现阶段，越来越多网络犯罪分子将勒索攻击目标转向医疗卫生部门。本文梳理了一些网络安全保障措施，希望能够为医疗行业网络安全建设带来一些帮助。 加强电子邮件安全 医疗卫生机构应该为各种电子邮件传播设置多个防御层，一个好的电子邮件安全解决方案应该在第一道防线就能够检测到多个恶意信号（恶意 IP、可疑 URL、隐藏的恶意软件文件等）。 此外，培训员工识别恶意电子邮件很有必要，但要明确一下，真正发现明显攻击迹象时，员工不应首当其冲地承担责任。此外，培训应侧重于适当政策的重要性，例如通过电子邮件以外的第二个渠道确认付款和转账。 设置复杂的登录密码和凭据 目前，大多数网络攻击的目标是获取登录凭据，许多网络攻击者专门向他人出售用户信息。Trustwave SpiderLabs 团队调查发现，大量的登录凭证和浏览器记录被盗，从而可以访问暗网市场上宣传的医疗设施。 因此员工应该使用复杂的登录密码，医疗机构在后台存储密码时，也必须确保使用相对安全的密码哈希算法，在整个组织内优先实施双因素身份验证。 提高网络安全意识 发现并阻止网络攻击的责任不应该由普通医疗人员来承担，但一支训练有素的员工队伍可以有效的避免网络安全危险。 当前的安全培训往往局限于一些硬性规定的研讨会，但这对提高意识没有什么作用。相反，医疗机构应考虑更深入的演习，复盘勒索软件攻击等严重安全事件，这样才有助于决策者在巨大压力下做出快速正确的决定。 为勒索软件攻击做准备 众所周知，勒索软件对任何行业都是一种巨大威胁，其中医疗保健行业更是及其容易受到其破坏性影响。一个“瘫痪”的 IT 网络不仅仅意味着医疗机构数据或生产力出现问题，如果数据和设备一旦被长时间锁定，患者的生命可能会受到威胁。 基于此，“黑心”的网络犯罪分子期望医疗机构为尽快回复系统而屈服并立刻付款。另外，网络攻击者还会窃取大量的医疗数据，出售给暗网买家，获得额外利润。一个强大的电子邮件安全系统可能会阻止大多数恶意电子邮件，医疗组织应该对此做好详尽准备。一只具有管理检测和响应（MDR）能力的网络威胁搜索团队将有助于快速识别和阻止勒索软件，以减少其影响。 保护好扩展的物联网网络 支持物联网（IoT）的设备在帮助医疗服务提供商实现远程工作自动化和便利化方面发挥了巨大的作用。但是如果没有适当的监控和修补，这些连接的设备也可以为威胁行为体提供一条简单的攻击路径。 医院可能会在其设施中部署数百台设备，因此保持所有设备的更新和修补可能是一项非常耗费资源的任务。此外，许多医疗机构还需要努力适应更新重要设备所需的停机时间，自动化设备更新过程将更容易保护设备的安全。 医疗机构在购买医疗设备时应该审查，以确保它们具有关键的安全功能，并可用于维护和更新。 供应链风险 医疗卫生机构处于极其庞大复杂供应网络的中心，需要承接上下游的医疗材料、硬件和设施维护的供应商等。 这些供应商往往有很大程度的网络连接或数据访问，使其成为威胁攻击者黑进医疗机构网络的主要目标。如果一个被信任的托管或管理其数据的公司受到攻击，医疗机构也可能成为二次伤害者。 医疗机构可以通过审查所有第三方连接的安全级别，尽量减少供应链风险，通过公开的信息实现，如 DNS 服务器配置和向互联网开放的不安全端口（如MS-TERM-SERV、SMB等），而不需要侵入性网络扫描。 定期攻防演练 网络安全从来都不是一件简单的事情。即使有了正确的解决方案，员工也经过了良好的培训，流程也无懈可击，但最重要的是要不断测试防御并寻找改进方法。 定期漏洞扫描对于跟上不断变化的IT和网络威胁形势至关重要。应用程序和网络渗透测试将进一步利用经验丰富的安全人员的聪明才智，寻找可以发现和利用的漏洞。 大型医疗服务提供商（如医院）也可能考虑进行物理渗透测试，以确定其设施的IT基础设施是否容易受到入侵者的攻击。 转自 Freebuf，原文链接：https://www.freebuf.com/news/347376.html 封面来源于网络，如有侵权请联系删除

