标签: 关键基础设施

FBI:勒索软件去年入侵了 860 个关键基础设施

近日,FBI(美国联邦调查局)在其2022年互联网犯罪报告中透露,勒索软件团伙2022年入侵了至少860个关键基础设施网络,与2021年(649个)相比大幅增长。 由于FBI的报告仅统计了向互联网犯罪投诉中心(IC3)报告的攻击,实际发生的攻击数量可能更高。 报告显示,在16个关键基础设施行业中,14个行业至少有1个实体在2022年遭受勒索软件攻击。 勒索软件受害者在2022年全年总共提交了2385起投诉,调整后的损失超过3400万美元。 按照攻击次数排名,2022年实施关键基础设施攻击的前三大勒索软件组织是Lockbit(149次),ALPHV/BlackCat(114次)和Hive(87次)。 此外,Ragnar Locker勒索软件至少入侵了52个关键基础设施实体,Cuba勒索软件攻击了至少49个美国关键基础设施实体,BlackByte勒索软件也成功入侵了至少三个关键基础设施实体。 FBI建议关键基础设施组织不要向网络犯罪分子支付赎金,因为付款并不能保证受害者会恢复他们的文件,反而会鼓励进一步的攻击,并且赎金很可能会被用来资助额外的攻击。 FBI还分享了勒索软件攻击防御清单: 更新操作系统和软件。 实施用户培训和网络钓鱼练习,以提高对可疑链接和附件风险的认识。 如果使用远程桌面协议(RDP),请保护并监视它。 对数据进行脱机备份。 CISA(关键基础设施管理局)本周一宣布,该机构自2023年1月30日以来一直在扫描关键基础设施实体的网络,查找易受勒索软件攻击的设备,在黑客入侵之前发出警告,帮助关键基础设施实体修复漏洞。     转自 GoUpSec,原文链接:https://mp.weixin.qq.com/s/nN0sOWXfW6ieic-qIeZ5Nw 封面来源于网络,如有侵权请联系删除  

小心!新的高级恶意软件专攻政府关基设施

近日,Morphisec 的网络安全研究人员发现了一种新的高级信息窃取程序,称为 SYS01 窃取程序,自 2022 年 11 月以来,该程序被用于针对关键政府基础设施员工、制造公司和其他部门的攻击。 专家们发现 SYS01 窃取程序与 Bitdefender 研究人员发现的另一种信息窃取恶意软件(跟踪为 S1deload)之间存在相似之处。“我们已经看到 SYS01 窃取者攻击关键的政府基础设施员工、制造公司和其他行业。该活动背后的威胁行为者通过使用谷歌广告和虚假的 Facebook 个人资料来瞄准 Facebook 商业账户,这些账户宣传游戏、成人内容和破解软件等内容,以引诱受害者下载恶意文件。该攻击旨在窃取敏感信息,包括登录数据、cookie 以及 Facebook 广告和企业帐户信息。” 专家报告说,该活动于2022年5月首次被发现,Zscaler 研究人员将其与Zscaler 的Ducktail 行动联系起来 。2022 年 7 月,WithSecure(前身为 F-Secure Business)的研究人员首次分析了DUCKTAIL 活动,该活动针对在 Facebook 的商业和广告平台上运营的个人和组织。 攻击链首先引诱受害者点击虚假 Facebook 个人资料或广告中的 URL,以下载假装有破解软件、游戏、电影等的 ZIP 文件。 打开 ZIP 文件后,将执行加载程序(通常采用合法 C# 应用程序的形式)。该应用程序容易受到 DLL side-loading的攻击,这是一种用于在调用合法应用程序时加载恶意 DLL 的技术。 专家观察到威胁行为者滥用合法应用程序 Western Digital 的 WDSyncService.exe 和 Garmin 的 ElevatedInstaller.exe 来旁加载恶意负载。 最后一个阶段的恶意软件是基于 PHP 的 SYS01stealer 恶意软件,它能够窃取浏览器 cookie 并滥用经过身份验证的 Facebook 会话来窃取受害者 Facebook 帐户中的信息。 最终目标是劫持受害者管理的 Facebook 商业账户。 为了从受害者那里窃取 Facebook 会话 cookie,恶意软件会扫描机器以查找流行的浏览器,包括 Google Chrome、Microsoft Edge、Brave Browser 和 Firefox。对于它找到的每个浏览器,它都会提取所有存储的 cookie,包括任何 Facebook 会话 cookie。 该恶意软件还从受害者的个人 Facebook 帐户中窃取信息,包括姓名、电子邮件地址、出生日期和用户 ID,以及其他数据,例如 2FA 代码、用户代理、IP 地址和地理位置 该恶意软件还能够将文件从受感染的系统上传到 C2 服务器,并执行 C&C 发送的命令。恶意代码还支持更新机制。 “帮助防止 SYS01 窃取者的基本步骤包括实施零信任政策和限制用户下载和安装程序的权利。SYS01 窃取者本质上依赖于社会工程活动,因此培训用户了解对手使用的技巧非常重要,这样他们就知道如何发现他们。” Morphisec 总结道,它还提供了妥协指标 (IoC)。     转自 E安全,原文链接:https://mp.weixin.qq.com/s/SXnDLFpIgEZABFAJEK7MqQ 封面来源于网络,如有侵权请联系删除

