1、Ransom DDoS攻击在今年第一季度有所下降
根据Cloudflare最近的统计数据,Ransom DDoS(勒索分布式拒绝服务)攻击在今年第一季度大幅下降。在Ransom DDoS攻击过程中,威胁参与者会用大量数据攻击目标公司,从而导致其服务中断。袭击者随后要求对方支付赎金以阻止袭击。
威胁参与者发现,造成停机可能是许多公司为重新投入运营而支付费用的强烈动机,尤其是那些面临重大财务影响风险的组织。需要注意的是,Ransom DDoS攻击是由不同于勒索软件团伙的威胁行为人发起的,他们利用DDoS在文件加密和发布被盗数据的威胁之外,给受害者施加更多压力。
Cloudflare报告称,Ransom DDoS攻击在2022年大幅下降,1月份只有17%的DDoS目标客户报告勒索,2月份只有6%,3月份只有3%。与2021年最后一个季度相比,这比去年同期下降了28%,下降了52%,当时赎金DDoS攻击在上个月飙升至28%。
目前,这种下降的原因尚不清楚。
2、微软:新的恶意软件使用Windows漏洞来隐藏计划的任务
微软发现了一种新的恶意软件,通过创建和隐藏计划任务在受损的Windows系统上保持持久性。
Hafnium threat group 此前曾将美国国防公司、智库和研究人员作为网络间谍攻击的目标。
它也是国家赞助的组织之一,与微软去年全球范围内利用ProxyLogon零日漏洞攻击所有受支持的Microsoft Exchange版本有关。微软检测与响应团队(DART)表示:“随着微软继续跟踪高优先级的国家赞助的威胁行为者Hafnium,已经发现了利用未修补的零日漏洞作为初始载体的新活动。”
“进一步的调查揭示了使用Impacket工具进行横向移动和执行的forensic artifacts,发现了一个名为Tarrask的防御规避恶意软件,该软件创建了‘隐藏’的计划任务,并随后采取行动删除任务属性,以使计划任务不受传统识别手段的影响。”
3、严重的 HP Teradici PCoIP 漏洞影响 1500 万个端点
HP警告说,Teradici PCoIP客户端和代理中针对Windows、Linux和macOS的新的关键安全漏洞会影响1500万个端点。这家计算机和软件供应商发现,Teradici受到最近披露的OpenSSL证书解析漏洞的影响,该漏洞在Expat中导致无限拒绝服务循环和多个整数溢出漏洞。
Teradici PCoIP(PC over IP)是一个专有的远程桌面协议,授权给许多虚拟化产品供应商,在2021由惠普收购,并在此后使用它自己的产品。
根据官方网站,Teradici PCoIP产品部署在15000000个端点,支持政府机构、军队、游戏开发公司、广播公司、新闻机构等。
4、LockBit勒索软件团伙潜伏在美国政府网络中数月
安全研究人员发现,在有效载荷被部署之前,美国一个地区政府机构被LockBit勒索软件入侵,其网络中的威胁行为人至少存在五个月。
从受损机器中检索到的日志显示,有两个威胁集团对其进行了破坏,并参与了侦察和远程访问行动。
攻击者试图通过删除事件日志来删除他们的踪迹,但这些文件的碎片仍然存在,使威胁分析人员得以窥见该行为人及其战术。
最初允许攻击的通道是一种保护功能,该机构的一名技术人员在一次维护操作后禁用了该功能。
据网络安全公司Sophos的研究人员称,该行为人通过配置错误的防火墙上的开放远程桌面(RDP)端口访问网络,然后使用Chrome下载攻击所需的工具。
5、RaidForums论坛黑客论坛被警方查封,其所有者被捕
主要用于交易和销售被盗数据库的RaidForums黑客论坛在止血带行动期间被关闭,其域名被美国执法部门没收。该行动由欧洲刑警组织协调,涉及多个国家的执法机构。
RaidForum的管理员及其两名同伙已被逮捕,非法市场的基础设施目前处于执法部门的控制之下。
RaidForums的管理者和创始人、葡萄牙的迪奥戈·桑托斯·科埃略(Diogo Santos Coelho),又名全能者,于1月31日在英国被捕,面临刑事指控。自被捕以来,他一直被拘留,等待引渡程序的解决。
美国司法部今天表示,科埃略今年21岁,这意味着他在2015年推出RaidForums时只有14岁。