分类: 恶意软件

港口被黑、财政数据失窃…2022年全球关基设施屡遭勒索软件蹂躏

全球超级港口之一、葡萄牙最大港口里斯本港当地官员确认,由于遭受网络攻击,港口网站一周后仍无法正常访问。大约在同一时间,LockBit团伙将里斯本港列入其网站已勒索名单,声称发动了勒索软件攻击。 新闻报道称,里斯本港务局(APL)证实,本次攻击并未损害其关键基础设施的运营。攻击发生后,港务局已将事件上报至国家网络安全中心和司法警察局。 港口官员在采访中表示,“针对此类事件规划的各项安全协议和响应措施都已迅速启动。里斯本港务局与各主管部门长期保持密切合作,共同保障系统和相关数据的安全。” LockBit勒索软件团伙声称,窃取到了财务报告、审计、预算、合同、货物信息、船舶日志、船员详细信息、客户PII(个人身份信息)、港口文件、往来邮件等数据。该团伙还公布了被盗数据样本,但披露数据的合法性无法得到验证和证实。 LockBit威胁称,若里斯本港不满足赎金要求,他们将在2023年1月18日公布入侵期间窃取到的所有数据。该团伙提出的赎金数额为150万美元,并表示受害者可以先支付1000美元,将数据发布时间延后24小时。 年底勒索软件团伙愈加猖獗 上个月,LockBit勒索软件团伙袭击了美国加利福尼亚州财政部,并窃取到76 Gb数据。该团伙威胁称,如果受害者不在2022年12月24日前支付赎金,将泄露窃取数据内容。根据声明,LockBit在此次攻击中窃取到数据库、机密数据、财务文件、认证、法庭与性诉讼资料、IT文件等信息。 加州财政部在声明中确认了此次攻击事件,称“加利福尼亚州网络安全集成中心(Cal-CSIC)正积极应对涉及州财政部的网络安全事件。通过与州及联邦安全合作伙伴共同协调,已主动发现了入侵行为。在识别出威胁后,已迅速部署数字安全与在线威胁搜寻专家以评估入侵程度,同时检查、遏制和缓解未来漏洞。” 以往,黑客团伙曾多次在勒索要求未得到满足下公开数据内容。2022年10月,新闻报道称Hive勒索软件的勒索即服务(RaaS)团伙就泄露了从印度塔塔电力能源公司窃取到的数据。两周前,该黑客团伙对外声称对塔塔电力网络攻击事件负责,塔塔电力也做出证实。 已有研究表明,LockBit 3.0似乎采用(或大量借鉴)了BlackMatter勒索软件家族提出的概念和技术。研究人员从二者间发现了诸多相似之处,有强烈迹象表明LockBit 3.0复用了BlackMatter的代码。 过去一年全球关基设施屡遭勒索攻击蹂躏 里斯本港勒索攻击事件是针对欧洲港口一系列严重网络攻击的又一起事件。 2022年2月,网络攻击影响到整个欧洲的多家石油运输和储存企业,当局确认这波大规模网络攻击还波及到比利时、德国和荷兰的港口设施。比利时SEA-Invest和荷兰Evos的IT系统遭到破坏;与此同时,有未经证实的报道称,BlackCat勒索软件可能已破坏了德国石油供应商Oiltanking GmbH Group和Mabanaft Group的系统。 2022年11月,美国国土安全部部长Alejandro N. Mayorkas在参议院国土安全和政府事务委员会就“对国土的威胁”问题作证时称,截至2022年2月,网络安全与基础设施安全局、联邦调查局和国家安全局发现,美国16大关键基础设施行业中有14个都曾遭受勒索软件事件影响。受害者在2021年上半年共支付约5.9亿美元赎金,远高于2020年全年的4.16亿美元。 Mayorkas表示,“我们认为对于勒索软件事件的报告仍严重不足。根据评估,我们认为针对美国网络的勒索软件攻击在短期和长期内还将继续增加,因为网络犯罪分子已经建立起有效的商业模式,能够提高攻击活动的经济收益、成功几率和匿名性。” 近年来,勒索攻击事件在美国各州、地方、部落和领土(SLTT)政府机构及关键基础设施组织层面已愈发普遍。2020年,全美勒索攻击提出的赎金总额超过14亿美元。     转自 安全内参,原文链接:https://www.secrss.com/articles/50771 封面来源于网络,如有侵权请联系删除

