伊朗加油站遭网络攻击致瘫痪、Babuk勒索软件源代码泄露｜全球网络安全热点

安全资讯报告

电子邮件泄露事件致英国公司损失1.4亿英镑

根据英国国家经济犯罪中心(NECC)的最新数据，在过去12个月中，报告的商业电子邮件泄露(BEC)事件已达到4600起，给个人和企业造成了1.38亿英镑的损失。

该政府机构正在与国家犯罪署(NCA)、伦敦市警察局、银行集团英国金融和欺诈预防非营利组织Cifas合作开展一项新活动，以提高对犯罪的认识，也称为“强制欺诈”或“付款”。

它声称这4600起案件的平均损失金额为30,000英镑，犯罪分子通常会冒充他人并创建或修改发票以欺骗受害者将资金转移到他们控制的账户中。

NECC声称欺诈高峰通常发生在3月和11月，恰逢财政年度结束。

据FBI称，BEC是过去两年中收入最高的网络犯罪类型。根据联邦调查局的年度互联网犯罪报告，去年受害者因报告的大约19,300起事件而损失近19亿美元。在此期间网络犯罪造成的42亿美元损失总额中，这几乎占了一半。

需要注意的BEC迹象包括紧急转账请求、供应商的新付款细节以及发件人电子邮件中使用的拼写错误或不一致的语言。

新闻来源： 

https://www.infosecurity-magazine.com/news/bec-costs-uk-firms-140m-past-year/

伊朗的网络攻击使全国各地的加油站瘫痪

伊朗的一次网络攻击导致全国各地的加油站瘫痪，燃料销售中断，电子广告牌被污损以显示挑战该政权分配汽油能力的信息。

社交媒体上流传的帖子和视频显示，“哈梅内伊！我们的汽油呢？”提及该国最高领导人阿亚图拉阿里哈梅内伊。据半官方伊朗学生通讯社（ISNA）报道，其他标志上写着“Jamaran加油站的免费汽油”，当试图购买燃料时，加油泵上会显示“网络攻击64411”字样。

伊朗最高网络空间委员会主席阿博哈桑·菲鲁扎巴迪(Abolhassan Firouzabadi)表示，这些攻击“很可能”是由国家支持的，但补充说现在确定是哪个国家进行了入侵还为时过早。

尽管到目前为止还没有国家或组织声称对此事件负责，但这次袭击标志着数字广告牌第二次被更改以显示类似的信息。

新闻来源： 

https://thehackernews.com/2021/10/cyber-attack-in-iran-reportedly.html

三大举措落实关键信息基础设施安全保护

没有网络安全就没有国家安全，没有信息化就没有现代化。党中央、国务院高度重视关键信息基础设施安全保护工作，为进一步健全关键信息基础设施安全保护制度体系，制定出台了《关键信息基础设施安全保护条例》（以下简称《条例》）。

公安部网络安全保卫局一级巡视员、副局长、总工程师郭启全指出，坚持“问题导向、实战引领、体系化防御”原则，守住关键，保住要害，指导监督关键信息基础设施安全保护工作，会同有关部门建立关键信息基础设施安全保护制度体系，指导监督运营者在网络安全等级保护制度基础上落实《条例》，切实维护关键信息基础设施安全。

公安机关在建立并实施关键信息基础设施安全保护制度等方面的下一步重点工作：

第一，公安机关组织认定关键信息基础设施。

• 制定规则

指导重要行业和领域的保护工作部门，制定本行业、本领域关键信息基础设施认定规则，并报公安部备案；

• 识别认定

指导运营者与保护工作部门配合，围绕关键信息基础设施承载的关键业务，开展业务依赖性识别、关键资产识别、风险识别等活动，确定关键信息基础设施；

• 突出重点

将符合认定条件的基础网络、大型专网、核心业务系统、云平台、大数据平台、物联网、新型互联网等重点保护对象纳入关键信息基础设施；

• 确定并报告

保护工作部门根据认定规则组织认定本行业、本领域关键信息基础设施，及时将认定结果通知相关运营者并报公安部；

• 动态调整

关键信息基础设施清单实行动态调整机制，调整结果报公安部。

第二，公安机关组织运营者开展关键信息基础设施安全保护。

• 采取加强型保护措施

立足应对大规模网络攻击威胁，在落实网络安全等级保护制度和国家标准、满足“合规性”保护要求基础上，采取加强型特殊型保护措施，大力提升风险识别能力、抗攻击能力、可恢复能力，确保关键基础设施稳定运行。

