近日，世界观察组织的专家团队揭露了一种新型流量分配系统（TDS），该系统与附属营销紧密相关，并在多起欺诈计划中被积极利用。由于其URL重定向中独特的“0/0/0”序列，这一系统被命名为R0bl0ch0n TDS，已经对全球约1.1亿互联网用户造成了影响。 附属营销本是一种正当的商品与服务推广方式，但在本次事件中，它被用作散播欺诈广告的手段。研究人员发现，有数百个小规模的附属网络专门推广可疑的优惠，这些优惠往往与知名的诈骗计划相关。 R0bl0ch0n TDS是一个包含众多域名和专用服务器的复杂架构，由Cloudflare提供安全保护。尽管操纵者在他们的计划中加入了一些合法功能，例如退订和反馈机制，但他们也采取了重要措施来隐藏这些操作背后的真正组织。 技术分析显示，R0bl0ch0n TDS中嵌入电子邮件的URL遵循固定模式（<domain>/bb/[0-9]{18}），并通过多个自动重定向将用户引导至假冒商店或调查页面。值得注意的是，由于需要用户参与来绕过假CAPTCHA，这些URL无法被自动化系统准确分析。 专家们还发现，托管假冒调查的域名会主动与第三方网站交换用户数据。例如，域名facileparking.sbs向event.trk-adulvion.com传输信息。这个域名网络从2021年夏天开始运营，在亚马逊网络服务（AWS）服务器上拥有300多个专用IP地址。 DomainTools的数据显示，自2021年起，event子域的A型DNS请求总数约为1.1亿。考虑到每个用户由于指纹识别机制只记录一次DNS请求，这个数字准确地反映了这些欺诈计划所针对的总人数。 研究人员识别了通过R0bl0ch0n TDS分发的两类主要欺诈性优惠： 1. 抽奖活动 提供诱人的中奖信息，要求用户完成在线调查后支付小额运费。实际上，这会导致用户注册定期支付的订阅服务（每两周20至45欧元）。美国联邦贸易委员会报告称，投诉导致的损失总额超过3亿美元，平均每人损失约900美元。世界观察组织的专家认为，考虑到每天发送的广告量，实际损失可能更高。 2.家居改善优惠 推广价格过高的服务，如檐槽过滤器、太阳能电池板、热泵或老年人使用的步入式淋浴。这些计划通常通过电子邮件传播或利用搜索引擎优化（SEO）进行推广。每次用户填写联系表后，附属公司可获得佣金，随后“销售人员”会联系潜在客户。而且，卖家经常故意夸大客户可能有资格获得的政府补贴金额。 R0bl0ch0n TDS的URL通过多种方法进行初始分发： 使用带有URL片段数据的随机AWS子域，这些数据可能与附属程序参数相关联。 使用匹配特定模式的随机Azure子域，URL片段中的数据同样传递给R0bl0ch0n TDS。 使用URL缩短服务。 专家指出，利用AWS或Azure等合法基础设施服务或URL缩短器，附属公司能够轻松地修改和部署新的基础设施，从而绕过谷歌安全浏览或反垃圾邮件过滤器中的检测系统和对策。   转自FreeBuf，原文链接：https://www.freebuf.com/news/406861.html 封面来源于网络，如有侵权请联系删除

7月19日，CrowdStrike的故障更新造成了大规模业务中断。威胁行为者正在使用数据清除工具和远程访问工具并假冒CrowdStrike。研究人员和政府机构发现，由于企业正在寻求帮助来修复受影响的Windows主机，近期利用这种情况的网络钓鱼电子邮件有所增加。 官方渠道建立沟通 7月21日，CrowdStrike表示，公司“正在积极协助客户”解决更新错误带来的影响。公司提醒客户，确保他们是通过官方渠道与合法代表沟通，因为“对手和不良行为者可能会试图利用此类事件。” “我鼓励每个人保持警惕，并确保你与官方CrowdStrike代表接触。我们的博客和技术支持将继续提供最新更新的官方渠道。”——CrowdStrike CEO乔治·库尔茨（George Kurtz） 英国国家网络安全中心（NCSC）也发出警告，指出他们观察到网络钓鱼邮件的数量有所增加。自动化恶意软件分析平台AnyRun注意到“模仿CrowdStrike的尝试有所增加，这可能会导致网络钓鱼。” 