2017 年第一季度，手机勒索软件攻击数量激增，与去年同期相比增长 3.5 倍。犯罪分子试图通过 25 万个安卓手机木马安装包从受害者处勒索钱财，赎金金额从 100 美元到 500 美元不等。 根据卡巴斯基实验室本周一发布的《 2016 – 2017勒索软件报告》，德国首当其冲成为重灾区，美国受害者数量紧随其后。考虑到 2015 – 2016 年攻击数量的整体下降趋势（从 136,532 将至 130,232 ），2017 第一季度手机勒索软件数量的急剧增长情况实属异常。 报告显示，手机勒索软件攻击数量的下降反映了安全解决方案厂商、执法机构与白帽黑客之间的有效协作。2017 年第一季度勒索软件攻击事件高发源于 2016 年 12 月 Svpeng 勒索软件家族兴起。与通过入侵工具包与恶意电子邮件附件下载安装的 PC 端勒索软件不同，手机勒索软件主要通过观看色情内容或下载虚假手机Adobe Flash播放器传播。 报告作者之一、卡巴斯基实验室恶意软件高级分析师 Roman Unuchek 表示，“多数情况下，犯罪分子主要利用受害者的疏忽大意以及未及时更新安卓 OS 版本发动攻击。安卓更新版本具有相对完善的安全功能，对勒索软件起到一定抑制作用。” 报告指出，Svpeng 与 Fusob 两大恶意软件家族占据手机勒索软件市场。Fusob 构成勒索软件攻击事件主体，主要通过伪装成名为 “xxxPlayer” 的多媒体播放器欺骗用户。一旦成功下载，勒索软件就会阻止用户访问设备，除非缴纳 100 美元至 200 美元赎金。 手机木马 Svpeng 最早由卡巴斯基实验室于 2013 年发现，此后经历多番勒索软件功能添加或修改。以往社工活动主要基于短消息欺骗用户下载恶意软件。完成安装后会显示一份冒充 FBI 开具的非法内容下载罚单，要求以缴纳 200 美元罚金为代价解锁设备。 受影响最严重的国家排名为：德国（23%）、加拿大（20%）、英国（16%）、美国（15.5%）。针对移动设备的攻击主要源自少数几类恶意软件并通过附加程序传播。相比之下，PC 勒索软件较去年增长 11.4 %。在勒索软件受害者中，加密勒索受害者的比重从 2015 – 2016 年的 31% 上升至 2016 – 2017 年的 44.6%，增长了 13.6 个百分点。 研究人员还发现有针对性的勒索软件攻击由于“勒索软件即服务”（RaaS）的盛行呈上升趋势。 “勒索软件的复杂度与多样性均有提高，通过不断发展、日益便捷的地下生态系统为那些掌握较少技术、资源或时间的犯罪分子提供现成解决方案。” 卡巴斯基实验室对此持乐观态度，相信能够通过 The No More Ransom Project 等全球计划的良性发展有效保护手机与 PC 用户远离加密勒索软件困扰。 原作者：Tom Spring，译者：游弋，校对：FOX 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

卡巴斯基近期发布一份安全报告，指出今年物联网（ IoT ）新增恶意软件攻击数量较 2016 年翻一番。 卡巴斯基研究人员利用若干台运行 Linux 联网设备的蜜罐于 5 月采集了超过 7,200 款不同恶意软件样本，即此类恶意软件均通过 Telnet 与 SSH 端口感染连接设备。与此同时，蜜罐捕获的多数攻击行为均来自 DVR 或 IP 摄像机（63％），远远超过网络设备与其他无法识别设备。 调查显示，攻击卡巴斯基蜜罐的 IP 地址来自不同地理位置，其中主要集中在中国、越南、俄罗斯、巴西与土耳其。目前，研究人员已从逾 11,000 个 IP 地址（多数在越南、台湾与巴西）检测到超过 200 万次攻击尝试。 研究人员表示，尽管卡巴斯基指出运行不安全 IoT 设备可能导致的其他风险（例如黑客利用家庭网络进行非法活动），但多数受感染设备还是被迫接入了僵尸网络。目前，针对 IoT 设备与相关安全事件的恶意软件数量与日俱增，充分说明了智能设备安全隐患的严重程度。 