安全研究
全部分类

关键信息基础设施安全动态周报【2021年第20期】

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2021-05-21 17:09
  • 访问量:

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2021年第20期】天地和兴播报。

关键信息基础设施安全动态周报【2021年第20期】

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2021年第20期】天地和兴播报。

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2021-05-21 17:09
  • 访问量:
详情

目   录
 

第一章 国外关键信息基础设施安全动态

(一)艾默生修复X-STREAM气体分析仪中六个漏洞

(二)东芝公司遭受DarkSide勒索软件攻击

(三)德国化学品分销商Brenntag遭受DarkSide勒索软件攻击

(四)DarkSide勒索软件服务器疑似已遭到扣押

(五)梅赛德斯-奔驰汽车中存在五个漏洞

(六)美国通过多项保护关键基础设施免受网络攻击法案

(七)日本将限制在关键基础设施领域使用外国设备和技术

(八)欧盟再次延长网络攻击制裁

(九)网络安全公司Rapid7受到Codecov供应链攻击泄露部分源代码

(十)黑客组织FIN7伪装成网络安全公司传播Lizar后门

(十一)欧洲保险公司AXA遭受Avaddon勒索软件攻击

(十二)美国拖车生产商Utility遭受Clop勒索软件攻击

(十三)欧洲及南美70家银行遭受Bizarro银行木马攻击

(十四)爱尔兰医疗服务机构HSE遭受Conti勒索2000万美元赎金

(十五)新西兰卫生局遭受勒索软件攻击,大部分IT服务中断

(十六)土耳其Konya市遭受网络攻击,泄露百万居民信息

(十七)巴西商业媒体Rede Bahia遭受勒索软件攻击泄露员工数据

 

第一章 国外关键信息基础设施安全动态

(一)艾默生修复X-STREAM气体分析仪中六个漏洞

美国工业巨头艾默生5月18日通知其客户,其已发布罗斯蒙特X-STREAM气体分析仪的固件更新,修复了六个漏洞,其中三个为高危漏洞。

艾默生气体分析仪可使工业组织持续分析过程气体排放。艾默生在内部测试中发现,其X-STREAM增强分析仪受到总共六个漏洞的影响。

该公司在2020年12月发布了初步建议,但没有提供任何有关漏洞的信息,仅提供了一些一般性建议,客户可以在补丁可用之前应用这些建议。该建议的第二个版本于5月18日发布,提供了每个漏洞的简要描述,并告知客户补丁的可用性。美国CISA也在5月18日发布了针对这些漏洞的建议,并表示受影响的产品在世界各地使用,特别是在能源和化工领域。

 

 

这六个漏洞中有三个为高危漏洞。其中一个漏洞与使用弱算法加密的用户凭据有关,获得这些凭据的攻击者可以访问设备并对其进行重新配置或获取敏感信息。另一个严重漏洞与允许文件上载的应用程序有关,该漏洞可让攻击者上载恶意文件,使其能够访问登录凭据和其他敏感信息。另一个路径遍历漏洞,可以通过直接键入目标页面的URL访问存储在Web服务器上的数据。

另外三个漏洞为中危漏洞,攻击者可以利用它们截取Cookie、通过XSS攻击将任意代码插入网页、并通过点击劫持获取密码和其他敏感数据。

艾默生表示,“艾默生不建议将受影响的产品直接连接到互联网。值得注意的是,如果按照建议将受影响的产品与互联网隔离,并在符合行业最佳实践的保护良好的网络上运行,那么潜在的风险就会降低。每个用户都应考虑其特定的系统配置和情况,并确定此潜在问题的影响及其与应用程序有关,并采取适当的措施。”

该公告没有具体说明利用这些漏洞所需的访问和权限类型,但根据现有信息,似乎至少有一些漏洞可以在不经过身份验证的情况下被远程利用。

 

参考来源:SecurityWeek http://t.hk.uy/guU
 

 

(二)东芝公司遭受DarkSide勒索软件攻击

东芝5月14日发表声明称,东芝欧洲子公司遭受了网络攻击。在发现攻击后,东芝立即关闭了日本和欧洲以及子公司之间的网络,以防止损害蔓延,同时在完成备份后有序恢复实施。

东芝集团在发现威胁后,立即向欧洲有关部门报告。东芝立即采取了行动,停止在日本和欧洲之间以及在欧洲子公司之间运行的网络和系统,以防止损害扩散,同时在完成有效的数据备份后,按顺序部署恢复措施。此外,专家组正在通过外部专门组织进行调查,查明可能造成损害的内容和程度。根据调查,影响范围仅限于欧洲一些地区,尚未确认客户相关信息被外泄的事实。

