目   錄

第一章 國內關鍵信息基礎設施安全動態

（一）QNAP的NAS設備遭受ech0raix勒索軟件攻擊

第二章 國外關鍵信息基礎設施安全動態

（一）施耐德Evlink電動車充電站存在7個安全漏洞

（二）物流公司DW Morgan泄露超100 GB客戶數據

（三）密碼管理程序LastPass遭受撞庫攻擊

（四）越南最大加密交易平臺ONUS遭受log4j遭受勒索

（五）新型勒索軟件Rook與Babuk有相似之處

（六）研究人員發現新型隱蔽惡意軟件BLISTER

（七）法國IT服務公司Inetum遭受BlackCat勒索軟件攻擊

（八）阿爾巴尼亞泄露超60萬公民數據

（九）挪威媒體公司Amedia遭受網絡攻擊迫使系統關閉

（十）Shutterfly網站遭受Conti勒索軟件攻擊導致服務中斷

（十一）AvosLocker攻擊美國政府機構后提供免費解密程序

 

 

第一章 國內關鍵信息基礎設施安全動態

（一）QNAP的NAS設備遭受ech0raix勒索軟件攻擊

eCh0raix勒索軟件(又名QNAPCrypt)在圣誕節前攻擊了中國臺灣廠商威聯通(QNAP)的網絡附加存儲(NAS)設備，以管理員權限控制了設備。

管理QNAP和Synology NAS系統的人員一直在定期報告eCh0raix勒索軟件攻擊，但更多用戶在12月20日左右開始披露事件。ID Ransomware證實了攻擊數量的激增，提交的數量從12月19日開始增加，并在12月26日消退。

目前最初的感染媒介仍不清楚。一些用戶承認他們并沒有正確保護設備，例如通過不安全的連接將其暴露在互聯網上，其他人聲稱QNAP Photo Station中的一個漏洞允許攻擊者造成嚴重破壞。

無論攻擊路徑如何，eCh0raix勒索軟件攻擊者似乎都在管理員組中創建了一個用戶，這允許他們加密NAS系統上的所有文件。一些將NAS設備用于商業目的QNAP用戶在論壇上報告稱，惡意軟件加密了圖片和文檔。

除了攻擊次數激增之外，該活動的突出之處在于，該攻擊者錯誤地輸入了贖金票據的擴展名，并使用了.TXTT擴展名。雖然這不妨礙查看說明，但可能會給某些用戶帶來問題，他們將不得不使用特定程序（如記事本）指向操作系統打開文件或將其加載到所述程序中。

在最近的攻擊中，研究人員發現ech0raix勒索軟件的要求從0.024(1,200美元)到0.06比特幣(3,000美元)不等。一些用戶沒有備份選項，不得不向威脅行為者付費以恢復文件。需要注意的是，對于使用2019年7月17日之前舊版本的eCh0raix勒索軟件鎖定的文件，有一個免費的解密程序。但是沒有免費的解決方案可以解密由惡意軟件的最新變體(版本1.0.5和1.0.6)加密的數據。

eCh0raix/QNAPCrypt的攻擊始于2019年6月，此后一直是個持續威脅。今年早些時候，QNAP警告其用戶，今年早些時候又發生了一系列針對弱密碼設備的eCh0raix攻擊。用戶應遵循QNAP建議，以確保適當保護其NAS設備及其存儲的數據。

參考來源：BleepingComputer http://33h.co/k9b8g

 

第二章 國外關鍵信息基礎設施安全動態

（一）施耐德Evlink電動車充電站存在7個安全漏洞

研究人員Tony Nasr發現施耐德電氣的EVlink電動車充電站存在7個安全漏洞，包括一個嚴重漏洞和五個高危漏洞。受影響的設備包括EVlink City、Parking和Smart Wallbox，這些產品為私人物業、半公共停車場和路邊充電設施提供電動汽車充電站。

