Babuk勒索軟件源代碼公開 曾入侵并勒索華盛頓特區(qū)警察局

勒索軟件乃是勒索團(tuán)伙的安身立命之本，一般加密完受害者的文件都是會(huì)刪除己身的，連讓別人分析的機(jī)會(huì)都不給，其重要程度可想而知，更不用提主動(dòng)泄露了。不過凡事總有例外，在一個(gè)俄語黑客論壇上，就有黑客泄露了自家的Babuk勒索軟件的完整源代碼。

說起B(yǎng)abuk這個(gè)黑客組織，它的來頭可不小——它曾成功侵入華盛頓哥倫比亞特區(qū)警察局，從中加密并竊取了約250G文件，其中包含了警方調(diào)查報(bào)告、本地幫派、警方線人等敏感信息。令人更為震驚的是，它以警方線人信息作為要挾，向警察局勒索400萬美元的贖金。對(duì)此，華盛頓特區(qū)警察局方面只答應(yīng)支付10萬美元。乍看起來警方很果決很不配合是吧？其實(shí)警方已經(jīng)是在讓步了，因?yàn)榇饲皫缀鯖]有警方向勒索軟件團(tuán)伙妥協(xié)的案例。

雙方都堅(jiān)持自己的條件不讓步，談判就此破裂，Babuk勒索軟件團(tuán)伙像他們一開始說的那樣公布了警方線人信息。可以想象一下，警方利用談判爭取來的時(shí)間，搶在黑客公布信息前撤走全部線人——電影題材又有了，可謂是藝術(shù)來源于生活。

普普點(diǎn)評(píng)

有的黑客組織在各國高強(qiáng)度的打擊下被迫解散，而有的組織卻愈發(fā)猖狂，竟然敢于公開勒索警方。更令人意外的是，該組織勒索失敗后竟然真的公開了警方重要的敏感信息，導(dǎo)致警方多年的部署功虧一簣。如此猖狂的組織雖然最后被迫解散，但是該組織成員迅速又組成兩個(gè)新的黑客組織。相比于企業(yè)，國家相關(guān)部門的信息安全不再只是信息的安全，保護(hù)關(guān)鍵信息的安全就是保護(hù)相關(guān)人員的生命安全。

醫(yī)療行業(yè)CISO面臨的挑戰(zhàn)與對(duì)策

醫(yī)療行業(yè)向來是網(wǎng)絡(luò)攻擊者的“青睞對(duì)象”。過去，攻擊者的目標(biāo)是醫(yī)療機(jī)構(gòu)存儲(chǔ)的患者個(gè)人健康和財(cái)務(wù)數(shù)據(jù)，但勒索軟件的出現(xiàn)極大地改變了醫(yī)療行業(yè)的威脅格局。

相關(guān)數(shù)據(jù)顯示，受新冠疫情影響，醫(yī)療行業(yè)網(wǎng)絡(luò)安全威脅持續(xù)加劇，2020 年，針對(duì)醫(yī)療行業(yè)的網(wǎng)絡(luò)攻擊增加了50%以上。在記錄的599起醫(yī)療行業(yè)網(wǎng)絡(luò)安全事件中，403起是由黑客和IT事件引起的，通過部署勒索軟件和加密關(guān)鍵數(shù)據(jù)的攻擊手段極為常見。

“許多遭受勒索軟件攻擊的醫(yī)療企業(yè)，都會(huì)權(quán)衡收入損失與贖金成本以及后續(xù)攻擊的可能性。”“另外，醫(yī)療企業(yè)是否支付贖金的考量因素還包括患者安全，即使是短暫的醫(yī)療設(shè)備停機(jī)，也可能對(duì)患者造成傷害或使社區(qū)服務(wù)中斷。因此醫(yī)療機(jī)構(gòu)面臨著支付贖金和恢復(fù)關(guān)鍵系統(tǒng)的巨大壓力，并且這種狀況短時(shí)間內(nèi)可能無法改變?！?/span>

喬伊斯還指出，醫(yī)療機(jī)構(gòu)的第三方系統(tǒng)包括：醫(yī)院的核心EMR系統(tǒng)、面向患者的web門戶、移動(dòng)設(shè)備、聯(lián)網(wǎng)MRI，以及患者可穿戴設(shè)備和手術(shù)機(jī)器人。上述很多設(shè)備系統(tǒng)比傳統(tǒng)系統(tǒng)更易遭到網(wǎng)絡(luò)威脅。

普普點(diǎn)評(píng)

