微软披露其已经缓解了一场发生于8月份的2.4Tbps分布式拒绝服务（DDoS）攻击。这次攻击针对欧洲的一个Azure客户，比微软在2020年记录的最高攻击带宽量高出140%。它也超过了之前最大的攻击2.3Tbps的峰值流量，这是在去年针对亚马逊网络服务的攻击。 微软表示，这次攻击持续了10多分钟，短暂的流量爆发峰值为2.4Tbps，随后下降到0.55Tbps，最后回升到1.7Tbps。DDoS攻击通常用于迫使网站或服务脱机，这要归功于网络主机无法处理的大量流量。它们通常是通过僵尸网络进行的，僵尸网络是一个使用恶意软件或恶意软件进行远程控制的机器网络，Azure能够在整个攻击过程中保持在线，这要归功于它吸收数十Tbit DDoS流量攻击的能力。 “攻击流量来自大约7万个来源，包含来自亚太地区的多个国家，如马来西亚、越南、日本等国家以及美国本土，”微软Azure网络团队的高级项目经理Amir Dahan解释说。 虽然2021年Azure上的DDoS攻击数量有所增加，但在8月最后一周的这次2.4Tbps攻击之前，最大攻击吞吐量已经下降到625Mbps。微软没有说出被攻击的欧洲Azure客户的名字，但这种攻击可以作为二次攻击的掩护，特别是在试图传播恶意软件和渗透到公司系统的过程中。 亚马逊网络服务（AWS）之前保持着最大的DDoS攻击防御的记录，也就是上面所说的2.3Tbps的尝试，超过了NetScout Arbor在2018年3月保持的1.7Tbps的前记录。   （消息及封面来源：cnBeta）

微软威胁情报中心(MSTIC)和微软数字安全部门(DSU)的研究人员发现了一个恶意活动群体，跟踪为DEV-0343，它的目标是美国和以色列国防技术公司的Office 365租户。 攻击者针对目标组织发起了大规模的密码喷洒攻击，这一恶意活动于2021年7月首次被发现。 “DEV-0343是微软威胁情报中心(MSTIC)于2021年7月下旬首次观察并开始跟踪的一个新的活动群体。MSTIC观察到DEV-0343对250多家Office 365租户进行了大量的密码喷洒攻击，重点是美国和以色列的国防技术公司、波斯湾的入境港口，或在中东有业务存在的全球海运公司。”“虽然只有不到20家目标租户被成功攻击，但DEV-0343在继续改进他们的攻击技术。”微软发布的这篇帖子写道。 微软补充说，对于启用了多因素身份验证(MFA)的Office 365账户的密码喷洒攻击并未生效。 DEV-0343主要针对防务公司，这些公司支持美国、欧盟和以色列政府合作伙伴并产出军用雷达、无人机技术、卫星系统和应急响应通信系统。 微软研究人员表示，这一活动与德黑兰的利益一致，而且其ttp与另一个与伊朗有关的攻击者的类似。 “进一步的活动目标包括地理信息系统(GIS)、空间分析、波斯湾的区域入境港口以及几家专注于中东业务的海运和货物运输公司。”报告补充道。 研究人员推测，攻击者的目的是获取商业卫星图像和专有航运计划和日志，这些信息可以让伊朗政府补充其正在发展的卫星计划。 DEV-0343背后的威胁行动者利用一系列精心设计的Tor IP地址来混淆他们的基础设施。 “DEV-0343模拟火狐浏览器，使用托管在Tor代理网络上的IP进行大量的密码喷洒攻击。他们最活跃的时间是周日和周四，伊朗时间早上7:30到晚上8:30 (UTC 04:00:00和17:00:00)，在伊朗时间早上7:30之前和晚上8:30之后活动显著减少。它们通常针对组织内的数十到数百个账户(取决于规模)，并对每个账户进行数十到数千次的枚举。平均而言，针对每个组织的攻击使用了150到1000多个唯一的Tor代理IP地址。”报告继续说道。“DEV-0343执行者通常针对两个Exchange端点——Autodiscover和ActiveSync——作为他们使用的枚举/密码喷洒工具的功能。这方便了DEV-0343验证活跃账户和密码，并进一步完善他们的密码喷洒攻击行为。” 微软已经直接通知了那些被攻击的客户，并向他们提供了他们需要的信息来保护他们的账户。 微软建议企业在日志和网络活动中观察是否存在以下迹象，以确定他们的基础设施是否受到了威胁者的攻击: 大量来自Tor IP地址的密码攻击流量 在密码喷洒活动中模仿FireFox(最常见)或Chrome浏览器 Exchange ActiveSync(最常见)或自动发现端点的枚举 类似于’ o365spray ‘工具的枚举/密码喷洒工具的使用 使用自动发现来验证帐户和密码 观察到密码喷洒攻击通常在UTC 04:00:00和11:00:00之间达到高峰   消息来源：SecurityAffairs，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接    