• 以保护关键业务和运行安全为重点，变单点防护为整体防控

对业务所涉及的一个或多个网络和信息系统进行体系化安全设计，构建关键信息基础设施整体安全防控体系。

• 以风险管理为导向，变静态防护为动态防护

根据安全威胁态势变化，动态调整监测和安全控制措施，形成动态的安全防护机制，增强保护弹性，有效应对安全风险威胁。

• 以信息共享为基础，变单一防护为联防联控

建立与国家网络安全监管部门、保护工作部门以及其他相关部门的信息共享、协调配合、共同防护机制，提升应对大规模网络攻击能力。

• 以可信计算等核心技术为支撑，变被动防护为主动防御

基于可信计算、人工智能、大数据分析、密码等核心技术，构建安全防护框架，结合威胁情报、态势感知，及时发现和处置未知威胁，提高内生安全和主动免疫能力、主动防御能力。

• 以域间隔离为手段，变单层防护为纵深防御

网络实行分区分域管理，区域间进行安全隔离和认证；实行事前监测，事中遏制及阻断，事后跟踪及恢复，实现层层阻击、纵深防御。

• 以核心资产数据为重点，变粗放防护为精准防护

基于资产的自动化管理，协同威胁情报，检测未知威胁、异常行为等，实现对核心资产的精准防护，确保大数据、神经中枢系统安全。

• 落实物理设施保护和电力电信保障措施

保护机房、大数据中心、云平台等物理设施安全，严防地震、洪灾等破坏，保障网络运行正常、数据免遭破坏。

• 与公安机关密切配合，建立网络安全联合作战机制，打整体仗、合成仗。
• 依托“网络空间地理学”实验室，开展理论研究和技术攻关，研究网络空间智能认知、资产测绘、可视化表达等核心技术，支撑实战。
• 加强保密管理

在建设、运维、采购产品和服务、招投标等方面，应加强保密管理，坚决杜绝在招投标等活动中，泄露关键信息基础设施秘密。

第三，公安机关大力加强关键信息基础设施的安全保卫。

• 加强网络安全威胁情报体系建设，组织力量开展威胁情报工作。
• 建设网络安全保护平台和态势感知系统，建设平台智慧大脑，绘制网络地图，实现“挂图作战”。
• 围绕网络攻击入侵、渗透控制、窃密等破坏活动，严密防范、严厉打击危害关键信息基础设施的违法犯罪活动。
• 充分发挥国家网络与信息安全信息通报机制作用，构建完善内外协同配合、上下协调联动的全天候全方位网络安全监测预警体系，大力开展网络安全实时监测、通报预警、应急处置等工作，为运营者提供重要保障。
• 对不履行网络安全法定责任义务的单位和个人，加强行政执法力度；建立网络安全重大风险隐患挂牌督办制度，对网络安全问题突出、风险隐患严重的单位和部门进行挂牌督办。
• 针对供应链安全、邮件系统安全、网站安全、数据安全、互联网企业网络安全、新技术新应用网络安全等方面存在的突出问题，适时组织开展专项整治行动。

新闻来源： 

https://www.chinanews.com/gn/2021/10-26/9595646.shtml

英国情报机构主管：勒索软件激增的原因是没有协调一致阻止其获取利润

英国信号情报机构GCHQ主管杰里米·弗莱明爵士(SirJeremy Fleming)表示，如果想知道为什么勒索软件近年来激增，那是因为直到最近它才受到挑战。

“我们今年在英国看到的“勒索软件”攻击是去年的两倍，但它激增的原因是因为它有效，”弗莱明在美国密码简报威胁会议上说。犯罪分子从中赚了很多钱，并且经常觉得这在很大程度上是无可争议的......我们必须弄清楚这意味着什么，直到最近我们才离开了很多这个游戏空间那些犯罪分子实际上会扩散并赚很多钱。

上个月，英国成立了国家网络部队(NCF)，这是一个具有进攻能力的组织，将来自国防部(MoD)、GCHQ、秘密情报局(MI6)和国防科技实验室(DSTL)的人员联合起来。

