关键信息基础设施安全动态周报【2020年第10期】
发布时间:
2020-03-13
来源:
作者:
访问量:
79
目 录
第一章 国内关键信息基础设施安全动态
(一)IT/OT一体化工业信息安全态势报告:勒索病毒仍是最大威胁
第二章 国外关键信息基础设施安全动态
(一)Rockwell和Johnson公司ICS设备中存在严重漏洞
(二)欧洲电网组织ENTSO-E办公网络遭受黑客攻击
(三)Phoenix Contact工业4G路由器存在多个漏洞致其易受攻击
(四)钢铁制造商EVRAZ遭受勒索软件Ryuk攻击
(五)大型国防承包商CPI因遭受勒索软件攻击而被迫下线
(六)俄罗斯黑客组织Turla使用新型代码攻击亚美尼亚政府网站
(七)Bitdefender研究人员发现新型边信道攻击
(八)微软成功破坏Necurs僵尸网络在美国的基础架构
(九)美国达勒姆市遭受勒索软件Ryuk攻击致其网络关闭
(十)埃森哲以1.4亿美元收购英国网络安全咨询公司Context
第一章 国内关键信息基础设施安全动态
(一)IT/OT一体化工业信息安全态势报告:勒索病毒仍是最大威胁
近日,工业控制系统安全国家地方联合工程实验室发布了《IT/OT一体化工业信息安全态势报告》。报告显示,工控系统相关漏洞增长情况居高不小,安全形势十分严峻。在2019年工业应急响应安全事件中,病毒攻击仍然是工业企业遭受失陷的主要原因,其中,病毒多为“永恒之蓝”蠕虫变种、挖矿蠕虫。
工控系统漏洞增长情况居高不下
根据中国国家信息安全漏洞共享平台最新统计,截止到2019年12月,CNVD收录的与工业控制系统相关的漏洞高达2306个,2019年新增的工业控制系统漏洞数量达到413个,基本和2018年持平。而另据CVE、NVD、CNVD、CNNVD四大漏洞平台收录的漏洞信息显示,2019年共收录了690条漏洞工业控制系统漏洞。数据居高不下,安全形势十分严峻。
其中,高危漏洞占比57.3%,中危漏洞占比为35.5%,中高危漏洞占比高达92.8%。且漏洞成因多样化特征明显,技术类型多达30种以上。无论攻击者利用何种漏洞造成生产厂区的异常运行,均会影响工控系统组件及设备的可用性和可靠性。
在收录的工业控制系统安全漏洞中,多数分布在制造业、能源、水务、商业设施、石化、医疗、交通、农业、信息技术、航空等关键基础设施行业。一个漏洞可能涉及多个行业,在690个漏洞中,有566个漏洞涉及到制造业,也是占比最高的行业。涉及到的能源行业漏洞数量高达502个。
工控系统互联网暴露总数持续攀升,中国同比增长2.7倍
造成工控系统暴露的主要原因之一是“商业网络(IT)”与“工业网络(OT)”的不断融合。随着云计算、物联网、大数据技术的广泛应用,工控系统已渐渐从最初的封闭状态向开放状态改变。暴露在互联网上的工业控制系统设备也随之越来越多,从而增加了攻击者的攻击面积。
根据Positive Technologies研究数据显示:当前全球工控系统联网暴露组件总数量约为22.4万个,同比去年增长27%。将可通过互联网访问的工业控制系统组件(工控设备、协议、软件、工控系统等)数量按照国家进行分类,美国联网的工控设备暴露情况最为严重,达到95661个,其次为德国,联网工控组件达到21449个,相比去年而言,中国工控系统互联网暴露数量呈现明显增长趋势,由6223个增长到16843个,增长比例高达2.7倍,排名第三。
需要注意的是,一方面,某地区工控系统在互联网上暴露的越多,往往说明该地区工业系统的信息化程度越高,工业互联网越发达;而另一方面,暴露的比例越大,也往往意味着工控设备将直接面对来自互联网的威胁。
勒索病毒攻击仍是工业安全面临的主要威胁
2019年根据该报告数据显示,遭受勒索病毒攻击仍然是工业企业面临的最大挑战。需要注意的是,病毒攻击的主要目标是工业主机,然而工业主机大多数处于裸奔状态,因此,工业企业应落实工业主机的安全防护。
