CybSafe对报告给英国信息专员办公室（ICO）的事件的分析显示，2021年上半年，勒索软件攻击占所有报告的网络安全事件的22%。这比2020年上半年的11%有所上升。网络钓鱼仍然领先，占向ICO报告的所有网络安全案件的40%，比前一年的44%略有下降，但勒索软件现在已经挤到了第二位。 教育是受影响最严重的部门，在2021年上半年，勒索软件占了该领域32%的攻击事件比例，而前一年只有11%。随着许多学校急于过渡到远程学习，越来越多的攻击导致学校丢失课程作业、财务记录甚至COVID-19测试数据。 零售业和制造业也继续成为网络攻击的主要目标，在2021年上半年的所有报告事件中占20%。 CybSafe的首席执行官Oz Alashe表示勒索软件已经是一个重要的威胁，在过去一年中变得越来越普遍。最近对政府机构和医疗服务的攻击让我们看到了这种攻击的破坏性。在教育领域，向远程学习的快速转型已经在学校的防御中打开了新的漏洞，而勒索软件团伙已经非常乐意利用它们。 为了应对这种威胁，如果我们应该迎接真正的行为改变，需要超越原有框架的安全的意识练习，这些行为是我们防御此类恶意威胁的基础，在未来几年内，其重要性只会越来越大。 了解更多细节请访问CybSafe官方博客： https://www.cybsafe.com/community/blog/   （消息及封面来源：cnBeta）

据外媒ZDNet报道，巴西政府日前发布了一份说明，称其财政部内部网络在上周五（13日）遭到了勒索软件的攻击。根据巴西经济部的声明，巴西政府已经立即采取了初步措施来控制网络攻击的影响。到目前为止的初步评估发现，巴西财政部的结构化系统没有受到损害，例如与公共债务管理有关的平台。 巴西国家财政部秘书处和数字政府秘书处(DGS)的安全专家正在分析勒索软件攻击的影响。联邦警察也已被通知。该部门指出，关于该事件的新信息“将及时被披露，并具有适当的透明度”。 巴西财政部周一（16日）与巴西证券交易所联合发表的进一步声明指出，这次攻击没有“以任何方式”影响Tesouro Direto的运作–该计划使个人能够购买巴西政府债券。 巴西财政部的事件是在2020年11月出现的针对巴西高级选举法院的重大网络攻击之后发生的。这次攻击使法院的系统停顿了两个多星期。当时，该事件被认为是有史以来针对巴西公共部门机构策划的最全面的攻击，就其复杂性和所造成的损害范围而言。 7月，巴西政府宣布建立一个网络攻击响应网络，旨在通过联邦政府机构之间的协调，促进对网络威胁和漏洞的快速响应。 在巴西经济部管理和数字政府特别秘书处下运作的DGS，将在网络的形成中发挥战略作用。DGS是SISP的中心机构，该系统用于规划、协调、组织、操作、控制和监督联邦政府200多个机构的信息技术资源。 在私营企业方面，2021年在巴西出现的主要勒索软件攻击涉及大型公司，如医疗保健公司Fleury和航空航天集团Embraer。   （消息及封面来源：cnBeta）

思科 Talos 威胁情报研究团队在一份新报告中指出：微软的 PrintNightmare 安全漏洞，现正被一个名为 Vice Society 的勒索软件团伙所利用。近段时间，Talos 团队一直在密切留意攻击者在利用 Print Spooler 服务的安全隐患。遗憾的是，尽管微软在漏洞修复上耗费了数月的时间，最终取得的成果仍相当有限。 如图所示，Vice Society 会向受害者索要赎金，否则就会通过其网站泄露被盗的数据。 Talos 调查发现： Vice Society 与之前的 HelloKitty 勒索软件组织有关联，且目前正在利用 PrintNightmare Print Spooler 漏洞相关的动态链接库 (DLL) 文件注入勒索软件，来攻击那些易受感染的系统。 Talos 还观察到了 Vice Society 黑客用于执行攻击的一些策略、技术和程序（统称 TTP）： ● 比如在入侵期间使用 ProxyChains 将网络流量转移到其它地方。 ● 攻击 ESXi 虚拟服务器和数据备份，让整个系统容易受勒索软件感染阻止恢复。 ● 为了避免被端点安全解决方案检测到，威胁行为者还会绕过反恶意软件软件接口（AMSI）。   （消息及封面来源：cnBeta）

