目   錄

 

第一章 國內關鍵信息基礎設施安全動態

（一）國家網信辦下架滴滴出行APP，啟動網絡安全審查

（二）臺灣QNAP修復了NAS設備中的嚴重漏洞

第二章 國外關鍵信息基礎設施安全動態

（一）WAGO設備存在嚴重漏洞，使工業公司面臨遠程攻擊

（二）Claroty工業遠程訪問產品SRA中存在安全漏洞

（三）美國Wiregrass電力公司遭受勒索軟件攻擊

（四）日本航運公司K Line計算機系統遭受未經授權訪問

（五）美國水務公司WSSC Water遭受勒索軟件攻擊

（六）韓國航空宇宙產業公司遭受黑客攻擊，泄露大量機密文件

（七）IT軟件公司Kaseya遭受供應鏈勒索軟件攻擊

（八）ENISA發布中小企業網絡安全指南

（九）美國NYDFS發布勒索軟件安全指南

（十）西班牙電信巨頭MasMovil遭受Revil勒索軟件攻擊

（十一）印度公共分配系統450萬公民信息遭到泄露

（十二）社交媒體網站GETTR泄露近9萬用戶私人信息

（十三）美國保險巨頭AJG遭受勒索軟件攻擊泄露私人數據

（十四）蒙古證書頒發機構MonPass遭受黑客入侵并傳播惡意軟件

 

第一章 國內關鍵信息基礎設施安全動態

（一）國家網信辦下架滴滴出行APP，啟動網絡安全審查

據中央網信辦7月2日消息，為防范國家數據安全風險，維護國家安全，保障公共利益，依據《中華人民共和國國家安全法》《中華人民共和國網絡安全法》，網絡安全審查辦公室按照《網絡安全審查辦法》，對“滴滴出行”實施網絡安全審查。為配合網絡安全審查工作，防范風險擴大，審查期間“滴滴出行”停止新用戶注冊。

隨后據中央網信辦7月4日消息，據根據舉報，經檢測核實，“滴滴出行”App存在嚴重違法違規收集使用個人信息問題。國家互聯網信息辦公室依據《中華人民共和國網絡安全法》相關規定，通知應用商店下架“滴滴出行”App，要求滴滴出行科技有限公司嚴格按照法律要求，參照國家有關標準，認真整改存在的問題，切實保障廣大用戶個人信息安全。

對此滴滴出行回應稱，將積極配合網絡安全審查。全面梳理和排查網絡安全風險，持續完善網絡安全體系和技術能力。滴滴堅決落實國家有關部門的相關要求，已于7月3日暫停新用戶注冊，滴滴出行App將嚴格按照有關部門的要求下架整改。已下載滴滴App的用戶可正常使用，乘客的出行和司機師傅的接單不受影響。

滴滴出行表示，“真誠感謝主管部門指導滴滴排查風險，我們將認真整改，不斷提升風險防范意識和技術能力，持續保護用戶隱私和數據安全，防范網絡安全風險，持續為用戶提供安全便捷的服務。”

本文版權歸原作者所有，參考來源：網信辦 http://t.hk.uy/6rA

 

（二）臺灣QNAP修復了NAS設備中的嚴重漏洞

臺灣供應商QNAP修復了一個NAS設備中存在的嚴重漏洞CVE-2021-28809，攻擊者可利用該漏洞破壞易受攻擊的NAS設備。

不當訪問控制漏洞CVE-2021-28809是由TXOne IoT/ICS安全研究實驗室的Ta-Lun Yen在QNAP的災難恢復和數據備份解決方案HBS 3 Hybrid Backup Sync中發現的。

安全問題是由有缺陷的軟件引起的，該軟件沒有正確限制攻擊者獲取系統資源的訪問權限，從而允許攻擊者在未經授權的情況下提升權限、遠程執行命令或讀取敏感信息。

QNAP表示，以下HBS版本已修復安全漏洞，并建議客戶將應用程序更新到最新發布的版本：

1、QTS 4.3.6：HBS 3 v3.0.210507 及更高版本；

2、QTS 4.3.4：HBS 3 v3.0.210506 及更高版本；

3、QTS 4.3.3：HBS 3 v3.0.210506 及更高版本。

要更新NAS設備上的HBS，必須以管理員身份登錄QTS或QuTS hero，在應用中心搜索“HBS 3 Hybrid Backup Sync”，然后單擊“更新”和“確定”來更新應用程序。如果HBS已經是最新版本，則更新選項將不可用。

然而，雖然QNAP于7月6日發布了安全公告，宣布CVE-2021-28809已修復，但該應用程序的發行說明并未列出自2021年5月14日以來的任何安全更新。據該公司稱，運行QTS 4.5.x和HBS 3 v16.x的QNAP NAS設備不受此安全漏洞的影響，也不會受到攻擊。

QNAP于今年4月修復了HBS 3 Hybrid Backup Sync備份和災難恢復應用程序中發現的另一個嚴重安全漏洞。該公司最初將后門帳戶漏洞描述為“硬編碼憑據”，然后又稱為“不當授權”，它提供了一個后門帳戶，該帳戶允許Qlocker勒索軟件運營商加密暴露在互聯網上的網絡附加存儲(NAS)設備。

