以色列网络情报公司 KELA近期发布的报告显示，2022年Q3季度已观察到黑客以总计400万美元的价格出售全球576 家企业网络的访问权限。 初始访问代理 (IAB) 能让黑客获得企业网络访问权限，通常是通过窃取凭证、Webshell 或利用公开暴露在硬件中的漏洞来实现。随后，他们将这些访问权限出售给其他黑客，这些黑客用它来窃取有价值的数据、部署勒索软件或进行其他恶意活动。 报告反映出反映出黑客对企业初始访问权限的泄露销售活动虽然相对稳定，但与Q2仅66万美元的总价来看，Q3季度的价格在急剧上升。 Q3季度详情 在2022年Q3季度，KELA 的分析师观察到110 名黑客共发布了 576 家企业的初始访问权限，总价为 400万美元，而其中平均售价为 2800 美元，中位售价则达到创纪录的 1350 美元。 销售平均价格与中位价格 报告显示出排名前三的 IAB黑客手握大量权限，在 2022 年第三季度提供 40 到 100 个访问权限供出售。根据黑客论坛内的交流情况和售卖列表的变更，发现出售企业访问权限的平均时间仅为 1.6 天，而大多数是远程桌面协议(RDP)和 VPN 类型。 在国家分布上，本季度占比最多的国家是美国，占所有 IAB 的 30.4%。这一统计数据接近Q3季度针对美国公司的勒索软件攻击中 39.1% 的份额。 Q3季度最常针对的国家/地区 从目标行业来看，专业服务、制造业和科技领域分别以 13.4%、10.8% 和 9.4% 位居榜首。同样，勒索软件攻击具有相似的排名，说明二者之间存在密切关联。 Q3季度目标行业分部 由于IAB已成为勒索软件攻击链不可或缺的一部分，因此采取正确措施保护网络免受入侵至关重要，包括将远程访问服务器放置在 VPN 后面、限制对公开设备的访问、启用 MFA 以及进行网络钓鱼培训以防止企业凭证被盗。 转自 Freebuf，原文链接：https://www.freebuf.com/news/348439.html 封面来源于网络，如有侵权请联系删除

一个新的开源工具”S3crets Scanner “扫描仪允许研究人员和红色团队搜索错误存储在公开曝光的或公司的亚马逊AWS S3存储桶中的 “秘密”。 亚马逊S3（简单存储服务）是一项云存储服务，通常被公司用来将软件、服务和数据存储在被称为桶的容器中。但是公司有时不能很好的保护他们的S3桶，从而导致存储的数据公开暴露在互联网上。 这种类型的错误配置已经造成了数据泄露，威胁者获得了员工或客户的详细资料、备份和其他类型的数据。除了应用程序数据外，S3桶中的源代码或配置文件也可能包含 “秘密”，即认证密钥、访问令牌和API密钥。如果这些秘密被威胁者暴露和访问，可能会对其他服务甚至公司的企业网络进行更大的访问。 扫描S3的秘密 在一次检查世嘉最近的资产暴露的演习中，安全研究员Eilon Harel发现没有扫描意外数据泄露的工具存在，所以他决定创建自己的自动扫描器，并将其作为开源工具发布在GitHub。 为了帮助及时发现公共S3桶上暴露的秘密，Harel创建了一个名为 “S3crets Scanner “的Python工具，自动执行以下操作。 使用CSPM来获取公共桶的列表 通过API查询列出桶的内容 检查是否有暴露的文本文件 下载相关的文本文件 扫描内容中的秘密 将结果转发给SIEM 扫描工具将只列出以下配置设置为 “False “的S3桶，这表示暴露可能是意外的。 “BlockPublicAcls” “BlockPublicPolicy” “IgnorePublicAcls” “RestrictPublicBuckets” 在为 “秘密扫描 “步骤下载文本文件之前，任何打算公开的桶都被从列表中过滤掉。 当扫描一个桶时，脚本将使用Trufflehog3工具检查文本文件的内容，这是一个基于Go的改进版秘密扫描器，可以检查GitHub、GitLab、文件系统和S3桶上的凭证和私钥。 Trufflehog3使用Harel设计的一套自定义规则扫描S3crets下载的文件，这些规则针对个人身份信息（PII）暴露和内部访问令牌。 当定期用于扫描一个组织的资产时，研究人员认为 “S3crets扫描器 “可以帮助企业最大限度地减少因秘密暴露而导致的数据泄露或网络漏洞。 最后，该工具还可用于白帽行动，如扫描可公开访问的桶，并在攻击者发现秘密之前通知其所有人。 