白俄罗斯政府被指控至少对欧洲的Ghostwriters攻击事件负有部分责任。虽然网络安全公司在涉及威胁集团的归属时通常会谨慎行事，但Mandiant表示，它有高度的信心认为Ghostwriter–同时跟UNC115活动也有关联–是一个可能代表该国政府的网络犯罪组织。 今年早些时候，在一架商业飞机被迫转入白俄罗斯领空以逮捕一名乘客（一位名为Roman Protasevich的持不同政见的记者）之后，白俄罗斯受到了制裁。现在，作为报复，该国总统亚历山大·卢卡申科被指控策划移民危机以破坏欧盟的稳定。 此前，欧洲理事会还曾指控俄罗斯参与了Ghostwriter。 根据网络安全研究人员的说法，不能排除俄罗斯的干扰，但其他指标表明，白俄罗斯的利益是该行动的核心，其中乌克兰、立陶宛、拉脱维亚、波兰和德国的政府和私营部门实体成为目标。 此外，Ghostwriter还参与了针对白俄罗斯持不同政见者、媒体和个别记者的攻击。 UNC1151–自2016年以来一直很活跃–和Ghostwriter曾经都专注于通过网络钓鱼、欺骗和劫持脆弱网站来宣传反北约材料。然而，从2020年开始，这些组织扩大了他们的行动以试图影响波兰的政治并通过盗取凭证窃取敏感信息。 UNC1151还在2020年大选前针对白俄罗斯的媒体机构和反对派成员发起了攻击，这是一场有争议的压倒性胜利。目前还没有针对俄罗斯或白俄罗斯国家实体的攻击记录。 “此外，在几个案例中，UNC1151在2020年白俄罗斯选举前针对的个人后来被白俄罗斯政府逮捕，”Mandiant说道。 Ghostwriter的许多活动都集中在反北约的叙述上。自2020年中期以来，该组织传播的内容指责北约腐败、军方传播COVID-19以及立陶宛和波兰政治的腐败。欧盟在最近的运动中也受到了批评。 研究人员还补充称：“Ghostwriter的叙述，特别是那些批评邻国政府的叙述，在白俄罗斯国家电视台作为事实出现。我们无法确定这是否是一个协调战略的一部分，还是仅仅是白俄罗斯国家电视台在宣传符合政权利益的叙事但对准确性却不屑一顾。”   （消息及封面来源：cnBeta）

俄亥俄州朴茨茅斯的一家非营利性医院–南方俄亥俄医疗中心在当地时间周四遭到网络攻击后取消了今日（当地时间 1月12日 ）的预约并将救护车改道行驶。这是过去两年中对医疗机构一系列不断升级的攻击的一部分–这一趋势可能对病人护理产生严重后果。 资料图  但根据网络安全公司Armis的一份新报告，虽然信息技术专家清楚地意识到损害病人数据和关闭计算机系统的网络攻击的风险正在上升，但病人似乎并不清楚。事实上，在新报告中接受调查的公众中，超60%的人称他们在过去两年中没有听说过任何医疗领域的网络攻击。 尽管2020年对医疗机构的网络攻击增加了一倍，像对连锁医院Universal Health Services的攻击这样高调的事件以及来自使用勒索软件Ryuk的团体的重大威胁。COVID-19大流行期间的攻击规模令专家们震惊，他们表示，勒索软件团伙比以前更积极地针对医院。跟对银行或学校的攻击不同，这些攻击也很常见，有可能直接伤害到人。 网络安全咨询公司CynergisTek的CEO Caleb Barlow去年告诉The Verge：“它跨越了一条我认为整个网络安全界都认为不会很快被跨越的界限。” Armis的报告调查了400名医疗行业的IT专业人士和2000多名可能成为美国各地医疗机构病人的普通民众。虽然被调查的人数不多，但调查结果表明，公众一般不知道医疗行业的网络攻击，除非他们直接受到网络攻击的影响。 