Babuk勒索軟件源代碼公開 曾入侵并勒索華盛頓特區(qū)警察局

勒索軟件乃是勒索團伙的安身立命之本，一般加密完受害者的文件都是會刪除己身的，連讓別人分析的機會都不給，其重要程度可想而知，更不用提主動泄露了。不過凡事總有例外，在一個俄語黑客論壇上，就有黑客泄露了自家的Babuk勒索軟件的完整源代碼。

說起B(yǎng)abuk這個黑客組織，它的來頭可不小——它曾成功侵入華盛頓哥倫比亞特區(qū)警察局，從中加密并竊取了約250G文件，其中包含了警方調查報告、本地幫派、警方線人等敏感信息。令人更為震驚的是，它以警方線人信息作為要挾，向警察局勒索400萬美元的贖金。對此，華盛頓特區(qū)警察局方面只答應支付10萬美元。乍看起來警方很果決很不配合是吧？其實警方已經是在讓步了，因為此前幾乎沒有警方向勒索軟件團伙妥協(xié)的案例。

雙方都堅持自己的條件不讓步，談判就此破裂，Babuk勒索軟件團伙像他們一開始說的那樣公布了警方線人信息?？梢韵胂笠幌?，警方利用談判爭取來的時間，搶在黑客公布信息前撤走全部線人——電影題材又有了，可謂是藝術來源于生活。

普普點評

有的黑客組織在各國高強度的打擊下被迫解散，而有的組織卻愈發(fā)猖狂，竟然敢于公開勒索警方。更令人意外的是，該組織勒索失敗后竟然真的公開了警方重要的敏感信息，導致警方多年的部署功虧一簣。如此猖狂的組織雖然最后被迫解散，但是該組織成員迅速又組成兩個新的黑客組織。相比于企業(yè)，國家相關部門的信息安全不再只是信息的安全，保護關鍵信息的安全就是保護相關人員的生命安全。

醫(yī)療行業(yè)CISO面臨的挑戰(zhàn)與對策

醫(yī)療行業(yè)向來是網絡攻擊者的“青睞對象”。過去，攻擊者的目標是醫(yī)療機構存儲的患者個人健康和財務數據，但勒索軟件的出現極大地改變了醫(yī)療行業(yè)的威脅格局。

相關數據顯示，受新冠疫情影響，醫(yī)療行業(yè)網絡安全威脅持續(xù)加劇，2020 年，針對醫(yī)療行業(yè)的網絡攻擊增加了50%以上。在記錄的599起醫(yī)療行業(yè)網絡安全事件中，403起是由黑客和IT事件引起的，通過部署勒索軟件和加密關鍵數據的攻擊手段極為常見。

“許多遭受勒索軟件攻擊的醫(yī)療企業(yè)，都會權衡收入損失與贖金成本以及后續(xù)攻擊的可能性?！薄傲硗?，醫(yī)療企業(yè)是否支付贖金的考量因素還包括患者安全，即使是短暫的醫(yī)療設備停機，也可能對患者造成傷害或使社區(qū)服務中斷。因此醫(yī)療機構面臨著支付贖金和恢復關鍵系統(tǒng)的巨大壓力，并且這種狀況短時間內可能無法改變?！?/span>

喬伊斯還指出，醫(yī)療機構的第三方系統(tǒng)包括：醫(yī)院的核心EMR系統(tǒng)、面向患者的web門戶、移動設備、聯網MRI，以及患者可穿戴設備和手術機器人。上述很多設備系統(tǒng)比傳統(tǒng)系統(tǒng)更易遭到網絡威脅。

普普點評

建議醫(yī)療行業(yè)CISO可以通過采用零信任架構，以確保共享對移動設備在訪問資源之前是安全的。多因素身份驗證也可以部署在移動設備上，使它們更加安全和私密。最后，共享移動設備上的密碼自動填充是一種有用的解決方案。對系統(tǒng)安全信息的例行評估將有助于防止攻擊及其帶來的后果。制定一套流程也很重要，以防出現違規(guī)行為，或者在攻擊發(fā)生后快速通知患者和其他受影響的各方采取適當的預防措施。

全球頭號惡意軟件團伙成員之一被逮捕

TrickBot的“名氣”不小，是全球數一數二的惡意軟件團伙，于2016年開始進入大眾視野。該團伙主要針對Windows和Linux設備，感染的僵尸網絡計算機規(guī)模超百萬。TrickBot旗下有眾多惡意軟件，如TrickBot、BazaLoader、BazaBackdoor、PowerTrick 和 Anchor，并且成員“銳意進取”，長期堅持改進軟件。?