至少從4月19日開始，作為大規?；顒拥囊徊糠?，Qlocker開始將QNAP設備作為目標，部署勒索軟件有效載荷，將受害者的文件移動到受密碼保護的7zip檔案中并索要贖金。據報道，勒索軟件組織通過索要0.01比特幣（當時價值約500美元）贖金，在短短五天內賺了約260,000美元。

同月，QNAP敦促其客戶從保護NAS設備不受針對其數據的Agelocker勒索軟件攻擊，并在兩周后保護他們不受eCh0raix勒索軟件攻擊。QNAP設備之前曾在2019年6月和2020年6月期間受到eCh0raix勒索軟件攻擊，也稱為QNAPCrypt。

參考來源：BleepingComputer http://t.hk.uy/6JP

 

第二章 國外關鍵信息基礎設施安全動態

 

（一）WAGO設備存在嚴重漏洞，使工業公司面臨遠程攻擊

德國專門從事電氣連接和自動化解決方案的WAGO公司生產的可編程邏輯控制器(PLC)和人機界面(HMI)產品中存在多個高危及嚴重漏洞。

根據德國CERT@VDE 6月29日發布的一份咨詢報告，該機構負責協調與工業自動化相關的網絡安全問題，WAGO的PFC100和PFC200 PLC、其邊緣控制器產品和觸摸屏600 HMI受到影響iocheckd服務I/O-Check的四個內存相關漏洞的影響。

安全漏洞可能允許攻擊者造成拒絕服務(DoS)情況，在某些情況下甚至可以執行任意代碼。每個漏洞都可以通過向目標設備發送包含操作系統命令的特制數據包來利用。

工業網絡安全公司Claroty的協議研究員Uri Katz向供應商報告了這些漏洞。Katz表示，“通過鏈接共享內存溢出漏洞(CVE-2021-34566)和越界讀取漏洞(CVE-2021-34567)，我們能夠創建一個完整的預授權遠程代碼執行，來遠程接管任何WAGO PFC100/200設備。”

Katz指出，有數百個WAGO PFC設備暴露在互聯網上，這意味著惡意行為者可以遠程攻擊它們。Katz表示，“通過利用這些漏洞，攻擊者有可能操縱或破壞設備，訪問OT網絡并接管網絡的其他部分。”

WAGO在6月份發布了針對這些漏洞的補丁FW18 Patch 3，并分享了一些緩解建議。

WAGO指出，受影響的I/O-Check服務僅在設備安裝和調試期間需要，在正常操作期間不需要，并且建議客戶在調試后禁用該服務。用戶被告知，“這是保護您的設備免受所列漏洞和可能即將到來的零日漏洞攻擊的最簡單和最安全的方法。”

然而，Katz表示，雖然Claroty沒有確切的數字，但在大多數情況下，I/O-Check服務由組織啟用。

參考來源：SecurityWeek http://t.hk.uy/5T9

 

（二）Claroty工業遠程訪問產品SRA中存在安全漏洞

工業網絡安全公司Claroty的安全遠程訪問(SRA)產品中存在一個身份驗證繞過漏洞CVE-2021-32958，威脅行為者可利用該漏洞攻擊工業組織。

自4月份以來該產品已經發布了修復補丁，在野外被利用的風險很低，但這個漏洞仍然值得注意，因為大家并不經常聽說ICS網絡安全公司的產品中存在漏洞。

該漏洞是由總部位于奧地利的運營技術(OT)安全公司Limes Security的Alpha Strike實驗室研究部門發現的。Limes Security和美國網絡安全和基礎設施安全局(CISA)也披露了該漏洞的存在。Claroty SRA是專門為OT環境構建的安全遠程訪問解決方案，包括在操作、管理和安全需求方面。

Alpha Strike研究人員發現，能夠訪問目標系統的攻擊者可以繞過SRA軟件的中央配置文件的訪問控制。成功利用此漏洞可以讓具有本地命令行接口訪問權限的攻擊者獲得秘密密鑰，隨后允許他們為web用戶界面(UI)生成有效的會話令牌。通過訪問web UI，攻擊者可以訪問SRA安裝管理的資產，并可能危及安裝。

Alpha Strike實驗室研究人員表示，利用該漏洞的難度取決于安裝SRA的主機的配置。研究人員表示，“在我們遇到的情況下，SRA主機的任何非特權本地用戶都可以訪問敏感信息。至于攻擊者在真實環境中可能達到的效果，利用此漏洞的攻擊者可能會成為SRA的管理員，從而危及通過SRA管理的資產。實際上，這意味著攻擊者可以創建有效的會話，從而有效地非法訪問通過SRA保護的任何工業組件或網絡，無論是生產環境還是關鍵基礎設施站點。”

該漏洞編號為CVE-2021-32958，是CVSS評分5.5分的中危漏洞，于1月底報告給Claroty，供應商于4月份發布了3.2.1版，并對其進行了修補。

Claroty在一份電子郵件聲明中表示，“Claroty與安全研究人員合作，修復了SRA 3.2及更早版本中的漏洞。實際上，它的風險非常低，因為該漏洞無法遠程攻擊，并且本地操作系統級別的訪問權限(攻擊所需)應該僅限于管理員用戶。要修補此漏洞，客戶應在允許的情況下升級到SRA 3.2.1，并應用與CVE-2021-32958相關的建議中的補償控制，直到可以升級。”