建議醫(yī)療行業(yè)CISO可以通過采用零信任架構(gòu)，以確保共享對(duì)移動(dòng)設(shè)備在訪問資源之前是安全的。多因素身份驗(yàn)證也可以部署在移動(dòng)設(shè)備上，使它們更加安全和私密。最后，共享移動(dòng)設(shè)備上的密碼自動(dòng)填充是一種有用的解決方案。對(duì)系統(tǒng)安全信息的例行評(píng)估將有助于防止攻擊及其帶來的后果。制定一套流程也很重要，以防出現(xiàn)違規(guī)行為，或者在攻擊發(fā)生后快速通知患者和其他受影響的各方采取適當(dāng)?shù)念A(yù)防措施。

全球頭號(hào)惡意軟件團(tuán)伙成員之一被逮捕

TrickBot的“名氣”不小，是全球數(shù)一數(shù)二的惡意軟件團(tuán)伙，于2016年開始進(jìn)入大眾視野。該團(tuán)伙主要針對(duì)Windows和Linux設(shè)備，感染的僵尸網(wǎng)絡(luò)計(jì)算機(jī)規(guī)模超百萬。TrickBot旗下有眾多惡意軟件，如TrickBot、BazaLoader、BazaBackdoor、PowerTrick 和 Anchor，并且成員“銳意進(jìn)取”，長期堅(jiān)持改進(jìn)軟件。?

除了在技術(shù)層面不斷升級(jí)進(jìn)化，在運(yùn)營層面TrickBot也別具一格，不僅沒有像多數(shù)網(wǎng)絡(luò)犯罪團(tuán)伙一樣單打獨(dú)斗或者互相競(jìng)爭，反而是追求相互合作，如Ryuk和Conti的勒索軟件都曾由TrickBot團(tuán)伙協(xié)助部署。

由于TrickBot團(tuán)伙規(guī)模龐大、危害性高且造成了巨大的經(jīng)濟(jì)損失，美國網(wǎng)絡(luò)司令部曾與微軟及眾多安全公司合作，在2020年10月聯(lián)合行動(dòng)一舉摧毀了TrickBot僵尸網(wǎng)絡(luò)的基礎(chǔ)設(shè)施。根基被毀，元?dú)獯髠?，TrickBot一度陷入沉寂，但沒過多久該組織就卷土重來，繼續(xù)活躍于網(wǎng)絡(luò)犯罪活動(dòng)。

據(jù)韓國KBS報(bào)道，近日一名TrickBot惡意軟件團(tuán)伙的成員在機(jī)場(chǎng)被捕。該名男子因疫情管制長期滯留韓國導(dǎo)致護(hù)照過期，最終因美國提出的引渡要求被逮捕。該男子應(yīng)該是今年第二位被捕的TrickBot成員。

普普點(diǎn)評(píng)

可喜的是終于又一名不法分子落入法網(wǎng)。惡意軟件團(tuán)伙近年四處荼毒，對(duì)各國企業(yè)的利益造成了巨大的破壞和經(jīng)濟(jì)損失，但是由于互聯(lián)網(wǎng)的特性，幕后人員的抓獲工作一直是個(gè)大難題。好在各國一直沒有放棄追查不法分子的身份，相信后續(xù)還會(huì)有更多的嫌疑人落網(wǎng)。對(duì)于企業(yè)單位數(shù)據(jù)的安全性，光靠打擊黑客組織是遠(yuǎn)遠(yuǎn)不夠的。相關(guān)企業(yè)單位還是應(yīng)該建立起信息安全防護(hù)體系，來抵擋可能發(fā)生的攻擊行為。

微軟又有高危0day漏洞

微軟通告了一個(gè)高危的遠(yuǎn)程代碼執(zhí)行漏洞，存在于瀏覽器渲染引擎MSHTML之中。據(jù)微軟表示，已經(jīng)監(jiān)測(cè)到有黑客在利用這個(gè)漏洞對(duì)Windows系統(tǒng)發(fā)起攻擊。

攻擊者會(huì)向潛在受害者發(fā)送專門制作的惡意Office文檔，如果潛在受害者沒有防備地將其打開，文檔會(huì)加載Internet Explorer，然后通過使用特定的ActiveX控件下載惡意軟件。這種攻擊方式的可行性已得到安全研究人員證實(shí)。

值得慶幸的是，如果Microsoft Office是使用默認(rèn)配置運(yùn)行，在受保護(hù)視圖模式或Office 365應(yīng)用程序防護(hù)下打開文件，能有效阻止攻擊（受保護(hù)視圖是一種只讀模式，可禁用大部分編輯功能；Office 365應(yīng)用程序防護(hù)會(huì)隔離不受信任的文檔，拒絕對(duì)其他文件的訪問請(qǐng)求）。

目前微軟尚未發(fā)布安全更新，不過提供了一個(gè)臨時(shí)的應(yīng)對(duì)策略——禁用在Internet Explorer中安裝的ActiveX控件。鑒于漏洞利用價(jià)值高且已被在野利用，微軟建議用戶立即采取應(yīng)對(duì)措施。

