作为过去十年最具破坏性的网络安全攻击类型之一，勒索软件已经发展到影响全球各种规模的组织。 什么是勒索软件？ 勒索软件是一种网络安全攻击，它允许威胁参与者控制目标的资产并要求赎金以保证这些资产的可用性和机密性。 报告分析了2021年5月至2022年6月报告期内欧盟、英国和美国共发生的 623 起勒索软件事件。数据来自政府和安全公司的报告、媒体、经过验证的博客，在某些情况下使用来自暗网的相关资源。 据悉，在 2021 年 5 月至 2022 年 6 月期间，勒索软件威胁参与者每月窃取大约 10 TB 的数据。58.2%的被盗数据包括员工个人数据。至少发现了47 个独特的勒索软件威胁参与者。对于 94.2% 的事件，我们不知道公司是否支付了赎金。但是，当协商失败时，攻击者通常会在他们的网页上公开数据并使其可用。这是一般情况下发生的情况，并且是 37.88% 事件的现实。 因此，我们可以得出结论，其余 62.12% 的公司要么与攻击者达成协议，要么找到了另一种解决方案。该研究还表明，各种规模和各行各业的公司都受到影响。 然而，上述数字只能描绘整体情况的一部分。实际上，研究表明勒索软件攻击的总数要大得多。目前这个总数是不可能的，因为太多的组织仍然没有公开他们的事件或没有向有关当局报告。 有关已披露事件的信息也非常有限，因为在大多数情况下，受影响的组织不知道威胁参与者是如何设法获得初始访问权限的。最后，组织可能会在内部处理该问题（例如决定支付赎金）以避免负面宣传并确保业务连续性。然而，这种方法无助于解决问题——相反，它反而助长了这种现象，在此过程中助长了勒索软件的商业模式。 正是在这些挑战的背景下，ENISA 正在探索改进这种事件报告的方法。修订后的网络和信息安全指令 (NIS 2) 有望改变通知网络安全事件的方式。新规定旨在支持对相关事件进行更好的映射和理解。 根据报告的分析，勒索软件攻击可以通过四种不同的方式针对资产：攻击可以锁定、加密、删除或窃取（LEDS）目标资产。目标资产可以是任何东西，例如来自文件、数据库、Web 服务、内容管理系统、屏幕、主引导记录 (MBR)、主文件表 (MFT) 等的文档或工具。 勒索软件的生命周期一直保持不变，直到 2018 年左右，勒索软件开始添加更多功能并且勒索技术成熟。我们可以确定勒索软件攻击的五个阶段：初始访问、执行、目标行动、勒索和赎金协商。这些阶段不遵循严格的顺序路径。 研究中出现了 4 种不同的勒索软件商业模式： 以个人攻击者为中心的模型 以群体威胁参与者为重点的模型 勒索软件即服务模型 数据中介模型 一种主要旨在将恶名作为成功勒索软件业务的关键的模型（勒索软件运营商需要保持一定的恶名声誉，否则受害者将不会支付赎金） 勒索软件生命周期的五个阶段 转自 E安全 ，原文链接：https://mp.weixin.qq.com/s/Wr6nKrGKPDBFjIt6UcGQLg 封面来源于网络，如有侵权请联系删除

德国半导体制造商Semikron披露，该公司遭到勒索软件攻击，加密了公司的部分网络。 Semikron在德国、巴西、中国、法国、印度、意大利、斯洛伐克和美国等全球24个办事处和8个生产基地拥有3000多名员工，2020年的营业额约为4.61亿美元，其同时也是世界领先的电力工程部件制造商之一，每年安装的风力涡轮机中有35%使用其技术。 Semikron集团在周一的声明中称其已成为一个专业黑客组织的网络攻击的受害者，犯罪者声称从Semikron的系统中窃取了数据，此次攻击也导致了Semikron的IT系统和文件的部分加密，目前Semikron集团正在对整个网络进行调整和调查取证，。 根据德国联邦信息安全办公室发布的相关警报，以及疑似部署在加密赛米控系统上的勒索纸条表明，这是一次LV勒索软件攻击，并且攻击者偷走了总量为2TB的文件，但目前为止Semikron集团并未承认数据被盗的说法。 Semikron集团称正在联合外部的网络安全专家和警方专家共同调查攻击者关于从系统中窃取数据的说法。Semikron集团补充说，在整个调查过程中，它也将通知并与有关当局合作，如果发现任何数据被盗的证据，将立刻提醒客户和合作伙伴。 