勒索軟體災情哀鴻遍野
勒索軟體的危害未曾消退,隨著攻擊手法不斷變種,加上臺灣受害災情快速擴大,企業可不能掉以輕心
【資安週報】2022年1月3日至7日
Log4Shell漏洞從2021年12月延燒至今,態勢似乎沒有趨緩,美國聯邦貿易委員會(FTC)特別針對此事的公告,點名企業若是因該漏洞造成的資料外洩,將會採取法律行動究責。此外,也有資安業者提醒企業要做好長期抗戰的準備
【資安日報】2022年1月7日,NCC警告小米手機會比對用戶是否使用中國政府封鎖的關鍵字,Java的RMI協定可被用於SSRF攻擊
國家通訊傳播委員會(NCC)針對小米Mi 10T 5G手機發出警告,因為該產品可能過濾令中國政府不悅的詞彙,恐有回傳資料給中國政府之虞;有研究人員針對Java程式語言常用的遠端方法呼叫(RMI)協定提出警告,呼籲IT人員留意相關組態
犯罪集團的虛擬貨幣錢包去年進帳140億美元,創紀錄
2021年加密貨幣非法交易中,有高達半數是來自所謂的「拉地毯」(Rug Pull)詐騙,專案開發者吸引投資者大量買進後,再宣布放棄專案捲款潛逃
【資安日報】2022年1月4日,從網頁複製指令貼上恐被用於攻擊行動、偵測物聯網裝置威脅出現新的方法
從教學網站複製指令並貼上終端機,有可能被攻擊者用來執行惡意指令;而針對物聯網裝置的資安威脅偵測,則是出現透過裝置的電磁波進行檢查的新手法
【資安月報】2021年12月
這個月最重大的資安議題,莫過於震驚全球、且存在許多應用系統的Apache Log4j重大漏洞「Log4Shell」(CVE-2021-44228)
AvosLocker勒索軟體駭到警察,趕緊釋出解密工具
代號Pancak3的研究人員揭露AvosLocker組織在發現攻擊到美國政府單位後,擔心被執法單位追緝,主動向受駭單位提供免費解密
【資安週報】2021年12月27日至30日
在本週的資安新聞裡,使用者的帳密保存議題,隨著RedLine竊密軟體攻擊而再度引起關注;再者,操作科技(OT)系統的漏洞,也是本週資安新聞的焦點
【資安日報】2021年12月30日,加密貨幣交易所因Log4Shell漏洞成勒索軟體受害者、T-Mobile用戶遭到SIM卡挾持攻擊
Log4Shell漏洞再傳出被用於勒索軟體攻擊行動,這次受害組織是越南大型加密貨幣交易所ONUS;而T-Mobile用戶遭到SIM卡挾持(SIM Swapping)攻擊的現象,也值得留意
越南加密貨幣交易平臺Onus雲端系統Log4j漏洞遭開採植入勒索軟體
根據Onus資安合作夥伴CyStack調查,攻擊者在Onus完成修補前,便開採了Onus伺服器上的Log4Shell漏洞,並取得Onus在AWS S3上的用戶資料
【資安日報】2021年12月29日,密碼管理系統LastPass驚傳遭到帳號填充攻擊,音訊設備大廠、美國物流業者雲端配置不當
有LastPass用戶的帳號疑似因帳號填充攻擊而遭駭,但實際原因有待調查;另一方面,企業雲端配置不當而曝露員工或客戶資料的現象,同樣引起關注