安全研究
全部分类

关键信息基础设施安全动态周报【2021年第12期】

  • 分类:威胁情报研究
  • 作者:天地和兴
  • 来源:
  • 发布时间:2021-03-26 17:44
  • 访问量:

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2021年第12期】天地和兴播报。

关键信息基础设施安全动态周报【2021年第12期】

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2021年第12期】天地和兴播报。

  • 分类:威胁情报研究
  • 作者:天地和兴
  • 来源:
  • 发布时间:2021-03-26 17:44
  • 访问量:
详情

目   录
 

 

第一章 国内关键信息基础设施安全动态

(一)中国限制军方及政府官员使用特斯拉

(二)台湾计算机厂商宏碁遭受勒索软件Revil勒索5000万美元

第二章 国外关键信息基础设施安全动态

(一)TBox RTU中存在漏洞,可使工业组织遭受远程攻击

(二)巴西电力公司CELG遭受网络攻击

(三)GAO警告电网配电系统面临重大网络安全风险

(四)CISA警告通用电气电源管理设备中存在安全漏洞

(五)美国众议院委员会推进工业控制系统法案

(六)美国能源部宣布增强能源部门安全性和弹性的网络安全计划

(七)霍尼韦尔IT系统遭受恶意软件攻击

(八)捷克铁路管理部门遭受黑客攻击

(九)美国军事承包商PDI集团遭受勒索软件攻击

(十)能源公司Shell因使用Accellion FTA设备泄露数据

(十一)航空服务提供商Solairus遭受数据泄露

(十二)英国国防科学院遭受外国势力重大网络攻击

(十三)美国服务器制造商Stratus遭受勒索软件攻击

(十四)物联网设备制造商Sierra Wireless遭受勒索软件攻击致工厂停产

(十五)美国纽约州多县遭受勒索软件攻击

 

第一章 国内关键信息基础设施安全动态

(一)中国限制军方及政府官员使用特斯拉

华尔街日报引述消息来源报导,中国政府已开始限制军方、政府组织、以及国营企业的员工驾驶特斯拉(Tesla)电动汽车,原因是担心特斯拉内建的摄影机及感应器会把所搜集的资料传送回美国,可能危及中国的国家安全。不过,不管是中国政府或是特斯拉都未对此事作出回应。

中国不仅是特斯拉的重要生产基地,也是特斯拉在全球的第二大市场。根据特斯拉提交给美国证券管理委员会的年度财报,特斯拉在全球有五大生产基地,其中有3个位于美国,一个位于德国,还有一个就在中国上海;而在特斯拉于2020年所缔造的295.4亿美元营收中,美国占了152亿美元,中国则以66.6亿美元居次。

华尔街日报则指出,特斯拉车上的摄影机随时都在拍摄周遭的画面,不仅知道车子自何时何地开往哪里,还能取得与行动电话同步的通讯录,使得中国政府担心特斯拉会把固定搜集的资料传回美国服务器,影响中国的国家安全。

消息来源向该报透露,已有一些政府机关接到通知,要求员工不要开特斯拉去上班,且特斯拉还被禁止开往任职于机密产业或政府机构的员工住所,相关禁令适用于所有军方产业、政府机构、以及特定国营企业的员工。

中国商务部在去年9月公布了《不可靠实体清单规定》,准备把危害中国主权、安全与发展利益的外国组织或个人列入黑名单。目前中国政府或特斯拉都未证实此一消息,然而就算此事为真,对特斯拉的限制似乎尚未达到黑名单的程度。
 

本文版权归原作者所有,参考来源:iThome http://dwz.date/e97d
 

 

(二)台湾计算机厂商宏碁遭受勒索软件Revil勒索5000万美元

据报导,勒索软件黑客组织REvil宣称他们攻击了台湾电脑大厂宏基,并公布疑似内有窃取资料的屏幕截图,黑客向宏基勒索5千万美元赎金,约相当于新台币14亿元。这些图片所透露的泄露内容,包含了财务报表、帐户余额,以及与银行之间往来的相关文件。

针对这项传闻,宏碁指出,类似他们这种公司经常受到网路攻击,宏基已经向多个国家相关的执法单位与资料保护部门通报近期察觉到的异常情况。而对于进一步的细节,该公司表示尚有正在进行的调查,但基于安全考量,暂时无法透露细节。

 

 

法国新闻网站LegMagIT指出,这次的针对宏基的REvil勒索软件攻击,黑客疑似索要约5千万美元,是目前为止REvil开出最高的赎金金额。Bleeping Computer随后也找到可能是勒索信息的屏幕截图。该新闻网站推测,宏基与REvil疑似于3月14日开始进行对话,而从屏幕截图来看,黑客威胁要是没有在期限内付钱,赎金就会翻倍到约1亿美元。

