盘点近期重大网络安全事件

博主:陈大侠陈大侠 4个月前 ( 10-01 ) 520 0条评论
摘要: 工程中心为大家收集了一些近期发生的网络安全事件,一起来看看吧!目录1Google搜索结果可传播Mac恶意软件2暗网不再隐蔽了?警方破获179个暗网毒枭,缉获650万元美金3海运巨头...

工程中心为大家收集了一些近期发生的网络安全事件,一起来看看吧!

目录

1

Google搜索结果可传播Mac恶意软件

2

暗网不再隐蔽了?警方破获179个暗网毒枭,缉获650万元美金

3

海运巨头达飞遭勒索软件攻击,旗下众多网站瘫痪

4

美国连锁医院系统疑遭勒索软件攻击导致大规模瘫痪

5

KuCoin加密货币交易所被黑 损失1.5亿美元




01

Google搜索结果可传播Mac恶意软件

最近,恶意分子正在传播诸如 Shlayer 和 Bundlore 之类的 Mac 恶意软件。

大多数用户在上网时都能够意识到需要警惕恶意站点。但是,如果是信誉良好的搜索引擎(如 Google 和 Bing)中的结果,会有很多人认为这是安全的。

事实证明,所有的搜索引擎都会存在恶意的搜索结果,比如:攻击者操纵 Google 搜索结果以诱导用户点击恶意网站并下载恶意软件。


新型恶意软件

网络安全公司 Intego 最近发现了一种新的恶意软件,该恶意软件不仅规避了苹果自身的安全设置而且在 VirusTotal 上完全无检出。该恶意软件由 Shlayer 和 Bundlore 的变体组成。

2019 年 1 月 VeryMal 使用 Shlayer感染了 Mac 设备,使用隐写术来逃避检测,并且将恶意代码嵌入广告中。

同一时期,还发现了该恶意软件通过 Adobe Flash 更新在 Mac 设备上安装 Any Search 栏以显示非法广告。除广告软件外,该恶意软件还拦截并收集浏览器数据,修改搜索结果以大量投放广告。

另一方面,Bundlore 是广告软件,自从 2015 年开始就非常活跃。不仅使用多种技术绕过 Mac 的安全机制,还从设备上收集个人数据并重定向用户到恶意站点。


利用搜索引擎

此时此刻,黑客也在使用 Google 搜索来传播恶意软件,该软件冒充 Adobe Flash Player 的更新。

例如,用户搜索 YouTube 视频的标题,然后在搜索结果中点击进入另一个页面,页面会通知其要更新 Flash Player。旁边还会提示这很重要的警告,敦促用户抓紧更新。

1.jpg

下载安装文件后,用户将会按说明进行安装。

安装程序启动后,会在终端运行 shell 脚本,从自嵌入、加密的 ZIP 包中提取 Mac 恶意软件包。

研究人员在文章中进一步解释了后续的步骤:Mac 应用程序启动后,将下载一个合法的,由 Adobe 签名的 Flash Player 安装程序,使这看起来是真的。但隐藏的 Mac 应用程序还可以下载任何其他 Mac 恶意软件或广告软件。

尽管 Google 尽力保证排除此类搜索结果,但是仍然难以完全清除。用户必须保持警惕,仅在信誉良好的网站上下载文件。


滥用搜索引擎很常见

犯罪分子经常会滥用搜索引擎来传播恶意软件。此前久有攻击者利用 Google Adwords 和 Google Sites伪造 Google Chrome 浏览器来传播恶意软件。

此外,2017 年也发现了攻击者利用 Google 搜索结果,通过 SEO 恶意广告和 SERP 中毒来分发 Zeus Panda 银行木马。

02

暗网不再隐蔽了?警方破获179个暗网毒枭,缉获650万元美金

暗网大家都比较熟悉了,就算没有逛过也多少有耳闻,一直以来就以隐蔽性强为特征被许多人中意,这其中不泛有信息买卖、贩毒、军火等各种犯罪分子,而最近国外进行了一次国际联合执法,从全球消灭了暗网毒贩179个,缴获了超过650万美元的现金和虚拟货币。 

2.jpg

这次行动抓捕事件大部分在美国121起,其次是德国42起、英国4起、奥地利3起、荷兰8起、和瑞典1起等地,此次活动被命名为DisrupTor行动(Operation DisrupTor),取自经常用于访问暗网的专用网络浏览器Tor,由德国警察以及美国执法机构和欧洲刑警组织(Europol)领导。 

行动成功后,美国副检察长杰弗里·罗森在新闻发布会上表示,此次行动是美国针对暗网有史以来规模最大的一次行动。此次行动中指控包括一个名为“Pill Cosby”的组织,该组织据称在俄亥俄州分发了超过一百万的芬太尼药片,和一个据称购买了佐治亚州被谋杀夫妇数据的男子。司法部还表示,这次的指控中还有人涉嫌使用炸弹来谋杀其他竞争对手。

