普普安全资讯一周概览(1113-1119)

作者:

时间:
2021-11-19
01
Robinhood承认被攻击 泄露700万用户数据


11月8日,据美国在线券商Robinhood Markets披露的信息显示,Robinhood在11月3日遭遇了一场严重的网络攻击,导致700万用户数据泄露。攻击者向Robinhood索要赎金,声称如果不支付赎金将公布所有的数据。这些数据包括500万用户电子邮件地址,200万用户的名字,大约有10万人泄露了更多的隐私信息,诸如出生日期、姓名、邮政编码等。

但Robinhood发言人强调,由于此次信息泄露事件中没有涉及用户的社保账号、银行账户等,因此用户没有遭遇经济损失。但实际情况Robinhood曾多次遭受网络攻击,不少用户因此损失严重。关于投资者关心的是否支付赎金问题,Robinhood并没有正面回应,并且认为这不是一场勒索攻击。此次网络攻击的主要原因是,黑客利用了一名客服人员的凭证访问了公司的支持系统。

目前公司已经完全控制了事件,已经通知了相关的执法部门,并邀请网络安全公司Mandiant全面调查此次攻击事件.尽管Robinhood表示了“安全第一”的决心,以及多次试图淡化本次事件的影响,但依旧不可避免造成了股价的波动。


普普点评

从本次700万用户数据泄露事件来看,大部分数据泄密的原因不是由于企业的安全技术不够先进、安全加密强度不足等等。往往是因为安全意识淡薄。这就提醒我们在关注流程和人员的管理的同时,也需要进一步提高对公司员工的网络安全培训力度和考核指标。


02
国际联合执法“旋风行动”盯上了Clop 勒索软件团伙


近日,国际刑警组织宣布,在代号为“旋风行动”的国际联合执法行动中,成功逮捕六名参与Clop 勒索软件行动的成员。自2019年2月以来,Clop 勒索软件便一直活跃在全球不同的机构组织攻击事件中。与其他勒索软件团伙一样,Clop 团伙也采用双重勒索模型,也就是说,他们会窃取拒绝支付赎金的受害者数据,并将这些数据公布在他们网站上。

Clop团伙对韩国公司和美国学术机构进行了多次攻击,通过加密设备并勒索组织以支付赎金或泄露其被盗数据。“应韩国网络犯罪调查部的要求,国际刑警组织通过首尔中央分局,向该组织的194个成员国发送了2个国际通缉的红色通缉令。”国际刑警组织发布新闻道。

此后,国际刑警组织联手韩国、乌克兰和美国的执法部门成立“旋风行动”,以Clop 勒索软件团伙为目标,开展了为期30个月的调查,并对嫌疑人住所进行了21次突击检查,最终在乌克兰成功逮捕其中6名成员。“尽管全球勒索软件攻击呈螺旋上升趋势,但本次警察与企业的联盟成功逮捕网络犯罪团伙,这向勒索软件犯罪分子发出了一个强有力的信号,即无论他们躲在网络空间的何处,我们都会将其缉拿归案。”国际刑警组织网络犯罪主管Craig Jones说。


普普点评

勒索软件攻击往往会攻击传统上被忽视的基础设施的两个领域——即应用程序和存储在文件中的数据。全球勒索软件攻击呈螺旋上升趋势,这也向外界发出了一个强有力的信号,信息安全不仅需要从内部防护入手。有时还需要警察与企业的联盟去逮捕网络犯罪团伙。从而尽可能地避免被威胁。

03
BillQuick计费软件被攻击者利用进行勒索软件攻击


本月早些时候Huntress实验室发现了这一事件,大量攻击者正在利用BillQuick网络套件中的SQL注入漏洞进行攻击。研究人员发现攻击者利用了当前流行的计时计费系统中的一个关键零日漏洞(现已修补),成功接管了含有漏洞的服务器,并使用勒索软件攻击了该公司的网络。

