安全資訊報告

網路攻擊對科羅拉多電力公司造成嚴重破壞

科羅拉多州的一家電力公司披露了一次明顯的勒索軟體攻擊，攻擊導致嚴重的中斷和破壞。

DMEA是一家成員所有和地方控制的農村電力合作社，為科羅拉多州蒙特羅斯、德爾塔和甘尼森縣的34,000多個客戶提供服務。它是試金石能源合作社的一部分，該合作社聯盟在美國擁有750多個成員。

DMEA上週透露，它在11月7日發現其內部網路遭到破壞。駭客攻擊導致電話、電子郵件、賬單和客戶帳戶系統中斷，以及文件、電子表格和表格“損壞”。網路攻擊導致90%的內部控制和系統損壞、損壞或禁用，並聲稱大部分可追溯到20多年的歷史資料丟失。

DMEA表示，其電網和光纖網路——該公司還提供網際網路服務——沒有受到事件的影響。該公用事業公司仍在努力恢復受影響的服務，因此它告訴客戶，所有罰款和因未付款而斷線的費用將暫停至2022年1月底。

雖然該公司沒有提供任何關於攻擊型別的資訊，但它對事件的描述表明它涉及檔案加密勒索軟體。

DMEA表示，它沒有發現任何證據表明敏感資料因洩露而受到損害。

該公司表示：“我們非常有信心，沒有任何敏感的成員或員工資訊被洩露。”

這表明該實用程式可能是勒索軟體攻擊的受害者，在這種攻擊中，網路犯罪分子僅對受攻擊系統上的資料進行加密，而不會竊取任何檔案。SecurityWeek已經檢查了幾個主要勒索軟體組織的網站，這些組織通常威脅要從受害者那裡洩露資料，除非支付贖金，並且在任何網站上都沒有提到DMEA。

新聞來源：

https://www.cyclonis.com/zh-hans/colorado-electric-company-hit-by-cyber-attack/

加拿大超過一半的勒索軟體攻擊關鍵基礎設施

渥太華——加拿大數字網路安全機構警告稱，截至2021年，已知的針對加拿大受害者的勒索軟體攻擊已達235起，其中一半以上針對關鍵基礎設施供應商，如電網、石油和天然氣以及醫院。

通訊安全機構(CSE)加拿大網路安全中心在週一釋出的新網路威脅公告中警告說，這只是冰山一角，因為“大多數”勒索軟體攻擊未被報告。

CSE指出，在全球範圍內，與上一年相比，2021年前六個月的勒索軟體攻擊增加了151%。全球平均贖金支付似乎穩定在20萬美元左右，但個人或組織從攻擊中恢復的成本激增，從今年的不到100萬美元躍升至今年的230萬美元。

新聞來源：

https://nationalpost.com/news/politics/over-half-of-known-ransomware-attacks-in-canada-targeted-critical-infrastructure-providers-cse

老闆們不願意在網路安全上花錢，然後他們被黑了

許多企業仍然不願意在網路安全上花錢，因為他們認為這是額外的成本——然後發現他們在被駭客攻擊後必須花費更多的現金從網路事件中恢復。

勒索軟體、商業電子郵件洩露(BEC)詐騙和資料洩露等網路攻擊是當今企業面臨的一些關鍵問題，但儘管備受矚目的事件數量眾多且後果昂貴，但許多董事會仍不願騰出預算進行投資採取必要的網路安全措施以避免成為下一個受害者。

成為勒索軟體攻擊等重大網路事件受害者的成本可能比投資於首先阻止事件的人員和程式的成本高出許多倍——許多組織只有在為時已晚後才完全意識到這一點。

例如，一個組織可能最終會向勒索軟體犯罪分子支付數百萬美元以獲得加密網路的解密金鑰——然後在事件發生後調查、修復和恢復整個企業的IT基礎設施會產生額外的成本。即使對於擁有成熟網路安全戰略的組織而言，由於對具備所需技能的員工的高需求，培訓、僱用和留住員工仍然是一項挑戰。

新聞來源：

https://www.zdnet.com/article/too-many-bosses-are-reluctant-to-spend-money-on-cybersecurity-then-they-get-hacked/

Microsoft Office 365成為新型網路釣魚攻擊的目標

安全研究人員警告稱，正在進行的網路釣魚活動正在利用虛假的Office 365通知來欺騙不知情的使用者。通知會警告使用者已阻止垃圾郵件，並要求他們檢視郵件。當然，這些連結是惡意的，並且裝有間諜軟體，可以竊取使用者的Microsoft帳戶詳細資訊。

