目 錄

　　第一章 國內關鍵信息基礎設施安全動態

　　(一)信安標委發布《網絡安全標準實踐指南—遠程辦公安全防護》

　　第二章 國外關鍵信息基礎設施安全動態

　　(一)美國衛生與公共服務網絡遭受DDoS攻擊

　　(二)捷克最大冠狀病毒實驗室遭受網絡攻擊

　　(三)出于網絡安全擔憂，美國放棄引進導彈系統計劃

　　(四)針對企業的勒索軟件攻擊大多數發生在非工作時間

　　(五)利用冠狀病毒為主題的攻擊發展趨勢

　　(六)冠狀病毒攻擊針對教育領域五個需要警惕的問題

　　(七)法國警告新型勒索軟件團伙針對地方政府

　　(八)安全專家發現新型勒索軟件PXJ Ransomware

　　(九)多個勒索軟件在新型冠狀病毒流行期間停止攻擊醫療組織

　　(十)法國馬賽市政廳遭受大規模網絡攻擊

　　(十一)金融服務公司泄漏425G敏感客戶財務數據

　　第一章 國內關鍵信息基礎設施安全動態

　　(一)信安標委發布《網絡安全標準實踐指南—遠程辦公安全防護》

　　全國信息安全標準化技術委員會秘書處針對遠程辦公安全問題，組織相關廠商和安全專家，編制了《網絡安全標準實踐指南—遠程辦公安全防護》?！秾嵺`指南》旨在圍繞網絡安全法律法規政策、標準、網絡安全熱點和事件等主題，宣傳網絡安全相關標準及知識，提供標準化實踐指引。

　　《實踐指南》給出了遠程辦公的典型應用場景，分析了遠程辦公可能面臨的辦公系統自身安全、數據安全、設備安全和個人信息保護等風險，針對遠程辦公系統的使用方和用戶，分別給出了安全控制措施建議。其中，使用方應在管理和技術兩方面開展安全防護，健全遠程辦公管理制度，加強運維管理，強化安全措施。用戶應提高自身安全意識，重點針對設備、數據、環境等方面的安全風險進行防護。

　　《實踐指南》列舉了遠程辦公的主要安全風險，其中包括：供應方安全風險、遠程辦公系統自身安全風險、數據安全風險、設備風險、個人信息保護風險、網絡通信風險、環境風險、業務連續性風險、人員風險。

　　《實踐指南》為遠程辦公的使用方和用戶提供安全指導。遠程辦公使用方指的是使用遠程辦公系統的組織，包括政府部門、科研機構、企事業單位等?！秾嵺`指南》提出使用方在供應方和遠程辦公系統選擇上“應充分評估遠程辦公系統的安全性”。在管理制度上，“應制定遠程辦公安全操作細則，定期開展遠程辦公安全教育和培訓，提升用戶安全意識”。

　　此外，《實踐指南》對遠程辦公系統安全作了詳細分類和論述，比如服務端安全，包括在線會議安全、即時通信安全、文檔協作安全、接入安全等;客戶端安全，包括應用程序安全和瀏覽器應用安全。

　　本文版權歸原作者所有，參考來源：信安標委 https://dwz.cn/Hj3bZIY9

　　第二章 國外關鍵信息基礎設施安全動態

　　(一)美國衛生與公共服務網絡遭受DDoS攻擊

 

　　3月15日晚上，美國衛生和公共服務部HHS遭受網絡攻擊，企圖使該部門服務器脫機。自疫情爆發以來，人們搜索有關冠狀病毒的流行情況的次數激增，因此HHS網站成為目標并不奇怪。

　　然而，當黑客通常同時向某個網站或特定IP地址發送大量連接時，DDoS攻擊會使服務器崩潰，使其無法訪問，從而導致連接失敗。雖然該事件旨在減緩該機構系統的工作，并影響有關大流行病的一般問題報告，但并未發生。國家安全委員會否認了有關隔離和國家封鎖以阻止恐慌的謠言。政府確認這起事件是由外國發起襲擊。