据悉，在数百万联网设备中，除了暴露的 Telnet 与 SSH 端口外，薄弱或默认的登录凭据问题也将加倍恶化。这主要是因为许多此类设备的存在将制造商置于弱势状态，尽管固件更新可用，但极少设备具有自动更新的机制。 卡巴斯基表示，部分设备确实以一种不安全的方式实现了 TR-069 协议的远程管理功能；但该协议基于 SOAP 设计，仅供操作人员远程管理设备使用。此外，研究人员还利用安全级别较低的管理员默认密码进行检测。在许多情况下，这些密码不仅适用于特定型号设备，而且与多家厂商产品线也极其相似。 附：卡巴斯基分析报告：《 Honeypots and the Internet of Things 》 原作者：Michael Mimoso， 译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 6 月 10 日报道，卡巴斯基实验室研究人员发现网络犯罪分子正利用 SambaCry 漏洞（ CVE-2017-7494 ）进行虚拟货币挖矿操作。 SambaCry 能够允许黑客远程控制易受攻击的 Linux 与 Unix 系统，不过也仅能在特定情况下使用，即满足联网创建文件与共享端口 445 、配置写入权限的共享文件和文件使用已知服务器路径时，攻击者才可远程上传指定恶意代码并利用服务器加载执行。 SambaCry 具备网络蠕虫特性，目前全球至少 485,000 台计算机存在 Samba 漏洞并被暴露于互联网之中。据研究人员推测，近期使用 SambaCry 的网络攻击数量将会迅速增加。卡巴斯基实验室研究人员在设立蜜罐检测时，已发现一款恶意软件正利用 SambaCry 漏洞感染 Linux 系统并安装加密挖矿工具。一旦 Linux 设备遭受 SambaCry 漏洞攻击，攻击者将会在目标系统中执行两个不同 payloads： INAebsGB.so – 反向 shell，允许远程攻击者访问目标系统 cblRWuoCc.so – 后门，包含加密货币采矿工具的后门 CPUminer 被攻击的系统将会变成一个专门为攻击者挖掘虚拟货币的“私人矿场”。此外，通过系统中的反向壳，攻击者还可改变已经运行的矿工配置，或使用其他恶意软件感染受害者电脑。据卡巴斯基透露，这一攻击活动的幕后黑手已获利至少 5,380 美元。随着被攻击的 Linux 系统数量的增加，网络犯罪分子的收入也会随之递增。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

为了澄清涉嫌网络间谍行为的指控，俄罗斯网络安全专家尤金·卡巴斯基（ Eugene Kaspersky ）已将其跨国公司的代码交给美国当局审核。此前有报道称，多家美国监管机构停止使用卡巴斯基实验室（ Kaspersky Lab ）的安全软件，理由是担心代码中存有会让俄罗斯方面监控美国的 “ 后门 ”。卡巴斯基本人表示，没有任何证据支持这种猜测。他已要求赴美作证，甚至愿意向美国当局提交软件代码。 作为 CeBIT Australia 2017 商业技术博览会的主题演讲嘉宾，卡巴斯基本人在抽空接受《 The Australian 》采访时称： 对卡巴斯基实验室来说，帮助任何国家在安全软件中植入漏洞来监控美国政府机构的行为，都与自杀无异。 这不仅会在商业上扼杀自己，你自己也得跑到亚马逊河流域、或者冰天雪地的西伯利亚丛林里躲起来。 对于此事，卡巴斯基本人坚定地表示 “ 这不是真的 ”。他不仅会用证据自证清白，还可以直接将源代码交给美方审核。 当然我们有政府合同，会在某些情况下要求我们披露技术细节，此时我们会照做的。 我们确实有来自俄罗斯、欧洲、以色列、以及其它国家防御机构的前雇员，但他们不再为前雇主工作，而是来找一份正经工作的好伙计。 我司员工中没有人做过‘那样’的事儿，在有监督的情况下，是不可能注入美方所说的那类代码的。 当然，卡巴斯基也承认俄罗斯有丰富的计算机人才，这得感谢该国的教育体系。 俄罗斯有许多 IT 企业，但他们大多为美国和西方的公司做外包。遗憾的是，他们之中有一些成为了罪犯，这是挺令人心碎的。