就调查结果显示,犯罪组织可能泄漏了某些信息和数据,东芝将继续与外部专业机构合作进行进一步调查,以了解细节。尽管东芝一直在稳步实施信息安全措施,但将进一步加强安全措施,以确保保护客户和员工的信息。今后,东芝决定通过与欧洲有关当局的密切合作来解决问题。

据报道,东芝遭受的是Darkside勒索软件攻击,也就是前几天攻击Colonial Pipeline的那个勒索软件组织。

DarkSide是一家勒索软件即服务(RaaS)公司,向其网络内的分支机构提供勒索软件,以换取勒索受害组织的一部分利润

Darkside勒索软件组织采用双重勒索策略,受害者会首先收到付款要求,以换取解密密钥,来解锁感染Darkside勒索软件的系统。如果拒绝支付,就会受到公布机密数据和记录的威胁,这些数据和记录是在初次访问泄露站点时被窃取的。

目前DarkSide的泄漏站点还无法访问。据路透社报道,东芝子公司表示,只有“少量工作数据丢失”。5月13日公布的泄露记录显示,东芝有超过740 GB的数据被盗,包含护照扫描件及项目文档等。
 

考来源:ZDNet http://t.hk.uy/fPn

 

(三)德国化学品分销商Brenntag遭受DarkSide勒索软件攻击

德国化学品分销商Brenntag 5月初遭受了DarkSide勒索软件攻击,并以比特币形式支付了440万美元赎金,以获得加密文件的解密器,并防止威胁者公开泄漏被盗的数据。

Brenntag是一家全球领先的化学品分销公司,总部位于德国,但在全球670多个工厂拥有17,000多名员工。根据ICS Top 100化学品分销商报告,Brenntag是北美第二大销售公司。

5月初,Brenntag遭受了针对其北美部门的勒索软件攻击。作为此攻击的一部分,威胁行动者对网络上的设备进行了加密,并窃取了未加密的文件。根据匿名来源共享的信息,DarkSide勒索软件组织声称在攻击期间窃取了150 GB的数据。

为了证明他们的说法,勒索软件组织创建了一个私人数据泄漏页面,其中包含对被盗数据类型的描述以及某些文件的屏幕截图。

 

 

DarkSide最初要求133.65比特币赎金,价值约为750万美元。然而经过谈判,赎金需求减少至440万美元,通过比特币地址确认,Brenntag在5月11日已将赎金发送给了攻击者。

5月13日,Brenntag在一份声明中确认,他们遭受了安全事件,但没有明确表示是勒索软件攻击。“Brenntag北美公司目前正在努力解决一起信息安全事件。一旦得知此事件,我们就立即将受影响的系统与网络断开连接,以遏制威胁。此外,第三方网络安全和取证专家也立即介入以协助调查。我们还将此事件告知了执法部门。”

DarkSide是一种勒索软件即服务(RaaS)操作,勒索软件开发人员与负责获取网络访问权和加密设备的第三方分支机构或黑客合作。DarkSide核心团队获得20-30%的赎金,其余的将归进行攻击的关联公司所有。

大多数勒索软件谈判的条件是,关联公司披露已经获得了获得受害者网络的访问权限,采用多页安全审计报告的形式出现,或在Tor聊天屏幕上简单地解释他们如何获得访问权限的一段话。

Darkside关联机构声称购买了被盗的凭证,然后获得了访问网络的权限。然而,Darkside关联机构并不知道这些凭证最初是如何获得的。勒索软件组织和其他威胁行为者通常在暗网市场购买被盗的凭证,尤其是远程桌面凭证。
 

参考来源:BleepingComputer http://t.hk.uy/fRe

 

(四)DarkSide勒索软件服务器疑似已遭到扣押

网络威胁情报分析师Dmitry Smilyanets于5月13日在俄罗斯黑客论坛Exploit上发现一则讯息,宣称攻击美国最大燃油管道系统Colonial Pipeline的勒索软件组织DarkSide,对外宣布已无法存取自家的部份基础设施,包括Blog、支付服务器,以及SDN服务器,疑似已遭到执法机关扣押。

 

 

根据该讯息,DarkSide组织说他们已无法存取这些服务器,控制台已经被封锁,存取时只看见“依执法机关的要求”字眼,此外,原本置放在支付服务器上的资金,也已被移转到其它的地址。

美国媒体猜测DarkSide服务器被扣押,可能跟该组织攻击Colonial Pipeline有关。DarkSide在5月7日攻击Colonial Pipeline,让Colonial Pipeline关闭了负责美国东岸45%燃油供应的所有管线,造成美国油价上涨,此事也惊动了美国政府,宣布进入紧急状态,美国总统拜登也在13日针对此事发布评论,指出DarkSide为来自俄罗斯的黑客组织,虽与俄罗斯政府无关,但希望俄罗斯政府能够采取行动对抗这些勒索软件网络,同时美国也会采取行动来破坏DarkSide的营运能力。

