对于IT管理员和网络安全团队来说，勒索软件攻击是一场与时间赛跑的关键比赛，以检测和控制损害，同时抢救公司的数据资产的剩余部分。但是，当这种事件发生时，有多少反应时间呢？似乎不是很多。正如对10个候选勒索软件的测试所揭示的那样，一种名叫LockBit的勒索软件效率惊人，在四分钟内就加密了一台Windows服务器上的近10万个文件，在同行当中处于“领先地位”。 由Splunk进行的勒索软件加密速度测试涉及10个勒索软件家族的10个样本，它们在4个不同的模拟计算机”受害者”配置上运行。在总共400次测试中，在Windows Server 2019机器上运行的LockBit样本成为最快的勒索软件，仅用4分9秒就加密了所有53GB的测试数据。 该测试数据由98561个文件组成，包括pdf、excel和word文档。同时，在一台Windows 10和Windows Server 2019机器上测试了这些勒索软件，包括来自REvil、Darkside、Babuk、Maze、LockBit和其他几个样本。LockBit不仅有最快的样本，而且在中位持续时间方面也排在总体第一位。 有趣的”Babuk”勒索软件在总体上排名第二，尽管它的名声因其最慢的单个样本（文件加密时间超过三个半小时）而受到一些打击。 Splunk还分享了一份白皮书（需要商业电子邮件才能下载），提供了对这项研究的全面看法。至于在发生勒索软件攻击时应采取的策略，该公司建议使用多因素认证、网络分段、集中记录和保持系统补丁。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1252033.htm 封面来源于网络，如有侵权请联系删除

近段时间，一轮新的 BitRAT 恶意软件活动正在加速传播。手段是利用非官方的微软许可证激活器，来激活盗版 Windows 操作系统。Bleeping Computer 指出，BitRAT 是一款功能强大的远程访问木马。在网络犯罪论坛和暗网市场上，它正以 20 美元的买断价，向网络犯罪分子们兜售。 叫卖帖（图 via Bleeping Computer） 在买来恶意软件后，每位攻击者都会在 BitRAT 基础上进行打包分发，包括但不限于网络钓鱼、水坑、木马等。 AhnLab 安全研究人员最近发现，威胁参与者正在将 BitRAT 伪装成 Windows 10 专业版的激活工具，并在网盘上分享传播。 据悉，Webhards 是一项在韩国相当流行的在线存储服务，其通过社交媒体平台 / Discord 发布的直接下载链接，而吸引了大量的访问者。 但是对于粗心的网络用户来说，还是很容易被各类威胁参与者所利用的。 伪装成激活工具的恶意软件下载器 按照正规流程，用户需要通过合法渠道向微软购买许可证以激活 Windows 10 操作系统。不过也有一些迂回方法，比如利用 Windows 7 → Windows 10 的免费升级政策。 胆子更大的一些盗版用户，会冒险搜索网络上散布的非官方激活工具，但其中混入了许多恶意软件 —— 比如上图所示的“W10DigitalActiviation.exe”。 其带有一个简洁的图形化用户界面（GUI），配上对小白“相对友好”的一键激活按键。然而点击之后，它并不会在主机系统上激活 Windows 许可证。 代码分析发现，威胁参与者会利用硬编码，从命令与控制服务器上下载名为“Software_Reporter_Tool.exe”的恶意软件（本质上是 BitRAT 恶意软件）。 恶意代码分析（实际会下载 BitRAT 恶意软件） 恶意文件的会被安装到 %TEMP% 路径，并添加到 Startup 文件夹中。为了避免被系统自带的安全软件给清除，它甚至还会将自身纳入 Windows Defender 的排除项。 在榨干了所谓“激活工具”的利用价值后，“W10DigitalActiviation.exe”会被卸磨杀驴（从系统中删除），从而只在受害者计算机上留下被夺舍的 BitRAT 恶意软件。 