网络犯罪分子不再只是攻击大型目标。
他们正在追踪每个人,并且使用窃取信息的恶意软件。这些功能强大且极其隐蔽的木马后门程序正在悄悄地从手机电脑等日常电子设备中窃取密码、浏览器数据和登录凭证。
一份新报告显示了当前网络安全问题已经变得多么失控,信息窃取活动在短短一年内激增了500%,窃取了超过17亿个新凭证。
盗窃登录凭证已经规模化发展 2024年,Fortinet的网络安全研究人员发现,暗网上被盗登录凭证数据的交易数量激增。超过17亿个登录凭证并非来自以往的入侵,而是通过对用户设备上的主动感染获取的。
此次数据被盗的核心是一类名为“信息窃取程序”的恶意软件,这些恶意木马后门程序专门用于窃取用户名、密码、浏览器Cookie、电子邮件登录信息、加密钱包和会话令牌等敏感信息。与针对拥有集中式数据库厂商的大规模数据泄露不同,信息窃取程序在单个计算机上运行。它们不会入侵公司的内部网络及服务器,而是入侵终端用户,而且受害者通常毫不知情。
这些日志随后被初始访问代理(中介机构)汇总并在暗网里出售,这些中介机构将泄露的凭证和访问令牌出售给其他网络犯罪集团,包括勒索软件运营商。地下市场已经成熟,可以大规模购买企业VPN、管理仪表板甚至个人银行账户的访问权限,这些访问权限具有经过验证的功能和特定地区的定价。
Fortinet的《2025年全球威胁态势报告》指出,过去一年,信息窃取程序感染的凭证日志数量增加了500%。报告中指出,传播范围最广、危害最大的信息窃取程序包括RedLine、Vidar和Raccoon,“暗网下/AWX”曾报道,2021年的这些恶意软件已经大肆流行被网络犯罪分子使用。
信息窃取软件的传染方式 信息窃取程序通常通过钓鱼邮件、恶意浏览器扩展程序、伪造的软件安装程序或破解的应用程序进行传播。一旦安装在设备上,它们就会扫描浏览器数据库、自动填充记录、已保存的密码和本地文件,查找任何与凭证相关的数据。许多程序还会查找数字钱包的助记词与密钥、FTP登录凭证和云服务登录信息。
至关重要的是,许多信息窃取者还会窃取会话令牌和身份验证Cookie,这意味着即使是依赖多因素身份验证的用户也并非完全安全。利用窃取的会话令牌,攻击者可以完全绕过多因素身份验证,无需手动登录即可控制会话。
数据收集完成后,会被上传到命令与控制(CC)服务器。在那里,这些数据要么被攻击者直接使用,要么被打包成日志数据在暗网论坛上出售。这些日志数据可能包含受害者的IP地址、地理位置、浏览器指纹和完整凭证列表等所有内容,为攻击者提供进一步利用或冒充攻击所需的一切。
防范信息窃取恶意软件的5种方法 随着信息窃取恶意软件的威胁日益加剧,保护用户的数据需要结合明智的安全习惯和可靠的安全工具。以下五种有效方法可以保障用户的信息安全。
1、使用密码管理器:许多信息窃取者会将目标锁定在网络浏览器中保存的密码上。与其依赖浏览器存储凭证,不如使用专用的密码管理器。许多密码管理器内置了数据泄露扫描程序,可以检查用户的信息是否在已知的泄露事件中被泄露。
2、启用双重身份验证(2FA):即使用户的凭证被盗,双重身份验证也能通过要求第二种验证方式(例如身份验证应用程序的代码或生物识别确认)来增加额外的安全保障。网络犯罪分子依靠窃取的用户名和密码来入侵账户,但启用双重身份验证后,他们如果没有额外的验证答案就无法访问账户。因此务必在电子邮件、银行账户和工作相关登录信息等重要账户上启用双重身份验证。
3、使用强大的杀毒软件,并谨慎下载软件和点击链接:信息窃取恶意软件通常通过恶意下载、钓鱼邮件和虚假网站传播。避免从不可信来源下载软件或文件,并在点击链接前务必仔细检查。攻击者会将恶意软件伪装成合法软件、游戏作弊软件或破解应用程序,因此最好坚持从官方网站和应用商店下载。保护自己免受恶意链接(这些链接会安装恶意软件,并可能访问用户的私人信息)侵害的最佳方法是在所有设备上安装强大的防病毒软件。
4、保持软件更新:网络犯罪分子会利用过时的软件传播恶意软件。保持操作系统、浏览器和安全软件的更新,可以确保已知漏洞得到修补。尽可能启用自动更新,并安装信誉良好的防病毒或端点保护软件,以便在信息窃取威胁危害用户的系统之前检测并阻止它们。
5、考虑使用个人数据删除服务:这些服务可以帮助用户从数据经纪网站删除用户的个人信息,降低用户遭受身份盗窃、垃圾邮件和定向诈骗的风险。虽然没有任何服务可以保证将用户的数据从互联网上彻底删除,但数据删除服务确实是一个明智的选择。它们并不便宜,用户的隐私也同样如此。这些服务会主动监控并系统地从数百个网站上删除用户的个人信息,为用户完成所有工作。这已被证明是从互联网上删除个人数据最有效的方法。通过限制可用信息,可以降低诈骗者将数据泄露事件的数据与他们可能在暗网上找到的信息进行交叉比对的风险,从而更难锁定用户。