转自 Freebuf，原文链接：https://www.freebuf.com/news/348371.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，德国联邦刑事警察局（BKA）在巴伐利亚逮捕一名 22岁的学生，警方怀疑该名学生是德国最大暗网市场之一Deutschland im Deep Web’（DiDW）的管理员。 据悉，DiDW 平台已于 2022 年 3 月正式下线，一共积累了约 16000 名注册用户，28000 个帖子，售卖武器、毒品等违禁商品的72名卖家。 Deutschland im Deep Web 历史 DiDW 平台于 2013 首次推出，最初定位是一个讨论 IT 安全的论坛，经过不断发展，在 2017 年迎来了高峰期，当时注册用户达到 23000 人，每月点击量更是高达 600 万。 随后，部分网络犯罪分子盯上了 DiDW 平台，利用平台销售武器和毒品等非法物品，并使用托管系统进行支付，以保护成员免受欺诈性列表的影响，这种情况使 DiDW 实质上成为一个以论坛为幌子的暗网市场。 在 BKA 发布的逮捕公告中提到了一个例子，2016 年，一名慕尼黑枪手利用该平台采购了凶器和弹药，事件发生后不久，DiDW 平台于 2017 年被执法部门关闭，其背后经营者被逮捕并被判处七年监禁。 2018 年，DiDW 平台使用 “没有控制，一切允许”作为口号，在暗网上推出了两个新版本，暗示新的运营商不再关心掩盖网站的非法活动。值得一提的是，2019 年，在没有给出任何理由的情况下，第二个迭代的 DiDW 自行关闭了，仅仅十天后，第三个迭代版本作为暗网市场品牌的正式继承者开始在网上出现。 最终，经过五年调查，德国联邦刑事警察局成功确认了第三版 DiDW 的管理员，并于 2022 年 10 月 25 日将其逮捕，嫌疑人将面临经营非法交易平台的刑事指控，最高可能被判处十年监禁。 转自 Freebuf，原文链接：https://www.freebuf.com/news/348356.html 封面来源于网络，如有侵权请联系删除

据Cybernews 10月27日报道，跨国传媒集团汤森路透公司至少有三个数据库处于开放状态，访客无需验证即可访问，里面包含敏感客户和企业数据以及明文格式储存的第三方服务器密码。攻击者可以利用这些细节进行供应链攻击。 Cybernews研究小组发现，汤森路透至少保留了三个任何人都可访问的数据库。其中一个是面向公众的ElasticSearch数据库，3TB大小，包含该公司各个平台的最新和最敏感信息。汤森路透已经发现该问题，目前已修复。 汤森路透为客户提供的产品和平台包括企业对企业媒体工具Reuters Connect、法律研究服务和数据库Westlaw、税务自动化系统ONESOURCE、编辑和源材料在线研究套件Checkpoint以及其他工具。 ElasticSearch数据库对威胁行为者来说是一个宝库，可以利用泄露的信息进行社会工程学攻击和勒索攻击，在地下犯罪论坛上可能价值数百万美元。 据了解，该数据库开放了好几天，恶意机器人能够在短短几小时内侦测到。汤森路透快速解决了该问题，并表示它只影响“汤森路透全球一小部分客户”。 汤森路透服务器内ElasticSearch索引的命名表明，这个开放的数据库被用作日志服务器，以收集用户-客户互动的大量数据。开放数据库还包含登录和密码重置日志。虽然这些日志不会暴露旧密码或新密码，但可以看到帐户持有人的电子邮件地址，以及发送密码更改查询的确切时间。 另一个敏感信息包括SQL（结构化查询语言）日志，它记录了用户查询信息和返还的信息。开放的数据库还包括对YouTube等其他平台的内部筛选、汤森路透客户的访问日志以及与其他数据库的连接字符串。 汤森路透声称，三个配置错误的数据库中，有两个被设置为可公开访问。第三台服务器是一个非生产性服务器，用于存储“生产前/实施环境的应用日志”。 ElasticSearch是一种非常常见和广泛使用的数据存储，容易出现配置错误，这使得任何人都可以访问它。这种情况下，敏感数据是开放的，并且已经被流行的物联网搜索引擎索引。Cybernews安全研究主管Mantas Sasnauskas表示，这为恶意行为者提供了一个巨大的攻击面，不仅可以利用内部系统，还可以进行供应链攻击。一个简单的人为错误就可能导致毁灭性的攻击。 转自 Freebuf，原文链接：https://www.freebuf.com/news/348202.html 封面来源于网络，如有侵权请联系删除

