2024年上半年，網(wǎng)絡(luò)攻擊的勢(shì)頭不僅未見減弱，還發(fā)生了數(shù)起嚴(yán)重威脅公眾安全的重大數(shù)據(jù)泄露和勒索軟件攻擊事件。例如，2月份針對(duì)UnitedHealth旗下處方處理商Change Healthcare的勒索軟件攻擊導(dǎo)致美國(guó)醫(yī)療保健系統(tǒng)中斷數(shù)周，許多藥店和醫(yī)院無法處理索賠和接收付款；5月份，Ascension的醫(yī)療系統(tǒng)遭到勒索軟件攻擊，導(dǎo)致緊急護(hù)理無法正常開展。

這些攻擊不禁讓人懷疑，威脅行為者是否有意針對(duì)那些無法承受網(wǎng)絡(luò)中斷嚴(yán)重影響的公司，以便向這些組織施加更大的壓力，要求它們支付贖金。如果是這樣的話，這一策略似乎已經(jīng)奏效了，因?yàn)閁nitedHealth已經(jīng)向網(wǎng)絡(luò)犯罪組織支付了2200萬美元的贖金。

雖然還不能確定這就是攻擊者的策略，但可以肯定的是，攻擊者會(huì)抓住一切可利用的機(jī)會(huì)來確保自身獲得報(bào)酬。未來，攻擊者或?qū)⒗孟冗M(jìn)技術(shù)開發(fā)出更復(fù)雜、更具針對(duì)性的攻擊活動(dòng)，以謀求利益最大化。

為了幫助組織更好地了解過去半年的威脅形勢(shì)，我們整理了2024年迄今為止發(fā)生的10起重大的網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露事件（按時(shí)間順序）。

Ivanti VPN攻擊

今年1月，威脅情報(bào)公司Volexity發(fā)現(xiàn)，影響 Ivanti Connect Secure（以下簡(jiǎn)稱ICS） VPN 和 Policy Secure 網(wǎng)絡(luò)訪問控制（NAC）設(shè)備的兩個(gè)零日漏洞——CVE-2023-46805身份驗(yàn)證繞過和CVE-2024-21887命令注入漏洞——正在被大規(guī)模利用。

據(jù)悉，攻擊者使用GIFTEDVISITOR webshell變體對(duì)目標(biāo)系統(tǒng)進(jìn)行了后門攻擊，Volexity 發(fā)現(xiàn)有1700多臺(tái)ICS VPN設(shè)備被GIFTEDVISITOR webshell入侵。這些設(shè)備對(duì)受害者進(jìn)行無差別攻擊。受害者名單包括世界各地的政府和軍事部門、國(guó)家電信公司、國(guó)防承包商、技術(shù)公司、銀行、金融和會(huì)計(jì)機(jī)構(gòu)、全球咨詢公司以及航天、航空和工程公司。

這些攻擊促使CISA向美國(guó)聯(lián)邦政府的行政部門發(fā)出緊急命令，要求采取緊急措施，在48小時(shí)內(nèi)斷開其ICS VPN的連接。1月31日，在首次漏洞披露三周后，Ivanti發(fā)布了其部分版本的Connect Secure VPN軟件的首個(gè)補(bǔ)丁。

微軟高管賬戶泄露

微軟1月19日發(fā)布消息稱，其系統(tǒng)被俄羅斯黑客入侵，他們?cè)L問了“極小比例”的企業(yè)電子郵件帳戶。被泄露的賬戶屬于該公司高級(jí)領(lǐng)導(dǎo)團(tuán)隊(duì)成員、網(wǎng)絡(luò)安全和法律部門的員工以及從事“其他職能”的人員。

該科技巨頭將這起攻擊歸咎于它所追蹤的一個(gè)名為“午夜暴雪”（Midnight Blizzard）的組織，該組織曾在2020年對(duì)美國(guó)信息技術(shù)公司SolarWinds進(jìn)行了大規(guī)模攻擊，導(dǎo)致美國(guó)聯(lián)邦政府的敏感信息暴露。