伊朗黑客组织 COBALT MIRAGE 的恶意软件 Drokbk 滥用 GitHub

伊朗攻击组织 COBALT MIRAGE 的 B 小组使用 .NET 编写的恶意软件 Drokbk,由 Dropper 与 Payload 组成。该恶意软件内置的功能有限,主要就是执行 C&C 服务器的命令。2022 年 2 月,美国政府在针对地方政府网络的入侵攻击中发现了该恶意软件,后续在 VirusTotal 上发现了该样本。 组织关系 Drokbk 恶意软件作为失陷主机中一种附加持久化方式,通常和其他恶意软件一同使用,COBALT MIRAGE 的首选远控方式仍然还是 FRPC。COBALT MIRAGE 的 A 小组对 FRPC 进行了定制化修改,名为 TunnelFish。但 COBALT MIRAGE 的 B 小组仍然喜欢使用未修改的版本。在 2022 年 3 月的一份分析报告中,攻击者表现出了 B 小组的攻击行为,其中也提及了 Drokbk.exe。并且攻击者使用的 C&C 域名 activate-microsoft.cf 也与 B 小组有关。 分析人员在调查 2 月使用 Log4j 漏洞(CVE-2021-44228 和 CVE-2021-45046)入侵 VMware Horizon 服务器时,发现 Drokbk.exe 是从合法服务下载的压缩文件 Drokbk.zip 中释放的。攻击者将其置于 C:\Users\DomainAdmin\Desktop\ 并执行。 Drokbk 进程树 Drokbk Dropper 会检查 C:\programdata\SoftwareDistribution 目录是否存在,如果不存在则创建该目录。随后,Dropper 将资源段中所有数据写入 c:\users\public\pla。紧接着,程序再将其复制到 c:\programdata\SoftwareDistribution\SessionService.exe。使用该文件,Dropper 添加名为 SessionManagerService 的服务进行持久化。最后,Dropper 删除 c:\users\public\pla 文件收尾。整体过程如上所示。B 小组的攻击者喜欢将 c:\users\public\ 作为恶意软件所使用的共用目录。 SessionService.exe 是最主要的 Payload,其 C&C 通信的域名在其中内置了。但 Drokbk 仍然连接到互联网的合法服务(例如 GitHub)来获取 C&C 服务器地址。C&C 服务器信息存储在云服务的账户中,该账户也内嵌在恶意软件中。 反编译代码 如上显示了 SessionService.exe 的反编译代码,样本通过 GitHub API 搜索名为 mainrepositorytogeta 的存储库。 如下所示,GitHub 对应仓库的 README.md 文件中记录着 C&C 服务器的信息。攻击者使用的 GitHub 账户名称为 Shinault23。 通过 GitHub 获取 C&C 信息 这种方式为攻击者提供了更大的灵活性,当账户被禁用时,攻击者可以利用其他账户创建相同名称的仓库,也可以通过不断重复此过程来更新 C&C 服务器信息。 README.md 文件首次提交是 2022 年 6 月 9 日,而在 6 月 9 日至 7 月 13 日期间,攻击者多次修改 C&C 服务器地址。如下所示: commit 提交记录 下图列出了 6 月 9 日至 7 月 13 日期间配置的 C&C 服务器,这些域名与 URL 的结构与之前发现的 B 小组的攻击基础设施是类似的。 C&C 服务器列表 根据提供的 C&C 服务器信息,SessionService.exe 向 C&C 服务器发起请求,其中包含主机名与当前时间。 发起请求 Drokbk 创建了以下文件,但在分析期间未能收到有效命令。 C:\Windows\Temp\v2ggla C:\Windows\Temp\vdoma434 C:\programdata\Interop Services IOC 372b1946907ab9897737799f3bc8c13100519705 e26a66bfe0da89405e25a66baad95b05 4eb5c832ce940739d6c0eb1b4fc7a78def1dd15e 64f39b858c1d784df1ca8eb895ac7eaf47bf39acf008ed4ae27a796ac90f841b 8c8e184c280db126e6fcfcc507aea925 aefab35127292cbe0e1d8a1a2fa7c39c9d72f2ea 29dc4cae5f08c215d57893483b5b42cb00a2d0e7d8361cda9feeaf515f8b5d9e 14a0e5665a95714ff4951bd35eb73606 0426f65ea5bcff9e0dc48e236bbec293380ccc43 a8e18a84898f46cd88813838f5e69f05240c4853af2aee5917dcee3a3e2a5d5a b90f05b5e705e0b0cb47f51b985f84db 5bd0690247dc1e446916800af169270f100d089b 28332bdbfaeb8333dad5ada3c10819a1a015db9106d5e8a74beaaf03797511aa activate-microsoft.cf dns-iprecords.tk oracle-java.cf 51.89.135.154 142.44.149.199 142.44.149.199/gsdi546gsja universityofmhealth.biz 142.44.198.202     转自 Freebuf,原文链接:https://www.freebuf.com/articles/network/354070.html 封面来源于网络,如有侵权请联系删除

