记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华构筑数据勒索的最后一道防线
近年来勒索攻击造成的风险不断上升。2020年,全球勒索攻击造成的损失达到200亿美元,勒索攻击占所有攻击事件的30%以上,已经逐步成为企业面临的最需要关注的安全风险之一,而这种风险还在不断提升。虽然现阶段勒索防护需要采用体系化的手段,即依托终端安全、数据安全和安全服务的多维度防护,但数据恢复是勒索攻击防护的最后一道防线。在调研中发现,我国有22%的企业受到过勒索攻击,而支付赎金的比例不足一半。对所有的甲方调研发现,有55%的用户选择在面临勒索攻击时绝不交赎金。
南非司法部遭勒索软件攻击 导致无法使用所有电子服务
据外媒报道,南非司法和宪法发展部正在努力恢复其运作,因为最近的勒索软件攻击加密了其所有系统,导致内部和公众无法使用所有电子服务。作为攻击的后果,司法和宪法发展部表示,儿童抚养费的支付现在被搁置,直到系统重新上线。
该事件发生在9月6日,该部门启动了此类事件的应急计划,以确保该国的一些活动继续进行。
南非司法和宪法发展部发言人Steve Mahlangu表示:“(攻击)导致所有信息系统被加密,内部员工以及公众都无法使用。因此,该部门提供的所有电子服务都受到影响,包括签发授权书、保释服务、电子邮件和部门网站。”
上周,Mahlangu表示,在转为手动模式记录听证会后,法庭开庭继续进行。
勒索软件REvil或死灰复燃
臭名昭著的勒索软件组织REvil在IT软件供应商Kaseya遭受重大供应链攻击后一度关闭了其业务。但近日有迹象显示,其又恢复了运营。根据威胁情报公司Recorded Future的报道,该组织的数据泄露站点“Happy Blog”现已重新运行,并通过发布从受害者那里窃取的数据来谋取利益。“在撰写本文时,该网站已列出其在关闭前曾发布的相同受害者名单,此外,REvil的‘支付门户’,也就是受害者与REvil团伙谈判的地方,也已在同一个旧的暗网.onion URL上恢复。”该情报公司表示。
奥林巴斯遭遇Black Matter勒索软件攻击
9月8日,医疗技术公司奥林巴斯的IT系统受到了攻击,攻击发生三天后,该公司发表声明表示正在调查此事件:“作为调查的一部分,我们已暂停受影响系统中的数据传输,并已通知相关外部合作伙伴。我们正在努力发现这次攻击造成的损害程度,并将尽快分享更多可用信息”。负责奥林巴斯公司事务的公司发言人Christian Pott表示:“客户安全和服务没有受到事件的影响。由于正在进行的内部和外部调查过程,我们无法提供任何进一步的信息或声明。”据TechCrunch报道,虽然奥林巴斯没有分享任何有关攻击者身份的详细信息,但在攻击期间受影响的系统上留下的赎金通知指向BlackMatter 勒索软件攻击。
奥林巴斯遭遇 BlackMatter 勒索软件袭击
奥林巴斯在周日的一份简短声明中说,它”目前正在调查一起影响其欧洲、中东和非洲计算机网络的潜在网络安全事件”。“在发现可疑活动后,我们立即动员了一个包括取证专家在内的专门应对小组,目前我们正以最优先的方式解决这个问题。作为调查的一部分,我们已经暂停了受影响系统的数据传输,并通知了相关的外部合作伙伴,”该声明说。
但据一位知情人士透露,奥林巴斯正在从9月8日凌晨开始的勒索软件攻击中恢复。在奥林巴斯周日承认这一事件之前,该人士分享了事件的细节。
四大观察维度,深信服发布《2021上半年勒索病毒趋势报告》
近年来,全球各行业除了应对新冠病毒持续的冲击外,还须面对一种持续激增、愈发顽固的“流行病”——勒索病毒攻击。日前,深信服发布了《2021上半年勒索病毒趋势报告》,从4大观察维度和3大攻击演变视角,对我国目前勒索病毒的危害情况进行了梳理分析。报告数据显示,勒索病毒正在加速进化,攻击手法持续迭代,并且对特定的行业、地域具有明显的针对性。4大观察维度报告研究团队持续追踪国内上半年各大勒索事件,从“感染行业分布”、“攻击咨询行业分布”、“感染地域分布”和“病毒活跃家族”四大维度观察勒索病毒最新动态,并总结出了相应的规律。
面对勒索软件该如何应急处置?