　　該攻擊只是試圖破壞HHS對冠狀病毒危機的反應。這些外國威脅組織的目的是干擾應對冠狀病毒爆發的主導機構的關鍵職能。DDoS是自動化的，可以壓垮面向公眾的系統，從而減慢甚至癱瘓所有活動。

　　然而，這次失敗的攻擊仍然引起一些關注，因為外國勢力可以利用這場危機，達到其他針對美國的目標。目前，分析仍在確定活動的起源并特別指出來源的過程中。政府擔心事件可能與俄羅斯有關，因為行動者有很大機會利用當前局勢在該國制造更多混亂。聯邦政府表示正在對此事件進行徹底調查。

　　冠狀病毒大流行的情況已蔓延到全球，世界各地的人們都在繼續恐慌。犯罪分子試圖利用這種情況，因此網絡釣魚攻擊、勒索軟件感染和其他惡意軟件分布活動變得越來越普遍。

　　在衛生專業人員對抗疫情的同時，網絡安全專家需要加強對網絡的關注，確保黑客不會造成混亂和通信方面的更多問題。這些攻擊者最主要的目標是向公眾提供信息的機構，以及直接為人們提供幫助的醫療行業。這些DDoS攻擊和魚叉式網絡釣魚活動會引發更多與數據訪問和泄露有關的問題，因此有限的社交活動也應該鼓勵人們保持網絡安全。

　　天地和興工控安全研究院翻譯整理，參考來源：2-spyware https://dwz.cn/hlPgVubX

　　(二)捷克最大冠狀病毒實驗室遭受網絡攻擊

　　3月13日，捷克負責對新型冠狀病毒進行測試的布爾諾大學醫院表示，其計算機系統遭到了網絡攻擊。目前尚不清楚該黑客攻擊是否會影響該醫院檢測新型冠狀病毒病毒的能力，但此事件提醒人們，網絡攻擊有可能加劇全球健康危機。

　　捷克第二大布爾諾醫院在推特上表示： “基本的手術已經保留，一些計算機系統受到限制，一些預定的手術不得不推遲?！?/span>

　　目前無法聯系到該醫院發言人，有關攻擊的性質和來源的詳細情況尚不清楚。根據該醫院網站信息，這家捷克第二大醫院是由衛生部管理的。據捷克媒體報道，該機構一直在對新型冠狀病毒進行定期檢測。

　　獨立的網絡安全研究人員和顧問奧萊尼克表示，“在當前病毒流行時期，醫療機構遭受的網絡攻擊比以往更加不受歡迎，即使離線醫療程序能夠正常工作，減少容量也意味著工作可能會比平時慢。

　　普華永道駐布拉格的網絡事件響應者Petr?pi?ík說，該事件是對脆弱部門進行的更廣泛網絡攻擊模式的一部分。對醫院部門以及整個公共部門攻擊成功率提升的根本原因是IT安全基礎設施的總體資金不足。

　　成功攻擊的水平上升的根本原因是IT安全基礎設施的總體資金不足。這意味著容易受到攻擊者攻擊的過時系統。

　　犯罪分子和有國家背景的黑客組織都利用冠狀病毒流行引發的恐慌和不確定性發起攻擊，對此世界衛生組織和美國網絡安全局都發出警告。

　　天地和興工控安全研究院翻譯整理，參考來源：cyberscoop https://dwz.cn/7lSmt5IH

　　(三)出于網絡安全擔憂，美國放棄引進導彈系統計劃

　　因為擔心網絡安全問題。美國已經放棄了引進以色列制造的導彈系統的計劃。2019年，美國陸軍花費3.73億美元購買了兩組“鐵穹”導彈。因以色列拒絕交出該系統的源代碼，故2023年再花費6億美元購買兩個新電池和鐵穹部件的計劃已被取消。如果沒有源代碼，軍隊將無法將電池與其他防空系統集成。 軍方擔心如果不能整合電池會造成嚴重的網絡安全漏洞。

