目 錄

　　第一章 國內關鍵信息基礎設施安全動態

　　(一)信安標委下達2020年第一批推薦性網絡安全國家標準計劃

　　第二章 國外關鍵信息基礎設施安全動態

　　(一)西門子工業設備受Linux內核漏洞SegmentSmack影響

　　(二)葡萄牙能源公司EDP遭受Ragnar Locker勒索近千萬歐元

　　(三)RigUp云數據庫泄露美國能源行業7.6萬份文件

　　(四)丹麥水泵制造商DESMI遭受網絡攻擊

　　(五)瑞士航運公司MSC遭受惡意軟件攻擊致網絡中斷

　　(六)俄羅斯黑客攻擊美國舊金山國際機場泄露用戶登錄憑據

　　(七)勒索軟件DoppelPaymer泄露SpaceX、特斯拉、波音等內部機密文件

　　(八)美國發布朝鮮網絡威脅警告

　　(九)荷蘭警方關閉了15項DDoS租用服務

　　(十)勒索軟件Nemty將關閉服務

　　(十一)巴基斯坦1.15億移動用戶數據在暗網出售

　　(十二)141萬美國醫生個人數據在黑客論壇上出售

　　(十三)美國馬里蘭州醫生社區醫療中心DCMC遭受網絡釣魚

　　(十四)攻擊者使用惡意軟件Grandoreiro 攻擊西班牙銀行

　　(十五)意大利國有銀行Monte dei Paschi銀行員工郵箱遭黑客入侵

　　第一章 國內關鍵信息基礎設施安全動態

　　(一)信安標委下達2020年第一批推薦性網絡安全國家標準計劃

　　近日，國家標準化管理委員會下達 2020 年第一批推薦性國家標準計劃，該計劃共包含432項，涵蓋各行各業。其中新制定311項，修訂121項;有415項為推薦性標準，剩余17項均為指導性技術文件。其中，由全國信息安全標準化技術委員會歸口的標準項目共計16項，均為推薦性標準。

 

　　本文版權歸原作者所有，參考來源：信安標委 https://dwz.cn/GeapvKaP

　　第二章 國外關鍵信息基礎設施安全動態

　　(一)西門子工業設備受Linux內核漏洞SegmentSmack影響

　　4月14日，西門子發布三份關于SegmentSmack漏洞的安全公告，該漏洞可影響西門子數十種工業產品。

　　研究人員Juha-Matti Tilli 在2018年發現 Linux內核受到兩個漏洞的影響，這兩個漏洞可以通過向目標系統發送特制數據包來發起遠程拒絕服務(DoS)攻擊。這兩個高危漏洞的編號為CVE-2018-5390和CVE-2018-5391，分別命名為SegmentSmack和FragmentSmack。專家警告稱，這些漏洞可能會影響數十家主要供應商的產品。

　　在一份公告中，西門子披露了受SegmentSmack和FragmentSmack影響的產品，包括IE / PB-Link設備、RUGGEDCOM路由器、基于ROX的VPN端點和防火墻、SCALANCE路由器和防火墻，、IMATIC通信的處理器、SINEMA遠程連接。

　　西門子的另一份公告中描述了基于VxWorks的Profinet TCP堆棧中的DoS漏洞。該漏洞的編號為CVE-2019-19301，影響了旨在在極端條件下工作的SIMATIC通信模塊、SCALANCE X交換機、SIPLUS設備。

　　最后一份公告描述了基于Interniche的TCP堆棧中的DoS漏洞。該CVE-2019-19300漏洞會影響西門子的SIDOOR門管理系統、各種類型的SIMATIC設備、SINAMICS轉換器、SIPLUS產品。

　　西門子已經發布了一些受影響設備的固件更新，以解決該漏洞，并表示正在為其余受影響產品開發補丁程序。

　　此外，西門子本周還公告了影響其SIMOTICS、Desigo、APOGEE、TALON產品的嚴重DHCP客戶端漏洞。TIM通信模塊中的一個嚴重漏洞可以被利用來完全控制設備，以及影響Climatix POL908和POL909模塊的兩個持續XSS缺陷。

　　天地和興工控安全研究院編譯，參考來源：SecurityWeek https://dwz.cn/w8GdrO7j

　　(二)葡萄牙能源公司EDP遭受Ragnar Locker勒索近千萬歐元

　　近日，勒索軟件Ragnar Locker加密了葡萄牙跨國能源企業Energias de Portugal(EDP)的系統，勒索金額為1580 BTC，約為1,090萬美元或990萬歐元。