如果之后更新了漏洞補(bǔ)丁或者出于其他原因要取消禁用ActiveX控件，刪除之前添加的注冊(cè)表項(xiàng)即可。

普普點(diǎn)評(píng)

通過軟件漏洞，不法分子可以將木馬偽裝成文檔，只要用戶一打開文檔，電腦就將被攻擊。現(xiàn)如今黑客組織的攻擊方式越來越多樣化，特別是這種利用常規(guī)軟件漏洞發(fā)起的攻擊，總是令人防不勝防。這類軟件用戶數(shù)量眾多，一旦漏洞成功被不法分子所利用，波及的用戶數(shù)量是非常龐大的。相關(guān)軟件公司應(yīng)該及時(shí)進(jìn)行漏洞修復(fù)，保障用戶的信息安全。而對(duì)于用戶自身，需要提高防范意識(shí)，要確認(rèn)文件來源的可靠性。

俄羅斯的“百度”Yandex遭受其史上最大的DDoS攻擊

Yandex是俄羅斯的第一大搜索引擎，很多人會(huì)將其稱為俄羅斯的“百度”，但它在俄羅斯的地位或許還不止于此。Yandex是俄羅斯最大的互聯(lián)網(wǎng)服務(wù)提供商，涵蓋了搜索引擎、電子商務(wù)、電子郵件等互聯(lián)網(wǎng)業(yè)務(wù)，稱之為俄羅斯的“BAT”也不為過。

據(jù)外媒報(bào)道，近日Yandex遭受了俄羅斯互聯(lián)網(wǎng)歷史上最大的DDoS攻擊，攻擊峰值達(dá)到了每秒2180萬次請(qǐng)求。Yandex內(nèi)部人士稱本次DDoS攻擊難以遏制，截止本周仍在繼續(xù)遭受攻擊。想象一下在中國若是百度不能正常使用會(huì)造成多大的影響，大概就能理解這對(duì)于俄羅斯人來說是多么嚴(yán)重的一次網(wǎng)絡(luò)攻擊事件。

據(jù)為Yandex提供DDoS保護(hù)的Qrator Labs 的首席執(zhí)行官Alexander Lyamin透露，本次DDoS攻擊是由一個(gè)新的僵尸網(wǎng)絡(luò)發(fā)起的，該僵尸網(wǎng)絡(luò)被標(biāo)記為Méris，由大約20多萬臺(tái)設(shè)備組成。

Alexander Lyamin 團(tuán)隊(duì)觀察到大規(guī)模惡意流量來自波羅的海地區(qū)，懷疑其僵尸網(wǎng)絡(luò)來自拉脫維亞公司MikroTik。在過去幾年，MikroTik公司的設(shè)備被使用于多個(gè)僵尸網(wǎng)絡(luò)。據(jù)說該公司的設(shè)備運(yùn)行的是舊版本軟件，其所有者也沒有更新補(bǔ)丁，從而使得黑客能夠利用已知的漏洞輕易感染這些設(shè)備。

普普點(diǎn)評(píng)

大量不注重安全防護(hù)的個(gè)人電腦或許是DDoS攻擊的幫兇?？赡芫驮谟脩舨恢宓臅r(shí)候，用戶的電腦已經(jīng)感染了病毒，成為任人擺布的“肉雞”，被用千加密貨幣挖礦、發(fā)送惡意郵件或者協(xié)助發(fā)起DDoS攻擊。無論對(duì)千企業(yè)還是個(gè)人，信息安全都是不容忽視的重要環(huán)節(jié)。除了要使用防病毒技術(shù)手段去防范非法入侵，還需要使用者在日常使用過程中從源頭處采取相應(yīng)措施，最大程度上降低被非法利用的可能性。

SIEM市場(chǎng)規(guī)模將在2027年超過60億美元

近日，研究機(jī)構(gòu)Valuate發(fā)布一項(xiàng)報(bào)告，數(shù)據(jù)顯示到2027年，全球安全信息和事件管理(SIEM)市場(chǎng)規(guī)模預(yù)計(jì)將從2020年的39.383億美元升至64.362億美元，2021~2027年預(yù)測(cè)期內(nèi)復(fù)合年增長率為6.8%。

報(bào)告指出推動(dòng)SIEM市場(chǎng)需求的重要因素包括：對(duì)威脅事件的持續(xù)檢測(cè)與響應(yīng)、滿足監(jiān)管要求，以及日志管理的重要意義等。同時(shí)，企業(yè)安全防護(hù)意識(shí)的增強(qiáng)，以及全球范圍內(nèi)對(duì)網(wǎng)絡(luò)安全治理和合規(guī)管理進(jìn)一步推動(dòng)了SIEM市場(chǎng)的發(fā)展。

