价值数百万美元的NFT在攻击中被盗、谷歌向全球32亿用户发出紧急警告｜2月21日全球网络安全热点

安全资讯报告

想要清除勒索软件：须加强监管加密货币交易所

到2022年，勒索软件仍将是一个主要威胁，为了应对它，加密生态系统必须接受更多监管。

根据Fortinet最近的一份报告，就在2020年7月至2021年6月之间，勒索软件活动猛增了1,070%，其他研究人员证实了这种勒索模式的扩散。模仿合法科技世界流行的商业模式，勒索软件即服务门户出现在网络的黑暗角落，使影子行业制度化，并削减了犯罪分子的技能上限。这一趋势应该在加密生态系统中敲响警钟，特别是因为勒索软件攻击者确实有加密支付的诀窍。

一些最大的中心化交易所(CEX)正在聘请一流的金融犯罪调查员来监督他们的反洗钱工作。

去中心化交易所(DEX)让事情变得更加棘手，让我们面对现实吧，它并不像名称所暗示的那样去中心化，而是喜欢以其他方式声称。在大多数情况下，DEX在了解你的客户(KYC)措施方面几乎没有（如果有的话），帮助用户在闲暇时在硬币和区块链之间跳跃，同时留下很少的痕迹。虽然他们中的一些人可能会利用各种分析服务对钱包进行背景调查，但黑客可以尝试使用混合器和其他工具绕过这些服务。

今年9月，美国财政部对场外交易经纪人Suex实施了制裁，原因是他们有效地促进了勒索软件洗钱活动。这一发展应该为各地的CEX和DEX敲响警钟，因为它将美国制裁的多米诺骨牌效应应用于加密生态系统。

勒索软件是一个复杂的问题，很难用一个灵丹妙药的决定来解决。这将需要更细致入微的方法，并且很可能需要在这个问题上进行更多的国际合作。尽管如此，还是有充分的理由将交易所监管作为此类努力的主要部分，以阻止攻击者获得攻击成果的能力，从而打击其业务的财务核心。

新闻来源：

https://cointelegraph.com/news/want-to-weed-out-ransomware-regulate-crypto-exchanges

OpenSea调查得出结论，价值数百万美元的NFT在网络钓鱼攻击中被盗

在OpenSea上价值数百万美元的NFT被黑客窃取后，不可替代代币的新兴市场在周六晚上陷入了混乱。Finzer表示，该公司根据内部和外部对话得出结论，该事件是一次网络钓鱼攻击，并非源自OpenSea的网站。

可以确认黑客已经窃取了超过300万美元的资产，其中包括流行的NFT，如Bored Apes、Azuki和CloneX。

Nansen的首席执行官Alex Svanevik估计约有19名OpenSea用户受到影响。OpenSea——最近以超过130亿美元的估值融资，是最大的NFT交易平台之一。

新闻来源：

https://www.theblockcrypto.com/linked/134832/opensea-is-investigating-rumors-of-a-multi-million-dollar-nft-exploit

如何解决医疗保健被勒索攻击的问题？

2021年，针对医疗保健系统的勒索软件攻击出现了惊人的增长——仅在第三季度就有超过65起针对医疗保健组织的勒索软件攻击报告，三分之二的组织报告称他们已成为勒索软件攻击的目标——这一趋势正在可能会在2022年继续。

一些勒索软件组织专门针对医疗保健行业，认为成功的攻击更有可能导致付款，因为它可能造成混乱。这些攻击越来越多地不仅涉及系统和文件的加密，使它们在支付赎金之前无法访问，而且还涉及盗窃和威胁发布数据以增加对受害者的影响力。此类攻击有时会影响卫生服务的提供，导致可怕的健康后果。

此外，在了解医疗保健实体在这些情况下是受害者的同时，执法当局已明确表示，医疗保健公司必须在发生数据泄露时努力满足联邦、州和地方的通知要求。这些要求可以包括向当局提交书面“违规报告”，并直接及时通知数据已被泄露的个人。

