首页
社区
课程
招聘
[推荐]【每日资讯】 | Google允许用户通过密码来保护搜索历史记录 | 2021年11月8日 星期一
发表于: 2021-10-8 11:15 9729

[推荐]【每日资讯】 | Google允许用户通过密码来保护搜索历史记录 | 2021年11月8日 星期一

2021-10-8 11:15
9729

2021年10月29日 星期五

今日资讯速览:

1、德国汽车零配件龙头遭勒索攻击,生产系统瘫痪 员工被迫休假


2、疫情期间网络犯罪分子加大了攻击力度 首选支付方式是加密货币


3、德国当局和记者称已确认REvil勒索软件团伙核心成员的身份



1、德国汽车零配件龙头遭勒索攻击,生产系统瘫痪 员工被迫休假


由于上周末突发的勒索软件攻击令IT系统陷入瘫痪,德国跨国企业Eberspächer Group被迫让部分工厂员工回家带薪休假,公司管理层及IT团队则继续处理相关事宜。


Eberspächer Group目前拥有超过1万名员工,有28个国家/地区运营拥有80处生产工厂(包括中国)。他们的主要业务是为当今几乎所有顶级汽车品牌供应空调、供暖及排气系统。


10月25日(本周一),该公司在官方网站上发布声称,称“Eberspächer Group已成为有组织网络攻击的目标,IT基础设施受到影响。”


该公司还表示,“为了保护客户、员工以及合作伙伴,我们立即采取了必要措施,希望有针对性地缓解这场攻击。”


就在上周日早上,该公司的官方网站、邮件系统、办公网络、客户门户以及生产系统纷纷因攻击影响而被迫关闭。


由于无法正常协调生产并管理客户订单,该公司只得通知部分工厂员工在宕机处理期间留在家中带薪休假。


Eberspächer Group瑞典子公司CEO Marie Wiström在接受瑞典国家公共电视广播公司SVT采访时指出,“我们的员工在家中继续正常领取薪水,我们也会及时向他们通报情况。”


据德国新闻媒体SR报道,身在德国及罗马尼亚的工人们收到厂方要求,需要待在家中。


检方定性“蓄意破坏计算机并意图勒索”

虽然该公司没有披露周末这次攻击事件的具体细节,但德国汽车新闻网站Automobilwoche报道称,斯图加特检察官办公室的一位女发言人将事件定性为“蓄意破坏计算机并意图勒索”。


截至本文发布时受影响系统仍未恢复,我们也未能通过电话或电子邮件联系到Eberspächer Group的发言人。


不过该公司在Twitter上宣布,供车主远程启动Eberspächer加热装置的Easy Start门户网站现已重新上线。


更新:Easy Start网站已经再次可用。感谢您的耐心等待,对于给您带来的不便,我们深表歉意。—— Eberspächer Group (@eberspaecher)


Eberspächer Group遭遇的攻击与飞机零部件供应商ASCO的经历非常相似。2019年6月,类似的勒索软件攻击致使ASCO工厂瘫痪,该公司被迫让大部分员工回家带薪休假。

【阅读原文】



2、疫情期间网络犯罪分子加大了攻击力度 首选支付方式是加密货币

利用新冠疫情,网络犯罪分子发起各种攻击而尽可能地牟利。欧盟网络安全机构 Enisa 强调,这类活动导致雇佣黑客在过去 15 个月中成为网络安全的最大威胁。 2020 年 4 月至 2021 年 7 月进行的研究的年度报告中,Enisa 表示 COVID-19 疫情期间观察到网络犯罪分子加大了针对潜在受害者的攻击。

该机构表示:“COVID-19 危机为对手创造了可能性,他们在电子邮件攻击等活动中利用该大流行病作为主导诱饵。货币化似乎是这种活动的主要驱动力”。

一个值得注意的勒索软件攻击是 Colonial Pipeline 事件,黑客组织 DarkSide 暴露了在一个运营商的数字基础设施中发现的安全漏洞。最终,它导致了服务于美国东海岸的燃料供应线关闭。


威胁者关注的其他关键方法包括钓鱼邮件,以及对远程桌面协议(RDP)服务进行暴力攻击,这仍然是两个最常见的感染载体。

不出所料,黑客的首选支付方式是加密货币。根据这项研究,其他正在经历增长的网络威胁领域包括加密劫持,这涉及犯罪分子秘密地利用目标的计算能力来产生加密货币。


随着比特币和其他硬币飙升至历史高点,预计这种特殊的威胁在不久的将来仍然是一个有吸引力的选择。价值52亿美元的比特币交易已经与勒索软件有关。

确定的九大威胁群是:勒索软件、恶意软件、加密劫持、电子邮件相关威胁、针对数据的威胁、针对可用性和完整性的威胁、虚假信息/误导信息、非恶意威胁和供应链攻击。

【阅读原文】



3、德国当局和记者称已确认REvil勒索软件团伙核心成员的身份

据Techspot报道,一组合作的德国调查人员和记者声称已经追踪到了REvil勒索软件团伙的一个关键成员,该团伙被认为与今年大量的攻击有关。目前仍不清楚调查人员何时或是否能够逮捕此人,因为他们居住在俄罗斯,而俄罗斯政府被指责对留在其境内的勒索软件团伙视而不见。


根据德国新闻机构Bayerischer Rundfunk和Die Zeit的报道,他们花了几个月时间追踪比特币和电子邮件地址的数字痕迹,以确定赎金软件付款与他们称为"Nikolay K."的人之间的联系。他的妻子"Ekaterina K."的社交媒体视频显示,这对夫妇在地中海的昂贵游艇上度假。Nikolay自己的资料只显示他用比特币赚钱。

 

记者能够将Nikolay K.的名字与俄罗斯网站和连接到Telegram账户的电话号码联系起来,该账户与一个比特币地址相连。该比特币地址至少收到了来自 Zeit 称与犯罪组织有关的账户的六笔付款,总额超过45万美元。比特币支付分析师告诉Zeit,这些款项很可能来自勒索。


巴登-符腾堡州刑事警察局(LKA)也确信Nikolay K是REvil成员,并在2019年斯图加特一家剧院遭到勒索软件攻击后对他进行了调查。LKA已经准备了对Nikolay K.的逮捕令,但除非他进入一家愿意与德国合作的公司,否则无法逮捕他。然而,Nikolay K.最近的一次度假是在克里米亚。


本月早些时候,McAfee发布了一份安全报告,声称在2021年第二季度的十大攻击者中,REvil的勒索软件对超过70%的勒索软件检测负责。


REvil最著名的是今年夏天对IT管理平台Kaseya的攻击,影响了数百家使用其服务的企业。REvil要求得到7000万美元的赎金,以解锁被REvil软件加密的系统。


安全组织后来免费发布了这些密钥,以及如何使用它们的说明。REvil随后暂时消失了,只是后来再次出现,并使用旧钥匙无法解密的新软件恢复其攻击。据报道,REvil甚至从租用其软件用于自己攻击的客户那里窃取赎金。

【阅读原文】



2021年10月28日 星期四

今日资讯速览:

1、京东安全团队发现“魔形女”Android 11 高危漏洞,已协助三星、谷歌修复


2、超过千万安卓用户成为付费短信诈骗应用的目标


3、欧盟宣布对英伟达 400 亿美元收购 ARM 展开“深入调查”



1、京东安全团队发现“魔形女”Android 11 高危漏洞,已协助三星、谷歌修复


IT之家 10 月 26 日消息,据京东黑板报官方公众号,近日,京东探索研究院信息安全实验室的研究团队发现一项高危 Android 11 系统漏洞链。


据介绍,利用该漏洞链,黑客可能在用户毫无感知的情况下,获取用户手机中所有 App 的隐私数据和权限,如获取任一社交软件的聊天记录,任意劫持邮箱、公司内部沟通软件、支付软件等。


“黑客可以仿冒任意一个流行的 App,用户下载 App 之后,恶意程序利用漏洞自动启动对手机所有 App 的监听和信息获取。”根据这一特性,京东探索研究院安全团队将其形象地比作漫威电影中可以化身为任何人形象的“魔形女”。


安全团队还称,问题的源头,是安卓沙箱防御机制出现了微小缺陷,这个缺陷和不同型号安卓手机中原本存在的漏洞相结合,最终形成了拥有巨大威力的“魔形女”漏洞链。


IT之家了解到,据报道,目前,京东安全团队已经向谷歌等企业提供漏洞信息,并协助修复。谷歌、三星等公司均已发布漏洞补丁。

【阅读原文】



2、超过千万安卓用户成为付费短信诈骗应用的目标


一场在全球范围性欺诈行为被发现,它利用151个恶意Android应用程序,下载量达1050万次,在未经用户同意和知情的情况下将用户拉入付费订阅服务。

名为“Ultimams”的付费短信诈骗活动据信于2021年5月开始,涉及的应用程序涵盖范围广泛,包括输入法、二维码扫描仪、视频和照片编辑器、垃圾邮件拦截程序、摄像头过滤器和游戏,下载了欺诈性应用程序的用户大多来自埃及、沙特阿拉伯、巴基斯坦、巴基斯坦、阿联酋、土耳其、阿曼、卡塔尔、科威特、美国和波兰。


尽管有很大一部分有问题的应用程序已经从Google Play商店中删除,但截至2021年10月19日,其中82个应用程序仍然可以在在线市场上使用。

微信图片_20211027154302

首先,这些应用程序会提示用户输入自己的电话号码和电子邮件地址,以便使用宣传的功能,然后诱使受害者订阅付费短信服务,根据国家和移动运营商的不同,这些服务每月收费40美元。


Avast研究人员Jakub Vávra说:“这些应用不会解锁用户可能认为应该出现的宣传功能,而是会显示更多的短信订阅选项,或者完全无法使用。”。

Ultimams广告软件骗局还值得注意的是,它通过流行社交媒体网站(如Facebook、Instagram和TikTok)上的广告渠道传播,用“吸引人的视频广告”吸引毫无戒心的用户。


除了卸载上述应用程序外,建议用户与运营商禁用付费短信选项,以防止用户滥用订阅。Vávra说:“根据一些用户留下的差评,似乎儿童是受害者之一,这使得这一步骤在儿童手机上尤为重要,因为他们可能更容易受到这类骗局的影响。”

【阅读原文】



3、欧盟宣布对英伟达 400 亿美元收购 ARM 展开“深入调查”


北京时间 10 月 28 日消息,欧盟委员会周三宣布,对英伟达公司收购英国芯片设计商 ARM 展开“深入调查”。一年多以前,英伟达宣布以 400 亿美元收购 ARM。


欧盟委员会表示,担心合并交易将限制其他公司对 ARM“中立”芯片设计的访问,导致半导体行业价格上涨、选择减少、创新被削弱。


“尽管 ARM 和英伟达并不存在直接竞争,但是 ARM 的知识产权为那些与英伟达芯片竞争的产品提供了重要支持,例如在数据中心、汽车以及物联网领域。”欧盟委员会副总裁玛格丽特・维斯塔格 (Margrethe Vestager) 在一份声明中称。


这项调查是英伟达和 ARM 遭遇的最新打击。双方已经表示,该交易不大可能在 2022 年 3 月最初设定的截止期限前完成。目前,美国、英国以及中国的监管部门仍在对这笔收购进行审查。

【阅读原文】



2021年10月27日 星期三

今日资讯速览:

1、上海开展数字人民币试点,拓展线下和线上支付、交通出行等场景应用


2、致全国断网超1小时!韩国电信正式道歉:将尽快制定补偿方案


3、Adobe将提供PS和IA文档的网页预览功能



1、上海开展数字人民币试点,拓展线下和线上支付、交通出行等场景应用


IT之家 10 月 27 日消息,上海市人民政府办公厅现印发《上海市全面推进城市数字化转型“十四五”规划》。

《规划》指出将建设立体高速信息网络,以 5G、千兆光纤、卫星互联网等建设为基础,加快构建天地一体化覆盖的数字城市信息网络体系,持续提升“双千兆”网络能力。


此外,上海还将全面推进 5G 网络深度覆盖,增强用户感知水平。持续提升千兆光纤网络服务能级,加快实现万兆到楼、千兆到户的光网全市覆盖。加快卫星互联网地面设施建设。


IT之家了解到,《规划》还提出促进金融新科技的理念。以数字化推动金融业效率提升,增强机构服务能级,提升金融服务的便利性和普惠性。


据悉,上海将进一步开展数字人民币试点,拓展线下和线上支付、交通出行、政务和民生等场景应用。

《规划》还显示将深化普惠金融试点,实施大数据普惠金融应用 2.0 专项工程,普惠金融贷款投放超 2000 亿元,服务企业数量实现倍增。


据《规划》,上海将延展数字金融服务模式,加快金融机构“总分支点”形态重塑,创新指尖上的金融服务,推动一批“开放银行”试点,发展智能投顾,提升资产交易、支付清算、登记托管、交易监管等关键环节智能化水平,推动金融市场高水平转型。


其他方面,《规划》还提出要打造高端低碳算力集群。建设超大型数据中心、大中型数据中心和边缘数据中心组合的高性能协同计算生态。推动数据中心存算一体集约化布局,加快打造全国一体化大数据中心体系的上海枢纽节点。


对此,上海还将实施计算增效计划,构建高性能计算体系,构建人工智能加速器体系,推动建设内容、网络、存储、计算四位一体的边缘计算资源池。打造全球数据中心,面向国际数据流通提供公共服务。


除此之外,《规划》提出加快发展数据要素市场,畅通公共数据与社会数据流通渠道,引导产业、健康、交通等领域的一批高价值行业数据进入流通交易市场。

《规划》表示,上海需要推进国际海光缆、国际互联网专用通道等枢纽设施建设。聚焦量子信息、类脑智能、神经芯片、DNA 存储、6G 网络等数字技术重大前沿领域,加快建立新型数字技术协同攻关机制,探索形成政企协同、各扬所长的联合创新模式。


