德国汉堡大学的研究人员进行了一项现场实验，捕获了数十万路人的 WiFi 连接探测请求，以确定在设备所有者没有意识到的情况下传输的数据类型。

WiFi 探测是一个标准过程，是智能手机和接入点（调制解调器/路由器）之间建立连接所需的双边通信的一部分。

默认情况下，出于可用性的原因，大多数智能手机一直在搜索可用的 WiFi 网络，并在受信任的情况下连接到它们。

许多商店已经使用 WiFi 探测来跟踪客户的位置和移动。由于此跟踪仅在探测中使用匿名 MAC 地址，因此被认为符合 GDPR。

研究人员决定分析这些探测器以查看它们可能包含的其他内容，在 23.2% 的情况下，他们发现请求广播了这些设备过去连接的网络的 SSID。

实验结果
该实验于 2021 年 11 月在德国市中心一个繁忙的步行区进行。该团队使用六个天线来捕获各种通道和频谱中的探针。

他们记录了三个小时内所有广播的 WiFi 连接问题，共捕获了 252,242 个探测请求，其中 46.4% 在 2.4GHz 频谱中，53.6% 在 5GHz 频谱中。

在短短三个小时内，研究人员从随机路人那里获得了 58,489 个 SSID，在许多情况下，其中包含 16 位或更多位的数字字符串，这些字符串可能是来自 FritzBox 或 Telekom 的流行德国家用路由器的“初始密码”。

研究人员在技术论文中解释说：“如果与密码一起，设备还正确或错误类型地广播了真实的 SSID，可以用来推断真实的 SSID，那么泄露 SSID 中的密码尤其重要 。 ”

“通过使用我们观察到的潜在凭据即时设置假接入点，还可以验证嗅探到的密码对应于也传输的 SSID 的假设。”

在捕获的 SSID 的其他子集中，研究人员发现了与商店 WiFi 网络、106 个不同名称、三个电子邮件地址和 92 个以前添加为可信网络的度假屋或住宿相对应的字符串。
在三个小时的录音过程中，通过反复爆发的探测，其中一些敏感的字符串被广播了数十次、数百次，在某些情况下甚至数千次。

来自同一设备的三个探针爆发（汉堡大学）
跟踪影响
撇开数据暴露和设置恶意热点和接受附近设备连接的场景不谈，这里的主要含义是持续跟踪。

这方面的关键方面是 MAC 地址随机化，它可以作为对跟踪尝试的防御。

尽管在 Android 和 iOS 中，让设备跟踪变得更加困难，但并非不可能，这已经取得了长足的进步。

较新的操作系统版本在探测请求中具有更多的随机性和更少的信息，但是当与信号强度、序列号、网络能力等数据集参数结合使用时，仍然可以对单个设备进行指纹识别。

下面概述了每个操作系统版本的隐私功能。请注意，市场份额百分比反映了 2021 年 11 月的数据。

每个操作系统版本上与 WiFi 探测相关的隐私功能（汉堡大学）
显然，操作系统版本越新，隐私保护功能越强，但更新版本的可用性并不意味着立即采用。

在现场实验时，Android 8 及更早版本大约占 Android 智能手机的四分之一。在 iOS 中，由于 Apple 更严格的软件更新政策和长期支持，情况有所好转，但许多人仍在使用较旧的 iPhone 机型。

以前的研究也反映了从逐步升级到更安全的操作系统的改进。例如，在 2014 年的一项研究中，46.7% 的记录探测请求包含 SSID，而在 2016 年进行的另外两项研究中，该百分比介于 29.9% 和 36.4% 之间。

如何保护您的隐私
智能手机用户可以做的第一件也是最简单的事情就是升级他们的操作系统并使用更新、更安全的版本，该版本具有更多的隐私保护。

其次，删除您不再使用或不再需要的 SSID 以及无论您走到哪里都不必要地广播的 SSID 将是一个好主意。

第三，Android 和 iOS 提供了一种快速禁用自动加入网络的方法，使热点攻击变得不可能。
最后，用户可以完全静默探测请求，这可以通过高级网络设置来完成。然而，这种方法有几个实际的缺点，例如连接建立速度较慢、无法发现隐藏网络以及更高的电池消耗。

