根據CNBC透露的消息，暗網(wǎng)中所有跟REvil勒索軟件團伙相關(guān)的網(wǎng)站從7月13日開(kāi)始就全部神秘消失了。目前我們還尚不清楚是什么原因導致的，因為這些網(wǎng)站最近一直都處于極度活躍狀態(tài)，而現在當用戶(hù)訪(fǎng)問(wèn)相關(guān)網(wǎng)站時(shí)，返回的只是“找不到具有指定主機名的服務(wù)器”。

勒索軟件REvil也被稱(chēng)為Sodinokibi，是一個(gè)由俄羅斯網(wǎng)絡(luò )犯罪團伙運營(yíng)的勒索軟件。REvil 勒索病毒稱(chēng)得上是 GandCrab的“接班人”。GandCrab 是曾經(jīng)最大的 RaaS(勒索軟件即服務(wù))運營(yíng)商之一，在賺得盆滿(mǎn)缽滿(mǎn)后于 2019 年 6 月宣布停止更新。

隨后，另一個(gè)勒索運營(yíng)商買(mǎi)下了 GandCrab 的代碼，即最早被人們稱(chēng)作 Sodinokibi 勒索病毒。由于在早期的解密器中使用了“REvil Decryptor”作為程序名稱(chēng)，又被稱(chēng)為 REvil 勒索病毒。

目前，我們還不清楚是何原因導致跟REvil勒索軟件相關(guān)的暗網(wǎng)網(wǎng)站消失下線(xiàn)。但這一事件已經(jīng)引發(fā)了安全社區內研究人員的熱烈討論，很多人認為可能是當局所采取的措施。

電子郵件安全公司Egress對美國和英國的500名IT領(lǐng)導者和3,000名員工進(jìn)行的一項新調查顯示，在過(guò)去一年中，94%的企業(yè)都經(jīng)歷了內部數據泄漏。

84%受訪(fǎng)的IT領(lǐng)導層工作者表示，人為錯誤是導致嚴重事故的首要原因。然而，受訪(fǎng)者更關(guān)心內部人員的惡意行為，28%的受訪(fǎng)者表示故意惡意行為是他們最大的恐懼。盡管造成的事故最多，但人為錯誤在IT領(lǐng)導層的擔心列表里依然排名墊底，只有21%的受訪(fǎng)者表示人為錯誤是他們最擔心的問(wèn)題。不過(guò)56%的受訪(fǎng)者認為遠程/混合工作將使防止人為錯誤或網(wǎng)絡(luò )釣魚(yú)造成的數據泄漏變得更加困難，但61%的員工認為他們在家工作時(shí)造成違規的可能性與在公司并無(wú)區別甚至更小。從漏洞的原因來(lái)看，74%的企業(yè)因員工違反安全規則而遭到利用，73%的企業(yè)成為網(wǎng)絡(luò )釣魚(yú)攻擊的受害者。

在調查員工是否會(huì )如實(shí)上報觸犯了違規行為時(shí)，97%的員工表示會(huì )如實(shí)上報，這對55%要依靠員工提醒他們是否發(fā)生了安全事件的IT領(lǐng)導者來(lái)說(shuō)是個(gè)好消息。但誠實(shí)可能并不會(huì )有回報，因為89%的事件都會(huì )對涉事員工產(chǎn)生消極影響。

新的研究表明，在2021年上半年，關(guān)鍵制造業(yè)的漏洞增加了148%，基于勒索軟件的全套服務(wù)(RaaS)驅動(dòng)了大部分攻擊數量的增幅。Nozomi Networks的報告發(fā)現ICS-CERT的漏洞也增加了44%。制造業(yè)是最容易受到影響的行業(yè)，而能源行業(yè)也被證明是脆弱的。

Nozomi Networks聯(lián)合創(chuàng )始人兼首席技術(shù)官Moreno Carullo說(shuō)：'Colonial Pipeline、JBS和最新的Kaseya軟件供應鏈攻擊都是痛苦的教訓，說(shuō)明勒索軟件攻擊的威脅是真實(shí)的。安全專(zhuān)業(yè)人員必須用網(wǎng)絡(luò )安全和可視性解決方案來(lái)武裝自己，這些解決方案要納入實(shí)時(shí)威脅情報，并使之能夠以可操作的建議和計劃來(lái)快速應對。了解這些犯罪組織的工作方式，并預測未來(lái)的攻擊，對于他們抵御這種不幸的新常態(tài)至關(guān)重要。'

物聯(lián)網(wǎng)安全攝像機也在顯示出弱點(diǎn)。預計今年全球將有超過(guò)10億臺網(wǎng)絡(luò )攝像機投入生產(chǎn)，不安全的物聯(lián)網(wǎng)安全攝像機是一個(gè)日益嚴重的問(wèn)題。該報告包括對Verkada漏洞以及Reolink相機和ThroughTek軟件的安全漏洞的分析。

南亞地區一直以來(lái)都是APT 組織攻擊活動(dòng)的活躍區域之一。自2013年5月國外安全公司Norman披露 Hangover 行動(dòng)（即摩訶草組織）以來(lái)，先后出現了多個(gè)不同命名的APT組織在該地域持續性的活躍，并且延伸出錯綜復雜的關(guān)聯(lián)性，包括摩訶草(APT-C-09、HangOver、Patchwork、白象)、蔓靈花(APT-C-08、BITTE)、肚腦蟲(chóng)(APT-C-35、Donot)、魔羅桫(Confucius)、響尾蛇(Sidewinder、APT-C-17) 等。