虽然61%的受访潜在患者没有听说过近年来医疗行业的网络攻击，但约有1/3的受访者表示，他们曾是医疗系统网络攻击的受害者。 Armis的医疗保健首席技术官Oscar Miranda表示：“对医院系统的攻击在直接影响到你之前真的不是最重要的。” 该报告还指出了人们对医疗网络攻击的认识和他们对该问题的关注程度之间的差距。大约一半的受访者表示，如果发生网络攻击他们会更换医院，超70%的人说他们认为攻击会对他们的治疗产生影响。 这些担忧是有道理的：医疗机构表示，勒索软件会拖延病人的手术并可能导致住院时间延长。美国网络安全和基础设施安全局的一项分析也表明，在COVID-19大流行期间，跟勒索软件攻击作斗争的医院比没有处理过的医院更快达到与超额死亡有关的临界点。 网络安全历来不是医疗机构的优先事项，许多医疗机构没有资源来投资该领域。但在过去的两年里，对医院的勒索软件攻击激增，再加上新的研究显示网络攻击和健康结果之间的联系正在推动集团做出改变。在Armis的调查中，3/4的IT专家表示，关于勒索软件攻击的新闻的稳定脉动导致推动了对网络安全的更多投资。 Miranda说道：“我相信我们在最终真正解决勒索软件方面正在取得进展。”   （消息及封面来源：cnBeta）

美司法部(DOJ)于当地时间周一宣布，执法官员没收了约600万美元的赎金并就7月对一家美国公司的破坏性勒索软件攻击起诉了一名来自乌克兰的嫌疑人。据悉，这些是拜登政府在追捕网络犯罪分子方面的一个突破。 Yaroslav Vasinskyi是一名乌克兰国民，于上月在波兰被捕，他被指控部署了名为REvil的勒索软件，该软件曾被用于使美国公司损失数百万美元的黑客攻击。根据周一公布的起诉书，Vasinskyi在7月4日周末对总部位于佛罗里达州的软件公司Kaseya进行了勒索软件攻击，该攻击感染了全球多达1500家企业。 Vasinskyi和另一名被指控的REvil特工–俄罗斯国民Yevgeniy Polyanin被指控共谋欺诈和共谋洗钱以及其他指控。美国官员表示，作为调查的一部分，当局查获了至少600万美元的资金，据称都跟Polyanin收到的赎金有关。 这次执法行动是拜登政府多管齐下打击勒索软件的最有影响的行动之一，在今年一系列黑客攻击阻碍了美国关键基础设施公司之后，勒索软件的发展速度加快。虽然一些勒索软件团体继续入侵美国公司并要求付款，但其他团体在最近几个月已经安静下来。 DOJ部长Merrick Garland在一次新闻发布会上说，美国及其盟友将尽一切力量。来追踪勒索软件的操作者并追回他们从美国人民那里偷来的钱。 22岁的Vasinskyi被关押在波兰，等待美国的引渡程序，而28岁的Polyanin仍然在逃。 另外，美财政部周一还对Vasinskyi和Polyanin及据称为勒索软件操作者转移资金的加密货币交易所实施制裁。 国务院同时宣布悬赏最高1000万美元以寻找识别或找到REvil勒索软件团伙领导人的信息。该部门还提供了最高500万美元的信息，用于逮捕或定罪任何阴谋或试图参与REvil勒索软件攻击的人。 美国官员已经跟俄罗斯政府开展外交活动、制裁了一家加密货币交易所并劝说公司提高他们的网络防御能力。专家表示，给勒索软件运营商戴上手铐是美国遏制攻击战略的一个关键部分。欧洲刑警组织则于周一宣布，罗马尼亚当局上周又逮捕了两名被指控的REvil操作人员。韩国当局上月向美国引渡了一名俄罗斯男子，他被指控参与了另一个不同的犯罪团伙，该犯罪团伙攻击并感染了全球数百万台电脑。 