据Bleeping Computer 10月19日消息，微软在当天表示，部分客户的敏感信息可能因配置错误的微软服务器而存泄露风险。 微软透露，这种配置错误可能导致未经身份验证的访问行为，从而泄露微软和客户之间某些业务文件、交易数据以及客户的个人信息，包括姓名、电子邮件地址、电子邮件内容、公司名称和电话号码。但截至目前的调查，微软称没有任何迹象表明客户帐户或系统已经被入侵，并已将情况通知给受影响的客户。 泄露的数据可能与全球 65000 个实体有关 虽然微软没有提供有关此数据泄漏的任何其他详细信息，但威胁情报公司 SOCRadar 在当天发布的博客文章中透露，数据保存在配置错误的 Azure Blob 存储桶中。SOCRadar 声称，它能将这些敏感信息与来自 111 个国家和地区的 65000 多个实体相关联，其中存储的文件时间跨度从2017年开始至2022年8月。 SOCRadar 分析认为，暴露的数据具体包括了执行证明 (PoE) 和工作说明书 (SoW) 文件、用户信息、产品订单/报价、项目详细信息、PII（个人身份信息）以及可能泄露知识产权的数据和文件。 微软对SOCRadar关于这一事件的告知和分析表示感谢，但同时指出SOCRadar的博文严重夸大了问题的范围和具体数字，并指出SOCRadar在此事件中发布的数据泄露搜索工具不符合确保客户隐私或安全的最佳利益，并可能使客户面临不必要的安全风险。 搜索泄露数据的在线工具 SOCRadar发布的数据泄露搜索工具名为 BlueBleed，它允许公司查找其敏感信息是否与泄露的数据一致。除了在微软配置错误的服务器中发现的内容外，BlueBleed 还允许搜索从其他五个公共存储桶收集的数据。 仅在微软的服务器中，SOCRadar 就声称已经发现了包含敏感信息的 2.4 TB 数据，到目前为止，在分析暴露的文件时发现了超过 335000 封电子邮件、133000 个项目和 548000 个用户名。SOCRadar警告，攻击者可能已经访问了数据，并利用数据进行勒索、钓鱼，或将其放到暗网上拍卖。 转自 Freebuf，原文链接：https://www.freebuf.com/news/347368.html 封面来源于网络，如有侵权请联系删除

美国网络司令部于10月3日至14日实施了一项新的防御性网络空间行动。全球网络防御行动是美国网络司令部领导的与合作伙伴的持久防御战役活动，以寻找和识别恶意网络空间行为者通常在指定网络上使用的危害指标，支持联合部队在全球的后勤和力量投送能力。 此项行动在美国防部各种网络执行，并与参与伙伴在全球范围内同时执行；以内部为重点，旨在搜索、识别和缓解可能影响网络安全的众所周知的恶意软件及相关变体，并改进与作战司令部、跨机构、国际、行业和学术合作伙伴的流程和协调；旨在突出和增强与合作伙伴的互操作性，加强与合作伙伴共享信息和见解，从而提高美国国家网络、系统和行动的安全性和稳定性；旨在加强美国防部信息网络和其他支持系统的弹性，通过维护可靠和防御性网络来支持和改善联合部队以及盟友和合作伙伴的任务保证，确保美国网络司令部和合作伙伴在网络空间中保持持久优势。 奇安网情局编译有关情况，供读者参考。 美国网络司令部10月17日发布消息称，美国网络司令部于10月3日至14日实施了新的防御性网络空间行动。 美国网络司令部表示，“该行动旨在突出和增强网络司令部与合作伙伴的互操作性。通过提高与统一行动合作伙伴共享信息和见解的一致性，我们在应对恶意网络活动时提高了我们国家网络、系统和行动的安全性和稳定性。” 此项为期10天的行动以内部为重点，旨在搜索、识别和缓解可能影响网络安全的众所周知的恶意软件及相关变体。从众所周知的恶意软件或其变体开始，操作人员可以改进与作战司令部、跨机构、国际、行业和学术合作伙伴的流程和协调。如果发现威胁，操作人员将与所有合作伙伴共享见解。 美国网络司令部J-3行动副主管马修·帕拉迪斯表示，“在此框架下，该行动是一项旨在加强国防部信息网络（DODIN）和其他支持系统的弹性的持续活动。防御性网络空间行动通过维护可靠和防御性网络，从而支持和改善联合部队以及我们的盟友和合作伙伴的任务保证，帮助网络司令部履行其任务职责。” 该防御性行动在美国防部各种网络执行，并与参与伙伴在全球范围内同时执行。通过与合作伙伴共享信息和见解，美国网络司令部增强了防御能力。此举确保了美国网络司令部和合作伙伴在网络空间中保持持久优势。 全球网络防御行动是美国网络司令部领导的与合作伙伴的持久防御性战役活动，以寻找和识别恶意网络空间行为者通常在指定网络上使用的危害指标，支持联合部队在全球的后勤和力量投送能力。 转自 安全内参，原文链接：https://www.secrss.com/articles/48075 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，法国、西班牙和拉脱维亚的警方联合捣毁了一个汽车盗窃团伙，该团伙利用一种欺诈性软件，在不使用物理钥匙的情况下盗窃车辆。 此次行动共逮捕包括软件开发者、转售商、汽车盗贼在内的31名犯罪嫌疑人。 