參考來源：SecurityWeek http://t.hk.uy/7fR

 

（三）美國Wiregrass電力公司遭受勒索軟件攻擊

美國阿拉巴馬州Wiregrass電力合作社（WEC）7月3日發布警告，其遭受了勒索軟件攻擊。雖然沒有數據受到損害，但該公司將非常謹慎地進行系統維護。在此維護期間，所有帳戶訪問和支付系統都將不可用。在系統維護期間，系統將暫停且斷開連接。直到該公司認為是安全時，才能恢復所有系統。

WEC首席運營官Brad Kimbro表示，其在7月3日上午發現系統上存在可疑活動，檢測到勒索軟件攻擊。“我們7×24全天候監控它，看到了一些活動，知道發生了什么，并關閉了它。好消息是，沒有人員的數據受到損害。我們非常重視會員的數據，我們對所有信息進行了加密，我們100%確信沒有發生數據泄露。”

在系統維護期間，系統將暫停且斷開連接。在WEC系統完全恢復之前，任何想要付款的人都無法付款。如果今日客戶想進行在線支付，WEC將與客戶合作。

Kimbro還表示，客戶不應該對此次系統遭受攻擊感到震驚。“我們每天都會壓制數成百上千起攻擊。我們每天至少備份所有內容兩次。真的沒有什么值得任何人擔心的。沒有數據丟失。沒有成員數據被泄露。”

Kimbro沒有提供系統何時恢復并再次運行的時間表，但表示，將在WEC認為安全時恢復運行。

參考來源：WDHN http://t.hk.uy/6je

 

（四）日本航運公司K Line計算機系統遭受未經授權訪問

日本航運公司Kawasaki Kisen Kaisha（K Line）7月2日發表了一份簡短聲明，證實其計算機系統再次遭到“未經授權訪問海外子公司系統”破壞。K Line最近才從先前的網絡攻擊中恢復過來，此前遭受攻擊的也是其一家海外分支機構。

K Line是日本歷史最悠久、規模最大的航運公司之一，擁有400多艘船舶。

該公司在7月1日的官方聲明中表示，“對于由此可能給我們潛在受影響的客戶和利益相關者帶來的任何復雜情況和擔憂，我們表示最誠摯的歉意。我們意識到，據稱從海外子公司系統獲取的信息和數據是最近公布的。”

該公司表示，目前正在進行調查，但沒有發現未經授權的訪問仍在繼續的跡象。“我們已經聘請了外部專家，他們目前正在對此類信息的真實性和事實細節進行調查。”

就在三個多月前，即2021年3月18日，“K” Line還報告說，它的一些企業系統正在經歷系統中斷。在那次事件中，該公司表示，懷疑是由于通過其海外分支機構引入的惡意軟件感染所致。雖然他們認為沒有數據丟失，并且他們報告稱，他們的全球艦隊的運營沒有受到影響，但該公司被迫暫時關閉其企業系統和外部連接。

在發現先前的漏洞十天后，“K” Line報告稱，其部分系統已恢復，正在逐步恢復運營，但直到4月21日才報告恢復工作已經完成。

在恢復過程中，其報告稱，所有電腦上都安裝了多個病毒掃描程序，以加強安全性，并加強對每臺電腦的控制。他們還表示，他們正在加強針對病毒和外部攻擊的安全措施，以便更好地及早期檢測和更好地控制重要信息。

此次最新事件再次凸顯網絡犯罪分子正瞄準航運業。韓國航運公司HMM近日也報道稱，其也遭受了攻擊，韓國媒體有報道稱，造船商大宇造船海洋工程有限公司也因潛在的網絡漏洞正在接受調查。在這種情況下，人們擔心犯罪分子可能一直在尋找有關該國潛艇的機密信息。去年，發生了幾起備受矚目的網絡攻擊事件，其中一次使航運巨頭CMA CGM在全球范圍內下線，另一起則中斷了國際海事組織的部分會議能力。

參考來源：TheMaritimeExecutive http://t.hk.uy/5Ud

 

（五）美國水務公司WSSC Water遭受勒索軟件攻擊

美國水務公司WSSC water正在調查5月24日發生的一起勒索軟件攻擊事件，攻擊目標是其網絡中運行非必要業務系統的部分。

據巴爾的摩WJZ13報道，該公司僅在數小時后就刪除了該惡意軟件，并鎖定了該威脅，然而攻擊者已經訪問了內部文件。WSSC已經通知了聯邦調查局、馬里蘭州司法部長、州和地方國土安全官員。

該公司運營著過濾和污水處理廠，此次攻擊并未影響水質，但調查仍在進行中。

WSSC及國土安全部主任David McDonough在一份聲明中表示，“WSSC Water繼續為蒙哥馬利和喬治王子郡的180萬客戶生產和提供安全、清潔的水，我們飲用水的質量和可靠性從未受到威脅。這些攻擊變得越來越常見，特別是在最近幾周，WSSC Water已經為這類事件做好了準備。”

