分类: 恶意软件

80% 的勒索软件受害者会考虑支付赎金来恢复数据

一项针对250多名勒索软件受害者的新调查显示,超过一半的人在过去一年中被勒索软件攻击过,69%的人说他们很可能在未来一年中至少被成功攻击一次。那些被勒索软件成功击中的人更倾向于支付费用,65%的人确实这样做了,然而,完全恢复数据的情况只占55%。当被问及支付意愿时,13%的人说他们肯定会,但只有20%的人说他们肯定不会。 这项研究是由CISOs Connect、AimPoint Group和W2 Communications进行的。 虽然支付赎金息事宁人的行为仍然是有争议的,并且是许多辩论的主题,但抛开道德和法律的争议而言,同样需要关注恢复业务运营的财务影响。这是可以理解的,因为一次攻击的总成本,包括缓解危害、恢复业务和可能的指出,数额大的可能达到数百万美元。据受访者称,勒索软件受害者有20%的机会支付超过500万美元,有5%的机会影响可能超过5000万美元。 调查中只有55个组织采取了购买勒索软件保险的措施,而且其中大多数是在较大的组织,这意味着小企业更容易受到勒索软件影响。 “我们的数据显示,虽然勒索软件的肆虐正在推动一些有关预防与应对的倡议和规划,但许多努力可能仍然是孤立的,”CISOs Connect的首席执行官兼创始人Aimee Rhodes说。”这就造成了某些领域的暴露,随着这些攻击的继续加速,可能会造成问题。根据CISO的反馈,许多人将受益于一种更全面的方法,使他们不仅为预防和检测勒索软件做好准备,而且还为可能的财务影响做好准备。” 你可以在下面的信息图中看到更多的发现。   (消息及封面来源:cnBeta)

Symantec 发现新黑客组织 Harvester

一个不为人知的国家支持的攻击者正在部署一套新的工具,以攻击南亚的电信供应商和IT公司。 Symantec的研究人员发现了这一组织,并将其命名为Harvester。该组织的目标是从针对IT、电信和政府实体的高度定向间谍活动中收集情报。 Harvester的恶意工具以前从未发现过,这表明这是一个新出现的攻击者。 “Harvester组织在其攻击中使用了定制的恶意软件和公开可用的工具,该攻击始于2021年6月,最近的一次活动出现在2021年10月。目标行业包括电信、政府和信息技术(IT)。 “这些工具的能力,它们的定制开发,以及目标受害者,都表明Harvester是一个有国家支持的组织。”Symantec的研究人员说。 以下是Harvester在攻击中使用的工具: Backdoor.Graphon ——自定义后门,它使用微软的基础设施进行C&C活动 自定义下载程序——使用微软的基础设施为其C&C活动服务 自定义屏幕快照——定期记录屏幕截图到一个文件 Cobalt Strike Beacon ——使用CloudFront基础设施进行其C&C活动(Cobalt Strike是一种现成的工具,可用于执行命令、注入其他进程、提升当前进程或模拟其他进程,以及上传和下载文件) Metasploit——一个现成的模块化框架,可用于完成感染机器上的各种恶意目的,包括特权升级、屏幕捕获、设置持久后门等。 巧妙的技巧和安全的通讯 虽然Symantec的分析师无法找出最初的感染载体,但有一些证据表明,有人使用了恶意URL。 Graphon为攻击者提供了对网络的远程访问,它通过将命令和控制(C2)通信活动与CloudFront和微软基础设施的合法网络流量混淆来隐藏自己的存在。 一个有趣的地方是自定义下载器的工作方式,它在系统上创建必要的文件,为新的加载点添加注册表值,最终在hxxps://usedust[.]com打开嵌入式web浏览器。 虽然这似乎是获取Backdoor.Graphon的地方,参与者只是使用URL作为诱饵,来制造混淆。 自定义截图工具从桌面捕获照片,并将它们保存到一个密码保护的ZIP档案,通过Graphon导出。每个ZIP保存一周,任何比这个时间更久的文件都会被自动删除。 Symantec警告说,Harvester仍然活跃,目前主要针对阿富汗的组织。 尽管研究人员能够对这个新群体的工具进行取样,但他们还没有足够的证据将这种活动归因于某个特定的国家。   消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