 

 

威胁情报公司Advanced Intelligence执行长暨董事长Vitali Kremez表示,他们观察到REvil黑客组织近期锁定一台位于宏基网域的Exchange服务器,而且疑似滥用ProxyLogon漏洞。而勒索软件攻击行动利用这种Exchange漏洞的手法,已有名为DearCry的勒索软件出现,假若REvil黑客组织真的运用ProxyLogon,那么这将是首度滥用相关漏洞的大型勒索软件攻击。
 

本文版权归原作者所有,参考来源:iThome http://dwz.date/e9k6

 

第二章 国外关键信息基础设施安全动态

(一)TBox RTU中存在漏洞,可使工业组织遭受远程攻击

英国工业自动化公司Ovarro近日修补了其TBox远程终端单元(RTU)中的一系列漏洞,这些漏洞可能给组织带来严重风险。

Ovarro的TBox RTU是一种远程遥测解决方案,用于远程自动化和监视关键资产。这些设备在全球范围内使用,包括水利、石油和天然气、电力、运输和加工工业。

 

 

工业网络安全公司Claroty研究人员去年发现,TBox RTU以及相关的TWinSoft工程软件受到五种类型的漏洞影响。这些漏均为高危漏洞。这些漏洞允许攻击者绕过保护功能,导致拒绝服务(DoS)状态,并在目标设备上执行任意代码。

Claroty在其博客文章中表示,“与这些漏洞相关的风险不仅威胁自动化流程的完整性,而且在某些情况下还威胁着公共安全。利用这些安全缺陷,我们能够找到类似于HMI的基于Web的界面,该界面可以监视过程级别和其他工业活动。过去,我们已经看到过这样的接口在没有安全保护的情况下暴露于互联网上会出现什么问题。此类界面在线公开的事实为各种类型的对手消除了许多进入壁垒。”

Claroty对TBox RTU进行了搜索,发现超过62%的暴露于互联网的系统不需要身份验证。Claroty上个月报告说,与往年相比,2020年工业控制系统(ICS)产品中发现的漏洞数量大大增加,去年披露了近900个漏洞。
 

参考来源:SecurityWeek http://dwz.date/e8RU

 

(二)巴西电力公司CELG遭受网络攻击

巴西电力公司CELG 3月19日报告称,该公司在凌晨遭受了一次网络攻击,导致整个公司的应用程序和文件无法访问。
目前尚无法确定损坏的程度,甚至无法确定攻击的来源,但是从当天凌晨以来,信息技术总监表示,该公司正在遵循所有安全协议,包括中止其计算机环境的运行,以保护信息的完整性,并同时保护备份。

与此同时,专门从事该领域的专业人员寻求确定犯罪攻击的模式,并寻求公司解决方案。在工作结束时,随着系统的完全恢复,该公司将研究适当的法律措施,并将与警察当局联系以确认网络犯罪分子。

该公司指出,已经保留了该公司员工的电子邮件服务,而不影响其使用或泄漏个人信息。但是,电子邮件必须在公司外部的环境中使用,就像公司在家庭办公室的各个工作区域中已经发生的那样。

CELG是一家巴西进行发电和输电业务的技术和商业开发公司,成立于1999年,研究、规划、建造和运营发电装置。
 

参考来源:Jornal Opcao http://dwz.date/e8t9

 

(三)GAO警告电网配电系统面临重大网络安全风险

美国政府问责局(GAO)最新发布的一份报告描述了电网配电系统遭受网络攻击的风险,以及此类攻击的潜在影响规模。

在2019年9月至2021年3月期间进行的性能审计之后,GAO发现,电网的配电系统越来越容易受到网络攻击,此类攻击的潜在影响尚不清楚。

据GAO称,能源部门的牵头机构能源部(DOE)尚未在其电网网络安全计划中纳入全面应对配电系统风险的必要措施。在美国政府问责局发布2019年电网网络安全问题报告后,能源部更新了计划。

GAO在新报告中指出,能源部的计划没有解决分销系统与供应链相关的漏洞。根据官员们的说法,能源部在其计划中没有完全解决这些风险,因为它已经优先处理电网发电和传输系统的风险。

在对38个与电网配电系统网络安全相关的关键联邦和非联邦实体进行了半结构化访谈,并审阅了美国能源部和国土安全部(DHS)的报告以及其他相关文件后,GAO得出结论,在实施国家网络安全战略的计划中,美国能源部需要全面解决电网配电系统的网络风险。