弗莱明说：“我认为，过度军事化是非常危险的，对我在池塘两边的所有军事同事给予应有的尊重。”然而，他补充说：“几十年来，这一直是GCHQ使命的一部分，我们需要我们的政策制定者，在使命的某些方面，我们的军事领导人能够发挥网络能力。”

弗莱明建议，解决勒索软件利润的方法是通过监管和控制加密货币。

“我可以看到美国方面的政策辩论，我看到这里的政策辩论，你很快就会了解犯罪分子的获利方式——你很快就会涉足加密货币以及它们是如何受到监管和控制的，”他说。

虽然大多数国家都支持破坏勒索软件运营商和整体商业模式的想法，但有些国家已经制定了政策，为关键基础设施的勒索软件攻击提供了例外。

新闻来源： 

https://www.zdnet.com/article/ransomware-has-proliferated-because-its-largely-uncontested-says-gchq-boss/

我国已组织制订网络安全国家标准332项

第三届全国信息安全标准化技术委员会第一次全体会议日前在京召开。成立于2002年的全国信息安全标准化技术委员会，已组织制订网络安全国家标准332项。

中央宣传部副部长、中央网信办主任庄荣文表示，做好新时代网络安全标准化工作，是推进网络强国建设的重要支撑，是提升网络空间国际话语权和影响力的重要途径。

庄荣文说，面对新形势新任务新要求，要坚持问题导向，积极推动标准化工作创新发展；践行为民宗旨，努力让人民群众有更多获得感、幸福感、安全感；强化依法治网，加快推动网信领域法律法规落地落实；拓展全球视野，积极参与网络空间国际标准规则制定。

市场监管总局局长张工表示，要深刻认识加强网络安全标准化工作对统筹发展和安全、做强做优做大数字经济、构建网络空间命运共同体的重要战略意义，积极推动网络安全标准化工作开创新局面。

据悉，会议宣读了第三届全国信息安全标准化技术委员会换届及委员组成方案，审议了第三届信安标委章程、标准制修订工作程序、技术文件制订工作程序等文件。

新闻来源： 

http://www.chinanews.com/gn/2021/10-27/9596329.shtml

“粤盾-2021”网络安全攻防演练闭幕

10月25日下午，为期一周的“粤盾-2021”广东省数字政府网络安全攻防演练活动在广州闭幕。

据介绍，“粤盾-2021”广东省数字政府网络安全攻防演练以“聚焦数据安全护航数字发展”为主题，是覆盖广东省政府系统全领域的特大规模实网攻防演练。为确保演练始终围绕实战，全方面服务保障实际工作，督促形成更高效精准的数据安全防护解决机制，本次演练还将水务、燃气、电力、交通出行、卫生防疫等公共服务领域部分信息系统纳入演练范围。

演练活动发现并及时清除全省电子政务系统32类982个网络安全隐患，涉及近3300多万条个人隐私数据，上亿条企业、政务业务相关数据，有效排除了499台服务器、网络设备、安全设备等网络安全风险，向各地各部门发送81份安全通报。

通过实战演练，广东省在线政务和公共服务系统的安全防护能力得到整体提升，人民群众使用在线政务和公共服务时，能够得到更为有效的数据安全保障。

新闻来源： 

https://www.sohu.com/a/497351667_120091004

新加坡的电子商务网络钓鱼诈骗使受害者损失至少764,000新元

新加坡警方周二（10月26日）警告称，涉及诈骗者冒充电子商务市场工作人员的电子邮件、短信和电话的网络钓鱼诈骗案件呈上升趋势。

警方在一份声明中说，9月份至少有764,000新元（235万令吉）被非银行相关的网络钓鱼诈骗损失。

此类诈骗的受害者通常会接到冒充电子商务市场工作人员的诈骗者的电话，声称在他们的购买中发现了受害者的账户问题或付款差异。

诈骗者以帮助解决问题为借口，诱骗受害者提供信用卡或借记卡详细信息以及一次性密码(OTP)。

只有当受害者使用信用卡或借记卡发现未经授权的交易时，他们才会意识到自己被骗了。

警方建议市民采取以下措施预防此类罪行：

• 不要通过电话向未知来电者提供您的个人信息，包括财务数据。
• 始终通过官方网站或官方来源验证任何信息的真实性。
• 切勿向任何人透露您的个人或网上银行详细信息和OTP。
• 向您的银行报告任何欺诈性信用卡或借记卡费用并立即注销您的卡。

