分类: 网络攻击

国际航空重要供应商遭勒索软件攻击,航空业已成为勒索主要目标

安全内参8月25日消息,作为服务全球多家大型航空公司的技术提供商,Accelya表示,近期刚刚遭遇勒索软件攻击,部分系统已经受到影响。 Accelya的客户包括达美航空、英国航空、捷蓝航空、联合航空、维珍大西洋航空、美国航空等多家知名航空企业。 勒索软件公开发布窃取数据 8月23日,该公司披露,其聘请解决此事的两家安全厂商发现,Accelya内部数据已经被发布至专门的勒索泄密网站。 上周四(8月18日),AlphV/BlackCat勒索软件团伙公布了据称窃取自Accelya的数据。该团伙称窃取的数据包含电子邮件、员工合同等内容。 Accelya公司一位发言人称,他们聘请的专家设法“隔离”了勒索软件,阻断其在系统内进一步传播。 这位发言人表示,“我们的取证调查人员证实,受到攻击影响的只是整体环境中的一部分。没有证据表明恶意软件可能经由我们的系统,横向移动到我们客户的环境当中。” 他们还补充称,Accelya公司正在审查上周AlphV泄露网站上发布的数据,并将向受到信息泄露影响的客户发布通报。 Accelya公司主要负责为各大航空零业企业提供客运、货运与行业分析平台,与9个国家共250多家航空企业保持着合作关系。 2022年,航空产业已经成为勒索软件团伙的一大主要攻击目标。今年5月,印度香料航空(SpiceJet)和加拿大战斗机培训服务商均曾遭遇勒索软件攻击。 AlphV/BlackCat勒索软件是谁? AlphV/BlackCat是当前最活跃的勒索软件团伙之一,上个月刚刚对路易斯安那州亚历山大市政府发动攻击,今年春季还先后攻击了多所大学。 同样是在上个月,该团伙又先后攻击了卢森堡两家能源公司,以及日本电子游戏巨头万代南梦宫。 根据几位专家的介绍,AlphV/BlackCat其实是BlackMatter勒索软件团伙的“马甲”,而BlackMatter又是DarkSide勒索团伙改头换面后的产物。这个DarkSide来头不小,最大的动作就是震惊世界的科洛尼尔管道运输公司攻击案。 该团伙的一位代表在今年2月接受了美媒The Record的采访,声称大多数主要勒索软件团伙间都有着某种形式的关联。 说起AlphV跟BlackMatter及DarkSide之间的关系,这位代表表示,“可以这么说,我们借用了他们的优势,同时回避了他们的劣势。” FBI在4月的警报中提到,截至今年3月,执法机构已经追踪到至少60起由AlphV/BlackCat团伙发动的勒索软件攻击。 转自 安全内参,原文链接:https://www.secrss.com/articles/46226 封面来源于网络,如有侵权请联系删除

上半年全球 DDoS 攻击暴增 203%,“爱国黑客”激增

根据Radware最新发布的报告,与2021年前六个月相比,2022年上半年恶意DDoS攻击的数量增加了203%。 报告还指出俄乌冲突改变了DDoS威胁格局——焦点从疫情转向爱国黑客活动攻击。 DDoS攻击剧增 2022年前六个月,全球DDoS活动显著增加: 与2021年前六个月相比,恶意DDoS攻击的数量增加了203%。 2022年前六个月的恶意DDoS事件比2021年全年多60%。 2022年5月,Radware缓解了一次大规模地毯轰炸攻击,总流量为2.9 PB。攻击持续了36小时,峰值为1.5 Tbps,持续攻击速率超过700 Gbps,持续时间超过8小时。从持续时间、数量和平均/持续攻击率等数据指标来看,该攻击是有记录以来最大规模的DDoS攻击之一。 爱国黑客行为激增 2022年上半年,爱国黑客行为急剧增加。 亲乌克兰和亲俄罗斯的网络军团都试图通过窃取和泄露信息、拒绝服务攻击来破坏和制造混乱。 DragonForce Malaysia是2021年针对中东组织的黑客行动,在2022年卷土重来,它最近的活动是对国家事件的政治回应。OpsBedil Reloaded是对以色列发生的一系列事件的回应。OpsPatuk行动则是针对印度一位知名政治人物的公开评论。 与菲律宾2022年大选有关的DDoS攻击针对菲律宾的主要信息和通信网络,包括CNN、新闻网络ABS-CBN、Rappler和VERA Files。 “目前世界上没有任何组织可以免受网络报复,”报告警告说:“新的大量参与者可能会给情报服务带来极端的不可预测性,从而产生溢出和错误归因的可能性,最终可能导致网络冲突升级。” RDoS勒索服务卷土重来 在战争领域之外,其他网络犯罪集团卷土重来并继续开展业务。 2022年上半年,一个自称是REvil的组织发起了一场新的RDoS攻击活动。这一次,该组织不仅在攻击开始前发送赎金警告记录,而且还在有效载荷中嵌入了赎金记录和要求。 2022年5月,Radware发现了来自一个伪装成Phantom Squad的组织的几封勒索信。 零售和高科技行业是最热门的网络攻击目标 在2022年的前六个月,针对在线应用程序的恶意交易有所增加,主要是可预测的资源定位和注入攻击。 与2021年前六个月相比,恶意Web应用程序交易数量增长了38%,超过了2020年记录的恶意交易总数。 可预测的资源定位攻击占所有攻击的48%,其次是代码注入(17%)和SQL注入(10%)。 受攻击最多的行业是零售和批发贸易(27%)和高科技(26%)。运营商和SaaS提供商排名第三和第四,分别承受了14%和7%的攻击。 转自 安全内参,原文链接:https://www.secrss.com/articles/46215 封面来源于网络,如有侵权请联系删除

