近日，FBI（美国联邦调查局）在其2022年互联网犯罪报告中透露，勒索软件团伙2022年入侵了至少860个关键基础设施网络，与2021年（649个）相比大幅增长。 由于FBI的报告仅统计了向互联网犯罪投诉中心（IC3）报告的攻击，实际发生的攻击数量可能更高。 报告显示，在16个关键基础设施行业中，14个行业至少有1个实体在2022年遭受勒索软件攻击。 勒索软件受害者在2022年全年总共提交了2385起投诉，调整后的损失超过3400万美元。 按照攻击次数排名，2022年实施关键基础设施攻击的前三大勒索软件组织是Lockbit（149次），ALPHV/BlackCat（114次）和Hive（87次）。 此外，Ragnar Locker勒索软件至少入侵了52个关键基础设施实体，Cuba勒索软件攻击了至少49个美国关键基础设施实体，BlackByte勒索软件也成功入侵了至少三个关键基础设施实体。 FBI建议关键基础设施组织不要向网络犯罪分子支付赎金，因为付款并不能保证受害者会恢复他们的文件，反而会鼓励进一步的攻击，并且赎金很可能会被用来资助额外的攻击。 FBI还分享了勒索软件攻击防御清单： 更新操作系统和软件。 实施用户培训和网络钓鱼练习，以提高对可疑链接和附件风险的认识。 如果使用远程桌面协议（RDP），请保护并监视它。 对数据进行脱机备份。 CISA（关键基础设施管理局）本周一宣布，该机构自2023年1月30日以来一直在扫描关键基础设施实体的网络，查找易受勒索软件攻击的设备，在黑客入侵之前发出警告，帮助关键基础设施实体修复漏洞。     转自 GoUpSec，原文链接：https://mp.weixin.qq.com/s/nN0sOWXfW6ieic-qIeZ5Nw 封面来源于网络，如有侵权请联系删除  

近日，Morphisec 的网络安全研究人员发现了一种新的高级信息窃取程序，称为 SYS01 窃取程序，自 2022 年 11 月以来，该程序被用于针对关键政府基础设施员工、制造公司和其他部门的攻击。 专家们发现 SYS01 窃取程序与 Bitdefender 研究人员发现的另一种信息窃取恶意软件（跟踪为 S1deload）之间存在相似之处。“我们已经看到 SYS01 窃取者攻击关键的政府基础设施员工、制造公司和其他行业。该活动背后的威胁行为者通过使用谷歌广告和虚假的 Facebook 个人资料来瞄准 Facebook 商业账户，这些账户宣传游戏、成人内容和破解软件等内容，以引诱受害者下载恶意文件。该攻击旨在窃取敏感信息，包括登录数据、cookie 以及 Facebook 广告和企业帐户信息。” 专家报告说，该活动于2022年5月首次被发现，Zscaler 研究人员将其与Zscaler 的Ducktail 行动联系起来 。2022 年 7 月，WithSecure（前身为 F-Secure Business）的研究人员首次分析了DUCKTAIL 活动，该活动针对在 Facebook 的商业和广告平台上运营的个人和组织。 攻击链首先引诱受害者点击虚假 Facebook 个人资料或广告中的 URL，以下载假装有破解软件、游戏、电影等的 ZIP 文件。 打开 ZIP 文件后，将执行加载程序（通常采用合法 C# 应用程序的形式）。该应用程序容易受到 DLL side-loading的攻击，这是一种用于在调用合法应用程序时加载恶意 DLL 的技术。 专家观察到威胁行为者滥用合法应用程序 Western Digital 的 WDSyncService.exe 和 Garmin 的 ElevatedInstaller.exe 来旁加载恶意负载。 最后一个阶段的恶意软件是基于 PHP 的 SYS01stealer 恶意软件，它能够窃取浏览器 cookie 并滥用经过身份验证的 Facebook 会话来窃取受害者 Facebook 帐户中的信息。 最终目标是劫持受害者管理的 Facebook 商业账户。 为了从受害者那里窃取 Facebook 会话 cookie，恶意软件会扫描机器以查找流行的浏览器，包括 Google Chrome、Microsoft Edge、Brave Browser 和 Firefox。对于它找到的每个浏览器，它都会提取所有存储的 cookie，包括任何 Facebook 会话 cookie。 该恶意软件还从受害者的个人 Facebook 帐户中窃取信息，包括姓名、电子邮件地址、出生日期和用户 ID，以及其他数据，例如 2FA 代码、用户代理、IP 地址和地理位置 该恶意软件还能够将文件从受感染的系统上传到 C2 服务器，并执行 C&C 发送的命令。恶意代码还支持更新机制。 “帮助防止 SYS01 窃取者的基本步骤包括实施零信任政策和限制用户下载和安装程序的权利。SYS01 窃取者本质上依赖于社会工程活动，因此培训用户了解对手使用的技巧非常重要，这样他们就知道如何发现他们。” Morphisec 总结道，它还提供了妥协指标 (IoC)。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/SXnDLFpIgEZABFAJEK7MqQ 封面来源于网络，如有侵权请联系删除