GAO表示,电网的配电系统面临着重大的网络安全风险,即威胁、漏洞和影响,并且越来越容易受到网络攻击。威胁行为者越来越善于利用这些漏洞进行网络攻击。然而,这种网络攻击对电网分配系统的潜在影响的规模尚不清楚。

GAO指出,越来越多的网络风险暴露是配电系统中监测和控制技术越来越多使用的结果,例如工业控制系统(ICS)中的远程控制功能、用于电网运营的全球定位系统(GPS)、以及联网的消费设备和分布式能源与配电系统网络的连接。

报告写道,与越来越多地使用技术进步相关的漏洞“对于分发系统来说是复杂的,因为系统的巨大规模和分散性质构成了一个巨大的攻击面”。威胁行为者可能会针对工业控制系统中的漏洞进行初始访问,然后采用其他策略来站稳脚跟,进入受威胁的环境,并横向转移到其他系统。

此类漏洞可能是由于使用没有必要的网络安全保护的遗留系统(有些系统从未设计为连接到互联网)、缺乏传统的IT漏洞扫描,以及由于需要使系统或组件脱机以应用安全修补程序而未及时打补丁造成的。

GAO表示,攻击者可能会利用这些问题来“操纵、中断或扰乱配电设施的物理控制过程或工业控制系统,从而造成中断”。GPS用于同步多个设备之间的实时测量,容易受到干扰和欺骗的攻击,这可能导致测量不同步、设备误操作和停电。

消费者联网设备(其中一些是高功率系统)容易受到网络攻击,一旦连接到配电系统,它们就会带来漏洞,使电网暴露在攻击之下,在攻击中,对手会增加或减少电力需求,以扰乱电网运营。

分布式能源,如屋顶太阳能单元和电池存储单元,也可能带来漏洞,特别是通过它们的控制和通信要求-其中一些设备可能会远程更新,不适当的更新过程也可能影响电网。

GAO还指出,越来越多的网络参与者越来越有能力瞄准电网的配电系统,包括民族国家、网络犯罪集团、恐怖分子、黑客和黑客活动家以及内部人士。

然而,网络攻击对分销系统的影响还不是很清楚。虽然美国报告的网络安全事件中没有一起扰乱了电网的配电系统,但对外国电网系统的攻击已经导致了局部停电。然而,如果这样的攻击目标是美国的一个大城市,停电可能会对全国产生影响。

各州和工业界都已采取行动改善配电系统的网络安全,一些州将网络安全纳入监管职责,一些州甚至聘请了网络安全人员,但这些行动在不同司法管辖区并不统一。

根据GAO的说法,能源部为能源电网实施网络安全战略的计划和评估确实解决了与电网分配系统相关的一些风险,但与工业控制系统、供应链、使用GPS的设备和联网的消费设备相关的脆弱性没有得到解决。

除非美国能源部在其实施电网国家网络安全战略的计划中更充分地解决网络攻击对电网配电系统的风险,包括其潜在影响,否则文件在确定联邦支持的优先顺序以帮助各州和行业改善电网分配系统的网络安全方面的作用可能有限。
 

参考来源:SecurityWeek http://dwz.date/e97D

 

(四)CISA警告通用电气电源管理设备中存在安全漏洞

美国CISA发布警告称,通用电气电源管理设备中存在漏洞,攻击者可利用这些漏洞在Universal Relay(UR)系列的系统上进行多种恶意活动。这些漏洞可被利用来访问敏感信息、重新启动设备、触发拒绝服务条件以及获得特权访问。

影响设备的漏洞类型包括加密强度不足、会话固定、将敏感信息暴露给未经授权的参与者、不正确的输入验证、不受限制地上载具有危险类型的文件、不安全的默认变量初始化、使用硬编码凭据。CISA发布的警报中表示,“成功利用这些漏洞可使攻击者访问敏感信息、重新启动UR、获得特权访问或造成拒绝服务情况。”

GE的UR设备用于控制和保护各种设备的功耗。受影响的UR系列包括B30、B90、C30、C60、C70、C95、D30、D60、F35、F60、G30、G60、L30、L60、L90、M60、N60、T35、T60。通用发布了所有这些设备的安全更新,并敦促客户更新其安装,还发布了缓解措施以解决这些漏洞。GE强烈建议固件版本受影响的用户将其UR设备更新到UR固件版本8.10或更高版本,以解决这些漏洞。

最严重的漏洞是CVE-2021-27426不安全的默认变量初始化漏洞,CVSS评分为9.8分。远程攻击者可以利用该漏洞绕过安全限制。GE UR系列可让远程攻击者绕过由UR IED中不安全的默认变量初始化引起的安全限制。通过发送精心构建的请求,攻击者可以利用此漏洞绕过访问限制。

