【勒索軟件攻擊正以驚人的速度增加】根據最新報告，勒索軟件洩露事件增加了13%，超過了過去五年的總和。Verizon Business2022數據洩露調查報告揭示了今年嚴峻的網絡安全形勢，并詳細介紹了影響國際網絡安全格局的焦點問題。除了勒索事件的增加，它還發現82%的網絡漏洞涉及人為因素，包括社交攻擊、人為的錯誤等。除此之外，62%的系統入侵事件中，也發現威脅參與者會危害其合作夥伴。Verizon在報告裡表示：“特别令人擔憂的是勒索軟件洩露事件的驚人增長，由于犯罪分子會使用越來越複雜的惡意軟件，所以在某一方面，勒索軟件通過非法獲取私人信息并勒索贖金就顯得特别成功。盡管勒索軟件無處不在，而且可能具有破壞性，但其核心隻是一種将組織訪問權貨币化的模型。”報告裡還列舉了一個大範圍受影響的供應鍊事件，損害目标重要的合作夥伴對威脅行為者來說簡直是增加了他們的勒索資本。與出于經濟動機的威脅行為者不同，民族國家的威脅行為者可能不會隻滿足于當前獲取的數據，而是選擇進一步入侵目标，以此獲取更多機密。”關于人為因素，報告指出，人為因素仍然是違規的主要驅動因素：“無論是使用被盜憑據、網絡釣魚還是僅僅是一個錯誤，人們繼續在事件和違規行為中扮演重要角色。”同時，報告發現，受雲存儲配置錯誤的影響，人為的錯誤仍然是未來勒索事件發生的主要因素。2022 DBIR還發現了會影響機構财産的四種常見網絡攻擊類型：憑證、網絡釣魚、利用漏洞和僵屍網絡。“這四種攻擊情況在DBIR的所有領域都普遍存在，如果沒有處理每一種情況的計劃，沒有一個組織是安全的。

【ChromeLoader惡意軟件激增，恐将威脅全球浏覽器】據調查，相較年初以來的穩定，ChromeLoader惡意軟件的數量在本月有所上升，這将導緻浏覽器劫持成為一種普遍的威脅。ChromeLoader是一種浏覽器劫持程序，它可以修改受害者的網絡浏覽器設置，以宣傳不需要的軟件、虛假廣告，甚至會在搜索頁面展示成人遊戲和約會網站。威脅行為者将用戶流量重定向到廣告網站，通過營銷聯盟系統獲得經濟收益。雖然這類劫持者并不少見，但ChromeLoader因其持久性、數量和感染途徑而脫穎而出，其中包括對濫用PowerShell。今年2月以來，Red Canary研究人員一直保持對ChromeLoader的追蹤，據他說，劫持者使用惡意ISO存檔文件來感染他們的受害者。ISO文件會被僞裝成遊戲或商業軟件的破解可執行文件，所以受害者在不知情的情況下會從torrent或惡意網站下載它。研究人員還注意到，Twitter上有帖子推廣破解的Android遊戲，并提供二維碼，這也會導緻用戶進入惡意軟件托管網站。當在Windows10及以上版本操作系統雙擊ISO文件時，會将ISO文件挂載為虛拟光驅。這個ISO文件包含一個可執行文件，它使用“CS_Installer.exe”這樣的名稱，假裝是一個遊戲破解程序或keygen。最後，ChromeLoader執行并解碼PowerShell命令，從遠程資源獲取存檔并加載為谷歌Chrome擴展。完成此操作後，PowerShell将删除計劃任務，使Chrome感染一個靜默注入的擴展程序，該擴展程序劫持浏覽器并操縱搜索引擎結果。