2019年2月,某大型制造企业的卧式炉、厚度检测仪、四探针测试仪、铜区等多个车间的机台主机以及MES(制造执行系统)客户端都不同程度的遭受蠕虫病毒攻击,出现蓝屏、重启现象。工业安全应急响应中心人员到达现场后发现,当前网络中存在的主要问题是工业生产网和办公网网络边界模糊不清,MES与工控系统无明显边界,在工业生产网中引入了“永恒之蓝”等勒索蠕虫变种,感染了大量主机。
同时需要注意,目前很多企业存在着轻视安全运营的现象。对此报告认为,工业企业可以利用外部资源,特别是安全公司提供的远程、驻场或托管式安全运营服务开展工作。工业企业也可以把安全运营工作上移到集团、行业等平台,通过委托方式用专业安全团队来提供安全保障。基于此,不仅可以在威胁发现、风险预测、处置响应、追踪溯源等方面大幅度提高工业企业网络安全防护能力,还可以减少人力资源投入、降低工业企业安全运营成本。
本文版权归原作者所有,参考来源:IT168 https://dwz.cn/olKvI10t
第二章 国外关键信息基础设施安全动态
(一)Rockwell和Johnson公司ICS设备中存在严重漏洞
罗克韦尔自动化Rockwell Automation和江森自控Johnson Controls的工业控制系统装置中发现了几乎不需要掌握任何技巧即可使用的安全漏洞,该影响设施的PLC和物理访问控制系统的漏洞严重等级为9.8。
罗克韦尔自动化设备中的一系列关键漏洞会影响MicroLogix 1400控制器、MicroLogix 1100控制器和RSLogix 500软件。该控制器是可编程逻辑控制器PLC,是电力公司和工厂等环境中的关键设备,可以控制工厂装配线和其他工业环境中的物理机械足迹。
这些错误可能使攻击者能够访问敏感的项目文件信息,包括密码。其CVSS v3分数为9.8。该漏洞包括使用硬编码的加密密钥、使用破损或危险的算法进行密码保护、使用客户端身份验证、和明文存储敏感信息。
第一个漏洞CVE-2020-6990是由于使用加密密钥来帮助保护帐户密码被硬编码到RSLogix 500二进制文件中而引起的。攻击者可以识别加密密钥,并将其用于进一步的加密攻击,最终可能导致远程攻击者获得对控制器的未授权访问。另一个漏洞CVE-2020-6984还可以发现用于保护MicroLogix中密码的加密功能。身份验证漏洞CVE-2020-6988允许未经身份验证的远程攻击者将RSLogix 500软件的请求发送到受害人的MicroLogix控制器。然后,该控制器将使用已使用的密码值响应客户端,以在客户端上对用户进行身份验证。这种身份验证方法可能使攻击者完全绕过身份验证,泄露敏感信息或泄漏凭据。最后,电子邮件功能中存在明文存储漏洞CVE-2020-6980。如果将简单邮件传输协议(SMTP)帐户数据保存在RSLogix 500中,则当受害人项目可以访问的本地攻击者可以将SMTP服务器身份验证数据以明文形式写入项目文件中,从而能够收集该信息。
MicroLogix 1400系列B控制器和RSLogix 500软件的用户可以更新到最新版本,以缓解问题。但是,罗克韦尔自动化表示,MicroLogix 1400系列A控制器或MicroLogix 1100控制器没有缓解措施。
本周披露的另一个关键ICS漏洞存在于江森自控的Kantech EntraPass产品中,该产品是一种物理安全门平台,用于工业环境中的访问控制。该问题的严重等级也为9.8,是不正确的输入验证漏洞CVE-2019-7589。成功利用此漏洞可能允许执行恶意代码与系统级权限。API可能允许攻击者使用系统级特权上载和执行恶意代码。 成功的利用可能使网络犯罪分子有能力允许或禁止使用设施。