对于网络犯罪分子们来说，BitRAT 的功能可谓是‘便宜又大碗’，能够从主机上窃取大量有价值的信息、执行 DDoS 攻击、绕过用户权限控制（UAC）等。 此外它还能够当做键盘记录器、监测剪贴板、访问网络摄像头、录音、窃取 Web 浏览器的凭证，甚至利用受害设备的计算资源来挖掘 XMRig 加密货币。 以及通过 SOCKS4 和 SOCKS5（UDP）通路，提供对受害者 Windows 系统的访问、隐藏虚拟网络计算（hVNC）、还有基于反向代理的远程控制。 BitRAT 恶意软件的 C&C 控制面板 从这些功能来看，ASEC 分析师认为它与 TinyNuke（及其衍生的 AveMaria / Warzone）代码有很强的相似性。 综上所述，即使抛开法律与道德因素，使用盗版软件的安全风险、仍无异于一场赌博。 用于激活非法软件副本 / 破坏知识产权保护的系统工具越多，最终感染上恶意软件的可能性就越大。即使暂时负担不起 Windows 许可证，也可考虑其它期待选项。 更重要的是，大家还是要养成良好的习惯 —— 不要轻易使用来路不明的许可证激活器、或其它由未知供应商制作并发布的未签名可执行文件。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1249813.htm 封面来源于网络，如有侵权请联系删除

根据FBI的年度互联网犯罪报告，2021年人们因互联网犯罪而损失了超69亿美元，这比2020年猛增了20多亿美元。该报告于周二发布，包含了向美联邦执法机构的互联网犯罪投诉中心报告的最普遍的互联网诈骗信息 资料图 据FBI介绍称，2021年共有847,376起互联网犯罪投诉，虽然比2020年只增加了7%，但与2019年相比却猛增了81%。去年报告的前三大网络犯罪是网络钓鱼诈骗、不付款/不发货和个人数据泄露。 也许并不奇怪，过去两年中网络犯罪的激增大部分可归因于COVID-19大流行，正如联邦调查局在其报告中指出的那样，这导致了在家工作和虚拟会议的增加。2020年，FBI收到了28,500多份专门跟COVID-19有关的互联网犯罪活动的投诉，不过在2021年的报告中似乎没有对跟COVID-19有关的互联网犯罪进行详细统计。 虽然全美大部分地区对COVID-19的限制和授权正在放宽，但互联网上的犯罪活动尤其是以网络钓鱼和数据泄露的形式–在2021年达到历史最高水平–可能会继续上升。在加密货币世界中，诈骗和支持欺诈形式的犯罪可能会变得更加普遍，2021年约有32,400起投诉。其他需要警惕的常见互联网犯罪则包括网恋骗局、技术支持欺诈和勒索软件。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1249955.htm 封面来源于网络，如有侵权请联系删除

一款用于窃取 Facebook 登录凭证的恶意 Android 应用目前在 Google Play 商城上已经被安装超过 10 万次，而且该应用目前仍可下载（发稿时已下架）。这款恶意程序被伪装成“Craftsart Cartoon Photo Tools”卡通化应用，允许用户上传图片并将其转换为卡通渲染。 过去 1 周，安全研究人员和移动安全公司 Pradeo 发现，该 Android 应用包括一个名为“FaceStealer”的木马，它显示一个 Facebook 登录屏幕，要求用户在使用该应用前登录。 据 Jamf 安全研究员 Michal Rajčan 称，当用户输入他们的凭证时，该应用程序将把它们发送到 zutuu[.]info [VirusTotal]的命令和控制服务器，然后攻击者可以收集这些信息。 除了 C2 服务器，恶意的 Android 应用程序将连接到 www.dozenorms[.]club URL [VirusTotal]，在那里发送进一步的数据，而且过去曾被用来推广其他恶意的 FaceStealer Android 应用程序。 正如Pradeo在其报告中所解释的那样，这些应用程序的作者和分销商似乎已经将重新包装的过程自动化，并将一小段恶意代码注入到一个其他合法的应用程序中。