普普安全資訊一周概覽(1113-1119)

作者:

時(shí)間:
2021-11-19
01
Robinhood承認(rèn)被攻擊 泄露700萬用戶數(shù)據(jù)


11月8日,據(jù)美國(guó)在線券商Robinhood Markets披露的信息顯示,Robinhood在11月3日遭遇了一場(chǎng)嚴(yán)重的網(wǎng)絡(luò)攻擊,導(dǎo)致700萬用戶數(shù)據(jù)泄露。攻擊者向Robinhood索要贖金,聲稱如果不支付贖金將公布所有的數(shù)據(jù)。這些數(shù)據(jù)包括500萬用戶電子郵件地址,200萬用戶的名字,大約有10萬人泄露了更多的隱私信息,諸如出生日期、姓名、郵政編碼等。

但Robinhood發(fā)言人強(qiáng)調(diào),由于此次信息泄露事件中沒有涉及用戶的社保賬號(hào)、銀行賬戶等,因此用戶沒有遭遇經(jīng)濟(jì)損失。但實(shí)際情況Robinhood曾多次遭受網(wǎng)絡(luò)攻擊,不少用戶因此損失嚴(yán)重。關(guān)于投資者關(guān)心的是否支付贖金問題,Robinhood并沒有正面回應(yīng),并且認(rèn)為這不是一場(chǎng)勒索攻擊。此次網(wǎng)絡(luò)攻擊的主要原因是,黑客利用了一名客服人員的憑證訪問了公司的支持系統(tǒng)。

目前公司已經(jīng)完全控制了事件,已經(jīng)通知了相關(guān)的執(zhí)法部門,并邀請(qǐng)網(wǎng)絡(luò)安全公司Mandiant全面調(diào)查此次攻擊事件.盡管Robinhood表示了“安全第一”的決心,以及多次試圖淡化本次事件的影響,但依舊不可避免造成了股價(jià)的波動(dòng)。


普普點(diǎn)評(píng)

從本次700萬用戶數(shù)據(jù)泄露事件來看,大部分?jǐn)?shù)據(jù)泄密的原因不是由于企業(yè)的安全技術(shù)不夠先進(jìn)、安全加密強(qiáng)度不足等等。往往是因?yàn)榘踩庾R(shí)淡薄。這就提醒我們?cè)陉P(guān)注流程和人員的管理的同時(shí),也需要進(jìn)一步提高對(duì)公司員工的網(wǎng)絡(luò)安全培訓(xùn)力度和考核指標(biāo)。


02
國(guó)際聯(lián)合執(zhí)法“旋風(fēng)行動(dòng)”盯上了Clop 勒索軟件團(tuán)伙


近日,國(guó)際刑警組織宣布,在代號(hào)為“旋風(fēng)行動(dòng)”的國(guó)際聯(lián)合執(zhí)法行動(dòng)中,成功逮捕六名參與Clop 勒索軟件行動(dòng)的成員。自2019年2月以來,Clop 勒索軟件便一直活躍在全球不同的機(jī)構(gòu)組織攻擊事件中。與其他勒索軟件團(tuán)伙一樣,Clop 團(tuán)伙也采用雙重勒索模型,也就是說,他們會(huì)竊取拒絕支付贖金的受害者數(shù)據(jù),并將這些數(shù)據(jù)公布在他們網(wǎng)站上。

Clop團(tuán)伙對(duì)韓國(guó)公司和美國(guó)學(xué)術(shù)機(jī)構(gòu)進(jìn)行了多次攻擊,通過加密設(shè)備并勒索組織以支付贖金或泄露其被盜數(shù)據(jù)?!皯?yīng)韓國(guó)網(wǎng)絡(luò)犯罪調(diào)查部的要求,國(guó)際刑警組織通過首爾中央分局,向該組織的194個(gè)成員國(guó)發(fā)送了2個(gè)國(guó)際通緝的紅色通緝令?!眹?guó)際刑警組織發(fā)布新聞道。

此后,國(guó)際刑警組織聯(lián)手韓國(guó)、烏克蘭和美國(guó)的執(zhí)法部門成立“旋風(fēng)行動(dòng)”,以Clop 勒索軟件團(tuán)伙為目標(biāo),開展了為期30個(gè)月的調(diào)查,并對(duì)嫌疑人住所進(jìn)行了21次突擊檢查,最終在烏克蘭成功逮捕其中6名成員。“盡管全球勒索軟件攻擊呈螺旋上升趨勢(shì),但本次警察與企業(yè)的聯(lián)盟成功逮捕網(wǎng)絡(luò)犯罪團(tuán)伙,這向勒索軟件犯罪分子發(fā)出了一個(gè)強(qiáng)有力的信號(hào),即無論他們躲在網(wǎng)絡(luò)空間的何處,我們都會(huì)將其緝拿歸案。”國(guó)際刑警組織網(wǎng)絡(luò)犯罪主管Craig Jones說。