卡巴斯基称 Lyceum 再次现身

Lyceum是一个已为人知的黑客组织,与针对中东组织的攻击有关,如今它带着新的恶意软件和策略重新露面,而这个策略与一个在伊朗运作的危险的APT组织所使用的相似。 卡巴斯基的安全研究人员表示,他们观察到新的Lyceum活动集中在突尼斯的两个实体。卡巴斯基对攻击的分析显示,Lyceum的恶意软件已经从以前的PowerShell脚本和基于.NET的远程管理工具DanBot演变为用c++编写的新恶意软件。 卡巴斯基根据他们在这个恶意代码中经常遇到的名字,将这种新的恶意软件分成了两组变种,一组叫詹姆斯,另一组叫凯文。这两种新的变种——像DanBot那样——都被设计成通过安全的DNS和HTTP隧道与它们的命令和控制服务器通信,这使得恶意活动难以被检测。 除了新的詹姆斯和凯文恶意软件变种,卡巴斯基还观察到Lyceum在其最近的攻击中使用了另一个工具,该工具似乎不包含任何网络通信机制。该公司推测,恶意软件可能是设计用来代理一个已经被泄露的网络内部系统之间的流量。Lyceum的工具包中还新增了一个PowerShell脚本,用于从浏览器中窃取用户凭证,以及一个自定义键盘记录器,看起来似乎是为相同目的设计的。 卡巴斯基在一份总结本周Lyceum活动的报告中表示,“我们对Lyceum的调查显示,该组织多年来已经发展了自己的武器库,并将其使用在新的工具上。” Lyceum首次出现被发现是在2019年8月,当时Secureworks报告称,观察到该集团针对中东石油、天然气和电信行业的组织。Secureworks称,该威胁组织可能至少从2018年4月开始就活跃了,与Lyceum相关的攻击是基于域名注册,专注南非目标。 Secureworks表示,其调查显示,Lyceum通常利用之前通过密码喷溅或暴力破解获得的账户凭证,获得进入目标网络的初始权限。该组织的战术、技术和程序(TTPs)与其他组织的战术、技术和程序相似,那些组织专注于具有重要战略意义的中东目标,如OilRig (APT34)和Cobalt Trinity (APT33和Elfin)。然而,Secureworks指出,这些相似之处还不足以证明Lyceum与其他威胁组织之间存在直接联系。 卡巴斯基本周重申了这些相似之处,但与Secureworks一样,他没有将Lyceum的活动与此前已知的伊朗威胁分子的活动直接联系起来。据该公司分析,Lyceum的活动与另一个名为DNSpionage的威胁行为者的活动在高层次上有某些相似之处,该威胁行为者在2018年被观察到使用DNS重定向攻击黎巴嫩和阿拉伯联合酋长国的目标。卡巴斯基说,DNSpionage与OilRig的活动有关。Lyceum和DNSpionage的相似之处包括:目标位于相同区域、利用DNS和假网站来隧道指挥和控制流量、以及相似的用来引诱受害者点击恶意附件的文件。 除了对调查结果的总结外,卡巴斯基本周还发布了一份来自最近一次会议的报告,提供了关于Lyceum新活动的技术细节。   消息来源:DarkReading,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

美国财政部报告:2021 年勒索事件支付赎金将近 6 亿美元 超过去年全年

根据美国财政部公布的最新报告,2021 年上半年勒索事件支付的赎金总额将近 6 亿美元,轻松超过了 2020 年全年的总额。该报告由财政部金融犯罪执法网络周五发布,重点提及了今年发生了几起高调的勒索软件攻击事件,包括 Colonial Pipeline 和肉类加工厂 JBS USA Holdings。 两家公司都支付了数百万美元的赎金,但攻击仍然造成了暂时的破坏,由于公司失去了对其供应的控制,推高了汽油和肉类的价格。 根据周五的报告,该报告基于银行和其他金融机构提交的可疑活动报告的数据,1 月至 6 月期间报告的疑似勒索软件付款总额为 5.9 亿美元。相比之下,2020 年全年报告的疑似付款价值共计 4.16 亿美元。 财政部表示,这一增长可能反映了与勒索软件有关的攻击的大幅增加,以及金融机构对这些攻击的检测和报告的改进。它指出,与 2020 年整个日历年相比,与勒索软件相关的可疑活动报告的数量也上升了 30%,达到 635 份。 如果这些报告趋势继续下去,财政部表示,它预计 2021 年可疑的勒索软件付款总额将超过前 10 年的总和。   (消息及封面来源:cnBeta)