SQL注入是一种攻击类型,它允许网络攻击者干扰应用程序对数据库的查询。这些攻击通常是通过将恶意的SQL语句插入到网站使用的字段(如评论字段)中来进行攻击的。该漏洞的问题就在于系统允许拼接SQL语句进行执行。在连接的过程中,系统会把两个字符串连接在一起,这样会导致SQL注入漏洞的发生。

攻击者利用可以远程执行代码(RCE)的SQL注入漏洞,成功获得了这家不知名的工程公司的初始访问权。

 BillQuick官方声称在全球拥有超过40万用户,研究人员说,拥有巨量的用户对于品牌的推广来说是很好的,但对于针对其客户群体进行攻击的恶意活动来说就不是什么好事了。


普普点评

黑客总是在寻找容易被利用的缺陷和漏洞,随着现在软件供应链模式已成为主流,任何一个软件安全漏洞都可能导致不可计数的企业遭到攻击。数据显示,90%的网络攻击事件都与漏洞利用相关为了确保网络安全应从源头代码做好安全检测,以减少软件安全漏洞筑牢网络安全根基。

04
美国FBI系统被入侵 黑客向10万邮箱发送假冒邮件


北京时间11月14日,美国当地时间周六,黑客入侵了美国联邦调查局(FBI)的外部邮件系统。根据跟踪垃圾邮件和相关网络威胁的非营利组织Spamhaus Project提供的信息,黑客使用FBI的电邮账号发送了数万封电子邮件,就可能发生的网络攻击发出警告。

FBI表示,该局和美国网络安全与基础设施安全局“已经注意到今晨发生的使用@ic.fbi.gov电邮账号发送虚假邮件的事件”。“目前,事件还在发展中,我们此刻无法提供更多额外信息。”FBI在一份声明中称。FBI督促消费者保持谨慎,报告任何可疑活动。

网络安全公司BlueVoyant专业服务主管奥斯汀·巴格拉斯表示,FBI拥有多个邮件系统,周六疑似被入侵的是面向公众的系统,被FBI探员和员工用来与公众进行邮件沟通的。他表示,当探员传输机密信息时,他们需要使用另外一个不同的邮件系统。

这次攻击事件始于纽约时间周六午夜,随后的活动从凌晨2点开始。该组织预计,黑客发送的垃圾邮件最终到达了至少10万个邮箱中。


普普点评

当前,全球的黑客网络攻击、勒索已经形成了一条“产业”,攻击范围非常广泛,每年大量机构遭受网络攻击,至少有50%的受害者最终无奈向黑客支付了赎金,勒索金额和造成的损失越来越大。如果重要的公用事业或服务商遭受到重大网络攻击,潜在的损失可能等同于飓风等自然灾害所造成的损失。

05
Deepfakes:正在成为网络犯罪的帮凶!


Deepfakes(深度伪造)技术对企业组织来说是一种不断升级的网络安全威胁。如今,网络犯罪分子正在大力投资人工智能和机器学习等Deepfakes技术,以创建、合成或操纵数字内容(包括图像、视频、音频和文本),进行网络攻击和欺诈。这种技术可以真实地复制或改变外观、声音、举止或词汇,目的是进行欺诈,让受害者相信他们所看到、听到或阅读的内容真实可信。

2021年3月,美国联邦调查局警告称,在现有的鱼叉式网络钓鱼和社交工程活动中,恶意行为者利用合成或操纵的数字内容进行网络攻击的势头正呈增长趋势。鉴于所用合成介质的复杂程度,这可能会造成更严重且广泛的影响。因此,企业组织必须认识到这种不断增长的Deepfakes网络威胁,并采取有效措施  抵御Deepfakes强化型网络攻击和欺诈。

鉴于网络犯罪分子正在利用员工在家远程办公的空子,未来这种攻击只会增多。如今,犯罪分子通过商业通信平台进行的网络钓鱼活动为Deepfakes提供了一种理想的交付机制,因为企业组织及其用户不自觉地信任它们。