美国又一关基行业开展全国网络安全大检查

作为美国白宫保护国家关键基础设施免受民族国家攻击及其他网络威胁侵扰的总体举措之一,联邦政府开始要求各州评估其饮用水系统的网络安全能力。 美国环境保护署(EPA,以下简称环保署)梳理了公共供水系统官员在饮用水保护方面应当采取的步骤,并要求在供水系统的“卫生检查”中强制纳入网络安全评估。 在上周五(3月3日)发布的这些要求前,环保署进行了历时数月的安全调查工作。调查结果显示,虽然许多公共供水系统(PWS)都制定了网络安全计划,但仍有相当一部分系统没有。 环保署负责水资源的助理署长Radhika Fox在一份备忘录中写道,包括公共供水系统在内的美国关键基础设施面临日益增长的攻击威胁,但表现并不理想。这份备忘录名为《在卫生检查或类似过程中解决公共供水系统网络安全问题》。 Fox指出,“如今,公共供水系统经常成为恶意网络活动的目标。安全饮用水的处理和分配,面临着等同甚至高于物理形式攻击的网络风险水平。” “因此需要强调,各州必须在卫生检查期间对供水系统的装置及运行状况进行评估,这将有助于降低供水系统被成功攻击的可能性,并在发生网络事件时提高设施的恢复能力。” 拼凑而成的供水体系 这项调查凸显出美国饮用水供应环境“东拼西凑”的特性。也正是这一特性,导致网络安全标准的制定面临挑战。 根据美国参议院共和党政策委员会去年发布的一份报告,全美约有15.3万个公共饮用水系统,为80%的美国人口提供饮用水资源。 安全软件厂商Tripwire在2022年9月一份报告中表示,美国许多供水系统“规模很小,服务于低密度社区且运营预算有限。供水设施覆盖范围的分散,再加上低预算和专业技术知识不足,意味着其中大量系统已经陈旧过时且缺乏维护。” 令人头疼的不只是供水系统的数量。环保署的Fox表示,过去二十年间,公共供水管理者越来越依赖电子工具来操作其供水系统,但这些电子系统现在极易受到网络攻击影响。 供水与废水系统行业的重要组织水业协调委员会曾在2021年的报告中指出,该行业应当从培训到教育、再到评估和工具,将网络安全视为重中之重。 曾发生过安全事件 2021年,堪萨斯州埃尔斯沃思Post Rock农村水区的一名前雇员面临指控,涉嫌远程访问并试图关闭供水系统。 同年,未知人员远程访问了佛罗里达州奥兹马尔的供水系统,并试图将氢氧化钠含量提高到正常量的100倍以上来毒化水质。 目前,环保署正在敦促所有公共供水系统,要求建立起针对此类攻击的保护措施。 负责网络与新兴技术的副国家安全顾问Anne Neuberger在备忘录中指出,“美国人民应该对自己的供水系统在网络攻击下的恢复能力充满信心。”她还提到,环保署提出的方案预设了灵活空间,供水系统管理员可以通过细节调整在保持安全供应的同时符合自身实际。 命令已经下达 根据环保署的要求,如果公共供水系统在运营当中使用了工业控制系统(ICS)等运营技术,那么作为大规模卫生检查的一部分,评估工作必须涵盖对实践和控制等运营技术的网络安全保护。 如果在网络安全保护中发现“重大缺陷”,例如设计/运营缺陷,水处理、贮存或分配系统故障等,则所在州必须保证公共供水系统解决它。 环保署也为部分组织提供更灵活的回旋空间,具体取决于之前实施的计划,包括允许供水系统运营商对其系统开展自我评估、由第三方负责评估或者由各州进行评估。 环保署还提出通过饮用水州循环基金和大中型饮用水系统基础设施恢复力与可持续性计划等,为公共供水系统提供培训、技术援助和财务支持。 在拜登政府的领导下,网络安全和基础设施安全局(CISA)及其他政府实体一直在努力加强16个关键基础设施领域的网络安全水平,包括化工、石油、电力、天然气和水资源等。这是白宫于2021年启动的工业控制系统网络安全计划的一部分。 这项计划是在此前亲俄黑客团伙DarkSide对科洛尼尔管道运输公司发动勒索软件攻击后制定的,此次攻击导致美国东海岸多个主要市场的燃油供应发生中断。不久后,全球肉类加工公司JBS Foods也遭遇复杂网络攻击,美国、加拿大及澳大利亚的多处设施受到影响。     转自 安全内参,原文链接:https://www.secrss.com/articles/52577 封面来源于网络,如有侵权请联系删除

