警告:针对 ASUSTOR NAS 设备的 Deadbolt 勒索软件
Hackernews 编译,转载请注明出处: ASUSTOR 网络附属存储(NAS)设备已经成为 Deadbolt 勒索软件的最新受害者,不到一个月前,类似的攻击受害者是QNAP 网络附加存储设备。 为了应对感染,该公司发布了固件更新(ADM 4.0.4.RQO2)来“解决相关的安全问题”该公司还敦促用户采取以下行动,以保持数据安全: 更改密码 使用强密码 更改默认 HTTP 和 HTTPS 端口。默认端口分别为8000和8001 更改 web 服务器端口(默认端口为80和443) 关闭终端/SSH 和 SFTP 服务以及其他您不使用的服务,并 定期备份并确保备份是最新的 这些攻击主要影响运行 ADM 操作系统的网络公开 ASUSTOR NAS 模型,包括但不限于 AS5104T、 AS5304T、 AS6404T、 AS7004T、 AS5202T、 AS6302T 和 AS1104T。 就像针对 QNAP NAS 设备的入侵一样,黑客声称使用了一个0day漏洞来加密 ASUSTOR NAS 设备,要求受害者支付0.03比特币(约合1150美元)来恢复访问权限。 勒索软件运营商在发给 ASUSTOR 的另一条信息中表示,如果该公司支付比特币7.5比特币,他们愿意分享该漏洞的详细信息,此外,他们还愿意出售通用解密密钥,总金额为50btc。 使用的安全漏洞的具体细节尚不清楚,但是我们怀疑攻击向量与EZ Connect 功能中的一个漏洞有关,该漏洞允许远程访问 NAS 设备,该公司已敦促禁用该功能作为预防措施。 消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文
CISA、FBI、NSA 就勒索软件攻击严重增加发布警告
Hackernews 编译,转载请注明出处: 澳大利亚、英国和美国的网络安全部门发布了一份联合警告,称2021年针对全球关键基础设施组织的复杂、高影响力的勒索软件攻击将有所增加。 这些事件针对的行业范围很广,包括国防、应急服务、农业、政府设施、 IT、医疗保健、金融服务、教育、能源、慈善机构、法律机构和公共服务。 “勒索软件的策略和技术在2021年继续发展,这表明勒索软件威胁组织的技术日益复杂,对全球组织的勒索软件威胁也在增加,”这些安全部门在联合公报中说。 鱼叉式网络钓鱼(Spear-phishing)、窃取或暴力强制远程桌面协议(RDP)凭证以及利用软件漏洞成为最值得注意的三大感染媒介,这些媒介被用来在受到攻击的网络上部署勒索软件,就连这种犯罪商业模式已经演变成一个由不同类型的黑客主导的“专业”市场,以获得初始访问权、谈判赎金和解决钱款纠纷。 但随着去年对 Colonial Pipeline、 JBS 和 Kaseya 的高调攻击,勒索软件黑客在2021年下半年转移了对美国“大猎物”的追捕,将重点放在中等规模的受害者身上,以躲避执法部门的监视。 “在对受害者网络进行加密之后,勒索软件黑客越来越多地使用‘三重勒索’,威胁要(1)公开被盗的敏感信息,(2)中断受害者的互联网接入,和/或(3)向受害者的合作伙伴、股东或供应商通报此事。” 根据 Syhunt 本周发布的一份新报告,从2019年1月到2022年1月,勒索软件组织从受害者组织中窃取了超过150tb 的数据,仅 REvil 就占了该组织从282名受害者那里窃取的所有被盗信息中的44.1 TB。 勒索软件集团采取的扩大影响的其他策略包括: 利用已知的漏洞攻击云基础设施; 通过一个初始入侵攻击托管服务提供商(MSPs)访问多个受害者; 部署用于破坏工业流程的代码; 毒害软件供应链; 以及在节假日和周末进行攻击。 