鉴于这些挑战，医疗保健组织可以而且应该通过聘请具有应对勒索软件攻击专业知识的专业人员来积极应对勒索软件造成的危害。网络安全公司可以制定计划以防止勒索软件攻击，如果发生此类攻击，外部顾问可以协助制定应对计划。该响应计划应概述公司在决定是否支付赎金时将考虑的因素，确定需要咨询谁，并就威胁缓解和遏制策略提出建议。

新闻来源：

https://www.managedhealthcareexecutive.com/view/addressing-ransomware-in-healthcare

TrickBot恶意软件已被Conti勒索软件团伙接管

TrickBot是一个Windows恶意软件平台，它利用多个模块进行各种恶意活动，例如窃取信息和密码、渗透Windows域、访问公司网络和传递恶意软件。自2016年以来，TrickBot的开发人员与勒索软件团伙合作，接管并感染了全球数百万台设备。

虽然Ryuk勒索软件团伙首先与TrickBot合作以获得其技术的访问权限，但该组织已被Conti勒索软件团伙所取代，该团伙在过去一年中一直在使用其恶意软件来访问公司网络。据AdvIntel称，管理各种TrickBot活动的是一个名为Overdose的网络犯罪组织，该组织从其攻击活动中赚取了至少2亿美元。

AdvIntel的安全研究人员注意到，Conti已成为TrickBot僵尸网络的唯一用户。到2021年底，Conti基本上已经收购了TrickBot，多名精英开发人员和管理人员加入了勒索软件团伙。

Conti勒索软件组织计划使用TrickBot的新产品BazarBackdoor恶意软件，因为它更隐蔽且更难检测。尽管BazarBackdoor曾经是TrickBot更大工具包的一部分，但据AdvIntel称，它已成为自己的完全自主工具。

新闻来源：

https://www.techradar.com/news/trickbot-malware-has-been-taken-over-by-this-notorious-criminal-gang

闯入Microsoft Teams会议：黑客肆无忌惮地传播恶意软件

黑客侵入公司帐户，然后伪装成员工，在与Microsoft Teams的会议中分发大量恶意软件。

研究人员在最近几个月已经记录了“数千次”通过Microsoft Teams会议传播的恶意攻击，攻击的基础通常是Microsoft 365帐户被盗：黑客非常擅长使用传统电子邮件网络钓鱼方法入侵Microsoft 365帐户，他们了解到相同的登录凭据也适用于Microsoft Teams。

一旦可以通过这种方式进行访问，攻击者就可以相对不受干扰地参加Teams会议。根据分析，感染过程始终相同：聊天中链接到一个恶意可执行文件，伪装成合法的“以用户为中心”的程序。之后，通常情况下，需要受害者进一步缺乏经验，他们被所谓的合法发件人欺骗，从而安装恶意软件。在此步骤中，木马可以将恶意DLL文件释放到PC上，从而远程接管系统。

新闻来源：

https://california18.com/break-in-into-microsoft-teams-meetings-hackers-brazenly-spread-malware/3438482022/

快速增长的基于Golang的“Kraken”僵尸网络出现

据网络安全公司ZeroFox报道，在过去的几个月里，针对Windows的基于Golang的新僵尸网络已经在每台新部署的(C&C)服务器上捕获了数百个新系统。

被称为Kraken的僵尸网络可以在受感染的系统上下载和执行二级有效载荷，但除了保持持久性外，还能够进行信息收集、shell命令执行、加密货币盗窃和截屏。

Kraken最初于2021年10月10日出现在GitHub上，其源代码早于所有观察到的二进制文件。但是，尚不清楚僵尸网络运营商是创建了GitHub帐户还是只是窃取了代码。