Google 委托 VirusTotal 分析 8000 万个勒索软件样本 以下是一些细节

Google发布了一份新的勒索软件报告,以色列是在此期间最大的样本提交者。这家科技巨头委托网络安全公司VirusTotal进行分析,这需要审查来自140个国家的8000万个勒索软件样本。根据该报告,以色列、韩国、越南、新加坡、印度、哈萨克斯坦、菲律宾、伊朗和英国等国家是根据VirusTotal审查的提交数量确定的10个最受影响的地区。 从2020年开始,勒索软件活动在2020年的前两个季度达到高峰,VirusTotal认为这是因为勒索软件即服务组织GandCrab的活动。 “GandCrab在2020年第一季度有令人担忧的高峰,之后急剧下降,但它仍然活跃,但就新鲜样本的数量而言,处于不同的数量级,”VirusTotal说。 2021年7月还有一个相当大的高峰,是由Babuk勒索软件团伙推动的,这是一个在2021年初发起的勒索软件行动。Babuk的勒索软件攻击通常具有三个不同的阶段。初始访问,网络传播,以及对目标采取行动。 GandCrab是自2020年初以来最活跃的勒索软件团伙,占样本的78.5%。GandCrab之后是Babuk和Cerber,它们分别占样本的7.6%和3.1%。 根据该报告,检测到的95%的勒索软件文件是基于Windows的可执行文件或动态链接库(DLLs),2%是基于Android的。该报告还发现,基于漏洞的勒索软件攻击只占样本的一小部分:5%。 VirusTotal说:”鉴于勒索软件样本通常使用社会工程和/或droppers(旨在安装恶意软件的小程序)来部署,我们认为这是有道理的。就勒索软件的传播而言,除了特权升级和恶意软件在内部网络中传播外,攻击者似乎不需要利用特定的漏洞。” 阅读报告全文: https://storage.googleapis.com/vtpublic/vt-ransomware-report-2021.pdf   (消息及封面来源:cnBeta)

BlackTech 组织与他们使用的恶意软件 Gh0stTimes

BlackTech是一个网络间谍组织,在2018年前后对日本发起攻击活动。近日,研究人员发现了BlackTech可能使用的恶意软件Gh0stTimes。 研究人员在受Gh0stTimes感染的服务器上还发现了其他恶意软件,如下载器、后门程序、ELF Bifrose和攻击工具。这些工具可能会也被BlackTech组织使用。研究人员此次的研究说明BlackTech攻击组织依然活跃,且使用了更多的工具。       更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1737/       消息来源:JPcert,封面来自网络,译者:Zoeppo。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