【新報告指出美國政府缺乏關于勒索軟件攻擊的全面數據】根據美國參議院委員會的一份新報告，美國政府缺乏關于勒索軟件攻擊的全面數據，而且現有的報告比較分散。美國國土安全部和公共事務委員會近日發布了一份51頁的報告，呼籲政府迅速實施新的授權，要求聯邦機構和關鍵基礎設施組織在遭遇勒索軟件之後必須上報，以及需要支付的贖金。為了撰寫這份報告，委員會進行了為期10個月的調查，并重點關注加密貨币在勒索軟件支付中的作用。結果發現有關攻擊的報告是“零散且不完整”的，部分原因是FBI和CISA都聲稱擁有“一站式服務”報告攻擊的網站——分别是IC3.gov和StopRansomware.gov。新法律要求關鍵基礎設施組織在72小時内向CISA報告網絡攻擊，并在24小時内向CISA報告勒索軟件的贖金。CISA在3月份表示将立即與FBI分享事件報告，但調查發現這種安排存在缺陷。報告指出：“雖然這些機構聲明他們彼此共享數據，但在與委員會工作人員的讨論中，勒索軟件事件響應公司質疑此類通信渠道對協助攻擊受害者的影響的有效性”。除了FBI和CISA的雙重報告職能之外，财政部的FinCEN、運輸安全管理局和證券交易委員會還有針對特定部門的報告制度，以及通過FBI外地辦事處和一些州政府的報告。報告指出：“這些機構沒有統一捕獲、分類或公開共享信息。”

【因欺騙性定向廣告，推特遭1.5億美元巨額罰款】Bleeping Computer網站披露，美國聯邦貿易委員會(FTC)将對推特處以1.5億美元巨額罰款，原因是該公司将收集到的電話号碼和電子郵件地址，用于定向廣告投放。根據法庭披露出的信息來看，自2013以來，Twitter以保護用戶賬戶為理由，開始要求超過了1.4億用戶提供個人信息，但并沒有告知用戶這些信息也将允許廣告商向其投放定向廣告。推特此舉違反了聯邦貿易委員會法案和2011年委員會行政命令，這些法案明确禁止了該公司歪曲隐私和安全做法，并從欺騙性的收集數據中獲利。據悉，早在2009年1月至5月期間，在黑客獲得推特的管理控制權後，該公司未能保護用戶的個人信息，行政命令随之頒布。FTC主席Lina M. Khan表示，Twitter以進行安全保護為由，從用戶處獲得數據，但最後也利用這些數據向用戶投放廣告，這種做法雖然提高了Twitter的收入來源，但也影響了超過1.4億Twitter用戶，1.5億美元的罰款側面反映了Twitter這一做法的嚴重性。目前，推特已同意與聯邦貿易委員會達成和解，支付1.5億美元的民事罰款，并對使用用戶信息進行廣告盈利事件道歉。除此之外，在聯邦法院批準和解後，推特也将實施新的合規措施以改善其數據隐私做法。

【成功逮捕！SilverTerrier團夥頭目被尼日利亞警方控制】經過了為期一年代号為“黛利拉行動”的調查，尼日利亞警方于近日在拉各斯的穆爾塔拉•穆罕默德國際機場逮捕了一名37歲男子，該男子是網絡犯罪團夥SilverTerrier(又名TMT)的疑似頭目。本次抓捕行動得到了幾家全球大型網絡安全公司(包括Group-IB, Palo Alto Networks Unit 42和Trend Micro)的支持。SilverTerrier是一個擁有數百人成員規模的團夥，自2014年進入公衆視野以來它就一直相當活躍，該團夥十分注重于商業電子郵件犯罪(BEC)。2020年5月，這個團夥曾發動過一次引發廣泛關注的攻擊。當時，Palo Alto Networks的研究人員觀察到，團夥以COVID-19為誘餌對全球醫療機構和政府組織發動了攻擊。在此之前，2020年11月，國際刑警組織領導了打擊SilverTerrier團夥的“獵鷹行動”(Operation Falcon)。此後，在“獵鷹二号行動”中，國際刑警組織逮捕了SilverTerrier團夥的15名成員。“尼日利亞逮捕了這名著名的網絡罪犯，這證明了我們的國際執法聯盟和國際刑警組織的私營部門夥伴在打擊網絡犯罪方面長期不懈的努力收到了成果”，尼日利亞警察部門助理總督察、國際刑警組織尼日利亞國家中央局局長、國際刑警組織執行委員會非洲事務副主席Garba Baba Umar這樣對媒體說道。