v8.10之前的所有Corporate Edition版本和v8.10之前的所有Global Edition版本都会受到该错误的影响,该错误是江森自控内部安全团队发现的。用户可更新到EntraPass版本8.10以解决该问题。
天地和兴工控安全研究院编译,参考来源:threatpost https://dwz.cn/gd1Gt1Ne
(二)欧洲电网组织ENTSO-E办公网络遭受黑客攻击
3月9日,欧洲电力传输系统运营商网络(ENTSO-E)证实,其办公网络遭受入侵。该组织进行了风险评估,并且已经制定了应急计划以减少进一步攻击对网络的影响。ENTSO-E为确保欧洲电力市场协调的组织。
ENTSO-E表示,受损的办公室网络未连接到任何可操作的电力传输系统,故攻击仅限于IT系统,并且不会影响关键控制系统。
ENTSO-E总部位于布鲁塞尔,由来自欧洲35个国家的42个电力传输系统运营商(TSO)组成。TSO是负责跨主要高压电网传输电力,为包括发电机和配电器在内的各种电力实体提供电网接入,并确保电力系统安全可靠运行和维护的实体。ENTSO-E与成员组织合作,以实现各种政策,业务和环境目标。目前,该组织正在公开共享有关网络事件的有限信息。ENTSO-E声明说,其办公室网络未连接到任何可运行的TSO系统。该组织在继续监视情况的同时通知其成员。
芬兰输电系统运营商Fingrid表示,该违规行为可能会延迟其支持欧洲电力市场交易的能源识别代码(EIC)的发布。Fingrid声明表示:“攻击并非针对Fingrid或其他传输系统运营商,并且对Fingrid的客户或其他利益相关者没有任何影响,该事件仅影响Fingrid和ENTSO-E之间的文件交换策略。”
瑞典输电系统运营商SvenskaKraftnät的安全经理Erik Nordman表示,他的组织正在调查其系统是否受到影响,并已采取预防措施以限制可能的影响。
挪威TSO Statnett表示,该公司仍在调查该事件,但截至目前为止,没有迹象表明该事件影响了Statnett的IT系统。
Dragos研究人员Joe Slowik 表示,像ENTSO-E这样的组织是黑客的天然攻击目标,他们希望进一步访问电力组织的网络。尽管没有足够的证据来确定谁应对此次入侵负责,但这种违规行为可以促进对受支持的公用事业运营的侦查,或者允许进行后续活动,如网络钓鱼或水坑攻击。
天地和兴工控安全研究院编译,参考来源:cyberscoop https://dwz.cn/xMxa3dbv
(三)Phoenix Contact工业4G路由器存在多个漏洞致其易受攻击
网络安全咨询公司SEC Consult在Phoenix Contact生产的某些工业4G路由器中发现了潜在严重漏洞。Phoenix已发布修复该漏洞的固件更新。
Phoenix Contact是总部位于德国的工业自动化、连接和接口解决方案提供商。
该漏洞会影响各类型Phoenix Contact TC ROUTER和TC CLOUD CLIENT设备。TC ROUTER是一系列工业3G / 4G路由器,专门用于无法使用有线Internet连接的情况。TC CLOUD CLIENT设备提供了工业VPN网关,用于通过4G网络进行远程维护。
SEC Consult发现了三种影响这些路由器的漏洞。其中一个为CVE-2020-9435,与用于HTTPS的硬编码证书的存在有关。攻击者可以利用此证书进行中间人(MitM)攻击、设备模拟和被动解密,从而获取管理员凭据和其他敏感信息。流量可以被目标路由器附近的攻击者截获。有200多个使用此证书的Internet公开设备。德国的VDE CERT 表示,用户在设备的初始配置期间,应替换预安装的证书。该组织已经提供了执行此任务的指导,并表示供应商将来会向设备附带单独的证书。