值得一提的是,《规划》还指出要依托浦东新区和五个新城,先行先试城市数字底座建设和运行,加快推进数字基础设施试点建设,支持物体全域标识、时空 AI、BIM 等技术率先应用推广。结合新城城市建设及更新,加快布局 5G 网络、数据中心、物联网感知设施、城域物联专网等数字新基建。

【阅读原文】



2、致全国断网超1小时!韩国电信正式道歉:将尽快制定补偿方案


昨天,韩国突发全国大面积断网的消息引起了广泛关注。


据当地媒体报道,10月26日,韩国电信运营商韩国电信(KT)代表具铉谟在官网发文,就公司前一日发生的大规模网络瘫痪事件正式道歉,并称将尽快制定补偿方案。


具铉谟表示,由于流量超负荷,公司起初推测遭到大规模分布式拒绝服务攻击(DDoS),但经缜密调查发现,该事故因设备更换过程中出现的设置错误所致,目前正与政府一道进一步调查具体原因。


具铉谟称,此次互联网服务瘫痪带给广大用户不便,就此深感责任重大。公司将缜密检查并完善有关系统,尽快制定补偿方案,严防类似事件再次发生。


据悉,韩国电信(KT)从当地时间25日上午11时20分许出现约1小时25分钟的中断。


事故发生后,门户网站、证券交易系统、商铺支付系统等基于KT互联网的各项服务均出现瘫痪,很多用户无法拨打电话,甚至连客服电话都无法接通。


数据显示,KT成立于1981年,是韩国第一大网络运营商,有线宽带市场份额高达47.8%,占据第一位,移动通信市场份额则是31.6%,位列第二。

【阅读原文】



3、Adobe将提供PS和IA文档的网页预览功能


站长之家(ChinaZ.com)10月27日 消息:Adobe在昨日发布博文称,将提供Photoshop和 Illustrator 的网页预览功能,用户可以通过Chrome、Edge浏览器,打开并查看查看相关 Adobe 云文档,并添加或回复评论,以及进行基本编辑,不在需要下载或启动应用程序。


Adobe表示,在今年的Adobe MAX上,在Creative Cloud中发布了数十项新功能和其他创新,帮助创作者更有效地协作、更高效地创作、探索新媒体并找到从创意中获得成功的新方法工作。以下是我们即将推出的一些内容。


Photoshop和Illustrator,扩展到 Web

Adobe正在将世界上两个标志性的创意产品Photoshop和Illustrator扩展到 Web,以便您可以在任何地方访问项目。只需一个链接,您就可以邀请任何人查看您的 Photoshop 或 Illustrator 文件并发表评论 — 审阅者无需下载任何软件或订阅 Creative Cloud。Creative Cloud 订阅者可以直接在浏览器中对 Photoshop 或 Illustrator 文件进行轻微编辑。将 Creative Cloud 引入 Web 的旅程现在开始于 Photoshop on the Web 的公开测试版,而 Illustrator on the Web 则首次公开测试版。


Creative Cloud Space 和 Canvas 增强创意协作

随着创意团队遍布世界各地,多人同时在同一资产上工作,并且对创意工作感兴趣的利益相关者比以往任何时候都多,创意团队需要一种更好的方式来协作和保持一致。Adobe正在通过Creative Cloud Spaces 和 Canvas满足这一需求。空间是共享存储库,您团队中的每个人都可以在其中访问和组织文件、库和链接,以便您可以轻松地管理访问权限和集中协作。画布是一种新的方式,可以在浏览器中实时显示和可视化项目中的所有创意作品,与合作者一起审阅并共同探索想法。Creative Cloud Spaces 和 Canvas 正在内测中首次亮相,并将于明年更广泛地发布。


Frame.io 和视频协作的未来

Frame.io团队正式加入Adobe。现在用户可以使用Frame.io参与视频制作。Frame.io 平台与 Creative Cloud 的结合为我们很高兴探索的视频创新开辟了新途径,无论是在我们的产品中还是在 Adobe 之外的其他视频编辑工具中。


此外Adobe还针对Photoshop、Illustrator、Lightroom、Substance3D等软件的多个功能进行了更新,加强了部分功能。

【阅读原文】



2021年10月26日 星期二

今日资讯速览:

1、安全专家发现BlackMatter勒索软件漏洞 已防止数千万美元的赎金支付


2、纽约时报记者详述被飞马恶意软件攻击的经过


3、微软称俄罗斯黑客自5月以来至少入侵了14家IT供应链公司



1、安全专家发现BlackMatter勒索软件漏洞 已防止数千万美元的赎金支付


总部位于新西兰的网络安全公司 Emsisoft 一直在悄悄地帮助 BlackMatter 勒索软件的受害者恢复被加密的文件,防止了“数千万美元”的赎金支付,并可能标志着 BlackMatter 事件的永久结束。作为 DarkSide(用来攻击 Colonial Pipeline)勒索软件的升级,BlackMatter 于今年 7 月首次出现。

最近 CISA 专门针对该勒索软件发出警告,表示它针对被视为关键基础设施的组织进行了“多次”攻击,包括美国食品和农业部门的两次攻击。该勒索软件作为一种服务操作,也是最近对奥林巴斯的攻击的罪魁祸首,这迫使这家日本科技巨头关闭了其欧洲、中东和非洲地区的业务。


EMSIsoft 今年早些时候发现,与 DarkSide 一样,BlackMatter 的加密机制有一个漏洞,允许 Emsisoft解密文件,BlackMatter 的加密过程也有一个漏洞,允许它恢复加密的文件而不必支付赎金。Emsisoft 直到现在才透露这个漏洞的存在,因为它担心会让 BlackMatter 集团立即推出一个修复程序。

Emsisoft 首席技术官 Fabian Wosar 在一篇博客文章中说:“了解 DarkSide 过去的错误,当 BlackMatter 对他们的勒索软件有效载荷进行修改,使我们能够再次恢复受害者的数据而无需支付赎金时,我们感到很惊讶”。

在发现漏洞之后,Emsisoft 就向执法部门、勒索软件谈判公司、事件响应公司、国家计算机应急准备小组(CERT)和值得信赖的合作伙伴通报了其解密能力的信息。这使得这些受信任的各方能够将 BlackMatter 受害者推荐给 Emsisoft,以恢复其文件,而不是支付赎金。


Wosar 表示:“从那时起,我们一直在忙于帮助BlackMatter受害者恢复他们的数据。在多个国家的执法机构、CERT和私营部门合作伙伴的帮助下,我们能够接触到许多受害者,帮助他们避免了数千万美元的要求”。Emsisoft 还联系了通过 BlackMatter 样本和公开上传到各个网站的赎金笔记发现的受害者。

【阅读原文】



2、纽约时报记者详述被飞马恶意软件攻击的经过


一名遭受飞马间谍软件黑客攻击的记者透露了他们成为黑客攻击目标的经历,包括可疑信息和 "零点击"漏洞如何导致记者的智能手机被非法访问。7月的一项调查强调了NSO集团Pegasus间谍软件如何被用来攻击记者和人权活动家。


NSO集团的间谍软件本来只用于犯罪预防和调查目的,但却被一些政府滥用,对可能成千上万的活动家和记者进行监视。在《纽约时报》的一篇报道中,中东记者本-哈伯德解释了他是如何成为目标的,虽然哈伯德由于面临监禁或死亡的风险而采取了保护消息来源的预防措施,但他仍然成为飞马黑客的受害者。

45250-88038-44384-86162-43956-85480-43207-83905-000-lead-Messages-xl-xl-xl-xl.jpg

在与公民实验室合作的过程中,哈伯德发现,他在2018年收到一条可疑的短信,被认为是由沙特阿拉伯发送的。该出版物的技术安全团队发现了2018年的另一次黑客企图,通过WhatsApp发送的第二条信息,邀请该记者参加在华盛顿沙特大使馆前举行的抗议活动,并附有一个可疑的链接。公民实验室证实,这两次尝试都没有成功,因为哈伯德没有点击每条信息中的链接,不过这并不是骚扰行为的结束。


对哈伯德设备的进一步调查显示,在2020年和2021年有2次黑客攻击成功,使用的是零点击漏洞,不需要用户点击链接就能感染。调查似乎不太可能揭开黑客的身份,据发现,第二次黑客攻击是为了清除第一次黑客攻击留下的痕迹。NSO集团否认其产品被用于攻击,认为技术和合同原因和限制,意味着哈伯德不可能成为2020年和2021年事件的目标。


目前还不清楚哈伯德在整个期间使用的到底是什么智能手机,但飞马公司以攻击iPhone等设备而闻名,利用iOS中的各种漏洞来击败设备上的安全措施。9月,苹果发布了iOS 14.8和iOS 12.5.5的补丁,堵塞了PegASUS滥用的安全漏洞。


成功感染Pegasus后,攻击者几乎可以无限制地访问iPhone或其他设备,包括能够提取数据、阅读加密信息、启用摄像头和麦克风、记录电话,并实时跟踪设备的GPS坐标。被认为是NSO客户的政府包括阿塞拜疆、哈萨克斯坦、卢旺达和阿联酋,还包括9月披露的德国。

【阅读原文】



3、微软称俄罗斯黑客自5月以来至少入侵了14家IT供应链公司


微软表示,去年SolarWinds黑客事件背后由俄罗斯支持的Nobelium威胁集团仍在瞄准全球IT供应链,自2021年5月以来,有140家管理服务提供商(MSP)和云服务提供商受到攻击,至少有14家被攻破。


这次活动与Nobelium的传统做法相同,即通过攻破服务提供商来破坏一个重要的目标名单。就像以前的攻击一样,俄罗斯国家黑客使用了一个多样化和不断变化的工具包,包括一长串工具和战术,从恶意软件、密码喷剂、令牌盗窃到API滥用和鱼叉式网络钓鱼。这些新攻击的主要目标是为其客户部署和管理云服务和类似技术的经销商和技术服务提供商。


微软在发现这些攻击后通知了受影响的目标,还在威胁保护产品中增加了检测功能,使这些目标在未来能够发现入侵企图。自7月以来,超过600名微软客户成为目标。微软表示,自5月以来,它已经通知了140多个被Nobelium攻击的经销商和技术服务提供商。


微软将继续调查,但到目前为止,微软认为这些经销商和服务提供商中多达14家已经受到影响,但是总共有600多个微软客户被攻击了数千次,尽管在7月至10月期间攻击成功率很低。但是,这表明,Nobelium仍在试图发动类似于他们在攻破SolarWinds系统后发动的攻击,以获得对相关目标系统的长期访问,并建立间谍和渗透渠道。


Nobelium是俄罗斯对外情报局(SVR)的黑客部门,也被称为APT29、Cozy Bear和The Dukes。2021年4月,美国政府正式指责SVR部门协调了针对SolarWinds 广泛的网络间谍活动,导致多个美国政府机构被入侵。

【阅读原文】



2021年10月22日 星期五

今日资讯速览:

1、前微软专家对OneDrive托管恶意软件表达不满 该问题已存在十多年


2、在Play Store被下载数千次的《鱿鱼游戏》App其实是恶意软件


3、曾窃取了苹果MacBook原理图的勒索软件集团在联合行动中被关闭



1、前微软专家对OneDrive托管恶意软件表达不满 该问题已存在十多年

自 21 世纪以来,微软多次在公开场合强调公司在安全方面的努力,但遗憾的是似乎仍然无法跟上当今存在的大量威胁。前微软高级威胁情报分析师凯文·鲍蒙(Kevin Beaumont)上周在个人 Twitter 上发布推文,发泄他对 OneDrive 托管恶意软件的不满。

Baumont 在推文中写道:

如果微软不能防止自己的 Office 365 平台被直接滥用于 Conti 勒索软件,那么就不应该公开宣传自己拥有 8000 名安全员工、以及是数万亿信号的安全领导者。OneDrive 的滥用现象已经持续了多年时间,请尽快修复它。


作为一名前高级威胁情报分析师,博蒙特也对竞争对手的做法提出了一些见解,其他公司也存在这样的问题。根据第三方分析公司 Abuse.ch 的数据,虽然微软在托管恶意软件的平台中排名前三,但 Google 和 Discord 位居榜首,Slack 和 Pastebin 也位居前五。恶意软件的问题并不仅限于微软,但 Baumont 的批评使该公司不断挣扎的问题变得更加突显。


微软承认 Baumont 的观点,并同意它将需要调查进一步的改进,以更好地应对和防止其产品中的恶意软件。微软表示:

滥用云存储是一个全行业的问题,我们一直在努力减少使用微软的服务来造成伤害。我们正在调查进一步的改进,以防止和快速应对本报告中列出的滥用类型。我们继续鼓励客户在网上养成良好的计算习惯,包括在点击网页链接、打开未知文件或接受文件传输时谨慎行事,我们也鼓励客户使用此表格报告滥用行为。

然而,作为一个全行业的云存储问题,该公司还需要与其他公司合作,提出更多永久性的解决方案。

【阅读原文】



2、在Play Store被下载数千次的《鱿鱼游戏》App其实是恶意软件


韩剧鱿鱼游戏Squid Game让互联网火了起来。随着Netflix的热播,人们急于下载与该韩剧有关的一切东西,包括谷歌Play Store中的一款壁纸应用,其中包含了恶意软件。


目前还没有官方的Squid Games应用程序,然而ESET的Android恶意软件研究员Lukas Stefanko在Twitter上说,Play Store上有超过200个与该系列有关的应用程序,其中就有Google保障措施还没有检测到的恶意软件,其中包括一款鱿鱼游戏壁纸应用。安全研究人员对其进行了分析,他们都认为这款鱿鱼游戏壁纸应用内置了一种Joker恶意软件。


我们以前在Play Store上见过Joker恶意软件很多次。它可以通过模拟注册过程,偷偷地将受害者签入高级订阅服务。它还能窃取短信、联系人名单和设备信息。2019年,它在24个下载量超过47.2万的应用程序中被检测到,去年有64个新变体出现在Google Play当中。本案中的Joker恶意软件以广告欺诈为目标,在受害者不知情的情况下与他们签订了昂贵的短信服务。好消息是,Google发现了这个应用,并将其从Google Play商店中删除,但它已经被下载至少5000次。