　　3月5日，陸軍未來司令部邁克·默里將軍在接受眾議院軍事戰術空軍和地面部隊小組委員會的采訪時表示，采購這批電池所需的時間比預計的還要長。默里認為，不能基于一些互操作性挑戰，一些網絡安全挑戰和其他挑戰將它們集成到防空系統中。因此，最終得到的是兩個獨立但無法集成的電池。

　　去年，試圖將鐵穹系統與美國陸軍的綜合作戰指揮系統(IBCS)集成的嘗試引發了包括網絡安全問題在內的多項挑戰。 默里表示，“要將鐵穹集成到分層防空體系中，并使鐵穹頂與其他系統和其他雷達(特別是Sentinel雷達)進行對話是異常困難的?？赡艽蠹視吹降氖莾蓚€獨立系統，最好的情況是可以做成獨立系統?！?/span>

　　美軍購買的兩枚鐵穹頂電池包括12個發射器、兩個傳感器、兩個戰備管理中心和240個攔截器。

　　2011年4月，以色列首次在貝爾謝巴郊外部署“鐵穹”。該系統由拉斐爾高級防御系統公司、 以色列航空航天工業公司和雷神公司建造，雷神公司生產美國制造的愛國者導彈系統。2012年美國國會同意向以色列提供15億美元，用于開發和生產鐵穹系統時，該系統的資金主要來自美國納稅人。

　　天地和興工控安全研究院翻譯整理，參考來源：infosecurity https://dwz.cn/unp6USKk

　　(四)針對企業的勒索軟件攻擊大多數發生在非工作時間

 

　　3月16日，美國網絡安全公司FireEye發布報告，表示針對企業的絕大多數勒索軟件攻擊事件發生在正常工作時間之外，即在夜間或周末進行的。企業部門所有勒索軟件攻擊事件中的76%發生在工作時間以外，其中49%發生在工作日夜間，27%發生在周末。

　　FireEye表示，這些數字是根據2017年至2019年數十次勒索軟件事件響應調查得出的。攻擊者之所以選擇在夜間或周末進行勒索軟件加密攻擊，是因為大多數公司在夜晚或周末沒有IT員工在崗，而且盡管有，也沒有足夠的IT員工。就算勒索軟件攻擊觸發了公司內部的安全警報，也沒有員工可以立即做出反應并關閉網絡，并且在公司的網絡癱瘓的情況下很難定勒索軟件加密過程結束之前的發生的實際情況。

 

　　FireEye表示，大多數這些偷偷摸摸在夜間或周末發生的勒索軟件攻擊通常是因長時間網絡入侵造成的。勒索軟件攻擊者會破壞公司網絡，花時間將它們橫向轉移到盡可能多的工作站，然后在所有系統上手動安裝勒索軟件并觸發感染。從最初的威脅到實際的勒索軟件攻擊的時間(稱為“駐留時間”)平均為三天。

　　對于大多數勒索軟件來說，舊的操作模式是勒索軟件在攻擊者的要求下觸發，一旦網絡被感染勒索軟件是不會自動觸發的。而現如今，大多數勒索軟件攻擊者完全控制了勒索軟件，他們非常謹慎地決定何時才是最合適的時間來鎖定網絡。

　　微軟稱這類事件為“人為勒索軟件攻擊”。在上周發布的一份報告中，微軟提供了有關保護網絡安全和建立檢測規則的技巧，以在“駐留時間”內以及在觸發最終有效載荷并鎖定公司之前發現勒索軟件。