該公司使用了氣隙網絡，能夠從備份中恢復加密文件。

WSSC警告客戶，可能存在濫用訪問數據的攻擊，建議他們監控自己的財務報表，并報告任何可疑交易。該公司將為受影響的人提供5年的信用監控，并免費提供100萬美元的身份盜竊保險。

參考來源：SecurityAffairs http://t.hk.uy/7hK

 

（六）韓國航空宇宙產業公司遭受黑客攻擊，泄露大量機密文件

據韓媒報道，近期，韓國航空宇宙產業公司遭到黑客攻擊，造成大量機密文件泄露。此前，韓國原子能研究所和大宇造船海洋工程公司也曾遭到不明黑客攻擊。

據韓聯社報道，6月30日，多名韓國政府官員對外表示，今年以來，韓國航空宇宙產業公司遭到兩次不同程度的黑客攻擊，已發現大量機密文件泄露。韓國情報部門消息稱，韓國在研的第五代隱身戰機KF-21戰機設計圖紙可能已泄露。不僅如此，軍用無人機、FA-50輕型攻擊機、直升機、電子戰和雷達等諸多現役裝備的相關資料也可能泄露。

遭到攻擊的不止韓國航空宇宙產業公司一家。5月中旬，韓國原子能研究所被黑客侵入。6月21日，韓國大宇造船海洋工程公司發布消息稱遭到不明黑客攻擊。韓國防衛事業廳隨后證實這起黑客攻擊事件，但拒絕透露攻擊行動是否成功。據了解，韓國大宇造船海洋工程公司為韓國海軍建造了多艘驅逐艦和潛艇。在今年6月10日釜山舉辦的韓國國際海事防務工業展覽會上，該公司還展示了一款“雙艦島”航母模型，意圖競爭韓國海軍的航母合同。

韓國借助歐美技術大力發展軍工產業，其戰機、潛艇、火炮等出售至多個國家，成為國際軍火市場上一匹黑馬。此次航空宇宙產業公司被黑客攻擊，韓國軍工業或將遭受不小的打擊。

歐美或提賠償要求。韓國軍工企業或引進歐美技術，或與歐美大型企業合作進行技術研發，許多裝備都是名副其實的“混合體”，例如KF-21戰機采用美國F414渦輪風扇發動機、英國馬丁·貝克公司彈射座椅、歐洲6國共同研制的“流星”空空導彈和德國的IRIS-T空空導彈……此次，航空宇宙產業公司被黑客攻擊可能引發合作伙伴不滿和追責。

韓國軍火出口可能受挫。韓國的FA-50戰機已出口至菲律賓，并在競標馬來西亞的輕型戰機項目。印尼從韓國購買3艘張保皋級潛艇，還為KF-21戰機投資2億美元。如果大量裝備核心技術外泄，必然影響韓國軍火的后續出口。

引進先進技術或將受阻。韓國軍工巨頭一再被黑客攻陷且造成重要技術資料外泄，說明其網絡安全防范措施存在不少漏洞，此后，歐美國家和企業在與之合作時將更加謹慎。事實上，美國在向韓國提供軍事技術問題上一直不太主動，今后或將更趨消極。

本文版權歸原作者所有，參考來源：中國國防報 http://t.hk.uy/7dy

 

（七）IT軟件公司Kaseya遭受供應鏈勒索軟件攻擊

軟件制造商Kaseya遭受了勒索軟件攻擊，敦促其VSA端點管理和網絡監控工具的用戶立即關閉VSA服務器。Kaseya表示，攻擊始于美國東部時間7月2日下午2點左右。雖然這起事件似乎只影響到內部客戶，但作為預防措施，SaaS服務器也已關閉。

截至7月3日早，美國國土安全部的CISA尚未發布正式警報，但CISA 2日晚表示，其正在采取行動，了解并解決最近針對Kaseya VSA和使用VSA軟件的多家托管服務提供商(MSP)的供應鏈勒索軟件攻擊事件。

攻擊的時機不是巧合，由于美國7月4日假期周末，IT和安全團隊很可能人手不足，反應速度更慢。

Kaseya表示，“雖然我們的早期指標顯示，只有極少數本地客戶受到影響，但我們采取了保守的做法，關閉了SaaS服務器，以確保我們盡最大努力保護我們的36,000多名客戶。同時他們正在為本地客戶開發一個補丁，需要在VSA重啟之前安裝這個補丁。”

據安全公司Huntress稱，至少有8家管理服務提供商(MSPs)受到攻擊，200多家客戶已經受到影響。Kaseya目前估計只有不到40個客戶受到影響。

這次攻擊似乎涉及利用漏洞進行攻擊，并發送惡意的Kaseya VSA軟件更新，該更新中攜帶了一種勒索軟件，可以加密受攻擊系統上的文件。

根據安全研究員Kevin Beaumont的說法，VSA以管理員權限運行，這使得攻擊者也可以將勒索軟件傳遞給受影響的MSP的客戶。在受危害的系統上，惡意軟件試圖禁用各種Microsoft Defender for Endpoint保護，包括實時監控、IPS、腳本掃描、網絡保護、云樣本提交、云查找和受控文件夾訪問。在部署勒索軟件之前，VSA管理員帳戶就已被禁用。