同时，Semikron集团正在努力恢复工作能力，以尽量减少对员工、客户和合同伙伴的干扰，并确保Semikron集团的IT系统的最佳安全性。在调查和协调进一步措施方面，Semikron集团也得到了相关主管部门的支持。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/340890.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 一家奥地利公司DSIRF开发了针对律师事务所、银行和咨询公司的间谍软件。 7月底，微软威胁情报中心和微软安全响应中心的研究人员将一个名为Knotweed的威胁组织与奥地利一家名为DSIRF的监视公司联系起来，该公司因使用多个Windows和Adobe零日漏洞而闻名。该组织使用一种名为Subzero的监视工具瞄准欧洲和中美洲的实体。 微软表示，多篇新闻报道已将该公司与Subzero恶意软件工具集联系起来，该工具集用于破解各种设备，手机、计算机以及网络和互联网连接设备。 研究人员发现有证据表明DSIRF与Knotweed的操作有关，包括Subzero使用的C2基础设施，以及向DSIRF颁发的代码签名证书，用于对漏洞进行签名。 上周，奥地利宣布正在调查一份报告，该报告称DSIRF与至少三个国家的间谍软件目标实体有关。 奥地利内政部表示，它不清楚该事件，也没有与之建立业务关系。 “当然，国家安全情报院会核实这些指控。到目前为止，没有证据表明上述公司使用了间谍软件。”奥地利内政部发表的一份声明表示。 奥地利的Kurier报纸证实，DSIRF开发了Subzero监视软件，但补充说，该软件没有被滥用，是专门为欧盟国家当局开发的——该报纸还补充说，间谍软件没有商业价值。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

近期，在线平台Zscaler安全专家发布了对Raccoon Stealer恶意软件新变种的分析，据研究，该恶意软件的新变种是用C语言编写的，与以前主要用C++ 编写的版本不同，并且Raccoon Stealer 2.0 具有新的后端和前端，以及更有效地窃取凭据和其他数据的代码。 该恶意软件的新版本也可以在32位和64位系统上运行，无需任何额外的依赖项，而是直接从其C2服务器获取8个合法 DLL（而不是依赖 Telegram Bot API）。C2还负责恶意软件的配置，包括目标应用程序、托管dll的URL和用于数据导出的令牌。然后，服务器接收机器指纹数据，并等待包含被盗信息的单个POST请求。 Raccoon Stealer 2.0窃取的数据类型包括系统指纹信息、浏览器密码、cookies、自动填充数据和保存的信用卡、加密货币钱包、位于所有磁盘上的文件、屏幕截图和已安装的应用程序列表。Zscaler还表示，“我们还看到了 Raccoon Stealer v2 通过使用动态解析 API 名称而不是静态加载的机制来隐藏其意图的变化。” 据报道，在俄罗斯入侵乌克兰期间，该恶意软件的一名主要开发人员不幸离世后，Raccoon Stealer 业务于2022年3月曾短暂关闭。不过根据Sekoia安全分析师的分析，该团队随后在暗网论坛上写道，Raccoon Stealer即将回归，并暗示Raccoon Stealer在五月份的时候就已经在开发中了。 Zscaler说，“Raccoon Stealer 作为恶意软件即服务他们在过去几年中变得很流行，并且已经观察到了几起Raccoon Stealer恶意软件的事件。该恶意软件的作者不断为该恶意软件添加新功能。这是该恶意软件在 2019 年首次发布后的第二个主要版本。这表明该恶意软件很可能在不断演变，并继续对组织构成威胁。” 转自 FreeBuf，原文链接：https://www.freebuf.com/news/340813.html 封面来源于网络，如有侵权请联系删除