网电全面中断!这一地区关基设施突发“严重事故”

上周五晚以来,百慕大地区发生大面积停电,并导致该岛的互联网与电话服务无法正常使用。 当地政府称,问题根源是百慕大唯一电力供应商Belco遭遇“严重事故”,并建议客户“拔掉所有敏感的电气设备”,避免工作人员的连夜抢修造成用电器损坏。 百慕大位于北大西洋西部,归属北美洲,是英国的海外自治领土,当地居民约64000人。 电力中断:政府号召民众拔掉电器插头 上周五傍晚,百慕大唯一的电力供应商Belco表示正努力解决这起影响全岛的“大规模断电”。 百慕大政府确认,该电力供应商发生了“严重事故”,并发布了进一步指导意见。 注:百慕大政府获悉Belco发生严重事故,导致全岛停电。Belco目前正在努力恢复供电。 公告还指出,“百慕大安全部长Michael Weeks一直在关注最新进展。” “目前,所有政府办公室均已关闭。这里呼吁公众拔掉敏感设备的电源,后续消息将通过100.1 FM紧急广播(站)进行播报。” 之所以强调拔掉电器插头,是因为停电后经常出现电涌,很可能损坏笔记本电脑、手机、医疗设备等对电压较为敏感的设备。 百慕大政府还要求居民保持道路通畅,并且不要拨打Belco的955热线上报停电问题。 图:百慕大各区域停电示意图   停电影响到互联网与电话服务 报告显示,此次大规模停电影响到百慕大地区的大部分互联网连接,部分客户甚至无法正常拨打电话。 互联网状态监测组织NetBlocks证实,在断电之后数小时,岛上互联网连接已降至正常水平的30%左右。Cloudflare Radar随后也观察到,该地区互联网流量有明显下降。 注:确认!大规模停电导致百慕大大部分地区的互联网连接中断;实时网络数据显示,当地网络连接降至正常水平的30%左右;与此同时,有报道称供电服务商Belco发生一起严重事故。 Belco最新上报的停电地图共涉及4464名客户。截至百慕大当地时间上周五晚8点30分,Belco公司已经为约90%的客户恢复了供电,到晚间9点45分所有线路均已恢复。仍未获得供电的客户现可拨打955热线联系。 到当晚11:00左右,Cloudflare Radar观察到互联网流量水平逐渐恢复正常。 Belco公司总裁Wayne Caines在声明中表示,“我们将员工和公众的安全放在第一位。我也很高兴向大家报告,公司全体员工都受到关注和保护、安全无虞。” 但目前还不清楚,这起神秘的大规模断电事件因何而起。 “对于今天停电造成的不便,我真诚向我们的客户道歉。我们将对此次停电进行根本原因分析,并在适当时发布结果。感谢我们Belco的员工们迅速采取行动,以专业的态度快速安全地恢复了供电。” 2020年12月,Belco也曾遭遇过一次全岛大停电,原因是工作人员在执行标准操作程序时引发了电站设备故障。     转自 安全内参,原文链接:https://www.secrss.com/articles/51617 封面来源于网络,如有侵权请联系删除

