欧洲最大汽车经销商遭遇勒索攻击、谷歌紧急修复零日漏洞｜2月15日全球网络安全热点

安全资讯报告

谷歌在2021年向安全研究人员支付了创纪录的870万美元

谷歌表示，它向安全研究人员支付了创纪录的870万美元，其中30万美元捐给了慈善机构，用于在2021年通过其漏洞奖励计划披露数千个漏洞。

该公司表示，作为这些计划的一部分，它支付了来自62个国家的696名安全研究人员。分解为Android程序的119名贡献者、Chrome程序的115名贡献者以及涉及Google Cloud、Google Play和其他技术的程序的许多其他贡献者。一些领先的研究人员分别披露了数百个漏洞。

除了帮助将这些漏洞奖励计划整合在一起之外，Google Bug Hunters平台还通过游戏化、每个国家的排行榜、某些漏洞的奖励/徽章等提供“更多的互动机会和一些健康的竞争！”以及“更实用、更美观的排行榜”。

谷歌表示，谷歌Bug Hunters平台还应该帮助潜在的安全研究人员通过Bug Hunter大学磨练他们的技能，并帮助研究人员更容易地发布他们发现的漏洞的报告。该平台还提供物质奖励——包括Google Bug Hunters品牌的水瓶、袜子、连帽衫和……卫生纸卷。

新闻来源：

https://www.pcmag.com/news/google-paid-security-researchers-a-record-87-million-in-2021

旧金山49人队确认勒索软件攻击

旧金山49人队的一位发言人告诉The Record，旧金山49人队NFL球队已成为勒索软件攻击的受害者，该攻击在其公司IT网络上加密文件。

周六早些时候，在BlackByte勒索软件的运营商在一个暗网“泄密网站”上将该团队列为受害者之一后，该团队今天早些时候证实了这次攻击，该组织通常用来羞辱受害者并强迫他们支付勒索要求。

“虽然调查仍在进行中，但我们认为该事件仅限于我们的企业IT网络；迄今为止，我们没有迹象表明此事件涉及我们公司网络之外的系统，例如与李维斯体育场运营或持票人相关的系统。“它补充道。

该团队表示已通知执法部门，并正在与第三方网络安全公司合作调查此次攻击。“正在努力尽快和尽可能安全地恢复相关系统。”该团队说。

新闻来源：

https://therecord.media/san-francisco-49ers-confirm-ransomware-attack/

ESET报告：利用MS Exchange和密码欺诈的尝试是最常见的入侵渠道

ESET Research今天发布了T32021威胁报告，总结了ESET检测系统的关键统计数据，并重点介绍了ESET网络安全研究的显着示例，包括以前未发布的关于当前威胁的独家更新。最新一期的ESET威胁报告（涵盖2021年9月至2021年12月）揭示了最常见的外部攻击媒介、电子邮件威胁上升的原因，以及由于汇率波动而导致的某些类型威胁的流行变化。加密货币。

该报告强调，T32021中最活跃的僵尸网络是Mozi，在2021年的最后四个月中，该网络在印度积累了超过162,000个独立IP，其中79,000个在上一时期已被入侵。印度的被控设备数量位居全球第二，在印度检测到的唯一IP占29%。根据ESET遥测，Mozi在2021年第三季全球尝试滥用已知漏洞的次数为520万次，与2021年第二季的超过600万次尝试相比下降了13%。

研究人员透露，ProxyLogon漏洞是ESET 2021年统计数据中第二常见的外部攻击媒介，仅次于密码猜测攻击。Microsoft Exchange服务器于2021年8月再次遭到围攻，ProxyLogon的“小兄弟”名为ProxyShell，已在全球范围内被多个威胁组织利用。作为2021年的最终威胁报告，它还附带了对全年观察到的更广泛趋势的评论，以及ESET恶意软件研究人员和检测专家对2022年的预测。

ESET威胁报告T32021中提供的独家研究提供了以前未发布的有关APT组操作的信息。这一次，研究人员提供了有关网络间谍组织OilRig活动的最新信息；有关野外ProxyShell开发的最新信息；以及臭名昭著的网络间谍组织Dukes发起的新鱼叉式网络钓鱼活动。