7月29日，趋势科技发布了一份报告，揭露了在Google Play应用商店内的一系列银行类恶意软件活动。 报告主要分析了17款伪装成生产力工具和实用应用程序的滴管应用程序，它们被统称为DawDropper。根据报告描述，这17款应用包括了文档扫描仪、VPN 服务、二维码阅读器和通话记录器等多种类型，共携带了四个银行木马系列，包括 Octo、Hydra、Ermac和TeaBot。它们都使用第三方云服务 Firebase Realtime Database 来逃避检测并动态获取有效载荷下载地址，并在 GitHub 上托管恶意有效载荷。 2021 年 3 月，趋势科技还发现了另一个名为Clast82的dropper，DawDropper 和 Clast82 都使用 Firebase 实时数据库作为 C&C 服务器。 研究人员指出，这类银行Drop恶意软件采用自己的分发和安装技术。比如在今年年初就观察到了带有硬编码的有效载荷下载地址的版本，而最新观察到版本能隐藏实际有效载荷的下载地址，有时还使用第三方服务作为其 C&C 服务器。 截至报告发布时，这些恶意应用程序已从 Google Play 中移除。但报告指出，网络犯罪分子一直在寻找逃避检测和感染尽可能多设备的方法。在半年的时间里已经看到银行木马如何改进其技术以避免被检测，例如将恶意负载隐藏在 Dropper 中。随着越来越多的银行木马通过 DaaS 提供，攻击者将有一种更简单、更经济高效的方式来分发伪装成合法应用程序的恶意软件。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/340693.html 封面来源于网络，如有侵权请联系删除

据Techspot报道，一名澳大利亚男子因涉嫌创建并向全球数以万计的网络犯罪分子销售黑客工具而被捕。这名24岁的黑客被指控创建并销售一种远程访问木马，旨在窃取个人信息并监视毫无戒心的目标。该病毒创造者通过销售该工具赚取了30多万美元，其中大部分似乎从其15岁起就被用在了外卖和快递项目上。 24岁的Jacob Wayne John Keen因涉嫌向来自128个不同国家的网络犯罪分子、家庭暴力实施者等人出售名为Imminent Monitor的木马病毒而被捕。该工具允许用户以毫无戒心的受害者为目标，窃取他们的个人数据，跟踪输入文件的信息，并利用目标的网络摄像头和麦克风对他们进行监视。 这次逮捕是在2017年启动的全球刺探行动之后进行的。这项名为”Cephus行动”的全球努力是在澳大利亚联邦警察(AFP)从美国联邦调查局和Palo Alto Networks获得可疑信息后开始的。 据称，Keen在15岁时创建并开始以每个用户35美元的价格出售该工具，当时他住在母亲的出租房里。该工具的收益总额在30万至40万美元之间，直到它在2019年最终被关闭。关闭是在执行几项由 AFP领导的搜查令之后执行的，这些搜查令扣押了被发现包含指向 RAT开发证据的硬件和资产。Keen最近的逮捕是基于世界各地的参与执法机构向AFP提供的额外证据。 根据 AFP的报告，该工具被用来监视全球数以万计的受害者，而该工具的买家中至少有200人直接来自澳大利亚。在这些来自澳大利亚的嫌疑人中，有很多人被发现参与了以前的家庭暴力电话，这种关联性在一定程度上说明了什么样的犯罪分子利用了这种邪恶的工具。对可能使用该工具的其他行为者的调查仍在进行中。 当局分析的证据显示，在Keen9年多的参与过程中，黑客工具的大部分收益被用来购买外卖食品。本月早些时候，他遭到了六项指控，并计划在8月的某个时候出庭。Keen的母亲似乎也知道这些犯罪活动并从中受益。她还被指控从事侵入性工具的销售并从中获益。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1299139.htm 封面来源于网络，如有侵权请联系删除

