安全資訊報告

想要清除勒索軟體：須加強監管加密貨幣交易所

到2022年，勒索軟體仍將是一個主要威脅，為了應對它，加密生態系統必須接受更多監管。

根據Fortinet最近的一份報告，就在2020年7月至2021年6月之間，勒索軟體活動猛增了1,070%，其他研究人員證實了這種勒索模式的擴散。模仿合法科技世界流行的商業模式，勒索軟體即服務門戶出現在網路的黑暗角落，使影子行業制度化，並削減了犯罪分子的技能上限。這一趨勢應該在加密生態系統中敲響警鐘，特別是因為勒索軟體攻擊者確實有加密支付的訣竅。

一些最大的中心化交易所(CEX)正在聘請一流的金融犯罪調查員來監督他們的反洗錢工作。

去中心化交易所(DEX)讓事情變得更加棘手，讓我們面對現實吧，它並不像名稱所暗示的那樣去中心化，而是喜歡以其他方式聲稱。在大多數情況下，DEX在瞭解你的客戶(KYC)措施方面幾乎沒有（如果有的話），幫助使用者在閒暇時在硬幣和區塊鏈之間跳躍，同時留下很少的痕跡。雖然他們中的一些人可能會利用各種分析服務對錢包進行背景調查，但駭客可以嘗試使用混合器和其他工具繞過這些服務。

今年9月，美國財政部對場外交易經紀人Suex實施了制裁，原因是他們有效地促進了勒索軟體洗錢活動。這一發展應該為各地的CEX和DEX敲響警鐘，因為它將美國製裁的多米諾骨牌效應應用於加密生態系統。

勒索軟體是一個複雜的問題，很難用一個靈丹妙藥的決定來解決。這將需要更細緻入微的方法，並且很可能需要在這個問題上進行更多的國際合作。儘管如此，還是有充分的理由將交易所監管作為此類努力的主要部分，以阻止攻擊者獲得攻擊成果的能力，從而打擊其業務的財務核心。

新聞來源：

https://cointelegraph.com/news/want-to-weed-out-ransomware-regulate-crypto-exchanges

OpenSea調查得出結論，價值數百萬美元的NFT在網路釣魚攻擊中被盜

在OpenSea上價值數百萬美元的NFT被駭客竊取後，不可替代代幣的新興市場在週六晚上陷入了混亂。Finzer表示，該公司根據內部和外部對話得出結論，該事件是一次網路釣魚攻擊，並非源自OpenSea的網站。

可以確認駭客已經竊取了超過300萬美元的資產，其中包括流行的NFT，如Bored Apes、Azuki和CloneX。

Nansen的執行長Alex Svanevik估計約有19名OpenSea使用者受到影響。OpenSea——最近以超過130億美元的估值融資，是最大的NFT交易平臺之一。

新聞來源：

https://www.theblockcrypto.com/linked/134832/opensea-is-investigating-rumors-of-a-multi-million-dollar-nft-exploit

如何解決醫療保健被勒索攻擊的問題？

2021年，針對醫療保健系統的勒索軟體攻擊出現了驚人的增長——僅在第三季度就有超過65起針對醫療保健組織的勒索軟體攻擊報告，三分之二的組織報告稱他們已成為勒索軟體攻擊的目標——這一趨勢正在可能會在2022年繼續。

一些勒索軟體組織專門針對醫療保健行業，認為成功的攻擊更有可能導致付款，因為它可能造成混亂。這些攻擊越來越多地不僅涉及系統和檔案的加密，使它們在支付贖金之前無法訪問，而且還涉及盜竊和威脅釋出資料以增加對受害者的影響力。此類攻擊有時會影響衛生服務的提供，導致可怕的健康後果。

此外，在瞭解醫療保健實體在這些情況下是受害者的同時，執法當局已明確表示，醫療保健公司必須在發生資料洩露時努力滿足聯邦、州和地方的通知要求。這些要求可以包括向當局提交書面“違規報告”，並直接及時通知資料已被洩露的個人。