造成歸屬問(wèn)題的主要因素是上述 APT 活動(dòng)大多使用非特定的攻擊載荷，各組織在使用的攻擊武器方面也有不同程度的重合。腳本化和多種語(yǔ)言開(kāi)發(fā)的載荷也往往干擾著(zhù)歸屬分析判斷，包括使用.Net、Delphi、AutoIt、Python、Powershell、Go等。但從歷史攻擊活動(dòng)來(lái)看，其也出現了一些共性：

同時(shí)具備攻擊Windows和Android平臺能力；

巴基斯坦是主要的攻擊目標，部分組織也會(huì )攻擊中國境內；

政府、軍事目標是其攻擊的主要目標，并且投放的誘餌文檔大多也圍繞該類(lèi)熱點(diǎn)新聞。

長(cháng)期以來(lái)，美國黑客組織持續對我國實(shí)施網(wǎng)絡(luò )攻擊。通過(guò)監測分析，目前已發(fā)現多個(gè)美國黑客組織以我國黨政機關(guān)、事業(yè)單位、科研院所等重要敏感單位的網(wǎng)站和相關(guān)主機為主要目標，實(shí)施漏洞掃描攻擊、暴力破解，DDoS攻擊等攻擊行為。本文選擇了3個(gè)較為典型的美國黑客組織進(jìn)行研究，分析其攻擊行為特征如下：

2020年10月發(fā)現的黑客組織A控制了位于美國的1065臺主機對中國2426臺目標主機實(shí)施攻擊，攻擊對象主要為黨政機關(guān)和企事業(yè)單位，如某汽車(chē)動(dòng)力總成公司、某鋼鐵股份有限公司以及部分高校等。攻擊手段主要為SSH暴力破解、SNMP暴力破解等。

2020年10月發(fā)現的黑客組織B控制了位于美國的24臺主機對中國993臺目標主機實(shí)施攻擊，攻擊對象主要為高校，涉及山西、廣西、廣東等省份；也有部分黨政機關(guān)，如某省科技委員會(huì )、某市商務(wù)局等。攻擊手段主要包括SNMP暴力破解、PHP代碼執行漏洞、Struts2遠程命令執行漏洞等暴力破解和Web掃描攻擊。

2020年8月發(fā)現的黑客組織C控制了位于美國的5臺主機對中國119臺目標主機實(shí)施攻擊，攻擊對象主要為高校，涉及廣東、北京等地。攻擊手段主要為PHP漏洞攻擊、SQL注入等Web類(lèi)攻擊。?

PrintNightmare漏洞是近期企業(yè)面臨的主要安全風(fēng)險，但讓微軟感到尷尬的是，上周緊急推出的補丁在社交媒體上被安全專(zhuān)家質(zhì)疑，認為該補丁并不完善，可被黑客繞過(guò)。雖然微軟再次發(fā)布聲明聲稱(chēng)補丁有效并且敦促所有企業(yè)用戶(hù)盡快更新，但近日又有消息傳出，說(shuō)微軟的補丁會(huì )導致部分打印機出現問(wèn)題。

PrintNightmare漏洞包含CVE-2021-1675 和CVE-2021-34527，其中一個(gè)是遠程代碼執行漏洞，另一個(gè)是本地提權漏洞。一個(gè)嚴峻問(wèn)題是，在微軟發(fā)布補丁之前，漏洞利用代碼就已經(jīng)在公共領(lǐng)域開(kāi)始傳播。

微軟指出，攻擊者可以利用該漏洞以系統權限編寫(xiě)他們想要的任何代碼。從那里，他們可以安裝程序；查看、更改或刪除數據；或創(chuàng )建具有完全用戶(hù)權限的新帳戶(hù)。但一些客戶(hù)安裝了補丁程序后，某些打印機出現了問(wèn)題。

一位微軟客戶(hù)透露：“安裝此更新后，某些打印機可能會(huì )遇到問(wèn)題。大多數受影響的打印機是通過(guò)USB連接的收據或標簽打印機，說(shuō)明這一情況與CVE-2021-34527或CVE-2021-1675無(wú)關(guān)?！?

近日，安全研究人員披露了惠普打印機驅動(dòng)程序中存在的一個(gè)提權漏洞的技術(shù)細節，該驅動(dòng)程序也被三星與施樂(lè )公司所使用。該漏洞影響了十六年間眾多版本的驅動(dòng)程序，可能波及上億臺 Windows 計算機。攻擊者可以利用該漏洞執行繞過(guò)安全防護軟件、安裝惡意軟件、查看/修改/加密/刪除數據、創(chuàng )建后門(mén)賬戶(hù)等操作。

SentinelOne 的研究人員表示，該漏洞(CVE-2021-3438)已經(jīng)在 Windows 系統中潛伏了 16 年之久，直到今年才被發(fā)現。它的 CVSS 評分為 8.8 分，是一個(gè)高危漏洞。

該漏洞存在與驅動(dòng)程序中控制輸入/輸出(IOCTL)的函數，在接收數據時(shí)沒(méi)有進(jìn)行驗證。使得 strncpy在復制字符串時(shí)長(cháng)度可以被用戶(hù)控制。這就使得攻擊者可以溢出驅動(dòng)程序的緩沖區。

因此，攻擊者可以利用該漏洞提權到 SYSTEM 級別，從而可以在內核模式下執行代碼。

存在漏洞的驅動(dòng)程序已在數百萬(wàn)臺計算機中運行了數年?；诖蛴C的攻擊向量是犯罪分子喜歡的完美工具，因為其驅動(dòng)程序幾乎在所有 Windows 計算機中都存在，而且會(huì )自動(dòng)啟動(dòng)。