最近，Kraken的开发人员增加了从各种加密货币钱包中窃取资金的功能。从加密货币矿池获得的数据显示，僵尸网络的运营商每月赚取大约3,000美元。

新闻来源：

https://www.securityweek.com/fast-growing-golang-based-kraken-botnet-emerges

2021年检测到超过6.2亿次勒索软件攻击

根据SonicWall的数据，去年企业IT团队面临的勒索软件攻击以三位数(105%)增长至超过6.23亿次。

这家安全供应商新发布的2022年SonicWall网络威胁报告，是根据来自近215个国家/地区的100万个安全传感器以及第三方来源的分析编制而成的。

几乎所有受监控的威胁，包括物联网恶意软件、加密威胁和加密劫持，在2021年都同比上升。然而，勒索软件的增长尤为迅速，自2019年以来飙升了232%，与2020年的数据相比，检测到了近3.19亿次。

除了针对政府目标的攻击增加1885%外，医疗保健(755%)、教育(152%)和零售(21%)的勒索软件威胁也激增。

根据SonicWall的数据，全球Cryptojacking攻击增加了19%，达到创纪录的9710万次，而物联网恶意软件检测次数增加了6%，达到6010万次。

有趣的是，供应商还看到了Log4Shell漏洞利用带来的快速而显着的影响。在12月11日至1月31日期间，威胁参与者记录了1.42亿次利用尝试，每天达到270万次。

SonicWall总裁兼首席执行官比尔·康纳（Bill Conner）表示，威胁的激增也促使防御者增强他们的应变能力。预计到2021年底，全球网络安全支出将增长12.4%，是2020年的两倍。

新闻来源：

https://www.infosecurity-magazine.com/news/over-620-million-ransomware/

安全漏洞威胁

黑客利用Log4j安全漏洞传播勒索软件感染未修补漏洞的VMware用户

黑客攻击了VMware用户，Log4j漏洞再次出现在受感染的系统中。据网络安全分析师称，这次攻击背后臭名昭著的组织是TunnelVision。

根据来自Sentinel One研究人员的说法，网络犯罪分子一直在积极通过部署后门和收集受害者的敏感信息来破坏VMware。他们注入PowerShell命令，创建后门用户。安全漏洞始于Log4j漏洞利用，由于Tomcat进程，它们通过PS反向shell获取命令。

通常，VMware使用Apache Tomcat来部署Java中的Web应用程序。TunnelVision黑客可以通过该服务器远程控制网络。

根据另一份报告，这是TunnelVision小组在完成设置后所做的事情。

创建后门用户并将其包含在网络管理员组中。

执行侦察命令。

利用ProcDump、comsvcsMiniDump和SAM配置单元转储进行数据收集。

安装Ngrok和Plink以启动远程桌面控制。

新闻来源：

https://www.techtimes.com/articles/272010/20220218/state-sponsored-iranian-hackers-deploy-log4j-security-flaw-infect-unpatched.htm

Google向全球32亿用户发出紧急警告

谷歌通过公司博客文章表示，在所有Chrome浏览器中都发现了一个归类为高严重性(CVE-2022-0609)的零日漏洞，并且正在被黑客攻击。

浏览器中还检测到其他7个漏洞，包括6个被归为高级别和1个被评为中级，影响所有Windows、Mac和Linux *** 作系统。

Google将漏洞的详细信息保密，到目前为止，以下是有关按风险级别排序的漏洞的可用信息：

1.高-CVE-2022-0603

2.高-CVE-2022-0604

3.高-CVE-2022-0605

4.高-CVE-2022-0606

5.高-CVE-2022-0607

6.高-CVE-2022-0608

7.中-CVE-2022-0610

据福布斯报道，此次被黑客利用的零日漏洞是一个“Use-After-Free”（UAF）漏洞，使其成为黑客针对Chrome时最成功、最流行的黑客攻击形式。

Google建议Chrome用户尽快将其网络浏览器更新为Chrome更新98.0.4758.102。要更新Chrome，请转到菜单（3点图标）>设置>关于Chrome，等待更新下载过程完成，然后单击重新启动以重新启动浏览器。

新闻来源：

https://kenh14.vn/google-phat-canh-bao-khan-den-32-ty-nguoi-dung-toan-cau-luu-y-ngay-dieu-nay-neu-khong-muon-gap-nguy-hiem-20220217114851412.chn