　　FireEye表示，自2017年以來，人為操作的勒索軟件攻擊上升了860%，現在該事件不僅影響北美公司，還影響全球所有地域的所有部門。

　　在FireEye調查的案例中，最常見的感染方式是：互聯網上針對具有RDP(遠程桌面協議)端口的工作站的暴力攻擊;對公司員工進行釣魚攻擊，并利用受感染的主機傳播給其他人;偷渡式下載，員工訪問受感染網站并下載受惡意軟件感染的文件。

　　同時，FireEye敦促公司投資部署檢測規則，以便在感染前的“駐留時間”內發現攻擊者。如果網絡防御者能夠迅速發現并補救最初的威脅，則有可能避免重大損失和勒索軟件感染的成本。

　　天地和興工控安全研究院翻譯整理，參考來源：ZDNet https://dwz.cn/5LCwvhZg

　　(五)利用冠狀病毒為主題的攻擊發展趨勢

　　近日，Cybereason的研究團隊正在調查多種類型的活動，這些活動專門針對以冠狀病毒為主題的文件和域針對受冠狀病毒影響最嚴重的區域。攻擊者通過操縱人們對病毒的焦慮來誘使他們下載惡意軟件，從而濫用流行病以獲取利益。隨著企業逐漸過渡到遠程辦公并建議員工使用VPN，攻擊者分發偽裝成VPN安裝程序的惡意軟件。

 

　　Cybereason的Nocturnus小組正在繼續觀察數百種網絡釣魚攻擊，這些攻擊使用冠狀病毒為主題的文件和域來分發惡意軟件并感染全世界的受害者。這些“冠狀病毒”活動分發了一系列惡意軟件，其中包括Emotet、RemcomRAT、ParallaxRAT、HawkEye、TrickBot、Agent Tesla等。迄今為止，最常見的技術是魚叉式網絡釣魚攻擊，該攻擊使用帶有冠狀病毒主題的電子郵件和惡意附件。

　　當冠狀病毒首次開始在中國傳播時，Cybereason團隊觀察到，大多數以冠狀病毒為主題的惡意文件都是從中國提交的，并且針對的是說漢語的人。隨著病毒繼續傳播并感染更多國家，上傳的數量在短短幾天內就從幾十個增加到數百個，每天都有來自不同國家的新文件提交。這些新上傳的內容針對的是來自日本，韓國，歐洲和其他受感染國家的人群。

　　韓國是首批受到冠狀病毒感染的國家之一，受到了多次以冠狀病毒為主題的網絡釣魚攻擊的攻擊。他們甚至遭到偽造的勒索軟件活動的攻擊，這些活動實際上并未對任何文件進行加密，而是將其用作恐嚇軟件來威脅受害者支付錢款。

　　在繼續追蹤冠狀病毒的過程中，研究人員看到中國開始恢復正常工作生活，大流行的中心轉移到了歐洲，特別是意大利。隨后，該病毒的爆發導致針對意大利講者的以冠狀病毒為主題的網絡釣魚活動泛濫。

 

　　攻擊者采取的另一種更普遍的趨勢是使用冠狀病毒圖來分發惡意軟件。正如最近發布的那樣，該地圖將Azorult信息竊取程序的惡意下載隱藏到了受害者的計算機上。Azorult信息竊取者能夠竊取敏感信息并將其發送回攻擊者。在此攻擊中，攻擊者不僅將其惡意活動隱藏在地圖UI中，而且還隱藏在冠狀病毒主題的文件和域中。

　　Cybereason Nocturnus團隊還跟蹤增加惡意偽造VPN安裝程序的可用性。隨著許多企業轉向遠程工作以減少冠狀病毒的傳播，他們還敦促其員工使用VPN。攻擊者通過誘騙用戶下載并安裝偽裝成合法VPN客戶端的惡意軟件來利用這一轉變。 Cybereason Nocturnus小組發現了一個虛假網站(fil24 [。] xyz)，該網站聲稱提供各種合法的VPN安裝程序以及適用于Facebook和Instagram等其他程序的安裝程序。但是，當用戶嘗試下載“ VPN”時，他們將被重定向到f444 [。] xyz并下載惡意軟件。

