「一週安全資訊1024」美國財政部禁止企業支付勒索軟件贖金

宏觀新聞

【手機盜刷黑產事件後續 工信部約談涉事電信企業相關負責人】近日，有輿論報道反映，不法分子偷盜個人手機後，在某政務App竊取用戶個人信息，進而申請網貸消費造成用戶財產損失，引發了網民對手機個人信息保護和財產安全的擔憂。對此，工業和信息化部立即組織核查處理，約談了涉事電信企業相關負責人，要求三家基礎電信企業在服務密碼重置、解掛等涉及用戶身份的敏感環節，在方便用戶辦理業務的同時強化安全防護，加強客服人員風險防範意識培訓，警惕業務異常辦理行為。同時，工業和信息化部也提醒廣大用戶及時設置SIM卡密碼，在丟失手機後應第一時間掛失，強化安全風險意識。

【美國財政部禁止企業支付勒索軟件贖金】近期，美國財政部外國資產控制辦公室（OFAC）發佈諮文警告組織不要向勒索軟件支付贖金，並聲稱此舉存在違反政府對網絡犯罪集團或國家黑客施加的經濟制裁的法律風險。該諮文有可能破壞勒索軟件的變現模式，但同時也使被攻擊的企業、其保險公司和事件響應服務商處境更加艱難。因為不支付贖金，往往意味著勒索軟件攻擊造成的損失更大，而且需要更長的時間才能恢復。而且，“支付贖金犯法”也有可能導致網絡安全保險將不再覆蓋勒索軟件攻擊。

【2020年生物識別設備市場收入暴跌22%】根據ABI Research的最新報告，在新冠病毒大流行之後，2020年全球生物識別設備收入預計將下降22%，降至66億美元。但是整個生物識別市場將在2021年恢復勢頭，到2025年總收入將達到約400億美元。數字安全行業分析師迪米特里斯•帕夫拉基斯（Dimitris Pavlakis）解釋道：“生物識別技術市場目前的下滑，源於政府、商業和技術層面的多方面挑戰。”

安全動態

【美國最大零售連鎖書店Barnes&Noble遭遇黑客攻擊】美國圖書銷售巨頭Barnes＆Noble近日通過電子郵件與客戶聯繫，警告他們其網絡已被黑客破壞，並且攻擊者可能已經訪問了用戶的敏感信息。Barnes＆Noble表示，在受感染的服務器上存儲了個人信息，包括客戶的電子郵件地址、賬單和送貨地址以及電話號碼。此外，Barnes＆Noble會存儲客戶過去交易的詳細信息，顯示過去從零售商那裡購買的書籍和其他產品的歷史。該公司表示，儘管沒有證據表明安全漏洞已經暴露了個人詳細信息，但“目前無法排除這種可能性。”

【2.5Tbs！Google透露曾經受史上最大規模DDoS攻擊】近日，Google在一篇官方博客文章中透露，2017年9月Google的基礎設施曾緩解了迄今為止已知最大規模的DDoS攻擊，流量峰值高達2.5Tbps。在Google爆料之前，業界心有餘悸、記憶猶新的超大規模DDoS攻擊分別2016年Mirai物聯網殭屍攻擊了託管DNS服務Dyn，堵塞了一些世界上最知名的網站，包括Twitter、Spotify、Github、Reddit和AirBnB，攻擊的峰值流速約為623Gbps。2018年，GitHub遭受大規模DDoS攻擊，峰值達到每秒約1.35Tps，但與Google的2.5Tps相形見絀。Google在博客文章中也指出，DDoS攻擊者正在不斷開發破壞系統的新技術。

【勒索軟件集團向慈善機構捐贈20000美金！】2018年，一份令人震驚的報告披露了網絡犯罪分子如何從救助兒童會(Save The Children)慈善機構竊取了100萬美元，但令人出乎意料的是，最近的一起案件中，勒索軟件集團決定從“大魚”那竊取資金，然後捐款：DarkSide勒索軟件集團表示，他們分別向“國際兒童”和“水項目”慈善機構捐贈了0.88 BTC。(約合1萬美元至8000歐元至7000英鎊)。根據黑客通過Tor瀏覽器在其官方網站上發佈的新聞稿，黑客還提供了他們向慈善機構捐款的收據證據。

【美國指控俄羅斯黑客組織參與多項網絡攻擊行動】近日，美國司法部對六名GRU（俄羅斯軍事情報局）74455部門官員發起了起訴，指控他們對平昌冬奧會、2017年法國大選進行黑客攻擊，以及臭名昭著的NotPetya勒索軟件攻擊。起訴書稱，這6人都是俄羅斯主要情報機構GRU的成員，據傳他們同時也是俄羅斯精英黑客組織“沙蟲”(Sandworm)的成員。負責美國國家安全的助理司法部長約翰·C·德默斯(John C. Demers)說，“沒有哪個國家像俄羅斯那樣，惡意或不負責任地將其網絡能力武器化，肆意在全球製造前所未有的破壞，以追求較小的戰術優勢，並滿足一時的惡意心理”

【TikTok宣佈與HackerOne的漏洞賞金計劃，最高單個漏洞14800美金】中國視頻共享社交網絡服務 TikTok 本週通過 HackeOne 平臺推出了一個公共漏洞賞金計劃。TikTok 歡迎白帽黑客提交關於 TikTok 網站的安全缺陷，包括 TikTok 的幾個子域名，以及 Android 和 iOS 的應用程序。TikTok 為漏洞提供 1700 美元至 6900 美元不等的賞金，對於嚴重漏洞最高可支付高達 14800 美元的賞金。“我們鼓勵安全研究人員將精力集中在發現具有較大影響的安全漏洞上。我們的獎勵評價基於每個漏洞的 CVSS（常見漏洞評分標準）的評分。”TikTok 聲稱已經通過漏洞賞金計劃支付了 4 萬美元，所以本次與 HackOne 合作推出漏洞賞金計劃的想法並不是突發奇想。公司遵循漏洞報告政策，同時遵循漏洞協調披露政策，等待期為 90 天，從提交開始計算日期。