除了在技術層面不斷升級進化，在運營層面TrickBot也別具一格，不僅沒有像多數網絡犯罪團伙一樣單打獨斗或者互相競爭，反而是追求相互合作，如Ryuk和Conti的勒索軟件都曾由TrickBot團伙協(xié)助部署。

由于TrickBot團伙規(guī)模龐大、危害性高且造成了巨大的經濟損失，美國網絡司令部曾與微軟及眾多安全公司合作，在2020年10月聯合行動一舉摧毀了TrickBot僵尸網絡的基礎設施。根基被毀，元氣大傷，TrickBot一度陷入沉寂，但沒過多久該組織就卷土重來，繼續(xù)活躍于網絡犯罪活動。

據韓國KBS報道，近日一名TrickBot惡意軟件團伙的成員在機場被捕。該名男子因疫情管制長期滯留韓國導致護照過期，最終因美國提出的引渡要求被逮捕。該男子應該是今年第二位被捕的TrickBot成員。

普普點評

可喜的是終于又一名不法分子落入法網。惡意軟件團伙近年四處荼毒，對各國企業(yè)的利益造成了巨大的破壞和經濟損失，但是由于互聯網的特性，幕后人員的抓獲工作一直是個大難題。好在各國一直沒有放棄追查不法分子的身份，相信后續(xù)還會有更多的嫌疑人落網。對于企業(yè)單位數據的安全性，光靠打擊黑客組織是遠遠不夠的。相關企業(yè)單位還是應該建立起信息安全防護體系，來抵擋可能發(fā)生的攻擊行為。

微軟又有高危0day漏洞

微軟通告了一個高危的遠程代碼執(zhí)行漏洞，存在于瀏覽器渲染引擎MSHTML之中。據微軟表示，已經監(jiān)測到有黑客在利用這個漏洞對Windows系統(tǒng)發(fā)起攻擊。

攻擊者會向潛在受害者發(fā)送專門制作的惡意Office文檔，如果潛在受害者沒有防備地將其打開，文檔會加載Internet Explorer，然后通過使用特定的ActiveX控件下載惡意軟件。這種攻擊方式的可行性已得到安全研究人員證實。

值得慶幸的是，如果Microsoft Office是使用默認配置運行，在受保護視圖模式或Office 365應用程序防護下打開文件，能有效阻止攻擊（受保護視圖是一種只讀模式，可禁用大部分編輯功能；Office 365應用程序防護會隔離不受信任的文檔，拒絕對其他文件的訪問請求）。

目前微軟尚未發(fā)布安全更新，不過提供了一個臨時的應對策略——禁用在Internet Explorer中安裝的ActiveX控件。鑒于漏洞利用價值高且已被在野利用，微軟建議用戶立即采取應對措施。

如果之后更新了漏洞補丁或者出于其他原因要取消禁用ActiveX控件，刪除之前添加的注冊表項即可。

普普點評

通過軟件漏洞，不法分子可以將木馬偽裝成文檔，只要用戶一打開文檔，電腦就將被攻擊?，F如今黑客組織的攻擊方式越來越多樣化，特別是這種利用常規(guī)軟件漏洞發(fā)起的攻擊，總是令人防不勝防。這類軟件用戶數量眾多，一旦漏洞成功被不法分子所利用，波及的用戶數量是非常龐大的。相關軟件公司應該及時進行漏洞修復，保障用戶的信息安全。而對于用戶自身，需要提高防范意識，要確認文件來源的可靠性。

俄羅斯的“百度”Yandex遭受其史上最大的DDoS攻擊

Yandex是俄羅斯的第一大搜索引擎，很多人會將其稱為俄羅斯的“百度”，但它在俄羅斯的地位或許還不止于此。Yandex是俄羅斯最大的互聯網服務提供商，涵蓋了搜索引擎、電子商務、電子郵件等互聯網業(yè)務，稱之為俄羅斯的“BAT”也不為過。

據外媒報道，近日Yandex遭受了俄羅斯互聯網歷史上最大的DDoS攻擊，攻擊峰值達到了每秒2180萬次請求。Yandex內部人士稱本次DDoS攻擊難以遏制，截止本周仍在繼續(xù)遭受攻擊。想象一下在中國若是百度不能正常使用會造成多大的影響，大概就能理解這對于俄羅斯人來說是多么嚴重的一次網絡攻擊事件。

據為Yandex提供DDoS保護的Qrator Labs 的首席執(zhí)行官Alexander Lyamin透露，本次DDoS攻擊是由一個新的僵尸網絡發(fā)起的，該僵尸網絡被標記為Méris，由大約20多萬臺設備組成。

Alexander Lyamin 團隊觀察到大規(guī)模惡意流量來自波羅的海地區(qū)，懷疑其僵尸網絡來自拉脫維亞公司MikroTik。在過去幾年，MikroTik公司的設備被使用于多個僵尸網絡。據說該公司的設備運行的是舊版本軟件，其所有者也沒有更新補丁，從而使得黑客能夠利用已知的漏洞輕易感染這些設備。