普普点评

借助Deepfakes技术的网络攻击所构成的威胁看起来很严重,但企业组织仍然可以采取多种措施来抵御它们,包括培训和教育、先进技术以及威胁情报等,所有这些都旨在应对恶意的Deepfakes活动。除此之外,企业组织还可以通过随机分配用户指令来实现有效防御。

06
Magecart攻击日渐“猖獗” 受害企业数量破万


Cyberpion最新研究表明,现阶段,Magecart攻击泛滥,包括零售、银行、医疗、能源等行业的世界500强企业都是其攻击目标,甚至政府都未能阻止Magecart的疯狂攻击。Magcart是一种网络攻击方式的通用名称,往往指黑客通过破坏第三方代码,从网络应用程序或网站中窃取用户数据信息。

通过对受害案例和黑客的攻击方式分析研究,Cyberpion首席执行官Nethanel Gelernter称,大部分受害企业是在发现自身数据被出售后,才意识到公司遭受了网络攻击。对企业来说,Magecart攻击已经构成了巨大威胁,现有的安全响应平台很难检测出黑客利用的漏洞和使用的攻击方式,面对Magecart攻击,企业没有很好的应对策略。

Magecart漏洞仍然是很多网站和软件的“噩梦”零售、保险、金融服务、制药、媒体、安全等行业中,许多头部企业中存在安全漏洞;超过1000家在线商店存在安全漏洞,甚至,一些受欢迎的国际媒体网站中同样存在漏洞;一些公司为了避免遭受网络攻击,使用了反Magecart攻击的防御方案,但黑客依旧能绕过防御,进行网络攻击。


普普点评

大部分企业的网络安全平台和应用程序,在识别Magecart攻击方面存在重大缺陷。除此之外,部分企业向客户披露其公司内部的安全漏洞时,也存在严重失误(不够及时),最终可能导致上下游企业面临攻击风险,导致上下游企业数据信息被窃取,造成更大的经济损失。

07
最受欢迎的网站搭建程序WordPress 遭遇了“假勒索攻击”


据bleepingcomputer消息,近期发生了一轮针对通过WordPress搭建的网站的勒索攻击,截止到目前已经有300多个网站遭受了攻击。

有意思的是,这实际上是一轮假的勒索攻击,在网站显示的也是假的加密通知,攻击者试图通过勒索攻击的恐惧引诱网站所有者支付 0.1枚比特币进行恢复。

虽然和很多勒索攻击的巨额赎金相比,0.1枚比特币微不足道,但是对于很多个人网站来说依旧是一笔不小的支出。对于攻击者而言,只要上当受骗的网络管理者足够多,累积起的赎金同样不可小觑。为了让勒索攻击更加逼真,攻击者还将网站所有文章的状态从“post_status”改为“null”,这意味着所有的文章都处于未发布状态,乍一看还以为网站真的被加密了。攻击者所伪装的一切,都是为了让网站所有者认为,他们的网站真的已经被加密了,从而支付0.1枚比特币的赎金。

一旦用户支付赎金之后,攻击者就会删除插件,并运行命令重新发布文章,使得站点恢复到之前的状态,也让用户认为自己的网站确实是解密了。


普普点评

为了能够骗到用户拿到赎金,攻击者也是拼了,哪怕技术不够,也要演技来凑,实施了一次假的加密攻击来勒索赎金。通过对网络流量日志的进一步分析,攻击者是以管理员身份登录网站,他们要么是暴力破解了密码,要么就是在暗网市场获取了已经泄露的账号和密码。用户做好防护墙保护工作,采取更改其他接入点密码,避免网站再次被黑客攻击。



上一篇:普普安全资讯一周概览(1120-1126)下一篇:普普安全资讯一周概览(1106-1112)