根据区块链数据公司Chainalysis的一份报告，在2021年底，网络犯罪分子拥有超过110亿美元与非法活动有关的加密货币，比2020年底的30亿美元有了飞速的增长。最有利可图的犯罪行为是盗窃。据该公司称，犯罪分子、加密货币钱包中93%的资金是由价值98亿美元的被盗币构成。 为了找到这些数字，Chainalysis研究了非法行为者的钱包里有多少加密货币，即那些从暗网市场、勒索软件操作、诈骗或加密货币盗窃等方面获得的资金。当网络犯罪分子从他们的非法活动中获得加密货币时，由于2021年的牛市，他们已经拥有的加密货币也越来越有价值。根据雅虎财经的数据，从2020年底到2021年底，热门币的价值跃升了很多。 换句话说，犯罪分子在2021年初拥有的大部分加密货币，如果他们保持在身边，到年底的价值会膨胀。与过去几年相比，犯罪分子在2021年似乎不太渴望保留他们的加密货币。报告指出，他们在2021年似乎比前几年更快地清算他们的不义之财。Chainalysis表示，与它一直在跟踪的其他年份相比，犯罪分子持有资金的时间平均减少75%。 赎金软件运营商摆脱它们的速度最快，2021年平均保留资金65天，而历史上的平均时间是468天。即使是暗网市场运营商，其之前的平均数为1252天，也只持有250多天的资金，欺诈者和诈骗者介于两者之间，在2021年平均保持资金超过100天。 正如Chainalysis所指出的，这些资金在犯罪分子的钱包里并不一定安全，因为执法机构并没有坐视不管，他们一直在进入这些钱包并扣押里面的加密货币。在整个2021年，我们看到执法部门拿走了据称与勒索软件集团或庞氏骗局发起人有关的资金。而在2022年的两个月里，我们看到了更多的活动；英国税务机关征用了一些NFT，美国司法部拿到了在Bitfinex黑客事件中被盗的价值36亿美元的比特币。   （消息及封面来源：cnBeta）

在一份公共服务公告中，联邦调查局透露，与SIM卡替换有关的犯罪行为有惊人的增长，在2021年给美国公众造成了价值超过6800万美元的损失。随着越来越多的消费者将其在线账户的访问和恢复与电话号码绑定为2FA（二次验证），攻击者通过恶意挂失SIM卡，并将所有数据如电话、恢复短信和OTP转移到他们选择的设备上，从而绕过这一额外的安全措施。 FBI建议除了2FA验证外，使用认证应用程序和物理安全令牌可以增加安全性，并建议人们避免在社交媒体网站论坛上分享个人和财务细节。 SIM卡替换攻击的基本方式是嫌犯窃取一定数量的个人数据（包括受害者电话号码），假装机主联系另一家运营商，声称手机已丢失并说服运营商提供新手机和SIM卡，断开“旧”线路，然后从云端传输受害者的应用程序和信息。通过SIM卡替换攻击，罪犯可以用不同的设备控制手机以持续获得更多有用的信息。 SIM替换攻击迅速增加的一个证据是联邦调查局去年收到的相关投诉的数量。在2018年1月至2020年12月期间，总共有320起此类投诉，总计导致1200万美元的损失。然而，仅在2021年，在1611起SIM卡替换攻击投诉被记录以后，这一数字急剧上升到6800万美元。 虽然基于短信的2FA为账户增加了额外的安全层，但这种方法长期以来一直被认为是有风险的，因为移动运营商发来的短信仍然可以通过恶意软件窃取或冒充，攻击者会欺骗运营商将电话号码换到他们选择的SIM卡上。 SIM卡替换的受害者也可能因为在社交媒体和公共论坛上宣传他们的金融资产而自食其果，这也包括分享加密货币投资上的细节，正如联邦调查局的咨询中指出的那样。 当然，用户可以通过强度更大的密码（和密码管理器），以及采用更强大的2FA方法，而不是基于短信来解决依赖短信的问题问题。基于应用程序的认证器生成代码，或像Google这样的无代码实施，已被证明可以提高账户保护能力。 此外，联邦调查局还建议移动运营商对员工进行有关SIM卡替换的教育和培训，并采取更严格的措施来验证与将号码换到新设备上有关的真实用户请求。   （消息及封面来源：cnBeta）