普普點(diǎn)評(píng)

勒索軟件攻擊往往會(huì)攻擊傳統(tǒng)上被忽視的基礎(chǔ)設(shè)施的兩個(gè)領(lǐng)域——即應(yīng)用程序和存儲(chǔ)在文件中的數(shù)據(jù)。全球勒索軟件攻擊呈螺旋上升趨勢(shì),這也向外界發(fā)出了一個(gè)強(qiáng)有力的信號(hào),信息安全不僅需要從內(nèi)部防護(hù)入手。有時(shí)還需要警察與企業(yè)的聯(lián)盟去逮捕網(wǎng)絡(luò)犯罪團(tuán)伙。從而盡可能地避免被威脅。

03
BillQuick計(jì)費(fèi)軟件被攻擊者利用進(jìn)行勒索軟件攻擊


本月早些時(shí)候Huntress實(shí)驗(yàn)室發(fā)現(xiàn)了這一事件,大量攻擊者正在利用BillQuick網(wǎng)絡(luò)套件中的SQL注入漏洞進(jìn)行攻擊。研究人員發(fā)現(xiàn)攻擊者利用了當(dāng)前流行的計(jì)時(shí)計(jì)費(fèi)系統(tǒng)中的一個(gè)關(guān)鍵零日漏洞(現(xiàn)已修補(bǔ)),成功接管了含有漏洞的服務(wù)器,并使用勒索軟件攻擊了該公司的網(wǎng)絡(luò)。

SQL注入是一種攻擊類型,它允許網(wǎng)絡(luò)攻擊者干擾應(yīng)用程序?qū)?shù)據(jù)庫(kù)的查詢。這些攻擊通常是通過將惡意的SQL語(yǔ)句插入到網(wǎng)站使用的字段(如評(píng)論字段)中來進(jìn)行攻擊的。該漏洞的問題就在于系統(tǒng)允許拼接SQL語(yǔ)句進(jìn)行執(zhí)行。在連接的過程中,系統(tǒng)會(huì)把兩個(gè)字符串連接在一起,這樣會(huì)導(dǎo)致SQL注入漏洞的發(fā)生。

攻擊者利用可以遠(yuǎn)程執(zhí)行代碼(RCE)的SQL注入漏洞,成功獲得了這家不知名的工程公司的初始訪問權(quán)。

?BillQuick官方聲稱在全球擁有超過40萬用戶,研究人員說,擁有巨量的用戶對(duì)于品牌的推廣來說是很好的,但對(duì)于針對(duì)其客戶群體進(jìn)行攻擊的惡意活動(dòng)來說就不是什么好事了。


普普點(diǎn)評(píng)

黑客總是在尋找容易被利用的缺陷和漏洞,隨著現(xiàn)在軟件供應(yīng)鏈模式已成為主流,任何一個(gè)軟件安全漏洞都可能導(dǎo)致不可計(jì)數(shù)的企業(yè)遭到攻擊。數(shù)據(jù)顯示,90%的網(wǎng)絡(luò)攻擊事件都與漏洞利用相關(guān)為了確保網(wǎng)絡(luò)安全應(yīng)從源頭代碼做好安全檢測(cè),以減少軟件安全漏洞筑牢網(wǎng)絡(luò)安全根基。

04
美國(guó)FBI系統(tǒng)被入侵 黑客向10萬郵箱發(fā)送假冒郵件


北京時(shí)間11月14日,美國(guó)當(dāng)?shù)貢r(shí)間周六,黑客入侵了美國(guó)聯(lián)邦調(diào)查局(FBI)的外部郵件系統(tǒng)。根據(jù)跟蹤垃圾郵件和相關(guān)網(wǎng)絡(luò)威脅的非營(yíng)利組織Spamhaus Project提供的信息,黑客使用FBI的電郵賬號(hào)發(fā)送了數(shù)萬封電子郵件,就可能發(fā)生的網(wǎng)絡(luò)攻擊發(fā)出警告。

FBI表示,該局和美國(guó)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局“已經(jīng)注意到今晨發(fā)生的使用@ic.fbi.gov電郵賬號(hào)發(fā)送虛假郵件的事件”。“目前,事件還在發(fā)展中,我們此刻無法提供更多額外信息。”FBI在一份聲明中稱。FBI督促消費(fèi)者保持謹(jǐn)慎,報(bào)告任何可疑活動(dòng)。