男子 2200 万拍下一柯尼塞格,拍卖平台:被黑客攻击提不了车

在我们还在纠结买车全款还是贷款的时候,就有人在网上直接2200多万元,拍下一辆柯尼塞格超跑了,这你敢相信?不过,有钱人也有有钱人的烦恼,买车稍有不慎同样“进坑”。日前,网友上传一段视频显示,一名男子在拍卖平台看上了一辆柯尼塞格Regera超跑,8月19日,和朋友一起斥资2200多万元将其拍下。 8月21日收到平台的付款信息,将剩余车款2200多万元全款支付,计划22日前往天津提车。但是此时却有意外发生,平台告知,因为受到黑客攻击,导致拍卖结果有误。 原本愉快的提车之旅,现在变成了维权之路,就在他们去往天津的路上,拍卖平台无任何说法,将车款全额退还;5个多小时后,将300万元保证金一同退还。 8月24日,他们一行人来到拍卖平台所在公司,却得不到任何答复,也不出具任何证明,只说明事情仍在调查当中。 对此,买家相当不解,如果是他们拍卖后,不及时支付尾款,那么他们300万的保证金平台肯定不会退还;但现在是他们支付了尾款,而平台方却不给提车,平台这种做法是否构成违约,需要退还双重保证金?需要专业人士来解答。 目前,双方还未达成一致,后续关注。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1308665.htm 封面来源于网络,如有侵权请联系删除

多米尼加共和国政府机构遭受勒索软件攻击

Bleeping Computer 网站披露,多米尼加共和国的多米尼加农业研究所(Instituto Agrario Dominicano)遭到了 Quantum 勒索软件的疯狂攻击,该勒索软件加密了整个政府机构的多项服务和工作站,导致部分工作暂时停滞。 当地媒体报道称,勒索软件攻击发生在 8 月 18 日,严重影响了多米尼加农业研究所(IAD)的运作。(IAD 隶属于农业部管理,主要负责执行多米尼加共和国的土地改革计划,是该国重要的政府机构)。 攻击者索要 60 万美元赎金 IAD 技术总监 Walixson Amaury Nuñez 在接收当地媒体采访时透漏,此次勒索软件攻击导致 IAD几乎所有服务器出现问题( 四个物理服务器和八个虚拟服务器出现故障)。此外,,因为数据库、应用程序、电子邮件等都受到影响,数据信息也基本都遭受了破坏。 值得一提的是,IAD 告诉当地媒体其系统中只有例如杀毒软件之类的基本安全软件,缺乏专业的安全部门。此次事件,攻击者索要 60 多万美元赎金。 攻击事件发生后,多米尼加共和国立即开始响应,经过家网络安全中心(CNCS)分析后发现,攻击者的 IP 地址来自美国和俄罗斯。 攻击背后的勒索软件组织 Bleeping Computer 从 Venezuela BT 处获悉,后者表示 IAD 不太可能支付赎金,60 万美元超出了他们的负担范围。 从媒体披露的信息来看,Quantum 勒索软件声称已经窃取了超过 1TB 的数据,最初要求 IAD 支付 65 万美元的赎金,并威胁如果 IAD 不公开支付赎金,就会立即泄露这些数据。 赎金说明(来源:BleepingComputer) 据了解,Quantum 勒索软件团伙目前已成为 Conti 勒索软件的一个分支,主要接管了之前 MountLocker 勒索软件操作,此外,Quantum 与对 PFC 的攻击有关,影响了 650 多个医疗机构,正在成为针对企业的勒索软件操作中的主要角色。 MountLocker 从 2020 年 9 月开始首次部署在攻击中,随后以不同的名称多次更名,主要使用了 AstroLocker、XingLocker 等,最后是 Quantum。 更名为 Quantum 发生在 2021 年 8 月,在此之后,该品牌的重塑从未变得特别活跃,行动大多处于休眠状态,直到 Conti 勒索软件操作开始关闭,其成员开始寻找其他操作进行渗透。 从 Advanced Intel 的 Yelisey Boguslavskiy 的说法来看,一些 Conti 网络犯罪集团加入了 Quantum 勒索软件的行列。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/342859.html 封面来源于网络,如有侵权请联系删除

