阿根廷國家移民局遭到NetWalker勒索軟體攻擊被要求支付362萬美元的比特幣贖金, 根據外媒報導,阿根廷網路犯罪局公佈的一份刑事起訴書，說明在8月27日上午7點左右，移民局的總資訊局和技術局接到了來自各個檢查站的許多電話，要求提供技術支援。網路犯罪局稱由於意識到這不是一般情況，因此評估了中央數據中心和分散式伺服器的基礎結構，並注意到一種惡意軟體的活動已經影響了基於MS Windows的系統檔案（主要是ADAD SYSVOL和SYSTEM CENTER DPM）以及用戶工作和共享文件夾中存在的Microsoft Office檔案（Word和Excel）為了防止勒索軟體感染其他設備，移民局和檢查站使用的電腦網路被關閉。據阿根廷新聞網站Infobae稱，這導致邊境的出入境服務暫停了四個小時。

阿根廷移民局表示：在國際過境運作的出入境系統尤其受到影響，這導致進入和離開國土的工作受到延誤。”

當Netwalker勒索軟體進行攻擊時，駭客已將勒索信留在加密的設備上。勒索信包含引導到暗網上支付網站的連結，該網站包含有關如何購買解密器，贖金金額以及有關在攻擊過程中被盜的任何未加密文件的資訊。

據外媒 BleepingComputer取得的Netwalker Tor付款頁面中，了解到駭客最初要求200萬美元的贖金。經過7天后，贖金增加到400萬美元，約355個比特幣，Tor網站還包括一個“被盜數據”頁面，該頁面顯示了此攻擊期間從“ Migraciones Argentina阿根廷移民局＂盜取到的數據。

由於移民局拒絕與攻擊者進行談判，並聲稱沒有任何敏感的，或個人的公司的資訊受到破壞，他們不會太在意取回這些數據。

最新的 NetWalker 勒索軟體情資, 就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5f4d4e6034a4e01f2a0961ff

Source: https://www.bleepingcomputer.com/news/security/ransomware-attack-halts-argentinian-border-crossing-for-four-hours/

*****竣盟科技快報歡迎轉載，但請註明出處

FBI於上週發佈了的MU-000132-DD Flash Alert警報,通知並警告美國當地的公司, 全球許多組織已遭受到一群自稱”Fancy Bear”的駭客組織發動勒索性的DDoS攻擊, FBI在警報中並沒有透露駭客組織針對性的地區, 然而表示駭客是瞄準零售,金融, 旅遊, 電商的行業。

自今年8月12日始, 發現攻擊者冒充知名駭客組織“Fancy Bear, Cozy Bear, Lazarus Group和Armada Colletive”在發動了大規模且具勒索性的DDos(RDDos 或RDos)攻擊後, 向受害公司發出勒索信。

根據以色列資安公司Radware，遭攻擊的受害公司來北美, 自亞太區,和歐洲中東非洲地區(EMEA) , 該資安公司表示, 駭客組織要求受害公司支付的贖金範圍為10 比特幣（約113,000美元）至20比特幣（約226,000美元）, 勒索信中表示如果公司未能拿出錢支付贖金，DDoS攻擊將上升到2Tbps，一旦攻擊開始，錯過付贖金的最後期限，贖金費用將以每10 比特幣遞增。

另外FBI表示，受到RDoS攻擊的多個組織在收到勒索信後報告了受到小型攻的擊，但在大多數情況下，在為期六天的期限到期後，駭客並未再進行DDoS活動。然而一些組織確實報告說，其運營受到無法緩解的攻擊的影響。

FBI建議美國公司使用DDoS防護服務，以在網路受到影響之前自動識別並阻止此類攻擊。

還建議他們與Internet服務提供商合作，以便在發生DDoS攻擊時能輕鬆地監視和阻止網路流量。

另一外媒ZDNet揭露了，歐洲有十多家互聯網服務提供商（ISP）報告了針對他們DNS的基礎結構的DDoS攻擊，在過去一周遭受攻擊的ISP列表包括比利時的 EDP，法國的 BouyguesTélécom，FDN，K-net，SFR，以及荷蘭的Caiway，Delta，FreedomNet，Online.nl，Signet和Tweak.nl。