近日，美国众议院通过了《报告来自被选为监督和监控网络攻击和勒索软件的国家的攻击法案》（也称为《勒索软件法案》）据悉，美国众议佛罗里达州共和党众议员 Gus Bilirakis 的说法，《勒索软件法案》将使美国更容易应对来自外国对手的勒索软件攻击。 拟议的立法将通过强制报告与勒索软件和其他攻击有关的跨境投诉来修订 2006 年美国安全网络法案。 《勒索软件法》主要针对俄罗斯、中国、朝鲜和伊朗，在提到涉嫌勒索软件攻击者时，特别指出了这些国家。它针对那些被指控对美国实施勒索软件攻击的国家的个人、政府或其他组织。 根据该法律，联邦贸易委员会 (FTC) 将每两年向众议院能源和商业委员会以及参议院商业、科学和运输委员会提交一份报告。该报告将概述 FTC 收到的跨境投诉，并按被指控的攻击者进行细分。描述了其使用和体验2006年美国安全网络法案（公法109-455）授予的权限以及该法案所做的修正。报告包括以下内容： 该报告将包括涉及勒索软件的投诉数量，以及 FTC 已采取或未采取行动的投诉清单。在该法案中，Bilirakis 呼吁 FTC 确定与其合作的外国机构，以及它取得的成果。它还将确定它在外国法院购买的任何诉讼，并注明结果。 “我们看到针对美国人的网络犯罪有所增加，”Bilirakis 在宣布该法案时说。“这些事件凸显了加强和现代化我们的关键基础设施以防止和应对网络攻击的重要性。” 据悉，Bilirakis 于 2021 年 7 月提出了这项名为 HR 4551 的立法。它现在必须通过参议院才能到达总统的办公桌。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/co5U9QEXiLtM6R5QshkRiA 封面来源于网络，如有侵权请联系删除

2012年7月26日，谷歌将Android Market重新命名，变为如今大家耳熟能详的Google Play。作为整个安卓系统最重要、最为官方的应用下载市场，10年来，Google Play已经服务了来自全球190多个国家地区的25亿用户。但正所谓树大招风，Google Play也早已被众多恶意软件盯上，成为它们的集散中心。 为庆祝Google Play十周年，谷歌设计了新的标志 近两年，Google Play恶意软件泛滥的问题已经引起了越来越多安全机构的注意，根据2020年的一项调查研究，Google Play直接被确认为是安卓设备上安装恶意软件的主要来源。研究人员通过对790万款独立应用所涉及的3400万个APK分析，发现有10%到24%可以被描述为恶意或不需要的应用软件。研究人员还特别研究了这些软件的来源路径，结果显示，大约67%的恶意应用软件安装来自Google Play。 由于Google Play恶意软件问题越发严峻，安全事件频出，FreeBuf曾在近期做过多次专门报道： Facestealer 今年5月，趋势科技揭露了一款名为Facestealer的间谍软件，该软件自去年7月被俄罗斯安全厂商Doctor Web发现以来，通过变换马甲，伪装成超200款应用渗透进Google Play，其中VPN类应用占比最高，达42款，其次是拍照类应用（20款）及照片编辑类应用（13款）。 Facestealer的目的是窃取用户 Facebook账户的敏感信息 ，当用户登录 Facebook账户后，恶意软件会搜集Cookie，并加密发送至攻击者所在的远程服务器。 Facestealer请求用户登录 Facebook Autolycos 同样是去年，网络安全公司Evina的研究人员注意到一款名为Autolycos的恶意软件，根据批露，有8款软件内含Autolycos，累计下载次数超过了300万次。作为一种新型的恶意软件，Autolycos能够执行隐蔽的恶意行为，如在远程浏览器上执行 URL，然后将结果纳入到 HTTP 请求中，而不是使用 Webview。这种方式旨在使其行为变得更加隐蔽，也不会被受感染设备的防护措施检测到。 伪装成相机应用的Autolycos Joker Joker与Google Play的羁绊可谓最久，这是一款向用户恶意订阅由攻击者控制的高级付费服务的恶意软件，自2017年问世以来现身频繁。去年底，Joker被曝附身于一款名为Color Message的短信App内，下载次数达到了50万次，并在用户神不知鬼不觉的情况下订阅了昂贵的云计算服务。此外，它还会访问用户联系人信息，并将信息发送至由攻击者控制的境外服务器。 