他的两名同谋Yevhen Kulibaba(又名“jonni”)和Yuriy Konovalenko(又名为“jtk0”)于2014年11月从英国引渡回国后认罪,并于2015年5月28日被判处两年零十个月监禁。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

Meta 宣布与国际足联合作,遏制世界杯举办时期的网络骚扰行为

Meta公司正试图在2022年国际足联世界杯期间阻止网络骚扰问题,阐述了该公司为保护球员和球迷免受有害内容影响而采取的措施。去年,Facebook和Instagram都因未能保护英格兰国家足球队的黑人球员免受种族主义虐待而受到批评,球员们在2021年欧洲杯比赛期间遭到骚扰,导致英格兰各地的球队和组织在社交媒体上抵制。 在今天的一篇博文中,Meta公司表示,它正在与国际足联等球队和协会合作,教球员如何使用Instagram上的反骚扰功能,如”关键词过滤”和”限制”。它还强调,它在今年早些时候向Instagram推出了新的提示,阻止用户回复攻击性评论,并表示它在今年4月至6月期间能够对超过1700万件仇恨言论采取行动。不过,这些功能都不是新的,也不是专门为处理世界杯而设计的。 Meta博文中写道:”我们有明确的规则,反对欺凌、暴力威胁和仇恨言论–我们不希望它出现在我们的应用上。该声明是在2022年国际足联世界杯的紧张局势下发表的,因为球迷和球员都批评主办国对移民工人、妇女和LGBTQ群体存在大量侵犯权益的行为。” 关于已经存在的其他保护措施,Meta公司强调了一些工具,这些工具允许用户自己进行调节:包括逐个管理帖子评论权限;可以禁用公共直接信息;阻止攻击性用户。但这些解决方案对于希望与粉丝自由交流的公众人物来说可能并不理想。 Meta公司为减少Instagram上的辱骂性信息所做的其他努力包括简单地要求用户不要过于刻薄。 国际足联和更广泛的足球行业围绕其球迷和成员的行为已经有了不好的名声,但即将在卡塔尔举行的2022年国际足联世界杯特别引发了关注。自从赛事被授予卡塔尔以来,围绕针对卡塔尔人权的抗议活动一直在进行,美国司法部此前认为这一决定是国际足联官员受贿的结果。 2021年的一项调查发现,至少有6500名移民工人因卡塔尔的极端工作条件(包括缺乏水)而死亡。 转自 cnBeta,原文链接:https://www.toutiao.com/article/7167056317851533863/?log_from=3dab4d5828403_1668735515486 封面来源于网络,如有侵权请联系删除

中美俄首次参与网安演习,明年将面对面对抗

韩联社16日报道称,韩国国防部当天宣布,东盟防长扩大会议网络安全专家工作组第9次会议于16日至17日以视频方式举行。韩国和马来西亚作为共同主席国主持会议,中国、美国、俄罗斯、日本、印度、澳大利亚、新西兰和东盟的十个成员国参与其中。会议内容包括网络安全跨国演习,这将是中美俄首次共同参与此类演习。 报道称,16日,与会国讨论网络安全演习课题,以增强各方在网络安全领域制定和落实国防政策的能力。17日,与会国将共同实施应对网络安全威胁的模拟演习。在演习中,两国组成一队,共同解决勒索软件攻击等网络安全问题。韩国国防部期望“此次演练有助于缩小各国之间网络响应能力的差距”。各方还将于明年下半年在韩国以面对面的方式实施演习。 今年5月,韩国正式加入北约网络防御中心,成为首个加入该组织的亚洲国家。韩国媒体宣称,此次牵手北约是韩国在网络空间领域软、硬实力的体现,也是“韩国与北约关系持续深化拓展的折射”。 此后,韩国分别与荷兰、澳大利亚和德国进行了网络安全对话会议,围绕评估对手网络攻击能力、制定政策法规、规划战略等内容展开经验交流。在不久前结束的北约峰会上,网络安全领域合作成为韩国与比利时、英国等国双边会晤的重要议题。 此次韩军计划接连参加两场北约组织的网络战演习,目的是进一步加强其与北约国家在新型作战领域的军事合作。按计划,在美国主办的“网络旗帜”多国联合军演中,韩军将派遣20名网络战人员,模拟构建韩国网络作战司令部指挥中心,重点演练联合友军帮助“基础设施受到网络攻击的盟友”进行防御、溯源和反击。韩国国防部介绍称,演习结束后,韩军网络作战司令部将分批次派遣不同层级的军官赴美交流。 在北约网络防御中心主办的演习中,韩国将以正式成员身份参加竞技比武。韩军将派出网络领域专家团,围绕演习进程和效果,研究讨论网络空间“作战规则”。 转自 凤凰网,原文链接:https://mp.weixin.qq.com/s/0yv7mBOY-zyeccdg64hAnA 封面来源于网络,如有侵权请联系删除