计算机巨头宏碁遭到 REvil 勒索软件攻击,攻击者要求受害者需要支付赎金 5000 万美金,这是迄今为止最大的已知勒索金额。宏碁是一家台湾的电子和计算机制造商。宏碁拥有约 7,000 名员工,2019 年收入达 78 亿美元。昨天,勒索软件团伙在数据泄漏站点上分享了一些被盗文件的图像。这些泄漏的图像包括财务电子表格,银行结余和银行通讯的文档。
关于宏碁回复 BleepingComputer 的询问,并没有提供有关他们是否遭受 REvil 勒索软件攻击的明确信息,他们只是向相关的 LEA 和 DPA 报告了最近的异常情况。在发布了文章之后,LegMagIT 的 Valery Marchive 发现了用于攻击宏碁的 REvil 勒索软件样本,不久之后,BleepingComputer 找到了样本,根据赎金记录和受害者与攻击者的谈话可确认,该样本确实是来自于此次攻击。
从受害者与 REvil 之间的对话 (始于 3 月 14 日) 中,宏碁代表对 5000 万美元的巨大赎金额感到震惊。稍后在聊天中,REvil 共享了宏碁数据泄漏页面的链接,该页面在当时是隐秘的。如果在过去的星期三之前付款,攻击者还将提供 20% 的折扣。作为回报,勒索软件团伙将提供解密器,漏洞报告以及被删除的文件。其中有一次 REvil 向宏碁发出了一个隐秘的警告 "不要重复 SolarWind 的命运"。REvil 要求的 5000 万赎金是迄今为止已知的最大赎金金额,第二也是来自 REvil,为 Dairy Farm 网络攻击的 3000 万美元赎金。
发布时间:2021-03-19
发布平台:BleepingComputer
原文链接:
https://www.bleepingcomputer.com/news/security/computer-giant-acer-hit-by-50-million-ransomware-attack/
CopperStealer 恶意软件窃取 Google、Apple 和 Facebook 帐户
通过伪造的软件破解站点分发的盗窃类恶意软件以服务提供商的用户为目标,这些服务提供商包括 Google,Facebook,Amazon 和 Apple。这款由 Proofpoint 研究人员称为 CopperStealer 的恶意软件是一种密码和 cookie 窃取程序,具有下载功能,可让其操作者向受感染的设备提供其他恶意 Payload。该恶意软件背后的参与人员已使用受感染的帐户来运行恶意广告,并在随后的恶意广告活动中投放其他恶意软件。我们分析了针对 Facebook 和 Instagram 商业和广告客户帐户的样本,同时,我们还针对其他服务提供商 (包括 Apple,Amazon,Bing,Google,PayPal,Tumblr 和 Twitter) 确定其版本,CopperStealers 的工作原理是收集保存在 Google Chrome,Edge,Firefox,Yandex 和 Opera Web 浏览器中的密码。它还将使用被盗的 cookie 检索受害者的 Facebook 用户的访问令牌,以收集其他有关数据,包括他们的朋友列表,广告帐户信息以及他们可以访问的 Facebook 页面列表。使用 CopperStealer 的下载器模块释放的恶意软件包括模块化的 Smokeloader 后门以及从多个 URL 下载的各种其他恶意 Payload。尽管 CopperStealer 并不是现存最邪恶的凭据/帐户窃取者,但它表明即使具有基本功能,总体影响还是很大的。
CopperStealer 正在通过伪造的软件破解站点和已知的恶意软件分发平台进行分发,例如,keygenninja[.]com,piratewares[.]com,startcrack[.]com 和 crackheap[.]net。Proofpoint 与 Cloudflare 和其他服务提供商合作,为这些域设置插页式广告,以警告访问者其恶意性质。
发布时间:2021-03-18
发布平台:BleepingComputer
原文链接:
https://www.bleepingcomputer.com/news/security/new-copperstealer-malware-steals-google-apple-facebook-accounts/
网络犯罪论坛 Infraud Organization 的管理员被判入狱 10 年
一位俄罗斯公民与他人共同创立了 Infraud Organization 在线网络犯罪论坛,该论坛贩卖被盗的付款卡数据,与超过 5.6 亿美元的欺诈损失有关,网站管理人员被判处 10 年徒刑。33岁的 Sergey Medvedev 于 2020 年 6 月被控共谋罪名成立。他于周五被判刑。Medvedev 担任 Infraud 论坛的管理员,负责处理该站点的日常管理决策。他可决定谁可以加入论坛,并确定谁可以完全访问托管 Infraud 组织网站的计算机服务器。Medvedev 以在线名称 Stells,segmed 和 serjbear 开头,还经营着代管或货币兑换服务,网络犯罪组织的成员曾利用该服务来促进违禁品的买卖。同样在星期五,北马其顿 31 岁的 Marko Leopard 因欺诈而被判处五年徒刑。在网上处理 Leopardmk 事件的 Leopard 对 2019 年 11 月的一项诈骗阴谋表示认罪。从 2010 年 10 月至 2018 年 2 月,管理该论坛的团伙从事各种身份盗窃和金融欺诈活动。据法院文件显示,该论坛已处理了超过 400 万个支付卡号的买卖。该组织的目标是成为一个用于买卖被盗财产和其他违禁品的首选在线目的地,它也可以作为其他违禁品供应商的来源。网络犯罪论坛的运营商使用各种广告方法将流量从其网站引导,从而帮助其他网络犯罪分子通过销售恶意软件,银行木马,被盗的支付卡详细信息和伪造品进行攻击。
