鑽石舞台

據報道，因為Elasticsearch數據庫安全防護薄弱的緣故，導致其被黑客盯上，並被黑客用勒索信替換了其數據庫的450個索引，如需恢復則需要支付贖金620美元，而總贖金打起來則達到了279,000美元。威脅行為者還設置了7天付款期限，並威脅在此之後贖金將增加一倍。如果再過一周沒有得到報酬，他們說受害者會丟失索引。而支付了這筆錢的用戶將得到一個下載鏈接，鏈接到他們的數據庫轉儲，據稱這將有助於快速恢復數據結構的原始形式。

該活動是由 Secureworks 的威脅分析師發現的，他們確定了450多個單獨的贖金支付請求。根據Secureworks的說法，威脅行為者使用一種自動腳本來解析未受保護的數據庫，擦除數據，並添加贖金，所以在這次行動中似乎沒有任何人工干預。

而這種勒索活動並不是什麼新鮮事，其實之前已經發生過多起類似的網絡攻擊，而且針對其他數據庫管理系統的攻擊手段也如出一轍。通過支付黑客費用來恢復數據庫內容是不太可能的情況，因為攻擊者其實無法存儲這麼多數據庫的數據。

相反，威脅者只是簡單地刪除不受保護的數據庫中的內容，並給受害者留下一張勒索信。到目前為止，在勒索信中看到的一個比特幣錢包地址已經收到了一筆付款。但是，對於數據所有者來說，如果他們不進行定期備份，那麼遇到這種情況並丟失所有內容就很可能會導致重大的經濟損失。雖然一些數據庫支持在線服務，不過總有業務中斷的風險，其成本可能遠遠高於騙子要求的小額金額。此外，機構不應該排除入侵者竊取數據並以各種方式變賣數據的可能性。

不幸的是，還是有很多數據庫在無任何保護的前提下暴露在公眾視野前，只要這種情況繼續存在，那它們肯定就會被黑客盯上。Group-IB最近的一份報告顯示，2021年網絡上暴露的 Elasticsearch 實例超過10萬個，約占2021年暴露數據庫總數的30%。根據同一份報告，數據庫管理員平均需要170天才能意識到他們犯了配置錯誤，但這種失誤已經給黑客留下了足夠的攻擊時間。

Secureworks強調，任何數據庫都不應該是面向公眾的。此外，如果需要遠程訪問，管理員應為授權用戶設置多因素身份驗證，並將訪問權限僅限於相關個人。如果將這些服務外包給雲提供商的機構，也應確保供應商的安全政策與他們的標準兼容，並確保所有數據得到充分保護。

參考來源

https://www.bleepingcomputer.com/news/security/hundreds-of-elasticsearch-databases-targeted-in-ransom-attacks/

(繼續閱讀...)

鑽石舞台 發表在 痞客邦 留言(0) 人氣()

近日，有觀察人士發現，通訊軟件Telegram的匿名博客平台Telegraph可能正被網絡釣魚者積極利用，他們利用寬鬆的平台政策建立臨時登陸頁，從而盜取用戶的賬戶憑證。

在博客平台Telegraph上，任何人都可以在無需創建賬戶或提供任何身份信息的情況下發布任何內容。雖然這為信息發布者提供了良好的隱私保護，但這也可能將造成非常廣泛的威脅。

由於Telegraph的編輯器支持添加圖片、鏈接，並提供文本格式選項，攻擊者可以輕易地使博文看起來像一個網頁或者登錄表單。通常情況下，Telegraph博文在發布後會生成一個鏈接，而攻擊者可以以任何方式轉發這個鏈接。

網絡釣魚頁面

根據網絡安全公司Inky此前分享的一份報告顯示，網絡釣魚者使用Telegraph創建看似網站登陸頁面或登錄門戶的釣魚網站是一個非常普遍的現象。

從報告中可以看到，從2019年底到2022年5月，釣魚郵件中包含Telegraph鏈接的數量正在急劇上升，其中更是有超90%的統計數據是在2022年內檢測到的。

不幸的是，這些鏈接位於Telegraph平台上，而Telegraph平台沒有被任何電子郵件安全解決方案標記為危險或可疑，因此這些釣魚郵件投遞率非常高。此外，Inky還注意到，在很多情況下，釣魚郵件是通過被劫持的的電子郵件帳戶發送的，如此一來，已知的詐騙地址屏蔽列表也會被繞過。

