欢迎来到最新版的Neu Cyber​​威胁,每周一系列系列,我们在内华达州,提请注意最新的网络安全威胁,以确保您在线安全。

以下是您应该了解的最突出的威胁:

ICO数据泄露罚款2020

信息专员办公室(ico)去年在数据泄露罚款中达到英国企业,售价4200万英镑。由于隐私和电子通信法规(PECR)和数据保护法(DPA)违反了罚款。

在2018年的网络攻击之后,在航空公司支付的42.41亿英镑的42.41亿英镑的价格,最大的罚款被送到英国航空公司。 一百万百万客户的细节被网络罪犯偷走了。

该消息强调了企业的需求,以改善其数据管理策略并确保它们正确保存的数据。随着Covid-19大流行,许多公司可能会优先考虑其业务的其他领域,忘记改善他们的网络安全措施。阅读更多关于故事和要注意的内容, 这里.

Microsoft Exchange. 服务器再次被定位,这次被网络罪犯在“异常攻击中”举办恶意蒙罗塞尔”。最新命中到Exchange服务器遵循最近的臭名昭着的Proxylogon Exploit。

已经发现,威胁演员能够危及使用exproit的Exchange服务器 - 从高级持久威胁(APT)组中遭受了一系列攻击,以通过从赎金软件到WebShells的所有内容来感染系统 - 主持Monero Clypromining恶意软件。

该攻击开始使用PowerShell命令来检索来自另一个受到的服务器Outlook Web Access登录路径的名为Win_r.zip的文件。在仔细检查下,.zip文件根本不是一个压缩存档,但批处理脚本然后调用内置Windows验证程序,以下载两个附加文件,win_s.zip和win_d.zip,也没有压缩。

脚本运行可执行文件,该可执行文件从QuickCPU.dat文件中提取矿工和配置数据,将其注入系统过程,然后删除其存在的任何证据。攻击’s可执行文件似乎包含可公开可用的工具的修改版本,称为pex64-injector,它被描述为迁移文件而不需要任何管理员权限。一旦文件在受感染的系统上运行,它就会提取QuickCPU.DAT文件的内容,该文件包含一个用于加密器的安装程序及其临时配置到系统的配置’s文件。它配置矿工,将其注入运行进程,然后退出,并在系统上完成损坏和运行。

研究人员在2021年3月9日之前观察到了加密员接收资金,这偶然也是Microsoft发布了更新以交换修补缺陷的时。虽然,攻击者在此日期之后丢失了几个服务器,矿工的整体活动减少了,其他服务器的获得超过预先损失。 Proxylogon问题在Microsoft在3月初开始,当公司表示它已经发现了多个零日漏洞用于攻击Microsoft Exchange Server的上部门版本。 这四个缺陷创建了预认证远程代码执行(RCE)Exploit,否则攻击者可以接管服务器,而不知道任何有效的帐户凭据–给他们访问电子邮件通信和安装Web shell的能力,以便在环境中进一步开发。

虽然Microsoft已经发布了一个带外更新,但通过该公司确认92%的受影响机器已被修补,而且对其交换服务器受到问题影响的企业已经造成了很大的损坏,仍将存在未被划分的系统那里仍然脆弱。

谷歌

网络罪犯正在使用 搜索引擎优化(SEO) 指导用户搜索常见业务表单(如发票,收据或其他模板)以播放的常见业务表单为黑客控制的Google托管域名。

业务用户正在诱导超过100,000个恶意谷歌网站,这些谷歌网站出现了合法,而是安装一个远程访问特洛伊木马(RAT),用于在网络上获得立足点,并在较后的感染赎制软件,凭证窃取器,银行木匠和其他恶意软件的信息。

数十万个唯一的恶意网页,包含流行的业务条款和关键字,包括业务表格相关关键字,如模板,发票,收据,问卷和恢复,在上周发现。

网络罪犯使用谷歌搜索重新搜索和逐行下载策略来指导毫无戒心的受害者 - 通常访问受感染网站的人只通过点击声称的“形式”来执行作为PDF的二进制文件 - 从而感染他或她的机器。这是恶意软件交付的越来越常见的趋势,这与提高的应用程序的安全性提高,例如处理易受攻击的代码的浏览器。不幸的是,它揭示了一个眩晕的盲点,它允许用户暂时执行不受信任的二进制文件或脚本文件。

