许多感染了恶意软件的用户在不知不觉中被网络犯罪分子记录和窃取了他们的帐户密码和完整的浏览器详细信息。这些“僵尸网络”窃取的信息由网络犯罪分子收集,在小圈子中共享,并经常发布在黑客网络论坛上。当SpyClod能够恢复其中一些机器人日志时,我们会解析受感染受害者的用户名、URL和密码,以帮助公民和组织保护自己。 联邦机构可以通过迅速采取行动通知受影响的用户并帮助他们进行补救来减轻与僵尸网络感染相关的风险。在本指南中,我们将了解如果与您的员工或消费者相关的信息出现在僵尸网络日志中意味着什么,以及您可以采取哪些措施来保护他们的安全。 什么是受感染的用户? 受感染的用户是其设备已感染恶意软件的人。带有键盘记录组件或“窃取器”的恶意软件可以收集诸如浏览器历史记录,自动完成数据,Cooie,屏幕截图,系统信息,加密钱包和登录凭据等信息。对手将这些数据用于各种恶意目的,并且有关地下犯罪的此类信息具有强大的市场。对于个别受害者来说,结果可能是毁灭性的。对于机构来说,缓解的成本、公民信任的丧失以及额外的审计可能会让人分心。 恶意软件生态系统 1.威胁行为者向用户分发恶意软件。这可能采取网络钓鱼电子邮件或广告的形式 诱使用户下载恶意file。 3.威胁参与者在管理面板中看到结果,其中可能包括被盗的凭据,加密钱包,系统 信息、浏览器数据和files。 4.犯罪威胁行为者通过消耗帐户并将被盗信息出售给其他罪犯来将被盗数据货币化。国家对手使用数据 获得对敏感系统的可信访问。 突发事件响应:受 感染的用户响应指南 Overview 礼品卡 STOLENACCOUNTSFORSALE 2.用户受感染的系统将数据发送到威胁行为者的C&C。 spycloud.com 如果SpyCloudidentifi将受感染员工的凭据绑定到您的域,这意味着我们已经恢复了僵尸网络日志,表明您的员工使用受感染的计算机登录到具有政府电子邮件地址的域或门户,并向该目标提供了密码。例如,SpyClod可能会识别该bob@yoragecydomai。gov被感染,他的证件在登录ota时被捕获。com,dropbox。comclodflare.com和其他COTS或GOTS应用程序。 这对你的机构意味着什么 带有键盘记录组件的恶意软件可以记录员工的一举一动,捕获浏览器历史记录、文件、系统信息,以及政府和第三方资源的登录数据。虽然政府拥有的系统感染的风险是显而易见的,但受感染的个人设备也可能危及政府资源-而且它们通常不受内部安全监控。个人登录可以揭示密码重复使用的模式;此外,忙碌的员工经常模糊个人和工作相关设备使用之间的界限,这意味着家中受感染的系统有可能暴露机构或部门的登录凭据和数据。 无论您的员工的受感染系统是个人还是政府所有,攻击者都可能会将您的员工被盗凭证和个人信息用于各种恶意目的: 利用被盗凭证访问政府和第三方资源,例如您的代理机构或部门网络、电子邮件和file共享平台、人力资源门户、云服务和开发人员资源 窃取员工或公民数据以在地下犯罪中出售 使用纳税人资助的云服务托管恶意基础设施或挖掘加密货币访问受控数据或敏感信息针对同事、服务用户和供应链合作伙伴进行商业电子邮件泄密(BEC)诈骗 提升权限以获得额外的访问权限并逃避检测 使用被盗的个人信息进行勒索,跟踪或社会工程 补救建议 首先,检查IP和MachineID(如果提供)以查看受感染的系统是否是政府拥有的资产。如果是,请创建票证以检查或重新对系统进行映像 。此外,查看SIEM日志以识别来自受感染的计算机或IP地址的任何可疑行为。 如果受感染的员工记录是政府拥有的资产或可以访问代理机构或部门网络的系统,则应将其视为最关键的记录。但是,受感染的个人系统也可能对您的组织构成风险,应进行调查。例如,僵尸网络可能已捕获您的员工对内部资源的登录。 无论感染是个人感染还是与就业相关,我们都建议要求员工在修复设备后重置政府服务的所有密码,包括第三方应用程序和工具。 spycloud.com 03 收件人:员工代理 主题:所需的操作:计算机上的紧急安全问题 <员工名字>, 在例行安全检查期间,我们发现您的登录已被个人或公司计算机上的恶意软件感染所破坏。您的数据是在我们的网络安全合作伙伴之一收集的恶意软件流量中发现的,这表明您的登录详细信息需要更新以保护您的代理帐户。但首先,请使用公司批准的防病毒程序在接下来的24小时内使用代理电子邮件扫描您可能已登录的所有计算机和/或笔记本电脑,并清理您的设备。 完成此操作后,请联系<安全团队联系点>。他们将指导您完成保护代理帐户所需的步骤,并启动密码重置过程,您可以在其中设置此帐户唯一的新密码。 恶意软件可能还破坏了您在其他网站的登录凭据。请重置您在Agency工作时使用的任何在线网站或服务的密码,为每个网站或服务创建一个强大的唯一密码。我们鼓励您为您的个人帐户执行相同操作。 