对于利用热度的非官方应用程序,无论是游戏、电影还是电视节目,最好都要保持警惕。之前《赛博朋克2077》的"移动版"在游戏推出后不久就被发现是勒索软件。

【阅读原文】



3、曾窃取了苹果MacBook原理图的勒索软件集团在联合行动中被关闭


时间回到今年4月,勒索软件集团REvil曾攻击了苹果供应商广达电脑并能够窃取概述本周早些时候宣布的14和16英寸MacBook Pro型号设计的原理图。这些原理图泄露了新机器的设计,当时,REvil威胁称,如果苹果不在5月1日前支付5000万美元的赎金就会公布其他文件。


不过这种情况在几天后就消失了,REvil神秘地从其网站上删除了所有跟苹果有关的文件和敲诈威胁。


此后,人们再也没有听到关于REvil攻击苹果的进一步消息,但事实证明,有一个多国行动正在进行以拿下这个勒索软件集团。据悉,几个政府机构在本周联手黑掉了REvil并使其下线。


一位知情人士披露称,美国政府的一个外国合作伙伴进行了黑客行动并渗透了REvil的计算机架构。一位不愿透露姓名的前美国官员表示,该行动仍在进行。


REvil用于泄露被盗文件的Happy Blog已被下线并不再可用。实际上,在执法和情报专家能够入侵REvil的计算机网络后,该黑客组织早在7月已经下线了,不过它在上个月又回来了,之前被政府破坏的服务器再次被用于这次的第二次攻坚。


REvil还对5月对Colonial Pipeline的网络攻击负责,该攻击造成了美国东海岸的天然气短缺。

【阅读原文】



2021年10月21日 星期四

今日资讯速览:

1、Win11 安卓子系统来了,微软宣布面向 Beta 通道开启测试


2、英伟达宣布不再为Windows 7/8/8.1及开普勒显卡提供驱动功能更新支持


3、Olympus连续遭两次勒索软件攻击 在美国等多地系统被加密



1、Win11 安卓子系统来了,微软宣布面向 Beta 通道开启测试


IT之家 10 月 20 日消息,微软 Win11 安卓子系统在官宣后经过多次曝光,现在终于要来了。据IT之家网友 @扶摇直上九万里 投稿,Win11 安卓子系统将面向 Beta 通道的美国用户开启测试。


微软表示,在 Windows 11 的安卓 App 将拥有熟悉、轻松、集成的体验:


用户可以将安卓 App 固定到开始菜单或任务栏,并通过鼠标、触摸或笔输入与它们交互;


安卓 App 还可以集成到 Alt + Tab 和任务视图中,帮助用户在 App 之间快速切换;


用户可以在操作中心中查看来自安卓 App 的通知,或在 Windows 应用程序和安卓 App 之间共享剪贴板;


微软还添加了无障碍体验,许多 Windows 辅助功能设置都适用于安卓 App。



▼ 在 Surface Pro X 上运行 Kindle App

微软与亚马逊合作,为 Windows 内部人员首先推出了 50 款安卓 App,以便在一系列硬件上进行测试和验证。微软将在未来几个月通过 Windows Insider 程序发布更多的安卓 App。


这 50 款 App 中包含:


手机游戏:《王国纪元》《琼的旅程》《 Coin Master》等;


阅读:Kindle App、漫画 App 等;


儿童内容:Khan Academy Kids、Lego Duplo World 等。


IT之家了解到,Win11 的安卓子系统包括 Linux 内核和基于 Android 开源项目(AOSP)版本 11 的 Android 操作系统。它作为 Amazon Appstore 安装的一部分通过 Microsoft Store 分发。该子系统在 Hyper-V 虚拟机中运行,就像 Linux 子系统一样,可以将 AOSP 环境中 App 的运行时和 API 映射到 Windows 图形层、内存缓冲区、输入模式、物理和虚拟设备以及传感器,可以在英特尔、AMD、高通的 CPU 上运行。

使用方法:

电脑需要安装在 Windows 11(Build 22000.xxx series builds)上,并满足硬件要求;


用户需要为电脑的 BIOS/UEFI 启用虚拟化;


电脑的地区必须设置为美国;


电脑必须处于 Win11 Beta 通道(Dev 通道将在后续支持);


用户需要有一个美国亚马逊帐户才能使用亚马逊应用商店;


然后点击链接前往微软应用商店进行安装使用。

此外,Win11 安卓子系统的版本号为 1.7.32815.0,用户可以在开始菜单中找到该子系统,并且调整设置。


已知问题:


微软应用商店:


应用商店不会显示亚马逊应用商店 App 的审查评级。


亚马逊应用商店:


如果遇到亚马逊应用商店登录问题,请关闭广告拦截器。


使用亚马逊应用商店时,辅助功能选项尚未启用。


安卓子系统:


ARM64 上的蜂窝 LTE 网络接入有问题。


ARM64 上的某些 App 可能会渲染错误(display visual artifacts)。


运行多个 App 时,性能可能会有所不同。


某些 App 存在已知的摄像头问题。


现代待机模式下的 App 将遇到问题。

【阅读原文】



2、英伟达宣布不再为Windows 7/8/8.1及开普勒显卡提供驱动功能更新支持


简而言之:1、基于开普勒架构的英伟达显卡如GTX 600/700系列不再获得功能更新,但提供安全更新至2024年9月;2、英伟达新驱动将不再支持Windows 7~8.1,用户必须升级到Windows 10或11才可以安装最新功能更新。


如果你还在使用旧版操作系统以及特别老旧的显卡,那么很遗憾接下来你将无法再收到英伟达驱动程序的新功能。


基于开普勒架构的英伟达显卡主要是600和700系列,这些显卡的发布时间目前已经快要到10 年而且性能也较低。


而旧版操作系统Windows 7、Windows 8、Windows 8.1里,只有Windows 8.1还能获得微软发布的安全更新。


基于以上情况英伟达决定停止向旧系统发布显卡驱动程序,即后续发布的新版驱动程序不再支持这些就操作系统。


英伟达宣布不再为Windows 7/8/8.1及开普勒显卡提供驱动功能更新支持


基于开普勒架构的显卡停止功能更新:

目前还在获得支持的基于开普勒架构的显卡主要是600和700系列,不过GTX 750/750Ti 例外这是麦斯维尔架构。


需要强调的是开普勒系列显卡只是停止接收新功能更新,到2024年9月前英伟达仍然会为这些显卡提供安全更新。


当然没有功能更新意味着很多游戏无法得到优化且即便出现BUG也不会修复 , 这对游戏玩家来说确实会造成影响。


如果只是用来办公的话那基本不会有太大影响,因为提供安全更新英伟达可以确保多数漏洞不会遭到黑客的利用。


Windows 10和Windows 11对显卡的要求不是很高,支持DX 12以及WDDM 2.0驱动程序模型就可以充分使用。


所以如果你仍然使用开普勒系列显卡的话那记得操作系统也得升级,否则连最基础的英伟达安全更新都无法获得。


操作系统方面的支持:

英伟达已经决定不再支持Windows 7、Windows 8和Windows 8.1,因此剩下支持的也只有 Windows 10~11。


Valve Steam平台的统计数据显示,目前仍使用Windows 7系统的用户占比5%、而Windows 8.1占比不到8.1%。


但说来有趣,Windows 8.1目前还能获得安全更新,而 Windows 7 扩展安全早已结束因此安全漏洞都无法修复。


不过不论如何这些旧的操作系统都不再获得英伟达支持,因此如果你想继续获得功能更新的话务必升级操作系统。


顺便说下,即便你使用的并非开普勒架构而是后续的新显卡那也得升级,否则无法安装最新的Game Ready驱动。

【阅读原文】



3、Olympus连续遭两次勒索软件攻击 在美国等多地系统被加密


据两位知情人士透露,针对日本科技巨头奥林巴斯(Olympus)的“持续”网络攻击是由一家俄罗斯恶意集团发起的,而该集团正被美国政府制裁。10 月 10 日发起的攻击中使用了名为 Macaw 的恶意软件新变种,将奥林巴斯在美国、加拿大和拉美的系统进行了加密。


Macaw 是 WastedLocker 恶意软件的一个新变种,而这两种恶意软件都是由 Evil Corp.创建的,这是一个总部设在俄罗斯的犯罪集团,在 2019 年受到了美国财政部的制裁。


这是该公司在几个月内遭受的第二次勒索软件攻击,此前,该公司在欧洲、中东和非洲的网络于 9 月被 BlackMatter 勒索软件攻击。(据了解,BlackMatter和Evil Corp.并无关联)


安全公司 Recorded Future 的高级威胁分析员 Allan Liska 告诉 TechCrunch:“奥林巴斯上个月被 BlackMatter 攻击,然后在一周左右后被 Macaw 攻击。Macaw 恶意软件在被黑的电脑上留下了一个赎金字条,声称已经从受害者那里窃取了数据”。


奥林巴斯在周二的一份声明中说,该公司正在调查“数据泄漏的可能性”,这是勒索软件集团的一种常见技术,被称为“双重勒索”,即黑客在加密受害者的网络之前窃取文件,并威胁说如果不支付解密文件的赎金,将在网上公布这些文件。

【阅读原文】



2021年10月20日 星期三

今日资讯速览:

1、80%的勒索软件受害者会考虑支付赎金来恢复数据


2、美国政府发布联合警告:BlackMatter勒索软件正对美国基础设施发起攻击


3、REvil勒索软件攻击团伙在其站点被黑后再次陷入了沉寂



1、80%的勒索软件受害者会考虑支付赎金来恢复数据


一项针对250多名勒索软件受害者的新调查显示,超过一半的人在过去一年中被勒索软件攻击过,69%的人说他们很可能在未来一年中至少被成功攻击一次。那些被勒索软件成功击中的人更倾向于支付费用,65%的人确实这样做了,然而,完全恢复数据的情况只占55%。当被问及支付意愿时,13%的人说他们肯定会,但只有20%的人说他们肯定不会。


这项研究是由CISOs Connect、AimPoint Group和W2 Communications进行的。

 

虽然支付赎金息事宁人的行为仍然是有争议的,并且是许多辩论的主题,但抛开道德和法律的争议而言,同样需要关注恢复业务运营的财务影响。这是可以理解的,因为一次攻击的总成本,包括缓解危害、恢复业务和可能的指出,数额大的可能达到数百万美元。据受访者称,勒索软件受害者有20%的机会支付超过500万美元,有5%的机会影响可能超过5000万美元。


调查中只有55个组织采取了购买勒索软件保险的措施,而且其中大多数是在较大的组织,这意味着小企业更容易受到勒索软件影响。


"我们的数据显示,虽然勒索软件的肆虐正在推动一些有关预防与应对的倡议和规划,但许多努力可能仍然是孤立的,"CISOs Connect的首席执行官兼创始人Aimee Rhodes说。"这就造成了某些领域的暴露,随着这些攻击的继续加速,可能会造成问题。根据CISO的反馈,许多人将受益于一种更全面的方法,使他们不仅为预防和检测勒索软件做好准备,而且还为可能的财务影响做好准备。"


你可以在下面的信息图中看到更多的发现。


【阅读原文】



2、美国政府发布联合警告:BlackMatter勒索软件正对美国基础设施发起攻击


在本周一发布的政府公告中,表示 BlackMatter 勒索软件攻击者正在攻击美国的关键基础设施,包括食品和农业组织,并要求支付高昂的赎金。这份公告由国土安全部网络安全和基础设施安全局(CISA)、联邦调查局(FBI)和国家安全局(NSA)联合发出,该勒索软件最早于今年 7 月被发现。

Screenshot 2021-10-19 at 11-32-39 BlackMatter Ransomware CISA.jpg

在该勒索软件对美国水资源和污水处理设施发出攻击之后,美国政府机构发布这条紧急警告。CISA 网络安全执行助理主任埃里克·戈德斯坦(Eric Goldstein)说:“该公告强调了网络犯罪分子不断发展和持续的性质,以及需要采取集体的公共和私人方法来减少勒索软件攻击的影响和普遍性”。


政府机构说,BlackMatter 勒索者要求价值 8 万至 1500 万美元的加密货币,包括比特币和门罗币,以解锁其受害者的系统。BlackMatter 勒索软件开发者以勒索软件即服务(ransomware-as-a-service)的模式运作,他们租赁一些非法责任,并与使用其恶意软件的其他骗子分享利润。


该报告没有提到警报中提到的两个食品和农业组织的名字,CISA 将有关他们身份的问题转给了联邦调查局,后者没有立即回应评论请求。但在 9 月,两个独立的农业组织遭受了勒索软件攻击。


入侵者首先入侵了爱荷华州的一个谷物集体 New Cooperative,导致该企业的一些系统离线,并警告说粮食供应中断。到 10 月,New Cooperative 仍在努力恢复正常运营。BlackMatter 表示对本次攻击负责。


然后,明尼苏达州的一家农业供应商Crystal Valley Cooperative说它被攻破了,但没有指明攻击者。网络安全公司Recorded Future的高级情报分析师Alan Liska说,BlackMatter 是这次攻击的幕后黑手,并在其勒索网站上发布了有关信息。


最新的警报说,BlackMatter 可能是 DarkSide 的改头换面版本,联邦调查局说 DarkSide 曾发起了对 Colonial Pipeline 的攻击。这与私营部门的研究相呼应,他们发现 BlackMatter、DarkSide 和 REvil 之间存在联系。

【阅读原文】



3、REvil勒索软件攻击团伙在其站点被黑后再次陷入了沉寂


作为多起臭名昭著的勒索软件攻击事件背后的团伙,REvil 组织已在其 Tor 支付门户和数据泄露博客被黑后再次转入了沉寂。今年早些时候,REvil 曾高调宣称对 Kaseya、Travele 和 JBS 的网络攻击事件负责。而在本次偃旗息鼓之前,该组织已恢复活跃数周。以 Kaseya 软件供应链被黑事件为例,REvil 攻击导致数千家美国企业感染了勒索软件。

nginx-revil.jpg

Recorded Future 的 Dmitry Smilyanets 率先发现了 REvil 的最新动向,可知该勒索软件攻击团伙在某犯罪论坛的一篇帖子中声称,其使用的 Tor 服务被劫持并替换为私钥副本、猜测可能来自于较早的备份。