在大多數有記錄的案例中，研究人員可以輕易地觀察到，網絡釣魚者的目的是進行加密貨幣詐騙或獲取目標的賬戶憑證。與此同時，Inky也發現案例之間存在相當大的差異，這就表明，並非僅有一個特定的威脅群體在利用Telegraph平台，而是許多個人或群體都在做這樣的事情。

下面的案例中，釣魚者仿造了一個OneDrive通知，它會將瀏覽者誘導至一個逼真的微軟登錄頁面，在那裡瀏覽者會被提示輸入他們的帳戶憑證。

在另一個案例中，我們可以看到一條勒索信息，釣魚者威脅收件人如果不支付贖金，他們就會泄露私人文件。支付門戶網站就直接託管在Telegraph上，上面有多種支付方式可供受害者選擇。

如何保護自己

其實，網絡釣魚者也在不斷嘗試新的途徑，以提高他們成功的幾率。他們通常會結合利用竊取的電子郵件帳戶和免費網站，如Telegraph，來達到自己的目的。

因此，用戶不能僅僅因為有了電子郵件的保護措施就盲目信任那些未被過濾的郵件。如果郵件正文中有鏈接，不妨將光標懸停在上面，看看它會重定向到哪裡，然後再單擊。

無論什麼時候，當進入一個要求您帳戶憑證的網站時，在輸入任何內容之前，請務必確認這網站是否就是真正的官方登錄門戶。

最後，永遠記得要保持冷靜，不要急於採取行動。在網絡世界裡，沒有什麼事不能讓您花點時間仔細思考觀察，是否存在潛在的詐騙風險。

參考來源

https://www.bleepingcomputer.com/news/security/telegram-s-blogging-platform-abused-in-phishing-attacks/

(繼續閱讀...)

鑽石舞台 發表在 痞客邦 留言(0) 人氣()

據Bleeping Computer報道，至少有360萬台MySQL服務器已經暴露在互聯網上，這意味着這些服務器已經全部公開且響應查詢。毫無疑問它們將成為黑客和勒索攻擊者最有吸引力的目標。

在這些暴露、可訪問的MySQL服務器中，近230萬台是通過IPv4連接，剩下的130萬多台設備則是通過 IPv6 連接。雖然Web服務和應用程序連接到遠程數據庫是較為常見的操作，但是這些設備應該要進行鎖定，保證只有經過授權的設備才能連接並查詢。

此外，公開的服務器暴露應始終伴隨着嚴格的用戶策略、更改默認訪問端口 (3306)、啟用二進制日誌記錄、密切監視所有查詢並執行加密。

360萬個暴露的MySQL服務器

網絡安全研究組織 Shadowserver Foundation在上周的掃描中發現了360萬台暴露的 MySQL 服務器，它們全部都使用默認的端口——TCP 3306。

對於這一發現，Shadow Server在報告進行了解釋：「雖然我們不檢查可能的訪問級別或特定數據庫的暴露程度，但這種暴露是一個潛在的攻擊面，應該引起企業的警惕並關閉。」

這些暴露的MySQL 服務器廣泛分布於全球，其中分布最多的是在美國，數量超過120萬台，其餘則大多分布在中國、德國、新加坡、荷蘭、波蘭等多個國家。如下圖所示，熱力圖標註了通過IPv4連接的MySQL 服務器的分布情況。

(繼續閱讀...)

鑽石舞台 發表在 痞客邦 留言(0) 人氣()

鑽石舞台 發表在 痞客邦 留言(0) 人氣()

鑽石舞台 發表在 痞客邦 留言(0) 人氣()

本期導讀：

(繼續閱讀...)

鑽石舞台 發表在 痞客邦 留言(0) 人氣()

鑽石舞台 發表在 痞客邦 留言(0) 人氣()

鑽石舞台 發表在 痞客邦 留言(0) 人氣()

茅台冰淇淋

圖片來源：i茅台App

(繼續閱讀...)

鑽石舞台 發表在 痞客邦 留言(0) 人氣()

鑽石舞台 發表在 痞客邦 留言(0) 人氣()