根据安全公司 Palo Alto Networks 的最新报告，知名勒索软件 eCh0raix（也称 QNAPCrypt）近日衍生出一个新变种，现在可以感染 QNAP 以及 Synology 网络附加存储（NAS）设备。 去年 9 月，Palo Alto Networks 就发现了这种新型 eCh0raix 变种，该勒索软件活动的项目名称为“rct_cryptor_universal”，表明该恶意软件可以影响任何供应商。早些时候，该项目名称为”qnap_crypt_worker”，因为它将使用不同的变体经常在不同的实例上感染 QNAP 和 Synology 设备。 eCh0raix 是在 2016 年肆虐的一款勒索软件，当时它只是攻击 QNAP NAS 系统，因此也被称之为 QNAPCrypt。随后该勒索软件不断进化，在 2019 年和 2020 年再次对 QNAP 设备进行了攻击。 新型 eCh0raix 变种目前编号为 CVE-2021-28799。早在4月，QNAP 已经确认该漏洞是 HBS 3（混合备份同步3）中的”不当授权漏洞”。该公司进一步补充说，它已经在以下HBS 3版本中修复了这个黑客。 ● QTS 4.5.2: HBS 3 v16.0.0415及以后的版本 ● QTS 4.3.6: HBS 3 v3.0.210412及以后版本 ● QTS 4.3.3和4.3.4: HBS 3 v3.0.210411及以后版本 ● QuTS hero h4.5.1: HBS 3 v16.0.0419及以后版本 ● QuTScloud c4.5.1 ~ c4.5.4: HBS 3 v16.0.0419及以后版本 与受影响的Synology系统的安全固件版本相关的信息还不存在。根据Cortex Xpanse的数据，QNAP和Synology总共有大约25万台受影响的设备。   （消息及封面来源：cnBeta）

应对勒索软件的威胁，美国政府今天成立推出了一家新网站–StopRansomware.gov。在官方发布的新闻稿中，该网站由美国司法部、国土安全部和联邦合作伙伴共同推进，旨在“帮助私人和公共组织减轻他们的勒索软件风险”。 该网站汇集了来自多个联邦机构的资源。个人和组织以前必须访问多个政府网站才能找到勒索软件指南、警报和更新。美国国土安全部部长亚历杭德罗·马约卡斯 (Alejandro Mayorkas) 在新闻稿中表示：“随着勒索软件攻击在全球范围内持续上升，企业和其他组织必须优先考虑他们的网络安全。网络犯罪分子将关键基础设施、小企业、医院、警察部门、学校等作为目标。这些攻击直接影响了美国人的日常生活和我们国家的安全”。 该公告是在美国发生几起著名的勒索软件攻击之后发布的。上个月，该国最大的肉类生产商之一 JBS 向攻击该公司服务器的网络犯罪分子支付了 1100 万美元的比特币。几周前，Colonial Pipeline 运营着美国最大的天然气管道之一，向黑客支付了 500 万美元，他们迫使一条主要石油管道关闭。   （消息及封面来源：cnBeta）