普普點評

大量不注重安全防護的個人電腦或許是DDoS攻擊的幫兇?？赡芫驮谟脩舨恢宓臅r候，用戶的電腦已經感染了病毒，成為任人擺布的“肉雞”，被用千加密貨幣挖礦、發(fā)送惡意郵件或者協(xié)助發(fā)起DDoS攻擊。無論對千企業(yè)還是個人，信息安全都是不容忽視的重要環(huán)節(jié)。除了要使用防病毒技術手段去防范非法入侵，還需要使用者在日常使用過程中從源頭處采取相應措施，最大程度上降低被非法利用的可能性。

SIEM市場規(guī)模將在2027年超過60億美元

近日，研究機構Valuate發(fā)布一項報告，數據顯示到2027年，全球安全信息和事件管理(SIEM)市場規(guī)模預計將從2020年的39.383億美元升至64.362億美元，2021~2027年預測期內復合年增長率為6.8%。

報告指出推動SIEM市場需求的重要因素包括：對威脅事件的持續(xù)檢測與響應、滿足監(jiān)管要求，以及日志管理的重要意義等。同時，企業(yè)安全防護意識的增強，以及全球范圍內對網絡安全治理和合規(guī)管理進一步推動了SIEM市場的發(fā)展。

隨著遠程辦公、SaaS應用程序和 BYOD策略越來越受歡迎，組織需要從傳統(tǒng)網絡邊界之外管理網絡危險所需的可見性級別。SIEM能夠幫助企業(yè)通過低成本實現威脅檢測和日志管理，并在提高生產力的同時提供眾多安全解決方案。SIEM系統(tǒng)監(jiān)控所有用戶、設備和應用程序的所有網絡活動，無論數字資產和服務在何處訪問，都可以提高整個基礎設施的可見性并檢測威脅。

此外，當發(fā)生安全問題時，SIEM系統(tǒng)使企業(yè)能夠在一個中心位置收集和分析來自其所有數字資產的日志數據。這使他們能夠重現以前發(fā)生的事件或評估新事件，以檢查可疑活動并改進安全系統(tǒng)。

普普點評

按照行業(yè)劃分，零售業(yè)SIEM市場預計發(fā)展最快，因為電子商務領域企業(yè)對于其財務和個人信息的安全性擔憂不斷增加導致的。在全球范圍內，信息安全的重要性正不斷凸顯。隨著大數據、人工智能等技術的快速發(fā)展，數據不再只是數據，而是龐大的資源。對海量數據進行分析利用，人們可以輕而易舉的完成從前無法想象的事情；而信息安全正是“數據列車“的軌道，信息安全相關行業(yè)正迎來前所未有的機遇。

超三成網絡攻擊可在30分鐘以內完成

CrowdStrike最新報告指出，過去一年中，威脅行為者從最初訪問權限轉移到橫向移動所需的平均時間為1小時32分鐘，減少了67%。而且在36%的網絡攻擊中，攻擊者在30分鐘內就實現了橫向移動。橫向移動意味著攻擊者能夠發(fā)現重要數據和部署勒索軟件。這給安全運營團隊帶來了額外壓力。該報告的調查對象來自CrowdStrike全球客戶的大約248,000個全球端點。

CrowdStrike的EMEA首席技術官Zeki Turdi指出：“一旦發(fā)生橫向移動，事件就會變得更難解決，成本也更高。簡而言之，在一臺機器上處理威脅行為者比多臺機器更容易。對于開始橫向移動的威脅行為者，他們已經對網絡進行了一些基本的偵察，但更重要的是擁有允許他們開始在網絡中移動的憑據。他們可能借此對企業(yè)迅速的造成傷害。”

根據報告，在2020年7月至2021年6月期間，所有垂直行業(yè)和地理區(qū)域的攻擊嘗試與去年同比增加了60%。但并非所有這些活動都與數據收集和勒索軟件部署有關，CrowdStrike記錄了交互式入侵中加密劫持攻擊同比增長了100%。

普普點評

威脅行為者正變得越來越隱蔽。在68%CrowdStrike索引的檢測中，攻擊者根本沒有使用惡意軟件，這意味著越來越多的攻擊行為繞過了傳統(tǒng)安全工具的監(jiān)控。不法分子的攻擊手段不斷在變化，依靠單一的防護軟件很難抵抗這些攻擊行為。對于企業(yè)及用戶，自身的信息安全體系建設十分重要，通過多種防護設備組成的防御網絡能有效抵抗惡性攻擊；同時要及時修復系統(tǒng)漏洞，不給黑客可趁之機。