勒索软件是黑客用来劫持用户资源或资源实施勒索的一种恶意程序。黑客利用勒索软件,通过加密用户数据、更改配置等方式,使用户资产或资源无法正常使用,并以此为条件要求用户支付费用以获得解密密码或恢复系统正常运行。
FBI发布“1%”勒索软件警告
近日,美国联邦调查局(FBI)发布了关于一个名为OnePercent Group(1%)的勒索软件团伙的警告,该团伙自2020年11月以来一直在攻击美国公司。该团伙的电子邮件针对组织内部的个人使用社会工程技巧欺骗粗心的员工打开包含在附件ZIP文件中的恶意Word文档。但该钓鱼邮件并不会立刻加密受害者电脑中的数据,而是在受害者的计算机上安装一个名为IcedID的模块化银行木马——IcedID(有时也称为 BokBot),可以在用户尝试访问其在线银行账户时窃取金融机构的登录凭据,同时它还可以下载和投放其他恶意软件。有人认为IcedID是故意以这种方式扩展的,以使其对网络犯罪分子来说更有利可图。
勒索软件利用Exchange 1day漏洞传播全解析
阅读:67一、 事件概述近日,绿盟科技CERT监测发现多起利用Microsoft Exchange多个漏洞(ProxyShell)进行攻击的安全事件,并有新晋的LockFile勒索病毒组织利用ProxyShell与PetitPotam漏洞对企业域环境进行攻击,最终导致多家单位域内主机被批量执行勒索加密。
4 个近期猖獗的新兴勒索软件团体曝光 对企业和关键基础设施构成严重威胁
本周二,网络安全研究人员揭开了 4 个近期比较猖獗的新兴勒索软件团体,它们可能对企业和关键基础设施构成严重威胁。最近勒索软件事件激增的连锁反应表明,攻击者在从受害者那里获取报酬方面正变得越来越复杂,越来越有利可图。
在分享给 The Hacker News 的一份报告中,Palo Alto Networks 的 42 号威胁情报小组表示:“勒索软件危机正处于光明到来之前的至暗时刻,造成最大破坏的网络犯罪集团的阵容正在不断变化”。
在报告中写道:“当这些团伙取得了如此大的名声,以至于他们成为执法部门的优先考虑对象时,他们有时会变得沉默。
CISA 向美国企业与机构发布勒索软件防御和响应指南
在过去几个月里,美国企业遭受了一系列破坏性的的勒索软件攻击,有鉴于此,国土安全部的网络安全和基础设施安全局(CISA)发布了一份防止和应对此类攻击的建议清单。这份名为《保护敏感信息和个人信息免受勒索软件导致的数据泄露》的信息表包含许多建议。此外,该文件建议公司如果成为勒索软件攻击的目标,不要支付赎金。
遭遇勒索软件攻击已成为企业和机构第二常见的网络安全事件
CybSafe对报告给英国信息专员办公室(ICO)的事件的分析显示,2021年上半年,勒索软件攻击占所有报告的网络安全事件的22%。这比2020年上半年的11%有所上升。网络钓鱼仍然领先,占向ICO报告的所有网络安全案件的40%,比前一年的44%略有下降,但勒索软件现在已经挤到了第二位。
教育是受影响最严重的部门,在2021年上半年,勒索软件占了该领域32%的攻击事件比例,而前一年只有11%。随着许多学校急于过渡到远程学习,越来越多的攻击导致学校丢失课程作业、财务记录甚至COVID-19测试数据。
零售业和制造业也继续成为网络攻击的主要目标,在2021年上半年的所有报告事件中占20%。
巴西经济部内部网络遭遇勒索软件攻击
近日,巴西经济部的发布声明称国库秘书处内部网络遭遇勒索软件攻击,声明内容如下:周五晚上(13 日)发现了针对国库秘书处内部网络的勒索软件攻击;已经立即采取了遏制措施,并召集了联邦警察;目前,巴西国家财政部秘书处和数字政府秘书处(DGS)的安全专家正在评估此次攻击的影响;在第一阶段,评估认为该行动没有损害国库秘书处的结构系统,例如综合财务管理系统(SIAFI)和与公共债务相关的系统,正在采取安全措施。据了解,DGS在经济部管理和数字政府特别秘书处下运作,在巴西网络部署中发挥战略作用。
LockBit2.0勒索软件在全球扩散