網(wǎng)絡(luò)安全公司BlueVoyant專業(yè)服務(wù)主管奧斯汀·巴格拉斯表示,F(xiàn)BI擁有多個(gè)郵件系統(tǒng),周六疑似被入侵的是面向公眾的系統(tǒng),被FBI探員和員工用來與公眾進(jìn)行郵件溝通的。他表示,當(dāng)探員傳輸機(jī)密信息時(shí),他們需要使用另外一個(gè)不同的郵件系統(tǒng)。

這次攻擊事件始于紐約時(shí)間周六午夜,隨后的活動(dòng)從凌晨2點(diǎn)開始。該組織預(yù)計(jì),黑客發(fā)送的垃圾郵件最終到達(dá)了至少10萬個(gè)郵箱中。


普普點(diǎn)評(píng)

當(dāng)前,全球的黑客網(wǎng)絡(luò)攻擊、勒索已經(jīng)形成了一條“產(chǎn)業(yè)”,攻擊范圍非常廣泛,每年大量機(jī)構(gòu)遭受網(wǎng)絡(luò)攻擊,至少有50%的受害者最終無奈向黑客支付了贖金,勒索金額和造成的損失越來越大。如果重要的公用事業(yè)或服務(wù)商遭受到重大網(wǎng)絡(luò)攻擊,潛在的損失可能等同于颶風(fēng)等自然災(zāi)害所造成的損失。

05
Deepfakes:正在成為網(wǎng)絡(luò)犯罪的幫兇!


Deepfakes(深度偽造)技術(shù)對(duì)企業(yè)組織來說是一種不斷升級(jí)的網(wǎng)絡(luò)安全威脅。如今,網(wǎng)絡(luò)犯罪分子正在大力投資人工智能和機(jī)器學(xué)習(xí)等Deepfakes技術(shù),以創(chuàng)建、合成或操縱數(shù)字內(nèi)容(包括圖像、視頻、音頻和文本),進(jìn)行網(wǎng)絡(luò)攻擊和欺詐。這種技術(shù)可以真實(shí)地復(fù)制或改變外觀、聲音、舉止或詞匯,目的是進(jìn)行欺詐,讓受害者相信他們所看到、聽到或閱讀的內(nèi)容真實(shí)可信。

2021年3月,美國(guó)聯(lián)邦調(diào)查局警告稱,在現(xiàn)有的魚叉式網(wǎng)絡(luò)釣魚和社交工程活動(dòng)中,惡意行為者利用合成或操縱的數(shù)字內(nèi)容進(jìn)行網(wǎng)絡(luò)攻擊的勢(shì)頭正呈增長(zhǎng)趨勢(shì)。鑒于所用合成介質(zhì)的復(fù)雜程度,這可能會(huì)造成更嚴(yán)重且廣泛的影響。因此,企業(yè)組織必須認(rèn)識(shí)到這種不斷增長(zhǎng)的Deepfakes網(wǎng)絡(luò)威脅,并采取有效措施? 抵御Deepfakes強(qiáng)化型網(wǎng)絡(luò)攻擊和欺詐。

鑒于網(wǎng)絡(luò)犯罪分子正在利用員工在家遠(yuǎn)程辦公的空子,未來這種攻擊只會(huì)增多。如今,犯罪分子通過商業(yè)通信平臺(tái)進(jìn)行的網(wǎng)絡(luò)釣魚活動(dòng)為Deepfakes提供了一種理想的交付機(jī)制,因?yàn)槠髽I(yè)組織及其用戶不自覺地信任它們。


普普點(diǎn)評(píng)

借助Deepfakes技術(shù)的網(wǎng)絡(luò)攻擊所構(gòu)成的威脅看起來很嚴(yán)重,但企業(yè)組織仍然可以采取多種措施來抵御它們,包括培訓(xùn)和教育、先進(jìn)技術(shù)以及威脅情報(bào)等,所有這些都旨在應(yīng)對(duì)惡意的Deepfakes活動(dòng)。除此之外,企業(yè)組織還可以通過隨機(jī)分配用戶指令來實(shí)現(xiàn)有效防御。

06
Magecart攻擊日漸“猖獗” 受害企業(yè)數(shù)量破萬


Cyberpion最新研究表明,現(xiàn)階段,Magecart攻擊泛濫,包括零售、銀行、醫(yī)療、能源等行業(yè)的世界500強(qiáng)企業(yè)都是其攻擊目標(biāo),甚至政府都未能阻止Magecart的瘋狂攻擊。Magcart是一種網(wǎng)絡(luò)攻擊方式的通用名稱,往往指黑客通過破壞第三方代碼,從網(wǎng)絡(luò)應(yīng)用程序或網(wǎng)站中竊取用戶數(shù)據(jù)信息。

