研究发现，一种新的勒索软件可以扩大目标范围，躲避安全软件的检测，发动双重勒索攻击。 MountLocker勒索软件在2020年7月开始出现，它在加密前窃取文件，并且要求数百万赎金，这种策略被称为双重勒索。 BlackBerry Research and Intelligence Team的研究人员表示，“MountLocker背后的攻击者显然只是在热身。从7月份开始，他们的勒索要求越来越高。” “与MountLocker相关联的公司效率很高，能够快速过滤敏感文档，在几个小时内对目标进行加密。” MountLocker还加入了其他勒索软件家族，比如Maze（上个月关闭），这些勒索软件在暗网上运营一个网站，羞辱受害者，并提供泄露数据的链接。 到目前为止，这款勒索软件已经有5名受害者，但研究人员怀疑人数可能“多得多”。 MountLocker作为勒索软件即服务（RaaS）提供，它在今年8月初针对瑞典安全公司Gunnebo进行了部署。 尽管该公司表示已成功阻止了勒索软件攻击，但攻击者最终在10月份窃取并在网上发布了18G的敏感文件，这些文件包括客户银行保险库和监控系统的示意图。 现在根据BlackBerry的分析，MountLocker背后的攻击者利用远程桌面（RDP）和泄露的凭证，在受害者的环境中获得初步的立足点（这在Gunnebo的黑客攻击中也有观察到）。然后部署工具执行网络侦察（AdFind），接着部署勒索软件和横向跨网络传播，通过FTP过滤关键数据。 勒索软件本身是轻量级且高效的。执行后，它会终止安全软件，使用ChaCha20密码触发加密，并创建一张勒索便条，其中包含一个Tor.onion URL的链接，通过暗网聊天服务协商解密软件的价格。 它还使用一个嵌入的RSA-2048公钥对加密密钥进行加密，删除卷影副本以阻止加密文件的恢复，并最终将自己从磁盘中删除以隐藏踪迹。 然而，研究人员指出，勒索软件使用一种称为GetTickCount API的加密不安全方法来生成密钥，该方法可能容易受到暴力攻击。 MountLocker的加密目标非常广泛，支持2600多个文件扩展名，包括数据库、文档、档案、图像、会计软件、安全软件、源代码、游戏和备份。 除此之外，我们在11月底发现了MountLocker的一个新变种（称为“版本2”），它删除了加密所需的扩展名列表，转而使用精简的排除列表：.exe、.dll、.sys、.msi、.mui、.inf、.cat、.bat、.cmd、.ps1、.vbs、.ttf、.fon和.lnk。 研究人员总结说：“自从成立以来，MountLocker组织就在扩大和改进其服务。虽然他们目前还不是特别先进，但可能短期内变得更强大。”       消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

在周四的一份公告中，Facebook 安全团队出人意料地透露了 APT32 组织的真实身份。作为近年来最为活跃的黑客组织之一，有消息称其与越南方面有说不清道不明的关系。不过在被发现利用社交平台传播恶意软件并试图感染用户之后，Facebook 已经果断地封禁了与 APT32 有关联的账户 —— 所谓的“CyberOne Security”。 Facebook 安全策略主管 Nathaniel Gleicher 与网络威胁情报主管 Mike Dvilyanski 表示，他们调查到了这些活动与越南 IT 企业 CyberOne Group 有关联。 Gleicher 和 Dvilyanski 补充道，APT32 在 Facebook 上的运作方式，就是通过虚构的角色来创建相关账户也页面，常用的伪装是活动家或商业实体。 然后通过其它诱饵，APT32 可逐步渗透到受害的目标网络中。比如网络钓鱼或恶意软件、甚至指向该组织设法在谷歌官方 Play 商店上传的 Android 应用程序的链接，以进一步监视受害者。 嫌疑账号的 Facebook 主页缓存截图 据信 APT32 组织的早在 2014 年就开始了运作，有时也会被外界称作 OceanLotus，但此前的行动有些杂乱无章。 然而由于此前公布的联系方式已经变灰，外媒暂时无法与 CyberOne 发言人取得联系，发出去的邮件咨询请求也被退回。         （消息及封面来源：cnBeta）