施耐德在12月14日發布了修復補丁，并敦促客戶立即應用補丁或緩解措施。這些漏洞影響的設備包括EVlink City(EVC1S22P4和EVC1S7P4)、Parking(EVW2、EVF2和EVP2PE)和Smart Wallbox(EVB1A)，以及一些已達到使用壽命的產品。

這些安全漏洞包括跨站請求偽造(CSRF)和跨站腳本(XSS)漏洞，可利用這些漏洞代表合法用戶執行操作。以及可利用另外一個漏洞通過暴力攻擊訪問充電站的web界面。最嚴重漏洞的CVSS得分為9.3分，是服務器端請求偽造(SSRF)漏洞。

施耐德警告表示，不采取行動可能會導致充電站的設置和帳戶被篡改和泄露。“這種篡改可能導致拒絕服務攻擊等行為，導致充電站未經授權使用、服務中斷、充電數據記錄無法發送到監管系統、以及充電站配置的修改和泄露。”利用這些漏洞需要物理訪問系統的內部通信端口，如果充電站可以從Web訪問，也可以從本地網絡甚至互聯網發起攻擊。

Nasr表示，“利用連接互聯網的充電站不需要訪問LAN，因此使攻擊媒介非常強大和有效。在這種情況下，攻擊者會在嘗試利用其漏洞之前執行互聯網范圍的掃描，以搜索可行的EVCS(電動汽車充電站)。但應該注意的是，EVCS的連接在實際利用過程中沒有任何差異，即觸發漏洞。例如，如果無法通過互聯網訪問EVCS，則假設攻擊者可以訪問LAN，這是一項相對簡單的任務，例如破解Wi-Fi網絡密碼、具有默認配置的網絡等，EVCS連接到的地方，以便進行本地但遠程的利用。按照這兩種方法，攻擊者可以通過利用這些漏洞發起各種網絡攻擊來控制底層EVCS。”

Nasr指出，利用某些漏洞，如SSRF漏洞，需要發送特制的請求，并且不需要任何用戶交互。“這種攻擊允許攻擊者利用受感染的EVCS作為網絡代理，實際上構建了一個僵尸網絡，并對其他設備進行分布式網絡攻擊，例如分布式拒絕服務(DDoS)。”

另一方面，利用XSS和CSRF漏洞確實需要一些用戶交互，例如單擊鏈接。“雖然最具破壞性的攻擊媒介是針對面向互聯網的EVlink的遠程網絡攻擊，但攻擊者仍然可以通過跨LAN瞄準其管理系統，對這些站點的生態系統構成巨大威脅，因為從根本上講，EVlink設置需要網絡連接以實現更高效的遠程監測和管理。”

根據使用Shodan和Censys等服務進行的互聯網搜索，Nasr表示，有數以千計的互聯網暴露系統。“應該注意的是，當討論目前不面向互聯網但已配置網絡的EVlink充電站時，這個數量會大大增加，仍然可以通過LAN上的特定向量利用上述漏洞在本地進行攻擊。”

Nasr表示，這些漏洞是在對電動汽車充電站管理系統進行的一項更大規模研究中發現的。該研究的完整結果將于明年公布，研究人員目前不想透露該研究中其他供應商和產品的名稱。隨著電動汽車的普及，網絡安全研究人員對充電站的興趣也在增加。

參考來源：SecurityWeek http://33h.co/kwvgh

 

（二）物流公司DW Morgan泄露超100 GB客戶數據

Website Planet研究人員發現了一個配置錯誤的Amazon S3存儲桶，其中存儲了美國物流公司DW Morgan超過100 GB的敏感數據和250萬個文件，包括DW Morgan全球員工和客戶的財務、運輸、運輸、個人和敏感記錄。其中包括知名公司愛立信和思科。

DW Morgan總部位于加利福尼亞州普萊森頓，業務遍及全球。

盡管該數據庫于2021年11月12日被發現，但其詳細信息在上周才由Website Planet共享。更糟糕的是，該存儲桶在沒有任何安全身份驗證或密碼的情況下仍然向公眾公開，這意味著任何了解AWS存儲桶功能的人都可以訪問數據。