据悉，该犯罪团伙以使用无钥匙进入和启动系统的汽车为目标，利用其无钥匙技术在不使用遥控钥匙的情况下打开车门，启动发动机，将汽车偷走。 法国国家宪兵队（FNG）网络空间指挥部查获了用于入侵汽车无钥匙技术的欺诈性软件域名。值得一提的是，在欧洲刑警组织发布的新闻稿中并未提及该网站的 URL 或其所在域名，也没有提供有关嫌疑人如何入侵无钥匙车辆的任何细节。 此次调查是由法国宪兵队网络犯罪中心(C3N)发起。自 2022 年 3 月以来，欧洲刑警组织一直在大力支持这一案件、期间不仅进行了大量情报信息分析并向所有受此犯罪影响的国家分享情报，还积极协调法国、拉脱维亚和西班牙国家当局之间的跨境抓捕。 此外，在抓捕行动当天，欧洲刑警组织还将一个流动办公室派往法国以协助法国当局采取调查措施。 转自 Freebuf，原文链接：https://www.freebuf.com/news/347226.html 封面来源于网络，如有侵权请联系删除

据Bleeping Computer 10月18日消息，FBI发布警告称，网络诈骗分子很可能会利用刚刚施行的美国学生贷款减免计划，对目标群体进行钓鱼攻击。 今年8月，拜登政府正式颁布了学生贷款减免计划，该计划于上周末开始投入测试运行，并于当地时间10月17日正式开放免费申请，目前已有超过800万人提交了减免还款申请。 FBI表示，网络诈骗分子可能建立虚假的申请网站，并向受害者发送符合申请资格的钓鱼邮件和短信，而他们的目的可分为两种，一是搜集受害者个人信息进行其他网络犯罪活动，二是以注册该计划或处理申请为由从中骗取费用。 此外，在申请的第一阶段，正规的申请流程不需要用户登录任何账户，也不需要个人上传任何个人或财务文件。当进入下一阶段时会被要求提供一些个人信息和文件，并会通过noreply@studentaid.gov、 noreply@debtrelief.studentaid.gov等官方邮件联系申请者。 真正的官方申请网站 FBI强调，政府不会向申请者发送通知，因此任何关于申请表的电子邮件、电话或短信涉嫌诈骗。 据悉，美国共有约4500万人申请了学生贷款，总计借贷金额达1.6 万亿美元。拜登表示，超过4000万人将从学生贷款减免计划中受益，受益者中90%的人年收入不足7.5万美元。 转自 Freebuf，原文链接：https://www.freebuf.com/news/347236.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 视频消息公司Zoom修复了macOS的会议Zoom客户端中的一个高严重性漏洞，跟踪为CVE-2022-28762。 适用于macOS的会议Zoom客户端（标准版和IT管理员版）受调试端口配置错误的影响，该漏洞被跟踪为CVE-2022-28762，CVSS评分为7.3。当通过运行特定的Zoom应用程序作为Zoom App Layers API的一部分启用相机模式渲染上下文时，客户端会打开一个本地调试端口。本地恶意用户可以利用调试端口连接并控制Zoom客户端中运行的应用程序。 受影响的版本范围在5.10.6和5.12.0之间（不包括在内）。 该漏洞是由该公司内部安全团队在例行评估中发现的。 该公司还解决了一个中等严重程度的问题，被跟踪为CVE-2022-28761（CVSS评分6.5），该漏洞影响了Zoom内部部署会议连接器多媒体路由器（MMR）。 “版本4.8.20220916.131之前的Zoom内部部署会议连接器（MMR）包含一个不正确的访问控制漏洞。因此，在他们有权参加的会议或网络研讨会中，黑客可能会阻止参与者接收音频和视频，从而导致会议中断。”公告中写道。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

安全内参10月18日消息，德国报纸《海尔布隆言论报》（Heilbronn Stimme）在上周五（10月14日）遭遇勒索软件攻击，印刷系统陷入瘫痪，该报被迫以电子版形式发布最新一期内容。 上周六，该报已经发布了6页“应急”版，所有计划发表的讣闻均转移至官方网站。而且整个周末期间，报社的电话和电子邮件通信始终未能恢复上线。 这份地区性出版物的发行量约为75000份，受印刷问题的影响，其官方网站已经暂时取消了付费墙模式。该报的网站月度访问量约为200万次。 报社主编Uwe Ralf Heer表示，此次攻击对整个Stimme Mediengruppe媒体集团都造成了影响，具体包括旗下的Pressedruck、Echo与RegioMail等公司。 