普普安全資訊一周概覽(1113-1119)

作者:

時間:
2021-11-19
01
Robinhood承認被攻擊 泄露700萬用戶數(shù)據(jù)


11月8日,據(jù)美國在線券商Robinhood Markets披露的信息顯示,Robinhood在11月3日遭遇了一場嚴重的網(wǎng)絡攻擊,導致700萬用戶數(shù)據(jù)泄露。攻擊者向Robinhood索要贖金,聲稱如果不支付贖金將公布所有的數(shù)據(jù)。這些數(shù)據(jù)包括500萬用戶電子郵件地址,200萬用戶的名字,大約有10萬人泄露了更多的隱私信息,諸如出生日期、姓名、郵政編碼等。

但Robinhood發(fā)言人強調,由于此次信息泄露事件中沒有涉及用戶的社保賬號、銀行賬戶等,因此用戶沒有遭遇經(jīng)濟損失。但實際情況Robinhood曾多次遭受網(wǎng)絡攻擊,不少用戶因此損失嚴重。關于投資者關心的是否支付贖金問題,Robinhood并沒有正面回應,并且認為這不是一場勒索攻擊。此次網(wǎng)絡攻擊的主要原因是,黑客利用了一名客服人員的憑證訪問了公司的支持系統(tǒng)。

目前公司已經(jīng)完全控制了事件,已經(jīng)通知了相關的執(zhí)法部門,并邀請網(wǎng)絡安全公司Mandiant全面調查此次攻擊事件.盡管Robinhood表示了“安全第一”的決心,以及多次試圖淡化本次事件的影響,但依舊不可避免造成了股價的波動。


普普點評

從本次700萬用戶數(shù)據(jù)泄露事件來看,大部分數(shù)據(jù)泄密的原因不是由于企業(yè)的安全技術不夠先進、安全加密強度不足等等。往往是因為安全意識淡薄。這就提醒我們在關注流程和人員的管理的同時,也需要進一步提高對公司員工的網(wǎng)絡安全培訓力度和考核指標。


02
國際聯(lián)合執(zhí)法“旋風行動”盯上了Clop 勒索軟件團伙


近日,國際刑警組織宣布,在代號為“旋風行動”的國際聯(lián)合執(zhí)法行動中,成功逮捕六名參與Clop 勒索軟件行動的成員。自2019年2月以來,Clop 勒索軟件便一直活躍在全球不同的機構組織攻擊事件中。與其他勒索軟件團伙一樣,Clop 團伙也采用雙重勒索模型,也就是說,他們會竊取拒絕支付贖金的受害者數(shù)據(jù),并將這些數(shù)據(jù)公布在他們網(wǎng)站上。

Clop團伙對韓國公司和美國學術機構進行了多次攻擊,通過加密設備并勒索組織以支付贖金或泄露其被盜數(shù)據(jù)?!皯n國網(wǎng)絡犯罪調查部的要求,國際刑警組織通過首爾中央分局,向該組織的194個成員國發(fā)送了2個國際通緝的紅色通緝令。”國際刑警組織發(fā)布新聞道。

此后,國際刑警組織聯(lián)手韓國、烏克蘭和美國的執(zhí)法部門成立“旋風行動”,以Clop 勒索軟件團伙為目標,開展了為期30個月的調查,并對嫌疑人住所進行了21次突擊檢查,最終在烏克蘭成功逮捕其中6名成員?!氨M管全球勒索軟件攻擊呈螺旋上升趨勢,但本次警察與企業(yè)的聯(lián)盟成功逮捕網(wǎng)絡犯罪團伙,這向勒索軟件犯罪分子發(fā)出了一個強有力的信號,即無論他們躲在網(wǎng)絡空間的何處,我們都會將其緝拿歸案?!眹H刑警組織網(wǎng)絡犯罪主管Craig Jones說。


普普點評

勒索軟件攻擊往往會攻擊傳統(tǒng)上被忽視的基礎設施的兩個領域——即應用程序和存儲在文件中的數(shù)據(jù)。全球勒索軟件攻擊呈螺旋上升趨勢,這也向外界發(fā)出了一個強有力的信號,信息安全不僅需要從內部防護入手。有時還需要警察與企業(yè)的聯(lián)盟去逮捕網(wǎng)絡犯罪團伙。從而盡可能地避免被威脅。

03
BillQuick計費軟件被攻擊者利用進行勒索軟件攻擊


本月早些時候Huntress實驗室發(fā)現(xiàn)了這一事件,大量攻擊者正在利用BillQuick網(wǎng)絡套件中的SQL注入漏洞進行攻擊。研究人員發(fā)現(xiàn)攻擊者利用了當前流行的計時計費系統(tǒng)中的一個關鍵零日漏洞(現(xiàn)已修補),成功接管了含有漏洞的服務器,并使用勒索軟件攻擊了該公司的網(wǎng)絡。