然而，一旦他们登录，该应用程序将提供有限的功能，将指定的图片上传到在线编辑器http://color.photofuneditor.com/，该编辑器将对图片应用图形滤镜。 由于特定的应用程序仍在Play Store上，人们可能会自动认为该Android应用程序是值得信赖的。但不幸的是，恶意的Android应用有时会潜入Google应用商店，并一直保留到从差评中发现或被安全公司发现。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1249651.htm 封面来源于网络，如有侵权请联系删除

受俄乌冲突影响，俄罗斯 Sber 银行建议其客户暂时停止安装任何应用程序的软件更新，因为担心这些软件可能包含专门针对俄罗斯用户的恶意代码，被一些人称为“抗议软件”（protestware）。 Sber 的公告写道：“目前，挑衅性媒体内容被引入免费分发的软件的情况已经变得更加频繁。此外，各种内容和恶意代码可以被嵌入到用于软件开发的免费分发的库中。使用此类软件可能导致个人和企业计算机以及IT基础设施感染恶意软件”。 在迫切需要使用该软件的情况下，Sber建议客户用杀毒软件扫描文件或对源代码进行人工审查–这个建议对大多数用户来说可能不切实际，甚至不可能。虽然公告的内容很笼统，但很可能是指 3 月早些时候发生的事件，当时一个广泛使用的 JavaScript 库的开发者添加了一个更新，覆盖了位于俄罗斯或白俄罗斯机器上的文件。据称，该更新是为了抗议战争而实施的，它引起了开源社区许多人的警觉，担心它会破坏对开源软件整体安全性的信心。 该更新是在一个名为node-ipc的JavaScript模块中进行的，根据NPM软件包管理器的数据，该模块每周被下载约100万次，并被流行的前端开发框架Vue.js用作依赖。 据The Register报道，3月7日和3月8日对node-ipc的更新增加了一些代码，检查主机的IP地址是否位于俄罗斯或白俄罗斯，如果是，就用一个心形符号尽可能多地覆盖文件。该模块的后期版本取消了覆盖功能，而是在用户的桌面上投放了一个文本文件，其中包含一条信息：”战争不是答案，不管它有多糟糕”，并附有Matisyahu的一首歌的链接。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1249547.htm 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，网络安全分析师发现 GoDaddy 管理服务器上托管的部分 WordPress 网站，被部署了大量后门，所有网站都具有相同的后门有效载荷。 据悉，这次网络攻击可能影响到许多互联网服务经销商，已知的包括 MediaTemple、tsoHost、123Reg、Domain Factory、Heart Internet和Host Europe Managed WordPress 等。 2022 年 2 月 11 日，Wordfenc 安全团队首次观察到此次恶意活动。经过一段时间追踪，发现 24 小时内约有 298 个网站感染后门，其中 281 个网站托管在 GoDaddy。 网络安全研究员透漏，感染后门的网站允许攻击者从 C2 中获取垃圾邮件链接模板，用于将恶意网页注入到用户搜索结果中，进行虚假宣传，诱导受害者购买假冒产品。 此外，攻击者还能够通过更改网站内容等明显违规行为，损害网站声誉，但这些似乎都不是威胁者最终目的。 糟糕的是，这种模式的网络攻击发生在服务器上而不是浏览器上，很难从用户端检测到和阻止，因此本地网络安全工具不会检测到任何可疑的东西。 供应链攻击 此次网络攻击的入侵载体还没有得到确定，虽然看起来很接近供应链攻击，但目前不能证实。 无论如何，如果用户的网站托管在GoDaddy的WordPress管理平台上，请务必尽快扫描wp-config.php文件，查找潜在的后门注入。 