勒索軟體災情哀鴻遍野
勒索軟體的危害未曾消退,隨著攻擊手法不斷變種,加上臺灣受害災情快速擴大,企業可不能掉以輕心
【資安日報】2022年1月20日,臺灣驚傳首宗SIM卡挾持攻擊事件、視訊會議系統Zoom修補無須使用者互動就能觸發的漏洞
歹徒突破臺灣補辦SIM卡的嚴格要求,發起疑似是全臺首例的SIM卡挾持(SIM Swapping)攻擊,研究人員揭露視訊會議系統Zoom的漏洞,且不需使用者互動就能觸發而引起關注
【資安日報】2022年1月18日,數個WordPress外掛驚傳CSRF漏洞,SAP開發平臺重大漏洞恐被用於供應鏈攻擊
WordPress外掛程式再度傳出漏洞,而且還是存在於同一個作者推出的3款外掛裡;此外,SAP甫修補的NetWeaver程式開發平臺重大漏洞,有研究人員發現能被用於供應鏈攻擊
【資安日報】2022年1月17日,俄國攻擊烏克蘭數十個政府網站,又大舉逮捕勒索軟體REvil成員,引起全球關注
俄國疑似企圖阻止美國、歐洲國家力挺烏克蘭加入北大西洋公約組織(NATO),在週末對於70個烏克蘭政府網站發動攻擊,此外,俄國亦於次日逮捕14名勒索軟體組織REvil成員,外界也質疑其動機不單純
俄羅斯逮捕14名REvil駭客
基於Revil對美國多家大型組織發動勒索攻擊影響甚廣,拜登去年呼籲普丁徹查俄羅斯境內勒索軟體組織,如今俄羅斯宣布逮捕到14名參與REvil集團的駭客
【資安週報】2022年1月10日至14日
不只是大家努力修補,而是政府開始要求,並召集各大廠研議對策Log4Shell漏洞的威脅仍在蔓延,其中又以針對VMware Horizon遠端工作平臺的情況特別頻繁;而這個漏洞也再度引起開源軟體安全議題的討論──不只是大家努力修補,而是政府開始要求,並召集各大廠研議對策
【資安日報】2022年1月14日,美國商討Log4Shell開源軟體安全;電子零組件大廠臺灣東電化驚傳員工竊取機密投靠競爭對手
無償的志工維護廣為企業採用的開源軟體,這種現象在Log4Shell漏洞事故再度引起關注,美國最近特別召集IT界要尋求解法;而國內再度傳出前員工危害公司的內部威脅事故,電子零組件大廠臺灣東電化的數名前員工,打算將公司核心技術帶往競爭公司使用
勒索軟體中斷維安系統,美國新墨西哥州某監獄將受刑人全天鎖牢房
新墨西哥州Bernalillo郡的市政系統遭勒索軟體攻擊,連帶影響當地一座看守所的內外網路、自動門鎖及監控攝影機等系統斷線,導致獄方維運大亂
【資安日報】2022年1月12日,微軟發布1月例行修補,修補近百個漏洞、Log4Shell漏洞出現數起攻擊行動
微軟2022年發布第一次的例行修補(Patch Tuesday),修補漏洞的數量為過往1月的2倍之多;此外,Log4Shell漏洞的威脅仍在持續,今日傳出有數起事故
【資安日報】2022年1月11日,網站的URL解析器程式庫驚傳漏洞、數千個應用系統服務中斷,原因是NPM套件作者自毀程式碼
網站的URL解析程式庫各自對於網址的解讀有所不同,而可能被駭客用於攻擊行動;此外,熱門的NPM(Node Package Manager)套件colors、faker遭到竄改,而影響眾多採用的應用系統,原因與大型企業只有使用而沒有投入資源有關
【資安日報】2022年1月10日,Log4Shell再被用於攻擊VMware遠端工作平臺,小心透過Google語音電話挾持帳號的詐騙
鎖定遠端工作平臺VMware Horizon,並針對尚未修補Log4Shell漏洞的伺服器下手的攻擊行動再度傳出;此外,Google提供的網路電話服務Google Voice,也成為歹徒用來挾持用戶帳號的管道,而使得美國聯邦調查局(FBI)特別提出警告