微软警告称，一种新型手机勒索软件利用来电通知和安卓的Home按钮锁定设备进行勒索。 这一发现涉及到一个名为“MalLocker.B”的安卓勒索软件家族的变体，该软件现在以新技术重新出现，包括在受感染设备上传递赎金需求的新方法，以及逃避安全解决方案的模糊机制。 在这一事态发展之际，针对关键基础设施的勒索软件攻击激增，过去三个月勒索软件攻击的日均次数比上半年增加了50%，攻击者越来越多地将双重勒索纳入他们的行动计划。 MalLocker被称为恶意网站，它通过伪装成流行应用程序、破解游戏或视频播放器等各种诱饵在在线论坛上传播。 以前的勒索软件利用了安卓的可访问性功能或称为“SYSTEM_ALERT_WINDOW”的权限，在所有其他屏幕上显示一个持久的窗口来显示赎金条，通常伪装成假的警方通告或发现图像的警报。 但就在反恶意软件开始检测到这种行为时，新的安卓勒索软件变种已经进化出了克服这一障碍的策略。MalLocker.B通过一种全新的策略来实现同样的目标。 为此，它利用“呼叫”通知来提醒用户来电，以便显示一个覆盖整个屏幕区域的窗口，然后将其与Home或Recents键组合，以将勒索通知触发到前台，并防止受害者切换到任何其他屏幕。 微软称：“触发勒索软件屏幕的自动弹出无需进行无限重绘或假装成系统窗口。” 安全人员还注意到存在一个尚未集成的机器学习模型，该模型可用于在屏幕内不失真地拟合勒索便条图像，这暗示了恶意软件的下一步的发展。 此外，为了掩盖其真实目的，勒索软件代码被严重混淆，并通过篡改名称和故意使用无意义的变量名和垃圾代码来阻止分析，使其无法阅读。 微软365 Defender研究团队称：“这种新的移动勒索软件变种是一个重要发现，因为这些恶意软件表现出以前从未见过的行为，并可能为其他恶意软件打开大门。”     稿件与封面来源：The Hacker News，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理， 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Ryuk在29小时内将一封电子邮件发送到了整个域的勒索软件，要求我们以超过600万美元的价格来解锁系统。在勒索过程中，他们使用了Cobalt Strike、AdFind、WMI、vsftpd、PowerShell、PowerView和Rubeus等工具。 在过去的几年里，Ryuk一直是最熟练的勒索团伙之一。FBI声称，截至2020年2月，已经向该团伙支付了6100万美元。 … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1355/       消息与封面来源：THE DFIR REPORT  ，译者：芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

本周早些时候的一篇报道称，勒索软件攻击已在去年出现了急剧增加的趋势，并且安全研究行业已将之视为一个日益严重的问题。为帮助大家更好地了解勒索软件问题的严重性，Lumu 特地制作了一幅信息图。预计今年，勒索软件能够以单次超 400 万美元的攻击成本，将全球应对代价推升至 200 亿美元。 令人担忧的是，有 36% 的受害者向恶意攻击者支付了赎金。可即便如此，这批受害者中的 17% 还是没能挽回他们的数据。 从区域来看，北美地区有 69% 的企业报告称其受到了勒索软件的影响，欧洲地区的这一数字则是 57% 。 从行业类型来看，北美地区的政府组织受灾影响最大，其次是制造和建筑业。 不过从 Gartner 的分析结果来看，其实超过 90% 以上的勒索软件攻击，原本都是可以做到“防患于未然”的。 作为应对，Lumu 建议企业负责人花几分钟来了解和评估相关信息，以作出防止损失扩大化的明智决策。 感兴趣的朋友，可移步至官网（Lumu.io）了解详情。     （稿源：cnBeta，封面源自网络。）

美国最大的医疗服务机构之一Universal Health Services遭到了勒索软件的攻击。据两名知情人士透露，周日凌晨，UHS系统遭到攻击，全国各地包括加州和佛罗里达州的多家UHS机构的电脑和电话系统被锁定。其中一人说，电脑屏幕上的文字发生了变化，其中提到了 “影子宇宙”，与Ryuk勒索软件的典型症状一致。“每个人都被告知关闭所有的电脑，不要再打开它们，”该人士说。”我们被告知，要过几天电脑才能再次启动。” 目前还不知道勒索软件攻击对患者护理产生了什么影响。 美国另一家医院系统负责网络安全的一位高管表示，病人的医疗数据”很可能是安全的”，因为UHS依靠医疗技术公司Cerner来处理病人的电子健康记录，这位高管因未获授权向媒体发言而不愿透露姓名。 UHS在美国和英国拥有400家医院和医疗机构，每年为数百万患者提供服务。UHS的发言人没有立即回应置评请求。 安全公司Crowdstrike称，Ryuk勒索软件与俄罗斯一个名为Wizard Spider的网络犯罪集团有关。Ryuk的运营者以专门盯紧”大猎物”著称，此前曾针对大型组织，包括航运巨头Pitney Bowes和美国海岸警卫队实施勒索攻击。 一些勒索团伙在今年早些时候表示，他们不会在COVID-19大流行期间攻击医疗机构和医院，但Ryuk的运营商没有这样做。 上周，德国警方在接到一名女性因为勒索软件导致死亡后展开凶杀案调查，这名女性在勒索软件攻击后被转移到另一家医院的途中丧生。     （稿源：cnBeta，封面源自网络。）

