安全周报（05.17-05.23）

1、全球最高勒索赎金2.5亿，美国CNA已支付

Conti勒索软件在过去的一年中，袭击了美国至少16个医疗保健和紧急服务机构，影响了超过400个全球组织，其中290个位于美国。

近几年，勒索软件攻击的情况越来越严重，最近的受攻击对象包括了国家和地方政府、医院、警察部门和关键基础设施等。Conti是活跃于这股攻击浪潮中的勒索软件之一，它于2020年7月作为个人的勒索软件即服务（RaaS）开始运营，此外还通过推出数据泄露网站加入了双重勒索的大潮。

根据勒索软件恢复公司Coveware上个月发表的分析报告，Conti是第二大流行的勒索软件，占2021年第一季度所有勒索软件攻击的10.2%。前几日闹得轰轰烈烈的爱尔兰卫生服务执行局（HSE）攻击事件也是其所为。

众所周知，Conti的使用者在利用被破坏的用户凭证部署和执行赎金软件有效载荷之前，会渗透到企业网络中，并利用Cobalt Strike信标横向传播，加密文件的扩展名为".FEEDC"。FBI表示，武器化的恶意电子邮件链接、附件或被盗的远程桌面协议（RDP）凭证是该组织用来在目标网络上获得最初立足点的有利工具。

5月21日消息，Check Point研究人员在分析报告中表示，约1亿用户的隐私数据遭泄露，原因是多个安卓应用中的错误配置，导致这些数据可能成为恶意行为者眼中的“肥肉”。

Check Point在分析报告中说："由于应用程序在配置和集成第三方云服务时没有遵循最佳做法，约1亿用户的个人数据被暴露。”

"这种类型的错误不仅影响用户，还会影响开发人员。错误的配置使用户的个人数据和开发人员的内部资源，如更新机制的访问权、存储等置于风险之中。"

这一发现来自于对官方Google Play商店中23款安卓应用的研究，这些应用的下载量从1万到1000万不等，如Astro Guru、iFax、Logo Maker、Screen Recorder和T'Leva。

据Check Point称，这些问题源包括对实时数据库、推送通知和云存储密钥的错误配置，会导致电子邮件、电话号码、聊天信息、位置、密码、备份、浏览器历史记录和照片泄漏。

研究人员表示，由于数据库没有使用认证屏障保护，他们能够获得安哥拉打车应用T'Leva用户的数据，包括司机和乘客之间的信息交流，以及乘客的全名、电话号码、目的地和接车地点。

近期沸沸扬扬的、针对Colonial Pipeline发起攻击的勒索软件被FBI确认由DarkSide负责。DarkSide运营着勒索软件即服务（Raas），和许多合作伙伴协作进行攻击，共享赎金收益。

DarkSide只是近期勒索软件猖獗的一角，勒索软件已经攻击了很多石油和天然气公司，例如Forbes Energy Services与Gyrodata等。

勒索软件已经变成了全球主要关注的问题，但实际上很多组织并没有采取任何行动进行防护准备。

三重勒索

勒索软件的巨大成功与“双重勒索”的运营方式不无关系。2020年，支付赎金平均增加了171%达到31万美元。

拒绝支付赎金的，勒索软件泄露了超过一千家公司的数据。在新发现的勒索软件中，40%都会将在加密数据的同时进行窃密，即“双重勒索”。

而2021年攻击者对“双重勒索”进行了扩展，升级为“三重勒索”。例如在2020年10月针对Vastaamo的攻击中，芬兰这家拥有超过4万名患者的心理治疗诊所发生了大规模的患者数据泄露。攻击者要求医院提供适当的赎金，令人惊讶的是，攻击者要求患者也提供数额较小的赎金。很多患者都收到了勒索的电子邮件，如果不支付赎金，攻击者声称要公布患者与医师的谈话治疗记录。

REvil也在2021年2月宣布升级“双重勒索”，增加DDoS攻击与向受害人的商业伙伴和媒体的电话轰炸的业务。如果受害者不支付赎金，就会向受害者的商业合作伙伴和媒体记者发起VoIP呼叫，旨在对受害者进一步施压。