一个流传了6个月的骗局已经发展到影响iOS用户。黑客利用社交媒体、约会应用程序、加密货币和滥用苹果公司企业开发者计划，从毫无戒心的受害者那里盗取了至少140万美元。 名为CryptoRom欺诈的实施相当直接，在通过社交媒体或现有数据应用程序获得受害者的信任后，用户被愚弄安装一个修改版的加密货币交易所，诱使其投资，然后被骗走现金。 在通过约会应用程序获得受害者的信任后，骗子开始讨论加密货币投资问题。然后，他们被引导到一个看起来像苹果应用商店的网站，然后被告知下载一个移动设备管理程序，让他们控制一些功能，并能够使用由骗子制作的签名应用程序。 在回到假的App Store网页后，毫无戒心的用户会被提示下载一个通过苹果企业配置或超级签名分发方式，用与移动设备管理配置文件证书签名相关的应用程序。该应用程序是Bitfinex加密货币交易应用程序的一个假版本。 然后，受害者被说服向一种加密货币进行小额投资作为概念证明，并被允许提取利润。当进行更多的存款之后，受害者发现无法提现，并被攻击者告知，要么就把钱拿给自己，要么就必须进行更多的投资，或者必须交税才能把钱取出来。 来自Sophos的一份报告详细说明了资金损失的数量。具体来说，一名受害者损失了约87000美元，其他报告发现损失45000美元和25000美元。研究人员发现，有一个比特币地址被转入了不到140万美元。鉴于该欺诈计划可能有多个地址在使用，受害者损失金钱的数字可能更高。   （消息及封面来源：cnBeta）

一份包含 50 万名 Fortinet VPN 用户的登录凭证近日被黑客曝光，据称这些凭证是去年夏天从被利用的设备上刮取的。该黑客表示，虽然被利用的 Fortinet 漏洞后来已经被修补，但他们声称许多 VPN 凭证仍然有效。 这次泄漏是一个严重的事件，因为 VPN 凭证可以让威胁者进入网络进行数据渗透，安装恶意软件，并进行勒索软件攻击。Fortinet 凭证清单是由一个被称为“Orange”的黑客免费泄露的，他是新发起的 RAMP 黑客论坛的管理员，也是 Babuk 勒索软件行动的前操作者。 在 Babuk 团伙成员之间发生纠纷后，Orange 分裂出来创办 RAMP，现在被认为是新的 Groove 勒索软件行动的代表。昨天，该黑客在 RAMP 论坛上创建了一个帖子，其中有一个文件的链接，据称该文件包含成千上万的 Fortinet VPN 账户。同时，Groove 勒索软件的数据泄漏网站上出现了一个帖子，也在宣传 Fortinet VPN 的泄漏。 这两个帖子都指向一个文件，该文件托管在Groove团伙用来托管被盗文件的Tor存储服务器上，以迫使勒索软件受害者付款。外媒 BleepingComputer 对这个文件的分析显示，它包含了 12856 台设备上 498,908 名用户的 VPN 凭证。 外媒没有测试任何泄露的凭证是否有效，但可以确认我们检查的所有 IP 地址都是 Fortinet 的 VPN 服务器。Advanced Intel 进行的进一步分析显示，这些 IP 地址是全球范围内的设备，有 2959 个设备位于美国。 目前还不清楚为什么威胁者发布了这些凭证，而不是为自己所用，但据信这样做是为了推广RAMP黑客论坛和Groove勒索软件即服务行动。高级英特尔首席技术官 Vitali Kremez 告诉 BleepingComputer：“我们高度相信，VPN SSL的泄漏很可能是为了推广新的RAMP勒索软件论坛，为想做勒索软件的人免费提供”。   （消息及封面来源：cnBeta）

