CybSafe对报告给英国信息专员办公室（ICO）的事件的分析显示，2021年上半年，勒索软件攻击占所有报告的网络安全事件的22%。这比2020年上半年的11%有所上升。网络钓鱼仍然领先，占向ICO报告的所有网络安全案件的40%，比前一年的44%略有下降，但勒索软件现在已经挤到了第二位。 教育是受影响最严重的部门，在2021年上半年，勒索软件占了该领域32%的攻击事件比例，而前一年只有11%。随着许多学校急于过渡到远程学习，越来越多的攻击导致学校丢失课程作业、财务记录甚至COVID-19测试数据。 零售业和制造业也继续成为网络攻击的主要目标，在2021年上半年的所有报告事件中占20%。 CybSafe的首席执行官Oz Alashe表示勒索软件已经是一个重要的威胁，在过去一年中变得越来越普遍。最近对政府机构和医疗服务的攻击让我们看到了这种攻击的破坏性。在教育领域，向远程学习的快速转型已经在学校的防御中打开了新的漏洞，而勒索软件团伙已经非常乐意利用它们。 为了应对这种威胁，如果我们应该迎接真正的行为改变，需要超越原有框架的安全的意识练习，这些行为是我们防御此类恶意威胁的基础，在未来几年内，其重要性只会越来越大。 了解更多细节请访问CybSafe官方博客： https://www.cybsafe.com/community/blog/   （消息及封面来源：cnBeta）

据外媒ZDNet报道，巴西政府日前发布了一份说明，称其财政部内部网络在上周五（13日）遭到了勒索软件的攻击。根据巴西经济部的声明，巴西政府已经立即采取了初步措施来控制网络攻击的影响。到目前为止的初步评估发现，巴西财政部的结构化系统没有受到损害，例如与公共债务管理有关的平台。 巴西国家财政部秘书处和数字政府秘书处(DGS)的安全专家正在分析勒索软件攻击的影响。联邦警察也已被通知。该部门指出，关于该事件的新信息“将及时被披露，并具有适当的透明度”。 巴西财政部周一（16日）与巴西证券交易所联合发表的进一步声明指出，这次攻击没有“以任何方式”影响Tesouro Direto的运作–该计划使个人能够购买巴西政府债券。 巴西财政部的事件是在2020年11月出现的针对巴西高级选举法院的重大网络攻击之后发生的。这次攻击使法院的系统停顿了两个多星期。当时，该事件被认为是有史以来针对巴西公共部门机构策划的最全面的攻击，就其复杂性和所造成的损害范围而言。 7月，巴西政府宣布建立一个网络攻击响应网络，旨在通过联邦政府机构之间的协调，促进对网络威胁和漏洞的快速响应。 在巴西经济部管理和数字政府特别秘书处下运作的DGS，将在网络的形成中发挥战略作用。DGS是SISP的中心机构，该系统用于规划、协调、组织、操作、控制和监督联邦政府200多个机构的信息技术资源。 在私营企业方面，2021年在巴西出现的主要勒索软件攻击涉及大型公司，如医疗保健公司Fleury和航空航天集团Embraer。   （消息及封面来源：cnBeta）