为了减少和减轻勒索软件攻击的可能性和影响,各组织积极采取行动ーー 保持所有操作系统和软件的更新, 通过内部网络限制对资源的访问,特别是限制 RDP 和使用虚拟桌面基础设施, 提高用户对网络钓鱼的风险的认识, 使用强大、独特的密码和双重身份验证,以保护账户免受接管攻击, 加密cloud中的数据, 实现网络分割, 禁用不必要的命令行实用程序,并限制脚本编写活动和权限, 对特权帐户访问实施时间限制,以及 保持数据的脱机(即物理断开)备份 “犯罪活动的动机是金钱利益,所以支付赎金可能会鼓励对手攻击更多的组织,或鼓励网络犯罪分子参与分发勒索软件,”该机构警告说。”支付赎金也不能保证受害者的档案会被找回。此外,减少勒索软件威胁行为者的经济收益将有助于打破勒索软件犯罪商业模式。” 消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文
恶意软件开发者主动公开 Maze/Egregor/Sekhmet 解密密钥
昨晚,据称是恶意软件开发者在国外 BleepingComputer 论坛上发帖,公开了 Maze、Egregor 和 Sekhmet 勒索软件操作的主解密密钥。经安全公司 Emsisoft 确认这些解密密钥是合法的,该公司勒索软件专家和威胁分析师 Brett Callow 表示解密密钥的发布是高压政策下让网络犯罪分子已经感到担忧。 Maze 勒索软件于 2019 年 5 月开始运作,并迅速成名,因为他们负责使用现在许多勒索软件运作所使用的数据盗窃和双重勒索战术。在 Maze 于 2020 年 10 月宣布关闭后,他们在 9 月重新命名为 Egregor,后来在成员在乌克兰被捕后,他们消失了。Sekhmet行动在某种程度上是一个例外,因为它在2020年3月启动,而Maze仍在活动。 在 14 个月之后,上述三款勒索软件的解密密钥由一名网名为“Topleak”的用户泄露,他自称是所有三款勒索软件的开发者。 发帖人说,这是一次有计划的泄漏,与最近的执法行动没有关系,这些行动导致服务器被查封,赎金软件的附属公司被逮捕。 “Topleak”表示:“公开解密密钥是因为引起太多的线索,而且大部分都是假的,所以有必要强调这是一次有计划的泄漏,与最近的逮捕和取缔行动没有任何联系”。他们进一步表示,他们的团队成员都不会再回到勒索软件领域,而且他们销毁了勒索软件的所有源代码。 (消息及封面来源:cnBeta)
半数北美企业高管与雇员收到过黑客提出的协助发起勒索软件攻击请求
为应对近年来不断增长的勒索软件攻击,越来越多的企业 IT 高管和员工,已经收到了专业人士的相关安全建议。Hitachi ID 刚刚公布了针对北美企业的最新调查报告,其中强调了内外部的 IT 安全措施需求。可知有 65% 的受访者表示,他们有被黑客接近,试图引诱他们参与谋划针对自家企业的勒索软件攻击。 (来自:Hitachi ID) 与 2021 年 11 月的调查数据相比,这一比例增加了 17% 。只有 27% 的受访者表示其从未接触过,另有 8% 的人回答“不确定”。 据悉,黑客会尝试利用现金或比特币来贿赂内鬼。金额通常不超过 50 万美元,但也有一小部分会超过百万。 约有半数受访者会向联邦执法部门上报攻击者的这一企图,另有 18% 的人会向内外部汇报。 此外 38% 受访者表示其公司受到过勒索软件攻击,且那些试图被收买的人,后来几乎一半都成为了勒索软件攻击的受害者。 最后,大多数“攻击请求”(59%)是通过电子邮件渗透进来的,其余还包括电话 / 社交媒体。 半数受访者表示他们对来自内部和外部的安全威胁表示关切; 另有超过 1/3 的受访者表示只担心来自外部的安全威胁。 (消息及封面来源:cnBeta)
报告:医院处于网络攻击的高风险中,但患者没有意识到