LockBit 被破解!日本警方已帮助3家企业恢复数据

据日本媒体报道,日本警察厅已成功解密由LockBit勒索软件组织加密的文件,帮助至少 3 家公司在没有支付赎金的情况下恢复了数据。 反恶意软件供应商 Malwarebytes 最近表示, LockBit 是2022 年最多产的勒索软件团伙,在全球范围内进行了数百次已确认的攻击,但现在日本警察厅似乎找到了消除威胁的方法。 这要归功于日本警察厅今年 4 月新成立的网络警察局和网络特别调查组,大约 2400 名调查人员和技术人员开始专注于网络犯罪领域。“我们因此能够避免丢失数据或需要付费才能取回数据。”今年9 月曾遭受 LockBit 攻击的汽车零部件制造商 Nittan 的一位代表告诉媒体。 据悉,日本警察厅已经开始着手与其他国家调查机构分享其解密方法。碰巧的是,国际反勒索软件特别工作组也可能会在2023年1月开始运作。该工作组包括美国、日本及澳大利亚,它们共同属于Counter Ransomware Initiative,该合作伙伴关系包括了欧盟在内的 36 个国家。 早在几年前,欧洲刑警组织和 IT 安全公司就开始提供免费的恢复工具,私营公司也开发了一些自己的工具。然而,这些大多适用于较旧的恶意软件,并没有对较新版本的勒索软件起到太大作用。 LockBit 自 2019年末出现以来,已迅速更跌至3.0版本,成为最流行的勒索软件系列之一,勒索目标涵盖了大型跨国公司及地方政府,权威人士认为 LockBit 的成功源于该组织成熟的RaaS(勒索软件及服务)运作能力。此外,由于LockBit 组织相对分散,局部的执法行动很难动其根基,因此研发解密工具无疑是现阶段一种比较有效的反制措施。   转自 Freebuf,原文链接:https://www.freebuf.com/articles/353927.html 封面来源于网络,如有侵权请联系删除

俄亥俄州法院、警察局遭到 LockBit 勒索软件攻击

Therecord 网站披露,俄亥俄州芒特弗农市警察局、法院和其它政府办公室遭到勒索软件攻击。市政府官员表示,本市信息技术 IT 供应商使用的某个远程访问工具中存在一个安全漏洞,攻击者安装了名为 LockBit 的勒索软件,并要求支付赎金以获取某些文件。 攻击事件发生后,市政府安全专家和 IT 供应商 Dynamic Networks 一直在努力利用备份恢复所有受影响的系统。从发布的声明来看,易受勒索软件影响的软件已经从所有系统中移除了。 LockBit 勒索软件团伙 2022 年,勒索软件团伙针对新泽西、科罗拉多、俄勒冈、纽约和其他几个州的政府展开了网络攻击。 专家指出,这是针对地方、州和国家政府持续攻击趋势的一部分,今年发生了 175 起针对政府的网络攻击,相比 2021 年 196 起有所下降,但仍然是一个大问题。 LockBit 已迅速成为 2022 年最“活跃”的勒索软件团伙,今年对世界各地政府机构、公司和组织发动了数百次网络袭击。该团伙在 2020 年 1 月开始崭露头角,目前已经成为世界上最活跃和最具破坏性的勒索软件变种之一。 根据 Recorded Future 从勒索网站、政府机构、新闻报道、黑客论坛和其它来源收集到的数据来看,LockBit团伙 与 8 月份发生的 82 次网络攻击事件有关,受害者总数更是达到 1111 个。 法国警方也表示,LockBit 上个月对巴黎东南部一家医院进行破坏性的网络攻击,此次攻击破坏了医院的医疗影像、病人入院和其它服务。此外,据网络安全公司 Dragos 的数据,第二季度针对工业系统的勒索软件攻击中约有三分之一是由 LockBi t发起的。 截至 2022 年 12 月,勒索软件攻击的图表。 自 6 月以来,LockBit 组织的活动突然激增,值得一提的是,该组织还推出了新版本 LockBit 3.0”,据称该版本包括技术改进和漏洞赏金计划。     转自 Freebuf,原文链接:https://www.freebuf.com/news/353816.html 封面来源于网络,如有侵权请联系删除