美国总统乔·拜登在周一晚些时候的一份声明中说道：“我们正在发挥联邦政府的全部力量以破坏恶意的网络活动和行为者、加强国内的复原力、解决滥用虚拟货币清洗赎金的问题并利用国际合作破坏勒索软件的生态系统和解决勒索软件犯罪分子的安全港。” 拜登政府将应对勒索软件集团作为优先事项 拜登曾在6月要求俄罗斯总统普京对挟持美国公司的犯罪黑客采取行动。但只要黑客不攻击俄罗斯的目标，俄罗斯政府历来不愿意在本国领土上追捕网络犯罪分子。 自拜登-普京峰会以来，“我们还没有看到情况发生实质性的变化，只有时间才能说明俄罗斯在这方面可能会做什么。”美国副司法部长Lisa Monaco上周这样告诉媒体。 周一，当被问及俄罗斯政府是否知道或纵容REvil活动时，Garland以正在进行的调查为由拒绝发表评论。 在拥挤的网络骗子中，REvil因一系列无耻的攻击而脱颖而出。据报道，今年早些时候，该组织在入侵苹果的一家供应商后向其索要5000万美元。 FBI还指责REvil在5月对JBS美国公司进行了勒索软件攻击，该公司占了美国牛肉产量的约五分之一。这一事件迫使JBS暂时关闭了在澳大利亚、加拿大和美国的工厂的生产。JBS向黑客支付了1100万美元以解锁其系统。 Garland周一表示，REvil已经被部署在全球约17.5万台电脑上，至少获取了2亿美元的赎金。 Garland还指出，据称Polyanin进行了约3000次勒索软件攻击，包括一些对德克萨斯州的执法机构和市政当局的攻击。 REvil在这几个月里的表现很不稳定。该组织用来提取赎金和羞辱受害者的网站在卡西亚黑客事件后下线，后来只在9月重新出现过。 为了加大压力，美国务院上周宣布悬赏1000万美元征集所谓DarkSide勒索软件背后黑客的关键信息，该软件曾在5月迫使美国主要燃料供应商Colonial Pipeline关闭数日。 据了解，美国政府机构在追捕犯罪黑客的过程中严重依赖私人专家。比如网络安全公司EMSIsoft通过发现黑客代码中的一个缺陷，为一种勒索软件的受害者节省了数百万美元的赎金支付。 前荷兰网络犯罪调查员、现任职于网络安全公司McAfee Enterprise的John Fokker告诉媒体，他的团队已经帮助执法部门确定了参与REvil和另一种勒索软件Gandcrab的多名嫌疑人。 然而没有一次执法行动会对利润丰厚的跨国勒索软件经济造成致命打击。 根据追踪加密货币的公司Chainalysis的数据，2020年勒索软件攻击的受害者支付了约3.5亿美元的赎金。但这一数字可能只是当年数字敲诈的一小部分。而不支付赎金的受害者需要花费数百万美元重建他们的计算机基础设施。 FBI局长克里斯托弗·雷在9月告诉美国立法者，该局正在调查100多种不同类型的勒索软件。   （消息及封面来源：cnBeta）

周五晚上，一场破坏性网络攻击使巴基斯坦国家银行运营陷入瘫痪。该事件影响了该银行的自动取款机、内部网络和移动应用程序。目前，该事件被定为抹除数据的恶意软件攻击，而不是勒索软件攻击。 该事件发生在周五和周六之间的晚上，影响了银行后台系统，并影响了用于连接银行分支机构的服务器、控制银行ATM网络的后台基础设施以及银行的移动应用程序。据该银行和调查的人士称，虽然该攻击使其中一些系统瘫痪，但没有资金丢失。 该银行在周六的一份声明中说：”我们立即采取了措施，隔离受影响的系统。自动取款机和一些分行在周一前恢复。恢复工作在周末如火如荼地进行，到周一，超过1000家分行正常开业并为客户提供服务，全国所有的自动取款机都已完全恢复。” 但是，尽管国家银行官员进行了明确的沟通，黑客攻击的消息并没有阻止一些害怕的客户在周一早上冲向自动取款机提取资金。