俄亥俄州朴茨茅斯的一家非营利性医院–南方俄亥俄医疗中心在当地时间周四遭到网络攻击后取消了今日(当地时间 1月12日 )的预约并将救护车改道行驶。这是过去两年中对医疗机构一系列不断升级的攻击的一部分–这一趋势可能对病人护理产生严重后果。 资料图 但根据网络安全公司Armis的一份新报告,虽然信息技术专家清楚地意识到损害病人数据和关闭计算机系统的网络攻击的风险正在上升,但病人似乎并不清楚。事实上,在新报告中接受调查的公众中,超60%的人称他们在过去两年中没有听说过任何医疗领域的网络攻击。 尽管2020年对医疗机构的网络攻击增加了一倍,像对连锁医院Universal Health Services的攻击这样高调的事件以及来自使用勒索软件Ryuk的团体的重大威胁。COVID-19大流行期间的攻击规模令专家们震惊,他们表示,勒索软件团伙比以前更积极地针对医院。跟对银行或学校的攻击不同,这些攻击也很常见,有可能直接伤害到人。 网络安全咨询公司CynergisTek的CEO Caleb Barlow去年告诉The Verge:“它跨越了一条我认为整个网络安全界都认为不会很快被跨越的界限。” Armis的报告调查了400名医疗行业的IT专业人士和2000多名可能成为美国各地医疗机构病人的普通民众。虽然被调查的人数不多,但调查结果表明,公众一般不知道医疗行业的网络攻击,除非他们直接受到网络攻击的影响。 虽然61%的受访潜在患者没有听说过近年来医疗行业的网络攻击,但约有1/3的受访者表示,他们曾是医疗系统网络攻击的受害者。 Armis的医疗保健首席技术官Oscar Miranda表示:“对医院系统的攻击在直接影响到你之前真的不是最重要的。” 该报告还指出了人们对医疗网络攻击的认识和他们对该问题的关注程度之间的差距。大约一半的受访者表示,如果发生网络攻击他们会更换医院,超70%的人说他们认为攻击会对他们的治疗产生影响。 这些担忧是有道理的:医疗机构表示,勒索软件会拖延病人的手术并可能导致住院时间延长。美国网络安全和基础设施安全局的一项分析也表明,在COVID-19大流行期间,跟勒索软件攻击作斗争的医院比没有处理过的医院更快达到与超额死亡有关的临界点。 网络安全历来不是医疗机构的优先事项,许多医疗机构没有资源来投资该领域。但在过去的两年里,对医院的勒索软件攻击激增,再加上新的研究显示网络攻击和健康结果之间的联系正在推动集团做出改变。在Armis的调查中,3/4的IT专家表示,关于勒索软件攻击的新闻的稳定脉动导致推动了对网络安全的更多投资。 Miranda说道:“我相信我们在最终真正解决勒索软件方面正在取得进展。” (消息及封面来源:cnBeta)
欧洲刑警组织宣布已逮捕 7 名 REvil/GandCrab 勒索软件关联嫌疑人
欧洲刑警组织(Europol)今日宣布逮捕了7名嫌疑人,他们以一个大型勒索软件卡特尔组织“会员(affiliates)”(合作伙伴)的身份工作,自2019年初以来帮助实施了7000多次攻击。这些嫌疑人在REvil (Sodinokibi)和GandCrab勒索软件即服务(RaaS)的部分业务中工作。 据信,REvil和GandCrab都是由同一批操作的,他们创建了赎金软件代码以提供给其他网络犯罪分子出租。 这些租赁团体将策划对公司的入侵、部署勒索软件、要求支付赎金,然后跟REvil/GandCrab的编码者分享利润。 Europol称,自2019年以来,这七名嫌疑人经手过的攻击总共要求的赎金超过了2亿欧元。 自今年2月以来,Europol表示,它一直在跟执法机构和Bitdefender、KPN和McAfee等安全公司合作以逮捕其中一些会员。根据Europol的说法,逮捕行动发生在: 2月、4月、10月–三名REvil和GandCrab会员在韩国被捕; 10月–一名REvil会员在波兰被捕(因Kaseya REvil攻击而被指控); 11月4日–两名REvil成员在罗马尼亚康斯坦察被捕; 11月4日–一名GandCrab成员在科威特被捕。 