Vice Society勒索软件组织声称对最近针对意大利巴勒莫市的网络攻击负责，该攻击已导致大规模服务中断。

袭击发生在上周五，所有依赖互联网的服务仍然无法使用，影响了130万人和许多访问该市的游客。

当局周一承认了事件的严重性， 并解释说必须使所有系统离线以控制损失，并警告说中断可能会持续几天。

其网络的关闭使得这次攻击看起来像是勒索软件攻击，而不是最近袭击 该国的DDoS攻击的一部分。

副社声称负责
昨天，Vice Society 声称他们是袭击巴勒莫的幕后黑手，他们在他们的暗网数据泄露网站上发布了一个条目，威胁说如果不支付赎金，他们将在周日之前公布所有被盗文件。

巴勒莫受害者添加到副协会洋葱网站
这意味着赎金支付的谈判还没有走到尽头，Vice Society希望它对巴勒莫官员的威胁能够奏效。

通过发布数据来威胁受害者是当今勒索软件组织的标准做法，称为“双重勒索”策略，是勒索受害者的有力方式。

Vice Society 可能持有巴勒莫居民的个人身份信息以及任何使用该市数字服务的人的敏感信息。

值得注意的是，勒索软件团伙尚未发布任何被盗文件的样本，因此，声称的数据泄露尚无法验证。

以利用漏洞而闻名
Vice Society以利用未修补系统上的已知漏洞来破坏网络而闻名。

例如，2021年8月，思科Talos 研究人员观察到特定勒索软件组部署了一个利用CVE-2021-1675 和 CVE-2021-34527（又名“PrintNightmare”缺陷）的 DLL。

虽然无法判断巴勒莫的计算机系统是否存在可用于初始访问的安全漏洞，但对于面向公众的国家网络来说，这并不是一个牵强附会的场景。

巴勒莫的官员没有透露这次攻击的任何细节，尽管他们关闭了运行该市所有服务的整个IT系统已经过去了将近一周。

Bleeping Computer试图从目前处理事件响应和系统恢复的 IT 服务提供商SISPI获取更多信息，但我们尚未收到回复。

Microsoft 宣布了 Microsoft Defender for Endpoint (MDE) 的一项新功能，以帮助组织防止攻击者和恶意软件使用受感染的非托管设备在网络中横向移动。

这个新功能允许管理员在他们的网络上“包含”不受管理的 Windows 设备，如果它们受到损害或怀疑受到损害。

一旦标记为包含，企业端点安全平台将指示网络上的 Windows 系统阻止所有进出设备的通信。

这可以帮助阻止恶意行为者使用非托管设备在组织内横向移动，并防止传播可能造成进一步损害的感染。

微软解释说：“在安全运营分析师定位、识别和修复受感染设备上的威胁时，此操作可以帮助防止相邻设备受到威胁 。 ”

但是，有一个问题：新的 MDE 功能仅适用于运行 Windows 10 及更高版本或 Windows Server 2019 及更高版本的板载设备。

“只有在 Windows 10 及更高版本上运行的设备才会执行包含操作，这意味着只有在 Microsoft Defender for Endpoint 中注册的运行 Windows 10 及更高版本的设备才会在此时阻止‘包含’设备，”微软补充道。

这意味着，尽管包含在网络上的所有托管 Windows 设备中，但包含的系统仍将能够访问尚未载入的其他设备。

如何遏制受感染的 Windows 设备
要控制可能受到威胁的设备，管理员必须执行以下步骤：

转到 Microsoft 365 Defender 门户中的“设备清单”页面，然后选择要包含的设备。
从设备浮出控件的操作菜单中选择“包含设备”。
在包含设备弹出窗口中，输入评论，然后选择“确认”。
包含非托管设备后，Microsoft Defender for Endpoint 板载设备最多可能需要 5 分钟才能开始阻止通信。