在錯誤配置期間暴露的數據類型包括：簽名、姓名、附件、電話號碼、訂購的商品、貨物損壞、處理照片、工藝細節、賬單地址、發票日期、運輸條碼、未知文件、送貨地址、設施位置、出貨照片、商品價格、包裝標簽照片、現場文件圖片、運輸計劃和協議。

 

DW Morgan在Website Planet發出初始警報的四天內保護了數據庫。但是尚不清楚數據庫在暴露期間是否被惡意威脅行為者訪問過。盡管如此，DW Morgan的員工或客戶應該保持警惕。我們還可以預料到網絡釣魚詐騙、垃圾郵件攻擊或裝有惡意軟件的惡意電子郵件會突然增加。

Website Planet研究人員在其博客中還表示，“企業應該教育員工有關網絡釣魚、惡意軟件、欺詐等形式的網絡犯罪的威脅。此外，暴露的公司可以實施允許員工在通過電話或電子郵件相互聯系時進行身份驗證的系統。”

參考來源：HackRead http://33h.co/k9bq0

 

（三）密碼管理程序LastPass遭受撞庫攻擊

密碼管理應用程序LastPass證實，其遭受了威脅行為者的撞庫攻擊，攻擊者使用的是從第三方漏洞獲得的電子郵件地址和密碼。LastPass表示其沒有賬戶在撞庫攻擊中遭到入侵，但許多LastPass用戶聲稱在收到電子郵件警告后，其主密碼已被泄露。LastPass通過發送電子郵件警告通知用戶，由于來源位置異常，登錄嘗試已被阻止。

LastPass在警告中表示，“有人剛剛使用您的主密碼嘗試從我們無法識別的設備或位置登錄您的帳戶。LastPass阻止了這次嘗試，但你應該仔細看看。這是你嗎？”

Nikolett Bacso-Albaum全球公關/AR高級總監表示，“LastPass調查了最近有關被阻止登錄嘗試的報告，并確定該活動與相當常見的機器人相關活動有關。惡意行為者試圖訪問用戶帳戶(在本例中為LastPass)使用從與其他非附屬服務相關的第三方違規行為中獲得的電子郵件地址和密碼。需要注意的是，我們沒有任何跡象表明帳戶已成功訪問，或LastPass服務以其他方式被未經授權的一方破壞。我們會定期監控此類活動，并將繼續采取旨在確保LastPass、其用戶及其數據受到保護和安全的措施。”

許多收到電子郵件警告的用戶表示，他們的主密碼僅用于訪問LastPass服務，并未與其他網絡服務共享。這種情況如果得到證實，則表明密碼管理器服務已被入侵，但目前沒有證據表明密碼管理器服務已被入侵。

如果考慮到一些客戶在報告更改了他們的主密碼后表示他們收到了另一個登錄警告，情況可能會更糟。一些用戶還報告說他們無法刪除和禁用他們的帳戶。建議LastPass用戶啟用多重身份驗證以保護其帳戶。

參考來源：SecurityAffairs http://33h.co/k99jz

 

（四）越南最大加密交易平臺ONUS遭受log4j遭受勒索

越南最大的加密貨幣平臺之一ONUS遭受了勒索軟件攻擊，攻擊者利用的是第三方支付軟件Cyclos中存在的Apache遠程代碼執行漏洞Log4j，由于AWS S3存儲桶配置錯誤。攻擊者在Cyclos提供修復補丁之前就利用了軟件中的漏洞進行攻擊。勒索贖金為500萬美元，由于ONUS拒絕支付贖金，威脅行為者將近200萬客戶數據在黑客論壇上出售，包括姓名、電子郵件、電話號碼、地址、E-KYC數據、哈?？诹?、交易歷史和其他加密信息。

 

ONUS是一款加密貨幣投資應用程序，于2020年3月首次在Android和iOS上推出。ONUS于24日在其網站上發布消息稱，其系統因大規模網絡攻擊而受到損害。第三方能夠未經授權訪問并竊取某些關鍵的ONUS數據。