目前并不确定是否真有其事,美国并未发表官方声明,亦拒绝评论,而Smilyanets也警告这可能只是DarkSide组织的诡计,利用拜登的说法顺水推舟,就能不必把犯罪所得交给会员。

不论如何,DarkSide黑客组织在13日宣布,将立即停止DarkSide的勒索软体即服务(RaaS),将提供所有受害者的解密密钥给会员,并在23日以前解决所有财务义务。

另一方面,网络安全公司Digital Shadows发现,其实勒索软件在黑客论坛中并不受到欢迎,而且包括XSS、Exploit与RaidForums等知名的黑客论坛都在Colonial Pipeline事件之后,全面封锁了勒索软件,禁止勒索软件在论坛中销售、租赁或是招募会员,更在论坛中全面清除勒索软件的踪迹。

根据Digital Shadows与Smilyanets的分析,黑客论坛排挤勒索软件的最大原因是,因为这些勒索软件吸引了太多媒体的关注,进而让执法机关把目标对准黑客论坛,它们也同样吸引了新手黑客,使得绝大多数的新手黑客都跑去学习加密勒索,并加密他们所看到的任何东西,这些论坛希望平台上有其它技术的交流,此外,也有论坛认为勒索软件太不道德了。

专门提供加密货币合规解决方案的Elliptic指出,该公司找到了DarkSide组织所使用的比特币钱包,显示该钱包自今年3月启用之后,已收到来自21个不同钱包的57笔付款,总价值超过1,750万美元,其中,Colonial Pipeline在5月8日支付了75个比特币。以5月16日每个比特币为4.89万美元来计算,总价约为366万美元。

此外,东芝技术集团欧洲的子公司,近日也传出遭到DarkSide勒索软件的攻击,目前确定受到波及的范围仅限于欧洲的某些区域,但尚不确定客户资讯是否已经外泄。

东芝技术集团专门销售自助结帐系统与PoS系统给零售商。根据CNBC的报导,DarkSide攻击东芝的时间点是在5月4日,比Colonial Pipeline还早,但东芝并未联系骇客也未支付赎金。
 

本文版权归原作者所有,参考来源:iThome http://t.hk.uy/gta

 

(五)梅赛德斯-奔驰汽车中存在五个漏洞

腾讯安全科恩实验室对梅赛德斯-奔驰汽车最新车载信息娱乐系统MBUX的软硬件进行了长达八个月的全面深入的安全研究,发现了五个相关漏洞,并成功在车载信息娱乐系统(Head Unit)和车载通讯模块(T-Box)的部分攻击面上实现利用,其中四个漏洞可被利用来远程执行代码。

MBUX是梅赛德斯-奔驰最新的车载信息娱乐系统,自2018年A级车中首次推出后,陆续在梅赛德斯-奔驰E级、GLE、GLS、EQC等车型搭载上市。研究人员对MBUX的硬件以及软件做了深入和全面的分析。通过收集技术资料并搭建测试环境,分析了多个攻击面并进行相关安全测试。

现代信息娱乐系统比以往更强大、复杂和安全,梅赛德斯-奔驰的MBUX也不例外。目前,未有任何公开资料对现代车载娱乐系统进行全面的安全性分析。因此,本次研究的定位是进行更广泛的安全性评估,而非单个安全性渗透测试。研究人员详尽地研究了包括无线电等组件的多个攻击面。

经过研究测试,在MBUX上发现多个相关漏洞,并成功在车载信息娱乐系统(Head Unit)和车载通讯模块(T-Box)的部分攻击面上实现利用。在实验环境中,研究人员首先通过物理接触获得车机权限,以此为前提实现车载信息娱乐系统(Head Unit)远程控制。继而能够远程控制车辆的某些功能,例如更改内部氛围灯的颜色,在信息娱乐屏幕上显示图像等。同时,在调试版本的车载通讯模块(T-Box)上,能够入侵T-Box上的内部芯片,可以实现发送任意CAN数据。

 

 

研究人员发现的五个漏洞为CVE-2021-23906、CVE-2021-23907、CVE-2021-23908、CVE-2021-23909和CVE-2021-23910,为黑客提供了对汽车部分功能的远程控制,但无法访问转向或制动系统等物理功能。
 

 

 

本文版权归原作者所有,参考来源:腾讯安全科恩实验室 http://t.hk.uy/gaw
 

 

(六)美国通过多项保护关键基础设施免受网络攻击法案

美国众议院国土安全委员会5月18日通过了七项两党议案,以加强防御能力,抵御针对美国机构和关键基础设施的网络攻击。这些法案是由于国土安全委员会对最近的网络攻击的监督而提出的,包括迫使美国最大管道Colonial Pipeline关闭的勒索软件攻击。

