勒索蠕虫Petya攻击途径
图片来源:趋势科技
重点新闻(07月01日-07月07日)
又见勒索蠕虫Petya锁定EternalBlue漏洞,全欧多家企业与政府机关皆沦陷
日前,大部分欧洲国家遭受到勒索蠕虫Petya的攻击,同样与勒索蠕虫WannaCry锁定EternalBlue漏洞攻击,要求受害者支付300美元(约新台币9,147元)。资安公司ESET解释,骇客不仅攻击EternalBlue漏洞破坏网络系统外,也利用Windows的远端指令功能Psexec或WMIC(Windows△Management△Instrumentation),来执行传染至其他电脑的命令,而且遭Petya加密的档案,不会变更其副档名。根据趋势科技、卡巴斯基与Avast等多家资安公司调查指出,Petya已经攻击了丹麦航运公司Maersk、英国广告公司WPP、乌克兰数家金融机构等企业,甚至挪威国家安全局、乌克兰政府机构,以及车诺比核电厂部分电脑也遭攻击,目前骇客已经收到了7,500美元的赎金(约新台币22万元)。更多新闻
图说:勒索蠕虫Petya的勒索信。图片来源:趋势科技
卡巴斯基:Petya不只是勒索软件,而是资料清除的攻击工具
欧洲遭到勒索蠕虫Petya攻击后,卡巴斯基实验室研究人员分析攻击样本表示,Petya已经升级成为专门破坏硬盘资料的Wiper型(清除)攻击软件,而非勒索软件。因为一般勒索软件会为受害者电脑建立固定的ID号码,提供受害者回复解密金钥的资讯,但Petya直接加密受害电脑的整个硬盘后,产生随机的ID号码,造成受害者无法使用ID来解密,而且还覆写受害电脑第一磁区。另一个安全公司Comae△Technologies研究人员Mattieu△Suiche认为,Petya表面上是勒索软件,实则为一场有国家支持的攻击行动,而对象正是乌克兰。更多资讯
对抗勒索蠕虫,研究人员释出免费的EternalBlues漏洞检测工具
资安研究人员Elad△Erez于6月28日开发一款免费漏洞检测工具,锁定近期常遭骇客利用的EternalBlues漏洞来检验。近期以来,勒索蠕虫WannaCry和勒索蠕虫Petya都锁定EternalBlues漏洞攻击,全球各地的企业、政府单位等都造成严重的伤害。Elad△Erez表示,他开发这套检测工具,除了协助Windows用户检测电脑外,也需要了解Windows系统內,是否与EternalBlues相关的漏洞尚未被发现,避免在全球又再度掀起新一波相似的勒索攻击。更多资讯
图说:研究人员Elad△Erez免费提供一款EternalBlues漏洞检测器。图片来源:Elad△Erez
知名勒索软件Cerber换手法,改用攻击套件主动勒索Windows用户
专门研究攻击套件的研究员Zerophage揭露,勒索软件Cerber近期改名为CBRB,而且过去Cerber多用垃圾邮件被动诱骗受害者,现在更进一步利用攻击套件Magnitude,锁定Windows用户主动发起勒索攻击。根据趋势科技在今年5月发布的勒索软件研究报告显示,Cerber是全球勒索得手金额最多的勒索软件,还发展了勒索即服务(RaaS)的经营模式,一个月估计得款20万美元(约新台币600万元),目前尚未有任何解密工具。更多资讯
图说:原名为勒索软件Cerber更名为CBRB,而且还增加攻击手法。图片来源:Zerophage
DDoS金融勒索骇客转攻韩国,7银行收到千万元勒索信
根据韩国联合通讯社(Yonhap△News△Agency)日前报道,韩国有7家银行收到骇客的勒索信,包括国民银行、新韩银行、友利银行、韩亚银行、韩国农会,以及其他2家金融机构,要求支付3.6亿韩元(约新台币1,035万元),扬言若不支付赎金,就会发动DDoS攻击。韩国先前有一家代管业者Nayana于6月10日同样遭到骇客勒索,有153台的Linux伺服器与逾3,400个代管网站受到勒索软件Erebus感染,最后Nayana支付110万美元(约新台币3,365万元)的赎金,来保全客户资料。更多资讯
WordPress外挂程式爆出SQL△Injection漏洞,超过30万个网站受影响
资安公司Sucuri研究人员John△Castro日前揭露,知名WordPress使用者统计外挂工具WP△Statistics存在SQL△Injection漏洞,在这款外挂提供的短码(Shortcode)功能中,一个搜寻引擎查询参数没有过滤使用者输入的內容,攻击者可输入SQL指令来窃取网站敏感资料外,也会影响WordPress的安装环境和配置,目前有30万个网站仍在使用这套工具。更多资讯
Linux初始化系统存在缓冲区溢位漏洞,允许骇客执行任意程式
根据资安软件公司Openwall于6月27日指出,Linux存在一项缓冲区溢位漏洞(CVE-2017-9445),位于Linux平台所使用的初始化系统systemd。攻击者利用恶意的DNS伺服器解析服务systemd-resolved载入特制的TCP,造成缓冲区溢位,允许攻击者可以进一步掌控Linux装置在远端写入任意程式码,影响版本为2015年6月推出的223版本到2017年3月推出的233版本。目前,Linux官方已经释出了漏洞修补档。更多资讯
维基解密揭露CIA开发监控工具Elsa,利用Wi-Fi追踪Windows装置
维基解密于6月28日再度爆料CIA机密文件揭露,CIA工程开发部门(Engineering△Development△Group)开发了一款骇客工具Elsa,目的是让植入Elsa的Windows装置扫描附近的Wi-Fi热点,以及纪录其热点的无线网络名称(ESSID)、MAC位址和讯号强度。含Elsa的Windows装置只要启动Wi-Fi功能,不需要连接Wi-Fi热点或其他网络,就能够搜集无线网络设备的资料,而且,一旦目标装置连接网络后,Elsas能够自动利用Google或微软公开地理资料库,来获取目标装置的位置,并加密经纬度与时间资讯存回至Windows装置。更多新闻
图说:维基解密又释出CIA机密文件,揭露CIA开发一款骇客工具ELSA,利用Wi-Fi来追踪Windows装置。图片来源:Wikileaks。
美国5座风力发电厂有安全漏洞,仅利用树莓派和笔电停止电力运作
美国塔尔萨大学研究人员进行长达2年的研究调查结果揭示,他们找出5座美国风力发电厂控制系统,在设计和导入上存在安全漏洞,允许骇客锁定风力发电机可程式自动化控制器,以及开放流程控制(OPC)伺服器发动攻击,而且控制室缺乏认证机制易遭骇客入侵。研究者首先拔除了控制系统电脑的网络线,并接上具备Wi-Fi的树莓派(Raspberry△Pi)单板电脑,再用网络线连结树莓派和操控可程式自动化控制器的开放埠,之后再利用Mac笔电选择其中一台发电机IP,输入停止运转的指令,造成风车立即停止运作。更多新闻
Google假借医疗研究名义,私自存取未经病患同意的160万笔医疗纪录
根据英国资讯委员会办公室(ICO)于7月3日的一项调查结果指出,Google旗下的AI部门DeepMind未经病患同意,私自存取在契约范围之外的医疗纪录,包括病患的HIV反应、过度用药纪录和堕胎纪录等,病患纪录高达160万笔。更多资讯
整理⊙黄泓瑜