宏碁再次遭遇勒索病毒攻擊、谷歌分析8000萬個勒索軟體樣本|10月15日全球網路安全熱點

騰訊安全發表於2021-10-15

圖片



安全資訊報告


MyKings殭屍網路仍然活躍並賺取大量資金

 

MyKings殭屍網路(又名Smominru或DarkCloud)仍在積極傳播,在它首次出現在野外五年後,透過加密貨幣賺取了大量資金。

 

作為近代歷史上分析最多的殭屍網路之一,MyKings因其龐大的基礎設施和多功能功能(包括引導包、礦工、dropper、剪貼簿竊取程式等)而對研究人員特別感興趣。

 

最新研究MyKings的研究人員團隊是AvastThreatLabs,自2020年初以來,該實驗室收集了6,700個獨特的樣本進行分析。殭屍網路使用許多加密貨幣錢包地址,其中一些地址的餘額相當高。Avast認為,這些錢包的加密貨幣是由剪貼簿竊取器和加密挖掘元件積累的。

 

與MyKings關聯的錢包地址所反映的收入約為2470萬美元。然而,由於殭屍網路總共使用了20多種加密貨幣,這個數額只是其總財務收益的一部分。


新聞來源: 

https://www.bleepingcomputer.com/news/security/mykings-botnet-still-active-and-making-massive-amounts-of-money/


多國在美國發起的反勒索軟體峰會上揭示應對勒索軟體的困難

 

在華盛頓發起的反勒索軟體峰會上,美國召集了大約30個國家以加強合作,以打擊在世界各地蓬勃發展的代價高昂和破壞性的襲擊。各國都各自披露了他們與網路勒索者的鬥爭。

 

以色列國家網路局局長伊加爾·烏納(YigalUnna)彷彿得到了提示,宣佈了最新事件的訊息。

 

烏納說:“我現在可以透露,就在我們發言時,以色列正在經歷一場針對其一家大醫院的重大勒索軟體攻擊。”

 

德國回憶說,今年夏天,安哈爾特-位元費爾德東部地區的一個地方政府在受到勒索軟體攻擊後首次宣佈進入“網路災難”狀態。

 

美國也受到了多次針對企業的勒索軟體攻擊,尤其是在2021年上半年。

 

這些攻擊涉及闖入實體的網路以加密其資料,然後要求贖金,通常以加密貨幣支付以換取解鎖金鑰。

 

而英國、澳大利亞、印度、日本、法國、德國、韓國、歐盟、以色列、肯亞、墨西哥和其他國家參加了週三開始並將於週四繼續的虛擬聚會。

 

新聞來源:

https://www.securityweek.com/nations-reveal-ransomware-pain-us-led-summit

 

谷歌分析了8000萬個勒索軟體樣本

 

谷歌釋出了一份新的勒索軟體報告,顯示以色列是該時期最大的樣本提交者。透過VirusTotal進行分析,其中需要審查來自140個國家/地區的8000萬個勒索軟體樣本。

 

根據VirusTotal審查的提交數量,以色列、韓國、越南、中國、新加坡、印度、哈薩克、菲律賓、伊朗和英國是受勒索影響最嚴重的10個地區。

 

從2020年初開始,勒索軟體活動在2020年前兩個季度達到頂峰,VirusTotal將其歸因於勒索軟體即服務組織GandCrab的活動。GandCrab在2020年第一季度出現了一個非同尋常的峰值,之後急劇下降。它仍然活躍,但就新鮮樣本的數量而言,其數量級不同。

 

2021年7月還有一個相當大的峰值,由Babuk勒索軟體團伙推動,該勒索軟體行動於2021年初啟動。Babuk的勒索軟體攻擊通常具有三個不同的階段:初始訪問、網路傳播和針對目標採取行動。

 

該報告還發現,漏洞利用僅包含一小部分樣本——5%。VirusTotal認為勒索軟體的樣本通常是使用社會工程和/或投放程式(旨在安裝惡意軟體的小程式)部署的。

 

新聞來源:

https://www.zdnet.com/article/google-analysed-80-million-ransomware-samples-heres-what-it-found/


安全漏洞威脅

 

宏碁確認在印度的售後服務系統遭到勒索病毒攻擊破壞

 

臺灣電腦巨頭宏碁已證實,其在印度的售後服務系統最近在該公司所謂的“孤立攻擊”中遭到破壞。

 

“一經發現,我們立即啟動了安全協議並對我們的系統進行了全面掃描。我們正在通知印度所有可能受影響的客戶,”宏碁公司通訊發言人告訴BleepingComputer。

 

雖然宏碁沒有提供有關此事件背後攻擊者身份的詳細資訊,但一名威脅行為者已經在一個流行的駭客論壇上聲稱發動了這次攻擊,稱他們從宏碁的伺服器上竊取了超過60GB的檔案和資料庫。據稱被盜的資料包括屬於宏碁印度零售商和分銷商的客戶、公司和財務資料以及登入詳細資訊。

 

作為證據,攻擊者提供了一段影片,其中展示了被盜檔案和資料庫、10,000名客戶的記錄以及3,000家印度宏碁分銷商和零售商的被盜憑證。

 

圖片


這是繼REvil在3月份聲稱的勒索軟體攻擊之後,這家計算機巨頭的系統今年第二次遭到破壞。

 

宏碁被要求為解密器支付50,000,000美元並取回被盜資料,這是當時最大的公開贖金(REvil在7月打破了他們的記錄,要求Kaseya支付7000萬美元的贖金。)

 

當被BleepingComputer要求確認3月份的勒索軟體攻擊時,宏碁沒有給出明確的答覆,而是表示他們向相關執法機構和資料保護部門“報告了最近的異常情況”。


新聞來源: 

https://www.bleepingcomputer.com/news/security/acer-confirms-breach-of-after-sales-service-systems-in-india/


新的勒索軟體會加密資料並威脅發起DDoS攻擊

 

網路犯罪分子正在分發一種新形式的勒索軟體來攻擊受害者,他們不僅會加密網路,還會威脅發起分散式拒絕服務(DDoS)攻擊,並在未支付贖金的情況下騷擾員工和業務合作伙伴。

 

網路安全研究人員在調查針對一個大型未公開組織的網路攻擊未遂事件時,發現了這個名為Yanluowang的勒索軟體。

 

Yanluowang向受害者傳送勒索信,告訴受害者他們已經感染了勒索軟體,並告訴他們傳送聯絡地址以協商支付贖金。該說明警告受害者不要聯絡警方,也不要聯絡網路安全公司——這暗示如果受害者這樣做,他們將無法取回他們的資料。

 

目前尚不清楚網路犯罪分子如何獲得網路訪問許可權。儘管如此,研究人員還是在發現AdFind(Active Directory查詢工具中的合法命令列)的可疑使用後發現了這次攻擊。該工具經常被勒索軟體攻擊者濫用,並被用作利用Active Directory和尋找其他方式在網路中秘密移動的偵察技術,最終目標是部署勒索軟體。

 

新聞來源:

https://www.zdnet.com/article/this-new-ransomware-encrypts-your-data-and-makes-some-nasty-threats-too/


相關文章