罗森说“暗网毒品市场正在以一个惊人的速度在普及,让毒贩可以在世界上任何地方都能在线做广告并接单,暗网为他们提供了无限的非法贸易渠道。”

在COVID-19大流行期间,与阿片类药物有关的过量死亡人数激增,调查人员表示,他们已经追踪了至少35个州和世界多个国家/地区的18,000多个上市销售给所谓的客户。这表示还在有人在暗网从事着毒品交易,以及暗网中的大量买家。

为了能查出这些暗网毒枭背后的人员组织,调查还在继续进行中。

03

海运巨头达飞遭勒索软件攻击,旗下众多网站瘫痪

达飞轮船(CMA CGM)官网瘫痪无法打开,旗下众多全球网站也都陷入了瘫痪,无法正常提供服务。

这起疑似网络入侵的事件,昨日官方给出的解释是因为系统故障。而就刚刚达飞发布公告:CMA CGM集团目前正在处理影响外围服务器的网络攻击。

3.png

最新动态包括:

一旦检测到安全漏洞,就会中断对应用程序的外部访问,以防止恶意软件传播。我们的团队已全面动员起来,对我们信息系统的访问正在逐步恢复。

本集团的客户仍可使用CMA CGM网络进行所有预订和运营请求。我们的内部专家和独立专家正在进行调查。更多信息将在适当时候传达。

此前有未经证实知情人士透露,实际上目前达飞轮船方面“只有部分邮箱可以使用,有部分邮箱被锁,遭到了黑客勒索,类似于此前马士基所遭遇的网络劫持”“该公司的booking和pricing system被黑掉,然后邮件系统也不能进入。”


另据劳氏日报报道,CMA的确遭遇“Ragnar Locker”勒索软件攻击,要求这家法国航运公司在两天内通过“实时聊天”与他们联系,并支付赎金换取特殊的解密密钥。目前还没有公布赎金价格。但如果按时支付会享受价格优惠;还警告称,不要试图通过关闭、重启系统或使用第三方解密软件,因为这将损坏所有加密资料。

劳氏日报报道称,在最初声称该公司的订舱系统因“内部IT基础结构问题”而被禁用之后,CMA CGM已确认它受到了勒索软件攻击。该公司的几个中国办事处受到了影响,但表示已关闭其网络以防止恶意软件传播。此次攻击勒索事件,可能在运输紧张繁忙的国庆前中断各种服务对于中国货代货主出货而言不是一个好消息。


关于Ragnar Locker

今年4月份,攻击者利用Ragnar Locker勒索软件袭击了葡萄牙跨国能源公司EDP(Energias de Portugal),并且索要1580的比特币赎金(折合约1090万美元/990万欧元)。

对此,EDP尚未作出回复。EDP集团是欧洲能源行业(天然气和电力)最大的运营商之一,也是世界第四大风能生产商。

该公司在全球四个大洲的19个国家/地区拥有业务,拥有超过11500名员工,并为超过1100万客户提供能源。攻击者扬言“撕票”10TB的窃密数据。

在这次攻击过程中,Ragnar Locker勒索软件的幕后黑手声称已经获取了公司10TB的敏感数据文件,如果EDP不支付赎金,那么他们将在公开泄露这些数据。

攻击者在即时窗口中嘲讽EDP。Ragnar Locker勒索软件背后的操纵者还在通过“客服窗口”和EDP进行实时聊天,要求他们检查公司网站关于这个泄密威胁的通知,并询问公司是否愿意看到企业私人信息出现在快讯、技术博客和股市网站上。他们还补充道“时不待人”,还警告EDP不要尝试使用除Ragnar Locker以外的解密器来破解文件,否则将有数据破坏和丢失的风险。

攻击者还调侃EDP如果在系统加密两天后联系他们,能够享受优惠价格。但是,他们也要等着,勒索软件的即时聊天也不会全天候在线。如果你们不想名声受损,最好尽快按要求支付赎金。


航运物流业成为网络攻击的重点对象

今年4月份,总部位于瑞士的世界第二大集装箱运输班轮公司地中海航运(MSC)的网络服务中断崩溃,被怀疑是遭受网络攻击。

当时该公司发言人表示,MSC网络中断是在日内瓦的MSC数据中心之一,“这影响了某些数字工具(例如msc.com和myMSC)的可用性。”当时除了官网无法打开外移动端调用接口的货物追踪、船期查询等服务也无法正常使用。

MSC的2M联盟伙伴马士基(Maersk)在2017年6月遭遇了一次网络攻击,导致该公司损失约3亿美元。

据悉,马士基是被称为NotPetya的一款恶意软件攻击的众多全球公司之一,该恶意软件通过名为MeDoc的乌克兰会计软件传播,该软件用于在乌克兰提交纳税申报,该勒索软件被认为是针对乌克兰企业的。