*****竣盟科技快報歡迎轉載，但請註明出處

Sources:
https://www.documentcloud.org/documents/7070798-FLASH-MU-000132-DD.html
https://www.zdnet.com/article/european-isps-report-mysterious-wave-of-ddos-attacks/

重點:

*在本週稍早經歷了多次網路攻擊，截至本週五紐西蘭的證券交易所已經持續四天暫停交易。

*NZX表示，它在本週二及週三透過其網路服務供應商，遭受了來自海外的 DDoS 分散式阻斷服務攻擊。

* 消息人士還稱該發動攻擊的組織具有“高於平均水平”的DDoS技能

* 駭客組織反複地針對證券交易所的託管服務供應商 Spark，這也導致該供應商的其他客戶服務中斷。

在本周初遭受多次網路攻擊後，今天(週五)紐西蘭證券交易 NZX 連續第四天停止交易。

路透社報導，儘管紐西蘭交易所早些時候表示，在採取使系統連線暢通的措施之後，聯交所將會重新開放，但 NZX 首頁，NZX 債券市場和 Fonterra 股東市場均仍處於暫停交易的狀態。

截至台灣時間上午8：27，NZX 的網站仍然無法訪問。

紐西蘭證券交易所在一份聲明中說，首頁和 Fonterra 股東市場週五的開盤時間延長，當地時間上午10:32左右，它們從開盤前直接停牌。據報導，NZX 債務市場也於當地時間上午9:58暫停交易。

昨天，《New Zealand Herald》報導了在反複的網路攻擊導致再度暫停股票交易之後，NZX 及其網路提供商 Spark 商議如何與未知的敵人進行對抗。

據悉，NZX 已將其網域 nzx.com 移至跨國內容傳遞網路大廠 Akamai Technologies。該交易所的網站仍由惠靈頓的 Red Shield 運營的內容傳遞網路提供服務。

資安評論員 Catalin Cimpanu 說，資安業的消息人士告訴他，一群“ DDoS勒索者”是對 NZX 攻擊的幕後黑手。

該組織要求用比特幣支付贖金以解除其攻擊，據說該組織模仿了一個有時被稱為“Armada Collective and Fancy Bear”的俄羅斯組織。據說該組織本週還對匯款服務 MoneyGram，印度 Yes Bank，PayPal，Braintree 和 Venmo 發動攻擊。

另外在本週一（8月24日）發布的更新報告的中，Akamai Technologies 證實，該組織發起了複雜的 DDoS 攻擊，在某些情況下，高峰值攻擊速度接近每秒 200 Gb 。

資安評論員 Catalin Cimpanu 也透露, 有跡象顯示該組織把目標轉向維也納證券交易所(Vienna Stock Exchange), 維也納證券交易所的網站也一度無法進入, 如附圖 

最後, NZX 和 Spark 拒絕透露是否涉及勒索。

*****竣盟科技快報歡迎轉載，但請註明出處.

Maze Cartel 迷宮勒索聯盟又添一員，一個名為SunCrypt的新型勒索軟體

在6月時Maze勒索軟體的背後駭客, 建立了一個名Maze Cartel的敲詐勒索聯盟, 由Maze作為首腦,該聯盟成員包括Lockbit 和Ragnar Locker, 現增加新成員SunCrypt。該敲詐勒索聯盟旨在共享受害者資料, 勒索手法, 技術資訊, 幫助彼此進一步的勒索受害公司。

SunCrypt的背後駭客向外媒BleepingComputer透露其加盟的原因, 據報是因為Maze乏身處理大量的行動，需要更多的支援。SunCrypt補充說:”我們的專長正是發動勒索攻擊。”

SunCrypt進一步透露,如果勒索行動成功, 他們也能分到贖金, 但並未分享有關如何拆分贖金。

以下提供由資安人員Vitali Kremez分享的SunCrypt勒索軟體在PowerShell上的執行

也附上SunCrypt的勒索信樣本和在virus total分析的樣本,供您參考

由於SunCrypt屬新型勒索軟體, 其揭秘網站上目前只列出五名受害者。

竣盟科技建議針對勒索軟體的應對措施:

