安全资讯报告

美国TrickBot恶意软件开发者或将面临60年监禁

一名据信是TrickBot恶意软件开发团队成员的俄罗斯国民已被引渡到美国，目前面临可能使他入狱60年的指控。

起诉书称，38岁的Vladimir Dunaev，也被称为FFX，是一名恶意软件开发人员，负责监督TrickBot浏览器注入模块的创建。

他是第二位与司法部今年逮捕的TrickBot团伙有关的恶意软件开发者。2月，拉脱维亚国民Alla Witte，又名Max，因编写与勒索软件控制和部署相关的代码而被捕。

根据起诉书，TrickBot团伙至少有17名成员，每个成员在行动中都有特定的属性：

• 恶意软件经理-概述编程需求、管理财务、部署TrickBot恶意

• 软件开发人员-开发TrickBot模块并将其交给他人进行加密

• Crypter-加密TrickBot模块以逃避防病毒检测

• 垃圾邮件制造者-通过垃圾邮件和网络钓鱼活动分发TrickBot的人

• TrickBot于2015年从Dyre银行木马的灰烬中创建，最初专注于通过网络注入和记录受害者用户的按键来窃取银行凭据

后来，它发展成为还可以分发其他威胁的模块化恶意软件。如今，该团伙更喜欢在公司网络上投放勒索软件，尤其是Conti。

据信，TrickBot已经感染了数百万台计算机，使其运营商能够窃取个人和敏感信息并从受害者的银行账户中窃取资金。

该恶意软件影响了美国、英国、澳大利亚、比利时、加拿大、德国、印度、意大利、墨西哥、西班牙和俄罗斯的企业。

除了Dunaev和Witta之外，美国司法部还起诉了TrickBot团伙的其他成员，他们的名字尚未公开，分布在多个国家，其中包括俄罗斯、白俄罗斯和乌克兰。

新闻来源：

https://www.bleepingcomputer.com/news/security/trickbot-malware-dev-extradited-to-us-faces-60-years-in-prison/

在Covid-19激增期间，勒索软件袭击了巴布亚新几内亚

据彭博社报道，巴布亚新几内亚政府财政办公室遭到勒索软件网络攻击，黑客索要比特币。虽然围绕这次攻击的许多细节仍不清楚，但很明显，黑客不再只针对最富有的国家和最富有的公司使用勒索软件。

巴布亚新几内亚的许多服务严重依赖外国援助。未知黑客将PNG的财务部及其综合财务管理系统作为目标，该系统负责处理大部分财务援助。

据报道，网络攻击发生在上周，虽然我们知道黑客索要比特币，但巴布亚新几内亚政府不会透露索要多少钱。据彭博社报道，在这种情况下，外援资金似乎甚至被冻结了，尽管发生的机制尚不清楚。最重要的是，巴布亚新几内亚最近几周一直在努力应对迄今为止最严重的covid-19激增。据澳大利亚广播公司新闻报道，该国目前平均每天约有388例病例，人们普遍认为，由于检测不力，实际数字被低估了。

新闻来源：

https://gizmodo.com/cowards-hit-papua-new-guinea-with-ransomware-during-cov-1847953543

伊朗称以色列和美国可能是加油站网络攻击事件的幕后黑手

伊朗民防负责人周六指责以色列和美国可能是扰乱整个伊朗汽油销售的网络攻击的幕后黑手，但表示技术调查工作尚未完成。

“我们仍然无法从证据角度确认，但从分析角度来看，我认为这是由犹太复国主义政权、美国人和他们的代理人实施的，”负责网络安全的民防部门负责人Gholamreza Jalali在接受国家电视台采访时说。

伊朗在过去几年中表示，对网络攻击保持高度警惕。伊朗将那些网络攻击归咎于宿敌美国和以色列。同时，美国和其他西方国家则指责伊朗试图破坏和侵入他们的网络。

伊朗总统莱希(Ebrahim Raisi)本周说，此次网络攻击旨在制造“混乱”。此次攻击扰乱了伊朗汽油销售。

Jalali说，根据已完成的调查，伊朗“肯定”美国和以色列是7月对伊朗铁路和2020年5月对阿巴斯港口进行网络攻击的幕后黑手。

伊朗国家通讯社(IRNA)周六表示，伊朗4,300个加油站中约有一半现在已经重新连接网络，并恢复了汽油销售。网络攻击发生几个小时后，加油站逐渐重新开放，但只能手动操作。

新闻来源：

https://cn.reuters.com/article/%E4%BC%8A%E6%9C%97%E7%A7%B0%E4%BB%A5%E8%89%B2%E5%88%97%E5%92%8C%E7%BE%8E%E5%9B%BD%E5%8F%AF%E8%83%BD%E6%98%AF%E5%8A%A0%E6%B2%B9%E7%AB%99%E7%BD%91%E7%BB%9C%E6%94%BB%E5%87%BB%E4%BA%8B%E4%BB%B6%E7%9A%84%E5%B9%95%E5%90%8E%E9%BB%91%E6%89%8B-idCNL4S2RR00G