如果网络上包含的任何设备将更改其 IP 地址，所有注册的设备都将识别这一点并开始阻止与新 IP 地址的通信。
要停止包含特定设备，请从“设备清单”中选择它或打开设备页面。然后，您需要从操作菜单中选择“从收容中释放”以恢复设备与网络的连接。

随着 Windows 11 Insider Preview Build 25136 的发布到开发频道，微软终于推出了新的文件资源管理器选项卡式界面。

“为了帮助您同时跨多个位置工作，文件资源管理器的标题栏现在有选项卡。我们希望您能就您接下来希望看到哪些选项卡功能提供反馈，”Windows Insider 团队 说。

微软在今年 4 月的“Windows 为混合工作的未来提供动力”活动中首次 展示了重新设计的文件资源管理器 ，一个月后，微软 在 3 月开始将该功能作为隐藏的 Windows 11 开发功能进行测试。

该公司 于 2017 年在 Windows 10 Insider 版本中简要测试了此功能 （Microsoft 反馈中心上最受欢迎的 Windows 功能之一），但很快将其从开发版本中删除。

在这个新的 Windows 11 开发版本中，文件资源管理器还引入了左侧导航窗格的刷新布局，可以快速访问常用和固定文件夹以及 OneDrive 云配置文件。

“OneDrive 云配置文件反映了与帐户关联的用户名，”微软的 Amanda Langowski 和 Brandon LeBlanc 补充道。

“导航窗格中默认可用的已知 Windows 文件夹不再显示在此 PC 下，以使该视图专注于您的 PC 驱动器。”​

Windows 11 文件资源管理器选项卡式界面 (Microsoft)
今天，微软还在 Windows 11 任务栏中添加了更多 Dynamic Widgets 内容，让 Insiders 可以看到突发新闻警报以及来自体育和金融小部件的更多实时内容。

微软解释说：“这应该让你更容易知道何时发生与这些小部件相关的重要事件，并让你随时了解突发新闻。”

“内容旨在快速且一目了然，如果您单击它，则能够在小部件板内查看更多内容。”

今天，微软还开始为 Windows 11 记事本和媒体播放器应用推出新的更新，以提高性能。

如果您已注册 Windows Insider 计划并已从 Dev Channel 安装了 Windows 11 Insider Preview Build 25136，则可以试用新的文件资源管理器选项卡式界面。

如果您还不是 Windows 预览体验成员，您仍然可以通过 在此处注册 并部署今天的 Windows 11 开发频道版本来尝试。

那些想要就重新设计的文件资源管理器体验提供反馈的人可以通过反馈中心（在文件、文件夹和在线存储 > 文件资源管理器下）分享他们的意见。

伊朗VPS云服务器1Gbps带宽，快米云推荐

订购地址：https://www.zzqidc.com/business/haiwaiyun.html?label_id=182

窃取您的密码、信用卡和加密钱包的恶意软件正在通过 CCleaner Pro Windows 优化程序的盗版副本的搜索结果进行推广。

这种新的恶意软件分发活动被称为“FakeCrack”，由 Avast 的分析师发现，他们报告称，每天从其客户遥测数据中检测到平均 10,000 次感染尝试。这些受害者中的大多数来自法国、巴西、印度尼西亚和印度。

此活动中分发的恶意软件是一种强大的信息窃取程序，可以收集个人数据和加密货币资产，并通过数据窃取代理路由互联网流量。

黑帽 SEO 活动
威胁行为者遵循黑帽 SEO 技术，在谷歌搜索结果中将他们的恶意软件分发网站排名靠前，这样更多的人将被诱骗下载带花边的可执行文件。

Avast 看到的诱惑是 CCleaner Professional 的破解版，这是一种流行的 Windows 系统清洁器和性能优化器，仍然被许多用户认为是“必备”实用程序。

