2.25亿个邮箱密码被盗、微软漏洞或致黑客接管域控制器|12月23日全球网络安全热点
安全資訊報告
巴西衛生部在一周內遭受兩次勒索軟件攻擊,疫苗接種數據被盜
巴西衛生部正在考慮延長處理Covid-19疫苗接種數據的系統的停機時間,因為它試圖從這種確切情況中恢復過來,以應對相隔僅四天的兩次重大襲擊。
目前尚不清楚這兩次勒索軟件攻擊是否來自同一來源,但第一次可能具有激進主義元素。一家名為Lapsus$Group的黑客組織聲稱,他們瞄準并刪除了頒發該國數字接種證書所需的疫苗接種數據。后續攻擊不太成功,但針對相同的數據并造成足夠的破壞,延遲了衛生部系統的恢復。
第一次勒索軟件攻擊發生在12月10日,使衛生部的所有網站都下線了一段時間。Lapsus$Group向衛生部發送了一條消息,將這次攻擊歸咎于他們,聲稱他們從Covid跟蹤程序中提取了大約50TB的數據,隨后將其從該機構的服務器中刪除。
12月14日發生了第二次攻擊,目標是許多相同的系統。這次似乎并沒有以數據被盜或刪除而告終,但勒索軟件攻擊確實使用于跟蹤Covid治療的ConecteSUS應用程序脫機了一段時間。對于巴西居民,第二次勒索軟件攻擊所針對的ConecteSUS應用程序用于個人跟蹤Covid-19測試和狀態。該應用程序基本上提供了對與Covid治療相關的任何醫療記錄的訪問權限:測試、接種的疫苗、住院時間以及他們為治療而開出的任何藥物。衛生部表示,該應用程序的數據已得到備份,但該應用程序在第一次攻擊一周后仍然無法使用。
新聞來源:
https://www.cpomagazine.com/cyber-security/health-ministry-of-brazil-hit-by-two-ransomware-attacks-in-one-week-vaccination-data-stolen-taken-offline/
Pysa勒索軟件針對更多企業
Pysa是勒索軟件團伙之一,該團伙利用雙重勒索向受害者施壓以支付勒索要求,并在上個月泄露了50個先前受感染組織的漏洞。總體而言,11月Pysa攻擊的數量增加了50%,這意味著它超過Conti并加入Lockbit,成為惡意軟件最常見的前兩個版本。Pysa在試圖勒索目標數周或數月后泄露了目標數據。
NCC Group指出,Pysa的目標是高價值的金融、政府和醫療保健組織。
在所有勒索軟件團伙中,當月來自北美的受害者總數達到154個,其中140個是美國組織,而歐洲的受害者在11月達到了96個。工業部門是最有針對性的,而對技術部門的攻擊減少了38%。
新聞來源:
https://www.zdnet.com/article/this-ransomware-strain-just-started-targeting-lots-more-businesses/
Dridex惡意軟件使用虛假的解雇電子郵件來欺騙員工
一個新的Dridex惡意軟件網絡釣魚活動正在使用假的員工解雇電子郵件作為誘餌打開惡意Excel文檔,然后用季節的問候信息誘騙受害者。
Dridex是一種通過惡意電子郵件傳播的銀行惡意軟件,最初開發用于竊取在線銀行憑據。隨著時間的推移,開發人員不斷發展惡意軟件以使用不同的模塊來提供額外的惡意行為,例如安裝其他惡意軟件有效載荷、提供對威脅行為者的遠程訪問或傳播到網絡上的其他設備。
該惡意軟件由名為Evil Corp的黑客組織創建,該組織支持各種勒索軟件操作,例如BitPaymer、DoppelPaymer、WastedLocker變體和Grief。因此,眾所周知,Dridex感染會導致對受感染網絡的勒索軟件攻擊。
這些電子郵件使用“員工終止”主題,并告訴收件人他們的雇傭將于2021年12月24日結束,并且“此決定不可撤銷”。
這些電子郵件包括一個名為“TermLetter.xls”的附加Excel密碼保護電子表格,據稱其中包含有關他們被解雇的原因以及打開文檔所需的密碼的信息。當收件人打開Excel電子表格并輸入密碼時,會顯示一個模糊的“人員操作表”,說他們必須“啟用內容”才能正確查看。當受害者啟用內容時,將顯示一個彈出窗口并警告受害者,“親愛的員工圣誕快樂!”
然而,在受害者不知情的情況下,惡意宏已被執行,以創建并啟動保存在C:\ProgramData文件夾中的惡意HTA文件。這個隨機命名的HTA文件假裝是一個RTF文件,但包含惡意VBScript,它從Discord下載Dridex以感染設備,同時祝受害者圣誕快樂。
Dridex啟動后,它將開始安裝其他惡意軟件、竊取憑據并執行其他惡意行為。由于Dridex感染通常會導致勒索軟件攻擊,因此Windows管理員需要掌握最新的惡意軟件分發方法,并培訓員工如何發現它們。
新聞來源:
https://www.bleepingcomputer.com/news/security/dridex-malware-trolls-employees-with-fake-job-termination-emails/
警方在被黑的云服務器上發現了2.25億個被盜密碼
英國國家犯罪署(NCA)和國家網絡犯罪部門(NCCU)發現了2.25億個被盜電子郵箱和密碼緩存。
這2.25億個新密碼成為HIPB現有的6.13億個密碼集合中的一部分,該集合為網站運營商提供密碼散列,以確保用戶在創建新帳戶時不會使用它們。
NCA告訴BBC,去年與英國警方合作,發現一家英國組織的云存儲設施遭到入侵,導致網絡犯罪分子將超過40,000個文件上傳到他們的服務器。在這些文件中,有被泄露的電子郵箱和密碼的集合。
新聞來源:
https://www.zdnet.com/article/police-found-225-million-stolen-passwords-hidden-on-a-hacked-cloud-server-is-yours-one-of-them/
安全漏洞威脅
Active?Directory漏洞可能讓黑客接管Windows域控制器
在12月12日推出概念驗證(PoC)工具后,微軟正在敦促客戶修補Active Directory域控制器中的兩個安全漏洞,該漏洞已于11月解決。
這兩個漏洞(跟蹤為CVE-2021-42278和CVE-2021-42287)的嚴重性等級為7.5,最高為10,涉及影響Active Directory域服務組件的權限提升缺陷。
Active Directory是一種在Microsoft Windows Server上運行的目錄服務,用于身份和訪問管理。盡管這家科技巨頭在其評估中將這些缺陷標記為“不太可能被利用”,但PoC的公開披露促使人們再次呼吁應用修復程序以減輕威脅行為者的任何潛在利用。
雖然CVE-2021-42278使攻擊者能夠篡改SAM-Account-Name屬性(用于將用戶登錄到Active Directory域中的系統),但CVE-2021-42287可以模擬域控制器。這有效地授予具有域用戶憑據的不良行為者以域管理員用戶身份獲得訪問權限。
“當結合這兩個漏洞時,攻擊者可以在沒有應用這些新更新的ActiveDirectory環境中創建一個直接訪問域管理員用戶的路徑,”微軟高級產品經理DanielNaim說。“一旦攻擊者危害域中的普通用戶,這種升級攻擊允許攻擊者輕松地將他們的權限提升為域管理員的權限。”
微軟建議用戶在域控制器上安裝最新的補丁。
新聞來源:
https://thehackernews.com/2021/12/active-directory-bugs-could-let-hackers.html
?
總結
以上是生活随笔為你收集整理的2.25亿个邮箱密码被盗、微软漏洞或致黑客接管域控制器|12月23日全球网络安全热点的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 相机意外断电导致视频保存成DAT文件,无
- 下一篇: sourceTree 问题解决