再加上当地新闻机构的一些不准确的报道，说多达9家不同的银行被黑客攻击，巴基斯坦政府不得不介入并发表声明，以平息人们的情绪，防止周一所有巴基斯坦银行出现挤兑。 巴基斯坦安全研究员Rafay Baloch今天早些时候在Twitter上分享了一张截图，声称描绘了受影响的NBP系统之一。该截图显示，一台Windows电脑由于启动配置文件丢失而无法启动。该恶意软件是通过活动目录中的特权账户推送的，它破坏了电脑的启动顺序，从而使其无法启动。   （消息及封面来源：cnBeta）

一名遭受飞马间谍软件黑客攻击的记者透露了他们成为黑客攻击目标的经历，包括可疑信息和 “零点击”漏洞如何导致记者的智能手机被非法访问。7月的一项调查强调了NSO集团Pegasus间谍软件如何被用来攻击记者和人权活动家。 NSO集团的间谍软件本来只用于犯罪预防和调查目的，但却被一些政府滥用，对可能成千上万的活动家和记者进行监视。在《纽约时报》的一篇报道中，中东记者本-哈伯德解释了他是如何成为目标的，虽然哈伯德由于面临监禁或死亡的风险而采取了保护消息来源的预防措施，但他仍然成为飞马黑客的受害者。 在与公民实验室合作的过程中，哈伯德发现，他在2018年收到一条可疑的短信，被认为是由沙特阿拉伯发送的。该出版物的技术安全团队发现了2018年的另一次黑客企图，通过WhatsApp发送的第二条信息，邀请该记者参加在华盛顿沙特大使馆前举行的抗议活动，并附有一个可疑的链接。公民实验室证实，这两次尝试都没有成功，因为哈伯德没有点击每条信息中的链接，不过这并不是骚扰行为的结束。 对哈伯德设备的进一步调查显示，在2020年和2021年有2次黑客攻击成功，使用的是零点击漏洞，不需要用户点击链接就能感染。调查似乎不太可能揭开黑客的身份，据发现，第二次黑客攻击是为了清除第一次黑客攻击留下的痕迹。NSO集团否认其产品被用于攻击，认为技术和合同原因和限制，意味着哈伯德不可能成为2020年和2021年事件的目标。 目前还不清楚哈伯德在整个期间使用的到底是什么智能手机，但飞马公司以攻击iPhone等设备而闻名，利用iOS中的各种漏洞来击败设备上的安全措施。9月，苹果发布了iOS 14.8和iOS 12.5.5的补丁，堵塞了PegASUS滥用的安全漏洞。 成功感染Pegasus后，攻击者几乎可以无限制地访问iPhone或其他设备，包括能够提取数据、阅读加密信息、启用摄像头和麦克风、记录电话，并实时跟踪设备的GPS坐标。被认为是NSO客户的政府包括阿塞拜疆、哈萨克斯坦、卢旺达和阿联酋，还包括9月披露的德国。   （消息及封面来源：cnBeta）

微软表示，去年SolarWinds黑客事件背后由俄罗斯支持的Nobelium威胁集团仍在瞄准全球IT供应链，自2021年5月以来，有140家管理服务提供商（MSP）和云服务提供商受到攻击，至少有14家被攻破。 这次活动与Nobelium的传统做法相同，即通过攻破服务提供商来破坏一个重要的目标名单。就像以前的攻击一样，俄罗斯国家黑客使用了一个多样化和不断变化的工具包，包括一长串工具和战术，从恶意软件、密码喷剂、令牌盗窃到API滥用和鱼叉式网络钓鱼。这些新攻击的主要目标是为其客户部署和管理云服务和类似技术的经销商和技术服务提供商。 微软在发现这些攻击后通知了受影响的目标，还在威胁保护产品中增加了检测功能，使这些目标在未来能够发现入侵企图。自7月以来，超过600名微软客户成为目标。微软表示，自5月以来，它已经通知了140多个被Nobelium攻击的经销商和技术服务提供商。 