美联社报道称，美国土安全部门要员的电子邮件账户，亦受到了 SolarWinds 恶意软件活动的幕后黑手的影响。据悉，这批账户属于特朗普总统在 2019 年 11 月任命的代理国务卿 Chad Wolf，以及负责调查境外威胁的国土安全部官员。 早在 2020 年 12 月，FireEye 网络安全专家就曝光了波及甚广的 SolarWinds 黑客入侵事件，导致成千上万的企业和政府机构在部署恶意更新后被感染。 周一的报道称，疑似俄方黑客入侵了特朗普政府要员的电子邮件账户，而受害者本就负责着与之对抗的工作。 此外上月的消息称，除了百余家私营企业，SolarWinds 黑客还打击了包括国土安全部在内的至少 9 个联邦机构。 截止外媒发稿时，美国土安全部尚未就此事给出回应。不过美联社称，在事件曝光后的几天里，Char Wolf 等人就已经换成了支持加密聊天的软件服务来开展通信。           （消息来源：cnBeta；封面源自网络）

据外媒报道，从历史上看，勒索软件依赖于加密数据，然后借此索要赎金。但F-Secure的一份新报告显示，2020年，偷窃数据的勒索软件有所增加，这让攻击者对受害者有了更大的影响力。如果组织首先拒绝支付赎金来解密他们的数据，那么攻击者就会威胁泄漏被盗的信息并增加受害者的压力。 2019年，只有一个勒索软件组被观察到使用这种类型的勒索–被称为Ransomware 2.0，但到2020年底，已有15个不同的勒索软件家族采用了这种方法。此外，截止到去年年底，在2020年发现的近40%的勒索软件家庭及一些年龄更大的家族都曾窃取过受害者的数据。 报告还显示了其他一些网络安全趋势，包括攻击者使用Excel公式（一种无法被阻止的默认功能）来混淆恶意代码，但到2020年下半年，恶意代码的数量将增加两倍。 据悉，Outlook是最受钓鱼邮件欺骗的品牌，其次是Facebook和Office365。2020年，电子邮件占所有恶意软件感染尝试的一半以上，从而使其成为网络攻击中传播恶意软件最常见的方法。 在过去10年的显著供应链攻击中，报告强调，超一半的攻击目标是公用事业或应用软件。报告作者们表示，希望去年的SolarWinds黑客事件将引起人们对这些攻击可能产生的影响的更多关注。 “在安全方面，我们非常重视组织通过拥有强大的安全防线、快速识别漏洞的检测机制以及遏制入侵的响应计划和能力来保护自己。然而，跨越行业和边界的实体也需要共同努力，从而应对供应链上游的安全挑战。高级持续性威胁组织显然已经准备好并愿意通过这种方式危及数百个组织，我们应该共同努力对抗他们，”F Secure战术防御部门经理Calvin Gan说道。           （消息及封面来源：cnBeta）

分析公司Canalys警告说，未能在网络安全上投入更多资金的企业将面临 “大量倒闭”。因为研究人员发现过去的12个月里，被入侵的数据比过去15年的总和还要多。勒索软件攻击数量激增，在全球性卫生事件的背景下，医院又成为特殊的目标。由于社交距离和线上工作逐步成为常态，许多企业以牺牲网络安全为代价实施业务连续性措施，进一步加剧了网络安全问题。 Canalys首席分析师Matthew Ball在评论这份全新的有关网络安全的报告时表示： “网络安全必须成为数字计划的前沿和中心，否则将出现大规模的企业组织灭绝，这将威胁到COVID-19大流行后的经济复苏。对网络安全关注的失误已经产生了重大影响，导致当前数据泄露危机的升级和勒索软件攻击的加速。” 虽然Canalys表示，在网络安全支出方面还需要做更多的工作，但它也表示，去年网络安全投资已经明显高于IT行业的其他领域。网络安全支出增长到530亿美元，大增10%，但并非增长最快领域，表现优于网络安全的领域是业务连续性和劳动力生产力，其中云基础设施服务增长33%，云软件增长20%。 从单个公司来看，Zoom的远程沟通方案令其营收猛增300%，微软Office 365办公环境带来的业绩保持了两位数的增长，硬件方面，笔记本电脑的出货量也创下了历史新高，罗技的网络摄像头销量也在蓬勃发展，甚至连Wi-Fi路由器的销量也随着人们转向在家办公而增长了40%。 虽然这些事情都很重要，但Canalys最终还是希望企业增加在网络安全方面的支出，因为不这样做最终可能会因为恢复成本过高而导致企业破产。           （消息及封面来源：cnBeta）

