首頁 > 安全研究 > 安全通報 > 安全簡訊

達拉斯郊區理查森與FBI合作應對勒索軟件攻擊

發布時間 2024-09-29

1. 達拉斯郊區理查森與FBI合作應對勒索軟件攻擊


9月27日,達拉斯郊區理查森市正面臨勒索軟件攻擊的嚴峻挑戰,已緊急請求并獲得聯邦調查局的援助。黑客于周三早上成功侵入政府服務器,試圖加密文件,但城市的安全系統迅速響應,有效限制了損害范圍。目前,市政府正積極采取措施,包括關閉內部訪問、更換設備及從備份中恢復信息,以盡快恢復系統。盡管內部服務受到一定限制,但關鍵外部服務如911、警察、在線支付及廢物處理等仍保持正常運行。此次事件再次凸顯了達拉斯地區政府網絡安全形勢的嚴峻性,繼去年達拉斯市及今年達拉斯縣相繼遭受攻擊后,理查森市成為最新受害者。盡管尚未收到勒索團伙的具體要求,但相關部門已全力配合FBI及國土安全部展開調查。官員表示,恢復系統的具體時間尚無法確定,但將竭盡全力減少對市民生活的影響。


https://therecord.media/richardson-texas-cyberattack-city-government


2. 英國鐵路網Wi-Fi遭黑客入侵,傳播仇視言論


9月26日,英國負責火車基礎設施的公共機構Network Rail正緊急處理一起涉及其管理的免費Wi-Fi服務的網絡安全事件。此次事件導致用戶在多個主要車站,包括倫敦、曼徹斯特、伯明翰等城市的站點,通過Wi-Fi登錄頁面接收到包含仇視伊斯蘭教言論及提及2017年曼徹斯特爆炸案的惡意信息。Wi-Fi服務已暫停,以配合英國交通警察和通信公司Telent的調查。據調查,該事件是由不明黑客通過攻擊Telent管理的Wi-Fi登陸頁面所致,該頁面由Global Reach運營,并遭到某合法管理員賬戶的非法入侵。雖然具體技術細節尚未公開,但信息安全專家指出,公共Wi-Fi因其開放性常成為網絡犯罪分子的攻擊目標,強調了加強這類網絡安全性的重要性。此次事件再次敲響了關鍵國家基礎設施網絡安全的警鐘,促使人們關注公共交通等公共服務中可能存在的網絡安全漏洞。盡管目前尚未發現個人數據泄露,但公眾對于網絡安全的擔憂仍在增加。Network Rail及合作伙伴正全力以赴,旨在盡快恢復服務并防止類似事件再次發生。


https://www.theregister.com/2024/09/26/public_wifi_operator_investigating_cyberattack/


3. Sniper Dz免費PhaaS平臺成網絡釣魚新威脅,年創14萬釣魚網站


9月26日,Palo Alto Networks 的網絡安全團隊揭露了一個名為 Sniper Dz 的網絡釣魚即服務(PhaaS)平臺,該平臺在過去一年中已促成超過 14 萬個網絡釣魚網站的創建,對全球用戶構成嚴重威脅。Sniper Dz 專注于利用社交媒體和在線服務作為攻擊目標,通過提供免費的在線管理面板,讓網絡釣魚者能輕松生成針對知名品牌的釣魚頁面,并可選擇托管在平臺或自有服務器上。其獨特之處在于,Sniper Dz 不直接收費,而是從被盜取的受害者憑證中獲利,通過內置后門收集數據,增強其在網絡釣魚領域的地位。該平臺還利用公共代理服務器和合法 SaaS 平臺(如 Blogspot)隱藏行蹤,增加攻擊隱蔽性和成功率。Sniper Dz 在 Telegram 上擁有龐大的追隨者群體,其易用性和免費特性吸引了大量網絡犯罪分子。鑒于其強大的規避技術和廣泛的受害者憑證獲取能力,Sniper Dz 預計將持續推動全球網絡釣魚活動的增長,因此,用戶和組織需高度警惕,采取有效安全措施以抵御此類新興威脅。


https://securityonline.info/phishing-frenzy-140000-websites-created-with-sniper-dz-in-one-year/