发帖人写道,REvil 的服务器遭到了破坏,且有人正在对其展开追踪。更确切地说,另一组织在 torrc 文件中剔除了 REvil 用于配置 Tor 的隐藏服务路径。在感到事情有些不妙后,REvil 选择了逃之夭夭。


截止发稿时,尚不清楚到底是谁破坏了 REvil 的服务器。《华盛顿邮报》曾在 9 月的一篇报道中指出,美国联邦调查局已于 7 月 Kaseya 攻击事件后获得了该组织的加密密钥。

2.png

此外还有人指出,一位被称作“Unknown”的前成员或接管该组织。然而作为 REvil 的长期发言人,Unknown 并未在其他成员于 9 月复出时一同现身。


由于无人确认 Unknown 失踪的原因,REvil 一度以为他可能已经不在这个世上。但从当天 17 点 10 分(莫斯科时间 12 点前后)开始,有人试图用与之相同的密钥来登录隐匿服务,这让 REvil 的现有成员感到很是担心。

3.jpg

外媒指出,VX-Underground 是一个托管恶意软件源代码、样本和相关文章的网站。它在 Twitter 上指出,只有 Unknown 和发布论坛的管理者拥有 REvil 域密钥,且最近有人使用 Unknown 的密钥访问了该勒索软件团伙的域。

4.jpg

最后,McAfee 表示,与今年二季度大多数勒索软件检测相关的 REvil 是否已经消失,仍有待进一步观察。毕竟自 9 月死灰复燃依然,该组织一直在使劲招募壮大自身、并向第三方攻击者兜售其攻击服务。

【阅读原文】



2021年10月19日 星期二

今日资讯速览:

1、阿根廷全国人口身份证信息遭黑客盗取并正在对外兜售


2、英国学校使用面部识别技术验证与收取学生的午餐费


3、Tor 网站被劫持,REvil勒索软件再次关闭



1、阿根廷全国人口身份证信息遭黑客盗取并正在对外兜售


据外媒The Record报道,一名黑客入侵了阿根廷政府的IT网络并盗取了该国全部人口的身份证信息,这些数据现在正在私人圈子里出售。上月发生的黑客攻击目标是RENAPER,即Registro Nacional de las Personas,翻译过来就是国家人员登记处。


该机构是阿根廷内政部的一个关键部门,它的任务是向所有公民发放国家身份证,另外它还以数字格式存储数据以作为其他政府机构可以访问的数据库并成为大多数政府查询公民个人信息的骨干。


足球运动员梅西和塞尔希奥·阿圭罗的数据在Twitter上被泄露


本月初,一个名为@AnibalLeaks的新注册账号在Twitter上公布了44位阿根廷名人的身份证照片和个人详细资料,这是有人入侵RENAPER的第一个证据。


这包括该国总统阿尔贝托·费尔南德斯、多名记者和政治人物的详细信息,甚至包括足球巨星梅西和塞尔希奥·阿圭罗的数据。


该名黑客在图片和个人信息在Twitter上公布一天后还在一个知名的黑客论坛上发布广告以提供查询任何阿根廷用户的个人信息的服务。


面对Twitter泄密事件后媒体的退缩,阿根廷政府在三天后确认了安全漏洞。


该国内政部在10月13日的一份新闻稿中指出,其安全团队发现,分配给卫生部的一个VPN账户被用来查询RENAPER数据库的19张照片,就发生在这些照片在社交网络Twitter上发布的那一刻。


官员们还补充称,“(RENAPER)数据库没有遭受任何数据泄露或泄漏,当局目前正在调查8名政府雇员在泄漏事件中可能扮演的角色。


黑客拥有一份数据副本并计划出售和泄露数据


The Record在联系了在黑客论坛上租借RENAPER数据库的个人后了解到,黑客他们还拥有一份RENAPER数据的副本,这跟阿根廷政府的官方声明相矛盾。


这个人通过提供The Record选择的一位阿根廷公民的个人资料--包括高度敏感的Trámite号码--证明了他们的声明。


“也许几天后我就会公布100万或200万人口的(数据),”RENAPER黑客于今天早些时候告诉这家媒体。另外他们还表示,他们计划继续向所有感兴趣的买家出售这些数据的访问权。


当The Record分享了政府新闻稿的链接--其中官员将入侵归咎于可能受到损害的VPN账户时,黑客只是回答称“是粗心的员工所为”,这间接确认了进入点。


根据黑客在网上提供的样本,他们现在能接触到的信息包括全名、家庭住址、出生日期、性别信息、身份证签发和到期日期、劳工识别码、Trámite号码、公民号码和政府的身份证照片。


阿根廷目前估计有超过4500万人口,但目前还不清楚数据库中有多少条目。不过黑客称拥有一切。


这是继2017年和2019年Gorra泄密事件后该国历史上遭遇的第二次重大安全漏洞,当时黑客分子泄露了阿根廷政治家和警察部队的个人信息。

【阅读原文】



2、英国学校使用面部识别技术验证与收取学生的午餐费


英国的九所学校已经开始使用面部识别来验证儿童的校餐付款,苏格兰北艾尔郡的学校声称,使用该技术比使用卡片或指纹扫描仪付款更快、更卫生,但隐私倡导者警告说,此举正在使得生物识别监控正常化。


"有了面部识别技术,学生只需选择他们的饭菜,看着摄像头就可以走了,这使得午餐服务更快,同时消除了在销售点的任何接触,"学校发给家长的传单上写道。一份常见问题解答说,儿童的生物识别数据是以加密形式存储的,并在儿童离开学校时删除。不过,家长可以选择让孩子使用该技术,也可以使用密码来验证付款。


负责安装该技术的公司CRB Cunninghams的总经理大卫-斯旺斯顿告诉《金融时报》,面部识别将每个学生的付款时间平均缩短到5秒。斯旺斯顿说,该系统的试点已于2020年开始,还有65所学校已签约引进该技术。


据英国《金融时报》报道,北艾尔郡议会声称,97%的儿童或家长都同意加入。但一些家长表示,他们不确定孩子们是否完全理解他们所签署的内容,并受到同伴压力的影响。


Screen_Shot_2021_10_18_at_9.49.02_AM.png

在报名前,学校向家长分发了一份解释该技术的传单


各种类型的面部识别系统在世界各地越来越普遍。美国的学校多年来一直在安装这种系统,不过通常是作为一种安全措施。上周,莫斯科在其地铁系统中引入了面部识别支付,活动人士警告说,该技术可能被用来追踪和识别抗议者。美国的多个州和城市已经禁止面部识别,认为该技术经常在种族或性别方面存在偏见。在欧盟,政治家和宣传团体也在呼吁禁止这项技术,认为引进这项技术的弊端超过了潜在的好处。


英国运动团体Big Brother Watch的Silkie Carlo告诉《金融时报》,北艾尔郡学校的计划是不必要的。卡洛说:"这是将生物识别身份检查常态化,以用于一些平凡的事情。你不需要借助机场式的[技术]来让孩子们获得他们的午餐。"

【阅读原文】



3、Tor 网站被劫持,REvil勒索软件再次关闭


在一个不明身份的人劫持了他们的Tor支付门户网站和数据泄露博客后,REvil勒索软件可能再次关闭。


17日早些时候, Tor网站下线了,一名与REvil勒索软件有关的威胁行为者在XSS黑客论坛上发帖称有人劫持了REvil团伙的域名。


这个帖子最先是被Recorded Future的Dmitry Smilyanets发现的,并声称一个未知的人劫持了Tor隐藏服务(洋葱域),他们使用的私钥与REvil的Tor网站相同,并且很可能有这些网站的备份。


“今天莫斯科时间中午12点10分,有人使用与我们相同的密钥,打开了隐藏的着陆服务和一个博客,我的担心得到了证实——第三方有洋葱服务密钥备份。一个名为“0_neday”的威胁行为者在黑客论坛上发帖。


此人还说,他们没有发现他们的服务器受到威胁的迹象,但仍将关闭操作。


然后,此人让组织通过Tox联系他,获取活动解密密钥,可能是为了让组织继续勒索受害者,并继续沿用赎金换取解密器的模式。


2

XSS论坛话题:关于REvil网站被劫持


要启动Tor隐藏服务(一个洋葱域),需要生成一个私有和公共密钥对,用于初始化服务。


私钥必须是安全的,并且只有受信任的管理员可以访问,因为任何访问此私钥的人都可以使用它在自己的服务器上启动相同的洋葱服务。


由于第三方能够劫持域名,这意味着他们也可以访问隐藏服务的私钥。


17日晚上,0_neday再次发布了黑客论坛的话题,但这次说他们的服务器被入侵了,做这件事的人的目标是REvil组织。


3

论坛上的帖子说REvil服务器遭到破坏


目前还不知道是谁泄露了他们的服务器。


由于Bitdefender和执法部门获得了REvil主解密密钥的访问权,并发布了一个免费的解密器,一些威胁行为者认为,自从这些服务器重新启动以来,FBI或其他执法部门已经可以访问这些服务器。


由于没有人知道Unknown(REvil公开代表)身上发生了什么,有可能是威胁行为者试图重新控制操作。


在REvil通过Kaseya MSP平台上的一个零日漏洞对企业进行大规模攻击后,REvil的业务突然关闭,其面向公众的代表Unknown也消失了。


之后,Unknown没有再次出现,其余的REvil运营商使用备份在9月再次启动了该操作和网站。


从那时起,勒索软件就一直在努力招募用户,甚至将附属公司的佣金提高到90%,以吸引其他威胁行为者与他们合作。


由于这次最新的不幸事件,该论坛的运作可能会永远消失。


然而,对于勒索软件而言,它可能并不会如人们所愿,我们可能很快就会看到它们套上新马甲再次登场。

【阅读原文】



2021年10月18日 星期一

今日资讯速览:

1、宏碁服务器再次被窃 超 60GB 用户数据或被出售


2、工信部:App开屏弹窗关不掉已基本清零


3、美国财政部报告:2021年勒索事件支付赎金将近6亿美元 超过去年全年



1、宏碁服务器再次被窃 超 60GB 用户数据或被出售


宏碁服务器数据再次被窃,该公司数百万客户和客户的数据目前被扣押。超过 60GB 的委托人、客户和零售商的信息现在掌握在黑客手中,他们正在寻找买家出售这些数据。 此次泄密主要影响印度的客户,这是宏碁在过去七个月里遭遇的第二次黑客攻击。前一次是在 3 月份,据 REvil 黑客组织声称,那次攻击涉及创纪录的 5,000 万美元赎金。



在 Desorden 团体被发现在一个在线论坛上吹牛后,这次攻击被认为是该组织所为,之后他们甚至发布了一段展示被盗文件和数据库的视频,并免费发布了 1 万名客户的样本数据,以证明其没有说谎。


在与几家受影响方的谈话中 ,Privacy Affairs 证实,大部分被盗数据是准确的。这让宏碁及其客户处于非常不利的地位。


宏碁告诉 BleepingComputer:“ 我们最近在印度发现了针对我们当地售后服务系统的独立攻击。发现后,我们立即启动了安全协议,对我们的系统进行了全面扫描。我们正在通知所有可能受到影响的印度客户。”


上次发生这样的漏洞时,宏碁拒绝支付赎金,这可能就是为什么攻击者选择出售数据,而不是试图让宏碁交赎金的原因。


不管怎样,尽管攻击发生后宏碁似乎正朝着正确的方向采取措施,但该公司不太可能取回被盗数据。

【阅读原文】



2、工信部:App开屏弹窗关不掉已基本清零


近日,工信部部部长肖亚庆接受媒体采访,畅谈了反垄断和反不正当竞争方面的一些热点话题,包括工信部采取的具体举措,取得的实际成效。


为促进形成公平竞争的市场环境,工信部主要采取了三个方面的措施,一是依法加强电信和互联网市场监管,二是切实保障中小企业公平参与竞争,三是扎实抓好政策公平竞争审查。


今年7月,工信部启动了为期半年的互联网行业专项整治行动,聚焦扰乱竞争秩序、侵害用户权益、威胁数据安全、违反资质和资源管理规定等四个方面8类问题,涉及22个典型违规场景。


工信部采取技术手段,开展在线巡查,及时检测、核查进展情况,推动逐项整改到位,一些突出问题得到初步解决。


比如,各主要互联网企业开屏弹窗信息“关不掉”问题的发现率,由原来的69%降到基本清零,“乱跳转”则由90%下降至1%,另外即时通信企业的一些屏蔽行为得到纠正(比如微信无法直接打开某些外链),用户体验逐步改善。


肖亚庆表示,下一步将继续深入推进互联网行业专项整治行动,压实企业主体责任,加强监督检查,完善协调机制,抓住难点问题,进一步加大工作力度,努力营造公平竞争、安全有序的互联网市场环境。


另外,自2020年以来,工信部累计检测183万款App,责令4200款违规App进行了整改,并依法查处违法违规网站和App 7.3万个,公示不良名单企业5.19万家次。

【阅读原文】



3、美国财政部报告:2021年勒索事件支付赎金将近6亿美元 超过去年全年


根据美国财政部公布的最新报告,2021 年上半年勒索事件支付的赎金总额将近 6 亿美元,轻松超过了 2020 年全年的总额。该报告由财政部金融犯罪执法网络周五发布,重点提及了今年发生了几起高调的勒索软件攻击事件,包括 Colonial Pipeline 和肉类加工厂 JBS USA Holdings。