据报道,Colonial Pipeline公司支付了500万美元的赎金,但这并没有阻止大规模的燃料短缺,并影响到东北部多个州。促使这些法案出台的另一个事件是SolarWinds供应链攻击,该攻击让俄罗斯外国情报局(SVR)的黑客得以进入美国联邦机构和私营科技公司的网络。

其中五项两党议案还旨在使网络更容易防范利用关键安全漏洞的网络攻击,比如今年早些时候针对易受攻击的微软Exchange Server和Pulse Connect Secure设备的竞选中滥用的那些安全漏洞。除了加强美国管道安全的立法外,这些法案还授权CISA帮助确保SLTT网络的安全,并促进对网络攻击准备的定期测试。

5月18日在众议院提出的项两党法案包括:

1、H.R.2980《网络安全漏洞补救法案》,授权CISA协助关键基础设施所有者和运营商针对最关键的已知漏洞制定缓解策略。

2、H.R.3138《州和地方网络安全改进法案》,寻求批准一项新的5亿美元拨款计划,为州和地方、部落和地区政府提供专用资金,以保护其网络免受勒索软件和其他网络攻击。

3、H.R.3223《CISA网络演习法案》,在CISA内建立一个国家网络演习计划,以促进对针对关键基础设施的网络攻击的准备和恢复能力进行更定期的测试和系统评估。

4、H.R.3243《管道安全法案》,增强了TSA(负责管道安全的主要联邦实体)保护管道系统免受网络攻击、恐怖袭击和其他威胁的能力。这项措施将运输安全管理局的管道安全部门编入法典,并澄清了运输安全管理局保护管道基础设施的法定任务。

5、H.R.3264《国土安全关键领域法案》,授权国土安全部对美国经济关键领域的供应链风险进行研究和开发,并将研究结果提交国会。

6、H.R.2795《DHS蓝色运动加强法案》,该法案加强了国土安全部的“蓝色运动”,并增加了预防贩运人口的培训机会以及此类培训和材料的开发。

7、H.R.3263《DHS医疗对策法案》,该法案将建立医疗对策计划,以支持DHS任务的连续性,并促进在发生化学、生物、放射、核或爆炸物袭击、自然疾病暴发或大流行的情况下的战备和应变能力。
 

参考来源:美国国土安全委员会 http://t.hk.uy/gwn

 

(七)日本将限制在关键基础设施领域使用外国设备和技术

据报道,在看到美国Colonial Pipeline遭受黑客攻击后,日本政府希望对私营部门实施更严格的安全规定,以确保同样的事情不会发生在日本。日本政府将在14个领域引入新法规,以加强国家网络防御能力,这在一定程度上是对上周发生的Colonial Pipeline黑客攻击事件的回应。

据Nikkei报道,日本政府计划通过一项全面议案和一项新法律,要求每个行业都要意识到国家安全风险,从而修改管理每个行业的各种法律。

预计将进行立法改革的行业包括电信、电力、金融、铁路、政府服务和医疗保健等。这些行业将被要求调查使用外国设备或服务引发的问题,包括云数据存储和连接位于海外的服务器。政府还将监督公司的合规情况,并有权在发现任何重大问题时阻止公司使用国外设备。详细的标准可能也会在未来的政府条例和指导方针中列出。

三年前,日本政府机构同意停止采购可能构成国家安全风险的设备,例如来自华为和中兴的设备。根据最新的政策,日本政府现在希望将这种严格程度扩大到私营部门。

美国等其他国家已经对与技术相关的采购实施了类似的限制。在美国,无论是国内还是国外的公司,都必须获得许可证批准,才能购买华为和中兴公司生产的技术,或者向这些中国公司销售含有某些美国技术的产品。

加拿大电信公司也通过与华为的竞争对手签订协议,有效地阻止了华为的5G网络建设。网络设备供应商好华为在澳大利亚和瑞典也被禁止,在GCSB于2018年11月阻止Spark使用华为设备后,它还没有进入新西兰。

与此同时,英国移动网络已被告知,今年年底后不能再从华为购买5G设备,并必须在2027年底前将这家中国网络公司的技术从其5G网络中移除。
 

参考来源:ZDNet http://t.hk.uy/gbX

 

(八)欧盟再次延长网络攻击制裁

欧洲理事会5月17日宣布,将针对威胁欧盟及其成员国的网络攻击的限制性措施框架再延长一年,直到2022年5月18日。这一延长是欧盟提高应变能力的一部分,可以防止、阻止、威慑和应对网络威胁和恶意网络活动,以维护欧洲的安全和利益。