恶意软件伪装成修复和更新 7月20日，网络安全研究人员g0njxa首次报告首次报告了一起针对BBVA银行客户的恶意软件攻击活动。这次攻击活动假冒CrowdStrike修复更新来诱骗用户下载，而实际安装一个名为Remcos的远程访问木马（Remote Access Trojan，简称RAT）。这个假冒的修补程序是通过一个钓鱼网站portalintranetgrupobbva[.] com，它伪装成西班牙对外银行的内联网门户。 恶意软件加载器伪装CrowdStrike公司的hotfix AnyRun也在推特上发布了类似的活动信息。攻击者通过一个伪装的热修复程序分发了HijackLoader恶意软件，该恶意软件随后在受感染的系统上释放了Remcos远程访问工具，使得攻击者能够远程控制受影响的计算机。 恶意附件推送数据擦除器 在另一个警告中，AnyRun表示攻击者正在分发一个数据擦拭器，声称产品提供CrowdStrike的更新。AnyRun提示，“它通过删除零字节的文件来破坏系统，然后通过Telegram报告。”另外，一个叫Handala的黑客组织称他们在给以色列公司的电子邮件中冒充CrowdStrike分发数据擦拭器。 该组织通过从域名“crowdstrike.com.vc”发送电子邮件来冒充CrowdStrike，让客户创建新工具来使Windows系统重新在线。执行假CrowdStrike更新后，数据擦除器将被提取到%Temp%下的文件夹中，并启动从而销毁存储在设备上的数据。   转自e安全，原文链接：https://mp.weixin.qq.com/s/f6XiCwv8XLcHV3r8SZqYSg 封面来源于网络，如有侵权请联系删除

近日，网络安全公司趋势科技的分析师发现了Play勒索软件的最新Linux版本变种，专门用于加密 VMware ESXi 虚拟机。 研究人员称这是首次观察到 Play 勒索软件以 ESXi 环境为攻击目标。这表明，该勒索组织可能正在扩大其在 Linux 平台上的攻击范围，从而扩大受害者总数，使得他们的赎金谈判更加成功。 由于 ESXi 虚拟机的资源处理效率更高，在企业转而使用 ESXi 虚拟机进行数据存储和托管关键应用程序后，大多数勒索软件组织都将重点转向了 ESXi 虚拟机。 所以一旦企业的 ESXi 虚拟机被破坏将导致重大业务运营中断，而加密文件和备份则会大大减少受害者恢复受影响数据的选择。 Play 勒索软件 Linux 攻击流程，图源：趋势科技 在调查 Play 勒索软件样本时，趋势科技还发现该勒索软件团伙使用了由名为 Prolific Puma 的威胁行为者提供的 URL 缩短服务。 成功启动后，Play 勒索软件 Linux 样本将扫描并关闭受攻击环境中发现的所有虚拟机，然后开始加密文件（如虚拟机磁盘、配置和元数据文件），并在每个文件末尾添加 .PLAY 扩展名。 趋势科技称，要关闭所有运行中的 VMware ESXi 虚拟机以便对其进行加密，加密程序将执行以下代码： /bin/sh -c "for vmid in $(vim-cmd vmsvc/getallvms | grep -v Vmid | awk '{print $1}'); do vim-cmd vmsvc/power.off $vmid; done" 研究人员在分析时发现，该变种专门针对 VMFS（虚拟机文件系统）设计，VMFS 是 VMware 的 vSphere 服务器虚拟化套件使用的文件系统。 它还会在虚拟机的根目录中投放一张赎金条，该赎金条将显示在 ESXi 客户端的登录门户和虚拟机重启后的控制台中。 Play 勒索软件 Linux 控制台赎金说明，图源：趋势科技 2022 年 6 月，Play 勒索软件首次浮出水面，首批受害者开始在 BleepingComputer 论坛上寻求帮助。 该勒索软件的操作者以从被入侵设备中窃取敏感文件而闻名，他们在双重勒索攻击中使用这些文件，迫使受害者支付赎金，并威胁将被盗数据泄露到网上。 Play 勒索软件的受害者包括云计算公司 Rackspace、加利福尼亚州奥克兰市、汽车零售巨头阿诺德-克拉克、比利时安特卫普市和达拉斯县。 去年12 月，美国联邦调查局在与 CISA 和澳大利亚网络安全中心（ACSC）的联合公告中警告说，截至 2023 年 10 月，该勒索软件团伙已入侵了全球约 300 家组织。 这三个政府机构建议防御者尽可能启用多因素身份验证，保持离线备份，实施恢复计划，并保持所有软件处于最新版本。   转自FreeBuf，原文链接：https://www.freebuf.com/news/406727.html 封面来源于网络，如有侵权请联系删除