　　甚至移動惡意軟件行業在利用冠狀病毒的爆發。具有多種語言的利用疫情的惡意網站活動正在進行中，該網站誤導用戶下載偽裝成合法應用程序的惡意軟件。該“擺脫冠狀病毒的方法”應用程序聲稱是由“世界衛生組織”創建的，旨在建立信任和真實性。但是，在下載時，該應用程序實際上是臭名昭著的Cerberus銀行木馬，用于竊取敏感的銀行信息。

　　攻擊者甚至利用這種大流行病來瞄準最重要的醫療機構。上周，發現了針對布爾諾大學醫院的勒索軟件攻擊。這所大學擁有該國最大的COVID-19研究實驗室之一。但是，由于惡意軟件攻擊，診所的整個IT網絡都被關閉，從而影響了醫院的其他部門。 這種攻擊使本來就很緊張的醫務人員更加焦慮，這可能導致患者驚慌。在危機時期，醫護人員很容易成為目標，因為他們正在尋找盡可能多的答案和有關情況的盡可能多的信息。這使它們成為網絡釣魚攻擊的主要目標，不幸的是，我們希望攻擊者將繼續利用這種情況，并繼續以破壞性攻擊作為醫療保健組織的目標。

　　天地和興工控安全研究院翻譯整理，參考來源：cybereason https://dwz.cn/qBvcnXT6

　　(六)冠狀病毒攻擊針對教育領域五個需要警惕的問題

　　網絡安全專家警告說，從醫療保健和消費品到銀行業，與冠狀病毒流行有關的網絡釣魚騙局針對所有經濟部門?，F在，學校也被警告要格外警惕。

　　K-12網絡安全資源中心的創始人兼總裁道格·萊文(Doug Levin)表示，學校長期以來一直是網絡釣魚詐騙的對象：大量爆炸式的可疑電子郵件，目的是收集個人信息。近年來，他們也遭受了更復雜、更有針對性的攻擊。目前冠狀病毒的流行加劇了這個問題。騙子和罪犯真正理解人類的心理，指導人們希望獲取更多的信息，在某些情況下，冠狀病毒造成了某種程度的恐慌。這使得人們更有可能暫停對本來可能可疑的消息的判斷，更有可能點擊文檔，因為它聽起來很緊急、很重要，而且與他們相關。

　　以下是Levin表示教育機構需要警惕的五個要點。

　　1. 遠程教學會使學校更容易受到影響。Levin表示，轉向遠程課堂是促進社交距離的重要一步，以限制冠狀病毒的傳播，但讓學生和教師遠程訪問學校的網絡也增加了攻擊的可能性。隨著越來越多的老師和學生上網，特別是如果他們是在學校外控制較少的環境中上網，學校社區的攻擊面就會增加，在許多情況下，只要一個人要在學校社區中犯一個錯誤，就可能使整個學區網絡受到感染，或者發生數據泄露。

　　2.不要像往常一樣依賴IT支持。大量遠程工作的學生和教師面臨的另一個挑戰是，與在線學習相關的IT問題越來越多，這將使資源從網絡安全中轉移出來。萊文表示，學校也傾向于擁有較舊的IT基礎設施，員工在網絡安全方面的培訓可能不如銀行和醫療保健等行業的人員。萊文表示，如果IT員工必須遠程工作，而且可能還必須處理大量的低級技術支持問題，那么他們在事件開始出現時就不會那么在意。黑客通常會在學校防御系統癱瘓的混亂時間或時刻發動攻擊，比如春假或開學前的時間。冠狀病毒的流行是對社會的巨大破壞，足以引起人們的關注。