该框架允许欧盟对涉及网络攻击的个人或实体实施有针对性的限制性措施,这些网络攻击对欧盟或其成员国造成重大影响,并构成外部威胁。对于针对第三国或国际组织的网络攻击,也可以采取限制性措施,因为这些措施被认为是实现共同外交与安全政策(CFSP)目标所必需的。

目前有八个人和四个实体根据该框架受到制裁。所施加的限制包括资产冻结、旅行禁令、以及禁止欧盟人员和实体向被制裁者提供资金。

该框架成立于2017年,允许成员国对网络攻击采取限制性措施,包括预防、阻止、威慑和应对恶意活动。欧盟仍然致力于建立一个全球性、开放、稳定、和平与安全的网络空间,因此重申需要加强国际合作,以促进该领域基于规则的秩序。

去年7月,欧盟宣布对俄罗斯、中国、及朝鲜的六个个人及三个实体进行制裁,包括WannaCry、NotPetya、和Operation Cloud Hopper。2020年10月,两名俄罗斯官员因2015年攻击德国议会而受到制裁。据称,这两人都是俄罗斯GRU军事情报机构的人员,该机构还被指控在2018年黑客攻击了总部位于荷兰的禁止化学武器组织。
 

参考来源:European Council http://t.hk.uy/gbB

 

(九)网络安全公司Rapid7受到Codecov供应链攻击泄露部分源代码

网络安全公司Rapid7 5月13日披露,其受到Codecov供应链攻击影响,攻击者获得了Codecov Bash上传脚本的访问权,泄露了Rapid7部分客户数据及源代码。

针对Codecov的网络攻击发生在2021年1月31日左右,并于4月15日公之于众,Codecov提供代码覆盖和测试工具。威胁行为者篡改了Bash上传器脚本,从而危及GitHub的Codecov-Actions上传器、Codecov CircleCl Orb和Codecov Bitrose Step。

这使得攻击者能够导出用户持续集成(CI)环境中包含的数据。数以百计的客户可能受到影响,现在,Rapid7已经确认该公司就是其中之一。

Rapid7表示,Bash上传器仅在单个CI服务器上设置,该Bash上传器仅用于在内部测试和构建托管检测和响应(MDR)服务的工具,因此使用方式受到限制。

因此,攻击者可以远离产品代码,但他们能够访问MDR的“源代码存储库的一小部分”、内部凭据(现在所有这些都已轮换)和一些MDR客户的警报相关数据。

Rapid7已经联系了受数据泄露影响的客户,并获得了网络取证援助,并在调查后得出结论,没有其他公司系统或生产环境受到影响。

Codecov已经将未经授权的参与者从其系统中移除,并正在设置监控和审计工具,试图防止未来发生另一起供应链攻击。受影响的客户会通过电子邮件和Codecov应用程序收到通知。Codecov建议2021年1月31日至2021年4月1日期间未执行校验和验证的Bash上载程序的用户应谨慎地重新使用其凭据,以防万一。
 

参考来源:ZDNet http://t.hk.uy/g3A

 

(十)黑客组织FIN7伪装成网络安全公司传播Lizar后门

BI.ZONE网络威胁研究团队发现,网络犯罪团伙FIN7伪装成合法的网络安全公司,将恶意软件Lizar伪装成Windows渗透测试工具。FIN是一个出于经济动机的组织,Lizar是一种用于侦察并在受感染系统中立足的工具包。FIN7雇用的员工甚至都不知道自己正在使用的是恶意软件,以及他们的雇主是一个犯罪组织。

自2015年以来,FIN7的攻击目标包括休闲餐厅、赌场和酒店的销售点系统。该组织通常使用带有恶意软件的网络钓鱼攻击受害者,希望他们能够渗透到系统中窃取银行卡数据并将其出售。自2020年以来,该公司还在其组合中增加了勒索软件/数据泄露攻击,根据使用ZoomInfo服务的收入仔细选择目标。

该组织对恶意软件的选择总是在不断变化,偶尔使用以前从未见过的样本,但它的首选工具包是Carbanak RAT,Carbanak通常用于侦察和在网络上建立立足点。

根据5月13日BI.ZONE发布的研究报告,该组织使用了一种名为Lizar的新型后门,最新版本自2月份以来一直在使用,它提供了一套强大的数据检索和横向移动能力。Lizar是一个多样化和复杂的工具包。它目前仍在积极开发和测试中,但已经被广泛用于控制受感染的计算机,主要是在美国各地。到目前为止,受害者包括美国的一家赌博机构、几家教育机构和制药公司,以及总部设在德国的一家IT公司和巴拿马的一家金融机构。

研究人员称,Lizar工具包在结构上与Carbanak相似。它由一个加载器和用于不同任务的各种插件组成。它们一起运行在受感染的系统上,并可以组合到Lizar bot客户端中,后者随后与远程服务器通信。