安全内参10月28日消息，《纽约邮报》昨天证实，公司遭遇了黑客攻击，其网站和推特账户被攻击者利用，发布了一系列针对美国政客的攻击性内容。 周四上午，《纽约邮报》删除了自家网站和推特账户发布的多条令人不安的推文，并随后声明称，“〈纽约邮报〉遭到黑客攻击，相关原因目前正在调查当中。” 这些攻击性的头条新闻和推文打击面极广，涉及纽约州多位政客以及拜登总统的儿子亨特·拜登。 内部员工未授权搞事 据《纽约时报》报道，《纽约邮报》事后调查发现，当天早上在其网站和推特发布的一系列“未经授权”的粗俗及种族主义的推文和头条新闻系一位内部员工所为。 推特上的帖子有提到纽约州州长Kathy Hochul，并把关于她的言论错误扣到了下届选举中的竞争对手、众议员Lee Zeldin头上。帖子里还提及了纽约市长Eric Adams和拜登总统的儿子亨特·拜登。 该员工使用邮报的内部发布系统重新发表了一篇关于众议员Alexandria Ocasio-Cortez的社论，只是将署名改为保守派评论员Ben Shapiro，并把标题换成了《为了美国，我们必须干掉Alexandria Ocasio-Cortez》。 《纽约邮报》发言人在邮件中解释道，“调查表明，此次未授权行为出自一名员工之手，我们正在采取适当行动。” 州长Hochul女士的竞争活动发言人Jen Goodman要求《纽约邮报》对事件详情做出解释。 Goodman在声明中指责，“长久以来，〈纽约邮报〉一直在其头版和社交账户上发布丑陋且极具毒害性的言论，但这次的内容比以往更恶心、更粗鄙。” 多家美国大媒体近期遭黑 近期还发生过类似的安全事件。一个月前，有恶意黑客入侵了美国商业杂志《Fast Company》的内容管理系统（CMS）。 在黑客利用苹果新闻平台向读者的移动设备推送种族主义言论之后，Fast Company被迫将网站关闭了约两个星期。 事后，Breached黑客社区的成员Thrax声称对此负责，并透露了黑客攻击的情况，以及如何通过WordPress实例入侵目标网站的CMS。 《纽约邮报》的母公司、美国媒体和出版业巨头新闻集团今年2月曾经披露，其“持续”受到网络攻击的侵扰。 这轮攻击于今年1月被发现。根据报道，恶意黑客已经能够访问新闻集团员工（包括部分记者）的电子邮件和文档。 新闻集团旗下的资产包括《纽约邮报》、《福克斯新闻》、《华尔街日报》以及News UK British报社。 外媒就《纽约邮报》被黑一事联系新闻集团，对方发言人表示无法回应置评请求。 转自 安全内参，原文链接：https://www.secrss.com/articles/48443 封面来源于网络，如有侵权请联系删除

近日，美国网络安全和基础设施安全局（CISA）发布了一份新报告，概述了所有关键基础设施部门的基准网络安全性能目标（CPG）。该文件是由拜登总统在2021年7月签署的安全备忘录而来。已成为CISA和国家标准与技术研究所（NIST）为关键基础设施创建基本的网络安全实践，主要是为了帮助中小型企业（SMEs）改善其网络安全工作。 CPG旨在成为： 一套广泛适用于关键基础设施的网络安全做法的基线，具有已知的降低风险的价值。 关键基础设施运营商衡量和提高其网络安全成熟度的基准。 为IT和OT所有者推荐的实践组合，包括一套优先的安全实践。 与其他控制框架不同的是，它们不仅考虑了解决单个实体风险的做法，而且还考虑了国家的总体风险。 CISA指出：”CPG是IT和操作技术（OT）网络安全实践的一个优先子集，关键基础设施的所有者和经营者可以实施，以有意义地减少已知风险和对手技术的可能性和影响。这些目标是根据现有的网络安全框架和指南制定的。它们还依赖于CISA及其合作伙伴观察到的现实世界的威胁和对手的战术、技术和程序（TTPs）。 通过实施这些目标，业主和运营商将不仅减少对关键基础设施运营的风险，而且也减少对美国人民的风险。 CISA计划每6到12个月进行目标更新 Hexagon公司网络生态系统的全球总监Edward Liebig指出：”随着技术的发展，风险、TTP和范围自然会改变。