随着勒索软件和世界各地其他网络攻击的增加，系统运营商更加担心复杂的 “虚假数据注入 “攻击，即黑客向其提供虚假的数据，欺骗电脑系统和人员，使其认为操作正常。然后，攻击者扰乱了工厂关键机器的功能，导致其运行不良或故障。当安全人员意识到他们被欺骗时，为时已晚，造成了灾难性的后果。 普渡大学的Hany Abdel-Khalik想出了一个强有力的对策：使运行这些网络物理系统的计算机模型具有自我意识和自我修复能力。利用这些系统数据流中的背景噪音，Abdel-Khalik和他的学生嵌入了无形的、不断变化的、一次性使用的信号，将被动的组件变成主动的观察者。即使攻击者拥有一个完美的系统模型副本，任何试图引入伪造数据的行为都会被系统本身立即发现并拒绝，不需要人类的回应。 今天，能源、水和制造业的关键基础设施系统都使用先进的计算技术，包括机器学习、预测分析和人工智能。员工们使用这些模型来监测其机器的读数，并验证它们是否在正常范围内，即所谓的”数字双胞胎”。数据监测模型的重复模拟，帮助系统操作员确定何时出现真正的错误。但是，用于控制核反应堆和其他关键基础设施的模拟器很容易地获得。还有一个常年存在的风险是，系统内部的某个人，如果能够接触到控制模型及其数字孪生体，就可以尝试进行偷袭。 为了挫败这种策略，Abdel-Khalik和核工程专业三年级的研究生Arvind Sundaram找到了一种方法，将信号隐藏在系统不可观察的”噪声空间”中。控制模型要处理成千上万个不同的数据变量，但其中只有一小部分实际用于影响模型输出和预测的核心计算。通过稍微改变这些非必要的变量，他们的算法产生了一个信号，这样系统的各个组成部分就可以验证进来数据的真实性并作出相应的反应。   （消息及封面来源：cnBeta）

Google表示，它将向1万名”高风险”用户提供免费的硬件安全密钥，几天前该公司曾警告数千名Gmail用户，他们是一些受支持的黑客的目标。由Google威胁分析小组（TAG）发出的警告提醒超过14000名Gmail用户，他们已成为APT28（也称为Fancy Bear）国家支持的钓鱼活动的目标，据说该活动由俄罗斯GRU情报机构的特工组成。 Fancy Bear已经活跃了十多年，但它因入侵民主党全国委员会及其在2016年美国总统选举前的虚假信息和影响选举活动而广为人知。 “这些警告表明是针对而不是妥协。如果我们对你发出警告，那么我们阻止他们的可能性非常大，”Google的TAG主管Shane Huntley周四在Twitter上写道。”这个月增加的数字来自于少数目标的活动，这些活动被阻止了。” Huntley补充说，这些警告对活动家、记者和政府官员等个人来说是正常的，因为这就是政府支持的实体的目标。”如果你是活动家/记者/政府官员或在国家安全机构工作，这个警告说实话不应该是一个惊喜。在某些时候，一些受到支持的实体可能会试图向你发送一些东西。”他说。 Google在一篇博文中说，它将在2021年全年发送安全密钥，以鼓励用户加入其高级保护计划（APP），该计划保护那些具有高知名度和敏感信息的用户，他们有可能受到有针对性的在线攻击。安全密钥使网络钓鱼攻击更难奏效，因为安全密钥只能用于解锁合法网站的账户。 此外，Google还宣布与国际选举制度基金会（IFES）、联合国妇女署和非营利组织”捍卫数字运动”（DDC）建立新的和扩大的伙伴关系，以加强其最危险用户的安全。 通过与后者的合作，Google表示，它已经在2020年美国大选季节向180多个符合条件的联邦竞选活动提供了Titan安全密钥，并补充说，它现在正与该组织合作，为州级竞选活动和政党、委员会及相关组织提供进一步的保护，包括关于如何防止网络攻击的研讨会和培训。   （消息及封面来源：cnBeta）