根据帮助短信路由的通信公司Aerialink的公告，美国所有的主要运营商都对短信的路由方式进行了重大改变，以防止黑客能够轻易地对目标短信进行改道。此举是在Motherboard网站调查后发生的。 该调查发现一个黑客，以最小的努力，支付16美元，就可以重新路由短信，然后使用这种能力，闯入一些在线帐户，包括Postmates，WhatsApp和Bumble，暴露了美国电信基础设施存在的一个缺陷。 3月25日来Aerialink公告表示，无线运营商将不再支持在各自的无线号码上启用短信或彩信文本，这一变化是全行业的，影响到移动生态系统中的所有短信提供商。请注意，Verizon、T-Mobile和AT&T已经在全行业范围内收回了被覆盖的支持短信的无线号码。因此，任何Verizon、T-Mobile或AT&T的无线号码，如果曾作为BYON启用文本，则不再通过Aerialink网关路由消息流量。 T-Mobile，Verizon和AT&T没有立即回应评论请求。联邦通信委员会（FCC）和CTIA（运营商的贸易机构）也没有回应评论请求。上周，Motherboard公布了一项调查，其中假名Lucky225的黑客向一家名为Sakari的公司支付了一小笔钱，以证明这个问题，此前并没有详细报道。Sakari是一家帮助企业进行短信营销和群发信息的公司。作为其中的一部分，Sakari从另一家名为Bandwidth的公司获得了短信改道的能力，而Bandwidth又从另一家名为NetNumber的公司获得了这种能力。 当输入相应的电话号码时，Lucky225被要求签署一份文件，基本上是用小指头发誓确保目标已同意短信改道。Lucky225真实身份是网络安全公司Okey Systems的首席信息官，在输入Motherboard提供的电话号码几分钟后，Lucky225就开始收到原本要发给Motherboard手机的短信。从这里，Lucky225登录了各种使用短信作为登录或认证机制的服务。 不难看出，这种攻击对安全保障造成的巨大威胁。美国联邦通信委员会必须利用其权力迫使电话公司保护其网络免受黑客攻击。对此，Sakari公司联合创始人Adam Horsman表示，Sakari推出了一项安全功能，输入的号码会收到一个自动呼叫，以确保号码所有者同意信息改道。现在，随着运营商切断手机号码短信的启用，广大的商业短信公司生态系统很可能根本无法执行这项服务。 Horsman在周四的一份声明中告诉Motherboard，我们欢迎这一消息，并希望行业内的其他公司也能效仿。我们Sakari的政策一直是只支持VoIP和固定电话号码的短信功能，一旦行业问题被提出，我们就对任何移动号码进行了全面封杀。 作为我们内部审计的一部分，除了Lucky225的账户，我们没有发现其他手机号码受到影响。           （消息来源：cnBeta；封面源自网络）