另一个高危漏洞是CVE-2021-27430硬编码凭证漏洞,CVSS评分为8.4分。UR引导加载程序二进制版本7.00、7.01和7.02包括未使用的硬编码凭据。此外,拥有UR IED物理访问权限CVE-2021-27422的用户可以通过重新启动UR来中断启动顺序。

另一个高危漏洞是CVE-2021-27422,将敏感信息泄露给未经授权的参与者,CVSS评分为7.5分。UR over HTTP协议支持Web服务器接口。它允许在没有身份验证的情况下暴露敏感信息。

GE建议实施网络纵深防御实践,以保护UR IED,包括将UR IED置于控制系统网络安全周界内,并实施访问控制、监控(如入侵检测系统)和其他缓解技术。

CISA建议用户采取防御措施,尽量减少这些漏洞被利用的风险。具体而言,用户应:

1、将所有控制系统设备和/或系统的网络暴露降至最低,并确保无法从互联网访问这些设备和/或系统;

2、找到防火墙后面的控制系统网络和远程设备,并将它们与企业网络隔离;

3、当需要远程访问时,请使用安全方法,如虚拟专用网VPN,但是VPN也可能存在漏洞,应更新到最新的可用版本。

CISA提醒各组织在部署防御措施之前进行适当的影响分析和风险评估。
 

参考来源:SecurityAffairs http://dwz.date/e9Fq

 

(五)美国众议院委员会推进工业控制系统法案

美国众议院国土安全委员会3月18日提出的一项新法案将赋予网络安全和基础设施安全局新的职责,即检测和缓解对工业控制系统的网络威胁。

该委员会资深成员、纽约州共和党众议员约翰·卡特科(John Katko)提出的《2021年国土安全部工业控制系统能力增强法案》,赋予CISA局长在联邦政府“识别和减轻”对计算机系统的风险和威胁的领导角色,这些计算机系统控制着关键的工业系统和流程,如发电和配电、水处理和输送、石油和天然气生产等。

该法案还要求CISA局长向系统用户和制造商提供技术援助,并与利益相关者共享漏洞信息。该法案明确规定,CISA局长的职责涉及“监督控制和数据采集系统”。这项法案是在佛罗里达州一家水处理厂遭到黑客攻击后提出的。

本月早些时候该法案提出时,Katko在一份声明中表示,“这些系统运行着我们国家关键基础设施的许多重要组成部分,仍在不断受到网络罪犯和民族国家行为者的攻击。正如我们最近看到的,当佛罗里达州的一家水处理设施成为袭击目标时,这些袭击可能会带来毁灭性的现实后果。”

在2月份的一次委员会听证会上,CrowdStrike的联合创始人、前CTO Dimitri Alperovitch作证称,政府需要更多地关注工业控制系统。他表示,“我们没有把重点放在保护这些系统上。我们需要一种不同的方法来保护企业网络或笔记本电脑和服务器,就像我们保护与现实世界互动的系统一样,这绝对需要成为政府的重点。”

众议员Jim Langevin的一项修正案将行业风险管理机构添加到利益相关者团体名单中,这些利益相关者团体将就工业控制系统风险和漏洞与CISA局长进行磋商。该法案没有要求系统所有者和制造商向CISA报告漏洞。

纽约州民主党众议员Richie Torres的修正案,要求提交一份政府问责官报告,说明CISA识别和缓解对工业控制系统的威胁的能力以及机构间协调挑战,以及基础设施所有者在工业控制系统风险方面报告漏洞或寻求CISA帮助的程度。
 

参考来源:FCW http://dwz.date/e96a

 

(六)美国能源部宣布增强能源部门安全性和弹性的网络安全计划

美国能源部(DOE)网络安全办公室、能源安全和紧急响应办公室(CESER)3月18日宣布了三个新的研究项目,以保护美国能源系统免受日益严重的网络和物理危害。CESER的新组合将通过解决潜在的全球供应链安全漏洞,保护关键基础架构免受电磁和地磁干扰,以及为下一代网络安全构建研究和人才管道来加强保护。

美国能源部长詹妮弗·格兰霍姆(Jennifer M. Granholm)表示,“我们的能源系统面临着前所未有的威胁,包括来自黑客、外国行为者以及气候变化引发的自然灾难,这就是为什么加强安全性是本届政府的首要任务。此外,拜登总统的清洁能源目标全部取决于弹性的电力基础设施。这些新项目将帮助我们在各种威胁面前领先一步,因此我们可以为美国家庭提供安全、可靠的电力。”