根據Huntress的說法，這次襲擊似乎是由REvil/Sodinokibi勒索軟件作為服務的附屬機構實施的。Sophos和其他一些人也證實了REvil也參與其中。

 

有的受害者被要求的勒索贖金為50,000美元，而有的受害者被要求的勒索贖金為500萬美元。REvil攻擊通常還涉及從受感染系統竊取數據，以迫使受害者支付贖金。然而，考慮到攻擊者在Kaseya漏洞曝光之前可能沒有太多時間在受害者系統上，目前尚不清楚這些攻擊中是否有任何文件被盜。

Nozomi Networks技術人員Chris Grove表示，“這種類型的供應鏈攻擊，類似SolarWinds攻擊，直接影響到組織的核心。這些類型的技術管理解決方案可能具有高度集中的風險，因為它們收集了大量具有提升權限的企業帳戶、它們運行所需的不受限制的防火墻規則、以及一種文化‘信任’，即流入/流出它們的流量是合法的和應該被允許。一旦出現漏洞，受害者通常會使用這些工具來擺脫糟糕的情況，但是當工具本身存在問題或不可用時，就會增加恢復工作的復雜性。”

Kaseya證實，攻擊者利用了產品中的零日漏洞，影響了多達1,500個組織，聲稱沒有證據表明產品源代碼遭到惡意修改。黑客似乎利用影響VSA Web界面的身份驗證繞過漏洞上傳惡意負載。然后能夠在受感染的系統上執行任意代碼。

CISA和FBI聯合發布了針對受到Kaseya供應鏈攻擊影響的受害者的指南。這兩個機構建議組織使用Kaseya提供的檢測工具來檢查他們的系統是否存在入侵跡象，并啟用多因素身份驗證(MFA)。

參考來源：SecurityWeek http://t.hk.uy/7gH

 

（八）ENISA發布中小企業網絡安全指南

歐盟網絡和信息安全局（ENISA）發布了針對中小企業的網絡安全指南。為了應對新冠疫情流行，ENISA分析了歐盟內的中小企業應對大流行帶來的網絡安全挑戰的能力，并確定了應對這些挑戰的良好做法。該指南為中小企業提供網絡安全建議，但也提供了成員國應考慮采取的行動建議，以支持中小企業改善其網絡安全態勢。

該指南為中小型企業提供關于如何提高其基礎設施和業務安全性的12項高級建議，其中包括：培養良好的網絡安全文化、提供適當的安全培訓、確保有效的第三方管理、制定事故響應計劃、安全訪問系統、確保設備安全、保護網絡安全、提高物理安全性、確保備份安全、參與云計算、確保在線網站安全，以及尋求和分享信息。

新冠疫情危機顯示了互聯網和計算機對于中小企業維持其業務的重要性。為了在疫情中生存并繼續開展業務，許多中小企業不得不采取業務連續性措施，例如采用云服務、升級互聯網服務、改進網站、以及使員工能夠遠程工作。該指南強調，有很多網絡安全挑戰因新冠疫情大流行的影響而進一步加劇，而現在更需要緩解。在該指南中概述的使中小企業能夠應對這些網絡安全挑戰的建議就是朝著這個方向制定的。該指南的建議是基于擴展的桌面研究制定的。

在為期兩個月的調查研究中，有249家歐洲中小企業分享了他們對數字安全狀態和新冠疫情等危機準備情況的反饋，并隨后對選定的參與者進行了有針對性的采訪。研究發現，中小企業面臨的最大挑戰是對網絡安全不佳對其業務構成的威脅的認識不足、實施網絡安全措施的成本往往與缺乏專門預算、缺乏ICT網絡安全專家、缺乏針對中小企業部門的適當指導方針、管理支持度低。

歐盟內的中小企業似乎明白，網絡安全是一個重要問題，它們非常依賴其信息和通信技術基礎設施。在接受調查的中小企業中，超過80%表示，網絡安全問題會在問題發生后的一周內對其業務產生嚴重的負面影響，其中57%表示很可能會破產或倒閉。盡管如此，中小企業似乎并不理解網絡安全不僅僅影響大型組織。因此，中小企業需要意識到網絡安全問題可能對其業務產生的影響。許多中小企業認為，他們購買的IT產品中包含的網絡安全控制就足夠了，除非法規或法律強制要求，否則不需要額外的安全控制。

參考來源：ENISA http://t.hk.uy/7e4

 

（九）美國NYDFS發布勒索軟件安全指南

紐約金融服務部(NYDFS)6月30日發布了最新勒索軟件指南，幫助組織阻止勒索軟件攻擊。該指南闡明了NYDFS的期望，即受NYDFS監管的公司應“盡可能實施這些控制”，并根據其既定的網絡安全事件報告規定向NYDFS報告任何成功部署勒索軟件或未經授權訪問特權帳戶的情況。

正如國土安全部部長Alejandro Mayorkas最近指出的那樣，隨著“2020年勒索軟件攻擊率增加300%”，以及NYDFS繼續關注勒索軟件對金融服務業構成的無聲和系統性風險，這一指導意見正處于網絡安全和勒索軟件的拐點。在發布指南的同時，NYDFS警告稱，勒索軟件攻擊“可能導致下一場金融危機”，并“導致對金融體系失去信心”。對此NYDFS最新指南提出了九項網絡安全控制關鍵要點。

鑒于這些風險，NYDFS根據其《網絡安全條例》發布了規范性指南，敦促每家受NYDFS監管的公司，無論其規?；驈碗s程度如何，盡可能實施以下九項網絡安全控制措施。在其指南中，NYDFS將每個控制措施與23 NYCRR 500中的預先存在的監管要求聯系起來。

1、電子郵件過濾和反釣魚培訓。該指南解釋了實施和維護書面網絡安全政策的要求，包括根據23 NYCRR § 500.3(h)解決受監管實體的“系統和網絡監控”，以包括電子郵件過濾“以阻止垃圾郵件和惡意附件/鏈接到達用戶。”此外，公司應根據23 NYCRR § 500.14(b)將定期網絡釣魚培訓和定期網絡釣魚練習/測試作為其定期網絡安全意識培訓的一部分。

2、漏洞/補丁管理。該指南明確指出，維護書面網絡安全政策的義務應包括“用于識別、評估、跟蹤和修復其基礎設施內企業資產漏洞的成文程序”。（23 NYCRR § 500.03(g)）。NYDFS建議受監管的公司啟用自動更新，以最大限度地減少漏洞和手動補丁管理。漏洞和補丁管理政策要求根據23 NYCRR § 500.5(a)進行定期滲透測試。因為當前的法規要求每年而不是定期滲透測試，這可能是NYDFS考慮在不久的將來修訂其法規以要求每兩年一次的滲透測試的一個領域，類似于PCI-DSS下的更多標準。

3.、多重身份驗證（MFA）。該指南強調了MFA防止黑客訪問受監管實體網絡的有效性，并重申了MFA對遠程訪問的要求。（23 NYCRR § 500.12(b)）。盡管條例本身包含MFA實施的例外情況，與NYDFS網絡安全高級人員最近的言論一致，即MFA要求的可接受例外在實踐中相當有限，但該指南并未承認或提及第500.12(b)小節中的MFA例外情況。

4、禁用RDP訪問。作為推薦的做法，除非絕對必要，否則受監管實體應禁用RDP訪問。

5、密碼管理。作為受監管實體的訪問控制和身份管理政策（23 NYCRR § 500.3(d)）的一部分，該指南建議使用強、唯一的密碼（既沒有定義“強”也沒有定義“唯一”）。話雖如此，該指南確實提供了有關“特權用戶帳戶”的密碼強度的更多詳細信息，要求“密碼至少為16個字符，并且禁止使用常用密碼。”此外，該指南建議不要緩存密碼，特別是對于大型組織，建議為特權用戶帳戶實施密碼庫。

6、特權訪問管理。該指南建議受監管實體向絕對最少數量的用戶（23 NYCRR §§ 501.3(d) 和 500.7）提供特權用戶帳戶，并在此類帳戶上實施強密碼（見上文第五條）和MFA（見上文第三條）。

7、監測和響應。除了將電子郵件過濾作為受監管實體書面網絡安全政策的一部分（參見上文第1條）之外，NYDFS指南還指出，根據23 NYCRR § 500.3(h)，受監管實體“必須有一種方法來監控其系統中是否有入侵者并對可疑活動的警報做出響應”，例如利用端點檢測和響應解決方案，特別是對于大型更復雜的組織，安全信息和事件管理工具。

8.、測試和隔離備份。在為勒索軟件攻擊做準備時，受監管公司應確保備份其系統，并將此類備份與網絡和離線隔離（23 NYCRR §§ 500.3(e)、(f)和(n)）。將這些備份與網絡和離線隔離（并測試備份）至關重要，因為黑客幾乎總是試圖禁用備份，作為激勵支付贖金的一種手段。

9、事件響應計劃。該指南規定，根據23 NYCRR § 500.16要求，書面事件響應計劃應明確解決勒索軟件攻擊，并且此類計劃應在任何事件發生之前進行測試（即桌面演習）。

根據NYDFS網絡安全條例的現有語言，受監管實體必須在72小時內向NYDFS報告“有合理可能性對所涵蓋實體正常運營的任何重要部分造成實質性損害”的網絡安全事件(23 NYCRR § 500.17(b))。根據NYDFS，受監管實體應“盡快并在72小時內向NYDFS報告在其內部網絡上成功部署勒索軟件和/或任何黑客獲取特權帳戶的入侵”。因此，盡管NYDFS沒有引入新的明確報告要求，據推測，這將受到正式通知和評論期的制約，NYDFS已表示，可能即將對法規的報告和其他技術合規方面進行正式修訂。