通過對(duì)受害案例和黑客的攻擊方式分析研究,Cyberpion首席執(zhí)行官Nethanel Gelernter稱,大部分受害企業(yè)是在發(fā)現(xiàn)自身數(shù)據(jù)被出售后,才意識(shí)到公司遭受了網(wǎng)絡(luò)攻擊。對(duì)企業(yè)來說,Magecart攻擊已經(jīng)構(gòu)成了巨大威脅,現(xiàn)有的安全響應(yīng)平臺(tái)很難檢測(cè)出黑客利用的漏洞和使用的攻擊方式,面對(duì)Magecart攻擊,企業(yè)沒有很好的應(yīng)對(duì)策略。

Magecart漏洞仍然是很多網(wǎng)站和軟件的“噩夢(mèng)”零售、保險(xiǎn)、金融服務(wù)、制藥、媒體、安全等行業(yè)中,許多頭部企業(yè)中存在安全漏洞;超過1000家在線商店存在安全漏洞,甚至,一些受歡迎的國(guó)際媒體網(wǎng)站中同樣存在漏洞;一些公司為了避免遭受網(wǎng)絡(luò)攻擊,使用了反Magecart攻擊的防御方案,但黑客依舊能繞過防御,進(jìn)行網(wǎng)絡(luò)攻擊。


普普點(diǎn)評(píng)

大部分企業(yè)的網(wǎng)絡(luò)安全平臺(tái)和應(yīng)用程序,在識(shí)別Magecart攻擊方面存在重大缺陷。除此之外,部分企業(yè)向客戶披露其公司內(nèi)部的安全漏洞時(shí),也存在嚴(yán)重失誤(不夠及時(shí)),最終可能導(dǎo)致上下游企業(yè)面臨攻擊風(fēng)險(xiǎn),導(dǎo)致上下游企業(yè)數(shù)據(jù)信息被竊取,造成更大的經(jīng)濟(jì)損失。

07
最受歡迎的網(wǎng)站搭建程序WordPress 遭遇了“假勒索攻擊”


據(jù)bleepingcomputer消息,近期發(fā)生了一輪針對(duì)通過WordPress搭建的網(wǎng)站的勒索攻擊,截止到目前已經(jīng)有300多個(gè)網(wǎng)站遭受了攻擊。

有意思的是,這實(shí)際上是一輪假的勒索攻擊,在網(wǎng)站顯示的也是假的加密通知,攻擊者試圖通過勒索攻擊的恐懼引誘網(wǎng)站所有者支付 0.1枚比特幣進(jìn)行恢復(fù)。

雖然和很多勒索攻擊的巨額贖金相比,0.1枚比特幣微不足道,但是對(duì)于很多個(gè)人網(wǎng)站來說依舊是一筆不小的支出。對(duì)于攻擊者而言,只要上當(dāng)受騙的網(wǎng)絡(luò)管理者足夠多,累積起的贖金同樣不可小覷。為了讓勒索攻擊更加逼真,攻擊者還將網(wǎng)站所有文章的狀態(tài)從“post_status”改為“null”,這意味著所有的文章都處于未發(fā)布狀態(tài),乍一看還以為網(wǎng)站真的被加密了。攻擊者所偽裝的一切,都是為了讓網(wǎng)站所有者認(rèn)為,他們的網(wǎng)站真的已經(jīng)被加密了,從而支付0.1枚比特幣的贖金。

一旦用戶支付贖金之后,攻擊者就會(huì)刪除插件,并運(yùn)行命令重新發(fā)布文章,使得站點(diǎn)恢復(fù)到之前的狀態(tài),也讓用戶認(rèn)為自己的網(wǎng)站確實(shí)是解密了。


普普點(diǎn)評(píng)

為了能夠騙到用戶拿到贖金,攻擊者也是拼了,哪怕技術(shù)不夠,也要演技來湊,實(shí)施了一次假的加密攻擊來勒索贖金。通過對(duì)網(wǎng)絡(luò)流量日志的進(jìn)一步分析,攻擊者是以管理員身份登錄網(wǎng)站,他們要么是暴力破解了密碼,要么就是在暗網(wǎng)市場(chǎng)獲取了已經(jīng)泄露的賬號(hào)和密碼。用戶做好防護(hù)墻保護(hù)工作,采取更改其他接入點(diǎn)密碼,避免網(wǎng)站再次被黑客攻擊。