Google 發表安全報告，綜合去年在自家雲端平台上部署的不安全實例 (instances) 被入侵數據顯示，黑客最快只需 22 秒，便能在相關 instances 內安裝挖礦軟件，盜用受害者資源搵錢，而且 58% 入侵事件都能做出以上「佳績」，快過你沖杯咖啡！ 現時不少企業都會將工作移至雲端平台，不單可以節省成本，而且亦可以彈性加減所需運算資源。Google Cloud Platform 是其中一個最多人使用的平台，但使用者卻未必有足夠的安全意識，讓黑客可以快速入侵，盜取機密知識產權，或安裝挖礦軟件，免費使用受害者租用的運算資源挖礦加密貨幣。根據 Google 發表的報告顯示，以後者為目標的入侵明顯佔最多，幾乎 86% 因設定出錯而被入侵的 instances 都屬於此類。…

日本最近發現一種 Android 病毒 FakeCop，它被偽裝成日本人常用的防毒軟件，一旦手機用家不慎安裝，FakeCop 就會自動掃描手機內有否安裝其他防毒軟件，並用兼容性問題為借口，要求用家授權刪除。雖然事件發生於日本，但大家都可以引以為鑑。 日本網絡安全研究員 Yusuke Osumi 最新發現，一個不知名的黑客集團正假扮成日本電訊商 KDDI，向客戶發出電郵或 SMS 短訊。訊息的內容是為客戶提供日本最受歡迎防毒軟件供應商 Anshin Security 的免費手機安全軟件，引導用家下載及安裝使用。專家指出黑客除了假扮 KDDI 之外，更設立虛假專頁讓用家誤以為正在瀏覽 Anshin Secuiry 的官方下載專頁，如用家點擊下載，實際上卻下載了一隻變種資訊盜竊病毒…

早前有勒索軟件集團恐嚇受害者，如果報警求助便會立即公開手上的機密資料。不過，美國現正計劃通過一條公開勒索襲擊法例，如受害企業決定交付續金，便必須在 48 小時內向國土安全部 (DHS) 交代相關細節，以便執法機關緝兇及提升安全性。企業不想陷入兩難，還是應盡早提升網絡防禦力！ 勒索軟件在過去兩年瘋狂襲擊美國企業，影響較大的受害者包括美國燃油供應商 Colonial Pipeline、食物供應商 JBS、IT 管理服務供應商 Kaseya，一度令美國拜登政府非常震怒，雖然最終追回大部分贖金及給予勒索軟件集團如 REvil、Darkside 迎頭痛擊，但在多項事件中可見，受害企業都傾向交贖金，換取解密金鑰令業務可以快速重新運作。 雖然 DHS 及 FBI 已多次呼籲受害企業不應交贖金，因為不單會成為勒索軟件集團的營運資金，資助他們提升入侵技術，更會令他們更加猖獗，更加積極攻擊不同企業。不過，美國政府總不能 blame the…

Bleeping Computer 報道，勒索軟件組織 REvil 用於操作勒索軟件的暗網伺服器，在關閉近兩個月後，突然重新啟動，暫時未知該組織是「回歸」，抑或是執法部門正打開該伺服器。 今年 7 月 2 日，開發網路、系統與資訊科技基礎設施託管軟體的Kaseya，其 Kaseya VSA 遠程監控和管理平台被發現遭 REvil 勒索軟件攻擊者攻擊，並針對多個託管服務提供商 (MSP) 及其客戶發起供應鏈攻擊，REvil 利用系統中的零日漏洞，對大約 60 間託管服務提供商…