Fortinet被盗的防火墙数据非常详尽,但已经有两年多的历史了,这意味着大多数遵循基本安全措施的企业面临的风险都很小。
Fortinet,Inc.是一家美国网络安全公司,总部位于加利福尼亚州桑尼维尔。该公司开发和销售防火墙、端点安全和入侵检测系统等安全解决方案。Fortinet在世界各地设有办事处。
Ken Xie和Michael Xie兄弟于2000年创立了Fortinet。该公司的第一款也是主要的产品是物理防火墙FortiGate。该公司后来增加了无线接入点、沙盒和消息安全。该公司于2009年11月上市。
自称贝尔森集团(Belsen Group)的黑客组织在暗网上泄露了Fortinet防火墙用户的详细信息。15474台Fortinet设备的过时配置数据和虚拟专用网络(VPN)凭证被免费发布到暗网上。
安全研究员Kevin Beaumont审查了该数据转储,他相信它是真实的,因为发布数据中的设备在Shodan搜索引擎上列出,并共享相同的唯一序列号。
1月14日,Fortinet披露了其FortiOS操作系统和FortiProxyWeb网关中存在的严重身份验证绕过漏洞(CVE-2024-55591)。要了解此类漏洞的后果,只需看看2022年10月的一个并行漏洞,该漏洞至今仍在引起轰动。
研究人员Amram Englander在GitHub上发布了与此次泄漏相关的15474个IP地址列表,他建议受影响的组织检查其CVE-2022-40684的补丁历史记录,这是Fortinet于2022年发现的一个零日漏洞,影响FortiOS、FortiProxy和FortiSwitchManager,已知该漏洞已被积极利用。Englander在LinkedIn上的一篇帖子中表示,他们还应该更改设备凭据,评估防火墙规则的暴露程度并降低风险。
当时,Fortinet发布了有关CVE-2022-40684的紧急安全警告,这是一个影响FortiOS、FortiProxy和自动FortiSwitchManager的等效身份验证绕过漏洞。它在通用漏洞评分系统(CVSS)中获得了9.8的“严重”评级,允许任何未经身份验证的攻击者通过特制的HTTP请求对易受攻击的设备执行管理操作。该漏洞被披露后,安全研究人员开发了一个概念验证(PoC)漏洞利用程序,这是一个用于扫描易受攻击设备的模板,并观察了漏洞利用尝试的不断增加。
就在本周CVE-2024-55591被披露的同一天,一个名为“Belsen Group”的威胁行为者发布了属于15,000多台Fortinet设备的数据。CloudSEK的研究人员在一篇博文中指出,这些数据是通过CVE-2022-40684窃取的,而当时该漏洞还是零日漏洞。现在,他们写道:“一旦他们用尽了自己的用途(通过出售或使用访问权限),威胁行为者就决定在2025年将其泄露出去。”
“Belsen Group”可能的起源线索 贝尔森集团(Belsen Group)在网络犯罪网站BreachForums上发帖称:“2025年将是世界的幸运之年”(同时巧妙地隐瞒了其数据是在两年多前收集的)。该企业在暗网网站上发布的1.6GB文件可免费访问,并按国家/地区、IP地址和防火墙端口号整齐地排列在文件夹中。
受影响的设备似乎遍布各大洲,其中比利时、波兰、美国和英国最为集中,每个国家都有超过20台设备受害。
另一方面,安全研究员Kevin Beaumont(又名GossiTheDog)在一篇博客文章中指出,Fortinet存在业务的每个国家都出现在数据中,只有一个国家除外:伊朗,尽管Shodan显示该国目前有近2,000台可访问的Fortinet设备。此外,整个俄罗斯只有一台受影响的设备,从技术上讲,它位于俄罗斯从乌克兰吞并的克里米亚地区。
这些数据点可能并不重要,,也可能是贝尔森集团(Belsen Group)的归属线索。它似乎是本月突然出现的,尽管CloudSEK“高度确信”该企业至少已经存在三年了,并且“他们很可能是2022年利用零日漏洞的威胁企业的一部分,尽管尚未确定直接关联。”
网络安全的风险有哪些? 泄露的列表包含两种类型的文件夹。第一个文件夹“config.conf”包含受影响的设备配置:IP地址、用户名和密码、设备管理证书以及受影响企业的所有防火墙规则。这些数据是通过CVE-2022-40684窃取的。另一个文件夹“vpn-password.txt”中是SSL-VPN凭据。据Fortinet称,这些凭据是通过更老的路径遍历漏洞CVE-2018-13379从设备获取的。