许多企业内部的Exchange服务器正在忙着打补丁，但微软警告说，调查发现，在已经被入侵的系统上潜伏着多种威胁。攻击者惯常使用Web Shell脚本来获得服务器上的持久权限，或者攻击者在早期的攻击中就已经窃取了凭证。微软在3月2日发布了Exchange内部系统的补丁。四个Exchange错误已经受到了一个名为Hafnium的国家支持的黑客组织的攻击。 微软本周早些时候表示，已经检测到92%的脆弱的Exchange服务器已经打了补丁或采取了缓解措施。然而，网络安全公司F-Secure表示，已经有 “数万台”Exchange服务器被入侵。 在一篇新的博客文章中，微软重申了它的警告，即 “给系统打补丁并不一定能消除攻击者的访问”。”许多被入侵的系统还没有收到二次行动，例如人为操作的勒索软件攻击或数据外流，这表明攻击者可能正在建立和保留他们的访问权限，以便以后的潜在行动，”微软365 Defender威胁情报团队指出。 在系统被入侵的地方，微软敦促管理员实践最小特权原则，减轻网络上的横向移动。最低权限将有助于解决常见的做法，即Exchange服务或计划任务已被配置为具有高级权限的帐户来执行备份等任务。”由于服务账户凭证不会经常改变，这可以为攻击者提供很大的优势，即使他们由于防病毒检测而失去了最初的Web Shell访问，因为该账户可以用于以后提升权限，”微软指出。 以DoejoCrypt勒索软件（又名DearCry）为例，微软指出，该病毒株使用的web shell会将一个批处理文件写入C:\Windows\Temp\xx.bat。这在所有被DoejoCrypt击中的系统中都被发现，并且可能为攻击者提供了一条重新获得访问的途径，在那里感染已经被检测和删除。 “这个批处理文件会执行安全账户管理器（SAM）数据库以及系统和安全注册表蜂巢的备份，允许攻击者稍后访问系统上本地用户的密码，更关键的是，在注册表的LSA[本地安全]部分，那里存储着服务和计划任务的密码，”微软指出。 即使在受害者没有被勒索的情况下，攻击者使用特殊设计后的xx.bat批处理文件也可以通过当初投放该文件的Web Shell设法继续访问。在下载勒索软件载荷和加密文件之前，Web Shell还会协助下载Cobalt Strike渗透测试套件。换句话说，受害者今天可能没有被勒索，但攻击者已经在网络上留下了明天动手的工具。 Exchange服务器面临的另一个网络犯罪威胁来自于恶意加密货币矿工。据观察，Lemon Duck加密货币僵尸网络就在利用脆弱的Exchange服务器。有趣的是，Lemon Duck的操作者用xx.bat文件和一个Web Shell清理了一台之前已经被黑过的Exchange服务器，使其独占Exchange服务器的权限。微软还发现，服务器被用来安装其他恶意软件，而不仅仅是挖掘加密货币。 微软同时公布了大量的泄密指标，系统管理员可以利用这些指标来搜索这些威胁的存在和凭证被盗的迹象。           （消息及封面来源：cnBeta）

本月对于 IT 管理员来说是非常忙碌的，因为他们不得不尽快对内部的 Exchange Server 实例部署补丁。不过在政府的高度重视、微软的积极引导下，现在情况有所好转。微软今天宣布，92% 易受攻击的 Exchange IP 均已部署补丁或者得到缓解。 微软安全响应中心（MSRC）今天发布推文，表示 Exchange Server 实例被修复的势头强劲。在推文中写道：“我们的工作仍在继续，但是我们看到内部 Exchange 服务器更新的强劲势头。全球92%的 Exchange IP 已经打上补丁或得到缓解。上周全球范围改善了 43%” 。 从上图可以看到，还有将近 3 万个实例并没有被打上补丁。根据 RiskIQ 的遥测数据，在微软自 3 月 1 日以来观察到的 40 万个实例中，约占 8%。除了 IT 管理员的努力外，显著的减少可以归功于微软在过去几周内发布的多个建议，以及它在 Microsoft Defender 中引入的一键工具和自动缓解功能。 该公司还发布了对不再支持的预置Exchange Server实例的带外更新。剩下的实例需要多长时间才能打上补丁还有待观察，但微软可能会寄希望于未来几周持续的势头，以便实现这一目标。         （消息来源：cnBeta；封面源自网络）