发行量25万4千份的Echo受到网络攻击影响，连网站上的电子版访问都出现了问题。但其在线新闻门户Echo24.de仍在正常运行。 Heer指出，此次攻击出自某知名网络犯罪团伙之手。该团伙于上周五晚对其系统进行了加密，并留下勒索说明。但截至上周六下午，对方仍未给出具体的赎金数额。 员工开始居家办公 按照报社通知，该报编辑开始在家中使用个人电脑工作，并拿到了由报社发放的新邮件地址。 该媒体集团正在与警方合作，希望尽快找到解决技术问题的方法，同时努力查明肇事元凶。 应德国内政部长Thomas Strobl的要求，巴登-符腾堡州的网络安全专家也开始协助修复工作。 通知中写道，“我们正与警方、数据保护及外部专家开展正式合作，希望尽快将运营恢复至正常水平。” “但就目前来看，我们无法预测能否在一周之内恢复报纸交付。” 在印刷系统恢复正常之前，《海尔布隆言论报》将继续通过来自卡尔斯鲁厄的第三方印刷“应急”版报纸。 由于该媒体集团本身也是发行商，因此海尔布隆地区的《南德意志报》（Süddeutsche Zeitung）和《斯图加特报》（Stuttgarter Zeitung）等其他主要报纸（发行量达35万份）也将暂停发行，直至另行通知。 转自 安全内参，原文链接：https://www.secrss.com/articles/48050 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 新的研究揭示了Microsoft 365中所谓的安全漏洞，由于使用了损坏的加密算法，该漏洞可能被利用来推断邮件内容。 芬兰网络安全公司WithSecure在上周发布的一份报告中表示：“[Office 365消息加密]消息是在不安全的电子密码本（ECB）操作模式下加密的。” Office 365邮件加密（OME）是一种安全机制，用于在组织内外的用户之间发送和接收加密的电子邮件，而不会透露任何有关通信本身的信息。 新披露的问题的影响是，获得加密电子邮件访问权限的流氓第三方可能能够破译这些消息，从而有效地破坏了机密性保护。 电子密码本是最简单的加密模式之一，其中每个消息块由密钥单独编码，这意味着相同的明文块将被转换为相同的密文块，因此不适合作为加密协议。 事实上，美国国家标准与技术研究院（NIST）今年早些时候指出，“欧洲央行模式独立加密明文块，无需随机化；因此，检查任何两个密文块可以揭示相应的明文块是否相等。” 也就是说，WithSecure发现的缺陷与单个消息本身的解密无关，而是依靠分析加密被盗邮件的的泄漏模式，然后对内容进行解码。 该公司表示：“拥有大型消息数据库的攻击者可以通过分析截获消息重复部分的相对位置来推断其内容（或部分内容）。” 这些发现加剧了人们的担忧，即以前泄露的加密信息可能会被解密并在未来用于攻击，这种威胁被称为“现在入侵，稍后解密”，这促使人们需要切换到抗量子算法。 就微软而言，OME是一个遗留系统，该公司建议客户使用名为Purview的数据管理平台，通过加密和访问控制来保护电子邮件和文档。 Redmond在其文档中指出:“尽管两个版本可以共存，但我们强烈建议您编辑使用规则操作的旧邮件流规则，应用上一个版本的OME以使用Microsoft权限消息加密。” WithSecure说：“由于微软没有修复此漏洞的计划，唯一的缓解措施是避免使用微软Office 365邮件加密。” 消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

谷歌宣布推出安全操作系统 KataOS，作为他们最新专注于运行环境侧重于机器学习工作负载的嵌入式设备的操作系统。出于将安全性放在首位的宗旨，KataOS 专门使用 Rust 语言开发，并基于 seL4 微内核进行了构建。 通过 seL4 CAmkES 框架，我们还能够提供静态定义和可分析的系统组件。KataOS 提供了一个可验证安全的平台来保护用户的隐私，因为应用程序在逻辑上不可能违反内核的硬件安全保护，并且系统组件是可验证安全的。KataOS 也几乎完全用 Rust 实现，它为软件安全性提供了一个强有力的起点，因为它消除了 entire classes 错误，如 off-by-one errors 和缓冲区溢出。 目前，谷歌已经在 GitHub 开源了大部分 KataOS 核心部分。具体包括用于 Rust 的框架（例如 sel4-sys crate，它提供了 seL4 系统调用 API），一个用 Rust 编写的备用 rootserver（用于动态系统范围的内存管理），以及对 seL4 的内核修改，可以回收 rootserver 使用的内存。 