微软发现:新的攻击手段已影响全球不同类型物联网设备一年之久

新发现的Zerobot僵尸网络继续发展,越来越多地针对连接设备。 根据微软发布的一份报告显示,最新版本Data to Drag的恶意软件Zerobot 1.1增加了新的漏洞和分布式拒绝服务攻击能力,将恶意软件的影响范围扩大到不同类型的物联网设备。研究人员曾于去年11月首次发现Zerobot。 Zerobot 影响各种设备,包括防火墙设备、路由器和摄像头,将受感染的设备添加到分布式拒绝服务 (DDoS) 僵尸网络中。使用多个模块,该恶意软件可以感染构建在不同体系结构和操作系统上的易受攻击的设备,找到要感染的其他设备,实现持久性并攻击一系列协议。Microsoft 将此活动跟踪为 DEV-1061。 Zerobot 的最新发行版包括其他功能,例如利用 Apache 和 Apache Spark 中的漏洞(分别为 CVE-2021-42013 和 CVE-2022-33891),以及新的 DDoS 攻击功能。 Microsoft 使用 DEV-#### 名称作为未知、新兴或发展中的威胁活动集群的临时名称,允许 Microsoft 将其作为一组独特的信息进行跟踪,直到对威胁的来源或身份达到高度信任为止活动背后的参与者。一旦满足定义的标准,DEV 组就会转换为指定的参与者。 据微软称,这种恶意软件主要通过未打补丁和保护不当的物联网设备传播,如防火墙、路由器和摄像头。黑客不断修改僵尸网络,以扩大和发现尽可能多的设备。 微软发现了Zerobot滥用的7个新漏洞,此外还有21个漏洞,如本月早些时候由Fortinet发现的Spring4Shell和F5 Big。   Zerobot 1.1 包含的几个新漏洞(不完全) Zerobot的升级版利用了Apache web服务器软件、Apache Spark数据处理引擎和通信设备制造商Grandstream等公司的漏洞。 更新后的恶意软件还具有七种新的DDoS功能。根据微软的说法,成功的DDoS攻击可能会被威胁行为者用来勒索赎金,分散其他恶意活动的注意力,或破坏运营。   之前已知的 Zerobot 功能   以前未公开的新功能 Zerobot是用Go编程语言编写的,主要影响Linux设备。微软声称发现了几个可以在Windows上运行的恶意软件样本。在Windows电脑上,恶意软件会将自己复制到名为FireWall.exe的启动文件夹中。 微软研究人员发现其中一个样本基于跨平台(Linux、Windows、macOS)开源远程管理工具(RAT),具有管理进程、文件操作、屏幕截图和运行命令等多种功能。该工具是通过调查恶意软件使用的命令和控制 (C2) IP 发现的。用于下载此 RAT 的脚本称为impst.sh: 用于下载远程管理工具的impst.sh脚本 Zerobot针对使用默认或弱凭据的不安全配置的物联网设备。恶意软件可能会试图通过使用8个常用用户名和130个密码的组合来获得设备访问权限。一旦获得对设备的访问权,Zerobot就会注入恶意有效载荷,下载并试图执行僵尸网络。 恶意软件在Linux和Windows上有不同的持久机制。黑客使用持久性策略来保持对设备的访问,并在未来寻找其他暴露在互联网上的设备进行感染。 当用户愿意付费发动DDoS攻击时,它就会作为恶意软件即服务方案的一部分提供。微软表示,购买Zerobot恶意软件的黑客可以根据目标修改攻击。 微软表示,恶意软件即服务的“商业模式”使网络攻击工业化,使威胁行为者更容易购买恶意软件,并保持对受损网络的访问。 研究人员在各种社交媒体网络上追踪了Zerobot僵尸网络的广告。去年12月,FBI查获了48个与DDoS-for-hire服务有关的域名,其中一个与Zerobot有链接。   转自 E安全,原文链接:https://mp.weixin.qq.com/s/t98vqpf97Rb0eXXwje58sw 封面来源于网络,如有侵权请联系删除

