雖然未必每個人都會去「甜相」網站，不過這次由 Cyble 專家發現的網絡攻擊，就借助了 Microsoft Windows 一種下載檔案時的慣常做法，令用家以為只是下載一張無傷大雅的圖檔，結果卻誤裝勒索軟件，而且被加工的檔案幾乎無法還原，就算無交贖金，受害者都一樣頭痛。 圖檔本身其實都有一定危險程度，例如小編以往就曾報道有信用卡資料盜竊集團 Magecart，將 card skimmer 惡意程式碼隱藏在網站圖標 favicon 內，只要有網站用來裝飾，日後網站的客戶如使用信用卡購物，所有資料都會落入黑客集團手上。而這次由網絡安全公司捕獲的攻擊中，專家發現黑客瞄準這些安全意識較差的網民，利用色情相片引誘對方上當授權下載惡意軟件。 專家解釋，黑客集團首先設立一個色情相片網站，再於不同社交渠道宣傳吸引網民瀏覽。當 Windows 用家一進入網站，瀏覽器便會彈出一個授權下載的提示，專家說 Windows 會預設隱藏延伸檔案名稱，所以黑客便將惡意軟件執行檔命名為 SexyPhotos.JPG.exe，讓Windows下載提示只顯示 .exe…

1999 年開網的虛擬寵物網站 Neopets 尼奧寵物，是不少 90 後的童年回憶，每天需要餵飼，以免虛擬寵物陷入「快要餓死了」的狀態。近日 Neopets 爆出數據洩露事故，導致 source code 和儲有超過 6,900 萬會員的個人資料的數據庫被盜。 Neopets 多年來深受小朋友歡迎，會員可以在該網站上擁有、養育自己的虛擬寵物，並和他們一起玩遊戲。最近 Neopets 更跟上大勢推出 NFT，作線上 Metaverse 遊戲的一部分。…

DDoS 是繼勒索軟件後另一令企業頭痛的網絡攻擊，而在上星期內容傳遞網絡服務供應商 Cloudflare 便發表報告，指在剛過去的六月，一款新的 DDoS 惡意軟件 Mantis 共向其一千過客戶發動攻擊，每秒鐘 HTTP 訪問請求的峰值更高達 2600 萬次，刷新相關 DDoS 攻擊的新紀錄！ 分散式阻斷服務 (DDoS, Distributed Denial of Service)…

當企業開始適應勒索軟件集團的慣用脅逼手法，對手又再變招，其中兩個集團開始在自己的外洩資料網站上新增搜尋器，讓有可能受該企業數據外洩影響的員工及客戶，搜尋自己有否在清單上。新招務求令受影響人士起訴中招企業，變相逼受害企業支付贖金刪除數據，息事寧人。 勒索軟件最令企業頭痛的地方，是他們的脅逼手段層出不窮。以往集團只會要求受害企業支付為數據及電腦設備解鎖的贖金，後來企業做好備份及回復工作，令支付贖金的比率大幅下跌，勒索集團於是變招，在加密數據前將企業的機密資料偷走，以將資料曝光作雙重勒索，企業為怕聲譽受損，傾向以錢解決問題。其後部分受害企業又開始變得不願支付贖金，勒索軟件集團唯有不停變招，例如致電受害企業的合作夥伴，通知對方被連累的消息，又或直接將部分外洩資料上存自家建立的數據外洩網站，吸引傳媒報導等，務求將事件小事化大，不過隨著不少企業習慣了同類事故頻生，了解到風波很快過去，又變得不願付款。 就在上月中，網絡安全公司 Emsisoft 發現勒索軟件集團 AlphV 在互聯網上設立了一個數據外洩網站，它的特點是設有搜尋器，聲稱可供懷疑受企業數據外洩事件影響的員工及客戶，搜尋自己是否榜上有名，以增加外洩事件的透明度，不會輕易讓受害企業隱瞞事件。由於這新招的確可讓受影響的人知道實際狀況，不用等受害企業通知，因此專家認為涉事者有可能會控告受害企業因疏忽連累自己，令受害企業的損失更難以估計，逼使對方乖乖支付刪除資料的贖金。同一時間，AlphV 更聲稱此舉有助其他犯罪集團更易找到心目中所需的企業帳戶登入資料，而且可按需要及目標行業搜尋及購買，增加集團收入來源。 一石擊起千重浪，繼 AlphV 後，再有其他勒索軟件集團參照相關做法，例如惡名昭彰的 LockBit 亦倣效設立搜尋網站，另外還有一個只以外洩數據進行勒索的集團 Karakurt 開始加入搜尋功能，但現階段卻未能正常運作。專家估計將有愈來愈多勒索軟件集團或犯罪集團引入這種新的勒索手法，呼籲企業不應再心存僥倖或坐視不理，是時候提升網絡安全防禦能力。 資料來源：https://bit.ly/3P7lJn4 相關文章：【病毒變變變】勒索軟件都資源重用？ 企業自保有方https://www.wepro180.com/recycle220712/

