安全資訊報告
美國TrickBot惡意軟體開發者或將面臨60年監禁
一名據信是TrickBot惡意軟體開發團隊成員的俄羅斯國民已被引渡到美國,目前面臨可能使他入獄60年的指控。
起訴書稱,38歲的Vladimir Dunaev,也被稱為FFX,是一名惡意軟體開發人員,負責監督TrickBot瀏覽器注入模組的建立。
他是第二位與司法部今年逮捕的TrickBot團伙有關的惡意軟體開發者。2月,拉脫維亞國民Alla Witte,又名Max,因編寫與勒索軟體控制和部署相關的程式碼而被捕。
根據起訴書,TrickBot團伙至少有17名成員,每個成員在行動中都有特定的屬性:
惡意軟體經理-概述程式設計需求、管理財務、部署TrickBot惡意
軟體開發人員-開發TrickBot模組並將其交給他人進行加密
Crypter-加密TrickBot模組以逃避防病毒檢測
垃圾郵件製造者-透過垃圾郵件和網路釣魚活動分發TrickBot的人
TrickBot於2015年從Dyre銀行木馬的灰燼中建立,最初專注於透過網路注入和記錄受害者使用者的按鍵來竊取銀行憑據
後來,它發展成為還可以分發其他威脅的模組化惡意軟體。如今,該團伙更喜歡在公司網路上投放勒索軟體,尤其是Conti。
據信,TrickBot已經感染了數百萬臺計算機,使其運營商能夠竊取個人和敏感資訊並從受害者的銀行賬戶中竊取資金。
該惡意軟體影響了美國、英國、澳大利亞、比利時、加拿大、德國、印度、義大利、墨西哥、西班牙和俄羅斯的企業。
除了Dunaev和Witta之外,美國司法部還起訴了TrickBot團伙的其他成員,他們的名字尚未公開,分佈在多個國家,其中包括俄羅斯、白俄羅斯和烏克蘭。
新聞來源:
https://www.bleepingcomputer.com/news/security/trickbot-malware-dev-extradited-to-us-faces-60-years-in-prison/
在Covid-19激增期間,勒索軟體襲擊了巴布亞紐幾內亞
據彭博社報導,巴布亞紐幾內亞政府財政辦公室遭到勒索軟體網路攻擊,駭客索要比特幣。雖然圍繞這次攻擊的許多細節仍不清楚,但很明顯,駭客不再只針對最富有的國家和最富有的公司使用勒索軟體。
巴布亞紐幾內亞的許多服務嚴重依賴外國援助。未知駭客將PNG的財務部及其綜合財務管理系統作為目標,該系統負責處理大部分財務援助。
據報導,網路攻擊發生在上週,雖然我們知道駭客索要比特幣,但巴布亞紐幾內亞政府不會透露索要多少錢。據彭博社報導,在這種情況下,外援資金似乎甚至被凍結了,儘管發生的機制尚不清楚。最重要的是,巴布亞紐幾內亞最近幾週一直在努力應對迄今為止最嚴重的covid-19激增。據澳大利亞廣播公司新聞報導,該國目前平均每天約有388例病例,人們普遍認為,由於檢測不力,實際數字被低估了。
新聞來源:
https://gizmodo.com/cowards-hit-papua-new-guinea-with-ransomware-during-cov-1847953543
伊朗稱以色列和美國可能是加油站網路攻擊事件的幕後黑手
伊朗民防負責人週六指責以色列和美國可能是擾亂整個伊朗汽油銷售的網路攻擊的幕後黑手,但表示技術調查工作尚未完成。
“我們仍然無法從證據角度確認,但從分析角度來看,我認為這是由猶太復國主義政權、美國人和他們的代理人實施的,”負責網路安全的民防部門負責人Gholamreza Jalali在接受國家電視臺採訪時說。
伊朗在過去幾年中表示,對網路攻擊保持高度警惕。伊朗將那些網路攻擊歸咎於宿敵美國和以色列。同時,美國和其他西方國家則指責伊朗試圖破壞和侵入他們的網路。
伊朗總統萊希(Ebrahim Raisi)本週說,此次網路攻擊旨在製造“混亂”。此次攻擊擾亂了伊朗汽油銷售。
Jalali說,根據已完成的調查,伊朗“肯定”美國和以色列是7月對伊朗鐵路和2020年5月對阿巴斯港口進行網路攻擊的幕後黑手。
伊朗國家通訊社(IRNA)週六表示,伊朗4,300個加油站中約有一半現在已經重新連線網路,並恢復了汽油銷售。網路攻擊發生幾個小時後,加油站逐漸重新開放,但只能手動操作。
新聞來源:
https://cn.reuters.com/article/%E4%BC%8A%E6%9C%97%E7%A7%B0%E4%BB%A5%E8%89%B2%E5%88%97%E5%92%8C%E7%BE%8E%E5%9B%BD%E5%8F%AF%E8%83%BD%E6%98%AF%E5%8A%A0%E6%B2%B9%E7%AB%99%E7%BD%91%E7%BB%9C%E6%94%BB%E5%87%BB%E4%BA%8B%E4%BB%B6%E7%9A%84%E5%B9%95%E5%90%8E%E9%BB%91%E6%89%8B-idCNL4S2RR00G