根据分析显示,“机器人的模块化架构使工具具有可扩展性,并允许所有组件的独立开发。目前已经检测到三种类型的机器人:DLL、EXE和PowerShell脚本,它们在PowerShell进程的地址空间中执行一个DLL。”

根据BI.ZONE的说法,插件从服务器发送到加载器,并在Lizar客户端应用程序中执行特定操作时执行。这些插件的设计各不相同,可以加载其他工具,如MimiKatz或Carbanak,从受害者机器检索信息、截屏、获取凭据、检索浏览器历史记录等。

Lizar服务器应用程序是使用.NET框架编写的,运行在远程Linux主机上。它支持与BOT客户端的加密通信。

数据在发送到服务器之前,先用长度从5到15字节的会话密钥加密,然后再用配置中指定的密钥(31字节)加密。如果配置中指定的密钥(31字节)与服务器上的密钥不匹配,则不会从服务器发送任何数据。
 

参考来源:ThreatPost http://t.hk.uy/g2g

 

(十一)欧洲保险公司AXA遭受Avaddon勒索软件攻击

总部位于法国的欧洲前五大保险公司之一的安盛集团(AXA)5月16日对外宣布,其遭受了勒索软件攻击,Avaddon勒索软件组织5月15日承认其就是幕后始作俑者。

1816年成立的安盛集团是家跨国保险公司,商业版图涵盖西欧、北美、印度太平洋、中东与非洲等,全球员工人数超过12万。根据该公司的声明,黑客锁定该公司的亚洲部门展开攻击,影响了泰国、马来西亚、香港及菲律宾的IT系统。

另一方面,Avaddon勒索软件组织则宣称已取得了AXA集团多达3TB的文档,包括客户的医疗/健康报告、客户的理赔申请、支付纪录、所有客户的身分与银行帐号、医院与医生的调查报告及合约书等,并要求AXA要在10天内支付赎金,否则就要公布这些机密资料。

外界揣测,黑客很可能是特别选定AXA作为攻击对象的,因为AXA已宣布其在法国的网络安全险,将不再包含与勒索软件攻击有关的赎金,成为全球第一家拒绝替客户支付赎金的保险公司。

根据Emsisoft去年的调查,全球的政府机关与私人机构中,因勒索软件攻击损失最严重的国家为美国,包括赎金与停机时间的总成本超过195亿美元,第二名就是法国的55亿美元,使得法国参议院在今年4月举行了与勒索软件有关的听证会,当时,参与该听证会的法国网络犯罪检察官Johanna Brousse强调,他们不想付款给勒索软件组织,也不会付款。

接着AXA就在5月6日宣布,因应官方的请求,在法国出售的信息安全险,将不再帮客户支付赎金,但仍会包含协助客户复原的支出。

在大量客户资料泄露的状态下,AXA是否会无视法国政策而支付赎金成为外界关注的焦点,不过,AXA透露,黑客只取得了泰国合作伙伴协助(IPA)的特定资料,尚无证据显示有其它泰国IPA以外的资料泄露。
 

本文版权归原作者所有,参考来源:iThome http://t.hk.uy/grZ
 

 

(十二)美国拖车生产商Utility遭受Clop勒索软件攻击

美国最大的卡车运输业拖车生产商之一Utility Trailer Manufacturing遭受了勒索软件攻击,导致一些系统暂时中断,泄露了众多员工的个人信息。Clop勒索软件组织在暗网泄露了超过5G的Utility数据,随后该公司披露了这一事件。

Utility在一份声明中表示,“一经发现,Utility立即作出反应,以保护系统安全,并开始调查事件的性质和范围。Utility在第三方取证计算机专家的协助下全天候工作,以调查攻击的全部性质和范围,并使离线系统安全可靠地恢复在线。Utility将保护客户和员工信息和数据的责任作为最高优先事项。”

Utility没有披露网络攻击的范围,包括何时发生以及是否影响了运营,也没有透露数据泄露的程度。

FreightWaves研究人员发现,泄漏的数据包括大量员工的敏感个人数据,例如工资单和人力资源信息等。

像Clop这样的勒索软件组织通常会在受害者拒绝支付赎金后泄露数据。攻击Colonial Pipeline的DarkSide勒索软件组织也采用了同样的策略。Clop曾攻击了多家大型公司,包括铁路运营商CSX和加拿大燃料分销商Parkland。

根据Trailer Body Builder的数据,Utility是美国第三大拖车生产商,是最大的冷藏拖车制造商。Utility总部位于City of Industry,在美国经营着五家工厂。
 

参考来源:FreightWaves http://t.hk.uy/gds

 