据网络安全公司Barracuda近期的一项研究报告，一些攻击者正滥用电子邮件安全服务隐藏恶意链接并传播钓鱼邮件，到目前为止这些攻击已针对至少数百家公司。 这些攻击主要利用了电子邮件安全网关中的URL保护功能，该功能能够检查链接是否指向已知的网络钓鱼或恶意软件网站，并根据结果阻止对该链接的访问或将请求重定向到最终目的地，以此来保护用户免受钓鱼或恶意软件威胁。 从2024 年 5 月中旬开始，Barracuda观察到网络钓鱼攻击利用三种不同的 URL 保护服务来掩盖他们的网络钓鱼链接，且提供这些保护服务的都是信誉良好的合法品牌。 目前还不清楚这些攻击者是如何生成指向其虚假网站的重写 URL， 不过，研究人员推测，他们很可能入侵了企业内部使用这些服务的电子邮件账户，向这些被入侵的账户发送电子邮件（或从这些账户发出电子邮件），以强制重写URL。 随后，只需从生成的电子邮件信息中获取重写的URL，并重复使用来制作新的网络钓鱼电子邮件即可。 在目标域被标记为恶意域之前，这些 URL 将在多个用户的点击中无限期地发挥作用。 一些使用这种技术的钓鱼电子邮件可以伪装成微软的密码修改提醒或 DocuSign 的文档签名请求。 伪装成微软账户密码修改的钓鱼邮件 URL保护功能在实施过程中存在一些争议，最大的一项缺陷是该功能的黑名单制度，难以有效快速更新最新生成的网络钓鱼网站。因为攻击者已经擅长使用便宜的域名生成大量钓鱼URL，当某一个链接被标记为网络钓鱼网站时，可能已经产生了数百名受害者。 另一个缺陷在于该功能会破坏加密电子邮件签名，因为安全电子邮件网关会通过更改链接来修改原始电子邮件。 例如，微软为 Office 365 用户提供了名为 “安全链接 “的功能，在 Outlook 和 Teams 等应用程序中，收到的电子邮件和信息中的链接会被重写为 na01.safelinks.protection.outlook.com/?url=[original_URL]，这一方式过去曾受到安全公司的批评，因为它实际上没有执行动态扫描，且很容易被基于 IP 的流量重定向绕过，或者被使用来自合法和可信域的开放重定向 URL 绕过。 目前，传统的电子邮件安全工具可能很难检测到这些攻击，最有效的防御是通过多层级安全的方法，全面检测和阻止异常或意外活动。   转自FreeBuf，原文链接：https://www.freebuf.com/news/406740.html 封面来源于网络，如有侵权请联系删除

网络安全公司 CrowdStrike 因向 Windows 设备推送有缺陷的更新而导致全球 IT 中断，面临压力。目前，该公司警告称，攻击者正在利用这一情况，以提供修补程序为幌子，向其拉丁美洲客户分发 Remcos RAT。 攻击链涉及分发名为“ crowdstrike-hotfix.zip ”的 ZIP 存档文件，其中包含一个名为Hijack Loader（又名 DOILoader 或 IDAT Loader）的恶意软件加载器，然后启动 Remcos RAT 负载。 具体来说，该存档文件还包括一个文本文件（“instrucciones.txt”），其中包含西班牙语说明，敦促目标运行可执行文件（“setup.exe”）来从问题中恢复。 该公司表示：“值得注意的是，ZIP 档案中的西班牙语文件名和说明表明，此次活动很可能针对拉丁美洲 (LATAM) 的 CrowdStrike 客户”，并将此次活动归咎于一个疑似电子犯罪组织。 