近几个月来，针对关键基础设施的勒索软件攻击激增，网络安全研究人员发现了一个新攻击者，该攻击者一直在尝试对俄罗斯的医疗实验室、银行、制造商和软件开发商的大型公司网络进行多阶段攻击。 这个代号为“OldGremlin”的勒索软件团伙至少自3月以来与一系列活动有关，其中包括上月8月11日发生的对一家临床诊断实验室的成功攻击。 新加坡网络安全公司Group-IB在今天发布的一份报告中说：“该组织迄今只针对俄罗斯公司。” “利用俄罗斯作为试验场，这些组织随后转移到其他地区，以减少落网的可能性。” OldGremlin的操作方式包括使用自定义后门（如TinyNode和TinyPosh下载额外的有效负载），最终目标是使用TinyCryptor勒索软件（又名Dec1pt）加密受感染系统中的文件，并以约5万美元的价格进行勒索。 另外，运营商使用代表俄罗斯RBC集团（总部位于莫斯科的主要媒体集团）发送的网络钓鱼电子邮件在网络上获得了最初的立足点，邮件主题中带有“发票”。 攻击者提供了一个恶意链接，当点击该链接会下载TinyNode恶意软件。 攻击者找到他们的出路后，对受感染计算机的进行远程访问，利用它通过Cobalt Strike在网络上横向移动并收集域管理员的身份验证数据。 在3月和4月观察到的另一种攻击变体中，我们发现攻击者使用以COVID为主题的网络钓鱼诱骗，向伪装成俄罗斯小额信贷组织的金融企业提供TinyPosh 木马。 随后，我们在8月19日发现了另一波运动，当时攻击者利用白俄罗斯正在进行的抗议活动谴责政府，发动了网络钓鱼消息，这再次证明了攻击者善于利用世界事件发起攻击。 根据Group-IB的数据，从5月到8月，OldGremlin总共落后了9个竞选活动。 Group-IB的高级数字取证分析师Oleg Skulkin说：“OldGremlin与其他讲俄语的攻击者的区别在于他们无惧在俄罗斯工作。” “这表明攻击者可能在走向全球之前就调整自身的技术以从本国优势中受益，或者它们是俄罗斯一些邻国的代表，这些邻国对俄罗斯掌握了强大的指挥权。”     稿件与封面来源：The Hacker News，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理， 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

摘要 Maze勒索软件是目前在野外使用最广泛的勒索软件之一，由具有能力的参与者进行分发。 我们发现了一个Maze分支机构，在交付勒索软件之前部署了量身定制的持久性方法。 行动者似乎使用了被盗的证书在其信标上签名。 与其他攻击一样，行动者使用HTA有效载荷作为交互式外壳，能够捕获到实时的和去模糊化的内容。 背景 Maze勒索软件在过去的大约一年时间里被广泛使用，成为全世界许多不同参与者的最终有效载荷。今年，臭名昭著的Maze运营商不仅开始通过加密文件勒索公司，而且威胁会在线发布被窃取的文件，从而勒索公司。最近，我们抓住了一个Maze会员，该会员尝试通过借由我们客户的网络进行传播。 在这篇文章中，我们分享有关该Maze会员使用方法的详细信息，以阐明他们的策略并帮助安全团队在其自己的网络中寻找类似的IOC。   … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1294/ 消息与封面来源：SentinelLABS，译者：叶绿体 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

安全公司McAfee今天表示，NetWalker勒索软件的运营者据信自今年3月以来已经从勒索金支付中赚取了超过2500万美元。虽然没有精确的最新统计数据，但2500万美元的数字使NetWalker在目前已知最成功的勒索软件团伙中排名靠前，其他已知的名字包括Ryuk、Dharma和REvil（Sodinokibi）。 McAfee最近发布了一份关于NetWalker行动的综合报告，它能够追踪受害者向该勒索软件团伙比特币地址支付的款项。然而，安全专家认为，由于他们的观点并不完整，该团伙可能从他们的非法行动中获得更多的利益。NetWalker作为一个勒索软件，最早出现在2019年8月。在最初的版本中，该勒索软件的名称为Mailto，但在2019年年底重新命名为NetWalker。 该勒索软件以封闭访问的RaaS–勒索软件即服务门户的形式运行。其他黑客团伙注册并通过审查，之后他们被授予访问一个门户网站的权限，在那里他们可以构建定制版本的勒索软件。分发工作由这些二线帮派（即所谓的附属机构）负责，每个帮派都会根据自己的情况进行部署。通过这一审查过程，NetWalker最近开始选择专门针对高价值实体网络进行定向攻击的关联公司，而不是那些专门采用大规模传播方法的关联公司，如利用工具包或电子邮件垃圾邮件。原因是，以大公司为目标进行精准和外科手术式的入侵，可以让该团伙提出更大的赎金要求，因为与小公司相比，大公司在倒闭时损失的利润更多。 NetWalker的作者似乎更青睐于能够通过网络攻击，对RDP服务器、网络设备、VPN服务器、防火墙等执行入侵的关联公司。值得注意的是，NetWalker的作者化名为Bugatti，只对雇佣说俄语的二级帮派感兴趣。McAfee专家表示，从历史上看，NetWalker通过利用Oracle WebLogic和Apache Tomcat服务器中的漏洞，通过RDP端点以薄弱的凭证进入网络，或者通过对重要公司的工作人员进行鱼叉式钓鱼来进行入侵。 但根据FBI上周发布的警报，最近，该团伙还加入了针对Pulse Secure VPN服务器的漏洞(CVE-201911510)和针对使用Telerik UI组件网络应用的漏洞(CVE-2019-18935)，使他们的武器库多样化。同一警报还警告美国公司和政府组织一定要更新系统，因为该局看到NetWalker团伙的活动有所增加，甚至冲击了一些政府网络。 而该团伙如此受欢迎的原因之一，也是因为它的 “泄密门户”，该团伙在网站上公布拒绝支付其赎金要求的受害者的姓名，并且发布数据。一旦NetWalker联盟入侵网络，他们首先会窃取公司的敏感数据，然后对文件进行加密。如果受害者在最初的谈判中拒绝支付解密文件的费用，勒索软件团伙就会在他们的泄密网站上创建一个条目。该条目有一个计时器，如果受害者仍然拒绝支付，该团伙就会泄公布他们从受害者网络中窃取的文件。     （稿件与封面来源：cnBeta。）

Garmin地图和导航服务所在的公司遭到了勒索软件的攻击，攻击者加密了这家智能手表制造商的内部服务器，迫使其关闭了呼叫中心、网站和Garmin Connect服务，而所有的Garmin地图用户几乎都依靠该服务通过移动应用同步他们的活动。 在Twitter上分享的消息中，该公司向用户道歉，并详细介绍了不同服务被迫关闭的严重程度。 据ZDNet报道，此次攻击还影响到了Garmin的航空数据库服务，即支持航空导航设备的flyGarmin，甚至是位于亚洲的一些生产线。 Garmin官方并未将此次故障归结为勒索软件攻击所致，但公司员工此后在Twitter上将其描述为勒索软件攻击。 台湾科技新闻网站IThome公布了一份Garmin的IT部门给其台湾工厂的内部备忘录，宣布周五和周六两天进行维护，消息人士告诉网站，这是由于 “病毒”造成的。     （稿源：cnBeta，封面源自网络。）  

Netwalker (又名 Mailto)勒索软件近期十分活跃。 由于新型冠肺炎的爆发，一些活跃的勒索软黑客们开始不再攻击医疗目标，但NetWalker 勒索软件却是例外。 这款勒索软件的赎金要求很高，很多受害者们因无法支付相关赎金导致数据被泄露。 最近美国的教育机构也成为了勒索软件的重点攻击目标，密歇根州立大学、加州大学旧金山分校和哥伦比亚大学芝加哥分校都没有幸免。近期的RaaS（勒索软件即服务）模式转变加剧了勒索的范围，导致网络检测和清理不再足以确保组织数据机密的安全，预防成为了面对威胁的唯一解决办法。   … 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1243/     消息来源：sentinelone，译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒报道，本田的全球业务受到了勒索软件攻击，这家日本汽车制造商仍在努力让一切恢复正常。该家公司于当地时间周二表示，它将不得不暂时关闭部分生产设施，另外客户和金融服务业务也已经被关闭。本田在向The Verge发表的一份声明中说道：“目前没有证据表明个人身份信息丢失。我们大多数工厂都已恢复生产，目前正在努力恢复我们在俄亥俄州的汽车和发动机工厂的生产工作。” 据了解，本田遭到的网络攻击所使用的是被认为是被叫做Snake的勒索软件。通过它，黑客可以对遭到攻击的公司的文件进行加密将其作为勒索筹码。根据The Verge网站看到的一条信息显示，本田在其内部警报系统中将其称为“重大电脑勒索软件病毒攻击”。“来自全球和跨NA地区的IT团队正在持续工作以遏制这次攻击（带来的影响），另外还在尽快恢复正常的业务操作，但许多依赖于信息系统的业务流程仍受到了影响。” 据Twitter上的投诉显示，虽然本田表示一些工厂正在重新开工，但业主无法进行在线支付或进入公司的客户服务网站。该公司北美最大的客户和金融服务办公室的一名员工告诉The Verge，临时员工在办公室关闭时是没有工资的。 即使系统已经备份，本田美国客户和金融服务办公室的许多员工也无法远程工作。正如The Verge在5月份报道的那样，这意味着在大流行期间，许多员工不得不去办公室，对此一些员工担心公司在阻止新冠病毒传播方面做得不够。不过在过去几周，这些办公室的员工告诉The Verge，本田终于开始实行体温检测、加强社交距离，并且在某些地区地方允许更多的人远程工作。     （稿源：cnBeta，封面源自网络。）