内存安全周报第137期 | 跨国科技公司ABB遭受Black Basta勒索软件攻击影响公司业务运营
安芯网盾内存安全周报专栏,希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题,防止外部入侵等威胁、有效的对系统进行安全设计,以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。
一、跨国科技公司ABB遭受黑Basta勒索软件攻击(5.11)
瑞士跨国公司ABB是领先的电气化和自动化技术提供商,遭受了Black Basta勒索软件攻击,据报道影响了业务运营。
详细情况
ABB总部位于瑞士苏黎世,拥有约105,000名员工,2022年的收入为294亿美元。作为其服务的一部分,该公司为制造业和能源供应商开发工业控制系统(ICS)和SCADA系统。该公司与广泛的客户和地方政府合作,包括沃尔沃、日立、DS Smith、纳什维尔市和萨拉戈萨市。
5月7日,该公司成为Black Basta发起的勒索软件攻击的受害者,Black Basta是一个网络犯罪集团,于2022年4月浮出表面。
BleepingComputer从多名员工那里了解到,勒索软件攻击影响了该公司的Windows Active Directory,影响了数百台设备。作为对攻击的回应,ABB终止了与客户的VPN连接,以防止勒索软件传播到其他网络。BleepingComputer独立地从一位知情人士那里证实了这次攻击,该知情人士要求匿名。据报道,这次袭击扰乱了该公司的运营,推迟了项目并影响了工厂。
谁是Black Basta?Black Basta勒索软件团伙于2022年4月启动了勒索软件即服务(RaaS)行动,并迅速开始在双重勒索攻击中积累企业受害者。到2022年6月,Black Basta与QBot恶意软件操作(QakBot)合作,在受感染的设备上投放了Cobalt Strike。然后,Black Basta会利用Cobalt Strike获得公司网络的初始访问权限,并横向传播到其他设备上。
与其他针对企业的勒索软件操作一样,Black Basta创建了一个Linux加密器来攻击运行在Linux服务器上的VMware ESXi虚拟机。
研究人员还将这个勒索软件团伙与FIN7黑客组织Carbanak联系起来。自推出以来,威胁行为者已经对一系列攻击负责,包括对美国牙科协会,索比斯,可耐福和加拿大黄页的攻击。
参考链接
二、微软为恶意软件使用的安全启动0day问题发布了可选修复程序(5.9)
微软发布了安全更新,以解决安全启动0day漏洞,该漏洞被BlackLotus UEFI恶意软件利用,会感染已打过补丁的Windows系统。
详细情况
根据微软安全响应中心的一篇博客文章,这个安全漏洞(被追踪为CVE-2023-24932)被用来绕过CVE-2022-21894发布的补丁,CVE-2022-21894是去年黑莲花攻击中滥用的另一个安全启动漏洞。所有启用了安全启动保护的Windows系统都受到此漏洞的影响,包括内部部署、虚拟机和基于云的设备。
但是,今天发布的CVE-2023-24932安全补丁仅适用于Windows 10、Windows 11和Windows Server支持的版本。
要确定系统上是否启用了安全启动保护,可以在Windows命令提示符下运行msinfo32命令打开系统信息应用程序。如果您在选择“系统摘要”后看到窗口左侧的“安全启动状态打开”消息,则安全启动已被打开。
用于减轻CVE-2023-24932所需的手动步骤
虽然Redmond今天发布的安全更新包含Windows启动管理器修复,但默认情况下它们是禁用的,不会删除BlackLotus攻击中利用的攻击向量。为了保护他们的Windows设备,客户必须经历一个需要多个手动步骤的过程,“在启用此更新之前更新可引导媒体并应用撤销”。
您必须按照此顺序手动执行以下步骤(否则系统将不再启动):
1.在所有受影响的系统上安装2023年5月9日的更新。
2.使用2023年5月9日或之后发布的Windows更新更新您的可引导媒体。如果您没有创建自己的媒体,则需要从Microsoft或您的设备制造商(OEM)处获取更新的官方媒体。
3.应用撤销以防止CVE-2023-24932中的漏洞。
微软也采取了分阶段的方法来执行解决此安全漏洞的保护措施,以减少由于启用CVE-2023-24932保护而对客户的影响。
推出时间表包括三个阶段:
·2023年5月9日:CVE-2023-24932的初始修复程序发布。在此版本中,此修复需要2023年5月9日的Windows安全更新和其他客户操作来全面实施保护。
·2023年7月11日:第二个版本将提供额外的更新选项,以简化保护的部署。
·2024年第一季度:此最终版本将默认启用CVE-2023-24932的修复,并在所有Windows设备上强制启动管理器撤销。
微软还警告客户,一旦完全部署了CVE-2023-24932缓解措施,就无法恢复更改。一旦在设备上启用了这个问题的缓解措施,意味着撤销已经被应用,如果你继续在该设备上使用安全启动,它就无法恢复。如果撤销已经被应用,即使重新格式化磁盘也不能删除撤销。