(十三)欧洲及南美70家银行遭受Bizarro银行木马攻击

卡巴斯基研究人员发现了一种名为Bizarro的新型复杂的银行木马,攻击目标是欧洲和南美70家银行的客户。Bizarro银行木马程序可以捕获受害者的在线银行凭据并劫持比特币钱包,研究人员已在巴西、阿根廷、智利、德国、西班牙、葡萄牙、法国和意大利等地检测到了感染。

 

 

Bizarro有x64模块,该恶意代码可以诱使受害者在假弹出窗口中输入双因素验证码,还利用社交工程来诱使受害者下载手机应用程序。Bizarro是通过微软安装包来分发的,这些安装包是由受害者从垃圾邮件中的链接下载的,恶意软件也可以通过木马程序安装。

一旦启动,Bizarro会从一个受感染的网站下载一个ZIP档案。研究人员发现被黑客攻击的WordPress、Amazon和Azure服务器被用于存储档案。MSI安装程序有两个嵌入样式链接,选择哪一个取决于受害者的处理器体系结构。

ZIP存档包含一个用Delphi编写的恶意DLL、作为AutoHotkey脚本运行程序的合法可执行文件、以及调用从恶意DLL导出的函数的小脚本。

在执行Bizarro后,恶意软件会杀死所有正在运行的浏览器进程,以终止与在线银行网站的任何现有会话。然后,当受害者重新启动浏览器并尝试访问家庭银行服务时,他们将被迫重新输入凭据,该凭据将被恶意软件捕获。为了迫使受害者重新输入他们的凭据,恶意软件禁用了浏览器中的自动完成功能。

Bizarro收集的系统信息包括计算机名称、操作系统版本、默认浏览器名称、安装的杀毒软件。Bizarro的核心组件是一个支持100多个命令的后门。只有当其检测到已经连接到一个硬编码的网上银行系统时,后门才会启动。

后门支持的命令可以分为以下类别:

1、允许C2操作员获取受害者数据并管理连接状态的命令;

2、允许攻击者控制位于受害者硬盘上的文件的命令;

3、允许攻击者控制用户鼠标和键盘的命令;

4、允许攻击者控制“后门”操作、关闭、重启或破坏操作系统并限制Windows功能的命令;

5、记录按键的命令;

6、执行社会工程攻击的命令;

7、启用自定义消息的命令。

Bizarro可能显示的第一类自定义消息是冻结受害者机器的消息,从而使攻击者获得一些时间。当收到显示这样的消息的命令时,任务栏将被隐藏,屏幕将变灰,并且消息本身将显示出来。显示消息时,用户无法将其关闭或打开任务管理器。该消息本身告诉用户该系统已受到威胁,因此需要更新,或者正在安装安全性和浏览器性能组件。这种消息还包含一个随时间变化的进度条。采用新技术后,巴西恶意软件家族开始向其他大洲传播,而针对欧洲用户的Bizarro就是最明显的例子。

 

参考来源:SecurityAffairs http://t.hk.uy/gzc

 

(十四)爱尔兰医疗服务机构HSE遭受Conti勒索2000万美元赎金

爱尔兰医疗服务机构HSE 5月14日遭受了Conti勒索软件攻击,关闭了所有IT系统,黑客对电脑进行了加密,严重扰乱了该国的医疗保健。HSE拒绝向Conti勒索软件组织支付2000万美元的赎金。

爱尔兰国家卫生服务机构表示,“我们已经采取了预防措施,关闭了所有的IT系统,以保护它们免受这次攻击,并让我们能够与我们自己的安全伙伴一起全面评估局势。”

这次IT中断导致该国医疗保健大范围中断,导致对诊断和医疗记录的访问受到限制,手写笔记导致抄写错误,医疗就诊响应时间变慢。

Conti和HSE之间聊天的截图显示,Conti组织声称已经进入HSE网络两周。在此期间,Conti从HSE窃取了700 GB的未加密文件,包括患者信息和员工信息、合同、财务报表、工资单等。Conti进一步表示,如果支付1999.9万美元的赎金,他们将提供解密程序并删除被盗数据。威胁行为者在聊天中分享了被盗文件的样本。

 

 

此前,爱尔兰总理Taoiseach Micheál Martin在新闻发布会上表示他们不会支付任何赎金。

Conti勒索软件被认为是由总部设在俄罗斯的网络犯罪组织Wizard Spider运营的。该组织使用网络钓鱼攻击来安装TrickBot和BazarLoader特洛伊木马,这些木马可远程访问受感染的计算机。利用这种远程访问,威胁行为者在网络中横向传播,同时窃取凭证并获取存储在工作站和服务器上的未加密数据。