美国众议院能源和商业委员会主席、国会议员弗兰克·帕隆(Frank Pallone)表示,“外国对手正在采取新的侵略性策略,以破坏包括电网在内的关键基础设施。我们必须加大努力,以确保我们的能源部门做好准备,以缓解任何可能威胁到美国人连接网络和使用电力的威胁。我很高兴看到拜登政府如此认真地对待这一问题,并期待与他们紧密合作,以改善我们的能源网络安全和恢复能力。”

美国关键能源基础设施面临着源源不断的威胁,包括外国网络攻击,不断变化的气候和自然灾害,例如野火和飓风,这些威胁可能对国家安全,公共健康与安全以及美国经济造成毁灭性影响。能源部通过CESER协助电力、石油和天然气行业努力确保能源基础设施免受此类威胁。为了支持这项任务,CESER的新项目将:

1、防范来自全球的技术漏洞。正如现代消费电子产品是来自世界各地的工程师,供应商和工厂的产品一样,能源领域中部署的许多硬件和软件也是如此。但是,美国依靠这项技术生产的复杂的全球供应链为安全漏洞创造了机会。CESER与Schweitzer工程实验室一起参加了弹性工业控制系统的网络测试(CyTRICS™)计划,使用最先进的分析功能来测试能源行业合作伙伴使用的各种数字工具来解决安全问题。通过此测试,可以更轻松地识别和解决工业控制系统中的潜在漏洞,而不是被坏人利用。

2、制定解决电磁和地磁干扰的解决方案。能源部门参与者认识到,他们必须预测电磁脉冲(EMP)攻击和更可能但通常破坏性较小的地磁干扰(GMD)事件带来的风险,这两种事件都可能导致能源系统过载和损坏。DOE现在正在与各种公用事业和实验室合作,以测试、建模和评估系统对电磁和地磁干扰的脆弱性。作为美国能源部针对EMP/GMD评估,测试和缓解的实验室呼吁的一部分,已经进行了9个试点项目。这项研究将为保护和减轻对能源基础设施的影响的方法的开发提供信息。

3、培养网络安全解决方案的研究和部署所需的新人才。通过CESER的能源传输系统网络安全(CEDS)部门,DOE正在利用美国大学的创新能力来开发新的网络安全技术,并培训由网络安全专家聘用的下一代网络安全专家。下个月,CESER将宣布一个新的融资机会,以支持围绕网络和物理解决方案的大学与行业的合作伙伴关系。

CESER代理助理秘书帕特里夏·霍夫曼表示,“确保美国关键基础设施的安全,特别是在能源领域,是我们最重要和复杂的国家安全挑战之一。我们对这些计划的愿景是,将工业界、各州、大学等关键合作伙伴聚集在一起,以增强能源部门的应变能力所需的专业知识和创造力。”

这些计划只是自CESER于2018年成立以来最新的能源安全贡献。在过去的一年中,CESER帮助各州、能源运营商和公共事业管理COVID-19的影响和创纪录的飓风季节。CESER还通过能源部门探路者促进了政府与行业之间更强大的网络安全协调,并培训了数百名能源部门官员进行网络安全和自然灾害应对。
 

参考来源:美国能源部 http://dwz.date/e9G8

 

(七)霍尼韦尔IT系统遭受恶意软件攻击

霍尼韦尔3月23日披露,其检测到了恶意软件入侵,破坏了该公司有限数量的信息技术系统。

霍尼韦尔预计该事件不会产生重大实质性影响。该公司迅速采取措施解决了这一事件,包括与微软合作评估和补救情况。此后,系统已经得到保护,并确定了攻击进入点,并且所有未经授权的访问都已被撤销。该公司还通知了执法部门。调查仍在进行中,但是到现在为止,还没有发现任何证据表明攻击者从存储客户信息的主系统中窃取了数据。如果发现任何客户信息被泄露,将直接与客户联系。

目前霍尼韦尔已恢复服务,并坚定地专注于运行业务并为客户提供服务。安全是霍尼韦尔的首要任务,并致力于采取所有适当措施,以确保系统的最高完整性。

霍尼韦尔是一家生产航空航天和能源设备的财富100强公司。
 

参考来源:霍尼韦尔 http://dwz.date/e8R2

 

(八)捷克铁路管理部门遭受黑客攻击

据DeníkN报道,捷克铁路管理部门自上周以来一直面临网络攻击。铁路运营的国家机构确保该攻击不会对铁路部门或运输安全造成影响。此次攻击是在此前针对国家组织或政府部门的其他事件之后发生的。