经过身份验证的攻击者可以利用另一个高危漏洞CVE-2020-9436来进行命令注入,从而使他们可以破坏设备的操作系统。
最后一个漏洞与使用BusyBox工具包的过时且易受攻击的版本有关。这些设备中使用的版本受多个漏洞的影响,其中包括可用于代码执行和写入任意文件的漏洞。
尽管利用这些弱点需要进行身份验证,但SEC Consult表示,攻击者可以使用默认凭据(如果尚未更改),甚至可能使用跨站点请求伪造CSRF攻击来获取利用漏洞所需的访问权限。SEC Consult漏洞实验室负责人Johannes Greil表示,对于使用此类设备的公司而言,影响可能是严重的,因为这类SCADA / RTU设备通常用于关键基础设施。
该漏洞已在1月下旬报告给Phoenix Contact,并在3月初发布了固件更新,这对于工业解决方案供应商而言是令人印象深刻的。组织通常需要花费数月的时间来修补外部研究人员报告的漏洞。Phoenix Contact去年花了几个月的时间发布了一份研究人员公开披露的一些严重漏洞的警告,这些漏洞可能已经被利用来直接从互联网入侵PLC。
天地和兴工控安全研究院编译,参考来源:securityweek https://dwz.cn/I8v9Iopz
(四)钢铁制造商EVRAZ遭受勒索软件Ryuk攻击
全球最大的钢铁制造商和采矿公司之一EVRAZ近日表示,其遭受了勒索软件Ryuk攻击。受感染的为该公司北美分支机构,包括加拿大和美国的钢铁生产厂,大多数工厂都已停止生产。
EVRAZ的IT员工正在努力控制感染并防止其传播。
EVRAZ是全球最大的跨国垂直一体化炼钢和采矿公司之一,总部位于伦敦。该公司主要在俄罗斯运营,但在乌克兰、哈萨克斯坦、意大利、捷克共和国、美国、加拿大和南非也有业务。EVRAZ由俄罗斯寡头和亿万富翁罗曼·阿布拉莫维奇(Roman Abramovich)拥有,该公司在美国拥有1,400多名员工,在加拿大拥有1,800名员工。
EVRAZ只是众多勒索软件感染者中的最新大型公司受害者。过去知名的勒索软件受害者包括福布斯500强公司EMCOR、国防部承包商EWA、律师事务所EPIQ Global、北美铁路公司RailWorks、克罗地亚最大连锁加油站INA Group、零部件制造商Visser、国防承包商CPI、法国ISP和云服务提供商 Bretagne Télécom。
天地和兴工控安全研究院编译,参考来源:ZDNet https://dwz.cn/UJ157IbZ
(五)大型国防承包商CPI因遭受勒索软件攻击而被迫下线
美国加州国防和通信市场电子制造商 Communications & Power Industries(CPI)近日遭受了勒索软件攻击,致其系统被迫下线。该公司支付了约50万美元的赎金,但该公司尚未完全恢复运营。CPI发言人Amanda Mogin证实了该勒索攻击,并表示该公司正在与第三方取证调查公司合作调查事件,调查正在进行中。该公司已经与律师合作,并已及时通知执法部门、政府部门以及客户。
有消息称,域管理员(即网络上特权级别最高的用户)在登录时点击了恶意链接,从而触发了文件加密恶意软件。由于网络上成千上万台计算机位于同一个未分段的域中,勒索软件迅速传播到每个CPI办公室,包括其现场备份。该公司目前正处于“紧急状态”,因为人手短缺,截至2月底,只有大约四分之一的计算机已备份并可以运行。
部分包含敏感军事数据的计算机已通过使用支付赎金获得的解密密钥进行了恢复,其中包含与宙斯盾Aegis系统有关的文件,Aegis是洛克希德·马丁公司开发的一种海军武器系统。洛克希德公司的发言人表示,该公司已经意识到CPI的情况,并且正在遵循洛克希德针对与供应链相关的潜在网络事件的标准响应流程。
CPI其余的许多计算机都从重新安装了操作系统,CPI有约150台计算机仍在运行Windows XP系统,该系统已于2014年停止接收安全补丁。目前尚不清楚攻击中使用了哪种勒索软件,CPI发言人拒绝提供更多消息。