据外媒报道，网络安全公司SentinelOne的研究人员在一份新报告中重建了最近对伊朗火车系统的网络攻击并发现了一种新的威胁因素–他们将其命名为MeteorExpress–这是一种以前从未见过的wiper。 7月9日，当地媒体开始报道针对伊朗火车系统的网络攻击，黑客在火车站的显示屏上涂鸦以要求乘客拨打伊朗最高领袖哈梅内伊办公室的电话号码“64411”。 火车服务中断仅一天之后，黑客就关闭了伊朗运输部的网站。据路透社报道，在网络攻击目标成为道路与城市发展部的电脑后，该部门的门户网站和副门户网站都发生了瘫痪。 SentinelOne首席威胁分析师Juan Andres Guerrero-Saade在他的调查中指出，袭击背后的人将这种从未见过的wiper称为Meteor并在过去三年开发了它。 Guerrero-Saade指出：“目前，我们还无法将这一活动跟先前确定的威胁组织或其他攻击联系起来。”他补充称，多亏了安全研究员Anton Cherepanov和一家伊朗反病毒公司，他们才得以重建这次攻击。“尽管缺乏具体指标的妥协，我们能恢复在帖子中描述的大部分攻击组件以及他们错过的额外组件。在这个关于火车停站和油嘴滑舌的网络巨魔的离奇故事背后，我们发现了一个陌生攻击者的指纹。” Guerrero-Saade表示，Padvish安全研究人员的早期分析是SentinelOne重建的关键，同时“恢复的攻击者伪造物包括更长的组件名称列表”。 “攻击者滥用Group Police来分发cab文件进行攻击。整个工具包由批处理文件组合而成，这些批处理文件协调了从RAR档案中删除的不同组件，”Guerrero-Saade解释道。 “档案用攻击者提供的Rar.exe解压，密码为’hackemall’。攻击组件是按功能划分的：Meteor基于加密配置加密文件系统，nti.exe破坏MBR，mssetup.exe则锁定系统。” SentinelOne发现，大多数攻击是通过一组批处理文件嵌套在各自的组件旁边并在连续执行中链接在一起。 该批文件通过伊朗铁路网共享的CAB文件复制了最初的部件。在那里，批处理文件使用自己的WinRAR副本从而从三个额外的档案文件解压额外的组件，这里使用了一个精灵宝可梦主题的密码“hackemall”，这也是在攻击期间在其他地方引用的。 “此时，执行开始分裂成其他脚本。第一个是’cache.bat’，它专注于使用Powershell清除障碍并为后续元素做好准备。”Guerrero-Saade说道，“’cache.bat’执行三个主要功能。首先，它将断开受感染设备跟网络的连接。然后它检查机器上是否安装了卡巴斯基杀毒软件，在这种情况下它会退出。最后，’cache.bat’将为其所有组件创建Windows Defender排除并有效地扫清了成功感染的障碍。” 报告解释称，这个特定的脚本对重建攻击链具有指导意义，因为它包括一个攻击组件列表，能让研究人员可以搜索特定的东西。 在部署了两个批处理文件，机器会进入无法引导并清除事件日志的状态。在一系列其他操作之后，update.bat将调用”msrun.bat”，它将”Meteor wiper executable as a parameter”。 Guerrero-Saade指出，另一个批处理文件msrun.bat在一个屏幕锁和Meteor wiper的加密配置中移动。名为”mstask”的脚本创建了一个计划任务，然后设置它在午夜前5分钟执行Meteor wiper。 “整个工具包存在一种奇怪的分裂程度。批处理文件生成其他批处理文件，不同的rar档案包含混杂的可执行文件，甚至预期的操作被分成三个有效载荷：Meteor清除文件系统、MSInstall .exe锁定用户、nti.exe可能破坏MBR，”Guerrero-Saade写道。 “这个复杂的攻击链的主要有效载荷是放在’env.exe’或’msapp.exe’下的可执行文件。在内部，程序员称它为“Meteor”。虽然Meteor的这个例子遭遇了严重的OPSEC故障，但它是一个具有广泛功能的外部可配置wiper。” 据报道，Meteor wiper只提供了一个参数，一个加密的JSON配置文件”msconf.conf”。 Meteor wiper删除文件时，它从加密配置删除阴影副本并采取一个机器出域复杂的补救。据报道，这些只是Meteor能力的冰山一角。 虽然在袭击伊朗火车站时没有使用，但wiper可以更改所有用户的密码、禁用屏幕保护程序、基于目标进程列表终止进程、安装屏幕锁、禁用恢复模式、更改启动策略错误处理、创建计划任务、注销本地会话、删除影子副本、更改锁定屏幕图像和执行要求。 Guerrero-Saade指出，wiper的开发人员为该wiper创造了完成这些任务的多种方式。“然而，操作人员显然在编译带有大量用于内部测试的调试字符串的二进制文件时犯了一个重大错误。后者表明，尽管开发人员拥有先进的实践，但他们缺乏健壮的部署管道以确保此类错误不会发生。此外要注意的是，该样本是在部署前6个月编制的且没有发现错误。其次，这段代码是自定义代码的奇怪组合，其封装了开源组件(cppt . httplib v0.2)和几乎被滥用的软件(FSProLabs的Lock My PC 4)。这跟外部可配置的设计并列从而允许对不同操作的有效重用。” 当SentinelOne的研究人员深入研究Meteor时，他们发现，冗余证明wiper是由多个开发人员添加不同组件创建的。 报告还称，wiper的外部可配置特性表明它不是为这种特殊操作而设计的。他们还没有在其他地方看到任何其他攻击或变种Meteor wiper。 研究人员无法将攻击归咎于特定的威胁行为者，但他们指出，攻击者是一个中级水平的玩家。 Guerrero-Saade继续说道，SentinelOne“还不能在迷雾中辨认出这个对手的形态”并推断它是一个不道德的雇佣军组织或有各种动机的国家支持的行动者。 尽管他们无法确定攻击的原因，但他们指出，攻击者似乎熟悉伊朗铁路系统的总体设置以及目标使用的Veeam备份，这意味着威胁行为者在发动攻击之前在该系统中待过一段时间。 据路透社报道，袭击发生时，伊朗官员没有证实是否有人索要赎金也没有证实他们认为谁是袭击的幕后黑手。   （消息及封面来源：cnBeta）  