4. 假冒應用WalletConnect竊取了7萬美元的加密貨幣


9月28日,Check Point Research (CPR) 最近揭露了一種復雜的加密貨幣詐騙手段,該騙局通過一款偽裝成熱門Web3協議WalletConnect的虛假應用在Google Play上潛伏數月,成功盜取了超過150名用戶的加密貨幣,總損失超7萬美元。此惡意應用利用了用戶對WalletConnect的信任,后者本是連接去中心化應用與加密貨幣錢包的安全橋梁。詐騙者通過高評分和虛假評論誘導用戶下載,一旦用戶嘗試連接錢包至Web3應用,假冒應用便模擬正常流程誘騙用戶簽署欺詐交易,秘密向攻擊者控制的服務器發送用戶資產信息,利用智能合約悄無聲息地轉移資金。該應用還采用反檢測技術躲避安全工具審查,對審核人員展示無害內容,從而長期潛伏。分析顯示,被盜資金遍及多個以太坊虛擬機網絡,且大部分尚未追回。值得注意的是,盡管受害者眾多,但僅少數人在Google Play上留下差評,反映出公眾對此類詐騙手段的認知不足,以及詐騙者通過虛假好評掩蓋惡行的策略。


https://securityonline.info/fake-walletconnect-app-on-google-play-drains-70k-in-crypto/


5. 科威特衛生部遭網絡攻擊,多家醫院系統癱瘓


9月28日,科威特衛生部近期正積極應對一起嚴重的網絡攻擊事件,該事件導致多家醫院的信息系統癱瘓,并影響了薩赫勒醫療保健應用程序及衛生部官方網站的正常運行。周三,衛生部宣布已恢復部分關鍵功能的運行,包括癌癥控制中心、健康保險及外籍人士體檢等重要系統。技術團隊迅速介入,追蹤并揭露了入侵企圖,同時在政府安全機構的支持下控制了事態發展。為防止攻擊進一步擴散至核心數據庫,衛生部果斷將受影響的醫療保健系統下線,并采取了一系列加強基礎設施安全的措施。盡管未透露具體攻擊細節,但根據應對措施推測,此次事件很可能為勒索軟件攻擊。截至目前,尚未有勒索軟件組織公開宣稱對此負責。衛生部強調,已全力投入資源以確保系統盡快全面恢復,并承諾將持續加強網絡安全防護,以保障公共衛生服務的穩定運行和患者數據的安全。


https://securityaffairs.com/169031/security/cyberattack-on-kuwait-health-ministry-impacted-hospitals.html


6. Storm-0501勒索軟件團伙轉向混合云攻擊


9月27日,微軟發出警告,指出勒索軟件團伙Storm-0501已調整策略,將攻擊重心轉向混合云環境,并企圖侵害受害者的全部資產。自2021年首次現身以來,Storm-0501作為Sabbath勒索軟件行動的一部分,不斷進化,近期更是涉足Hive、BlackCat、LockBit及Hunters International等多個勒索軟件團伙的惡意軟件。近期,他們特別活躍,采用Embargo勒索軟件對美國醫療、政府、制造、運輸及執法機構發動攻擊。Storm-0501利用弱密碼、特權賬戶或已知漏洞(如CVE-2022-47966、CVE-2023-4966等)滲透網絡,并通過Impacket和Cobalt Strike等工具橫向移動,竊取數據并禁用安全設置。一旦獲取Microsoft Entra ID(即Azure AD)憑據,該團伙便能無縫從本地遷移到云端,破壞同步賬戶,劫持會話以維持訪問權限。他們還可能利用AADInternals等工具更改云密碼,繞過保護。得手后,Storm-0501在Microsoft Entra租戶內植入持久后門,偽裝成合法用戶身份,最終在內部部署和云環境中部署Embargo勒索軟件,或通過計劃任務與GPO加密文件。值得注意的是,該團伙并非總是立即實施勒索,有時僅保留后門以作后續之用。


https://www.bleepingcomputer.com/news/security/embargo-ransomware-escalates-attacks-to-cloud-environments/

上一篇 下一篇