执法部门再次查封Lockbit组织网站；Reality Defender夺得2024 RSAC创新沙盒大赛冠军 | 网安牛览

点击蓝字·关注我们 / aqniu

新闻速览

ㆍ执法部门再次查封Lockbit组织网站

ㆍ俄罗斯一名涉嫌网络犯罪嫌疑人在美国认罪

ㆍ威胁检测和响应能力不足制约了传统MDR服务的应用满意度

ㆍ量子计算严重挑战未知环境下的数据弹性

ㆍ欧盟国家谴责APT28网络间谍活动

ㆍ攻击者利用Android Bug切换VPN服务器来窃取DNS流量

ㆍBlackbasta勒索攻击团伙声称对Synlab Italia袭击事件负责

ㆍNoName发起大规模DDoS攻击，摩尔多瓦和意大利成为主要攻击目标

ㆍReality Defender夺得2024 RSAC创新沙盒大赛冠军

ㆍAWS将使用CrowdStrike安全产品保护其云环境

ㆍ闪捷信息发布大数据加密与密态流转解决方案

ㆍ奇安信中标某大型国有银行零信任安全访问项目

ㆍVerizon 发布《2024年数据泄露调查报告》

热点观察

执法部门再次查封Lockbit组织网站

近日，执法部门再次查封了Lockbit勒索软件团伙的Tor网站，并宣布将在特定日期公布更多团伙成员的身份。此前，Lockbit团伙在2月份遭到了代号为"Cronos行动"的国际执法行动的打击，导致两名成员被捕并被查封了数百个加密货币钱包。英国国家犯罪局（NCA）接管了Lockbit的中央管理环境和泄露网站，并获得了该团伙的源代码和大量运营信息。然而，Lockbit团伙不久后就声称恢复了运作，并威胁对政府部门发起网络攻击。在本次打击中，执法部门计划在指定日期公布更多团伙成员的身份，并已为受害者提供超过1,000个解密密钥来帮助恢复被加密的数据。

https://securityaffairs.com/162778/cyber-crime/law-enforcement-seized-lockbit-site-again.html

俄罗斯一名涉嫌网络犯罪嫌疑人在美国认罪

据路透社消息，一名俄罗斯籍网络犯罪嫌疑人亚历山大·文尼克（Alexander Vinnik）被捕已经四年，最新消息显示，他已部分认罪。据其律师阿尔卡迪·布赫（Arkady Bukh）透露，文尼克已经就一部分指控认罪，并达成认罪协议。该协议预计将使文尼克的监禁期不超过10年，而他原本面临终身监禁的可能性。

文尼克被控通过比特币洗钱超过40亿美元，他于2017年在希腊被捕，后被引渡至法国，在那里被判处五年监禁。随后，他被送回希腊，并于2022年被引渡至美国。美国司法部指控文尼克拥有、运营并管理网络犯罪和在线洗钱机构BTC-e。根据美国司法部的规定，文尼克面临的美国指控最高可判处55年监禁。

https://www.reuters.com/world/europe/russian-suspected-cybercrime-kingpin-pleads-guilty-us-tass-reports-2024-05-04/

威胁检测和响应能力不足制约了传统MDR服务的应用满意度

日前，一项由Radiant Security进行的最新研究显示，IT安全专业人员对现有的托管检测和响应（MDR）工具普遍不满意。调查结果显示，60%的受访者正在考虑采用基于人工智能的解决方案来替代当前的MDR工具。这项研究调查了美国的300名IT安全专家，他们认为当前的MDR服务无法应对人工智能驱动的复杂威胁。调查还发现，44%的受访者处理单个网络安全事件需要一个月以上的时间，而部署时间也成为他们关注的问题。研究表明，人工智能能够填补MDR工具在特定环境理解和支持不足方面的缺陷，并能够自动化和简化大量的常规任务，为安全运营中心提供更高效的解决方案。这一研究结果表明，向人工智能增强的安全运营转变可能成为组织加强网络安全防御的重要策略。

https://www.cybersecurity-insiders.com/ai-could-transform-detection-and-response-as-legacy-mdrs-lack/

量子计算严重挑战未知环境下的数据弹性

近年来，量子计算市场的迅猛发展引发了对数据安全的担忧。现有的公钥加密算法可能难以抵御量子计算的攻击，因此需要加强密码协议以应对潜在风险。量子计算的快速处理能力可能缩短破解公钥加密的时间窗口，给政府、医疗保健和教育等关键基础设施带来实质性威胁。然而，量子技术也为数据安全带来机遇，量子机器学习等技术可以有效检测和抵御网络威胁。为了应对量子计算的威胁，公司需要评估其网络安全基础设施的脆弱性，并考虑使用替代方法如令牌化来保护数据。由于量子计算的不断发展，长期有效的加密方法可能变得难以维护，因此安全团队应定期评估和更换加密方法。尽管量子计算的影响仍存在不确定性，但公司应该优先投资于数据安全，以应对新兴威胁。

https://www.cybersecurity-insiders.com/the-quantum-security-challenge-data-resilience-around-the-unknown/