這些電子郵件特別危險，因為它們看起來與地址隔離[at]messaging.microsoft.com是合法的。顯示名稱也與收件人的域相匹配，使其更加可信。

此外，每封電子郵件都有Office 365徽標和指向Microsoft真實隱私宣告的連結。但是，足夠關注的使用者會看到一些標準問題，這些問題暴露了郵件的性質。具體來說，正文中的粗製格式和奇怪的空格。

“提供了'防止垃圾郵件'的詳細資訊，詐騙者將主題標題個性化為'[公司域]調整：交易費用第三季度更新'以營造緊迫感並使用與財務相關的訊息。”

新聞來源：

https://winbuzzer.com/2021/12/06/microsoft-office-365-targeted-by-new-phishing-attack-xcxwbn/

Nordic Choice酒店受到Conti勒索軟體的打擊，尚未提出贖金要求

Nordic Choice Hotels現已確認Conti勒索軟體集團對其系統進行網路攻擊。該事件主要影響酒店的客人預訂和房間鑰匙卡系統。雖然沒有跡象表明密碼或付款資訊受到影響，但與客人預訂有關的資訊可能會洩露。這家斯堪的納維亞連鎖酒店擁有16，000多名員工，在斯堪的納維亞半島、芬蘭和波羅的海地區擁有200家酒店。

其中一位酒店客人，安全研究員Runa Sandvik也報告了鑰匙卡已停止服務。目前還沒有贖金要求，執法部門參與其中，包括挪威資料保護局和挪威國家安全域性在內的執法機構於12月2日（與襲擊發生同一天）接到酒店公司襲擊的通知。

"我們的調查目前沒有任何跡象表明資料已被洩露，但我們不能保證情況確實如此。因此，該事件存在有關客人預訂資訊可能丟失的風險，"該公司在一份新聞稿中解釋道。

儘管酒店集團目前還不能確定是否存在任何資料洩露，但決定保持透明並通知其成員該事件是為了讓他們隨時瞭解任何可疑的通訊（可能針對他們的文字，訊息，電話或電子郵件）。

目前，酒店集團已"選擇不聯絡"攻擊背後的威脅行為者，也沒有收到Conti勒索軟體集團的贖金要求。

BleepingComputer也沒有在Conti的資料洩露頁面上看到酒店集團的名字，這表明勒索軟體攻擊處於早期階段，談判可能尚未開始。

"在週末，我們已經設法在大多數酒店實施了替代解決方案。這項工作現在正在如火如荼地進行，以使每個人都恢復正常運營，我們認為將在未來幾天內完成這項工作，"Nordic Choice Hotels副執行長Bjørn Arild Wisth說。

新聞來源：

https://www.bleepingcomputer.com/news/security/nordic-choice-hotels-hit-by-conti-ransomware-no-ransom-demand-yet/

勒索軟體“疫苗”可以阻止加密

德國安全軟體公司G DATA釋出了一種疫苗，可以阻止STOP勒索軟體在感染後加密受害者的檔案。"這個工具並不能防止感染本身。STOP勒索軟體仍將放置贖金記錄，並可能更改系統上的設定，"G DATA惡意軟體分析師Karsten Hahn和John Parol解釋說。

"但是，如果系統有疫苗，STOP勒索軟體將不再加密檔案。贖金票據將包含一個字串，而不是個人ID，該檔案受疫苗保護。您可以下載停止勒索軟體疫苗，作為編譯的.EXE或Python指令碼。

此疫苗可能會導致您的安全軟體認為您的系統已被感染，因為它的工作原理是新增惡意軟體通常部署在受感染系統上的檔案，以欺騙裝置已經受到攻擊的勒索軟體。

雖然Emsisoft和Michael Gillespie也於2019年10月釋出了STOP勒索軟體解密器，以免費解密由148個變體加密的檔案，但它不再適用於較新的變體。

但是，由於威脅行為者通常會在疫苗釋出後繞過疫苗，因此此疫苗可能會停止用於此勒索軟體的未來版本。因此，在接種疫苗後，您應該確保您的重要檔案也得到備份！

雖然其他勒索軟體菌株受到媒體關注最多，但近年來，STOP勒索軟體一直是BleepingComputer論壇上最重要的ID勒索軟體提交和支援請求的幕後推手。在高勒索軟體活動期間每天提交的數千個ID勒索軟體中，60%到70%是STOP勒索軟體提交。

除了使用此部署方法外，STOP只是您的普通勒索軟體，它會加密檔案，附加副檔名，並刪除一個便箋，要求贖金從$ 500到$ 1000不等。然而，使它如此成功的是大量變體不斷被釋放以避免被發現。

新聞來源：

https://www.bleepingcomputer.com/news/security/stop-ransomware-vaccine-released-to-block-encryption/