据《The Hacker News》报道，一种出现在DNSaaS（DNS即服务）的一类新漏洞可被黑客用来获取企业网络的敏感信息。基础设施安全公司Wiz的Ami Luttwak和Shir Tamari宣布，他们发现了一个简单的漏洞，允许拦截所有通过Google和亚马逊等管理的DNS供应商的互联网流量中的一部分动态DNS流量。 他们进一步解释说，暴露的流量为威胁者提供了他们发动成功攻击所需的所有信息。令人不安的是，这使任何人都有能力看到公司和政府组织内部正在发生的事情。在某种程度上，它相当于国家级别的间谍活动能力，而且这些数据就像注册一个域名一样容易获得。 研究人员说：”我们能够获取到的动态DNS流量来自15000多个组织，包括财富500强企业、45个美国政府机构和85个国际政府机构，这些数据包括大量有价值的情报，如内部和外部IP地址、计算机名称、员工姓名和办公地点。” 在Google云DNS或处理DNS解析服务的亚马逊Route53上进行的域名注册，创造了一个有效消除用户间的隔离并允许访问宝贵信息的场景。因此，如果一个组织在Route53平台上使用AWS名称服务器配置了一个新的域名，在托管区，他们将新的域名与内部网络相关联后，所有公司终端的动态DNS流量都可以被具有相同名称的欺诈性服务器所访问到。 幸运的是，由于Wiz Research团队开发了一个识别DNS信息泄漏的工具，这些漏洞已经被修补。简而言之，该工具发现了可以利用的DNS漏洞，以确定未经授权的内部DDNS更新是否被泄露给了DNS供应商或恶意行为者。 您可以在这里测试并了解更多细节： https://dynamic-dns-checker.tools.wiz.io/   （消息及封面来源：cnBeta）

据外媒报道，这是一群自称是“不关心政治”、想要终结白俄罗斯的“恐怖主义”政权并确保所有人的平等权利的黑客。但白俄罗斯黑客组织Cyberpartisans的行动却引发了人们对白俄罗斯总统亚历山大·卢卡申科的反对者如何解读隐私权的质疑。 Cyberpartisans称，他们已经获得了数百万名白俄罗斯人的护照数据。为了防止据称对公然侵犯普通白俄罗斯人权利负有责任的官员和其他政府雇员躲在匿名的外衣下，Cyberpartisans表示，他们针对白俄罗斯内政部的几个数据库发起了攻击，他们称这是白俄罗斯历史上规模最大的网络攻击。 Cyberpartisans宣称的目标是“破坏”安全机构和其他他们认为支持66岁的卢卡申科实际统治的机构的工作。他们希望截获的一些机密数据能创造“X时刻”–一波推翻政府的集会。 虽然黑客没有透露文件的确切数量，但他们声称已经获得了白俄罗斯安全部队领导人、卢卡申科核心集团成员、国家安全委员会（克格勃）工作人员–包括在欧盟工作的情报人员的机密护照记录。 当地时间7月26日，该组织的Telegram频道公布了克格勃主席Ivan Tertel的护照数据、中央选举委员会主席Lidiya Yermoshina、议会上院主席Natallya Kachanova以及前吉尔吉斯总统Kurmanbek Bakiyev。据悉，Bakiyev自2010年被推翻后一直居住在白俄罗斯。白俄罗斯护照既可作为国内身份证件也可用于国外旅行。 黑客声称，每个人的档案中都包含护照照片和数据、居住证、所在机关或者军事单位的名称、家庭成员的名字等等。 “许多克格勃特工在知道自己的数据已经泄露后，还会准备好在国外行动吗？”其中一名黑客在机器人辅助的Telegram跟《时代》杂志聊天时反问道。 除了护照数据，Cyberpartisans称他们已经访问到了白俄罗斯交通警察的记录。“至少，他们都必须改变他们的交通工具，”一位叫做Cyber-Partisan的匿名黑客评论道，“但更重要的是，特工们将知道，这样的泄密完全有可能再次发生。” Cyber-Partisan补充称，他们还掌握了克格勃住房分配的信息，这意味着“他们将不得不更换所有的公寓。” 他把代号为Zhara的这次行动比作一部动作惊悚片。该名黑客称，该组织在进入几个数据库之前必须要先渗透到政权的设施中，然后打开内政部内部计算机网络的入口。 白俄罗斯数字安全专家Nikolai Kvantaliani则指出，他检查了获得的文件，他并不怀疑获得的信息会影响白俄罗斯的安全部队。“这一切都可能成为继续对白俄罗斯共和国公民实施积极暴力的制约因素，”他这样说道。 黑客组织Ukrainian Cyber Alliance–前苏联地区历史最悠久的网络组织–的发言人对白俄罗斯同行的工作范围感到惊讶。“情报、反情报和克格勃工作人员的护照上有特殊说明(表明他们的职业)，这是完全不安全的。而得到数据的是活动人士和游击队员，而不是特殊服务人员。现在，卢卡申科政权的中坚力量会感到不安，”他说道。 白俄罗斯当局尚未就此次网络攻击发表具体评论。 白俄罗斯克格勃和建立内政部护照数据库的Todes公司也没有回应《时代》关于这次网络攻击的问题。 然而据该国的国营电视台Belarus-1报道，7月30日，克格勃主席Tertel向地方官员表示，跟“外国特别部门”有关联的“破坏性力量”正在利用信息技术(IT)保护国家领导层、安全部队和其他政府机构的个人信息。 Tertel警告称，在波兰、立陶宛、“其他西方国家”和乌克兰学习的官员亲属也成为了“寻找杠杆”的目标。   （消息及封面来源：cnBeta）