两家公司都支付了数百万美元的赎金,但攻击仍然造成了暂时的破坏,由于公司失去了对其供应的控制,推高了汽油和肉类的价格。


根据周五的报告,该报告基于银行和其他金融机构提交的可疑活动报告的数据,1 月至 6 月期间报告的疑似勒索软件付款总额为 5.9 亿美元。相比之下,2020 年全年报告的疑似付款价值共计 4.16 亿美元。


财政部表示,这一增长可能反映了与勒索软件有关的攻击的大幅增加,以及金融机构对这些攻击的检测和报告的改进。它指出,与 2020 年整个日历年相比,与勒索软件相关的可疑活动报告的数量也上升了 30%,达到 635 份。


如果这些报告趋势继续下去,财政部表示,它预计 2021 年可疑的勒索软件付款总额将超过前 10 年的总和。

【阅读原文】



2021年10月15日 星期五

今日资讯速览:

1、Win11 安卓子系统样式曝光:微信完美运行,支持多窗口,集成通知中心


2、AMD用户请稍等!Windows 11兼容性问题导致的性能下降即将修复


3、黑客滥用苹果公司企业应用程序 盗取140万美元的加密货币



1、Win11 安卓子系统样式曝光:微信完美运行,支持多窗口,集成通知中心


IT之家 10 月 15 日消息,集成 AOSP 运行环境的 Windows Subsystem for Android(简称:WSA)此前已经出现在了 Windows 11 的微软商店中,不过这只是一个空壳子,安卓 App 支持暂未实装。


微软已经表示,Windows 11 将在未来几个月内添加对安卓应用的支持,预览通道的测试人员可抢先体验。


IT之家获悉,微软与英特尔合作,创建了一个 Windows 11 安卓模拟系统,即所谓的 Windows 安卓子系统。


对于性能方面,此前的一项跑分表明, Windows 安卓子系统可比肩三星 S20 的性能,当然最终要看 Windows 11 PC 的具体配置和转译效率而定。


近期,B站用户 @makazeu 展示了 Windows 安卓子系统的一些运行情况,相对更加重视多任务处理和生产力。例如可流畅运行微信等 App。


从图中可以看到,微信 App 可实现多窗口运行,与 Chrome 等程序并排运行,还集成到了 Windows 11 通知中心,安卓 App 也支持常驻后台以及调用摄像头,因此也可以实现扫码等操作。

▲ 在 Windows 11 上运行的微信和微信小程序


Image

▲ Windows 11 上的哔哩哔哩


据称,Win11 安卓 App 支持英特尔、AMD 和高通芯片,预计将在几个大版本之后正式到来,届时(上架微软应用商店)所有用户可尝试安装,但公测时是否仅限 Dev 通道未知。


此外,Windows 11 的 Android 应用程序基于安卓 11 的 AOSP,运行方式类似于 Windows 应用程序,允许用户将它们固定到任务栏、调整窗口大小等。

他还展示了通过 WSA 工具箱(自行开发)进行统一管理的方式,从图来看会支持侧载 App 和进程管理,类似于常见的安卓模拟器。

ImageImageImageImage


下面是 Windows 安卓子系统应用在 Windows 11 通知中心的样子,已经做好了无缝集成。

Image


此外,安卓子系统完全可发挥出英特尔 i7-10900X 的性能,无论是 X64 还是 ARMV8 都可以完美运行。

Image


IT之家曾报道,该网友还展示了 Windows 11 安卓子系统上运行王者荣耀的样子,同样可以窗口模式运行,大小可以调节,并且显示在任务栏中,支持任务栏小窗预览。


据称,Windows 安卓子系统在 AMD Ryzen 7 4800H 上可良好运行,转译后 CPU 跑分超过传说中的骁龙 895。其进程显示为 VmmemWSA,测试时可完全利用 CPU,但目前 GPU 调用还不太完善。


值得一提的是,Windows 安卓子系统推荐电脑配备 16GB 的内存以获得良好的性能,最低需要 8GB 内存。

Image

【阅读原文】



2、AMD用户请稍等!Windows 11兼容性问题导致的性能下降即将修复


早前AMD发布官方公告称,由于存在兼容性问题因此当AMD设备安装Windows 11后L3缓存会出现明显的延迟,该延迟直接导致系统性能出现比较明显的下滑,尤其是对游戏用户来说潜在影响可能更严重。另外还有个兼容性问题导致Windows 11无法选择处理器最优核心导致无法发挥处理器最佳性能,这两个问题都是独立的因此需要分别进行修复,目前AMD已经发布声明表示即将与合作伙伴联手解决此问题。


L3缓存问题将于下周修复:

L3是CPU的缓存单元为CPU提供更快、延迟更低的数据读写服务,但兼容性错误导致L3缓存延迟增加,这导致某些应用程序访问内存子系统时出现比较明显的延迟,这对网络游戏来说可能会造成比较严重的性能下滑。


测试表明普通程序性能可能会下降3%~5%也就是影响相对来说较低,但部分游戏的性能最高可能会出现15%的下降。AMD表示将于当地时间10月19日提供L3缓存兼容性的修复补丁,届时会直接通过Windows Update向用户提供不需要用户手动执行任何操作。


UEFI CPPC2调度问题将于10月21日修复:

第二个问题是UEFI CPPC2首选核心的问题,理论上说系统应该调用性能最佳的核心进行计算,但兼容性错误导致Windows 11无法正确选择最佳核心,这导致AMD处理器无法发挥最佳性能。


AMD表示目前针对UEFI CPPC2首选核心的问题已经进行修复,相关配置文件完成打包正在发布,如果用户着急的话可以在AMD官网下载包含新配置文件的驱动程序,但建议用户等待AMD进行推送正式版。


因此到当地时间10月21日AMD CPU的这两个兼容性问题都会被解决,因为性能问题尚未升级Windows 11或升级后已经退回的用户,可以在问题修复后升级Windows 11。

【阅读原文】



3、黑客滥用苹果公司企业应用程序 盗取140万美元的加密货币


一个流传了6个月的骗局已经发展到影响iOS用户。黑客利用社交媒体、约会应用程序、加密货币和滥用苹果公司企业开发者计划,从毫无戒心的受害者那里盗取了至少140万美元。


名为CryptoRom欺诈的实施相当直接,在通过社交媒体或现有数据应用程序获得受害者的信任后,用户被愚弄安装一个修改版的加密货币交易所,诱使其投资,然后被骗走现金。


在通过约会应用程序获得受害者的信任后,骗子开始讨论加密货币投资问题。然后,他们被引导到一个看起来像苹果应用商店的网站,然后被告知下载一个移动设备管理程序,让他们控制一些功能,并能够使用由骗子制作的签名应用程序。


在回到假的App Store网页后,毫无戒心的用户会被提示下载一个通过苹果企业配置或超级签名分发方式,用与移动设备管理配置文件证书签名相关的应用程序。该应用程序是Bitfinex加密货币交易应用程序的一个假版本。


然后,受害者被说服向一种加密货币进行小额投资作为概念证明,并被允许提取利润。当进行更多的存款之后,受害者发现无法提现,并被攻击者告知,要么就把钱拿给自己,要么就必须进行更多的投资,或者必须交税才能把钱取出来。


来自Sophos的一份报告详细说明了资金损失的数量。具体来说,一名受害者损失了约87000美元,其他报告发现损失45000美元和25000美元。研究人员发现,有一个比特币地址被转入了不到140万美元。鉴于该欺诈计划可能有多个地址在使用,受害者损失金钱的数字可能更高。

【阅读原文】



2021年10月14日 星期四

今日资讯速览:

1、微软称其抵挡了有史以来最大的DDoS攻击 带宽负载高达2.4Tbps


2、荷兰警方向 DDoS booter 用户发出最后通牒


3、微软安全报告称美国多家国防公司被盯上 攻击者疑似来自伊朗



1、微软称其抵挡了有史以来最大的DDoS攻击 带宽负载高达2.4Tbps


微软披露其已经缓解了一场发生于8月份的2.4Tbps分布式拒绝服务(DDoS)攻击。这次攻击针对欧洲的一个Azure客户,比微软在2020年记录的最高攻击带宽量高出140%。它也超过了之前最大的攻击2.3Tbps的峰值流量,这是在去年针对亚马逊网络服务的攻击。


微软表示,这次攻击持续了10多分钟,短暂的流量爆发峰值为2.4Tbps,随后下降到0.55Tbps,最后回升到1.7Tbps。DDoS攻击通常用于迫使网站或服务脱机,这要归功于网络主机无法处理的大量流量。它们通常是通过僵尸网络进行的,僵尸网络是一个使用恶意软件或恶意软件进行远程控制的机器网络,Azure能够在整个攻击过程中保持在线,这要归功于它吸收数十Tbit DDoS流量攻击的能力。


"攻击流量来自大约7万个来源,包含来自亚太地区的多个国家,如马来西亚、越南、日本等国家以及美国本土,"微软Azure网络团队的高级项目经理Amir Dahan解释说。


虽然2021年Azure上的DDoS攻击数量有所增加,但在8月最后一周的这次2.4Tbps攻击之前,最大攻击吞吐量已经下降到625Mbps。微软没有说出被攻击的欧洲Azure客户的名字,但这种攻击可以作为二次攻击的掩护,特别是在试图传播恶意软件和渗透到公司系统的过程中。


亚马逊网络服务(AWS)之前保持着最大的DDoS攻击防御的记录,也就是上面所说的2.3Tbps的尝试,超过了NetScout Arbor在2018年3月保持的1.7Tbps的前记录。

【阅读原文】



2、荷兰警方向 DDoS booter 用户发出最后通牒


荷兰当局向一家DDoS网站的十多名客户发出了最后通牒,通知他们,如果继续网络攻击将被起诉。


荷兰警方的信件旨在减少网络犯罪,并引导罪犯采用合法手段来提高他们的技能。


周一,29名荷兰公民收到了警方的信件,并得知他们的犯罪活动已经被记录,未来的犯罪行为可能会被定罪。


“我们已经在我们的系统中标记了你,现在你将收到最后的警告。如果以后再出现类似情况,我们将予以起诉。在这种情况下,你不仅要考虑你的设备没收,还要考虑可能的定罪、犯罪记录”——荷兰警方


上述所有人都是minesearch.rip的使用者,minesearch.rip这个所谓的booter网站可以帮助用户对他们选择的目标发起DDoS攻击。


警方是在2020年开始调查该网站后得知他们的活动,此前,一个游戏服务器遭到了DDoS攻击,该攻击正是通过minsearch .rip网站进行的。


该服务被用于对私营和公共部门的数十个目标发起了DDoS攻击。


该网站现已关闭,调查仍在进行中。


去年7月30日,荷兰警方搜查了涉嫌参与该网站的两名19岁青年的家。三个月前,警方在一周内关停了15个booter网站。


周一寄出的29封信件不具备任何法律效应,而是作为对收信人的最后警告。警方的这一举措旨在纠正这些罪犯,引导他们选择合法途径,多多锻炼IT技能来提高知识水平,减少参与违法行为而引火烧身。


无论是电脑黑客,视频游戏,还是网络犯罪,荷兰警方提供了多种测试程序,让年轻人可以找到挑战,引导他们远离非法活动。


三年前,由荷兰和英国警方发起的Hack_Right项目开始在被判有网络犯罪行为的年轻人中进行实验,目的是改变他们的生活,坚守法律正确。


在英国,英国国家犯罪局(National Crime Agency)负责协调Cyber Choices项目,该项目旨在“帮助人们做出明智的选择,并以合法的方式使用他们的网络技能。”


今年早些时候,为了阻止人们选择从事网络犯罪,荷兰警方开始在俄语和英语的黑客论坛上发布警告,称他们“将不遗余力地追踪那些网络犯罪者。”

【阅读原文】



3、微软安全报告称美国多家国防公司被盯上 攻击者疑似来自伊朗


数日前,微软发布了年度《Digital Defense Report》,指出对政府最大的数字威胁主要来自俄罗斯、朝鲜、伊朗等国家。今天,这家科技巨头再次发布了一份咨询报告,称多家参与国防的美国公司正被一个与伊朗有关的威胁行为者盯上。


微软发现的最新恶意活动集群目前被称为 DEV-0343。该公司将这一命名方式分配给一个发展中的集群,其身份尚未得到确认。一旦对他们的身份达到足够高的信任度,这个 ID 就会被改变为一个被命名的威胁行为者的 ID。


截至目前,DEV-0343 的目标似乎是美国和以色列的国防公司、在中东有业务的全球海上运输公司以及波斯湾的入境港口。它的攻击方法包括对 Office 365 订阅用户进行密码喷洒(Password Spraying),这显然意味着具有多因素认证(MFA)的账户对它有弹性。微软表示,超过 250 个订阅用户成为攻击目标,但只有不到 20 个租户被成功入侵。目前受影响的客户已经被告知。


微软将这一活动与伊朗联系起来的一些理由如下。


根据生活模式分析,这一活动可能支持伊朗伊斯兰共和国的国家利益,与伊朗行为者在地理和部门目标上的广泛交叉,以及与源自伊朗的另一行为者在技术和目标上的一致性。


微软公司评估说,这种目标定位支持伊朗政府跟踪对手的安全服务和中东地区的海上航运,以加强他们的应急计划。获得商业卫星图像和专有的航运计划和日志可以帮助伊朗弥补其发展中的卫星计划。


鉴于伊朗过去对航运和海上目标的网络和军事攻击,微软认为这一活动增加了这些行业的公司的风险,微软鼓励这些行业和地理区域的客户审查本博客中分享的信息,以防御这一威胁。


微软强调,DEV-0343 已经继续发展,并使用 Tor IP 地址来隐藏其运营基础设施。微软建议企业注意在 UTC 时间 4:00:00 至 11:00:00 之间来自模拟 Firefox 或 Chrome 浏览器的 Tor IPs 的大量入站流量,列举 Exchange ActiveSync 或 Autodiscover 端点,使用后者来验证账户和密码,以及利用密码喷雾工具,如 o365spray。