與ONUS合作并參與調查的越南網絡安全公司CyStack在其網站上28日表示，安全事件始于Cyclos提供的支付軟件中的Log4Shell漏洞。Cyclos發言人表示，其對這一事件感到非常震驚和失望，并已與ONUS的安全合作伙伴CyStack保持聯系。除了確認事件細節外，CyStack首席執行官Trung Nguyen表示，“我們正在與Cyclos合作，向他們提供我們在攻擊后發現的漏洞的詳細信息。”

在消息傳出之際，安全專家警告表示，Apache遠程代碼執行漏洞存在于全球數百萬或數億臺設備中。該漏洞在12月9日首次披露，導致安全團隊爭先恐后地識別易受攻擊的設備，此后不定期推出補丁。

CyStack研究人員表示，由于亞馬遜AWS S3存儲桶配置錯誤，攻擊者利用Cyclos軟件中的漏洞進行攻擊，甚至在供應商能夠通知其客戶并為其提供補丁指令之前。ONUS在收到警告時修補了該漏洞，但攻擊者可能已經滲透到系統中。安全部門表示，大約200萬ONUS用戶信息被泄露，包括姓名、電子郵件和電話號碼、地址、E-KYC數據、哈希密碼、交易歷史和其他加密信息。

ONUS在其警報中表示，威脅行為者“利用其系統上一組庫中的漏洞進入沙箱服務器。但是由于配置問題，該服務器包含的信息使攻擊者能夠訪問我們的數據存儲系統，并竊取了一些重要數據。”

然而ONUS管理員澄清表示，網絡攻擊“沒有影響ONUS的任何資產”。違規后，ONUS表示已將其資產管理和存儲系統升級到ONUS托管v2.0，并敦促用戶更改其應用程序密碼。ONUS管理員表示，“我們真誠地道歉，并希望得到您的理解。這也是我們自我審查、升級和進一步保護系統并確保用戶的安全的機會。”

參考來源：InfoRiskToday http://33h.co/k9ksv

 

（五）新型勒索軟件Rook與Babuk有相似之處

SentinelLabs研究人員發現，新型勒索軟件Rook的技術細節及感染鏈與Babuk有許多相似之處，實際上就是用在網上泄露的Babuk代碼構建的。

Rook最初于11月26日在VirusTotal上出現，其第一個受害者是一家哈薩克斯坦金融機構，于在11月30日被確認。除了加密該組織的文件外，Rook組織還竊取了大約1 TB的數據，用于敲詐勒索。

該勒索軟件是通過第三方框架分發的，例如Cobalt Strike，但SentinelLabs研究人員表示，也觀察到了攜帶Rook的網絡釣魚電子郵件。

一旦在受害者的機器上執行，惡意軟件就會嘗試終止所有可能阻礙加密過程的進程。攻擊者還試圖禁用安全產品，以及刪除卷影副本，以防止受害者恢復他們的數據。在加密過程中，勒索軟件會將.ROOK擴展名附加到加密文件中，一旦該過程完成，它就會從機器中刪除自身。

SentinelLabs表示，“Rook和Babuk之間有許多代碼相似之處。根據目前可用的樣本，這似乎是我們在2021年看到的各種Babuk源代碼泄漏的機會結果，包括編譯的構建器和實際源的泄漏。”

兩個惡意軟件家族都使用：相同的API來檢索服務名稱和狀態，枚舉所有服務以停止硬編碼列表中的服務；枚舉正在運行的進程，并終止硬編碼列表中的進程的相同函數；用于進程終止的Windows重啟管理器API；和類似的驅動器枚舉代碼；并且兩者都執行一系列環境檢查。

Rook的運營商進行雙重勒索，威脅受害者公開被盜數據，除非支付贖金以換取解密工具。在Tor網站上，該組織已經列出了三家受害公司，以及從不支付贖金的公司竊取的數據。

SentinelLabs表示，“鑒于勒索軟件的經濟性，低風險高回報，以及像Babuk這樣的泄漏源代碼隨時可用，我們現在看到的新勒索軟件組織的擴散不可避免地只會繼續下去。”

