安全資訊報告

安全專家將勒索軟體和恐怖主義視為同等威脅

2021年12月29日-在對1,500多名安全專業人員的調查中，60%的受訪者表示將勒索軟體和恐怖主義視為同等威脅。

近年來，醫療保健行業和其他關鍵基礎設施部門受到勒索軟體的打擊尤為嚴重，而且攻擊速度並未放緩。2021年，超過500家醫療保健組織向HHS的民權辦公室(OCR)報告了涉及受保護健康資訊(PHI)的資料洩露。

三分之二接受調查的安全專業人員報告說，他們的組織在過去12個月中遭受過勒索軟體攻擊。在過去的一年中，大型和小型公司都受到了勒索軟體的嚴重影響。

儘管攻擊有所增加，但77%的受訪者仍然表示，他們相信他們當前的安全工具將保護他們免受未來的勒索軟體攻擊。超過三分之一的受訪者表示他們會支付贖金，但其中57%的受訪者表示，如果他們必須公開報告支付款項，他們將撤銷這一決定。《勒索軟體披露法》可能要求公司在48小時內報告勒索軟體付款。對於醫療保健，必須向HHS報告影響500多人的違規行為。

超過40%的受訪者報告使用VPN，還有許多其他受訪者報告使用定期加密備份、反網路釣魚技術和漏洞掃描。超過四分之三的接受調查的安全專業人員表示，他們的組織計劃增加明年的勒索軟體預算。

新聞來源：

https://healthitsecurity.com/news/security-professionals-view-ransomware-and-terrorism-as-equal-threats

越南加密貨幣平臺ONUS遭受與Log4j相關的勒索軟體攻擊

ONUS是一種加密貨幣投資應用程式，於2020年3月首次在Android和iOS上推出，週五在其網站上釋出訊息稱，其系統“因大規模網路攻擊而受到損害”。ONUS管理員表示，“第三方能夠未經授權訪問並竊取某些關鍵的ONUS資料。”

與ONUS合作並參與調查的越南網路安全公司CyStack週二在其網站上的一篇帖子中表示，安全事件“始於Cyclos提供的支付軟體中的Log4Shell漏洞”。

安全部門表示，大約200萬ONUS使用者隨後洩露了資訊——包括姓名、電子郵件和電話號碼、地址、E-KYC[KnowYourCustomer]資料、雜湊密碼、交易歷史和“其他加密資訊”。Log4j的成功利用發生在漏洞釋出兩天後。ONUS花了五天時間修補漏洞。

新聞來源：

https://www.govinfosecurity.com/crypto-platform-suffers-log4j-related-ransomware-attack-a-18219

Auerswald VoIP：韌體中發現製造商後門

在韌體版本為7.8A和8.0B的Auerswald COMpact5500R VoIP伺服器的韌體中發現了兩個後門密碼。

Auerswald VoIP的緊湊5500R是VoIP裝置，換句話說，簡單地說，伺服器管理和控制的VoIP電話。如果攻擊者要獲得對該伺服器的訪問權，他就可以輕鬆地將公司的電話線用於自己的目的，例如網路釣魚。他還可以用它撥打大量收費電話號碼。總之：接入這樣的VoIP系統非常關鍵！

新聞來源：

https://tarnkappe.info/auerswald-voip-hersteller-backdoor-in-firmware-entdeckt/