爱尔兰医疗机构HSE感染Conti，被勒索近2000万美元

Posted 2021-05-20 李志宽

【勒索软件】

爱尔兰医疗机构HSE感染Conti，被勒索近2000万美元

【数据泄露】

Herff Jones客户信用卡被盗刷，涉及美国大学毕业生

【威胁情报】

黑客团伙FIN7在最近的攻击中使用新的Lizar后门

DarkSide勒索软件服务器被查封并宣布将终止运营

【分析报告】

ExtraHop称67％的公司仍易遭到WannaCry的攻击

Verizon发布2021年数据违规调查分析报告（DBIR）

 

01

爱尔兰医疗机构HSE感染Conti，被勒索近2000万美元

 

爱尔兰的医疗服务机构HSE表示，其遭到了Conti勒索软件攻击，并被要求支付19999000美元的赎金。该机构在发现攻击后，已于上周五关闭了所有IT系统。Conti团伙声称已经进入HSE的网络两周了，在此期间，他们窃取了HSE 700 GB的未加密文件，包括患者信息和员工信息、合同、财务报表和工资单等。爱尔兰总理Taoiseach Micheál Martin于5月14日在新闻发布会上表示，他们将不支付任何赎金。

 

02

Herff Jones客户信用卡被盗刷，涉及美国大学毕业生

 

帽子和礼服制造商Herff Jones泄露客户的信用卡信息，影响了美国多数大学毕业生。在上周日，美国几所大学的毕业生表示，他们在Herff Jones使用信用卡购买毕业典礼服装后发生了盗刷交易。大多数受害者的损失在80到1200美元之间，也有人损失高达4000美元。直到这些学生在社交媒体上抱怨此次的盗刷事件，Herff Jones才得知了信用卡泄露问题，目前尚不清楚泄露开始的时间，但最早的交易日期是从本月初开始。

 

03

黑客团伙FIN7在最近的攻击中使用新的Lizar后门

 

BI.ZONE网络威胁研究团队发现，黑客团伙FIN7在最近的攻击中使用新的Lizar后门。自2015年中以来，俄罗斯黑客团伙FIN7就瞄准了美国的零售、餐饮和酒店行业。在此次攻击中，FIN7伪装成销售安全分析平台的合法公司，并且自今年2月份以来一直使用新的Lizar后门。该恶意软件是使用.NET框架编写的，在远程Linux主机上运行，支持与Bot客户端的加密通信，具有强大的数据检索和横向移动功能。

 

04

DarkSide勒索软件服务器被查封并宣布将终止运营

 

DarkSide是一个勒索软件服务器团伙（RaaS），一周前攻击了Colonial Pipeline Co.并勒索500万美元。该团伙于2021年5月13日发布声明称，由于执法行动，他们目前已经无法通过SSH访问其公共数据泄露网站、支付服务器和CDN服务器，以及主机界面。因此将为所有尚未付款的公司提供解密工具，并承诺在2021年5月23日之前偿还所有未偿债务。该声明还指出由于来自美国的压力，其将终止勒索活动。

 

05

ExtraHop称67％的公司仍易遭到WannaCry的攻击

 

原生云网络检测和响应公司ExtraHop称67％的公司仍在运行不安全的Windows协议SMBv1，易遭到WannaCry和NotPetya的攻击。此外，研究还发现70％的环境仍在运行LLMNR，该协议可被用来访问用户凭据的哈希；34％的企业使用运行了NTLMv1的客户端，但Microsoft建议组织使用更加安全的Kerberos身份验证协议；81％的企业使用不安全的HTTP传输纯文本凭据。

 

06

Verizon发布2021年数据违规调查分析报告（DBIR）

 

Verizon发布了2021年数据违规调查分析报告（DBIR）。该报告共分析了29207起事件，其中5258起被确认为数据违规事件。报告指出，网络钓鱼攻击增加了11％，勒索软件攻击增加了6％，比去年增加了15倍；85％的泄露事件涉及人为因素，而超过80％的泄露事件是由外部各方发现的；一次泄露事件的平均损失为21659美元，其中95％的事件的损失介于826美元至653587美元之间。