该活动不仅巨大而深远,而且也是复杂的。作为威胁演员搜索优化战略的关键字的常见业务术语是说服谷歌的Web爬虫,即预定的内容符合高页面评分的条件,这意味着恶意站点将出现在用户搜索的顶部,增加受害者将被诱导感染的地方的可能性。安全头和经理需要知道威胁小组已经努力妥协业务专业人才,传播广泛的网络并使用许多策略来成功掩盖他们的陷阱。

研究人员观察到最近的一个事件,其中在金融业工作的受害者正在在线搜索一个文件的免费版,并通过谷歌搜索重新指导到由控制威胁演员的控制下的Google网站页面嵌入式下载按钮。它’清楚地说,网络罪犯是针对合适的人民,因为金融行业的有人将是“竞选活动”的“高价值目标”。

一旦大鼠成功安装在受害者的计算机上,黑客就可以将额外的恶意软件上传到设备,例如银行木工特洛伊木马,这可以用于劫持业务的网上银行凭据。威胁演员还可以安装凭证窃取器来收集员工的电子邮件凭据,并启动商业电子邮件妥协(BEC)方案。

诺瓦威建议员工考虑什么类型的业务表格,发票,收据等,他们在线搜索。通过在诸如Microsoft SharePoint等集中系统上分享这种类型的表格,同事可以共享这样的文件,并避免落入网络犯罪分子的复杂陷阱。我们的网络钓鱼意识培训是课堂上的,并使业务通过员工的教育更安全。联系我们01283 753333或 hello@neuways.com. 与我们讨论您的选择。

最近的数据 已经表明,企业检测到恶意攻击所需的时间继续下降’主要是由于公司在检测网络攻击时变得更好。

数据显示,组织在自己自己检测入侵时也越来越好,但赎金软件攻击的大规模增加是另一个因素。通常快速检测到赎金软件攻击,因为攻击者在加密受害者的文件和/或窃取受害者的数据后,攻击者常常在需要赎金时会出现赎金。

在研究人员调查的赎金软件攻击中,78%的停留时间为30天或更短时间,只有1%的事件的停留时间为700天或更长时间。如前所述,这可能是由于可以操作赎金软件攻击的容易性。网络犯罪分子而不是将所有卵子放在一个篮子里(或一个网络攻击),而是一次攻击成千上万的企业。在此期间在本期调查的59%的违规行为在内部检测到,而与2019年相比,47%在内部发现。在发现之前,攻击者存在于目标的环境中的天数– the ‘dwell time’ –与前一年相比,2020年也显着下降,从56天到24天。在外部违规通知的情况下,2020年的中位停留时间为73天,而在内部检测的情况下,停留时间仅为12天。

有趣的是,勒索软件的中位数全球停留时间仅为5天,为非赎金软件调查45天。总体而言,全球中位数时间在过去十年中不断下降,从2011年的416天到2020年到24日。在数据中还注意到了赎金瓶帮派使用的新靶束性技术。由Cyber​​ Comprace集团命名为Fin11的受欢迎的网络钓鱼和敲诈勒索竞选,该威胁组在Solarwinds供应链攻击后面,以及恶意演员将焦点转移到支持遥控器的系统。在攻击战术方面,发现攻击者使用了63%‘MITRE ATT&CK’在整个分析的时间范围内的技术和24%的子技术。然而,该公司表示,只有37%的技术(占所有技术的23%)被认为是它调查的超过5%。

内华通道建议企业不断意识到网络钓鱼活动,赎金软件和网络犯罪分子的威胁。赎金软件的兴起往往归功于混乱和中断,即企业在过去12个月内经历过,之间的遥控工作和国家锁定增加。由于英国出现在锁定之外,企业必须为持续赎金软件的网络钓鱼活动做好准备–员工在回答他们收件箱或电话号码中的电子邮件时,应保持警惕,即他们不是向旨在为其公司勒索的网络罪犯的受害者’s money.

如果您关注您业务中的任何网络安全问题,请立即联系我们 01283 753 333. 或电子邮件 hello@neuways.com..