SQL注入是一種攻擊類型,它允許網(wǎng)絡攻擊者干擾應用程序對數(shù)據(jù)庫的查詢。這些攻擊通常是通過將惡意的SQL語句插入到網(wǎng)站使用的字段(如評論字段)中來進行攻擊的。該漏洞的問題就在于系統(tǒng)允許拼接SQL語句進行執(zhí)行。在連接的過程中,系統(tǒng)會把兩個字符串連接在一起,這樣會導致SQL注入漏洞的發(fā)生。

攻擊者利用可以遠程執(zhí)行代碼(RCE)的SQL注入漏洞,成功獲得了這家不知名的工程公司的初始訪問權。

?BillQuick官方聲稱在全球擁有超過40萬用戶,研究人員說,擁有巨量的用戶對于品牌的推廣來說是很好的,但對于針對其客戶群體進行攻擊的惡意活動來說就不是什么好事了。


普普點評

黑客總是在尋找容易被利用的缺陷和漏洞,隨著現(xiàn)在軟件供應鏈模式已成為主流,任何一個軟件安全漏洞都可能導致不可計數(shù)的企業(yè)遭到攻擊。數(shù)據(jù)顯示,90%的網(wǎng)絡攻擊事件都與漏洞利用相關為了確保網(wǎng)絡安全應從源頭代碼做好安全檢測,以減少軟件安全漏洞筑牢網(wǎng)絡安全根基。

04
美國FBI系統(tǒng)被入侵 黑客向10萬郵箱發(fā)送假冒郵件


北京時間11月14日,美國當?shù)貢r間周六,黑客入侵了美國聯(lián)邦調查局(FBI)的外部郵件系統(tǒng)。根據(jù)跟蹤垃圾郵件和相關網(wǎng)絡威脅的非營利組織Spamhaus Project提供的信息,黑客使用FBI的電郵賬號發(fā)送了數(shù)萬封電子郵件,就可能發(fā)生的網(wǎng)絡攻擊發(fā)出警告。

FBI表示,該局和美國網(wǎng)絡安全與基礎設施安全局“已經(jīng)注意到今晨發(fā)生的使用@ic.fbi.gov電郵賬號發(fā)送虛假郵件的事件”?!澳壳?,事件還在發(fā)展中,我們此刻無法提供更多額外信息。”FBI在一份聲明中稱。FBI督促消費者保持謹慎,報告任何可疑活動。

網(wǎng)絡安全公司BlueVoyant專業(yè)服務主管奧斯汀·巴格拉斯表示,F(xiàn)BI擁有多個郵件系統(tǒng),周六疑似被入侵的是面向公眾的系統(tǒng),被FBI探員和員工用來與公眾進行郵件溝通的。他表示,當探員傳輸機密信息時,他們需要使用另外一個不同的郵件系統(tǒng)。

這次攻擊事件始于紐約時間周六午夜,隨后的活動從凌晨2點開始。該組織預計,黑客發(fā)送的垃圾郵件最終到達了至少10萬個郵箱中。


普普點評

當前,全球的黑客網(wǎng)絡攻擊、勒索已經(jīng)形成了一條“產(chǎn)業(yè)”,攻擊范圍非常廣泛,每年大量機構遭受網(wǎng)絡攻擊,至少有50%的受害者最終無奈向黑客支付了贖金,勒索金額和造成的損失越來越大。如果重要的公用事業(yè)或服務商遭受到重大網(wǎng)絡攻擊,潛在的損失可能等同于颶風等自然災害所造成的損失。

05
Deepfakes:正在成為網(wǎng)絡犯罪的幫兇!


Deepfakes(深度偽造)技術對企業(yè)組織來說是一種不斷升級的網(wǎng)絡安全威脅。如今,網(wǎng)絡犯罪分子正在大力投資人工智能和機器學習等Deepfakes技術,以創(chuàng)建、合成或操縱數(shù)字內容(包括圖像、視頻、音頻和文本),進行網(wǎng)絡攻擊和欺詐。這種技術可以真實地復制或改變外觀、聲音、舉止或詞匯,目的是進行欺詐,讓受害者相信他們所看到、聽到或閱讀的內容真實可信。

2021年3月,美國聯(lián)邦調查局警告稱,在現(xiàn)有的魚叉式網(wǎng)絡釣魚和社交工程活動中,惡意行為者利用合成或操縱的數(shù)字內容進行網(wǎng)絡攻擊的勢頭正呈增長趨勢。鑒于所用合成介質的復雜程度,這可能會造成更嚴重且廣泛的影響。因此,企業(yè)組織必須認識到這種不斷增長的Deepfakes網(wǎng)絡威脅,并采取有效措施? 抵御Deepfakes強化型網(wǎng)絡攻擊和欺詐。