Zero Trust 零信任的安全策略，近年已廣泛被企業組織應用，但仍有不少企業並未看到該網絡安排策略的作用；Gartner 的預測就指，圍繞勒索軟件組織的法例規管將會擴大，而企業的在營運上遇到的攻擊，更可能會觸發更多在現實生活上後果。Gartner 呼籲，企業領導者應該將以下網絡安全策略，納入未來兩年的規劃中。 Gartner 高級總監分析師 Richard Addiscott 提醒，企業組織不能以舊有習慣，去試圖以過去的模式處理所有攻擊；大多數安全和風險的主管都意識到這些攻擊會引起更大危機。雖然企業無法控制危機的出現，但可以演化網絡安全上的思維、理念、計劃和架構。 1. 消費者隱私權將得到擴展 私隱相關的法規範圍繼續擴大，技術分析師預測，法例將擴大至覆蓋全球 50 億人，佔全球 GDP 的 70% 以上。並表示組織應追蹤權利請求指標，包括每個請求的成本和完成時間，以識別低效率的事項，並證明加速自動化的合理性。 2.…

QNAP 的 NAS 設備又遭到勒索軟件攻擊，犯案集團 Ech0raix 早於 2019 年已鎖定 QNAP 設備，只不過這次又被發現新的攻擊樣本。據指 QNAP 在 2022 年已四度被勒索軟件攻擊，會否對商譽造成重大打擊？ 針對 QNAP NAS 發動的勒索軟件攻擊可謂一浪接一浪，去年 12 月勒索軟件…

勒索軟件攻擊毫無疑問是最常見的網絡攻擊之一，一般來說不法分子會將數據加密，並要求受害人如要獲得解密密鑰，必須支付贖金，他們還會竊取數據，並威脅在未收到贖款時將之公諸於世，甚至還會發動雙重勒索攻擊。任何被盜的數據都可能對勒索軟件團體有用，但根據網絡安全公司 Rapid7 的研究人員對 161 宗已披露的勒索軟件事件作分析，當中某些數據被認為比其他數據更有價值，究竟是哪些呢？ 根據 Rapid7 報告，金融服務行業是最有可能暴露客戶數據的行業，82% 的事件涉及勒索軟件團體存取數據，並威脅要公開這些數據，因為不法分子深知金融機構最重視的是聲譽，竊取和發布敏感的客戶資料會嚴重破壞消費者對他們的信任。因此有些商業機構的主管可能認為支付贖金，是避免數據洩露事故進一步受損害。 在針對金融服務公司的勒索軟件攻擊中，洩露最多的檔案是員工個人身份資料 (Personally Identifiable Information, PII) 和與人力資源相關的數據，佔受害者的 59%。透過針對這些資料，攻擊者可能會破壞員工對其僱主的信任，特別是如果他們認為其個人資料最終會被網絡犯罪分子公開發布及存取，並被用於欺詐和其他網絡罪案。 另一個常發現自己成為勒索軟件團體目標的行業是醫療及製藥業。他們的內部財務和會計數據是勒索軟件攻擊中最常洩露的數據，佔 71% 事件。客戶和病人的資料也經常因勒索軟件攻擊中被洩露，研究人員估算佔 58%…

不少企業也會採用 Elasticsearch 分散式搜尋及分析引擎，不過在管理時往往因設定錯誤，令資料庫在毫無保護下面向互聯網。Secureworks Counter Threat Unit 研究員上星期便發現有黑客至少向 1,200 個資料庫發動攻擊，鑑於數據量龐大，研究員認為就算交贖金，受害者亦不太可能取向原始數據…… 資料庫發生數據外洩的情況經常發生，早前有一份調查報告便指出，2021 年共有 308,000 個資料庫發生外洩事故，而當中約 30% 均屬於 Elasticsearch 資料庫。報告同時顯示，系統管理員平均需要 170 日才能發現在設定上出現問題，導致資料庫有很長時間在不安全狀態下面向互聯網，非常容易造成數據外洩。 Secureworks…

勒索集團 LAPSUS$ 在今年初開始，多次成功入侵科技巨企如 Nvidia、Microsoft、Samsung，並於網上公開受害企業的領先科技，雖然部分集團成員被捕，但在這一系列事件中，的確曝露出大企業在網絡安全上意想不到的脆弱性，到底有什麼反面教材可成為參考？ LAPSUS$ 雖然同樣以勒索受害企業謀利，但集團與其他勒索軟件有明顯分別，因為它專注於竊取科技企業的機密資料，並不熱衷於加密對方的電腦設備或數據，只會要求對方交付贖金，換取機密資料不被公開。由今年初開始，多間科技企業相繼被 LAPSUS$ 攻陷，當中包括 Microsoft 部分應用服務如搜尋引擎 Bing、Bing Maps 及智能個人助理 Cortana、Nvidia 的 LiteHash Rate （LHR）及 DLSS 技術、Samsung…

勒索軟件攻擊持續威脅企業網絡安全，有研究指出，今年首三個月所回報的勒索軟件攻擊事故中，有超過一半是兩個網絡犯罪組織所為。究竟是哪兩個組織作惡多端？ 根據 Digital Shadows 的網絡安全研究人員於 2022 年 1 月至 2022 年 3 月期間，所記錄的勒索軟件攻擊的分析，LockBit 2.0 和 Conti 是這段期間內最活躍的兩個勒索軟件組織，他們所策動的攻擊佔全部事故的 58%。而在這兩者中，LockBit 是更極「多產」，佔勒索軟件攻擊的 38%，幾乎是…