马士基被迫在10天的时间内重新安装2500个应用程序、4000台服务器和45000台PC,中断导致业务流量下降了20%。

近日,法国物流公司捷富凯(Gefco)承认上周日遭到外部网络攻击,Gefco方面表示,尚不知道攻击的根源,但“正在与我们的IT合作伙伴和有关部门进行24/7的合作,以调查和解决此问题”。其首席执行官兼董事长Luc Nadal在致客户,合作伙伴和同事的信中说,捷富凯已告知客户和合作伙伴,并动员员工确定和实施替代流程,以确保业务连续性。

捷富凯是欧洲领先的物流服务供应商,凭借其在物流Gefbox系统、国际运输、陆路运输、车辆配送、海关和增值税务代理六大领域的专长,为各领域的客户提供创新的解决方案。集团业务目前覆盖全球150个国家,位列欧洲十大物流集团之一,2011年总营业额达38亿欧元。捷富凯在全球拥有300家分支机构,员工数量达到11,000名,目前正着力拓展中亚、东亚、中欧、东欧、中东和南美等地的业务。

04

美国连锁医院系统疑遭勒索软件攻击导致大规模瘫痪

据《今日美国报》28日报道,一场全国性的网络攻击导致美国通用健康服务公司(Universal Health Services)系统瘫痪,该公司是美国最大的医疗服务提供商之一。

4.jpg

据报道,由于医院的电脑系统在周末开始出现故障,一些医院已将载着病人的救护车派往附近的其他医院,医护人员也开始用纸笔记录病情。

公司周一上午在其网站上发布了最新情况,称由于“IT安全问题”,其所有设施都处于网络离线状态。

这家总部位于宾夕法尼亚州的医疗保健巨头的业务遍及美国、波多黎各和英国,包括26家急诊医院、328家医疗机构和42家门诊医院。


该公司在声明中表示,属于患者或员工的数据“似乎没有被访问、复制或滥用”。他说:“我们正在与我们的IT安全合作伙伴共同努力,以尽快恢复IT操作。与此同时,我们的设备正在使用已建立的备份流程,包括离线文件处理方法,将继续安全有效地为患者提供护理。”

据科技网站TechCrunch报道,这场始于周日凌晨的网络攻击被认为使用了Ryuk勒索软件。一位知情人士称,电脑屏幕上出现了有关“影子宇宙”的文字,这与Ryuk勒索软件的内容是一致的。“所有人都被告知关闭所有电脑,不要再开机。”该人士说。“我们被告知,电脑要过几天才能重新启动。”

勒索软件,或恶意软件,通常会使计算机系统瘫痪,并要求支付赎金才能恢复访问该系统及其数据的权限。

IT安全公司Netwrix高管索特尼科夫在接受采访时表示:“勒索软件攻击对医疗行业尤其具有灾难性,因为它们会阻止用户访问医院的IT系统和患者数据,导致医院无法治疗患者,并可能最终导致病人失去生命。”


据美国NBC新闻报道,佛罗里达州的一位医院工作人员说,“今天的急诊室一片混乱。”由于医院的导管检查室关闭,运送心脏病患者的救护车被迫改道。

加州的另一名工作人员表示,“我们的急诊室对救护车关闭,手术室也关闭,所有救护车和手术室都改变了救治路线。”

北达科他一家机构的联合健康服务中心的一名护士说,电脑速度变慢,最终在周日凌晨无法开机。“到今天上午,所有电脑都瘫痪了。”护士说。另一名在亚利桑那州医院工作的护士表示,上周末“电脑开始自动关机。”护士接着说:“我们的医疗系统都是线上的,所以这使情况变得很困难。

05

KuCoin加密货币交易所被黑 损失1.5亿美元

总部位于新加坡的加密货币交易所KuCoin今天披露了一大型黑客入侵事件。 

该公司在其网站上发布的声明中确认,黑客破坏了其系统,并清空了所有资金的热钱包。

热钱包是连接到互联网的加密货币管理应用程序。冷钱包离线存储。

像KuCoin这样的加密货币交易所使用热钱包作为平台上当前正在交换资产的临时存储系统,并用于为转换操作和资金转移提供动力。

KuCoin说,它在2020年9月26日观察到从其热钱包中“大量提款”后,发现了该黑客。

该公司表示已开始进行安全审核,并发现了丢失的资金。KuCoin说,黑客设法窃取了比特币资产,基于ERC-20的令牌以及其他类型的令牌。

根据用户跟踪了一些被盗资金的以太坊地址,目前估计损失至少为1.5亿美元  。

KuCoin首席执行官Johnny Lyu计划在2020年9月26日12:30(UTC + 8)的实时直播中提供有关安全漏洞的其他详细信息。

KuCoin还承诺赔偿使用冷钱包在黑客中损失资金的用户。在公司安全小组调查此事期间,存款和取款已被暂时暂停。

5.jpg


觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

分享