关基保护重大事件!能源巨头因遭受勒索攻击影响信用评级

南美洲国家哥伦比亚的能源巨头Empresas Publicas de Medellin (EPM)近日遭到网络攻击。穆迪评级称,这起事件可能影响其信用水平。该事件为关键基础设施行业敲响警钟,提醒相关企业应制定行之有效的缓解措施与漏洞管理计划。 EPM是哥伦比亚最大的公共电力、水与天然气供应商之一。据报道该公司在12月13日遭受勒索软件攻击,导致公司网站、移动应用、支付网关以及内联网运营中断。穆迪称EPM正在努力处置善后工作,但攻击事实可能影响其信用评分。 12月20日,穆迪评级发布报告称,“虽然EPM没有对攻击的严重性发表评论,但勒索软件攻击可能导致运营中断,迫使企业将本该自动执行的流程转为成本更高、速度更慢的手动模式——这会损害其信用评级。” EPM的危机也给电力、天然气和供水等关键基础设施行业敲响了警钟。在2022年的网络热力图中,穆迪确认这些领域将面临极高的网络攻击风险。 穆迪在报告中提到,“这类关键基础设施企业在整体经济中具有重要的系统性作用,也在迅速向服务体系内引入数字技术。但与银行、电信等其他同样面临高攻击风险的行业相比,关基领域的网络防御实践仅处于中等水平。” 根据穆迪的说法,衡量网络防御实践是否健全的关键指标之一,就是补丁修复速度——即相关企业能否在勒索攻击等安全事件期间及时修复已知漏洞。 具体而言,网络安全评级与分析厂商、穆迪合作伙伴BitSight公司的首席风险官Derek Vadala认为,补丁修复速度与遭遇勒索攻击的几率之间存在着很强的相关性。全球最大保险经纪公司威达信集团(Marsh McLennan)在最近的一项独立研究中,也证实了这种相关性。 在网络防御实践方面,EPM在BitSight的近期评级中只得到了“C”,表明该公司沦为攻击目标的可能性相当于评级为“A”的组织的近七倍。 穆迪指出,“虽然还不清楚攻击者如何渗透EPM网络,也必须承认恶意黑客也许并未利用未经补丁修复的系统,但补丁安装速度太慢无疑代表着EPM在现行网安实践方面存在不足之处。” 受此次勒索攻击影响,穆迪公司暂未对EPM做出信用评级。 穆迪高级副总裁Gerry Granovsky表示,穆迪始终关注网络风险带来的长期影响。如果风险确对业务运营产生持续压力,则穆迪可能会下调组织评级。   转自 安全内参,原文链接:https://www.secrss.com/articles/50449 封面来源于网络,如有侵权请联系删除

思科智能安装协议遭到滥用,数十万关键基础设施倍感压力

外媒 4 月 6 日消息,思科发布安全公告称其智能安装(SMI)协议遭到滥用,数十万设备在线暴露。目前一些研究人员已经报告了用于智能安装客户端(也称为集成分支客户端(IBC))的智能安装协议可能会允许未经身份验证的远程攻击者更改启动配置文件并强制重新加载设备,在设备上加载新的 IOS 映像,以及在运行 Cisco IOS 和 IOS XE 软件的交换机上执行高权限 CLI 命令。 根据思科的说法,他们发现试图检测设备的互联网扫描量大幅增加,因为这些设备在完成安装后,其智能安装功能仍处于启用状态,并且没有适当的安全控制,以至于很可能容易让相关设备误用该功能。思科不认为这是 Cisco IOS,IOS XE 或智能安装功能本身中的漏洞,而是由于不要求通过设计进行身份验证的智能安装协议造成的。思科表示已经更新了“ 智能安装配置指南”,其中包含有关在客户基础设施中部署思科智能安装功能的最佳安全方案。 在 3 月底,思科修补了其 IOS 软件中的 30 多个漏洞,包括影响 Cisco IOS 软件和 Cisco IOS XE 软件智能安装功能的 CVE-2018-0171 漏洞。未经身份验证的远程攻击者可利用此漏洞重新加载易受攻击的设备或在受影响的设备上执行任意代码。 思科发布的安全公告显示该漏洞是由于分组数据验证不当造成的,攻击者可以通过向 TCP 端口 4786 上的受影响设备发送制作好的智能安装(SMI)协议来利用此漏洞。 目前专家已经确定了约 250,000 个具有 TCP 端口 4786 的易受攻击的思科设备。思科最近进行的一次扫描发现,有 168,000 个系统在线暴露。 思科安全公告: 《Cisco Smart Install Protocol Misuse》 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