下载量达50万次的Color Message 最近，网络安全公司Zscaler又在Google Play发现了53款含有Joker的应用软件，累计下载次数超过了33万次。这些应用一般通过冒充短信、照片编辑器、血压计、表情符号键盘和翻译应用程序的形式出现，一旦用户安装后，应用程序又要求提升设备的权限来进行其它操作。 部分含有Joker的恶意软件 道高一尺魔高一丈 其实官方应用市场时不时冒出恶意软件并不是什么新鲜事，哪怕是相对封闭的苹果macOS与iOS系统有时也会为之困扰，据 Apple Insider 的统计，2022 年迄今已发现超过 3400 万个新的恶意软件样本，其中macOS为 2000 个，而安卓系统则达到了53.6万个，可见基于安卓系统自身的开放性，恶意软件的防范难度远非macOS与iOS能够比拟。 在上传至Google Play时，这些恶意软件可通过轻量化的代码，伪装、克隆成合法正常的应用程序，以欺骗Google Play的安全防御检测，即使当受害首次下载安装时也看不出任何端倪，而一旦获取了用户设备相应的权限，这些恶意软件才逐渐浮现出庐山真面目——比如通过Dropper（滴管）技术，在受害者设备上逐步部署带有恶意功能的有效载荷。 为了尽可能多地持续性绕过检测，这些恶意软件也会不断升级优化，也会善于利用通用工具进行混淆，比如Joker曾利用由谷歌设计的开源应用开发工具包Flutter来逃避基于设备和应用商店的安全检测，它能允许开发者从一个代码库中为移动端、网络端和桌面端制作本地应用。由于Flutter的通用性，恶意软件代码也可以轻松绕过检查。 面对恶意软件泛滥，谷歌表示，仅在2021年就封禁了 190000 个恶意和垃圾邮件开发者账户，120 万款违反 Google Play 政策的应用被删除，但这并不表示这些删除都是及时的。如前文所述，去年6月，网络安全公司Evina发现了8款内含Autolycos的恶意软件，并随即向谷歌做了汇报，但谷歌花了长达约半年的时间才删除了其中的 6 款软件，另外两款直到今年7月初才被删除。正是由于许多恶意软件仍需要安全公司甚至用户主动发现并上报，再经过谷歌一定时间的审核确认，导致不少恶意软件在被删除前已被下载了数万次，在这期间，攻击者可能已或多或少达成了他们的目的。 对于主要依靠事后删除这种治标不治本的做法，谷歌也尝试过扩大其检测和防御手段，但这些恶意软件的更新迭代也在不断加快，总能找到空子趁机溜入。今年4月，谷歌通过了一系列新的开发策略，要求自 2022 年 11 月 1 日起，所有新发布的应用程序必须对标最新Android系统版本发布后一年之内与之相匹配的API 级别，否则将不得上架Google Play；而现有应用若两年内未对标相应API级别，则会被Google Play移除。 新发布应用的 API 级别定位要求 这一变化旨在要求应用程序开发人员采用更严格的 API 策略来支持较新的 Android 版本，以针对目前的安全威胁，获得更好的权限管理和撤销、通知反劫持、数据隐私增强、网络钓鱼检测、屏幕启动限制等功能。 另外一项政策便是收紧了“REQUEST_INSTALL_PACKAGES”权限，以针对一些应用在上架Google Play时通过提交看似正常的代码骗过审核，并在被下载后部署恶意模块。该政策已于7 月 正式生效，适用于所有使用 API 级别为 25 (Android 7.1) 及更高版本的应用，使用此权限的应用程序在安装或更新时仅能获取经过数字签名的数据包，且不得执行自我更新、修改或在文件中捆绑其他 APK的操作。 这些政策能给谷歌防范恶意软件带来多大帮助目前还不得而知，但有一点可以肯定，恶意软件如同经久不衰的DDoS以及APT攻击，攻击者总能找到突破口实施入侵。对于Google Play，谷歌所要做的就是尽可能地快人一步，不断升级安全措施，及时发现并阻止恶意软件，尽量减小它们对用户构成的威胁。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/336663.html 封面来源于网络，如有侵权请联系删除

