安全资讯报告

FBI：提防LockBit 2.0勒索软件

联邦调查局(FBI)发布了关于LockBit 2.0的新警告。建议公司启用多因素身份验证(MFA)并为所有管理员和高价值帐户使用强大、唯一的密码，以阻止当今互联网上最繁忙的攻击组织之一使用的勒索软件的压力。

FBI表示，LockBit的运营商已经开始为目标公司的内部人员做广告，以帮助他们建立对网络的初始访问权限。内部人士被承诺从一次成功的攻击中分得一杯羹。一个月前，它开始通过滥用Active Directory中的组策略跨Windows域自动加密设备。

Lockbit 2.0识别并收集受感染设备的主机名、主机配置、域信息、本地驱动器配置、远程共享和安装的外部存储设备。会尝试加密保存到任何本地或远程设备的数据。

除了要求网络邮件、VPN和关键系统帐户的强大、唯一密码和MFA之外，FBI还建议采取一系列缓解措施，包括保持操作系统和软件为最新状态，以及删除对管理共享的不必要访问。它还建议使用基于主机的防火墙并在Windows中启用“受保护的文件”，参考Microsoft的受控文件夹访问。

它还建议公司对他们的网络进行分段，调查任何异常活动，对设置在管理员或更高级别的帐户实施基于时间的访问，禁用命令行和脚本活动和权限，当然还要维护数据的离线备份。

新闻来源：

https://www.zdnet.com/article/fbi-watch-out-for-lockbit-2-0-ransomware-heres-how-to-reduce-the-risk-to-your-network/

Swissport勒索软件攻击导致航班延误

在上周晚些时候发生勒索软件攻击导致航班延误后，机场服务巨头Swissport正在恢复其IT系统。

这家总部位于苏黎世的公司，业务范包括从登机口和机场安检到行李处理、飞机加油和除冰以及休息室招待。它声称去年为9700万乘客提供了地面服务，并处理了超过500万吨的货运业务。

Swissport周五在Twitter上警告其IT基础设施受到了勒索软件的攻击，并对服务交付造成的任何影响表示歉意。

目前尚不清楚此次停电对其全球众多客户的影响究竟有多严重。然而，德国媒体的一份报告显示，这导致苏黎世机场暂时延误。袭击者于2月3日星期四凌晨发动袭击。到星期五，苏黎世机场的运营没有受到重大影响。

据报道，该公司在停机期间启动了备份程序。

新闻来源：

https://www.infosecurity-magazine.com/news/swissport-ransomware-attack/

安全漏洞威胁

CISA命令联邦机构修补Windows漏洞

美国网络安全和基础设施安全局(CISA)正在敦促联邦机构保护其系统免受Windows中一个被积极利用的安全漏洞的影响，该漏洞可能被滥用以获得对受影响主机的更高权限。

该机构已将CVE-2022-21882（CVSS评分：7.0）添加到已知被利用漏洞目录中，要求联邦民事执行局(FCEB)机构在2022年2月18日之前针对此漏洞修补所有系统。

CISA在上周发布的一份咨询报告中表示：“这些类型的漏洞是各种恶意网络参与者的常见攻击媒介，并对联邦企业构成重大风险。”

CVE-2022-21882被标记为“更有可能被利用”可利用性指数评估，涉及影响Win32k组件的特权提升漏洞案例。微软已在其2022年1月补丁星期二更新中解决了该漏洞。

经过身份验证的本地攻击者可以通过Win32k.sys驱动程序中的漏洞获得提升的本地系统或管理员权限。该漏洞影响Windows 10、Windows 11、Windows Server 2019和Windows Server 2022。

新闻来源：

https://thehackernews.com/2022/02/cisa-orders-federal-agencies-to-patch.html