这一点，再加上工业革命4.0的演变，将使建议和结果适当变形。” 在他看来CISA与监管机构一起起草具体部门目标的计划，如果没有行业垂直运营商的密切参与，随着时间的推移，可能会变得难以维持。应该共同努力，建立并鼓励参与特定行业的信息共享和分析中心（ISAC），如电力信息共享和分析中心（E-ISAC），因为供应商之间的合作将进一步解决OT安全中的问题。” 据悉，在Cyble研究人员发现超过8000个暴露的虚拟网络计算（VNC）实例，可能导致对关键基础设施组织的远程妥协攻击后的几个月，CISA报告出台。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/0auvvrTnRdMCqo45PxfqfA 封面来源于网络，如有侵权请联系删除

安全内参10月27日消息，俄罗斯最重要的银行之一俄罗斯储蓄银行（Sberbank）副总裁斯坦尼斯拉夫·库兹涅佐夫（Stanislav Kuznetsov）表示，该银行击退了其历史上规模最大的网络攻击之一，这次攻击持续了24小时零7分钟。 库兹涅佐夫周二对Rossiya 24电视台表示，DDoS攻击是一种拒绝服务攻击，涉及至少104000名黑客，他们在不同国家拥有至少30000台电脑。 这位高级管理人员强调，尽管在这种条件下工作非常复杂，但该银行启动了先进的安全协议，并继续不受干扰地运营。 这位银行高管解释说，他们的团队找到了成功阻止网络攻击的必要资源。 库兹涅佐夫补充道，今年迄今为止，Sberbank的系统至少遭遇了470次网络攻击，超过了过去七年中检测到的所有攻击。 转自 安全内参，原文链接：https://www.secrss.com/articles/48392 封面来源于网络，如有侵权请联系删除

据BleepingComputer 10月24日消息，英国著名汽车经销商集团Pendragon近期遭遇 LockBit 勒索软件组织的网络攻击，部分数据被窃取，并收到了高达6000万美元的赎金支付通知。 Pendragon在安全公告中声称：“我们在部分 IT 系统中发现了可疑活动，并确认我们遇到了 IT 安全事件。”在10月21日接受英国《泰晤士报》采访时，该公司首席营销官 Kim Costello 透露攻击发生在大约一个月前，并表示攻击者以发布被盗数据为威胁，要求在截止日期前支付高额赎金。经过其他媒体查证，确认LockBit 的索要金额为 6000 万美元。 “我们坚持不向攻击者付款！”该公司发言人说道。为了回应外界担忧，发言人强调称攻击发生后，公司 IT 团队立即做出了反应，调查结果显示，黑客仅窃取了数据库中 5%的数据。 BleepingComputer 已联系该公司以获取有关被盗数据的更多信息，以及如果黑客泄露数据会产生的影响，但在发布时没有收到任何回复。 Pendragon在英国遍布200多个经销商站点，拥有 CarStore、Evans Halshaw 和 Stratstone 豪华汽车零售品牌。就在攻击发生的同一个月，Pendragon曾收到另一家知名经销商集团Hedin Mobility价值4亿英镑（约4.52亿美元）的收购申请。 转自 Freebuf，原文链接：https://www.freebuf.com/news/347783.html 封面来源于网络，如有侵权请联系删除

据BleepingComputer 10月22日消息，两个名为TommyLeaks和SchoolBoys的新网络勒索组织正把攻击目标瞄准全球多家公司，但经过调查，背后是系同一团伙所为。 9月，安全研究员 MalwareHunterTeam 率先在推特上发布 了一个名为TommyLeaks的新勒索组织。该组织通过侵入破坏公司网络窃取数据，并索要赎金。BleepingComputer 了解到的赎金要求从 40 万美元到 70 万美元不等。 而本月，MalwareHunterTeam 声称发现 了另一个名为SchoolBoys Ransomware Gang的勒索组织，该组织将窃取数据并加密受害者设备作为勒索攻击的一部分。BleepingComputer 后来发现了一个 SchoolBoys 勒索软件加密器样本，并确认它由泄露的 LockBit 3.0 构建器创建。 