在此期間，在預先存在的報告期限內報告此類網絡安全事件的指南與其他監管機構最近要求被許可人報告勒索軟件的要求一致，例如馬薩諸塞州銀行部門.此外，由于本指南代表了NYDFS對其網絡安全要求和適用于勒索軟件預防的合理安全性的解釋，因此該指南可以作為檢查、調查和執法環境中的潛在路線圖。因此，受監管實體可能希望評估其信息安全計劃的有效性，特別是指南中規定的九項網絡安全控制及其報告能力。如果受監管實體確定這些控制中的任何一個可能無法實施和維護，則該實體可以選擇記錄不可行性。

最后，為了加強網絡安全控制，NYDFS與全球網絡聯盟(GCA)合作推廣GCA的小型企業網絡安全工具包，并提供了指向聯邦網絡安全和基礎設施安全局資源的鏈接，這對中小型企業來說可能是一個特別有用的資源。

參考來源：Alston&Bird http://t.hk.uy/6pY

 

（十）西班牙電信巨頭MasMovil遭受Revil勒索軟件攻擊

西班牙第四大電信運營商MasMovil遭受了Revil（又名Sodinokibi）勒索軟件攻擊。

Revil勒索軟件團伙聲稱下載了屬于MasMovil的數據庫和其他重要數據。作為其黑客攻擊的證據，該組織還分享了竊取的MasMovil數據的屏幕截圖，其中顯示了名為Backup、RESELLERS、PARLEM和OCU等的文件夾。

MasMovil已承認遭受了勒索軟件攻擊，但Revil組織并未要求贖金。

 

Revil勒索軟件運營商的攻擊結構與其他勒索軟件組織相同，例如破壞目標的安全、竊取數據并鎖定受害者系統上的文件、并要求支付贖金以獲得解密密鑰/工具。

Revil勒索軟件組織以攻擊知名企業和組織而聞名。2021年6月15日Revil攻擊了美國核武器承包商Sol Oriens，2021年4月攻擊了蘋果供應商Quanta，2021年3月攻擊了科技公司宏基，勒索金額為5000萬美元。

電信運營商MasMovil在西班牙很大，固網ADSL戶數達1800萬戶，光纖戶數接近2600萬戶，其4G移動網絡覆蓋了98.5%的西班牙人口。該公司還擁有Yoigo、Pepephone、Llamaya、Lebara等品牌，目前尚不清楚MasMovil的下一步計劃。

參考來源：HackRead http://t.hk.uy/7jd

 

（十一）印度公共分配系統450萬公民信息遭到泄露

網絡安全公司Technisanct發現，印度泰米爾納德邦公共分配系統(PDS)超過450萬公民的數據遭到泄露，個人身份信息及公民Aadhaar號碼等主要詳細信息已保存在一個數據共享平臺中供出售。Technisanct是一家總部位于印度班加羅爾的網絡安全和大數據初創公司，Aadhaar是印度居民的唯一身份號碼。

6月28日，一個已知共享泄露數據庫的供應商在一個熱門黑客論壇上傳了一個鏈接，其中包括一個文件共享平臺泄露的520萬用戶數據，其中包括4,919,668個Aadhaar號碼。泰米爾納德邦PDS用戶的數據包括受益人ID、Aadhaar號碼、受益人及其家庭成員的姓名、地址、手機號碼、關系等。

另據查明，tnpds.gov.in也是網絡攻擊的受害者，并被名為1945VN的網絡犯罪組織入侵，有超過6800萬受益人和6700萬Aadhaar鏈接到這個特定門戶。識別出的違規行為可能只是供應商發布的信息的一部分。

Technisanct已經向印度CERT報告了該數據泄露事件。Technisanct創始人兼首席執行官Nandakishore Harikumar表示，“我們的團隊正在進一步評估違規的深度，特別強調公開暴露的Aadhaar記錄的數量，因為這對于保護公民免遭欺詐至關重要。”

參考來源：ExpressComputer http://t.hk.uy/6n8

 

（十二）社交媒體網站GETTR泄露近9萬用戶私人信息

新推出的社交網站GETTR遭遇了數據泄露事件，此前一名黑客聲稱使用不安全的API抓取了近90,000名會員的私人信息，然后在黑客論壇上共享這些數據。GETTR是一個新的親特朗普社交媒體平臺，由前特朗普顧問Jason Miller創建，作為Twitter的替代品。

網絡安全公司Hudson Rock聯合創始人兼首席技術官Alon Gal首先發現了這一事件，一群黑客發現了一個不安全的應用程序編程接口(API)，允許他們抓取87,973名GETTR成員數據。在編譯信息后，這些數據被發布到一個著名的黑客論壇，該論壇通常用于共享在數據泄露期間被盜的數據庫。

 

黑客表示，他們首先使用了不安全的API來抓取GETTR用戶的公開個人資料數據，但這些數據隨后得到了保護。然而，黑客論壇的另一位成員發現了另一個不安全的API，該API允許抓取公共信息以及成員的私人電子郵件地址和出生年份。

從數據樣本中可以看到，抓取的信息包括會員的電子郵件地址、昵稱、個人資料名稱、出生年份、個人資料描述、頭像URL、背景圖片、位置、個人網站和其他內部站點數據。

 