參考來源：SecurityWeek http://33h.co/kw716

 

（六）研究人員發現新型隱蔽惡意軟件BLISTER

Elastic研究人員發現了一個惡意活動，該活動依賴有效的代碼簽名證書將惡意代碼偽裝成合法的可執行文件。Blister針對Windows系統，充當其他惡意軟件的加載程序，是一種檢測率較低的新型惡意軟件。Blister使用Sectigo頒發的有效代碼簽名證書來逃避檢測。BLISTER加載在Windows系統內存中直接執行的第二階段有效載荷，并保持持久性。惡意代碼檢測率較低，實施多種技巧躲避檢測。

研究人員表示，“有效的代碼簽名證書用于簽署惡意軟件，以幫助攻擊者保持在安全社區的視線之下。我們還發現了活動中使用的一種新型惡意軟件加載程序，我們將其命名為BLISTER。觀察到的大多數惡意軟件樣本在VirusTotal中的檢測率非常低，或者沒有。目前攻擊者的感染媒介和目標尚不清楚、”

用于簽署加載程序代碼的證書是由Sectigo為一家名為Blist LLC的公司頒發，該公司擁有來自俄羅斯提供商Mail.Ru的電子郵件地址。加載程序被嵌入到合法的庫中，如colorui.dll，為了避免引起懷疑，最初可以從簡單的dropper可執行文件寫入磁盤。

執行時，BLISTER使用簡單的4字節XOR例程對存儲在資源部分中的引導代碼進行解碼。惡意軟件作者嚴重混淆了引導代碼，該代碼在執行前會先休眠10分鐘，以試圖逃避沙箱分析。然后加載程序解密嵌入的惡意軟件有效載荷，使用CobaltStrike和BitRat作為嵌入的有效載荷。有效載荷被加載到當前進程中，或注入到新生成的WerFault.exe進程中。

為了實現持久化，BLISTER將自身復制到C:\ProgramData文件夾，并重新命名rundll32.exe的本地副本。然后會創建一個指向當前用戶的啟動文件夾的鏈接，以在登錄時作為explorer.exe的子項啟動惡意軟件。

參考來源：SecurityAffairs http://33h.co/kw7y8

 

 

 

（七）法國IT服務公司Inetum遭受BlackCat勒索軟件攻擊

法國IT服務公司Inetum Group在圣誕節前遭受了勒索軟件攻擊，對其運營影響有限。

Inetum是一家提供數字服務和解決方案的敏捷IT服務公司，也是一家幫助公司和機構充分利用數字流的全球集團，在超過26個國家/地區開展業務，為各行業公司提供數字服務，包括：航空航天和國防、銀行、汽車、能源和公用事業、醫療保健、保險、零售、公共部門、運輸、電信和媒體。集團擁有近27,000名員工，2020年收入為19.66億歐元。作為眾多公司的服務提供商，收入接近20億美元，是勒索軟件團伙的有吸引力的目標。

12月19日星期日，Inetum成為勒索軟件攻擊的目標，該攻擊影響了其在法國的部分業務，并沒有蔓延到客戶使用的大型基礎設施。Inetum在新聞稿中表示，“Inetum客戶的主要基礎設施、通信、協作工具或交付操作均未受到影響。”

該集團的危機部門迅速采取行動，保護敏感連接，如果受到威脅，可能會使客戶面臨風險。為此，運營團隊隔離了受影響網絡上的所有服務器，并終止了客戶端VPN連接。

初步調查確定了攻擊中使用的勒索軟件菌株，并且在事件期間沒有利用Log4j漏洞。Inetum Group沒有透露所用惡意軟件的名稱，但據法國出版物LeMagIt主編Valéry Marchive稱，攻擊者使用了BlackCat勒索軟件，又名ALPHV和Noberus。