谢谢, 机构安全团队 这些是您面向公民的网站的用户,其中僵尸网络日志显示他们在登录页面上输入用户名和密码时被感染(例如,jim@hotmail.com在登录signin.youragencyservice.gov时被感染)。强制重置密码并启用用户帐户的MFA或其他安全挑战是一个很好的first但是,只要公民的系统仍然被感染,恶意软件就会在更改新密码后立即收集其密码。 更糟糕的是,僵尸网络可能收集了攻击者可以用于恶意目的的其他个人信息。 这对你的机构意味着什么 受感染的服务用户面临账户接管、身份盗窃和在线欺诈的极高风险。以下是网络犯罪分子和高级持续威胁(APT)利用其被盗信息的几种方式: 从加密钱包、投资组合、支付应用程序和其他账户转移资金使用个人身份信息(PII)进行身份盗窃或欺诈重新路由政府为纳税人准备的fits 使用浏览器历史记录和其他被盗数据跟踪或勒索受害者向其他罪犯出售登录详细信息和浏览器fi指纹 使用敏感信息进行情报定位 补救建议 每个SpyCloud客户及其服务的用户类型的风险排名各不相同。一些SpyCloud客户要求最终用户重置其密码,并向他们发送一封电子邮件解释原因。其他人则选择以不同的方式监控该用户的在线会话,并对某些操作进行更多审查。 我们建议的路径是通知用户,通常通过电子邮件,并包括补救建议,如安装防病毒程序和运行扫描。建议使用特定的防病毒程序可以帮助降低用户的风险在不知不觉中下载了伪装成防病毒软件的其他恶意软件。应该指示公民在系统清理完成之前不要执行密码更改程序。 诸如锁定用户的账户之类的附加步骤可以帮助防止恶意交易,但是在某些类型的账户的情况下,用户可能认为是敌对的或极端的。 使用SpyCloud的僵尸网络数据,我们已经保护了代表数千万美元资金的数千个帐户。这是我们在SpyCloud的僵尸网络数据中找到的用户,在攻击者能够使用这些凭据进行恶意操作之前 ,我们能够成功干预并强制密码重置和帐户恢复。 -全球金融科技公司 收件人:代理服务用户主题:重置您的代理密码 Hi, 在例行安全检查期间,我们发现您的登录可能已被计算机上的恶意软件感染所破坏。我们无法访问您的计算机来确认这一点;但是,您的数据是在我们的网络安全合作伙伴之一收集的恶意软件流量中发现的。这表明您的登录详细信息需要更新以保护您的代理帐户。但首先,我们建议从信誉良好的提供商例如安装防病毒保护,运行扫描以清理计算机,然后在AgecySite上重置密码。政府。 运行防病毒扫描后,通过3个简单步骤重置密码: 1.转到AgencySite.gov 2.您通常会单击登录的位置,单击“忘记密码?” 3.创建一个新的强密码,该密码对于您的代理帐户是唯一的 我们还建议您启用双因素身份验证(将代码作为附加验证步骤发送给您),以帮助确保您的在线帐户的安全。您可以在“帐户设置”中为您的代理帐户启用此功能。 恶意软件也有可能破坏了您在其他网站上的登录凭据。我们强烈建议您对在线使用的任何其他网站和服务执行上述步骤,并为每个网站和服务创建一个强大的唯一密码。 我们非常重视您的安全和隐私,如果我们发现将来有任何异常情况,我们将立即伸出援手。 谢谢, 机构服务安全小组 我们假设,如果您的凭据出现在僵尸网络数据中的某个位置,则您的电子邮件和电话以及其他证明您身份的机制也会受到损害。通过对客户进行网络安全教育,该团队希望帮助用户消除系统中的恶意软件,并防止他们将来陷入类似的陷阱。 -全球金融科技公司 spycloud.com05 刑事经济 关于地下犯罪的被盗凭证和其他数据有一个强大的市场,受感染的用户只是一个来源。仅去年一年,SpyCloud就从网络犯罪社区恢复了超过 90亿个凭证,包括僵尸网络日志和数据泄露记录,我们每周继续从恶意软件感染的系统收集数百万条记录。 犯罪分子使用被盗凭证来轻松访问公司和政府系统以及用户帐户。大量的密码重用使攻击者可以轻松地从一个受感染的帐户转移到另一个帐户,从而为地下犯罪分子的被盗凭证和其他数据提供了强大的市场。 国家威胁也意识到通过被盗凭证访问系统是多么容易。他们有开始使用相同的数据来穿透情报目标,因为它允许他们避免研究和fi ngerprinting,从而混淆了他们的身份和使命。 SpyCloud的区别:当前、相关、真正可行的违约数据 使用行业中最新,最全面的欺诈凭证和PII存储库停止网络攻击,并使用人类智能(HUMINT)从地下犯罪中恢复。SpyCloud的可操作开源情报(OSINT)庞大数据库包括数据犯罪分子通过数据泄露和僵尸网络感染窃取的数据。 SpyCloud解决方案以数据即服务(DaaS)的形式提供,使机构能够快速处理新公开的数据,而无需增加员工。 24+ 100io+n 18+ 月 16百0+ 中文、俄文记录在暗网上曝光之前僵尸网络 漏洞数据的全部功能,以保护您的机构。 请求对我们的僵尸网络数据进行演示和自定义测试: