普普安全资讯一周概览（0911-0917）

作者：

时间：

2021-09-17

Babuk勒索软件源代码公开曾入侵并勒索华盛顿特区警察局

勒索软件乃是勒索团伙的安身立命之本，一般加密完受害者的文件都是会删除己身的，连让别人分析的机会都不给，其重要程度可想而知，更不用提主动泄露了。不过凡事总有例外，在一个俄语黑客论坛上，就有黑客泄露了自家的Babuk勒索软件的完整源代码。

说起Babuk这个黑客组织，它的来头可不小——它曾成功侵入华盛顿哥伦比亚特区警察局，从中加密并窃取了约250G文件，其中包含了警方调查报告、本地帮派、警方线人等敏感信息。令人更为震惊的是，它以警方线人信息作为要挟，向警察局勒索400万美元的赎金。对此，华盛顿特区警察局方面只答应支付10万美元。乍看起来警方很果决很不配合是吧？其实警方已经是在让步了，因为此前几乎没有警方向勒索软件团伙妥协的案例。

双方都坚持自己的条件不让步，谈判就此破裂，Babuk勒索软件团伙像他们一开始说的那样公布了警方线人信息。可以想象一下，警方利用谈判争取来的时间，抢在黑客公布信息前撤走全部线人——电影题材又有了，可谓是艺术来源于生活。

普普点评

有的黑客组织在各国高强度的打击下被迫解散，而有的组织却愈发猖狂，竟然敢于公开勒索警方。更令人意外的是，该组织勒索失败后竟然真的公开了警方重要的敏感信息，导致警方多年的部署功亏一篑。如此猖狂的组织虽然最后被迫解散，但是该组织成员迅速又组成两个新的黑客组织。相比于企业，国家相关部门的信息安全不再只是信息的安全，保护关键信息的安全就是保护相关人员的生命安全。

医疗行业CISO面临的挑战与对策

医疗行业向来是网络攻击者的“青睐对象”。过去，攻击者的目标是医疗机构存储的患者个人健康和财务数据，但勒索软件的出现极大地改变了医疗行业的威胁格局。

相关数据显示，受新冠疫情影响，医疗行业网络安全威胁持续加剧，2020 年，针对医疗行业的网络攻击增加了50%以上。在记录的599起医疗行业网络安全事件中，403起是由黑客和IT事件引起的，通过部署勒索软件和加密关键数据的攻击手段极为常见。

“许多遭受勒索软件攻击的医疗企业，都会权衡收入损失与赎金成本以及后续攻击的可能性。”“另外，医疗企业是否支付赎金的考量因素还包括患者安全，即使是短暂的医疗设备停机，也可能对患者造成伤害或使社区服务中断。因此医疗机构面临着支付赎金和恢复关键系统的巨大压力，并且这种状况短时间内可能无法改变。”

乔伊斯还指出，医疗机构的第三方系统包括：医院的核心EMR系统、面向患者的web门户、移动设备、联网MRI，以及患者可穿戴设备和手术机器人。上述很多设备系统比传统系统更易遭到网络威胁。

普普点评

建议医疗行业CISO可以通过采用零信任架构，以确保共享对移动设备在访问资源之前是安全的。多因素身份验证也可以部署在移动设备上，使它们更加安全和私密。最后，共享移动设备上的密码自动填充是一种有用的解决方案。对系统安全信息的例行评估将有助于防止攻击及其带来的后果。制定一套流程也很重要，以防出现违规行为，或者在攻击发生后快速通知患者和其他受影响的各方采取适当的预防措施。

全球头号恶意软件团伙成员之一被逮捕

TrickBot的“名气”不小，是全球数一数二的恶意软件团伙，于2016年开始进入大众视野。该团伙主要针对Windows和Linux设备，感染的僵尸网络计算机规模超百万。TrickBot旗下有众多恶意软件，如TrickBot、BazaLoader、BazaBackdoor、PowerTrick 和 Anchor，并且成员“锐意进取”，长期坚持改进软件。?

