达拉斯郊区理查森与FBI合作应对勒索软件攻击
发布时间 2024-09-291. 达拉斯郊区理查森与FBI合作应对勒索软件攻击
9月27日,达拉斯郊区理查森市正面临勒索软件攻击的严峻挑战,已紧急请求并获得联邦调查局的援助。黑客于周三早上成功侵入政府服务器,试图加密文件,但城市的安全系统迅速响应,有效限制了损害范围。目前,市政府正积极采取措施,包括关闭内部访问、更换设备及从备份中恢复信息,以尽快恢复系统。尽管内部服务受到一定限制,但关键外部服务如911、警察、在线支付及废物处理等仍保持正常运行。此次事件再次凸显了达拉斯地区政府网络安全形势的严峻性,继去年达拉斯市及今年达拉斯县相继遭受攻击后,理查森市成为最新受害者。尽管尚未收到勒索团伙的具体要求,但相关部门已全力配合FBI及国土安全部展开调查。官员表示,恢复系统的具体时间尚无法确定,但将竭尽全力减少对市民生活的影响。
https://therecord.media/richardson-texas-cyberattack-city-government
2. 英国铁路网Wi-Fi遭黑客入侵,传播仇视言论
9月26日,英国负责火车基础设施的公共机构Network Rail正紧急处理一起涉及其管理的免费Wi-Fi服务的网络安全事件。此次事件导致用户在多个主要车站,包括伦敦、曼彻斯特、伯明翰等城市的站点,通过Wi-Fi登录页面接收到包含仇视伊斯兰教言论及提及2017年曼彻斯特爆炸案的恶意信息。Wi-Fi服务已暂停,以配合英国交通警察和通信公司Telent的调查。据调查,该事件是由不明黑客通过攻击Telent管理的Wi-Fi登陆页面所致,该页面由Global Reach运营,并遭到某合法管理员账户的非法入侵。虽然具体技术细节尚未公开,但信息安全专家指出,公共Wi-Fi因其开放性常成为网络犯罪分子的攻击目标,强调了加强这类网络安全性的重要性。此次事件再次敲响了关键国家基础设施网络安全的警钟,促使人们关注公共交通等公共服务中可能存在的网络安全漏洞。尽管目前尚未发现个人数据泄露,但公众对于网络安全的担忧仍在增加。Network Rail及合作伙伴正全力以赴,旨在尽快恢复服务并防止类似事件再次发生。
https://www.theregister.com/2024/09/26/public_wifi_operator_investigating_cyberattack/
3. Sniper Dz免费PhaaS平台成网络钓鱼新威胁,年创14万钓鱼网站
9月26日,Palo Alto Networks 的网络安全团队揭露了一个名为 Sniper Dz 的网络钓鱼即服务(PhaaS)平台,该平台在过去一年中已促成超过 14 万个网络钓鱼网站的创建,对全球用户构成严重威胁。Sniper Dz 专注于利用社交媒体和在线服务作为攻击目标,通过提供免费的在线管理面板,让网络钓鱼者能轻松生成针对知名品牌的钓鱼页面,并可选择托管在平台或自有服务器上。其独特之处在于,Sniper Dz 不直接收费,而是从被盗取的受害者凭证中获利,通过内置后门收集数据,增强其在网络钓鱼领域的地位。该平台还利用公共代理服务器和合法 SaaS 平台(如 Blogspot)隐藏行踪,增加攻击隐蔽性和成功率。Sniper Dz 在 Telegram 上拥有庞大的追随者群体,其易用性和免费特性吸引了大量网络犯罪分子。鉴于其强大的规避技术和广泛的受害者凭证获取能力,Sniper Dz 预计将持续推动全球网络钓鱼活动的增长,因此,用户和组织需高度警惕,采取有效安全措施以抵御此类新兴威胁。
https://securityonline.info/phishing-frenzy-140000-websites-created-with-sniper-dz-in-one-year/
4. 假冒应用WalletConnect窃取了7万美元的加密货币
