安全资讯报告

指挥10万多台僵尸机器人网络的黑客被乌克兰警方抓获

乌克兰执法部门宣布逮捕一名嫌疑人，该嫌疑人被指控运行一个包含超过100,000个受感染系统的巨型恶意软件僵尸网络。

当局表示，嫌疑人利用他们的僵尸网络发起DDoS攻击、发送垃圾邮件、暴力破解用户帐户密码、扫描网络漏洞并加以利用。

逮捕消息是在俄罗斯安全公司Rostelecom-Solar帮助破坏MerisDDoS僵尸网络以及美国当局指控一名与WireX僵尸网络有关的土耳其国民之后发布的。

目前尚不清楚在乌克兰被捕的嫌疑人与哪个恶意软件僵尸网络有关。

新闻来源： 

https://therecord.media/ukraine-arrests-operator-of-ddos-botnet-with-100000-bots/

澳大利亚：勒索软件攻击比上半年增长24%

澳大利亚信息专员办公室(OAIC)报告称，与前六个月的报告期相比，勒索软件事件增加了24%。随着恶意行为者变得更加老练，去年澳大利亚和新西兰的平均赎金支付大幅增加。网络犯罪分子过去一直在寻找漏洞，而现在他们的方法和目标更有针对性。网络攻击和事件的最大成本之一不是赎金本身的价格，而是与聘请取证IT公司调查潜在数据泄露和暴露相关的费用。

据OAIC称，恶意攻击是数据泄露的主要来源，占所有事件的65%。人为错误归因于30%，其余归因于系统故障。有些人可能认为向网络犯罪分子支付赎金将是恢复网络最快、最具成本效益的方法，但事实并非如此。支付的赎金可能会花费很多，但对受损网络的事后分析和重建也非常昂贵。从勒索软件事件中恢复不是一个快速的过程。调查、系统重建和数据恢复通常需要数周的工作。

新闻来源：  

https://www.accountantsdaily.com.au/sponsored-features/16255-ransomware-are-you-the-next-target

工信部：进一步强化车联网安全监管

中国工业和信息化部表示，将进一步健全完善车联网安全监管，研究制定数据出境安全评估办法等，并强化车联网安全监测和漏洞管理。

在加强车联网安全监管方面，将督促车联网平台落实电信业务经营许可管理要求，加强网络安全防护和监督检查，督促企业落实网络安全、数据安全保护义务。

中国工信部9月末发布“工业和信息化领域数据安全管理办法（试行）征求意见稿”，中国境内收集和产生的重要数据应当在境内存储，确需向境外提供的，应当依法依规进行数据出境安全评估，在确保安全的前提下进行数据出境，并加强对数据出境后的跟踪掌握，“核心数据不得出境。”

新闻来源：   

https://cn.reuters.com/article/%E4%B8%AD%E5%9B%BD%E5%B7%A5%E4%BF%A1%E9%83%A8%EF%BC%9A%E8%BF%9B%E4%B8%80%E6%AD%A5%E5%BC%BA%E5%8C%96%E8%BD%A6%E8%81%94%E7%BD%91%E5%AE%89%E5%85%A8%E7%9B%91%E7%AE%A1%EF%BC%8C%E7%A0%94%E7%A9%B6%E5%88%B6%E5%AE%9A%E6%95%B0%E6%8D%AE%E5%87%BA%E5%A2%83%E5%AE%89%E5%85%A8%E8%AF%84%E4%BC%B0%E5%8A%9E%E6%B3%95-idCNL4S2R71IB

网络安全三年计划勾画两千亿蓝海，产业链拥抱上升周期

随着车联网等新兴产业兴起，网络安全产业迎来更大机遇。据媒体今日从工信部获悉，主管部门将印发《网络安全产业高质量发展三年行动计划(2021-2023年)》，培养一批面向车联网、工业互联网等新赛道的“专精特新”中小企业。《计划》要求，到2023年，我国网络安全产业规模超过2500亿元，电信等重点行业网络安全投入占信息化投入比例不低于10%。

新闻来源：

https://www.cls.cn/detail/849734

安全漏洞威胁

勒索软件入侵组织FIN12在欧洲崛起

安全研究人员警告说，一个长期运行的威胁组织在快速部署勒索软件和医疗保健部门受害者方面有着良好的记录，正在加强其在欧洲和亚太地区的业务。

在一份详细介绍FIN12工作的新报告中，这家威胁情报公司声称，自2018年首次记录其活动以来，这个多产的威胁组织主要关注北美目标。但近期，该组织的重点似乎有所转移。

“我们在2021年上半年观察到的北美以外的受害者组织数量是我们在2019年和2020年观察到的总和的两倍。总的来说，这些组织的总部设在澳大利亚、哥伦比亚、法国、印度尼西亚、爱尔兰、菲律宾、韩国、西班牙、阿拉伯联合酋长国和英国，”Mandiant在一篇博文中解释道。

该组织显然使用Ryuk勒索软件瞄准收入超过3亿美元的组织，与网络地下的其他参与者合作进行初始访问，尤其是那些与Trickbot和BazarLoader恶意软件有关联的组织。