賽門鐵克研究人員發現，這種文件加密惡意軟件是用Rust編寫的，這對于勒索軟件操作來說是非典型的，并且至少從11月18日起就被用于攻擊。BlackCat具有許多高級功能，并帶有非常靈活的配置，允許傳播到其他計算機、終止虛擬機和ESXi管理程序、以及擦除它們。

Inetum Group已將此次攻擊通知了當局，并正在與專門的網絡犯罪部門合作。還要求第三方提供事件響應服務。目前對客戶提供服務的操作是安全的，消息傳遞和協作系統不受影響。

參考來源：BleepingComputer http://33h.co/kw7jt

 

（八）阿爾巴尼亞泄露超60萬公民數據

阿爾巴尼亞637,138名在私營和公共部門工作的居民的工資及個人敏感信息遭大規模泄露，占該國總人口的22%以上，對此該國總理Edi Rama表示道歉。兩份Excel文件開始在網上流傳，其中顯示了該國數千名受雇成年人的姓名、身份證號碼/護照號碼、電話號碼、雇主、職位和工資。據信這些數據來源于阿爾巴尼亞社會保險研究所辦公室。

Rama表示，“根據初步分析，這看起來更像是內部滲透，而不是外部網絡攻擊。我有一個想法，即這樣做是為了在人民和政府之間制造混亂和敵意。”

地拉那檢察官辦公室正在調查此事件，數據泄露似乎來自稅務管理部門，該泄密事件以電子表格文件的形式出現，其中包含在阿爾巴尼亞報稅的人員（包括外國公民）的詳細數據。泄露的文件已在網上流傳，主要是通過WhatsApp即時通訊工具。多家阿爾巴尼亞媒體已經掌握了泄露的數據庫。

該文件包含2021年1月的姓名、身份證號碼、月薪、職位和雇主名稱。擁有數據的稅務總局和社會保險研究所現在成為調查重點。

政府通過其發言人Endri Fuga作出回應，稱泄密是“犯罪”，但未對數據來源作出解釋。Fuga表示，“初步分析清楚地表明，在所發布文件的領域中，沒有對2021年1月至4月期間的工資單數據庫進行數字導出，并且該文件是多個不同部分的結合，因為一些公式與官方格式不符。”

總統Ilir Meta表示，這起泄密事件是“對人權、自由和人的尊嚴、法律和憲法的公然侵犯”，并稱之為“無法無天的重復事件”。

參考來源：Tirana Times http://33h.co/kw78b

 

（九）挪威媒體公司Amedia遭受網絡攻擊迫使系統關閉

挪威第二大媒體公司Amedia披露其遭受了嚴重的網絡攻擊，導致其多個中央計算機系統關閉。該事件發生在12月27日至28日晚，攻擊了該公司的IT公司Amedia Teknologi管理的系統。

Amedia技術執行副總裁P?l Nedregotten在一份聲明中表示，此次攻擊正在阻止該公司印刷周三版的實體報紙，并且在問題得到解決之前，印刷機將繼續停止印刷。黑客還影響了公司的廣告和訂閱系統，阻止廣告商購買新廣告，并阻止訂閱者訂購或取消訂閱。

目前尚不清楚Amedia的個人信息是否已被泄露，是否遭受了勒索軟件攻擊，以及威脅行為者是否竊取了訂閱者和員工的個人信息。受攻擊影響的訂閱系統包含客戶的姓名、地址、電話號碼和訂閱歷史。該公司表示密碼、閱讀歷史和財務信息等數據不受影響。

Amedia出版了90多種報紙和其他出版物，覆蓋超過250萬挪威人。Amedia全部或部分擁有50家本地和地區報紙，擁有在線報紙和印刷機，以及自己的新聞通訊社Avisenes Nyhetsbyr?。該公司還在俄羅斯以Prime Print品牌擁有并經營著一組印刷廠。

Nedregotten在聲明中表示，“我們正在全面了解情況，但尚不了解造成損害的全部可能性。我們已經采取了全面措施來限制損失并盡快恢復正常運營。目前尚不清楚訂戶和員工的個人信息是否在事件中被盜或泄露。”