专家们于当地时间周三告诉美国众议院情报委员会，政府和科技行业必须合作以保护美国公民不被像Pegasus这样的商业间谍软件盯上。该软件于去年被揭露感染了许多政府官员、人权活动家、记者和其他人的iPhone。 在这场罕见的公开听证会上，委员会听取了公民实验室高级研究员John Scott-Railton、Google威胁分析小组主任Shane Huntley和Carine Kanimba的证词，后者是一名活动人士，其手机被PegASUS间谍软件锁定。 Kanimba是人权活动家Paul Rusesabagina的女儿，他在卢旺达种族灭绝期间为拯救1000多名难民的生命所做的努力被记录在了电影《卢旺达旅馆》中。他是该国政府的公开反对者，去年在他的家人所说的虚假审判之后，他被判定为跟恐怖主义有关的指控并被监禁在卢旺达。美国政府认为Rusesabagina遭到了错误的拘留。 正在努力使其父亲获得自由的Kanimba表示，去年她被一群记者提醒她的手机可能感染了Pegasus病毒。法医后来证实了这些猜测。她表示，她毫不怀疑卢旺达政府是监视的幕后黑手，她仍对政府下一步可能采取的行动感到恐惧。 她告诉委员会：“他们知道我在做的一切，我在哪里，我和谁说话，我的私人想法和行动，这让我一直保持清醒。除非对滥用这种技术的国家和他们的帮凶有后果，否则我们都不安全。” 网络安全专家称Pegasus是目前商业上最复杂的监控间谍软件之一。它使用“零点击”的漏洞，这意味着它可以感染目标手机而无需用户主动去做诸如点击恶意链接或下载附件的事情。 Citizen Labs的Scott-Railton作证说道：“不是坐在咖啡馆里，连接到不安全的Wi-Fi。你的手机可能在凌晨两点放在你的床头柜上。前一分钟你的手机还是干净的，下一分钟数据就默默地流向一个大陆之外的对手。而你发觉不了任何东西。” 这种通过短信传递的间谍软件以iPhone为目标，其允许使用它的人悄悄地访问从设备的通话和短信到加密的聊天记录和设备的摄像头等一切信息。此后，苹果修补了这个被利用的软件漏洞。 Scott-Railton表示，虽然NSO可能已经将间谍软件卖给了世界各地的数百个政府，但没有办法确定。但根据它被发现的大量地方和在手机上发现它的各种人，很明显，该公司对它卖给谁并不特别在意。他敦促委员会对投资于NSO这样的公司的美国养老基金及作为这类公司的安全庇护所的国家采取行动。 11月，美国政府将NSO列入政府的实体名单从而阻止了向NSO出售美国技术的行为。NSO已经暂停了一些国家的Pegasus特权，但试图为其软件和它试图对其使用的控制进行辩护。 NSO坚持认为，该间谍软件只用于寻求追捕罪犯或恐怖分子的政府。但去年，研究人员开始在属于活动家、人权工作者、记者和商人的手机上发现它的身影。 根据Citizen Labs在7月份的一份报告得出启示–Pegasus感染了至少30名泰国活动家的手机。苹果在11月警告了那些受感染的手机。 为了尝试挫败此类攻击，苹果在iOS 16和即将到来的MacOS Ventura中建立了一个新的锁定模式。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1297825.htm 封面来源于网络，如有侵权请联系删除

美国网络司令部周三披露了数十种针对乌克兰计算机网络的恶意软件，包括20种从未见过的恶意代码样本。 据therecord.media网站2022年7月22日消息，美国网络司令部周三披露了数十种针对乌克兰计算机网络的恶意软件，包括20种从未见过的恶意代码样本。 乌克兰安全局（乌克兰的执法机构和情报机构）与美网络司令部的网络国家任务部队（CNMF）分享了恶意软件的损害情况。 这一披露是美网络司令部和其他机构常规工作的一部分，旨在重点研究俄罗斯、伊朗和朝鲜等外国对手使用的黑客工具，以削弱其数字行动的影响。 今年早些时候，该司令部和其他组织首次将“Muddywater”黑客组织与伊朗情报和安全部联系起来，并上传了用于攻击世界各地组织的多个开源工具样本。 转自 安全内参，原文链接：https://www.secrss.com/articles/45152 封面来源于网络，如有侵权请联系删除