　　EDP集團是歐洲能源行業(天然氣和電力)最大的運營商之一，也是世界第四大風能生產商。該公司在全球四個大洲的19個國家/地區擁有業務，擁有超過11,500名員工，并為1100萬以上的客戶提供能源。

　　Ragnar Locker聲稱已竊取了超過10TB的敏感文件，并威脅如果不支付贖金就會泄露所有竊取的數據。

　　在該勒索軟件的泄漏網站上，一篇新帖子表示：“我們已經從EDP集團服務器上下載了超過10TB的私人信息。下面只是您網絡中幾個文件的屏幕截圖，僅作為擁有的證明!目前這個帖子是臨時的，但有可能會成為永久性的頁面。我們也會在大型和知名期刊和博客中發布此泄漏信息，我們還會通知您的所有客戶、合作伙伴、競爭對手。因此，這取決于您將其保密還是公開!”

 

　　在已經泄露的文件中，包括一個edpradmin2.kdb文件，該文件是KeePass密碼管理器數據庫。當單擊泄漏站點時，該鏈接將導致數據庫導出，其中包括EDP員工的登錄名、密碼、帳戶、URL和注釋。

　　研究人員發現了用于此攻擊的Ragnar Locker勒索軟件樣本，以及贖金記錄和Tor付款頁面，攻擊者在其中詳細說明了解密過程和勒索金額。

　　根據EDP被加密的系統上的贖金記錄，攻擊者能夠竊取有關賬單、合同、交易、客戶和合作伙伴的機密信息。贖金說明上表示：“如果您不付款，所有文件和文檔將被公布給所有人查看，并且我們將通過直接鏈接通知所有客戶和合作伙伴有關此泄漏的信息。因此，如果您想避免這種損害您的聲譽的行為，最好按照我們的要求支付贖金?！?/span>

 

　　勒索軟件Ragnar Locker的使用者還在一個可以和受害者進行實時聊天的聊天室里嘲笑了EDP，攻擊者要求EDP去數據泄露網站上查看關于該公司的文章，并且詢問是否準備好在頭條新聞、技術博客、股票網站上看到泄露的私人信息。他們還威脅表示，時間不會等待，并且警告EDP不要嘗試使用除Ragnar Locker提供的解密工具之外的任何其他軟件解密數據，因為它們有損壞或丟失數據的危險。如果受害者在系統被加密后兩天內聯系到他們，他們還向EDP提供優惠價格，但是，Ragnar Locker也同時警告表示，由于勒索軟件的實時聊天不是24/7在線線，因此他們必須等待回復。

　　天地和興工控安全研究院編譯，參考來源：BleepingComputer https://dwz.cn/YJkV5lv6

　　(三)RigUp云數據庫泄露美國能源行業7.6萬份文件

　　近日，vpnMentor報告發現，美國能源行業勞動力市場和服務提供商RigUp泄露了存儲于Amazon Web Services(AWS)S3存儲桶上的76,000份美國能源行業組織和個人的私人文件。泄露的數據包含大量個人身份信息，以及與許多能源公司的業務運營文件。

　　美國RigUp公司成立于2014年，是美國能源行業的勞動力市場和服務提供商，該軟件公司將獨立承包商與美國各地的公司聯系起來。

　　3月10日，vpnMentor發現了暴露的S3存儲桶，該存儲桶標有“ru”字樣，其中包含許多帶有RigUp名稱的文件，從而可以快速識別所有者。泄露數據庫的大小超過100GB，其中包含2018年7月至2020年3月之間存儲的數據。RigUp在該數據庫中存儲了屬于客戶、承包商、求職者和應聘者的大量文件。

　　研究人員在數據庫中找到了與人力資源相關的文件，包括雇員和候選人簡歷、個人照片(甚至私人家庭照片)、與保險單和計劃相關的文書工作和ID、專業ID、個人資料照片(包括美國軍事人員)、專業掃描不同領域的證書。這些文件中包含大量個人身份信息(PII)，例如完整的聯系方式(姓名、地址、電話號碼、家庭住址)、社會保險信息、出生日期、保險單和稅號、個人照片、與教育、專業經驗、個人生活有關的其他信息。在數據庫中還可以找到與許多能源公司的業務運營，項目和公司關系相關的內部記錄，包括項目建議和應用、項目大綱、鉆井設備的技術圖紙、公司保險文件。

　　vpnMentor表示：“如果惡意黑客發現了該數據庫，那么對于黑客而言，這些數據將成為各種欺詐計劃和針對能源行業發起網絡攻擊的金礦?！贝藛栴}的根本原因是RigUp沒有適當地保護數據庫的安全，從而使數千個人暴露了信息。但是，該公司在收到有關此事的警報后很快就解決了該問題。