今年10月以来，研究人员发现，恶意软件攻击者在利用一种远程访问木马njRAT（也被称为Bladabindi）从Pastebin下载并传送第二阶段的有效负载。Pastebin是一个流行网站，可匿名存储数据。攻击者利用这一服务发布恶意数据，恶意软件可以通过一个简短的URL访问这些数据，避免使用他们自己的命令和控制（C2）基础设施，以免引起注意。 …… 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1425/         消息及封面来源：paloaltonetworks，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据英国卫报报道，黑客组织Darkside把勒索获得的0.88比特币捐给了Children International和Water Project两家慈善机构，价值1万美元。捐款后，Darkside在暗网公布了得到捐款的这两家慈善机构的收据。根据法律，慈善机构不得保留犯罪收益捐款，但因捐赠加密算法导致捐款无法退回，机构因此陷入尴尬境地。 Children International表示:“如果这笔捐款跟黑客有关，我们将无意保留。” 但Darkside发出警告称:这笔钱是通过加密算法mixer发送的，模糊了比特币的真正发送者和接收者，故无法退回。 资料显示，网络犯罪组织Darkside主要开发勒索软件，通过给电脑加密，借此向大公司勒索牟利。 据了解，这些慈善捐款是Darkside怪异的品牌宣传活动的一部分，其目的是将自己塑造成不同于普通罪犯的形象。该组织表示，根据他们的原则，其不会攻击医院、学校、政府或慈善机构，勒索只针对盈利的大公司进行，如果要求得不到满足，他们就会在网上泄露大公司的数据。             （消息来源：cnBeta；封面来自网络）

外媒报道称，欧洲药品管理局（EMA）刚刚经历了一次网络攻击事件，黑客或许已经窃取了与 COVID-19 疫苗认证相关的文件。生物技术公司 BioNTech 在周三的一份声明中称，攻击者“非法获取”了该公司及其合作伙伴（辉瑞）提请的与候选新冠病毒疫苗有关的监管文件。 负责审查疫苗有效性的欧洲药品管理局（EMA）在官方声明中证实了本次攻击，目前相关调查仍在进行中，因此不方便披露更多细节。庆幸的是，EMA 表示黑客入侵并不会影响相关疫苗的审核与上市安排。 BioNTech 补充道，该公司的服务器并未受到本次攻击事件的影响，目前也没有发现 4.35 万例测试者中有任何人的数据被盗。 目前尚不清楚幕后黑手的真实意图和身份，但一些人猜测可能与正在研发 COVID-19 疫苗的其它制药公司有关。 与此同时，英国已在本周二开启了大规模的疫苗接种计划。其计划使用在临床试验中具有高达 95% 有效率的 BioNTech 和辉瑞疫苗，预计可在 12 月底覆盖 400 万人。           （消息及封面来源：cnBeta）