據(jù)微軟稱，Midnight Blizzard于11月底首次通過“密碼噴灑”攻擊訪問該公司的系統(tǒng)，這種策略是惡意行為者在多個(gè)帳戶上使用相同的口令。但微軟表示，直到1月下旬才首次檢測(cè)到對(duì)其系統(tǒng)的威脅。這意味著黑客獲得上述郵箱的訪問權(quán)限長(zhǎng)達(dá)兩個(gè)月，而且被突破的電郵賬戶可能沒有啟用2FA認(rèn)證。

根據(jù)微軟的初步調(diào)查，Midnight Blizzard似乎以企業(yè)電子郵件帳戶為目標(biāo)來查找有關(guān)其自身的信息，并設(shè)法撤回“一些電子郵件和附加文檔”。微軟稱，這次攻擊并非微軟產(chǎn)品或服務(wù)中的漏洞造成的。而且，沒有證據(jù)表明威脅行為者可以訪問客戶環(huán)境、生產(chǎn)系統(tǒng)、源代碼或人工智能系統(tǒng)。

SOHO路由器攻擊

今年2月份，Volt Typhoon組織劫持了位于美國(guó)的“數(shù)百臺(tái)”小型辦公室/家庭辦公室（SOHO）路由器，并將其組成僵尸網(wǎng)絡(luò)對(duì)美國(guó)關(guān)鍵基礎(chǔ)設(shè)施發(fā)動(dòng)攻擊。聯(lián)邦調(diào)查局表示，Volt Typhoon攻擊的目標(biāo)包括通信、能源、水和交通等關(guān)鍵服務(wù)提供商。

同月晚些時(shí)候，美國(guó)政府又消滅了俄羅斯網(wǎng)絡(luò)間諜在惡意軟件活動(dòng)中使用的另一個(gè)小型辦公室/家庭辦公室（SOHO）路由器僵尸網(wǎng)絡(luò)。該僵尸網(wǎng)絡(luò)由網(wǎng)絡(luò)犯罪分子使用已知的“Moobot”惡意軟件構(gòu)建，后來被俄羅斯APT組織（APT28，也被稱為Forest Blizzard/Sofacy/Fancy Bear，與俄羅斯情報(bào)局GRU有聯(lián)系）侵占。

據(jù)FBI介紹稱，最初，非GRU網(wǎng)絡(luò)犯罪分子在Ubiquiti Edge OS路由器上安裝了Moobot惡意軟件，而這些路由器仍然使用公開的默認(rèn)管理員密碼。GRU黑客隨后使用Moobot惡意軟件安裝他們自己的定制腳本和文件，重新調(diào)整僵尸網(wǎng)絡(luò)的用途，將其變成一個(gè)全球網(wǎng)絡(luò)間諜平臺(tái)。

Change Healthcare勒索軟件攻擊

Change Healthcare攻擊事件于2月22日首次披露，導(dǎo)致美國(guó)醫(yī)療保健系統(tǒng)持續(xù)數(shù)周的大規(guī)模中斷。為應(yīng)對(duì)勒索軟件攻擊而被迫關(guān)閉IT系統(tǒng)，致使許多藥店和醫(yī)院以及其他醫(yī)療保健設(shè)施和辦公室無法處理索賠和接收付款。

一個(gè)名為Blackcat（也稱Alphv）的俄語網(wǎng)絡(luò)犯罪組織聲稱對(duì)這起勒索軟件攻擊負(fù)責(zé)，并稱收到了UnitedHealth公司在攻擊后支付的2200萬美元贖金。

隨后，另一個(gè)名為RansomHub的網(wǎng)絡(luò)犯罪團(tuán)伙公布了據(jù)稱是從Change Healthcare竊取的數(shù)據(jù)。UnitedHealth在4月底表示，在Change Healthcare攻擊事件中可能有三分之一美國(guó)人的數(shù)據(jù)被盜。