美国媒体集团考克斯媒体集团(CMG)证实，该公司在2021年6月受到了勒索软件攻击，导致电视直播和广播流中断。 该公司昨天向800多名受影响的用户发送了数据泄露通知邮件，并在邮件中承认了这次攻击，据信这些用户的个人信息在这次攻击中可能被泄露。7月30日，该组织首先通过电子邮件通知了可能受影响的用户。 CMG表示:“在2021年6月3日，CMG经历了一次勒索软件事件，其中，一小部分服务器被恶意威胁者加密。” “CMG在同一天发现了这一事件，当时CMG发现某些文件被加密了，无法访问。” CMG在发现攻击后立即关闭了系统，并在外部网络安全专家的帮助下开始调查，并向联邦调查局报告了该事件。 自6月份的勒索软件攻击以来，CMG没有发现任何证据表明该事件导致了账户盗窃、欺诈或经济损失。 在攻击期间暴露的个人信息包括姓名、地址、社会安全号码、财务账号、健康保险信息、健康保险单号码、医疗状况信息、医疗诊断信息和在线用户凭证。 “CMG没有支付赎金或提供任何资金给此次事件的威胁行动者。”CMG称“自2021年6月3日以来，CMG的平台中没有发现任何恶意活动。” 事故发生后，该公司还采取了一些措施来提高系统的安全性，以检测和阻止进一步的入侵企图。 CMG解释说:“这些步骤包括多因素认证协议、执行全企业密码重置、部署额外的端点检测软件、重新成像所有终端用户设备，以及重建干净的网络。”   消息来源：BleepingComputer，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接  

Ponemon研究所一份新报告强化了勒索软件攻击对病人的安全风险。22%的受访医疗机构在网络攻击后看到病人死亡率上升。该报告称，第三方风险对病人护理产生的不利影是响其中最大的痛点。 网络攻击导致更多病人出现住院时间延长，医疗程序和测试的延误，导致医疗结果不佳。在Censinet赞助的报告中，Ponemon研究人员调查了597名来自医疗服务机构（HDO）IT安全专业人士，以评估COVID-19和勒索软件等网络攻击增加对病人护理和病人数据安全的影响。 行业利益相关者长期以来一直警告说，网络攻击和相关停机时间，对患者安全构成了迫在眉睫的风险。但在2019年的报告之外，关于具体死亡事件的数据仍然稀少，促使人们需要分享威胁和第一手资料，以更好地获得网络攻击对增加病人伤害风险的具体情况。 通过Ponemon的报告，医疗IT领导者通过供应商的经验证实了网络攻击和病人护理之间的直接联系。在过去两年中，43%的受访医疗机构经历了一次勒索软件攻击，其中33%的机构成为两次或更多攻击的受害者。在这些医疗机构中，71%的人报告说住院时间延长，70%的人看到医疗程序和测试的延误，导致护理效果不佳。另有65%的受访者发现，由于攻击的直接原因，转院或转到当地医疗机构的病人增加，36%的受访者报告医疗程序的并发症增加。 研究结果表明，越来越多的网络攻击，特别是勒索软件，对病人护理产生了负面影响，而COVID对医疗机构的影响更加剧了网络攻击的影响。   （消息及封面来源：cnBeta）