微软将继续调查，但到目前为止，微软认为这些经销商和服务提供商中多达14家已经受到影响，但是总共有600多个微软客户被攻击了数千次，尽管在7月至10月期间攻击成功率很低。但是，这表明，Nobelium仍在试图发动类似于他们在攻破SolarWinds系统后发动的攻击，以获得对相关目标系统的长期访问，并建立间谍和渗透渠道。 Nobelium是俄罗斯对外情报局（SVR）的黑客部门，也被称为APT29、Cozy Bear和The Dukes。2021年4月，美国政府正式指责SVR部门协调了针对SolarWinds 广泛的网络间谍活动，导致多个美国政府机构被入侵。   （消息及封面来源：cnBeta）

据英国《卫报》报道，Tesco网站日前遭到黑客攻击，导致成千上万沮丧的购物者无法在英国最大的超市在线购买商品。这次故障使其食品杂货网站和应用程序连续第二天瘫痪，人们无法预订送货或修改现有订单。乐购每周收到130万份在线订单。   Tesco的一位发言人说：“从昨天开始，我们的在线食品杂货网站和应用程序遇到了干扰。有人试图干扰我们的系统，这导致了网站搜索功能的问题。我们正在努力全面恢复所有服务，并对造成的不便表示歉意。” 这名发言人补充说：“没有理由相信这个问题会影响到客户的数据，我们将继续采取持续行动，确保所有数据保持安全。” Tesco曾在2014年遭黑客攻击，当时在网上发布了2000多个包括密码在内的登录信息后，它被迫停用了在线客户账户。两年后，对Tesco财务部门的一次单独攻击导致250万英镑的损失。 网络攻击已经变得越来越普遍，许多公司和其他组织已经成为全球的目标。今年夏天，世界上最大的巴西肉类加工企业JBS遭到网络攻击，迫使其在美国、澳大利亚和加拿大暂时停止生产。 购物者在社交媒体上表达了他们的挫败感。一些人发布了他们从超市收到的信息，告诉他们由于”当前的IT问题”，Tesco目前无法访问或更改任何订单。 Sara Willman是威尔特郡花商的批发商，她在Twitter上说，她被告知可以在周日直接发送私信取消她的订单，但后来收到Tesco的回复说这是不可能的。她表示：“我知道你们仍然有IT问题，但尽管我喜欢杜松子酒，我今晚不需要2瓶酒和一些薯片，因为@asda今天早上用实际的食物拯救了一天。” 顾客抱怨说，Tesco在周六发布Twitter后，24小时内没有任何更新。该公司在周六的推文中称：“我们的网站和应用程序遇到了问题，我们正在努力使事情恢复正常。我们对造成的任何不便表示歉意。” 几位乐购的顾客说，他们已经下了不完整的订单，以确保他们的送货时段，并无法添加到这些订单中。 Tesco的一名客服人员通过Twitter表示，如果顾客不再需要他们的订单，司机会将其带回店内进行退款。周日上午，该公司在Twitter上说：“我们的IT团队正在尽最大努力，将尽快使网站和应用程序正常运行。目前，我们没有任何更新，也没有一个时间表，我们可以期待这个时间段的到来。我真的很抱歉。TY – Cameron。” 竞争对手Asda超市周六在Twitter上说：“你们好，希望我们能提供帮助。我们有空位，有些是当天或明天的，如果你去我们的网站或应用程序，它将允许你为你需要的物品下订单:)。”   （消息及封面来源：cnBeta）