昨晚，REvil 勒索软件组织的基础设施和网站已神秘下线。该组织又称之为 Sodinokibi，利用多个明网和暗网运作，用作赎金谈判网站、勒索软件数据泄露网站和后台基础设施。从昨晚开始，REvil 勒索软件组织所使用的网站和基础设施已经神秘地关闭了。 在接受外媒 BleepingComputer 采访的时候，Tor 项目的 Al Smith 表示：“简单来说，显示的这个错误通常意味着该 Onion 网站已经离线或者被禁用。如果你想要确认的话，你需要联系 Onion 网站的管理员”。虽然 REvil 网站在一段时间内失去连接并非闻所未闻，但所有网站同时关闭的情况并不常见。 此外，decoder[.]re 明网不再能被 DNS 查询解析，可能表明该域名的 DNS 记录已被撤销，或后端 DNS 基础设施已被关闭。Recorded Future 的 Alan Liska 说，REvil 网站在美国东部时间今天上午 1 点左右下线了。 今天下午，LockBit 勒索软件的代表在 XSS 俄语黑客论坛上发帖说，据传 REvil 团伙在得知政府的传票后删除了他们的服务器。 Advanced Intel 的 Vitali Kremez 将这段话翻译出来就是：“根据未经证实的信息，REvil 服务器基础设施收到了政府的法律要求，迫使 REvil 完全擦除服务器基础设施并消失。然而，这并没有得到证实”。Kremez 解释说：“根据经验，顶级论坛的管理部门在怀疑其用户被警方控制时，会对其进行禁言”。 不久之后，XSS 管理员禁止 REvil 的 “Unknown”账户，即勒索软件团伙面向公众的代表，离开论坛。     （消息及封面来源：cnBeta）

上周五，美国软件开发商 Kaseya Ltd. 遭遇勒索软件攻击，攻击主要集中在 Kaseya VSA 软件上。据悉很多大型企业和技术服务供应商使用 Kaseya VSA 来管理软件更新，并向电脑网络上的系统发布软件更新。援引外媒 The Record 报道，REvil 勒索软件团伙索要7000 万美元的赎金，以发布一个通用的的解码器。 REvil 是一个臭名昭着的勒索软件团伙。勒索软件会锁住受害者的电脑，直到受害者支付数字赎金，通常以比特币形式支付。此次网络攻击似乎是 REvil 有史以来发起的规模最大的一次。据网络安全专家称，此次攻击事件可能已导致全球多达 4 万台电脑被感染。 在暗网博客上发布的一条信息中，REvil 勒索软件团伙声称锁定了超过 100 万个系统： 上周五（02.07.2021）我们对 MSP 供应商发起了一次攻击。超过 100 万的系统被感染。如果有人想就通用解密器进行谈判–我们的价格是 70000000 美元（BTC），我们将公开发布解密器，解密所有受害者的文件，所以每个人都将能够在不到一个小时内从攻击中恢复。如果你对这样的交易感兴趣，请按照受害者的 “readme”文件说明与我们联系。 如果兑现，该要求将成为有史以来最高的勒索软件赎金。Kaseya 发言人没有在现场评论该公司是否会考虑支付 REvil 团伙的赎金要求。在撰写本报告时，Kaseya 勒索软件事件据信已影响到全球数以千计的公司。   （消息及封面来源：cnBeta）

据外媒报道，就在几天前，乌克兰警方逮捕了Clop勒索软件背后组织的6名成员。上周，乌克兰国家警察(National Police of Ukraine)跟韩国和美国的官员一起进行了一次执法行动，他们逮捕了多名据信跟Clop勒索软件团伙有关的嫌疑人。这被认为是国家执法机构首次大规模逮捕涉及勒索软件的团伙。 乌克兰警方还称，他们已成功关闭了该团伙使用的服务器基础设施。但行动似乎并不完全成功。 尽管Clop行动在被捕后保持沉默，但该团伙本周在其暗网站上公布了一批新的机密数据，声称这些数据是从两位新受害者–一家农用设备零售商和一家建筑事务所–那里窃取的。 尽管上周遭到了史无前例的执法打击，但被逮捕的嫌疑人可能只包括那些在Clop行动中扮演次要角色的人。网络安全公司Intel 471表示，它认为上周的逮捕行动针对的是洗钱活动，该团伙的核心成员并没有被捕。 这家安全公司表示：“我们认为，Clop背后的任何核心人物都没有被捕。对Clop的总体影响预计不大，尽管执法部门的关注可能会导致Clop品牌被放弃，就像我们最近看到的其他勒索软件组织如DarkSide和Babuk。” Clop似乎仍在运营，但该集团能运营多久还有待观察。今年，执法部门不仅多次打击了勒索软件集团，而且俄罗斯本周也证实将开始跟美国合作定位网络罪犯。 截止到目前，俄罗斯在对付黑客方面一直采取不干涉的态度。路透社周三报道称，俄罗斯联邦安全局(FSB)局长Alexander Bortnikov表示，FSB将在未来的网络安全行动中跟美国当局合作。 Intel 471此前表示，它不认为Clop的主要成员在上周的行动中被捕，因为“他们可能住在俄罗斯”，而俄罗斯长期以来一直拒绝采取行动，这为网络罪犯提供安全港。 Clop勒索软件团伙于2019年初首次被发现，此后该组织跟多起备受瞩目的攻击事件被发现存在关联。这些事件包括美国制药巨头ExecuPharm在2020年4月的数据泄露事件、Accellion最近的数据泄露事件。   （消息及封面来源：cnBeta）