明明受到了良好的教育，却想着通过旁门左道来捞钱。 很不幸，网络犯罪的利润相当丰厚，许多犯罪分子都成为了百万富翁，但这并意味着俄罗斯就是网络犯罪的主要来源地。 许多国家都发生着网络犯罪，从地域上来说，中国、西班牙、葡萄牙的形势也很严峻。 但在说到‘专业网络犯罪’的时候，很多人第一个想到的就是俄罗斯，而不是乌克兰、哈萨克斯坦、波罗的海、甚至硅谷。 各国警方积极展开的国际合作，才是打击网络犯罪的重点，比如最近肆虐的 WannaCry 勒索软件事件。就算它在不断迭代，也只能影响到越来越少的计算机，直至消失。 最糟糕的情况，就是对基础设施的攻击，比如电网和医疗保健服务。通过本次事件，我们看到了间谍工具对世界的巨大破坏力。 这些工具多为以英语为母语的人所打造，且在西半球（ 大西洋 ）时区运行，而俄罗斯人则位于东半球时区（ 这里包含简体中文 ）。 在三大攻击来源中，你是不能乱指责其中一个国家的，因为这里还包含了还有德国、法国、西班牙、阿拉伯、韩国等其它区域。 稿源：cnBeta；封面源自网络

俄罗斯在网络空间的咄咄逼人令美国官员担心俄罗斯间谍会利用广泛使用的卡巴斯基杀毒软件监听美国公民或破坏美国系统。总部位于莫斯科的卡巴斯基实验室的安全软件被美国的家庭、企业和政府机构广泛使用。 在一份发送给美国国家情报总监 Dan Coats 和司法部长 Jeff Sessions 的秘密备忘录中显示，参议院情报委员会提出了有关卡巴斯基的担忧，督促情报机构尽快解决潜在风险问题。 卡巴斯基于 10 日晚些时候发表声明回应美国政府，声称俄罗斯黑客或是通过自身政府的支持入侵美国系统，而非卡巴斯基的帮助。卡巴斯基明确表示，他们与各国政府没有任何关系，更不会帮助各国进行网络间谍活动。 本文根据 ibtimes 、cnBeta 翻译整理，封面源自网络

据外媒本月 2 日报道，卡巴斯基目前正监控百余个黑客组织的活动，范围波及 80 多个国家的各行各业，其中不乏黑客组织 Lazarus APT 与 StoneDrill 等。 Lazarus（音译 “ 拉撒路 ”，又名 BlueNoroff ）堪称全球金融机构首要威胁。该组织自 2009 年以来一直处于活跃状态，据推测早在 2007 年即已涉足摧毁数据与破坏系统的网络间谍活动。Lazarus 还曾瞄准孟加拉国纽约联储与波兰银行展开攻击。 据卡巴斯基实验室报道，针对全球银行机构的黑客活动仍在持续。专家近期再度发现与 Lazarus APT 组织活动有关的新型恶意软件样本。以下是卡巴斯基实验室近期公布的 ATP 趋势报告最新发现： BlueNoroff 是最为活跃的黑客组织之一，主要攻击金融机构并试图感染若干地区不同受害者设备。 BlueNoroff 组织活动仍在持续。事实上，该组织最新恶意软件样本发现于 2017 年 3 月。 BlueNoroff 或为银行机构视面临的首要威胁。 此外，卡巴斯基 2017 年第一季度跟踪的其他活跃 APT 组织还包括 Shamoon 与 StoneDrill 。虽然这些组织风格迥异，但他们通力合作，使用高精度恶意软件 wiper 攻击沙特阿拉伯目标。据悉，专家将恶意软件 StoneDrill 与 Shamoon 2 及 Charming Kitten（又名 Newscaster 与 NewsBeef ）两起攻击活动相关联，发现该恶意软件被攻击者传播至沙特阿拉伯与至少一个欧洲组织。 专家们还发现 APT 组织 Shamoon、StoneDrill 与 NewsBeef 的恶意软件样式与组件存在大量相似之处。研究人员强调，APT 组织不屑创建新黑客工具，而是利用通用工具完成一系列操作。 目前，大量各式框架为网络间谍组织提供了多种选择，特别是横向活动，包括 Nishang、Empire、Powercat、Meterpreter 等。有趣的是，多数框架基于 Powershell 并允许使用无文件后门。 原作者：Pierluigi Paganini， 译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

