2023 年 10 月，網(wǎng)絡(luò)事件激增凸顯了組織面臨的持續(xù)且不斷變化的威脅。

2023 年 10 月發(fā)生了從大規(guī)模數(shù)據(jù)泄露到網(wǎng)絡(luò)戰(zhàn)等一系列惡意活動(dòng)。值得注意的事件包括影響網(wǎng)絡(luò)領(lǐng)域的以色列-巴勒斯坦沖突緊張局勢(shì)升級(jí)、Facebook 官方頁(yè)面令人震驚的黑客攻擊以及針對(duì)王室網(wǎng)站的針對(duì)性網(wǎng)絡(luò)攻擊。勒索軟件攻擊繼續(xù)肆虐，BlackCat 和 Knight 等臭名昭著的攻擊者成為頭條新聞。此外，多個(gè)組織因網(wǎng)絡(luò)攻擊而面臨巨大的財(cái)務(wù)損失。

以下是2023 年 10 月的著名網(wǎng)絡(luò)攻擊，以全面了解這些事件以及不斷變化的威脅形勢(shì)。

威脅行為者提供了 8.15 億印度公民與 ICMR COVID-19 測(cè)試相關(guān)的數(shù)據(jù)進(jìn)行出售

研究人員于 2023 年 10 月 9 日發(fā)現(xiàn)了一篇名為“2023 年印度公民 Aadhaar 和護(hù)照數(shù)據(jù)庫(kù)”的暗網(wǎng)帖子。該威脅行為者以“pwn0001”別名進(jìn)行操作，出售8.15 億印度人的信息。據(jù)稱，這些數(shù)據(jù)源自印度醫(yī)學(xué)研究委員會(huì) (ICMR) 進(jìn)行的 COVID-19 測(cè)試，包含各種個(gè)人身份信息 (PII)。

此次出售還包括護(hù)照詳細(xì)信息和 Aadhaar 卡信息。Aadhaar 是一項(xiàng)政府舉措，為每位印度公民分配一個(gè)唯一的 12 位身份號(hào)碼。

據(jù)報(bào)道，如帖子中所示，ICMR COVID-19 測(cè)試數(shù)據(jù)大小超過(guò) 90 GB。數(shù)據(jù)在電子表格中共享，其中一個(gè)樣本包含 100,000 個(gè)人的 PII，其中包括 Aadhaar 數(shù)據(jù)。報(bào)告顯示，這些樣本已經(jīng)過(guò)驗(yàn)證，與 ICMR 的新冠病毒檢測(cè)數(shù)據(jù)相符。然而，數(shù)據(jù)來(lái)源以及是否涉及 ICMR 系統(tǒng)違規(guī)仍不確定。 

LastPass 數(shù)據(jù)泄露導(dǎo)致 80 個(gè)錢(qián)包的加密貨幣被盜，價(jià)值 440 萬(wàn)美元

10 月 25 日，由于涉及密碼存儲(chǔ)軟件LastPass的 2022 年數(shù)據(jù)泄露，一起價(jià)值440萬(wàn)美元的加密貨幣失竊事件影響了 80 個(gè)錢(qián)包中的至少 25 人。10 月 27 日，匿名鏈上研究員 ZachXBT 和 MetaMask 開(kāi)發(fā)者 Taylor Monahan 檢查了這些受損錢(qián)包內(nèi)的資金動(dòng)向。

據(jù) Monahan 稱，受害者大部分是 LastPass 的長(zhǎng)期用戶，他們將加密錢(qián)包密鑰或種子存儲(chǔ)在 LastPass 中。懷疑自己可能在 LastPass 中存儲(chǔ)了助記詞或密鑰的用戶應(yīng)立即將其加密資產(chǎn)轉(zhuǎn)移到更安全的平臺(tái)。

Cloudflare 利用 HTTP/2 快速重置漏洞，以 +100 RPS 緩解了數(shù)千次 HTTP DDoS 攻擊

Cloudflare 報(bào)告稱，挫敗了數(shù)千起超大容量 HTTP 分布式拒絕服務(wù) (DDoS) 攻擊，其中 89 起每秒請(qǐng)求數(shù) (RPS) 超過(guò) 1 億次。該活動(dòng)導(dǎo)致第三季度 HTTP DDoS 攻擊流量增長(zhǎng)了 65%，而 L3/4 DDoS 攻擊流量也增長(zhǎng)了 14%。 

這些攻擊源于HTTP/2 快速重置漏洞 (CVE-2023-44487)，該漏洞是協(xié)調(diào)披露的一部分，該漏洞暴露了攻擊者如何針對(duì)各種提供商，包括 Amazon Web Services (AWS)、Cloudflare 和 Google Cloud。 

要了解有關(guān)快速重置攻擊的更多信息，請(qǐng)參閱 SOCRadar 博客文章：“快速重置”DDoS 攻擊上升：2023 年 10 月星期二補(bǔ)丁已發(fā)布（CVE-2023-36563、CVE-2023-41763、CVE-2023-44487）

