1 .Net勒索软件Shrug被发现新变种Shrug2
Quick Heal安全实验室最近发现袭击受害者的机器并要求比特币支付70美元的赎金以解密文件的Shrug2勒索软件。Shrug2作为在7月6日首次出现的内嵌虚假软件和游戏应用程序的Shrug的新版本,并携带了新功能Shrug2勒索软件使用.NET框架构建,使用AES256位密钥加密文件,能够加密76种文件格式,并通过感染载体网络钓鱼电子邮件,电子邮件附件,RDP,嵌入式超链接,感染驱动器和网站及下载进行分发。如果受害者机器连接到互联网,那么它就会检查系统是否已经通过检查注册表感染了SHRUG2,如果系统没有被感染,那么它会在HKCU下新建注册表项[ShrugTwo],然后读取勒索软件感染机器的日期和时间,并根据此显示解密文件所需的时间。Shrug2会删除系统还原点,并且授予对所有目录和子目录执行命令。SHRUG2枚举文件并创建一个[FilesToHarm]列表来加密文件,[FilesToHarm]是要加密的文件列表(仅限于感染机器的C盘),[HarmedFiles]是已经加密过的文件列表(含路径),用于支付赎金后的解密或到时间未支付赎金,则会按图索骥,删除那些被加密的文件。
https://blogs.quickheal.com/new-net-ransomware-shrug2/
2 研究人员发现勒索软件Dharma新变种
研究人员Michael Gillespie发现勒索软件Dharma的新变种,它将.cmb的扩展名附加到加密的文件中。
包括此变体在内Dharma勒索软件,攻击者使用在TCP端口3389,通过远程桌面协议服务(RDP)入侵计算机,尝试暴力破解计算机的密码,一旦获得计算机权限,攻击者安装勒索软件以加密计算机,并尝试加密网络上的其他计算机。Dharma新变种是在原有基础上,在对文件进行加密时,会附加 .id-[id].[email].cmb格式的扩展名。加密文件时,此勒索软件会在受感染的计算机上创建两个不同的勒索赎金说明,一个为当用户登录到计算机时由自动运行启动的Info.hta文件,另一个安装在桌面上的FILES ENCRYPTED.txt文件,赎金说明中都包含联系paymentbtc@firemail[.]cc以获取付款指示的说明。此勒索软件还将加密映射的网络驱动器、共享虚拟机主机驱动器和未映射的网络共享,以剥夺访问权限。还自行配置为用户登陆Windows时自动启动,这允许攻击者对用户创建的新文件进行加密。目前还没有免费解密CMB勒索软件的方法。
https://www.bleepingcomputer.com ... e-variant-released/
3 DLink漏洞被用于针对巴西银行的网络劫持
Radware威胁研究中心发现了一项针对巴西银行的劫持活动。今年6月12以来,Radware公司的蜜网记录到多起试图感染某个D-Link DSL路由器的旧漏洞利用的攻击,该漏洞利用使攻击者可远程配置调制解调器/路由器,修改其DNS服务器设置。该漏洞利用早在2015年2月已公布,涉及多种DSL路由器,其中大多数是D-Link。此次攻击中,攻击者将路由器的DNS设置更改为其控制的恶意DNS服务器,将客户对巴西银行Banco de Brasil和金融机构Itau Unibanco的访问重定向到一个假冒的、克隆的银行网站上(Itau暂时没有被重定向到克隆网站);当用户填写帐户信息时,攻击者就可窃取其信息。该攻击的独特之处是其隐蔽性:流量劫持无需与用户进行交互即可完成。Radware现已告知发生劫持的银行。
https://blog.radware.com/securit ... ian-bank-customers/
4 安全厂商称SamSam勒索软件已获巨额赎金
Sophos经理Peter MacKenzie在Black Hat会议上称,到目前为止SamSam勒索软件创建者已获赎金600万美元,74%的已知受害者位于美国,其中随机支付的最高金额高达64,000美元。SamSam勒索软件主要目标为公共(医疗保健、教育和政府中的大中型公共部门组织)和私营部门组织,公共对所遭受的攻击进行大部分公开,而占总攻击一半的私营部门从未公开。SamSam攻击是非典型的勒索软件攻击,其中语法错误是攻击者可能不会说英语作为第一语言的线索,但攻击并不依赖于典型的恶意垃圾邮件和附件,使用类似于远程桌面协议允许的快速登录的工具。一旦进入,攻击者将荷载横向传播到整个网络,进行潜伏等待指令开始加密。SamSam加密文档文件、图片、其他个人或工作数据、运行应用程序所需的配置和数据文件,采用备份策略的用户只能保护其文档和私人文件;但是该策略无法对付系统因感染该勒索软件,而无法正常工作的情况,除非重装机器。MacKenzie称,研究表明SamSam的可能属于一个小团体。
https://www.scmagazine.com/black ... ors/article/787652/
SamSam-The-Almost-Six-Million-Dollar-Ransomware.pdf
(2.68 MB, 下载次数: 32)
5 研究者指出替代SS7的Diameter协议存在缺陷
诺基亚贝尔实验室的Silke Holtmanns博士在Black Hat会议上称,移动运营商的网络上使用替代SS7协议的新系统仍然存在漏洞。移动运营商使用的SS7协议套件进行漫游时,是建立在信任之上,但是基本上没有安全保障,允许欺诈行为、短信劫持、窃听和密码盗窃等。新系统使用的名为Diameter的新协议,旧系统使用了SS7和Radius两个协议套件,Diameter是Radius的后续产品,并且也具有SS7协议的功能。但是存在缺陷,它的逐跳式路由可以被攻击者用来欺骗端点,伪装成用户要访问的公司。黑客可以与通过电话使用Stingray之类的设备收集唯一ID号(称为IMSI)的能力相结合,伪装成用户要访问的公司。Holtmanns博士提醒应重视此类事件的安全。
https://techcrunch.com/2018/08/1 ... ir-roaming-charges/
6 美国TSA承认开展Quiet Skies计划收集旅客信息
美国运输安全管理局(TSA)称开展针对美国公民的Quiet Skies计划,该计划在近几个月监测了约5000名美国公民的国内航班信息。此监视计划旨在收集有关公民行动及其行为的广泛信息。美国当局已经开始监控那些没有犯罪嫌疑或参与恐怖组织的美国公民,包括针对在特定国家待过一段时间或在一定特定时间段内访问这些国家的人,包括保留与恐怖主义嫌疑人相关的电子邮件地址或电话号码。现已启动了Quiet Skies计划,以阻止由未知或部分已知的恐怖分子构成的商用飞机的威胁。
https://securityaffairs.co/wordp ... urveillance-us.html
|
发表于 2018-8-12 21:52
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