指向恶意网站的 Google 搜索结果 (Avast)
中毒的搜索结果会引导受害者浏览多个网站，这些网站最终会显示一个提供 ZIP 文件下载的登录页面。此登录页面通常托管在合法的文件托管平台上，例如 filesend.jp 或 mediafire.com。

恶意软件分发门户 (Avast)
ZIP 使用“1234”之类的弱 PIN 进行密码保护，仅用于保护有效负载免受反病毒检测。

存档中的文件通常被命名为“setup.exe”或“cracksetup.exe”，但 Avast 已经看到在此活动中使用了八种不同的可执行文件。

一种危险的信息窃取恶意软件
恶意软件受害者被诱骗安装企图窃取存储在网络浏览器中的信息，例如帐户密码、保存的信用卡和加密货币钱包凭证。

此外，它会监控剪贴板中复制的钱包地址，并将其替换为受恶意软件运营商控制的地址以转移支付。此剪贴板劫持功能适用于各种加密货币地址，包括比特币、以太坊、Cardano、Terra、Nano、Ronin 和比特币现金地址。

脚本监控剪贴板 (Avast)
该恶意软件还使用代理通过中间人攻击来窃取加密货币市场帐户凭据，这种攻击对于受害者来说很难检测或意识到。

“攻击者能够设置 IP 地址来下载恶意代理自动配置脚本 (PAC)，” Avast 在报告中解释道。

“通过在系统中设置这个 IP 地址，每次受害者访问任何列出的域时，流量都会被重定向到攻击者控制下的代理服务器。”

此代理机制是通过“HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings”中的新注册表项添加的。

受害者可以通过在 Windows 设置上导航到网络和互联网并将“使用代理服务器”选项切换为关闭来禁用它。

该活动已经很普遍，并且感染率很高，因此请避免从任何地方下载破解软件，即使下载站点在 Google 搜索中的排名很高。

古巴勒索软件操作已恢复正常操作，其恶意软件的新版本在最近的攻击中使用。

古巴勒索软件的活动在 2021 年达到顶峰，当时它与Hancitor 恶意软件团伙合作进行初始访问。到年底，它已经攻破了美国49 个关键基础设施组织。

今年开始对勒索软件团伙来说不那么令人印象深刻，几乎没有新的受害者。然而，Mandiant 发现了战术变化和实验的迹象，表明该组织仍然活跃。
现在，趋势科技分析师报告称，古巴感染病例从 3 月开始重新抬头，并持续强劲到 2022 年 4 月。

古巴勒索软件列出了汽车生产行业的一家大公司
古巴在其 Tor 网站上于 4 月和 5 月分别列出了 3 名受害者和 1 名受害者。但是，导致这些文件发布的攻击可能更早展开。

虽然与其他勒索软件操作相比，这些数字并不令人印象深刻，但“古巴”通常更具选择性，只针对大型组织。

发现新变种
4 月下旬，趋势科技采样的一个新二进制文件包括一些小的添加和更改，这些添加和更改使恶意软件对目标实体更加危险。但更重要的是，它表明该操作仍然存在并且正在积极开发其加密器。

虽然古巴勒索软件的更新在整体功能方面没有太大变化，但我们有理由相信，这些更新旨在优化其执行，最大限度地减少意外系统行为，并在勒索软件受害者选择协商时为他们提供技术支持。-趋势科技

该恶意软件现在会在加密前终止更多进程，包括 Outlook、MS Exchange 和 MySQL。勒索软件加密器终止服务以防止这些应用程序锁定文件并防止它们被加密。

恶意软件的服务终止 （趋势科技）
其次，排除列表已经扩展，在加密期间可以跳过更多目录和文件类型。这有助于在攻击后维护一个正常工作的系统，并防止可能导致无法恢复的损坏文件的执行循环，使受害者没有动力购买解密器。

第三，该团伙更新了其赎金记录，添加了 quTox 以获得现场受害者支持，并表示如果三天内没有满足要求，威胁参与者将在 Tor 网站上发布所有被盗数据。

外表
古巴勒索软件变种的改进只能意味着该组织将在接下来的几个月中继续对组织构成威胁，主要是位于北美的组织。

古巴勒索软件目前仍然是安全的，因此没有可用的解密器可供受害者免费恢复文件。
因此，定期进行数据备份、实施网络分段并使所有系统保持最新状态将是应对威胁的最佳方法。

Black Basta 勒索软件团伙与 QBot 恶意软件操作合作，通过被黑客入侵的企业环境横向传播。

QBot (QuakBot) 是一种 Windows 恶意软件，可窃取银行凭据、Windows 域凭据，并在受感染设备上提供更多恶意软件负载。

受害者通常通过带有恶意附件的网络钓鱼攻击感染 Qbot。尽管它最初是一个银行木马，但它已经与其他勒索软件团伙进行了多次合作，包括 MegaCortex、 ProLock、DoppelPaymer 和 Egregor。

Black Basta 与 Qbot 合作
Black Basta 是一个相对较新的勒索软件操作，它 开始令人印象深刻，在相对较短的时间内破坏了许多公司，同时要求支付大量赎金。

NCC 集团的分析师在最近的一次事件响应中发现了 Qakbot 和 Black Basta 之间的新合作伙伴关系，他们能够识别威胁参与者使用的技术。

虽然勒索软件团伙通常使用 QBot 进行初始访问，但 NCC 表示 Black Basta 团伙使用它在整个网络中横向传播。

更具体地说，该恶意软件在目标主机上远程创建一个临时服务，并将其配置为使用 regsvr32.exe 执行其 DLL。

一旦 Qakbot 启动并运行，它就可以感染网络共享和驱动器、暴力破解 AD 帐户，或使用 SMB（服务器消息块）文件共享协议创建自身副本或使用当前用户凭据通过默认管理员共享进行传播。

“Qakbot 是威胁行为者用来维持其在网络上的存在的主要方法。在妥协过程中，还观察到威胁行为者使用 Cobalt Strike 信标，” NCC 集团的报告解释道。

分析师还指出，他们在 Windows 文件夹中发现了一个名为“pc_list.txt”的文本文件，其中包含网络中所有系统的内部 IP 地址列表，可能由 Qakbot 生成。
禁用 Windows Defender
在 NCC 响应者观察到的最近一次攻击中，Black Basta 展示了自ZZQIDC最初报道它以来所看到的相同特征。

这些特征包括修改壁纸图标、删除卷影副本、在加密文件上附加 .basta 扩展名以及在赎金记录中生成公司 ID。

然而，NCC 表示，威胁行为者还禁用 Windows Defender 以逃避检测，并最大限度地减少危及加密步骤成功的机会。

勒索软件运营商通过执行 PowerShell 命令或在受感染的域控制器上创建 GPO 来实现这一目标，这将在 Windows 注册表上执行更改。

禁用保护的注册表更改 （NCC 组）
Qakbot 可以快速进入受感染的网络，窃取帐户凭据并转移到相邻的工作站。尽管如此，勒索软件的有效载荷并没有立即被提取，因此在灾难来袭之前，防御者总是有一个机会之窗。

特洛伊木马具有复杂 多样的攻击途径，每一种都有自己的检测机会，但它们都始于恶意电子邮件的到来。因此，这是最需要注意的地方，避免打开附件或点击嵌入式链接。

谷歌已为运行操作系统版本 10、11 和 12 的 Android 设备发布了 2022 年 6 月的安全更新，修复了 41 个漏洞，其中 5 个被评为严重。

该安全更新分为两个级别，分别于 6 月 1 日和 6 月 5 日发布。第一个包含 Android 系统和框架组件的补丁，第二个包含内核和第三方供应商闭源组件的更新。