位于美国加州国防和通信市场电子制造商CPI生产军事设备和设备的组件,如雷达、导弹导引头和电子战技术。该公司将美国国防部及其高级研究部门DARPA视为客户。
天地和兴工控安全研究院编译,参考来源:techcrunch https://dwz.cn/CNFNZlvH
(六)俄罗斯黑客组织Turla使用新型代码攻击亚美尼亚政府网站
多年来,与俄罗斯FSB情报机构有关的黑客使用的计算机代码一直困扰着世界各国政府。这些黑客使用的工具与上世纪90年代中后期美国军事网络遭到破坏性破坏有关,并在20多年后被用于对伊朗基础设施的巧妙劫持。
近日,ESET的恶意软件分析师发布了一段新代码,表明俄罗斯黑客组织Turla用来监视亚美尼亚的政府和智囊团网站。Turla特工建立了名为水坑water hole恶意网络基础设施,显然是为了监视亚美尼亚政府官员。
ESET的恶意软件研究人员Matthieu Faou表示,在进行操作之前,Turla的运营者很可能已经知道他们想要锁定的目标,甚至可能知道他们通常使用的IP地址范围。ESET知道去年有两名受此活动感染的受害者,这与Turla的高度挑剔的黑客行为一致。
Turla黑客会精心跟踪他们想感染的受害者。用户首次访问受感染网站时不会受到恶意代码的攻击,攻击者会将网络流量缩减为他们感兴趣的内容。亚美尼亚驻莫斯科大使馆领事处的网站以及亚美尼亚外交政策智囊团均被感染。
Faou表示,鉴于受感染网站的性质,这证实Turla几乎完全是出于政治目的从事网络间谍活动。他认为这些入侵是由Turla的技术团队实施的,然后将对受感染机器的访问权移交给了组织内部的高层人员。俄罗斯在前苏联国家亚美尼亚拥有相当大的经济和外交影响力,那里的民众抗议活动推翻了2018年的一位长期总统。
该间谍活动是莫斯科利用其网络能力在其视为后院的地区投射力量的更广泛模式的一部分。据美国及其盟国称,去年在与亚美尼亚接壤的佐治亚,GRU对政府网站发起了一系列网络攻击。莫斯科否认了这些指控。
人们普遍认为Turla代表KGB的继任者FSB开展工作,多年来一直使用自己的恶意软件进行精确的间谍活动,显示出对其他俄罗斯组织(如与GRU有关的Sandworm)鲁莽行事时表现出克制。
BAE Systems威胁情报负责人Adrian Nish将Turla描述为俄罗斯威胁组织中最有能力的。Nish表示,从某种程度上讲,他们是最专业的,因为他们参与的是纯粹的间谍活动,而不是黑客和泄密或破坏性行动。
天地和兴工控安全研究院编译,参考来源:cyberscoop https://dwz.cn/DTYqTcfI
(七)Bitdefender研究人员发现新型边信道攻击
3月10日,Bitdefender研究人员Shaun Donaldson在其公司网站上发表文章表示,其研究发现了新型边信道攻击。这种基于推测执行的新攻击利用了CPU体系结构中的缺陷,有可能从受保护的内存中泄漏信息。被称为LVI-LFB的行填充缓冲区中的负载值注入是一种新颖的攻击CVE-2020-0551。Bitdefender开发了综合的概念证明,证明了这种新攻击的可行性。诸如Meltdown、Spectre和MDS之类的先前攻击的现有缓解措施不足以完全消除新漏洞。
导致LVI-LFB的简要历史
在2018年,披露了两种新型的微体系结构边信道攻击:Meltdown和Spectre。崩溃允许攻击者推测性地访问不可访问的内存,而幽灵允许攻击者更改分支预测结构以获取推测性任意代码执行。在2019年,披露了另一类微体系结构边信道攻击:微体系结构数据采样或MDS。它使攻击者可以从各种微体系结构数据结构(行填充缓冲区或LFB-MFBDS,加载端口-MLPDS或存储缓冲区-MSBDS)中提取飞行中的数据。这种新的LVI-LFB方法允许攻击者将恶意值注入某些微体系结构中,然后由受害者使用,这可能导致在特权级别之间泄露受保护的秘密数据。