鑑於這些挑戰，醫療保健組織可以而且應該透過聘請具有應對勒索軟體攻擊專業知識的專業人員來積極應對勒索軟體造成的危害。網路安全公司可以制定計劃以防止勒索軟體攻擊，如果發生此類攻擊，外部顧問可以協助制定應對計劃。該響應計劃應概述公司在決定是否支付贖金時將考慮的因素，確定需要諮詢誰，並就威脅緩解和遏制策略提出建議。

新聞來源：

https://www.managedhealthcareexecutive.com/view/addressing-ransomware-in-healthcare

TrickBot惡意軟體已被Conti勒索軟體團伙接管

TrickBot是一個Windows惡意軟體平臺，它利用多個模組進行各種惡意活動，例如竊取資訊和密碼、滲透Windows域、訪問公司網路和傳遞惡意軟體。自2016年以來，TrickBot的開發人員與勒索軟體團伙合作，接管並感染了全球數百萬臺裝置。

雖然Ryuk勒索軟體團伙首先與TrickBot合作以獲得其技術的訪問許可權，但該組織已被Conti勒索軟體團伙所取代，該團伙在過去一年中一直在使用其惡意軟體來訪問公司網路。據AdvIntel稱，管理各種TrickBot活動的是一個名為Overdose的網路犯罪組織，該組織從其攻擊活動中賺取了至少2億美元。

AdvIntel的安全研究人員注意到，Conti已成為TrickBot殭屍網路的唯一使用者。到2021年底，Conti基本上已經收購了TrickBot，多名精英開發人員和管理人員加入了勒索軟體團伙。

Conti勒索軟體組織計劃使用TrickBot的新產品BazarBackdoor惡意軟體，因為它更隱蔽且更難檢測。儘管BazarBackdoor曾經是TrickBot更大工具包的一部分，但據AdvIntel稱，它已成為自己的完全自主工具。

新聞來源：

https://www.techradar.com/news/trickbot-malware-has-been-taken-over-by-this-notorious-criminal-gang

闖入Microsoft Teams會議：駭客肆無忌憚地傳播惡意軟體

駭客侵入公司帳戶，然後偽裝成員工，在與Microsoft Teams的會議中分發大量惡意軟體。

研究人員在最近幾個月已經記錄了“數千次”透過Microsoft Teams會議傳播的惡意攻擊，攻擊的基礎通常是Microsoft 365帳戶被盜：駭客非常擅長使用傳統電子郵件網路釣魚方法入侵Microsoft 365帳戶，他們瞭解到相同的登入憑據也適用於Microsoft Teams。

一旦可以透過這種方式進行訪問，攻擊者就可以相對不受干擾地參加Teams會議。根據分析，感染過程始終相同：聊天中連結到一個惡意可執行檔案，偽裝成合法的“以使用者為中心”的程式。之後，通常情況下，需要受害者進一步缺乏經驗，他們被所謂的合法發件人欺騙，從而安裝惡意軟體。在此步驟中，木馬可以將惡意DLL檔案釋放到PC上，從而遠端接管系統。

新聞來源：

https://california18.com/break-in-into-microsoft-teams-meetings-hackers-brazenly-spread-malware/3438482022/

快速增長的基於Golang的“Kraken”殭屍網路出現

據網路安全公司ZeroFox報導，在過去的幾個月裡，針對Windows的基於Golang的新殭屍網路已經在每臺新部署的(C&C)伺服器上捕獲了數百個新系統。

被稱為Kraken的殭屍網路可以在受感染的系統上下載和執行二級有效載荷，但除了保持永續性外，還能夠進行資訊收集、shell命令執行、加密貨幣盜竊和截圖。

Kraken最初於2021年10月10日出現在GitHub上，其原始碼早於所有觀察到的二進位制檔案。但是，尚不清楚殭屍網路運營商是建立了GitHub帳戶還是隻是竊取了程式碼。