一旦黑客窃取了所有有价值的东西并获得了Windows域凭据的访问权限后,他们就会在一周内等待一段安静的时间,然后在网络上部署勒索软件来加密所有设备。然后,Conti组织利用窃取的数据作为筹码,威胁受害者如果不支付赎金,就将这些数据发布在他们的赎金数据泄露网站上,以此迫使受害者支付赎金。

Conti过去发起的其他高调勒索软件攻击包括FreePBX开发商Sangoma、物联网芯片制造商研华、布罗沃德郡公立学校(BCPS)和苏格兰环境保护局(SEPA)。
 

参考来源:BleepingComputer http://t.hk.uy/fVn

 

(十五)新西兰卫生局遭受勒索软件攻击,大部分IT服务中断

新西兰怀卡托地区卫生局(DHB)5月18日上午遭受了勒索软件攻击,导致大部分IT服务中断,其六家附属医院的服务大幅减少。

这次攻击使除电子邮件以外的所有IT服务无法使用,病人病历无法获取、临床服务中断、手术推迟、电话线中断,医院被迫只接收紧急病人。

怀卡托DHB首席执行官Kevin Snee告诉当地媒体,系统可能需要几天时间才能重新运行。与此同时,医院工作人员被迫使用纸笔办公,并将非紧急病例转诊到其他地方。

怀卡托DHB在声明中表示,“我们的员工正在努力恢复受感染的系统并进行修复。我们正在与有关政府部门合作,以确保成功重建安全环境。我们目前正在与其他政府部门合作调查原因,但正在研究最初入侵是通过电子邮件附件进行的理论。取证调查正在进行中。”

怀卡托附属医院19日推迟了102例住院手术中的29例,18日101例中有6例被取消。在附属泰晤士医院,所有的手术都被推迟了,农村地区的附属医院推迟了所有门诊活动。

怀卡托DHB的负责人决定不支付赎金,目前还尚不清楚发起此次攻击的黑客组织。
 

参考来源:TheRegister http://t.hk.uy/g4g

 

(十六)土耳其Konya市遭受网络攻击,泄露百万居民信息

据媒体报道,土耳其中部城市Konya遭受了网络攻击,大约有100万人的信息被窃取。

一位市政官员证实了此次攻击,但没有透露攻击规模。Sözcü报道称,大约有100万人的ID号和其他个人信息在网络攻击中被窃取,其中大部分是向市政当局发送电子邮件的人。一个用户名为Maxim Gorki的嫌疑人在黑客论坛上建立了一个包含这些信息的数据库。

市政府官员称,执法部门已于3月29日接到了关于此攻击事件的攻击。该官员表示,“我市经常受到网络攻击,此次攻击访问了我们网站上公布的公共数据日志,并访问了有限数量的电子邮件地址和电话号码。”

今年3月,土耳其领先的在线食品配送网站Yemeksepeti曾遭受类似的网络攻击,该网站为1900万客户提供服务,平台上拥有35,000多家餐厅。在这次攻击中,一些Yemeksepeti用户的个人数据被窃取,如出生日期和电话号码等。

土耳其的私人和公共实体都经常面临网络攻击,包括数据泄露、勒索攻击、DDoS攻击等。去年,土耳其启动了一项为期三年的网络安全行动计划,旨在保护关键基础设施的网络安全、开发满足运营需求的国家技术工具、增强应对网络威胁团队的能力、并提高人们对网络安全的认识。

 

参考来源:DailySabah http://t.hk.uy/f7e

 

(十七)巴西商业媒体Rede Bahia遭受勒索软件攻击泄露员工数据

巴西商业媒体Rede Bahia 5月13日披露其遭受了勒索软件攻击,导致运营暂时中断。REDE BAHIA通过邮件通知员工,由于此攻击事件某些员工和前员工的个人信息可能已经泄露,例如薪资明细等。REDE BAHIA已采取了所有用于数据保护的技术和安全措施,包括雇用专业公司以减轻此安全事件的风险。

巴西新闻媒体BNEWS证实了此次攻击,该攻击干扰了Rede Bahia旗下报纸Correio的每日出版。Rede Bahia发布通知,人们可以在出版中断的情况下通过广播或网络获得新闻。

 

 

Rede Bahia指出,他们证实一些员工数据已被泄露,BNEWS首先发布了一段似乎经过编辑的一些员工工资的截屏,这段视频是通过电子邮件传输的,并发布在一个未透露姓名的社交媒体账户上,随后被悄悄删除。屏幕截图随后在推特上被重新分享。

目前,该公司仍在努力恢复所有功能,尚未公开有关勒索软件的类型或勒索需求的详细信息。
 

参考来源:DataBreaches http://t.hk.uy/fYd
 

 

(如未标注,均为天地和兴工业网络安全研究院编译)

 

关键词:

扫二维码用手机看

天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号