男子利用爬虫删公司数据被捕、欧洲零售巨头被勒索2.4亿｜11月9日全球网络安全热点

安全资讯报告

旋风行动对Clop勒索软件团伙造成打击

一项代号为“旋风行动”的为期30个月的国际执法行动以Clop勒索软件团伙为目标，导致此前报道的六名成员在乌克兰被捕。6月，BleepingComputer报道称，乌克兰执法部门逮捕了参与洗钱的Clop勒索软件团伙的成员。

名为“旋风行动”的跨大陆行动由国际刑警组织位于新加坡的网络融合中心协调，并得到乌克兰和美国执法当局的协助。此次行动的目标是Clop勒索软件，该团伙对韩国公司和美国学术机构的多次攻击，攻击者加密设备并勒索组织以支付赎金或泄露其被盗数据。

2020年12月，Clop对韩国企业集团和零售巨头E-Land Retail进行了大规模勒索软件攻击，导致50家NC百货公司和NewCore Outlet零售店中有23家暂时关闭。他们后来声称使用销售点恶意软件从该公司窃取了2,000,000张信用卡。最近，Clop利用Accellion安全文件传输网关中的漏洞窃取了公司和大学的机密和私人文件。当1000万美元以上的赎金要求没有支付时，威胁行为者公开发布了许多大学和学院的学生个人信息。

Accellion攻击的目标美国教育机构包括科罗拉多大学、迈阿密大学、斯坦福医学院、马里兰大学巴尔的摩分校(UMB)和加利福尼亚大学。通过执法机构和私人合作伙伴之间的情报共享，“旋风行动”在乌克兰逮捕了6名嫌疑人，搜查了20多间房屋、企业和车辆，没收了计算机和185,000美元的现金资产。

此次行动还得到了私人合作伙伴的协助，包括Trend Micro、CDI、卡巴斯基实验室、Palo Alto Networks、Fortinet和Group-IB。虽然被捕成员与Clop勒索软件团伙有关联，但他们主要参与了犯罪组织的洗钱活动。这家情报公司进一步表示，Clop行动的核心成员可能在俄罗斯。如果罪名成立，六名Clop嫌疑人将面临最高八年的监禁。

乌克兰SSU发布的一段视频显示，调查人员对嫌疑人的财产进行突袭，并没收了证据。

新闻来源：

https://www.bleepingcomputer.com/news/security/operation-cyclone-deals-blow-to-clop-ransomware-operation/

勒索软件组织REvil被多国合作取缔

据报道，多国政府的努力导致臭名昭著的勒索软件组织REvil下线，据称其部分服务器被劫持。据说在2021年早些时候，黑客组织应对了一些备受瞩目的网络攻击，包括6月的JBSMeat攻击和7月的Kaseya攻击。

通过最近的行动，VMWare(VMW.N)网络安全战略负责人Tom Kellermann告诉路透社，美国执法和情报人员阻止了该组织对其他公司的伤害，对黑客组织采取重大破坏性行动。

Nominet的政府网络安全专家史蒂夫·福布斯(Steve Forbes)评论这项合作活动，认为最新发展是对抗全球黑客的重要一步。

福布斯告诉Digital Journal：“在与勒索软件的斗争中，多国打击勒索软件组织REvil的重要性再怎么强调也不为过。随着该组织被迫下线，其部分服务器据称被劫持，最臭名昭著的勒索软件运营商之一——今年早些时候对肉类加工商JBS和软件供应商Kaseya进行了攻击——已经中断。”

新闻来源：

https://www.digitaljournal.com/tech-science/ransomware-group-revil-reportedly-taken-down-by-multi-country-effort/article

因被解雇，员工利用“爬虫”删除公司数据

因被公司解雇心生不满，编写“爬虫”程序植入控制平台网站后，对公司的相关数据代码进行删除，造成公司经济损失10余万元。近日，录某某因涉嫌破坏计算机信息系统罪，被上海市杨浦区检察院提起公诉。