俄罗斯跨国网络安全公司和防病毒提供商卡巴斯基实验室已经宣布扩大漏洞奖金计划， 在新闻稿中，该公司指出，这项计划开始于 2016 年 8 月 1 日，卡巴斯基和平台提供商 HackerOne 合作，并持续六个月，目前已经在两个产品Kaspersky Internet Security 2017 和 Kaspersky Endpoint Security 10当中发现了 20 个漏洞。 扩展后的错误奖赏计划将发现远程代码执行漏洞的奖金从最高 2000 美元提升至最高 5000 美元，并且将另外一款产品 Kaspersky Password Manager 8 添加到目标产品的阵容当中。与第一阶段相反，现在“合格的个人和组织”可以提交关于三种 Kasperksy 产品的漏洞报告。 卡巴斯基正在招募测试者，在 Windows 8.1 或更新的微软桌面操作系统上测试这三种产品，具体意图是查找本地权限提升，用户数据泄密和远程代码执行方面的漏洞。平均来说，这些方面的漏洞奖金分别为 1000 美元，2000 美元和 5000 美元。 稿源：cnBeta，封面源自网络

据卡巴斯基安全实验室消息，黑客通过新型恶意软件 “ATMitch” 采用“无文件攻击”方式，一夜之间成功劫持俄罗斯 8 台 ATM 机窃走 80 万美元。 这起网络劫持事件成功引起了安全专家的注意，他们在分析闭路电视录像时发现一名男子至 ATM 机旁并未与机器交互即可获取现金。据悉，受影响银行的安全团队并未发现任何恶意软件入侵迹象，唯有一家目标银行表示曾在 ATM 中发现两份入侵日志： “Take the Money Bitch!” “Dispense Success.” 卡巴斯基 2017 年 2 月就 “ATMitch” 恶意软件发布分析报告表示，黑客曾利用恶意软件 ATMitch 攻击 140 家机构，其中包括银行、电信公司与 40 余家政府单位。 银行安全团队表示，他们不仅发现 Microsoft 域控制器（ DC ）的物理内存中存在其代码副本，还发现黑客将恶意代码直接注入受感染内存中与恶意软件一同在 RAM 系统中运行。目前卡巴斯基安全专家已将该此类恶意软件标记为 MEM：Trojan.Win32.Cometer 与 MEM：Trojan.Win32.Metasploit。 近期，在圣马丁举行的卡巴斯基安全分析高峰会期间，安全专家 Sergey Golovanov 和 Igor Soumenkov  提供了两家俄罗斯银行 ATM 机被黑客攻击的进一步调查。安全专家表示，该恶意软件首次在俄罗斯和哈萨克斯坦被发现。攻击者通过 SSH 隧道连接 ATM 机、安装恶意代码，并指示 ATM 机分配现金。由于恶意软件 ATMitch 利用机器现有的合法工具远程发送命令以分配资金，所以只需几秒即可快速运行，致使清空 ATM 机而不留痕迹。 安全专家强调，为避免触发警报，攻击者在 ATM 上钻出高尔夫球大小的洞孔，通过物理方式访问 ATM 机面板获取钞票。 研究人员提醒设备制造商与银行，黑客已横跨俄罗斯和欧洲银行对其采取 “ATM 电钻攻击”。目前不能确定攻击 ATM 机背后的具体犯罪团伙，但他们注意到攻击使用的源代码中包含俄语内容。此外，卡巴斯基发现该黑客组织使用的技术方法与网络犯罪团伙 Carbanak 和 GCMAN 存在相似之处。 原作者：Pierluigi Paganini ， 译者：青楚 ，审核：狐狸酱 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