发布时间:2021-03-22
发布平台:infoRisk TODAY
原文链接:
https://www.inforisktoday.com/cybercrime-forum-administrator-sentenced-to-10-years-in-prison-a-16244
DDoS for hire 服务现在正积极滥用配置错误或过时的数据报传输层安全 (D/TLS) 服务器来放大分布式拒绝服务 (DDoS) 攻击。DTLS 是基于 UDP 的传输层安全 (TLS) 协议版本,可防止对延迟敏感的应用程序和服务进行窃听和篡改。根据去年 12 月出现的报告,某次 DDOS 攻击使用 DTLS 来扩大 Citrix ADC 设备的流量,这些设备使用 DTLS 配置,但没有设计用于阻止此类滥用的 HelloClientVerify 防欺骗机制。根据德国 DDoS 防护供应商 Link11 的数据,使用 DTLS 的 DDoS 攻击可以达到 35 倍的扩大倍数,另外根据另一家抵御 DDoS 的 Netscout 公司的信息,扩大倍数为 37.34:1。Citrix 发布了修复一月在受影响的 NeSudier-ADC 设备上的问题,添加了 HeloVoReFieldRevices 设置。然而,两个月后,Netscout 表示,超过 4200 个 DTLS 服务器仍然可以通过互联网访问,已经为滥用反射/扩大 DDoS 攻击做好了准备。Netscout 观察到单向量 DTLS 扩大 DDoS 攻击高达约 44.6Gbps,多手段攻击高达约 206.9Gbps。DDoS for hire 平台,也称为压力源或引导器,现在也使用 DTL 作为扩大手段,一般是不太成熟的攻击者使用。Booter 服务被攻击者、恶作剧者或黑客使用,他们没有时间或技能来构建自己的 DDoS 基础设施。他们租用压力更大的服务来发起 DDoS 攻击,触发拒绝服务,通常会导致目标服务器或站点停机或造成不同程度的中断。与较新的 DDoS 攻击载体的常规情况一样,在高级攻击者使用定制的 DDoS 攻击基础设施的初始阶段之后,D/TLS 反射/扩大已被武器化,并添加到所谓的引导者/压力者 DDoS 租用服务的武器库中。为了减轻此类攻击,管理员可以在暴露于 Internet 的服务器上禁用不必要的 DTLS 服务,或者对其进行修补/配置,以使用 HelloVerifyRequest 反欺骗机制。DHS-CISA 还提供了有关如何检测 DDoS 攻击以及在被 DDoS 攻击时需要采取的措施的指导。
发布时间:2021-03-21
发布平台:BleepingComputer
原文链接:
https://www.bleepingcomputer.com/news/security/ddos-booters-now-abuse-dtls-servers-to-amplify-attacks/
Black Kingdom 勒索软件现在锁定了 Microsoft Exchange 服务器
另一个被称为 Black Kingdom 的勒索软件操作正在利用 Microsoft Exchange Server ProxyLogon 漏洞对服务器进行加密。上周末,安全研究员 Marcus Hutchins (又名 MalwareTechBlog) 发推文说,攻击者正在通过 ProxyLogon 漏洞来破坏 Microsoft Exchange 服务器,以部署勒索软件。根据他的蜜罐中的日志,Hutchins 指出,攻击者使用该漏洞执行 PowerShell 脚本,该脚本从 yuuuuu44[.]com 下载勒索软件可执行文件,然后将其部署到网络上的其他计算机。蜜罐是具有已知漏洞的设备,可在 Internet 上暴露出来,以吸引攻击者并监视其活动。不过,Hutchins 的蜜罐似乎没有被加密,他目睹的攻击被认为是一次失败的竞选活动。
但是,根据 ID Ransomware 提交的信息,Black Kingdom 活动已对其他受害者的设备进行了加密,最早的提交日期为 3 月 18 日。ID Ransomware 的创建者 Michael Gillespie 告诉 BleepingComputer,已经有 30 多个提交到他的系统,其中有些是直接从邮件服务器提交。受害者位于美国,加拿大,奥地利,瑞士,俄罗斯,法国,以色列,英国,意大利,德国,希腊,澳大利亚和克罗地亚。在对设备进行加密时,勒索软件将使用随机扩展名对文件进行加密,然后创建一个名为 crypto_file.TxT 的勒索信息文本文件, Hutchins 说,他看到了另一个名为 ReadMe.txt 的赎金记录,该赎金记录使用的文字略有不同。
