安全资讯报告

网络攻击对科罗拉多电力公司造成严重破坏

科罗拉多州的一家电力公司披露了一次明显的勒索软件攻击，攻击导致严重的中断和破坏。

DMEA是一家成员所有和地方控制的农村电力合作社，为科罗拉多州蒙特罗斯、德尔塔和甘尼森县的34,000多个客户提供服务。它是试金石能源合作社的一部分，该合作社联盟在美国拥有750多个成员。

DMEA上周透露，它在11月7日发现其内部网络遭到破坏。黑客攻击导致电话、电子邮件、账单和客户帐户系统中断，以及文档、电子表格和表格“损坏”。网络攻击导致90%的内部控制和系统损坏、损坏或禁用，并声称大部分可追溯到20多年的历史数据丢失。

DMEA表示，其电网和光纤网络——该公司还提供互联网服务——没有受到事件的影响。该公用事业公司仍在努力恢复受影响的服务，因此它告诉客户，所有罚款和因未付款而断线的费用将暂停至2022年1月底。

虽然该公司没有提供任何关于攻击类型的信息，但它对事件的描述表明它涉及文件加密勒索软件。

DMEA表示，它没有发现任何证据表明敏感数据因泄露而受到损害。

该公司表示：“我们非常有信心，没有任何敏感的成员或员工信息被泄露。”

这表明该实用程序可能是勒索软件攻击的受害者，在这种攻击中，网络犯罪分子仅对受攻击系统上的数据进行加密，而不会窃取任何文件。SecurityWeek已经检查了几个主要勒索软件组织的网站，这些组织通常威胁要从受害者那里泄露数据，除非支付赎金，并且在任何网站上都没有提到DMEA。

新闻来源：

https://www.cyclonis.com/zh-hans/colorado-electric-company-hit-by-cyber-attack/

加拿大超过一半的勒索软件攻击关键基础设施

渥太华——加拿大数字网络安全机构警告称，截至2021年，已知的针对加拿大受害者的勒索软件攻击已达235起，其中一半以上针对关键基础设施供应商，如电网、石油和天然气以及医院。

通信安全机构(CSE)加拿大网络安全中心在周一发布的新网络威胁公告中警告说，这只是冰山一角，因为“大多数”勒索软件攻击未被报告。

CSE指出，在全球范围内，与上一年相比，2021年前六个月的勒索软件攻击增加了151%。全球平均赎金支付似乎稳定在20万美元左右，但个人或组织从攻击中恢复的成本激增，从今年的不到100万美元跃升至今年的230万美元。

新闻来源：

https://nationalpost.com/news/politics/over-half-of-known-ransomware-attacks-in-canada-targeted-critical-infrastructure-providers-cse

老板们不愿意在网络安全上花钱，然后他们被黑了

许多企业仍然不愿意在网络安全上花钱，因为他们认为这是额外的成本——然后发现他们在被黑客攻击后必须花费更多的现金从网络事件中恢复。

勒索软件、商业电子邮件泄露(BEC)诈骗和数据泄露等网络攻击是当今企业面临的一些关键问题，但尽管备受瞩目的事件数量众多且后果昂贵，但许多董事会仍不愿腾出预算进行投资采取必要的网络安全措施以避免成为下一个受害者。

成为勒索软件攻击等重大网络事件受害者的成本可能比投资于首先阻止事件的人员和程序的成本高出许多倍——许多组织只有在为时已晚后才完全意识到这一点。

例如，一个组织可能最终会向勒索软件犯罪分子支付数百万美元以获得加密网络的解密密钥——然后在事件发生后调查、修复和恢复整个企业的IT基础设施会产生额外的成本。即使对于拥有成熟网络安全战略的组织而言，由于对具备所需技能的员工的高需求，培训、雇用和留住员工仍然是一项挑战。

新闻来源：

https://www.zdnet.com/article/too-many-bosses-are-reluctant-to-spend-money-on-cybersecurity-then-they-get-hacked/

Microsoft Office 365成为新型网络钓鱼攻击的目标

安全研究人员警告称，正在进行的网络钓鱼活动正在利用虚假的Office 365通知来欺骗不知情的用户。通知会警告用户已阻止垃圾邮件，并要求他们查看邮件。当然，这些链接是恶意的，并且装有间谍软件，可以窃取用户的Microsoft帐户详细信息。