周五，CrowdStrike 承认，在 UTC 时间 7 月 19 日 04:09 推送到其适用于 Windows 设备的 Falcon 平台的常规传感器配置更新触发了逻辑错误，导致了蓝屏死机 (BSoD)，令众多系统无法运行，并使企业陷入混乱。该事件影响了运行 Falcon 传感器的客户。 攻击者迅速利用此次事件造成的混乱，建立冒充 CrowdStrike 的域名抢注网站，并向受此问题影响的公司宣传服务，以换取加密货币支付。 建议受影响的客户“确保通过官方渠道与 CrowdStrike 代表沟通，并遵守 CrowdStrike 支持团队提供的技术指导”。 微软表示，此次数字危机导致全球 850 万台 Windows 设备瘫痪，这占所有 Windows 设备的不到 1%。 此次事件再次凸显了依赖单一供应链的风险，标志着历史上最具破坏性的网络事件的影响力和规模首次被正式公开。Mac 和 Linux 设备未受到此次中断的影响。 微软表示：“这一事件表明了我们广泛的生态系统的相互关联性——全球云提供商、软件平台、安全供应商和其他软件供应商以及客户。”“这也提醒我们，对于整个技术生态系统中的所有人来说，使用现有机制优先考虑安全部署和灾难恢复是多么重要。” 英国国家网络安全中心 (NCSC) 警告称，旨在利用此次中断的网络钓鱼信息有所增加。 自动恶意软件分析平台 AnyRun 注意到“冒充 CrowdStrike 的尝试有所增加，这可能会导致网络钓鱼” AnyRun 发现，恶意攻击已开始利用 CrowdStrike 事件来传播 HijackLoader，该程序会在受感染的系统上投放 Remcos 远程访问工具。 为了诱骗受害者安装恶意软件，攻击者将 HijackLoader 负载伪装在 WinRAR 压缩文件中，承诺提供来自 CrowdStrike 的修补程序。 恶意软件加载程序伪装成 CrowdStrike 的修补程序 AnyRun 在另一条警告中宣布，攻击者还以提供 CrowdStrike 更新为幌子分发数据擦除器：“它通过用零字节覆盖文件来破坏系统，然后通过 #Telegram 报告此事。” 虚假的 CrowdStrike 更新会擦除文件 在另一个例子中，AnyRun 指出，网络犯罪分子冒充 CrowdStrike 更新或错误修复传播其他类型的恶意软件。 一个恶意可执行文件通过包含 CrowdStrike 官方更新部分内容的 PDF 文件中的链接传播。该 URL 指向一个名为update.zip的存档，其中包含恶意可执行文件 CrowdStrike.exe。 受害企业还要面临的另一种安全威胁 因为目前几乎所有灾难恢复方案需要受害者手动操作，即删除引发蓝屏的 CrowdStrike 驱动程序。 当完成该步骤后， CrowdStrike 软件处于短暂的防守空白期，用户也可能卸载该软件（比如马斯克一怒之下要求在公司的网络中完全抛弃CrowdStrike 软件）。有研究人员认为，完成此次大规模蓝屏事件的修复工作可能需要耗时数周。这为网络犯罪组织进行新的攻击活动提供了可趁之机。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/b-8jtkq-KG_7PNvZswybqA 封面来源于网络，如有侵权请联系删除

近期，印度加密货币交易所WazirX被黑客入侵，价值超过2.349亿美元的资金被盗。为了保证剩余资产的安全，目前平台关闭了所有提款。WazirX表示，团队正在积极调查这一事件。 1 WazirX遭入侵 7月18日，印度加密货币交易所WazirX被黑客入侵。安全平台Cyvers从其多重签名钱包中发现了多笔可疑交易。Cyvers报告称，黑客已将价值超过2.349亿美元的资金转移到新地址。 为了保证剩余资产的安全，目前平台关闭了所有提款。WazirX表示，团队正在积极调查这一事件。尽管此前他们采取了措施来保护客户的资产，但攻击者似乎在盗窃发生之前就已经破坏了他们的安全防护措施。 2 研究人员发声 据悉，在WazirX公开消息前，7月17日晚上多家区块链安全公司例如Elliptic、Arkham和BlockSec等均表示，他们注意到有价值数百万美元的加密货币被非法转移出了WazirX这个平台。 