根据趋势科技近期发布的安全报告,勒索软件团伙在今年7月和8月的攻击中使用了LockBit 2.0版本,该版本具有增强的加密方法。据报道,与LockBit在2019年的攻击和功能相比,2.0版本包括通过滥用Active Directory (AD) 组策略对跨Windows域的设备进行自动加密。其背后的组织声称它是当今市场上速度最快的勒索软件变种之一。报告指出:“LockBit 2.0的使用者以拥有当今勒索软件威胁环境中最快、最有效的加密方法之一而自豪。我们分析发现,虽然它在加密中使用了多线程方法,但它也只对文件进行了部分加密,因为每个文件只加密了4 KB的数据。
安徽省财政厅:勒索病毒全球肆虐,美创诺亚防勒索未雨绸缪
对政企单位而言,勒索病毒当前已成为最大的安全威胁之一,一旦核心数据或文件被加密,除了缴纳赎金,基本上无法解密。安徽省财政厅未雨绸缪,携手美创诺亚防勒索实现以零信任为基础的勒索病毒纵深防御,为财政数据安全提供有力保护。上周,全球财富500强埃森哲遭LockBit勒索团伙攻击,6TB数据失窃,被要求支付5000万美元赎金。伴随各行业数字化的深度普及,勒索病毒愈发肆虐。接连发生的勒索攻击事件给政府、互联网、医疗行业带来严重影响,而传统打补丁、杀毒、防火墙等防护措施仅能在事后对病毒特征进行分析,进而升级、防御。
Vice Society 正利用 PrintNightmare 安全漏洞注入勒索软件
思科 Talos 威胁情报研究团队在一份新报告中指出:微软的 PrintNightmare 安全漏洞,现正被一个名为 Vice Society 的勒索软件团伙所利用。近段时间,Talos 团队一直在密切留意攻击者在利用 Print Spooler 服务的安全隐患。遗憾的是,尽管微软在漏洞修复上耗费了数月的时间,最终取得的成果仍相当有限。
如图所示,Vice Society 会向受害者索要赎金,否则就会通过其网站泄露被盗的数据。
勒索软件 eCh0raix 衍生出新变种:可感染 QNAP 和群晖 NAS 设备
根据安全公司 Palo Alto Networks 的最新报告,知名勒索软件 eCh0raix(也称 QNAPCrypt)近日衍生出一个新变种,现在可以感染 QNAP 以及 Synology 网络附加存储(NAS)设备。
去年 9 月,Palo Alto Networks 就发现了这种新型 eCh0raix 变种,该勒索软件活动的项目名称为“rct_cryptor_universal”,表明该恶意软件可以影响任何供应商。
二季度勒索软件受害者增长47%
网络安全公司Digital Shadows近日跟踪分析31个网络泄漏站点信息后发布了一份新的勒索软件研究报告。该报告的数据显示,超过700家企业在2021年第二季度遭到勒索软件攻击,攻击者还将这些数据发布到了数据泄漏站点上。在勒索软件数据泄漏网站上列出的近2,600名受害者中,有740人在2021年第二季度被点名,与第一季度相比增加了47%。该报告记录了本季度的主要勒索软件攻击事件,其中包括DarkSide对燃油输送管道Colonial Pipeline的攻击、对全球肉类加工商JBS的攻击。
美国司法部牵头成立 StopRansomware.gov 网站 遏制勒索软件攻击
应对勒索软件的威胁,美国政府今天成立推出了一家新网站–StopRansomware.gov。在官方发布的新闻稿中,该网站由美国司法部、国土安全部和联邦合作伙伴共同推进,旨在“帮助私人和公共组织减轻他们的勒索软件风险”。
该网站汇集了来自多个联邦机构的资源。个人和组织以前必须访问多个政府网站才能找到勒索软件指南、警报和更新。美国国土安全部部长亚历杭德罗·马约卡斯 (Alejandro Mayorkas) 在新闻稿中表示:“随着勒索软件攻击在全球范围内持续上升,企业和其他组织必须优先考虑他们的网络安全。网络犯罪分子将关键基础设施、小企业、医院、警察部门、学校等作为目标。
REvil 勒索软件组织的基础设施和网站已神秘下线