最近，Kraken的開發人員增加了從各種加密貨幣錢包中竊取資金的功能。從加密貨幣礦池獲得的資料顯示，殭屍網路的運營商每月賺取大約3,000美元。

新聞來源：

https://www.securityweek.com/fast-growing-golang-based-kraken-botnet-emerges

2021年檢測到超過6.2億次勒索軟體攻擊

根據SonicWall的資料，去年企業IT團隊面臨的勒索軟體攻擊以三位數(105%)增長至超過6.23億次。

這家安全供應商新發布的2022年SonicWall網路威脅報告，是根據來自近215個國家/地區的100萬個安全感測器以及第三方來源的分析編制而成的。

幾乎所有受監控的威脅，包括物聯網惡意軟體、加密威脅和加密劫持，在2021年都同比上升。然而，勒索軟體的增長尤為迅速，自2019年以來飆升了232%，與2020年的資料相比，檢測到了近3.19億次。

除了針對政府目標的攻擊增加1885%外，醫療保健(755%)、教育(152%)和零售(21%)的勒索軟體威脅也激增。

根據SonicWall的資料，全球Cryptojacking攻擊增加了19%，達到創紀錄的9710萬次，而物聯網惡意軟體檢測次數增加了6%，達到6010萬次。

有趣的是，供應商還看到了Log4Shell漏洞利用帶來的快速而顯著的影響。在12月11日至1月31日期間，威脅參與者記錄了1.42億次利用嘗試，每天達到270萬次。

SonicWall總裁兼執行長比爾·康納（Bill Conner）表示，威脅的激增也促使防禦者增強他們的應變能力。預計到2021年底，全球網路安全支出將增長12.4%，是2020年的兩倍。

新聞來源：

https://www.infosecurity-magazine.com/news/over-620-million-ransomware/

安全漏洞威脅

駭客利用Log4j安全漏洞傳播勒索軟體感染未修補漏洞的VMware使用者

駭客攻擊了VMware使用者，Log4j漏洞再次出現在受感染的系統中。據網路安全分析師稱，這次攻擊背後臭名昭著的組織是TunnelVision。

根據來自Sentinel One研究人員的說法，網路犯罪分子一直在積極透過部署後門和收集受害者的敏感資訊來破壞VMware。他們注入PowerShell命令，建立後門使用者。安全漏洞始於Log4j漏洞利用，由於Tomcat程式，它們透過PS反向shell獲取命令。

通常，VMware使用Apache Tomcat來部署Java中的Web應用程式。TunnelVision駭客可以透過該伺服器遠端控制網路。

根據另一份報告，這是TunnelVision小組在完成設定後所做的事情。

• 建立後門使用者並將其包含在網路管理員組中。

• 執行偵察命令。

• 利用ProcDump、comsvcsMiniDump和SAM配置單元轉儲進行資料收集。

• 安裝Ngrok和Plink以啟動遠端桌面控制。

新聞來源：

https://www.techtimes.com/articles/272010/20220218/state-sponsored-iranian-hackers-deploy-log4j-security-flaw-infect-unpatched.htm

Google向全球32億使用者發出緊急警告

谷歌透過公司部落格文章表示，在所有Chrome瀏覽器中都發現了一個歸類為高嚴重性(CVE-2022-0609)的零日漏洞，並且正在被駭客攻擊。

瀏覽器中還檢測到其他7個漏洞，包括6個被歸為高階別和1個被評為中級，影響所有Windows、Mac和Linux作業系統。

Google將漏洞的詳細資訊保密，到目前為止，以下是有關按風險級別排序的漏洞的可用資訊：

1.高-CVE-2022-0603

2.高-CVE-2022-0604

3.高-CVE-2022-0605

4.高-CVE-2022-0606

5.高-CVE-2022-0607

6.高-CVE-2022-0608

7.中-CVE-2022-0610

據福布斯報導，此次被駭客利用的零日漏洞是一個“Use-After-Free”（UAF）漏洞，使其成為駭客針對Chrome時最成功、最流行的駭客攻擊形式。

Google建議Chrome使用者儘快將其網路瀏覽器更新為Chrome更新98.0.4758.102。要更新Chrome，請轉到選單（3點圖示）>設定>關於Chrome，等待更新下載過程完成，然後單擊重新啟動以重新啟動瀏覽器。

新聞來源：

https://kenh14.vn/google-phat-canh-bao-khan-den-32-ty-nguoi-dung-toan-cau-luu-y-ngay-dieu-nay-neu-khong-muon-gap-nguy-hiem-20220217114851412.chn