1月22日零晨,根據Reddit和華芸社群論壇上的 Asustor NAS 用戶報告稱,他們已成為 DeadBolt 勒索軟體攻擊的受害者。DeadBolt從今年1 月 25 日開始浮出水面,它能感染連接到 Internet 的未受保護的 NAS 系統。Deadbolt勒索軟體之前對威聯通(QNAP)設備造成了嚴重的破壞,導致其用戶被加密勒,現在看來 Asustor Nas已成為DeadBolt的另一個目標。
操作DeadBolt的駭客遠端潛入受害者的NAS,加密用戶的資料,並索討比特幣,每個受害者都會收到一個獨一的比特幣網址來發送贖金,當完成付款後,駭客會向受害者發送解密密鑰,用以解密受感染 NAS 系統上的檔案。DeadBolt的背後駭客向Asustor Nas的用戶索討0.03比特幣,約為 1,150 美元,這與他們向 QNAP 受害者索要的金額相同。
到目前為止,研究人員已經發現了數千起此類攻擊,這些攻擊涉及濫用 Microsoft Teams 聊天功能
Microsoft Teams 的受歡迎程度持續增長,每月活躍用戶約為 2.7 億,駭客們意識到此線上會議軟體是在企業或組織的系統中的最佳傳播及攻擊媒介。從 2022 年 1 月開始,Check Point旗下子公司Avanan的資安人員觀察到,攻擊者滲透到Microsoft Teams會議中,將惡意執行檔附加到會議的聊天中從而感染參與對話的用戶。根據Avanan的資安人員Jeremy Fuchs,駭客很可能先入侵屬於員工的電子郵件帳戶後滲透到 Microsoft Teams,然後再使用該電子郵件帳戶存取其公司的 Teams 會議。Fuchs進一步說,駭客非常擅長使用電子郵件網路釣魚來入侵Microsoft 365 帳戶來竊取登錄憑證,並清楚知道相同的憑證適用於 Microsoft Teams。
一旦成功進入會議,駭客會投放一個偽裝成合法程式的惡意執行檔,名為“User Centric”。一旦用戶點擊安裝,他們的設備就會被一個木馬程式感染,木馬程式會在電腦上投放惡意 DLL檔,從而使駭客可以繞過現有的保護措施,遠端劫持系統。另外Avanan還展示了該惡意軟體在 Windows 7 設定上的Demo, 但目前尚不清楚該攻擊是否能夠在 Windows 10 或 Windows 11 上運行。
User Centric木馬利用了人們對 Teams 的信任,人們認為連結來自同事,而不是駭客。Avanan 研究人員表示,雖然攻擊非常簡單,但非常有效,因為許多用戶信任通過 Teams 收到的檔案。該公司對使用 Teams 的醫院進行分析時,發現醫生使用該平台共享患者的醫療資訊,認為一切都可以通過 Teams 發送。
由於大多數員工接受了電子郵件安全意識的培訓,對收到的電子郵件資訊會保持警惕的態度,但他們對通過 Teams 收到的檔案並不這麼謹慎。此外,Teams 允許來賓和外部存取,允許與公司外部的人員協作。Fuchs說這些邀請經常受到很少的監控。Fuchs補充道,Teams缺乏預設的防護,掃描惡意連結和檔案也是有限的,許多電子郵件安全解決方案也無法為Teams提供強大的保護,這使問題變得更加嚴重。
國家特殊通訊和資訊保護服務管理局(State Service for Special Communication and Information Protection),從2022年2月15日下午開始,烏克蘭多處資訊資源遭到強大的DDOS攻擊。這導致私有銀行(PrivatBank)及烏克蘭國家儲蓄銀行(Oschadbank) 的 Web 服務工作中斷,導致 ATM 無法操作,客戶無法在線上提款或轉帳及App無法正常使用,同時也證實了烏克蘭國防部和武裝部隊等的網站也遭到攻擊。
烏克蘭戰略通訊與資訊安全中心(the Ukrainian Center for Strategic Communication)在 Facebook 的一篇帖子中說,攻擊者會採取這種骯髒的小伎倆,因為它的侵略計劃沒有奏效。烏克蘭外交部、教育部、內政部、能源部等多個政府網站,在上月14日也曾因遭到大規模網路攻擊而關閉。
據悉,雖然烏克蘭國防部的網站無法連結,但烏克蘭國家儲蓄銀行 的網站仍然可以連上,但客戶無法登錄他們的網上銀行賬戶。私有銀行(PrivatBank)的網站今天也遭到攻擊,攻擊者除了刪除網站的內容並添加了“BUSTED!PRIVATBANK WAF is watching you)” 的訊息。
週一,烏克蘭安全局(Security Service of Ukraine-SSU)表示,該國成為與俄羅斯有關的惡意攻擊者的“大規模混合戰爭”的目標,正值烏俄邊境緊張,時機敏感,外界質疑這是俄羅斯旨在引發焦慮並削弱烏克蘭人對該國保衛能力的信心。SSU 表示,該活動與通過社交網路和其他媒體傳播虛假資訊的俄羅斯情報機構有關。
沃達豐葡萄牙(Vodafone Portugal)遭受重大網路攻擊,導致4G及5G網路,行動通訊和電視等服務中斷,沃達豐葡萄牙公司今天表示,2022年2月7日晚在旨在造成損害和破壞的蓄意和惡意網路攻擊(a deliberate and malicious cyberattack intended to cause damage and disruption)之後,其大部分客戶數據服務在一夜之間中斷,該攻擊主要影響數據網路上的業務提供,包括4G/5G網路、固定語音、電視、短訊和語音/數位應答服務。