据外媒报道，当地时间周一，数百万名以色列公民的选民登记和个人信息在网上被泄露，两天之后，该国将举行一院制议会的大选。曝光的资料波及到6528565名以色列人的选民登记详细资料和以色列约930万总人口中3179313人的个人详细资料。后者包括了全名、电话号码、身份证号码、家庭住址、性别、年龄和政治倾向等细节。 据以色列媒体报道，一名自称为The Israeli Autumn的威胁分子称对此事负责。 以色列威胁情报公司KELA的产品经理Raveed Laeb在周三媒体采访时表示，自周一以来，这些数据已经被多个电报频道广泛分享。此前，他在泄露的文件中发现了自己的个人信息。 目前，数据泄露源头已被锁定为Elector–一个为Elector Software for Likud公司开发的同名应用的网站。Likud（利库德集团）是以色列现任总理本雅明·内塔尼亚胡领导的政党。 2020年2月，一位名叫Ran Bar-Zik的以色列网页开发者发现，该应用的网站暴露了一个API端点，该端点允许他获得该网站管理员及其帐户详细信息的列表，其中包括密码。 Bar-Zik称，通过利用这些密码，他能访问一个包含以色列选民个人信息的数据库。 Bar-Zik在一篇博文中详细阐述了他的发现，这在2020年初引发了以色列的一场重大媒体丑闻，因为尽管出于政治竞选计划等原因政党可以访问以色列的全部选民数据库，但他们不应该跟第三方分享这些数据。当时，Bar-Zik向该应用网站的开发公司报告了这一情况，但网站开发者警告称，目前尚不清楚其他各方是否在他之前发现了同样的问题，也不清楚他们是否利用API获取了以色列公民的选民登记数据。 在该国最新一轮选举前几天公布的数据显示，Bar-Zik的困境似乎在本周得到了解决。几位以色列政治专家本周提出的理论认为，泄露这些数据可能是为了损害利库德集团的公众形象和信任，然而，由于利库德集团有望在2021年3月的议会选举中获胜，所以此次的泄密似乎并没有产生任何的影响。           （消息及封面来源：cnBeta）

早在 2018 年，安全研究人员就已经发现了后被命名为 Purple Fox 的 Rootkit 恶意软件，起初攻击者主要利用网络钓鱼电子邮件和漏洞利用工具包进行传播。然而 Guardicore 安全研究人员 Amit Serper 和 Ophir harpaz 在一篇博客文章中指出：在利用了一种全新的感染技术之后，该恶意软件已能够在 Windows 设备间更迅速地传播，且僵尸网络的规模也在不断增长。 研究人员指出，该恶意软件正在对使用弱密码和面向互联网的 Windows 计算机发起新一轮攻击。此外通过利用新的感染技术，其传播速度也得到了极大的增强。 具体说来是，该恶意软件通过针对服务器信息块（简称 SMB）来猜测 Windows 用户帐户的弱密码，进而使 Windows 与其它设备（例如打印机和文件服务器）进行通信和达成传播感染的目的。 一旦获得了易受攻击的计算机的访问权，Purple Fox 就会从将近 2000 台较旧且受感染的 Windows Web 服务器网络中，提取恶意负载并悄悄安装 Rootkit、让恶意软件持久锚定在计算机上，同时更加难以被发现、检测和删除。 研究人员指出，一旦被感染，该恶意软件就会关闭最初用于感染计算机的防火墙端口，这或许可阻止重复感染、或避免被其它攻击者入侵并劫持受害者的计算机。 之后，该恶意软件会生成一份 Internet 地址列表，扫描网络上具有弱密码的易受攻击的设备，以进一步感染和创建一个不断扩大的僵尸网络。 通常情况下，黑客会利用僵尸网络来发起 DDoS 攻击，但也可以用于散播恶意软件和垃圾邮件、或在受感染的计算机上部署加密劫持用户文件的勒索软件。 Guardicore 北美安全研究副总裁 Amit Serper 表示，由于自身传播的能力较强，蠕虫僵尸网络对受害者造成的风险也更大。相较于此前的网络钓鱼和漏洞利用工具包，蠕虫感染技术的“运营成本”也更低。 作为一种“机会主义”的攻击形式，它会不断扫描互联网并寻找更易受攻击的机器，意味着攻击者可以一劳永逸。 根据 Guardicore 的互联网传感器监测数据，自 2020 年 5 月以来，Purple Fox 的感染率已飙升 600%，且实际数量可能会更高（过去一年总计超狗 90000 感染）。             （消息及封面来源：cnBeta）

