The Good, the Bad and the Ugly in Cybersecurity – Week 34

The Good

在本週，幣安與烏克蘭網路警察一起進行的合作工作有了重大更新。 8月18日，他們聯合發布了新的詳細情形。 通過這項被稱為 “Bulletproof Exchanger”，執法部門能夠追踪並逮捕涉及惡意加密貨幣交易的多名罪犯，他們大約洗劫了 4,200 萬美元的非法資金。

相關人員參與了大量惡意加密貨幣交易，並在網路上的各個黑暗角落宣傳了這項服務。 網路犯罪分子通過掩蓋和混淆交易來直接協助勒索程式團體和其他欺詐者，讓他們可將在黑市上得到的利潤轉化為可用的貨幣。

通過 “Bulletproof Exchanger”，Binance 能夠識別和跟踪 、標示出這些犯罪活動（惡意交易，transation cleaning）的數據和行為。 這項工作也使 Binance 可以建立針對這些參與者及其活動的指標動態數據庫。 用戶特徵，DNS 事件和區塊鏈分析數據之類都已成為功能強大的工具，用於應對這樣的犯罪活動。

這次是 “Bulletproof Exchanger” 努力後的首次勝利。 Binance 表示，他們打算繼續及擴展這個 project，並指出 “洗錢，勒索程式和其他惡意活動作鬥爭對社會的福利，和行業發展至關重要。”  我們SentinelOne，我們不能同意再多，為這持續的努力表示讚賞和支持。

The Bad

本週，CISA（Cybersecurity and Infrasstructure Security Agency）發布了有關北韓支持的遠端木馬程式（RAT）BLINDINGCAN 的更新惡意程式分析報告。 報告 AR20-232A 描述了有關 RAT 的詳細信息，並指出 RAT 被用於瞄準價值高的政府承包商和相關機構，尤其是與國防和能源行業相關的承包商。

這個惡意程式被歸給於北韓支持的國家駭客們，被稱為“Hidden Cobra / Lazarus / APT38” 。 分析報告關注於BLINDINGCAN RAT 相關的 Microsoft Word 惡意文檔和 DLL。 它們在打開時會嘗試連接到外部伺服器並下載其他 payloads。 32 和64 bit 的版本都有。 這些檔案還會啟動鍵盤記錄，並收集基本系統信息。

For the record，這是 CISA 今年發出的第 12 條警報。 當然～SentinelOne Endpoint Protection 能夠預防/檢測與BLINDINGCAN 和 AR20-232A 中指出的相關的惡意行為。

The Ugly

最後～若是與大家分享另一個高價的勒索程式目標，本週是不完整的。不幸的是，這次的重點是狂歡節遊玩路線。 在最近的 SEC 8-k filing中，Carnival 公開了有關攻擊的有限細節。 並聯合與 PLC 的發布勒程式事件新聞稿，其數據幾乎與 SEC 文件中所述的相同。

“On August 15, 2020, Carnival Corporation and Carnival plc (together, the “Company,” “we,” “us,” or “our”) detected a ransomware attack that accessed and encrypted a portion of one brand’s information technology systems. The unauthorized access also included the download of certain of our data files. “

在發現安全事件後， Carnival 立即展開了調查，並通知了執法部門，聘請了法律顧問和其他安全事件專家。 在對該事件進行調查的同時，也已實施了一系列遏制和補救措施，來解決這種情況並增強 information technology 系統的安全性。

有關勒索程式相關的詳細信息，或有關此問題的任何形式的歸因尚未公開。 但這次的攻擊突出了一些有趣的事情。 首先，正如我們所知，積極進取的勒索程式開發者仍非常活躍，並且會在他們認為最有可能獲利和/或破壞的地方瞄準目標。
​
另一個比較鮮為人知的問題是，補救措施成為此類攻擊的巨大障礙。 像 Carnival 這樣的公司結構，與基於在陸地上的公司相比，有很大的不同。 首先必須依靠速度較慢或分段的網路（就像遊輪在海上一樣）會使補救過程大大複雜化。 而當每天只能在有限的時間內連接到船隻的系統時，又要如何處理？ 當網路速度嚴重受限時，將如何進行補救？ 這應該提醒大家，預防才是關鍵的。 尤其是在勒索程式開發者比以往任何時候都更具創新性，進取心和貪心。

原文