研究显示,滥用 SaaS 平台的网络钓鱼攻击大幅增长 1100%

Bleeping Computer网站8月23日消息,根据Palo Alto Networks Unit 42的一份调查报告,研究人员发现,攻击者滥用合法软件即服务 (SaaS) 平台创建钓鱼网站的行为正在激增,数据显示,从 2021 年 6 月到 2022 年 6 月,这种滥用行为大幅增加了 1100%。 SssS为网络钓鱼行为提供了一些便利,包括规避电子邮件安全系统的检测、享受高可用性以及无需学习编写代码来创建看似合法的网站。此外,由于 SaaS 平台简化了创建新站点的过程,攻击者可以轻松切换到不同的主题、扩大或多样化其运营。 Unit 42 将被滥用的平台分为六类:文件共享、调查表单器、网站生成器、笔记和文档编写平台以及个人档案。Palo Alto Networks 记录了所有类别的滥用增长。 按类别分类的 SaaS 平台滥用增长情况 Unit 42 报告解释说,多数情况下,攻击者直接在被滥用的服务上托管他们的凭证窃取页面,而在一些特定情况下,托管在被滥用服务上的登录页面本身并不包含凭证窃取表单,相反,攻击者通过一个重定向步骤将受害者带到另一个站点。 钓鱼网站可以托管在一个不回应删除请求的防弹主机服务提供商(BPH)上,因此,钓鱼行为者遵循这种做法,在牺牲转化率的同时增加活动的正常运行时间。如果最终的凭证窃取页面被删除,攻击者可以简单地更改链接并指向新的凭证窃取页面,保证钓鱼行为的持续性。 研究认为,阻止对合法 SaaS 平台的滥用非常困难,这也是 SaaS如此适合网络钓鱼活动的原因所在。对于用户而言,还是要牢记在被要求输入账户凭证时确保网站 URL 的正规性。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/342743.html 封面来源于网络,如有侵权请联系删除

希腊最大天然气运营商遭勒索软件攻击,多项在线服务被迫中断

安全内参8月23日消息,欧洲国家希腊最大的天然气分销商DESFA在上周六(8月20日)证实,由于遭受网络攻击,该公司出现了一定程度的数据泄露与IT系统中断。 在向当地新闻媒体发布的公开声明中,DESFA称有黑客试图渗透其网络,但因为IT团队快速反应而被阻断。然而,对方仍在有限范围内实施了入侵,导致部分文件和数据被访问并可能“外泄”, DESFA为此停用了多项在线服务,希望保护客户数据。而且随着专家们努力进行恢复,各项服务已经逐渐恢复运行。 DESFA向消费者保证称,此次事件不会影响到天然气供应,所有天然气输入/输出点均保持正常容量运行。 该公司也已通知警方的网络犯罪部门、国家数据保护办公室、国防部以及能源与环境部,希望在最短时间内以最低影响解决问题。 最后,DESFA宣布绝不会与网络犯罪分子对话,也就不存在进行赎金谈判。 Ragnar Locker宣布对事件负责 上周五(8月19日),Ragnar Locker勒索软件团伙在窃取数据后确认了此次攻击。这批恶意黑客亮相于两年多之前,并在2021年发起过多起大型网络攻击活动。 Ragnar Locker在今年活跃度仍然不低,但攻击数量上较去年有所下降。FBI最近一份报告提到,Ragnar Locker与截至2022年1月美国各关键基础设施实体遭受的共52起网络入侵有关。 该恶意黑客团伙还在其数据泄露与勒索门户上发布了所谓被盗数据清单,展示了一小部分似乎不涉及机密信息的被盗文件。 此外,Ragnar Locker提到他们在DESFA系统上发现了多个安全漏洞,并向对方告知了这一情况。这可能是该团伙勒索行动的一部分,但据称受害者并未做出回应。 如果受害组织不满足赎金要求,该恶意黑客团伙威胁将发布整个文件树内对应的所有文件。 图:DESFA公司名字已被挂上Ragnar Locker勒索页面 此次攻击恰逢欧洲各天然气供应商的艰难时期。当前欧洲大陆主要国家已决定快速削减对俄罗斯天然气的依赖,因此不可避免要产生问题。 预计在即将到来的冬季,供应短缺、停气、配给中断和能源价格飙升等因素可能轮番上演,届时消费者恐怕又将迎来一波针对天然气供应商的勒索攻击大爆发。 转自 安全内参,原文链接:https://www.secrss.com/articles/46146 封面来源于网络,如有侵权请联系删除