除了在技术层面不断升级进化，在运营层面TrickBot也别具一格，不仅没有像多数网络犯罪团伙一样单打独斗或者互相竞争，反而是追求相互合作，如Ryuk和Conti的勒索软件都曾由TrickBot团伙协助部署。

由于TrickBot团伙规模庞大、危害性高且造成了巨大的经济损失，美国网络司令部曾与微软及众多安全公海710合作，在2020年10月联合行动一举摧毁了TrickBot僵尸网络的基础设施。根基被毁，元气大伤，TrickBot一度陷入沉寂，但没过多久该组织就卷土重来，继续活跃于网络犯罪活动。

据韩国KBS报道，近日一名TrickBot恶意软件团伙的成员在机场被捕。该名男子因疫情管制长期滞留韩国导致护照过期，最终因美国提出的引渡要求被逮捕。该男子应该是今年第二位被捕的TrickBot成员。

普普点评

可喜的是终于又一名不法分子落入法网。恶意软件团伙近年四处荼毒，对各国企业的利益造成了巨大的破坏和经济损失，但是由于互联网的特性，幕后人员的抓获工作一直是个大难题。好在各国一直没有放弃追查不法分子的身份，相信后续还会有更多的嫌疑人落网。对于企业单位数据的安全性，光靠打击黑客组织是远远不够的。相关企业单位还是应该建立起信息安全防护体系，来抵挡可能发生的攻击行为。

微软又有高危0day漏洞

微软通告了一个高危的远程代码执行漏洞，存在于浏览器渲染引擎MSHTML之中。据微软表示，已经监测到有黑客在利用这个漏洞对Windows系统发起攻击。

攻击者会向潜在受害者发送专门制作的恶意Office文档，如果潜在受害者没有防备地将其打开，文档会加载Internet Explorer，然后通过使用特定的ActiveX控件下载恶意软件。这种攻击方式的可行性已得到安全研究人员证实。

值得庆幸的是，如果Microsoft Office是使用默认配置运行，在受保护视图模式或Office 365应用程序防护下打开文件，能有效阻止攻击（受保护视图是一种只读模式，可禁用大部分编辑功能；Office 365应用程序防护会隔离不受信任的文档，拒绝对其他文件的访问请求）。

目前微软尚未发布安全更新，不过提供了一个临时的应对策略——禁用在Internet Explorer中安装的ActiveX控件。鉴于漏洞利用价值高且已被在野利用，微软建议用户立即采取应对措施。

如果之后更新了漏洞补丁或者出于其他原因要取消禁用ActiveX控件，删除之前添加的注册表项即可。

普普点评

通过软件漏洞，不法分子可以将木马伪装成文档，只要用户一打开文档，电脑就将被攻击。现如今黑客组织的攻击方式越来越多样化，特别是这种利用常规软件漏洞发起的攻击，总是令人防不胜防。这类软件用户数量众多，一旦漏洞成功被不法分子所利用，波及的用户数量是非常庞大的。相关软件公海710应该及时进行漏洞修复，保障用户的信息安全。而对于用户自身，需要提高防范意识，要确认文件来源的可靠性。

俄罗斯的“百度”Yandex遭受其史上最大的DDoS攻击

Yandex是俄罗斯的第一大搜索引擎，很多人会将其称为俄罗斯的“百度”，但它在俄罗斯的地位或许还不止于此。Yandex是俄罗斯最大的互联网服务提供商，涵盖了搜索引擎、电子商务、电子邮件等互联网业务，称之为俄罗斯的“BAT”也不为过。

据外媒报道，近日Yandex遭受了俄罗斯互联网历史上最大的DDoS攻击，攻击峰值达到了每秒2180万次请求。Yandex内部人士称本次DDoS攻击难以遏制，截止本周仍在继续遭受攻击。想象一下在中国若是百度不能正常使用会造成多大的影响，大概就能理解这对于俄罗斯人来说是多么严重的一次网络攻击事件。

据为Yandex提供DDoS保护的Qrator Labs 的首席执行官Alexander Lyamin透露，本次DDoS攻击是由一个新的僵尸网络发起的，该僵尸网络被标记为Méris，由大约20多万台设备组成。

Alexander Lyamin 团队观察到大规模恶意流量来自波罗的海地区，怀疑其僵尸网络来自拉脱维亚公海710MikroTik。在过去几年，MikroTik公海710的设备被使用于多个僵尸网络。据说该公海710的设备运行的是旧版本软件，其所有者也没有更新补丁，从而使得黑客能够利用已知的漏洞轻易感染这些设备。