微软建议客户也使用 MFA 和无密码解决方案,如Microsoft Authenticator,审查Exchange Online访问策略,并尽可能阻止来自匿名服务的流量。该公司还为Microsoft 365 Defender和Azure Sentinel列出了一些狩猎查询,客户可以利用它们来检测恶意活动。

【阅读原文】



2021年10月13日 星期三

今日资讯速览:

1、DEV-0343 APT 瞄准美国和以色列的国防技术公司


2、太平洋城市银行遭遇勒索软件 AvosLocker 攻击


3、微软 Win11 任务管理器重磅改进 Edge 浏览器进程显示方式:资源占用一目了然



1、DEV-0343 APT 瞄准美国和以色列的国防技术公司


微软威胁情报中心(MSTIC)和微软数字安全部门(DSU)的研究人员发现了一个恶意活动群体,跟踪为DEV-0343,它的目标是美国和以色列国防技术公司的Office 365租户。


攻击者针对目标组织发起了大规模的密码喷洒攻击,这一恶意活动于2021年7月首次被发现。


“DEV-0343是微软威胁情报中心(MSTIC)于2021年7月下旬首次观察并开始跟踪的一个新的活动群体。MSTIC观察到DEV-0343对250多家Office 365租户进行了大量的密码喷洒攻击,重点是美国和以色列的国防技术公司、波斯湾的入境港口,或在中东有业务存在的全球海运公司。”“虽然只有不到20家目标租户被成功攻击,但DEV-0343在继续改进他们的攻击技术。”微软发布的这篇帖子写道。


微软补充说,对于启用了多因素身份验证(MFA)的Office 365账户的密码喷洒攻击并未生效。


DEV-0343主要针对防务公司,这些公司支持美国、欧盟和以色列政府合作伙伴并产出军用雷达、无人机技术、卫星系统和应急响应通信系统。


微软研究人员表示,这一活动与德黑兰的利益一致,而且其ttp与另一个与伊朗有关的攻击者的类似。


“进一步的活动目标包括地理信息系统(GIS)、空间分析、波斯湾的区域入境港口以及几家专注于中东业务的海运和货物运输公司。”报告补充道。


研究人员推测,攻击者的目的是获取商业卫星图像和专有航运计划和日志,这些信息可以让伊朗政府补充其正在发展的卫星计划。


DEV-0343背后的威胁行动者利用一系列精心设计的Tor IP地址来混淆他们的基础设施。


“DEV-0343模拟火狐浏览器,使用托管在Tor代理网络上的IP进行大量的密码喷洒攻击。他们最活跃的时间是周日和周四,伊朗时间早上7:30到晚上8:30 (UTC 04:00:00和17:00:00),在伊朗时间早上7:30之前和晚上8:30之后活动显著减少。它们通常针对组织内的数十到数百个账户(取决于规模),并对每个账户进行数十到数千次的枚举。平均而言,针对每个组织的攻击使用了150到1000多个唯一的Tor代理IP地址。”报告继续说道。“DEV-0343执行者通常针对两个Exchange端点——Autodiscover和ActiveSync——作为他们使用的枚举/密码喷洒工具的功能。这方便了DEV-0343验证活跃账户和密码,并进一步完善他们的密码喷洒攻击行为。”


微软已经直接通知了那些被攻击的客户,并向他们提供了他们需要的信息来保护他们的账户。


微软建议企业在日志和网络活动中观察是否存在以下迹象,以确定他们的基础设施是否受到了威胁者的攻击:


大量来自Tor IP地址的密码攻击流量

在密码喷洒活动中模仿FireFox(最常见)或Chrome浏览器

Exchange ActiveSync(最常见)或自动发现端点的枚举

类似于’ o365spray ‘工具的枚举/密码喷洒工具的使用

使用自动发现来验证帐户和密码

观察到密码喷洒攻击通常在UTC 04:00:00和11:00:00之间达到高峰

【阅读原文】



2、太平洋城市银行遭遇勒索软件 AvosLocker 攻击


上个月,美国主要韩裔美国人社区金融服务提供商之一的太平洋城市银行(Pacific City Bank,PCB)遇到了勒索软件攻击事件。

该银行向其客户发送信函,告知他们2021年8月30日发现的一个安全问题,并称这个问题已经解决。


2021年9月7日,PCB完成了对此事件的内部调查,发现勒索软件犯罪者从其系统中获得了以下数据:

  • 贷款申请表格
  • W-2客户公司信息
  • 工资及税务详情
  • 客户公司的工资记录
  • 报税文件
  • 客户姓名、地址、社会保险号码

PCB尚不清楚这一事件是否影响了银行的整体客户或仅仅是一小部分客户。同时,PCB表示,客户受到的影响程度并不相同,但或多或少地遭到了数据泄露。

对于收到通知邮件的客户,银行提醒他们对未经请求的邮件保持警惕,并密切关注其银行账户和信用报告是否存在欺诈迹象。


此外,该银行还通过Equifax提供为期一年的免费信用监控和身份盗窃保护服务,并在信函中提供注册引导信息。


虽然PCB没有说出对9月事件的勒索软件组织的名字,但AvosLocker却直接自报家门,并在其数据泄露网站上发布了一条记录。


这次袭击计划在2021年9月4日进行,因此五天的间隔可能只是第一轮谈判回合的“宽限期”,在此阶段勒索犯通常避免公开声明。


这份文件最终被上传到勒索门户网站。


AvosLocker是一个较新的勒索软件组织,今年夏天公开露面,号召各种地下论坛的分支机构加入RaaS。


该团伙使用多线程勒索软件,使他们能够在攻击者手动部署有效负载的同时快速加密数据。虽然AvosLocker有一些文本和API混淆处理用以避免静态检测,但它大部分是“裸的”,并没有加密层。

【阅读原文】



3、微软 Win11 任务管理器重磅改进 Edge 浏览器进程显示方式:资源占用一目了然

IT之家 10 月 13 日消息,今天微软官方宣布了一项 Windows 11 任务管理器关于 Edge 浏览器进程的显示方式改进。微软表示,Edge 性能至关重要,这使它成为追求的核心。微软在继续改进 Microsoft Edge 的过程中始终牢记性能为先,但也在努力帮助用户了解 Microsoft Edge 是如何利用你设备上的资源来提供快速、高效的网络浏览的。

假如,有一天你正在浏览互联网,突然你的电脑开始变慢,风扇转起,电脑变热。你不确定是什么导致了这个问题,所以你打开 Windows 任务管理器,试图诊断这个问题。当你打开 Windows 任务管理器时,你很难理解是什么在占用浏览器资源,所以你只能随机关闭标签,希望它能解决性能问题。


微软希望大家在使用 Edge 时为用户改善这种体验。考虑到这一点,微软已经对 Microsoft Edge 在 Windows 任务管理器中的表现方式进行了改进。这些变化现在可以提供给自行托管 Windows 11 的内测人员,并且已经在 Edge 94 稳定版中实现。微软进行这些改进的目的是让用户更好地了解资源去向,并在遇到性能问题时帮助做出明智的决定。


Windows 任务管理器对 Microsoft Edge 的改进


目前,当你打开 Windows 任务管理器并在进程标签上展开 Microsoft Edge 时,你会看到一个名为 Microsoft Edge 的进程列表。比如展开“Microsoft Edge”条目,显示有 11 个进程都是“Microsoft Edge”。

IT之家获悉,随着 Windows 任务管理器的最新改进,你现在将看到 Microsoft Edge 进程的详细视图。如果你不熟悉 Microsoft Edge 的多进程架构,你可以在这里找到更容易理解的解释。在这篇博文中,你将了解为什么 Microsoft Edge 有多个进程在运行,每个进程的目的是什么,以及多进程架构的好处。


下面是微软 Edge 在 Windows 任务管理器中的表现,有了最新的改进。显示 Microsoft Edge 的任务管理器扩展到列出各种进程和子进程,每个进程都有独特的名称和图标,如“GPU 进程”、“扩展”等。

微软公布的 Edge 进程显示方式的改进内容

  • 对于浏览器进程、GPU 进程和 Crashpad 进程,你将看到带有描述性名称和图标的进程类型(如“Browser”、“GPU Process”或“Crashpad”。

  • 对于组件程序、插件和扩展进程,你将看到进程类型和服务、插件或扩展的名称。

  • 对于渲染器进程:

对于标签,你将看到“tab”一词,以及网站名称和图标(注意:对于 InPrivate 标签,网站名称将被删除,图标将更新为默认的标签图标)。

对于子框架(通常用于广告),你将看到“subframe”这个词,后面是 subframe 的 URL。

  • 所有专门的 workers 和服务 workers 将被列出。

在 Windows 任务管理器中 Microsoft Edge 下的行并不总是一个单独的进程。有些进程包含多个项目,在 Windows 任务管理器中会用多行表示。

有多种方法可以区分哪些项目在自己的进程中,哪些项目共享一个进程。


识别一个进程中的单个项目


对应于单个进程的项目,其图标旁边没有箭头。

当点击时,只有一行被突出显示。

每一行都会有自己的资源使用情况。

当点击“结束任务”时,单一的高亮行将被关闭。


识别共享一个进程的多个项目


图标旁边的一个箭头表示该项目与其他项目共享一个进程。在标题的末尾,括号里还会有一个数字,表示有多少其他项目共享该进程。箭头可以被点击来展开该进程。


当进程被折叠时,箭头指向右边,你将只看到进程中的一个项目。

当进程被展开时,箭头指向下方,你将看到与该项目共享一个进程的所有项目(一旦点击箭头就会显示的项目,其旁边不会有图标)。

当点击并且进程被折叠时,只有一行被突出显示。

当点击并且进程被展开时,所有共享一个进程的项目被高亮显示。

由于多个项目共享一个进程,旁边有箭头的项目将向你显示该进程的总资源使用量。当展开时,其余行的资源使用量将保持空白。

当点击“结束任务”时,一个进程被展开时,所有突出显示的行将被关闭。你只能关闭进程,而不是 Windows 任务管理器中的单个项目。


结束任务


当结束任务时,根据你要结束的进程,你会看到不同的行为。下面是可能看到的几个例子。

  • 浏览器进程:与该 Microsoft Edge 实例相关的所有进程将被关闭。

  • GPU 进程,组件进程:进程将关闭并重新启动。当进程关闭时,你可能会看到你的 Microsoft Edge 窗口有短暂的变化。例如,当 GPU 进程关闭时,你的 Microsoft Edge 窗口将短暂变黑,一旦进程重新启动,将恢复正常;当音频组件程序进程关闭时,如果你正在听音乐,音频将短暂停止,一旦进程重新启动,将恢复正常。

  • 渲染器进程:进程将关闭。如果该进程包含标签,该进程中的所有标签将被替换成一个错误页面,说“这个页面有问题”。如果该进程包含子框架,可见的子框架将被一个崩溃的标签图标所取代。对于不可见的子框架,你可能不会看到有什么不同,但页面可能会受到某种影响。

  • 扩展和插件进程:在你的屏幕右下角会出现一个气球,说扩展或插件已经崩溃,并会问你是否愿意重新加载扩展或插件。

  • Crashpad 进程:进程将关闭。Microsoft Edge 中的崩溃可能会通过其他方式报告。

  • 专门 workers/服务 workers:标签的功能可能会中断。

对浏览器任务管理器的改进


如果你熟悉 Microsoft Edge 中的任务管理器,可以在 Microsoft Edge 中按 Shift+Esc 打开,或者到浏览器的顶端选择设置和更多(...)> 更多工具 > 浏览器任务管理器,你会看到对 Windows 任务管理器的改进看起来很相似。微软希望在 Windows 任务管理器中提供与浏览器任务管理器相同的细节,以帮助你更好地了解资源去向,并在你遇到性能问题时帮助你做出明智的决定。


需要注意的一点是,Windows 任务管理器显示的内存值与浏览器任务管理器不同。

【阅读原文】



2021年10月12日 星期二

今日资讯速览:

1、美敦力公司召回部分胰岛素泵控制器,以应对网络攻击风险


2、指挥着10万多台僵尸机器人网络的黑客被乌克兰警方抓获


3、“聊啥来啥”用户感觉被“窃听” 个人信息安全如何保护?



1、美敦力公司召回部分胰岛素泵控制器,以应对网络攻击风险


医疗设备制造商美敦力公司(Medtronic)已召回其部分胰岛素泵使用的遥控器,因为这些遥控器存在严重的漏洞,可能导致患者受伤或死亡。

攻击者可以利用漏洞来改变胰岛素泵提供给病人的剂量。


“MiniMed™远程控制器使用无线射频(RF)与胰岛素泵通信,可以在不按任何胰岛素泵按钮的情况下将一定量的胰岛素放入美敦力泵。”医疗设备供应商在发布紧急医疗设备召回通知时这样说。


“2018年5月,一名外部网络安全研究员发现了一个潜在风险,该风险与MiniMed™Paradigm™系列胰岛素泵和相应的远程控制器相关。研究人员的报告指出,如果未经授权的个人距离胰岛素泵用户较近,可以从用户的远程控制器复制无线射频信号(例如,在用户远程传送药丸的过程中),之后该个人可能会额外传送一个胰岛素泵药丸。这可能会引起潜在的健康风险,比如,如果额外的胰岛素摄入量超过了用户的胰岛素需求,就会导致低血糖,而如果胰岛素摄入量不足,就会导致高血糖。”


该公司指出,到目前为止,还没有收到任何因该问题造成的伤亡报告。


2018年8月,该公司首次向一些用户传达了召回信息,建议在不使用远程药丸传送功能时禁用该功能,防止在使用可选的远程控制器时受到网络攻击。

该公司召回MiniMed 508和Paradigm系列胰岛素泵远程控制MMT-500和MMT-503型号产品,受影响的设备占市场上胰岛素泵的60%。还好现在这两个设备都不再由供应商生产。


美国食品和药物管理局(FDA)也发布一级召回的警告。根据FDA的数据,美国召回的设备数量为31,310台。


“未经授权的人(病人、病人护理人员或医疗保健提供商以外的其他人)可能会记录和重启遥控器和MiniMed胰岛素泵之间的无线通信。这些人在专业设备帮助下,可以操控胰岛素泵向患者过量输送胰岛素,导致低血糖,或停止输送胰岛素,导致高血糖和糖尿病酮症酸中毒,甚至死亡。”FDA提醒道。“如果你从未将远程控制器ID存到设备中,那么你就不会受到这个漏洞的影响。”

【阅读原文】



2、指挥着10万多台僵尸机器人网络的黑客被乌克兰警方抓获


乌克兰安全局(SBU)已经逮捕了一名黑客,他开发和利用了一个由超过10万个机器人组成的僵尸网络。该罪犯是一名居住在乌克兰伊万诺·弗兰科夫斯克的普里卡尔帕蒂亚地区的居民。这个庞大的机器人大军被用来触发分布式拒绝服务(DDoS)攻击或用于发送垃圾邮件。


除此以外,他还被用来通过暴力手段来窃取用户凭证,如密码,测试各种网站的弱点,为将来的网络攻击做准备,罪犯通过在线论坛和Telegram销售和接收此类攻击的命令。


SBU利用他在俄罗斯数字支付服务WebMoney上注册的账户追踪到他,这名黑客不慎在那里提供了他的真实地址。


根据《乌克兰刑法典》,该罪犯将根据"第361-1条第2部分(以创作为目的)、361-1条(为使用、分发或销售恶意软件或硬件的目的而创造,以及分发或销售),以及363-1条(干扰工作)。363-1条(通过大量传播电信信息干扰电子计算机(电脑)、自动化系统、计算机网络或电信网络的工作)"被指控。

【阅读原文】



3、“聊啥来啥”用户感觉被“窃听” 个人信息安全如何保护?