9月28日,Check Point Research (CPR) 最近揭露了一种复杂的加密货币诈骗手段,该骗局通过一款伪装成热门Web3协议WalletConnect的虚假应用在Google Play上潜伏数月,成功盗取了超过150名用户的加密货币,总损失超7万美元。此恶意应用利用了用户对WalletConnect的信任,后者本是连接去中心化应用与加密货币钱包的安全桥梁。诈骗者通过高评分和虚假评论诱导用户下载,一旦用户尝试连接钱包至Web3应用,假冒应用便模拟正常流程诱骗用户签署欺诈交易,秘密向攻击者控制的服务器发送用户资产信息,利用智能合约悄无声息地转移资金。该应用还采用反检测技术躲避安全工具审查,对审核人员展示无害内容,从而长期潜伏。分析显示,被盗资金遍及多个以太坊虚拟机网络,且大部分尚未追回。值得注意的是,尽管受害者众多,但仅少数人在Google Play上留下差评,反映出公众对此类诈骗手段的认知不足,以及诈骗者通过虚假好评掩盖恶行的策略。
https://securityonline.info/fake-walletconnect-app-on-google-play-drains-70k-in-crypto/
5. 科威特卫生部遭网络攻击,多家医院系统瘫痪
9月28日,科威特卫生部近期正积极应对一起严重的网络攻击事件,该事件导致多家医院的信息系统瘫痪,并影响了萨赫勒医疗保健应用程序及卫生部官方网站的正常运行。周三,卫生部宣布已恢复部分关键功能的运行,包括癌症控制中心、健康保险及外籍人士体检等重要系统。技术团队迅速介入,追踪并揭露了入侵企图,同时在政府安全机构的支持下控制了事态发展。为防止攻击进一步扩散至核心数据库,卫生部果断将受影响的医疗保健系统下线,并采取了一系列加强基础设施安全的措施。尽管未透露具体攻击细节,但根据应对措施推测,此次事件很可能为勒索软件攻击。截至目前,尚未有勒索软件组织公开宣称对此负责。卫生部强调,已全力投入资源以确保系统尽快全面恢复,并承诺将持续加强网络安全防护,以保障公共卫生服务的稳定运行和患者数据的安全。
https://securityaffairs.com/169031/security/cyberattack-on-kuwait-health-ministry-impacted-hospitals.html
6. Storm-0501勒索软件团伙转向混合云攻击
9月27日,微软发出警告,指出勒索软件团伙Storm-0501已调整策略,将攻击重心转向混合云环境,并企图侵害受害者的全部资产。自2021年首次现身以来,Storm-0501作为Sabbath勒索软件行动的一部分,不断进化,近期更是涉足Hive、BlackCat、LockBit及Hunters International等多个勒索软件团伙的恶意软件。近期,他们特别活跃,采用Embargo勒索软件对美国医疗、政府、制造、运输及执法机构发动攻击。Storm-0501利用弱密码、特权账户或已知漏洞(如CVE-2022-47966、CVE-2023-4966等)渗透网络,并通过Impacket和Cobalt Strike等工具横向移动,窃取数据并禁用安全设置。一旦获取Microsoft Entra ID(即Azure AD)凭据,该团伙便能无缝从本地迁移到云端,破坏同步账户,劫持会话以维持访问权限。他们还可能利用AADInternals等工具更改云密码,绕过保护。得手后,Storm-0501在Microsoft Entra租户内植入持久后门,伪装成合法用户身份,最终在内部部署和云环境中部署Embargo勒索软件,或通过计划任务与GPO加密文件。值得注意的是,该团伙并非总是立即实施勒索,有时仅保留后门以作后续之用。
https://www.bleepingcomputer.com/news/security/embargo-ransomware-escalates-attacks-to-cloud-environments/
京公网安备11010802024551号