微软今天宣布，它将默认阻止5个Office应用程序中VBA宏脚本的执行，这是近年来影响最大的变化之一。从2022年4月初开始，Access、Excel、PowerPoint、Visio和Word用户将不能在他们从互联网上下载的不受信任的文件中启用宏脚本。 安全研究人员多年来一直要求作出这一改变，这将为恶意软件团伙设置一个强大的障碍，这些恶意软件团伙依靠欺骗用户启用宏脚本作为在其系统上安装恶意软件的一种方式。 在这些攻击中，用户通常通过电子邮件收到一份文件，或被指示从一个互联网网站下载。当他们打开该文件时，攻击者通常会留下一条信息，指示用户启用宏脚本的执行。 虽然具有一些技术和网络安全知识的用户可能能够认识到这是一个感染恶意软件的诱饵，但许多日常的Office用户仍然没有意识到这种技术，并最终按照所提供的指示操作，有效地使自己感染了恶意软件。 处理这个问题一直是微软的一根刺，因为VBA宏脚本在公司内部经常被用来在打开某些文件时实现某些操作和任务的自动化，例如从动态来源导入数据和更新文档内部的内容。 自21世纪初以来，微软试图通过在文档顶部以工具栏的形式显示一个温和的安全警告来解决这个问题，但这个警告也包含允许用户执行宏脚本的控件。 在这一变化将向终端用户推出后，这一警告将改变为显示一个红色的警示条，通知用户文档中包含宏，但由于安全原因不能启用。 微软今天在其技术社区门户网站的一篇博文中宣布了其计划。该博文还包含了五个Office应用程序在决定是否允许或阻止文档内宏脚本的执行时将遵循的逻辑描述。 微软表示，默认阻止VBA宏的决定只影响Windows上的Access、Excel、PowerPoint、Visio和Word。含有VBA宏的文档，如果是在一个组织的信任网络内创建和获得的，仍将被允许执行。 “这一变化将在2203版中开始推出，从2022年4月初的当前通道（预览版）开始，”微软今天说。”以后，该变化将在其他更新渠道中提供，如当前渠道、每月企业渠道和半年度企业渠道。” 这一变化也将向所有微软365客户推出，该操作系统制造商表示，它还计划将这一变化回传到其他Office版本，如Office LTSC、Office 2021、Office 2019、Office 2016和Office 2013。 一旦完成，此举将阻断大量恶意软件的传播，但也会影响许多出于金融和政治动机的间谍活动；不过，这些行动很可能会继续使用其他技术。 此前，在恶意软件团伙的类似滥用之后，微软也阻止了Excel 4.0（XLM）宏脚本的执行。   （消息及封面来源：cnBeta）

微软今天正式宣布，它已经禁用了MSIX应用安装程序协议以防止恶意攻击。该协议允许用户直接从网络服务器上安装各种应用程序，而不需要先将其下载到本地存储。当时的想法是，这种方法将为用户节省空间，因为不需要下载整个MSIX包。 然而，这种Windows应用程序安装包后来被发现用来分发恶意的PDF文件，如Emotet和BazarLoader恶意软件。因此，该协议在去年被禁用，但今天才正式宣布。这个Windows AppX安装程序欺骗漏洞的ID被分配为CVE-2021-43890。 安全公告的贴文解释称： 我们最近被告知，MSIX的ms-appinstaller协议可以被恶意使用。具体来说，攻击者可以欺骗App Installer来安装一个用户并不打算安装的软件包。 目前，我们已经禁用了ms-appinstaller方案（协议）。这意味着App Installer将不能直接从网络服务器上安装一个应用程序。相反，用户将需要首先将应用程序下载到他们的设备上，然后用App Installer安装该软件包。这可能会增加一些软件包的下载大小。 以下是在网站上禁用该协议的方法： 如果你在你的网站上利用了ms-appinstaller协议，我们建议你更新你的应用程序的链接，删除’ms-appinstaller:?source=’字段，这样MSIX包或App Installer文件就会下载到用户的机器上再安装。 微软还表示，它正在研究如何在未来某个时候以安全的方式重新启用该协议，比如添加某些组策略。但就目前而言，上述的变通方法是防止恶意攻击的临时解决方案。 我们正在花时间进行彻底的测试，以确保能够以安全的方式重新启用该协议。我们正在研究引入一个组策略，允许IT管理员重新启用该协议并控制其在组织内的使用。   （消息及封面来源：cnBeta）