昨晚,REvil 勒索软件组织的基础设施和网站已神秘下线。该组织又称之为 Sodinokibi,利用多个明网和暗网运作,用作赎金谈判网站、勒索软件数据泄露网站和后台基础设施。从昨晚开始,REvil 勒索软件组织所使用的网站和基础设施已经神秘地关闭了。
在接受外媒 BleepingComputer 采访的时候,Tor 项目的 Al Smith 表示:“简单来说,显示的这个错误通常意味着该 Onion 网站已经离线或者被禁用。如果你想要确认的话,你需要联系 Onion 网站的管理员”。虽然 REvil 网站在一段时间内失去连接并非闻所未闻,但所有网站同时关闭的情况并不常见。
Kaseya 公司被勒索软件攻击,或影响全球200家企业
供应链攻击是所有企业的噩梦,近日黑客入侵了IT系统管理公司Kaseya ,通过使用该公司的VSA产品来感染用户,然后再通过勒索软件来攻击这些用户。受害者中有瑞典杂货连锁店Coop,这是Kaseya客户之一,该事件目前已经导致Coop的500家商店店面关闭。信息安全公司Huntress称,至少有200家企业受到影响。但Kaseya最初评估全球有40家客户被感染,并表示已通知这些企业立即关闭其VSA数据管理和远程监控服务。“我们正在经历VSA的潜在攻击威胁,截至目前为止,该攻击仅限于少数内部部署客户。我们正在非常谨慎地调查事件的根本原因,并建议用户立即关闭VSA服务器,直到收到我们的进一步通知。
Kaseya 遭遇严重勒索软件攻击 REvil 团伙索要高达 7000 万美元赎金
上周五,美国软件开发商 Kaseya Ltd. 遭遇勒索软件攻击,攻击主要集中在 Kaseya VSA 软件上。据悉很多大型企业和技术服务供应商使用 Kaseya VSA 来管理软件更新,并向电脑网络上的系统发布软件更新。援引外媒 The Record 报道,REvil 勒索软件团伙索要7000 万美元的赎金,以发布一个通用的的解码器。
REvil 是一个臭名昭着的勒索软件团伙。勒索软件会锁住受害者的电脑,直到受害者支付数字赎金,通常以比特币形式支付。此次网络攻击似乎是 REvil 有史以来发起的规模最大的一次。据网络安全专家称,此次攻击事件可能已导致全球多达 4 万台电脑被感染。
从“看得见”到“管得住” 数字化时代医院如何克服勒索攻击恐惧症?
医院,是治病救人的场所,然而面对勒索病毒这一肆虐网络世界的“流行病”,医院几乎束手无策,甚至成为主要受害者。“网络攻击的形式手段有很多,但让我们医院最有切肤之痛的,当属勒索病毒攻击。”虽然事隔数年,安徽医科大学第二附属医院信息中心主任王慧姮仍然对当年的“永恒之蓝”勒索病毒攻击事件心有余悸。而正是这场席卷全球150个国家近20万台电脑的勒索病毒,让包括医疗在内的各行各业,对网络攻击有了空前的认知。据王慧姮主任回忆,在2017年5、6月份,安徽省各主要医院大范围中招,“虽然没有给我们造成灾难性伤害,但我们用了两周时间、二三十人去清理,包括更换了部分电脑,才彻底清除了这轮勒索病毒的影响。
Clop 勒索软件团伙在警方展开突袭行动后又曝光了两位受害者
据外媒报道,就在几天前,乌克兰警方逮捕了Clop勒索软件背后组织的6名成员。上周,乌克兰国家警察(National Police of Ukraine)跟韩国和美国的官员一起进行了一次执法行动,他们逮捕了多名据信跟Clop勒索软件团伙有关的嫌疑人。这被认为是国家执法机构首次大规模逮捕涉及勒索软件的团伙。
乌克兰警方还称,他们已成功关闭了该团伙使用的服务器基础设施。但行动似乎并不完全成功。
尽管Clop行动在被捕后保持沉默,但该团伙本周在其暗网站上公布了一批新的机密数据,声称这些数据是从两位新受害者–一家农用设备零售商和一家建筑事务所–那里窃取的。
80% 支付赎金的企业会遭到二次勒索攻击 其中 46% 来自同一黑客
在遭遇勒索软件攻击之后,不少企业因为无法等待数据恢复、想要尽快恢复业务,选择向黑客支付赎金,那么在支付赎金之后是否就意味着不再成为黑客的勒索目标了吗?一份最新报告显示,几乎一半的受害者会再次成为同一黑客的目标。