根据Elliptic公司的说法，攻击者已经利用多种去中心化服务将一些代币换成了以太币。Elliptic公司通过审查区块链数据和其他信息，将这次事件归咎于与朝鲜有关联的黑客。 一位知名的加密货币黑客研究人员指出，最近的一次攻击具有“Lazarus Group攻击的潜在特征”。“Lazarus Group”是一个著名的朝鲜黑客组织，他们以擅长进行引人注目的加密货币平台盗窃而知名。 3 安全漏洞引关注 外媒表示，当下网络犯罪分子持续利用加密货币平台中的安全漏洞来进行大规模的盗窃行为。 不久前一个流行的加密货币平台被盗取了大约800万美元。上个月，日本加密货币交易所DMM Bitcoin被盗，损失了价值超过3亿美元的比特币。加密货币平台仍需进一步加强安全措施来保护用户资产。   转自E安全，原文链接：https://www.secrss.com/articles/68248 封面来源于网络，如有侵权请联系删除

巴西特家具罕见地承认，此次攻击“已经并且可能继续对公司的业务运营产生重大影响。” 安全内参7月18日消息，遭遇勒索软件攻击后，美国最大的家具公司之一被迫关闭制造设施。 巴西特家具（Bassett Furniture）表示，7月10日发现未经授权的访问后，公司关闭了一些IT系统。 该公司在本周一提交的监管文件中写道，黑客“通过加密某些数据文件扰乱了公司的业务运营”，迫使公司启动了事件响应计划。 巴西特家具在向美国证券交易委员会（SEC）提交的8-K文件中表示：“由于采取了关闭部分系统等遏制措施，截至本报告日期，公司的制造设施尚未恢复运营。” “公司的零售店和电子商务平台仍然开放，客户可以下单并购买现有商品；然而，公司目前的订单履行能力受到了影响。” 为了减轻中断影响，公司工作人员正在努力恢复受影响的系统并实施替代方案。 与许多公司在网络攻击后提交给SEC的8-K文件不同，巴西特家具罕见地承认此次攻击“已经并且可能继续对公司的业务运营产生重大影响。影响或一直持续到恢复工作完成之时。” 他们仍不确定这是否会“实质性地”影响公司的财务表现。 截至周二下午，没有任何勒索软件团伙宣布对此次事件负责。 巴西特家具在美国拥有近90家门店，是该国最大的家具制造商和销售商之一。在勒索软件攻击的同一天，公司报告2024年第二季度收入同比下降了17%。 SEC事件披露政策初显威 此次攻击正值各组织向SEC提交关于网络安全事件的8-K文件数量急剧增加之际。 2023年7月，美国SEC通过了一条备受争议的规则，要求公司迅速披露对财务“有重大影响”的网络安全事件。 这条规则引发了上市公司和立法者的愤怒，他们质疑SEC使用“重大网络安全事件”一词时定义不清，因为大多数大型组织每天都面临着无穷无尽的网络入侵。 自该规则生效以来，几乎所有的披露文件都声称，网络攻击对公司的利润没有“重大”影响。然而，数家公司后来承认，事件恢复成本或运营停工的确导致了重大财务损失。 本周，美国联合健康集团和一家汽车经销商公司披露，他们遭遇网络安全事件造成了重大财务影响。   转自安全内参，原文链接：https://www.secrss.com/articles/68248 封面来源于网络，如有侵权请联系删除

近日，专注于 DNS 的安全厂商 Infoblox 的研究人员发现，一个名为 Revolver Rabbit 的网络犯罪团伙注册了 50 多万个域名，通过散布一种叫 XLoader（Formbook 的后继者）的信息窃取恶意软件，收集 Windows 和 macOS 系统的敏感信息或对其执行恶意代码。 为了以如此大的规模开展行动，该威胁行为者依赖于注册域名生成算法（RDGAs），这是一种可以在瞬间注册多个域名的自动化方法。RDGAs 类似于恶意软件中的域名注册算法 (DGAs)，网络犯罪分子利用这种算法创建潜在的指挥与控制 (C2) 通信目的地列表。 两者之间的一个区别是，DGAs 嵌入在恶意软件中，只有部分生成的域名会被注册，而 RDGAs 则保留在威胁行为者手中，所有域名都会被注册。 