作为美国白宫保护国家关键基础设施免受民族国家攻击及其他网络威胁侵扰的总体举措之一，联邦政府开始要求各州评估其饮用水系统的网络安全能力。 美国环境保护署（EPA，以下简称环保署）梳理了公共供水系统官员在饮用水保护方面应当采取的步骤，并要求在供水系统的“卫生检查”中强制纳入网络安全评估。 在上周五（3月3日）发布的这些要求前，环保署进行了历时数月的安全调查工作。调查结果显示，虽然许多公共供水系统（PWS）都制定了网络安全计划，但仍有相当一部分系统没有。 环保署负责水资源的助理署长Radhika Fox在一份备忘录中写道，包括公共供水系统在内的美国关键基础设施面临日益增长的攻击威胁，但表现并不理想。这份备忘录名为《在卫生检查或类似过程中解决公共供水系统网络安全问题》。 Fox指出，“如今，公共供水系统经常成为恶意网络活动的目标。安全饮用水的处理和分配，面临着等同甚至高于物理形式攻击的网络风险水平。” “因此需要强调，各州必须在卫生检查期间对供水系统的装置及运行状况进行评估，这将有助于降低供水系统被成功攻击的可能性，并在发生网络事件时提高设施的恢复能力。” 拼凑而成的供水体系 这项调查凸显出美国饮用水供应环境“东拼西凑”的特性。也正是这一特性，导致网络安全标准的制定面临挑战。 根据美国参议院共和党政策委员会去年发布的一份报告，全美约有15.3万个公共饮用水系统，为80%的美国人口提供饮用水资源。 安全软件厂商Tripwire在2022年9月一份报告中表示，美国许多供水系统“规模很小，服务于低密度社区且运营预算有限。供水设施覆盖范围的分散，再加上低预算和专业技术知识不足，意味着其中大量系统已经陈旧过时且缺乏维护。” 令人头疼的不只是供水系统的数量。环保署的Fox表示，过去二十年间，公共供水管理者越来越依赖电子工具来操作其供水系统，但这些电子系统现在极易受到网络攻击影响。 供水与废水系统行业的重要组织水业协调委员会曾在2021年的报告中指出，该行业应当从培训到教育、再到评估和工具，将网络安全视为重中之重。 曾发生过安全事件 2021年，堪萨斯州埃尔斯沃思Post Rock农村水区的一名前雇员面临指控，涉嫌远程访问并试图关闭供水系统。 同年，未知人员远程访问了佛罗里达州奥兹马尔的供水系统，并试图将氢氧化钠含量提高到正常量的100倍以上来毒化水质。 目前，环保署正在敦促所有公共供水系统，要求建立起针对此类攻击的保护措施。 负责网络与新兴技术的副国家安全顾问Anne Neuberger在备忘录中指出，“美国人民应该对自己的供水系统在网络攻击下的恢复能力充满信心。”她还提到，环保署提出的方案预设了灵活空间，供水系统管理员可以通过细节调整在保持安全供应的同时符合自身实际。 命令已经下达 根据环保署的要求，如果公共供水系统在运营当中使用了工业控制系统（ICS）等运营技术，那么作为大规模卫生检查的一部分，评估工作必须涵盖对实践和控制等运营技术的网络安全保护。 如果在网络安全保护中发现“重大缺陷”，例如设计/运营缺陷，水处理、贮存或分配系统故障等，则所在州必须保证公共供水系统解决它。 环保署也为部分组织提供更灵活的回旋空间，具体取决于之前实施的计划，包括允许供水系统运营商对其系统开展自我评估、由第三方负责评估或者由各州进行评估。 环保署还提出通过饮用水州循环基金和大中型饮用水系统基础设施恢复力与可持续性计划等，为公共供水系统提供培训、技术援助和财务支持。 在拜登政府的领导下，网络安全和基础设施安全局（CISA）及其他政府实体一直在努力加强16个关键基础设施领域的网络安全水平，包括化工、石油、电力、天然气和水资源等。这是白宫于2021年启动的工业控制系统网络安全计划的一部分。 这项计划是在此前亲俄黑客团伙DarkSide对科洛尼尔管道运输公司发动勒索软件攻击后制定的，此次攻击导致美国东海岸多个主要市场的燃油供应发生中断。不久后，全球肉类加工公司JBS Foods也遭遇复杂网络攻击，美国、加拿大及澳大利亚的多处设施受到影响。     转自 安全内参，原文链接：https://www.secrss.com/articles/52577 封面来源于网络，如有侵权请联系删除