在本月解决的五个关键漏洞中，最突出的是 CVE-2022-20210，这是一个远程代码执行漏洞，威胁者可以在没有非常苛刻的先决条件的情况下利用它。

“这些问题中最严重的是系统组件中的一个严重安全漏洞，它可能导致无需额外执行权限即可远程执行代码，” Android 安全公告中提到。

远程代码执行缺陷特别严重，因为它们可能导致信息泄露、高级系统危害和完整的设备接管。

与第一个补丁级别一起登陆的另外两个重要修复涉及 CVE-2022-20140 和 CVE-2022-20145，这两个都是特权漏洞的关键严重性升级。

这些类型的漏洞通常被恶意软件利用，这些恶意软件通过低权限途径潜入设备，例如安装看似无害的应用程序，以根据恶意意图提高其执行或访问权限。

通过“2022 年 6 月 1 日”补丁级别解决的第四个严重缺陷是 CVE-2022-20130，它位于媒体编解码器组件中。

第五个关键缺陷修复仅涉及 Unisoc 芯片，因此只能通过“2022 年 6 月 5 日”补丁级别获得。

这个漏洞被追踪为 CVE-2022-20210，本月早些时候由Check Point的研究人员披露，他们发现可以通过使用格式错误的数据包来中和设备的无线电通信。

Unisoc 约占Android 市场的11%，主要用于军用等价格实惠或坚固耐用的设备中。

在您的设备可用时立即应用可用更新至关重要，即使上述漏洞当前均未标记为已被积极利用。

值得注意的是，本月，三星以一天的优势击败了谷歌，推出了包含上述所有修复的 6 月补丁。

如果供应商不再支持您的设备并且已停止接收安全更新，则建议使用包含旧型号最新补丁和安全功能的第三方 Android 发行版。

意大利南部巴勒莫市周五遭受网络攻击，这似乎对公民和来访游客的广泛运营和服务产生了巨大影响。

巴勒莫拥有约 130 万人口，是意大利人口第五大城市。该地区每年还有 230 万游客到访。

尽管本地 IT 专家在过去三天一直在尝试恢复系统，但所有服务、公共网站和在线门户都处于离线状态。

据当地多家媒体报道，受影响的系统包括公共视频监控管理、市警察行动中心以及市政府的所有服务。

依靠数字系统进行交流或请求任何服务是不可能的，所有公民都必须使用过时的传真机才能到达公共办公室。

此外，游客无法在线预订博物馆和剧院（马西莫剧院）的门票，甚至无法确认他们对体育设施的预订。

最后，限制交通区域卡是不可能获得的，因此没有进行监管，也没有对相关违规行为进行罚款。不幸的是，历史悠久的市中心需要这些通行证才能进入，因此游客和当地居民受到了严重影响。

勒索软件还是 DDoS？
意大利最近收到了来自 Killnet 组织的威胁，该组织是一个亲俄罗斯的黑客活动家，该组织通过称为 DDoS（分布式拒绝服务）的资源消耗型网络攻击攻击支持乌克兰的国家。

虽然有些人很快将矛头指向了 Killnet，但对巴勒莫的网络攻击带有勒索软件攻击而非 DDoS 的迹象。

巴勒莫市创新议员 Paolo Petralia Camassa表示，所有系统都已谨慎关闭并与网络隔离，同时他还警告说，中断可能会持续一段时间。

这是对勒索软件攻击的典型反应，网络被脱机以防止恶意软件传播到更多计算机并加密文件。

如果这种网络攻击被证明是勒索软件，那么负责它的团伙可能已经设法窃取数据进行双重勒索，这通常伴随着这些攻击。

在这种情况下，巴勒莫可能面临影响大量个人的严重数据泄露的前景，并可能因违反 GDPR 而被罚款。

Bleeping Computer 已联系对事件做出响应并目前执行 IT 服务恢复的公司 SISPI，我们将在收到回复后立即更新此帖子。