研究人员可以通过分析 DGAs 并对其进行逆向工程，以了解潜在的 C2 域名，但 RDGAs 是保密的，这就让找到生成要注册域名的模式变得更具挑战性。 Infoblox 称，Revolver Rabbit 控制着 50 多万个 .BOND 顶级域名，这些域名被用来为恶意软件创建诱饵和实时 C2 服务器。考虑到一个 .BOND 域名的价格约为 2 美元，Revolver Rabbit 在其 XLoader 业务上的 “投资 ”接近 100 万美元，这还不包括过去在其他顶级域名上购买的域名。 Infoblox 表示：”这种威胁行为者最常用的 RDGAs 模式是一系列一个或多个字典单词，后面跟着一个五位数的数字，每个单词或数字之间用破折号隔开。” 这些域名通常很容易阅读，似乎专注一个特定的主题或地区，显示出广泛的多样性，示例如下： usa-online-degree-29o[.]bond bra-portable-air-conditioner-9o[.]bond uk-river-cruises-8n[.]bond ai-courses-17621[.]bond app-software-development-training-52686[.]bond assisted-living-11607[.]bond online-jobs-42681[.]bond perfumes-76753[.]bond security-surveillance-cameras-42345[.]bond yoga-classes-35904[.]bond 研究人员说，“最近几个月的跟踪，他们发现 Revolver Rabbit RDGAs 和一些已知的恶意软件有联系，这凸显了 RDGAs 作为威胁行为者工具箱中的一种技术的重要性”。 Infoblox 追踪 Revolver Rabbit 已近一年，但直到最近才弄清楚他们的真实面目。虽然过去也观察到过类似的活动，但没有意识到它们背后有这么大的操作。   转自FreeBuf，原文链接：https://www.freebuf.com/news/406477.html 封面来源于网络，如有侵权请联系删除

据观察，未知黑客组织利用开源工具开展了针对全球政府和私营部门组织的疑似网络间谍活动。 Recorded Future 的 Insikt Group 正在以临时代号 TAG-100 跟踪该活动，并指出攻击者可能攻击了非洲、亚洲、北美洲、南美洲和大洋洲至少十个国家的组织，其中包括两个未具名的亚太政府间组织。 自 2024 年 2 月以来，柬埔寨、吉布提、多米尼加共和国、斐济、印度尼西亚、荷兰、英国、美国和越南的外交、政府、半导体供应链、非营利组织和宗教实体也被列入名单。 该网络安全公司表示：“TAG-100 采用开源远程访问功能，并利用各种面向互联网的设备获取初始访问权限。” “该组织使用了开源 Go 后门Pantegana和Spark RAT进行后利用。” 攻击链涉及利用影响各种面向互联网的产品已知安全漏洞，包括 Citrix NetScaler、F5 BIG-IP、Zimbra、Microsoft Exchange Server、SonicWall、Cisco Adaptive Security Appliances (ASA)、Palo Alto Networks GlobalProtect 和 Fortinet FortiGate。 据观察，该组织还针对至少 15 个国家/地区的组织机构的互联网设备开展了广泛的侦察活动，其中包括法国、意大利、日本和马来西亚等，其中还包括位于玻利维亚、法国和美国的几个古巴大使馆。 该公司表示：“从 2024 年 4 月 16 日开始，TAG-100 针对教育、金融、法律、地方政府和公用事业领域的 Palo Alto Networks GlobalProtect 设备进行了可能的侦察和利用活动。” 据称，攻击活动与CVE-2024-3400 （CVSS 评分：10.0）的概念验证（PoC）漏洞的公开发布同时进行，CVE-2024-3400 是一个影响 Palo Alto Networks GlobalProtect 防火墙的严重远程代码执行漏洞。 