鑒于網(wǎng)絡犯罪分子正在利用員工在家遠程辦公的空子,未來這種攻擊只會增多。如今,犯罪分子通過商業(yè)通信平臺進行的網(wǎng)絡釣魚活動為Deepfakes提供了一種理想的交付機制,因為企業(yè)組織及其用戶不自覺地信任它們。


普普點評

借助Deepfakes技術的網(wǎng)絡攻擊所構成的威脅看起來很嚴重,但企業(yè)組織仍然可以采取多種措施來抵御它們,包括培訓和教育、先進技術以及威脅情報等,所有這些都旨在應對惡意的Deepfakes活動。除此之外,企業(yè)組織還可以通過隨機分配用戶指令來實現(xiàn)有效防御。

06
Magecart攻擊日漸“猖獗” 受害企業(yè)數(shù)量破萬


Cyberpion最新研究表明,現(xiàn)階段,Magecart攻擊泛濫,包括零售、銀行、醫(yī)療、能源等行業(yè)的世界500強企業(yè)都是其攻擊目標,甚至政府都未能阻止Magecart的瘋狂攻擊。Magcart是一種網(wǎng)絡攻擊方式的通用名稱,往往指黑客通過破壞第三方代碼,從網(wǎng)絡應用程序或網(wǎng)站中竊取用戶數(shù)據(jù)信息。

通過對受害案例和黑客的攻擊方式分析研究,Cyberpion首席執(zhí)行官Nethanel Gelernter稱,大部分受害企業(yè)是在發(fā)現(xiàn)自身數(shù)據(jù)被出售后,才意識到公司遭受了網(wǎng)絡攻擊。對企業(yè)來說,Magecart攻擊已經(jīng)構成了巨大威脅,現(xiàn)有的安全響應平臺很難檢測出黑客利用的漏洞和使用的攻擊方式,面對Magecart攻擊,企業(yè)沒有很好的應對策略。

Magecart漏洞仍然是很多網(wǎng)站和軟件的“噩夢”零售、保險、金融服務、制藥、媒體、安全等行業(yè)中,許多頭部企業(yè)中存在安全漏洞;超過1000家在線商店存在安全漏洞,甚至,一些受歡迎的國際媒體網(wǎng)站中同樣存在漏洞;一些公司為了避免遭受網(wǎng)絡攻擊,使用了反Magecart攻擊的防御方案,但黑客依舊能繞過防御,進行網(wǎng)絡攻擊。


普普點評

大部分企業(yè)的網(wǎng)絡安全平臺和應用程序,在識別Magecart攻擊方面存在重大缺陷。除此之外,部分企業(yè)向客戶披露其公司內部的安全漏洞時,也存在嚴重失誤(不夠及時),最終可能導致上下游企業(yè)面臨攻擊風險,導致上下游企業(yè)數(shù)據(jù)信息被竊取,造成更大的經(jīng)濟損失。

07
最受歡迎的網(wǎng)站搭建程序WordPress 遭遇了“假勒索攻擊”


據(jù)bleepingcomputer消息,近期發(fā)生了一輪針對通過WordPress搭建的網(wǎng)站的勒索攻擊,截止到目前已經(jīng)有300多個網(wǎng)站遭受了攻擊。

有意思的是,這實際上是一輪假的勒索攻擊,在網(wǎng)站顯示的也是假的加密通知,攻擊者試圖通過勒索攻擊的恐懼引誘網(wǎng)站所有者支付 0.1枚比特幣進行恢復。

雖然和很多勒索攻擊的巨額贖金相比,0.1枚比特幣微不足道,但是對于很多個人網(wǎng)站來說依舊是一筆不小的支出。對于攻擊者而言,只要上當受騙的網(wǎng)絡管理者足夠多,累積起的贖金同樣不可小覷。為了讓勒索攻擊更加逼真,攻擊者還將網(wǎng)站所有文章的狀態(tài)從“post_status”改為“null”,這意味著所有的文章都處于未發(fā)布狀態(tài),乍一看還以為網(wǎng)站真的被加密了。攻擊者所偽裝的一切,都是為了讓網(wǎng)站所有者認為,他們的網(wǎng)站真的已經(jīng)被加密了,從而支付0.1枚比特幣的贖金。

一旦用戶支付贖金之后,攻擊者就會刪除插件,并運行命令重新發(fā)布文章,使得站點恢復到之前的狀態(tài),也讓用戶認為自己的網(wǎng)站確實是解密了。


普普點評

為了能夠騙到用戶拿到贖金,攻擊者也是拼了,哪怕技術不夠,也要演技來湊,實施了一次假的加密攻擊來勒索贖金。通過對網(wǎng)絡流量日志的進一步分析,攻擊者是以管理員身份登錄網(wǎng)站,他們要么是暴力破解了密碼,要么就是在暗網(wǎng)市場獲取了已經(jīng)泄露的賬號和密碼。用戶做好防護墻保護工作,采取更改其他接入點密碼,避免網(wǎng)站再次被黑客攻擊。