这些电子邮件特别危险，因为它们看起来与地址隔离[at]messaging.microsoft.com是合法的。显示名称也与收件人的域相匹配，使其更加可信。

此外，每封电子邮件都有Office 365徽标和指向Microsoft真实隐私声明的链接。但是，足够关注的用户会看到一些标准问题，这些问题暴露了邮件的性质。具体来说，正文中的粗制格式和奇怪的空格。

“提供了'防止垃圾邮件'的详细信息，诈骗者将主题标题个性化为'[公司域]调整：交易费用第三季度更新'以营造紧迫感并使用与财务相关的消息。”

新闻来源：

https://winbuzzer.com/2021/12/06/microsoft-office-365-targeted-by-new-phishing-attack-xcxwbn/

Nordic Choice酒店受到Conti勒索软件的打击，尚未提出赎金要求

Nordic Choice Hotels现已确认Conti勒索软件集团对其系统进行网络攻击。该事件主要影响酒店的客人预订和房间钥匙卡系统。虽然没有迹象表明密码或付款信息受到影响，但与客人预订有关的信息可能会泄露。这家斯堪的纳维亚连锁酒店拥有16，000多名员工，在斯堪的纳维亚半岛、芬兰和波罗的海地区拥有200家酒店。

其中一位酒店客人，安全研究员Runa Sandvik也报告了钥匙卡已停止服务。目前还没有赎金要求，执法部门参与其中，包括挪威数据保护局和挪威国家安全局在内的执法机构于12月2日（与袭击发生同一天）接到酒店公司袭击的通知。

"我们的调查目前没有任何迹象表明数据已被泄露，但我们不能保证情况确实如此。因此，该事件存在有关客人预订信息可能丢失的风险，"该公司在一份新闻稿中解释道。

尽管酒店集团目前还不能确定是否存在任何数据泄露，但决定保持透明并通知其成员该事件是为了让他们随时了解任何可疑的通信（可能针对他们的文本，消息，电话或电子邮件）。

目前，酒店集团已"选择不联系"攻击背后的威胁行为者，也没有收到Conti勒索软件集团的赎金要求。

BleepingComputer也没有在Conti的数据泄露页面上看到酒店集团的名字，这表明勒索软件攻击处于早期阶段，谈判可能尚未开始。

"在周末，我们已经设法在大多数酒店实施了替代解决方案。这项工作现在正在如火如荼地进行，以使每个人都恢复正常运营，我们认为将在未来几天内完成这项工作，"Nordic Choice Hotels副首席执行官Bjørn Arild Wisth说。

新闻来源：

https://www.bleepingcomputer.com/news/security/nordic-choice-hotels-hit-by-conti-ransomware-no-ransom-demand-yet/

勒索软件“疫苗”可以阻止加密

德国安全软件公司G DATA发布了一种疫苗，可以阻止STOP勒索软件在感染后加密受害者的文件。"这个工具并不能防止感染本身。STOP勒索软件仍将放置赎金记录，并可能更改系统上的设置，"G DATA恶意软件分析师Karsten Hahn和John Parol解释说。

"但是，如果系统有疫苗，STOP勒索软件将不再加密文件。赎金票据将包含一个字符串，而不是个人ID，该文件受疫苗保护。您可以下载停止勒索软件疫苗，作为编译的.EXE或Python脚本。

此疫苗可能会导致您的安全软件认为您的系统已被感染，因为它的工作原理是添加恶意软件通常部署在受感染系统上的文件，以欺骗设备已经受到攻击的勒索软件。

虽然Emsisoft和Michael Gillespie也于2019年10月发布了STOP勒索软件解密器，以免费解密由148个变体加密的文件，但它不再适用于较新的变体。

但是，由于威胁行为者通常会在疫苗发布后绕过疫苗，因此此疫苗可能会停止用于此勒索软件的未来版本。因此，在接种疫苗后，您应该确保您的重要文件也得到备份！

虽然其他勒索软件菌株受到媒体关注最多，但近年来，STOP勒索软件一直是BleepingComputer论坛上最重要的ID勒索软件提交和支持请求的幕后推手。在高勒索软件活动期间每天提交的数千个ID勒索软件中，60%到70%是STOP勒索软件提交。

除了使用此部署方法外，STOP只是您的普通勒索软件，它会加密文件，附加扩展名，并删除一个便笺，要求赎金从$ 500到$ 1000不等。然而，使它如此成功的是大量变体不断被释放以避免被发现。

新闻来源：

https://www.bleepingcomputer.com/news/security/stop-ransomware-vaccine-released-to-block-encryption/