今年3月，录某某应聘到北京某信息技术有限公司杨浦子公司工作，负责某网购平台优惠券、预算等系统的代码研发。同年6月中旬，录某某因工作不符合要求被公司解雇。

于是，录某某利用本人账户还未注销的机会登录公司电脑系统代码控制平台，将自己编写的“爬虫”程序植入上述系统中，造成原先存档在该平台上的优惠券、预算系统和补贴规则等代码被删除。

6月下旬，公司将预算系统上线时，才发现来历不明的“爬虫”程序已植入该系统，造成很多数据和代码被删除。

公司随即组织研发人员对电脑系统进行筛查，发现服务器日志上显示删除时间正是录某某离职当天，且当时录某某正在工位上操作计算机，于是认为录某某有重大作案嫌疑，立即向公安机关报案。

办案检察官认为录某某利用“爬虫”程序删除代码，导致该公司优惠券等商业活动延期发布6天，第三方数据公司恢复数据库花费2.2万余元，支付员工加班费2万余元，活动延期导致经济损失10万余元，应对录某某以破坏计算机信息系统罪追究刑事责任。

新闻来源：

http://news.china.com.cn/2021-11/08/content_77857733.htm

MediaMarkt遭到Hive勒索软件的攻击，勒索赎金为2.4亿美元

电子零售巨头MediaMarkt遭遇了Hive勒索软件，最初的赎金要求为2.4亿美元，导致IT系统关闭，荷兰和德国的商店运营中断。

MediaMarkt是欧洲最大的消费电子产品零售商，在13个国家/地区拥有1,000多家商店。MediaMarkt拥有约53,000名员工，总销售额为208亿欧元。

MediaMarkt在周日晚上至周一早上遭受了勒索软件攻击，加密服务器和工作站并导致IT系统关闭，以防止攻击蔓延。

BleepingComputer了解到，这次攻击影响了整个欧洲的众多零售店，主要是荷兰的零售店。

虽然在线销售继续按预期进行，但收银机无法接受信用卡或受影响商店的打印收据。由于无法查找以前的购买，系统中断也阻止了退货。当地媒体报道称，MediaMarkt内部通信告诉员工避免使用加密系统并断开收银机与网络的连接。

Twitter上发布的涉嫌内部通信的屏幕截图显示，此次攻击影响了3,100台服务器。但是，BleepingComputer目前无法证实这些说法。BleepingComputer已确认HiveRansomware操作是这次攻击的幕后黑手，最初要求获得2.4亿美元的巨额赎金。

Hive勒索软件是2021年6月推出的一项相对较新的操作，它会通过带有恶意软件的网络钓鱼活动破坏组织。一旦他们获得对网络的访问权限，威胁行为者将通过网络横向传播，同时窃取未加密的文件以用于敲诈勒索。当他们获得Windows域控制器的管理员访问权限时，他们会在整个网络中部署勒索软件以加密所有设备。

新闻来源：

https://www.bleepingcomputer.com/news/security/mediamarkt-hit-by-hive-ransomware-initial-240-million-ransom/

美国制裁Chatex加密货币交易所

美国财政部宣布对Chatex加密货币交易所实施制裁，该机构帮助勒索软件团伙逃避制裁并促进赎金交易。财政部还在9月批准了与俄罗斯有关联的Suex加密货币交易所，因为它帮助了至少八个勒索软件组织，其已知交易的40%以上与非法行为者有关。

“Chatex上已知的交易的分析表明，超过一半的被直接追踪到非法的或高风险的活动，如暗网市场，高风险交流，勒索”财政部称。通过制裁为勒索软件团伙提供物质支持的加密货币交易所，美国希望耗尽他们的资金并破坏他们的运营。

