安全资讯报告

巴西卫生部在一周内遭受两次勒索软件攻击，疫苗接种数据被盗

巴西卫生部正在考虑延长处理Covid-19疫苗接种数据的系统的停机时间，因为它试图从这种确切情况中恢复过来，以应对相隔仅四天的两次重大袭击。

目前尚不清楚这两次勒索软件攻击是否来自同一来源，但第一次可能具有激进主义元素。一家名为Lapsus$Group的黑客组织声称，他们瞄准并删除了颁发该国数字接种证书所需的疫苗接种数据。后续攻击不太成功，但针对相同的数据并造成足够的破坏，延迟了卫生部系统的恢复。

第一次勒索软件攻击发生在12月10日，使卫生部的所有网站都下线了一段时间。Lapsus$Group向卫生部发送了一条消息，将这次攻击归咎于他们，声称他们从Covid跟踪程序中提取了大约50TB的数据，随后将其从该机构的服务器中删除。

12月14日发生了第二次攻击，目标是许多相同的系统。这次似乎并没有以数据被盗或删除而告终，但勒索软件攻击确实使用于跟踪Covid治疗的ConecteSUS应用程序脱机了一段时间。对于巴西居民，第二次勒索软件攻击所针对的ConecteSUS应用程序用于个人跟踪Covid-19测试和状态。该应用程序基本上提供了对与Covid治疗相关的任何医疗记录的访问权限：测试、接种的疫苗、住院时间以及他们为治疗而开出的任何药物。卫生部表示，该应用程序的数据已得到备份，但该应用程序在第一次攻击一周后仍然无法使用。

新闻来源：

https://www.cpomagazine.com/cyber-security/health-ministry-of-brazil-hit-by-two-ransomware-attacks-in-one-week-vaccination-data-stolen-taken-offline/

Pysa勒索软件针对更多企业

Pysa是勒索软件团伙之一，该团伙利用双重勒索向受害者施压以支付勒索要求，并在上个月泄露了50个先前受感染组织的漏洞。总体而言，11月Pysa攻击的数量增加了50%，这意味着它超过Conti并加入Lockbit，成为恶意软件最常见的前两个版本。Pysa在试图勒索目标数周或数月后泄露了目标数据。

NCC Group指出，Pysa的目标是高价值的金融、政府和医疗保健组织。

在所有勒索软件团伙中，当月来自北美的受害者总数达到154个，其中140个是美国组织，而欧洲的受害者在11月达到了96个。工业部门是最有针对性的，而对技术部门的攻击减少了38%。

新闻来源：

https://www.zdnet.com/article/this-ransomware-strain-just-started-targeting-lots-more-businesses/

Dridex恶意软件使用虚假的解雇电子邮件来欺骗员工

一个新的Dridex恶意软件网络钓鱼活动正在使用假的员工解雇电子邮件作为诱饵打开恶意Excel文档，然后用季节的问候信息诱骗受害者。

Dridex是一种通过恶意电子邮件传播的银行恶意软件，最初开发用于窃取在线银行凭据。随着时间的推移，开发人员不断发展恶意软件以使用不同的模块来提供额外的恶意行为，例如安装其他恶意软件有效载荷、提供对威胁行为者的远程访问或传播到网络上的其他设备。

该恶意软件由名为Evil Corp的黑客组织创建，该组织支持各种勒索软件操作，例如BitPaymer、DoppelPaymer、WastedLocker变体和Grief。因此，众所周知，Dridex感染会导致对受感染网络的勒索软件攻击。

这些电子邮件使用“员工终止”主题，并告诉收件人他们的雇佣将于2021年12月24日结束，并且“此决定不可撤销”。

这些电子邮件包括一个名为“TermLetter.xls”的附加Excel密码保护电子表格，据称其中包含有关他们被解雇的原因以及打开文档所需的密码的信息。当收件人打开Excel电子表格并输入密码时，会显示一个模糊的“人员操作表”，说他们必须“启用内容”才能正确查看。当受害者启用内容时，将显示一个弹出窗口并警告受害者，“亲爱的员工圣诞快乐！”

然而，在受害者不知情的情况下，恶意宏已被执行，以创建并启动保存在C:\ProgramData文件夹中的恶意HTA文件。这个随机命名的HTA文件假装是一个RTF文件，但包含恶意VBScript，它从Discord下载Dridex以感染设备，同时祝受害者圣诞快乐。

Dridex启动后，它将开始安装其他恶意软件、窃取凭据并执行其他恶意行为。由于Dridex感染通常会导致勒索软件攻击，因此Windows管理员需要掌握最新的恶意软件分发方法，并培训员工如何发现它们。

新闻来源：

https://www.bleepingcomputer.com/news/security/dridex-malware-trolls-employees-with-fake-job-termination-emails/

警方在被黑的云服务器上发现了2.25亿个被盗密码

英国国家犯罪署(NCA)和国家网络犯罪部门(NCCU)发现了2.25亿个被盗电子邮箱和密码缓存。

这2.25亿个新密码成为HIPB现有的6.13亿个密码集合中的一部分，该集合为网站运营商提供密码散列，以确保用户在创建新帐户时不会使用它们。

NCA告诉BBC，去年与英国警方合作，发现一家英国组织的云存储设施遭到入侵，导致网络犯罪分子将超过40,000个文件上传到他们的服务器。在这些文件中，有被泄露的电子邮箱和密码的集合。

新闻来源：

https://www.zdnet.com/article/police-found-225-million-stolen-passwords-hidden-on-a-hacked-cloud-server-is-yours-one-of-them/

安全漏洞威胁

Active Directory漏洞可能让黑客接管Windows域控制器

在12月12日推出概念验证(PoC)工具后，微软正在敦促客户修补Active Directory域控制器中的两个安全漏洞，该漏洞已于11月解决。

这两个漏洞（跟踪为CVE-2021-42278和CVE-2021-42287）的严重性等级为7.5，最高为10，涉及影响Active Directory域服务组件的权限提升缺陷。

Active Directory是一种在Microsoft Windows Server上运行的目录服务，用于身份和访问管理。尽管这家科技巨头在其评估中将这些缺陷标记为“不太可能被利用”，但PoC的公开披露促使人们再次呼吁应用修复程序以减轻威胁行为者的任何潜在利用。

虽然CVE-2021-42278使攻击者能够篡改SAM-Account-Name属性（用于将用户登录到Active Directory域中的系统），但CVE-2021-42287可以模拟域控制器。这有效地授予具有域用户凭据的不良行为者以域管理员用户身份获得访问权限。

“当结合这两个漏洞时，攻击者可以在没有应用这些新更新的ActiveDirectory环境中创建一个直接访问域管理员用户的路径，”微软高级产品经理DanielNaim说。“一旦攻击者危害域中的普通用户，这种升级攻击允许攻击者轻松地将他们的权限提升为域管理员的权限。”

微软建议用户在域控制器上安装最新的补丁。

新闻来源：

https://thehackernews.com/2021/12/active-directory-bugs-could-let-hackers.html