成功进行初始访问后，将在受感染主机上部署 Pantegana、Spark RAT 和 Cobalt Strike Beacon。 研究结果表明，PoC 漏洞可以与开源程序相结合，从而策划攻击，有效降低不太熟练的攻击者的进入门槛。此外，此类伎俩还能让对手的归因工作变得复杂，并逃避检测。 Recorded Future 表示：“广泛瞄准面向互联网的设备尤其具有吸引力，因为它可以通过通常具有有限可视性、日志记录功能和对传统安全解决方案的支持的产品在目标网络中提供立足点，从而降低利用后检测的风险。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/ceKHCFQLCZqlbjwPVGj7xg 封面来源于网络，如有侵权请联系删除

来自能源、石油/天然气和公用事业领域的 275 名 IT/网络安全领导者分享了他们遭遇勒索软件攻击的经历。 Sophos 最新的年度研究针对能源、石油/天然气和公用事业领域（支持企业的关键基础设施的核心要素）的真实勒索软件经历，探索了受害者的完整历程，从攻击率和根本原因到运营影响和业务结果。 今年的报告揭示了该行业的新研究领域，包括对赎金要求与赎金支付的探讨，以及能源、石油/天然气和公用事业组织从执法机构获得支持以补救攻击的频率。 提交表单，此处下载报告PDF副本。 勒索软件感染率持稳 2024 年，67% 的能源、石油/天然气和公用事业组织遭受勒索软件的攻击，与 2023 年报告的攻击率相同。 98% 的能源、石油/天然气和公用事业组织在过去一年遭受勒索软件攻击，他们表示网络犯罪分子在攻击期间试图破坏其备份。其中五分之四 (79%) 的备份破坏尝试成功，这是所有行业中备份破坏成功率最高的。 2024 年针对能源、石油/天然气和公用事业组织的勒索软件攻击中有 80% 导致数据加密，与 2023 年该行业报告的加密率 (79%) 一致，但高于 2024 年跨行业平均水平 70%。 2024 年，能源、石油/天然气和公用事业组织从勒索软件攻击中恢复的平均成本为 312 万美元，与 2023 年报告的 317 万美元相似。 受勒索软件攻击影响的设备 平均而言，能源、石油/天然气和公用事业行业中有 62% 的计算机受到勒索软件攻击的影响，远高于 49% 的跨行业平均值。 与其他行业不同，其他行业中只有一小部分组织对其整个环境进行了加密，而大约五分之一的能源、石油/天然气和公用事业组织 (17%) 报告称其 91% 或更多的设备受到影响。 51%的组织使用备份进行数据恢复 61% 的能源、石油/天然气和公用事业组织支付了赎金以恢复加密数据，而只有 51% 的组织使用备份恢复了加密数据，这是所有行业中备份使用率最低的一次。 这是能源、石油/天然气和公用事业组织首次报告支付赎金的倾向高于使用备份。相比之下，在全球范围内，支付赎金的组织占 56%，使用备份的组织占 68%。 今年的调查结果与前两年相比发生了显著变化，当时该行业的备份使用率令人印象深刻（2023 年为 70%，2022 年为 77%）。 一个显著变化是受害者使用多种方法恢复加密数据的倾向有所增加（例如支付赎金和使用备份）。这一次，35% 的能源、石油/天然气和公用事业组织报告称，他们使用了不止一种方法来加密数据，高于 2023 年报告的 26%。 关键基础设施受害者通常不会支付最初要求的赎金 86 家支付赎金的能源、石油/天然气和公用事业组织受访者分享了实际支付的金额，结果显示 2024 年的平均（中位数）支付金额为 250 万美元。 略少于一半（48%）的受访者表示，他们的付款与原始要求相符。26% 的人支付的金额低于原始要求，27% 的人支付的金额更多。 从行业数据来看，能源、石油/天然气和公用事业最倾向于支付攻击者要求的原始赎金金额。这也是支付低于原始要求金额的倾向第二低的行业。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/O3SHo9cdffsRXRG1jZ3LYA 封面来源于网络，如有侵权请联系删除