尽管这些数据现在已经相当陈旧,但Beaumont写道:“虽然这些数据现在都已经相当陈旧,但拥有包括所有防火墙规则在内的完整设备配置……信息量很大。”CloudSEK也指出,泄露的防火墙配置可能会泄露有关企业内部网络结构的信息,这些信息可能至今仍然适用。
企业通常也不会更新用户名和密码,从而允许旧用户名和密码继续引发问题。在检查转储中包含的设备时,Beaumont报告称,旧的身份验证与仍在使用的身份验证相匹配。
Fortinet则在1月16日发布的一份安全分析报告中试图消除人们的担忧。它解释道:“如果您的企业在过去几年中一直坚持定期更新安全凭证的常规最佳做法,并采取了建议的措施,那么威胁行为者泄露企业当前配置或凭证详细信息的风险就很小。”
2024年美国总统大选即将到来,”暗网下/AWX“早就发出预警,恶意行为者正在利用围绕选举季的关注和活动实施诈骗。
Fortinet最近发布了其FortiGuard实验室的威胁情报报告:针对2024年美国总统大选的威胁行为者,该报告揭示并分析了2024年1月至2024年8月观察到的与美国实体、选民和选举过程相关的威胁。研究人员发现,网络钓鱼诈骗、恶意域名注册和其他威胁活动可能会影响选举过程的完整性和可信度以及参与选举公民的福利。
了解日益增长的威胁和风险有助于企业领导者、公民和选举官员在选举季及以后的时间里遵守政策并采用技术来预防和减轻恶意网络事件。
网络钓鱼诈骗和欺诈网站瞄准选民 网络钓鱼是当今最常见的网络攻击技术之一。网络犯罪分子利用人工智能(AI)来加速、扩大和提高其诈骗的可信度,从而增加了这种威胁。
FortiGuard实验室研究团队发现,恶意攻击者在暗网上以每件1260美元的价格出售用于冒充美国总统候选人及其竞选团队的网络钓鱼工具包。这些工具包以选民和捐赠者为目标,在捐赠诈骗中获取姓名、地址和信用卡详细信息等个人信息。
人是网络安全的第一道防线。为了避免成为网络钓鱼攻击的受害者,企业和技术领导者必须定期进行培训,以提高对常见网络钓鱼策略和其他骗局的认识。Fortinet在其《2024年安全意识和培训全球研究报告》中称,近70%的受访者认为他们的员工缺乏关键的网络安全知识,这一比例高于2023年的56%。持续的培训活动应提供识别网络钓鱼电子邮件、避免可疑链接和附件以及报告潜在网络钓鱼企图的指导。
除了冒充美国总统候选人及其竞选团队的网络钓鱼工具包外,自2024年1月以来,FortiGuard实验室的研究人员还发现了1000多个新注册的域名,这些域名包含了与选举相关的术语和对著名政治人物的引用。这强调了在重大事件发生前保持对可疑行为或活动的警惕以及优先考虑良好的网络卫生的重要性。
人为错误始终是一个挑战,因为即使是训练有素的员工也可能成为网络钓鱼攻击和其他欺诈行为的受害者。在计算机上安装杀毒软件可以增加一层额外的保护,尤其是针对网络钓鱼攻击和凭证盗窃。
威胁行为者在暗网上出售敏感数据 暗网已成为美国乃至全球特定威胁的中心,恶意行为者在这里交易敏感信息,并经常制定利用漏洞的策略。这些暗网论坛上大约3%的帖子涉及与企业和政府实体相关的数据库。这些数据库保存着易受网络攻击的关键组织数据,是选举季威胁行为者的主要目标。
FortiGuard实验室分析发现,暗网论坛上存在大量针对美国的各种数据库,包括社会安全号码、用户名、电子邮件地址、密码、信用卡数据、出生日期和其他个人身份信息,这些信息可用于挑战2024年美国总统大选的公正性。例如,数十亿条记录可用于虚假信息宣传,这可能导致欺诈活动、网络钓鱼诈骗和账户接管。
超过13亿行的组合列表(包括用户名、电子邮件地址和密码)意味着凭证填充攻击的风险相当大。在此类攻击中,网络犯罪分子利用窃取的凭据对账户进行未经授权的访问。执行多因素身份验证和强大的密码策略有助于企业和消费者防止数据和凭证被盗。
此外,企业应利用安全分析、自动化和响应平台,该平台可以检测特权用户的异常活动,并在必要时阻止此类活动。随着勒索软件攻击的增加,保持完整和最新的数据备份至关重要。然而,并非所有的数据备份策略都是一样的。例如,技术领导者不应完全依赖在线备份,应避免在生产环境和备份中使用相同的密码。建议在另一个异地维护云备份。此外,所有备份都应加密并设置访问控制。
在危险的数字环境中预防和减轻网络攻击 综上所述,网络安全措施对于维护美国2024年总统大选的公正性和保护社会至关重要。
企业领导者和公民必须防范潜在攻击,采取主动措施,并在这一关键时期保持警惕。