網絡安全公司 Trend Micro 最新公布的研究指，約一半的公司沒有預防或檢測勒索軟件攻擊的技術，並指出許多機構不具防備勒索軟件攻擊所需要的網絡安全能力，包括未能檢測到網絡釣魚電子郵件、遠程桌面協議 (RDP) 入侵或其他攻擊者在部署勒索軟件活動所用到的常用技術。 該報告警告，許多組織苦於檢測出與勒索軟件及相關攻擊的可疑活動，而這些活動其實是網絡犯罪分子已經破壞他們的網絡的早期證據，企業無法識別跨公司網絡的異常橫向移動，或者無法發現未經授權的用戶，存取公司數據。發動勒索軟件攻擊背後的網絡罪犯，存取數據不只將其加密，更會竊取這些數據，並以發布這些盜取得來的數據作為威脅，迫使受害者支付贖金獲取解密密鑰。 研究亦揭示，企業遭到勒索軟件攻擊後，不到一半能快速恢復過來。即使企業在成為勒索軟件的受害者之後，五分之二的企業，或仍難以有效從中學習，避免再成為勒索軟件攻擊的受害者。研究警告，勒索軟件仍有空間成為更大的問題，如果組織在遇到第一次攻擊時準備不足，當遇到第二次和第三次攻擊，也可能同樣準備不充分。在勒索軟件的運作商業模式被破壞前，將仍然是一眾企業需要防禦的持久威脅。 有關研究對來自美國的中至大型組織的 130 名網絡專業人士進行訪問，建議組織應採取三個網絡安全程序，來防止成為勒索軟件和其他網絡攻擊的受害者，分別是多因素身份驗證 (MFA)、經常修補安全漏洞、離線儲存備份。 其中 MFA 能大大提升防禦，即使網絡犯罪分子確實竊取了密碼，MFA 作為額外的保護，也可以提供有效屏障，雖然網絡釣魚仍可能導致憑據受損，但 MFA 減少了隨之而來的影響。 經常修補安全漏洞則降低網絡犯罪分子，利用已知安全漏洞作為攻擊鏈的部分能力，而離線儲存備份提供毋需向網絡犯罪分子支付獲得解密密鑰，仍可回復數據的方法。 恢復網絡可能是一個漫長而繁瑣的過程，因此避免它的最佳方法，是避免成為勒索軟件攻擊的受害者，但研究亦承認，沒有任何網絡安全策略可完全阻止網絡攻擊，但如果組織有應對網絡攻擊而作準備的策略，能令損害受制和恢復更快。…

加密資料一般被認為可以保護資訊傳遞，但事情有正有反，黑客亦可以為攻擊作加密，潛入針對對象的網絡。加密流量攻擊 (Encrypted Traffic Threat) 並非最多人注意的網絡攻擊技術，正正因為被忽視，企業很容易疏於防範，加密技術已成為企業的潛藏危機。根據調查[1]，近半的網絡攻擊以加密技術作掩護，有 41% 的企業受訪者更表示，對加密技術被用作為攻擊媒介未有深入了解，甚至不知道為何造成莫大損失。 根據 Google Web Traffic 數據[2]，在 2019 年 5 月，94% 的網絡流量已被加密（即HTTPS）[2019 年時，87% 的網絡數據已經被加密，相比 2016…

上星期美國 FBI 及澳洲 AFP 公開 Operation Ironside 行動成果，透過製作一項虛假端對端加密通訊服務及手機 app，吸引來自全球超過 100 個地方的犯罪分子使用，最終拉到 800 個以上罪犯，破獲大量毒品、軍火、偷車。行動大成功，不過唯獨沒有美國國內罪犯落網，難道當地人特別醒？ 先來簡單介紹一下 Operation Ironside 的內容，原來計劃早於 2019 年起動，美國 FBI…

勒索軟件攻擊近期愈見猖獗是一個不爭的事實，並為最具潛在破壞力的流行惡意類型。現時勒索軟件似乎是黑客團隊的謀取暴利的手法，知名的黑客團體如 Maze、Neflim、Clop 和 DarkSide，其中 DarkSide 最近便透過攻擊美國燃料供應，從 Colonial Pipeline 勒索了 440 萬美元。 如果遭勒索軟件攻擊的系統，通常會遭受文件被加密、用戶被鎖定的狀況，黑客會要求受害企業繳交贖金（通常為加密貨幣），以換取解密密鑰。在勒索軟件應用程式最新的發展趨勢，黑客甚至會在攻擊期間繼續竊取資料，並威脅會在暗網發布這些資料或將其出售，逼使受害者繳付贖金。 Cyber​​security Ventures 預測，到 2031 年時，全球因勒索軟件造成的損失或超越 2650 億美元，因為這類網絡罪案發生頻率達到每幾秒鐘就發生一次，令企業和消費者同時遭殃。近期有網絡安全機構，按勒索軟件攻擊的按年同比增長達 30%…