　　此類漏洞幾乎總是與人為錯誤相關，要么不遵循文檔說明，要么在部署過程中未能自動執行重要的安全步驟。所以仍然需要不斷提高人們對與網絡安全相關的風險的認識，以及在涉及人為行動時保持警惕的重要性。Cerberus Sentinel總裁比爾·桑托斯在一封電子郵件中表示，樹立這種意識文化是任何組織減少網絡暴露的第一步，也是最重要的一步。

　　天地和興工控安全研究院編譯，參考來源：SecurityWeek https://dwz.cn/rLyXQ9Jz

　　(四)丹麥水泵制造商DESMI遭受網絡攻擊

　　4月7日至4月8日晚，丹麥水泵制造商DESMI的IT系統和操作系統遭受了網絡攻擊，導致所有系統都已關閉。攻擊者要求支付贖金以恢復數據，DESMI表示在任何情況下都不會支付贖金，該公司不會支持犯罪分子。該公司的ERP和財務系統沒有收到受到攻擊。

　　該公司聘請了外部專家來調查該事件并恢復正常運行，DESMI已將事件報告給當局和丹麥警察，并將盡快向所有客戶和業務合作伙伴提供更新。

　　DESMI集團的首席執行官HenrikS?rensen表示，目前所有系統都已關閉，系統正在恢復。系統的一部分將在幾天之內啟動并運行，其余的將在幾周之內運行。該公司正在外部專家一道恢復系統，為減少客戶影響和對運營的影響而進行了大量的工作。

　　14日，該公司的通信系統重新上線，收到了過去一周的電子郵件。因此，該公司員工目前有一項艱巨的任務，就是答復過去一周的這些電子郵件，并確保以適當的方式處理所有郵件和請求。

　　該公司的ERP和財務系統并未受到攻擊，在中國、印度、美國、丹麥的生產基地正常運轉，只有很少的干擾。

　　HenrikS?rensen表示，“數據很可能已從系統中被竊取，并且預計犯罪分子將試圖濫用這些數據。新冠病毒現已成為網絡攻擊。2020年無疑將是不容忘記的一年，但我們再次感謝來自世界各地的客戶和業務合作伙伴的支持和理解。此外，我們很高興看到可以再次生產泵和系統，以便我們的客戶可以收到他們的產品。我們已經恢復正常并專注于為我們的許多客戶提供服務?！?/span>

　　DESMI是一家全球公司，專門從事船舶、工業、溢油撲滅、國防和燃料以及公用事業(分區供暖、區域冷卻、水和廢水處理)的泵解決方案的開發和制造。

　　天地和興工控安全研究院編譯，參考來源：DEMSI https://dwz.cn/7cWZfRfY

　　(五)瑞士航運公司MSC遭受惡意軟件攻擊致網絡中斷

　　4月10日，瑞士地中海航運公司(MSC)披露，因其日內瓦總部遭受了惡意軟件攻擊，導致該公司數據中心的網絡中斷，其網站msc.com及其myMSC客戶和供應商門戶已不可用。

　　該事件現已解決，MSC網站和門戶已恢復在線。15日，該公司發布了一份與停機有關的聲明和常見問題解答，確認這已成為網絡攻擊的目標。在聲明中，MSC表示，“經過徹底調查，我們確認它只限于日內瓦的有限數量的物理計算機系統，并且我們確定這是一種基于目標針對性漏洞的惡意軟件攻擊。我們已經按照行業標準與我們的技術合作伙伴共享了該惡意軟件，這樣不僅可以向我們提供緩解措施?！?/span>

　　盡管這可能是勒索軟件攻擊，但該公司尚未共享有關該惡意軟件的任何信息，并表示目前不會提供任何其他詳細信息。MSC表示，這次攻擊對其業務的影響有限，并且沒有發現任何證據表明該事件導致任何數據被泄露或丟失。

　　值得指出的是，如果這是勒索軟件攻擊，那么某些勒索軟件運營商除了對受害者的文件進行加密并進行勒索之外，還從受感染的系統中竊取數據。在網絡中斷期間，MSC的全球代理商和全球員工在大多數情況下繼續照常為客戶提供服務。MSC的所有部門航站樓、倉庫等都沒有中斷地運行，事件對與該公司開展業務的各方沒有威脅。