根据ESET遥测数据，2020年和2021年全年远程桌面协议(RDP)攻击在年底也出现了动荡。T32021的最后几周的数字打破了之前的所有记录，达到了惊人的年度尽管2021年不再以新实施的封锁和仓促过渡到远程工作的混乱为标志，但被阻止的攻击尝试总数增长了897%。

新闻来源：

https://www.crn.in/news/eset-threat-report-attempts-to-exploit-ms-exchange-and-password-frauds-were-the-most-frequent-intrusion-vectors/

欧洲最大的汽车经销商遭到勒索软件攻击

欧洲最大的汽车经销商之一埃米尔·弗雷(Emil Frey)上个月遭到勒索软件攻击。这家瑞士公司于2月1日出现在Hive勒索软件的受害者名单上，并确认他们在1月份遭到攻击。

这家拥有约3,000名员工的公司在2020年创造了32.9亿美元的销售额，这要归功于各种与汽车相关的业务。根据收入和待售车辆总数，它被评为欧洲第一大汽车经销商。

2021年，Hive攻击了至少28个医疗机构，其中包括8月15日遭到勒索软件攻击的Memorial Health System。FBI警报解释了勒索软件如何破坏系统和备份，然后将受害者引导至可通过TOR浏览器访问的该组织“销售部门”的链接。大多数受害者面临两到六天的付款期限，但其他人能够通过谈判延长他们的期限。

周三，美国联邦调查局、国家安全局(NSA)和网络安全与基础设施安全局(CISA)、英国国家网络安全中心(NCSC)和澳大利亚网络安全中心(ACSC)发布警告，表明越来越多的网络安全日益复杂的勒索软件攻击对世界各地的关键基础设施和组织构成威胁。

新闻来源：

https://www.zdnet.com/article/europes-biggest-car-dealer-hit-with-ransomware-attack/

运动品牌美津浓遭受勒索软件攻击延迟订单

运动器材和运动服饰品牌美津浓在遭到勒索软件攻击后受到电话中断和订单延迟的影响。Mizuno是一家日本运动器材和运动服装公司，在亚洲、欧洲和北美拥有超过3,800名员工和分支机构。该公司销售各种各样的运动器材，但以高尔夫球杆、跑步运动鞋和棒球装备而闻名。

上周二，当公司电话系统不再工作时，客户开始注意到中断，网站开始显示订单延迟的横幅警告。“美津浓目前正在经历系统中断。订单延迟可能会发生，”mizunousa.com网站顶部的通知说。

客户告诉BleepingComputer，美津浓代表告诉他们，他们的内部系统已关闭，他们无法再查找现有订单。GolfRWX论坛上的用户进一步证实了这一点，他们自停电以来一直在发布类似的体验。

IT中断也影响了美津浓经销商，他们无法再访问经销商用来下订单的美津浓“DirectConnect”B2B网站。目前尚不清楚这次攻击背后的勒索软件团伙是什么，但如果该公司不支付赎金，我们很可能会在以后知道黑客是否发布被盗数据。

新闻来源：

https://www.bleepingcomputer.com/news/security/sports-brand-mizuno-hit-with-ransomware-attack-delaying-orders/

FBI：BlackByte勒索软件入侵美国关键基础设施

美国联邦调查局(FBI)透露，BlackByte勒索软件组织在过去三个月中入侵了至少三个来自美国关键基础设施领域的组织的网络。

这在周五与美国特勤局合作发布的TLP:WHITE联合网络安全咨询中披露。

“截至2021年11月，BlackByte勒索软件已经危害了多家美国和外国企业，包括至少三个美国关键基础设施部门（政府设施、金融以及食品和农业）的实体。”联邦执法机构表示。

公告中共享的与BlackByte活动相关的IOC包括在受感染的MicrosoftInternet信息服务(IIS)服务器上发现的可疑ASPX文件的MD5哈希值，以及勒索软件运营商在攻击期间使用的命令列表。