在遭遇勒索软件攻击之后，不少企业因为无法等待数据恢复、想要尽快恢复业务，选择向黑客支付赎金，那么在支付赎金之后是否就意味着不再成为黑客的勒索目标了吗？一份最新报告显示，几乎一半的受害者会再次成为同一黑客的目标。 根据市场调查机构 Censuswide 公布的最新数据，大约 80% 选择支付赎金的组织会遭到第二次攻击，其中 46% 被认为是来自同一个团伙。一家在勒索软件事件后支付了数百万美元的公司，在交出加密货币后的两周内，又被同一黑客攻击了。 即使受害者支付了赎金以重新获得其加密文件的访问权，也经常出现问题。46%的支付者发现一些数据被破坏；51%的人重新获得了访问权，但没有数据损失；3% 的人根本没有拿回他们的数据。 由于越来越多的受害者拒绝支付，赎金软件的平均支付额正在下降。影响这些公司底线的不仅仅是巨额的加密货币支付。被报道的勒索软件攻击会对公众对公司的看法产生负面影响，一些人对公司的安全行为提出质疑。53%的调查参与者表示，他们的品牌在勒索软件披露后受到了不利影响，66%的人表示他们因攻击而损失了收入。   （消息及封面来源：cnBeta）

最近，勒索软件困扰着美国和世界上的许多大公司。不久前，美国的一次攻击关闭了一条输油管，导致一些地区出现燃料短缺，拥有该输油管的公司支付了数百万美元来解密其文件。另一个备受瞩目的勒索软件攻击看到一家美国食品公司向黑客支付了数百万美元，以解密他们的系统并防止文件被泄露。 虽然勒索软件攻击非常有效，并且可以成为攻击者的大笔财富，但Avaddon背后的组织正在关闭，并且已经为所有受害者发布了解密密钥。 报告指出，一封假装来自联邦调查局的电子邮件已经发出，其中包含一个密码和一个受密码保护的压缩文件的链接。该文件声称是Avaddon勒索软件的解密密钥。该文件被发送给来自EMSIsoft的名为Fabian Wosar的安全研究员和来自Coverware的Michael Gillespie。 这两名研究人员调查了电子邮件所附的软件，并确定它是无害的，并且包含了为成为Avaddon勒索软件受害者的用户提供的解密密钥。Emsisoft与BleepingComputer分享了一个测试解密器，实验证明可以解密一个用Avaddon最近的样本加密的虚拟机。 勒索软件背后的一个或多个黑客发布了2934个解密密钥，每个密钥对应于该组织的一个受害者。Emsisoft发布了一个免费的解密程序，任何该软件的受害者都可以用它来免费恢复他们的文件，该解密程序文件可以在这里访问到： https://www.emsisoft.com/ransomware-decryption-tools/avaddon 当勒索软件被关闭时，软件背后的黑客发布解密密钥作为一种善意的姿态，这并不是完全不常见。然而，这有可能表明该软件的一个新版本即将到来。在这个例子中，与Avaddon有关的暗网网站已经被关闭，表明该行动可能已经结束。   （消息及封面来源：cnBeta）