Royal 勒索软件攻击瞄准美国医疗系统

美国卫生与公众服务部(HHS)发出警告称:名为Royal的勒索软件组织正对国家医疗保健系统发起攻击。 该机构的卫生部门网络安全协调中心(HC3)说:”虽然大多数已知的勒索软件运营商都提供勒索软件服务,但Royal似乎是一个没有任何附属机构的私人团体,同时对于攻击的目标也一直出于经济目的。 目前,该组织声称要窃取数据进行双重勒索攻击,他们也会渗出敏感数据。 据Fortinet FortiGuard实验室称,Royal勒索软件至少从2022年开始活跃。该恶意软件是一个用C++编写的64位Windows可执行文件,通过命令行启动,这也表明它需要人工操作来触发在进入目标环境后感染。 除了删除系统中的卷影副本外,Royal还利用OpenSSL加密库对文件进行AES标准的加密,并在文件后缀上”.royal”。 上个月微软披露,它正在跟踪的一个名为DEV-0569的团体被观察到通过各种方法部署勒索软件。 这包括通过恶意广告、假的论坛页面、博客评论,或通过钓鱼邮件将恶意链接传递给受害者,导致合法的应用程序(如Microsoft Teams或Zoom)被安装流氓程序文件。 据了解,这些文件藏有一个被称为BATLOADER的恶意软件下载器,然后被用来提供各种各样的有效载荷,如Gozi、Vidar、BumbleBee,此外还滥用远程管理工具(如Syncro)来安装Cobalt Strike,以便后续部署勒索软件。 这个勒索软件团伙尽管今年才出现,但据了解该组织是由来自其他组织的有经验的攻击者组成,这表明了攻击方式在不断进化。 目前Royal勒索软件对医疗保健系统的攻击主要集中在美国,赎金要求从25万美元到200万美元不等。   转自 Freebuf,原文链接:https://www.freebuf.com/news/352319.html 封面来源于网络,如有侵权请联系删除