　　3.即使是小型學校也不安全。萊文強調，一個常見的誤解是，規模較小的學校更安全，因為黑客認為不值得花時間瞄準只有少數學生的學區。萊文表示：“根據我在學校網絡安全事件中看到的證據，罪犯和騙子根本不在乎你是誰，你在哪里，向農村小學校發送電子郵件和向大銀行發送電子郵件一樣容易?！?/span>

　　4.小心可疑鏈接。萊文說，在未來的幾天和幾周內，學校需要加倍預防措施，以防止打開來自未知或可疑地址的可疑鏈接和電子郵件附件。學校應該警告學生和老師，提高他們的意識，當他們收到與冠狀病毒有關的信息時，要有一點懷疑態度，只是要仔細檢查這些信息是從誰那里發出的，是否是他們期待的郵件，如果郵件地址是他們不認識的，或者通常不會收到信息的，我認為仔細檢查郵件地址是很重要的。如果教師或學生認為他們正在收到網絡釣魚郵件，則應聯系他們的IT工作人員，立即報告。

　　5.已經實行良好網絡安全的學校應該是安全的。萊文強調，對于已經開始關注網絡犯罪的學校來說，他們的預防措施應該足夠了。在這時候，學校要格外警惕。如果已經有了良好的網絡安全做法，則可以避免此類事件。冠狀病毒大流行和隨之而來的網絡釣魚詐騙應該提醒人們，網絡安全需要成為學校持續計劃的一部分。

　　天地和興工控安全研究院翻譯整理，參考來源：edweek https://dwz.cn/wg9hpU8e

　　(七)法國警告新型勒索軟件團伙針對地方政府

　　法國網絡安全機構近日發布警告，警告最近出現的針對地方政府當局網絡的新勒索軟件團伙。由法國CERT小組發布的警報指出，使用新版本的Mespinoza勒索軟件(也稱為Pysa勒索軟件)進行的攻擊數量不斷上升。

　　在2019年10月首次發現這種勒索軟件受害者。據當時的報道，受害者表示他們的數據被加密了，每一個文件末尾添加了鎖定的拓展名。兩個月后即2019年12月，發現了新的Mespinoza版本。該版本使用.pysa文件擴展名，所以有時候也被命名為pysa勒索軟件。

　　在以前的Mespinoza / Pysa感染案例中，大多數受害者是公司，這表明這種新勒索軟件背后的組織專門針對大型公司網絡，試圖最大限度地提高勒索要求和固有的利潤。CERT-FR表示，Pysa團伙已經轉移到針對法國組織的目標，該機構收到了多次感染的報告。

　　CERT-FR表示，他們仍在調查Pysa團伙如何獲得受害者網絡的訪問權限。然而，留下的取證線索描繪了某些受感染/勒索網絡中可能發生的情況。有證據表明Pysa團伙對管理控制臺和Active Directory帳戶發起了暴力攻擊。這些暴力攻擊之后，公司的帳戶和密碼數據庫被泄露。受害者還報告表示，發現未經授權的RDP連接到其域控制器，并且部署了Batch和PowerShell腳本。此外，Pysa還部署了一個版本的PowerShell Empire滲透測試工具，停止了各種殺毒產品，甚至在某些情況下甚至卸載了Windows Defender。

　　CERT-FR表示，在他們分析的一個案例中，還發現了使用Pysa勒索軟件的新版本。使用了.newversion文件擴展名，而不是舊的.pysa。

　　調查人員表示，他們還分析了勒索軟件及其加密算法，沒有發現任何可能使受害者繞過贖金，免費解密文件的實施缺陷。根據CERT-FR的說法，Pysa勒索軟件代碼特定且簡短，并且基于公共Python庫。

　　但是Pysa的攻擊不僅限于法國。Emsisoft惡意軟件分析師和ID-Ransomware創始人Michael Gillespie表示，Pysa勒索軟件團伙還使法國境外的受害者遍及多個大洲，攻擊政府和商業相關網絡。