一个以恶意软件活动著称的俄罗斯黑客组织再次利用COVID-19作为网络钓鱼诱饵进行恶意攻击。 网络安全公司Intezer将这一行动与APT28（又名Sofacy、Sednit、Fancy Bear或STRONTIUM）联系起来，并表示，这些以COVID-19为主题的网络钓鱼电子邮件被用来传播Zebrocy（或Zekapab）恶意软件的Go版本。这些活动是上个月底观察到的。 Zebrocy主要通过网络钓鱼进行攻击，该攻击包含有宏和可执行文件附件的Microsoft Office文档诱饵。 该恶意软件的幕后攻击者于2015年被发现，并与GreyEnergy有所联系。GreyeEnergy被认为是BlackEnergy（又名Sandworm）的继承者，这表明攻击者与Sofacy和GreyEnergy都有关联。 它充当后门和下载程序，能够收集系统信息、文件操作、捕获屏幕截图和执行恶意命令，然后将这些命令过滤到攻击者控制的服务器上。 虽然Zebrocy最初是用Delphi（称为DelPHOCY）编写的，但此后已用五六种语言来实现，包括AutoIT、C++、C#、GO、Python和VB.NET。 本次攻击使用了Go版本的恶意软件。该恶意软件首先由Palo Alto Networks于2018年10月记录，随后Kaspersky于2019年初再次发现。诱饵作为虚拟硬盘（VHD）文件的一部分提供，该文件要求受害者使用Windows 10访问。 VHD文件一旦安装，就会显示为带有两个文件的外部驱动器，其中一个是PDF文件，据称包含关于Sinopharm International Corporation（一家中国制药公司）的幻灯片，该公司研制COVID-19疫苗在后期临床试验中对病毒的有效预防率为86%。 第二个文件是一个可执行文件，它伪装成Word文档，打开后运行Zebrocy恶意软件。 Intezer称，他们还观察到了一次针对哈萨克斯坦的单独攻击，攻击者可能使用了网络钓鱼诱饵，冒充印度民航总局的撤离信。 近几个月来，我们在野外多次发现了提供Zebrocy的网络钓鱼活动。 去年9月，ESET详细介绍了Sofacy针对东欧和中亚国家外交部的攻击活动。 今年8月早些时候，QuoIntelligence发现了一个针对阿塞拜疆政府机构的单独攻击。攻击者假借分享北约训练课程来分发Zebrocy Delphi变种。 Golang版本的Zebrocy后门也引起了美国网络安全和基础设施安全局（CISA）的注意。该局在10月底发布了一份报告，表示：“该恶意软件允许远程攻击者在受损系统上执行各种功能。” 为了阻止此类攻击，CISA建议在使用可移动媒体、打开来自未知发件人的电子邮件和附件、扫描可疑电子邮件附件时要谨慎，并确保扫描附件的扩展名与文件头相匹配。       消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

作为以《巫师》系列被人们所熟知的开发商，CD Projekt 早在 2012 年就宣布了以开放世界、丰富剧情、以及科幻体验为主打的《赛博朋克 2077》项目。但作为 2020 年度最受期待的游戏作品之一，屡次跳票的 CD Projeky 的《赛博朋克 2077》也早已被诈骗分子给盯上。如果你看到打着“免费获取”字样的链接，还请务必提高警惕。 据悉，《赛博朋克 2077》的购置成本在 70 美元（约 458 RMB）左右。但与任何容易被骗子蹭热度的 IP 一样，互联网上已经充斥着各种“白嫖”选项。 软件安全企业卡巴斯基警告称，尽管大多数人会对这种骗局免疫，但大家仍不该对此掉以轻心。通常情况下，这些“李鬼”会附带毫无用处的安装程序。 除了稍微花了点心思装点门面的所谓“正在加载”屏幕，玩家会在各个方面被骗子耍得团团转，比如被要求参与问卷调查、提供私密信息，甚至窃取数据和危害计算机安全。         （消息及封面来源：cnBeta）

据外媒报道，8个月前，白宫新冠病毒特别工作组的Deborah Birx称赞佛罗里达的COVID-19仪表盘是“我们需要把知识和力量交到美国人民手中”的一个例子。据悉，该仪表盘由Rebekah Jones打造。然而在今年5月的时候，Jones被佛罗里达州卫生部门解雇，据称是因为其拒绝操控这些数据来证明该州能重新开放。 现在，佛罗里达州立警方突袭了她的家并拿走了她用来维护一个其个人版的新、独立COVID-19追踪的设备。 Jones在Twitter上发布了一系列关于这一事件的信息，其中包括一段警察持枪进入其房子的视频。 佛罗里达州执法部门(FDLE)向Miami Herald和Tallahassee Democrat证实，警方突袭Jones住宅的时候持有搜查证并没收了她的设备。 Tampa Bay Times上月报道称，有人神秘地向该州紧急公共卫生和医疗协调小组发送了一条未经授权的信息，上面写着“在1.7万人死亡之前大声说出来吧”。你知道这是错的。你不必参与其中。成为一名英雄。趁还来得及说出来。” 根据FDLE提供给媒体的一份宣誓书，执法部门认为是Jones或其住宅内的某个人发送了这条信息的。 尽管上个月有迹象表明该系统可能已经被黑客入侵，但它显然并没有特别强大的安全性：证词称所有的注册用户共享有相同的用户名和密码。 Jones没有立即回应记者的置评请求，但她在Twitter发文称，她买了一台新电脑并将继续更新她的新网站。       （消息来源：cnBeta；封面来自网络）