【新型勒索軟件Cheers正攻擊VMware ESXi服務器】據Bleeping Computer網站5月25日消息，一種名為“Cheers”的新型勒索軟件出現在網絡犯罪領域，目标是針對易受攻擊的VMware ESXi服務器。VMware ESXi是全球大型組織普遍使用的虛拟化平台，因此對其進行加密通常會嚴重破壞企業的運營。近期已有多個針對VMware ESXi平台的勒索軟件組，包 LockBit和Hive。而Cheers勒索軟件由趨勢科技最新發現，并将新變種稱為“Cheerscrypt”。在掃描文件夾以查找要加密的文件時，勒索軟件将在每個文件夾中創建名為“ How To Restore Your Files.txt ”的勒索記錄。這些贖金記錄包括有關受害者被加密文件情況的信息、Tor數據洩露站點和贖金繳納站點的鍊接。每個受害者都有一個唯一的Tor站點，但數據洩露站點Onion URL是靜态的。根據Bleeping Computer的研究，Cheers似乎于2022年3月開始運作，雖然迄今為止隻發現了Linux勒索軟件版本，但不排除也存在針對Windows系統的變體。Bleeping Computer發現了Cheers的數據洩露和受害者勒索Onion網站，該網站目前僅列出了四名受害者。但該門戶的存在表明Cheers在攻擊期間執行數據洩露，并将被盜數據用于雙重勒索攻擊。

【38萬個Kubernetes API服務器暴露在公網】研究人員發現，有超過38萬個Kubernetes API服務器允許對公共互聯網進行訪問，這就使得這個用于管理雲部署的流行開源容器成為了威脅者的一個攻擊目标和廣泛的攻擊面。根據本周發表的一篇博文，Shadowserver基金會在掃描互聯網上的Kubernetes API服務器時發現了這個問題，受影響的服務器已經超過了45萬個。根據該帖子，ShadowServer每天會對IPv4空間的443和6443端口進行掃描，尋找響應'HTTP 200 OK狀态'的IP地址，這表明該請求已經成功。研究人員說，在Shadowserver發現的超過45萬個Kubernetes API實例中，有381645個響應為 "200 OK"。總的來說，Shadowserver發現了454,729個Kubernetes API服務器。因此，開放的API實例占Shadowserver掃描的所有實例的近84%。此外，根據該帖子，大部分可訪問的Kubernetes服務器有201348個，有将近53%是在美國被發現的。根據該帖子，雖然這種掃描結果并不意味着這些服務器完全開放或容易受到攻擊，但它确實有這樣一種情況，這些服務器都有一個"不必要的暴露的攻擊面" 。研究人員指出，這種訪問很可能是無意的。他們補充說，這種暴露還可能會出現各種版本和構建信息發生洩漏。

【通用汽車遭撞庫攻擊被暴露車主個人信息】近期，通用汽車表示他們在今年4月11日至29日期間檢測到了惡意登錄活動，經調查後發現黑客在某些情況下将客戶獎勵積分兌換為禮品卡，針對此次事件，通用汽車也及時給受影響的客服發郵件并告知客戶。為了彌補客戶所受損失，通用汽車表示，他們将為所有受此事件影響的客戶恢複獎勵積分。但根據調查，這些違規行為并不是通用汽車被黑客入侵的結果，而是由針對其平台上的客戶的一波撞庫攻擊引起的。黑客入侵通用汽車賬戶時可獲得的其他信息包括汽車裡程曆史、服務曆史、緊急聯系人、Wi-Fi熱點設置(包括密碼)等。但帳戶裡不包含出生日期、社會安全号碼、駕駛執照号碼、信用卡信息或銀行帳戶信息，因此這些信息沒有被洩露。除了重置密碼外，通用汽車還建議受影響的用戶向銀行索取信用報告，如有必要還可進行賬戶安全凍結。不幸的是，通用汽車的在線站點不支持雙重身份驗證，所以其網站無法阻止撞庫攻擊。不過還有一種做法是客戶可以給所有的支付動作添加PIN碼驗證環節。至于受影響的客戶數量，通用汽車隻向加州總檢察長辦公室提交了一份通知樣本，因此我們隻知道該州受影響的客戶數量，也就是略低于5,000家。