据铁路管理局发言人杜尚·加文达称,该组织自19日以来一直面临着网络攻击,该组织正在竭尽全力避免遭受网络攻击。国家网络和信息安全办公室立即通报了此次攻击的严重性,并确保此次攻击不会对铁路运输的运营和安全造成影响。

此发言人没有透露该攻击是否与微软Exchange服务漏洞有关,或者攻击者是否从管理部门中窃取了任何数据。

铁路局并不是最近几天第一个面临网络攻击的国家机构。上周,黑客还攻击了内政部的一个医疗机构,该机构拥有有关安全部队成员的敏感信息。但是据内政部长JanHamáček(CSSD)称,这次攻击失败了。黑客还利用微软Exchange邮件服务器的漏洞来攻击布拉格市政厅或劳工和社会事务部的系统。

微软在3月初发布了针对允许攻击者远程访问电子邮件的漏洞的安全修复。据专家介绍,有必要在所有受影响的服务器上安装这些修补程序,而不仅仅是在互联网上安装这些修补程序。如果已经发生攻击,则管理员应删除恶意程序,更改凭据,并检查服务器上其他攻击者的活动。
 

参考来源:CT24 http://dwz.date/e8yk
 

 

(九)美国军事承包商PDI集团遭受勒索软件攻击

美国俄亥俄州军事承包商PDI集团遭受了勒索软件Babuk Locker攻击,泄露了超过700 GB数据。

PDI集团是向美国空军和全球军方提供军事装备的主要供应商,生产各种满足军事需求的地面支持设备,例如在维修行动中运输武器、发动机和飞机零件的小推车。

3月23日,Babuk Locker勒索软件背后的犯罪集团在其“泄漏站点”上以PDI的名义创建了一个页面,威胁要泄漏他们声称从PDI内部网络中窃取的700 GB数据,除非该公司支付勒索赎金。

为了证明他们的说法,Babuk Locker运营商发布了一系列屏幕截图,这些屏幕截图是他们从PDI的内部网络中窃取的一些内部文件,包括示意图,其中一个似乎描述了PDI的一辆飞机发动机拖车。

 

 

这样的网页是现在的一种常见策略。目前有20多个不同的勒索软件组在运营泄漏站点,因为攻击者逐渐演变为在加密数据之前也窃取数据、然后,这些被窃取的数据将对那些希望从备份中恢复但又不想让专有数据和客户数据在线泄漏的公司施加额外压力,这将使他们面临罚款和集体诉讼。

如今,这些加密或泄漏勒索方案通常发生在四个阶段:

1、勒索软件组织对文件进行加密,并要求私下支付解密密钥的费用。

2、勒索软件组织在其泄漏站点上创建一个页面,以警告受害者他们计划泄漏文件。

3、勒索软件帮派泄漏了部分文件。

4、如果受害者仍然拒绝付款,勒索软件组织会泄漏所有窃取的文件。

25日早些时候,在Babuk Locker犯罪组织发布了一个120 MB的存档文件中包含350多个PDI过去客户的采购订单,PDI集团进入了这种勒索方案的第三阶段。该文件以cc.zip归档文件的形式提供,还包含一些公司过去的客户的明文和完整的信用卡详细信息,但是绝大多数卡号似乎都是针对已过期的卡。

美国国防部和网络安全与基础设施安全局的发言人就此事件向PDI集团进行了通告,无法确认该公司是否已向其客户报告了这次攻击事件。

近年来有多家军事承包商成为了勒索软件攻击受害者,包括:提供电子武器系统的电子战协会(EWA)、战斗机制造商达索猎鹰(Dassault Falcon)、飞机制造商庞巴迪、飞机零件制造商Asco、瑞士直升机制造商Kopter、巴西飞机制造商巴西航空工业公司。

勒索软件REvil发言人本月在接受采访时表示,他们的运营商经常能接触到与军事有关的目标。“我至少知道几个分支机构可以使用弹道导弹发射系统,其中一个可以使用美国海军巡洋舰,第三个可以使用核电厂,第四个可以使用武器工厂。”

至于PDI入侵背后的组织,Babuk Locker是当今活跃的最新勒索软件今年之一,已于年初开始运营,PDI是迄今为止的最大目标。
 

参考来源:TheRecord http://dwz.date/e9Gm

 

(十)能源公司Shell因使用Accellion FTA设备泄露数据

能源巨头壳牌(Shell)披露了一起数据泄露事件,此前攻击者入侵了该公司由Accellion的文件传输设备(FTA)支持的安全文件共享系统。壳牌的命令行管理程序使用此FTA设备安全地传输大型数据文件。由于文件传输服务与壳牌的其余数字基础架构隔离,因此没有证据表明对壳牌的核心IT系统有任何影响。