直升机制造商Kopter在黑客入侵其内部网络并加密公司文件后，成为勒索软件攻击的最新一例受害者。在Kopter拒绝与黑客接触后，勒索软件团伙已于周五在互联网上公布了该公司的部分文件。许多勒索软件团伙在特殊的 “泄密网站”上上传并分享受害者的数据，作为其策略的一部分，向被黑客攻击的公司施加压力，逼迫他们谈判，或者迫使他们支付巨额赎金。 Kopter的企业内部数据已经发布在暗网托管的一个博客上，这一博客由LockBit勒索软件团伙运营。该网站上共享的文件包括商业文件、内部项目以及各种航空航天和国防工业标准文档。 LockBit勒索软件的运营者在一封电子邮件中告诉ZDNet，他们上周利用一个VPN设备入侵了Kopter的网络，该设备使用了一个弱密码，并且没有启用双因素认证（2FA）。 LockBit团伙还表示，他们在暗网上运营着一个门户网站，在那里他们向黑客公司展示有关攻击的细节，包括赎金要求。LockBit运营商表示，Kopter公司有人访问了赎金页面，但该公司并没有在提供给黑客的聊天渠道中与他们接触。 Kopter公司没有在其网站上或通过商业电讯公开披露安全漏洞，公司发言人也没有回复寻求对勒索软件攻击发表评论的电子邮件，周五拨打的电话也仍然无人接听。 这家总部位于瑞士的公司成立于2007年，以其中小型民用直升机系列而闻名。2020年1月，意大利航空航天和国防公司莱昂纳多以未披露的金额收购了Kopter。       （消息来源：cnBeta；封面来源于网络）

在电影或者视频游戏中，你是否曾经看到过有黑客在不接触设备的情况下立即接管某人的设备？也许你认为在当前各大厂商非常注重安全的大背景下不太可能，不过谷歌 Project Zero 安全研究人员 Ian Beer 已经将其变成现实。 在今天更新的博文中，他表示截至今年五月，iPhone、iPad等设备都存在严重的漏洞，能够让攻击者在不接触设备的情况下完全控制设备，包括阅读电子邮件和其他信息、下载照片，甚至能够通过麦克风和相机来观察和收听你的声音。 an Beer 表示这个漏洞的关键是当前 iPhone、iPad、Mac 和 Apple Watch 均使用 Apple Wireless Direct Link（AWDL）协议，而该协议是AirDrop（可轻松将照片和文件传输到其他iOS设备）和Sidecar（快速将iPad变成辅助屏幕）的基础。 Beer 不仅找到了一种方法来利用这一点，而且还找到了一种强制AWDL打开的方法，即使先前已将其关闭。 尽管 Beer 表示虽然没有证据表明这些漏洞已经被黑客利用，但他承认他花了整整 6 个月的时间才发现这个漏洞，并验证可以利用。虽然这个漏洞在今年 5 月已经修复，但他建议不要忽略黑客的攻击力，应该尽快安装升级。苹果没有立即回应置评请求，但苹果确实在2020年5月与漏洞相关的一些安全更新的变更日志中引用了 Beer 的内容。         （消息来源：cnBeta；封面来自网络）