虽然这两个组织没有公开数据泄露站点，但他们都使用相同的 Tor 聊天系统作为谈判网站，且该聊天系统以前只被卡拉库特勒索小组使用过，这不得不让人怀疑二者背后存在关联。 TommyLeaks与SchoolBoys使用相似的赎金谈判网站入口 就在上周，BleepingComputer证实，TommyLeaks 和 SchoolBoys Ransomware Gang 实际上就是同组织。在与BleepingComputer 共享的 SchoolBoys 信息中，该组织将受害者称为TommyLeaks，试图强迫受害者支付赎金。 虽然目前尚不清楚他们为何在运营中使用两个不同的名称，但这一做法与之前Conti 使用Karakurt这一马甲名称相类似。今年年初，AdvIntel 首席执行官 Vitali Kremez 向BleepingComputer透露，当 Conti 的勒索软件加密器在攻击中被阻止时，攻击者会使用 Karakurt继续进行攻击。 转自 Freebuf，原文链接：https://www.freebuf.com/news/347695.html 封面来源于网络，如有侵权请联系删除

澳大利亚医疗保险公司Medibank透露，有网络犯罪团伙发来消息宣称掌握了其客户的资料，并威胁将公开这些资料。 上周，英国科技新闻网站The Register报道称，原国有保险公司Medibank于10月13日透露，因“在其网络上发现了异常活动”，已下线旗下子品牌“ahm”的各个系统及为海外学生提供保险产品的应用。该公司表示，没有发现表明敏感数据被盗的证据，但聘用了网络安全公司确保其掌控局面。 10月17日，Medibank发布情况更新通告，称该事件“应验了勒索软件事件前兆”，并解释称，已出于谨慎下线了上述应用，还利用停机时间提升了整个运营的安全性。 该公司于10月19日发布的通报则揭示了更糟糕的情况： 今天，Medibank集团收到某团伙发来的消息，称其希望与公司就其所谓的客户数据删除事宜进行谈判。 “这是个新情况，Medibank立即紧急查证情况是否属实，尽管正在进行的调查取证表明我们当前已谨慎对待此事。” Medibank原为国有非营利保险公司，国营近40年后才于2014年在澳大利亚证券交易所挂牌上市。该公司通告澳大利亚证券交易所称，由于服务可能中断，公司将暂停其股票交易。 澳大利亚媒体报道称，联系Medibank的团伙威胁要向数据库中的人发送这些个人数据，证明他们持有该保险公司客户的数据。如果Medibank不讨论花钱防止泄露范围扩大，所谓的攻击者表示将出售这些盗得的数据。 澳大利亚内政部长认为该事件堪称“重大”，并向澳大利亚国民发出警告，称此类网络攻击是令人不快的新常态。 关于Medibank网络事件的声明： Medibank发生了重大网络安全事件。事实仍在证实中。 我已联系了Medibank首席执行官David Koczkar和澳大利亚国防信号局（@ASDGovAu ）及澳大利亚联邦警察（@AusFedPolice）的负责人。 —— Clare O”Neil MP (@ClareONeilMP) 2022年10月19日 此事件升级之前，新加坡电信旗下澳大利亚电信运营商Optus才泄露了近1000万条记录，并因为前后不一致且毫无同理心的回应而引发众怒。 Medibank数据泄露、Optus黑客攻击和其他一些规模较小的安全事件，令信息安全话题在澳大利亚新闻媒体上此起彼伏了几乎一个月。所有企业都感受到了整顿自家网络的压力——如果他们能够整顿的话。 10月20日，Medibank又发布了关于当前情况的更新通告： ● 一名犯罪分子联系Medibank宣称盗取了200GB数据。 ● 此人提供了包含100份保单的记录样本，我们认为样本中的记录出自ahm和国际学生系统。 ● 样本数据中包含姓名、住址、生日、医保编号、保单号、电话号码和一些索赔数据。 ● 这些索赔数据包括客户接受医疗服务的地点，以及与他们的诊断和治疗相关的规定。 ● 这名犯罪分子宣称还盗取了其他信息，例如信用卡安全相关数据，但我们的调查尚未验证此事。 Medibank补充道，公司正在努力“了解还有其他哪些客户数据受到影响”，并已开始联系受影响的客户，“向其通告事件最新进展，以及提供后续支持和帮助”。 转自 安全内参，原文链接：https://www.secrss.com/articles/48200 封面来源于网络，如有侵权请联系删除