据外媒报道，美检察官和法庭记录显示，一名俄罗斯男子在美国认罪，他曾向特斯拉一名员工提供100万美元让其用勒索软件将特斯拉位于内华达州的大型电动电池工厂的网络瘫痪，另外还借此盗取该公司的机密信息以进行进一步的敲诈勒索。 Egor Igorevich Kriuchkov于当地时间周四在美国地方法院认罪。网络安全专家称Kriuchkov承担的风险是特殊的。法院为其指定的联邦公设辩护律师Chris Frey拒绝对外界置评。 美检察官指控Kriuchkov代表国外同谋者试图通过面对面的贿赂来招募一名内部人员来植入勒索软件。据悉，这种软件会破坏目标网络上的数据，其只有通过攻击者提供的软件密钥才能解锁。通常情况下，从安全的避风港操作的勒索软件团伙会通过互联网侵入受害者的网络并在激活勒索软件之前下载数据。 对此，杀毒软件公司EMSIsoft网络安全分析师Brett Callow评论道：“他们冒这样的风险或许可以表明，这是一次旨在获取信息的情报行动，而非旨在获取金钱的勒索行动…也有可能是犯罪分子认为赌博是值得的并决定掷骰子。” 网络安全公司FireEye首席技术官Charles Carmakal对此表示赞同。他说道：“你可以在几千英里以外的地方进行，而这不需要承担任何资产风险。” FBI表示，这名未透露姓名的潜在招募者通知了特斯拉并跟联邦调查局合作从而在造成任何损害之前使得这场阴谋被阻止了。 去年9月，27岁的Kriuchkov告诉法官，他知道俄罗斯政府知道他的案子。但美检察官和FBI没有指控他跟克里姆林宫存在联系。Kriuchkov目前被关押在雷诺的瓦肖县监狱。 Kriuchkov承认故意破坏一台受保护的电脑，这可能使他面临最高5年的监禁和25万美元的罚款。然而根据书面认罪协议，他将只需面临不到10个月的刑期。 自8月在洛杉矶被捕以来，他已经被拘留了7个月。联邦当局称，他当时正前往机场准备飞往国外。 法庭文件还显示，去年7月和8月，Kriuchkov持俄罗斯护照和旅游签证在美国呆了五个多星期，当时他试图招募一名被认定为为电脑安装黑客软件的雇员。这名未被确认身份的员工将收到用数字加密货币比特币支付的款项。 本案中没有其他同谋嫌疑人受到指控。不过根据法庭记录目前还不清楚资金是否易手。           （消息及封面来源：cnBeta）

近日，NHS Horizons官员的推特帐户被黑客入侵后被用来宣传PS5。据BBC报道称，NHS Horizons高官Helen Bevan发现她的两个推特帐户遭到了黑客的攻击，黑客在黑入后把头像改成了PS5的标识。 由于Bevan没有开启双重身份验证，帐号在经历了几天后才被找回。找回后Bevan发现在私信中有不少人向她询问关于PS5的具体情况。 在随后的推文中，Bevan表示，她希望其他人引以为戒，在推特账户上开启双重身份验证来避免类似的情况。           （消息及封面来源：cnBeta）