援引 KBS World 报道，韩国原子能研究所（KAERI）近日遭到了长达 12 天的网络攻击，并基本确认攻击方来自朝鲜。在 8 日举行的国会情报委员会会议上，韩国国会情报委员会（NIS）两名干事金炳基和河泰庆表示今年上半年因黑客攻击造成的损失环比增加 9%，其中 KAERI 疑似遭到了朝鲜黑客组织的攻击。 河泰庆表示，在 6 月 1 日接到 KAERI 的报告之后就着手展开调查，整个攻击时长超过 12 天，所幸的是核心技术资料并没有被窃取。NIS 认为本次黑客攻击的幕后主使可能就是朝鲜。 据河泰庆公开的资料，5 月 14 日未经批准的 13 个外部 IP 地址入侵韩国原子能研究院内网。通过朝鲜网络攻击专门研究组织“IssueMakersLab”追查这些 IP 来源后发现，部分 IP 地址与疑似有朝鲜军队侦察总局背景的黑客组织“Kimsuky”服务器相连。 河泰庆表示，部分 IP 地址还盗用前韩国总统统一外交安全事务特别助理文正仁的电子邮件用户名。这是朝鲜与 2018 年文正仁电子邮件遭黑客攻击有关的间接证据，是证明该案系朝鲜黑客组织所为的决定性证据。河泰庆表示，如果国家核心技术被朝鲜外泄，其严重性可能不亚于2016年国防部内网被黑客攻破事件。   （消息及封面来源：cnBeta）

韩国当局透露，Kimsuky在2021年5月成功入侵了国家核智库韩国原子能研究所（KAERI），KAERI被揭露此事的韩国新闻机构指控掩盖事实。恶意软件分析公司IssueMakersLab在5月14日发现了对KAERI的攻击。有13个不同的互联网地址参与了这次网络攻击，其中一个与Kimsuky有关。 据美国网络安全和基础设施安全局（CISA）称，后者据说是一个朝鲜的全球情报收集行动。该组织也被称为Thallium、Black Banshee和Velvet Chollima，涉嫌进行多种恶意软件攻击。事实上，据称它在过去曾攻击过韩国的COVID-19疫苗研究人员和核反应堆。 为了进入受害者的系统，该团伙经常采用网络钓鱼技术，冒充Telegram、Gmail、Outlook等网站和其他流行品牌网站。这不是该机构的第一次攻击。韩联社报道，早在2018年，KAERI就通过文在寅总统的顾问文忠仁获得的电子邮件账户被黑，这次网络攻击可以归因于Kimsuky。 根据韩国科学和信息通信技术部（MSIT）的说法，网络被入侵是由于服务器VPN的漏洞。攻击是在5月31日被发现的，当局已经采取了紧急措施来禁止IP地址和应用安全修复。 虽然损失的程度尚不清楚，但人们担心核技术信息的泄露可能会危及国家安全。SISA杂志率先报道了这一攻击事件，指责KAERI在发现一名研究人员就这一话题发表了三种不同的声明后淡化了这一漏洞。 KAERI发表了以下声明（翻译），以回应掩盖事件的指控。 “‘没有黑客事件’的说法是工作层面的工作人员的反应错误，这是在调查期间因涉嫌侵权而未确认损失的情况下发生的”。   （消息及封面来源：cnBeta）

