安全周报（06.14-06.20）

1、3D版画图程序出现远程代码执行漏洞,微软已紧急发布更新进行修复

在遭遇勒索软件攻击之后，不少企业因为无法等待数据恢复、想要尽快恢复业务，选择向黑客支付赎金，那么在支付赎金之后是否就意味着不再成为黑客的勒索目标了吗？一份最新报告显示，几乎一半的受害者会再次成为同一黑客的目标。

根据市场调查机构 Censuswide 公布的最新数据，大约 80% 选择支付赎金的组织会遭到第二次攻击，其中 46% 被认为是来自同一个团伙。一家在勒索软件事件后支付了数百万美元的公司，在交出加密货币后的两周内，又被同一黑客攻击了。

即使受害者支付了赎金以重新获得其加密文件的访问权，也经常出现问题。46%的支付者发现一些数据被破坏；51%的人重新获得了访问权，但没有数据损失；3% 的人根本没有拿回他们的数据。

由于越来越多的受害者拒绝支付，赎金软件的平均支付额正在下降。影响这些公司底线的不仅仅是巨额的加密货币支付。被报道的勒索软件攻击会对公众对公司的看法产生负面影响，一些人对公司的安全行为提出质疑。53%的调查参与者表示，他们的品牌在勒索软件披露后受到了不利影响，66%的人表示他们因攻击而损失了收入。

针对韩国多种行业的恶意软件活动被认为是一个名为Andariel的朝鲜国家黑客组织所为。据《黑客新闻》报道，这一进展表明，Lazarus黑客攻击者正在紧跟潮流，扩大他们的武器库。卡巴斯基实验室在一份详细的报告中指出："这次活动中使用Windows命令及其选项的方式与以前的Andariel活动几乎相同"。这次攻击影响了制造业、家庭网络服务、媒体和建筑业。

Andariel是Lazarus黑客组织的成员之一，因对韩国的组织和企业发动攻击而臭名昭著。该组织与Lazarus和Bluenoroff一起，于2019年9月被美国财政部制裁，原因是对重要基础设施进行敌对网络活动。朝鲜据认为是这些黑客活动幕后推手，它试图渗透到韩国和世界各地的金融机构电脑中。同时，它还策划了加密货币盗窃案，试图逃避为阻止其核武器计划发展而实施的经济制裁束缚。

卡巴斯基的发现建立在2021年4月Malwarebytes的一份早期报告之上。基于这些发现，这家网络安全公司记录了一个新的感染链，它分发钓鱼邮件，并在目标系统上投放一个远程访问木马（RAT）。根据最新的调查，新的恶意软件以类似的方式工作。除了安装一个后门外，威胁者还可以将文件加密的赎金软件传送给其中一个受害者，这表明有经济动机。应该指出的是，Andariel过去曾试图通过入侵自动取款机来窃取银行卡数据获取现金或在黑市上出售客户数据。

该勒索软件旨在加密所有文件，但那些带有系统关键扩展名".exe"、".dll"、".sys"、".MSIins"和".drv"的文件除外。正如预期的那样，它要求支付比特币以获得一个解密软件和一个独特的密钥来解锁加密的数据。

韩国原子能研究所(KAERI)是韩国唯一一家致力于核能的研究机构，其目标是通过核技术实现能源自力更生。

在韩国原子能研究所(KAERI)前天举行的声明和新闻发布会上，该研究所正式确认了这次袭击，并为试图掩盖这一事件而道歉。韩国原子能研究所(KAERI)昨天透露，他们的内部网络上个月遭到朝鲜威胁者利用VPN漏洞的攻击。

韩国原子能研究所(KAERI)表示他们已更新未公开的 VPN 设备以修复该漏洞。但是，访问日志显示，有13个不同的未授权IP地址通过VPN获得了对内部网络的访问权限。具体而言，未经授权的访问来自13个外部互联网地址 (IP)。研究人员说：“我们一发现攻击，就采取措施封锁攻击者的IP并更新安全系统。我们目前正在调查具体的破坏情况。”在这种情况下，网络安全专家指出朝鲜黑客组织是罪魁祸首。