隨著遠(yuǎn)程辦公、SaaS應(yīng)用程序和 BYOD策略越來越受歡迎，組織需要從傳統(tǒng)網(wǎng)絡(luò)邊界之外管理網(wǎng)絡(luò)危險(xiǎn)所需的可見性級(jí)別。SIEM能夠幫助企業(yè)通過低成本實(shí)現(xiàn)威脅檢測(cè)和日志管理，并在提高生產(chǎn)力的同時(shí)提供眾多安全解決方案。SIEM系統(tǒng)監(jiān)控所有用戶、設(shè)備和應(yīng)用程序的所有網(wǎng)絡(luò)活動(dòng)，無論數(shù)字資產(chǎn)和服務(wù)在何處訪問，都可以提高整個(gè)基礎(chǔ)設(shè)施的可見性并檢測(cè)威脅。

此外，當(dāng)發(fā)生安全問題時(shí)，SIEM系統(tǒng)使企業(yè)能夠在一個(gè)中心位置收集和分析來自其所有數(shù)字資產(chǎn)的日志數(shù)據(jù)。這使他們能夠重現(xiàn)以前發(fā)生的事件或評(píng)估新事件，以檢查可疑活動(dòng)并改進(jìn)安全系統(tǒng)。

普普點(diǎn)評(píng)

按照行業(yè)劃分，零售業(yè)SIEM市場(chǎng)預(yù)計(jì)發(fā)展最快，因?yàn)殡娮由虅?wù)領(lǐng)域企業(yè)對(duì)于其財(cái)務(wù)和個(gè)人信息的安全性擔(dān)憂不斷增加導(dǎo)致的。在全球范圍內(nèi)，信息安全的重要性正不斷凸顯。隨著大數(shù)據(jù)、人工智能等技術(shù)的快速發(fā)展，數(shù)據(jù)不再只是數(shù)據(jù)，而是龐大的資源。對(duì)海量數(shù)據(jù)進(jìn)行分析利用，人們可以輕而易舉的完成從前無法想象的事情；而信息安全正是“數(shù)據(jù)列車“的軌道，信息安全相關(guān)行業(yè)正迎來前所未有的機(jī)遇。

超三成網(wǎng)絡(luò)攻擊可在30分鐘以內(nèi)完成

CrowdStrike最新報(bào)告指出，過去一年中，威脅行為者從最初訪問權(quán)限轉(zhuǎn)移到橫向移動(dòng)所需的平均時(shí)間為1小時(shí)32分鐘，減少了67%。而且在36%的網(wǎng)絡(luò)攻擊中，攻擊者在30分鐘內(nèi)就實(shí)現(xiàn)了橫向移動(dòng)。橫向移動(dòng)意味著攻擊者能夠發(fā)現(xiàn)重要數(shù)據(jù)和部署勒索軟件。這給安全運(yùn)營團(tuán)隊(duì)帶來了額外壓力。該報(bào)告的調(diào)查對(duì)象來自CrowdStrike全球客戶的大約248,000個(gè)全球端點(diǎn)。

CrowdStrike的EMEA首席技術(shù)官Zeki Turdi指出：“一旦發(fā)生橫向移動(dòng)，事件就會(huì)變得更難解決，成本也更高。簡而言之，在一臺(tái)機(jī)器上處理威脅行為者比多臺(tái)機(jī)器更容易。對(duì)于開始橫向移動(dòng)的威脅行為者，他們已經(jīng)對(duì)網(wǎng)絡(luò)進(jìn)行了一些基本的偵察，但更重要的是擁有允許他們開始在網(wǎng)絡(luò)中移動(dòng)的憑據(jù)。他們可能借此對(duì)企業(yè)迅速的造成傷害?！?/span>

根據(jù)報(bào)告，在2020年7月至2021年6月期間，所有垂直行業(yè)和地理區(qū)域的攻擊嘗試與去年同比增加了60%。但并非所有這些活動(dòng)都與數(shù)據(jù)收集和勒索軟件部署有關(guān)，CrowdStrike記錄了交互式入侵中加密劫持攻擊同比增長了100%。

普普點(diǎn)評(píng)

威脅行為者正變得越來越隱蔽。在68%CrowdStrike索引的檢測(cè)中，攻擊者根本沒有使用惡意軟件，這意味著越來越多的攻擊行為繞過了傳統(tǒng)安全工具的監(jiān)控。不法分子的攻擊手段不斷在變化，依靠單一的防護(hù)軟件很難抵抗這些攻擊行為。對(duì)于企業(yè)及用戶，自身的信息安全體系建設(shè)十分重要，通過多種防護(hù)設(shè)備組成的防御網(wǎng)絡(luò)能有效抵抗惡性攻擊；同時(shí)要及時(shí)修復(fù)系統(tǒng)漏洞，不給黑客可趁之機(jī)。