影响力
这种新攻击在多租户和多工作负载的环境中尤其具有破坏性,这些环境在组织内的工作负载组之间或组织之间(例如公共云和私有云)共享的硬件上运行。这是因为,如PoC所示,当满足特定要求时,攻击者控制下的特权较低的进程有可能在特权较高的进程中以推测方式劫持控制流。
最直接的风险是盗窃机密数据,否则,应通过硬件,系统管理程序和操作系统级别的安全边界将机密数据保密。此信息可以包括从加密密钥到密码的所有内容,或者攻击者可能会泄露的其他信息,或用于获得目标系统的进一步控制的信息。
缓解
基于硬件的边信道攻击的缓解策略可分为几类,每种对组织都有一定程度的运营影响。
硬件。这些修复程序直接包含在硬件中,并且仅适用于在识别出体系结构缺陷之后构建的几代CPU。
软件。这些是补丁实施,完全在软件中起作用。内核页表隔离(KPTI)是一种修复程序的示例,该修复程序可以保护隔离的虚拟地址空间中的内核内存,从而使一些推测性的边信道攻击(例如Meltdown)无效。但是,为了有效抵御应用对应用LVI-LFB,需要一种新型的KPTI –水平KPTI。或者,在从特权较低的模式转换为特权较高的模式时,操作系统还必须刷新MDS缓冲区(尤其是LFB),以避免微代码辅助的内存访问以攻击者控制的数据进行推测性执行。
微码。这些缓解措施需要硬件和软件之间的合作。硬件供应商提供了一个微代码补丁,以公开新功能(例如,Spectre,L1TF或MDS缓解措施),然后由管理程序或操作系统供应商使用这些功能来缓解漏洞。
禁用功能。在安全性至关重要的系统上,禁用超线程是一个好主意,就像使用lfence指令序列化所有关键的加载操作一样。其他缓解措施可能涉及对编译器进行修改,以便生成不易受到此类攻击的代码。
结论
这是一种利用现代Intel CPU以性能为中心的功能的新攻击。LVI-LFB通过展示这一高度研究领域中的另一种攻击方法,进一步打破了信任级别之间的障碍。
天地和兴工控安全研究院编译,参考来源:bitdefender https://dwz.cn/ufhwtdJo
(八)微软成功破坏Necurs僵尸网络在美国的基础架构
3月10日,微软宣布其接管了Necurs垃圾邮件僵尸网络使用的美国基础设施,该僵尸网络已分发恶意软件有效载荷并感染900万台计算机。据微软调查,有一台被Necurs感染的设备在58天内向大约4060万个目标发送了大约380万条垃圾邮件。
微软客户安全与副总裁托姆·伯特表示,3月5日纽约东区美国地方法院发布了一项命令,使Microsoft能够控制Necurs用于分发恶意软件并感染受害者计算机的美国基础设施。通过这项法律行动,以及通过涉及全球公私合作伙伴关系的合作努力,微软正在领导各种行动,这些行动将阻止Necurs背后的罪犯注册新的域以在将来执行攻击。
Necurs是当今最大的垃圾邮件僵尸网络,最初在2012年左右被发现,并与Dridex银行木马背后的运营者威胁组织TA505建立了联系。微软表示,僵尸网络还被用来攻击互联网上的其他计算机、窃取在线帐户的凭据以及窃取人们的个人信息和机密数据。该僵尸网络还可以传递虚假的制药垃圾邮件、垃圾邮件和骗局的消息。Necurs恶意软件是模块化的,正如Microsoft观察到的那样,该模块专门用于发送大量垃圾邮件,通过部署在受感染设备上的HTTPS和SOCKS网络代理重定向流量,以及发起DDoS攻击。通过2017年推出的模块,迄今为止尚未检测到Necurs DDoS攻击。Necurs的运营商还提供了僵尸网络租用服务,通过该服务,他们还将租用该僵尸网络给其他网络犯罪分子。其他网络犯罪分子使用该僵尸网络分发各种形式的信息窃取、加密矿和勒索软件恶意有效载荷。