这些逮捕行动是在以美国为首的西方国家今年夏天早些时候承诺打击勒索软件团伙之后进行的。 在决定打击勒索软件运营商之前,勒索软件攻击在今年达到了顶峰,一些团体发起的攻击使行业部门瘫痪了好几天–如今年5月对Colonial Pipeline的攻击,该攻击迫使美国东海岸45%的燃料供应停止。 参与由Europol领导的打击GandCrab/REvil团伙的Bitdefender也有在9月16日为过去的REvil受害者发布了一个通用解密器。这家罗马尼亚公司还发布了针对GandCrab版本的免费解密器,所有这些都可以从NoMoreRansom门户网站下载。 2020年8月,8名GangCrab会员在白俄罗斯被捕,但该次行动并不是Europol联合调查的一部分。 GandCrab和REvil行动的简短历史 GandCrab RaaS于2018年1月首次发布广告,它最初是一个普通的团体,他们将其代码出租给网络犯罪集团,后者使用带有恶意文件附件的垃圾邮件来感染用户。 该组织在2019年初转移了目标,当时他们开始跟一小群会员合作,在针对企业组织的攻击中以管理服务提供商为目标,希望从他们可以从小型家庭用户那里提取的小额赎金要求转移到他们可以从其网络瘫痪的公司那里索取更大的赎金。 由于这种新型攻击方法开始产生更大的利润,该组织在2019年5月关闭了他们的GandCrab行动,并在一个月后即2020年6月,发布了他们的赎金软件的重塑和改进版本。 被称为REvil或Sodinokibi,这个新RaaS门户网站只跟愿意攻击大公司的会员合作。多年来,REvil RaaS及其会员跟一些相当大的攻击公司有关,如苹果、宏基、阿根廷电信等等。 根据2021年2月发表的一份IBM报告,据信REvil行动仅在2020年就获得了约1.23亿美元的收入。 然而,今年5月和7月分别针对JBS Foods和Kaseya服务器的两次攻击越过了美国政府愿意接受的底线。JBS Foods的攻击造成了美国各地肉类供应的大规模中断,而对Kaseya服务器的攻击则在7月4日假期造成了全球数以千计的IT网络瘫痪。 该组织在一周后关闭,没有任何形式的解释,该组织的领导人–一个名为未知的人似乎从地下论坛消失了。 一些REvil编码员试图在9月恢复该行动,但他们因为一个未知的第三方劫持了其Tor服务器基础设施而在一个月后关闭。 路透社和《华盛顿邮报》的报道后来显示,到7月,该组织的服务器已经被一个外国执法机构入侵并反追踪。 而当该组织在9月卷土重来时,美国网络司令部劫持了它的服务器,并且前者并不知道执法部门的行动。不过这次劫持让REvil团伙受到惊吓,这似乎成为了最后的退休,而也可能是Europol和其他执法团体正在对他们迄今为止设法确定的GandCrab/REvil会员采取行动的原因。 (消息及封面来源:cnBeta)
BlackMatter 勒索软件营运者称因地方当局压力而停业
BlackMatter勒索软件背后的犯罪集团今天宣布计划关闭其业务,理由是来自地方当局的压力。该组织在其 “勒索软件即服 “门户后台发布的一条信息中宣布了其计划,其他犯罪集团通常在这里注册,以获得BlackMatter勒索软件的使用权。 这条消息是由vx-underground信息安全小组的一名成员获得。BlackMatter勒索软件背后的犯罪集团在其中表示,由于某些无法解决的情况,以及来自当局的压力,该项目被关闭。48小时后,整个基础设施将被关闭。 虽然该组织没有解释,但在过去两周发生了三个重大事件。其中第一个是来自微软和Gemini Advisory的报告,该报告将Darkside和BlackMatter创造者的FIN7网络犯罪集团与一家名为Bastion Secure的公共网络安全公司联系起来,据称他们通过该公司招募了不知情的合作者。 