申请一份新工作通常意味着向潜在的雇主交出一连串的个人信息，这就是为什么联邦调查局警告人们要警惕招聘网站上的假招聘广告，这些广告会窃取和出售你的详细资料。联邦调查局的互联网犯罪中心（IC3）公共服务公告警告说，自2019年以来，受害者因虚假招聘广告而损失的平均金额约为3000美元。 骗子经常仿冒正常公司的招聘信息，使用相同的标志、语言、图像等，而只改变联系信息。据了解，他们还使用实际公司员工的名字，使广告看起来更真实。 不知名的招聘网站缺乏强大的安全验证标准，允许任何人在该网站上发布招聘信息，包括在他们所模仿的公司的官方网页上。这些假广告将人们引向由骗子控制的欺骗性网站、电子邮件地址和电话号码，使得从姓名、地址和社会安全号码到银行/信用卡的细节都被盗取。 虽然有关的招聘平台没有命名，但Bleeping Computer去年8月的一份报告显示，任何人都可以代表任何雇主在LinkedIn上创建一个工作清单，而不需要验证。根据这家微软旗下公司的透明度报告，在截至2021年6月30日的六个月里，有1160万个虚假账户在注册时被阻止，不过有85700个账户是在用户举报后才被限制的。 随着越来越多的人在家工作并在互联网上花费额外的时间，网上诈骗的企图总体上在上升。联邦贸易委员会最近透露，去年报告通过Facebook和Twitter等社交媒体网站被骗的用户数量达到创纪录的9.5万，总损失达到7.7亿美元之巨。还有一个案例是，加密货币诈骗者使用一种假的”亚马逊代币”网站来欺骗受害者。   （消息及封面来源：cnBeta）

为应对近年来不断增长的勒索软件攻击，越来越多的企业 IT 高管和员工，已经收到了专业人士的相关安全建议。Hitachi ID 刚刚公布了针对北美企业的最新调查报告，其中强调了内外部的 IT 安全措施需求。可知有 65% 的受访者表示，他们有被黑客接近，试图引诱他们参与谋划针对自家企业的勒索软件攻击。 （来自：Hitachi ID） 与 2021 年 11 月的调查数据相比，这一比例增加了 17% 。只有 27% 的受访者表示其从未接触过，另有 8% 的人回答“不确定”。 据悉，黑客会尝试利用现金或比特币来贿赂内鬼。金额通常不超过 50 万美元，但也有一小部分会超过百万。 约有半数受访者会向联邦执法部门上报攻击者的这一企图，另有 18% 的人会向内外部汇报。 此外 38% 受访者表示其公司受到过勒索软件攻击，且那些试图被收买的人，后来几乎一半都成为了勒索软件攻击的受害者。 最后，大多数“攻击请求”（59%）是通过电子邮件渗透进来的，其余还包括电话 / 社交媒体。 半数受访者表示他们对来自内部和外部的安全威胁表示关切； 另有超过 1/3 的受访者表示只担心来自外部的安全威胁。   （消息及封面来源：cnBeta）

Google周四宣布，当用户打开托管在Google硬盘上的潜在可疑或危险文件时，它会开始警告用户。“我们将显示一个警告横幅，以帮助保护[用户]和他们的组织免受恶意软件、网络钓鱼和勒索软件的侵害。此前打开Google文档、表单、幻灯片和绘图时，已经有了这些警告。” 这次安全功能升级是完全被动的，管理员和终端用户不需要做任何事情–警报将在15天内开始出现。 在Google推出新的保护措施的一周前，Netskope公司2022年1月的《云计算和威胁报告》显示，现在云端传送的恶意软件比网络传送的恶意软件更普遍，而且Google硬盘成为2021年恶意软件下载量最大的应用程序，在2020年取代了微软OneDrive的位置。 攻击者创建免费的Google Drive或OneDrive账户，上传恶意文件，然后与特定的受害者或更广泛的公众分享这些文件（例如，这些文件的链接可能被分享到一个被攻击的网站或论坛帖子中）。 “该公司指出：云存储应用程序的特点使其作为恶意软件交付平台具有吸引力，因为它们很受欢迎且易于使用。攻击者希望最大限度地提高他们的攻击到达受害者的可能性，所以他们选择滥用最流行的云应用程序来传递恶意软件的有效载荷。同样地，用户平均会更倾向于下载托管在熟悉的应用程序上的内容。例如，普通用户更有可能点击链接从微软OneDrive下载文件，而不是AnonFiles这样的服务”。   （消息及封面来源：cnBeta）