值得注意的是，2021 年 11 月，GoDaddy 披露一起数据泄露事件，影响范围涵盖 120 万客户和多个WordPress 管理服务经销商，包含上文提到的六个。 Bleeping Computer 已经联系了 GoDaddy，期望获取更多关于攻击活动的信息，但没有收到回复。 参考文章： https://www.bleepingcomputer.com/news/security/hundreds-of-godaddy-hosted-sites-backdoored-in-a-single-day/   转自 FreebuF ，原文链接：https://www.freebuf.com/news/325232.html 封面来源于网络，如有侵权请联系删除

在周四的一份网络安全公告中，育碧（Ubisoft）证实该公司在上周遭遇了一起“网络安全事件”。尽管攻击尝试似乎未能造成破坏，但出于安全方面的考虑，育碧还是采取了全公司范围内的密码重置措施，以防发生其它意外。在此期间，育碧暂停了部分服务，但坚称没有玩家数据受到损害。截止发稿时，该公司旗下所有游戏和服务均已恢复正常运行。 截图（来自：Ubisoft） 育碧补充道，公司内部 IT 团队正在与业内领先的网络安全专家合作调查这起事件。只是为了安全起见，才决定对所有密码进行重置 —— 除了育碧员工，甚至其潜在合作伙伴，都必须执行密码更新操作。 尽管可能没有太大的必要，但如果你是育碧旗下某款游戏服务的玩家，也可酌情选择修改密码、并在条件允许的情况下启用双因素（2FA）身份验证，以显著降低账户被盗用的风险。 此外育碧强调，上周发生的网络安全事件并未触及玩家的个人信息。鉴于尚未有黑客组织声称对此事负责，我们推测攻击者只是触发了育碧安全系统的警报，但未能顺利提取或破坏任何敏感信息。 转自 cnBeta ，原文链接：https://hot.cnbeta.com/articles/game/1246087.htm 封面来源于网络，如有侵权请联系删除

在英国，购买比特币最简单、最匿名的方式之一是前往选定的商店，使用比特币自动取款机，你只需存入现金，然后将比特币发送到你的比特币钱包。英国金融行为监管局（FCA）现在正命令经营这些自动取款机的公司关闭它们，因为它们没有实施旨在防止洗钱的KYC措施。 要在英国运营，加密货币自动取款机应在FCA注册，并遵守英国洗钱条例（MLR）。据FCA称，在其注册的加密资产公司中，没有一家获准经营ATM机，所以那些正在经营的公司是非法的，FCA表示，客户不应该使用它们。 其中一家公司Gidiplus最近对FCA的决定提出上诉，法官对此表示，缺乏证据表明Gidiplus以合规方式开展业务。这一决定为FCA对这些自动取款机的起诉增加了砝码，给它们带来了更大的关闭压力。FCA将与运营商联系，指示他们停止运营ATM机，任何拒绝的运营商将面临进一步的行动。 那些想在英国购买加密货币的人可以通过许多在线平台进行购买，其中大部分平台会要求你证明你的身份，以便你不会通过这些服务来洗钱。虽然FCA允许这些类型的服务，但它警告说，这些服务是不受监管的，而且是高风险的，所以如果出了问题，你不可能得到保护，因此，你投资的任何钱，都应该是你准备损失的钱。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1245987.htm 封面来源于网络，如有侵权请联系删除

欧洲议会周四投票决定成立一个新的 “调查委员会”，调查针对欧洲成员国获取和使用Pegasus（飞马）手机间谍软件的指控。议员们基本上投票赞成设立该委员会，该委员会将调查欧盟27个成员国使用Pegasus和其他监控间谍软件的情况。 调查委员会允许立法者调查可能违反欧洲法律的行为。欧洲议会在一份声明中说，该委员会将调查监管监控方面现有国家法律，以及PegASUS间谍软件是否被用于政治目的，例如针对记者、政治家和律师。 Pegasus是以色列公司NSO集团开发的一种强大的移动间谍软件，可以近乎完全访问目标设备上的数据。