新闻来源： 

https://www.thestar.com.my/tech/tech-news/2021/10/27/e-commerce-phishing-scams-in-spore-cost-victims-at-least-s764000-rm235mil

微软：密码喷射攻击呈上升趋势

最近，微软观察到一个新兴的伊朗黑客组织对在波斯湾运营的以色列和美国关键基础设施目标使用密码喷射。

微软估计，超过三分之一的帐户泄露是密码喷射攻击，尽管此类攻击对帐户的成功率为1%，除非组织使用微软的“密码保护”来避免错误密码。

微软去年解释说：“他们不是针对一个用户尝试多个密码，而是通过尝试多个用户针对一个密码尝试破解锁定和检测。”这种方法有助于避免速率限制，因为太多失败的密码尝试会导致锁定。

Microsoft的检测和响应小组(DART)概述了两种主要的密码喷射技术，其中第一种技术称为“低速和慢速”。在这里，一个坚定的攻击者部署了一个复杂的密码喷雾，使用“几个单独的IP地址以有限数量的策划密码猜测同时攻击多个帐户”。

另一种技术，“可用性和重用”，利用先前在暗网上发布和出售的已泄露凭证。微软解释说：“攻击者可以利用这种策略，也称为‘凭据填充’，轻松获得进入，因为它依赖于人们跨站点重复使用密码和用户名。”

“最近，DART发现成为密码喷射攻击目标的云管理员帐户有所增加，”微软指出。

在为安全管理员、Exchange服务管理员、全局管理员、条件访问管理员、SharePoint管理员、服务台管理员、计费管理员、用户管理员、身份验证管理员和公司管理员等角色配置安全控制时，还应格外小心。微软表示，诸如C级高管或有权访问敏感数据的特定角色等引人注目的身份也是受欢迎的目标。

新闻来源：

https://www.zdnet.com/article/microsoft-warns-over-uptick-in-password-spraying-attacks/

Babuk勒索软件的完整源代码泄露

一名勒索软件攻击参与者在俄语黑客论坛上泄露了Babuk勒索软件的完整源代码。

BabukLocker，内部也称为Babyk，是一种勒索软件操作，于2021年初启动，当时它开始针对企业在双重勒索攻击中窃取和加密他们的数据。

在袭击华盛顿特区的大都会警察局(MPD)并感受到美国执法部门的压力后，勒索软件团伙声称已关闭其业务。但同一组的成员分裂了，另一些成员重新启动勒索软件BabukV2，直到今天他们继续加密受害者的数据。

正如安全研究小组vx-underground首次注意到的那样，Babuk小组的一名据称成员在一个流行的俄语黑客论坛上发布了他们勒索软件的完整源代码。这名成员声称自己患有晚期癌症，并决定在他们必须“像人一样生活”的同时发布源代码。共享文件包含适用于VMware ESXi、NAS和Windows加密器的不同Visual Studio Babuk勒索软件项目。

EmsisoftCTO和勒索软件专家Fabian Wosar以及McAfee Enterprise的研究人员都告诉BleepingComputer，泄漏似乎是合法的。Wosar还表示，泄漏可能包含过去受害者的解密密钥。Babuk勒索软件使用椭圆曲线加密(ECC)作为其加密程序的一部分。泄漏中包括包含为勒索软件团伙的特定受害者编译的加密器和解密器的文件夹。

新闻来源：

https://www.bleepingcomputer.com/news/security/babuk-ransomwares-full-source-code-leaked-on-hacker-forum/

安全漏洞威胁

CISA：Discourse存在远程代码执行漏洞

CISA在周日发出的通知中敦促开发人员更新Discourse版本2.7.8及更早版本，警告远程代码执行漏洞被标记为“严重”，CVSS评分10。

该问题已于周五修复，开发人员解释说CVE-2021-41163涉及“上游aws-sdk-snsgem中的验证错误”，可能“通过恶意制作的请求导致Discourse中的RCE”。

开发人员指出，要在不更新的情况下解决此问题，“可以在上游代理阻止以/webhooks/aws开头的路径的请求。”

这个流行的开源讨论平台每月吸引数百万用户，促使CISA发出信息，敦促推送更新。

研究人员在博客文章中详细说明了问题的细节，并将问题报告给了Discourse，后者没有回应置评请求。

新闻来源： 

https://www.zdnet.com/article/cisa-warns-of-remote-code-execution-vulnerability-with-discourse/