　　Mespinoza / Pysa是最新一個勒索軟件團伙，使用“大狩獵游戲”或“人工操作勒索軟件”策略，勒索軟件團伙以知名目標為目標，破壞其網絡，然后在其網絡上手動安裝勒索軟件。

　　這種非常集中的目標定位策略與過去勒索軟件團伙在2015年至2019年初使用的散彈槍方法形成了鮮明對比，當時他們嚴重依賴漏洞利用工具包和電子垃圾郵件來感染隨機受害者。其他從事有針對性的“大型狩獵”的勒索軟件團伙包括Ryuk、REvil(Sodinokibi)、LockerGoga、RobbinHood、DoppelPayme、Maze等。

　　天地和興工控安全研究院翻譯整理，參考來源：zdnet https://dwz.cn/cWAK6iEo

　　(八)安全專家發現新型勒索軟件PXJ Ransomware

　　近日，IBM X-Force的事件響應團隊發現了一種新型勒索軟件PXJ Ransomware，該代碼在2020年初迅速出現，與大多數勒索軟件的功能相同，但并未與已知的勒索軟件共享底層代碼。

　　PXJ勒索軟件的名稱來自文件擴展名，它會附加到加密文件中。該惡意軟件也稱為XVFXGW，其名稱源自的 惡意軟件會創建“ XVFXGW DOUBLE SET”，以及贖金記錄中包含的電子郵件地址(“ xvfxgw3929@protonmail.com”和“ xvfxgw213@decoymail.com”)。

 

　　就像其他勒索軟件一樣，PXJ首先禁用用戶從已刪除的存儲和卷影副本中恢復任何文件的能力。首先，使用“ SHEmptyRecycleBinW”功能清空回收站。接下來，執行一系列命令以防止在加密數據之后恢復數據。具體來說，在此階段采取的步驟包括刪除卷影副本和禁用Windows錯誤恢復服務。這些任務完成后，文件加密過程開始。根據贖金記錄，該過程包括對設備上的照片和圖像，數據庫，文檔，視頻和其他文件進行加密。

　　為了防止通過破壞加密來進行潛在的恢復，PXJ同時使用AES和RSA算法來鎖定數據，這種做法非常普遍。許多勒索軟件代碼首先使用對稱密碼AES算法對文件進行加密，因為它可以更快地加密文件，從而有助于在惡意程序被中斷之前完成任務。然后，使用更強的非對稱密鑰(在本例中為RSA密碼系統)對AES密鑰進行加密。

　　加密完成后，贖金記錄將作為名為“ LOOK.txt”的文件刪除，并要求用戶通過電子郵件與運營商聯系以支付贖金以換取解密密鑰。攻擊者要求以比特幣付款，并威脅受害者：如果受害者不立即付款，贖金金額將在頭三天后每天增加一倍。據稱，解密密鑰將在一周之內銷毀，這將使受害者無法恢復加密的文件和數據。

　　天地和興工控安全研究院翻譯整理，參考來源：securityaffaits https://dwz.cn/GPVIRinT

　　(九)多個勒索軟件在新型冠狀病毒流行期間停止攻擊醫療組織

　　勒索軟件DoppelPaymer及Maze運營者表示，在新型冠狀病毒流行期間，將不針對醫療組織進行攻擊。

　　DoppelPaymer并表示他們通常不以醫院或療養院為目標，在大流行期間將繼續采用這種方法?！拔覀円话愣急M量避開醫院及療養院，我們始終不觸碰911(偶爾可能由于網絡中的配置錯誤)，而不僅僅是現在。如果我們誤操作，我們將免費解密。但是關于制藥企業，他們在恐慌中賺了很多，我們不會支持他們。當醫生在治病時，他們在賺錢?！比绻t療機構被加密，受害者可通過電子郵件或Tor網頁與他們聯系以提供證據并獲得解密器。