谷歌方面透露，在内部，KataOS 还能够动态加载和运行在 CAmkES 框架之外构建的第三方应用程序。但运行这些应用程序所需的组件暂时还未开源，他们计划或将在不久的未来发布这些功能。 为了完整地证明一个安全的环境系统，谷歌还为 KataOS 构建了一个名为 Sparrow 的参考实现，它将 KataOS 与一个安全的硬件平台相结合。因此，除了逻辑安全的操作系统内核之外；Sparrow 还包括一个逻辑安全的信任根，该信任根是使用 OpenTitan 在 RISC-V 架构上构建的。但是就初始版本而言，其目标是使用 QEMU 在模拟中运行更标准的 64 位 ARM 平台。 公告称，谷歌的目标是开源所有 Sparrow，包括所有硬件和软件设计；现下发布的 KataOS 早期版本只是一个开始。 转自 安全内参，原文链接：https://www.secrss.com/articles/48023 封面来源于网络，如有侵权请联系删除

微软报告称，新的 Prestige 勒索软件正被用于针对乌克兰和波兰的运输和物流组织的攻击。Prestige 勒索软件于10月11日首次出现在威胁环境中，所有受害者在一小时内相互攻击。 该活动的一个显著特点是，很少看到威胁行为者试图将勒索软件部署到乌克兰企业的网络中。微软指出，该活动与它正在跟踪的94个当前活跃的勒索软件活动组中的任何一个都没有关联。 微软威胁情报中心 (MSTIC) 发布的报告中写道：“该活动与最近与俄罗斯国家相关的活动，特别是在受影响的地区和国家，并与FoxBlade恶意软件（也称为HermeticWiper）的先前受害者重叠”。 HermeticWiper是网络安全公司ESET和博通旗下赛门铁克的研究人员于2月发现的破坏性擦除器，其恶意代码被用于袭击乌克兰数百台机器的攻击。 微软注意到，该活动不同于最近利用 AprilAxe (ArguePatch)/ CaddyWiper或Foxblade (HermeticWiper) 的破坏性攻击，这些攻击在过去两周袭击了乌克兰的几个关键基础设施组织。 MSTIC 尚未将这些攻击归因于已知的威胁组，同时，它正在跟踪该活动作为 DEV-0960。在目标网络中部署勒索软件之前，使用以下两个远程执行使用程序观察了威胁参与者： RemoteExec – 一种用于无代理远程代码执行的商用工具 Impacket WMIexec – 一种基于开源脚本的远程代码执行解决方案 DEV-0960 在一些攻击中使用以下工具来访问高权限凭证： winPEAS – 在 Windows 上执行权限提升的开源脚本集合 comsvcs.dll  – 用于转储 LSASS 进程的内存并窃取凭据 ntdsutil.exe – 用于备份 Active Directory 数据库，可能供以后使用凭据 “在所有观察到的部署中，攻击者已经获得了对域管理员等高权限凭证的访问权限，以促进勒索软件的部署。” 继续报告。“目前尚未确定初始访问向量，但在某些情况下，攻击者可能已经从先前的妥协中获得了对高特权凭据的现有访问权限。” MSTIC 研究人员观察到威胁参与者使用三种方法部署 Prestige 勒索软件： 方法一：将勒索软件payload复制到远程系统的ADMIN$共享中，使用Impacket在目标系统上远程创建Windows Scheduled Task来执行payload 方法二：将勒索软件payload复制到远程系统的ADMIN$共享，使用Impacket在目标系统上远程调用编码的PowerShell命令来执行payload 方法三：将勒索软件负载复制到 Active Directory 域控制器并使用默认域组策略对象部署到系统 部署后，Prestige 勒索软件会在其加密的每个驱动器的根目录中放置一个名为“README.txt”的勒索记录。 Prestige 使用 CryptoPP C++ 库对每个符合条件的文件进行 AES 加密，以防止数据恢复，勒索软件会从系统中删除备份目录。 Microsoft 发布了一份入侵指标 (IOC) 列表，高级搜索查询可检测 Prestige 勒索软件感染。微软将继续监控 DEV-0960 活动并为我们的客户实施保护措施。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/Wkww3B6prx4LMVSA5hTJIQ 封面来源于网络，如有侵权请联系删除