Ransom DDoS攻击在今年第一季度有所下降

1、Ransom DDoS攻击在今年第一季度有所下降

根据Cloudflare最近的统计数据，Ransom DDoS（勒索分布式拒绝服务）攻击在今年第一季度大幅下降。在Ransom DDoS攻击过程中，威胁参与者会用大量数据攻击目标公司，从而导致其服务中断。袭击者随后要求对方支付赎金以阻止袭击。

威胁参与者发现，造成停机可能是许多公司为重新投入运营而支付费用的强烈动机，尤其是那些面临重大财务影响风险的组织。需要注意的是，Ransom DDoS攻击是由不同于勒索软件团伙的威胁行为人发起的，他们利用DDoS在文件加密和发布被盗数据的威胁之外，给受害者施加更多压力。

Cloudflare报告称，Ransom DDoS攻击在2022年大幅下降，1月份只有17%的DDoS目标客户报告勒索，2月份只有6%，3月份只有3%。与2021年最后一个季度相比，这比去年同期下降了28%，下降了52%，当时赎金DDoS攻击在上个月飙升至28%。

目前，这种下降的原因尚不清楚。[阅读原文]

2、微软：新的恶意软件使用Windows漏洞来隐藏计划的任务

微软发现了一种新的恶意软件，通过创建和隐藏计划任务在受损的Windows系统上保持持久性。

Hafnium threat group 此前曾将美国国防公司、智库和研究人员作为网络间谍攻击的目标。

它也是国家赞助的组织之一，与微软去年全球范围内利用ProxyLogon零日漏洞攻击所有受支持的Microsoft Exchange版本有关。微软检测与响应团队（DART）表示：“随着微软继续跟踪高优先级的国家赞助的威胁行为者Hafnium，已经发现了利用未修补的零日漏洞作为初始载体的新活动。”

“进一步的调查揭示了使用Impacket工具进行横向移动和执行的forensic artifacts，发现了一个名为Tarrask的防御规避恶意软件，该软件创建了‘隐藏’的计划任务，并随后采取行动删除任务属性，以使计划任务不受传统识别手段的影响。”[阅读原文]

3、严重的 HP Teradici PCoIP 漏洞影响 1500 万个端点

HP警告说，Teradici PCoIP客户端和代理中针对Windows、Linux和macOS的新的关键安全漏洞会影响1500万个端点。这家计算机和软件供应商发现，Teradici受到最近披露的OpenSSL证书解析漏洞的影响，该漏洞在Expat中导致无限拒绝服务循环和多个整数溢出漏洞。

Teradici PCoIP（PC over IP）是一个专有的远程桌面协议，授权给许多虚拟化产品供应商，在2021由惠普收购，并在此后使用它自己的产品。

根据官方网站，Teradici PCoIP产品部署在15000000个端点，支持政府机构、军队、游戏开发公司、广播公司、新闻机构等。[阅读原文]

4、LockBit勒索软件团伙潜伏在美国政府网络中数月

安全研究人员发现，在有效载荷被部署之前，美国一个地区政府机构被LockBit勒索软件入侵，其网络中的威胁行为人至少存在五个月。

从受损机器中检索到的日志显示，有两个威胁集团对其进行了破坏，并参与了侦察和远程访问行动。

攻击者试图通过删除事件日志来删除他们的踪迹，但这些文件的碎片仍然存在，使威胁分析人员得以窥见该行为人及其战术。

最初允许攻击的通道是一种保护功能，该机构的一名技术人员在一次维护操作后禁用了该功能。

据网络安全公司Sophos的研究人员称，该行为人通过配置错误的防火墙上的开放远程桌面（RDP）端口访问网络，然后使用Chrome下载攻击所需的工具。[阅读原文]

5、RaidForums论坛黑客论坛被警方查封，其所有者被捕

主要用于交易和销售被盗数据库的RaidForums黑客论坛在止血带行动期间被关闭，其域名被美国执法部门没收。该行动由欧洲刑警组织协调，涉及多个国家的执法机构。

RaidForum的管理员及其两名同伙已被逮捕，非法市场的基础设施目前处于执法部门的控制之下。

RaidForums的管理者和创始人、葡萄牙的迪奥戈·桑托斯·科埃略（Diogo Santos Coelho），又名全能者，于1月31日在英国被捕，面临刑事指控。自被捕以来，他一直被拘留，等待引渡程序的解决。

美国司法部今天表示，科埃略今年21岁，这意味着他在2015年推出RaidForums时只有14岁。[阅读原文]