罗马周边的拉齐奥地区政府周日表示，黑客攻击了管理COVID-19疫苗接种预约的技术公司的IT系统，导致该系统被关闭。这让与疫苗预约接种相关的所有系统都被停用，包括该地区的卫生门户网站和疫苗接种网络的系统，并警告说接种计划可能会受到延误。 该地区主管官员在Facebook上表示：”一场针对该地区CED（数据库）的强大黑客攻击正在进行中。这是一次非常大的黑客攻击，非常严重……一切都被破坏了。整个地区的CED受到攻击，”拉齐奥地区的卫生经理Alessio D’Amato这样说。 据安莎社报道，意大利邮政警察和罗马检察官正在调查此事，并可能扩展调查范围以找出攻击的幕后黑手。 意大利最近跟随法国宣布，接种疫苗或提供已经对COVID-19免疫的证明将成为参加一系列聚集和室内活动的强制要求。此举在全国范围内引发了一系列抗议活动，反对引入所谓的绿色通行证，该通行证表明人们已经接种疫苗，测试呈阴性或从COVID-19中康复。   （消息及封面来源：cnBeta）

据报道，美国政府今日悬赏1000万美元，征集可以识别或定位恶意网络行为者的信息和线索。这些恶意网络行为者在外国政府的支持下，以美国的关键基础设施为攻击目标。美国国务院在一份声明中称：“针对美国关键基础设施的某些恶意网络行为，可能违反《计算机欺诈和滥用法案》（CFAA）。” 美国国务院还表示，已建立了一个“暗网”举报渠道，以保护潜在消息来源的安全。” 事实上，在去年的美国大选前夕，美国曾出台类似的奖励方案，以缉拿干预美国大选的黑客。 美国国务院当时宣布，如果有任何信息导致查明任何与外国政府合作或为外国政府工作的人，通过 “非法网络活动 “干扰美国选举，将给予最高1000万美元的奖励。这包括对美国选举官员、美国选举基础设施、投票机器的攻击，也包括对候选人及其工作人员的攻击。   （消息及封面来源：cnBeta）

据外媒报道，隶属于Cozy Bear组织的俄罗斯国家黑客是上周针对Synnex的网络攻击的幕后策划者。Synnex是一家为美共和党全国委员会(RNC)提供IT服务的承包商。这次攻击可能泄露了该组织的信息。RNC一位发言人在接受彭博社采访时虽然否认了该组织的系统遭到黑客攻击，但证实其IT供应商之一Synnex已遭到曝光。 RNC就这次攻击发表了以下声明：“上周末，我们被告知第三方供应商Synnex遭到了网络攻击。为此我们立即屏蔽了Synnex帐号对我们云环境的所有访问。我们的团队跟微软合作以对我们的系统进行审查，经过彻底的调查没有RNC数据被访问。我们将继续跟微软及联邦执法官员就此事进行合作。” Synnex则在7月6日发布的一份声明中进一步证实它知道一些外部参与者试图通过Synnex访问微软云环境中的客户应用程序的实例。该公司声称正在跟微软和一家第三方安全公司一起评估这次攻击。据了解，这种操纵跟微软云交互的企业软件而不是直接追踪Azure或Office产品跟SolarWinds在2020年遭遇的黑客攻击有一些相似之处。 这种联系是有道理的：跟俄罗斯对外情报局SVR合作的Cozy Bear成员很大程度上被怀疑为非法目的操纵SolarWinds软件的幕后主使。SolarWinds的入侵可能会暴露100多家公司和政府机构的信息，甚至危及网络安全公司的工具，而这些工具旨在防止此类攻击。 美RNC遭黑客攻击跟民主党全国委员会(DNC)和希拉里·克林顿在2016年总统竞选期间遭遇的黑客攻击之间也存在着相似之处。那次入侵以及维基解密上数千封电子邮件的泄露最终导致俄罗斯军事情报机构GRU的12名成员被起诉。GRU跟另一个受熊类启发的俄罗斯黑客组织Fancy Bear存有关联。 彭博社表示，Cozy Bear的攻击可能是利用了这些勒索软件黑客作为一种掩护，即使他们没有这样做，攻击政治目标仍是一个持续存在的问题并且还不总是以戏剧性的泄露告终。   （消息及封面来源：cnBeta）