比利时最大城市数字服务被迫中断

由于合作的数字供应商日前遭受网络攻击,西欧国家比利时的安特卫普市的数字服务被迫中断,目前正努力恢复。 服务中断影响到当地市民、学校、日托中心和警署所使用的服务。截至目前,各项服务仍处于时断时续的不稳定状态。 资料显示,安特卫普市是比利时面积最大、人口最多的城市。 电子邮件和电话系统均已中断 针对这起事件的调查正在进行中。从已公布的少量信息来看,造成服务中断的应该是勒索软件攻击,但幕后黑手是谁尚不明确。 据比利时媒体《Het Laatste Nieuws》(简称HLN)报道,黑客实际是破坏了为城市提供管理软件的数字合作伙伴Digipolis的服务器,由此导致安特卫普的政务系统陷入瘫痪。 HLN还提到,几乎所有Widows应用程序都受到了影响。 一些部门的电话服务无法正常使用。维尔莱克区议员Alexandrad’Archambeau早些时候评论称,该市的电子邮件服务也出现了故障。 图:安特卫普市政决策使用的电子邮件和平台均已中断 比利时媒体《德斯坦达德报》(De Standaard)报道称,他们已经收到消息,造成事故的元凶正是勒索软件,但攻击者身份尚未确定。 事件还影响到该市的预订系统,服务中断导致人们无法正常领取身份证。截至目前,只有出行卡还可正常使用。 护理中心亦受到影响 受攻击影响的其他机构还包括安特卫普医疗保健公司(Zorgbedrijf Antwerpen),这是一家专为省内老年人提供住宿护理服务的组织。 该公司总经理Johan De Muynck表示,此次攻击导致用于跟踪患者治疗用药记录的软件无法工作。 为此,18个住宿护理中心的工作人员被迫改用纸笔记录,并依靠传统的纸质处方为老年患者们开药。 De Muynck表示,“现在,医生们只能重新签署处方,再把纸质处方送至药房。虽然文书工作量极大,但至少保证了患者们当天内就能拿到药品。估计明天早上,自动系统就会恢复运行。” De Muynck补充道,好在数据库并未受到攻击影响,所以民众的个人信息仍然安全无忧。 目前还不清楚安特卫普市的IT系统何时才能完全恢复正常。该市市长表示,事件造成的影响可能持续到12月底。 尽管警察和消防部门也受到一定影响,但各项应急服务仍可正常运行。 一周多之前,Ragnar Locker勒索软件团伙刚刚泄露了从安特卫普省兹韦恩德雷赫特地方警局窃取到的数据。 比利时媒体将此事报道为该国最严重的公共服务信息失窃之一。据报道,团伙泄露的缓存数据包含过去16年间的车牌信息、犯罪报告文件、调查报告和罚款记录。   转自 安全内参,原文链接:https://www.secrss.com/articles/49818 封面来源于网络,如有侵权请联系删除

开源勒索软件工具包 Cryptonite 变成意外的擦除器恶意软件

Hackernews 编译,转载请注明出处: 一个名为Cryptonite的开源勒索软件工具包版本因其“架构和编程薄弱”而在野外被观察到具有擦除器功能。 与其他勒索软件不同,Cryptonite无法在地下网络犯罪网站上出售,而是直到最近才由名为CYBERDEVILZ的攻击者通过GitHub存储库免费提供。源代码及其分支已经被删除。 该恶意软件是用Python编写的,它利用加密包中的Fernet模块对扩展名为“.cryptn8”的文件进行加密。 但Fortinet FortiGuard实验室分析的一种新样本发现,它可以锁定文件,但无法重新解密,本质上就像一个破坏性数据擦除器。 但这一变化并非攻击者的故意行为,而是由于缺乏质量保证,导致程序在完成加密过程后试图显示勒索通知时崩溃。 Fortinet研究人员Gergely Revay在周一的一篇报道中表示:“这个漏洞的问题在于,由于勒索软件的设计简单,如果程序崩溃,甚至关闭,就无法恢复加密文件。” 勒索软件程序执行过程中引发的异常也意味着用于加密文件的“密钥”永远不会传输给运营商,从而锁定用户的数据。 这一发现是在勒索软件领域不断发展的背景下得出的,以文件加密恶意软件为幌子的擦拭器越来越多地部署在不允许解密的情况下覆盖数据。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

勒索软件凶猛!法国巴黎又一医院暂停运营并转移患者

安全内参12月6日消息,上周末,法国巴黎一家综合性医院遭到勒索软件攻击,被迫叫停医疗手术并转移了6名患者。 法国卫生部表示,凡尔赛医院中心目前已经陷入无计算机系统可用的困境,该医疗综合体旗下有两所医院与一家养老院。 6名患者中,3名转移患者来自重症监护室,另外3名则来自新生儿病房。法国卫生部长弗朗索瓦·布劳恩 (Francois Braun)周日警告称,此次攻击后可能还有更多患者需要被转移至其他位置,并导致“医院进行了全面组织调整”。 这位部长在推特上表示,“这种以法国民众健康为要挟的行为不可接受……我们正在动员一切专业人员,确保给予患者护理和照料。” 虽然医院内部重症监护室的关键设备仍在运行,但由于内部网络故障再加上员工人手不足,已经无法单独监控各设备发回的生命体征。 巴黎检察官已经对这起所谓“勒索未遂”案件展开初步调查。 近几月法国医疗机构频遭网络攻击 布劳恩表示,近几个月来,包括凡尔赛医院中心在内,法国的医疗保健服务机构“每天都会遭到攻击”。不过其中“绝大多数”攻击都被成功阻止。 今年8月,巴黎另一家医院Center Hospitalier Sud Francilien也遭到勒索软件攻击,经过数周时间才得以恢复。 该医院雇员和患者的敏感数据被勒索团伙发布至其官方主页。法国警方已将此次攻击的幕后黑手归因于LockBit勒索软件团伙。 针对本次攻击,外媒The Record已经联系卫生部、法国国家网络安全机构国家信息系统安全局(ANSSI)并提出置评请求。 就在攻击前不久,上任已有八年九个月的法国国家信息系统安全局局长Guillaume Poupard宣布即将离职。 转自 安全内参,原文链接:https://www.secrss.com/articles/49773 封面来源于网络,如有侵权请联系删除