BlackByte勒索软件行动至少从2021年7月开始就一直活跃，当时它开始针对全球的企业受害者。该团伙以利用软件漏洞（包括MicrosoftExchangeServer）来获得对其企业目标网络的初始访问权限而闻名，这表明保持服务器更新很可能会阻止他们的攻击。

这两个机构还分享了一系列可以帮助管理员减轻BlackByte攻击的措施：

• 进行定期备份，以离线存储为气隙、密码保护的副本。确保无法从原始数据所在的任何系统访问这些副本以进行修改或删除。

• 实施网络分段，减小攻击面。

• 在所有主机上安装并定期更新杀毒软件，并启用实时检测。

• 更新/补丁发布后立即安装更新/补丁操作系统、软件和固件。

• 查看域控制器、服务器、工作站和活动目录中是否有新的或无法识别的用户帐户。

• 审核具有管理权限的用户帐户，并以最低权限配置访问控制。不要授予所有用户管理权限。

• 禁用未使用的远程访问/远程桌面协议(RDP)端口并监控远程访问/RDP日志以发现任何异常活动。

• 考虑为从组织外部收到的电子邮件添加电子邮件横幅提醒。

• 禁用收到的电子邮件中的超链接。

• 登录帐户或服务时使用双重身份验证。

• 确保对所有账户进行例行审计。

• 确保将所有已识别的IOC输入到网络SIEM中以进行持续监控和警报。

新闻来源：

https://www.bleepingcomputer.com/news/security/fbi-blackbyte-ransomware-breached-us-critical-infrastructure/

安全漏洞威胁

Adobe对被利用的Commerce、Magento零日漏洞发布紧急修复程序

Adobe发布了一个紧急补丁来解决一个在野外被利用的严重错误。

2月13日，这家科技巨头表示，该漏洞影响Adobe Commerce和Magento Open Source，根据该公司的威胁数据，该安全漏洞正在“在针对Adobe Commerce商家的非常有限的攻击中”被武器化。该漏洞被跟踪为CVE-2022-24086，CVSS严重性评分为9.8（满分10）。

该漏洞是一个不正确的输入验证问题，由通用弱点枚举(CWE)类别系统描述为当“产品接收输入或数据，但它没有验证或错误验证输入具有以下属性时发生的错误”需要安全和正确地处理数据。”

CVE-2022-24086不需要任何管理员权限即可触发。Adobe表示，可以利用关键的预授权错误来执行任意代码。由于该漏洞严重到需要紧急补丁，该公司尚未发布任何技术细节，这让客户有时间接受修复并降低进一步的利用风险。

该错误影响Adobe Commerce(2.3.3-p1-2.3.7-p2)和Magento Open Source(2.4.0-2.4.3-p1)以及早期版本。本月早些时候，Adobe为Premiere Rush、Illustrator和Creative Cloud等产品发布了安全更新。补丁回合解决了导致任意代码执行、拒绝服务(DoS)和权限提升等问题的漏洞。

新闻来源：

https://www.zdnet.com/article/patch-now-adobe-releases-emergency-fix-for-exploited-commerce-magento-zero-day/

谷歌Chrome紧急更新修复了在攻击中被利用的零日漏洞

Google发布了适用于Windows、Mac和Linux的Chrome 98.0.4758.102，以修复威胁参与者在攻击中使用的高严重性零日漏洞。

今天修复的零日漏洞，编号为CVE-2022-0609，被描述为“在动画中免费使用”，并被分配了高严重级别。该漏洞是由Google威胁分析小组的Clément Lecigne发现的。

攻击者通常利用免费漏洞后在运行未修补Chrome版本的计算机上执行任意代码或逃离浏览器的安全沙箱。虽然谷歌表示他们已经检测到利用这个零日漏洞的攻击，但它没有分享有关这些事件的任何额外信息或有关该漏洞的技术细节。

除了零日漏洞之外，这个谷歌浏览器更新还修复了其他七个安全漏洞，除了一个被归类为“高”严重性之外的所有漏洞。

新闻来源：

https://www.bleepingcomputer.com/news/security/google-chrome-emergency-update-fixes-zero-day-exploited-in-attacks/