參考來源：TheRecord http://33h.co/k9kru

 

 

（十）Shutterfly網站遭受Conti勒索軟件攻擊導致服務中斷

美國攝影和個性化照片平臺Shutterfly遭受了Conti勒索軟件攻擊，據稱攻擊者對數千臺設備進行了加密，并竊取了公司數據。據消息人士稱，Shutterfly大約在兩周前遭受了Conti勒索軟件攻擊，該團伙聲稱已加密了4,000多臺設備和120臺VMware ESXi服務器。據稱Shutterfly正在和Conti進行談判，勒索贖金為數百萬美元。

該公司的攝影相關服務通過GrooveBook、BorrowLenses、Shutterfly.com、Snapfish和Lifetouch等各種品牌面向消費者、企業和教育客戶，主網站可用于上傳照片以創建相冊、個性化文具、賀卡、明信片等。

在勒索軟件團伙對公司網絡上的設備進行加密之前，通常會潛伏數天甚至數周，竊取公司數據和文件。然后這些文件被用作籌碼，勒索受害者支付贖金，威脅說竊取的數據將被公開發布或出售給其他黑客。作為這種“雙重勒索”策略的一部分，Conti創建了一個私人Shutterfly數據泄漏頁面，其中包含據稱在勒索軟件攻擊期間竊取的文件屏幕截圖。如果不支付贖金，攻擊者威脅要公開此頁面。

這些屏幕截圖包括法律協議、銀行和商家帳戶信息、公司服務的登錄憑據、電子表格以及似乎是客戶信息的內容，包括信用卡的最后四位數字。Conti還聲稱擁有Shutterfly商店的源代碼，但尚不清楚勒索軟件團伙是指Shutterfly.com還是其他網站。

Shutterfly在聲明中確認了其在周日深夜遭受了勒索軟件攻擊，并表示Shutterfly.com、Snapfish、TinyPrints及Spoonflower網站未受到攻擊影響，但Lifetouch、BorrowLeneses和Groovebook的部分業務中斷。Shutterfly聘請了第三方網絡安全專家，通知了執法部門，并一直在夜以繼日地解決這一事件。該公司在評估可能受到影響的數據全部范圍。Shutterfly沒有存儲客戶的信用卡、金融賬戶信息或社會安全號碼，因此該事件中沒有任何此類信息受到影響。

雖然Shutterfly表示沒有披露財務信息，但是據稱有一張屏幕截圖包含信用卡的最后四位數字，因此尚不清楚在攻擊過程中是否有更多更令人擔憂的信息被盜。

參考來源：BleepingComputer http://33h.co/k9bkf

 

 

（十一）AvosLocker攻擊美國政府機構后提供免費解密程序

此前AvosLocker勒索軟件攻擊了美國警察局，加密了設備并竊取了數據。研究人員pancak3發現，當AvosLocker得知其攻擊的是美國政府機構后，免費提供了解密程序，但是沒有提供被盜文件清單，以及他們是如何攻擊警察局網絡的。

AvosLocker的一名成員表示，他們沒有針對攻擊目標的策略，但通常會避免對政府實體和醫院進行加密。但是，其附屬機構有時候會在沒有先前審查的情況下鎖定網絡。當被問及是否因為害怕執法而故意避免針對政府機構時，AvosLocker表示更多是因為“納稅人的錢通常很難拿到”。

然而在過去的一年里，國際執法行動針對勒索軟件成員和洗錢者進行了多次起訴或逮捕，包括REvil、Egregor、Netwalker和Clop。事實證明，這種增加的壓力產生了良好的效果，導致許多勒索軟件關閉，包括DarkSide、BlackMatter、Avaddon和REvil。

不幸的是，許多勒索軟件組織只是重新改變了名字開展新的活動，因為這有助于逃避執法。即使有不斷增加的被逮捕的壓力，AvosLocker表示他們并不擔心執法，因為沒有管轄權。

參考來源：BleepingComputer http://33h.co/k9dye

 

 

（如未標注，均為天地和興工業網絡安全研究院編譯）