普普点评

大量不注重安全防护的个人电脑或许是DDoS攻击的帮凶。可能就在用户不知清的时候，用户的电脑已经感染了病毒，成为任人摆布的“肉鸡”，被用千加密货币挖矿、发送恶意邮件或者协助发起DDoS攻击。无论对千企业还是个人，信息安全都是不容忽视的重要环节。除了要使用防病毒技术手段去防范非法入侵，还需要使用者在日常使用过程中从源头处采取相应措施，最大程度上降低被非法利用的可能性。

SIEM市场规模将在2027年超过60亿美元

近日，研究机构Valuate发布一项报告，数据显示到2027年，全球安全信息和事件管理(SIEM)市场规模预计将从2020年的39.383亿美元升至64.362亿美元，2021~2027年预测期内复合年增长率为6.8%。

报告指出推动SIEM市场需求的重要因素包括：对威胁事件的持续检测与响应、满足监管要求，以及日志管理的重要意义等。同时，企业安全防护意识的增强，以及全球范围内对网络安全治理和合规管理进一步推动了SIEM市场的发展。

随着远程办公、SaaS应用程序和 BYOD策略越来越受欢迎，组织需要从传统网络边界之外管理网络危险所需的可见性级别。SIEM能够帮助企业通过低成本实现威胁检测和日志管理，并在提高生产力的同时提供众多安全解决方案。SIEM系统监控所有用户、设备和应用程序的所有网络活动，无论数字资产和服务在何处访问，都可以提高整个基础设施的可见性并检测威胁。

此外，当发生安全问题时，SIEM系统使企业能够在一个中心位置收集和分析来自其所有数字资产的日志数据。这使他们能够重现以前发生的事件或评估新事件，以检查可疑活动并改进安全系统。

普普点评

按照行业划分，零售业SIEM市场预计发展最快，因为电子商务领域企业对于其财务和个人信息的安全性担忧不断增加导致的。在全球范围内，信息安全的重要性正不断凸显。随着大数据、人工智能等技术的快速发展，数据不再只是数据，而是庞大的资源。对海量数据进行分析利用，人们可以轻而易举的完成从前无法想象的事情；而信息安全正是“数据列车“的轨道，信息安全相关行业正迎来前所未有的机遇。

超三成网络攻击可在30分钟以内完成

CrowdStrike最新报告指出，过去一年中，威胁行为者从最初访问权限转移到横向移动所需的平均时间为1小时32分钟，减少了67%。而且在36%的网络攻击中，攻击者在30分钟内就实现了横向移动。横向移动意味着攻击者能够发现重要数据和部署勒索软件。这给安全运营团队带来了额外压力。该报告的调查对象来自CrowdStrike全球客户的大约248,000个全球端点。

CrowdStrike的EMEA首席技术官Zeki Turdi指出：“一旦发生横向移动，事件就会变得更难解决，成本也更高。简而言之，在一台机器上处理威胁行为者比多台机器更容易。对于开始横向移动的威胁行为者，他们已经对网络进行了一些基本的侦察，但更重要的是拥有允许他们开始在网络中移动的凭据。他们可能借此对企业迅速的造成伤害。”

根据报告，在2020年7月至2021年6月期间，所有垂直行业和地理区域的攻击尝试与去年同比增加了60%。但并非所有这些活动都与数据收集和勒索软件部署有关，CrowdStrike记录了交互式入侵中加密劫持攻击同比增长了100%。

普普点评

威胁行为者正变得越来越隐蔽。在68%CrowdStrike索引的检测中，攻击者根本没有使用恶意软件，这意味着越来越多的攻击行为绕过了传统安全工具的监控。不法分子的攻击手段不断在变化，依靠单一的防护软件很难抵抗这些攻击行为。对于企业及用户，自身的信息安全体系建设十分重要，通过多种防护设备组成的防御网络能有效抵抗恶性攻击；同时要及时修复系统漏洞，不给黑客可趁之机。

上一篇:普普安全资讯一周概览（0918-0924）下一篇:普普安全资讯一周概览（0904-0910）