Microsoft通过分析Necurs使用的通过算法系统地生成新域的技术来控制僵尸网络域。这样一来,微软预测僵尸网络运营商在未来两年内将创建并用作基础架构的域名超过600万个。伯特表示:“微软将这些域报告给了世界各国的各自注册机构,因此该网站可以被阻止,从而阻止其成为Necurs基础架构的一部分。通过控制现有网站并抑制注册新网站的能力,我们极大地破坏了僵尸网络。”
微软还与互联网服务提供商ISP和其他行业合作伙伴携手,尽可能多的帮助从受感染计算机中检测并清除Necurs恶意软件。伯特表示:“这项补救工作是全球性的,并涉及通过微软网络威胁情报计划(CTIP)与行业,政府和执法部门的合作伙伴进行协作。对于这种破坏,我们正在与ISP、域名注册机构、政府CERT和执法机构合作,包括墨西哥,哥伦比亚,台湾,印度,日本,法国,西班牙,波兰和罗马尼亚,以及其他地区。”
天地和兴工控安全研究院编译,参考来源:BleepingComputer https://dwz.cn/otJJrxI5
(九)美国达勒姆市遭受勒索软件Ryuk攻击致其网络关闭
当地时间3月6日,美国北卡罗来纳州达勒姆市遭受了勒索软件Ryuk攻击,致其网络关闭。
据报道,勒索软件Ryuk是由俄罗斯黑客组织发起的,一旦有人打开了恶意电子邮件附件,该恶意软件便进入网络。一旦进入内部,Ryuk可以通过文件共享在网络服务器上传播到各个计算机。
该市已按照计划立即向市政府IT人员发出通知,并快速地做出响应,从而最大程度地减少对操作系统的损害。为了防止攻击在整个网络中传播,达勒姆市暂时禁止了达勒姆警察局、达勒姆郡治安官办公室及其通信中心对DCI网络的所有访问。这导致该市的911呼叫中心关闭,并使达勒姆消防局失去电话服务。尽管该市政府没有看到数据被盗的迹象,但该市警告说,用户应提防假冒来自达勒姆市的网络钓鱼电子邮件。
3月11日,该市的核心业务系统已经可以运行,但个人员工的电话和电子邮件访问预计将需要两个星期或更长时间恢复。
天地和兴工控安全研究院编译,参考来源:BleepingComputer https://dwz.cn/IcCUx5zH
(十)埃森哲以1.4亿美元收购英国网络安全咨询公司Context
近日,咨询公司埃森哲以1.4亿美元从Babcock International Group 手中收购了英国知名信息安全服务公司Context Information Security。
Context成立于1998年,总部在伦敦,为政府、金融服务、航空航天和国防以及关键基础设施领域的组织提供高端网络防御、红队威胁情报、漏洞研究和事件响应服务。该公司拥有超过250名员工,并在英国、德国、澳大利亚和美国设有办事处。根据Babcock的说法,Context在截至2019年3月的财年的营业利润为260万美元,截至2019年9月,其总资产为4700万美元。
埃森哲表示,对Context的收购将加强埃森哲安全的产品组合,并加速其在英国和国际上的增长。埃森哲高级负责人Kenly Bissell表示:“此次收购对我们来说是一次完美的匹配,它将全球各地一批高技能的网络安全专业人员联合起来,同时为英国市场的客户提供差异化服务。该交易标志着埃森哲安全部门持续激进的增长,并为我们提供了一个新的有才华的家庭成员分支机构,以帮助客户充满信心和韧性地发展他们的业务。”
Babcock首席执行官Archie Bethel表示:“Context是一项令人兴奋的业务,在网络安全领域已取得了很大成就。我们希望埃森哲能够从这里继续发展业务。这项交易代表了我们业务的进一步集中,并支持我们的中期战略。”
天地和兴工控安全研究院编译,参考来源:securityweek https://dwz.cn/VAquWxzn
天地和兴,安全周报,关键信息基础设施,ICS,工控安全
相关资讯