Gartner:2021年Q3新型勒索軟體成為最大的新興風險
根據Gartner最新的風險監測報告,2021年第三季度,高管們最擔心的問題是“新型勒索軟體”的威脅。對294名來自不同行業和地區的高管進行的調查顯示,對勒索軟體的擔憂超過了流行病。
Gartner風險與審計業務副總裁Matt Shinkman表示:“高管們認為,不斷演變的勒索軟體攻擊的負面影響非常嚴重,在與新冠大流行和全球供應鏈中斷相關的眾多風險中,勒索軟體攻擊佔據了首位。”
新勒索軟體模型的風險在第三季度首次出現在前五大新興風險中,因為上一季度的最大風險“網路安全控制失敗”已成熟為既定風險。排名前五位的其餘風險都與大流行及其對工作的影響有關。
新的勒索軟體模型在許多方面成為企業的最大威脅,這與加密貨幣的流行密切相關。加密貨幣增強了攻擊者的匿名性,同時也為敲詐受害企業提供了新的模型。勒索軟體的商業模式變得更加專業化和高效,包括“勒索軟體即服務”和比特幣支付需求,導致攻擊激增。攻擊本身的技術也在發展,病毒感染備份系統,不依賴網路釣魚作為載體,更難識別“無檔案”和“加密劫持”攻擊等病毒。
新聞來源:
http://www.199it.com/archives/1333980.html
AbstractEmu惡意軟體悄悄攻擊Android裝置
AbstractEmu是一種新的Android惡意軟體,它使用程式碼抽象和反模擬檢查從應用程式開啟的那一刻起停止分析。當智慧手機被感染時,惡意軟體可以在逃避檢測的同時完全控制裝置。
根據Lookout Threat Labs的說法,共有19個Android應用程式被偽裝成包含生根功能的實用程式應用程式。在眾多流氓應用程式中,其中一個進入了Google Play商店。在被谷歌清除之前,它已經吸引了超過10,000次下載。
據說這些流氓應用程式是透過第三方商店分發的,例如三星Galaxy Store和亞馬遜應用商店。還可以在Aptoide、APKPure和其他鮮為人知的市場上找到它們。
這種型別的惡意軟體具有破壞性。它可以透過生根過程訪問Android作業系統。不良行為者可以靜默授予危險許可權或安裝更多惡意軟體,而無需使用者互動。
Lookout尚未確定AbstractEmu負責的公司或個人。然而,該公司暗示它是由一個資源豐富的團隊設計的,該團隊的動機是從Android智慧手機使用者那裡竊取資金。
除了AbstractEmu,還應該注意屬於UltimaSMS(詐騙活動)一部分的應用程式。這些應用已被Google刪除。然而,在它們被清除之前,它們被下載了1050萬次。
這些應用程式看起來像是提供影片和照片編輯器、呼叫攔截器和其他正常用途。然而,使用者不知道的是他們對他們的Android裝置造成了傷害。
這些虛假應用程式可以訪問手機的位置並瞭解語言和區號。一旦獲得這些詳細資訊,他們就可以使用它們來釣魚以獲取更多資訊,例如電子郵件地址和電話號碼。這些應用程式不會導致勒索軟體或身份盜用。但他們確實想要錢。
當下載這些應用程式之一時,將自動訂閱SMS服務。將被收取每月40美元的費用。金額將取決於居住的國家/地區和移動運營商。
新聞來源:
https://socialbarrel.com/abstractemu-malware-silently-attacks-android-devices/132947/
警方逮捕了製造1,800多次勒索軟體攻擊的駭客
歐洲刑警組織宣佈逮捕12人,據信他們與針對71個國家的1,800名受害者的勒索軟體攻擊有關。根據執法報告,攻擊者部署了LockerGoga、MegaCortex和Dharma等勒索軟體,以及Trickbot等惡意軟體和Cobalt Strike等後開發工具。
LockerGoga和MegaCortex感染在那一年達到頂峰,荷蘭國家網路安全中心(NCSC)的一份報告將1,800次感染歸因於Ryuk勒索軟體。
與嫌疑人有關的最值得注意的案例是2019年對挪威鋁生產巨頭NorskHydro的襲擊,導致該公司的運營受到嚴重和長期的中斷。逮捕行動於2021年10月26日在烏克蘭和瑞士進行,由於同時突擊搜查,警方沒收了五輛豪華汽車、電子裝置和52,000美元現金。
攻擊者對受感染的系統進行了加密,並留下贖金票據,要求受害者以比特幣支付鉅額資金以換取解密金鑰。現在被捕的一些人被認為負責洗錢活動,使用比特幣混合服務來掩蓋資金蹤跡。此次行動在執法方面取得了巨大成功,這要歸功於來自七個歐洲警察部門的50多名調查員、六名歐洲刑警組織專家以及聯邦調查局和美國特勤局的成員。
新聞來源:
https://www.bleepingcomputer.com/news/security/police-arrest-hackers-behind-over-1-800-ransomware-attacks/