＊由於您的所有文件都是使用軍用級加密算法進行加密的，而且密鑰在犯罪者手上，因此基於原始數據復原(指解密)，這是個無解的困境。

＊向犯罪者支付贖金或試圖與之聯繫有很大的風險。因為在付款後，對方有可能會就此停止聯繫，甚至解密器可能無法工作，或其本身帶來了更多威脅。

＊千萬不要使用號稱功能強大的反惡意軟體，這種軟體聲稱可以完全消除系統中的有害威脅。但使用之後，您可能失去的更多。

＊針對勒索病毒的危害，正確的應對措施是平日的多重備份機制與定時的還原演練。

＊除了基本的防火牆外，還要積極佈署具備篩選功能的代理伺服器、閘道過濾、電子郵件閘道防護，以及終端電腦的弱點更新、防毒碼更新等安全防護佈署。

＊佈署威脅偵測機制，如 SIEM、HIDS、封包檢測及進階誘捕系統等產品，可以早期發現，並防止威脅擴散。

對於重要的交易系統，可以佈署執行程序限制方案，防止惡意程式的執行。

＊透過教育訓練與各種攻擊演練，加強終端用戶的資安防護意識。

*****竣盟科技快報歡迎轉載，但請註明出處

MITRE公布2020年最危險的25個軟體錯誤

軟體錯誤可以是軟體解決方案的程式碼，結構，實現或設計中發現的缺陷和漏洞，漏洞和其他類型的錯誤，可能會使正在運行的系統受到攻擊 ,其中以跨站點腳本（XSS）排名第一, 因為除易於發現和利用之外，攻擊者還可以在成功利用後，完全控制易受攻擊的系統，竊取敏感數據或發動阻斷服務攻擊（DoS）。

為了建立2020年列表，CWE團隊利用了美國國家標準技術研究院（NIST）國家漏洞數據庫（NVD）內的常見漏洞和暴露（CVE®）數據以及常見漏洞評分系統（CVSS）得分與每個CVE相關聯。將公式應用於數據，對每個弱點進行評分。MITER解釋說： “ NVD以易於消化的格式提供資訊，有助於推動以數據驅動的方式建立2020 CWE Top25。”

完整的MITRE–Top 25列表如下：

另外,自2016年以來使用最多的10個漏洞

三個月前的5月12日，美國網路安全和基礎架構安全局（CISA）和聯邦調查局（FBI）還發布了2016年至2019年間最常被利用的十大安全漏洞列表。

根據兩家政府機構–美國網路安全和基礎架構安全局（CISA）和聯邦調查局（FBI）自2016年以來對網路攻擊的分析，惡意行為者最經常利用Microsoft的對象鏈接和嵌入（OLE）技術中的漏洞，其中Apache Struts網路框架是利用率第二高的技術。

CISA說: “在前10名中，來自中國，伊朗，朝鮮和俄羅斯的國家贊助的網路參與者中最常使用的三個漏洞是CVE-2017-11882，CVE-2017-0199和CVE-2012-0158，”。“所有這三個漏洞都與Microsoft的OLE技術有關。”

例如，從2018年12月開始，中國駭客客就頻繁利用CVE-2012-0158，這表明目標組織未針對此漏洞修補其系統，並且威脅參與者只要發現沒有修復就繼續嘗試濫用此安全漏洞。 。

CISA還表示，到2020年，由於COVID-19大流行突然轉移到遠端工作。攻擊者一直在專注於利用像Office 365這樣的雲端協同服務的快速部署，以及利用未修補的Pulse Secure VPN漏洞（CVE-2019-11510）和Citrix VPN（CVE-2019-19781）。

自2016年以來使用最廣泛的十大安全漏洞的完整列表列:

Source: https://cwe.mitre.org/top25/archive/2020/2020_cwe_top25.html

https://www.bleepingcomputer.com/news/security/us-govt-shares-list-of-most-exploited-vulnerabilities-since-2016/