　　天地和興工控安全研究院編譯，參考來源：SecurityWeek https://dwz.cn/rQMCvpMR

　　(六)俄羅斯黑客攻擊美國舊金山國際機場泄露用戶登錄憑據

　　4月7日，美國舊金山國際機場(SFO)披露其兩個網站遭受黑客入侵，竊取了一些用戶的登錄憑據。該攻擊發生在3月份，遭受攻擊的是SFOConnect.com和SFOConstruction.com兩個流量較低的網站。14日，ESET的研究人員表示，此次攻擊該網站的是俄羅斯有國家背景的威脅組織Energetic Bear。

　　攻擊者在這兩個網站上插入了惡意代碼，以竊取用戶的登錄憑據?？赡苁艿酱斯粲绊懙挠脩舭ㄔ诨赪indows的個人設備或非SFO維護的設備上通過Internet Explorer從機場網絡外部訪問這些網站的用戶。攻擊者已經訪問了受影響的用戶的用戶名和密碼，這些用戶名和密碼用于登錄這些個人設備。目前惡意代碼已從受影響的網站中刪除。SFOConnect.com和SFOConstruction.com已下線。SFO于2020年3月23日強制重置所有與SFO相關的電子郵件和網絡密碼。SFOConnect.com是機場工作人員使用的網站，SFOConstruction.com是機場建設承包商使用的網站。

　　但是安全公司ESET研究人員在14日推文中表示：“目標信息不是訪問者對受感染網站的憑據，而是訪問者自己的Windows憑據。目的是通過利用SMB功能和file：//前綴來收集訪問者的Windows憑據(用戶名/ NTLM哈希)?！笨梢云平釴TLM哈希以獲得用戶Windows密碼的明文版本。如果黑客能夠訪問機場的內部網絡，他們可能會使用從機場員工那里獲得的憑據，在機場內部網絡橫向傳播，以進行偵察、數據盜竊或破壞活動。

　　ESET表示這次襲擊是由威脅組織 Energetic Bear(也叫DragonFly)進行的。該組織自2010年以來一直活躍，據信將代表俄羅斯政府開展活動。該組織是俄羅斯最活躍的國家贊助的組織之一。在過去的十年中，Energetic Bear黑客組織一直在支持針對全世界組織的廣泛黑客攻擊活動。該組織的主要攻擊目標是能源領域的組織，因此得名Energetic Bear，主要是那些位于中東、土耳其和美國的組織。

　　然而，卡巴斯基在2018年4月發布的一份報告以及美國國土安全部當時發出的警報顯示， Energetic Bear最近也開始針對其他類型的組織，包括航空航天和航空業的公司。在卡巴斯基的報告中，詳細介紹了Energetic Bear進行的一系列水坑攻擊，這些攻擊使用相同的“ file：// prefix ”技巧從訪問受感染網站的用戶那里獲取NTLM哈希值。

　　ESET研究人員Matthieu Faou 在采訪中表示：“ Energetic Bear / DragonFly已經使用了該技術多年。我們沒有其他機場網站遭到破壞的信息。根據ESET的遙測技術，最近遭到攻擊的其他網站主要是東歐的媒體網站?！盕aou表示，當他們再次檢測到這項技術被使用時，會立即報告給SFO機場團隊，以讓其迅速從其網站中刪除惡意代碼。

　　天地和興工控安全研究院編譯，參考來源：ZDNet https://dwz.cn/0gvNR9eA

　　(七)勒索軟件DoppelPaymer泄露SpaceX、特斯拉、波音等內部機密文件

　　據外媒The Register報道，由于沒有收到勒索款項，勒索軟件DoppelPaymer在網絡上公開了關于SpaceX、特斯拉、波音等公司的機密信息。被泄露的資訊包括Lockheed-Martin 設計的軍事裝備的細節(比如反迫擊炮防御系統中的天線規格)、帳單和付款表格、供應商資訊、數據分析報告以及法律文書等。

　　3頁月初，美國科羅拉多州丹佛市精密零件制造商Visser Precision遭受勒索軟件DoppelPayment攻擊，攻擊者感染了Visser的電腦并對其文件進行加密，要求Visser在3月底支付贖金，否則將把機密文件內容公開到網絡上。

　　Visser是一家航空、汽車、工業制造業制造和設計承包商，客戶包含SpaceX、特斯拉、波音、霍尼韋爾、Blue Origin、Sikorsky、Lockheed Martin 等大型公司。泄露的文件與這些客戶有關，尤其是特斯拉、Lockheed Martin、波音、SpaceX。此外，Visser與特斯拉和SpaceX之間的保密協議也在泄露文件中。