Airbnb 涉嫌數(shù)據(jù)泄露，120 萬(wàn)用戶個(gè)人信息遭泄露

Airbnb 涉嫌數(shù)據(jù)泄露事件已泄露120 萬(wàn)用戶的個(gè)人信息，一名名為“警長(zhǎng)”的威脅者聲稱對(duì)此事負(fù)責(zé)。

這些敏感數(shù)據(jù)包括姓名、電子郵件地址和其他信息，在暗網(wǎng)上以7,000 美元的價(jià)格出售。 

盡管此次違規(guī)行為引發(fā)了用戶的安全擔(dān)憂，但 Airbnb 尚未證實(shí)此次違規(guī)行為，也沒(méi)有就此發(fā)布官方聲明。

勒索軟件集團(tuán) Knight Struck 美國(guó)索賠解決方案 (USCS)：600GB 數(shù)據(jù)被泄露

Knight 勒索軟件組織（以前稱為 Cyclops）據(jù)稱對(duì) US Claims Solutions (USCS) 實(shí)施了網(wǎng)絡(luò)攻擊。

US Claims Solutions 是一家專門(mén)從事貨物和檢查、商業(yè)損失索賠、槍支鑒定、法醫(yī)庫(kù)存等業(yè)務(wù)的保險(xiǎn)公司。據(jù)報(bào)道，Knight 勒索軟件組織在攻擊期間從該公司 竊取了超過(guò)600GB 的數(shù)據(jù)。

針對(duì) USCS 勒索軟件攻擊，Knight 規(guī)定了 308 小時(shí) 2 分鐘的贖金支付期限。

Knight 泄露的 600GB 敏感數(shù)據(jù)的內(nèi)容并未公開(kāi)。Knight 威脅稱，如果 USCS 管理層在 2 天內(nèi)沒(méi)有做出回應(yīng)，他們將出售或公開(kāi)發(fā)布從勒索軟件攻擊中獲得的數(shù)據(jù)。

23andMe 大規(guī)模數(shù)據(jù)泄露引發(fā)訴訟

10 月，一位名為“Golem”的黑客在 BreachForums 上泄露了來(lái)自英國(guó)和德國(guó)的410 萬(wàn)份被盜的 23andMe 基因數(shù)據(jù)檔案。23andMe 表示，這些數(shù)據(jù)是通過(guò)對(duì)密碼較弱的帳戶或之前數(shù)據(jù)泄露中暴露的憑證進(jìn)行撞庫(kù)攻擊而獲得的，并且沒(méi)有證據(jù)表明其 IT 系統(tǒng)發(fā)生過(guò)安全事件。

然而，少數(shù)賬戶選擇了“DNA親屬”功能，使得威脅行為者能夠竊取數(shù)百萬(wàn)人的數(shù)據(jù)。

威脅行為者聲稱，被盜數(shù)據(jù)包括皇室、羅斯柴爾德家族和洛克菲勒家族等知名人士的基因信息，但尚未得到證實(shí)。一些新泄露的數(shù)據(jù)與已知的公開(kāi)用戶信息相匹配，這些數(shù)據(jù)此前曾在現(xiàn)已關(guān)閉的黑客論壇 Hydra 上出售。 

此次數(shù)據(jù)泄露事件引發(fā)了多起針對(duì) 23andMe 的訴訟，指控其缺乏有關(guān)泄露的信息以及對(duì)客戶數(shù)據(jù)的保護(hù)不足。

科技巨頭 CDW 未能滿足 LockBit 的 8000 萬(wàn)美元贖金要求

以提供技術(shù)解決方案和服務(wù)而聞名的 CDW Corporation 已被添加到 LockBit 勒索軟件團(tuán)伙的受害者名單中。該團(tuán)伙在8000 萬(wàn)美元的贖金要求未得到滿足后泄露了數(shù)據(jù)。CDW-G 是一個(gè)專注于美國(guó)政府實(shí)體的部門(mén)，也受到了影響。正如研究人員的推文所示，檔案中的數(shù)據(jù)包括員工徽章、審計(jì)、傭金支付和其他與帳戶相關(guān)的信息。

與典型的勒索軟件攻擊不同，LockBit 沒(méi)有加密文件或使用惡意軟件，這使其更像是勒索勒索的數(shù)據(jù)泄露事件。該事件因高達(dá) 8000 萬(wàn)美元的贖金要求而引人注目，使其成為威脅行為者提出的最昂貴的贖金要求之一。