周鸿祎谈企业遭遇勒索攻击:基本无解,只能交赎金

8月23日消息,前不久,网络安全机构Resecurity发布报告预测,到2031年,全球勒索软件勒索活动将达到2650亿美元,对全球企业造成的潜在总损失或达到10.5万亿美元。日前,360集团创始人、董事长 周鸿祎发文称,最近多起知名企业遭遇勒索攻击,在业界引起了热议。勒索攻击俨然已经成为“全球公敌”,严重影响企业业务发展。 周鸿祎表示,与传统攻击不同,勒索攻击已变成一种新商业模式。它不撬你的保险柜,而是给你做一个更大的保险柜,把你的保险柜也锁起来,而且被勒索后基本无解,你就只能交赎金。 据统计,在最严重的勒索软件攻击中,组织支付的平均赎金2021年比2020年增加近五倍,达到812360美元,中国勒索攻击起价也已达500万元。 前不久,国际知名服务器厂商思科公司证实被勒索攻击,泄露数据2.8GB,思科被窃取的数据包括大约3100个文件,许多文件是保密协议、数据转储和工程图纸。 根据其团队博文披露的细节,黑客是通过思科员工的个人谷歌浏览器个人帐户密码同步功能作为初始向量,从而获取了思科内部凭证。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1307461.htm 封面来源于网络,如有侵权请联系删除

网络犯罪组织 TA558 针对酒店、宾馆和旅游机构展开攻击

The Hacker News 网站披露,研究人员发现一个出于经济动机的网络犯罪集团,与针对拉丁美洲酒店和旅游机构的持续攻击浪潮有关。经研究人员详细分析后发现,其主要目的是在受感染的系统上安装恶意软件。 该犯罪团伙最早活跃可追溯到 2018 年 4 月,是一个小型犯罪威胁攻击组织。一份报告中显示,这个犯罪团伙自 2018 年以来,使用一致的战术、技术和程序,试图在受害者系统上,安装包括 Loda RAT、Vjw0rm 和 Revenge RAT 等在内的各种恶意软件。 直到 2022 年,TA558 网络犯罪组织的行动节奏开始逐渐加快,入侵的主要对象是拉丁美洲的葡萄牙语和西班牙语使用者,在西欧和北美的入侵程度较低。 据悉,该组织发起的网络钓鱼活动包括发送带有预订主题诱饵的恶意垃圾邮件消息,例如包含武器化文档或 URL 的酒店预订,以诱使不知情的用户安装能够侦察、数据盗窃和分发后续有效负载的木马。 值得一提的是,多年来这些攻击发生了微妙的演变,在 2018 年至 2021 年之间发现的攻击活动,主要是利用包含 VBA 宏或 CVE-2017-11882 和 CVE-2017-8570 等漏洞的 Word 文档的电子邮件下载和安装混合恶意软件,例如 AsyncRAT、Loda RAT、Revenge RAT 和 Vjw0rm等。 最近几个月,研究人员观察到 TA558 从包含宏的 Microsoft Office 附件转向支持 URL 和 ISO 文件以实现初始感染,此举可能是为了响应微软决定在默认情况下阻止从 Web 下载的文件中的宏。 2022 年截止到目前为止,TA558 组织已经开展 51 次攻击活动,其中有 27 次包含了指向 ISO 文件和 ZIP 档案的 URL。相比之下,从 2018 年到 2021 年,总共只有 5 次类似活动。 Proofpoint 进一步指出,TA558 所记录的入侵行为是其广泛的恶意活动的一部分,重点是拉丁美洲地区的受害者。由于没有任何入侵后的活动,有理由怀疑 TA558 是一个有经济动机的网络犯罪攻击者。 最后,研究人员强调,TA558 组织使用的恶意软件可以窃取酒店用户的信用卡数据,允许横向移动,并提供后续有效载荷。攻击者进行网络入侵活动可能导致公司和客户的数据被盗,以及其它潜在的财务损失。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/342540.html 封面来源于网络,如有侵权请联系删除