根据网络安全公司Censinet赞助的一份新报告，在过去两年中遭受勒索软件攻击的医疗机构中，几乎有四分之一的机构表示，在网络攻击后他们机构的病人死亡率有所增加。这一发现增加了越来越多的数据，表明网络攻击不仅造成财务或后勤问题–它们也可能是重大的健康风险。 Censinet首席执行官兼创始人Ed Gaudet说：“勒索软件对病人护理的影响已经足够大，这是不可否认的。我们不应该害怕看这些数据，并继续推动这个问题的解决。” 由一家名为Ponemon研究所的研究机构进行的分析，收集了全美近600家医疗机构的调查回复，范围从区域医疗系统到医疗设备制造商。超过40%的机构说，他们在过去两年中受到了勒索软件的攻击–网络攻击锁定了计算机系统，并要求付款以解锁它们。这些攻击扰乱了设施照顾病人的能力。大约70%面临勒索软件攻击的机构表示，这些破坏导致病人住院时间延长，并延误了检测或手术。此外，36%的机构说他们看到了更多医疗手术的并发症，22%的机构说他们的死亡率增加了。 这些数字有一些重要的注意事项：它们来自一个相对较小的医疗机构子集，而且没有对这些机构报告的内容进行双重检查。该调查没有问各机构为什么或如何得出这些结论–例如，他们没有说他们如何衡量死亡率的变化。Gaudet说，如果没有关于这些方法的更多细节，谨慎地解释这些发现是很重要的。现在就自信地说勒索软件直接导致了这些频率的不良后果可能还为时过早。他说：“作为一个行业，我们必须注意不要反应过度。但这仍然是行业应该关注和关心的事情。即使只是百分之一或百分之五十，我们也应该关心这个数据。” 总的来说，超过一半的医疗集团在回复调查时表示，他们没有信心他们的组织能够处理勒索软件攻击的风险。 在医疗保健领域工作的人历来不愿意说勒索软件伤害了病人。很少有人对网络攻击和病人健康之间的关系进行量化，而且医院往往不愿意分享很多关于他们的经验的信息，因为这对医院的声誉有潜在影响。“我认为作为一个行业，这是一个我们几乎不想知道答案的问题，”Gaudet说。“因为如果它是真的，那么，我们真的有我们的工作要做了。” 在过去的一年里，针对医疗机构的网络攻击有所增加，这给这个问题带来了新的紧迫性。而且，最近一直在推动密切关注这个问题：例如，美国网络安全和基础设施安全局（CISA）的一项新分析显示，在COVID-19大流行期间，佛蒙特州受勒索软件攻击影响的医院开始比没有处理网络攻击的医院更快地出现过量死亡。 “我认为这已经达到了一个关键程度，正在引起CEO和董事会的注意，”Gaudet说。“像这样的数据将开始成为人们思考重点和投资领域的因素。如果勒索软件真的成为一个病人安全问题，他们将不得不解决这个问题。”   （消息及封面来源：cnBeta）

Covisian的西班牙和拉丁美洲子公司GSS受到了一场严重的勒索软件攻击，该公司的大部分IT系统被冻结，其西班牙语客户群的呼叫中心也受到了干扰。 本周，位于西班牙和拉丁美洲的联系中心和为公司和政府机构提供的自助客户帮助电话服务失联。 据知情人士透露，受到影响的机构包括沃达丰西班牙、MasMovil互联网服务商、电视台、马德里供水供应商以及几家私营企业。 GSS高管在一封致受影响客户的信中称，他们已经关闭了所有受此次攻击影响的内部系统，目前正在使用基于谷歌的系统作为备份。 该公司当时表示，“在事故解决之前，所有应用程序都无法工作。”同时，恢复时间尚未公布。 在信的开头一句话，GSS言明这次勒索软件的攻击“不可避免”。据Covisian的一位女发言人说，Conti团伙于9月18日星期六实施了这次袭击。 尽管Conti团伙窃取目标网络数据的恶举人尽皆知，但Covisian声称“没有任何个人数据泄露”，而且该事件对其客户没有影响。 虽然Covisian在其他欧洲国家也提供客户服务，但此次攻击仅限于GSS的网络。 INCIBE西班牙国家网络安全研究所没有就GSS事件发表评论。   消息来源：TheDigitalHacker，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