美国参议员议案:美国政府应封杀华为和中兴网络设备

北京时间 2 月 8 日早间消息,美国两名共和党参议员周三提出一项议案,希望禁止美国政府购买或租用来自华为或中兴的电信设备。“ 华为相当于中国政府的一个部门,他们完全有能力通过黑入自家设备来窃取美国官员的信息。” 阿肯色州参议员汤姆·考顿(Tom Cotton)说,“ 还有很多公司能满足我们的技术需求,我们不能让给让中国这么容易窃听我们。” 华为和中兴尚未对此置评。美国政府 2012 年就曾对这两家公司展开调查,了解他们的设备是否为外国间谍提供机会,并威胁美国关键的基础设施。但两家公司始终否认这些指控。 考顿与佛罗里达州参议员马可·卢比奥(Marco Rubio)共同推出了这项议案,这与两名众议员今年 1 月提出的议案相似。 在涉及战略性行业的问题时,特朗普政府针对于中国的立场较为强硬。有知情人士称,今年早些时候,在多名国会议员提出反对后,AT&T 就被迫取消了与华为的手机零售合作协议。 美国政府还封杀了蚂蚁金服对速汇金的收购计划。国会议员还对美国企业表示,如果他们与华为或中国移动建立联系,就会对其与美国政府开展业务的能力造成影响。 稿源:cnBeta、,稿件以及封面源自网络;

美国 DHS 与 FBI 联合预警:黑客将针对美国能源工控企业展开新一轮网络攻击

据路透社报道,美国国土安全部(DHS)联合 FBI 近期发布了一份罕见的警示报告,宣称富有经验的黑客组织似乎正在瞄准美国能源和工控企业展开新一轮网络攻击。目前,最新迹象表明,网络攻击越来越成为危及电力行业和其他公共基础设施的主要威胁。 美国国土安全部和联邦调查局于 10 月 20 日晚发布的一份安全报告指出,核、能源、航空、水和关键基础设施制造行业已经成为黑客主要攻击目标,其最早可追溯至今年 5 月。然而,虽然这些机构警示黑客已经有针对性的破坏了国家部分网络系统,但研究人员尚未指明具体受害设备,也未描述任何破坏行动的成功案例。 调查显示,攻击者通过发送恶意电子邮件感染知名网站后进行网络攻击,以便获取访问目标计算机网络的登录凭证。目前,国土安全部的专家根据证据推测,这场攻击战役仍在进行,其黑客正针对他们的主要目标开展长期攻击活动。 原作者:EditorDavid ,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

英国制定新安全法案,加强关键基础设施网络防御体系

据外媒 8 月 8 日报道,英国政府于近期推出一项新安全法案,旨在保障国家关键基础设施安全。该法案指出,提供能源与交通等基本服务的供应商需要制定一份安全紧急方案,以解决电力故障或环境灾难所带来的严重影响。倘若此类公司未能有效实施网络安全措施,或将面临巨额罚款 ,其金额最高可达 1700 万英镑。目前,该法案集数字、文化、媒体与运动为一体,符合欧盟《网络与信息安全指令》( NIS 指令 )的要求并将于明年 5 月生效执行。 NIS 指令于 2016 年 7 月 6 日通过审核后在同年 8 月生效,旨在促进成员国安全战略协作与信息共享、提升欧盟网络安全水平。此外,欧盟成员国需要在 NIS 指令生效的 21 个月内将其纳入国家立法,并另有 6 个月可识别指令涉及的主体范围。 调查显示,由于英国提供关键基础设施的组织于近期在勒索软件 WannaCry 与 NotPetya 攻击事件中普遍遭受影响,因此政府不得不加快安全法案的制定。日前,英国政府发表声明:“ 罚款只是一时的手段,它并不适用于对风险进行充分评估、采取适当安全措施但仍遭受攻击的组织机构。” 英特尔首席技术官詹姆斯·查普尔(James Chappell)表示,虽然英国政府的提案比 NIS 指令更加严格,但该法案的制定并不是单纯的执行惩罚措施,而是为了促进提供关键基础设施的供应商加强网络防御体系。 原作者:John Leyden ,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。