Gartner：2021年Q3新型勒索软件成为最大的新兴风险

根据Gartner最新的风险监测报告，2021年第三季度，高管们最担心的问题是“新型勒索软件”的威胁。对294名来自不同行业和地区的高管进行的调查显示，对勒索软件的担忧超过了流行病。

Gartner风险与审计业务副总裁Matt Shinkman表示：“高管们认为，不断演变的勒索软件攻击的负面影响非常严重，在与新冠大流行和全球供应链中断相关的众多风险中，勒索软件攻击占据了首位。”

新勒索软件模型的风险在第三季度首次出现在前五大新兴风险中，因为上一季度的最大风险“网络安全控制失败”已成熟为既定风险。排名前五位的其余风险都与大流行及其对工作的影响有关。

新的勒索软件模型在许多方面成为企业的最大威胁，这与加密货币的流行密切相关。加密货币增强了攻击者的匿名性，同时也为敲诈受害企业提供了新的模型。勒索软件的商业模式变得更加专业化和高效，包括“勒索软件即服务”和比特币支付需求，导致攻击激增。攻击本身的技术也在发展，病毒感染备份系统，不依赖网络钓鱼作为载体，更难识别“无文件”和“加密劫持”攻击等病毒。

新闻来源：

http://www.199it.com/archives/1333980.html

AbstractEmu恶意软件悄悄攻击Android设备

AbstractEmu是一种新的Android恶意软件，它使用代码抽象和反仿真检查从应用程序打开的那一刻起停止分析。当智能手机被感染时，恶意软件可以在逃避检测的同时完全控制设备。

根据Lookout Threat Labs的说法，共有19个Android应用程序被伪装成包含生根功能的实用程序应用程序。在众多流氓应用程序中，其中一个进入了Google Play商店。在被谷歌清除之前，它已经吸引了超过10,000次下载。

据说这些流氓应用程序是通过第三方商店分发的，例如三星Galaxy Store和亚马逊应用商店。还可以在Aptoide、APKPure和其他鲜为人知的市场上找到它们。

这种类型的恶意软件具有破坏性。它可以通过生根过程访问Android操作系统。不良行为者可以静默授予危险权限或安装更多恶意软件，而无需用户交互。

Lookout尚未确定AbstractEmu负责的公司或个人。然而，该公司暗示它是由一个资源丰富的团队设计的，该团队的动机是从Android智能手机用户那里窃取资金。

除了AbstractEmu，还应该注意属于UltimaSMS（诈骗活动）一部分的应用程序。这些应用已被Google删除。然而，在它们被清除之前，它们被下载了1050万次。

这些应用程序看起来像是提供视频和照片编辑器、呼叫拦截器和其他正常用途。然而，用户不知道的是他们对他们的Android设备造成了伤害。

这些虚假应用程序可以访问手机的位置并了解语言和区号。一旦获得这些详细信息，他们就可以使用它们来钓鱼以获取更多信息，例如电子邮件地址和电话号码。这些应用程序不会导致勒索软件或身份盗用。但他们确实想要钱。

当下载这些应用程序之一时，将自动订阅SMS服务。将被收取每月40美元的费用。金额将取决于居住的国家/地区和移动运营商。

新闻来源：

https://socialbarrel.com/abstractemu-malware-silently-attacks-android-devices/132947/

警方逮捕了制造1,800多次勒索软件攻击的黑客

欧洲刑警组织宣布逮捕12人，据信他们与针对71个国家的1,800名受害者的勒索软件攻击有关。根据执法报告，攻击者部署了LockerGoga、MegaCortex和Dharma等勒索软件，以及Trickbot等恶意软件和Cobalt Strike等后开发工具。

LockerGoga和MegaCortex感染在那一年达到顶峰，荷兰国家网络安全中心(NCSC)的一份报告将1,800次感染归因于Ryuk勒索软件。

与嫌疑人有关的最值得注意的案例是2019年对挪威铝生产巨头NorskHydro的袭击，导致该公司的运营受到严重和长期的中断。逮捕行动于2021年10月26日在乌克兰和瑞士进行，由于同时突击搜查，警方没收了五辆豪华汽车、电子设备和52,000美元现金。

攻击者对受感染的系统进行了加密，并留下赎金票据，要求受害者以比特币支付巨额资金以换取解密密钥。现在被捕的一些人被认为负责洗钱活动，使用比特币混合服务来掩盖资金踪迹。此次行动在执法方面取得了巨大成功，这要归功于来自七个欧洲警察部门的50多名调查员、六名欧洲刑警组织专家以及联邦调查局和美国特勤局的成员。

新闻来源：

https://www.bleepingcomputer.com/news/security/police-arrest-hackers-behind-over-1-800-ransomware-attacks/