很多人都有类似这样的经历:刚和朋友聊天提起某款商品,打开手机购物App后,首页随即出现同类产品的推送广告;刚和家人商量休假打算去某地旅游,某旅游App马上“奉上”该地最佳旅游攻略……李莹(化名)的手机上安装了许多生活服务类软件,每次安装新软件时,同意开麦克风权限只是为了使用语音搜索功能更加方便。


前几天,她和朋友聚会时偶然提起最近脱发特别严重,很苦恼,没想到晚上到家打开手机里的某款购物App,首页就出现了很多护发产品的推送广告,“真是无奈,这种‘怪事’已不止一次了。”


如今,这种“聊啥来啥”的现象让人们在接受“贴心”服务的同时越发感到疑惑:“怎么就这么准?难道是App在‘偷听’我们聊天?”2021年国家网络安全宣传周今天正式启动。个人信息保护再次成为群众关心的热点问题之一。


北京邮电大学计算机学院副教授程祥表示,“从技术层面来讲,只要App获得了访问麦克风的权限,它就可以在后台运行并监听用户语音信息,且在出现某些特定的关键词时,进行记录并上传至自己的服务器,服务器再根据关键词给用户推送相关内容。”但程祥认为这种方式对商家来说风险很大,一旦涉及违规使用用户信息,App开发商将承担严重的后果。

 

程祥分析,用户有这种“被偷听”的感觉,也可能是由于互联网公司通过收集用户位置信息,对用户进行“画像”造成的。即使用户本人没有搜索行为,App也有可能通过用户在平台里好友搜索的内容,关联至用户本人,从而向其推送广告;或者恰好在某段时间某一类商品特别受追捧,也会向用户推送相关广告。


无论是“偷听”还是基于大数据的“用户画像”,一些手机软件已经在不断触碰用户隐私保护的底线。


仅今年1-7月,工信部就先后公布了6批关于侵害用户权益行为的App名单。其中多涉及“私自收集个人信息”“超范围收集个人信息”“私自共享给第三方”“强制、频繁、过度索取权限”等过度收集个人信息的行为,个人信息安全严重受到威胁。


如何防止个人信息“裸奔”?技术与法律需共同发力。


在技术层面上,程祥建议,手机系统开发商应该为用户建立起防止隐私权限任意被使用的“第一道防火墙”。比如,开发友好的数据安全与隐私保护工具,让用户更加便捷地了解手机中各个App的行为以及权限使用情况并根据个人需要作出相应设置;在操作系统中新增“主动防御”功能,以监控并记录所有App的上传、下载、权限访问等行为,并对其进行分析,一旦发现可疑行为即弹窗提醒用户。


就App开发商而言,目前许多软件尤其是社交类App通常都会分析用户的“关注”“收藏”“评论”“转发”“点赞”“分享”等操作记录,用于提供个性化内容。但中青报·中青网记者在采访中发现,对个人隐私保护要求较高的用户其实并不希望自己在软件中的所有操作记录被App收集并利用,甚至有时对推送的广告并不感兴趣。


对此,程祥建议,除手机操作系统中已有的“电话”“位置信息”“通讯录”“麦克风”“相机”等隐私权限设置,“关注”“收藏”“评论”“转发”“点赞”“分享”等这些App里具体的功能,用户也应有自己的管理权限。App想获取用户的这类操作记录,也须征得用户同意。


近年来,我国针对个人隐私保护的法律法规不断完善,今年11月1日,个人信息保护法即将施行。西安交通大学法学院副教授王玥认为,个人信息保护法进一步细化和完善了不同类型的个人信息安全保护规范,将从源头上防止个人信息数据被过度收集和利用现象的发生。但完成立法只是第一步,接下来还要从具体事实和场景出发,制定配套法规等,才能将法规落到实处。


中国社会科学院法学研究所博士后徐玖玖建议,对于App过度收集和利用个人信息行为,用户可以收集和固定相关证据,向网信部门、市场监管部门或消费者权益保护协会进行投诉举报,涉及违法犯罪行为应向公安机关报警。此外,用户在安装和使用App时,应对其申请位置信息、摄像头、麦克风、通讯录、相机等权限谨慎开启,对于不需要的授权申请予以拒绝,以保护自身隐私信息安全。

【阅读原文】



2021年10月11日 星期一

今日资讯速览:

1、披露:SolarWinds黑客窃取了美国政府的绝密数据


2、新华社:我国网络安全工作取得进展,已对滴滴、货车帮、BOSS 直聘等启动网络安全审查


3、江苏省通管局通过网络连接排查挖矿地址4502个 日耗能26万度



1、披露:SolarWinds黑客窃取了美国政府的绝密数据


据相关人士透露,俄罗斯背景的黑客曾利用SolarWinds和Microsoft软件中存在的漏洞,对美国联邦政府部门发起攻击并获取大量信息。最新调查显示,窃取的信息包括反情报(反间谍)调查情况、针对俄罗斯个人的制裁政策以及美国官方对新冠肺炎疫情的反应等内容。


这批黑客去年年底曝光,美国官员自那之后就一直指责他们得到了俄罗斯联邦对外情报局(SVR)的支持,但并未公布其进行网络间谍活动的目的以及取得的结果。俄情报部门已坚决否认了美方指责。


鉴于涉及此案的部分公司不愿意公开所受损失,美国证监会已决定在更大范围内发起相关调查。


美国官员透露,此次黑客事件的隐秘性和精心度令人惊讶。据悉,黑客们首先攻破了SolarWinds公司的代码生产环境,该部门编写的软件被广泛应用于网络管理。另外,他们还利用微软公司Office 365软件用户身份认证方式中存在的漏洞,对没有使用SolarWinds软件的微软用户进行了攻击。


此前有报道称,黑客们甚至侵入了美国司法部的非保密网络,以及财政部、商务部和国土安全部的邮箱系统并读取了其中邮件,遭到入侵的联邦政府部门多达6家。他们还窃取了部分数字授权证书,可令计算机确认某些软件的运行得到了授权。另外,微软公司以及其他高科技公司的部分源代码也遭到泄露。


相关人员透露,此次黑客事件中最严重的损失,是针对俄罗斯的反情报活动被曝光。但美国司法部发言人对此未予置评。


一名白宫官员表示,拜登总统已签发命令,要求联邦政府部门采取措施提高网络安全水平。其中最需要提起注意的,是给工作设备安装多因素身份验证系统,同时施以更严密的监查与管理。


调查揭秘泄露过程

微软公司在周四发布的一份年度安全审查文件中表示,政府文件是俄罗斯间谍目前全力搜集的目标,内容通常涉及美国政府的制裁或其他与俄罗斯相关的政策,以及美国方面抓捕俄罗斯黑客的方式等等。


微软公司数字安全部门负责人克里斯汀・古德温(Cristin Goodwin)宣称,公司已对遭受网络入侵的用户和账户类型进行了分析。她对路透社记者表示,“我们可以借此了解黑客们的行动目标。”


参与调查的政府人员则宣称有更多发现,比如注意到俄罗斯人将“制裁”等用做搜索美国电子文件的关键词。


担任SolarWinds和其他几家公司顾问的前美国网络安全与基础设施安全局(CISA)负责人克里斯蒂・克里布斯(Chris Krebs)认为,微软与官方调查人员对黑客目标的描述“符合逻辑”。


“在这种环境下,如果我是威胁分子,我会制定一整套清晰的目标。首先我要拿到与政府决策有关的高价值资料,制裁政策就是不二选择,”克里布斯说。


他说,第二件要做的事是观察目标对攻击的反应,或称“事件应对反应”。“我想知道关于我他们都知道些什么,以便提高今后的黑客技巧,避免在入侵网络时被察觉。”

【阅读原文】



2、新华社:我国网络安全工作取得进展,已对滴滴、货车帮、BOSS 直聘等启动网络安全审查


IT之家 10 月 10 日消息 今日,新华社发文《共筑网络安全防线 —— 我国网络安全工作取得积极进展》,文章提到,没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。


随着数字化进程的加速推进,广大人民群众对网络安全、数据安全、个人信息安全的关注度与日俱增。


我国不断健全网络安全审查制度和云计算服务安全评估制度,开展多种专项治理行动全力维护人民群众在网络空间的合法权益。


我国已组织开展对关键信息基础设施采购网络产品和服务活动的网络安全审查,对滴滴、运满满、货车帮、BOSS 直聘等启动网络安全审查,有效防范采购活动、数据处理活动以及国外上市可能带来的国家安全风险。


IT之家了解到,新华社还称,在维护公民个人信息安全方面,2019 年以来,有关部门组织开展 App 违法违规收集使用个人信息专项治理,对问题较为严重的 1000 余款 App 进行公开曝光。今年,持续深入开展摄像头偷窥等黑产集中治理,下架违规产品 1600 余件,并对存在隐私视频信息泄露隐患的视频监控 App 厂商进行约谈。

【阅读原文】



3、江苏省通管局通过网络连接排查挖矿地址4502个 日耗能26万度


此前工业和信息化部、国家发改委以及公安部等发布通知称,加强虚拟货币挖矿活动相关上下游全产业链的监管。


通知要求严禁以数据中心名义开展虚拟货币挖矿活动,以数据中心和大数据名义进行挖矿此前在内蒙等地较流行。


今年夏季内蒙已经对这类虚拟货币挖矿活动进行清场,而在四川等地利用水利资源进行挖矿的矿场也全部被清退。


就目前来说以往分布在新疆、内蒙、四川等地的大型矿场基本已经消失,而在其他地方可能还有零星的个人挖矿。


挖矿自然也可以被监测到:

挖矿活动虽然最依赖的是硬件矿机和电力资源,不过在挖矿活动中也需要通过网络连接矿池因此也可以被监测到。


江苏省通信管理局日前将在江苏省内排查虚拟货币的挖矿行为,监测发现江苏省挖矿活动出口带宽136.77Mbps。


而参与挖矿活动的互联网IP地址总数为 4,502 个,消耗的算力资源约10PH/S,消耗的电力资源平均每天26万度。


江苏省通信管理局称接下来将持续开展虚拟货币挖矿态势分析,同时联合相关部门形成多维度多层次的处置体系。


此外江苏省通管局将依法处置相关网站和移动应用程序,配合做好违法虚拟货币交易的溯源工作并对进行打击等。


入侵党政机关挖矿是重点打击对象:

在前期国家部委层面清退矿场后,目前并没有省份通过网络流量来排查挖矿活动,毕竟这些都是零星的个人挖矿。


从江苏通管局公布的数据也可以看到这些应该不是大型矿场,例如每天耗电26万度地址4,502个平均每IP约60度。


但江苏通管局还提到排查的挖矿活动里有部分IP地址归属党政机关、高校和企业,这可能是被黑客入侵进行挖矿。


就IP占比来说,属于党政机关、高校和企业的占比21% , 入侵党政机关的计算机系统进行挖矿显然属于非法活动。


这类非法行为自然是需要进行溯源以及打击的,至于后续江苏省通管局是否会对个人挖矿进行打击目前还不清楚。

【阅读原文】



2021年10月9日 星期六

今日资讯速览:

1、美国驱逐舰Facebook账号被黑 黑客用其直播《帝国时代》


2、勒索病毒组织 FIN12 采用新模式进行网络攻击


3、美司法部:瞒报网络攻击或数据泄露事件的联邦承包商将被起诉



1、美国驱逐舰Facebook账号被黑 黑客用其直播《帝国时代》


近日,一位身份不明的黑客攻击了有美国海军维护的美国驱逐舰基德号官方Facebook账号,并用该账号直播了几个小时《帝国时代》的游玩过程,在整个过程中这名黑客发布了数条直播间的推送。

同时,该账号的粉丝也发现了账号的异常并询问这位直播者发生了什么状况,然而其并没有作答,在直播的过程中其大部分时间没有任何操作,致使直播十分无聊导致其直播间的观众开始给他提各种意见,比如侦查地图、建造建筑物等等,但这名黑客并没有理睬观众,还是一直自顾自地采集资源。美国海军证实该账号被黑客入侵,并在与Facebook合作重新找回该账号。