　　對于文件遭到竊取事件，Lockheed Martin公司發言人表示知情：“我們知道Visser Precision的情況，并且正在遵循我們針對與供應鏈有關的潛在網路事件的標準響應流程。Lockheed Martin 公司已經并且繼續在網路安全方面進行重大投資，并使用行業領先的資訊安全實踐來保護敏感信息，包括在適當的時間向供應商提供指導，以幫助其增強網路安全狀況?！?/span>

　　面對DoppelPaymer的勒索，Visser Precision 的一位發言人稱，公司會繼續對這次攻擊進行調查，目前各項業務運作正常。特斯拉，SpaceX 和波音公司均未做出回應。

　　DoppelPaymer是BitPaymer勒索軟件的一類新變種，于2019年7月被發現。2020 年2 月25 日，DoppelPaymer 勒索軟件的營運商開發了一個網站，以此公布沒有支付贖金的受害者所被盜的文件。不過，DoppelPaymer的運營者承諾在新冠病毒疫情期間不會攻擊醫療機構。

　　天地和興工控安全研究院編譯，參考來源：The Register https://dwz.cn/0fz9H3yA

　　(八)美國發布朝鮮網絡威脅警告

　　4月15日，美國國務院、財政部、國土安全部、聯邦調查局聯合發布關于朝鮮網絡威脅警告，該報告重點介紹了朝鮮構成的網絡威脅，并提出了緩解威脅的建議措施。該警報特別警告要警惕加密劫持、勒索活動、具有網絡功能的金融盜竊和洗錢詐騙。

　　該警報警告，朝鮮的網絡惡意活動不僅針對美國，對整個世界都是危險的?！俺r的惡意網絡活動威脅著美國和整個國際社會，尤其是對國際金融體系的完整性和穩定性構成重大威脅?！?/span>

　　該警報表示朝鮮使用網絡犯罪的利潤來增強其軍事能力。 “在美國和聯合國強有力的制裁壓力下，朝鮮越來越依靠非法活動，包括網絡犯罪，為其大規模殺傷性武器和彈道導彈計劃創造收入?！?/span>

　　同時，該警告表示經濟利益并不是朝鮮進行網絡攻擊的唯一動機?！俺r有能力進行破壞性的網絡活動，從而影響美國關鍵的基礎設施。朝鮮還利用網絡力量從金融機構那里竊取資金，并表現出一種破壞性和有害的網絡活動模式，這完全不符合國際社會就網絡空間中什么構成負責任的國家行為日益形成的共識。 ”

　　聯合國安理會1718委員會專家小組的2019年中期報告提到，它正在調查數十起可疑的朝鮮網絡犯罪搶劫案，并且截至2019年末，朝鮮試圖通過非法網絡竊取多達20億美元的資金。

　　美國政府將以下網絡事件歸因于朝鮮：索尼影業、孟加拉國銀行搶劫案、WannaCry 2.0、FASTCash活動、Lazarus組織盜竊數字貨幣。

　　同時該警告強烈建議政府、企業、公民社會和個人采取以下所有相關措施，以保護自己和抵抗朝鮮的網絡威脅：提高對朝鮮網絡威脅的意識、共享朝鮮網絡威脅的技術信息、實施和推廣網絡安全最佳實踐、通知執法部門、加強反洗錢(AML)/打擊恐怖主義融資(CFT)/防擴散融資(CPF)合規性。

　　此外，從事或支持朝鮮網絡相關活動的個人的實體可被實施制裁。提供與朝鮮有關的網絡非法活動的信息最高可獲得500萬美元的獎賞。

　　天地和興工控安全研究院編譯，參考來源：USCert https://dwz.cn/Pzunz2e1

　　(九)荷蘭警方關閉了15項DDoS租用服務

　　荷蘭警方證實，執法部門已經關閉了15項DDoS租用服務，并逮捕了一名19歲涉嫌對向政府發送公民最新動態的網站發動DDoS攻擊的個人。受影響的網站MijnOverheid.nl和Overheid.nl提供冠狀病毒的相關信息，在3月19日遭受攻擊后幾個小時不可用。

　　荷蘭公民依靠Overheid.nl來與政府進行溝通，包括更新新冠病毒和緊急法規。MijnOverheid為“數字信箱”，市民可通過該信箱接收政府關于報稅表或育兒福利的信息。該網站也包含個人信息，如在市政府注冊的信息。