今年6月，Change Healthcare承認(rèn)有敏感的患者醫(yī)療數(shù)據(jù)在這次攻擊中暴露，具體可能涉及“診斷、藥物、測(cè)試結(jié)果、圖像、護(hù)理和治療方案等”。

ConnectWise ScreenConnect攻擊

今年2月，ConnectWise披露發(fā)現(xiàn)了兩個(gè)影響其ScreenConnect工具的漏洞，影響了在本地和云中使用ScreenConnect的MSP。安全公司Mandiant隨后確定了各種威脅行為者對(duì)漏洞的大規(guī)模利用，并稱他們中的許多人會(huì)部署勒索軟件，進(jìn)行多方面的勒索。

慶幸的是，ConnectWise很快意識(shí)到“任何補(bǔ)丁延遲都會(huì)增加被利用的風(fēng)險(xiǎn)”，并采取了額外的預(yù)防措施，然后在披露后的幾天內(nèi)就發(fā)布了補(bǔ)丁。CISA也就此事發(fā)布通知稱，如果ConnectWise的合作伙伴和終端客戶無法在攻擊期間升級(jí)到最新版本，應(yīng)該選擇拔掉所有本地ScreenConnect服務(wù)器的連接線，以最大限度地降低攻擊影響。

XZ Utils攻擊

XZ Utils是Linux發(fā)行版中廣泛使用的一套數(shù)據(jù)壓縮工具和庫。然而，今年3月，RedHat和CISA發(fā)布警告稱，發(fā)現(xiàn)兩個(gè)最新版本的XZ Utils遭到入侵。這一漏洞最初由一名微軟工程師披露，而當(dāng)時(shí)被入侵的軟件還沒來得及廣泛傳播。

2024年3月29日，微軟PostgreSQL開發(fā)人員Andres Freund發(fā)了一封電子郵件給OSS-Security，說在xz/liblzma中發(fā)現(xiàn)了一個(gè)后門，涉及混淆惡意代碼的供應(yīng)鏈攻擊。Andres在一篇帖子中說，他在注意到安裝Debian（一種流行的Linux發(fā)行版）時(shí)的“奇怪”行為后發(fā)現(xiàn)了這個(gè)漏洞，這些異常行為包括登錄時(shí)間更長(zhǎng)，使用的CPU比平時(shí)多。

正如XZ Utils項(xiàng)目的原始維護(hù)者所披露的那樣，XZ Utils的一個(gè)代碼貢獻(xiàn)者負(fù)責(zé)插入了惡意代碼，最終導(dǎo)致在眾多Linux發(fā)行版中成功為sshd植入了后門，引發(fā)了“噩夢(mèng)般場(chǎng)景”的軟件供應(yīng)鏈攻擊危機(jī)。

美國(guó)電話電報(bào)公司（AT&T）數(shù)據(jù)泄露

今年3月，美國(guó)AT&T公司表示，在暗網(wǎng)上發(fā)現(xiàn)了7000多萬現(xiàn)任和前任客戶的個(gè)人數(shù)據(jù)后，該公司正在調(diào)查可能的數(shù)據(jù)泄露事件。這家電信巨頭表示，它已經(jīng)確定“大約兩周前在暗網(wǎng)上發(fā)布的一個(gè)數(shù)據(jù)集中包含了AT&T數(shù)據(jù)的特定字段?！备鶕?jù)初步分析，該公司表示，該數(shù)據(jù)集似乎來自2019年或更早的時(shí)間，影響了約760萬AT&T當(dāng)前賬戶持有人和約6540萬前賬戶持有人。該公司表示，被發(fā)現(xiàn)的數(shù)據(jù)包括姓名、家庭住址、電話號(hào)碼、社會(huì)安全號(hào)碼等個(gè)人信息。

事件發(fā)生后，AT&T公司已經(jīng)重置了受到影響的760萬現(xiàn)有用戶的密碼，并表示正在積極聯(lián)系這些客戶以及同樣遭受泄露的6540萬前賬戶持有人。