BleepingComputer 看到的赎金记录都是需要等值 10,000 美元的比特币,并使用相同的比特币地址 (1Lf8ZzcEhhRiXpk6YNQFpCJcUisiXb34FT)。该比特币地址在 3 月 18 日仅收到一笔付款,此后已转移到另一个地址。
发布时间:2021-03-22
发布平台:BleepingComputer
原文链接:
https://www.bleepingcomputer.com/news/security/microsoft-exchange-servers-now-targeted-by-black-kingdom-ransomware/
恶意软件 Purple Fox 蠕虫变种入侵 Windows 系统
Purple Fox 是一种通过漏洞利用工具包和网络钓鱼电子邮件分发的恶意软件,现在添加了一个蠕虫模块,可让它扫描并感染 Internet 上的 Windows 系统。该恶意软件具有 rootkit 和后门功能,最初在 2018 年被发现,当时感染至少 30,000 设备,并被用作部署其他恶意软件的下载器。Purple Fox 的漏洞利用工具包模块在过去也以 Windows 系统为目标,利用内存损坏和特权提升漏洞后通过 Web 浏览器感染。根据 Guardicore Labs 安全研究人员 Amit Serper 和 Ophir Harpaz 的说法,从 2020 年 5 月开始,Purple Fox 的攻击已大大加剧,总共发生了 90,000 起攻击,感染次数增加了 600%。
基于使用 Guardicore 全球传感器网络 (GGSN) 收集的遥测,该恶意软件的活动端口扫描和利用尝试是于去年年底开始。在扫描设备并发现暴露的 Windows 系统后,Purple Fox 的新添加的蠕虫模块使用 SMB 密码暴力破解文件。根据 Guardicore Labs 的报告,到目前为止,Purple Fox 已将其恶意软件删除程序和其他模块部署在僵尸网络上,僵尸网络由近 2,000 台受感染的服务器组成。僵尸网络中的设备包括运行 IIS 版本7.5 和 Microsoft FTP 的 Windows Server 计算机以及运行 Microsoft RPC,Microsoft Server SQL Server 2008 R2 和 Microsoft HTTPAPI httpd 2.0 以及 Microsoft 终端服务的服务器。Purple Fox 的新蠕虫行为使它可以通过易受攻击的暴露在 Internel 的 SMB 服务强行入侵服务器,从而感染,同时它还利用网络钓鱼活动和 Web 浏览器漏洞来部署其 Payload。
在重新启动受感染的设备并获得持久性之前,Purple Fox 还安装了一个 rootkit 模块,该模块使用开源 rootkit 来隐藏被删除的文件和文件夹或在受感染系统上创建的 Windows 注册表项。部署 rootkit 并重新启动设备后,恶意软件将重命名其 DLL 以匹配 Windows 系统 DLL,并将其配置为在系统启动时启动。一旦在系统启动时执行了恶意软件,每个受感染的系统将随后表现出相同的蠕虫行为,不断地在 Internet 上扫描其他目标,并试图破坏它们并将其添加到僵尸网络中。Guardicore Labs 总结说:“当计算机响应在 445 端口上发送的 SMB 探测时,它将尝试通过强制使用用户名和密码或尝试建立空会话来向 SMB 进行身份验证。如果身份验证成功,则恶意软件将创建名称与正则表达式 AC0 [0-9] {1} 相匹配的服务,例如 AC01,AC02,AC05,该服务将从某一个 HTTP 服务器上下载 MSI 安装包。”
发布时间:2021-03-23
发布平台:BleepingComputer
原文链接:
https://www.bleepingcomputer.com/news/security/purple-fox-malware-worms-its-way-into-exposed-windows-systems/
谷歌披露,一个影响使用高通芯片组的安卓设备的漏洞正被攻击者利用,用来发起有针对性的攻击。该漏洞编号为 CVE-2020-11261 (CVSS 得分 8.4),与高通公司图形组件中的输入验证不正确问题有关,当攻击者设计的应用程序请求访问设备的内存块时,若利用此漏洞,可能会造成内存损坏结果。有迹象表明,CVE-2020-11261 可能受到有限的、有针对性的攻击。CVE-2020-11261 于 2020 年 7 月 20 日被谷歌 Android 安全团队发现并报告给高通公司,之后于 2021 年 1 月修复。
利用漏洞需要对设备进行本地访问,换句话说,要发起成功的攻击,攻击者必须能够物理访问易受攻击的智能手机,或使用其他方式 (例如水坑攻击) 来传递恶意代码并触发攻击链。虽然有关攻击、攻击者身份和目标受害者的详细信息尚未公布,但谷歌拒绝分享此类信息以防止其他人利用。
关键词:CVE-2020-11261
发布时间:2021-03-22
发布平台:The Hacker News
原文链接:
https://thehackernews.com/2021/03/warning-new-android-zero-day.html
- End -