DEV-0343 APT 瞄准美国和以色列的国防技术公司

微软威胁情报中心(MSTIC)和微软数字安全部门(DSU)的研究人员发现了一个恶意活动群体,跟踪为DEV-0343,它的目标是美国和以色列国防技术公司的Office 365租户。 攻击者针对目标组织发起了大规模的密码喷洒攻击,这一恶意活动于2021年7月首次被发现。 “DEV-0343是微软威胁情报中心(MSTIC)于2021年7月下旬首次观察并开始跟踪的一个新的活动群体。MSTIC观察到DEV-0343对250多家Office 365租户进行了大量的密码喷洒攻击,重点是美国和以色列的国防技术公司、波斯湾的入境港口,或在中东有业务存在的全球海运公司。”“虽然只有不到20家目标租户被成功攻击,但DEV-0343在继续改进他们的攻击技术。”微软发布的这篇帖子写道。 微软补充说,对于启用了多因素身份验证(MFA)的Office 365账户的密码喷洒攻击并未生效。 DEV-0343主要针对防务公司,这些公司支持美国、欧盟和以色列政府合作伙伴并产出军用雷达、无人机技术、卫星系统和应急响应通信系统。 微软研究人员表示,这一活动与德黑兰的利益一致,而且其ttp与另一个与伊朗有关的攻击者的类似。 “进一步的活动目标包括地理信息系统(GIS)、空间分析、波斯湾的区域入境港口以及几家专注于中东业务的海运和货物运输公司。”报告补充道。 研究人员推测,攻击者的目的是获取商业卫星图像和专有航运计划和日志,这些信息可以让伊朗政府补充其正在发展的卫星计划。 DEV-0343背后的威胁行动者利用一系列精心设计的Tor IP地址来混淆他们的基础设施。 “DEV-0343模拟火狐浏览器,使用托管在Tor代理网络上的IP进行大量的密码喷洒攻击。他们最活跃的时间是周日和周四,伊朗时间早上7:30到晚上8:30 (UTC 04:00:00和17:00:00),在伊朗时间早上7:30之前和晚上8:30之后活动显著减少。它们通常针对组织内的数十到数百个账户(取决于规模),并对每个账户进行数十到数千次的枚举。平均而言,针对每个组织的攻击使用了150到1000多个唯一的Tor代理IP地址。”报告继续说道。“DEV-0343执行者通常针对两个Exchange端点——Autodiscover和ActiveSync——作为他们使用的枚举/密码喷洒工具的功能。这方便了DEV-0343验证活跃账户和密码,并进一步完善他们的密码喷洒攻击行为。” 微软已经直接通知了那些被攻击的客户,并向他们提供了他们需要的信息来保护他们的账户。 微软建议企业在日志和网络活动中观察是否存在以下迹象,以确定他们的基础设施是否受到了威胁者的攻击: 大量来自Tor IP地址的密码攻击流量 在密码喷洒活动中模仿FireFox(最常见)或Chrome浏览器 Exchange ActiveSync(最常见)或自动发现端点的枚举 类似于’ o365spray ‘工具的枚举/密码喷洒工具的使用 使用自动发现来验证帐户和密码 观察到密码喷洒攻击通常在UTC 04:00:00和11:00:00之间达到高峰   消息来源:SecurityAffairs,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接    

太平洋城市银行遭遇勒索软件 AvosLocker 攻击

上个月,美国主要韩裔美国人社区金融服务提供商之一的太平洋城市银行(Pacific City Bank,PCB)遇到了勒索软件攻击事件。 该银行向其客户发送信函,告知他们2021年8月30日发现的一个安全问题,并称这个问题已经解决。 2021年9月7日,PCB完成了对此事件的内部调查,发现勒索软件犯罪者从其系统中获得了以下数据: 贷款申请表格 W-2客户公司信息 工资及税务详情 客户公司的工资记录 报税文件 客户姓名、地址、社会保险号码 PCB尚不清楚这一事件是否影响了银行的整体客户或仅仅是一小部分客户。同时,PCB表示,客户受到的影响程度并不相同,但或多或少地遭到了数据泄露。 对于收到通知邮件的客户,银行提醒他们对未经请求的邮件保持警惕,并密切关注其银行账户和信用报告是否存在欺诈迹象。 此外,该银行还通过Equifax提供为期一年的免费信用监控和身份盗窃保护服务,并在信函中提供注册引导信息。 虽然PCB没有说出对9月事件的勒索软件组织的名字,但AvosLocker却直接自报家门,并在其数据泄露网站上发布了一条记录。 这次袭击计划在2021年9月4日进行,因此五天的间隔可能只是第一轮谈判回合的“宽限期”,在此阶段勒索犯通常避免公开声明。 这份文件最终被上传到勒索门户网站。 AvosLocker是一个较新的勒索软件组织,今年夏天公开露面,号召各种地下论坛的分支机构加入RaaS。 该团伙使用多线程勒索软件,使他们能够在攻击者手动部署有效负载的同时快速加密数据。虽然AvosLocker有一些文本和API混淆处理用以避免静态检测,但它大部分是“裸的”,并没有加密层。   消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接  