根据医疗网络安全公司Cynerio的一份新报告，医院中使用的互联网连接设备有一半以上存在漏洞，可能会危及病人安全、机密数据或设备的可用性。 该报告分析了全球300多家医院和医疗机构的1000多万台设备的数据，该公司通过连接到设备上的连接器收集这些数据，作为其安全平台的一部分。 医院里最常见的互联网连接设备类型是输液泵。这些设备可以远程连接到电子医疗记录，提取正确剂量的药物或其他液体，并将其分配给病人。报告发现，输液泵也是最有可能存在可被黑客利用的漏洞的设备，73%的设备存在漏洞。专家们担心，像这些与患者直接相关的设备被黑客利用，可能会被用来直接伤害或威胁伤害人。例如，理论上有人可以进入这些系统并改变药物的剂量。 其他常见的与互联网连接的设备是病人监护仪，它可以跟踪心率和呼吸率等生理参数，以及超声波检查。就漏洞数量而言，这两种类型的设备都在前十名之列。 医疗机构现在是黑客的一个主要目标，虽然直接攻击与互联网连接的医疗设备似乎还没有发生，但专家认为这是一种可能性。更积极的威胁来自于一些团体，他们通过一个易受攻击的设备入侵医院系统，并锁定医院的数字网络–使医生和护士无法访问医疗记录、设备和其他数字工具–并要求支付赎金来解锁它们。这些攻击在过去几年中不断升级，它们减慢了医院的运作速度，甚至会伤害到病人。 Cynerio的报告指出，医疗设备中的大多数漏洞是很容易修复的：它们是由于弱密码或默认密码或组织没有采取行动的召回通知。许多医疗机构只是没有资源或人员来保持系统的更新，可能不知道是否有关于他们某个设备的更新或警报。 但专家说，像这样的报告，再加上日益频繁的勒索软件攻击，正在推动更多的医疗机构投资网络安全。网络安全公司Censinet的首席执行官兼创始人Ed Gaudet去年秋天对The Verge说：“我认为这已经达到了一个关键程度，正在引起首席执行官和董事会的注意。”   （消息及封面来源：cnBeta）