上周五晚以来，百慕大地区发生大面积停电，并导致该岛的互联网与电话服务无法正常使用。 当地政府称，问题根源是百慕大唯一电力供应商Belco遭遇“严重事故”，并建议客户“拔掉所有敏感的电气设备”，避免工作人员的连夜抢修造成用电器损坏。 百慕大位于北大西洋西部，归属北美洲，是英国的海外自治领土，当地居民约64000人。 电力中断：政府号召民众拔掉电器插头 上周五傍晚，百慕大唯一的电力供应商Belco表示正努力解决这起影响全岛的“大规模断电”。 百慕大政府确认，该电力供应商发生了“严重事故”，并发布了进一步指导意见。 注：百慕大政府获悉Belco发生严重事故，导致全岛停电。Belco目前正在努力恢复供电。 公告还指出，“百慕大安全部长Michael Weeks一直在关注最新进展。” “目前，所有政府办公室均已关闭。这里呼吁公众拔掉敏感设备的电源，后续消息将通过100.1 FM紧急广播（站）进行播报。” 之所以强调拔掉电器插头，是因为停电后经常出现电涌，很可能损坏笔记本电脑、手机、医疗设备等对电压较为敏感的设备。 百慕大政府还要求居民保持道路通畅，并且不要拨打Belco的955热线上报停电问题。 图：百慕大各区域停电示意图   停电影响到互联网与电话服务 报告显示，此次大规模停电影响到百慕大地区的大部分互联网连接，部分客户甚至无法正常拨打电话。 互联网状态监测组织NetBlocks证实，在断电之后数小时，岛上互联网连接已降至正常水平的30%左右。Cloudflare Radar随后也观察到，该地区互联网流量有明显下降。 注：确认！大规模停电导致百慕大大部分地区的互联网连接中断；实时网络数据显示，当地网络连接降至正常水平的30%左右；与此同时，有报道称供电服务商Belco发生一起严重事故。 Belco最新上报的停电地图共涉及4464名客户。截至百慕大当地时间上周五晚8点30分，Belco公司已经为约90%的客户恢复了供电，到晚间9点45分所有线路均已恢复。仍未获得供电的客户现可拨打955热线联系。 到当晚11：00左右，Cloudflare Radar观察到互联网流量水平逐渐恢复正常。 Belco公司总裁Wayne Caines在声明中表示，“我们将员工和公众的安全放在第一位。我也很高兴向大家报告，公司全体员工都受到关注和保护、安全无虞。” 但目前还不清楚，这起神秘的大规模断电事件因何而起。 “对于今天停电造成的不便，我真诚向我们的客户道歉。我们将对此次停电进行根本原因分析，并在适当时发布结果。感谢我们Belco的员工们迅速采取行动，以专业的态度快速安全地恢复了供电。” 2020年12月，Belco也曾遭遇过一次全岛大停电，原因是工作人员在执行标准操作程序时引发了电站设备故障。     转自 安全内参，原文链接：https://www.secrss.com/articles/51617 封面来源于网络，如有侵权请联系删除

南美洲国家哥伦比亚的能源巨头Empresas Publicas de Medellin (EPM)近日遭到网络攻击。穆迪评级称，这起事件可能影响其信用水平。该事件为关键基础设施行业敲响警钟，提醒相关企业应制定行之有效的缓解措施与漏洞管理计划。 EPM是哥伦比亚最大的公共电力、水与天然气供应商之一。据报道该公司在12月13日遭受勒索软件攻击，导致公司网站、移动应用、支付网关以及内联网运营中断。穆迪称EPM正在努力处置善后工作，但攻击事实可能影响其信用评分。 12月20日，穆迪评级发布报告称，“虽然EPM没有对攻击的严重性发表评论，但勒索软件攻击可能导致运营中断，迫使企业将本该自动执行的流程转为成本更高、速度更慢的手动模式——这会损害其信用评级。” EPM的危机也给电力、天然气和供水等关键基础设施行业敲响了警钟。在2022年的网络热力图中，穆迪确认这些领域将面临极高的网络攻击风险。 穆迪在报告中提到，“这类关键基础设施企业在整体经济中具有重要的系统性作用，也在迅速向服务体系内引入数字技术。但与银行、电信等其他同样面临高攻击风险的行业相比，关基领域的网络防御实践仅处于中等水平。” 根据穆迪的说法，衡量网络防御实践是否健全的关键指标之一，就是补丁修复速度——即相关企业能否在勒索攻击等安全事件期间及时修复已知漏洞。 具体而言，网络安全评级与分析厂商、穆迪合作伙伴BitSight公司的首席风险官Derek Vadala认为，补丁修复速度与遭遇勒索攻击的几率之间存在着很强的相关性。全球最大保险经纪公司威达信集团（Marsh McLennan）在最近的一项独立研究中，也证实了这种相关性。 在网络防御实践方面，EPM在BitSight的近期评级中只得到了“C”，表明该公司沦为攻击目标的可能性相当于评级为“A”的组织的近七倍。 穆迪指出，“虽然还不清楚攻击者如何渗透EPM网络，也必须承认恶意黑客也许并未利用未经补丁修复的系统，但补丁安装速度太慢无疑代表着EPM在现行网安实践方面存在不足之处。” 受此次勒索攻击影响，穆迪公司暂未对EPM做出信用评级。 穆迪高级副总裁Gerry Granovsky表示，穆迪始终关注网络风险带来的长期影响。如果风险确对业务运营产生持续压力，则穆迪可能会下调组织评级。   转自 安全内参，原文链接：https://www.secrss.com/articles/50449 封面来源于网络，如有侵权请联系删除