谷歌游戏商店恶意软件窃取 Facebook 凭证

上周三,Evina的一位法国网络安全专家Maxime Ingrao发现,在Play Store最热门的新免费应用程序中,有一些恶意软件窃取了Facebook凭证和其他一些数据。他公开了自己的发现,并在Twitter上上传了详细版本。 这名研究人员在安装一个应用程序时偶然发现了该恶意软件,当该应用程序引导用户连接Facebook以使用该应用程序时,他产生了怀疑。然后他看了一眼应用程序的代码,就在这时,他发现应用程序执行命令用于检索Facebook凭证。 他发现了两个使用相同代码的应用程序,认为它来自同一个新的恶意软件组织。这两个应用程序属于同一类别:摄影应用程序。 Ingrao说:“这些请求是用亚洲/新加坡的时间戳执行的,所以攻击很有可能是来源于那里。” 一些被恶意软件感染的应用程序下载量超过50万次,包括Pix Photo Motion Edit 2021和Magic Photo Lab – Photo Editor,后者的安装量超过5万次,现已从Play Store中删除。 Maxime发现,在不同国家的Play Store,“Pix Photo Motion Edit 2021”在新应用程序排名中都是第一名,甚至在墨西哥也是第一名。这使得它在两周内的下载量达到50万次。 恶意软件启动一个webview并运行javascript命令来检索用户输入的值。然后利用api图获取账户信息。 研究员称,恶意软件检索了用户在Facebook上的信息,包括已经创建了的页面(粉丝的数量、用户讨论情况、页面评级),还检索了已经创建的广告活动(活动的状态、所花费的金额),以及用户是否注册了信用卡。   他表示:“这些信息很可能被利用,欺诈者可以在用户页面上发布广告,并利用用户的信用卡进行广告活动。” Maxime证实,威胁行为者无法窃取信用卡信息,但可以用它来攻击受害者的账户。 Maxime采取了行动,他告诉The Digital Hacker,他已经通过谷歌的报告表格说明该恶意应用程序,但谷歌还没有回应,尽管其中一款应用在他报告之前就从Play Store下架。   消息来源:TheDigitalHacker,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

印度英尼福实验室或与一安卓间谍软件程序有关

国际特赦组织(Amnesty International)的一份报告称,一家印度网络安全公司与一款针对知名活动人士的安卓间谍软件程序有关。 国际特赦组织的团队进行了调查,他们证实了该公司与一起针对多哥人权维护活动人士的间谍案件有关,还观察到其在几个关键的亚洲地区部署间谍软件的迹象。 据国际特赦组织称,这款安卓间谍软件与印度网络安全公司英尼福实验室(Innefu Labs)有关联,此前该公司的一个IP地址被多次用于分发间谍软件的有效载荷。 然而,实际部署可能是Donot Team组织(APT-C-35)在执行,这是一群印度黑客,他们至少从2018年就开始以东南亚各国政府为目标。 针对多哥活动人士的攻击始于WhatsApp上一条未经请求的信息,暗示用户安装一款名为“ChatLite”的据称安全的聊天应用。 在此失败后,攻击者从Gmail账户发送了一封电子邮件,邮件中携带了一个带有标签的MS Word文件,该文件利用了一个旧的漏洞,插入间谍软件。 在ChatLite事件中,间谍软件是一个定制开发的Android应用程序,允许攻击者从设备上收集敏感数据,并获取额外的恶意软件工具。 这个通过恶意Word文档传播的间谍软件具有以下功能: 记录键盘敲击数据 定期截图 从本地和可移动存储中窃取文件 下载额外的间谍软件模块 通过分析Android间谍软件样本,国际特赦组织的调查人员发现其与Kashmir_Voice_v4.8.apk和SafeShareV67.apk有一些相似之处,而这两个恶意软件工具与过去的Donot Team组织有关。 攻击者的opsec错误让调查人员发现了美国的一个“测试”服务器,攻击者在那里存储了来自受攻击安卓手机的截图和键盘记录数据。 这是国际特赦组织第一次看到英尼福实验室的IP地址。 国际特赦组织指出,英尼福实验室可能并不知道其客户或其他第三方是如何使用其工具的。然而,在全部技术细节曝光后,外部审计人员可能会披露一切。 在一封写给国际特赦组织的信中,英尼福实验室否认与Donot Team组织和攻击者的行动有任何关联。 “首先,我们坚决否认英尼福实验室与与Donot Team组织有关的间谍软件工具以及对多哥人权维护者的攻击之间存在任何联系。正如我们在之前的信中所述,我们并不了解Donot Team组织,也与他们没有任何关系。 在你2021年9月20日的信中,提到了一部小米红米5A手机,你称该手机访问了英尼福实验室的IP地址,还访问了一些其他私人VPN服务器,访问了乌克兰托管公司Deltahost。我们认为这部手机不属于任何与英尼福实验室有关的人。仅仅因为我们的IP地址被使用这部手机访问,并不意味着英尼福实验室实验室参与了任何所谓的活动”-英尼福实验室。 消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接