财政部补充说：“像Chatex这样无原则的虚拟货币交易对勒索软件活动的盈利能力至关重要，尤其是通过洗钱和为犯罪分子兑现收益。财政部将继续使用所有可用的权力来破坏恶意网络行为者，阻止不义之财，并阻止对美国人民采取更多行动。”

新闻来源：

https://www.bleepingcomputer.com/news/security/us-sanctions-chatex-cryptoexchange-used-by-ransomware-gangs/

欧洲刑警组织宣布逮捕与REvil、GandCrab勒索软件有关的7人

欧洲刑警组织周一宣布，多个国家的执法机构共逮捕了7名涉嫌与REvil和GandCrab勒索软件行动有关的人。

逮捕行动自2月以来一直在进行——三名嫌疑人在韩国被捕，一名在科威特，两名在罗马尼亚，一名在一个未具名的欧洲国家。据信，其中五名嫌疑人参与了利用REvil（又名Sodinokibi）勒索软件的网络攻击，而另外两人则与GandCrab攻击有关。

最近的逮捕行动是在11月4日进行的，他们的目标是位于罗马尼亚和科威特的三人。

在这个未具名的欧洲国家被捕的人可能是上个月在波兰被捕的乌克兰国民Yaroslav Vasinskyi。

据美国有线电视新闻网报道，美国已要求引渡Vasinskyi面临与使用REvil勒索软件有关的指控，包括针对IT公司Kaseya的攻击。预计司法部将于周一宣布对Vasinskyi和俄罗斯国民Yevgeniy Polyanin的指控，后者仍然在逃。

预计司法部还将宣布没收Polyanin收到的600万美元勒索软件付款。

值得注意的是，2019年出现的REvil被描述为GandCrab的继任者。这些勒索软件家族已被用于针对几家大公司的攻击，其运营商要求支付数百万甚至数千万美元的赎金。

最近发生的一系列攻击，包括对Kaseya和Colonial Pipeline的攻击，导致当局加大了打击勒索软件的力度，导致逮捕、网络犯罪分子宣布关闭，以及执法部门中断运营。

新闻来源：

https://www.securityweek.com/europol-announces-arrests-7-people-linked-revil-gandcrab-ransomware

安全漏洞威胁

Babuk勒索软件正在利用ProxyShell漏洞

据Cisco Talos的安全研究人员称，最近观察到的Babuk勒索软件活动针对的是Microsoft Exchange Server中的ProxyShell漏洞。

研究人员发现有迹象表明攻击者正在利用China Chopper web shell进行初始入侵，然后将其用于部署Babuk。

这些问题被追踪为CVE-2021-34473、CVE-2021-34523和CVE-2021-31207，在4月和5月得到解决，技术细节在8月公开。未经身份验证的攻击者可以将错误链接到任意代码执行。

过去几个月来，利用安全错误的攻击一直在持续，思科的研究人员表示，自2021年7月以来一直活跃的Tortilla威胁攻击者已开始针对Exchange Server漏洞进行攻击。

所采用的感染链具有一个中间解包模块，该模块从pastebin.pl（pastebin.com的克隆）下载，然后在解密和执行最终有效负载之前在内存中解码。

Cisco Talos发现针对ProxyShell和PetitPotam漏洞的修改后的EfsPotato漏洞被用于初始入侵。

一旦执行，Babuk勒索软件会尝试禁用受害服务器上的一系列进程，停止备份产品，并删除卷影服务(VSS)快照。接下来，它会加密服务器上的所有文件，并将文件扩展名.babyk附加到这些文件中。上周发布了Babuk的免费解密工具。

然后勒索软件会部署一张赎金票据，要求受害者支付10,000美元的赎金以换取解密密钥。

Babuk最初于2021年1月详细介绍，一直针对企业环境中的Windows和Linux系统，并使用相当复杂的密钥生成机制来防止文件恢复。

新闻来源：

https://www.securityweek.com/babuk-ransomware-seen-exploiting-proxyshell-vulnerabilities