NSO是更广泛的监控领域中更多产和知名的间谍软件制造商之一，允许政府和执法部门通过利用设备软件的安全缺陷和弱点来获取设备数据。研究人员一直发现，民间社会成员，记者、活动家和人权捍卫者已经成为政府使用飞马间谍软件的目标，尽管政府保证只针对严重的罪犯和恐怖分子。 在该委员会成立前不到一个月，欧洲数据保护监督员呼吁在整个集团范围内禁止使用Pegasus和其他移动间谍软件，担心会出现”前所未有的侵扰程度”，并引用了有关间谍软件在两个欧盟成员国匈牙利和波兰部署的报告。 1月，公民实验室的研究人员发现有证据表明，波兰执政党的批评者，包括反对派立法者Krzysztof Brejza，成为间谍软件的目标。从Krzysztof Brejza手机中窃取的短信随后被泄露、篡改并在国家控制的电视台上播出，之后他以微弱的劣势在选举中败北。此后，Krzysztof Brejza指责波兰政府干扰了选举。研究人员还报告了法国、德国和西班牙的Pegasus使用情况。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1245991.htm 封面来源于网络，如有侵权请联系删除

伦敦的大都会警察局（MPS）进行了英国有史以来最大的加密货币扣押，从一个涉嫌洗钱的人那里拿走了价值1.8亿英镑的加密货币。同时吗，美国司法部查封了与2016年Bitfinex黑客事件有关的价值36亿美元比特币，这是目前有史以来最大的加密货币或法币被盗资产的回收。 这些故事很重要，不仅因为它们允许对加密货币犯罪的受害者进行经济赔偿，而且还因为它们反驳了加密货币是一种无法追踪、无法确定的资产，非常适合犯罪的说法。如果网络犯罪分子知道执法部门有能力扣押他们的加密货币，这可能会降低他们在未来使用加密货币的动机。 这些案件也提出了一个重要问题。目前有多少加密货币被区块链上的已知犯罪实体持有，因此理论上可以被执法部门扣押？答案不仅是2021年基于加密货币的犯罪收入，而且是可见地址仍然持有的所有犯罪收入。下面，我们将分析可以追溯到非法来源的加密货币持有量总和，以及犯罪分子的总余额，即持有100万美元或以上加密货币的犯罪分子。 让我们先看一下过去五年的年终犯罪余额，按资金来源的非法活动类型进行细分。在这个分析中，犯罪余额指的是Chainalysis认为属于非法行为者的地址目前所持有的任何资金。这些地址可能属于犯罪服务，如暗网市场，但在某些情况下也可能由私人钱包托管，如涉及被盗资金的情况。 有两件事最为突出：第一是2021年犯罪余额的巨大增长，在年底，犯罪分子持有价值110亿美元的已知非法来源的资金，而在2020年底，这一数字仅为30亿美元。第二个是被盗资金的主导程度。截至2021年底，被盗资金占所有犯罪余额的93%，为98亿美元。暗网市场资金紧随其后，为4.48亿美元，其次是诈骗，为1.92亿美元，欺诈商店为6600万美元，勒索软件为3000万美元。 犯罪余额在全年也有波动，从7月的66亿美元的低点到10月的148亿美元的高点。这种波动提醒了加密货币调查中速度的重要性，因为在区块链上被成功追踪的犯罪资金可以被迅速清算。当然，犯罪余额的下降也可以有很好的理由。我们在上面看到的2022年2月犯罪余额的大幅下降是由于司法部扣押了2016年Bitfinex黑客攻击中被盗的36亿美元的比特币。在这次扣押之后，截至2022年2月9日，犯罪余额目前大约为50亿美元。 从历史趋势来看，暗网市场供应商和管理员往往在清算前持有其资金的时间最长，而被盗资金的钱包往往持有时间最短。最后一点可能令人惊讶，被盗资金的持有时间怎么会这么短，却占了犯罪余额的绝大部分？事实证明，这些持有的资金大多属于极其庞大的钱包，其持有时间比其他被盗资金类别中的典型时间要长。但真正突出的是持有时间全面减少，因为2021年的平均持有时间比所有类别的历史数据至少缩短75%。勒索软件运营商尤其体现了这一趋势，因为他们现在在清算前平均只持有资金65天。这可能是因为勒索软件攻击者面临的越来越大的执法压力。   （消息及封面来源：cnBeta）