第二个事实是,安全公司EMSIsoft为BlackMatter勒索软件秘密开发了一个解密工具,该公司一直在秘密向受害者提供该工具,以避免他们支付该组织的赎金要求,使其利润受到影响。第三个是《纽约时报》本周日的一篇报道,宣布美国和俄罗斯已经开始了更紧密的合作,旨在打击基于俄罗斯的网络犯罪和勒索软件团伙等。这一点很重要,因为FIN7集团历来被认为是在俄罗斯境内运作。 FIN7最近的声明也是在今年夏天多个勒索软件行动的操作者和成员在世界各地被追捕和逮捕之后做出的。例如,在他们之前Darkside勒索软件中,FIN7集团的服务器被黑客攻击,并且加密货币资金被盗。在勒索软件团伙面临巨大压力的这段时期,今年的攻击达到了历史最高水平,一些攻击在全球造成了重大问题。这里的例子包括对Colonial Pipeline的Darkside勒索软件攻击(导致美国东海岸的燃料供应问题),对JBS食品公司的REvil攻击(破坏了整个美国的肉类供应),以及对Kaseya的REvil攻击(破坏了全球数以千计的公司)。 正如黑帽和DEF CON安全会议的创始人杰夫-莫斯今天早些时候在Twitter上所说,执法机构通常知道大多数勒索软件运营者的身份,但也知道由于俄罗斯的不合作行为,他们无法对一些团体下手,这种情况似乎正在改变。 (消息及封面来源:cnBeta)
FBI 发出警告:勒索软件集团正在利用财务信息进一步勒索受害者
FBI日前警告称,勒索软件集团正在瞄准涉及重大的、时间敏感的金融事件–如兼并和收购的公司,以此来胁迫受害者支付其赎金要求。FBI在本周写给私营公司的一份咨询中指出,网络犯罪分子在针对参与重大金融事件的公司时往往试图找到非公开信息,如果他们不支付赎金要求网络犯罪分子就会威胁公布这些信息。 “在最初的侦察阶段,网络犯罪分子会找出非公开的信息,他们威胁要发布这些信息或者在敲诈过程中把这些信息作为筹码诱使受害者遵守赎金要求,”FBI说道,“即将发生的可能影响受害者股票价值的事件如公告、兼并和收购,鼓励勒索软件行为者瞄准一个网络或在建立了访问权的情况下调整勒索的时间表。如果受害者不迅速支付赎金,勒索软件行为者将威胁公开披露这些信息,这会造成潜在的投资者反弹。” FBI还称,其已经发现了几起勒索软件集团利用正在进行的合并或收购谈判的信息对组织施加压力以支付费用的案例。 去年,REvil勒索软件集团的一个长期成员鼓励利用纳斯达克证券交易所作为一种方式来强行要求受害者付款。几周后,另一个勒索软件组织在跟该公司的谈判中引用了受害者的公开交易股票。据FBI披露称,当年晚些时候,对另一个勒索软件攻击的分析发现,黑客使用几个关键词在受害者的网络上搜索与向监管机构提交的财务文件和即将发布的新闻有关的非公开财务信息。 今年4月,DarkSide勒索软件集团–后来改名为BlackMatter–宣布,它正在寻求跟市场交易商合作以惩罚那些未能付款的受害者。在其现已经停用的博客上发布的一条信息中,他们敦促交易员联系并获得该团伙最新的企业受害者的内部消息以便他们能在任何数据被泄露和消息公开之前卖空股票。 “现在我们的团队和合作伙伴加密了许多在纳斯达克和其他证券交易所交易的公司,”俄罗斯黑客集团的一个帖子写道,“如果公司拒绝付款,我们准备在公布前提供信息,这样就有可能在股票的减价中赚取。” FBI长期以来一直在敦促各组织不要屈服于网络犯罪分子的赎金要求,因为这使黑客更有胆量瞄准更多的组织并资助其他犯罪活动,但它也指出,理解当企业面临无法运作时,高管们将评估所有选项以保护他们的股东、员工和客户。 这一警告则是在FBI警告称上述BlackMatter勒索软件集团已经针对被认为是关键基础设施的多个组织–包括美国食品和农业部门的两个组织后发出的。 (消息及封面来源:cnBeta)
勒索软件集团 Fin7 成立假公司 招募技术工人扩大犯罪规模