盡管只需訪問GETTR用戶的個人資料即可輕松獲得大部分泄露的信息，但用戶的電子郵件地址、位置和出生年份并不公開。研究人員通過隨機抽取泄露數據中包含的電子郵件地址，證實了賬戶的存在。GETTR尚未對此事進行回復。

雖然大多數泄露的GETTR帳戶信息都可以公開訪問，但是電子郵件地址、出生年份和位置信息其他用戶并不可以訪問。威脅行為者可以使用此類信息執行有針對性的網絡釣魚攻擊，收集更多敏感信息，例如登錄密碼。

所有GETTR用戶都應該注意偽裝成來自GETTR的網絡釣魚電子郵件，這些電子郵件會要求用戶登錄一個假冒網站。如果收到此類電子郵件，應立即刪除，不要輸入憑據。

參考來源：BleepingComputer http://t.hk.uy/7ck

 

（十三）美國保險巨頭AJG遭受勒索軟件攻擊泄露私人數據

總部位于美國的全球保險經紀和風險管理公司Arthur J. Gallagher（AJG）披露，其于2020年9月下旬遭受了勒索軟件攻擊，目前正在向可能受影響的個人發布數據泄露通知。

AJG是全球最大的保險經紀商之一，擁有超過33,300名員工，業務遍及49個國家/地區。該公司還在財富500強名單中排名429，為來自150多個國家的客戶提供保險服務。

雖然AJG在宣布勒索軟件攻擊的SEC文件中沒有說明攻擊者是否訪問或竊取了任何客戶或員工數據，但隨后的調查發現，在這起事件中，存儲在系統上的多種類型的敏感信息遭到了攻擊。

在審查過程中，在受攻擊系統上發現的信息類型包括：社會保險號、稅務識別號、駕照、護照或其他政府識別號、出生日期、用戶名和密碼、員工識別號、金融賬戶或信用卡信息、電子簽名、醫療、索賠、診斷、藥物或其他醫療信息、醫療保險信息、醫療記錄或賬號，以及生物特征信息。

為了進一步說明事件中可能被訪問的敏感數據類型，AJG在其隱私政策中表示，它從客戶那里收集以下信息：個人資料(如姓名、出生日期)；聯系方式(如電話號碼、電子郵件地址、郵寄地址或手機號碼)；政府發放的身份證明資料(例如，社會保險和國民保險號、護照細節)；健康和醫療細節(例如健康證明)；保單詳細信息(例如，保單編號和類型)；銀行資料(例如，付款明細、賬號和分類代碼)；駕駛執照詳細信息；在線登錄信息(如用戶名、密碼、安全問題答案)；與任何索賠有關的信息；從申請或所需問卷中收到的其他信息(如職業、現任雇主)。

根據法律要求，AJG目前正在通知數據監管當局和所有可能受到影響的個人。根據提供給緬因州總檢察長辦公室的信息，共有7376人受到影響。該公司還警告受影響的個人有身份被盜的風險，并建議密切關注他們的賬戶報表和信用報告中的異?；顒?。

AJG表示，“作為預防措施，我們迅速將所有全球系統下線，啟動了響應協議，啟動了調查，聘請了外部網絡安全和取證專業人士的服務，并實施了業務連續性計劃，以盡量減少對客戶的干擾。只有有限數量的內部系統受到勒索軟件攻擊的影響。”目前，此次攻擊背后的勒索軟件組織仍然未知。

參考來源：BleepingComputer http://t.hk.uy/7gT

 

（十四）蒙古證書頒發機構MonPass遭受黑客入侵并傳播惡意軟件

據Avast安全研究人員稱，一個未知的威脅行為者已經破壞了蒙古證書頒發機構(CA)MonPass的服務器，并濫用該組織的網站進行惡意軟件分發。

作為東亞的主要CA，MonPass似乎至少在6個月前就遭到破壞，攻擊者大約八次返回已被攻擊的公共Web服務器。

據Avast稱，攻擊者利用Cobalt Strike信標，通過該組織網站分發了安裝程序。甚至官方的MonPass客戶端也受到了破壞，受感染的二進制文件在2021年2月8日至3月3日之間發布。

安全研究人員在受感染的公共網絡服務器上發現了八種不同的webshell和后門。該公司拒絕將這些攻擊歸因于已知的威脅參與者，但表示，觀察到的一些技術細節和IOC與NTT安全威脅情報(NTT Security Threat Intelligence)研究人員在一份關于與中國有關聯的Winnti Group的報告中包括的內容重疊。

惡意安裝程序旨在從官網下載合法的MonPass安裝程序并執行，以避免引起懷疑。同時，惡意軟件會使用隱寫術獲取包含隱藏在其中的代碼的位圖圖像文件。提取的代碼是一個Cobalt Strike信標。

據可靠消息來源稱，攻擊者似乎集中精力破壞蒙古地區的實體。MonPass已被告知此事，并已采取措施保護其服務器。

安全研究人員建議所有在2021年2月8日至3月3日期間下載MonPass客戶端的用戶刪除該客戶端，并檢查他們的系統是否存在該客戶端可能獲取和安裝的后門。

參考來源：SecurityWeek http://t.hk.uy/7ka

 

（如未標注，均為天地和興工業網絡安全研究院編譯）