安全資訊報告

FBI：提防LockBit 2.0勒索軟體

聯邦調查局(FBI)釋出了關於LockBit 2.0的新警告。建議公司啟用多因素身份驗證(MFA)併為所有管理員和高價值帳戶使用強大、唯一的密碼，以阻止當今網際網路上最繁忙的攻擊組織之一使用的勒索軟體的壓力。

FBI表示，LockBit的運營商已經開始為目標公司的內部人員做廣告，以幫助他們建立對網路的初始訪問許可權。內部人士被承諾從一次成功的攻擊中分得一杯羹。一個月前，它開始透過濫用Active Directory中的組策略跨Windows域自動加密裝置。

Lockbit 2.0識別並收集受感染裝置的主機名、主機配置、域資訊、本地驅動器配置、遠端共享和安裝的外部儲存裝置。會嘗試加密儲存到任何本地或遠端裝置的資料。

除了要求網路郵件、VPN和關鍵系統帳戶的強大、唯一密碼和MFA之外，FBI還建議採取一系列緩解措施，包括保持作業系統和軟體為最新狀態，以及刪除對管理共享的不必要訪問。它還建議使用基於主機的防火牆並在Windows中啟用“受保護的檔案”，參考Microsoft的受控資料夾訪問。

它還建議公司對他們的網路進行分段，調查任何異常活動，對設定在管理員或更高階別的帳戶實施基於時間的訪問，禁用命令列和指令碼活動和許可權，當然還要維護資料的離線備份。

新聞來源：

https://www.zdnet.com/article/fbi-watch-out-for-lockbit-2-0-ransomware-heres-how-to-reduce-the-risk-to-your-network/

Swissport勒索軟體攻擊導致航班延誤

在上週晚些時候發生勒索軟體攻擊導致航班延誤後，機場服務巨頭Swissport正在恢復其IT系統。

這家總部位於蘇黎世的公司，業務範包括從登機口和機場安檢到行李處理、飛機加油和除冰以及休息室招待。它聲稱去年為9700萬乘客提供了地面服務，並處理了超過500萬噸的貨運業務。

Swissport週五在Twitter上警告其IT基礎設施受到了勒索軟體的攻擊，並對服務交付造成的任何影響表示歉意。

目前尚不清楚此次停電對其全球眾多客戶的影響究竟有多嚴重。然而，德國媒體的一份報告顯示，這導致蘇黎世機場暫時延誤。襲擊者於2月3日星期四凌晨發動襲擊。到星期五，蘇黎世機場的運營沒有受到重大影響。

據報導，該公司在停機期間啟動了備份程式。

新聞來源：

https://www.infosecurity-magazine.com/news/swissport-ransomware-attack/

安全漏洞威脅

CISA命令聯邦機構修補Windows漏洞

美國網路安全和基礎設施安全域性(CISA)正在敦促聯邦機構保護其系統免受Windows中一個被積極利用的安全漏洞的影響，該漏洞可能被濫用以獲得對受影響主機的更高許可權。

該機構已將CVE-2022-21882（CVSS評分：7.0）新增到已知被利用漏洞目錄中，要求聯邦民事執行局(FCEB)機構在2022年2月18日之前針對此漏洞修補所有系統。

CISA在上週釋出的一份諮詢報告中表示：“這些型別的漏洞是各種惡意網路參與者的常見攻擊媒介，並對聯邦企業構成重大風險。”

CVE-2022-21882被標記為“更有可能被利用”可利用性指數評估，涉及影響Win32k元件的特權提升漏洞案例。微軟已在其2022年1月補丁星期二更新中解決了該漏洞。

經過身份驗證的本地攻擊者可以透過Win32k.sys驅動程式中的漏洞獲得提升的本地系統或管理員許可權。該漏洞影響Windows 10、Windows 11、Windows Server 2019和Windows Server 2022。

新聞來源：

https://thehackernews.com/2022/02/cisa-orders-federal-agencies-to-patch.html