　　Maze勒索軟件運營者表示，他們將停止所有針對醫療組織的攻擊活動，直至新型冠狀病毒流行結束為止。如果醫療機構被錯誤的加密，尚未得到答復是否可以提供免費解密器。

　　同時，安全公司Emsisoft和Coveware表示，在病毒流行期間，他們將向醫療機構免費提供勒索軟件服務，包含：勒索軟件的技術分析;盡可能開發解密工具;作為最后的贖金談判，提供交易處理和恢復幫助，包括用自定義工具替換犯罪分子提供的解密工具，該工具將更快地恢復數據，并且丟失數據的機會更小。

　　天地和興工控安全研究院翻譯整理，參考來源：BellpingComputer https://dwz.cn/DPFdusYi

　　(十)法國馬賽市政廳遭受大規模網絡攻擊

　　法國馬賽市在3月15日至3月22日舉行的市政選舉之前遭受了大規模網絡攻擊，該網絡攻擊不會對市政選舉造成影響。這次選舉的目的是選舉該市八個部門的議會、市議會和艾克斯-馬賽-普羅旺斯大都市議會。

　　國家信息系統安全局(Anssi)表示，該次攻擊造成艾克斯-馬賽-普羅旺斯大都市以及Martigues的300臺機器癱瘓。這些機器用于創建代理簽名列表，因此這些工作必須手動完成。該事件不會影響選舉，市政廳已確認市政選舉將正常進行。

　　據知情人士透露，該網絡攻擊的規模是前所未有的，馬賽市和大都會市政廳受到勒索軟件的攻擊，該勒索軟件能夠繞過所采取的防御措施。但目前尚無與攻擊或勒索軟件家族有關的詳細信息。

　　馬賽市市長候選人馬丁·瓦薩爾表示：“盡管每天都采取了極端的預防措施來保護計算機設備防止病毒和黑客入侵，但這種網絡攻擊的規模和打擊力是空前的，這是無法避免的。這種勒索軟件通過對計算機或文件進行加密來阻止對計算機或文件的訪問，同時要求受害者支付贖金。技術團隊正在努力工作，以對受感染的系統進行準確診斷，并阻止這種攻擊的傳播并限制其影響?！?/span>

　　當地和國家安全部門正在共同合作，以盡快恢復計算機網絡。該事件已經委托給國家警察網絡犯罪部門來調查此事件。

　　天地和興工控安全研究院翻譯整理，參考來源：20minutes https://dwz.cn/Utd6Gkeh

　　(十一)金融服務公司泄漏425G敏感客戶財務數據

　　3月17日，vpnMentor研究人員表示，金融服務公司Advantage Capital Funding和Argus Capital Funding的存儲于AWS S3存儲桶中的50萬份文檔共計425G數據未受保護，包含私人法律及財務文件。該數據庫與這兩個公司開發的MCA Wizard應用有關，該應用現在已不再在官方應用商店中提供。

　　該數據庫是通過vpnMentor的Web制圖項目發現的。Amazon Web Services(AWS)S3存儲桶于2019年12月首次發現，它沒有使用任何形式的加密、身份驗證或訪問憑證。隨著許多公司轉向云服務，這種情況變得越來越普遍。由于無法實現基本的安全協議，該數據庫允許具有網絡連接和S3存儲桶地址的任何人不受限制地訪問。

　　數據庫中存有與公司業務相關的條目，包括信用報告、銀行對帳單、合同、法律文件、駕駛執照副本、購買訂單和收據、納稅申報表、社會保險信息以及交易報告。這些記錄不僅與Advantage和Argus有關，還影響了他們的客戶、承包商、員工和合作伙伴。

　　vpnMentor嘗試與Advantage和Argus聯系，但并未得到回復，研究人員最終直接與AWS聯系，該數據庫于2020年1月9日關閉。

　　天地和興工控安全研究院翻譯整理，參考來源：ZDNet https://dwz.cn/laypfaGy