　　除了逮捕，荷蘭中部警察上周還下架了15種DDoS出租服務，即booters。攻擊者通常從booters那里購買DDoS攻擊，booters向客戶出售基礎設施，這些基礎設施大多是被黑客入侵的計算機，從而使目標流量泛濫。警察表示，在大多數情況下，出售和使用booters是犯罪行為。許多DDoS攻擊者并沒有意識到這一點，因為DDoS攻擊通常是由年輕人進行的，這些年輕人的動機是出于無聊或想成功挑戰開展DDoS活動。

　　荷蘭中部警察網絡犯罪小組負責人耶隆·尼森在新聞中表示：“采取預防措施，我們希望盡可能地保護人們免受DDoS攻擊。通過使booters及其域名下線，我們使網絡罪犯難以為繼。我們現在已經將許多DDoS租用服務下線。如果它們突然出現在其他地方，我們將立即對其進行處理。我們的目標是越來越多地抓住booters?！?/span>

　　近年來，荷蘭警察一直在努力阻止分布式拒絕服務攻擊，這種攻擊會使計算機超載，從而導致無法訪問的流量過多。例如，去年荷蘭警方關閉了一家托管公司，該公司幫助網絡犯罪分子傳播了數十萬次DDoS攻擊。前一年，美國司法部與荷蘭警察和英國國家犯罪局合作，搗毀了15個用于發起DDoS攻擊的互聯網域。

　　同時，荷蘭警方建議受害者不要在遭受DDoS攻擊后向網絡犯罪分子付款，希望受害者通知警方進行調查并追究他們的責任。

　　天地和興工控安全研究院編譯，參考來源：cyberscop https://dwz.cn/luZOqnpF

　　(十)勒索軟件Nemty將關閉服務

　　勒索軟件Nemty運營商近日宣布，他們將關閉其公開的勒索軟件即服務(RAAS)業務并選擇私有化，以集中精力并有針對性的為攻擊目標投入更多資源。

　　Nemty是經典的RaaS(Ransomware-as-a-Service，勒索軟件即服務)，于2019年夏季推出，并在俄羅斯地下黑客論壇上進行了大量廣告宣傳。

　　使用Nemty RaaS簽名的用戶被授予訪問Web門戶的權限，他們可以在其中創建Nemty勒索軟件的自定義版本。然后，客戶可以通過自己的方法自由分發這些自定義版本。在過去的幾個月中，已經發現Nemty勒索軟件通過電子郵件垃圾郵件(malspam)活動，漏洞利用工具包，被誘騙的應用程序以及強行實施的RDP端點進行分發。如果感染了Nemty的受害者支付了贖金，則Nemty運營商會分得這筆款項的30%，而軟件分發者會得到70%。

 

　　然而，Nemty運營商昨天在Exploit黑客論壇的一個專門主題上發布的更新，宣布將關閉RaaS運營并私有化。在網絡犯罪地下私有化意味著與一些選定的合作伙伴合作分發惡意軟件。Nemty運營商為受害者提供了一周的時間來支付贖金，在他們關閉所有服務器之前。之后即使受害者愿意付款，用戶也無法解密其文件。在公告發布的第二天，Nemty工作人員還關閉了其“泄漏站點”，該門戶是Nemty幫派在該門戶發布拒絕支付贖金要求的公司文件的門戶。

　　在2019年10月，Tesorion安全研究人員針對Nemty的三個版本發布了免費的解密器。但是，最新版本不可解密。

　　Nemty勒索軟件的作者還與他人共享了Nemty的源代碼，上個月在網上發現了一種名為Nefilim的新勒索軟件。SentinelLabs和ID Ransomware的研究人員表示，新的Nefilim勒索軟件似乎基于Nemty的代碼。Nefilim勒索軟件僅在針對大公司的少量攻擊中使用。Nemty幫派現在希望過渡到這種作案手法。

　　天地和興工控安全研究院編譯，參考來源：ZDNet https://dwz.cn/gDGFrZ8R

　　(十一)巴基斯坦1.15億移動用戶數據在暗網出售

　　巴基斯坦專業網絡安全服務公司Rewterz發現，目前有1.15億巴基斯坦移動用戶數據在暗網中出售。數據泄露背后的網絡犯罪分子以300BTC(210萬美元)出售該數據。這表明出于經濟動機的威脅行為者在巴基斯坦活躍，各組織正成為這些網絡攻擊的受害者。

　　Rewterz威脅情報團隊分析了在一個流行的暗網論壇上發布的數據轉儲的樣本。竊取的數據包括用戶的個人詳細信息，例如姓名、完整地址、手機號碼、NIC號、稅號。

 