Nord Locker 安全分析师发现，在 2018-2020 年间黑客利用一个木马化恶意程序，感染了超过 300 多万台电脑，并从中攫取了 1.2T 以上的敏感信息。这款尚未命名的恶意软件从超过 325 万台 Windows PC 中收集信息，收集的数据包括 20 亿个 cookies 和 110 万个电子邮件相关的约 2600 万个凭证。 这种病毒是由不良分子通过破解的应用程序分发的，包括破解的游戏、破解 Windows 操作系统许可证的工具，甚至还有 Adobe Photoshop 2018。另一种分发病毒的方法是将其嵌入电子邮件，然后通过垃圾邮件活动分发。 该病毒非常有效，因为它很低调，可以不被发现，同时从用户的电脑中窃取数据，而消费者并不知道发生了什么。也许这个病毒最令人不安的地方是，它在感染电脑后通过电脑的摄像头拍下照片。 在这个被盗数据集合中有超过 65 万份 PDF 和 Word 文档，22.4 万张 JPG 图片，以及超过 69.6 万个 PNG 文件。虽然超过一半的被盗文件是文本文件和软件日志，但危险来自于一些用户有在文本文件中存储个人信息、密码和其他类型的私人信息的坏习惯。正如你可能暗示的那样，这些文件也落入了黑客的手中。 该木马程序成功地从超过一百万个网站中窃取了大约 2600 万个登录凭证。被盗的凭证属于各类网站的用户，包括在线游戏、在线市场、求职网站、社交媒体、生产力工具、流媒体服务和电子邮件服务。 在被盗的 20 亿个 cookie 中，约有 22% 在发现时仍然有效。Cookies 可以让黑客进入用户的在线账户，并可以协助他们了解目标的兴趣和习惯。按被盗 cookie 数量比例排名前五的网站是：eBay，超过190万；沃尔玛，26.2万；Gearbest，211万；AliExpress，48.1万；以及亚马逊，350万。   （消息及封面来源：cnBeta）

Ragnar Locker背后的黑客成功地从台湾威刚公司窃取了超过1.5TB的数据，并在网上公布了其中超过700GB的数据。安全事务部表示，这些数据是以13个受密码保护的档案形式上传的。 这个网络犯罪团伙说，这1.5TB的被盗数据包含敏感信息，如保密协议、财务文件、合同和其他文件。该芯片制造商拒绝支付黑客要求的赎金。因此，Ragnar Locker背后的黑客决定公开这些数据。为了证明拥有，他们的发布了几张截图。 这是在网上公布的第二批据称是从威刚盗取的档案。最初，Ragnar Locker在存储平台上发布了档案，但MEGA关闭了该组织的账户并禁止访问该组织的共享文件。本月早些时候，四个7-Zip格式的小档案被发布在泄密网站上。黑客们试图向受害者施压，要求他们支付赎金。 之前美国联邦调查局为了提高私营部门对Ragnar Locker勒索软件的认识，在该年11月发布了一个警告，编号为MU-000140- MW。其中的一些要点包括对重要数据进行离线备份；确保将重要数据复制到无法访问网络的外部硬盘或存储设备上；保护备份，确保数据在存储的系统中不能被修改；在所有主机上安装并保持最新的反病毒或反恶意软件；只使用安全的网络，避免使用公共Wi-Fi网络；考虑建立VPN；结合使用多因素认证和安全密码；保持系统、设备和应用程序安装了最新补丁。   （消息及封面来源：cnBeta）

在遭遇勒索软件攻击之后，不少企业因为无法等待数据恢复、想要尽快恢复业务，选择向黑客支付赎金，那么在支付赎金之后是否就意味着不再成为黑客的勒索目标了吗？一份最新报告显示，几乎一半的受害者会再次成为同一黑客的目标。 根据市场调查机构 Censuswide 公布的最新数据，大约 80% 选择支付赎金的组织会遭到第二次攻击，其中 46% 被认为是来自同一个团伙。一家在勒索软件事件后支付了数百万美元的公司，在交出加密货币后的两周内，又被同一黑客攻击了。 即使受害者支付了赎金以重新获得其加密文件的访问权，也经常出现问题。46%的支付者发现一些数据被破坏；51%的人重新获得了访问权，但没有数据损失；3% 的人根本没有拿回他们的数据。 由于越来越多的受害者拒绝支付，赎金软件的平均支付额正在下降。影响这些公司底线的不仅仅是巨额的加密货币支付。被报道的勒索软件攻击会对公众对公司的看法产生负面影响，一些人对公司的安全行为提出质疑。53%的调查参与者表示，他们的品牌在勒索软件披露后受到了不利影响，66%的人表示他们因攻击而损失了收入。   （消息及封面来源：cnBeta）