【阅读原文】



2、勒索病毒组织 FIN12 采用新模式进行网络攻击


它的攻击目标主要是一些国外大型企业与机构,从这些大型企业获得高额的赎金,平均收入为60亿美元。


它能在2.5天内部署勒索软件,这速度比大多数组织都要快。


医疗保健组织是其主要目标之一。


这个活动频繁的勒索软件团伙是FIN12,因使用RYUK勒索恶意软件而为人所知,网络安全公司Mandiant称该组织与去年调查的约20% 的勒索软件攻击有关。


与一些勒索软件攻击组织不同,FIN12迄今为止似乎都是为了赚大钱——而且是很快的。“他们速度太快了。这就是他们的不同之处,”Mandiant 情报分析副总裁John Hultquist如此说道。


Mandiant 表示,FIN12似乎是一个讲俄语的组织,至少自2018年10月以来一直在活动。 FIN12专门从事勒索软件攻击。它与Trickbot团伙关系密切,自2020年2月以来,它在攻击中使用了 Cobalt Strike Beacon 工具,以及Trickbot和Empire工具。


Mandiant 在发布的关于FIN12一份报告中说,FIN12的大多数受害者通常都在北美,但它也向欧洲和亚太地区的组织投放勒索软件。大约20% 的 FIN12受害者是医疗保健组织。


美国政府官员最近一直在制定新的政策举措,以遏制勒索软件网络犯罪。就在本周,美国司法部(DoJ)成立了国家加密货币执法小组(National Cryptocurrency Enforcement Team) ,以打击非法使用加密货币的行为,因为加密货币是勒索软件运营商选择的匿名支付渠道。美国司法部还宣布了“民事网络欺诈倡议”(Civil Cyber-Fraud Initiative) ,以确保政府承包商公开其网络安全协议和网络攻击,从而保护相关机构免受与供应链相关的网络攻击。


在科洛尼尔管道运输公司遭受软件攻击之后,美国总统拜登在五月份发布了一项网络安全行政命令。即便如此,勒索软件攻击由于其利润丰厚和匿名性,数量也不会很快减少。本周,在华盛顿举行的 Mandiant 网络防御峰会上,Mandiant 公司首席执行官凯文•曼迪亚在一个主题问答环节中向国家安全局(NSA)局长、美国网络司令部司令Gen. Paul Nakasone提问,“五年后勒索软件是否仍将是一个巨大的威胁?”得到的回答是: “每一天。”庆幸的是美国政府正在加倍努力打击勒索软件。


但联邦调查局、研究人员和事件反应专家面临的难题是,揭露这些攻击的真正主谋越来越困难。他们不是勒索软件代码编写者,也不是 FIN12或其他勒索软件攻击部署组织,而是那些罪犯,他们目标定位精确,通过与 FIN12和其他组织签订合同向目标投放勒索软件。


根据 Mandiant 的说法,这种多层次、分阶段的网络犯罪攻击模式,使得接触或阻止与 FIN12和其他组织签约的犯罪分子变得更加困难。FIN12相对精简和快速部署勒索软件的模型就是这方面的一个典型案例。


“想象一下,如果我们有一个对手在这个领域造成了20% 的损失,而且主要集中在医疗保健方面,而我们还没有有效地识别它们,”Hultquist 说。由于 FIN12利用其他网络犯罪团伙的工作获得了对目标组织的初始访问权,他们可以集中精力部署 Ryuk 或其他勒索软件。Mandiant 公司认为,这种模式使得 FIN12能够在今年上半年将勒索软件的处理时间减少一半,短至2.5天,而在去年尚需5天。


“这些效率的提高可能至少部分归功于它们在攻击过程链中单一阶段的专业化,使它们能够更快地发展自己的专业技能。FIN12似乎也有意优先考虑速度,因为我们很少观察到这些威胁者从事数据盗窃勒索。“然而,这些威胁者也有可能会改变他们的行动,以便在未来更频繁地进行数据盗窃。例如,FIN12可以确定,相比勒索软件攻击造成的停机时间,某些行业更重视数据泄露的威胁,FIN12会选择对那些被认为具有特别高价值的目标使用这种策略。”

【阅读原文】



3、美司法部:瞒报网络攻击或数据泄露事件的联邦承包商将被起诉


美国司法部表示,如果联邦承包商未能如实上报网络攻击或数据泄露事件,则它们将面临法律诉讼。本周,副总检察长 Lisa O. Monaco 提出了一项民事网络欺诈倡议,以期参照现有的虚假申报法案(FCA)来追究与政府承包商和资助接受者们相关的网络安全欺诈行为。


新闻稿指出,该倡议将让个人或联邦承包商等实体,在故意提供有缺陷的网络安全产品或服务、导致美国网络技术设施面临风险时承担责任。与此同时,政府承包商将因违反监测上报网络安全事件和数据泄露行为而面临处罚。


据悉,这是美国政府在一系列针对联邦机构(包括财政部、国务院和国土安全部)的黑客攻击之后做出的最新回应。此前有调查称境外间谍活动波及 SolarWinds 网络,使其 Orion 软件被植入后门,并通过受污染的软件更新渠道推送到了客户网络。


通过政策法规上的“亡羊补牢”,美司法部希望建立适用于所有公共部门、广泛且具有弹性的网络安全入侵应对措施,并帮助政府努力识别、打造和披露常用产品或服务的漏洞补丁。若发现相关企业未能达到政府要求的安全标准,责任方还将承担相应的损失补救义务。


Lisa O. Monaco 解释称:长期以来,企业总是错误地认为瞒报比主动披露违规事件的风险要更小,但当下的环境已经大不相同。通过今日宣布的倡议,我们将动用民事执法工具来追查那些不遵守网络安全标准规定的企业,尤其是接受联邦资金资助的政务承包商。我们深知瞒报将让所有人都陷于风险之中,这也是我们必须确保的适当动用纳税人资金、并保护公共财政与维护公众信任的一项有力工具。


据悉,这项倡议的公布时间,恰逢加密货币执法团队的成立,以期处理复杂调查和滥用加密货币的刑事案件。


本周早些时候,参议员 Elizabeth Warren 和众议员 Deborah Ross 还提出了一项“赎金披露法案”,以强制勒索软件受害者在 48 小时内披露其支付的赎金金额的详细信息。

【阅读原文】



2021年10月8日 星期五

今日资讯速览:

1、TangleBot:Android木马恶意软件最危险软件之一,可完全接管手机


2、微软还是那个微软 微软发布官方版Windows 11绕过TPM/CPU检查方法


3、美国运输安全管理局新规定将应对网络攻击对铁路系统的威胁



1、TangleBot:Android木马恶意软件最危险软件之一,可完全接管手机

据外媒报道,网络安全分析师最近发现了一种被他们称为“TangleBot”的Android恶意软件。这种恶意软件非常复杂,能够劫持手机的大部分功能。一旦被感染,手机就会成为终极间谍/跟踪设备。


Proofpoint研究人员指出,TangleBot通过向美国和加拿大的Android设备发送短信来锁定用户。这些短信被伪装成Covid-19法规和助推器的信息以及跟潜在停电有关的消息,另外还会鼓励受害者点击一个显示需要Adobe Flash更新的网站链接。


如果选择对话框,恶意网站将把恶意软件安装到智能手机上。攻击者依赖于用户无视Adobe在2020年12月停止对Flash的支持以及自2012年以来移动设备不支持Flash的事实。


如果欺骗成功,TangleBot就可以完全渗透到整个手机中。该恶意软件可以控制来自麦克风和摄像头的音频和视频、查看访问的网站、访问输入的密码集合、从短信活动和设备上的任何存储内容中提取数据。TangleBot还可以授予自己修改设备配置设置的权限并允许攻击者查看GPS定位数据。


黑客获得的功能基本上提供了全面监视和数据收集能力。TangleBot提供了一些关键的区别性功能使其特别具有威胁性,其中包括高级行为、传输能力和用于混淆的字符串解密程序。


除了间谍软件和键盘记录能力外,该恶意软件还可以阻止和拨打电话,不可避免地导致拨打高级服务的可能性。与此同时,语音生物识别能力可被用来冒充受害者。


报告指出,在TangleBot中看到的复杂程度使其在其他形式的恶意软件中脱颖而出。“与键盘记录功能、覆盖能力和数据渗透有关的特征是任何恶意软件武库中的常规行为,然而,TangleBot以高级行为和传输能力使自己与众不同,同时还展示了试图挫败生物识别语音认证安全系统的恶意软件的最新发展。TangleBot的最后一个组成部分在原来的Medusa中没有看到,它先进地使用了一个字符串解密程序以帮助混淆和掩盖恶意软件的行为。”


用来将木马软件的目的和功能隐藏在许多混淆层之下的尖端技术是导致出现TangleBot的原因。这些方法包括隐藏的.dex文件、模块化和功能化的设计特点、最小化的代码以及大量未使用的代码。


对于Google的操作系统来说,Android恶意软件和特洛伊木马变得越来越常见,而且不仅仅是通过短信,智能手机也会被暴露。GriftHorse恶意软件被成功嵌入到正式批准进入Google Play和其他第三方应用商店的应用中,使其能够感染超过1000万台设备并窃取数千万美元。


对于Android系统来说,这是一个令人担忧的状况,研究人员在报告中的结束语也呼应了这一点。


“如果说今年夏天Android生态系统向我们展示了什么,那就是Android系统充斥着聪明的社会工程、彻头彻尾的欺诈和恶意软件,这些都是为了欺骗和窃取移动用户的金钱和其他敏感信息,”研究团队说道,“这些计划可能看起来很有说服力并可能利用恐惧或情绪进而导致用户放松警惕。”


安全公司Eset最近的分析清楚地概述了这些言论,其显示了Android恶意软件在多个威胁领域的增长。

【阅读原文】



2、微软还是那个微软 微软发布官方版Windows 11绕过TPM/CPU检查方法

当微软公布Windows 11最低硬件要求时便立即引起争议,主要是很多旧设备处理器不支持或没有可信平台模块。


不过正如大家猜测的那样,到Windows 11正式版发布后必然会有很多方法可以绕过检测机制完成升级或者装机。


事实也确实如此,目前在不受支持的设备上安装Windows 11已经有很多方法,只要用户愿意可以轻松完成升级。


最主要的是微软现在竟然也发布官方版的绕过处理器和可信平台模块检测方法,只需添加个注册表键值即可搞定。


操作前的免责声明:


微软表示不建议用户在不兼容的设备上安装Windows 11系统,如果用户仍然想要安装则需要同意微软免责声明。


在告警里微软表示在不兼容的设备上安装Windows 11可能会出现其他兼容性问题,同时可能导致设备出现故障。


另外不满足最低硬件要求的设备不保证后续可以继续更新,这里的更新不仅是功能更新还可能安全更新都收不到。


建议用户安装前使用电脑健康检查工具测试自己的设备是否兼容,如果兼容的情况下可以直接通过系统更新升级。


最后如果用户在不受支持的设备上安装Windows 11,安装后如果出现问题可在十天内通过恢复功能回滚旧版本。


以下是绕过方法:


如果你理解并同意微软的免责声明那就可以使用注册表来解决此问题,此注册表可以绕过处理器和安全模块检测。


场景一:升级系统。如果需要升级的话可以直接打开注册表然后添加并修改键值,修改后即可直接升级到最新版。


场景二:全新安装。全新安装时在安装程序提示不支持时点返回,然后按Shift+F10打开CMD输入 regedit 操作。


#打开注册表并转到如下路径

HKEY_LOCAL_MACHINE\SYSTEM\Setup\MoSetup

#右键点击MoSetup选择新建DWORD值

#将其重命名为

AllowUpgradesWithUnsupportedTPMOrCPU

#将其键值修改为1并保存即可


其他可用方法:


蓝点网经测试确定可以通过修改AppraiserRes.dll 绕过限制,我们在不兼容的物理机上测试确认可以升级或安装。


如果是升级系统:下载Windows 11正式版镜像文件,解压到任意路径,转到Sources找到AppraiserRes.dll文件


直接删除此文件然后点击空白处新建文件夹,将文件夹重命名为AppraiserRes.dll保存,双击Setup.exe即可安装


如果是全新安装:下载Windows 11正式版镜像文件,刻录/保存到U盘后按上述步骤删文件建文件夹同样可绕过


以上方法无论是在物理机还是虚拟机上升级或者全新安装均适用,所以只要你想要升级那没有什么可以阻止你的。

【阅读原文】



3、美国运输安全管理局新规定将应对网络攻击对铁路系统的威胁

据外媒CNET报道,美国联邦运输安全管理局(TSA)不久将发布新的规定,旨在使运输机构和航空公司更好地准备应对网络攻击。美国土安全部部长亚历杭德罗·马约卡斯表示,根据新规定,铁路和被认为是"高风险"的铁路相关实体将被要求任命一个负责网络安全的人,向国土安全部的网络安全和基础设施安全局报告网络事件,并制定一个应急计划,以应对发生的网络攻击事件。


他表示,将鼓励但不要求风险较低的铁路公司和相关实体采取同样的措施。马约卡斯是在周三比灵顿网络安全峰会上发表的虚拟演讲中做出上述评论的。


马约卡斯称,额外的规定将促进航空业的网络安全。美国机场和客机的"关键"运营商,以及所有货运飞机运营商,也将被要求设立一个网络安全协调员,并向CISA报告网络攻击。


马约卡斯说:“我们需要在今天,而不是在明天做好准备。我怎么强调这个任务的紧迫性都不为过。”


美国的交通系统最近是网络犯罪分子的目标。去年春天,一个黑客组织破坏了纽约大都会运输局的计算机系统。交通局官员当时表示,黑客没有进入控制火车车厢的系统,乘客安全没有受到威胁。但他们后来提出担忧,黑客可能已经进入这些系统,或者他们可能通过“后门”继续利用该机构的计算机系统。


6月,一个勒索软件攻击关闭了马萨诸塞州轮船管理局的主要预订系统,该机构经营从科德角到玛莎葡萄园和南塔克特的渡轮。船只安全运行,但乘客在一个多星期内无法在网上预订或更改他们的预订,而且信用卡的使用受到严重限制。

【阅读原文】



[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

最后于 2021-11-9 10:27 被Editor编辑 ,原因:
收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//