　　提供數據轉儲的網絡犯罪分子是在其張貼廣告的暗網論壇中的VIP成員。該數據銷售廣告寫道，“ 數據庫是在本周剛剛被黑的。當我拿到數據時，該數據仍在更新。該數據是以csv格式精心組織的，帶有標題?！?/span>

　　Rewterz威脅情報專家認為，此漏洞的規模引發了有關電信公司數據安全性和隱私性的問題。這些數據可能是多次違規或一次違規的結果，目前還為時過早。還不清楚巴基斯坦是否有任何特定的電信運營商或所有電信運營商成為此次攻擊的受害者。但是，如果發生違規行為，則應在知情的情況下將其披露。這些電信公司有可能由于不了解黑客攻擊或有意選擇不公開而未能披露該違規行為。它針對已發布信息的客戶。

　　天地和興工控安全研究院編譯，參考來源：Rewterz https://dwz.cn/44vhRF9Q

　　(十二)141萬美國醫生個人數據在黑客論壇上出售

　　據Hackread.com報道，網絡犯罪分子正在暗網論壇上出售美國境內141萬名醫生的個人信息。該數據庫是4月11日從在線服務qa.findadoctor.com竊取的，該服務可使人們可以搜索醫療保健專業人員，進行即時預約并在線咨詢醫生。對于新冠病毒流行期間忙于挽救生命的醫生和醫護人員而言，這可能會成為災難。

　　該網站位于新澤西州愛迪生市，由Millennium Technology Solutions公司擁有，注冊了100000多名醫生和5000多名成員。該網站允許醫生和患者使用自己的電子郵件地址進行注冊。但是，患者需要拍自己的照片或從PC上傳照片以注冊其會員資格。

　　被盜數據中包含醫生的姓名、性別、工作醫院名稱、位置、郵寄地址、診所地址、國家/地區、電話號碼、許可證號等，但不包含電子郵件地址，也不包含患者的照片或病歷。這意味著醫生不會遭受網絡釣魚和惡意軟件詐騙，但是基于泄露的記錄，發現醫生們的電子郵件地址非常簡單。此外，網絡罪犯分子也可以使用電話號碼進行網絡釣魚攻擊。

　　天地和興工控安全研究院編譯，參考來源：HackRead https://dwz.cn/xys2Usku

　　(十三)美國馬里蘭州醫生社區醫療中心DCMC遭受網絡釣魚

　　4月13日，美國馬里蘭州醫生社區醫療中心(Doctors Community Medical Center)發出通告，該中心1月份遭受了網絡釣魚攻擊，其工資系統存在異常網絡活動，少數員工已成為網絡釣魚攻擊的受害者。通過在網絡釣魚攻擊中獲取員工的憑據，未經授權的第三方能夠訪問員工的工資信息及其電子郵件帳戶。

　　在2019年11月6日至2020年1月30日之間的不同時間段內，不知名的參與者訪問了某些DCMC員工帳戶。作為調查的一部分，官員們確定電子郵件帳戶中包含具有患者人口統計信息的數據表。盡管對于所有受影響的患者而言并不相同，但電子郵件中包含的患者信息包括：姓名、地址、出生日期、社會保險號、駕照、軍事身份證號碼、財務帳戶信息、治療信息/診斷、處方信息、提供者名稱、病歷號/患者ID、Medicare / Medicaid號、健康保險信息、治療費用信息、訪問憑證。

　　DCMC首席信息官Dave Lehr表示，“在得知個人信息的潛在暴露后，DCMC立即展開了調查以確定此事件的性質和范圍，這包括與計算機取證調查員合作，確定受影響的確切信息以及電子郵件帳戶中包含的個人身份。我們沒有任何證據表明已訪問，復制或重新公開了帶有患者信息的特定電子郵件。但是，出于謹慎考慮，DCMC正在向所有受此事件影響的患者提供書面通知。我們認真對待這一事件和個人信息安全，作為我們對個人信息隱私保護的持續承諾的一部分，我們正在審查我們現有的政策和程序，并實施其他保護措施以進一步保護我們系統中的信息。作為額外的預防措施，我們還為受影響的人提供免費的信用監控和身份恢復服務。我們鼓勵可能受到影響的個人通過查看對帳單和對不正?；顒拥睦娴慕忉寔肀３志?，以防身份盜用事件，并立即將任何可疑活動報告給您的保險公司，醫療保健提供者或金融機構?！?/span>