根据 CrowdStrike 的威胁遥测数据，在 2021 年针对 Linux 发行版本（被物联网设备广泛部署）的恶意软件数量比 2020 年增加了 35%。其中 XorDDoS、Mirai 和 Mozi 这前三个恶意软件家族在 2021 年占所有基于 Linux 的 IoT 恶意软件的 22%。 与 2020 年相比，Mozi 在 2021 年的野外样本数量大幅增加了 10 倍。这些恶意软件家族的主要目的是破坏脆弱的互联网连接设备，将它们聚集成僵尸网络，并利用它们来进行分布式拒绝服务（DDoS）攻击。 当今大多数的云基础设施和网络服务器都运行 Linux，但它也为移动和物联网设备提供动力。它之所以受欢迎，是因为它提供了可扩展性、安全功能和广泛的发行版，以支持多种硬件设计和在任何硬件要求上的巨大性能。 随着各种 Linux 构建和分布在云基础设施、移动和物联网的核心，它为威胁者提供了一个巨大的机会。例如，无论是使用硬编码凭证、开放端口还是未修补的漏洞，运行Linux的物联网设备对威胁者来说都是一个低风险的果实–它们的大规模破坏会威胁到关键互联网服务的完整性。预计到2025年底，将有超过300亿台物联网设备连接到互联网，为威胁和网络犯罪分子创造一个潜在的巨大攻击面，以创建大规模的僵尸网络。 僵尸网络是一个连接到远程指挥和控制（C2）中心的受损设备网络。它在更大的网络中发挥着小齿轮的作用，并能感染其他设备。僵尸网络经常被用于DDoS攻击，向目标发送垃圾邮件，获得远程控制，并进行加密等CPU密集型活动。DDoS攻击使用多个连接互联网的设备来访问一个特定的服务或网关，通过消耗整个带宽来阻止合法流量的通过，导致其崩溃。 ● XorDDoS XorDDoS是一个为多种Linux架构编译的Linux木马，范围从ARM到x86和x64。它的名字来自于在恶意软件和网络通信中使用XOR加密到C2基础设施。当针对物联网设备时，该木马已知会使用SSH暴力攻击来获得对脆弱设备的远程控制。 在 Linux 机器上，XorDDoS 的一些变种显示，其操作者扫描和搜索Docker服务器，并打开2375端口。这个端口提供了一个未加密的Docker套接字和对主机的远程root无密码访问，攻击者可以滥用它来获得对机器的root访问。 ● Mozi Mozi 是一个点对点（P2P）僵尸网络，利用分布式哈希表（DHT）系统，实施自己的扩展DHT。DHT提供的分布式和去中心化的查找机制使Mozi能够将C2通信隐藏在大量合法的DHT流量后面。Mozi通过强加SSH和Telnet端口来感染系统。然后它封锁这些端口，以便不被其他恶意行为者或恶意软件覆盖。 ● Mirai Mirai 恶意软件在过去几年中声名鹊起，特别是在其开发者公布了 Mirai 的源代码之后。与Mozi类似，Mirai滥用弱协议和弱密码，如Telnet，利用暴力攻击入侵设备。 自从Mirai的源代码公开后，出现了多个Mirai变种，这个Linux木马可以被认为是当今许多Linux DDoS恶意软件的共同祖先。虽然大多数变种在现有的Mirai功能上进行了补充，或实现了不同的通信协议，但在其核心部分，它们共享相同的Mirai DNA。   （消息及封面来源：cnBeta）

据报道，新的”SysJoker”后门可以攻击多个操作系统，包括macOS、Windows和Linux。来自Intezer的研究人员透露，他们发现了SysJoker，这个后门最初被发现是攻击Linux的。不久之后，同一后门的变种被发现，它们可以扩展出对Windows和macOS进行攻击。 这一发现是不寻常的，因为发现可以同时攻击多个平台的恶意代码是很罕见的。通常情况下，恶意软件只为攻击一个平台的特定漏洞而生成，而不是以类似的方式同时为多个平台开发。根据研究人员的技术分析，SysJoker被认为是在2021年下半年的一次攻击中启动的。安全研究员Patrick Wardle对其macOS变种进行了分析。该代码被发现是一个涵盖英特尔和arm64构建的通用二进制文件，这意味着它可以在Apple Silicon以及带有英特尔芯片的旧Mac上运行。该代码有签名，尽管是临时性的签名。 最初运行时，该软件将自己复制到用户的库中，作为macOS的更新，用于在受感染的系统上持续存在。 运行后，该恶意软件随后试图下载一个文件，形成一个Google Drice账户，并能够下载和运行一个可执行文件，这取决于来自指定控制服务器的命令。其他命令包括解压缩下载的可执行文件，以及改变解压缩的可执行文件的权限以允许其运行。 而Windows下的分析表明，它的操作方式实际上是一样的，即假装是一个更新，联系远程服务器下载一个载荷并接收其他命令，并在目标系统上执行代码。在被研究人员发现后，该后门开始被反病毒引擎标记出来。 至于它的目的，Intezer还没有看到攻击者发送的第二阶段或命令，这表明它有一个非常具体的目的，因此很可能是来自一个”高级行为者”。人们认为其目的是”间谍活动”，尽管有可能作为后续阶段进行勒索软件攻击。 如何检测SysJoker Intezer公布了一份系统被攻击的指标清单，包括创建哪些文件和允许代码持续存在的LaunchAgent。 SysJoker创建的文件和目录包括。 /Library/MacOsServices /Library/MacOsServices/updateMacOs /Library/SystemNetwork /Library/LaunchAgents/com.apple.update.plist 持久性代码在LibraryLaunchAgents/com.apple.update.plist这个路径下。如果在Mac上发现这些文件，建议关闭所有相关进程并删除这些文件。 目前还不清楚用户如何成为SysJoker的受害者。   （消息及封面来源：cnBeta）