欧盟国家谴责APT28网络间谍活动

近日，包括德国、法国、捷克在内的多个欧盟国家谴责APT28黑客组织（又称“Forest Blizzard”、“Fancybear”或“Strontium”）针对欧洲国家进行网络间谍活动。其发布的声明中表示：“在相当长的一段时间里，网络犯罪组织APT28利用微软Outlook中的关键漏洞侵入了欧盟多个政府机构的电子邮件系统。”

APT28组织长期以来一直活跃，并被认为是与某国政府机构有密切联系。声明表示，APT28攻击行动违反了国际网络规范。该组织从2022年4月开始利用CVE-2023-23397的零日漏洞攻击欧洲实体。该漏洞是微软Outlook的欺骗性漏洞，可能导致绕过身份验证。2023年12月，Palo Alto Networks的Unit 42研究人员报告称，APT28组织利用该漏洞对欧洲北约成员国发起了攻击。专家们指出，在过去的20个月里，这个APT组织针对了至少14个国家的30个组织。

法国国家信息系统安全局（ANSSI）ANSSI也确认了该组织在法国的活动，并指出APT28采用了多种攻击技术，包括利用搜索零日漏洞、入侵路由器和个人电子邮箱账户，以及使用开源工具和在线服务。

https://securityaffairs.com/162759/apt/nato-eu-condemned-apt28-espionage.html

网络攻击

攻击者利用Android Bug切换VPN服务器来窃取DNS流量

日前，安卓操作系统被发现存在一个严重安全隐患，当用户在切换VPN服务器时，DNS流量可能会泄露，从而使用户的上网活动暴露给网络犯罪分子。这一漏洞影响多个安卓版本，包括最新的安卓14。Mullvad VPN通过内部调查证实了这一问题，并计划在安卓操作系统解决该问题之前，通过在其应用程序中设置虚假DNS服务器的临时解决方案来防止DNS泄露。安卓用户被建议保持警惕，确保VPN应用程序更新并正确配置，关注VPN服务提供商关于此问题的更新，并了解如何应对潜在的安全漏洞。谷歌公司尚未对此做出回应，但预计将会很快发布安卓操作系统的更新版本，以解决该漏洞并防止未来的隐私泄露。

https://cybersecuritynews.com/android-bug-leaks-dns-traffic/

Blackbasta勒索攻击团伙声称对Synlab Italia袭击事件负责

日前， Blackbasta勒索软件团伙声称对医学诊断服务商Synlab Italia发动了一次严重的勒索软件攻击，导致其计算机和电话系统暂时中断访问。该公司最初声称这是由于技术问题引起的，但随后发布的声明揭示了更加严峻的情况。Synlab Italia发布了一份声明，通知客户公司正在遭受持续的攻击，并出于预防目的停用了意大利所有计算机系统。公司还宣布暂时停止意大利所有采样点、医疗中心和实验室的活动，并未确定何时可以恢复运营。

研究人员从Ransomfeed.it平台上获取的信息显示， Blackbasta声称对此次攻击负责。该团伙声称窃取了1.5TB的数据，包括公司数据、员工个人文件、客户个人数据和医学分析等，并发布了护照、身份证和医学分析的图片作为数据泄露的证据。

Blackbasta声称将于2024年5月11日公布窃取的数据。该团伙自2022年4月开始活动，采用双重勒索攻击模式。此外，有研究人员发现Blackbasta与金融动机的黑客团伙FIN7有关联。这次攻击对Synlab Italia的运营造成了严重影响，公司正在与外部专家合作，以遏制攻击并恢复运营。然而，公司尚未透露是否存在数据泄露的问题。

https://securityaffairs.com/162741/security/blackbasta-gang-claimed-responsibility-for-synlab-italia-attack.html

NoName发起大规模DDoS攻击，摩尔多瓦和意大利成为主要攻击目标

近日，黑客组织NoName再次发动了一场大规模的DDoS攻击活动，持续两天，目标为摩尔多瓦和意大利地区的企业组织。这次攻击中，黑客们针对被攻击网站发布了嘲笑性的声明，加剧了攻击的恶意性质。NoName一直致力于推动国家背景下的政治和意识形态目标，其攻击行动备受全球关注。这次攻击对摩尔多瓦造成了严重影响，该国政府在应对NoName的攻击上面临巨大困难，并成为摩尔多瓦媒体广泛讨论的话题。NoName的攻击目标包括摩尔多瓦的内务部、外务部以及国家注册局，还有意大利的塔兰托港务局等重要机构。