　　DCMC已通知聯邦執法部門，并在調查繼續進行時繼續通知可能受此事件影響的人員。

　　天地和興工控安全研究院編譯，參考來源：DCH https://dwz.cn/dwtyR7aP

　　(十四)攻擊者使用惡意軟件Grandoreiro 攻擊西班牙銀行

　　IBM X-Force的研究人員近日發現，一種常見的惡意軟件Grandoreiro已經將攻擊目標轉向了西班牙銀行，此前該惡意軟件通常會攻擊巴西的銀行。

　　遠程攻擊的銀行木馬程序Grandoreiro未經重大修改就遷移到了西班牙，證明了來自巴西的惡意軟件的攻擊者正在與西班牙的攻擊者合作，或者自己將攻擊傳播到了該地區。遠程攻擊木馬很容易在地下和黑暗網絡市場中找到和購買。

　　IBM Security執行安全顧問Limor Kessem表示，在持續的攻擊活動中，攻擊者已將至少10家西班牙大型銀行的客戶作為目標?！拔覀冞^去已經發現了過這種遷移，而且這種遷移很可能與西班牙本地犯罪分子使用來自巴西同行的惡意軟件有關?！?/span>

　　該惡意軟件名為Grandoreiro，它使用一種遠程訪問功能，該功能可以將圖像覆蓋在受害者的Web瀏覽器上，從而誘騙它們使銀行會話保持活動狀態。Kessem和她的同事Dani Abramov在博客中表示，這使黑客有機會從受害者的帳戶中竊取錢財或刷其他帳戶信息。

　　目前尚不清楚有多少西班牙銀行客戶成為目標客戶。IBM沒有透露受影響的組織。

　　西班牙銀行業協會是一個行業組織，其成員包括西班牙一些最大的銀行，該協會表示，“總體上了解網絡犯罪活動，但我們沒有具體案例的細節或證據。我們可以確保的是，從歷史上講，甚至在現在，銀行都在與網絡犯罪作斗爭。當然，他們為此目的采取了措施?！?/span>

　　多年來，像Grandoreiro這樣的遠程覆蓋木馬一直是拉丁美洲網絡犯罪活動的主要內容。IBM表示，一名不明身份的黑客察覺到了機會，對惡意軟件進行了調整，保留了大約85%的源代碼，以攻擊西班牙的銀行客戶。研究人員認為，熟悉Grandoreiro原始代碼的攻擊者要么與西班牙的犯罪分子合作，要么自行進行攻擊。

　　長期以來，巴西一直是出于經濟動機的網絡犯罪的溫床。威脅情報公司Recorded Future表示，在線論壇提供了多種黑客工具可供選擇，網絡犯罪團伙通常分為專門從事軟件開發和洗錢的團隊。

　　以Grandoreiro為例，曾經是巴西的問題，現在轉移到了西班牙。隨著西班牙繼續努力應對新型冠狀病毒，使用該惡意軟件的入侵企圖明顯增加。像其他無數犯罪分子一樣，Grandoreiro的運營商似乎已經針對大流行調整了他們的黑客活動。ESET的研究人員在2月份發現虛假網站，這些網站向巴西、西班牙和墨西哥的用戶散播了對病毒的恐懼，并可能傳播了Grandoreiro惡意軟件。

　　天地和興工控安全研究院編譯，參考來源：cyberscoop https://dwz.cn/AtkVYrRP

　　(十五)意大利國有銀行Monte dei Paschi銀行員工郵箱遭黑客入侵

　　近日，意大利國有銀行Monte dei Paschi遭到網絡攻擊，黑客入侵了部分員工的郵箱，并向客戶發送了帶有語音附件的電子郵件。

　　據路透社報道，該攻擊發生在3月30日，該銀行向其客戶發送了通知。該通知中沒有透露是否有數據遭到泄露，也沒有提及是否有任何客戶因這些郵件遭受損失。該銀行也沒有提供網絡攻擊的具體細節，目前尚不清楚攻擊者是否訪問了公司數據。

　　由于意大利近期新冠病毒爆發，許多銀行、政府機構甚至醫療服務機構都成為網絡攻擊者的目標。在最近幾周內，安全公司和專家報告了多起以冠狀病毒為主題的網絡釣魚活動和垃圾郵件活動， 旨在傳播惡意軟件。意大利警方建議客戶對以新冠病毒主題的電子郵件保持警惕。

　　天地和興工控安全研究院編譯，參考來源：SecurityAffairs https://dwz.cn/LDvSfpEt