据两位知情人士透露，针对日本科技巨头奥林巴斯（Olympus）的“持续”网络攻击是由一家俄罗斯恶意集团发起的，而该集团正被美国政府制裁。10 月 10 日发起的攻击中使用了名为 Macaw 的恶意软件新变种，将奥林巴斯在美国、加拿大和拉美的系统进行了加密。 图片来自于 WikiMedia Macaw 是 WastedLocker 恶意软件的一个新变种，而这两种恶意软件都是由 Evil Corp.创建的，这是一个总部设在俄罗斯的犯罪集团，在 2019 年受到了美国财政部的制裁。 这是该公司在几个月内遭受的第二次勒索软件攻击，此前，该公司在欧洲、中东和非洲的网络于 9 月被 BlackMatter 勒索软件攻击。（据了解，BlackMatter和Evil Corp.并无关联） 安全公司 Recorded Future 的高级威胁分析员 Allan Liska 告诉 TechCrunch：“奥林巴斯上个月被 BlackMatter 攻击，然后在一周左右后被 Macaw 攻击。Macaw 恶意软件在被黑的电脑上留下了一个赎金字条，声称已经从受害者那里窃取了数据”。 奥林巴斯在周二的一份声明中说，该公司正在调查“数据泄漏的可能性”，这是勒索软件集团的一种常见技术，被称为“双重勒索”，即黑客在加密受害者的网络之前窃取文件，并威胁说如果不支付解密文件的赎金，将在网上公布这些文件。   （消息及封面来源：cnBeta）

电子科技巨头宏碁（Acer）披露了其在印度的售后服务系统在一次孤立攻击后遭受的安全漏洞，这是今年该公司主动披露的第二次网络安全事件，公司透露，其在印度的售后服务系统遭到孤立攻击。该事件是在威胁行为者在一个地下网络犯罪论坛上发布销售超过60 GB数据的广告后披露的。 以下是该公司与媒体分享的声明： “我们最近检测到我们在印度当地的售后服务系统受到孤立攻击。此事一经发现后，我们立即启动了安全预案并对我们的系统进行了全面扫描。我们正在通知印度所有可能受影响的客户。该事件已报告给当地执法部门和印度计算机应急响应小组，对我们的运营和业务连续性没有重大影响。” 宏碁企业传播部的 Steven Chung 告诉媒体。 攻击者分享了一个指向被盗文件和数据库的链接，被盗信息包括来自印度的宏碁零售商和分销商的客户数据、财务信息、登录详细信息。攻击者还在地下交易论坛发布了一段视频，展示了被盗文件的数据库。 这是Acer今年第二次遭遇网络安全问题，今年3月，这家计算机巨头遭到 REvil 勒索软件运营商的攻击，该运营商破坏了其系统并要求支付创纪录的 50000000 美元赎金。   （消息及封面来源：cnBeta）

根据美国财政部公布的最新报告，2021 年上半年勒索事件支付的赎金总额将近 6 亿美元，轻松超过了 2020 年全年的总额。该报告由财政部金融犯罪执法网络周五发布，重点提及了今年发生了几起高调的勒索软件攻击事件，包括 Colonial Pipeline 和肉类加工厂 JBS USA Holdings。 两家公司都支付了数百万美元的赎金，但攻击仍然造成了暂时的破坏，由于公司失去了对其供应的控制，推高了汽油和肉类的价格。 根据周五的报告，该报告基于银行和其他金融机构提交的可疑活动报告的数据，1 月至 6 月期间报告的疑似勒索软件付款总额为 5.9 亿美元。相比之下，2020 年全年报告的疑似付款价值共计 4.16 亿美元。 财政部表示，这一增长可能反映了与勒索软件有关的攻击的大幅增加，以及金融机构对这些攻击的检测和报告的改进。它指出，与 2020 年整个日历年相比，与勒索软件相关的可疑活动报告的数量也上升了 30%，达到 635 份。 如果这些报告趋势继续下去，财政部表示，它预计 2021 年可疑的勒索软件付款总额将超过前 10 年的总和。   （消息及封面来源：cnBeta）