通过这些合作伙伴关系并避免双重勒索策略，FIN12大大缩短了将勒索软件部署到受害者网络所需的时间。

新闻来源： 

https://www.infosecurity-magazine.com/news/ransomware-intrusion-group-fin12/

FontOnLake恶意软件在有针对性的攻击Linux系统

网络安全公司ESET的研究人员称，名为FontOnLake的恶意软件似乎经过精心设计，并且在积极开发中已经包括远程访问选项、凭据窃取功能，并且能够初始化代理服务器。

FontOnLake是一种模块化恶意软件，它利用自定义二进制文件来感染机器并执行恶意代码。虽然ESET仍在调查FontOnLake，但该公司表示，其已知组件包括木马应用程序，用于加载后门、rootkit和收集信息。总共有三个后门也与FontOnLake相关联。后门都是用C++编写的，并为数据泄露创建了一个通往同一个C2的桥梁。此外，他们能够发出“心跳”命令以保持此连接处于活动状态。

FontOnLake始终与内核模式rootkit结合在一起，以在受感染的Linux机器上保持持久性。据Avast称，rootkit基于开源Suterusu项目。

新闻来源： 

https://www.zdnet.com/article/fontonlake-malware-strikes-linux-systems-in-targeted-attacks/

GhostShell恶意软件监视航空航天和电信公司

GhostShell恶意软件是一种工业间谍活动，该活动通过一种能够逃避安全工具并滥用Dropbox服务进行命令和控制的恶意软件，使窃取有关关键资产、基础设施和技术的敏感信息成为可能。

GhostShell主要针对中东的航空航天和电信行业，并在美国、俄罗斯和欧洲造成了多名人员伤亡。

该活动由一个名为MalKamak的APT组织精心策划，已持续至少三年，旨在窃取有关关键资产、基础设施和技术的敏感信息。

实际上，网络和设备是通过隐藏在云存储系统中的RAT（远程访问木马）来监视的：这是访问关键基础设施或基本服务的敏感数据的最新网络犯罪设备之一。因此，GhostShell行动证实了现在威胁行为者中越来越普遍，通过使用设备、软件或存储系统作为入口来制造破坏和实施恐怖行为。

新闻来源： 

https://www.cybersecurity360.it/nuove-minacce/operazione-ghostshell-cosi-il-malware-silente-ha-spiato-aziende-aerospaziali-e-telco-i-dettagli/

安全防护攻略

借助云，可有效阻止勒索软件攻击

根据Check Point Software的一份报告显示，2021年上半年的勒索软件攻击比去年同期增加了93%。Palo Alto Networks的Unit42安全小组还发现，自2020年以来，付款增长了80%以上，在2021年上半年达到创纪录的平均570,000美元。此外，该报告指出，黑客现在有四种技术可用于勒索受害者，包括文件加密、数据盗窃、拒绝服务和骚扰合作伙伴、联系人和员工等。

据IDG分析师称，去年，超过40%的公司将大部分或全部环境置于云中，预计这一数字将在18个月内增加60%以上。如果使用得当，云不仅有助于阻止勒索软件攻击者，而且如果公司成为牺牲品，云会显着提高他们恢复、停止损失和快速恢复业务的能力。

Sophos对中型组织的5,400名IT决策者进行的一项调查表明，从勒索软件攻击中恢复的成本在过去一年中增加了一倍多。此外，修复费用（包括停机时间和销售损失等因素）从761,106美元增加到185万美元。这不仅使恢复费用是平均勒索软件支付本身的10倍以上，而且调查结果还显示，只有8%的公司最终取回了所有数据，三分之一的公司取回的不超过一半。

因此，企业在云中拥有的基础设施越多，勒索软件造成严重破坏的可能性就越小。

新闻来源：

https://securityboulevard.com/2021/10/staying-ahead-of-ransomware-with-the-cloud/

人力资源部门应该为员工培训防勒索软件攻击做必要准备

据波士顿安全公司Recorded Future称，美国去年发生了65,000次勒索软件攻击。美国国家安全局(NSA)局长保罗·中曾根(Paul Nakasone)上周预测，在未来五年内，美国将“每天”面临勒索软件攻击。

攻击者可以通过看似无数的方式进入公司系统。从网络钓鱼（欺诈性电子邮件）到vishing（电话）再到SMSishing（短信）。在最恶劣的情况下，勒索软件攻击可能是生死攸关的：攻击者越来越多地瞄准医院系统。2019年，一次此类袭击和由此造成的混乱可能导致一名新生婴儿死亡。经济损失更是天文数字。根据网络安全公司Sophos的一项全球调查，恢复的平均总成本使公司退回185万美元。

而人力资源部门在数据争夺战中至关重要。网络安全顾问RobertGrimes的建议是：人力资源部门应确保所有员工都接受有关如何避免虚假信息诈骗的培训。

新闻来源：

https://www.morningbrew.com/hr/stories/2021/10/11/your-hr-department-should-start-preparing-for-the-next-ransomware-attack