壳牌(Royal Dutch Shell Plc)是一家由石化和能源公司组成的跨国集团,在70多个国家拥有超过8.6万名员工。根据财富杂志全球500强排行榜,2020年的营收结果该公司也是全球第五大公司。

壳牌3月16日在其网站上发表的一份公开声明中披露了这起攻击事件,并表示这起事件只影响了用于安全传输大型数据文件的Accellion FTA设备。壳牌表示:“在得知这起事件后,壳牌公司与其服务提供商和网络安全团队解决了这些漏洞,并开始进行调查,以更好地了解事件的性质和程度。没有证据表明对文件系统的核心IT系统有任何影响,因为文件传输服务与文件系统的其他数字基础设施隔离。”

在发现攻击者获得了使用受到破坏的Accellion FTA设备传输的文件的访问权限之后,Shell还联系了相关的数据主管部门和监管机构。据该公司称,在攻击过程中访问的某些数据属于利益相关者和壳牌子公司。

声明表示,“其中一些包含个人数据,而另一些包含壳牌公司及其一些利益相关者的数据。壳牌正在与受影响的个人和利益相关者保持联系,我们正在与他们合作以应对可能的风险。”

尽管壳牌的声明没有披露攻击者的身份,但Accellion和Mandiant上月发布的一份联合声明进一步揭示了这些攻击,将它们与FIN11网络犯罪组织联系起来。Clop勒索软件组织还一直在利用Accellion FTA零日漏洞(2020年12月中旬披露)来危害和窃取多家公司的数据。

Accellion表示,有300名客户使用已有20年历史的遗留FTA软件,其中不到100名客户被Clop勒索软件团伙和FIN11(这些攻击背后的网络犯罪组织)攻击。根据Accellion的说法,似乎只有不到25名受害者“遭受了严重的数据失窃”。

在Accellion FTA遭到攻击后,多个组织受到入侵,包括网络安全公司Qualys、超市巨头Kroger、新西兰储备银行、澳大利亚证券和投资委员会(ASIC)、Singtel、QIMR Berghofer医学研究所和华盛顿州审计师办公室(SAO)。

上个月,Five Eyes成员还发布了一份联合安全警告,内容是针对使用未打补丁的Accellion FTA版本的组织进行的攻击和敲诈勒索企图。
 

参考来源:BleepingComputer http://dwz.date/e7VK
 

 

(十一)航空服务提供商Solairus遭受数据泄露

私人航空服务提供商Solairus Aviation 3月23日宣布,其第三方供应商Avianis发生了数据安全事件,一些员工和客户的数据遭受泄露。

Solairus在3月23日发布的数据泄露公告中说,航空业务管理平台提供商Avianis去年12月发布了有关入侵Avianis的微软Azure云平台的通知,该平台托管了Solairus航班调度和跟踪系统。对该事件的调查显示,在该环境中托管的Solairus的某些数据证实被一个未知人士访问。

Solairus表示,存储在该环境中的Solairus数据可能包括雇员和客户的姓名,以及诸如出生日期、社会保险号、驾照号码、护照号码和金融帐号等信息。该公司表示,其已经通知了一些受影响的个人,但是声称其没有“所有这些人的当前地址”。

该公司还指出,员工和客户都应对任何未经授权的活动保持警惕,并查看其财务帐户中的任何未经授权的收费或活动。如果发现任何可疑活动,受影响的个人应立即联系其金融机构。Solairus表示,“Solairus对此事件可能给您带来的不便或担忧表示遗憾。Solairus社区的每个成员都很重要,Solarus重视您的安全和隐私。”
 

参考来源:SecurityWeek http://dwz.date/e8XC

 

(十二)英国国防科学院遭受外国势力重大网络攻击

据英国《太阳报》报道,英国国防科学院近日遭受了“外国势力”的重大网络攻击,疑似攻击者为俄罗斯或中国国家支持的黑客组织。

英国国防科学院为英国武装部队、公务员、其他政府部门和其他国家的服务人员提供高等教育。英国国防科学院总部位于牛津郡西南什里夫纳姆的皇家军事学院,在那里进行教育和培训。

据《太阳报》报道,“国防部的国防学院受到了重大网络攻击。工作人员被告知,此次黑客攻击是由外国势力所为,疑似攻击者来自俄罗斯和中国。”

此次网络攻击使该学院的网站脱机,并瘫痪了一家由承包商运营的IT网络。该学院的系统已受到攻击,需要花费时间才能完全恢复受影响的计算机和服务器。

据《太阳报》报道,“此次攻击由外国势力所为。所有人都被告知要使用他们的个人笔记本电脑和计算机,因为工作笔记本电脑和笔记本电脑已经遭到破坏。修复至少需要五个星期。”