Ascension勒索軟件攻擊

Ascension在19個(gè)州和華盛頓特區(qū)擁有140家醫(yī)院和業(yè)務(wù)，是美國(guó)最大的醫(yī)療系統(tǒng)之一。該公司于今年5月透露，由于一名員工無意中下載了惡意軟件，致使其遭受勒索軟件攻擊。此次攻擊影響了MyChart電子健康記錄系統(tǒng)、電話和用于訂購測(cè)試、手術(shù)和藥物的系統(tǒng)，促使這家醫(yī)療巨頭將一些設(shè)備下線，以遏制勒索軟件攻擊影響。

Ascension還暫停了一些非緊急選擇性手術(shù)、測(cè)試和預(yù)約，并將急救服務(wù)轉(zhuǎn)移到其他醫(yī)療單位以避免分診延誤。包括美國(guó)衛(wèi)生與公眾服務(wù)部和聯(lián)邦調(diào)查局在內(nèi)的多個(gè)聯(lián)邦機(jī)構(gòu)都參與了恢復(fù)工作，以盡量減少對(duì)患者護(hù)理的干擾。

雖然Ascension后來證實(shí)，有證據(jù)表明威脅行為者僅訪問并竊取了其網(wǎng)絡(luò)上數(shù)千臺(tái)服務(wù)器中的7臺(tái)服務(wù)器上的文件。但這一事件再次提醒人們加強(qiáng)醫(yī)療保健網(wǎng)絡(luò)安全彈性的緊迫性。

Snowflake數(shù)據(jù)泄露

據(jù)Mandiant的研究人員稱，今年6月，針對(duì)Snowflake客戶的大規(guī)模攻擊導(dǎo)致“大量”數(shù)據(jù)被盜，已知有100多家客戶可能受到影響，其中包括Ticketmaster、桑坦德銀行、Pure Storage、Advance Auto Parts以及Cylance這樣的網(wǎng)絡(luò)安全巨頭。

Mandiant的研究人員表示，一群黑客利用信息竊取惡意軟件獲取的憑據(jù)，對(duì)未啟用多因素認(rèn)證（MFA）的Snowflake賬戶和未對(duì)不受信任位置訪問設(shè)置限制的Snowflake客戶實(shí)例實(shí)施大規(guī)模攻擊。黑客使用的某些憑據(jù)已有數(shù)年歷史。

Snowflake公司在其咨詢中表示，它正在“制定一項(xiàng)計(jì)劃，要求客戶實(shí)施先進(jìn)的安全控制，如多因素身份驗(yàn)證（MFA）或網(wǎng)絡(luò)策略?！?/p>

CDK Global網(wǎng)絡(luò)攻擊

在6月18日和19日接連遭遇兩起網(wǎng)絡(luò)攻擊后，為1.5萬家經(jīng)銷商提供軟件的CDK Global被迫關(guān)閉了大部分系統(tǒng)。此次網(wǎng)絡(luò)攻擊對(duì)CDK Global的主要客戶產(chǎn)生了深遠(yuǎn)影響，其中包括通用汽車經(jīng)銷商、Group 1 Automotive、Asbury Automotive Group、AutoNation、Lithia Motors、Penske、Sonic Automotive 和 Holman，這些經(jīng)銷商都嚴(yán)重依賴CDK的軟件來管理從銷售交易到庫存管理的日常運(yùn)營(yíng)。

由于系統(tǒng)關(guān)閉，一些經(jīng)銷商開始用紙筆處理訂單。其他服務(wù)，如州檢查、維修和零件配送，在部分地區(qū)也陷入停頓。有媒體報(bào)道稱，CDK計(jì)劃支付據(jù)稱價(jià)值數(shù)千萬美元的贖金，目的是更快地恢復(fù)其系統(tǒng)，但CDK拒絕對(duì)此發(fā)表評(píng)論。

原文鏈接：https://www.crn.com/news/security/2024/10-major-cyberattacks-and-data-breaches-in-2024-so-far