日本跨国集团富士胶片（Fujifilm）遭遇勒索软件攻击，被迫关闭了部分全球网络。该公司在其网站上发布的一份声明中写道：“富士胶片公司目前正对可能来自公司外部的非法访问进行调查。在调查进行中，部分网络被关闭并与外部通信断开”。 声明中继续写道 2021 年 6 月 1 日深夜，我们察觉到有可能受到勒索软件的攻击。为此，我们采取措施，对有可能受到影响的服务器及电脑停止运行，并断开网络连接。 我们目前正在确认其影响程度和规模。对由此带来的不便，我们向所有的客户和业务伙伴深表歉意。 由于部分网络关闭，富士胶片美国公司在其网站上增加了一个通知，称其目前遇到了影响所有形式的通信的问题，包括电子邮件和来电。在早些时候的一份声明中，富士胶片证实，网络攻击也使公司无法接受和处理订单。   （消息及封面来源：cnBeta）  

据报道，全球最大的肉类供应商JBS在周日遭到了黑客的攻击，这是全球食品供应链所面临的又一威胁。此前，新冠疫情已经对全球食品供应链造成了较大影响。周一，JBS公司通过电子邮件向外界表示，公司服务器遭到黑客有组织的攻击，从而不得不关闭了位于北美和澳洲的计算机网络。 JBS表示，这起黑客攻击事件有可能会推迟公司与客户和供应商的部分交易。对于其肉类加工工厂的运营是否受到黑客攻击的影响，JBS没有提供相关情况说明。 据悉，此次黑客攻击影响到了加拿大一家最大肉类加工工厂的运营。此外，还有媒体报道说，JBS已经因此暂停了澳洲的牛羊屠宰业务。目前还没有JBS的美国业务受到影响的报道。 此次攻击发生在美国最大的油气管道运营商遭到黑客袭击后的第三周，这标志着黑客将大宗商品业务纳入了他们的攻击视野。目前，肉类行业正与新冠疫情带来的持续影响作斗争。去年大规模的疫情爆发曾导致工厂关闭，肉类供应中断。此次黑客攻击，对肉类行业来说，无异于雪上加霜。 JBS的总部位于巴西保罗，在20个国家拥有肉类加工工厂，澳大利亚和新西兰的业务占公司收入的4%，加拿大业务占3%，而美国业务才是该公司的大头，占50%。   （消息及封面来源：cnBeta）

上周，微软发现了针对政府雇员和权利组织的数千个账户的复杂型网络钓鱼攻击，并指向了幕后黑手 Nobelium 。此前，该黑客组织曾被认为与俄方情报机构 SVR 和近期的 SolarWinds 攻击有关。为了应对愈演愈烈的此类规模的网络攻击，这家软件巨头现又提出了新的防御建议 —— 鼓励客户积极采用云技术。 微软客户安全与信任副总裁 Tom Burt 在一篇博客文章中指出，该公司一直在密切关注局势的发展，且反病毒软件和 Microsoft Defender for Office 365 等解决方案正在积极检测和防御此类恶意软件。 庆幸的是，由于许多大客户都选用了微软的方案，即便它们是攻击者的首选破坏目标，但实际造成的损害仍在可控范围之内。 Tom Burt 还在文中提到了一个重要观点，即我们需要区分与往常不大一样的间谍行动，比如上周发生的 Nobelium 攻击，以及 SolarWinds 和 Colonial Pipelines 等网络攻击事件。 其次，Tom Burt 对美国政府的网络安全行政命令表示了赞扬，强调了公共与私营部门需要在整个生态系统内开展更多的合作与加强，而不仅仅依赖于遵循政府指导的网络安全基础设施。 基于此，Tom Burt 认为企业组织负责人需要更加明确地辨别和应对此类活动： […] 我们必须努力阻止破坏性的网络攻击，且政府部门在调查 SolarWinds 黑客攻击这件事上的反应速度已经有较大的进步。 政府还对这些行动实施了相应的制裁，这也是震慑幕后黑手不可或缺的一部分。但除此之外，我们还有更多的事情要去做。[…] 最后，这家总部位于雷德蒙德的科技巨头强调了向云技术过渡的重要性，因为云服务提供商们正在积极努力遵循最新的网络安全标准和托管工具，同时鼓励每个人在使用数字服务时都应至少启用双因素身份验证。   （消息及封面来源：cnBeta）