本周，威胁分子攻击了比特币基金会的官方网站Bitcoin.org，并利用官网宣传加密码货币赠送骗局，不幸的是，有些用户上当了。虽然黑客入侵持续了不到一天，但黑客们已经窃取了1.7万多美元。 如下图所示，9月23日，bitcoin.org主页声明: “比特币基金会正在回馈社区!我们希望回馈多年来帮助我们的用户，”鼓励用户向攻击者显示的钱包地址发送比特币。“把比特币发送到这个地址，我们会返还双倍的金额!” 此外，为了增加这种说法的吸引力，骗子们写道，这项服务仅限于前1万名用户。 攻击者鼓励用户将资金发送到的钱包地址是: 1 ngofwgsfz19rrcuhtmmulpmdek45nrd5n 黑客入侵发生后不久，Bitcoin.org网站运营商Cøbra也就该事件发布了公开警告: 尽管比特币被认为是由匿名者“中本聪”(Satoshi Nakamoto)创造的，但人们最近看到一个较新的身份“Cøbra”正管理着Bitcoin.org网站、社交媒体和社区渠道。 在Cøbra的声明之后，Bitcoin.org的域名注册商Namecheap也立即关闭了该域名。 然而，不幸的是，一些加密货币爱好者可能上当了，从攻击者的钱包余额中便可看出。交易记录显示攻击者的钱包里有多个不同比特币地址的存款。 钱包的最新更新余额为0.40571238 BTC，约为1.7万美元。 Bitcoin.org现在已经恢复，但是，网站被劫持的根本原因仍未得到证实，有人怀疑这是DNS劫持[1,2]。 无偿赠送骗局已经成为加密货币领域的一个常见主题，设置这些诱饵的攻击者很少空手而归的。就在几天前，BleepingComputer报道了通过电子邮件传播的“埃隆·马斯克互助”骗局。尽管大众认为没有人会轻易相信这些骗局，但类似的加密骗局证实是非常有效的，并在过去达成了数十万美元的交易。 例如，Twitter在2021年1月遭受了一次大规模攻击，加密诈骗者在一周内骗取了58万美元，然后在2月另一个诈骗者偷走了14.5万美元。 因此，用户应该对加密货币诈骗和电子邮件保持警惕。   消息来源：BleepingComputer，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

SushiSwap 首席技术官表示，该公司的 MISO 平台近日受到了软件供应链的攻击。SushiSwap 是一个社区驱动的去中心化金融（DeFi）平台，方便用户交换、赚取、借出、借用和利用加密货币资产。今年早些时候，Sushi 的最新产品 Minimal Initial SushiSwap Offering（MISO）是一个代币启动平台，让项目在 Sushi 网络上推出自己的代币。 与需要原生区块链和实质性基础工作的加密货币硬币不同，DeFi 代币是一种更容易实现的替代方案，因为它们可以在现有区块链上运行。例如，任何人都可以在以太坊区块链之上创建自己的“数字代币”，而不必完全重新创建一个新的加密货币。 SushiSwap 首席技术官 Joseph Delong 今天发布推文表示，MISO launchpad 上的一次拍卖通过供应链攻击被劫持。一个拥有 GitHub 账号 AristoK3 并能进入项目代码库的“匿名承包商”推送了一个恶意代码提交，并在平台的前端分发。 攻击者干扰或劫持软件制造过程，插入他们的恶意代码，使大量成品的消费者受到攻击者行为的不利影响时，就会发生软件供应链攻击。当软件构建中使用的代码库或单个组件被污染，软件更新二进制文件被“木马化”，代码签名证书被盗，甚至当提供软件即服务的服务器被攻破，都可能发生这种情况。因此，与孤立的安全漏洞相比，成功的供应链攻击会产生更广泛的影响和破坏。 通过这个供应链攻击，攻击者赚取了 864.8 个以太坊币，按照目前的价格计算大约为 300 万美元。Delong 表示目前该平台上只有一个汽车超市拍卖被利用，受影响的拍卖都已打上补丁。拍卖的最终金额与被盗的以太坊币数量一致。   （消息及封面来源：cnBeta）