有關(guān)最高贖金要求的更多信息，請(qǐng)查看我們的其他博客文章：十大勒索軟件要求

BlackCat 勒索軟件針對(duì) QSI 銀行業(yè)務(wù)：5TB SQL 數(shù)據(jù)被盜

BlackCat勒索軟件組織以 QSI 銀行為目標(biāo)，通過(guò)所謂的網(wǎng)絡(luò)攻擊竊取個(gè)人和 SQL 數(shù)據(jù)。QSI Inc. 是 NCR 產(chǎn)品的主要經(jīng)銷商，面臨著各個(gè)行業(yè)敏感數(shù)據(jù)的潛在暴露問(wèn)題。雖然 QSI Banking 網(wǎng)絡(luò)攻擊尚未得到該公司的證實(shí)，但網(wǎng)絡(luò)安全研究人員根據(jù)暗網(wǎng)公告報(bào)告了這一事件。

BlackCat 組織聲稱，此次泄露涉及財(cái)務(wù)、客戶和工作相關(guān)數(shù)據(jù)的泄露，其中包括 5TB SQL 數(shù)據(jù)庫(kù)。據(jù)報(bào)道，Wesbanco Bank、Stock Yards Bank 和 SECU 等眾多銀行都受到了影響。此外，該事件可能與 BlackCat 于 2023 年 4 月聲稱的 NCR 公司網(wǎng)絡(luò)攻擊有關(guān)。 

以巴沖突升級(jí)引發(fā)網(wǎng)絡(luò)戰(zhàn)

多個(gè)黑客組織加入了以色列與哈馬斯沖突的升級(jí)行列，這場(chǎng)沖突是在巴勒斯坦激進(jìn)組織對(duì)加沙地帶發(fā)動(dòng)重大襲擊后引發(fā)的。作為回應(yīng)，以色列向哈馬斯宣戰(zhàn)，引發(fā)報(bào)復(fù)循環(huán)，導(dǎo)致雙方數(shù)百人死亡、數(shù)千人受傷。 

除了國(guó)家支持的行為者可能增加網(wǎng)絡(luò)攻擊之外，支持雙方的黑客活動(dòng)團(tuán)體也加大了網(wǎng)絡(luò)攻擊力度，標(biāo)志著以色列-巴勒斯坦沖突進(jìn)入激化階段的開(kāi)始。

在我們的博客文章中了解以色列-巴勒斯坦沖突的網(wǎng)絡(luò)方面：網(wǎng)絡(luò)世界中以色列-巴勒斯坦沖突的反思

Facebook官方頁(yè)面遭黑客攻擊：引發(fā)安全擔(dān)憂

據(jù)報(bào)道，2023 年 10 月 6 日，F(xiàn)acebook 的官方頁(yè)面遭到黑客攻擊，其中發(fā)布了一些奇怪的帖子，要求釋放 2023 年 8 月被捕的巴基斯坦前總理伊姆蘭·汗 (Imran Khan)。雖然尚不清楚這是惡作劇還是真正的黑客攻擊，但該事件引發(fā)人們對(duì) Facebook 帳戶和頁(yè)面安全的嚴(yán)重?fù)?dān)憂。社交媒體用戶對(duì)批評(píng) BCCI 的不尋常消息感到驚訝。Facebook 迅速刪除了這些帖子，展開(kāi)調(diào)查，并加強(qiáng)了頁(yè)面的安全性。

此事件凸顯了潛在的危險(xiǎn)，因?yàn)楣粽呖赡軙?huì)利用用戶對(duì) Facebook 的信任，誘騙用戶下載惡意軟件或進(jìn)行詐騙。

Royal.uk 網(wǎng)站遭到 DDoS 攻擊

英國(guó)王室的官方網(wǎng)站于 2023 年 10 月 1 日面臨嚴(yán)重威脅，成為分布式拒絕服務(wù) (DDoS) 攻擊的受害者。報(bào)告顯示，“Royal.uk”網(wǎng)站無(wú)法訪問(wèn)大約90 分鐘，事件發(fā)生在當(dāng)?shù)貢r(shí)間上午 10 點(diǎn)。

雖然該網(wǎng)站在攻擊后不久就恢復(fù)了全部功能，但仍采取了持續(xù)的安全措施。俄羅斯黑客組織 Killnet 聲稱對(duì)其 Telegram 頻道的攻擊負(fù)責(zé)，但這一說(shuō)法尚未得到證實(shí)。

在王室網(wǎng)站遭受網(wǎng)絡(luò)攻擊后，安全專家強(qiáng)調(diào)了所有組織采取強(qiáng)有力的安全措施的重要性。

使用 SORadar XTI 主動(dòng)防御網(wǎng)絡(luò)威脅

在先進(jìn)的監(jiān)控算法的支持下，SOCRadar 擴(kuò)展威脅情報(bào) (XTI)持續(xù)跟蹤威脅參與者、惡意軟件、漏洞和相關(guān)趨勢(shì)，以提供對(duì)新興網(wǎng)絡(luò)威脅的見(jiàn)解。

通過(guò) SOCRadar 平臺(tái)將資產(chǎn)監(jiān)控、實(shí)時(shí)警報(bào)和穩(wěn)定的可操作情報(bào)融合在一起，組織可以有效地防御試圖利用漏洞的威脅行為者，從而將其網(wǎng)絡(luò)安全防御提升到前所未有的水平。