国防部证实,他们已经意识到国防科学院的IT系统存在问题。国防部表示,“这些都是由承包商运营的,不会对国防部的IT网络本身产生任何影响,教学仍在继续。”
 

参考来源:The Sun http://dwz.date/e7MK

 

(十三)美国服务器制造商Stratus遭受勒索软件攻击

美国零接触边缘计算解决方案提供商Stratus在其网站上发布公告称,3月17日其遭受了勒索软件攻击。在检测到可疑活动后,该公司立即将几个系统下线以隔离问题,并开始启动业务连续性计划。此外,该公司还通知了联邦执法部门,并聘请第三方安全专家评估该事件的性质和范围。

作为一项预防措施,Stratus将主动服务网络(ASN)和Stratus服务门户下线。关于ASN,Stratus联系了其客户和合作伙伴,以提供进一步的支持。对于使用Stratus服务门户的客户,如果用户有支持需求或问题,请与Stratus支持团队联系。

Stratus成立于1980年,总部位于美国,专注于设计和生产硬件容错计算机系统,提供连续可用的计算机系统平台和解决方案,及零接触边缘计算。
 

本文版权归原作者所有,参考来源:Stratus http://dwz.date/e7JY

 

(十四)物联网设备制造商Sierra Wireless遭受勒索软件攻击致工厂停产

加拿大物联网设备制造商Sierra Wireless披露3月20日其内部IT系统遭受了勒索软件攻击,导致生产基地停产,内部运营也受到影响。

该公司网站已经关闭,显示“正在维护中”。该公司表示,此次攻击的影响仅限于Sierra Wireless内部系统,面向客户的产品不受此事件影响,因为为客户设计的服务网络和内部IT系统是分开的。

目前尚不清楚生产设施和其他系统何时会恢复正常,但Sierra Wireless相信它已经解决了攻击问题,运营将“很快”恢复。

在成为攻击受害者后,该公司表示,它根据与第三方网络安全顾问共同制定的“既定网络安全程序”,实施了应对措施,以缓解攻击,第三方网络安全顾问也参与了对此次攻击的调查。该公司在一份声明中表示,“Sierra Wireless在寻求补救措施时,请客户和合作伙伴保持耐心。”

目前尚不清楚Sierra Wireless是哪种勒索软件的受害者,也不知道它是如何渗透到网络中的。该公司没有分享有关勒索软件攻击的更多信息。勒索软件仍然是世界各地组织面临的一个问题,最近的一份报告将其列为为首席信息安全官(CISO)和首席安全官(CSO)最大的网络安全担忧。

Sierra Wireless是领先的物联网解决方案提供商,结合了设备、网络服务和软件,以在互联经济中创造价值。全球各地的公司都在采用IoT来提高运营效率,创造更好的客户体验,改善其业务模型并创造新的收入来源。
 

参考来源:ZDNet http://dwz.date/e9B4

 

(十五)美国纽约州多县遭受勒索软件攻击

美国纽约州奥尔巴尼县警长办公室当地时间3月16日晚9:30左右表示,奥尔巴尼县、萨拉托加县和伦斯勒县的公共安全网络遭受了勒索软件攻击。据报道,该办公室通宵与供应商以及NYDHSES反恐怖主义网络事件响应小组合作,以减轻攻击。

该警长办公室表示,这一违规行为并未影响奥尔巴尼县的911服务。据报道,计算机辅助调度(CAD)服务在该事件中受到影响,所有服务器和台式机均已清理。官员们表示,他们已经能够从备份中重建数据,并且正在恢复服务。

据称CAD服务现在已重新上线,并且治安官办公室表示,目前他们仍在查看日志,以了解违规行为是如何完成的。官员们表示,他们已经采取了多项措施来封锁入口点,并调整了安全权限。

官员们称,攻击者已窃取了一些数据,但并不是重要数据。为了使所有系统全天恢复在线状态,工作正在进行中。

萨拉托加县治安官迈克尔·祖罗(Michael Zurlo)表示,“虽然萨拉托加县昨晚受到网络攻击的不利影响,但我们的备用系统仍按设计运行,并且能够为居民提供911服务。”该官员表示,迅速恢复证明了这三个县和地方警察机构共享的可互操作的911和CAD系统的冗余设计和实现。
 

参考来源:News10 http://dwz.date/e8nV

 

(如未标注,均为天地和兴工业网络安全研究院编译)

 

关键词:

扫二维码用手机看

天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号