數據外洩威脅急劇上升，保護數據庫變得日漸重要。現時網絡安全界已使用多種技術來保護數據，複雜性也在不斷發展，例如同態加密（Homomorphic encryption）、混入假數據等等，無非都是為了阻止黑客入侵。 最簡單的保護數據庫方法之一，是將數據資料分開儲存。研究人員只可以讀取第一個數據庫，具有完整資料的數據庫就會儲存於其他地方，檢查數據時必須利用演算法去還原完整數據，免除研究人員遺失數據的責任。同態加密是比較複雜的保護數據方案，系統會將敏感資料完全加密，研究人員要調用真實數據時，系統便會進行同態運算，令數據在毋須解密下都可被搜尋。十多年來，IBM 一直在為同態加密技術作出貢獻，例如提供適用於 Linux、iOS 和 MacOS 的工具包，以及安全儲存和處理數據的雲端環境。不過，同態加密還未成熟，因為需要太多運算，拖慢檢索速度，如要在大型數據庫使用便難以負荷。 現時數據保護服務供應商採用的加密方法，主要是加密數據庫內的資料，不過並非全面加密，而是平衡保密與共享原則，只向研究人員透露非私密訊息，減低運算負荷。一般的做法是加密姓名、地址等個人敏感資料，只有獲得演算法密鑰的特定人員可以訪問，其他用戶只可讀取未加密的部分。單向函數密鑰（如 SHA256 hash 算法）是最常用的演算技術，如欠缺這條密鑰，攻擊者便無法逆轉計算出原來的數據。 將假數據混入數據庫也是另一種常用手段，因為隨機噪音（random noise）可令識別個人記錄變得困難。Google最近便將名為 Privacy-on-Beam 的內部工具變成開源技術，用戶可以將噪音混入數據庫，然後才儲存到 Google Cloud 數據庫。不過當噪音資料被混合在數據庫內，有可能令資料準確度出現問題，因此最近微軟亦提供了一個與哈佛大學科學家合作開發的差異私隱（Differential Privacy）工具包，它可被應用於訓練人工智能或分析營銷活動數據，而不被噪音影響準確度。…

黑客出動不需要在「月黑風高的晚上」，日光日白都可以作案，其中勒索軟件攻擊，在疫情之下更見猖狂。在攻勢未有放緩之下，更有新的攻擊趨勢——雙重加密，到底應該要如何提防？ 其實雙重加密並非甚麼新鮮事，也不是第一次被發現，所指的是當兩個不同的勒索軟件攻擊群組，同時針對同一受害者行動，就會出現這種情況。最近，軟件公司 Emsisoft 發現了這種最新趨勢，勒索軟件攻擊群組正在使用多個勒索軟件，來對受害者的數據進行雙重加密。部分受害者收到兩份贖金要求，但有部分受害者在支付了第一筆贖金後，才知道原來受到雙重加密攻擊。 在雙重加密的新趨勢下，恢復數據資料絕對是企業的噩夢；而這個方法對黑客而言，是確保有更高的成功率獲得贖金。另外，使用多種勒索軟件變體亦增加了成功部署攻擊的機會。但更大的問題是，即使繳交贖金後獲得攻擊者所提供的解密器，恢復仍存在挑戰性：遭遇單一加密已有可能面對數據損毁，而在雙重加密的情況下，風險更會增加一倍。其次是解密是一個耗時的過程，而解密工具亦需要手動處理，令事件響應者需在不同的編碼工具中跳轉。 要解決問題，最好是有適當的備份，企業可以選擇從中進行重建，所以保留每個不同時期的備份，對快速從雙重加密勒索軟件攻擊中恢復至關重要，企業亦應就防禦攻擊作策略擬定。 資料來源：https://bit.ly/3yFTDaE