美国联邦调查局（FBI）刚刚通报了一起高级持续性威胁（APT）事件，可知黑客利用了未经修补的 Fortinet 网络设备中的漏洞，对市级政府机构的网络造成破坏。由 FBI 官网披露的行业警报可知，有关部门在 2021 年 5 月检测到了入侵迹象。 其实早在 2021 年 4 月打上了另一款 Fortinet 网络设备的补丁之后，联邦调查局就已经向美国私营部门和政府机构发出过类似的黑客攻击预警。 当时 FBI 指出，发起高级持续性威胁（APT）的黑客组织，正在互联网上大量扫描受 CVE-2018-13379、CVE-2020-12812 和 CVE-2019-5591 漏洞影响的 Fortinet 网络设备。 遗憾的是，尽管预警在先，还是有黑客至少突破了一个组织的内部网络。至少到 2021 年 5 月的时候，FBI 几乎可以肯定有黑客攻击了托管美国市级政府域名的网络服务器。 在本次特殊的入侵行动中，攻击者创建了一个名叫“elie”的后门账户，以从受感染的 Fortinet 虚拟专用网设备跳转到受害者的内部网络。 一旦获得了受害者的内网访问权限，黑客通常会立即创建更多的后门账户，以进一步控制相关域名、服务器、工作站、以及活动目录之类的可访问系统。 其中某些账户看起来与网络上的其它现有账户类似，因而受害者无法通过命名规则来一眼揪出李鬼，但以下几个账户的嫌疑还是相当高的： ● ellie ● WADGUtillityAccount 目前 FBI 正敦促组织机构再次对其 Fortinet 网络设备加以修补，且官员们希望大家能够比以往更严肃地对待此类安全警报。   （消息及封面来源：cnBeta）

尽管修复程序已发布数周，但苹果尚未完成对 iOS 和 macOS 中存在的 WebKit 漏洞的修补。Apple Insider 指出，该漏洞由网络安全初创公司 Theori 研究人员首先发现，问题主要与 WebKit 中的 AudioWorklets 实现有关。除了可能引发 Safari 浏览器的崩溃，Theori 也警告它是一个可被利用的类型混淆漏洞。 AudioWorklet 接口允许开发者控制、渲染和输出音频，但也为攻击者利用此漏洞在设备上执行恶意代码而敞开了大门。 不过恶意攻击者仍需绕过指针验证码（PAC），才能在现实世界中发起攻击。作为一套缓解措施，PAC 强制需要密码签名，才能在内存中执行代码。 开源开发者已于 5 月初修复了 AudioWorklet 漏洞（GitHub 传送门），但 Theori 研究人员 Tim Becker 警告称，该漏洞仍存在于最新版本的 iOS 和 macOS 中。 在理想情况下，从公开补丁到稳定版发布的时间间隔会尽可能小，但 AudioWorklet 漏洞还是让新版 iOS 设备用户在几周内易受攻击。 在 Tim Becker 看来，缺乏修复程序的“空窗缺口”是开源开发领域的一个重大风险。 由谷歌 Project Zero 安全团队披露的数据可知，自 2021 年初以来，苹果系统中共有 7 个漏洞在野外被积极利用，且其中已修复的多个都与 WebKit 有关。   （消息及封面来源：cnBeta）