近期，卡巴斯基应急响应团队 ICS CERT 基于 2016 下半年收集的数据，发布了一份有关工业自动化系统（ ICS ）的威胁形势分析报告。 卡巴斯基在全球范围内部署的安全解决方案已阻止逾 39％ 受保护的工业系统免受各类攻击，其中包括监控和数据采集（ SCADA ）系统、数据存储服务器（ Historian ）、数据网关（ OPC ）、工程师和运营工作站以及人机界面（ HMI ）。卡巴斯基于 2016 下半年检测到每月至少有 20％ 的网络攻击是针对工业计算机进行的，其中互联网（ 22％ ）、可移动媒体（ 11％ ）和电子邮件（ 8％ ）等成为主要互联网攻击媒介。 卡巴斯基指出，网络管理员、开发人员和承包商使用的设备通常自由联网容易遭受攻击，而操作网络（ OT ）上的固定工作站不具备永久在线联网功能则相对安全。 调查表明，黑客组织主要攻击目标包括中国、越南、伊朗、印度等国家工业系统，而美国和西欧国家受到的攻击则少得多。 卡巴斯基由此发出警告，未来黑客组织针对各国工业系统的攻击活动将越来越频繁，攻击手段包括利用恶意软件和定制化威胁等。据悉，卡巴斯基曾检测到一次涉及全球 50 多个国家的 500 多家公司的钓鱼攻击行动，该行动主要针对冶金、电力、建筑等工业公司，依赖于恶意软件感染的企业邮件窃取帐户凭据。直至今日该攻击行动仍未停止。 至于非目标攻击，卡巴斯基在工业系统上的 2000 多个恶意软件家族中发现了约 20,000 个变种。虽然多数威胁来源于木马，但研究人员也发现蠕虫、病毒、漏洞和勒索软件等攻击方法。 卡巴斯基专家在过去几个月中发现 ICS 产品中存在大量漏洞。2016 年，研究人员表示 ICS 产品中存在 75 个漏洞，其中 58 个被标为高危漏洞。截至 2017 年 3 月，只有 30 个漏洞已被修复。 卡巴斯基将在下周在圣马丁举办年度安全分析师会议（ SAS ），并将于下个月的新加坡 ICS 网络安全会议上概述工业行业网络威胁形势。 原作者：Eduard Kovacs， 译者：青楚    本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据卡巴斯基实验室统计，在 2016 年全球有 1445434 个用户遭到 62 个加密勒索软件家族 54000 个变种的攻击。平均每隔 10 秒就有一个普通用户遭到勒索，每隔 40 秒就有一个组织或者企业成为攻击目标。 卡巴斯基实验室统计的 2016 年勒索软件威胁 卡巴斯基实验室研究员发现， 62 个加密勒索软件家族中有 47 个是由使用俄语的开发者创建的。这个结论是基于对俄罗斯地下论坛、指挥与控制基础设施和相关文献的观察分析得出。 近年来加密勒索软件发展迅速 一方面归因于灵活且良好的地下生态系统，犯罪分子几乎不需要额外的技术和资金投入，即可借助平台分发勒索软件进行攻击并获得赎金抽成。另一方面，虚拟货币的发展（如比特币），使加密勒索攻击更容易货币化。 参与“业务”的三种类型 俄罗斯地下加密勒索市场目前为犯罪分子提供三种不同的参与方式 ·研发新的勒索软件用于销售 ·发展并支持联盟营销计划，分发勒索软件 ·作为合作伙伴参与联属计划 第一种类型的参与者处于金字塔顶端，不需要参与实际攻击，只负责开发勒索软件，但需要具有很强的代码编写技能。 第二种类型的参与者扮演着代理商的角色，负责联盟营销计划的经营（如一些犯罪社区），借助漏洞包、恶意垃圾邮件等附加工具分发勒索软件。 第三种类型的参与者处于生态链的底层，是联盟营销计划的合作伙伴，负责协助分发恶意软件，可获取赎金的部分抽成。 小结 卡巴斯基实验室还很难解释为什么这么多勒索软件家族由俄语犯罪分子开发。目前卡巴斯基正在跟踪几个专门从事加密勒索软件开发和分发的组织。他们的目标列表不仅包括普通的互联网用户，还包括中小型企业，传播范围也从俄罗斯地区蔓延向世界其他地区。 勒索软件攻击企业的方式也发生着改变。它们不再依赖于钓鱼邮件传播勒索软件。相反，它们开始攻击企业的服务器并利用开源漏洞工具传播勒索软件，并建立后门持续监控网络、识别重要文件。攻击目标也变得更加有针对性，并逐渐向大型企业转移。 此外，卡巴斯基实验室还在其博客中介绍了俄罗斯地下勒索软件市场的成本和利润之间的关系以及各层人员间的利益分配。卡巴斯基希望借此提高公众对勒索软件的危机意识做好防范工作、并为想打击勒索软件的有志人士提供参考信息。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。