NoName的攻击方式通常较为温和，采用有针对性的DDoS机器人洪水攻击，利用其特制的DDOSIA工具发起大量访问请求，导致目标网站无法正常运行，使主要服务无法访问。此外，NoName还运用威胁、数据泄露、敲诈勒索和信息战等多种手段传递其信息。

https://www.privacyaffairs.com/noname-gets-busy-with-moldova-and-italy/

产业动态

Reality Defender夺得2024 RSAC创新沙盒大赛冠军

日前，第19届RSA Conference Innovation Sandbox创新沙盒大赛顺利结束。在激烈的竞争中，Reality Defender公司成功击败其他参赛者，荣获本届冠军。据悉，Reality Defender是一家专注于深度伪造内容检测的公司，为企业和政府提供强大的解决方案。他们采用多模型方法，开发了一套深度伪造检测平台和API，具备识别人工智能生成的欺诈、虚假信息和有害内容的能力。该平台能够实时监测和识别各种深度伪造媒体，为用户提供强大的抵御能力。Reality Defender的愿景是成为所有人工智能生成欺诈的检测标准。

https://www.rsaconference.com/usa

AWS将使用CrowdStrike安全产品保护其云环境

日前，亚马逊（AWS）公司表示计划使用CrowdStrike Falcon平台取代多种安全产品，以进一步加强其云环境中的应用程序和数据的安全性。AWS与CrowdStrike扩大了他们的战略合作伙伴关系，双方将相互消费对方的产品以保护和推动业务。这一举措将帮助AWS简化和增强其本地安全性，并将CrowdStrike的云安全产品与AWS的AI和机器学习服务相结合，加速AI项目的推进。AWS将使用CrowdStrike的Falcon Cloud Security来保护云基础架构，采用Falcon Next-Gen SIEM来保护大数据日志记录，并部署身份威胁检测和响应来预防身份攻击。这次合作对CrowdStrike来说尤为重要，将进一步推动他们的安全产品线的发展和创新。

https://www.techtarget.com/searchsecurity/opinion/AWS-to-protect-its-cloud-using-CrowdStrike-security-products

闪捷信息发布大数据加密与密态流转解决方案

日前，闪捷信息研发推出基于大数据的加密与共享一体化解决方案，并在多个省市大数据局进行商用试点。

方案适用于政务云、私有云、公有云等云计算场景下的大数据的安全防护，全密文存储、流转、共享，实现敏感数据的终极防护。具有如下主要功能：

▷一列一密、字段加密：字段级加密，而非文件加密，每列可使用不同密钥。

▷密文存储、流转加密：对原始数据采用国密算法加密，无明文副本，密文态流转。

▷二次授权、安全升级：对于共享库，可实现第二次授权管理，无权限用户返回密文数据，安全能力再次提升。

▷实时解密、共享无忧：应用免改造即可使用，只会对查询到的密文数据进行解密，不会全表解密。

▷性能强劲、按需扩容：分布式计算，通过动态扩容提升加解密性能。

▷分类分级、智能加密：基于分类分级数据实现L3/L4级别数据自动识别和加密。

▷ 密文查询、应用无感：支持基于密文的模糊查询，应用系统无需做任何改动即可实现该能力。

https://mp.weixin.qq.com/s/ZBU5KqzwEeSKuDjC6UGfRA

奇安信中标某大型国有银行零信任安全访问项目

近日，奇安信集团中标某大型国有银行全行零信任安全访问项目。根据合作内容，奇安信将为客户提供整体的零信任产品体系，以构建动态的、实时的业务安全访问体系。奇安信零信任相关负责人表示，通过项目的落地，持续推动该国有银行网络安全架构的变革，为该银行数字化转型深入发展提供有力支撑。同时，该项目是奇安信零信任产品在国有大行的又一次新突破，为之后行业更多市场机会拓展打下坚实基础，具有标杆示范效应和重大意义。

https://mp.weixin.qq.com/s/3m0OOvEmnUQ4fmzfc5yzPA

研究报告

Verizon 发布《 2024 年数据泄露调查报告》

日前，Verizon公司发布了《2024年数据泄露调查报告》（DBIR），强调了动作和攻击向量之间相互作用的重要性，这为数据泄露提供了初始途径。这份100页的报告是第17版年度Verizon DBIR报告，涵盖了2022年11月1日至2023年10月31日期间的网络安全事件和数据泄露。报告分析了来自94个国家的近30,500起安全事件和创纪录的10,626起确认的数据泄露案例，提供了全球威胁态势的全面视角，并与以往年度的报告相比有一些分析方法上的变化。

《2024年数据泄露调查报告》的关键发现包括：

1、2023年初始访问的漏洞利用增加了近两倍

2、人为错误仍然是大部分泄露事件的因素，用户点击钓鱼邮件仅需数秒

3、零日漏洞利用持续增加

4、加密货币行业成为攻击的主要目标

5、供应链攻击仍然是持续威胁

https://www.scmagazine.com/news/verizons-2024-data-breach-investigations-report-5-key-takeaways

合作电话：18311333376

合作微信：aqniu001