肯尼亚前总理竞选总统落选,称选举系统遭到渗透和黑客攻击

据独立选举和边界委员会(IEBC)8月16日推文公布的肯尼亚总统竞选结果,现任副总统鲁托(William Ruto)以微弱优势击败前总理奥廷加(Raila Odinga),当选新一任肯尼亚总统。但奥廷加方面指控本次大选违法,声称有情报显示选举系统遭到了渗透和黑客攻击。 如图所示,奥廷加在总统选举中获得了6942930票,有效得票率为48.85%,而鲁托得票数为7176141,有效得票率为50.49%。然而,就在肯尼亚选委会主席切布卡蒂宣布大选结果的几分钟前,选委会副主席切里亚在记者会上称,选委会7名成员中有4人认为计票过程“不透明”,无法认可鲁托胜选的结果。 “我们有情报和报告称,他们的系统被渗透和黑客攻击,一些独立选举和边界委员会(IEBC)官员实际上犯下了选举罪,他们应当被逮捕。”奥廷加的首席代理人谴责道。 自选举结果公布后,肯尼亚多地发生示威活动。在奥廷加的大本营基苏木(Kisumu),愤怒的支持者走上街头、投掷石块、放火焚烧轮胎并设置路障。奥廷加的支持者们高喊“没有拉伊拉(奥廷加),就没有和平!” “我们将寻求所有可用的法律和宪法选择。鉴于选举中存在许多缺陷,我们将这样做。”奥廷加在选举结果公布后的第一次讲话中说道。 值得注意的是,肯尼亚历史上发生过多起大选结果公布后的暴力事件。在2007年,在奥廷加声称胜利被窃取后,有1000多人丧生。类似的事情还在2017年发生过一次,那次奥廷加落选后有100多人丧生。而那一年的选举结果因违规行为而被高等法院推翻,是非洲的先例。 外媒普遍担心,由于大选结果存在严重争议,肯尼亚或将重蹈覆辙,再次陷入动荡状态。 转自 安全内参,原文链接:https://www.secrss.com/articles/46063 封面来源于网络,如有侵权请联系删除

谷歌阻止了迄今为止最大规模的第 7 层 DDoS 攻击

Hackernews 编译,转载请注明出处: 谷歌宣布已阻止有史以来最大的HTTPs DDoS攻击,该攻击达到每秒4600万次请求(RPS)。 攻击发生在6月1日9:45,它以每秒10000多次请求(rps)开始,目标是客户的HTTP/S负载均衡器。八分钟后,攻击速度增至每秒100000次请求,两分钟后达到4600万次。DDoS攻击持续了69分钟。 该公司指出,每秒请求量至少比之前的记录高出76%,该记录在6月被Cloudflare阻止,达到2600万RPS。 谷歌表示:“这是迄今为止报告的最大的第7层DDoS攻击,比之前报告的记录至少大76%。此次攻击的规模就像在10秒内接受维基百科(世界上十大流量网站之一)的所有日常请求一样。” 专家报告称,该攻击来自132个国家的5256个源IP,前4个国家贡献了总攻击流量的约31%。 大约22%(1169)的源IP对应于Tor出口节点,但专家指出,来自这些节点的请求量仅占攻击流量的3%。 “虽然我们认为由于易受攻击的服务的性质,Tor参与攻击是偶然的,但即使在峰值的3%(超过130万rps),我们的分析表明,Tor出口节点可以向web应用程序和服务发送大量不受欢迎的流量。”报告继续说道。 此次攻击涉及的不安全服务的地理分布和类型表明,它是由Mēris僵尸网络发起的。 “攻击在谷歌网络的边缘被阻止,恶意请求从客户的应用程序上游被阻止。在攻击开始之前,客户已经在其相关的Cloud Armor安全策略中配置了Adaptive Protection,以了解并为其服务建立正常流量模式的基线模型。”专家总结道。“因此,Adaptive Protection能够在其生命周期的早期检测到DDoS攻击,分析其传入流量,并使用推荐的保护规则生成警报——所有这些都在攻击升级之前完成。客户通过部署推荐的规则,利用Cloud Armor最近推出的速率限制功能来限制攻击流量,从而对警报采取行动。”   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文