安全研究专家表示,一个知名俄罗斯勒索软件集团成立了假公司,以招募技术工人来扩大其犯罪企业。根据安全公司 Recorded Future 旗下 Gemini 咨询部门的一份新报告,这家假公司是由 Fin7 成立的。外界认为集团创建的恶意软件,在今年 5 月份让美国最大的燃料管道之一陷入瘫痪。 《华尔街日报》早些时候报道了这一诡计,包括一个看起来很专业的网站,声称该公司提供网络安全服务。Fin7 与针对全球数百家公司的黑客攻击有关,目标是主要零售商使用的销售点系统。据信,攻击 Colonial Pipeline 的软件就是由该集团开发的,导致该燃料管道公司被迫关闭运营,中断了对东南部部分地区的汽油输送。 研究人员说,该组织创建了一个名为 Bastion Secure 的假公司,以及一个配套的网站,公布了程序员、系统管理员和反向工程师的公开职位,以组建一个能够执行任务的团队,支持网络犯罪活动。Fin7 有伪装成真实公司的历史,导致研究人员相信该组织“正在利用虚构的 Bastion Secure 公司招募不知情的 IT 专家参与勒索软件攻击”。 报告指出,该组织的招聘工作是由“对相对廉价的熟练劳动力的渴望”所驱动,提供的起薪在每月 800 美元至 1200 美元之间。虽然这在一些东欧国家是一个合理的 IT 工作起薪,但这只是该组织从网络犯罪中获得的利润的“一小部分”。 在调查 Bastion Secure 的过程中,一位 Gemini 部门的消息人士在这家假公司申请了一份工作。虽然前两个阶段包括 IT 专家在面试过程中通常会有的任务,但在第三个阶段,研究人员写道:“立即就能看出该公司参与了犯罪活动”。 他们写道:“Bastion Secure 的代表对文件系统和备份特别感兴趣,这表明 Fin7 对进行勒索软件攻击比 POS 感染更感兴趣”。 研究人员写道:“有了心甘情愿的同伙,Fin7将被迫分享总额达数百万美元的赎金,而不知情的雇员将为月薪低至数千美元而工作,这与后苏联国家的劳动力市场是相称的”。 据司法部称,Fin7 至少从 2014 年开始活跃,被认为是最大的网络犯罪行动之一,攻击了超过100多家美国公司,重点是酒店、博彩机构和餐馆,包括对Chipotle、Chili’s和Arby’s的攻击。 (消息及封面来源:cnBeta)
Olympus 连续遭两次勒索软件攻击 在美国等多地系统被加密
据两位知情人士透露,针对日本科技巨头奥林巴斯(Olympus)的“持续”网络攻击是由一家俄罗斯恶意集团发起的,而该集团正被美国政府制裁。10 月 10 日发起的攻击中使用了名为 Macaw 的恶意软件新变种,将奥林巴斯在美国、加拿大和拉美的系统进行了加密。 图片来自于 WikiMedia Macaw 是 WastedLocker 恶意软件的一个新变种,而这两种恶意软件都是由 Evil Corp.创建的,这是一个总部设在俄罗斯的犯罪集团,在 2019 年受到了美国财政部的制裁。 这是该公司在几个月内遭受的第二次勒索软件攻击,此前,该公司在欧洲、中东和非洲的网络于 9 月被 BlackMatter 勒索软件攻击。(据了解,BlackMatter和Evil Corp.并无关联) 安全公司 Recorded Future 的高级威胁分析员 Allan Liska 告诉 TechCrunch:“奥林巴斯上个月被 BlackMatter 攻击,然后在一周左右后被 Macaw 攻击。Macaw 恶意软件在被黑的电脑上留下了一个赎金字条,声称已经从受害者那里窃取了数据”。 奥林巴斯在周二的一份声明中说,该公司正在调查“数据泄漏的可能性”,这是勒索软件集团的一种常见技术,被称为“双重勒索”,即黑客在加密受害者的网络之前窃取文件,并威胁说如果不支付解密文件的赎金,将在网上公布这些文件。 (消息及封面来源:cnBeta)