根据市场调查机构 Censuswide 公布的最新数据,大约 80% 选择支付赎金的组织会遭到第二次攻击,其中 46% 被认为是来自同一个团伙。一家在勒索软件事件后支付了数百万美元的公司,在交出加密货币后的两周内,又被同一黑客攻击了。
即使受害者支付了赎金以重新获得其加密文件的访问权,也经常出现问题。
Avaddon 勒索软件背后的黑客向安全研究人员主动寄出解密密钥
最近,勒索软件困扰着美国和世界上的许多大公司。不久前,美国的一次攻击关闭了一条输油管,导致一些地区出现燃料短缺,拥有该输油管的公司支付了数百万美元来解密其文件。另一个备受瞩目的勒索软件攻击看到一家美国食品公司向黑客支付了数百万美元,以解密他们的系统并防止文件被泄露。
虽然勒索软件攻击非常有效,并且可以成为攻击者的大笔财富,但Avaddon背后的组织正在关闭,并且已经为所有受害者发布了解密密钥。
报告指出,一封假装来自联邦调查局的电子邮件已经发出,其中包含一个密码和一个受密码保护的压缩文件的链接。该文件声称是Avaddon勒索软件的解密密钥。
全球最大肉类生产厂商JBS承认已经支付1100万美元
全球最大肉类生产商JBS食品公司遭遇勒索软件攻击导致澳大利亚、美国和加拿大工厂停产数日,业界人士曾指出如果停产持续较长时间可导致全球性的肉蛋白质短缺。今天JBS宣布已经支付了1100万美元的勒索软件赎金。JBS公司的一份声明称:“支付赎金的决定是在与内部IT专业人员和第三方网络安全专家协商后做出的,以减轻与攻击相关的任何不可预见的问题,并确保没有数据被泄露。”JBS美国公司首席执行官安德烈·诺盖拉 (Andre Nogueira)表示:“对我们公司和我个人而言,这是一个非常艰难的决定。但是,我们认为必须做出这一决定,以防止我们的客户面临任何潜在风险。
勒索软件黑客攻击了又一家管道公司 70GB 数据已经泄露
当勒索软件黑客上个月攻击Colonial Pipeline并关闭了美国东海岸大部分地区的天然气输送时,世界意识到石化管道行业被黑客破坏的危险。现在看来,另一家以管道为重点的企业也在同一时间受到勒索软件的攻击,但它却对自己的漏洞却保持沉默,即使黑客已经在暗网上公布了70GB的内部文件。
一个自称为Xing Team的组织上个月在其暗网上发布了从LineStar Integrity Services公司窃取的文件集,该公司位于休斯顿,向管道客户销售审计、合规、维护和技术服务。
富士遭遇勒索软件攻击 部分网络已关闭
日本跨国集团富士胶片(Fujifilm)遭遇勒索软件攻击,被迫关闭了部分全球网络。该公司在其网站上发布的一份声明中写道:“富士胶片公司目前正对可能来自公司外部的非法访问进行调查。在调查进行中,部分网络被关闭并与外部通信断开”。
声明中继续写道
2021 年 6 月 1 日深夜,我们察觉到有可能受到勒索软件的攻击。为此,我们采取措施,对有可能受到影响的服务器及电脑停止运行,并断开网络连接。
我们目前正在确认其影响程度和规模。对由此带来的不便,我们向所有的客户和业务伙伴深表歉意。
Colonial Pipeline CEO:向黑客支付 440 万美元是“为国家做的正确事情”
据外媒BGR报道,在Colonial Pipeline证实美国燃料公司强调的一次全新的系统故障不是公司遭受某种新的黑客攻击的产物后一天,Colonial首席执行官Joseph Blount在接受《华尔街日报》采访时“抛出了一颗重磅炸弹”。
早在5月7日,该燃料公司的一名员工在当天早些时候发现了一张来自DarkSide勒索团伙的赎金字条,从而引发了整个事件链。Blount现在证实,他已经做出决定,公司将支付赎金,同意支付440万美元的赎金–因为在那个时候,还公司还不能确定黑客在其系统中的破坏达到了什么程度。
公告
❤永久免费、持续更新、精选优质黑客技术文章的Hackdig,帮你成为掌握黑客技术的英雄❤