最大暗网移动恶意软件市场 InTheBox 浮出水面

近日,总部位于加利福尼亚的网络安全公司Resecurity在暗网中发现 了一个新的地下市场,该市场被称为“InTheBox”,面向移动恶意软件开发商和运营商提供服务。至少从2020年5月开始,TOR网络中的网络犯罪分子就可以使用该市场,但是从那时起,它已经从一个私人运营的网络犯罪服务转变为当今以其庞大的数量而闻名的最大市场提供出售的独特工具和所谓的WEB注入。 这些恶意工具是网络攻击者故意开发的,用于网上银行盗窃和金融诈骗。WEB注入被集成到移动恶意软件中以拦截银行凭据、支付系统、社交媒体和电子邮件提供商凭据,但还不止于此,这些恶意工具还收集其他敏感信息,如信用卡信息、地址详细信息、电话和其他 PII。这种趋势来自“浏览器中的人”(MiTB) 攻击和为 Zeus、Gozi 和 SpyEye 等传统基于PC的恶意软件设计的WEB注入。后来,网络犯罪分子成功地将相同的方法应用于移动设备,因为现代数字支付在消费者使用的移动应用程序方面极为互联。 据 Resecurity 的专家称,已确定的“In The Box”市场现在可以被称为涉及移动设备的银行盗窃和欺诈的最大和最重要的催化剂。可用恶意武器库的质量、数量和范围突出了调查结果的重要性。目前,网络犯罪分子提供超过 1,849 种恶意场景供销售,专为来自超过 45 个国家(包括美国、英国、加拿大、巴西、哥伦比亚、墨西哥、沙特)的主要金融机构、电子商务、支付系统、在线零售商和社交媒体公司而设计阿拉伯、巴林、土耳其和新加坡。网络犯罪分子针对的受支持组织包括亚马逊、贝宝、花旗、美国银行、富国银行、星展银行等。 “IntheBox”市场背后的运营商与主要移动恶意软件家族的开发商密切相关,包括Alien、Cerberus、Ermac、Hydra、Octopus(又名“Octo”)、Poison 和 MetaDroid。网络罪犯以 2500美元至7000美元不等的订阅费为基础租用移动恶意软件,在某些情况下,还要求地下供应商为特定服务或应用程序开发专门设计的注入程序,以确保在移动设备上成功窃取凭据。此类恶意场景的设计与其对应的合法应用程序相同,但包含拦截受害者登录名和密码的虚假表单。除此之外,移动恶意软件使犯罪分子能够拦截银行通过短信发送的 2FA 代码,或重定向包含验证详细信息的来电。 每年,面向移动设备的恶意软件数量都呈指数增长。根据独立研究,几乎每 5 个移动设备用户中就有 1 个可能受到移动恶意软件的危害。网络罪犯利用巧妙的策略绕过反欺诈过滤器并进行银行盗窃,以确认所有验证码而不看起来可疑。典型的银行盗窃金额在每个消费者5000 – 15000美元和每个企业50000 – 250000美元之间,具体取决于规模和业务活动。到 2022 年,欺诈造成的损失总计超过 56 亿美元。再加上商业电子邮件泄露、洗钱和投资诈骗等其他类型的欺诈,创造了一个在地下流通着数万亿美元的巨大影子经济。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/fhpaZobOkm6e8L26LdBgSQ 封面来源于网络,如有侵权请联系删除